امن سازی زیرساخت های افتا در مقابل حملات سایبری دشمن
یافتن پاسخی مناسب به این پرسش بسیار دشوار است، چونکه اطلاعات موجود ناچیز بوده و اغلب از جانب منابعی عرضه شده اند که بی طرفی آنها مورد تردید است.
در واقع نمی توان به آسانی شدت حقیقی خطرات سایبری را (یا به عبارت دیگر اقدامات خصمانه دائمی ای که سیستم های اطلاعاتی در سطح جهان را تحت تأثیر قرار می دهند) قطعا تعیین کرد.
رکن اصلی امنیت سایبری – از آغاز توسعه این مفهوم، - اجرای تدابیر فنی و غیر فنی ای است که امنیت سیستم های اطلاعاتی را تضمین می کنند. اما برای آنکه این تدابیر تاثیرگذاری داشته باشند، باید تمامی تهدیدات و صدمه پذیری های ممکن را پوشش دهند، چون که تنها یک نقص کوچک می تواند بستر حمله ای گسترده را فراهم آورد.
در عصر اطلاعات شاهد شکل گیری فضایی هستیم که در آن فعالیتهای گوناگونی از قبیل اطلاع رسانی، عرضه خدمات، مدیریت و کنترل ارتباطات، از راه سازوکارهای فضای مجازی انجام می پذیرد. این فضا که از آن با نام "فضای تولید و تبادل اطلاعات" یاد می شود، در معرض چالش ها، صدمه ها و تهدیدات گوناگونی نظیر ارتکاب جرائم سازمان یافته، حملات مختل کننده خدمات، جاسوسی، خرابکاری، تخریب بانکهای اطلاعاتی، نقص حریم خصوصی و نقض حقوق مالکیت معنوی قرار دارد. تهدیدات امنیتی فضای مجازی با سوءاستفاده از پیچیدگی و اتصال روز افزون سیستم های موجود در سازمان ها و بخصوص زیرساخت های حیاتی، حساس و مهم، مواردی همچون امنیت، اقتصاد، ایمنی و سلامت عموم را در معرض خطر قرار می دهند. محافظت از زیرساخت های حیاتی ملی برای ایجاد جامعه ای امن، ایمن و مقاوم در برابر حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری می باشد. در این خصوص زیرساخت های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس پذیری دارایی های خود می باشند. با عنایت به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با توجه به میزان تاثیر آن بر امنیت ملی کشور، پرداختن به این مورد و نهادینه سازی آن بعنوان یک لزوم و اولویت تلقی می شود.
هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و پیشگیری از بروز اختلال در عرضه سرویسهای حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزه های زیرساختی عرضه شده است. همینطور سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به منظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می تواند در چارچوب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار بعنوان پیش نیازی برای اجرای سایر الزامات طرح بوده و بعد از انجام اقدامات فوق در سازمان، لازم است طرح امن سازی متناسب با نقشه راه اجرایی گردد.
راهبرد اصلی طرح امن سازی زیرساخت های حیاتی در برابر حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و صدمه پذیری های موجود در یک سازمان شناسایی و ارزیابی می شوند و از راه انجام اقدامات امن سازی که اولویت بیشتری دارند، مخاطرات مدیریت می شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش های گوناگونی نظیر ISO/IEC 27005، ISO 31000، ISA/IEC 62443 و... چارچوب های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می زند در اختیار سازمان ها قرار می دهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.
زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست ها، ضوابط، رویه ها در بعد مدیریتی و بهره گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می کند. قلمرو این زیرساخت در بعد فنی شامل الگوریتم های رمزنگاری، پروتکلهای امنیتی، زیرساخت کلید عمومی و... است. ضرورت استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، پیشگیری از افشاء داده ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیر مجاز قرار نگیرند. تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که میتوان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت. از موارد پرکاربرد زیرساخت محرمانگی سازمان ها میتوان به مدیریت کلیدهای رمزنگاری، امن سازی کاربردهای تحت وب، امنسازی برنامه اتوماسیون اداری، تصدیق هویت و... اشاره نمود.
پس از پیاده سازی و اجرای برنامه های عملیاتی تدوین شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این خصوص ضروریست ممیزی های مستمر و ادواری در سازمان صورت گیرد. بنابراین مرکز افتا (امنیت فضای تولید و تبادل اطلاعات ) موظف است تا کلیه ممیزی ها را بر مبنای ابزار ارزیابی سطح بلوغ عرضه شده، مدیریت و سازمان را از نتیجه آگاه نماید.
ممیزی داخلی: سازمان باید روال های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و به صورت منظم نسبت به برگزاری آنها اقدام نماید. جهت اطمینان از اجرای الزامات، سازمان گزارش های لازم را بر مبنای فرم های ممیزی مرکز افتا تهیه و جهت بررسی و دریافت تأییدیه به مرکز افتا ارسال می نماید.
ممیزی خارجی: جهت نظارت بر روند اجرای برنامه های عملیاتی و اثربخشی آنها ممیزی خارجی توسط مرکز افتا صورت خواهد گرفت. سازمان بعد از دریافت گزارش های ممیزی خارجی، نسبت به رفع انطباق ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.
منبع: ما دیجیتال
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب