دولتی‌ها ملزم به استفاده از نرم‌افزارهای داخلی می‌شوند

 
مرکز مدیریت راهبردی افتا ریاست جمهوری با هدف ساماندهی سامانه‌های نرم‌افزاری سازمانی و تامین امنیت این نرم‌افزارها الزاماتی را در قالب دو سند امنیتی تدوین کرد. در این دو سند به صورت جداگانه برای دستگاه‌ها و شرکت‌های ارائه‌کننده محصول وظایفی تعیین شده است.
 
 این مرکز دو سند امنیتی «الزامات امنیتی زیرساخت‌های حیاتی در استفاده از محصولات نرم افزاری سازمانی» و «الزامات امنیتی ارائه محصولات نرم افزاری سازمانی به زیرساخت‌های حیاتی» را تدوین و منتشر کرده و حالا سازمان نظام صنفی رایانه‌ای کشور از کارشناسان و متخصصان این حوزه در بخش خصوصی خواسته تا با مطالعه نسخه اولیه این سند‌ها نظرها و پیشنهادهای خود را ارائه دهند.
 
الزام به استفاده از محصولات داخلی در سازمان‌ها
سند «الزامات امنیتی زیرساخت‌های حیاتی در استفاده از محصولات نرم‌افزارهای سازمانی» از هفت بخش تشکیل شده و وظایف دستگاه‌های اجرایی مشمول ماده ۵ قانون مدیریت خدمات کشوری را در تامین امنیت نرم‌افزارهای سازمانی مشخص کرده است.
 
در بخش اول این سند که «الزامات انتخاب محصول» نام دارد، دستگاه‌های مشمول باید محصولات داخلی را برای استفاده در سازمان خود انتخاب و خریداری کنند مگر اینکه ثابت شود محصولات داخلی پاسخگوی نیاز آن سازمان نیست که این امر باید به تایید مرکز افتا برسد.
 
دراین سند سازمان‌ها ملزم هستند تا شرکت‌های ارائه‌دهنده خدمات نصب و پشتیبانی محصولی را انتخاب کنند که پروانه ارائه خدمات نصب و پشتیبانی محصولات نرم افزاری را مطابق با فرآیند اخذ پروانه خدمات دریافت کرده باشند.
 
همچنین در این سند آمده است: «سازمان‌ها باید محصولی را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنس‌های معتبر را داشته باشد.»
 
بخش دیگری از این سند با عنوان «الزامات زمان عقد قرارداد» میان دستگاه‌های مشمول در این سند و تولیدکننده محصولات را مشخص کرده است. براین اساس مسئولیت تامین هر یک از بخش‌ها، اجزا یا مولفه‌های مستقل نرم‌افزاری محصول، باید در زمان قرارداد تعیین شود. این بخش‌ها می‌تواند شامل سیستم عامل، وب سرور، پایگاه داده و برنامه‌های کاربردی شخص ثالث (مانند فریم ورکها و کتابخانه‌ها) باشد.
در مورد محصولاتی که در بستر اینترنت و محلی خارج از مالکیت سازمان جایگذاری می‌شوند نیز الزام شده وظیفه تامین زیرساخت میزبانی و نحوه رعایت دستورالعمل میزبانی امن خدمات وب در قرارداد به درستی تعیین شود. برخی از ملاحظات امنیتی در این دستورالعمل هم شامل مواردی چون ذخیره‌سازی امن داده‌های حساس، اطمینان از گرفتن نسخه پشتیبان دوره‌ای، به‌روزرسانی و نصب آخرین وصله‌های امنیتی وب سرورها می‌شوند.
در این سند مشخص شده که سازمان مورد نظر با ارائه‌کننده خدمات برای برقراری ارتباط از کانال مناسب و امن استفاده کند. سازمان و ارائه‌کننده خدمات باید در قرارداد خود کانال مورد توافق را ذکر کنند. از طریق این کانال قرار است اطلاع‌رسانی و آگاهی در خصوص روال کشف و رفع‌ آسیب‌پذیری صورت بگیرد.
 
سازمان‌های دولتی باید محصول نرم افزاری را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنس‌های معتبر را داشته باشد
«الزامات زمان نصب و استقرار محصول» از دیگر بخش‌های سند است که سازمان باید در زمان نصب و استفاده از محصول رعایت کند. به این ترتیب سازمان مورد نظر باید هنگام استقرار محصول، محیط عملیاتی و محیط تست مجزایی را در اختیار ارائه کننده قرار دهد.
سازمان همچنین باید پس از نصب محصول، مستندات مورد نیاز از جمله معماری استقرار محصول (نحوه قرار گرفتن محصول در محیط عملیاتی) و اطلاعات دیگر شامل پلتفرم‌ها، تکنولوژی‌ها، نرم‌افزارها، سرویس‌های اجرایی، پورت‌ها و دسترسی فایل‌ها به هر پورت را جهت راهبری محصول از ارائه‌کننده دریافت کند.
در بخش دیگری از این سند با عنوان‌ «الزامات پشتیبانی» نحوه پشتیبانی محصول از سوی سازمان تعیین شده است. بر این اساس، سازمان باید آسیب‌پذیری‌های کشف شده در محصول و اجزای مستقل آن را از طریق کانال ارتباطی مشخص شده در قرارداد از ارائه‌کننده دریافت کرده و حداکثر ظرف ۷۲ ساعت راهکارهای کوتاه مدتی را برای پیشگیری از بروز خرابی یا حملات احتمالی ناشی از آسیب‌پذیری کشف شده از ارائه کننده را دریافت و اعمال کند.
این سند پشتیبانی از محصول از راه دور را ضروری ندانسته است؛ اما در صورت نیاز باید با حفظ ملاحظات امنیتی از جمله تایید نشست از راه دور توسط سازمان، تعیین زمان و تاریخ مشخص برای پشتیبانی از راه دور، رمزنگاری نشست‌های از راه دور، استفاده از احراز هویت قوی این پشتیبانی صورت گیرد.
سازمان همچنین باید در زمان ارائه بروزرسانی‌ها، وصله‌های امنیتی و تغییرات پیکربندی، ابتدا تغییرات رادر محیط تست سازمان پیاده‌سازی کند و پس از اطمینان از صحت عملکرد آن، در محیط عملیاتی سازمان اعمال کند.
 
ارتباط مستمر شرکت ارائه‌کننده با مرکز افتا
سند «الزام امنیتی ارائه محصولات نرم‌افزاری سازمانی به زیرساخت‌های حیاتی» سند دومی است که از سوی مرکز افتای ریاست‌ جمهوری تدوین شده است. در این  سند ۸ بخشی وظایف ارائه‌کننده‌های محصولات را تعیین شده است. در بخش اول این سند با عنوان «الزامات کلی» ارائه کننده محصول داخلی، باید محصولی را به سازمان‌ها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا مطابق با فرآیند اخذ گواهی ارزیابی امنیتی محصولات اخذ کرده باشد.
ارائه‌کننده محصول همچنین باید کلیه اطلاعات به‌روز مرتبط با سازمان‌ها شامل اطلاعات تماس، آدرس و نسخه محصول مورد استفاده را در یک سیستم بایگانی مطمئن و امن نگهداری و به صورت مستمر بروزرسانی کند.
در بخش «الزامات استقرار و راه‌اندازی محصول» ارائه‌کننده محصول باید در محصولات تحت وب تضمین کند تا برای جلوگیری از افشای اطلاعات حساس، نمایش جزئیات خطاهای برنامه و اطلاعات نسخه را غیرفعال یا حذف شود.
 
ارائه کننده محصول داخلی، باید محصولی را به سازمان‌ها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا  اخذ کرده باشد
براساس این سند ارائه‌کننده محصول باید آسیب‌پذیری محصول و اجزای مستقل بکار رفته در محصول خود را به طور مستمر رصد کند و در صورت وجود آسیب‌پذیری و به محض کشف آن به سازمان‌ اطلاع‌رسانی و سپس ظرف ۷۲ ساعت یک راهکار کوتاه مدت برای پیشگیری از بروز خرابی یا حملات احتمالی عرضه کند.
بخش پایانی این سند هم به ارتباط شرکت ارائه‌کننده محصول با مرکز افتا اختصاص دارد. شرکت ارائه‌کننده باید فهرست سازمان‌های استفاده کننده از محصول خود به همراه مشخصات نماینده فنی سازمان، نسخه و شناسه محصول تحویل داده شده به سازمان، به همراه گزارش آسیب‌پذیری‌های کشف شده در محصول و اقدامات انجام شده برای رفع آنها را به صورت گزارش‌های فصلی برای مرکز افتا ارسال کند.
در صورتی که این شرکت‌ها از آسیب‌پذیری بحرانی در محصول مطلع شدند باید در سریع‌ترین زمان این آسیب‌پذیری را به این مرکز اعلام کنند.