به نقل از «ايتنا»

اهمیت گواهینامه افتا برای نرم افزارهای ITSM

تاریخ انتشار: ۹ دی ۱۴۰۲ | کد خبر: ۳۹۴۰۳۱۸۱

این گواهینامه تضمین می‌کند که از داده‌های دریافتی و در جریان در یک کسب‌وکار یا سازمان به‌خوبی محافظت می‌شود و ساز و کار موثری برای صدور و مدیریت مجوز سطح دسترسی کارمندان، امنیت بالای APIها و رمزنگاری داده‌های حساب اتخاذ شده است. ---------------- رپرتاژ آگهی -----------------

تامین امنیت زیرساخت‌ها، سازمان‌ها و نهادهایی که در داخل کشور فعالیت می‌کنند با توجه به حجم داده‌هایی که به‌طور روزمره جابه‌جا می‌شود، اهمیت بسزایی دارد.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

تهدیدات امنیتی همیشه ممکن است در فضای تولید و تبادل اطلاعات رخ بدهد و بدیهی است که محصولات و خدمات استفاده شده توسط سازمان‌ها باید به اندازه کافی امنیت داشته باشند تا از نشت داده‌های حساس مربوط به کسب‌وکار یا مشتریان آن جلوگیری کند.
با اتخاذ تدابیر امنیتی مناسب که یکی از آنها شامل استفاده از محصولات کارآمد و کاملا منطبق با نیازمندی‌های امنیتی است، می‌توان از خسارات احتمالی ناشی از حملات یا آسیب‌پذیری‌های موجود در پلتفرم‌های مختلف جلوگیری کرد. مرکز مدیریت راهبردی افتا (سازمان امنیت فضای تولید و تبادل اطلاعات) و وزارت فناوری اطلاعات کشور در یک همکاری مشترک، تامین امنیت و ارزیابی ویژگی‌های امنیتی در محصولات نرم‌افزاری این حوزه را عهده‌دار شده‌اند.
در این مقاله قصد داریم بررسی کنیم که گواهینامه افتا چیست و چه اهمیتی در نرم‌افزارهای مدیریت سرویس های فناوری اطلاعات (ITSM) دارد.
  گواهینامه افتا چیست؟


در سال‌های نه چندان دور، استفاده از سامانه‌های نه چندان ایمن باعث می‌شد تا خسارات سنگینی به زیرساخت‌های کشور و همین‌طور سازمان‌های خصوصی و دولتی وارد شود. سازمان افتا که از نام آن از سرواژگان «امنیت فضای تولید و تبادل اطلاعات» گرفته شده است، به منظور ایجاد یک استاندارد امنیتی ملی و قابل اتکا در این حوزه وارد عمل شد و با همکاری سازمان فناوری اطلاعات ایران، گواهی ارزیابی امنیتی ویژه‌ای را به محصولات یا به عبارت بهتر سامانه‌های نرم‌افزاری اختصاص داد.
این مجوز نشان می‌دهد که یک سامانه نرم‌افزاری تا چه حد با پیش‌نیازهای امنیتی انطباق دارد. بنابراین، اگر سازمانی هستید که داده‌های حساسی را مدیریت می‌کنید و یا با طیف گسترده‌ای از مشتریان سروکار دارید، داشتن گواهینامه افتا در محصولات نرم‌افزاری مورد استفاده شما اهمیت بسیار زیادی دارد.
در واقع برخلاف تصور اکثر مدیران کسب‌وکار، صرفا استفاده از یک فایروال یا برنامه‌های ضد بدافزار و ضد ویروس نمی‌تواند در برابر تمامی حملات و تهدیدات سایبری موجود در فضای امروز فناوری اطلاعات سازمان را ایمن نگه دارد.
همین نگرانی‌های امنیتی باعث شده است تا تولیدکنندگان محصولات و سامانه‌های نرم‌افزاری در زمینه ارتقاء امنیت راهکارهای خود تلاش بیشتری انجام بدهند. علاوه بر این، مصرف‌کنندگان نیز هنگام انتخاب یک راهکار، با دیدن گواهینامه افتا می‌توانند با خیال راحت‌تری در یک محیط حساس از نظر اطلاعاتی از آن محصول استفاده کنند. مرکز راهبردی افتا با تدوین و ارائه طرحی تحت عنوان «طرح ارزیابی امنیتی»، محصولات نرم‌افزاری مورد نیاز سازمان‌ها را براساس استانداردهای به‌روز امنیتی جهان تحت ارزیابی قرار می‌دهد.
این مرکز برای ارزیابی دقیق و جامع سامانه‌های نرم‌افزاری فرایند و رویه خاصی را دنبال می‌کند که در ادامه با برخی مراحل آن آشنا می‌شویم:
   - مراجعه تولیدکننده به سازمان فناوری اطلاعات و ارائه درخواست ارزیابی امنیتی محصول
   - ارجاع درخواست به مرکز افتا و تعیین آزمایشگاه جهت مراجعه تولیدکننده
   - انعقاد قرارداد بین تولیدکننده و آزمایشگاه
   - انجام ارزیابی امنیتی محصول براساس مولفه‌ها و چارچوب‌های مشخص و اعلام نتایج
   - ارزیابی امنیتی شرکت یا سازمان و تعیین سطح فعالیت آن توسط افتا
   - اعلام تایید یا عدم تایید محصول، سطح به‌کارگیری آن و مدت اعتبار مجوز اعطا شده توسط افتا
   - در نهایت، صدور گواهینامه افتا توسط سازمان فناوری اطلاعات
  چرا گواهینامه افتا برای نرم‌افزارهای ITSM اهمیت دارد؟
ممکن است به‌عنوان یک مدیر فناوری اطلاعات، از سوی مدیران بالا دستی تحت فشار قرار بگیرید که از راهکارهایی با ویژگی‌های امنیتی نامشخص و نه چندان موثر استفاده کنید تا به‌ این ترتیب در هزینه‌های عملیاتی سازمان صرفه‌جویی انجام شود. اما باید این واقعیت را پذیرفت که سالانه سازمان‌های زیادی به دلیل آسیب‌پذیری‌های امنیتی و عدم آگاهی نسبت به بهروش‌های حفاظت از داده‌ها، متحمل خسارت‌های سنگینی می‌شوند.
دانش بهترین دفاع است و وقتی بدانید چه چیزی در سازمان و زیرساخت‌های آن در حال رخ دادن است، چه دارایی‌هایی دارید، چه کسی مسئول این دارایی‌ها است، چه اتفاقی برای هر دارایی رخ داده است و کارکنان شما به چه بخش‌هایی دسترسی دارند می‌توانید از بروز بسیاری از مشکلات امنیتی جلوگیری کنید.
یک نرم افزار ITSM نه تنها به این سوالات، بلکه به ده‌ها مورد دیگر پاسخ می‌دهد و ابزارهای قدرتمندی مانند سرویس دسک، مدیریت دارایی و مدیریت رخدادها را در اختیار سازمان قرار می‌دهد. متاسفانه برخی از سازمان‌ها و مدیران نقش اساسی یک راهکار ITSM کارآمد را در فرایند تقویت امنیت کسب‌وکارشان نادیده می‌گیرند یا پیش پا افتاده می‌دانند.
سرویس دسک اولین گام به سوی دیجیتالی شدن است و فرایندهای مناسبی را تنظیم می‌کند تا کسب‌وکار قابلیت پاسخ‌گویی با حداکثر کارایی و سرعت را داشته باشد. با یک نرم افزار ITSM کسب‌وکار قادر است در هر رخداد امنیتی، در سریع‌ترین زمان ممکن به یک وضعیت بحرانی رسیدگی کند.
این راهکار به کارمندان کمک می‌کند تا بدانند باید با چه کسی تماس بگیرند. بنابراین وقوع حادثه بلافاصله به یک فرد مناسب اطلاع‌رسانی می‌شود و به لطف قابلیت‌های اتوماسیون و اولویت‌بندی، فرد با کم‌ترین تاخیر و معطلی می‌تواند اقدامات لازم برای حل مشکل را انجام دهد.
از آنجایی که یک نرم افزار ITSM امکان ایجاد پایگاه دانش، مدیریت تیکت‌ها، مدیریت رخدادها و دارایی‌ها را به شیوه‌ای ساختاریافته و مدرن ارائه می‌دهد، در واقع در هر لحظه با داده‌های زیادی سروکار دارد. بنابراین، این نرم‌افزار باید از نظر امنیتی قابل اطمینان باشد تا داده‌های ارزشمند داخلی سازمان یا مشتریان کسب‌وکار به بیرون درز نکند. اگر نمیدانید نرم افزار ITSM چیست، کلیک کنید.
  نرم افزار دانا پرو تنها ابزار ITSM دارای گواهینامه افتا  
نرم‌افزار ITSM دانا پرو تنها راهکار ITSM ایرانی است که از گواهینامه افتا بهره می‌برد. این گواهینامه تضمین می‌کند که از داده‌های دریافتی و در جریان در یک کسب‌وکار یا سازمان به‌خوبی محافظت می‌شود و ساز و کار موثری برای صدور و مدیریت مجوز سطح دسترسی کارمندان، امنیت بالای APIها و رمزنگاری داده‌های حساب اتخاذ شده است.
نرم افزار ITSM دانا پرو از تنظیمات امنیتی مختلفی برخوردار است که امکان پیکربندی اصولی و به‌روز ویژگی‌های امنیتی مورد نیاز یک سازمان را فراهم می‌کند. این سامانه از سیاست رمزعبور بهره می‌برد که امکان تقویت امنیت حساب‌های کاربری کارمندان را میسر می‌کند. همچنین سطوح دسترسی تمامی کارمندان به بخش‌های مختلف از جمه ماژول‌ها، فیلدها و حتی رکوردها قابل تنظیم و کنترل است.
در نرم‌افزار دانا پرو می‌توانید با محدود سازی آدرس‌های IP، از دسترسی‌ به سامانه با دستگاه‌ها یا دامنه‌های غیرمجاز جلوگیری کنید. نرم افزار ITSM دانا پرو از ایمن‌سازی با پروتکل‌های SSL و TLS پشتیبانی می‌کند تا از تبادل غیرایمن اطلاعات بین منابع مختلف جلوگیری شود. علاوه بر این، از قابلیت رویدادنگاری و ردیابی رخداد در این نرم‌افزار پشتیبانی می‌شود. این قابلیت‌ها امکان ثبت تمامی رویدادهای مهم و فعالیت‌های انجام‌شده توسط کاربران سازمان را فراهم می‌کند تا در صورت بروز مشکل، فعالیت‌های مشکوک را بررسی کنید.
تیم توسعه دانا پرو تایید صلاحیت شده‌اند و همه تکنولوژی‌ها و کامپوننت‌های استفاده‌شده در دانا پرو کاملا به‌روز هستند. در فرایند تولید این نرم‌افزار از هیچ ابزاری که دارای ملاحظات امنیتی یا سابقه آسیب‌پذیری جدی است استفاده نمی‌شود. همچنین، تیم تولید دانا، در تمامی مراحل تولید از بهروش‌ها و الزامات امنیتی از جمله OWASP که در ارزیابی امنیتی افتا هم مورد توجه است، پیروی می‌کند.
 

منبع: ايتنا

کلیدواژه: رپرتاژ فناوری اطلاعات گواهینامه افتا ارزیابی امنیتی نرم افزاری سازمان ها کسب وکار داده ها

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.itna.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۹۴۰۳۱۸۱ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

باج‌افزار‌ها چطور باج می‌گیرند؟

پژوهشگران حوزه امنیت سایبری نسبت به روش جدید باج‌افزار‌ها برای ورود به سیستم‌های رایانه‌ای و قفل کردن فایل‌ها هشدار دادند.

به گزارش آنا؛ همه ما کم‌وبیش از خطرات بارگیری (دانلود) فایل‌های ناشناخته در اینترنت آگاه هستیم؛ اما خوب است بدانیم که بارگذاری (آپلود) فایل‌ها نیز می‌تواند منجر به مشکل شود. هنگام به اشتراک‌گذاری فایل‌ها به صورت آنلاین مراقب باشید، زیرا ممکن است به رایانه شما آسیب برساند یا اطلاعات شخصی شما را در معرض خطر قرار دهد.

مرورگر‌های وب امروزی بسیار قدرتمندتر از نسل‌های قبلی مرورگر‌ها هستند. آن‌ها می‌توانند داده‌ها را هم در مرورگر و هم در محل ذخیره فایل در رایانه دستکاری کنند. قابلیت‌های مختلف در اینترنت و رایانه مانند ارسال و دریافت ایمیل، گوش دادن به موسیقی یا تماشای فیلم در عین آسان کردن کار‌ها برای کاربران، متأسفانه راه سوءاستفاده هکر‌ها از مرورگر‌ها را نیز هموار کرده است تا با فریب کاربران از طریق باج‌افزار‌ها وارد فایل‌های شما شوند و آن‌ها را قفل کنند. چنین اتفاقی به سادگی و در زمانی که سرگرم کار‌های معمول و آنلاین هستید می‌افتد.

نویسنده مقاله حاضر می‌گوید: «من یک دانشمند کامپیوتر هستم که در مورد امنیت سایبری مطالعه می‌کنم. من و همکارانم نشان داده‌ایم که چگونه هکر‌ها می‌توانند از طریق رابط برنامه‌نویسی به فایل‌های رایانه شما دسترسی پیدا کنند و به کمک برنامه‌های کاربردی وب در مرورگر‌های مدرن به فایل‌های سیستم شما برسند. این تهدید بیشتر متوجه مرورگر‌های گوگل کروم و مایکروسافت ِاج (Microsoft Edge) است و در مورد مرورگر‌های سافاری (برای اپل) یا موزیلا فایرفاکس صدق نمی‌کند. ۶۵ درصد از استفادۀ مرورگر‌ها به کروم اختصاص دارد و اِج نیز سهم ۵ درصدی دارد. تا آنجا که من می‌دانم، تاکنون گزارشی مبنی بر استفاده هکر‌ها از این دو مرورگر ثبت نشده است.»

باج‌افزار‌ها چطور باج می‌گیرند؟

مرورگر‌های امروزی هر کدام تقریباً یک سیستم عامل هستند. آن‌ها می‌توانند برنامه‌های نرم افزاری را اجرا کنند و فایل‌ها را رمزگذاری کنند. این قابلیت‌ها، همراه با دسترسی مرورگر به فایل‌های رایانه میزبان (از جمله فایل‌های موجود در فضای ابری، پوشه‌های مشترک و درایو‌های خارجی) از طریق دسترسی به فایل سیستم (File System Access API) فرصت جدیدی را برای باج‌افزار ایجاد می‌کند.

تصور کنید می‌خواهید عکس‌ها را روی یک ابزار آنلاین به صورت رایگان ویرایش کنید. هنگامی که عکس‌ها را برای ویرایش آپلود می‌کنید، هر هکری که ابزار ویرایش را کنترل می‌کند می‌تواند از طریق مرورگر به فایل‌های موجود در رایانه شما دسترسی داشته باشد. هکر‌ها به پوشه‌ای که از آن آپلود می‌کنید و همه زیرپوشه‌ها دسترسی پیدا می‌کنند. سپس هکر‌ها می‌توانند فایل‌های موجود در سیستم فایل شما را رمزگذاری و قفل کنند و برای رمزگشایی و باز کردن آن‌ها باج بگیرند.

باج افزار یک مشکل رو به رشد است. در سال ۲۰۲۳، سازمان‌ها بیش از ۱.۱ میلیارد دلار باج به نرم‌افزار‌های مهاجمان پرداخت کردند و در هر ثانیه ۱۹ حمله باج افزاری سازمان‌ها را هدف قرار دادند. افراد و سازمان‌ها، شرکت‌های بزرگ و جهانی، بانک‌ها، ارائه‌دهندگان خدمات ابری، اپراتورها، سرویس‌های نظارت بر تهدید، تولیدکنندگان تراشه، دولت‌ها، مراکز پزشکی و بیمارستان‌ها، شرکت‌های بیمه، مدارس، دانشگاه‌ها و حتی ادارات پلیس در رده قربانیان حملات باج‌افزاری هستند. امروزه باج‌افزار، رقابت تسلیحاتی شماره یک بین هکر‌ها و متخصصان امنیتی است. باج‌افزار‌های سنتی پس از اینکه هکر‌ها شما را فریب دادند تا آن را دانلود کنید، روی رایانه شما اجرا می‌شود.

دفاع جدید برای تهدید جدید

محققان دانشگاه بین‌المللی فلوریدا با همکاری گوگل نوع جدیدی از باج افزار را شناسایی کرده‌اند که می‌تواند رایانه شما را از طریق مرورگر‌های وب آلوده کند. شناسایی این نوع باج‌افزار بسیار دشوار است و می‌تواند فایل‌های شما را رمزگذاری کند و تا زمانی که باج را پرداخت نکنید، آن‌ها را غیرقابل دسترس می‌کند. این باج‌افزار RøB نامیده دارد و در مرورگر اجرا می‌شود و معمولاً آنتی‌ویروس‌های سنتی نمی‌توانند آن را شناسایی کنند.

برای مقابله با این تهدید جدید، محققان سه رویکرد دفاعی را برای محافظت از رایانه پیشنهاد کرده‌اند روش اول برنامه وب را به‌طور موقت متوقف می‌کند تا فایل‌های رمزگذاری شده را شناسایی کند. رویکرد دوم، فعالیت برنامه‌های وب در رایانه را برای شناسایی الگو‌های باج افزارمانند رصد می‌کند. رویکرد سوم به کاربران در مورد خطرات اجازه دسترسی و ورود برنامه‌های کاربردی وب به فایل سیستم هشدار می‌دهد.

اگر می‌خواهید از رایانه خود محافظت کنید در مورد محل آپلود یا ذخیره فایل‌ها بیشتر احتیاط کنید. هکر‌ها می‌توانند از آپلود‌های شما برای دسترسی به رایانه شما استفاده کنند، بنابراین مراقب باشید که چه چیزی را به‌صورت آنلاین به اشتراک می‌گذارید.

این گزارش از پایگاه اینترنتی دِ کانورسیشن به فارسی برگردان شده است.