شماره98/103515                                                                       1398/7/15

کلیه وزارتخانه‌ها، مؤسسات و شرکت‌های دولتی و مؤسسات و نهادهای عمومی و غیردولتی

کلیه دستگاه‌هایی که شمول قانون بر آنها مستلزم ذکر نام و یا تصریح نام است یا قانون خاص دارند

ستاد کل نیروهای مسلح

سازمان نظام صنفی رایانه‌ای کشور

در اجرای ماده11 آیین‌نامه داخلی شورای عالی فضای مجازی، به پیوست مصوبه جلسه پنجاه و نهم مورخ 1398/6/9 شورای عالی با موضوع «نظام هویت معتبر در فضای مجازی کشور» که طی نامه شماره 98/103357 مورخ 1398/7/8 به استحضار مقام معظم رهبری (مدظله‌العالی) رسیده است، برای اجرا ابلاغ می‌شود.

دبیر شورای عالی فضای مجازی ـ سیدابوالحسن فیروزآبادی

 

نظام هویت معتبر در فضای مجازی کشور

مقدمه

برای هر نوع تعامل فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری میان اشخاص، گروه‏ها، اشیاء، خدمات، محتواها و مکان­ها به هویت معتبر نیاز بوده و شکل­ گیری نظام قابل اطمینان برای هویت در فضای مجازی کشور ضروری است. در این نظام برای حصول اطمینان، بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیت‏ها لازم بوده و برای تأمین و تأیید آن‏ها، نقش ­آفرینی دو نهاد معتبر نیاز است؛ «تأمین‏ کنندگان شناسه (مشابه ثبت احوال) که مسئولیت تأمین اطلاعات پایه هویتی موجودیت‏ها را در قالب شناسه‏ های دایم یا موقت و واقعی یا مستعار بر عهده دارند» و «تأمین‏ کنندگان صفت‏ها که مسئولیت اعتباربخشی به اطلاعات غیرپایه­ هویتی ازقبیل مدرک‏ تحصیلی و میزان اعتبار مالی را برعهده دارند و صفات ادعایی را تأیید یا رد می‏ کنند». 

هدف از ایجاد این نظام، استقرار زیست ­بوم تأمین‏ کننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیت­ها در فضای مجازی است که زمینه لازم را برای توسعه کسب­ و کارهای دیجیتال، سامانه­ های فنی، رسانه­ های تعاملی و خدمات اداری ایجاد می‏کند و در آن، تأمین‏ کنندگان شناسه‏ ها و صفت‏ها با ارایه مجموع دو نوع اطلاع هویتی پایه و صفت­ها، شناخت قابل اطمینان را برای طرفین تعامل فراهم می­سازند.

ماده1ـ تعاریف

1 ـ1ـ موجودیت: هر شخص، گروه، شیء، خدمت، محتوا و مکان که به صورت مستقل قابل شناسایی باشد؛

1ـ2ـ شناسه[1]: کدی که برای ارجاع به اطلاعات هویتی پایه یک موجودیت واحد استفاده می‏ شود؛

1ـ3ـ صفت‏[2]: مشخصه یاکیفیت‌ انتسابی یا اکتسابی موجودیت­ که در طول زمان تغییر می‏ کند؛

1ـ4ـ اطلاعات پایه هویتی: اطلاعات شناسنامه ­ای موجودیت­ها شامل نسبت­های پایه بین آن­ها که به ‏ندرت دچار تغییر می‏ شوند؛

1ـ 5 ـ هویت دیجیتالی: مجموعه­ ای از اطلاعات پایه هویتی و صفت‏ها که معرف یک موجودیت واحد است؛

1ـ6 ـ تأمین‏ کننده شناسه[3]: نهادی که برای انواع تعاملات، اطلاعات پایه هویتی قابل استنادی از موجودیت‏ها را گواهی می ‏کند و مسئولیت ثبت و راستی‌ آزمایی هویت واقعی موجودیت‏ها، تخصیص شناسه و صدور گواهی‏نامه‌ هویت برای آن‏ها و در برخی تراکنش‌ ها، احراز هویت آن‏ها را برعهده دارد؛

1ـ7ـ تأمین ‏کننده صفت‏ها‏[4]: موجودیتی که در تعاملات، اعتبار صفت‏های موجودیت­ها را گواهی می کند؛

1ـ 8 ـ چارچوب مبادله قابل اعتماد[5]: سازوکار ارتباط امن و قابل اعتماد بین موجودیت‏ها و تأمین ‏کنندگان شناسه و صفت‏ها در زیست‏ بوم است؛

1ـ9ـ لایه کاربرد: لایه ‏ای که در آن خدماتی فراتر از خدمات ارتباطی ثابت و سیار و خدمات میزبانی ارایه می‏ شود.

ماده2ـ الزامات زیست‏بوم هویت معتبر در فضای مجازی

2ـ1ـ

تامین مقیاس مورد نیاز برای انواع کاربردها با قابلیت گسترش در کاربردهای آتی؛

2ـ2ـ تأمین سطوح اعتبار و اعتماد در تأمین اطلاعات هویت دیجیتالی به تناسب نوع تعامل؛

2ـ3ـ صیانت از حریم خصوصی اشخاص و حقوق عمومی جامعه؛

2ـ4ـ تناسب میان میزان اطلاعات ارایه شده از هر موجودیت با نوع تعامل با رعایت اختیار یا آگاهی موجودیت‏ها؛

2ـ 5 ـ تأمین ادله دیجیتال در ثبت و اعطای شناسه ­ها و گواهی­ ها و اعتباربخشی صفت‏ها؛

2ـ6 ـ رعایت امنیت اطلاعات هویت دیجیتالی و تناسب آن با نوع تعامل از طریق ایجاد چارچوب مبادله قابل اعتماد و اعطای گواهی موثق[6]؛

2ـ7ـ مرتبط ‏بودن اطلاعات هویتی پایه فضای مجازی با فضای فیزیکی؛

2ـ 8 ـ اتکاپذیری، تاب‌آوری، ماندگاری، کاربری آسان، ساده‏ بودن ساختار و تعامل‌پذیری میان اجزاء زیست‏ بوم؛

2ـ9ـ تضمین صحت، تمامیت، اعتبار، انکارناپذیری و استنادپذیری هویت موجودیت‏های فضای مجازی به تناسب نوع تعامل؛

2ـ10ـ افزایش شفافیت و کاهش گمنامی در فضای مجازی؛

2ـ11ـ ارتقاء و استمرار فرآیندهای احراز هویت در فضای مجازی.

ماده3ـ خطوط اجرایی

3ـ1ـ

هر تعاملی در فضای مجازی کشور باید با شناسه معتبر آغاز شود؛

3ـ2ـ همه عوامل ذی نقش در یک تعامل مسئول عملکرد خود هستند؛

3ـ3ـ موجودیت‏ها در شبکه ملی اطلاعات و هر شبکه دیگری که درون یا مرتبط با آن قرار می ­گیرند، باید هویت احراز شده داشته باشند؛

3ـ4ـ چنانچه موجودیتی امکان تغییر شناسه را فراهم کند، باید امکان نگاشت شناسه قبل و بعد از تغییر را برای تأمین‏ کننده شناسه مرتبط فراهم کند؛

3ـ 5 ـ کلیه ارایه­ دهندگان خدمات فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری در کشور باید در چارچوب و منطبق‏ بر نظام هویت معتبر در فضای مجازی کشور فعالیت و از پذیرش و گذردهی تعامل­های فاقد هویت معتبر اجتناب کنند؛

3ـ6 ـ امکان نگاشت بین شناسه­ های متنوع هر یک از عوامل دخیل در یک تعامل در لایه‏ های‌ مختلف ارتباطی، خدماتی، کاربری و محتوایی باید برای تأمین ­کننده شناسه مرتبط فراهم و هر تعامل­ در فضای مجازی کشور، بی ­واسطه یا با­واسطه، به‌شخصی منحصر به­ فرد منتهی شود؛

3ـ7ـ هر گونه اقدام یا مشارکت در اختفاء یا جعل هویت از جمله عرضه ابزار و خدمات مرتبط ممنوع است؛

3ـ 8 ـ مسئولیت جبران خسارت ناشی از نقص الزامات و خطوط اجرایی موضوع مواد 2 و 3 این نظام، در چارچوب قوانین جاری کشور برعهده تأمین‌کننده شناسه و یا ارائه‌دهنده خدمت نقض‌کننده آن‌ها است؛

3ـ 9ـ مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ این مصوبه، پیش‏نویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند؛

3ـ10ـ مرکز ملی فضای مجازی گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارایه کند.

ماده4ـ نگاشت نهادی

4ـ1ـ

وزارت ارتباطات و فناوری اطلاعات تأمین ‏کننده شناسه در لایه ارتباطی کشور بوده و مسئولیت تنظیم مقررات و اتخاذ تمهیدات لازم برای اجرای موارد ذیل را بر عهده دارد:

4ـ1ـ1ـ

احراز هویت متقاضیان و مشترکین داخلی و خارجی خدمات ارتباطی ثابت و سیار و خدمات میزبانی؛

4ـ1ـ2ـ احراز هویت برخطِ موجودیت­های بهره ­بردار خدمات عمومی ارتباطی ثابت و سیار و خدمات میزبانی؛

4ـ1ـ3ـ ساماندهی و مدیریت نشانی­های پروتکل اینترنت[7] و نام­های دامنه در سطح ملی.

4ـ2ـ مرکز ملی فضای مجازی به منظور ایجاد زیست‏ بوم هویت فضای مجازی کشور در خصوص موارد زیر اقدام کند:

4ـ2ـ1ـ

احصای فهرست تأمین ­کنندگان شناسه "لایه کاربرد"، برای ثبت، اعطای شناسه و گواهی­ به کلیه موجودیت‏های آن لایه با استفاده از ظرفیت موجود اجرایی و ارایه نگاشت نهادی پیشنهادی به شورای عالی فضای مجازی؛

4ـ2ـ2ـ تنظیم و ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی؛

4ـ2ـ3ـ تصویب و ابلاغ ضوابط و مقررات عمومی زیست‏ بوم هویت فضای مجازی؛

4ـ2ـ4ـ نظارت بر حسن اجرای تعهدات تأمین‏ کنندگان شناسه و تأمین‏ کنندگان ملی صفت‏ها.

4ـ3ـ وزارت ارتباطات و فناوری اطلاعات به منظور استقرار زیست‏ بوم هویت فضای مجازی کشور و در چارچوب ضوابط و مقررات عمومی ابلاغی موضوع بند 4ـ2ـ3، نسبت به تعیین حوزه مشخص و متمرکز برای «هماهنگی و برنامه‏ ریزی ملی هویت فضای مجازی» با وظایف و اختیارات زیر اقدام ‏کند :

4ـ3ـ1ـ

تدوین پیش‏نویس طرح تحول و برنامه ملی هویت فضای مجازی ظرف مدت سه ماه از تاریخ ابلاغ این مصوبه و ارایه به مرکز ملی فضای مجازی برای تنظیم و ابلاغ؛ در این طرح باید تأمین ‏کنندگان ملی صفت‏ها‏ در حوزه ‏های مختلف و نگاشت نهادی آن‏ها و نیز خدمات کاربردی مبتنی بر احراز هویت خدمات ارتباطی تعیین و مشخص ‎شوند؛

4ـ3ـ2ـ استقرار چارچوب تعامل ­پذیری بین تأمین‏ کنندگان شناسه، صفت‏ها و دیگر موجودیت‏ها؛ برای دوره گذار سه‌ساله، از طریق درگاه واحد بین تأمین‌کنندگان شناسه و تأمین‌کنندگان صفت‌ها، خدمات ارایه می‌شود؛

4ـ3ـ3ـ ارایه گزارش فصلی از اقدامات و پیشرفت کار به مرکز ملی فضای مجازی.

4ـ4ـ تأمین‏ کنندگان شناسه و تأمین‏ کنندگان ملی صفت‏ها باید ظرف مدت سه ماه از تاریخ ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی موضوع بند 4ـ2ـ2، برنامه خود را تدوین و برای تصویب به مرکز ملی فضای مجازی ارایه کنند.

____________________________

1 Identity

2 Attribute

1 IDP: Identity Provider

2 AP: Attributes Provider

3 Trusted Framework

4 Credential

5 IP Address