در حالی که تعداد سازمانهای دولتی دارای گواهینامه ایمن سازی فضای تبادل اطلاعات به انگشتهای یک دست هم نمی رسند دولت در برنامه پنجم موظف شده با اجرای سند امنیت فضای تبادل اطلاعات، سطح حفاظت از اطلاعات رایانهای را ارتقا بخشد.
امنیت فضای تبادل اطلاعات از آغاز تاکنون
تامین امنیت فضای تبادل اطلاعات کشور - افتا - در عصری که تمامی فعالیتها به سمت الکترونیکی شدن پیش می رود به یکی از مهمترین شاخصههای توسعه تبدیل شده است به همین دلیل شورایعالی امنیت فضای تبادل اطلاعات با هدف حفظ این فضا و ایجاد امنیت در حوزههای گوناگونی همچون تجارت، اقتصاد، ارتباطات و اطلاعات در اواخر سال ۱۳۸۲ تشکیل شد.
نخستین اقدام روشن این شورا پس از آغاز به کار، تدوین سند راهبردی افتا (امنیت فضای تبادل اطلاعات) کشور بود که به استناد بند «ج» ماده ۴۴ قانون برنامه چهارم توسعه و پیشنهاد شورایعالی امنیت فضای تبادل اطلاعات کشور تهیه شد. این سند برای تحقق اهداف چشمانداز ۲۰ ساله کشور تدوین شده بود و از طرف دیگر خطوط راهنما و محورهای اصلی برنامه پنجساله چهارم توسعه کشور را نیز مدنظر قرار میداد.
اما تصویب سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور تا پایان سال ۸۷ به طول انجامید و این سند که از جمله اهداف آن حفظ زیرساختهای حیاتی کشور در مقابل حملات الکترونیکی و حفظ اسرار کسب و کار و مالکیت خصوصی در فضای تولید و تبادل اطلاعات بود در اسفند این سال به تمامی دستگاههای مربوطه ابلاغ شد.
اگرچه تصویب سند امنیت فضای تبادل اطلاعات از جمله اهداف برنامه چهارم توسعه کشور بود اما با توجه به زمان زیادی که صرف تصویب این سند شد اجرای آن به برنامه پنجم توسعه کشیده و به گفته کارشناسان سند افتا تاکنون در کشور عملیاتی و پیاده سازی نشده است.
نهادهای دولتی موفق به اخذ گواهینامه افتا نشدند
حمید بابادی نیا رئیس کمیسیون امنیت فضای تبادل اطلاعات سازمان نظام صنفی رایانه ای در تشریح فعالیتهای صورت گرفته در بحث امنیت فضای تبادل اطلاعات در کشور و تدوین چندین سند در این حوزه گفت: هم اکنون تعداد شرکتها و سازمانهایی که موفق به اخذ گواهینامه ایمن سازی فضای تبادل اطلاعات - ISMS - از ارگانهای بین المللی شدند از تعداد انگشتهای یک دست هم کمتر است و این مسئله نشان می دهد که تاکنون نتوانسته ایم سیستم افتا را در کشور پیاده سازی کنیم.
وی با اشاره به وضعیت امنیت فضای تبادل اطلاعات کشور و با تاکید بر اینکه در این زمینه در ابتدای راه هستیم، ادامه داد: برغم فعالیت هایی که در این زمینه صورت گرفته امروز نه تنها بانکهای دولتی بلکه وزارتخانه ها و سایر ارگانها نیز تاکنون موفق به اخذ گواهینامه ISMS که استانداردی برای ایمن سازی افتا محسوب می شود نشده اند.
بابادی نیا عدم مشارکت کارشناسان و صاحب نظران در تدوین اسناد امنیت فضای تبادل اطلاعات را از مهمترین نقطه ضعف اسناد افتا برشمرد و گفت: برای تدوین سند جامع در خصوص امنیت فضای تبادل اطلاعات لازم است با کارشناسان مربوطه و متولیان و فعالان این حوزه همفکری شود در غیر این صورت این اسناد در گوشه ای بایگانی خواهد شد.
امنیت فضای تبادل اطلاعات محدود به نصب فایروالها
بابادی نیا امنیت فضای تبادل اطلاعات در کشور را محدود به شبکه های کامپیوتری و نصب فایروالها اعلام کرد و به گفت: اگر ما در مسیر ایجاد امنیت در فضای تبادل اطلاعات قرار گیریم، می توانیم با لازم الاجرایی کردن اسناد بالادستی در این حوزه، نسبت به اجرایی شدن امنیت در لایه های مختلف دستگاهها و ارگانها امیدوار باشیم.
وی با اشاره به مصوبات هفته های اخیر مجمع تشخیص مصلحت نظام برای ساماندهی نظام جامع و فراگیر در سطح ملی گفت: مجمع تشخیص مصلحت نظام در تدوین سیاستهای کلی نظام امنیت فضای تبادل اطلاعات در سطح ملی و ایجاد سازوکارهای مناسب برای امن سازی ساختارهای حیاتی و حساس و ارتقای مداوم امنیت شبکههای الکترونیکی و سامانههای اطلاعاتی و ارتباطی در کشور تاکید کرده است.
رئیس کمیسیون امنیت فضای تبادل اطلاعات سازمان نظام صنفی رایانه ای، بومی سازی تجهیزات امنیتی در حوزه IT را از دیگر مصوبات این مجمع عنوان کرد و گفت: خوشبختانه در حوزه تجهیزات امنیتی، برخی تولیدات شرکتهای فعال ایرانی با تجهیزات تولید شده در کشورهای آسیای جنوب شرقی رقابت می کند ولی متاسفانه تا کنون حمایتی از سوی دولت در زمینه تولید و تجاری سازی این تجهیزات در بازارهای داخلی و بین المللی اعمال نشده که این امر دلسردی تولید کنندگان را به دنبال داشته است.
موازی کاری در حوزه امنیت فضای تبادل اطلاعات
رئیس کمیسیون افتا سازمان نظام صنفی رایانه ای با انتقاد از تدوین چندین سند در حوزه امنیت فضای تبادل اطلاعات نیز گفت: در حال حاضر کمیسیون افتا در سازمان تنظیم مقررات و ارتباطات رادیویی، سازمان فناوری اطلاعات وزارت ارتباطات، کارگروه افتا در دولت و مجمع تشخیص مصلحت نظام در این حوزه وارد شدند و اسنادی را در این زمینه تدوین کرده اند ضمن آنکه در بخش پلیس امنیت و وزارت دادگستری نیز اقداماتی در این زمینه انجام شده است.
وی با اشاره به زیان های ناشی از موازی کاری در این زمینه تاکید کرد: در حال حاضر شرکتهایی در کشور هستند که با سابقه ۱۰ تا ۱۵ سال در این حوزه فعالیت می کنند. از این رو لازم بود تا مجمع تشخیص مصلحت نظام در تدوین و تصویب این سند، نظر کارشناسان این حوزه را جویا می شد چون به نظر می رسد تدوین سند جامع بدون نظر مشورتی میسر نخواهد بود.
به گفته رئیس کمیسیون افتا سازمان نظام صنفی رایانه ای تمامی کشورهای پیشرفته زمانی پیشرفت کردند که فناوری اطلاعات را در راس امور قرار دادند ولی در کشور ما هر ارگانی در راستای رسالتی که دارد در این حوزه وارد شده که این امر اگرچه مثبت است اما منافع مملکت با این موازی کاریها به هدر رفته و باعث اتلاف منابع، سرمایه و وقت می شود.
ارتقای سطح حفاظت از اطلاعات رایانهای در برنامه پنجم توسعه
در طول برنامه پنجم توسعه دولت موظف شده با اجرای سند امنیت فضای تبادل اطلاعات سطح حفاظت از اطلاعات رایانهای و امنیت فناوریها را ارتقا بخشد.
از جمله اقداماتی که دولت در این زمینه باید انجام دهد تکلیف نهادهای اجرایی دارای زیرساخت های حیاتی به امن سازی زیرساخت ها و حفظ امنیت تبادل اطلاعات در مقابل حملات الکترونیک در چارچوب سند امنیت فضای تبادل اطلاعات تا پایان سال دوم برنامه است.
همچنین وزارت اطلاعات موظف شده با همکاری وزارت ارتباطات و فناوری اطلاعات استانداردها و دستورالعمل های لازم برای امنیت فضای تبادل اطلاعات را در ۶ ماهه اول اجرای برنامه با همکاری سازمان ملی استاندارد تدوین کند که حداقل ۵۰ درصد ارزش ریالی تجهیزات و نرم افزارهای افتا تا پایان سال دوم برنامه از توانمندسازی شرکت های غیردولتی داخلی تهیه شود.
تمامی دستگاههای اجرایی و اشخاص حقوقی ارائه دهنده خدمات عمومی نیز موظفند از سال دوم برنامه نسبت به اجرای سامانه مدیریت اطلاعات و از سال اول نسبت به اجرای دستورالعمل ها و استانداردهای «افتا» اقدام کنند.