کد مطلب:
نقش آفرینی راهبردی آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT و پیشنهاداتی به منظور بهبود عملکرد و ارتقاء جایگاه آن
به گزارش سیتنا، دکتر هاشم حبیبی، نائب رئیس انجمن صنفی افتا در زیر ذره بین شماره 98 ماهنامه نسل چهارم آورده است:
آزمایشگاه پژوهشگاه ارتباطات و فناوری اطلاعات مانند اکثر آزمایشگاههای مورد تایید مرکز راهبردی افتا، بر اساس پروفایلهای حفاظتی (Protection Profiles) ابلاغی از افتا، محصولات را ارزیابی کرده و گزارش ارزیابی را برای مرکز راهبردی افتا ارسال میکند و این مرکز نیز گواهینامه افتا را صادر میکند.
در خصوص آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT میتوان گفت که این آزمایشگاه یکی از هفت الی هشت آزمایشگاه معتبر و مورد تایید افتا در کشور است که نرمافزارهای امنیتی و غیرامنیتی برای آنها ارسال میشود.
با توجه به اینکه آزمایشگاه امنیتی در پژوهشگاه ارتباطات و فناوری اطلاعات راهاندازی شده است، میتوان گفت که ترکیبی از اساتید و کارکنان متخصص و ماهر در این آزمایشگاه مشغول به کار هستند و با استناد به همکاری با آنها، باید گفت از توان علمی خوب و بالایی برخوردار هستند؛ همچنین از مدیران باسواد و تحصیل کردهای نیز بهرهمند میباشند.
آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT، دولتی است و زیر نظر وزارت ارتباطات و فناوری اطلاعات اداره میشود که این موضوع از یک جنبه مثبت و از جنبه دیگری منفی است؛ آزمایشگاه ارزیابی امنیتی که دولتی باشد نگران درآمد نیست و بنابراین احتمال خطا در ارزیابی کمتر میشود و با صبر و حوصله بیشتری ارزیابی را انجام میدهد، اما در عوض چنانچه این لختی زیاد شود و چابکی لازم را نداشته باشد، ممکن است به اصل کار ضربه وارد شود و مشتریها اعتماد لازم را نکنند، بنابراین باید بین چابکی و کسب درآمد یک تعادل ایجاد کند.
بر اساس همکاری با پژوهشگاه ارتباطات و فناوری اطلاعات، به این نتیجه رسیدیم که آزمایشگاه مطلوبی در این حوزه است و ارزیابیهای دقیقی بر اساس استانداردها و پروفایلهای حفاظتی که مرکز راهبردی به آنها ابلاغ کرده است، انجام میدهند.
میزان نرمافزارهایی که برای دریافت مجوز به آزمایشگاه ها ارجاع داده میشوند، بسیار زیاد است در حالی که تعداد آزمایشگاهها بسیار کم است، بنابراین در بیشتر مواقع نرمافزارهایی که برای ارزیابی به آزمایشگاه پژوهشگاه ICT ارسال میشود، در صف ارزیابی باقی میمانند و این صف هم ناشی از تعداد درخواست بالا است و این موضوع به زمان بر شدن ارزیابیها منجر میشود.
نکته دیگری که در آزمایشگاه پژوهشگاه ICT و اکثر آزمایشگاههای کشور وجود دارد، این است که آزمایشگاه موظف به ارزیابی نرمافزارها و اعلام نقاط ضعف آنها به صاحبان نرمافزار است، در حالی که صاحبان نرمافزار انتظار دارند که علی رغم اعلام نقاط ضعف، راهکاری نیز از سوی آزمایشگاهها ارائه شود تا در همین جهت ارزیابی آنها زودتر به نتیجه برسد و دریافت گواهینامه سرعت گیرد، در صورتی که در حال حاضر اکثر آزمایشگاهها از ارائه پیشنهاد برطرفسازی نقاط ضعف امتناع میکنند.
ذکر این نکته ضروری است که بر اساس استانداردها وظیفهای در این خصوص برای آزمایشگاهها تعیین نشده است، اما به عنوان صاحب نرمافزار پیشنهاد میدهم که اگر آزمایشگاه پژوهشگاه ICT و سایر آزمایشگاهها این مهم را انجام دهند، استقبال بسیار زیادی را به دنبال خواهد داشت.
پیشنهاد دیگر بنده این است که آزمایشگاهها به میزان ظرفیت خود، ارزیابی نرمافزارها را پذیرش کنند و به عبارتی توقع صاحب نرمافزار را بالا نبرند، به عبارت دیگر زمانی که صف ارزیابی آنها تکمیل است، نرمافزار دیگری را برای ارزیابی قبول نکنند.
هم اکنون نرمافزارهایی تحت عنوان سامانههای ارزیابی امنیتی نرمافزارها در دنیا وجود دارد که با ورود سورس یا بلک باکس نرمافزار به آن، به صورت اتوماتیک ارزیابی امنیتی را انجام میدهد و برخی از نقاط ضعف را با سرعت به صاحبان نرمافزار اعلام میکند و این موضوع نیازمند این است که آزمایشگاهها این نرم افزارهای اصلی را خریداری کنند که شرکتهای معتبری مانند آی بی ام و برخی از شرکتهای روسی و اروپایی آن را دارا هستند و در چنین وضعیتی عملاً سرعت ارزیابی امنیتی بالاتر میرود.
پژوهشگاه ارتباطات و فناوری اطلاعات به دلیل ذات تحقیقاتی خود، میتواند تعدادی تز و پایان نامههای کارشناسی ارشد و دکترا در حوزه ارزیابی امنیتی را در دانشگاهها تعریف کند و ضمن حمایت مادی و معنوی این پایاننامهها، کمک کند تا تعداد زیادی از فارغ التحصیلان دانشگاهها به حوزه ارزیابی امنیتی ورود کنند،که این کار موجب میشود متخصصان ارزیابی امنیتی در کشور تربیت شوند و فارغالتحصیلان این حوزه به جامعه تقدیم شود. در پایان از همه عزیزان این آزمایشگاه، نهایت تشکر و قدردانی را دارم.
انتهای پیام
افزودن دیدگاه جدید