توسط: تاریخ انتشار: 4 مهر 1399 0 دیدگاه

امنیت دشوار است، امنیت گران قیمت است . این دو عبارت بازگو کننده نظرات افرادی است که برای ارتباطات الکترونیکی خود نیاز مبرم به امنیت را دریافته اندو به دنبال آن هستند. کلمه “امنیت شبکه های تجاری” یا “Enterprice network security” با افزایش درک شرکتها از ریسک‌های موجود و همچنین توسعه نرم افزارهای کاربردی در محاورات متداول تر شده است.گرچه جمله ذیل در ابتدا ممکن است نگران کننده باشد، اما حقیقتی است انکار ناپذیر اینکه “امنیت مطلق وجود ندارد” زیرا: تنظیمات تجهیزات ناکافی است، حملات جدیدی طراحی می شوند و نرم افزارها باگ‌های امنیتی دارند که لازم است به آن‌ها پرداخته و رفع گردد. بهترین کارهایی که هر شرکت می تواند انجام دهد عبارتند از تشخیص ریسک‌ها و تهدیدات امنیتی و نقاط ضعف ها، تصمیم گیری بر این موضوع که چه موارد بحرانی وجود دارد، سپس پیاده سازی سیاست‌های امنیتی است با کارآیی بالا و مطلوب. همچنین این مسئله مهم است که تحقیق و بررسی شود که آیا سیاست‌های امنیتی بدرستی اجرا می‌شوند که این امر متضمن مونیتورینگ و نظارت فعال ترافیک روی شبکه و انجام بررسی دوره ای مجوزهای امنیتی است. امنیت شبکه موضوعی است پیچیده. این مساله تا حدودی ناشی از وفور تکنولوژی‌های امنیتی قابل دسترس می‌باشد. در اینجاست که برای شروع پیاده سازی استراتژی‌های امنیتی، با توجه به امکانات قابل دسترس و تشخیص تهدیدات بالقوه و بالفعل باید با تکیه بر مشاورین متخصص سریعاً اقدام نمود.

حفاظت از زیرساخت‌­های حیاتی ملی برای ایجاد جامعه‌ای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری است. در این راستا زیرساخت‌های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس‌پذیری دارایی­‌های خود می­‌باشند. با توجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با عنایت به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این موضوع و نهادینه‌­سازی آن به‌عنوان یک ضرورت و اولویت تلقی می­‌شود.

مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۹۷ نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری را به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ نمود. در این مطلب تلاش شده است، خلاصه‌­ای از الزامات در نظر گرفته شده در مستند مذکور ارائه گردد. در بخش اول این مقاله مرکز مدیریت راهبردی افتا و اهداف آن معرفی شده و در ادامه به الزامات و مخاطبین طرح که پیاده ­سازی موارد برای آن­ها الزامی است اشاره شده است.

معرفی مرکز مدیریت راهبردی افتا ریاست جمهوری

پیشینه تشکیل مرکز مدیریت راهبردی افتا به تدوین سند راهبردی افتا باز می‌گردد. در سال ۱۳۸۲ شورای عالی افتا بر اساس ضرورت‌ها، توسط دولت وقت ایجاد و ملزم به تدوین این سند برای کشور شد. سند تدوین‌­شده توسط شورای مذکور، در سال ۱۳۸۴ توسط هیئت دولت به تصویب رسید و به دستگاه‌ها ابلاغ شد.

پس از تصویب و ابلاغ سند راهبردی افتا توسط هیئت‌وزیران، مرکز مدیریت راهبردی افتا، به‌منظور برنامه‌ریزی، سیاست‌گذاری و نظارت بر حسن اجرای دستورالعمل‌های ابلاغی در دستگاه‌های اجرایی و نیز به‌عنوان دبیرخانه سند در سال ۱۳۸۶ تشکیل شد. سند راهبردی افتا که مأموریت اجرای آن توسط دولت‌های نهم، دهم و یازدهم به این مرکز محول شده است، در سال ۱۳۸۷ موردبازنگری قرار گرفت. موضوع مسئولیت مرکز در اجرای سند نیز توسط معاون اول رؤسای محترم جمهور در هر دوره، به‌منظور همکاری دستگاه‌های اجرایی به آن‌ها ابلاغ شد. در ذیل، عناوین مستندات سیر تشکیل مرکز و مأموریت‌های محوله آن ارائه شده است:

  • تأسیس شورای عالی افتا – سیزدهم اسفند سال ۱۳۸۲
  • تدوین سند راهبردی افتا توسط شورای عالی افتا و تصویب در هیئت محترم وزیران – سال ۱۳۸۴
  • تأسیس مرکز مدیریت راهبردی افتا – سال ۱۳۸۶
  • بازنگری سند راهبردی افتا و ابلاغ آن – اسفندماه ۱۳۸۷
  • بخشنامه دبیر محترم شورای عالی و رئیس مرکز ملی فضای مجازی در بهمن‌ماه سال ۹۴

سیاست­های کلان مرکز مدیریت راهبردی افتا

سیاست‌های کلی این مرکز را می‌­توان در محورهای ذیل دسته‌بندی نمود:

  • اشراف بر فناوری‌های نوین و بهره‌­گیری از آن‌ها
  • انجام امور رگولاتوری (تنظیم مقررات)، ساماندهی، نظارت و هماهنگی حوزه افتا در سطح کشور
  • بهره‌گیری از تدابیر صحیح و فنی، جهت پیشگیری از مخاطرات امنیتی، تشخیص به‌موقع، مقابله صحیح و هوشمندانه با مخاطرات
  • توجه اکید به رویکردهای ایجابی در انجام مأموریت‌ها و در حد امکان دوری از رویکردهای سلبی
  • امن‌سازی مدبرانه فضای تولید و تبادل اطلاعات به‌منظور عدم توقف استمرار ارائه خدمات
  • انجام اقدامات حمایتی از صنعت افتای بومی کشور
  • تأسیس مراکز افتا در استان‌ها با رویکرد نظارتی و کنترلی

مخاطبین طرح

مخاطب اصلی این طرح کلیه زیرساخت­‌ها و دستگاه­‌های دارای طبقه‌­بندی کشور بوده و سایر دستگاه‌­ها نیز می­‌توانند به فراخور نیاز خود از آن استفاده نمایند. آنچه در این بخش ضروری است، این موضوع است که دستگاه ما به‌عنوان یک زیرساخت حیاتی به شمار می‌­رود یا خیر. زیرساخت‌های حیاتی (Critical Infrastructure) به‌صورت کلی به آن دسته از سامانه‌ها، خدمات یا حتی عملیاتی اطلاق می‌شود که اختلال یا تخریب آن‌ها موجب تضعیف یا ناتوانی در خدمات بهداشت عمومی، تجارت و اقتصاد، امنیت ملی یا هر ترکیب دیگری از این قبیل موارد شود. این موارد شامل سازمان­‌های فعال در حوزه ارتباطات، انرژی، سامانه‌های بانکی، خطوط حمل‌ونقل، بهداشت عمومی و خدمات ضروری دولتی می‌شود.

در حال حاضر لیست مشخصی از سازمان‌­ها و دستگاه‌­های حیاتی در کشور وجود ندارد (و یا توسط نگارنده این مقاله یافت نشده است) و تصمیم‌­گیری در این خصوص معمولا بر مبنای استعلام از مرکز مدیریت راهبردی افتا صورت می گیرد. همچنین تطابق با الزامات آورده شده در این طرح، برای مخاطبین آن، به عنوان یک الزام مطرح می باشد و در صورت اقدام این مخاطبین برای ممیزی و دریافت گواهینامه ملی سیستم مدیریت امنیت اطلاعات -ISMS، علاوه بر الزامات استاندارد مرجع -ISO 27001 اجرای الزامات این طرح نیز باید مورد تایید قرار بگیرد.

خلاصه مدیریتی طرح

هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه سرویس­‌های حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیاده‌­سازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزه­‌های زیرساختی ارائه‌شده است. همچنین سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می­‌تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به‌عنوان پیش‌نیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امن­‌سازی متناسب با نقشه راه اجرایی گردد. (برای کسب اطلاعات بیشتر به مقاله سازماندهی امنیت و ضرورت وجود واحد و مدیر امنیت اطلاعات – CISO رجوع شود)

نقشه راه اجرای طرح امن‌سازی

زیرساخت­‌های حیاتی لازم است بر اساس گام‌­های نقشه راه، نسبت به اجرای طرح امن سازی اقدام نمایند. گام‌­های نقشه در شکل زیر مشخص‌شده است.

الزامات طرح امن‌سازی

این الزامات، کنترل‌های حداقلی به‌منظور کاهش مخاطرات دارای اولویت در زیرساخت‌ها است و هدف از این بخش جهت‌دهی راهبردی به فعالیت‌های ملی در حوزه امنیت سایبری زیرساخت‌ها و ارائه یک نقشه راه، برای توسعه هم‌زمان امنیت سایبری در بخش‌های مختلف کشور در سال‌های پیش رو است. سطح بلوغ امنیتی مطلوب سازمان در هر یک از الزامات این طرح، می‌تواند بر اساس سطح قابل‌پذیرش مخاطرات سازمان تعیین گردیده و این سطح در برنامه عملیاتی سازمان تصریح و به تأیید مرکز افتا خواهد رسید.

مدیریت مخاطرات

راهبرد اصلی طرح امن­‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و آسیب‌پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند و از طریق انجام اقدامات امن‌­سازی که اولویت بیشتری دارند، مخاطرات مدیریت می‌شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش‌های متعددی نظیر ISO/IEC 27005 ،ISO 31000 ،ISA/IEC 62443 و … چارچوب‌های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می‌زند در اختیار سازمان‌ها قرار می‌دهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.

این فرایند شامل شناخت بافتار سازمان است که شامل ساختار سازمانی، نقش‌ها و مسئولیت‌ها، خط‌مشی‌ها و … است. در این راستا باید محدوده و قلمرو فرایند مدیریت مخاطرات و معیارهای ارزیابی تعیین گردد و در گام بعد در مرحله ارزشیابی مخاطره، شناسایی مخاطره، تحلیل مخاطره و ارزیابی مخاطره صورت می‌پذیرد.

پایش و کنترل سایبری

با توسعه روزافزون فناوری اطلاعات و نیاز سازمان‌ها به استفاده از بسترهای الکترونیکی و مجازی و پیچیدگی و تنوع حملات و تهدیدات سایبری، صرفاً به‌کارگیری تجهیزات مرسوم امنیتی مانند فایروال کافی نیست، زیرا این تجهیزات هر یک به‌طور منفرد بخشی از نیازهای امنیتی سازمان را مرتفع می‌سازد. لذا به‌منظور شناسایی حملات و تهدیدات سایبری پیشرفته، استفاده از راهکارهای پایش یکپارچه و هوشمند رویدادهای امنیتی ضروری است. مطابق با الزامات این بخش سازمان باید مرکز عملیات امنیت را با استفاده از ظرفیت‌های داخل سازمان و یا با استفاده از ظرفیت سازمان بالادستی ایجاد کند.

اهداف فرآیندی در این بخش شامل موارد زیر است:

  • پایش بر خط رویدادهای امنیتی که باهدف تشخیص ناهنجاری‌های ترافیکی و ممیزی انطباق عملکردها با خط‌مشی‌های امنیتی سازمان قابل انجام است.
  • تحلیل عمیق رویدادهای امنیتی که پس از بررسی و صحت سنجی رویدادهای امنیتی گزارش‌شده و در صورت تأیید وقوع حادثه، راهکار پیشگیری و مقابله، تدوین و به تیم سایبری ارسال می‌گردد.
  • پایش و تحلیل آسیب‌پذیری‌ها
  • معماری مرکز عملیات امنیت که ضمن احصاء نیازمندی‌های فنی بخش‌های مختلف و نظارت بر طراحی، پیاده‌سازی و عملکرد مطلوب این سامانه‌­ها، راهبری، نگهداری و به‌روزرسانی آن­ها را همگام با فناوری‌های روز این حوزه بر عهده دارد.

مؤلفه فناوری در این بخش نیز شامل دو المان زیر است:

  • سامانه مدیریت رویداد و اطلاعات امنیتی (SIEM)
  • آزمایشگاه‌های امنیتی جهت بهبود وضعیت عملکرد مرکز عملیات امنیت

مدل عملیاتی مرکز عملیات امنیت

مدیریت حوادث سایبری (IT/OT)

آن دسته از رویدادهایی که موجب نقض اصول و سیاست‌های فضای مجازی شود، حادثه سایبری نامیده می‌شود. هدف از مدیریت حوادث سایبری، کنترل و به حداقل رساندن خسارت، حفاظت از شواهد، بازیابی سریع و مؤثر سیستم‌ها، جلوگیری از تکرار حوادث مشابه و به دست آوردن دید مناسب نسبت به تهدیدات علیه سازمان است.

مؤلفه فرآیند در مدیریت حوادث سایبری به دودسته اعلام هشدار حوادث و پاسخگویی به حوادث تقسیم می‌گردد؛ که هر دسته شامل فرایندهای داخلی و ارتباط با سایر واحدها مطابق شکل زیر است.

بخش پاسخگویی به حوادث خود نیز به سه دسته فعالیت‌های قبل از حادثه، فعالیت‌های حین حادثه و فعالیت‌های بعد از حادثه تقسیم می‌شود.

مؤلفه فناوری شامل استفاده از تجهیزات و ابزارهای بروز و کارآمد، ابزارهای تهیه ایمیج، ابزارهای بازیابی اطلاعات، ابزارهای تست و عیب‌یابی شبکه‌ها، ابزارهای مقابله با بدافزار قابل بوت و قابل‌نصب و … است.

مدیریت تهدیدات بدافزاری

امروزه بدافزارها به‌عنوان یکی از جدی‌ترین تهدیدات فضای مجازی هستند. انجام عملیات شنود و جاسوسی، سرقت، تخریب اطلاعات، تخریب سامانه‌ها، کاهش اعتبار و به خطر افتادن کسب‌وکار سازمان، بخشی از خطرات بدافزارها است.

از مؤلفه‌های تشکیل‌دهنده واحد مقابله با بدافزار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش‌­ها و مسئولیت‌ها، تدوین و اجرای برنامه آموزشی است.

مؤلفه فرآیند شامل شناسایی و جمع‌آوری شواهد، تحلیل بدافزار، مقابله با بدافزار است.

جهت تحلیل بدافزار، محیطی امن و ایزوله آزمایشگاهی نیاز است و این فرایند شامل مراحل زیر است.

  • تحلیل ایستای اولیه: جهت کسب آگاهی از عملکرد و مشخصات فایل مشکوک بدون اجرای فایل برنامه در سیستم، از طریق ابزارهای مختلفی تحلیل می­شود.
  • تحلیل رفتاری: هدف از تحلیل رفتاری، تحلیل رفتار شبکه‌ای شامل استخراج دامنه‌ها و آدرس آی‌پی‌های مورداستفاده توسط بدافزار
  • تحلیل کد: با استفاده از ابزارهای دیباگر و Disassembler
  • تحلیل حافظه: این نوع تحلیل به بررسی حافظه تصادفی سیستم آلوده می‌پردازد تا نشانه‌هایی از برنامه مشکوک را بازیابی کند.
  • مستندسازی نتایج: خروجی فرآیند تحلیل بدافزار

مقابله با بدافزار: هدف پیشگیری از نصب بدافزار، تشخیص و پاک‌سازی بدافزارهای شناسایی‌شده از روی کلیه تجهیزات است. خروجی این فرایند شامل ابزار شناسایی، راهنما و دستورالعمل پاک‌سازی و راهکارهای امنیتی برای پیشگیری از آلودگی سایر سامانه‌ها.

مدیریت تداوم کسب‌و‌کار

مدیریت تداوم کسب‌وکار، مدیریت بازیابی و تداوم فعالیت و سرویس‌های حیاتی کسب‌وکار در هنگام وقوع حوادث و شرایط بحرانی است. پس باید با برنامه‌ریزی منسجم از تداوم ارائه این خدمات حتی در زمان وقوع حوادث احتمالی اطمینان پیدا کرد که این امر در قالب مدیریت تداوم کسب‌وکار سازمان محقق می‌گردد.

از مؤلفه‌های تشکیل‌دهنده مدیریت تداوم کسب‌وکار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش­‌ها و مسئولیت‌ها و تدوین و اجرای برنامه آموزشی است.

در مؤلفه فرآیند دستیابی به اهدافی چون پیشگیری از حادثه، شناسایی حادثه، پاسخ به حادثه، بازیابی و بهبود دنبال می‌گردد.

فرایند مدیریت تداوم کسب‌وکار از چهار گام به شرح زیر تشکیل‌شده است.

  1. شناخت سازمان
  2. تحلیل اثرات کسب‌وکار
  3. تدوین طرح‌های مدیریت تداوم کسب‌وکار
  4. تمرین، نگهداری و بازنگری جهت اطمینان از اثربخشی طرح‌های تداوم کسب‌وکار و بازیابی از فاجعه

در راستای فرایند مدیریت کسب‌وکار باید حداقل سالیانه یک مانور طرح تداوم کسب‌وکار جهت مشخص شدن نقاط ضعف طرح‌های تدوین‌شده اجرا گردد.

زیرساخت محرمانگی و استناد پذیری

زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست­‌ها، ضوابط، رویه‌ها در بعد مدیریتی و بهره‌گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می‌نماید. قلمرو این زیرساخت در بعد فنی شامل الگوریتم‌های رمزنگاری، پروتکل‌های امنیتی، زیرساخت کلید عمومی و… است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشاء داده‌ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیرمجاز قرار نگیرند.

تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که می‌توان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت.

از موارد پرکاربرد زیرساخت محرمانگی سازمان‌ها می‌توان به مدیریت کلیدهای رمزنگاری، امن‌سازی کاربردهای تحت وب، امن‎سازی برنامه اتوماسیون اداری، تصدیق هویت و … اشاره نمود.

مدیریت هویت و دسترسی

کاربران در سازمان به‌عنوان مهم‌ترین بازیگر در فرآیندهای سازمان، دارای دسترسی به منابع مختلف سازمان هستند. ایجاد، کنترل و مدیریت این دسترسی‌ها از وظایف اصلی تعریف‌شده در مدیریت هویت و دسترسی است. مدیریت هویت و دسترسی، چهارچوبی است که در آن سازمان سیاست‌ها و فرایندهای خود در چرخه حیات هویت‌های دیجیتال را تبیین می‌نماید. این چرخه شامل: تعریف هویت دیجیتال، ایجاد و مجازشماری دسترسی به منابع و دارایی‌های دیجیتال و فیزیکی سازمان و حذف هویت و دسترسی‌ها در مواقعی که کارمند مسئولیت خود را به هر دلیلی از دست می‌دهد.

لازم است سازمان خط‌مشی مدیریت هویت و دسترسی شامل مدیریت چرخه حیات هویت‌های دیجیتال، کنترل دسترسی، تجهیزات قابل‌حمل شامل رسانه‌های قابل سازمانی و دستگاه‌های شخصی، مدیریت رسانه‌های دیجیتال و غیر دیجیتال، ارتباطات راه دور و همچنین حفاظت فیزیکی خود را تدوین و اجرایی نماید.

مدیریت زنجیری تأمین

مهم‌ترین اقدام برای شناسایی به‌موقع موارد نفوذ و اختلال در زیرساخت‌های حیاتی کشور، مدیریت همه‌جانبه فنی و حفاظتی زنجیره تأمین، در فرآیند طراحی، پیاده‌سازی، بهره‌برداری و نگهداری از زیرساخت‌های حیاتی کشور است. لازم است سازمان خط‌مشی مدیریت زنجیره تأمین خود را تدوین و اجرایی نماید و در آن مواردی همچون تعیین سطح کیفی ارائه خدمت (SLA)، اخذ تعهدنامه محرمانگی و عدم افشاء اطلاعات، استفاده از خدمات برون‌سپاری شده مطابق “آیین‌نامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات”، نظارت بر فعالیت‌های شرکت ارائه‌دهنده خدمت و … را لحاظ کند.

امن سازی زنجیره تأمین: در این راستا رعایت موارد زیر الزامی است.

  1. نیازسنجی و طراحی
  2. انتخاب تأمین‌کنندگان
  3. خرید/ تولید داخلی و خارجی: شامل مواردی چون استعلام از مرکز افتا پیش از خرید محصولات خارجی مورداستفاده در سامانه‌های ملی، استفاده از محصولات و سامانه‌های داخلی دارای گواهی ارزیابی امنیتی مورد تأیید مرکز افتا، انعقاد قرارداد رسمی برون‌سپاری و تدوین پیوست امنیتی برای آن و … اشاره نمود.
  4. انتقال موارد خریداری‌شده و انبارداری: شامل استفاده از فرآیند، عناصر و عوامل کنترل‌شده در توزیع، تحویل و انبارداری، اعتبارسنجی اصالت و اطمینان از عدم دست‌کاری محصولات از زمان خرید تا تحویل با استفاده از سازوکارهای امنیتی است.
  5. نصب، راه‌اندازی و اجرا: شامل تأمین و نگهداری امن مستندات محصولات و سامانه‌ها، اعم از مستندات تحلیل و طراحی، معماری، پیاده‌‌سازی، تست و ارزیابی به‌طوری‌که در زمان موردنیاز در دسترس افراد مجاز باشد، پیکربندی امن و اعمال تنظیمات امنیتی در سامانه به‌منظور مقاوم‌سازی و امن سازی، ممیزی بر روی خدمات دریافتی توسط کارفرما وفق مفاد قرارداد و … است.
  6. راهبری، بهره‌برداری و خاتمه: شامل ایجاد سازوکار لازم جهت اطلاع به‌موقع از نسخه‌های جدید، وصله‌ها و راهکارهای رفع آسیب‌پذیری‌های منتشرشده برای سامانه‌ها، پایش مداوم محصولات و سامانه‌های مورداستفاده، پیگیری تعهدات قراردادی و … توسط سازمان پس از خاتمه قرارداد برون‌سپاری است.

آموزش و فرهنگ‌سازی

منشأ بسیاری از حملات سایبری عامل انسانی است که عموماً به‌صورت ناخواسته و ناآگاهانه زمینه را جهت نفوذ و حمله فراهم می­کند. خط‌مشی امنیت اطلاعات سازمان باید به‌گونه‌ای باشد که افراد قبل از دسترسی به سیستم‌های حساس، درزمینهٔ امنیت سایبری، آموزش و آگاهی لازم را کسب کنند و با خط‌مشی‌ها و رویه‌های امنیتی سازمان آشنا شوند.

در این زمینه لازم است سازمان خط‌مشی آموزش و فرهنگ‌سازی خود را تدوین و اجرایی نماید. برنامه آموزش امنیت اطلاعات سازمان باید متناسب با نقش‌ها و مسئولیت‌های مبتنی با “سند معرفی دوره‌های آموزشی افتا” باشد، به‌منظور ارتقای فرهنگ امنیت سایبری، حداقل یک همایش عمومی برگزار کند، ارزیابی میزان آمادگی و آگاهی کارکنان در حوزه امنیت سایبری به‌صورت دوره‌ای انجام شود و … .

مدل بلوغ طرح‌ امن‌سازی

سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است و تشکیل این ساختار پیش‌نیازی برای اجرای سایر الزامات طرح است. لذا بدین منظور در مدل بلوغ، دامنه‌ای با عنوان “سازمان امنیت” در نظر گرفته‌شده است.

باهدف ایجاد قابلیت سنجش پیشرفت، هر دامنه به سطوحی که به آن سطح شاخص بلوغ گفته می‌شود تقسیم‌شده است. این سطوح از یک تا ۴ شماره‌گذاری شده و دارای اولویت می‌باشند. سازمان باید بر اساس اقدامات هر یک از سطوح در دامنه‌های مختلف، ارزیابی دقیقی از اقداماتی که انجام داده داشته باشد و درنهایت بلوغ سازمان خود را اندازه‌گیری نماید.

ممیزی اجرای برنامه عملیاتی امن‌سازی

پس از پیاده‌سازی و اجرای برنامه‌های عملیاتی تدوین‌شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این راستا ضروری است ممیزی‌های مستمر و ادواری در سازمان انجام شود. لذا مرکز افتا موظف است تا کلیه ممیزی‌ها را بر اساس ابزار ارزیابی سطح بلوغ ارائه‌شده، مدیریت و سازمان را از نتیجه مطلع نماید.

ممیزی داخلی: سازمان باید روال‌های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و به‌طور منظم نسبت به برگزاری آن‌ها اقدام کند. جهت اطمینان از اجرای الزامات، سازمان گزارش‌های لازم را بر اساس فرم‌های ممیزی مرکز افتا تهیه و جهت بررسی و اخذ تأییدیه به مرکز افتا ارسال می‌نماید.

ممیزی خارجی: جهت نظارت بر روند اجرای برنامه‌های عملیاتی و اثربخشی آن‌ها ممیزی خارجی توسط مرکز افتا انجام خواهد شد. سازمان پس از اخذ گزارش‌های ممیزی خارجی، نسبت به رفع انطباق‌ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.