نقش آفرینی راهبردی آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT و پیشنهاداتی به منظور بهبود عملکرد و ارتقاء جایگاه آن

به گزارش سیتنا، دکتر هاشم حبیبی، نائب رئیس انجمن صنفی افتا در زیر ذره بین شماره 98 ماهنامه نسل چهارم آورده است:

آزمایشگاه پژوهشگاه ارتباطات و فناوری اطلاعات مانند اکثر آزمایشگاه‌های مورد تایید مرکز راهبردی افتا، بر اساس پروفایل‌های حفاظتی (Protection Profiles)  ابلاغی از افتا، محصولات را ارزیابی کرده و گزارش ارزیابی را برای مرکز راهبردی افتا ارسال می‌کند و این مرکز نیز گواهینامه افتا را صادر می‌کند.

در خصوص آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT می‌توان گفت که این آزمایشگاه یکی از هفت الی هشت آزمایشگاه‌ معتبر و مورد تایید افتا در کشور است که نرم‌افزارهای امنیتی و غیرامنیتی برای آنها ارسال می‌شود.
با توجه به اینکه آزمایشگاه امنیتی در پژوهشگاه ارتباطات و فناوری اطلاعات راه‌اندازی شده است، می‌توان گفت که ترکیبی از اساتید و کارکنان متخصص و ماهر در این آزمایشگاه مشغول به کار هستند و با استناد به همکاری با آنها، باید گفت از توان علمی خوب و بالایی برخوردار هستند؛ همچنین از مدیران باسواد و تحصیل کرده‌ای نیز بهره‌مند می‌باشند.

آزمایشگاه ارزیابی امنیتی پژوهشگاه ICT، دولتی است و زیر نظر وزارت ارتباطات و فناوری اطلاعات اداره می‌شود که این موضوع از یک جنبه مثبت و از جنبه دیگری منفی است؛ آزمایشگاه ارزیابی امنیتی که دولتی باشد نگران درآمد نیست و بنابراین احتمال خطا در ارزیابی کمتر می‌شود و با صبر و حوصله بیشتری ارزیابی را انجام می‌دهد، اما در عوض چنانچه این لختی زیاد شود و چابکی لازم را نداشته باشد، ممکن است به اصل کار ضربه وارد شود و مشتری‌ها اعتماد لازم را نکنند، بنابراین باید بین چابکی و کسب درآمد یک تعادل ایجاد کند.

بر اساس همکاری با پژوهشگاه ارتباطات و فناوری اطلاعات، به این نتیجه رسیدیم که آزمایشگاه مطلوبی در این حوزه است و ارزیابی‌های دقیقی بر اساس استانداردها و پروفایل‌های حفاظتی که مرکز راهبردی به آنها ابلاغ کرده است، انجام می‌دهند.

میزان نرم‌افزارهایی که برای دریافت مجوز به آزمایشگاه ها ارجاع داده می‌شوند، بسیار زیاد است در حالی که تعداد آزمایشگاه‌ها بسیار کم است، بنابراین در بیشتر مواقع نرم‌افزارهایی که برای ارزیابی به آزمایشگاه پژوهشگاه ICT ارسال می‌شود، در صف ارزیابی باقی می‌مانند و این صف هم ناشی از تعداد درخواست بالا است و این موضوع به زمان بر شدن ارزیابی‌ها منجر می‌شود.

نکته دیگری که در آزمایشگاه پژوهشگاه ICT و اکثر آزمایشگاه‌های کشور وجود دارد، این است که آزمایشگاه موظف به ارزیابی نرم‌افزارها و اعلام نقاط ضعف آنها به صاحبان نرم‌افزار است، در حالی که صاحبان نرم‌افزار انتظار دارند که علی رغم اعلام نقاط ضعف، راهکاری نیز از سوی آزمایشگاه‌ها ارائه شود تا در همین جهت ارزیابی آنها زودتر به نتیجه برسد و دریافت گواهینامه سرعت گیرد، در صورتی که در حال حاضر اکثر آزمایشگاه‌ها از ارائه پیشنهاد برطرف‌سازی نقاط ضعف امتناع می‌کنند.

ذکر این نکته ضروری است که بر اساس استانداردها وظیفه‌ای در این  خصوص برای آزمایشگاه‌ها تعیین نشده است، اما به عنوان صاحب نرم‌افزار پیشنهاد می‌دهم که اگر آزمایشگاه پژوهشگاه ICT و سایر آزمایشگاه‌ها این مهم را انجام دهند، استقبال بسیار زیادی را به دنبال خواهد داشت.

پیشنهاد دیگر بنده این است که آزمایشگاه‌ها به میزان ظرفیت خود، ارزیابی نرم‌افزارها را پذیرش کنند و به عبارتی توقع صاحب نرم‌افزار را بالا نبرند، به عبارت دیگر زمانی که صف ارزیابی آنها تکمیل است، نرم‌افزار دیگری را برای ارزیابی قبول نکنند.

هم اکنون نرم‌افزارهایی تحت عنوان سامانه‌های ارزیابی امنیتی نرم‌افزارها در دنیا وجود دارد که با ورود سورس یا بلک باکس نرم‌افزار به آن، به صورت اتوماتیک ارزیابی امنیتی را انجام می‌دهد و برخی از نقاط ضعف را با سرعت به صاحبان نرم‌افزار اعلام می‌کند و این موضوع نیازمند این است که آزمایشگاه‌ها این نرم افزارهای اصلی را خریداری کنند که شرکت‌های معتبری مانند آی بی ام و برخی از شرکت‌های روسی و اروپایی آن را دارا هستند و در چنین وضعیتی عملاً سرعت ارزیابی امنیتی بالاتر می‌رود.

پژوهشگاه ارتباطات و فناوری اطلاعات به دلیل ذات تحقیقاتی خود، می‌تواند تعدادی تز و پایان نامه‌های کارشناسی ارشد و دکترا در حوزه ارزیابی امنیتی را در دانشگاه‌ها تعریف کند و ضمن حمایت مادی و معنوی این پایان‌نامه‌ها، کمک کند تا تعداد زیادی از فارغ التحصیلان دانشگاه‌ها به حوزه ارزیابی امنیتی ورود کنند،که این کار موجب می‌شود متخصصان ارزیابی امنیتی در کشور تربیت شوند و فارغ‌التحصیلان این حوزه به جامعه تقدیم شود. در پایان از همه عزیزان این آزمایشگاه، نهایت تشکر و قدردانی را دارم.

انتهای پیام