.

ضرورت طراحی یک چارچوب امنیتی در نظام بانکی

در سال های اخیر، نظام بانکی به دلیل حساسیت نوع خدمات، وابستگی به اطلاعات و گرایش زیاد به استفاده از فناوری اطلاعات، به هدفی مناسب و جذاب برای حملات سایبری بدل شده است. با افزایش مخاطرات سایبری در این حوزه، یکی از عمده ترین دغدغه های مشترک میان مؤسسات اعتباری و قانون‌گذاران بانکی، رسیدگی به این مخاطرات، برای حفاظت و صیانت از اطلاعات و دارایی‌های مشتریان بانکی است. لازمه این امر وجود حاکمیت، کنترل ها، روال ها و فرآیندهای مناسب امنیتی در بانک‌ها موسسات اعتباری است.
برای مواجهه با ماهیت منحصر به فرد مخاطرات امنیتی تا کنون تلاش‌های بسیاری در قالب استانداردها، بهروش‌ها، مقررات، اصول و چارچوب‌های امنیتی صورت گرفته است؛ اما تعدد منابع و مراجع کنترلی در حوزه امنیت اطلاعات برای سازمان‌هایی که مکلف به انطباق با این مراجع هستند چالش‌های عملیاتی، مدیریتی و مالی ایجاد می‌کند. از منظر یک نهاد قانون‌گذار نیز از یک‌سو یک مرجع کنترلی به‌تنهایی پوشش‌دهنده تمامی دغدغه‌های امنیتی نیست و از سوی دیگر ابلاغ مراجع مختلف -به‌صورت یکجا و یا درگذر زمان- علاوه بر ایجاد مقاومت و چالش در سازمان‌های مجری، شانس موفقیت در انطباق با تمامی آن‌ها را کاهش‌ داده و راهبری (Governance) امنیت اطلاعات را دشوارتر و پرهزینه‌تر خواهد کرد.
در این راستا، بانک‌های مرکزی در بیشتر کشورهایی که از بانکداری منسجم‌تری برخوردارند، اقدام به راه اندازی یک نظام قانون‌گذاری و نظارتی در حوزه امنیت سایبری کرده اند تا افزون بر ایجاد الزام قانونی و رعایت مجموعه‌ای از الزامات پایه، نسبت به رصد و پایش بانک‌ها در انطباق با الزامات از پیش تعریف‌شده، نقش ایفاء کنند.
به‌طور مشابه با در نظر گرفتن مأموریت بانک مرکزی ایران، برای تضمین وجود خطوط پایه امنیت اطلاعات در صنعت بانکی کشور، «طراحی و تدوین کنترل‌های امنیتی سازمانی و سامانه‌های اطلاعاتی بانکی» را به‌منظور ایجاد یک چارچوب جامع امنیتی در نظام بانکی کشور، به شرکت کاشف واگذار نموده است.


هدف از طراحی و تدوین چارچوب کنترلی
  • ایجاد یک مرجع جامع امنیت اطلاعات در نظام بانکی کشور با پوشش حداکثری دغدغه ها و الزامات امنیتی مطرح‌شده در جهان و ایران،
  • ایجاد رویکردی سازگار، مقایسه پذیر و قابل تکرار در تعیین کنترل‌های امنیتی برای سامانه‌های اطلاعاتی و سازمان‌ها،
  • جهت دهی، ایجاد تحرک و هم راستاسازی اقدامات امنیتی در نظام بانکی کشور،
  • فراهم نمودن زبانی مشترک در حوزه امنیت اطلاعات بانکی به‌منظور بهبود تعاملات در حوزه امنیت اطلاعات نظام بانکی،
  • ایجاد بستری مناسب برای توسعه سازوکارهای موردنیاز برای ارزیابی اثربخشی کنترل‌های امنیتی بکار رفته در سامانه‌های اطلاعاتی بانکی

معرفی چارچوب کنترل‌های امنیت اطلاعات کاشف

 
  • چشم‌انداز: ایجاد «اعتماد» و «تاب‌آوری» در نظام بانکی
  • اهداف چارچوب:
  • «صحت و تمامیت»، «محرمانگی» و «دسترس‌پذیری» داده‌ها و سامانه‌های اطلاعاتی بانکی
  •  «حریم خصوصی»، «ایمنی» و «قابلیت اطمینان» در محیط سازمان و افراد (مشتری و کارکنان)

 


 
  • اصول:
  • گذار از رویکرد انطباق سنجی «چک‌لیست محور» به «مخاطره محور»
  • گذار از رویکرد «حفاظت از زیرساخت» به «دستاوردهای کسب‌وکار»
  • گذار از رویکرد «دفاعی» به «تسهیل گری»
  • گذار از رویکرد «فناوری محوری» به «فرد محوری»
  • گذار از رویکرد «کنترل اطلاعات» به «جریان اطلاعات»
  • گذار از رویکرد «پیشگیری» به «شناسایی و پاسخ»

 
  • معماری: معماری امنیت اطلاعات جامع و سازگار شامل پیش‌بینی، پیش‌گیری، شناسایی، پاسخ

 
مراجع مورداستفاده در طراحی و تدوین چارچوب
 
  • قوانین و مقررات و الزامات امنیتی ملی و بانکی
  • NIST Publications
  • FFIEC Publications
  • ISO 27 x Series
  • PCI Dss
  • SWIFT CSCF
  • CIS CSC
  • SABSA ESA
  • BIAN Publications
  • ISACA COBIT 5

 
برای دریافت اطلاعات بیشتر، بیان هرگونه اظهار نظر مقتضی یا اعلام آمادگی برای همکاری در این حوزه می توانید با ما از طریق رایانشانی  در تعامل باشید.

درگاه ها و پورتال های معتبر
.
آخرین رویدادها