.
آخرین رویدادها

سند الزامات گزارش دهی رخدادهای امنیت اطلاعات به نظام بانکی کشور ابلاغ شد

1397/5/13 شنبه
تهیه و تدوین سند الزامات گزارش دهی رخدادهای امنیت اطلاعات بانکی که توسط شرکت کاشف انجام گرفته است طی بخشنامه بانک مرکزی جمهوری اسلامی ایران در اردیبهشت ماه سال جاری برای اجرا به بانک‌ها و موسسات اعتباری غیربانکی کشور ابلاغ شد.

تهیه و تدوین سند الزامات گزارش دهی رخدادهای امنیت اطلاعات بانکی که توسط شرکت کاشف انجام گرفته است طی بخشنامه بانک مرکزی جمهوری اسلامی ایران در اردیبهشت ماه سال جاری برای اجرا به بانک‌ها و موسسات اعتباری غیربانکی کشور ابلاغ شد.

مدیر طرح و برنامه کاشف ضمن اعلام این خبر، درباره اهداف گزارش دهی رخدادهای امنیت اطلاعات گفت:  گردآوری اطلاعات لازم به‌منظور تشخیص بهنگام رخدادها و تهدیداتی که ریسک حاصل از آن‌ها قابلیت توسعه در نظام بانکی و ملی را داراست از محوری‌ترین اهداف این الزامات است و در کنار آن، به اشتراک‌گذاری بی‌نام و بهنگام اطلاعات مرتبط با تهدیدات و رخدادهای امنیتی و تجارب بدست آمده از نحوه رسیدگی به این تهدیدات و رخدادها میان ذی‌نفعان امنیت فضای تولید و تبادل اطلاعات بانکی نیز مورد نظر نهادناظر بانکی و تدوین کنندگان این سند بوده است. وی همچنین یادآور شد از جمله اهداف فرعی دنبال شده در این اقدام، ایجاد زمینه لازم برای تولید و به اشتراک گذاری هوش تهدیدات سایبری در حوزه بانکداری و پرداخت الکترونیکی بوده است.

به گزارش روابط عمومی شرکت کاشف، علیرضا اطهری فرد طی گفت و گویی، با بیان اینکه روند تصاعدی تهدیدات جدید و همچنین منابع محدود بانک ها و مؤسسات اعتباری برای تامین امنیت و مواجهه با رخدادهای احتمالی، تعامل دو سويه بين متصديان امنيت بانك‌ها و ساختار حاكميتي نظام بانكي كشور را بیش از پیش الزامی کرده است، تصریح کرد: لازم است ساز و کارهای مورد نیاز به نحوی ایجاد و عملیاتی شوند تا در صورت وقوع رخداد یا مشاهده تهدیدی در یک بانک یا موسسه اعتباری، از ظرفیت های موجود در تمام صنعت بانکداری کشور برای پاسخگویی به آن رخداد استفاده شود.  سند ابلاغی اخیر با این نگاه و با درک این ضرورت، تهیه و دراختیار نظام بانکی کشور قرار گرفته است تا بتواند علاوه بر ارتقای سطح هم افزایی میان ساختارحاکمیتی ناظر و بازیگران عرصه پولی و بانکی، گام مهمی در ارتقای سطح امنیت اطلاعات و تاب آوری نظام بانکی کشور به شمار آید.

وی سپس به تبیین محتوای مندرج در سند الزامات گزارش دهی رخدادهای امنیت اطلاعات بانکی پرداخت و گفت: این سند شامل سه بخش گزارش دهی رخدادها، مسئولیت‌ها و وظایف و همچنین اقدامات انضباطی است و علاوه بر این، ضوابط دسته‌بندی و محاسبه شدت رخدادها، تعیین فرصت های گزارش‌دهی رخدادها و نیز اقلام اطلاعاتی موردنیاز در گزارش‌دهی رخدادهای امنیتی ازجمله موضوعاتی اند، که در سند دیگری با عنوان: «ضوابط اجرایی گزارش دهی رخدادهای امنیت اطلاعات بانکی» به آن‌ها پرداخته‌شده است.

مدیر طرح و برنامه شرکت کاشف در ادامه با اشاره به اینکه تدوین این سند توسط شرکت کاشف با دستور و سفارش بانک مرکزی جمهوری اسلامی ایران و در پی نیاز سنجی‌های کارشناسانه انجام شده است گفت:  بانک مرکزی با توجه به شرایط و ویژگی های فضای تبادل اطلاعاتی بانکی، ایجاد سازوکاری نظام مند برای گزارشدهی بهنگام رخدادهای امنیتی با هدف فراهم آوردن ظرفیت‌های لازم برای پایش و واپایش امنیت فضای تولید و تبادل اطلاعات بانکی را ضروری می داند و سند ابلاغی اخیر مبتنی بر این درک و نیاز است.

اطهری فرد در ادامه، نبود چارچوب مشخص و دقیقی برای تعامل بانکها با نهادهای قانونی و امنیتی در زمینه رسیدگی به رخدادهای امنیت اطلاعاتی که قابلیت توسعه در سطح ملی را دارا هستند و ساخت نایافتگی اطلاعات گردآوری شده در باره رخدادها را از جمله عواملی دانست که خلا سند الزامات گزارش دهی رخدادهای امنیت اطلاعات را گوشزد می‌کرد و در همین راستا افزود: در کنار تمام موارد ذکر شده نبود رویه‌ای مشخص برای گزارش‌دهی رخدادها، عدم وجود ضمانت اجرایی برای گزارش‌دهی رخدادها و نیز نبود ساختاری مشخص برای به اشتراک گذاری اطلاعات تهدیدات بانکی و تجارب ایجاد شده در زمینه رسیدگی به رخدادهای پیش آمده، میان بانک ها و مؤسسات اعتباری از دیگر عوامل دخیلی بود که نهاد عالی ناظر و شرکت کاشف را مصمم به تدوین و ابلاغ سند الزامات کرد.

وی همچنین درباره روند تدوین سند و اقدامات مقدماتی انجام شده در مسیر تدوین آن گفت: پژوهشها و مطالعات قابل قبولی در حوزه مرتبط با موضوع یاد شده توسط شرکت کاشف انجام شد و اسناد مرتبط در موسسات مالی و بانک‌های مرکزی کشورهای مختلف، CERT های ملی و نیز چارچوب‌ها، بهروش‌ها و استانداردهای مرتبط همچونISO ، ENISA وNIST گردآوری و بررسی شدند. همچنین برخی دیگر از اسناد مرتبط با این حوزه در مراجع علمی-تحقیقاتی معتبری همچون موسسه گارتنر و دانشگاه کارنگی ملون بررسی و بهره برداری شدند و در گام بعد، خروجی حاصل از پژوهش های انجام شده در سلسله جلساتی با برخی از خبرگان و متخصصان بانکی به شور گذاشته شد. در نهایت سند «الزامات گزارش‌دهی رخدادهای امنیت اطلاعات بانکی» با شناسه BIS RG 200-10 و سند راهنمای آن تحت عنوان «ضوابط اجرایی گزارش‌دهی رخدادهای امنیت اطلاعات بانکی» با شناسه BIS GL 200-10 تهیه شد که این اسناد در چهلمین نشست شورای راهبردی امنیت اطلاعات بانک مرکزی ج.ا.ا در تاریخ بیست و نهم خردادماه یک‌هزار و سیصد و نودوشش شمسی به تصویب رسیده است.

منبع :


نسخه قابل چاپ
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها