متقاضی آزمون و ارزیابی محصولات مبتنی بر زیرساخت کلید عمومی که میتواند تولیدکننده محصول، مشتری سفارشدهنده، صاحب امتیاز و یا نماینده فروش محصول باشد.
پودمانهای رمزنگاشتی مانند توکنهای هوشمند، کارتهای هوشمند، سیمکارتهای هوشمند، پودمانهای سختافزاری تحت شبکه و پودمانهای رمزنگاشتی نرمافزاری که مطابق با تعاریف استاندارد ملی « الزامات امنیتی پودمان رمزنگاشتی در زیرساخت کلید عمومی » پیادهسازی شده باشند.
اقلامی که باید برای ارزیابی پودمان رمزنگاشتی به آزمایشگاه تحویل داده شود میبایست مطابق با جدول زیر باشد.
نوع |
فهرست اقلام موردنیاز |
توضیحات |
مستندات |
· مستندات نصب، راهاندازی و آغاز به کار پودمان رمزنگاشتی · مستندات راهبری و کاربری و کلیه ابزارهای جانبی · مستندات معماری امنیتی محصول مطابق با پیوست الف از « استاندارد ملی الزامات امنیتی پودمان رمزنگاشتی » · سند سیاستهای امنیتی پودمان رمزنگاشتی مطابق با پیوست ب از « استاندارد ملی الزامات امنیتی پودمان رمزنگاشتی » · یک نسخه از گواهيهاي اخذشده (در صورت وجود) به همراه اطلاعات لازم جهت اعتبارسنجی گواهی مربوطه · مستندات مرتبط با شرکت یا بنگاه متقاضی ارزیابی، اعم از کاتالوگ محصولات، زمینههای فعالیت و رزومه شرکت · تکمیل فرمهای خوداظهاری مطابق با فرم « خوداظهاری » |
· چنانچه گواهي امنيتي دريافت شده برای توکن متعلق به يک استاندارد بومي باشد، يک نسخه از اين استاندارد نيز مورد نياز ميباشد. · کلیه مستند معماری محصول به همراه سایر اقلام بصورت محرمانه نزد آزمایشگاه بایگانی میگردد. · الگوی ساختاری سند سیاستهای امنیت در « الگوی ساختاری سند سیاستهای امنیتی » آورده شده است. · برای کلیه مستندات، نسخه الکترونیکی در قالب PDF کفایت میکند. نسخه الکترونیکی نباید اسکن یه سند فیزیکی باشد. · چنانچه محصولی بیش از یک بار فرایند ارزیابی را در آزمایشگاه طی کند، لازم است مستندات با ذکر تغییرات، بهروزرسانی شده و تحویل آزمایشگاه گردد. |
پودمان رمزنگاشتی |
· 10 عدد نمونه عملیاتی و قابل ارائه به بازار از پودمان رمزنگشتی · 1 عدد نمونه کامل مدار الکترونيکي پودمان بدون روکش و بدنه |
· شماره سریال پودمانهای رمزنگاشتی باید در زمان تحویل و یا نصب توسط متقاضی به صورت مکتوب ارائه گردد.
· پودمانهای دریافت شده توسط آزمایشگاه، عودت داده نخواهد شد.
· منظور از برد کامل، يک عدد پودمان مورد آزمون بدون بدنه يا پوشش می باشد.که لازم است برد ارائه شده سالم و قابل استفاده باشد.
· کلیه پودمانهی رمزنگاشتی ارائه شده به آزمایشگاه، بایگانی شده و به متقاضی عودت داده نخواهد شد. |
ابزارهای جانبی |
· کلیه راهاندازها و واسطهای قابل پشتیبانی توسط پودمان برای سیستمعاملها و پلتفرمهای مختلف به تفکیک و باذکر مشخصاتی نظیر نسخه، تاریخ انتشار در مستندات مربوطه · نرمافزارهای جانبی مدیریت پودمان رمزنگاشتی که همراه با محصول ارائه میشود. |
· استاندارد اصلی واسط، جهت آزمون و ارزیابی کارکردی در آزمایشگاه، «استاندارد PKCS#11 » میباشد.
· کلیه ابزارهای همراه پودمان رمزنگاشتی، اعم از راهاندازها، توابع کتابخانهای واسطها و یا برنامههای کاربردی همراه، میبایست با گواهی الکترونیکی امضای کد معتبر (ترجیحاً گواهی معتبر در زیرساخت کلید عمومی کشور)، امضا شده باشند. |
فرایند آزمون و ارزیابی، دارای گامهایی است که در ادامه شرح داده خواهد شد. كليه تعاملات بین متقاضی و آزمایشگاه در قالب نمونه فرمهایی است که در « نمونه فرم ها » درج شده است.
متقاضی حداکثر تا تاریخ تعیینشده در نامه تشکیل پرونده، موظف به تهیه مستندات الزامی مطرح در جدول پیش نیاز ها و ارسال آنها به آزمایشگاه خواهد بود. همچنین متقاضی میبایست طی نامهای مطابق با بخش فرم شماره 4 « معرفی نماینده » نماینده تامالاختیار خود را جهت تعامل با آزمایشگاه معرفی نماید.
آزمایشگاه نیز کلیه مستندات و فرمهای خوداظهاری را بررسی نموده و در صورت وجود نقص و مغایرت یا عدم کفایت، طی نامهای مطابق با فرم شماره 5 « اعلام نقص در مستندات » ، نقایص موجود را به متقاضی اعلام میکند؛ اما در صورت کامل بودن مستندات، آزمایشگاه طی نامهای مطابق با فرم شماره 6 « نوبت نصب/تحویل » ، نوبت نصب/تحویل محصول (در صورت نیاز به نصب) را به متقاضی اعلام کند.
متقاضی موظف است پس از دریافت نوبت، حداکثر تا تاریخ تعیین شده، محصول مورد نظر را به آزمایشگاه تحویل دهد. در صورتی که محصول متشکل از مولفههای متعددی باشد (مانندHSMو یا توکنهای نرمافزاری)، لازم است متقاضی در محل آزمایشگاه حاضر و اقدام به نصب و راهاندازی محصول نموده و محیط کاملاً عملیاتی محصول را به آزمایشگاه تحویل نماید. محصول ارائه شده به آزمایشگاه، میبایست نمونه نهایی عملیاتی و قابل ارائه به بازار باشد.
مسئولیت عدم انطباق محصول ارائه شده به آزمایشگاه با مستندات ارسالی بر عهده متقاضی بوده و چنانچه در حین انجام فرآیند آزمون و یا پس از آن هرگونه نقص یا مغایرت آشکار با اطلاعات قیدشده در مستندات تشخیص داده شود، محصول از چرخه آزمون و ارزیابی خارج شده و با در نظر گرفتن فرانشیز زمانی، نوبت نصب/تحویل مجدد را مطابق با فرم شماره 6 « نوبت نصب/تحویل » برای متقاضی ارسال نماید.
آزمایشگاه هیچگونه مسئولیتی در قبال خرابی محصولات در حین انجام آزمون و یا پس از آن نپذیرفته و نمونههای محصول مورد ارزیابی، پس از آزمون، در بایگانی نگهداری خواهند شد (به جز موارد استثنا نظیر HSM).
نکته 2:
ذکر این نکته ضروری است که متقاضی میتواند درصورت عدم تمایل به ادامه آزمون، در هر مرحله، انصراف خود را مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید.
در این مرحله آزمایشگاه متناسب با نوع محصول، اطلاعات مندرج در مستندات خوداظهاری و شاخصهای و معیارهای تعیین شده در استاندارد مربوطه، اقدام به تعیین محدوده آزمون نموده و سپس عملیات آزمون و ارزیابی محصول را شروع مینماید. درصورتیکه نیاز به ارزیابی کد منبع محصول باشد، آزمایشگاه، طی نامهای مطابق با فرم شماره 7 « ارزیابی کد منبع » اعلام مینماید.
نتیجه نهایی ارزیابی هر محصول و سطح امنیتی اتخاذ شده، در صورت تایید از طریق سایت مرکز ریشه منتشر میگردد. در صورتیکه متقاضی به دلایل امنیتی، مایل به انتشار نام محصول از طریق پورتال مرکز ریشه نیست، بایستی این موضوع را در زمان تشکیل پرونده (در قالب فرم خوداظهاری) به آزمایشگاه اطلاع دهد.
ممکن است در طول انجام عملیات آزمون و ارزیابی، اشکالات و خطاهای بحرانی بروز دهد و بهواسطه آن ادامه عملیات امکانپذیر نباشد. در این صورت آزمایشگاه، طی نامهای مطابق با فرم شماره 8 « توقف ارزیابی » ، توقف ارزیابی را به متقاضی اعلام میکند. همچنین گزارشی از خطاهای بحرانی نیز به پیوست همین نامه به متقاضی تحویل میگردد. در این مرحله متقاضی موظف به تعیین وضعیت محصول مورد ارزیابی (تمایل به تکرار ارزیابی/ انصراف) در آزمایشگاه میباشد.
بنابراین متقاضی ضمن اخذ مهلت جهت رفع نقایص و خطاهای گزارششده، نامه درخواست تکرار ارزیابی را مطابق با فرم شماره 9 « درخواست تکرار ارزیابی » به آزمایشگاه ارائه مینماید. آزمایشگاه نیز ضمن بررسی این درخواست، مدتزمان موردنیاز جهت رفع اشکالات و خطاهای بحرانی و آمادگی جهت تکرار ارزیابی را بررسی نموده و فرایند ارزیابی از گام دوم (ممیزی اسناد) برای محصول تکرار میشود. در غیر این صورت متقاضی موظف است اعلام انصراف خود را از فرایند آزمون و ارزیابی مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید.