امن سازی زیرساخت های افتا در مقابل حملات سایبری دشمن
می هاست: یافتن پاسخی مناسب به این پرسش بسیار دشوار است، برای اینکه اطلاعات موجود ناچیز بوده و اغلب از طرف منابعی ارائه شده اند که بی طرفی آنها مورد تردید است.
در واقع نمی توان بسادگی شدت حقیقی خطرات سایبری را (یا به عبارت دیگر اقدامات خصمانه دائمی ای که سیستم های اطلاعاتی در سطح جهان را تحت تاثیر قرار می دهند) بطور قطع تعیین کرد.
رکن اصلی امنیت سایبری – از شروع توسعه این مفهوم، - اجرای تدابیر فنی و غیر فنی ای است که امنیت سیستم های اطلاعاتی را تضمین می کنند. اما برای آنکه این تدابیر تاثیرگذاری داشته باشند، باید تمامی تهدیدات و لطمه پذیری های ممکن را پوشش دهند، چونکه تنها یک نقص کوچک می تواند بستر حمله ای گسترده را فراهم آورد.
در عصر اطلاعات شاهد شکل گیری فضایی هستیم که در آن کارهای گوناگونی از قبیل اطلاع رسانی، ارائه خدمات، مدیریت و کنترل ارتباطات، بوسیله سازوکارهای فضای مجازی انجام می پذیرد. این فضا که از آن با نام "فضای تولید و تبادل اطلاعات" یاد می شود، در معرض چالش ها، لطمه ها و تهدیدات گوناگونی نظیر ارتکاب جرائم سازمان یافته، حملات مختل کننده خدمات، جاسوسی، خرابکاری، تخریب بانکهای اطلاعاتی، نقص حریم خصوصی و نقض حقوق مالکیت معنوی قرار دارد. تهدیدات امنیتی فضای مجازی با سوءاستفاده از پیچیدگی و اتصال بیش از پیش سیستم های موجود در سازمان ها و خصوصاً زیرساخت های حیاتی، حساس و مهم، مواردی همچون امنیت، اقتصاد، ایمنی و سلامت عموم را در معرض خطر قرار می دهند. صیانت از زیرساخت های حیاتی ملی برای ایجاد جامعه ای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضرورت دارد. در این جهت زیرساخت های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس پذیری دارایی های خود می باشند. باتوجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با توجه به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این مساله و نهادینه سازی آن به عنوان یک ضرورت و اولویت تلقی می شود.
هدف از این طرح، تامین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه خدمات حیاتی آنست. در این طرح الزاماتی برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر امنیت اطلاعات در زمینه های زیرساختی ارائه شده است. همین طور سازمان نیازمند ساختاری برای تامین منابع انسانی و مالی بمنظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به عنوان پیش نیازی برای اجرای سایر الزامات طرح بوده و بعد از انجام اقدامات فوق در سازمان، لازم است طرح امن سازی متناسب با نقشه راه اجرائی گردد.
راهبرد اصلی طرح امن سازی زیرساخت های حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و لطمه پذیری های موجود در یک سازمان شناسایی و ارزیابی می شوند و بوسیله انجام اقدامات امن سازی که اولویت بیشتری دارند، مخاطرات مدیریت می شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش های مختلفی نظیر ISO/IEC 27005، ISO 31000، ISA/IEC 62443 و... چارچوب های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می زند در اختیار سازمان ها قرار می دهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.
زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست ها، ضوابط، رویه ها در بعد مدیریتی و بهره گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می کند. قلمرو این زیرساخت در بعد فنی شامل الگوریتم های رمزنگاری، پروتکلهای امنیتی، زیرساخت کلید عمومی و... است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشاء داده ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد بدون مجوز قرار نگیرند. تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در زمینه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که می توان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت. از موارد پرکاربرد زیرساخت محرمانگی سازمان ها می توان به مدیریت کلیدهای رمزنگاری، امن سازی کاربردهای تحت وب، امنسازی برنامه اتوماسیون اداری، تصدیق هویت و... اشاره نمود.
پس از پیاده سازی و اجرای برنامه های عملیاتی تدوین شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این جهت لازم است ممیزی های مستمر و ادواری در سازمان صورت گیرد. پس مرکز افتا (امنیت فضای تولید و تبادل اطلاعات ) موظف است تا کلیه ممیزی ها را برمبنای ابزار ارزیابی سطح بلوغ ارائه شده، مدیریت و سازمان را از نتیجه باخبر نماید.
ممیزی داخلی: سازمان باید روال های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و بطور منظم نسبت به برگزاری آنها اقدام نماید. جهت اطمینان از اجرای الزامات، سازمان گزارش های لازم را برمبنای فرم های ممیزی مرکز افتا تهیه و جهت بررسی و گرفتن تأییدیه به مرکز افتا ارسال می نماید.
ممیزی خارجی: جهت نظارت بر روند اجرای برنامه های عملیاتی و اثربخشی آنها ممیزی خارجی توسط مرکز افتا صورت خواهد گرفت. سازمان بعد از گرفتن گزارش های ممیزی خارجی، نسبت به رفع انطباق ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.
منبع: mihost.ir
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب