27/08/1403  
 
سه شنبه, ۳۱ مرداد ۱۳۹۱ ۱۵:۰۳ ۳۹
چچ

نرم‌افزارها و شرکت‌های امنیتی رتبه‌بندی می‌شوند

حمله بدافزارهای فلیم، وایپر و مدی چند ماهه نخست سال جاری را در تقویم حملات سایبری کشور ماندگار و بخش امنیتی کشور را نیز دستخوش فراز و نشیب‌های بسیاری کرد آنچنانکه مرکز ماهر نیز مجبور به اظهار نظر و واکنش نسبت به این حملات شد.

بهناز آریا رییس کمیسیون افتا با بیان اینکه حملات سایبری اخیر هشداری به مسئولان بود تا امنیت را جدی بگیرند، گفت:«برای دفع خطرات حمله‌های سایبری کمیسیون افتا با مرکز ماهر و پلیس فتا ارتباط خوبی داشت ضمن اینکه شرکت‌های خصوصی نیز از این رهگذر فرصتی یافتند تا با مرکز ماهر همکاری کنند و به تبادل اطلاعات بپردازند و همچنین فضا برای فعالیتشان مساعدتر از گذشته شده است.»

به جای ممنوعیت واردات،‌ ساماندهی می‌کنیم

از سوی دیگر رضا تقی‌پور وزیر فناوری اطلاعات و ارتباطات کشور اسفند سال گذشته با اظهار نظر خود مبنی بر ممنوعیت ورود نرم‌افزارهای امنیتی خارجی به کشور بازار شرکت‌های ارائه کننده محصولات و خدمات ضد بدافزارهای خارجی را دچار شوک کرد.

کمیسیون افتای سازمان نظام صنفی رایانه‌ای نیز به همراه سازمان فناوری اطلاعات بر آن شد کارگروهی برای ساماندهی شرکت‌های عرضه کننده محصولات و خدمات امنیتی خارجی و تعیین ملاک‌های ارزیابی راه‌اندازی کند.

آریا با بیان اینکه دوره اول فراخوان برای جذب شرکت‌های فعال به اتمام رسیده است،‌گفت:«در مرحله بعد از شرکت‌ها درخواست می‌کنیم مستنداتشان را ارائه کنند تا در نهایت بر اساس معیارهایی که به سازمان فناوری اطلاعات پیشنهاد خواهد شد و آنها تایید می‌کنند شرکت‌ها و برندها را رتبه‌بندی می‌کنیم.»

او با اشاره به اینکه سازمان فناوری اطلاعات وظیفه احراز صلاحیت شرکت‌ها را به عهده دارد، افزود:«معیارهایی که کمیسیون افتا پیشنهاد کرده در خصوص شرکت‌ها پیرامون توانمندی و دانش تخصصی و مالی به همراه خدمات پشتیبانی که عرضه می‌کنند متمرکز است.»

رییس کمیسیون افتا در خصوص معیارهای رتبه‌بندی ضدبدافزارها گفت:«به روزرسانی، نحوه پشتیبان‌گیری نرم‌افزار و توجه به اینکه چه Logهایی را نگهداری می‌کند و ... از سوی کمیسیون پیشنهاد داده شد.»

این در شرایطی است که سازمان‌ها و نهادهای دولتی نیز بسته به میزان حساسیت‌هایشان طبقه‌بندی می‌شوند و دستگاه‌هایی که از اهمیت بالاتری برخوردار هستند ملزم به خرید نرم‌افزارهای امنیتی که در رتبه‌بندی‌ها حایز همه شرایط حفاظتی باشند خواهند بود.

آزمایشگاه‌های CERT

آریا با بیان اینکه بحث آزمایشگاه‌های امنیت را تحت کارگروهی در کمیسیون افتا پیگیری می‌کنیم،‌ افزود:«در حال حاضر با توجه به اینکه تنها آزمایشگاهی که توان لازم برای انجام آزمایش‌های مختلف را دارد، آزمایشگاه مرکز تحقیقات صنایع انفورماتیک است اما ما نیازمند آزمایشگاه‌های بیشتر با ملاک‌های دقیق‌تر هستیم.»

او در ادامه افزود:«هرچند اکنون قصد راه‌اندازی آزمایشگاه جدید را نداریم و بیشتر به دنبال بررسی و بهبود وضعیت‌ها هستیم. همینطور شرکت‌هایی که تجهیزات را برای آزمایش به آزمایشگاه می‌فرستند نیازمند آموزش هستند.»

استانداردسازی قراردادها

آریا با بیان اینکه قراردادهای حوزه امنیت باید استاندارد سازی شود گفت:«قصد داریم بندهایی را در قراردادهای شرکت‌ها چه با پیمانکار چه با کارمندان تدوین کنیم تا امنیت اطلاعات و فرآیندهای شرکت تامین شود. مانند قرارداد عدم افشا، حفظ محرمانگی و ...»

به گفته وی در این مرحله قید این بندها در قراردادها اختیاری است و برای الهام گرفتن شرکت‌ها و پیمانکاران در اختیار آنها قرار می‌گیرد اما در مرحله بعدی بندهایی را جزو الزامات قراردادها در نظر گرفته می‌شود.

آدرس کوتاه شده: