فرآیند ارزیابی

  


 

فرآیند ارزیابی محصولات مطابق دستورالعمل‌های ارائه‌شده توسط سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتای ریاست جمهوری، همچنین جزئیات فعالیت‌ها در آزمایشگاه آزمون

و ارزیابی تجهیزات شبکه و امنیت دانشگاه صنعتی شریف به شرح زیر است:

مرحله شرح فعالیت
1. مذاکره و مبادله پیش‌فاکتور* بین متقاضی1 و آزمایشگاه
1. ارسال مشخصات متقاضی به آزمایشگاه

2.

 ارسال پیش‌فاکتور توسط آزمایشگاه به متقاضی
3. مهر و امضای پیش‌فاکتور و ارسال آن به آزمایشگاه توسط متقاضی
4. پرداخت اولیه جهت شروع آزمون توسط متقاضی
2. عضویت و طی فرآیند درخواست اخذ گواهی امنیتی در سامانه جامع خدمات و محصولات افتا توسط نماینده متقاضی2
3. تکمیل اسناد مورد نیاز و ارسال آن برای آزمایشگاه توسط متقاضی
  •  برای محصول‌های امنیتی (شامل UTM، WAF، FW، SIEM، PAM و ...)؛ «اسناد چهارگانه» شامل «هدف امنیتی» (بر اساس نمایه حفاظتی مرتبط با محصول)، «سند توصیف مشخصات کارکردها»، «سند راهنما» و «سند پیکربندی»
  • برای محصول‌های نرم‌افزاری؛ «سند الزامات امنیتی برنامه کاربردی تحت شبکه»
  • برای نرم‌افزارهای موبایل؛ «پروفایل حفاظتی برنامه کاربردی»
1. ارزیابی اسناد و اعلام مشکلات احتمالی توسط آزمایشگاه
2. رفع اشکالات اعلام‌شده و ارسال مجدد اسناد به آزمایشگاه توسط متقاضی
3. تکرار این فرآیند تا رفع اشکالات اسناد
4. نصب و راه‌اندازی محصول در محیط آزمایشگاه
5. آغاز فرآیند ارزیابی محصول مطابق با استاندارد ISO 15408 بر اساس «هدف امنیتی»
1. اعلام عدم انطباق احتمالی بین محصول و اسناد (از سمت آزمایشگاه به متقاضی)
2. رفع موارد مطرح‌شده در گام قبلی و بروزرسانی محصول در آزمایشگاه توسط متقاضی
3. تکرار این فرآیند تا رفع اشکالات محصول
6. آغاز فرآیند ارزیابی آزمون‌های آسیب‌پذیری بر اساس روش‌هایی مانند OTG
1. اعلام آسیب‌پذیری‌های احتمالی موجود در محصول (از سمت آزمایشگاه به متقاضی)
2. رفع موارد مطرح‌شده در گام قبلی و بروزرسانی محصول در آزمایشگاه توسط متقاضی
3. تکرار این فرآیند تا رفع اشکالات محصول
7. ارسال گزارش ارزیابی (شامل آزمون‌های مرحله 5 و 6) به مرکز مدیریت راهبردی افتا توسط آزمایشگاه
8. بررسی گزارش‌های آزمایشگاه، توسط کارشناسان سازمان فنآوری اطلاعات و مرکز مدیریت راهبردی افتا
9.

صدور گواهی‌نامه‌ی محصول توسط سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتا

* آزمایشگاه پس از تایید پیش‌فاکتور از سوی متقاضی کار را آغاز می‌کند و قرارداد یا تفاهم‌نامه جداگانه‌ای امضا نمی‌کند.

نکات قابل توجه:

  1. مطابق دستورالعمل‌های مرکز مدیریت راهبردی افتا و استاندارد ISO 17025، برای حفظ شرایط «تکرارپذیری آزمون» و جلوگیری از تأثیر عوامل خارجی بر فرآیند ارزیابی، لازم است ارزیابی در محیط مستقل و جداشده‌ای (ایزوله) داخل آزمایشگاه انجام شود.
    تبصره: در مورد محصولاتی که شرایط خاصی برای ارزیابی آنها وجود دارد - برای نمونه، محصول نیازمند دسترسی به منابع خاصی در یک سازمان مشخص باشد که امکان دسترسی به آنها در آزمایشگاه وجود ندارد - ارزیابی محصول خارج از محیط آزمایشگاه نیازمند تأیید مرکز مدیریت راهبردی افتا خواهد بود.
  2. مطابق دستورالعمل‌های مرکز مدیریت راهبردی افتا، گزارش‌های نهایی حاصل از نتایج ارزیابی محرمانه است و در اختیار آزمایشگاه و مرکز افتا می‌ماند. البته آزمایشگاه می‌تواند به درخواست متقاضی نسخه‌ای از گزارش‌های نهایی را به شرطی که متقاضی مسئولیت حفاظت از اطلاعات تحویل شده به وی را به عهده بگیرد، در اختیار متقاضی قرار دهد.
  3. آزمایشگاه تنها مسئولیت ارزیابی محصول، اعلام مشکلات آن به متقاضی و ارسال گزارش آن برای مراجع ذی‌صلاح را دارد. تأیید یا رد محصول و نیز صدور گواهی (گواهی ارزیابی امنیت محصول یا گواهی بهره‌برداری یا ...) بر عهده‌ی سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتای ریاست جمهوری است.
  4. یادآور می‌شود مدت اعتبار گواهی‌های صادر شده از سوی سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتای ریاست جمهوری 2 سال است.
  5. به جهت تسریع فرآیند ارزیابی برای تمامی محصولات، فرآیند ارزیابی آن¬ها به صورت همروند (Concurrent) بین مشتریان پیش می¬رود. این بدین معنی است که ارزیابی یک محصول تا زمانی ادامه می¬یابد که اشکالات یا نواقص آن ادامه‌ی فرآیند ارزیابی را مختل نکند. در صورت وجود مشکل (اعم از ایراد طراحی، نصب و راه¬اندازی، پیکربندی و تنظیمات اشتباه، اشکالات کارکردی یا اجرایی و عدم تطابق با الزامات و استانداردهای مورد انتظار) موضوع به متقاضی اعلام می¬گردد تا آن را رفع نماید. حال اگر اشکلات از سوی متقاضی برطرف نشود، فرآیند ارزیابی محصول دیگری پیش می¬رود. از این‌رو، تأخیر در پاسخگویی از سوی متقاضی ممکن است منجر به تأخیر در ادامه‌ی فرآیند ارزیابی آن گردد.
  6. آزمایشگاه هیچ‌گونه مسئولیتی در قبال طولانی شدن فرآیند ارزیابی به دلیل تأخیر متقاضی نخواهد داشت.
  7. در صورتی که به مدت 3 ماه پس از آخرین اعلام مشکل و پس از دو یادآوری از سمت آزمایشگاه، متقاضی تلاشی مؤثر در راستای رفع مشکل انجام نداده باشد، یا از سوی متقاضی اقدامی صورت نگیرد، این امر به منزلهی انصراف وی تلقی شده و ارزیابی محصول در وضعیت «توقف» قرار خواهد گرفت. در این وضعیت، دسترسی متقاضی به سرور قطع و ماشین(های) اختصاص یافته به متقاضی نیز خاموش می‌شود. در صورتی که متقاضی تمایل به ادامه فرآیند ارزیابی داشته باشد، نیازمند نامه رسمی برای شروع بکار مجدد می‌باشد. درضمن مبلغ پرداختی اولیه به عنوان هزینه قطعی محسوب می‌شود و عودت داده نمی‌شود.

1. با توجه به اینکه در حال حاضر «گواهی ارزیابی امنیت محصول» تنها برای محصول‌های تولید داخل صادر می‌شود، «متقاضی»، به شرکت توسعه‌دهنده‌ی محصول اشاره دارد. اما در صورت تغییر سیاست‌های سازمان فنآوری اطلاعات و مرکز افتا، می‌تواند شرکت‌های واردکننده یا تولیدکننده را نیز در برگیرد.

2. برای مشاهده توضیحات بیشتر درباره‌ی عضویت در «سامانه جامع خدمات و محصولات افتا» می‌توانید به آدرس مشخص‌شده در بند 1 مراجعه نمایید.

0 خبرها 2095
مطالب مشابه
ارسال نظر
عکس خوانده نمی شود

Copyright © 2009-2020 Netel.org. All rights reserved. Edit & customize by AmnGah

انتشار مجدد مطالب وب‌سایت بدون ذکر منبع ممنوع است.

استفاده تجاری از محتویات وب‌سایت بدون کسب اجازه كتبی از آزمایشگاه ممنوع است.

Version 2019-04-01