Performancing Metrics

پورتال سازمانی شرکت نیافام بر اساس معیارهای امنیتیِ "مرکز مدیریت راهبردی افتا" توسعه یافته‌است | اتاق خبر
کد خبر: 446896
تاریخ انتشار: 27 شهریور 1399 - 14:39
اگر مدیر یک سازمان بزرگ هستید و قصد طراحی پورتال سازمانی برای مجموعۀ تحت مدیریتِ خود دارید می‌بایست قبل از اقدام به انتخاب پیمانکارِ پروژه، نسبت به معیارهای متنوعی که در ارزیابی پورتال‌ها مطرح هستند، آگاهی مناسبی بدست آورید.

 

اگر مدیر یک سازمان بزرگ هستید و قصد طراحی پورتال سازمانی برای مجموعۀ تحت مدیریتِ خود دارید می‌بایست قبل از اقدام به انتخاب پیمانکارِ پروژه، نسبت به معیارهای متنوعی که در ارزیابی پورتال‌ها مطرح هستند، آگاهی مناسبی بدست آورید. شاید قالبِ وبسایتِ اصلیِ سازمان بعنوانِ ویترینِ اصلیِ پورتال، از نظر شما اهمیت بالایی داشته باشد که صد البته بسیار مهم است ولیکن امکانات و قابلیت‌های نرم‌افزار مدیریت پورتال سازمانی، بخشِ عمدۀ معیارهای ارزیابیِ پورتال را تشکیل می‌دهد و در موفقیت پروژه تأثیر بسزایی دارد. یکی از قابلیت‌های چنین سامانه‌هایی، نفوذناپذیری و امکاناتِ حفاظتی است که اغلب با برچسبِ "امنیت پورتال سازمانی" شناخته می‌شود.

 اطلاعات، محصولات و خدماتِ قابل ارائه توسط سازمان‌های بزرگ و پیشرو از طریقِ پورتال آنها در اختیارِ مخاطبان و مشتریان‌شان قرار می‌گیرد بنابراین مجموعۀ وبسایت‌ها و صفحاتِ یک پورتال، باید در کیفیت و کمیتی توسعه یابند که متناسب با ماهیت سازمان بوده و تواناییِ پاسخگویی به نیازهای سازمان و کاربرانش را داشته‌باشد. فراهم نمودنِ چنین کیفیتی نیاز به بستری دارد که در حقیقت، موتورِ قدرت‌دهندۀ پورتال محسوب می‌شود. چنین بستری در قالبِ نرم‌افزارهای پورتال سازمانی مهیا می‌شود.

 شرکت‌های متعددی در ایران به تولید و توسعۀ این سیستم‌ها مشغول هستند ولیکن نرم‌افزار پورتال سازمانیِ اسپریت پورتال که تولید شرکت دانش بنیان نیافام است، در سالیان اخیر توجه زیادی را به خودش جلب کرده‌است. این سیستم علاوه بر امکاناتِ گسترده‌ای که در قالبِ ماژول‌های متنوع ارائه می‌کند، رابط کاربریِ منحصربفرد و قابلیت‌های ویژه و فناورانه‌ای را برای کاربرانش در نظر گرفته‌است. برنامه‌ریزی و فرایند توسعۀ محصولِ شرکت نیافام از مراحل ابتدایی بر اساس رعایت معیارها و استانداردهای امنیتیِ تعریف‌شده توسطِ مرکز مدیریت راهبردیِ افتا بوده‌است. مدیران و کارشناسانِ شرکت نیافام، از بدو شروع توسعه نرم‌افزار، با در اختیار داشتن معیارهای مورد نیاز برای دریافت گواهی امنیتیِ محصولِ خود، نسبت به رعایت استاندارد امنیتیِ تبیین‌شده توسط سازمان‌های رسمیِ دولتی اقدام کرده‌اند و در نتیجۀ این رویکرد، نرم‌افزارِ "اسپریت پورتال" با مجموعۀ کامل و قابل توجهی از اقدامات و تنظیمات امنیتی توسعه یافته‌است.

نرم‌افزارهای مدیریت پورتال‌، در رستۀ نرم‌افزارهای کاربردیِ تحت وب قرار می‌گیرند. اینگونه سیستم‌ها بعضاً به دلیلِ ماهیتِ فعالیتِ آنها  و اطلاعاتی که در بانک اطلاعاتیِ آنها وجود دارد، بواسطۀ حملات سایبری و اقداماتِ خرابکارانه مورد تهدید قرار می‌گیرند و در صورتِ نفوذِ هکرها به پورتال، احتمالِ رویدادهای ناخوشایندِ بسیاری را می‌توان متصور شد. جدا از نفوذِ عواملِ خارج از سازمان، مخاطراتِ ناشی از اشتباهاتِ کاربرانِ سازمان در استفاده از نرم‌افزار نیز می‌تواند مسیرِ نفوذ و تخریبِ سیستم را برای اقداماتِ شرورانه هموار کند بنابراین برای جلوگیری از این احتمال، باید تمهیداتِ ویژه‌ای حین فرایند توسعۀ سیستم اندیشیده شود.  اگر سازمان، نیز یک سازمانِ دولتی بزرگ یا یک کسب و کارِ تجاریِ آنلاین باشد که خدماتِ خود را از طریقِ اینترنت ارائه می‌کند، نفوذ به چنین پورتالی می‌تواند یک فاجعه سیاسی و اقتصادی قلمداد شود.

حال، باید دید که آیا معیار و سنجه‌ای برای اندازه‌گیریِ امنیتِ نرم‌افزار پورتال سازمانی وجود دارد یا خیر و اینکه آیا سازمانی در ایران رسماً در زمینۀ ارزیابی امنیتِ محصولات و ارائۀ گواهی در این زمینه فعالیت دارد؟. یکی از مطرح‌ترین گواهی‌ها در زمینۀ امنیت اپلیکیشن‌های تحت وب، گواهی امنیتیِ OWASP است که لازمۀ دستیابی به آن، رعایتِ مجموعه‌ای از معیارها برای حفظ امنیت و مقابله با نفوذ را شامل می‌شود.

با توجه به این مهم که در تمامی زیرساخت‌های حیاتی، حساس و مهم کشور بصورت کاملا گسترده از این پورتال‌های سازمانی استفاده می‌شود، وجود تهدیدات در فضای تولید و تبادل اطلاعات، ارزیابی امنیتی محصولات مورد استفاده در این حوزه را امری ضروری و اجتناب‌ناپذیر می‌‌کند. در این راستا تایید صحت عملکرد سیستم‌هایی همانندِ پورتال‌های سازمانی توسط مراجع بالادستی که همان مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات هستند صورت می‌گیرد. تست‌های مورد نیاز برای ارزیابی امنیتیِ محصولاتِ نرم‌افزاری در آزمایشگاه‌های معتبرِ معرفی‌شده توسطِ سازمان فناوری اطلاعات انجام‌ می‌شود و در صورتِ گذراندنِ موفقِ تمامِ تست‌ها، برای محصول، گواهیِ ISO15408 صادر می‌گردد. با توجه به ماهیتِ متغیرِ نرم‌افزارهای کاربردی و مخاطراتِ نوپدید در فضای سایبری، این گواهی با اعتبارِ زمانیِ محدود ارائه می‌شوند و شرکت‌های توسعه‌دهندۀ این سیستم‌ها باید همواره محصولاتِ خود را با معیارهای مرکز افتا تطبیق دهند و اعتبارِ گواهیِ محصولِ خود را تمدید نمایند.

سازمانِ فناوری اطلاعات، اهدافِ خود را از ارزیابیِ محصولات نرم‌افزاری چنین بیان نموده‌است:

  • حصول اطمینان از امنیت محصولات مورد استفاده در دستگاه‌های اجرایی موضوع ماده (5) قانون مدیریت خدمات كشوری
  • حمایت از طراحی و توسعه محصولات افتا و ضدبدافزار بومی
  • شناسایی شركت‌های بومی تولیدكننده محصولات
  • شناسایی محصولات بومی و مشخصه فنی آن­ها
  • برقراری امكان ارتباط با تولیدكنندگان بومی، اطلاع یافتن سازمان از فعالیت و مشكلات ایشان
  • رونق كسب و كار در حوزه محصولات و شركت‌­ها

 

آزمایشگاه‌های ارزیابی در فرایند ارزیابی امنیتی محصولات نقش بسیار مهمی دارند. همچنین آزمایشگاه‌هایی در این فرایند شرکت میکنند که توسط مرکز افتاو سازمانِ فناوری اطلاعات ایران اعتبارسنجی و اعتباربخشی شده و گواهی انجام فعالیت دریافت کرده باشند.

 

نظرات
ADS
ADS
پربازدید