اخذ مجوزهای امنیتی برای کسب‌و‌کارهای بخش خصوصی ساده می‌شود

در مراسم صدور گواهی مشترک در حوزه‌ی ارزیابی امنیتی‌پدافندی محصولات فتا مقرر شد کسب‌وکارهای بخش خصوصی به‌جای دریافت سه مجوز امنیتی از سازمان‌های فناوری اطلاعات و پدافند غیرعامل و افتای ریاست‌جمهوری، تنها یک گواهی اخذ کنند که به‌منزله‌ی گرفتن تأیید از هر سه‌ی این سازمان‌ها تلقی می‌شود.

امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات، در این مراسم اذعان کرد پس از حوادث امنیتی که اخیرا در کشور رخ داده، دولت تصمیم گرفته است در امر حریم خصوصی داده‌های کاربران فضای مجازی دخالت کند و با ایجاد قوانینی برای شرکت و سازمان‌ها درزمینه‌ی دریافت گواهی‌های امنیتی لازم اقدامات لازم را انجام دهد.

ناظمی رویکردهای دولت برای ورود به مسئله‌ی ارزیابی محصولات افتا را در پنج راهبرد تشریح کرد. برمبنای این راهبردها کمترین آسیب از مداخله‌ی دولت به کسب‌وکارها وارد می‌شود و امور آن‌ها بیش‌ازپیش تسهیل می‌یابد.

• ‌‌‌‌سطح صفر: کسب‌و‌کارهایی که هنوز در ابتدای فعالیت خود هستند، سطح صفر محسوب می‌شوند و به دریافت گواهی نیازی ندارند. با گسترش بیشتر میزان فعالیت و نیاز به افزایش سطح امنیتی، کسب‌و‌کار به دریافت گواهی‌های بیشتر و سختگیرانه‌تری نیاز پیدا می‌کند.
• استقلال حداکثری از دولت: ۶ آزمایشگاه مستقل برای ارزیابی عملکرد سامانه و نرم‌افزارها در نظر گرفته شده که باید به دولت گزارش دهند. به‌گفته‌ی معاون وزیر ارتباطات، استقلال از دولت باعث کم‌شدن میزان فساد و افزایش سلامت اداری نیز می‌شود.
• یکپارچگی نهادی: به‌منظور بی‌نیازی از مراجعات متعدد به سازمان‌های مختلف برای دریافت مجوز. دولت باید با کمترین میزان مداخله بتواند بیشترین میزان هماهنگی بین سازمانی را فراهم کند و درعین‌حال، فرایند کار مشخص باشد و برای کسب‌و‌کار مزاحمت بیشتری در مسیر اخذ مجوز به‌وجود نیاید.
• ایجاد تنوع در گواهی‌نامه‌های امنیتی: در حال حاضر گواهی‌های یکسانی به کسب‌وکارها اعطا می‌شود درحالی‌که کسب‌و‌کارها به دریافت گواهینامه‌های متفاوتی نیاز دارند و به‌مرورزمان باید براساس نیاز شهروندان و کاربرد اپلیکیشن، مجوزهای متنوعی اعطا شود.
• کاهش هزینه مالی و زمانی: با یکپارچه‌تر‌کردن اخذ مجوز می‌توان از هزینه‌ای کاست که به کسب‌و‌کارها برای سودبردن از آن وارد می‌آید.

ابوالقاسم صادقی، معاون فناوری اطلاعات سازمان فناوری اطلاعات، در این مراسم تعداد گواهی‌های امنیتی صادرشده از سال ۱۳۹۲ برای محصولات بومی در حوزه‌ی ارزیابی امنیت را ۷۳ مورد اعلام کرد. از این تعداد، ۵۰ گواهی دارای اعتبار و ۱۱ مورد در حال تمدید و ۱۲ مورد نیز منقضی ‌شده‌اند. حوزه‌ی این گواهی‌ها ۱۸ مورد تجهیزات شبکه و ۲۵ مورد برنامه‌های کاربردی و ۷ مورد ارزیابی و رمزنگاری است. 

رئیس سازمان فناوری اطلاعات همچنین از تدوین آئین‌نامه‌ای برای ارزیابی امنیتی محصولات خارجی درکنار محصولات بومی خبر داد. به‌گفته‌ی ناظمی آئین‌نامه‌ی مربوطه به رگولاتوری ارسال شده و تا ماه آینده در کمیسیون تنظیم مقررات تصویب می‌شود.

با افزایش تعداد اپلیکیشن‌های بومی از ۴۸۰ مورد در سال ۹۲ به ۳۴۵ هزار مورد، دولت نیازمند ابزار شناسایی تعداد نصب است. به همین منظور، ناظمی از صدور آئین‌نامه‌ای برای دریافت گواهی امنیتی این اپلیکیشن‌ها در آینده‌ی نزدیک خبر داد.‌ ناظمی در پاسخ سوالی به تک تایمز گفت:

در این حوزه هنوز جای خالی نبود قانون احساس می‌شود. با وجود اینکه برخی شرکت‌ها و کسب‌وکارها در حوزه‌ی امنیت سایبری همراه سازمان فناوری هستند و گزارش‌هایی را برای افتا، فتا و مرکز ماهر ارسال می‌کنند، ما همچنان شاهد بی‌مبالاتی‌هایی از سوی سازمان‌ها و شرکت‌هایی هستیم که باعث درز اطلاعات می‌شود.

رضا جواهری، رئیس مرکز مدیریت راهبردی افتا، نیز در این جلسه از تدوین سند راهبردی افتا برای تسهیل شرایط کسب‌وکارها در سال ۸۴ سخن گفت؛ مطابق این سند، ساماندهی و اعتباربخشی به بخش خصوصی مورد بررسی قرار گرفت. در سال ۹۴ نیز در توافق با سازمان حراست کل تصمیم گرفته شد شرکتی که گواهی افتا را گرفته، حراست دستگاه آن را استعمال کند و دریافت مجوز برای کسب‌و‌کار ساده‌تر شود. سازمان حراست کل این تصمیم را به تمام دستگاه‌ها ابلاغ کرد و مدت زمان آن که یک ساله بود، به دو سال تعمیم پیدا کرد.