امنیت فضای تولید و تبادل اطلاعات یا گواهی افتا چیست؟
راهنمای مطالعه:
گواهی "افتا" یا به طور کامل تر گواهی نامه امنیت فضای تولید و تبادل اطلاعات، یک استاندارد و گواهی امنیتی در ایران است که توسط مرکز مدیریت راهبردی افتا (وابسته به نهاد ریاست جمهوری ایران) صادر می شود. هدف آن، افزایش سطح امنیت سامانه ها، نرم افزارها، سخت افزارها و زیرساخت های فناوری اطلاعات است که در نهادهای دولتی و حساس کشور به کار می روند.
افتا (امنیت فضای تولید و تبادل اطلاعات) نهادی زیر نظر مرکز ملی فضای مجازی است که مسئولیت سیاست گذاری، نظارت و کنترل امنیت سایبری در حوزه های دولتی، نظامی و حیاتی کشور را بر عهده دارد.
برخی از مهمترین مجوزها و گواهینامه افتا که از سوی سازمان امنیت فضای تولید و تبادل اطلاعات (افتا) صادر میشوند به شرح زیر می باشند:
1) گواهینامه امنیتی سامانه های اطلاعاتی این گواهینامه برای ارزیابی و تأیید امنیتی سامانه های اطلاعاتی صادر می.شود این گواهینامه تضمین می کند که سامانه مورد نظر دارای الزامات امنیتی مشخص شده توسط افتا است.
2) مجوز فعالیت شرکت های امنیت اطلاعات شرکت های فعال در زمینه امنیت اطلاعات برای ارائه خدمات خود نیاز به مجوز رسمی از سازمان فناوری اطلاعات ایران دارند. این مجوز برای اطمینان از اینکه شرکت ها دارای توانمندی ها و تخصص های لازم برای ارائه خدمات امنیتی هستند، صادر می شود.
3) گواهینامه آموزش های امنیتی موسسات آموزشی که دوره های آموزشی در زمینه امنیت اطلاعات برگزار می کنند باید از افتا گواهینامه دریافت کنند گواهینامه افتا نشان دهنده اعتبار و کیفیت دوره های آموزشی ارائه شده توسط این موسسات است.
4) مجوز ارزیابی امنیتی شرکت ها و سازمان هایی که قصد دارند ارزیابی امنیتی از سامانه ها و زیرساخت های خود انجام دهند باید از افتا مجوز مربوطه را دریافت کنند. این مجوز تضمین می کند که ارزیابی ها با استانداردهای مورد تأیید انجام می شوند.
5) گواهینامه امنیت نرم افزار این گواهینامه برای نرم افزارهایی که نیاز به تأیید امنیتی دارند صادر می شود نرم افزارهایی که گواهینامه افتا را دریافت می کنند، بازرسی های امنیتی افتا را پشت سر گذاشته و استانداردهای امنیتی مورد نیاز را رعایت کرده اند.
6) مجوز ارائه خدمات مدیریت امنیت اطلاعات (MSSP) شرکت هایی که خدمات مدیریت امنیت اطلاعات ارائه می دهند باید از افتا مجوز و گواهینامه افتا مربوطه را دریافت کنند. این مجوز اطمینان میدهد که شرکت ارائه دهنده خدمات مدیریت امنیت اطلاعات دارای تخصص و توانمندی های لازم برای ارائه این خدمات است.
برای دانلود فایل pdf الزامات افتا و راهنمای الزامات امنیتی محصول فایل های زیر را دانلود کنید.
جهت دانلود الزامات امنیتی محصول کلیک کنید
جهت دانلود راهنمای الزامات امنیتی محصول کلیک کنید
گواهی افتا با اهداف زیر صادر می شود:
اگر برنامه نویس هستید و نرم افزاری می نویسید که قرار است برای سازمان های دولتی یا حساس استفاده شود، باید اصول زیر را برای گرفتن گواهی افتا رعایت کنید:
جلوگیری از SQL Injection
جلوگیری از XSS، CSRF
مدیریت درست نشست ها (Session Management)
اعتبارسنجی ورودی ها (Input Validation)
مدیریت خطاها و لاگ ها بدون افشای اطلاعات حساس
ارائه معماری نرم افزار
ارائه مدل تهدیدات (Threat Modeling)
مستندات سیاست های امنیتی
استفاده از احراز هویت دو مرحله ای (MFA)
استفاده از استانداردهایی مثل OAuth2 یا JWT
مرکز مدیریت راهبردی افتا زیر نظر نهاد ریاست جمهوری مسئول صدور این گواهی است. همچنین برخی شرکت های ثالث دارای مجوز از افتا (تأیید صلاحیت شده) اقدام به ممیزی امنیتی و ارزیابی نرم افزار می کنند.
ارسال درخواست توسط شرکت تولیدکننده نرم افزار
بررسی مستندات و نسخه نرم افزار
انجام تست های امنیتی و کد
صدور گواهی نامه افتا در صورت تایید
تمام ورودی های کاربر اعتبارسنجی شوند (سمت کلاینت و سرور)
استفاده از الگوهای منظم (Regex) برای فیلتر ورودی ها
جلوگیری از بارگذاری فایل های مخرب با بررسی نوع MIME و پسوند
جلوگیری از SQL Injection
جلوگیری از Cross-Site Scripting (XSS)
جلوگیری از Cross-Site Request Forgery (CSRF)
محافظت در برابر Path Traversal و Command Injection
پیاده سازی سیستم ورود ایمن (حداقل از طریق رمز عبور هش شده + SALT)
استفاده از JWT یا OAuth2 در API ها
احراز هویت دومرحله ای (MFA) در صورت نیاز
مدیریت نقش ها (RBAC - Role Based Access Control)
زمان انقضای نشست (Expiration Time)
ذخیره کوکی ها به صورت HttpOnly و Secure
ایجاد مجدد شناسه نشست پس از ورود موفق
ذخیره رویدادهای امنیتی در لاگ ها (مانند لاگین، تلاش ناموفق، تغییر تنظیمات)
عدم نمایش خطاهای داخلی به کاربر نهایی (مثل stack trace)
لاگ ها باید رمزگذاری و دسترسی پذیری محدود داشته باشند
تست نفوذ (Penetration Test) توسط شرکت ثالث مورد تأیید افتا
تحلیل ایستا (Static Code Analysis) با ابزارهایی مثل SonarQube، Fortify
تحلیل پویا (Dynamic Code Analysis)
رمزنگاری داده های حساس (مثل رمز عبور، اطلاعات شخصی)
عدم نگهداری اطلاعات حساس در کلاینت (مرورگر یا اپلیکیشن موبایل)
حذف داده های موقتی بعد از اتمام پردازش
غیرفعال سازی endpointهای پیش فرض یا تست
حذف کتابخانه ها یا کامپوننت های بلااستفاده
به روزرسانی مداوم وابستگی ها و جلوگیری از استفاده از نسخه های آسیب پذیر
سند معماری نرم افزار
مدل تهدیدات (Threat Modeling)
گزارش تست های امنیتی (نفوذ و تحلیل کد)
سیاست های امنیتی و راهکارهای دفاعی پیاده شده
نحوه مدیریت کاربران، سطوح دسترسی و مجوزها
اگرچه دریافت گواهی افتا برای تمامی نرم افزارها الزامی نیست، اما در برخی پروژه های خاص—به ویژه در حوزه های دولتی یا سازمان هایی با حساسیت های امنیتی بالا—رعایت الزامات این گواهی ضروری است. شرکت دات نرم افزار این آمادگی را دارد که در صورت نیاز مشتری، پروژه های نرم افزاری را مطابق با استانداردها و الزامات گواهی افتا طراحی و پیاده سازی کند. این توانمندی به مشتریان اطمینان می دهد که راهکار نهایی از نظر امنیتی، منطبق بر معیارهای مورد تأیید مرکز افتا خواهد بود.
درباره این مطلب دیدگاهی بنویسید...
آدرس پست الکترونیک شما منتشر نخواهد شد.