تعیین دستورالعمل و ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات
مقرره مصوب ۱۳۹۲/۰۳/۲۶ معاون اول رئیس جمهور
تعیین دستورالعمل و ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات
مصوب ۱۳۹۲,۰۳,۲۶
با اصلاحات و الحاقات بعدی
وزیران عضو کارگروه مدیریت فناوری اطلاعات و ارتباطات و امنیت آن (فاوا) در جلسه مورخ ۲۶/ ۳/ ۱۳۹۲ به استناد بند (ب) ماده (۴۶) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران – مصوب ۱۳۸۹ – و با رعایت تصویب نامه شماره ۱۸۹۳۷۸/ت۴۶۵۰۵هـ مورخ ۲۵/ ۹/ ۱۳۸۸ تصویب نمودند:
در اجرای بند (الف) ماده (۳) آیین نامه اجرایی بند (ب) ماده (۴۶) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران موضوع تصویب نامه شماره ۴۵۶۵۳/ت۴۷۵۷۲هـ مورخ ۸/ ۳/ ۱۳۹۱ دستورالعمل و ضوابط فنی بانک های اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات به شرح پیوست که به مهر دفتر هیئت دولت تایید شده است، تعیین می شود. این تصویب نامه در تاریخ ۱۰/ ۵/ ۱۳۹۲ به تأیید مقام محترم ریاست جمهوری رسیده است. محمدرضا رحیمی
معاون اول رییس جمهور
quot;دستورالعمل و ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات" فصل اول - تعاریف:
الف- آیین نامه: آیین نامه اجرایی بند "ب" ماده (۴۶) قانون برنامه پنج ساله پنجم توسعه جمهوری اسلامی ایران
ب- دستگاههای اجرایی: کلیه دستگاه های اجرایی مشمول آیین نامه
پ- معماری سرویس گرا: SOA(Service Oriented Architecture)
ت- گذرگاه مشترک سرویس: ESB(Enterprise Service Bus)
ث- امنیت وب سرویس: WSS (Web Service Security)
ج- SSL و TLS: مجموعه استانداردها و روشهای مطرح در لایه بسته های امن (Layer Secure Sockets) و امنیت لایه انتقال (Transport Layer Security)
چ- قالب ۸ بیتی استاندارد یونی کد: ( Unicode Transformation Format---۸-bit(UTF_۸)
ح- اقلام اطلاعاتی: اقلام موضوع بند "ز" ماده (۱) آیین نامه
خ- سازمان: سازمان فناوری اطلاعات ایران
د- سیستم های اطلاعاتی: سیستم هایی که اطلاعات را برای یک هدف مشخص جمع آوری، پردازش، تحلیل و منتشر می کنند.
ذ- استاندارد باز: استانداردی که به گروه خاصی وابستگی نداشته و در دسترس عموم می باشد.
ر- پایگاه داده: مجموعه ای از موجودیت ها برای ذخیره سازی داده که توسط یک سیستم مدیریت پایگاه داده ایجاد و سازماندهی می شود.
ز- مرکز تبادل و به اشتراک گذاری اطلاعات (IX): مرکزی که توسط سازمان و با رعایت بخشنامه شماره ۹۱/ ۷۷/ ۱۲۵۸۷۶ مورخ ۲۶/ ۱۰/ ۱۳۹۱ وزارت اطلاعات، به منظور اشتراک گذاری اطلاعات بین دستگاهها به صورت ملی و در صورت لزوم استانی ایجاد می شود.
فصل دوم - ساز و کار اشتراک گذاری اطلاعات توسط دستگاههای اجرایی
الف- ارسال اطلاعات خدمات قابل ارائه در قالب فرم پیوست پس از تأیید حراست دستگاه مربوط، حداکثر ظرف یک ماه پس از ابلاغ این دستورالعمل.
ب- معرفی نماینده تام الاختیار و مطلع در امور خدمات الکترونیکی دستگاههای مرکزی به سازمان حداکثر ظرف ده روز پس از ابلاغ این دستورالعمل.
پ- اعلام اقلام اطلاعاتی قابل ارائه خود به سازمان پس از تأیید حراست دستگاه، حداکثر ظرف یک ماه پس از ابلاغ این دستورالعمل.
ت- استفاده از روش ها و استانداردهای باز در سیستم های اطلاعاتی خود برای به اشتراک گذاری اطلاعات.
ث- ارسال مستندات مربوط به اجرای مفاد این دستورالعمل به سازمان و ارائه خدمات اشتراک گذاری بصورت آزمایشی (پایلوت) پس از تأیید مستندات مربوط.
ج- ارسال گزارش عملکرد مرحله اشتراک گذاری آزمایشی به سازمان به منظور بازنگری ضوابط فنی مربوط.
فصل سوم - ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات ۱ - ضوابط توصیف، نمایش و تبادل داده:
الف- قالب استاندارد UTF-۸ به عنوان کاراکترست (Character set) کلیه داده های حروفی و عددی جدید.
ب- تبدیل داده های قبلی که با استانداردی غیر از UTF-۸ ایجاد شده اند به UTF-۸
پ- تولید یا تبدیل کلیه مستندات در قالب های «مستندات آزاد» (Open Document) و یا در قالب مستندات آزاد مطابق جدول شماره (۱):
جدول شماره ۱- قالب مستندات
ردیف
عنوان مستند
قالب مستندات باز
قالب فعلی
۱
مستندات مبتنی بر واژه پرداز
ODT
(Open Document Text)
DOC, DOCX
۲
مستندات مبتنی بر صفحه گسترده
ODS
(Open Document Spreadsheet)
XLS, XLSX
۳
مستندات مبتنی بر ارائه مطالب
ODP
(Open Document presentation)
PPT, PPTX
۴
مستندات مبتنی بر پایگاه داده
ODB
(Open Document Base)
MDB, ACCDB
۵
مستندات مبتنی بر گرافیک و تصاویر
ODG
(Open Document Graphics)
TIFF, JPEG, BMP, GIF
ت- تولید یا تبدیل کلیه پرونده های الکترونیکی در قالب های چند رسانه ای و آرشیو مانند تصویر، صوت، ویدئو و فشرده سازی در قالبهای قابل استفاده با Codecهای باز.
تبصره- قالب های مجاز برای پرونده های چند رسانه ای و فشرده سازی در جدول شماره (۲):
جدول شماره ۲- قالبهای مجاز برای پرونده های چند رسانه ای و فشرده سازی
چند رسانه ای
فشرده سازی
* Ogg
* ALAC
* ۷z
* PNG
* ASF
* bzip۲
* RM
* AVI
* qzip
*SMIL
* CMML
* MAFF
* Speex
* DAISY Digital Talking Book
* PAQ
* SVG
* FLAC
* SQX
* VRML/X۳۰
* JPEG ۲۰۰۰
* tar
* WavPack
* Matroska (mkv)
* xz
* WebM
* MNG
* ZIP
* WMA
* MPEG
* WMV
* Musepack
* XSPF
ث- بکارگیری چارچوب توصیف منابع (RDF) به منظور توصیف مفهومی و مدل سازی اطلاعات در منابع تحت وب
ج- استفاده از زبان نشانه گذاری توسعه پذیر (XML) برای نمایش فرمت و ساختار داده ها
چ- استفاده از زبان توسعه پذیر نام و آدرس (XNAL) بمنظور توصیف نام و آدرس داده ها
ح- تعریف و ایجاد فراداده ها و واژه نامه ها بمنظور دسترسی آسان به اطلاعات و داده های موجود در سازمان با استفاده از چارچوب های OWL و RSS
خ- مطابقت محصولات XML با کنسرسیوم W۳C
۲ - ضوابط یکپارچه سازی داده
الف- سازماندهی و یکپارچه سازی تمامی داده ها با استفاده از زبان XML
ب- استفاده از استانداردهای ISO۸۶۰۱و EDI برای قالب بندی و تبادل داده های مربوط به تاریخ و زمان
۳ - ضوابط لایه میان افزار:
الف- ارائه اطلاعات و خدمات الکترونیکی در قالب سرویسهای وب استاندارد
ب- توصیف سرویس ها در غالب زبان استاندارد WSDL که می بایست شامل موارد زیر باشد:
پ- گرامر و ترکیب و پروتکل هر سرویس (فرمت WSDL در X-Road)
ت- سیاست های ارائه سرویس (مبتنی بر چه اصولی، برای چه کسی و با چه هدفی خدمت ارائه می شود)
ث- شاخص های کیفیت سرویس (عاملیت، قابلیت اطمینان و اثربخشی)
۴ - ضوابط تعاملات بین دستگاهی:
الف- استفاده از معماری سرویس گرا بعنوان معماری کلان در ارتباطات درون سازمانی و بین سازمانی.
ب- استفاده از معماری گذرگاه مشترک سرویس (ESB) در محیطهای گسترده و محیطهای تعاملی.
پ- ثبت تمام اطلاعات ارائه شده با استفاده از مولفه واقعه نگاری ESB.
ت- استفاده از پروتکل های مورد تایید سازمان در زمینه زیرساخت ها و نحوه ی ارائه خدمات و به اشتراک گذاری اطلاعات مطابق جدول شماره (۳):
جدول شماره ۳- پروتکل های مورد تایید سازمان در زمینه زیرساخت ها
ردیف
عنوان استاندارد
حوزه کاربرد
۱
TCP/IP
شبکه
۲
UDP
شبکه
۳
IP۴, IP۶
شبکه
۴
DNS
شبکه
۵
MIME
شبکه
۶
SOAP
شبکه
۷
WSDL
شبکه
۸
POP۳
شبکه
۹
SMTP
شبکه
ث- استفاده از استانداردهای تبادل اطلاعات (پروتکل ها و زبان ها) در خصوص انتقال اطلاعات خود در درون و بیرون سازمان مطابق جدول شماره (۴):
جدول شماره ۴- پروتکل های تبادل اطلاعات
عنوان استاندارد
کاربرد
مزیت
پروتکل انتقال فایل (FTP)
انتقال فایل در شبکه
امکان اشتراک مطمئن و کارآمد داده ها از طریق استفاده غیرمستقیم از برنامه ها را فراهم می آورد.
پروتکل انتقال ابر متن (HTTP)
قالبی استاندارد برای پیام ها
امکان ایجاد قالبی استاندارد برای پیام ها و همچنین نحوه انتقال آنها بین سیستم های اطلاعاتی را فراهم می آورد.
زبان نشانه گذاری ابر متن (HTML)
قالبی استاندارد برای توصیف ساختار صفحات وب
امکان نشانه گذاری ابرمتن ها را به منظور ساختمند کردن اطلاعات و تفکیک اجزای منطقی یک نوشتار فراهم می کند.
زبان نشانه گذاری توسعه پذیر (XML)
ذخیره، نمایش، تبادل و به اشتراک گذاری داده ها
یک قالب استاندارد ایده آل برای سازماندهی مقادیر زیادی از داده فراهم می کند.
۵ - ضوابط امنیتی (بمنظور حفظ امنیت لازم در تبادل و به اشتراک گذاری اطلاعات و همچنین رعایت حریم های قانونی)
الف- تعیین سطح دسترسی برای هر یک از اقلام اطلاعاتی و یا خدمات الکترونیکی خود و تعیین افراد و سازمان های مربوط به هر سطح
ب- انجام عملکرد احراز هویت یا شناسایی مشتری برای حفظ اطلاعات و امنیت آنها پیش از ارائه اطلاعات به مشتری یا دریافت کننده اطلاعات
پ- استفاده از پروتکلهای زیر جهت جلوگیری از استراق سمع و جاسوسی پیام های رد و بدل شده میان دو طرف اصلی:
ت- استفاده از پروتکل IPSec برای امنیت در سطح IP
ث- استفاده از پروتکل TLS ، SSL در سطح TCP/UDP
ج- استفاده از لینک اختصاصی بین طرفین اصلی تبادل اطلاعات تحت عنوان شبکه مجازی اختصاصی (VPN)
چ- استفاده از دو پروتکل SSH و Secure Copy برای داشتن انتقال ایمن فایل ها در لایه کاربرد
ح- ثبت کلیه رویدادهای مرتبط با سیستم های اطلاعاتی در یک سامانه مجزا از این سیستم ها برای حفظ امنیت و تمامیت اطلاعات
۶ - استانداردهای لازم الاجرا در مدیریت فرایندها:
الف- استاندارد مدیریت خدمات فناوری اطلاعات (ISO ۲۰۰۰۰)
ب- استاندارد سیستم های مدیریت امنیت اطلاعات (ISO ۲۷۰۰۰)
پ- استانداردهای حاکمیت سازمانی فناوری اطلاعات (ISO/IEC ۲۹۳۸۲) (ISO/IEC ۳۸۵۰۰)
۷ - ضوابط نرم افزارهای متن باز:
لیست تمامی استانداردهای باز مورد تایید سازمان در وب گاه مرکز ملی نرم افزارهای بومی و متن باز ایران در (www.opensourceiran.ir) قابل مشاهده است.
فصل چهارم – سایر مقررات ۱ - اشتراک گذاری اطلاعات بوسیله مرکز تبادل و اشتراک گذاری اطلاعات (IX) توسط دستگاه های مشمول این دستورالعمل از طریق شبکه ملی اطلاعات، تنها در صورتی مجاز است که شبکه مذکور به صورت فیزیکی، جدا از شبکه اینترنت باشد. ۲ - براساس بند "الف" ماده (۲۳۱) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران و سند امنیت فضای تبادل اطلاعات (افتا) دستگاههای اجرایی موظفند ظرف شش ماه از تصویب این دستورالعمل نسبت به اجرایی کردن بخشنامه امن سازی شماره ۹۱/ ۷۷/ ۱۲۵۸۷۶ مورخ ۲۶/ ۱۰/ ۱۳۹۱ وزارت اطلاعات اقدام نمایند.
اگر تجربهای در تفسیر یا اجرای این قانون دارید، دیدگاه حرفهای خود را در گفتمان منتشر کنید.