اهمیت گواهینامه افتا برای نرم افزارهای ITSM
تاریخ انتشار: ۹ دی ۱۴۰۲ | کد خبر: ۳۹۴۰۳۱۸۱
این گواهینامه تضمین میکند که از دادههای دریافتی و در جریان در یک کسبوکار یا سازمان بهخوبی محافظت میشود و ساز و کار موثری برای صدور و مدیریت مجوز سطح دسترسی کارمندان، امنیت بالای APIها و رمزنگاری دادههای حساب اتخاذ شده است. ---------------- رپرتاژ آگهی -----------------
تامین امنیت زیرساختها، سازمانها و نهادهایی که در داخل کشور فعالیت میکنند با توجه به حجم دادههایی که بهطور روزمره جابهجا میشود، اهمیت بسزایی دارد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
با اتخاذ تدابیر امنیتی مناسب که یکی از آنها شامل استفاده از محصولات کارآمد و کاملا منطبق با نیازمندیهای امنیتی است، میتوان از خسارات احتمالی ناشی از حملات یا آسیبپذیریهای موجود در پلتفرمهای مختلف جلوگیری کرد. مرکز مدیریت راهبردی افتا (سازمان امنیت فضای تولید و تبادل اطلاعات) و وزارت فناوری اطلاعات کشور در یک همکاری مشترک، تامین امنیت و ارزیابی ویژگیهای امنیتی در محصولات نرمافزاری این حوزه را عهدهدار شدهاند.
در این مقاله قصد داریم بررسی کنیم که گواهینامه افتا چیست و چه اهمیتی در نرمافزارهای مدیریت سرویس های فناوری اطلاعات (ITSM) دارد.
گواهینامه افتا چیست؟
در سالهای نه چندان دور، استفاده از سامانههای نه چندان ایمن باعث میشد تا خسارات سنگینی به زیرساختهای کشور و همینطور سازمانهای خصوصی و دولتی وارد شود. سازمان افتا که از نام آن از سرواژگان «امنیت فضای تولید و تبادل اطلاعات» گرفته شده است، به منظور ایجاد یک استاندارد امنیتی ملی و قابل اتکا در این حوزه وارد عمل شد و با همکاری سازمان فناوری اطلاعات ایران، گواهی ارزیابی امنیتی ویژهای را به محصولات یا به عبارت بهتر سامانههای نرمافزاری اختصاص داد.
این مجوز نشان میدهد که یک سامانه نرمافزاری تا چه حد با پیشنیازهای امنیتی انطباق دارد. بنابراین، اگر سازمانی هستید که دادههای حساسی را مدیریت میکنید و یا با طیف گستردهای از مشتریان سروکار دارید، داشتن گواهینامه افتا در محصولات نرمافزاری مورد استفاده شما اهمیت بسیار زیادی دارد.
در واقع برخلاف تصور اکثر مدیران کسبوکار، صرفا استفاده از یک فایروال یا برنامههای ضد بدافزار و ضد ویروس نمیتواند در برابر تمامی حملات و تهدیدات سایبری موجود در فضای امروز فناوری اطلاعات سازمان را ایمن نگه دارد.
همین نگرانیهای امنیتی باعث شده است تا تولیدکنندگان محصولات و سامانههای نرمافزاری در زمینه ارتقاء امنیت راهکارهای خود تلاش بیشتری انجام بدهند. علاوه بر این، مصرفکنندگان نیز هنگام انتخاب یک راهکار، با دیدن گواهینامه افتا میتوانند با خیال راحتتری در یک محیط حساس از نظر اطلاعاتی از آن محصول استفاده کنند. مرکز راهبردی افتا با تدوین و ارائه طرحی تحت عنوان «طرح ارزیابی امنیتی»، محصولات نرمافزاری مورد نیاز سازمانها را براساس استانداردهای بهروز امنیتی جهان تحت ارزیابی قرار میدهد.
این مرکز برای ارزیابی دقیق و جامع سامانههای نرمافزاری فرایند و رویه خاصی را دنبال میکند که در ادامه با برخی مراحل آن آشنا میشویم:
- مراجعه تولیدکننده به سازمان فناوری اطلاعات و ارائه درخواست ارزیابی امنیتی محصول
- ارجاع درخواست به مرکز افتا و تعیین آزمایشگاه جهت مراجعه تولیدکننده
- انعقاد قرارداد بین تولیدکننده و آزمایشگاه
- انجام ارزیابی امنیتی محصول براساس مولفهها و چارچوبهای مشخص و اعلام نتایج
- ارزیابی امنیتی شرکت یا سازمان و تعیین سطح فعالیت آن توسط افتا
- اعلام تایید یا عدم تایید محصول، سطح بهکارگیری آن و مدت اعتبار مجوز اعطا شده توسط افتا
- در نهایت، صدور گواهینامه افتا توسط سازمان فناوری اطلاعات
چرا گواهینامه افتا برای نرمافزارهای ITSM اهمیت دارد؟
ممکن است بهعنوان یک مدیر فناوری اطلاعات، از سوی مدیران بالا دستی تحت فشار قرار بگیرید که از راهکارهایی با ویژگیهای امنیتی نامشخص و نه چندان موثر استفاده کنید تا به این ترتیب در هزینههای عملیاتی سازمان صرفهجویی انجام شود. اما باید این واقعیت را پذیرفت که سالانه سازمانهای زیادی به دلیل آسیبپذیریهای امنیتی و عدم آگاهی نسبت به بهروشهای حفاظت از دادهها، متحمل خسارتهای سنگینی میشوند.
دانش بهترین دفاع است و وقتی بدانید چه چیزی در سازمان و زیرساختهای آن در حال رخ دادن است، چه داراییهایی دارید، چه کسی مسئول این داراییها است، چه اتفاقی برای هر دارایی رخ داده است و کارکنان شما به چه بخشهایی دسترسی دارند میتوانید از بروز بسیاری از مشکلات امنیتی جلوگیری کنید.
یک نرم افزار ITSM نه تنها به این سوالات، بلکه به دهها مورد دیگر پاسخ میدهد و ابزارهای قدرتمندی مانند سرویس دسک، مدیریت دارایی و مدیریت رخدادها را در اختیار سازمان قرار میدهد. متاسفانه برخی از سازمانها و مدیران نقش اساسی یک راهکار ITSM کارآمد را در فرایند تقویت امنیت کسبوکارشان نادیده میگیرند یا پیش پا افتاده میدانند.
سرویس دسک اولین گام به سوی دیجیتالی شدن است و فرایندهای مناسبی را تنظیم میکند تا کسبوکار قابلیت پاسخگویی با حداکثر کارایی و سرعت را داشته باشد. با یک نرم افزار ITSM کسبوکار قادر است در هر رخداد امنیتی، در سریعترین زمان ممکن به یک وضعیت بحرانی رسیدگی کند.
این راهکار به کارمندان کمک میکند تا بدانند باید با چه کسی تماس بگیرند. بنابراین وقوع حادثه بلافاصله به یک فرد مناسب اطلاعرسانی میشود و به لطف قابلیتهای اتوماسیون و اولویتبندی، فرد با کمترین تاخیر و معطلی میتواند اقدامات لازم برای حل مشکل را انجام دهد.
از آنجایی که یک نرم افزار ITSM امکان ایجاد پایگاه دانش، مدیریت تیکتها، مدیریت رخدادها و داراییها را به شیوهای ساختاریافته و مدرن ارائه میدهد، در واقع در هر لحظه با دادههای زیادی سروکار دارد. بنابراین، این نرمافزار باید از نظر امنیتی قابل اطمینان باشد تا دادههای ارزشمند داخلی سازمان یا مشتریان کسبوکار به بیرون درز نکند. اگر نمیدانید نرم افزار ITSM چیست، کلیک کنید.
نرم افزار دانا پرو تنها ابزار ITSM دارای گواهینامه افتا
نرمافزار ITSM دانا پرو تنها راهکار ITSM ایرانی است که از گواهینامه افتا بهره میبرد. این گواهینامه تضمین میکند که از دادههای دریافتی و در جریان در یک کسبوکار یا سازمان بهخوبی محافظت میشود و ساز و کار موثری برای صدور و مدیریت مجوز سطح دسترسی کارمندان، امنیت بالای APIها و رمزنگاری دادههای حساب اتخاذ شده است.
نرم افزار ITSM دانا پرو از تنظیمات امنیتی مختلفی برخوردار است که امکان پیکربندی اصولی و بهروز ویژگیهای امنیتی مورد نیاز یک سازمان را فراهم میکند. این سامانه از سیاست رمزعبور بهره میبرد که امکان تقویت امنیت حسابهای کاربری کارمندان را میسر میکند. همچنین سطوح دسترسی تمامی کارمندان به بخشهای مختلف از جمه ماژولها، فیلدها و حتی رکوردها قابل تنظیم و کنترل است.
در نرمافزار دانا پرو میتوانید با محدود سازی آدرسهای IP، از دسترسی به سامانه با دستگاهها یا دامنههای غیرمجاز جلوگیری کنید. نرم افزار ITSM دانا پرو از ایمنسازی با پروتکلهای SSL و TLS پشتیبانی میکند تا از تبادل غیرایمن اطلاعات بین منابع مختلف جلوگیری شود. علاوه بر این، از قابلیت رویدادنگاری و ردیابی رخداد در این نرمافزار پشتیبانی میشود. این قابلیتها امکان ثبت تمامی رویدادهای مهم و فعالیتهای انجامشده توسط کاربران سازمان را فراهم میکند تا در صورت بروز مشکل، فعالیتهای مشکوک را بررسی کنید.
تیم توسعه دانا پرو تایید صلاحیت شدهاند و همه تکنولوژیها و کامپوننتهای استفادهشده در دانا پرو کاملا بهروز هستند. در فرایند تولید این نرمافزار از هیچ ابزاری که دارای ملاحظات امنیتی یا سابقه آسیبپذیری جدی است استفاده نمیشود. همچنین، تیم تولید دانا، در تمامی مراحل تولید از بهروشها و الزامات امنیتی از جمله OWASP که در ارزیابی امنیتی افتا هم مورد توجه است، پیروی میکند.
منبع: ايتنا
کلیدواژه: رپرتاژ فناوری اطلاعات گواهینامه افتا ارزیابی امنیتی نرم افزاری سازمان ها کسب وکار داده ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۹۴۰۳۱۸۱ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
باجافزارها چطور باج میگیرند؟
پژوهشگران حوزه امنیت سایبری نسبت به روش جدید باجافزارها برای ورود به سیستمهای رایانهای و قفل کردن فایلها هشدار دادند.
به گزارش آنا؛ همه ما کموبیش از خطرات بارگیری (دانلود) فایلهای ناشناخته در اینترنت آگاه هستیم؛ اما خوب است بدانیم که بارگذاری (آپلود) فایلها نیز میتواند منجر به مشکل شود. هنگام به اشتراکگذاری فایلها به صورت آنلاین مراقب باشید، زیرا ممکن است به رایانه شما آسیب برساند یا اطلاعات شخصی شما را در معرض خطر قرار دهد.
مرورگرهای وب امروزی بسیار قدرتمندتر از نسلهای قبلی مرورگرها هستند. آنها میتوانند دادهها را هم در مرورگر و هم در محل ذخیره فایل در رایانه دستکاری کنند. قابلیتهای مختلف در اینترنت و رایانه مانند ارسال و دریافت ایمیل، گوش دادن به موسیقی یا تماشای فیلم در عین آسان کردن کارها برای کاربران، متأسفانه راه سوءاستفاده هکرها از مرورگرها را نیز هموار کرده است تا با فریب کاربران از طریق باجافزارها وارد فایلهای شما شوند و آنها را قفل کنند. چنین اتفاقی به سادگی و در زمانی که سرگرم کارهای معمول و آنلاین هستید میافتد.
نویسنده مقاله حاضر میگوید: «من یک دانشمند کامپیوتر هستم که در مورد امنیت سایبری مطالعه میکنم. من و همکارانم نشان دادهایم که چگونه هکرها میتوانند از طریق رابط برنامهنویسی به فایلهای رایانه شما دسترسی پیدا کنند و به کمک برنامههای کاربردی وب در مرورگرهای مدرن به فایلهای سیستم شما برسند. این تهدید بیشتر متوجه مرورگرهای گوگل کروم و مایکروسافت ِاج (Microsoft Edge) است و در مورد مرورگرهای سافاری (برای اپل) یا موزیلا فایرفاکس صدق نمیکند. ۶۵ درصد از استفادۀ مرورگرها به کروم اختصاص دارد و اِج نیز سهم ۵ درصدی دارد. تا آنجا که من میدانم، تاکنون گزارشی مبنی بر استفاده هکرها از این دو مرورگر ثبت نشده است.»
باجافزارها چطور باج میگیرند؟مرورگرهای امروزی هر کدام تقریباً یک سیستم عامل هستند. آنها میتوانند برنامههای نرم افزاری را اجرا کنند و فایلها را رمزگذاری کنند. این قابلیتها، همراه با دسترسی مرورگر به فایلهای رایانه میزبان (از جمله فایلهای موجود در فضای ابری، پوشههای مشترک و درایوهای خارجی) از طریق دسترسی به فایل سیستم (File System Access API) فرصت جدیدی را برای باجافزار ایجاد میکند.
تصور کنید میخواهید عکسها را روی یک ابزار آنلاین به صورت رایگان ویرایش کنید. هنگامی که عکسها را برای ویرایش آپلود میکنید، هر هکری که ابزار ویرایش را کنترل میکند میتواند از طریق مرورگر به فایلهای موجود در رایانه شما دسترسی داشته باشد. هکرها به پوشهای که از آن آپلود میکنید و همه زیرپوشهها دسترسی پیدا میکنند. سپس هکرها میتوانند فایلهای موجود در سیستم فایل شما را رمزگذاری و قفل کنند و برای رمزگشایی و باز کردن آنها باج بگیرند.
باج افزار یک مشکل رو به رشد است. در سال ۲۰۲۳، سازمانها بیش از ۱.۱ میلیارد دلار باج به نرمافزارهای مهاجمان پرداخت کردند و در هر ثانیه ۱۹ حمله باج افزاری سازمانها را هدف قرار دادند. افراد و سازمانها، شرکتهای بزرگ و جهانی، بانکها، ارائهدهندگان خدمات ابری، اپراتورها، سرویسهای نظارت بر تهدید، تولیدکنندگان تراشه، دولتها، مراکز پزشکی و بیمارستانها، شرکتهای بیمه، مدارس، دانشگاهها و حتی ادارات پلیس در رده قربانیان حملات باجافزاری هستند. امروزه باجافزار، رقابت تسلیحاتی شماره یک بین هکرها و متخصصان امنیتی است. باجافزارهای سنتی پس از اینکه هکرها شما را فریب دادند تا آن را دانلود کنید، روی رایانه شما اجرا میشود.
دفاع جدید برای تهدید جدیدمحققان دانشگاه بینالمللی فلوریدا با همکاری گوگل نوع جدیدی از باج افزار را شناسایی کردهاند که میتواند رایانه شما را از طریق مرورگرهای وب آلوده کند. شناسایی این نوع باجافزار بسیار دشوار است و میتواند فایلهای شما را رمزگذاری کند و تا زمانی که باج را پرداخت نکنید، آنها را غیرقابل دسترس میکند. این باجافزار RøB نامیده دارد و در مرورگر اجرا میشود و معمولاً آنتیویروسهای سنتی نمیتوانند آن را شناسایی کنند.
برای مقابله با این تهدید جدید، محققان سه رویکرد دفاعی را برای محافظت از رایانه پیشنهاد کردهاند روش اول برنامه وب را بهطور موقت متوقف میکند تا فایلهای رمزگذاری شده را شناسایی کند. رویکرد دوم، فعالیت برنامههای وب در رایانه را برای شناسایی الگوهای باج افزارمانند رصد میکند. رویکرد سوم به کاربران در مورد خطرات اجازه دسترسی و ورود برنامههای کاربردی وب به فایل سیستم هشدار میدهد.
اگر میخواهید از رایانه خود محافظت کنید در مورد محل آپلود یا ذخیره فایلها بیشتر احتیاط کنید. هکرها میتوانند از آپلودهای شما برای دسترسی به رایانه شما استفاده کنند، بنابراین مراقب باشید که چه چیزی را بهصورت آنلاین به اشتراک میگذارید.
این گزارش از پایگاه اینترنتی دِ کانورسیشن به فارسی برگردان شده است.