گواهینامه افتا چیست؟ و چرا برای محصولات نرم افزاری داشتن مجوز افتا ضروری است؟

شرکت تارگان موفق شد در تابستان 1401 گواهی ارزیابی امنیتی محصول را پس از طی مراحل مختلفی از تست‌های فنی و امنیتی نرم افزار، از سوی «سازمان فناوری اطلاعات ایران» و «امنیت فضای تولید و تبادل اطلاعات (افتا)» برای نسخه 5.6 نرم افزار مدیریت محتوای خود دریافت نماید.

در نظام ارزیابی امنیتی محصولات فتا، یكی از اسناد مورد نیاز برای انجام آزمون امنیتی، سند هدف امنیتی است. بر اساس استاندارد معیار مشترك (CC) سند هدف امنیتی مبتنی بر اسنادی كه پروفایل حفاظتی نام دارند، تهیه و تدوین می‌گردد. پروفایل‌های حفاظتی حاوی الزامات امنیتی هستند كه در یك محصول افتایی می‌بایست رعایت گردد. از آنجا كه متن این پروفایل‌ها پیچیده بوده، تهیه سند هدف امنیتی برای تولیدكننده كاری زمان‌بر است، ساده‌سازی الزامات امنیتی موجود در پروفایل‌های حفاظتی به نحوی كه برای تولیدكننده مشخص شود كه چه مواردی امنیتی باید در یك محصول خاص رعایت شود، بسیار مفید خواهد بود.
در این راستا مركز افتا و سازمان فناوری اطلاعات ایران با همكاری آزمایشگاه‌های ارزیابی امنیتی، به منظور چابك‌سازی فرآیند ارزیابی امنیتی، «سند الزامات امنیتی» را جایگزین پروفایل‌های حفاظتی نموده است. هدف از سند الزامات امنیتی، ساده‌سازی مفاهیم الزامات مطرح شده در پروفایل‌های حفاظتی و نیز كمك به تولیدكننده در جهت سرعت بخشیدن به تدوین سند هدف امنیتی است. سند پیشرو حاوی الزامات امنیتی «پروفایل حفاظتی برنامه‌های كاربردی تحت شبكه» كه سعی شده است تا حد ممكن ساده و قابل فهم گردد، است. این سند دو هدف را دنبال می‌كند. اول آنكه موارد امنیتی را كه باید در محصول رعایت شود (تا منجر به دریافت گواهی امنیتی گردد) برای تولیدكننده مشخص نماید و ثانیاً، تدوین سند هدف امنیتی را كه كاری زمان‌بر است را برای تولیدكننده سریع و آسان نماید.
شما می توانید سند الزامات امنیتی را از اینجا دانلود کنید.

در سال‌های گذشته بسیاری از شرکت‌های ارائه دهنده سامانه‌های نرم‌افزاری مختلف با پرداخت هزینه‌های کلان، گواهی‌نامه‌های به ظاهر امنیتی تهیه می‌کردند، در حالی که سامانه‌های مذکور فاقد استاندارد‌های امنیتی لازم بودند و همین امر موجب شد تا خسارات بسیار سنگینی به زیرساخت‌های کشور و همچنین سازمان‌ها و نهاد‌های دولتی وارد شود؛ تاجایی که بعضاً در خبرها شاهد حملات گاه و بیگاه هکرها به سامانه های سازمان ها و نهادها و لو رفتن اسناد و داده های مختلف مربوط به کاربران و دولت ها بودیم. در همین راستا، سازمان فناوری اطلاعات ایران با همکاری مشترک با سازمان امنیت فضای تولید و تبادل اطلاعات (افتا)، در راستای دستیابی به یک استاندارد امنیتی ملی برای حفظ امنیت سامانه‌های نرم‌افزاری، گواهی ارزیابی امنیتی محصول یا همان افتا را ایجاد نمود. «افتا» مخفف عبارت «امنیت فضای تولید و تبادل اطلاعات» می‌باشد و گواهی افتا، مجوزی است که از سمت مرکز مدیریت راهبردی افتا ریاست جمهوری (مرکز افتا) و سازمان فناوری اطلاعات ایران، اعطا می‌گردد. این مجوز در راستای طرح ارزیابی امنیتی افتا شکل گرفته است. شایان ذکر است که گواهی نامه افتا با نام‌های دیگری مانند مجوز افتا، گواهی افتا، گواهی ارزیابی امنیتی و… نیز شناخته می‌شود.

در ابتدا باید به این نکته اشاره کنیم که دریافت گواهی افتا به معنای برتر بودن خدمات و سرویس‌ها نیست، بلکه صرفا نشان دهنده‌ی امنیت بالای آن سیستم یا سامانه در راستای حفاظت از اطلاعات و داده‌ها در فضای مجازی و همچنین انتقال امن داده‌ها و اطلاعات در بستر اینترنت می‌باشد. با پیشرفت دنیای مجازی و فناوری‌های اینترنتی، سالانه بسیاری از سازمان‌ها و نهادهای دولتی مورد حملات سایبری قرار می‌گیرند و علاوه بر خسارات مالی وارده به زیرساخت‌ها، بسیاری از اطلاعات و داده‌های خود را از دست می‌دهند؛ در همین راستا مدیران سازمان هنگام انتخاب سامانه‌ها و سیستم‌های تولید و تبادل اطلاعات، باید حتماً به گواهی افتا و مجوز نما ی سازمان یا شرکت اراِئه‌دهنده خدمات توجه داشته باشند، زیرا همواره احتمال سرقت اطلاعات ذخیره شده سازمان در سیستم‌ها و سامانه‌های اینترنتی وجود دارد. از طرفی، طی بخشنامه ۳۹۵/۱/م، مورخ ۱۰/۰۲/۱۳۹۰سازمان فناوری و اطلاعات ایران به تمامی سازمان‌های دولتی و غیردولتی در خصوص استفاده از سامانه‌ها و سیستم‌هایی بدون گواهی ارزیابی افتا هشدار داده است؛ زیرا سامانه‌های نرم‌افزاری فاقد مجوز افتا، فاقد امنیت کافی برای مقابله با حملات سایبری و سایر خطرات موجود در فضای اینترنت هستند. علاوه بر موارد یاد شده، یکی دیگر از جنبه‌های اهمیت گواهی افتا آن است که، سازمان فناوری اطلاعات ایران برای اعطای گواهی ارزیابی امنیتی محصول و همچنین پروانه فعالیت (نما) به جز انجام تست‌های مختلف بر روی محصولات سازمان‌ها، افراد و مدیران سازمان را نیز مورد بررسی قرار می‌گیرند. بنابراین، داشتن گواهی نامه افتا، علاوه بر تایید امنیت نرم افزار مربوطه، امنیت و حسن کار شرکت ارائه دهنده خدمات را نیز تایید می کند. برای کسب آگاهی و اطمینان از دارا بودن گواهی نامه افتا و مجوز نمای محصولات نرم افزاری، با مراجعه به وب‌سایت سازمان فناوری اطلاعات ایران و بخش گواهی‌های امنیتی محصولات، (در آدرس https://sec.ito.gov.ir/page/eram) می‌توانید نام شرکت ارائه دهنده سیستم‌های نرم‌افزار را جستجو و گواهی‌نامه‌های دریافت شده آن را مشاهده کنید.

لازم به ذکر است که، گواهینامه افتا در راستای اجرای سند طرح ارزیابی امنیتی محصول که توسط مرکز افتا تدوین شده، به شرکت‌ها و محصولات دارای صلاحیت امنیتی، ارائه می گردد؛ در ادامه این مقاله با بخش‌هایی از سند طرح ارزیابی امنیتی محصول و فرآیند اخذ گواهینامه افتا بیشتر آشنا خواهیم شد؛ اما لازم است ابتدا برخی از واژه ها و اصطلاحات بکار گرفته شده در سند طرح ارزیابی امنیتی محصول را معرفی کنیم.

در این بخش، با برخی از اصطلاحات و واژه‌های به کار رفته در طرح ارزیابی امنیتی محصول می‌پردازیم:

فتا: فضای تولید و تبادل اطلاعات.

مرکز افتا: مرکز امنیت فضای تولید و تبادل اطلاعات.

سازمان: سازمان فناوری اطلاعات ایران.

استاندارد ارزیابی امنیتی معیار مشترک: استاندارد معیار مشترک یا ISO 15408، استانداردی برای ارزیابی امنیتی محصولات می باشد.

هدف ارزیابی: به محصول یا کارکرد مورد ارزیابی بر اساس «استاندارد ارزیابی معیار مشترک، هدف ارزیابی گفته می شود؛ به عبارت دیگر، منظور از محصول، همانه دف ارزیابی است.

متدلولوژی ارزیابی معیار مشترک: متدولوژی برای ارزیابی امنیتی محصولات فتا می‌باشد، که از یک سند فنی تشکیل شده و روش‌های ارزیابی امنیتی را شرح می‌دهد.

طرح ارزیابی امنیتی: طرح ارزیابی امنیتی سندی است که توسط مرکز افتا و سازمان فناوری اطلاعات ایران ارائه می شود و دید کلی از روال‌ها، خط مشی‌ها و راهبرد‌های ارزیابی امنیتی ارائه می‌نماید.

آزمایشگاه: آزمایشگاه‌های تایید شده برای ارزیابی امنیتی محصولات فتا.

تولید کننده: تولید کننده محصول یا متقاضی ارزیابی محصول.

ارزیاب: کارمند آزمایشگاه که وظیفه ارزیابی محصول را دارد.

مصرف کننده: حوزه‌ و سازما‌ن‌هایی که محصول در آنها مورد استفاده قرار می‌گیرد.

پروفایل حفاظتی: بیانیه‌ای مستقل از پیاده‌سازی الزامات امنیتی برای یک نوع محصول، که در آن الزامات امنیتی به طور کلی بیان شده‌اند.

هدف امنیتی: بیانیه ای از الزامات امنیتی وابسته به پیاده‌سازی، برای یک هدف ارزیابی مشخص، که الزامات امنیتی را به صورت جزئی‌تر بیان می‌دارد؛ به عبارت دیگر، مجموعه‌ای از نیازمندی‌ها و ویژگی‌های امنیتی یک محصول (هدف مورد ارزیابی)، که به عنوان مبنی ارزیابی آن مورد استفاده قرار می‌گیرد.

کارکرد امنیتی: عملکرد امنیتی محصول در زمینه ممیزی امنیت، رمزنگاری، شناسایی و احراز هویت، مدیریت دسترسی‌ها، حفغاظت از داده‌ها و اطلاعات و…

طرح کار ارزیابی: سندی است که توسط آزمایشگاه تولید می شود و جزئیات فعالیت‌های برنامه‌ریزی شده و زمان‌بندی آنها را برای ارزیابی امنیتی محصولات فتا مشخص می کند.

سطح اطمینان ارزیابی: بسته‌ای از نیازهای حصول اطمینان استاندارد ارزیابی معیار مشترک است، که معیار اطمینان پیش تعریف شده آن را نشان می دهد. این استاندارد ۷ سطح سلسله مراتبی از ۱ تا ۷ تعریف می کند.

گزارش اعتبار سنجی: سندی است که پس از پایان ارزیابی و تایید مرکز افتا، توسط سازمان فناوری اطلاعات ایران منتشر می‌شود و در بر گیرنده خلاصه‌ای از نتایج ارزیابی امنیتی است.

اعتبار بخشی: انجام نظارت بر فرآیند ارزیابی آزمایشگاه و ایجاد اطمینان از صحت نتایج و روال‌ها.

اعتبارسنجی: انجام نظارت بر فرآیند ارزیابی و ایجاد اطمینان از صحت نتایج و روال‌ها.

گرانی‌های امنیتی سبب شده تا تولیدکنندگان محصولات در صدد ارتقاء امنیت محصولاتشان برآیند؛ همچنین مصرف کنندگان در هنگام انتخاب محصول مورد نظر با طیف وسیعی از محصولات با قابلیت‌ها و محدودیت‌های متفاوت رو به رو هستند. برای آنها مسئله مهم، انتخاب محصولی است که بتواند نیازهای مصرف کننده را برآورده نماید و از اطلاعات آنها در حد مناسبی محافظت نماید. به منظور کمک به مصرف کننده در انتخاب محصولی که نیازهای امنیتی‌اش را برآورده نماید و کمک به سازنده محصول در مقبول واقع شدن در داخل کشور و بازارهای جهانی، بر اساس استاندارد ارزیابی معیار مشترک و سایر استانداردها و دستورالعمل‌های ابلاغی مرکز افتا، «طرح ارزیابی امنیتی» توسط مرکز افتا و سازمان تدوین گردیده است. اهداف اصلی ایجاد طرح ارزیابی امنیتی عبارت‌اند از:

• 1. حصول اطمینان از انجام ارزیابی‌های امنیتی محصولات فتا، منطبق بر استاندارد‌های ارزیابی مشترک
• 2. رفع مخاطرات و دغدغه‌های امنیتی ناشی از بکارگیری محصولات ارزیابی نشده
• 3. بهبود دسترس‌پذیری محصولات ارزیابی شده
• 4. حمایت از توسعه و بومی‌سازی محصولات نرم‌افزاری
• 5. بهبود و ارتقای سطح امنیت محصولات نرم‌افزاری

طرح ارزیابی امنیتی، طرحی بزرگ و ملی است، در همین راستا برای پیاده‌سازی طرح ارزیابی امنیتی محصولات، نهاد‌ها و سازمان‌های مختلفی شرکت دارند؛ ذی‌نفعان اصلی این طرح عبارت‌اند از:

تولید کننده

آزمایشگاه

مرکز افتا

سازمان فناوری اطلاعات

مصرف کننده

در ادامه به بررسی موارد نام برده شده می‌پردازیم.

یکی از مهم‌ترین ذی‌نفعان و پایه‌های اجرای طرح ارزیابی امنیتی محصولات، آزمایشگاه می‌باشد؛ آزمایشگاه‌ها مراکزی هستند که دارای تاییدیه‌های امنیتی از سوی نهاد‌های دولتی همچون مرکز افتا و سازمان فناوری اطلاعات ایران می‌باشند و موظف‌اند بدون هیچ‌گونه جانب‌داری نسبت به محصولات و سازمان‌ها، نرم‌افزارهای آنلاین را مورد ارزیابی و بررسی‌های امنیتی قرار دهند. آزمایشگاه‌‌ها همچنین متعهد به رعایت استانداردهای محرمانگی و عدم افشای اطلاعات و نتایج آزمایشات و ارزیابی‌های خود بر روی محصولات نرم‌افزاری هستند. برای اطمینان از حسن انجام کار آزمایشگاه‌ها، مرکز افتا به صورت دوره‌ای فعالیت‌های آزمایشگاه‌های تایید شده را مورد ارزیابی قرار می‌دهند و در صورت مشاهده هرگونه تخطی از خط مشی‌های تعیین شده، به آزمایشگاه تذکر می‌دهند و به محض تکرار اشتباهات، آزمایشگاه از لیست آزمایشگاه‌های تایید شده برای انجام ارزیابی‌های امنیتی، حذف می‌گردد.

مرکز افتا به عنوان یک نهاد دولتی، وظیفه دارد تا بر روند اجرای طرح ارزیابی امنیتی افتا نظارت کامل داشته باشد؛ این مرکز با همکاری سازمان فناوری اطلاعات ایران، در تمامی بخش‌های قانونی و اجرایی طرح ارزیابی امنیتی افتا حضور دارد. به‌طور کلی، وظایف مرکز افتا عبارت‌اند از:

تهیه و تدوین آیین‌نامه‌ها، دستورالعمل‌ها، مقررات و فرآیند‌های طرح ارزیابی امنیتی و حصول اطمینان از پیاده‌سازی آنها

تایید و اعتبار بخشی آزمایشگاه‌ها و اطلاع‌رسانی به سازمان فناوری اطلاعات ایران

نظارت بر آزمایشگاه‌ها و ارزیابی عملکرد آنها

لغو گواهی فعالیت آزمایشگاه‌ها در صورت برآورده ننمودن شرایط طرح ارزیابی امنیتی

اطمینان از سازگاری ارزیابی آزمایشگاه با طرح ارزیابی امنیتی

تهیه و تدوین پروفایل حفاظتی با همکاری سازمان فناوری اطلاعات ایران

سازمان فناوری اطلاعات ایران به همراه مرکز افتا وظیفه دارد تا بالاترین سطح استاندار ارزیابی امنیتی محصولات نرم‌افزاری را ارائه نماید. این سازمان، پس از دریافت درخواست تولید‌کنندگان برای ارزیابی امنیتی، محصولاتشان را – با هماهنگی مرکز افتا – به آزمایشگاه‌های تایید شده ارجاع می‌دهد و با توجه به مفاد و خط‌مشی‌های طرح ارزیابی امنیتی و همچنین نتایج گزارشات ارزیابی امنیتی آزمایشگاه و گزارشات مرکز افتا، گواهینامه افتا محصول را برای تولیدکننده ارسال می‌نماید. شایان ذکر است که این سازمان در اجرای طرح ارزیابی امنیتی محصولات نرم‌افزاری وظایف بیشتری دارد، که این وظایف عبارت‌اند از:

اطلاع‌رسانی از هرگونه تغییر در آزمایشگاه‌های مورد تایید مرکز افتا

اطلاع‌رسانی از هرگونه تغییر در اعتبار بخشی آزمایشگاه‌هاپ

صدور گواهی آزمایشگاه‌های تایید شده، به صورت مشترک با مرکز افتا

صدور گواهی محصولات پس از تایید و اعلام مرکز افتا

منتشر نمودن پروفایل‌های حفاظتی تایید شده توسط مرکز افتا

مهم‌ترین هدف ارائه‌‌ی طرح ارزیابی امنیتی محصولات، ورود محصولات ارزیابی‌شده و امن به حوزه مصرف و ارتقای سطح امنیت محصولات نرم‌افزاری می‌باشد و یکی از ذی‌نفعان اصلی این طرح، خود مصرف‌کنندگان هستند. در راستای اجرای صحیح طرح ارزیابی امنیتی محصولات، مصرف کنندگان موظفند تا تنها از محصولات نرم‌افزاری که دارای گواهی افتا هستند، استفاده نمایند. داشتن مجوز افتا برای محصول یا خدمت نرم‌افزاری، به معنای امنیت کامل نرم‌افزار یا سامانه‌های ارائه دهنده خدمات می‌باشد.

همان‌طور که اشاره شد، مرکز افتا به همراه سازمان فناوری اطلاعات ایران، فرایند و روال ارزیابی امنیتی محصولات را طراحی و اجرا می‌نمایند؛ احتمالا برای شما هم سوال پیش آمده که فرآیند ارزیابی امنیتی محصوات و دریافت گواهی افتا به چه صورت است؟ برای دریافت گواهی افتا، مراحل زیر باید طی شوند:

1. تهیه مقدمات ارزیابی و آماده‌سازی اسناد و مدارک مورد نیاز، توسط تولیدکننده و مراجعه به سازمان و ارائه درخواست ارزیابی امنیتی محصول.

2. ارجاع درخواست ارزیابی از طرف سازمان به مرکز افتا و تعیین آزمایشگاه با هماهنگی با آن مرکز، اعلام مکتوب به تولیدکننده و ارسال رونوشت نامه مذکور به آزمایشگاه.

3. مراجعه تولیدکننده به آزمایشگاه معرفی شده، همراه با نامه معرفی سازمان و انعقاد قرارداد بین تولیدکننده و آزمایشگاه.

4. انجام ارزیابی امنیتی محصول و اعلام نتایج به مرکز افتا

5. ارزیابی امنیتی شرکت و تعیین سطح فعالیت آن توسط مرکز افتا.

6. اعلام تایید/عدم تایید محصول، سطح بکارگیری آن و مدت اعتبار مجوز توسط مرکز افتا بر اساس جمع‌بندی نهایی نتایج ارزیابی‌ها که توسط مرکز افتا انجام می‌شود.

7. صدور گواهی توسط سازمان بر اساس بند ۶ (اعلام نظر مرکز افتا) و انتشار آن.


لازم به ذکر است که در طی فرآیند ارزیابی امنیتی، دو نوع ارزیابی صورت می‌گیرد، که عبارت‌اند از:

ارزیابی امنیتی محصول

ارزیابی امنیتی تولیدکننده

مرکز افتا به کمک آزمایشگاه‌های مورد تایید خود، ارزیابی‌های امنیتی مختلفی را بر روی محصولاتی که خواستار دریافت گواهی افتا هستند، انجام می‌دهند. این ارزیابی امنیتی در چهار فاز صورت می‌گیرد که عبارت‌اند از:

آماده‌سازی

ارزیابی اسناد هدف امنیتی

ارزیابی فنی

پایان ارزیابی محصول

در ابتدا، سازمان یا شرکت تولید‌کننده محصول نرم‌افزاری، درخواست خود برای انجام ارزیابی‌های امنیتی را به سازمان‌های ذی‌ربط ارسال می‌نماید و پس از مشخص آزمایشگاه از سوی سازمان افتا، توافق اولیه‌ای بین آزمایشگاه و تولید‌کننده صورت می‌گیرد؛ بر طبق این توافق نامه، تمامی آزمایشات و ارزیابی‌ها باید به صورت بی‌طرفانه و بر اساس چارجوب‌ها و پروتکل‌های ارزیابی امنیتی افتا انجام شوند.

سند هدف امنیتی یا پروفایل حفاظتی، بیانیه‌ای مستقل از روند پیاده‌سازی الزامات امنیتی برای یک نوع محصول می‌باشد، که در آن الزامات امنیتی به صورت کلی بیان می‌گردد؛ پس از بررسی و نهایی‌سازی سند اهداف امنیتی، محصول مورد نظر وارد فاز سوم ارزیابی می‌گردد.

در این مرحله، تست‌های مختلفی که به عنوان استاندارد ارزیابی فنی تعریف شده‌اند، روی محصولات نرم افزاری اعمال می‌گردند؛ این تست‌ها جنبه‌های امنیتی مختلفی را در محصول ارزیابی می‌کنند، که برخی از آنها عبارت‌اند از:

انتقال امن اطلاعات بین کاربران

نحوه بایگانی و دسترسی به داده‌ها

پروتکل‌های محافظتی در برابر حملات سایبری

دسترسی‌ها و پروتکل‌های امنیتی درون برنامه‌ای

میزان آسیب‌پذیری محصولات در برابر خطرات فضای سایبری

و…

محصولات پس از پشت سر گذاشتن تست‌ها و ارزیابی‌های گوناگون، در صورت کسب موفقیت، وارد فاز چهارم ارزیابی امنیتی محصول می‌شوند.

در آخرین فاز از ارزیابی امنیتی محصولات، مرکز افتا نتایح ارزیابی‌های امنیتی انجام شده را بررسی و در صورت تایید شدن، گواهی تایید ارزیابی امنیتی محصول را به سازمان ارسال می‌نماید؛ این گواهی به همراه گزارش اعتبار سنجی و سند هدف امنیت، تاکید می‌کند که محصول مورد نظر در یک آزمایشگاه معتبر و با استفاده از متد ارزیابی معیار مشترک صورت گرفته است و بر استاندارد ارزیابی معیار مشترک منطبق می‌باشد. لازم به ذکر است که تولیدکننده باید محصول را مطابق گزارش اعتبارسنجی و گواهی منتشر شده از سوی سازمان و در سطح بکارگیری تعیین شده، به مصرف کننده ارائه نماید و به فروش برساند؛ همچنین مصرف کننده نیز باید با رعایت ملاحظات ذکر شده، محصولاتی را که دارای گواهی ارزیابی امنیتی هستند، تهیه نمایند. یکی دیگر از بخش‌های فاز چهارم فرآیند ارزیابی امنیتی محصول، «نگهداری گواهی محصول» می‌باشد. روال‌های نگهداری از گواهی استاندارد معیار مشترک، توسط برنامه نگهداری که در سند «تداوم گواهی: راهنمایی برای نگهداری گواهی و ارزیابی مجدد» شرح داده شده، اعمال می‌گردد. در فرآیند تداوم گواهی، تغییرات معنادار محصول در این بازه زمانی بررسی می‌شود و نتایج مشخص می‌کند که محصول به ارزیابی مجدد نیاز دارد یا خیر. تصمیم در رابطه با اینکه تغییر محصول معنادار بوده یا خیر، بر عهده مرکز افتا می‌باشد. همچنین تولیدکننده موظف است تا هر ساله گزارشی تحت عنوان «تحلیل آسیب پذیری» برای محصول دارای گواهی خود تهیه و به مرکز افتا ارسال نماید. تولیدکننده ممکن است پیش‌بینی ارزیابی مجدد محصول را نماید، بنابراین روال نگهداری گواهینامه را در مراحل ابتدایی شروع ارزیابی در نظر می‌گیرد، تا فعالیت‌های آتی در این رابطه را به حداقل برساند.

پس از آغاز فرایند ارزیابی محصول، مرکز افتا فعالیت‌های سازمان یا شرکت تولیدکننده را مورد بررسی و ارزیابی قرار می‌دهد؛ هدف از انجام این ارزیابی، حصول اطمینان از حسن انجام وظیفه شرکت تولیدکننده و رعایت استانداردها و خط مشی‌های تعیین شده از سوی سازمان فناوری اطلاعات ایران و مرکز افتا می‌باشد. شایان ذکر است که این بررسی‌ها و ارزیابی‌های امنیتی پس از اتمام ارزیابی فنی محصول نیز ادامه دارند و در صورت مشاهده‌ی هرگونه خطا یا نقض قوانین، تولیدکننده از سمت مرکز افتا تذکر دریافت می‌نماید و در صورت عدم توجه به تذکرات، گواهی افتا و نمای تولیدکننده باطل می‌گردد؛ همچنین لازم به ذکر است که تایید نتایج ارزیابی آزمایشگاه و مجوز صدور گواهی افتای محصولات، منوط به گزارش نظارت بر سازمان یا شرکت تولیدکننده می‌باشد، این امر موجب اطمینان خاطر مصرف‌کنندگان از حسن انجام وظیفه تولیدکنندگان و همچنین ارتقا و حفظ سطح امنیت محصولات نرم‌افزاری می‌گردد.

سازمان افتا در سطح مختلفی مشغول به ارزیابی و نظارت بر روی فضای تولید و تبادل اطلاعات می‌باشد. مرکز افتا پس از اتمام ارزیابی امنیتی محصول و اعطای گواهی افتا به محصول، ارزیابی و نظارت خود را در دو بخش ادامه می‌دهد:

نظارت بر محصول

نظارت بر مصرف کننده

پس از آنکه محصول فرآیند ارزیابی امنیتی را به‌طور کامل طی کرده و موفق به دریافت گواهی گرداد، در حوزه مصرف مورد استفاده قرار می‌گیرد. در این مرحله مرکز افتا بر محصول نظارت می‌کند و در صورت عدم تطابق محصول مورد استفاده با نمونه محصولی که در آزمایشگاه ارزیابی شده و یا کشف و بروز آسیب‌پذیری در محصول که نیاز به رفع و وصله نمودن داشته باشد و یا هر مورد دیگری، مرکز افتا موارد را به آزمایشگاه و تولیدکننده جهت اقدامات مقتضی ارجاع داده و در صورت محرز شدن تخلف هر یک، طبق ضوابط مقرره اقدام خواهد نمود.

پس از آنکه محصول گواهی دریافت نمود، مرکز افتا علاوه بر نظارت بر آن در حوزه مصرف، بر مصرف‌کنندگان (در حیطه وظایف قانونی خویش) نظارت می‌کند، تا اطمینان حاصل نماید که آنها صرفاً از محصولاتی استفاده می‌کنند که گواهی امنیتی دریافت نموده‌اند.

بله، از لحاظ قانونی طبق مصوبه شماره ۲۳۲۶۹۰/ت۳۸۵۱۸ک (مورخ ۱۱/۱۲/۱۳۸۷) و تصمیم نامه شماره ۲۲۶۹۶۷/ت۴۵۵۲۴ن (مورخ ۱۱/۱۰/۱۳۸۹) و همچنین بخشنامه ۳۹۵/۱/م (مورخ ۱۰/۰۲/۱۳۹۰)، در راستای حفظ امنیت لازم در قالب یک استاندارد امنیتی ملی، تمامی سامانه‌ها و سیستم‌های الکترونیکی و تحت وب مورد استفاده در سازمان‌های دولتی، باید دارای گواهی نامه افتا و نما باشند؛ به بیان دیگر، شرکت‌ها و سازمان‌ها برای ارائه محصولات و خدمات خود به سازمان‌ها و نهاد‌های دولتی، ملزم به دریافت گواهی‌نامه افتا هستند. شایان ذکر است که امروزه علاوه بر سازمان‌های دولتی، بسیاری از سازمان‌های خصوصی نیز هنگام دریافت خدمات اینترنتی، توجه ویژه‌ای به گواهی‌نامه ارزیابی امنیتی محصول (افتا) و پروانه فعالیت (نما) دارند. در همین راستا، دریافت گواهی ارزیابی امنیتی محصولات (گواهی نامه افتا) به امری الزامی برای شرکت‌های ارائه دهنده خدمات (بر بستر اینترنت) تبدیل شده است.

خیر؛ در کنار گواهی افتا، گواهی دیگری به نام «نما» نیز وجود دارد. نظام مدیریت امنیت اطلاعات (نما) که توسط دو سازمان فناوری اطلاعات و مرکز ماهر تشکیل شده است و هدف از تشکیل آن، ایمن سازی فضای تولید و تبادل اطلاعات می‌باشد و در زمینه استاندارد‌های تخصصی امنیت، مدیریت، اعتبار بخشی، صدور پروانه فعالیت، رسیدگی به حملات سایبری و همچنین نظارت بر عملکرد سازمان‌های ارائه دهنده خدمات نرم‌افزاری در سطح کشور، فعالیت می‌کند. در حالی که گواهی افتا، سند راهبردی ملی است که وظایفی را برای وزارتخانه‌ها و نهادهای حاکمیتی کشور در زمینه‌ امن‌سازی «فضای تولید و تبادل اطلاعات»، مقرر کرده است. از این رو داشتن هر دو گواهی افتا و گواهی نما برای شرکت‌های ارائه دهنده محصولات و خدمات نرم افزاری ضروری است.