شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
اعلام ضوابط جدید برای عرضه محصولات امنیتی خارجی

تکمیلی- ابلاغیه جدید مركز افتا در باره سامانه‌ها و سكوهای خارجی/ نگاه کارشناسی به چالش‌های اجرایی ابلاغیه

مهلت سه‌ماهه برای رعایت مقررات جدید
حسین انصاری، رئیس مرکز مدیریت راهبردی افتا، درباره ابلاغیه جدید مركز افتا اعلام کرد: تمامی ارائه‌‌دهندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت فضای تولید و تبادل اطلاعات برای ادامه فعالیت خود در ایران، موظف‌اند حداکثر ظرف مدت سه‌ماه بر اساس شرایط و مقررات مرکز مدیریت راهبردی افتا اقدام کنند.
مرکز مدیریت راهبردی افتا با صدور بخش‌نامه‌ای چگونگی فعالیت سامانه‌ها و سکوهای خارجی و عرضه محصولات حوزه امنیت را مشخص کرد.

به‌ گزارش افتانا، مرکز مدیریت راهبردی افتا بخش‌نامه‌‌ای خطاب به همه دستگاه‌های اجرایی کشور (دارای زیرساخت حیاتی)، سازمان نظام صنفی رایانه‌ای کشور و شرکت‌های فعال در حوزه تأمین محصولات، سامانه‌‌ها و سکوهای حوزه امنیت اطلاعات و ارتباطات صادر کرده است.
 
در این بخش‌نامه با تاکید بر اینکه محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت، موظف به معرفی نماینده رسمی حقوقی داخلی تام‌الاختیار هستند آمده است: محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت موظف به راه‌اندازی خدمت به‌روزرسانی تجهیزات و سامانه‌های مورد نیاز در داخل ایران هستند، به صورتی که در هیچ شرایطی در فرایند بروزرسانی محصولات مورد استفاده مشتریان، تأخیری ایجاد نشود.
 
بر اساس اعلام مرکز مدیریت راهبردی افتا، عرضه‌کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت و نماینده قانونی آن‌ها در زمان وقوع رخداد سایبری، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگ‌کننده برای مشتریان خود هستند.
 
در بخش‌نامه مرکز مدیریت راهبردی افتا تاکید شده است که تمامی ارائه‌‌دهندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت فضای تولید و تبادل اطلاعات موظف‌اند حداکثر ظرف مدت سه ماه از تاریخ ابلاغ این دستورالعمل نسبت به تأمین و رعایت ضوابط مندرج در این بخش‌نامه اقدام کنند.
 
متن کامل این بخش‌نامه در این لینک قابل دریافت است.

فرصت سه‌ماهه به عرضه‌كنندگان سامانه‌ها، محصولات و سكوهای افتایی خارجی
تمامی ارائه‌‌دهندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت فضای تولید و تبادل اطلاعات برای ادامه فعالیت خود در ایران، موظف‌اند حداکثر ظرف مدت سه‌ماه بر اساس شرایط و مقررات مرکز مدیریت راهبردی افتا اقدام کنند.

حسین انصاری، رئیس مرکز مدیریت راهبردی افتا، گفت: بخش‌نامه شرایط و مقررات مرکز افتا در باره چگونگی فعالیت سامانه‌ها و سکوهای خارجی و عرضه محصولات حوزه امنیت، روز گذشته به همه دستگاه‌های اجرایی کشور (دارای زیرساخت حیاتی)، سازمان نظام صنفی رایانه‌ای کشور و شرکت‌های فعال در حوزه تأمین محصولات، سامانه‌‌ها و سکوهای حوزه امنیت اطلاعات و ارتباطات ابلاغ شده است. ضوابط و شرایط مرکز مدیریت راهبردی افتای ریاست جمهوری، درباره چگونگی فعالیت سامانه‌ها و سکوهای خارجی و عرضه محصولات حوزه امنیت، بر اساس طرح کلان و معماری شبکه ملی اطلاعات مصوبه شماره ۹۶ شورای عالی فضای مجازی اتخاذ و ابلاغ شده است.
 
وی با تاکید بر اینکه عرضه‌کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت باید نماینده رسمی حقوقی داخلی تام‌الاختیار خود را به این مرکز معرفی کنند، همچنین تصریح کرد که عرضه‌کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت موظف به راه‌اندازی خدمت به‌روزرسانی تجهیزات و سامانه‌های مورد نیاز در داخل ایران هستند، به صورتی که در هیچ شرایطی در فرایند به‌روزرسانی محصولات مورد استفاده مشتریان، تأخیری ایجاد نشود. عرضه‌کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت و نماینده قانونی آن‌ها در زمان وقوع رخداد سایبری، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگ‌کننده برای مشتریان خود هستند.
 
وی با اشاره به اینکه حفظ حریم خصوصی کاربران ایرانی جزو قوانین بالادستی کشور در حوزه فضای مجازی است، گفت: ابلاغیه افتا، محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت را که برای تکمیل ماموریت ذاتی محصولات و یا خدمات خود نیاز به ذخیره یا پردازش داده های کاربران دارند، موظف به انجام ذخیره‌سازی و پردازش داده‌های کاربران ایرانی در داخل کشور کرده است.
 
انصاری گفت: عرضه‌کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت و همچنین تمامی دست اندرکاران ارائه خدمات، بدون اخذ مجوز مکتوب از مرکز مدیریت راهبردی افتا مجاز به انتقال مستقیم یا غیر مستقیم هیچ داده و اطلاعاتی مانند معماری شبکه و دارایی‌‎های مشتریان به خارج از ایران نیستند.
رئیس مرکز مدیریت راهبردی افتا گفت: سکوهای خارجی در خصوص به کارگیری هوش مصنوعی و ایجاد داده‌های عظیم، بر اساس شرایط و مقررات اعلام شده، موظف هستند، الگوهای پردازش و خروجی‌های منعکس شده به خارج از کشور را به این مرکز افتا اعلام کنند.
 
به گفته انصاری، عرضه کنندگان محصولات، سامانه‌ها و سکو‌های خارجی حوزه امنیت، بر اساس اعلام مرکز مدیریت راهبردی افتای ریاست جمهوری، موظف به تعیین دقیق و رسمی سطح تضمین خدمات (SLA) مورد تأیید این مرکز هستند. وی افزود: شرکت‌های تأمین کننده لایسنس یا پشتیبانی کننده محصولات، سامانه‌ها و سکوهای حوزه امنیت نیز بر اساس شرایط و مقررات ابلاغ شده مرکز مدیریت راهبردی افتای ریاست جمهوری، موظف به اخذ پروانه معتبر خدمات افتا در گرایش‌های نصب و پشتیبانی محصولات فتا و امن‌سازی و مقاوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌ها شده‌اند.
 
رئیس مرکز مدیریت راهبردی افتا در پایان گفت: ارائه‌دهندگان خدمات خارجی سامانه شناسایی و پاسخ مدیریت شده تهدیدات (MDR)، موظف به ارائه این خدمات به صورت متمرکز در داخل کشور و تحت نظارت مرکز‌ مدیریت راهبردی افتای ریاست جمهوری هستند.

چالش‌های اجرایی ابلاغیه‌های امنیت سایبری: نگاهی به واقعیت‌ها
ابلاغیه‌های جدید در حوزه امنیت سایبری با هدف حفظ منافع و امنیت ملی، بارها به دلیل نبود ضمانت اجرایی به چالش کشیده شده‌اند. فعالان و کارشناسان این حوزه معتقدند که شرایط برای عملیاتی شدن این‌گونه ابلاغیه‌ها فراهم نیست و تحقق آنها نیازمند شرایط و تعاملات خاصی است. فعالان و کارشناسان این حوزه بارها به نبود ضمانت اجرایی برای چنین ابلاغیه‌هایی اشاره کرده‌اند و شرایط را برای عملیاتی شدن این‌گونه ابلاغیه‌های مملو از  بایدها و نبایدها، مهیا نمی‌بینند.
 
علی کیایی‌فر، مشاور در حوزه امنیت IT و OT در کانال تلگرامی PingChannel این‌طور نوشت: «آنچه که در این ابلاغیه آمده است بسیار آرمانی است و چقدر خوب بود اگر می‌توانستیم همچون سایر کشورهای همسایه، نمایندگی‌های برندهای مطرح خارجی را در ایران شاهد باشیم. اما آیا در دوره ای که گفت‌وگو به عنوان یک ایرانی با اغلب شرکت‌های بزرگ خارجی و در زیر سایه تحریم، انجام شدنی نیست می‌توانیم به چنین اهدافی دست پیدا کنیم؟ یا اینکه باید فاتحه همین محصولات خارجی را که به شدت مورد نیاز کشور هستند و به‌صورت نیم بند و چراغ خاموش و با چندین واسطه وارد کشور می‌شوند هم بخوانیم؟ شاید هم تحریم‌ها ناشی از عملکرد غلط بخش خصوصی است و نظام صنفی باید برای برون‌رفت از آن و تعامل سازنده با دنیا و انجام گفت‌وگوهای تجاری و حقوقی مستقیم با شرکت‌های بزرگ دنیا تلاش مضاعفی کند.»
 
محمدحسین مشکینی، فعال حوزه امنیت فناوری اطلاعات، به افتانا درباره ابعاد مختلف این ابلاغیه می‌گوید: «مفاد این ابلاغیه در راستای حفظ منافع و امنیت ملی در حوزه سایبری است. مشابه الزامات این ابلاغیه در کشورهای دیگر هم وجود دارد. لزوم همکاری تولیدکنندگان راهکارهای امنیتی با نهادهای متولی در شرایط وقوع بحران و حوادث سایبری، بدیهی و واضح است. ممکن است عملیاتی شدن مفاد این ابلاغیه به‌صورت کامل مدتی زمان ببرد لیکن در کل، حرکت مثبتی است.»
 
او در ادامه نکته مهمی اشاره می‌کند: «تنها نکته‌ای که باید توجه کرد تضاد بین این الزامات و تحریم‌های کشورهای مبداء این تجهیزات است. در حال حاضر با روش‌های مختلف به هر شکلی، این تجهیزات وارد می‌شود که البته غیررسمی است، بنابراین انتظار فعالیت رسمی از این شرکت‌ها چالش‌برانگیز خواهد بود.»
 
این فعال حوزه امنیت سایبری با اشاره به اینکه نتیجه اجرای این ابلاغیه تا هر اندازه که محقق شود به نفع امنیت کشور و صنعت بومی امنیت سایبری است، اضافه می‌کند:  «باید دید در ادامه، پیگیری مفاد این ابلاغیه از سوی مرکز راهبردی افتا تا چه حد جدی خواهد بود.»
 

 
کد مطلب : 22305
https://aftana.ir/vdcbsfb5.rhb5gpiuur.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی