طرح جامع امن سازی زیرساختهای حیاتی در مقابل حملات الکترونیکی
بسمه تعالی
امروزه بیشتر امور کسب وکار مبتنی بر فناوری اطلاعات و ارتباطات (فاوا) گردیده است.
در وزارت نیرو نیز از ابزارها و سامانه های مرتبط با فناوری ارتباطات و اطلاعات برای کنترل صنعتی استفاده می شود که بدون بکارگیری آنها برخی از عملیات جاری صنعتی غیرممکن و یا غیر اقتصادی خواهد شد.
به مخاطره افتادن هریک از سامانه های عملیاتی و اطلاعاتی فوق و یا سامانه های مشابه می تواند از کار افتادن سرویس های وزارت نیرو شده و تبعات اجتماعی، سیاسی و امنیت ملی به وجود آورد.
یک بدافزار کامپیوتری می تواند به راحتی باعث نابودی یک نیروگاه، پالایشگاه، کارخانه و … شود.
امروزه بدافزارها، جنگ افزارهای نوین هستند.
مقدمه
مرکز مدیریت راهبردی افتا
مقدمه-ادامه
طراحی و بکارگیری کرم استاکس نت نشان داد که دشمنان کشور به این مهم آگاه بوده و برای برهم زدن نظم عمومی و امنیت ملی برنامه ریزی می کنند.
از آنجا که بسیاری از زیرساخت های حیاتی کشور به وزارت نیرو وابسته می باشند هوشیاری در برابر حملات الکترونیکی اهمیت مضاعفی می یابد.
پروژه استاکس نت با هدف آسیب رسانی به سیستمهای کنترل صنعتی کشور طراحی گردید و به دنبال آن پروژه DUQU و وایپر و… ادامه پیدا کرد.
به راستی آیا استاکس نت، DUQU و… آخرین حملات الکترونیکی به زیرساخت های حیاتی ما خواهند بود؟؟؟؟
طبق بخشنامه ریاست جمهوری به کلیه دستگاه ها مرکز مدیریت راهبردی افتای ریاست جمهوری متولی برنامه ریزی، سیاست گذاری و هدایت راهبردی و کلان دستگاه ها در امن سازی زیرساخت های حیاتی می باشد.
مرکز مدیریت راهبردی افتا
اهداف طرح
پیشگیری از وقوع حملات و امن سازی زیرساخت های حیاتی وزارت نیرو در مقابل انواع حملات سایبری.
نظارت بر تداوم امنیت زیر ساخت از طریق جمع آوری اطلاعات ، تحلیل و مدیریت مخاطرات و تشخیص و مقابله با حوادث.
ایجاد قابلیت تداوم کسب و کار و سرویس دهی وزارت نیرو در شرایط بحرانی.
ارائه راهکارهای فنی (متدولوژی ها).
آموزش و آگاهی رسانی امنیتی به کلیه متولیان، ذینفعان و عوامل درگیر در کنترل و هدایت زیرساخت وزارت نیرو .
ایجاد مراکز جمع آوری، اشتراک و تحلیل اطلاعات در سطح زیرساخت های وزارت نیرو.
هماهنگی با مراجع بالادستی از جمله مرکز مدیریت راهبردی افتا در امن سازی زیرساخت
مرکز مدیریت راهبردی افتا
اقدامات
1- تحلیل وضعیت افتا
تحلیل و ارزیابی کمی وضع موجود توسط فاوا و با نظارت حراست دستگاه:
وضعیت طرح و برنامه افتا
وضعیت تشکیلات افتا
وضعیت مدیریت افتا
وضعیت بودجه افتا
وضعیت پرسنلی افتا
وضعیت فنی افتا
وضعیت وقایع افتا
تحلیل و ارزیابی کیفی مخاطرات وضع موجود توسط فاوا و با نظارت حراست دستگاه
مرکز مدیریت راهبردی افتا
2- تهیه برنامه مدیریت وضعیت افتا زیرساخت توسط مرکز
تدوین و ابلاغ برنامه کوتاه مدت مدیریت وضعیت افتا به منظور مقابله با تهدیدات فوری
تدوین و ابلاغ برنامه بلند مدت مدیریت وضعیت افتا به منظور حصول اهداف برنامه پنجساله و سند افتا با توجه به تحلیل و ارزیابی وضعیت افتای وزارت نیرو
3- نظارت بر حسن اجرای برنامه توسط مرکز
اقدامات- ادامه
مرکز مدیریت راهبردی افتا
برنامه های کوتاه مدت مدیریت وضعیت افتا به منظور مقابله با تهدیدات فوری
تکمیل فرمهای وضعیت افتای وزارت نیرو توسط فاوای دستگاه.
ارزیابی و تحلیل مخاطرات با استفاده از متدولوژی و نرم افزار پیشنهادی مرکز (بر اساس 27005: 2008) ISO) و انجام اقدامات لازم برای کاهش مخاطرات شناسایی شده توسط فاوا و با نظارت حراست دستگاه.
راه اندازی مرکز عملیات امنیت (soc) مطابق الزامات مرکز توسط فاوا و با نظارت حراست دستگاه.
راه اندازی تیم امداد کامپیوتری و صنعتی مطابق الزامات مرکز توسط فاوا و با نظارت حراست دستگاه.
راه اندازی طرح مقابله با بدافزار مطابق الزامات مرکز توسط فاوا و با نظارت حراست دستگاه.
ارزیابی امنیتی کارشناسان، پیمانکاران و محصولات موثر در افتا توسط مرکز با همکاری حراست دستگاه.
طرح تداوم کسب و کار و فعالیت سازمان توسط فاوا و با نظارت حراست دستگاه.
طرح ارتقای سطح امنیت و بهبود معماری امنیت اطلاعات و ارتباطات توسط فاوا و با نظارت حراست دستگاه..
بهبود کمی و کیفی تیم امنیت اطلاعات و ارتباطات وزارت نیرو
مرکز مدیریت راهبردی افتا
چرخه اقدامات
ارزیابی وضعیت افتا
نظارت بر حسن اجرای برنامه
برنامه کوتاه مدت مقابله با تهدیدات فوری
برنامه بلند مدت امن سازی وزارت نیرو
مرکز مدیریت راهبردی افتا
نقشهای موثر در برنامه
تحلیل، برنامه ریزی و نظارت: مرکز مدیریت راهبردی افتا
مجری:
فاوای دستگاه
ارزیابی امنیتی محصولات، خدمات، پیمانکاران و کارشناسان
ناظر:
حراست دستگاه
حراست کل
نیروی انتظامی
مرکز مدیریت راهبردی افتا
با تشکر……..
مرکز مدیریت راهبردی افتا