وزیران عضو کارگروه مدیریت فناوری اطلاعات و ارتباطات و امنیت آن (فاوا) در جلسه مورخ 26/ 3/ 1392 به استناد بند (ب) ماده (46) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران - مصوب 1389 - و با رعایت تصویب نامه شماره 189378/ت46505ه- مورخ 25/ 9/ 1388 تصویب نمودند:
در اجرای بند (الف) ماده (3) آییننامه اجرایی بند (ب) ماده (46) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران موضوع تصویب نامه شماره 45653/ت47572ه- مورخ 8/ 3/ 1391 دستورالعمل و ضوابط فنی بانک های اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات به شرح پیوست که به مهر دفتر هیات دولت تایید شده است، تعیین میشود.
این تصویب نامه در تاریخ 10/ 5/ 1392 به تایید مقام محترم ریاست جمهوری رسیده است.
محمدرضا رحیمی
معاون اول رئیس جمهور
quot;دستورالعمل و ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات"
فصل اول - تعاریف:
الف- آییننامه: آییننامه اجرایی بند "ب" ماده (46) قانون برنامه پنج ساله پنجم توسعه جمهوری اسلامی ایران
ب- دستگاههای اجرایی: کلیه دستگاه های اجرایی مشمول آییننامه
پ- معماری سرویس گرا: SOA(Service Oriented Architecture)
ت- گذرگاه مشترک سرویس: ESB(Enterprise Service Bus)
ث- امنیت وب سرویس: WSS (Web Service Security)
ج- SSL و TLS: مجموعه استانداردها و روشهای مطرح در لایه بسته های امن (Layer Secure Sockets) و امنیت لایه انتقال (Transport Layer Security)
چ- قالب 8 بیتی استاندارد یونی کد: (Unicode Transformation Format---8-bit(UTF-8)
ح- اقلام اطلاعاتی: اقلام موضوع بند "ز" ماده (1) آییننامه
خ- سازمان: سازمان فناوری اطلاعات ایران
د- سیستم های اطلاعاتی: سیستم هایی که اطلاعات را برای یک هدف مشخص جمع آوری، پردازش، تحلیل و منتشر می کنند.
ذ- استاندارد باز: استانداردی که به گروه خاصی وابستگی نداشته و در دسترس عموم میباشد.
ر- پایگاه داده: مجموعه ای از موجودیت ها برای ذخیره سازی داده که توسط یک سیستم مدیریت پایگاه داده ایجاد و سازماندهی میشود.
ز- مرکز تبادل و به اشتراک گذاری اطلاعات (IX): مرکزی که توسط سازمان و با رعایت بخشنامه شماره 91/ 77/ 125876 مورخ 26/ 10/ 1391 وزارت اطلاعات، به منظور اشتراک گذاری اطلاعات بین دستگاهها به صورت ملی و در صورت لزوم استانی ایجاد میشود.
فصل دوم - ساز و کار اشتراک گذاری اطلاعات توسط دستگاههای اجرایی
الف- ارسال اطلاعات خدمات قابل ارائه در قالب فرم پیوست پس از تایید حراست دستگاه مربوط، حداکثر ظرف یک ماه پس از ابلاغ این دستورالعمل.
ب- معرفی نماینده تام الاختیار و مطلع در امور خدمات الکترونیکی دستگاههای مرکزی به سازمان حداکثر ظرف ده روز پس از ابلاغ این دستورالعمل.
پ- اعلام اقلام اطلاعاتی قابل ارائه خود به سازمان پس از تایید حراست دستگاه، حداکثر ظرف یک ماه پس از ابلاغ این دستورالعمل.
ت- استفاده از روش ها و استانداردهای باز در سیستم های اطلاعاتی خود برای به اشتراک گذاری اطلاعات.
ث- ارسال مستندات مربوط به اجرای مفاد این دستورالعمل به سازمان و ارائه خدمات اشتراک گذاری به صورت آزمایشی (پایلوت) پس از تایید مستندات مربوط.
ج- ارسال گزارش عملکرد مرحله اشتراک گذاری آزمایشی به سازمان به منظور بازنگری ضوابط فنی مربوط.
فصل سوم - ضوابط فنی بانکهای اطلاعاتی و تبادل و به اشتراک گذاری اطلاعات
1- ضوابط توصیف، نمایش و تبادل داده:
الف- قالب استاندارد UTF-8 به عنوان کاراکترست (Character set) کلیه داده های حروفی و عددی جدید.
ب- تبدیل داده های قبلی که با استانداردی غیر از UTF-8 ایجاد شده اند به UTF-8
پ- تولید یا تبدیل کلیه مستندات در قالب های «مستندات آزاد» (Open Document) و یا در قالب مستندات آزاد مطابق جدول شماره (1):
جدول شماره 1- قالب مستندات
| ردیف | عنوان مستند | قالب مستندات باز | قالب فعلی |
| 1 | مستندات مبتنی بر واژه پرداز | ODT (Open Document Text) | DOC, DOCX |
| 2 | مستندات مبتنی بر صفحه گسترده | ODS (Open Document Spreadsheet) | XLS, XLSX |
| 3 | مستندات مبتنی بر ارائه مطالب | ODP (Open Document presentation) | PPT, PPTX |
| 4 | مستندات مبتنی بر پایگاه داده | ODB (Open Document Base) | MDB, ACCDB |
| 5 | مستندات مبتنی بر گرافیک و تصاویر | ODG (Open Document Graphics) | TIFF, JPEG, BMP, GIF |
| چند رسانه ای | فشرده سازی | |
| * Ogg | * ALAC | * 7z |
| * PNG | * ASF | * bzip2 |
| * RM | * AVI | * qzip |
| *SMIL | * CMML | * MAFF |
| * Speex | * DAISY Digital Talking Book | * PAQ |
| * SVG | * FLAC | * SQX |
| * VRML/X30 | * JPEG 2000 | * tar |
| * WavPack | * Matroska (mkv) | * xz |
| * WebM | * MNG | * ZIP |
| * WMA | * MPEG | |
| * WMV | * Musepack | |
| * XSPF | ||
2- ضوابط یکپارچه سازی داده
الف- سازماندهی و یکپارچه سازی تمامی داده ها با استفاده از زبان XML
ب- استفاده از استانداردهای ISO8601و EDI برای قالب بندی و تبادل داده های مربوط به تاریخ و زمان
3- ضوابط لایه میان افزار:
الف- ارائه اطلاعات و خدمات الکترونیکی در قالب سرویسهای وب استاندارد
ب- توصیف سرویس ها در غالب زبان استاندارد WSDL که میبایست شامل موارد زیر باشد:
پ- گرامر و ترکیب و پروتکل هر سرویس (فرمت WSDL در XRoad)
ت- سیاست های ارائه سرویس (مبتنی بر چه اصولی، برای چه کسی و با چه هدفی خدمت ارائه میشود)
ث- شاخص های کیفیت سرویس (عاملیت، قابلیت اطمینان و اثربخشی)
4- ضوابط تعاملات بین دستگاهی:
الف- استفاده از معماری سرویس گرا به عنوان معماری کلان در ارتباطات درون سازمانی و بین سازمانی.
ب- استفاده از معماری گذرگاه مشترک سرویس (ESB) در محیطهای گسترده و محیطهای تعاملی.
پ- ثبت تمام اطلاعات ارائه شده با استفاده از مولفه واقعه نگاری ESB.
ت- استفاده از پروتکل های مورد تایید سازمان در زمینه زیرساخت ها و نحوه ی ارائه خدمات و به اشتراک گذاری اطلاعات مطابق جدول شماره (3):
جدول شماره 3- پروتکل های مورد تایید سازمان در زمینه زیرساخت ها
| ردیف | عنوان استاندارد | حوزه کاربرد |
| 1 | TCP/IP | شبکه |
| 2 | UDP | شبکه |
| 3 | IP4, IP6 | شبکه |
| 4 | DNS | شبکه |
| 5 | MIME | شبکه |
| 6 | SOAP | شبکه |
| 7 | WSDL | شبکه |
| 8 | POP3 | شبکه |
| 9 | SMTP | شبکه |
| عنوان استاندارد | کاربرد | مزیت |
| پروتکل انتقال فایل (FTP) | انتقال فایل در شبکه | امکان اشتراک مطمئن و کارآمد داده ها از طریق استفاده غیرمستقیم از برنامه ها را فراهم می آورد. |
| پروتکل انتقال ابر متن (HTTP) | قالبی استاندارد برای پیام ها | امکان ایجاد قالبی استاندارد برای پیام ها و همچنین نحوه انتقال آنها بین سیستم های اطلاعاتی را فراهم می آورد. |
| زبان نشانه گذاری ابر متن (HTML) | قالبی استاندارد برای توصیف ساختار صفحات وب | امکان نشانه گذاری ابرمتن ها را به منظور ساختمند کردن اطلاعات و تفکیک اجزای منطقی یک نوشتار فراهم می کند. |
| زبان نشانه گذاری توسعه پذیر (XML) | ذخیره، نمایش، تبادل و به اشتراک گذاری داده ها | یک قالب استاندارد ایده آل برای سازماندهی مقادیر زیادی از داده فراهم می کند. |
5- ضوابط امنیتی (به منظور حفظ امنیت لازم در تبادل و به اشتراک گذاری اطلاعات و همچنین رعایت حریم های قانونی)
الف- تعیین سطح دسترسی برای هر یک از اقلام اطلاعاتی و یا خدمات الکترونیکی خود و تعیین افراد و سازمان های مربوط به هر سطح
ب- انجام عملکرد احراز هویت یا شناسایی مشتری برای حفظ اطلاعات و امنیت آنها پیش از ارائه اطلاعات به مشتری یا دریافت کننده اطلاعات
پ- استفاده از پروتکلهای زیر جهت جلوگیری از استراق سمع و جاسوسی پیام های رد و بدل شده میان دو طرف اصلی:
ت- استفاده از پروتکل IPSec برای امنیت در سطح IP
ث- استفاده از پروتکل TLS، SSL در سطح TCP/UDP
ج- استفاده از لینک اختصاصی بین طرفین اصلی تبادل اطلاعات تحت عنوان شبکه مجازی اختصاصی (VPN)
چ- استفاده از دو پروتکل SSH و Secure Copy برای داشتن انتقال ایمن فایل ها در لایه کاربرد
ح- ثبت کلیه رویدادهای مرتبط با سیستم های اطلاعاتی در یک سامانه مجزا از این سیستم ها برای حفظ امنیت و تمامیت اطلاعات
6- استانداردهای لازم الاجرا در مدیریت فرایندها:
الف- استاندارد مدیریت خدمات فناوری اطلاعات (ISO 20000)
ب- استاندارد سیستم های مدیریت امنیت اطلاعات (ISO 27000)
پ- استانداردهای حاکمیت سازمانی فناوری اطلاعات (ISO/IEC 29382) (ISO/IEC 38500)
7- ضوابط نرم افزارهای متن باز:
لیست تمامی استانداردهای باز مورد تایید سازمان در وب گاه مرکز ملی نرم افزارهای بومی و متن باز ایران در (www.opensourceiran.ir) قابل مشاهده است.
فصل چهارم - سایر مقررات
1- اشتراک گذاری اطلاعات به وسیله مرکز تبادل و اشتراک گذاری اطلاعات (IX) توسط دستگاه های مشمول این دستورالعمل از طریق شبکه ملی اطلاعات، تنها در صورتی مجاز است که شبکه مذکور به صورت فیزیکی، جدا از شبکه اینترنت باشد.
2- براساس بند "الف" ماده (231) قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران و سند امنیت فضای تبادل اطلاعات (افتا) دستگاههای اجرایی موظفند ظرف شش ماه از تصویب این دستورالعمل نسبت به اجرایی کردن بخشنامه امن سازی شماره 91/ 77/ 125876 مورخ 26/ 10/ 1391 وزارت اطلاعات اقدام نمایند.