شماره98/103515 1398/7/15
کلیه وزارتخانهها، مؤسسات و شرکتهای دولتی و مؤسسات و نهادهای عمومی و غیردولتی
کلیه دستگاههایی که شمول قانون بر آنها مستلزم ذکر نام و یا تصریح نام است یا قانون خاص دارند
ستاد کل نیروهای مسلح
سازمان نظام صنفی رایانهای کشور
در اجرای ماده11 آییننامه داخلی شورای عالی فضای مجازی، به پیوست مصوبه جلسه پنجاه و نهم مورخ 1398/6/9 شورای عالی با موضوع «نظام هویت معتبر در فضای مجازی کشور» که طی نامه شماره 98/103357 مورخ 1398/7/8 به استحضار مقام معظم رهبری (مدظلهالعالی) رسیده است، برای اجرا ابلاغ میشود.
دبیر شورای عالی فضای مجازی ـ سیدابوالحسن فیروزآبادی
نظام هویت معتبر در فضای مجازی کشور
مقدمه
برای هر نوع تعامل فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری میان اشخاص، گروهها، اشیاء، خدمات، محتواها و مکانها به هویت معتبر نیاز بوده و شکل گیری نظام قابل اطمینان برای هویت در فضای مجازی کشور ضروری است. در این نظام برای حصول اطمینان، بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیتها لازم بوده و برای تأمین و تأیید آنها، نقش آفرینی دو نهاد معتبر نیاز است؛ «تأمین کنندگان شناسه (مشابه ثبت احوال) که مسئولیت تأمین اطلاعات پایه هویتی موجودیتها را در قالب شناسه های دایم یا موقت و واقعی یا مستعار بر عهده دارند» و «تأمین کنندگان صفتها که مسئولیت اعتباربخشی به اطلاعات غیرپایه هویتی ازقبیل مدرک تحصیلی و میزان اعتبار مالی را برعهده دارند و صفات ادعایی را تأیید یا رد می کنند».
هدف از ایجاد این نظام، استقرار زیست بوم تأمین کننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیتها در فضای مجازی است که زمینه لازم را برای توسعه کسب و کارهای دیجیتال، سامانه های فنی، رسانه های تعاملی و خدمات اداری ایجاد میکند و در آن، تأمین کنندگان شناسه ها و صفتها با ارایه مجموع دو نوع اطلاع هویتی پایه و صفتها، شناخت قابل اطمینان را برای طرفین تعامل فراهم میسازند.
ماده1ـ تعاریف
1 ـ1ـ موجودیت: هر شخص، گروه، شیء، خدمت، محتوا و مکان که به صورت مستقل قابل شناسایی باشد؛
1ـ2ـ شناسه[1]: کدی که برای ارجاع به اطلاعات هویتی پایه یک موجودیت واحد استفاده می شود؛
1ـ3ـ صفت[2]: مشخصه یاکیفیت انتسابی یا اکتسابی موجودیت که در طول زمان تغییر می کند؛
1ـ4ـ اطلاعات پایه هویتی: اطلاعات شناسنامه ای موجودیتها شامل نسبتهای پایه بین آنها که به ندرت دچار تغییر می شوند؛
1ـ 5 ـ هویت دیجیتالی: مجموعه ای از اطلاعات پایه هویتی و صفتها که معرف یک موجودیت واحد است؛
1ـ6 ـ تأمین کننده شناسه[3]: نهادی که برای انواع تعاملات، اطلاعات پایه هویتی قابل استنادی از موجودیتها را گواهی می کند و مسئولیت ثبت و راستی آزمایی هویت واقعی موجودیتها، تخصیص شناسه و صدور گواهینامه هویت برای آنها و در برخی تراکنش ها، احراز هویت آنها را برعهده دارد؛
1ـ7ـ تأمین کننده صفتها[4]: موجودیتی که در تعاملات، اعتبار صفتهای موجودیتها را گواهی می کند؛
1ـ 8 ـ چارچوب مبادله قابل اعتماد[5]: سازوکار ارتباط امن و قابل اعتماد بین موجودیتها و تأمین کنندگان شناسه و صفتها در زیست بوم است؛
1ـ9ـ لایه کاربرد: لایه ای که در آن خدماتی فراتر از خدمات ارتباطی ثابت و سیار و خدمات میزبانی ارایه می شود.
ماده2ـ الزامات زیستبوم هویت معتبر در فضای مجازی
2ـ1ـ
تامین مقیاس مورد نیاز برای انواع کاربردها با قابلیت گسترش در کاربردهای آتی؛
2ـ2ـ تأمین سطوح اعتبار و اعتماد در تأمین اطلاعات هویت دیجیتالی به تناسب نوع تعامل؛
2ـ3ـ صیانت از حریم خصوصی اشخاص و حقوق عمومی جامعه؛
2ـ4ـ تناسب میان میزان اطلاعات ارایه شده از هر موجودیت با نوع تعامل با رعایت اختیار یا آگاهی موجودیتها؛
2ـ 5 ـ تأمین ادله دیجیتال در ثبت و اعطای شناسه ها و گواهی ها و اعتباربخشی صفتها؛
2ـ6 ـ رعایت امنیت اطلاعات هویت دیجیتالی و تناسب آن با نوع تعامل از طریق ایجاد چارچوب مبادله قابل اعتماد و اعطای گواهی موثق[6]؛
2ـ7ـ مرتبط بودن اطلاعات هویتی پایه فضای مجازی با فضای فیزیکی؛
2ـ 8 ـ اتکاپذیری، تابآوری، ماندگاری، کاربری آسان، ساده بودن ساختار و تعاملپذیری میان اجزاء زیست بوم؛
2ـ9ـ تضمین صحت، تمامیت، اعتبار، انکارناپذیری و استنادپذیری هویت موجودیتهای فضای مجازی به تناسب نوع تعامل؛
2ـ10ـ افزایش شفافیت و کاهش گمنامی در فضای مجازی؛
2ـ11ـ ارتقاء و استمرار فرآیندهای احراز هویت در فضای مجازی.
ماده3ـ خطوط اجرایی
3ـ1ـ
هر تعاملی در فضای مجازی کشور باید با شناسه معتبر آغاز شود؛
3ـ2ـ همه عوامل ذی نقش در یک تعامل مسئول عملکرد خود هستند؛
3ـ3ـ موجودیتها در شبکه ملی اطلاعات و هر شبکه دیگری که درون یا مرتبط با آن قرار می گیرند، باید هویت احراز شده داشته باشند؛
3ـ4ـ چنانچه موجودیتی امکان تغییر شناسه را فراهم کند، باید امکان نگاشت شناسه قبل و بعد از تغییر را برای تأمین کننده شناسه مرتبط فراهم کند؛
3ـ 5 ـ کلیه ارایه دهندگان خدمات فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری در کشور باید در چارچوب و منطبق بر نظام هویت معتبر در فضای مجازی کشور فعالیت و از پذیرش و گذردهی تعاملهای فاقد هویت معتبر اجتناب کنند؛
3ـ6 ـ امکان نگاشت بین شناسه های متنوع هر یک از عوامل دخیل در یک تعامل در لایه های مختلف ارتباطی، خدماتی، کاربری و محتوایی باید برای تأمین کننده شناسه مرتبط فراهم و هر تعامل در فضای مجازی کشور، بی واسطه یا باواسطه، بهشخصی منحصر به فرد منتهی شود؛
3ـ7ـ هر گونه اقدام یا مشارکت در اختفاء یا جعل هویت از جمله عرضه ابزار و خدمات مرتبط ممنوع است؛
3ـ 8 ـ مسئولیت جبران خسارت ناشی از نقص الزامات و خطوط اجرایی موضوع مواد 2 و 3 این نظام، در چارچوب قوانین جاری کشور برعهده تأمینکننده شناسه و یا ارائهدهنده خدمت نقضکننده آنها است؛
3ـ 9ـ مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ این مصوبه، پیشنویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند؛
3ـ10ـ مرکز ملی فضای مجازی گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارایه کند.
ماده4ـ نگاشت نهادی
4ـ1ـ
وزارت ارتباطات و فناوری اطلاعات تأمین کننده شناسه در لایه ارتباطی کشور بوده و مسئولیت تنظیم مقررات و اتخاذ تمهیدات لازم برای اجرای موارد ذیل را بر عهده دارد:
4ـ1ـ1ـ
احراز هویت متقاضیان و مشترکین داخلی و خارجی خدمات ارتباطی ثابت و سیار و خدمات میزبانی؛
4ـ1ـ2ـ احراز هویت برخطِ موجودیتهای بهره بردار خدمات عمومی ارتباطی ثابت و سیار و خدمات میزبانی؛
4ـ1ـ3ـ ساماندهی و مدیریت نشانیهای پروتکل اینترنت[7] و نامهای دامنه در سطح ملی.
4ـ2ـ مرکز ملی فضای مجازی به منظور ایجاد زیست بوم هویت فضای مجازی کشور در خصوص موارد زیر اقدام کند:
4ـ2ـ1ـ
احصای فهرست تأمین کنندگان شناسه "لایه کاربرد"، برای ثبت، اعطای شناسه و گواهی به کلیه موجودیتهای آن لایه با استفاده از ظرفیت موجود اجرایی و ارایه نگاشت نهادی پیشنهادی به شورای عالی فضای مجازی؛
4ـ2ـ2ـ تنظیم و ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی؛
4ـ2ـ3ـ تصویب و ابلاغ ضوابط و مقررات عمومی زیست بوم هویت فضای مجازی؛
4ـ2ـ4ـ نظارت بر حسن اجرای تعهدات تأمین کنندگان شناسه و تأمین کنندگان ملی صفتها.
4ـ3ـ وزارت ارتباطات و فناوری اطلاعات به منظور استقرار زیست بوم هویت فضای مجازی کشور و در چارچوب ضوابط و مقررات عمومی ابلاغی موضوع بند 4ـ2ـ3، نسبت به تعیین حوزه مشخص و متمرکز برای «هماهنگی و برنامه ریزی ملی هویت فضای مجازی» با وظایف و اختیارات زیر اقدام کند :
4ـ3ـ1ـ
تدوین پیشنویس طرح تحول و برنامه ملی هویت فضای مجازی ظرف مدت سه ماه از تاریخ ابلاغ این مصوبه و ارایه به مرکز ملی فضای مجازی برای تنظیم و ابلاغ؛ در این طرح باید تأمین کنندگان ملی صفتها در حوزه های مختلف و نگاشت نهادی آنها و نیز خدمات کاربردی مبتنی بر احراز هویت خدمات ارتباطی تعیین و مشخص شوند؛
4ـ3ـ2ـ استقرار چارچوب تعامل پذیری بین تأمین کنندگان شناسه، صفتها و دیگر موجودیتها؛ برای دوره گذار سهساله، از طریق درگاه واحد بین تأمینکنندگان شناسه و تأمینکنندگان صفتها، خدمات ارایه میشود؛
4ـ3ـ3ـ ارایه گزارش فصلی از اقدامات و پیشرفت کار به مرکز ملی فضای مجازی.
4ـ4ـ تأمین کنندگان شناسه و تأمین کنندگان ملی صفتها باید ظرف مدت سه ماه از تاریخ ابلاغ طرح تحول و برنامه ملی هویت فضای مجازی موضوع بند 4ـ2ـ2، برنامه خود را تدوین و برای تصویب به مرکز ملی فضای مجازی ارایه کنند.
____________________________
1 Identity
2 Attribute
1 IDP: Identity Provider
2 AP: Attributes Provider
3 Trusted Framework
4 Credential
5 IP Address