زونکن اعتباری افتا برای تولیدکنندگان نرم‌افزار

به گزارش راهبرد معاصر ارزیابی اعتباری شرکت‌های تولیدکننده که به عنوان زونکن اعتباری هم شناخته می‌شود از موارد لازم در اخذ گواهی افتا است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته عسکرزاده، معاون توسعه و ارزیابی صنعت افتا، تکمیل زونکن اعتباری هم‌زمان با ارزیابی امنیتی توسط متقاضی قابل انجام است و در شروع روند ارزیابی توسط آزمایشگاه اطلاع‌رسانی می‌شود. همچنین در سایت سازمان فناوری اطلاعات هم جزئیات روند آن قابل مشاهده است.

عسکرزاده با تاکید بر موکول نکردن تهیه زونکن اعتباری به مرحله پایان فرایند صدور گواهی، بیان کرد: «متقاضیان اخذ گواهی افتا می‌توانند با شروع فرایند آزمایش، به طور هم‌زمان تهیه زونکن اعتباری را هم شروع کنند. چرا که پس از پایان ارزیابی آزمایشگاه، زونکن اعتباری هم باید به سازمان فناوری اطلاعات ارائه شود تا گواهی افتا صادر شود.»

وی درباره تفاوت تست نفوذ (OWASP) با گواهی افتا و امکان جایگزینی آن با گواهی افتا گفت: بخش زیادی از این روندها باهم اشتراک دارند؛ ولی لزوماً همه تست‌هایی که هنگام ارزیابی امنیتی گواهی افتا انجام می‌شود، در تست نفوذ انجام نمی‌شوند. برای مثال اینکه آیا لاگ متناسب در سیستم تولید می‌‏شود؟ آیا مدیریت دسترسی‌ها هم بررسی می‌شوند؟ در فرایند تست نفوذ معمولاً تست‌ها در حد کاربری با پایین‌ترین سطح دسترسی انجام می‌شود و بررسی‌ها برای کاربرهای با دسترسی بالاتر انجام نمی‌شود.

در ارزیابی امنیتی محصول رویکردهایی وجود دارد؛ یکی اینکه آیا محصول کارکردهای امنیتی لازم را دارد و دیگر اینکه آیا محصول دارای آسیپ‌پذیری است و آیا کارکردهای امنیتی به‌درستی در محصول پیاده شده‌اند. تست نفوذ تنها بخشی از این رویکردها را پوشش می‌دهد و به همین دلیل گواهی‌های تست نفوذ برای افتا قابل اتکا و مورد قبول نیست. تست نفوذ یک مرحله از کار است که در حداقل استانداردهای گواهی افتا نمی‌گنجد.

عسکرزاده در مورد میزان سخت‌گیری در نرم‌افزارها بسته به استفاده از آنها در زیرساخت‌های حساس و حیاتی، اظهار کرد: دسته‌بندی‌هایی در خصوص دستگاه‏‌ها طی ۱۵ سال اخیر وارد حوزه ادبیات امنیتی شده‌اند. در یک دسته‏‌بندی دستگاه‌ها به سه دسته حیاتی، حساس و مهم تقسیم شده که مورد استفاده سازمان پدافند است. در تقسیم‌بندی دوم، دستگاه‏‌ها به دو دسته دستگاه‌های زیرساختی و غیر زیرساختی تفکیک شده که در نظام پیشگیری و مقابله مورد استفاده قرار می‌گیرند. در ارزیابی امنیتی افتا، محصول مستقل از محیط کاربرد و منفک از محیط عملیاتی، ارزیابی می‌شود و این خود دستگاه استفاده‏‌کننده است که تصمیم می‌گیرد در کجا گواهی امنیت محصول نیاز است و در کجا نیازی به آن ندارد.

وی ادامه داد: بعد از انجام تغییرات جزئی و ارائه نسخه‌های جدید نرم‌افزار، فرایند ارزیابی مجدداً به‌طور کامل طی نمی‌شود و روند ارزیابی برای نسخ جدید نرم‌افزار این‌چنین نیست. در مرکز افتا، یک فرایند تداوم گواهی امنیت نرم‌افزار با عنوان سند تغییرات، پیش‌بینی شده است که مخصوص تغییر نسخ است. این سند هم با همکاری کمیسیون‌های نرم‌افزاری سازمان نظام صنفی رایانه‏‌ای قابل بازبینی است تا فرایند تمدید گواهی برای کسانی که تغییر نسخه دارند، آسان‌تر شود.

وی درباره این دغدغه که پر کردن مستندات لازم پر چالش است و مسئله اصلی که رفع باگ‌ها است در مقابل مستندسازی به مسئله فرعی تبدیل می‌شود، چنین گفت: ادبیات سند امنیتی که بر اساس استاندارد ۱۵۴۰۸ تبیین شده برای برخی شرکت‌های تولیدکننده نرم‌افزار روشن نبود. به همین دلیل برای قابل فهم‌تر شدن این سند و ساده‌تر کردن مستندسازی، در گام اول آن را به چهار سند تبدیل کردیم که همان سند را با ادبیات روان‌تری از شرکت‌ها بخواهیم. دوتا از آن سندها هم تک‌برگ هستند. یکی سند راهنمای محصول و یکی هم سند امنیتی که به چک‏‌لیست تبدیل شده است. گام دوم این ساده‌سازی را هم می‌توانیم با مشارکت سازمان نظام صنفی رایانه‌ای و آزمایشگاه‌ها برداریم. اگر روی چک‌لیست هم ابهاماتی وجود دارد، این آمادگی وجود دارد که ادبیات این سند هم با همکاری آزمایشگاه‌ها و کمیسیون‌های نرم‌افزاری سازمان نظام صنفی رایانه‌ای، روان‌تر و آشناتر شود. همچنین در مرکز افتا این آمادگی برای شرح فرایند ارزیابی و همچنین آموزش پیاده‌سازی الزامات امنیتی در محصول، وجود دارد. تا از این طریق، این موضوع که در هر بند از الزامات امنیتی دقیقا چه چیزی نیاز است، روشن‌تر شود.

وی درباره نیاز بسیاری از شرکت‌ها به آموزش در بخش مستندسازیو اینکه گاهی مستندات توسط خود آزمایشگاه تکمیل می‌شود که شائبه تضاد منافع را ایجاد می‌کندف بیان کرد: ما در مرکز افتا، استفاده از مشاوره آزمایشگاه را برای تهیه اسناد اصلاً پیشنهاد نمی‌کنیم؛ به جای آن توصیه می‌کنیم آزمایشگاه‌ها دوره توسعه امن نرم‌افزار را برگزار کنند. رویکرد درست این است که شرکت‌ها به بلوغ لازم برای تکمیل اسناد برسند. آموزش فرایند و شرح کلیات روند ارزیابی، توسط مرکز افتا انجام می‌شود و برای نحوه تکمیل مستندات هم در حال صدور مجوز آموزش برای آزمایشگاه هستیم. در کل هم باید به سمت توسعه امن نرم‌افزار حرکت کنیم و می‌توانیم با کمک معاونت علمی و فناوری ریاست جمهوری، و سازمان نظام صنفی رایانه‌ای توسعه آموزش و بلوغ شرکت‌ها در حوزه امنیت نرم‌افزار را افزایش دهیم.

معاون توسعه و ارزیابی صنعت افتا درباره دلیل صادر نکردن گواهی نسبی برای محصولاتی که درصدی از مسیر ارزیابی امنیتی را با موفقیت طی کرده‌اند، توضیح داد: ارزیابی مرکز افتا، یک ارزیابی امنیتی است. اگر این ارزیابی در مورد کیفیت و کارایی بود امکان سطح‌بندی بیشتری وجود داشت. ولی چون مأموریت افتا ارزیابی امنیتی است، تنها دو نقطه امن و ناامن وجود دارد و میانه این طیف نمی‌توان نقطه‌ای برای امنیت تعریف کرد. البته در این موضوع هم می‌توانیم با همکاری کمیسیون‏‌های سازمان نظام صنفی رایانه‏‌ای پیشنهادهایی را جمع‌آوری و ارائه کنیم.

افتانا