امنیت

مجوز افتا چیست؟

بررسی چالش‌ها، مزایا و دغدغه‌های فعالان صنعت نرم‌افزار

تصویر رادنت رادنت۳ ساعت پیش
38 خواندن این مطلب 6 دقیقه زمان میبرد

مجوز افتا چیست؟

مجوز افتا (امنیت فضای تولید و تبادل اطلاعات) یکی از مجوزهای تخصصی حوزه امنیت سایبری کشور است که توسط نهادهای متولی این حوزه صادر می‌شود و هدف از آن، ایجاد اطمینان نسبت به صلاحیت شرکت‌ها و محصولات در زمینه امنیت اطلاعات، خدمات پشتیبانی و ارائه راهکارهای امنیتی است.

در سال‌های اخیر، دریافت مجوز افتا به یکی از الزامات حضور بسیاری از شرکت‌ها در مناقصات دولتی و پروژه‌های سازمانی تبدیل شده است. با این حال، کارآمدی و نحوه اجرای این فرآیند همواره محل بحث میان کارشناسان، تولیدکنندگان نرم‌افزار و فعالان صنعت فناوری اطلاعات بوده است.

اهداف تعریف‌ شده برای مجوز افتا

در نگاه کلان، اهداف ایجاد نظام مجوزدهی افتا عبارت‌اند از:

  • ارتقای امنیت سایبری کشور
  • ارزیابی صلاحیت شرکت‌های فعال در حوزه امنیت اطلاعات
  • ایجاد استانداردهای مشخص برای محصولات و خدمات
  • افزایش اعتماد سازمان‌ها و دستگاه‌های دولتی
  • کاهش ریسک‌های امنیتی در زیرساخت‌های حیاتی

اما سؤال مهمی که طی سال‌های اخیر توسط بخش خصوصی مطرح شده این است که:

آیا فرآیند فعلی صدور مجوز افتا توانسته به این اهداف دست پیدا کند؟

مهم‌ترین چالش‌های دریافت مجوز افتا

۱. طولانی بودن فرآیند دریافت مجوز

یکی از مهم‌ترین انتقاداتی که توسط فعالان صنعت مطرح شده، زمان‌بر بودن فرآیند ارزیابی و صدور مجوز است.

در برخی موارد، دریافت مجوز ممکن است ماه‌ها زمان ببرد. این موضوع برای شرکت‌های نرم‌افزاری که قصد شرکت در مناقصات یا اجرای پروژه‌های جدید را دارند، مشکلات متعددی ایجاد می‌کند.

نتیجه این موضوع می‌تواند شامل موارد زیر باشد:

  • توقف توسعه کسب‌وکار
  • از دست رفتن فرصت‌های قراردادی
  • افزایش هزینه‌های مالی شرکت‌ها
  • بلاتکلیفی تیم‌های فنی

۲. نبود شفافیت کافی در فرآیندهای ارزیابی

به اعتقاد بسیاری از اعضای سازمان نظام صنفی رایانه‌ای، یکی از مهم‌ترین مشکلات موجود، عدم شفافیت کافی در فرآیند ارزیابی امنیتی محصولات و شرکت‌ها است.

در برخی موارد، شرکت‌ها نمی‌دانند:

  • معیارهای ارزیابی دقیقاً چیست؟
  • چرا یک محصول نیازمند اصلاحات متعدد شده است؟
  • اولویت‌های ارزیابان بر چه اساسی تعیین می‌شود؟

این موضوع موجب افزایش سردرگمی و طولانی شدن فرآیند اخذ مجوز می‌شود.

۳. همخوانی نداشتن استانداردهای جدید با محصولات قدیمی

بسیاری از نرم‌افزارهای سازمانی کشور طی سال‌های گذشته توسعه یافته‌اند.

الزام این محصولات به رعایت استانداردهای جدید، بدون در نظر گرفتن شرایط فنی و معماری اولیه آن‌ها، هزینه‌های سنگینی را به تولیدکنندگان تحمیل می‌کند.

در برخی موارد، بازطراحی کامل یک محصول برای انطباق با الزامات جدید، از نظر اقتصادی توجیه‌پذیر نیست.

۴. کمبود ظرفیت آزمایشگاه‌های ارزیابی

یکی دیگر از دغدغه‌های شرکت‌ها، صف‌های طولانی در آزمایشگاه‌های ارزیابی امنیتی است.

افزایش تعداد متقاضیان و محدود بودن ظرفیت مراکز ارزیابی باعث شده است:

  • زمان بررسی‌ها طولانی شود.
  • هزینه‌های شرکت‌ها افزایش یابد.
  • پروژه‌های سازمانی با تأخیر مواجه شوند.

۵. کمبود نیروی متخصص

صنعت امنیت سایبری در سراسر جهان با کمبود نیروی متخصص مواجه است و ایران نیز از این قاعده مستثنی نیست.

کمبود کارشناسان امنیتی و ارزیابان، فشار مضاعفی بر آزمایشگاه‌ها و شرکت‌های متقاضی وارد کرده است.

آیا مجوز افتا لزوماً به معنای امنیت بیشتر است؟

برخی از کارشناسان و فعالان صنفی معتقدند که وجود مجوز، الزاماً تضمین‌کننده امنیت واقعی محصولات نیست.

امنیت سایبری یک فرآیند مستمر است و صرف دریافت یک گواهی یا مجوز نمی‌تواند جایگزین موارد زیر شود:

  • Secure SDLC
  • کدنویسی امن (Secure Coding)
  • تست نفوذ دوره‌ای
  • مدیریت آسیب‌پذیری‌ها
  • به‌روزرسانی مستمر
  • مانیتورینگ امنیتی
  • آموزش تیم‌های توسعه

به همین دلیل، بسیاری از متخصصان معتقدند امنیت، یک «فرهنگ سازمانی» است و نه صرفاً یک مجوز.

اصلاحات انجام شده در سال‌های اخیر

بر اساس پیگیری‌های سازمان نظام صنفی رایانه‌ای و تعامل با نهادهای متولی، برخی اصلاحات در فرآیندها صورت گرفته است:

حذف آزمون و مصاحبه مجوز نصب و پشتیبانی

متقاضیان این حوزه اکنون می‌توانند با ارائه مستندات و طی ارزیابی اعتباری، فرآیند اخذ مجوز را طی کنند.

بهبود فرآیند تمدید مجوز

در گذشته با انقضای مجوز، نام شرکت‌ها از فهرست رسمی حذف می‌شد و فعالیت آن‌ها عملاً با مشکل مواجه می‌گردید.

در حال حاضر، وضعیت «در حال تمدید» تعریف شده و امکان تمدید پیش از انقضا فراهم شده است.

برگزاری منظم‌تر آزمون‌ها

آزمون‌های مرتبط به‌صورت آنلاین و با نظم بیشتری نسبت به گذشته برگزار می‌شوند.

این اقدامات، هرچند باعث تسهیل نسبی فرآیندها شده‌اند، اما همچنان بسیاری از فعالان صنعت معتقدند که اصلاحات ساختاری بیشتری مورد نیاز است.

آیا نداشتن مجوز افتا به معنای ناامن بودن نرم‌افزار است؟

خیر.

همان‌طور که داشتن مجوز افتا لزوماً تضمین‌ کننده امنیت مطلق نیست، نداشتن آن نیز به معنای ناامن بودن یک محصول یا شرکت نیست.

کیفیت امنیت یک نرم‌افزار به عوامل متعددی بستگی دارد:

  • معماری نرم‌افزار
  • رعایت اصول Secure Coding
  • تست‌های امنیتی مستمر
  • مدیریت آسیب‌پذیری‌ها
  • استفاده از استانداردهای OWASP
  • وجود تیم‌های متخصص امنیت
  • فرآیندهای توسعه نرم‌افزار

بنابراین، در ارزیابی یک شرکت نرم‌افزاری، صرفاً وجود یا عدم وجود یک مجوز نباید تنها معیار تصمیم‌گیری باشد.

مراحل اخذ مجوز افتا به صورت تصویری :

نگاه جهانی به امنیت نرم‌افزار

در بسیاری از کشورهای توسعه‌یافته، تمرکز اصلی بر روی:

  • Secure Development Lifecycle (SDLC)
  • استاندارد ISO 27001
  • OWASP ASVS
  • DevSecOps
  • تست نفوذ مستمر
  • مدیریت ریسک

قرار دارد و کمتر شاهد وابستگی امنیت به یک مجوز واحد هستیم.

امنیت سایبری، مفهومی پویا و مستمر است که نیازمند فرآیندهای دائمی و بهبود مستمر می‌باشد.

جمع‌بندی

مجوز افتا با هدف ارتقای امنیت فضای تبادل اطلاعات کشور ایجاد شده است و در بسیاری از پروژه‌های دولتی و سازمانی نقش مهمی ایفا می‌کند.

با این حال، فعالان بخش خصوصی و سازمان نظام صنفی رایانه‌ای طی سال‌های اخیر، چالش‌هایی نظیر:

  • طولانی بودن فرآیندها
  • نبود شفافیت کافی
  • محدودیت ظرفیت آزمایشگاه‌ها
  • هزینه‌های تحمیل‌شده به تولیدکنندگان
  • عدم همخوانی برخی الزامات با واقعیت‌های فنی محصولات

را مطرح کرده‌اند و خواستار اصلاح و بهینه‌سازی این نظام ارزیابی شده‌اند.

در نهایت، آنچه امنیت واقعی را تضمین می‌کند، بیش از هر چیز، وجود فرآیندهای توسعه امن، نیروی انسانی متخصص، تست‌های مستمر و فرهنگ امنیت در سازمان‌ها است؛ موضوعی که بسیاری از متخصصان امنیت سایبری آن را مهم‌تر از اتکا به یک مجوز یا گواهی واحد می‌دانند.

وب سایت افتا (afta.gov.ir) به‌عنوان مرجع رسمی اطلاع‌رسانی، آخرین اخبار، آیین‌نامه‌ها و فهرست شرکت‌های دارای گواهینامه افتا را منتشر می‌کند. از طریق این سایت می‌توانید مراحل درخواست، مدارک لازم و فرم‌های مربوط به اخذ تأییدیه افتا را مشاهده کنید.

سوالات متداول

مجوز افتا چیست؟

مجوزی برای ارزیابی صلاحیت شرکت‌ها و محصولات حوزه امنیت اطلاعات است.

آیا داشتن مجوز افتا امنیت نرم‌افزار را تضمین می‌کند؟

خیر. امنیت یک فرآیند مستمر است و به عوامل فنی متعددی وابسته است.

مهم‌ترین مشکلات دریافت مجوز افتا چیست؟

طولانی بودن فرآیندها، نبود شفافیت، کمبود ظرفیت آزمایشگاه‌ها و هزینه‌های بالا.

آیا بدون مجوز افتا می‌توان نرم‌افزار امن تولید کرد؟

بله. رعایت اصول مهندسی نرم‌افزار، کدنویسی امن و تست‌های مستمر نقش مهم‌تری در امنیت دارند.

آیا فرآیندهای صدور مجوز افتا در حال بهبود هستند؟

بله. در سال‌های اخیر برخی اصلاحات توسط نهادهای متولی و با پیگیری سازمان نظام صنفی رایانه‌ای انجام شده است، اما فعالان صنعت همچنان خواهان بازنگری‌های گسترده‌تر هستند.

بهناز آریا، رئیس کمیسیون صنعت افتا در سازمان نظام صنفی رایانه ای استان تهران معتقد است:
مجوز افتا از منظر امن سازی کارآمد نیست و موجب ارتقا و بهبود امنیت سایبری نشده است. به همین روی برای تسهیل دریافت مجوزو بهینه سازی فرآیند و کارآمدی آن، دو گروه از اقدامات را در نظر گرفته ایم؛ یک گروه از اقدامات کوتاه مدت و برخی اقدامات بلندمدت را در دست اقدام داریم تا مشکلات شرکت ها در فرآیند دریافت مجوز افتا رفع شود.
در سری اقدامات کوتاه مدت تلاش کرده ایم تا پروسه چندماهه دریافت مجوز افتا کوتاه تر و تسهیل شود

مجوز افتا برای نصب و پشتیبانی نرم افزار
در حوزه مجوز نصب و پشتیبانی که متقاضیان بسیاری داشته، تعدد و تنوع شرکت هایی که متقاضیان این مجوز بودند بسیار زیاد بوده و این امر آنها را دچار مشکل می کرده است. از همین رو طبق رایزنی ها و پیگیری هایی که انجام دادیم، آزمون و مصاحبه این مجوز از ابتدای بهم نماه حذف شد. شرکتهای متقاضیِ مجوز نصب و پشتیبانی اکنون با ارائه مستندات و طی کردن ارزیابی اعتباری می توانند روال دریافت مجوز را طی کرده و آن را اخذ کنند.

تمدید مجوز افتا
از دیگر موارد انجام شده موضوع تمدید مجوز بود؛ یکی از معضلات شرکت ها در گذشته این بود که وقتی مجوزشان منقضی میشد نامشان از روی سایت حذف شده و نمی توانستند در مناقصهشرکت کرده، مطالباتشان را دریافت کنند و یا پروژه ای انجام دهند و عملا کسب وکار متوقف می شد. اکنون طبق توافقی که صورت گرفته شرکت هایی که در زمان مقرر یعنی حداکثر دو ماه پیش از انقضای مجوز اقدام به تمدید آن کنند و مستنداتشان تکمیل و تأیید شود، اسمشان از روی سایت حذف نشده و حالت مجوز به در حال تمدید تغییر م یکند و امکان شروع فرآیند تمدید نیز هماکنون ماه ها پیش از انقضا باز و فراهم است.
عضو هیئت مدیره سازمان نظام صنفی رایانه ای استان تهران تأکید می کند: «در آزمون ها نیز مشکلاتی برای متقاضیان و برگزاری این آزمون ها وجود داشت؛ اکنون توسط سازمان فناوری اطلاعات و همکاری پژوهشگاه فناوری اطلاعات برگزار می شود. این آزمون ها عملا به صورت آنلاین بوده و حتی در روزهای پنجشنبه و جمعه ها نیز برگزار می شود؛ چراکه تعداد متقاضیان بسیار زیاد است و اجرای آن نسبت به گذشته منظم تر شده و روال بهتری یافته است. اگرچه برگزاری آزمون همچنان باید بهبود یابد، اما هم نظم و هم روال آن بهتر شده است.

سیدمجید اورعی، عضو هیئت مدیره و رئیس کمیسیون نرم افزارهای پیشرفته سازمانی نصر تهران، عدم شفافیت در فرآیندهای ارزیابی امنیتی محصولات را مهمترین عامل بروز مشکلات در دریافت مجوز افتا میداند. او بر این باور است که این عدم شفافیت باعث سردرگمی شرکتهای متقاضی و تأخیر در صدور مجوزها میشود. اورعی همچنین از معضلات مرتبط با استانداردهای دریافت مجوز برای محصولات قدیمی، مشکلات آزمایشگا ههای بررسی محصولات و نبود حمایت کافی از تولیدات بومی در حوزه امنیت سایبری سخن می گوید و بر لزوم بهبود فرآیندها و حمایت از محصولات داخلی تأکید می کند.

دانلود اصل مقاله سازمان نظام صنفی در خصوص مجوز افتا

برچسب ها
تصویر رادنت رادنت۳ ساعت پیش
38 خواندن این مطلب 6 دقیقه زمان میبرد
تصویر رادنت

رادنت

شرکت فناوری اطلاعات رادنت آتیه با شماره ثبت 463995 و شماره ملی 14004568814 از سال 1389 فعالیت خود را در تشکیل و جمع آوری تیم نرم افزاری از دانشگاه های رتبه اول کشور آغاز نمود و بعد از انجام چندین پروژه موفق و مشاوره های سودمند به دولت خدمتگذار و به منظور پاسخدهی کلان نرم افزاری اقدام به ثبت نام رادنت در روزنامه رسمی نمود.

نوشته های مشابه

راهنمای جامع تست نفوذ نرم‌افزارهای تحت وب بر اساس آخرین استانداردهای امنیتی دنیا

۳ روز پیش

امنیت نرم افزارهای تحت وب

۵ روز پیش

فایروال‌های سخت‌افزاری و نرم‌افزاری برای حفاظت از نرم‌افزارهای تحت وب

۳ روز پیش

مدرک CEH چیست و چرا داشتن آن برای کارشناسان امنیت اهمیت دارد؟

۳ روز پیش