مطالب مجوز افتا
- سوالات آزمون افتا
- انواع مجوز افتا
- گواهی افتا چیست
- سایت افتا چیست؟
- دریافت مجوز افتا برای شرکت
- افتا زیر نظر کجاست
- افتا ریاست جمهوری چیست
- آزمون افتا
- تاییدیه افتا
- سازمان افتا چیست
- شرکت های دارای مجوز افتا
- سامانه استعلام افتا
- دریافت گواهینامه افتا
- مجوز افتا برای نرم افزار
- گواهی امنیتی افتا
- دستورالعمل افتا
- مراحل دریافت مجوز افتا
- افتا محصول
- شرایط دریافت مجوز افتا
- منابع آزمون افتا
گواهی امنیتی افتا چیست و چرا مهم است؟ 49382-021
در یک نگاه، گواهی امنیتی افتا تأیید رسمی است که نشان میدهد یک محصول نرمافزاری، سختافزاری یا سایبری–صنعتی پس از گذر از آزمون آزمایشگاهی مبتنی بر ISO 15408 (معیار مشترک) و پروفایلهای حفاظتی ملی، به سطح قابلقبولی از ایمنی رسیده و مجاز به توزیع در دستگاههای دولتی و زیرساختی کشور است. این گواهی توسط ادارهکل توسعه صنعت افتا (در سازمان فناوری اطلاعات ایران) با همکاری مرکز مدیریت راهبردی افتا صادر میشود و سه سال اعتبار دارد.
تعریف و پشتوانهٔ حقوقی
اِفتا مخفف «امنیت فضای تولید و تبادل اطلاعات» است. ماده ۲۳۱ قانون برنامه پنجم توسعه، مرکز مدیریت راهبردی افتا را مرجع عالی سیاستگذاری و نظارت امنیت سایبری معرفی میکند.
ادارهکل توسعه صنعت افتا مسئول اجرا و صدور گواهی امنیتی محصول است؛ خدمات برخط از طریق پرتال sec.ito.gov.ir ارائه میشود.
انواع گواهی امنیتی افتا
| نوع گواهی | گیرنده | نمونه اقلام مشمول | رفرنس |
|---|---|---|---|
| محصول بومی | تولیدکننده داخلی | فایروال، IDS/IPS، سامانه SCADA | sec.ito.gov.ir |
| محصول وارداتی | نماینده رسمی | روتر، سوئیچ، سیستمعامل امن | ito.gov.ir |
| آزمایشگاه ارزیابی | شرکت صاحب لابراتوار | مراکز تست نفوذ، تحلیل کد | sec.ito.gov.ir |
مراحل صدور گواهی (EAL-محور)
1. ثبت درخواست
متقاضی در منوی «گواهی محصولات» پرتال sec.ito.gov.ir فرم مشخصات محصول، نسخه و مستندات حقوقی را بارگذاری میکند.
2. تدوین اسناد امنیتی
بستهٔ حداقل هفت سند (Security Target، ADV_FSP، راهنمای نصب امن…) باید بر اساس پروفایل حفاظتی (PP) متناظر تهیه شود. لیست PPهای بهروز در سایت افتا منتشر میشود.
3. آزمون آزمایشگاهی
یکی از آزمایشگاههای مجاز، محصول را طبق ISO 15408 در سطح EAL 1 تا EAL 3 — بسته به PP — ارزیابی میکند: تحلیل کد ایستا/پویا، تست نفوذ و آزمون کارکرد.
4. بازبینی و صدور
گزارش آزمایشگاه (SAR) به کمیته فنی افتا ارسال و پس از تأیید، گواهی سهساله صادر و در فهرست عمومی درج میشود.
الزامات فنی و سطح ارزیابی
استاندارد پایه ISO/IEC 15408 معیار مشترک است؛ جدول فیلترهای سایت اجازه میدهد محصولات را بر اساس سطح EAL جستوجو کنید.
پروفایلهای حفاظتی (PP) برای گروههایی مثل «تجهیزات رمزنگاری»، «نرمافزار بانکداری» یا «فایروال صنعتی» تدوین شدهاند و نسخههای جدید مرتب بهروز میشوند.
زمانبندی و هزینههای معمول
| عامل | بازهٔ متوسط | رفرنس |
|---|---|---|
| زمان کل فرایند | ۳–۶ ماه برای محصولات متوسط؛ تا ۹ ماه برای سامانههای بزرگ | isna.ir |
| هزینه ارزیابی | تعرفه دولتی + هزینه آزمایشگاه (میانگین ۷۰–۳۰۰ میلیون تومان) | sec.ito.gov.ir |
نگهداری، تمدید و تعلیق
اعتبار پایه سه سال است؛ گزارش وصلهها و تغییرات باید هر ۱۲ ماه در سامانه بارگذاری شود.
انتشار نسخه اصلی جدید یا تغییر معماری ⇒ ارزیابی مجدد؛ در غیر اینصورت Patchهای جزئی با یک Self-Assessment پذیرفته میشوند.
عدم ارسال گزارش سالانه یا کشف باگ حیاتی میتواند به «تعلیق» یا «ابطال» منتهی شود؛ وضعیت در جدول پرتال بهروزرسانی میشود.
مزایا و کاربردها
خرید دولتی اجباری: محصولات فاقد گواهی، در مناقصات سازمانهای حساس پذیرفته نمیشوند.
اعتبار بازار خصوصی: وجود شناسه گواهی، سطح اطمینان خریداران صنعت بانکی و نفتی را افزایش میدهد.
کاهش ریسک حقوقی: اثبات پیروی از استانداردهای امنیتی، مسئولیت حوادث را برای سازنده و کارفرما محدود میکند.
چالشهای رایج
همپوشانی با الزامات سایر نهادها (ماهر، پدافند غیرعامل) میتواند هزینه آزمایش را دو برابر کند.
طولانی شدن رفع عدمانطباقها در مرحله آزمون بهدلیل کمبود مستندات یا DevSecOps ضعیف، عامل اصلی تأخیر است.
راههای استعلام سریع
به sec.ito.gov.ir → «گواهی محصولات» بروید؛ فیلتر «وضعیت = فعال» و «استاندارد = ISO 15408» را اعمال کنید.
نام شرکت یا شماره گواهی را در کادر جستوجو وارد و روی ردیف نتیجه کلیک کنید تا PDF حاوی QR-کد اصالت نمایش داده شود.
خلاصهٔ کاربردی: برای ورود موفق به بازار دولتی ایران، سازندگان باید محصول را با پروفایل حفاظتی مناسب مستندسازی، در یکی از آزمایشگاههای مجاز بر مبنای ISO 15408 ارزیابی، و گزارش را برای صدور گواهی سهساله ارسال کنند. پایش سالانه و آمادهسازی DevSecOps از ابتدا، کلید تمدید بیدردسر و حفظ مزیت رقابتی در مناقصات حساس است.
جهت اخذ انواع گواهینامه های ایزو معتبر می توانید از طریق WhatsApp با ما ارتباط بگیرید و از مشاوره رایگان متخصصین مرکز مشاوره هوداک سیستم فرتاک بهرمند شوید.