مطالب مجوز افتا
- سوالات آزمون افتا
- انواع مجوز افتا
- گواهی افتا چیست
- سایت افتا چیست؟
- دریافت مجوز افتا برای شرکت
- افتا زیر نظر کجاست
- افتا ریاست جمهوری چیست
- آزمون افتا
- تاییدیه افتا
- سازمان افتا چیست
- شرکت های دارای مجوز افتا
- سامانه استعلام افتا
- دریافت گواهینامه افتا
- مجوز افتا برای نرم افزار
- گواهی امنیتی افتا
- دستورالعمل افتا
- مراحل دریافت مجوز افتا
- افتا محصول
- شرایط دریافت مجوز افتا
- منابع آزمون افتا
تاییدیه افتا چیست؟ 49382-021
تاییدیه افتا (گواهی/گواهینامه امنیت فضای تولید و تبادل اطلاعات) سند رسمیای است که «ادارهکل توسعه صنعت افتا» زیرمجموعه سازمان فناوری اطلاعات ایران و با نظارت «مرکز مدیریت راهبردی افتا» صادر میکند. این گواهی بیان میکند که یک محصول، سامانه نرمافزاری / سختافزاری یا آزمایشگاه ارزیابی، همه الزامات امنیتی ملیِ تعریف-شده در پروفایلهای حفاظتی و دستورالعملهای افتا را گذرانده و برای استفاده در سازمانهای حساس و زیرساختی کشور ایمن است.
۱. تعریف و مأموریت تأییدیه افتا
تعریف رسمی: گواهی امنیتی محصول یا «تأییدیه افتا» نتیجه یک فرایند ارزیابی فنی، آزمون عملی و بررسی مستندات است که بر اساس اسناد بالادستی ماده ۲۲۲ و ۲۳۱ قانون برنامه پنجم توسعه انجام میشود. ito.gov.ir
دامنه: شامل محصولات بومی، محصولات وارداتی، و آزمایشگاههای ارزیابی امنیتی میشود. sec.ito.gov.ir
هدف: تضمین سطح پایهای امنیت برای جلوگیری از آسیب به شبکه ملی و کاهش ریسک استقرار راهکارهای ناامن در دستگاههای دولتی و بخش حیاتی.
۲. انواع گواهیهای امنیتی افتا
| نوع گواهی | گیرنده | نمونه اقلام مشمول | مراجع ارزیابی |
|---|---|---|---|
| گواهی امنیتی محصول بومی | تولیدکننده داخلی | فایروال، IDS/IPS، HSM، SCADA Firewall | آزمایشگاههای دارای مجوز |
| گواهی امنیتی محصول وارداتی | واردکننده/نماینده | روتر، سوئیچ، سیستمعامل امن | ادارهکل توسعه صنعت افتا |
| گواهی آزمایشگاه ارزیابی امنیتی | شرکت صاحب آزمایشگاه | مراکز تست نفوذ، آزمایشگاه رمزنگاری | ادارهکل توسعه صنعت افتا |
تفاوت با «پروانه خدمات افتا»: پروانه خدمات برای شرکتهای ارائهدهنده «خدمات امنیتیِ مدیریتی، عملیاتی، فنی یا آموزشی» صادر میشود و مستلزم آزمون و مصاحبه کارشناسان است؛ در حالیکه تأییدیه افتا فقط صلاحیت امنیتی یک «محصول» یا «آزمایشگاه» را تأیید میکند.
۳. مسیر دریافت تأییدیه افتا قدمبهقدم
۳.۱ ثبت درخواست
ثبت درگاه امنیت (sec.ito.gov.ir) و انتخاب گزینه «درخواست گواهی محصول/آزمایشگاه».
بارگذاری مستندات فنی (معماری، کد منبع مشروط، راهنمای امنسازی) و مدارک حقوقی محصول.
۳.۲ ارزیابی آزمایشگاهی
انتخاب آزمایشگاه تایید-شده متناسب با رده محصول (شبکه، رمزنگاری، صنعتی).
اجرای تستهای نفوذ، آنالیز کد و آزمون کارکرد مطابق «پروفایل حفاظتی» محصول.
۳.۳ تطبیق و بازبینی نهایی
ارسال گزارش آزمون به ادارهکل توسعه صنعت افتا.
کمیتۀ فنی افتا نتایج را صحت سنجی و در صورت کفایت، گواهی را صادر میکند.
۳.۴ صدور و درج در فهرست عمومی
پس از صدور، شناسه گواهی در «لیست گواهیهای صادر شده» منتشر میشود که خریداران دولتی ملزم به کنترل آن هستند.
۴. الزامات کلیدی برای اخذ تأییدیه
محور الزامات شاخص مستندسازی ST (Security Target)، طراحی تهدید، رویه مدیریت کلید، خطمشی بهروزرسانی آزمون فنی تست نفوذ شبکه / وب، تحلیل کد ایستا، تست بار و مقاومسازی سختافزار پروفایلهای حفاظتی رعایت «PP»های منتشرشده توسط افتا برای رده محصول (مثلاً فایروال صنعتی، کارت ملی هوشمند). تعهدات سازنده انتشار وصلههای امنیتی، ارائه سورس در صورت نیاز تیم بررسی، عدم وجود backdoor عمدی. ۵. مدت اعتبار، تمدید و مراقبت
اعتبار پایه: ۳ سال از تاریخ صدور، مشروط به عدم تغییر اساسی نسخه.
مراقبت سالانه: گزارش وصلهها و تغییرات باید هر ۱۲ ماه به افتا ارسال شود؛ در غیر اینصورت گواهی تعلیق میشود.
بهروزرسانی عمده: نسخه جدید باید دوباره در آزمایشگاه ارزیابی شود.
۶. مزایا و کاربردها
خرید دولتی اجباری: سازمانهای دولتی و زیرساختی حق خرید محصولاتی را دارند که تأییدیه افتا داشته باشند.
اعتبار بازار خصوصی: وجود لوگوی افتا اعتماد خریداران بخش خصوصی را نیز افزایش میدهد.
کاهش ریسک حقوقی: مسئولیت امنیت دادهها از منظر قانونی و قراردادی کاهش مییابد.
دسترسی به پروژههای حساس: بسیاری از مناقصههای بانکی، نفتی و مخابراتی شرط تأییدیه افتا را در RFP میگنجانند.
۷. پرسشهای رایج تاییدیه افتا
| سؤال | پاسخ کوتاه |
|---|---|
| آیا تأییدیه افتا معادل CERT یا Common Criteria است؟ | مشابه CC-EAL در روش آزمون است ولی کاملاً بومی و با پروفایلهای حفاظتی ملی اداره میشود. |
| برای SaaS یا اپلیکیشن ابری هم لازم است؟ | اگر اپ در مرکز داده داخلی و مشتری دولتی دارد، بله؛ باید در قالب «گواهی محصول نرمافزاری» ارزیابی شود. |
| چقدر زمان میبرد؟ | بنا به پیچیدگی محصول ۴ تا ۱۲ ماه (میانگین ۷ ماه) از ثبت تا صدور. |
| هزینه چقدر است؟ | تعرفه دولتی + هزینه آزمایشگاه (بازه ۷۰ تا ۳۰۰ میلیون تومان بسته به دامنه تست). |
۸. راهکارهای موفقیت
همراستایی با ISO 27001 و ISO 42001: تطبیق سامانه توسعه نرمافزار با این استانداردها، نقصهای فرایندی را کم میکند.
پروتوتایپ تست قبل از ارسال: اجرای پیشآزمون با ابزارهای متن-باز (OWASP ZAP, Lynis) برای کاهش خطا.
همکاری نزدیک با آزمایشگاه مجاز: در فاز طراحی، الزامات PP را مرور کرده و سناریوی تست را شفاف کنید.
جمعبندی
تأییدیه افتا «نشان ملی اطمینان امنیت» برای محصولات و آزمایشگاههای فناوری اطلاعات است. با طی فرایند دقیق آزمایشگاهی و مستندسازی، نه تنها دسترسی به بازارهای دولتی و پروژههای کلان را ممکن میکند، بلکه ریسک امنیتی و حقوقی سازمانها را بهطور چشمگیری کاهش میدهد. اگر محصول یا خدمتی در حوزه حیاتی ارائه میکنید، برنامهریزی برای دریافت این گواهی، سرمایهگذاری ضروری در آینده امنیت و اعتبار کسبوکار شماست.
جهت اخذ انواع گواهینامه های ایزو معتبر می توانید از طریق WhatsApp با ما ارتباط بگیرید و از مشاوره رایگان متخصصین مرکز مشاوره هوداک سیستم فرتاک بهرمند شوید.