چند وقتی است که یکی از مشتری ها، پول ما را نمی دهد چون محصول ما گواهی نامه امنیتی «افتا» ندارد. اما این افتا چیست؟ از کجا آمده و چطور می شود گواهی آن را گرفت؟
مشکل سال قبل ما این بود که OWASP را تا سطح مورد نظر مشتری اجرا نکرده بودیم. همان وقت شروع کردیم به پیاده سازی OWASP و تیک زدن موارد آن. اما تا آمدیم گواهی آن را از یکی از دانشگاه ها بگیریم، گفتند که این استاندارد را دیگر قبول ندارند و باید «افتا» بگیریم.
افتا سر نام «امنیت و فضای تبادل اطلاعات» و گاهی اوقات «امنیت و فضای تولید و تبادل اطلاعات» بوده و «مرکز مدیریت راهبردی افتای ریاست جمهوری» که متولی گواهی نامه امنیتی افتا است، یکی از زیر مجموعه های ریاست جمهوری به آدرس www.afta.gov.ir است. این مرکز نظام های مختلفی برای خدمات، محصولات و شرکت های فعال در حوزه نرم افزار، شبکه، اینترنت و امنیت اطلاعات در نظر گرفته که سه تا از آنها مستقیما در حوزه کاری توسعه دهندگان نرم افزار قرار می گیرد:
- برنامه هاي کاربردي تحت شبکه
- برنامه کاربردی
- سامانه مدیریت محتوی/پرتال
اولین باری که راجع به افتا و گواهی نامه امنیتی آن شنیدم کلی سوال برام ایجاد شد که این افتا چیست و نکند از آن آش شله قلم کارهایی باشد که یک عده ای دور هم جمع شده اند و یک استاندارد برای خودشان طراحی کرده اند که بگویند ما هم این کاره ایم. در واقع با زیر و رو کردن سایت و فایل های موجود و اطلاعاتی که از شرکت ارزیاب به دستم رسیده بود تا همین دیروز هم فکر می کردم با یک چیز تخیلی طرف هستیم. ترجمه های تمام فارسی و بدون ارجاع هم مزید علت بود. البته به نظر می رسد که مرکز افتا و اداره ارزیابی امنیتی سازمان فناوری اطلاعات هم عامدانه اسم استاندارد اصلی را در وب سایت های خودشان حذف و تنها در یکی دو جای معدود، ترجمه فارسی نام مستعار استاندارد آمده، آن هم بدون ذکر پیشینه و تاریخچه آن. البته در مقدمه پروفایل های حفاظتی به نام اصلی استاندارد اشاره شده که آن هم به نظر من جای شفاف سازی و توضیح بیشتری دارد.
به هر تقدیر بعد از آن که کلی حسرت OWASP را خوردم و مقدار زیادی فایل از دو سازمان مرتبط دانلود کردم فهمیدم که این ارزیابی بر اساس استاندارد ISO 15408 معروف به Common Criteria است که در مستندات با عنوان «معیار مشترک» به آن اشاره شده بود. علی الظاهر، اجرای این استاندارد به تعداد زیادی Protection Profile منجر می شود که سه تا آنها کمی بالاتر ذکر شد. چیزی که هنوز در مورد پروفایل های حفاظتی نفهمیدم این است که آیا خود استاندارد آنها را تعریف می کند یا این که تدوین آن به ادارات ملی کشورها واگذار شده است. به عبارت دیگر خیلی دوست دارم بدانم که پروفایل های لیست شده در سایت اداره ارزیابی امنیتی مختص ایران است فقط یا این که یک استاندارد بین المللی هم درباره آنها وجود دارد.
دیدن این لینک هم خالی از فایده نیست.