مرکز مدیریت راهبردی افتا ریاست جمهوری با هدف ساماندهی سامانههای نرمافزاری سازمانی و تامین امنیت این نرمافزارها الزاماتی را در قالب دو سند امنیتی تدوین کرد. در این دو سند به صورت جداگانه برای دستگاهها و شرکتهای ارائهکننده محصول وظایفی تعیین شده است.
این مرکز دو سند امنیتی «الزامات امنیتی زیرساختهای حیاتی در استفاده از محصولات نرم افزاری سازمانی» و «الزامات امنیتی ارائه محصولات نرم افزاری سازمانی به زیرساختهای حیاتی» را تدوین و منتشر کرده و حالا سازمان نظام صنفی رایانهای کشور از کارشناسان و متخصصان این حوزه در بخش خصوصی خواسته تا با مطالعه نسخه اولیه این سندها نظرها و پیشنهادهای خود را ارائه دهند.
الزام به استفاده از محصولات داخلی در سازمانها
سند «الزامات امنیتی زیرساختهای حیاتی در استفاده از محصولات نرمافزارهای سازمانی» از هفت بخش تشکیل شده و وظایف دستگاههای اجرایی مشمول ماده ۵ قانون مدیریت خدمات کشوری را در تامین امنیت نرمافزارهای سازمانی مشخص کرده است.
در بخش اول این سند که «الزامات انتخاب محصول» نام دارد، دستگاههای مشمول باید محصولات داخلی را برای استفاده در سازمان خود انتخاب و خریداری کنند مگر اینکه ثابت شود محصولات داخلی پاسخگوی نیاز آن سازمان نیست که این امر باید به تایید مرکز افتا برسد.
دراین سند سازمانها ملزم هستند تا شرکتهای ارائهدهنده خدمات نصب و پشتیبانی محصولی را انتخاب کنند که پروانه ارائه خدمات نصب و پشتیبانی محصولات نرم افزاری را مطابق با فرآیند اخذ پروانه خدمات دریافت کرده باشند.
همچنین در این سند آمده است: «سازمانها باید محصولی را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنسهای معتبر را داشته باشد.»
بخش دیگری از این سند با عنوان «الزامات زمان عقد قرارداد» میان دستگاههای مشمول در این سند و تولیدکننده محصولات را مشخص کرده است. براین اساس مسئولیت تامین هر یک از بخشها، اجزا یا مولفههای مستقل نرمافزاری محصول، باید در زمان قرارداد تعیین شود. این بخشها میتواند شامل سیستم عامل، وب سرور، پایگاه داده و برنامههای کاربردی شخص ثالث (مانند فریم ورکها و کتابخانهها) باشد.
در مورد محصولاتی که در بستر اینترنت و محلی خارج از مالکیت سازمان جایگذاری میشوند نیز الزام شده وظیفه تامین زیرساخت میزبانی و نحوه رعایت دستورالعمل میزبانی امن خدمات وب در قرارداد به درستی تعیین شود. برخی از ملاحظات امنیتی در این دستورالعمل هم شامل مواردی چون ذخیرهسازی امن دادههای حساس، اطمینان از گرفتن نسخه پشتیبان دورهای، بهروزرسانی و نصب آخرین وصلههای امنیتی وب سرورها میشوند.
در این سند مشخص شده که سازمان مورد نظر با ارائهکننده خدمات برای برقراری ارتباط از کانال مناسب و امن استفاده کند. سازمان و ارائهکننده خدمات باید در قرارداد خود کانال مورد توافق را ذکر کنند. از طریق این کانال قرار است اطلاعرسانی و آگاهی در خصوص روال کشف و رفع آسیبپذیری صورت بگیرد.
سازمانهای دولتی باید محصول نرم افزاری را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنسهای معتبر را داشته باشد
«الزامات زمان نصب و استقرار محصول» از دیگر بخشهای سند است که سازمان باید در زمان نصب و استفاده از محصول رعایت کند. به این ترتیب سازمان مورد نظر باید هنگام استقرار محصول، محیط عملیاتی و محیط تست مجزایی را در اختیار ارائه کننده قرار دهد.
سازمان همچنین باید پس از نصب محصول، مستندات مورد نیاز از جمله معماری استقرار محصول (نحوه قرار گرفتن محصول در محیط عملیاتی) و اطلاعات دیگر شامل پلتفرمها، تکنولوژیها، نرمافزارها، سرویسهای اجرایی، پورتها و دسترسی فایلها به هر پورت را جهت راهبری محصول از ارائهکننده دریافت کند.
در بخش دیگری از این سند با عنوان «الزامات پشتیبانی» نحوه پشتیبانی محصول از سوی سازمان تعیین شده است. بر این اساس، سازمان باید آسیبپذیریهای کشف شده در محصول و اجزای مستقل آن را از طریق کانال ارتباطی مشخص شده در قرارداد از ارائهکننده دریافت کرده و حداکثر ظرف ۷۲ ساعت راهکارهای کوتاه مدتی را برای پیشگیری از بروز خرابی یا حملات احتمالی ناشی از آسیبپذیری کشف شده از ارائه کننده را دریافت و اعمال کند.
این سند پشتیبانی از محصول از راه دور را ضروری ندانسته است؛ اما در صورت نیاز باید با حفظ ملاحظات امنیتی از جمله تایید نشست از راه دور توسط سازمان، تعیین زمان و تاریخ مشخص برای پشتیبانی از راه دور، رمزنگاری نشستهای از راه دور، استفاده از احراز هویت قوی این پشتیبانی صورت گیرد.
سازمان همچنین باید در زمان ارائه بروزرسانیها، وصلههای امنیتی و تغییرات پیکربندی، ابتدا تغییرات رادر محیط تست سازمان پیادهسازی کند و پس از اطمینان از صحت عملکرد آن، در محیط عملیاتی سازمان اعمال کند.
ارتباط مستمر شرکت ارائهکننده با مرکز افتا
سند «الزام امنیتی ارائه محصولات نرمافزاری سازمانی به زیرساختهای حیاتی» سند دومی است که از سوی مرکز افتای ریاست جمهوری تدوین شده است. در این سند ۸ بخشی وظایف ارائهکنندههای محصولات را تعیین شده است. در بخش اول این سند با عنوان «الزامات کلی» ارائه کننده محصول داخلی، باید محصولی را به سازمانها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا مطابق با فرآیند اخذ گواهی ارزیابی امنیتی محصولات اخذ کرده باشد.
ارائهکننده محصول همچنین باید کلیه اطلاعات بهروز مرتبط با سازمانها شامل اطلاعات تماس، آدرس و نسخه محصول مورد استفاده را در یک سیستم بایگانی مطمئن و امن نگهداری و به صورت مستمر بروزرسانی کند.
در بخش «الزامات استقرار و راهاندازی محصول» ارائهکننده محصول باید در محصولات تحت وب تضمین کند تا برای جلوگیری از افشای اطلاعات حساس، نمایش جزئیات خطاهای برنامه و اطلاعات نسخه را غیرفعال یا حذف شود.
ارائه کننده محصول داخلی، باید محصولی را به سازمانها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا اخذ کرده باشد
براساس این سند ارائهکننده محصول باید آسیبپذیری محصول و اجزای مستقل بکار رفته در محصول خود را به طور مستمر رصد کند و در صورت وجود آسیبپذیری و به محض کشف آن به سازمان اطلاعرسانی و سپس ظرف ۷۲ ساعت یک راهکار کوتاه مدت برای پیشگیری از بروز خرابی یا حملات احتمالی عرضه کند.
بخش پایانی این سند هم به ارتباط شرکت ارائهکننده محصول با مرکز افتا اختصاص دارد. شرکت ارائهکننده باید فهرست سازمانهای استفاده کننده از محصول خود به همراه مشخصات نماینده فنی سازمان، نسخه و شناسه محصول تحویل داده شده به سازمان، به همراه گزارش آسیبپذیریهای کشف شده در محصول و اقدامات انجام شده برای رفع آنها را به صورت گزارشهای فصلی برای مرکز افتا ارسال کند.
در صورتی که این شرکتها از آسیبپذیری بحرانی در محصول مطلع شدند باید در سریعترین زمان این آسیبپذیری را به این مرکز اعلام کنند.
