به گزارش روابط عمومی سازمان نظام صنفی رایانهای کشور، در همین زمینه گفتوگویی با علی آذرکار رئیس شورای انتظامی تجدیدنظر و دبیر سابق سازمان نصر استان تهران داشتیم تا آخرین وضعیت و پیشرفتهای پروژه مذکور بررسی و تشریح شود.
ابتدا درباره سابقه موضوعات مربوط به تأیید فنی و احراز اصالت نرمافزارها توضیح دهید.
در سالهای قبل شورای عالی انفورماتیک فرآیندی را برای ثبت و تأیید فنی نرمافزارها تدوین و اجرا کرده بود. هدف اصلی این فرآیند، ساماندهی به ثبت حقوق نرمافزارها بود، بهطوری که پدیدآورندگان با ارائه اسناد و متن برنامه میتوانستند محصول خود را ثبت کنند. این اقدام بیشتر برای حل دعاوی حقوقی احتمالی در آینده طراحی شده بود. با این حال، تجربه نشان داد که این هدف به طور کامل محقق نشد و تعداد دعاوی مطرحشده کم بود. حتی در برخی موارد متن برنامه نیز ارائه نمیشد و با توجه به تغییرات مداوم نرمافزارها، این روش کفایت نمیکرد.
قانون ارتقای سلامت نظام اداری و مقابله با فساد، چگونه به احراز اصالت نرمافزار پرداخته است؟
با تصویب این قانون در سال ۱۳۹۰، نرمافزارها باید الزامات اجرای قانون را در هنگام طراحی رعایت کنند. در ابتدا تصور میشد که این قانون تنها برای نرمافزارهای مالی و اداری باشد، اما نامهای از سوی سازمان فناوری اطلاعات دامنه این الزام را به تمامی نرمافزارها گسترش داد. نتیجه این شد که پرداختهای دولتی به شرکتهای نرمافزاری مشروط به تأیید احراز اصالت نرمافزار شد که مشکلاتی برای شرکتها ایجاد کرد.
در مورد پروژه «ارتقای نظام رتبهبندی و صدور گواهینامههای فنی و اصالت نرمافزار» که به تازگی مطرح شده است، توضیح دهید.
سازمان نظام صنفی رایانهای در سال ۱۴۰۲ با توجه به مشکلات شرکتهای نرمافزاری در فرآیند ثبت و تأیید فنی و احراز اصالت، پیشنهادی به سازمان فناوری اطلاعات ارائه داد. این پیشنهاد در الکامپ ۱۴۰۲ به قرارداد تبدیل شد و از شهریور ۱۴۰۲ کار اجرایی آن شروع شد. هدف این پروژه، بازنگری و بهروزرسانی فرآیندهای تأیید و احراز اصالت نرمافزارها بر اساس شرایط اجرایی جدید کشور است.
چرا دستورالعمل نظام فنی-اجرایی که توسط شورای عالی انفورماتیک تدوین شد، نیاز به بازنگری داشت؟
این دستورالعمل بیش از ۲۰۰ صفحه بود و شامل طبقهبندی نرمافزارها و معیارهای فنی میشود. معیارهای غیرکارکردی که در آن توضیح داده شدهاند، ارتباط مستقیمی با احراز اصالت ندارند و قابل راستیآزمایی هم نیستند با توجه به الزام دستگاههای دولتی برای اخذ گواهینامه اصالت نرمافزار و نیاز شرکتها به تسریع در این کار، سازمان نظام صنفی رایانهای با نگرش بازنگری آییننامهها و دستورالعملهای موجود در قالب قوانین بالادستی، تلاش کرد تا ضمن تسهیل در این فرایند، برخی از مشکلات اعضای صنف را بر طرف کند.
تفاوت بین ویژگیهای کارکردی و غیرکارکردی نرمافزارها چیست؟
ویژگیهای کارکردی به حوزه کسبوکار نرمافزار مربوط میشود، مثلاً صدور سند در نرمافزار حسابداری، این ویژگیها معمولاً توسط شرکتهای تخصصی هر حوزه تعیین میشوند. اما ویژگیهای غیرکارکردی جنبه عمومیتری دارند و مربوط به مسائلی مانند قابلیت اطمینان، امنیت و نگهداری هستند. این استانداردها معمولاً توسط نهادهایی مانند ISO تدوین میشوند.
این ویژگی ها توسط چه مرجع یا مراجعی تدوین میشود؟
موضوعات غیرکارکردی توسط نهادهای استانداردگذار مانند ISO تدوین میشوند. استانداردهای ISO/IEC 25000 به نیازمندیهای کیفی محصولات و سامانههای نرمافزاری اختصاص دارند و در ابتدا بر کیفیت نرمافزار متمرکز بودند، اما به مرور موضوعاتی مانند «کیفیت داده» نیز به آنها اضافه شد. این استانداردها در ۶ محور اصلی شامل مدیریت کیفیت، مدل کیفیت، سنجههای کیفیت، نیازمندیهای کیفی، ارزشیابی کیفیت و بخشهای توسعهای طبقهبندی شدهاند.
کدام استاندارد بیشتر با این پروژه مرتبط است؟
استاندارد ISO/IEC 25010 که مدل کیفی محصول نرمافزاری را تعریف میکند، مد نظر بوده است. این استاندارد ویژگیهای کیفی محصول را به ۸ ویژگی اصلی تقسیم میکند که شامل تناسب کارکردی، امنیت، قابلیت نگهداری و غیره میشود. با این حال، ارزیابی کیفی نرمافزار به منابع و تجهیزات خاص نیاز دارد که امیدواریم در آینده سازمان فناوری اطلاعات بتواند آزمایشگاههایی برای این کار ایجاد کند.
دستورالعمل پیشنهادی برای ارزیابی اصالت نرمافزار در این پروژه چیست؟
در این پروژه معیارهایی برای احراز اصالت نرمافزار مشخص شده است. دستورالعمل جدید سادهتر و شفافتر است و ارزیابی توسط ارزیابان تاییدشده انجام خواهد شد که سازمان فناوری اطلاعات فضای لازم برای این ارزیابی را فراهم خواهد کرد.