ایتنا - رئیس کمیسیون افتا: «به زبان ساده بگویم ما در حال حاضر هیچ چیزی در حوزه امنیت نداریم و کارهای انجام شده به صورت جسته و گریخته بوده... اگر تاکنون برای شبکه های بانکی ما مشکلی پیش نیامده این به خاطر امنیت بالای آنها نیست، بلکه به این خاطر است که ما تاکنون شانس آورده ایم.»
نشست خبری کمیسیون افتای سازمان نظام صنفی رایانه ای دیروز برگزار شد.
به گزارش ایتنا این نشست با حضور حمید بابادی نیا رئیس کمیسیون، علیرضا صالحی قائم مقام کمیسیون، الله مراد طالبی دبیر موقت کمیسیون و بهناز آریا دبیر کمیسیون افتا و با حضور خبرنگاران از رسانه های مختلف برگزار شد.
در ابتدای نشست بابادی نیا رئیس کمیسیون افتا با اشاره به دوره قبل فعالیت این کمیسیون در سازمان گفت: هیئت مدیره سازمان با نگاه جدیدی به مقوله امنیت کمیسیون افتا را شکل داد و من نیز به عنوان رئیس کمیسیون انتخاب شدم و کمیسیون جدید با نگاه به تجربیات دوره قبلی و با اهداف و برنامه ریزی مشخص خود همچنین چارت سازمانی و مدون خود برنامه های دوره جدید را پیش خواهد برد.
وی در ادامه گفت مهم ترین هدف و برنامه ما در دوره جدید بحث فرهنگ سازی و آموزش در حوزه امنیت خواهد بود.
وی افزود: زمانی ما می توانیم نیاز مردم جامعه را از این بابت برآورده کنیم که دانش آن را داشته باشیم.
بابادی نیا در ادامه گفت: وقتی در حال حاضر تعداد مدیران it ما که در حوزه امنیت و isms تحصیل کرده هستند از تعداد انگشتان دو دست کمتر است، نشان می دهد که ما هنوز جای کار زیادی داریم. سازمان و کمیسیون این پتانسیل را برای آموزش و فرهنگ سازی دارد و من از همینجا اعلام می کنم که هر کدام از نهادها و سازمان ها که بخواهند در این زمینه کار بکند ما می توانیم نیاز آنها را برآورده کنیم.
رئیس کمیسیون افتا در ادامه گفت: به زبان ساده بگویم ما در حال حاضر هیچ چیزی در حوزه امنیت نداریم و کارهای انجام شده به صورت جسته و گریخته بوده و هیچ سازمان و متولی خاصی برای امنیت نداریم. البته همکاران ما در سازمان پدافند غیرعامل کارهایی را شروع کرده اند که من به آنها اعلام می کنم اگر می خواهند کارهایشان را به صورت تخصصی جلو ببرند ما می توانیم به آنها مشاوره بدهیم. وی در ادامه افزود: سطح امنیت در کشور ما فعلا در حد این است که بگویند شما اجازه دارید این دستگاه را بخرید و آن را نخرید که این سطح به نظر من برازنده جامعه ما نیست.
امنیت یک فرآیند مستمر است
در ادامه بهناز آریا دبیر کمیسیون در پاسخ به پرسش خبرنگاری در مورد میزان امنیت در بانکداری گفت: بحث امنیت یک بحث کمی نیست که بتوانیم به آن نمره بدهیم. امنیت یک تلاش و فرآیند مستمر در هر لحظه است. اما در باره امنیت در حوزه بانکداری ایاران باید بگویم فعالیت های جدیدی برای رفتن به سمت امنیت و مدیریت امنیت و پیاده سازی استاندارهای امنیت اطلاعات در بانک های دولتی و خوصوصی و همچنین موسسه های مالی و اعتباری آغاز شده است. خوشبختانه در سال گذشته ما موفق شدیم به چهار استاندارد امنیت اطلاعات یا iso27001 در ایران دست پیدا بکنیم که این نقطه عطفی در بحث امنیت اطلاعات در ایران محسوب می شود.
در ادامه صحبت های آریا در این مورد بابادی نیا گفت: اگر تاکنون برای شبکه های بانکی ما مشکلی پیش نیامده این به خاطر امنیت بالای آنها نیست، بلکه به این خاطر است که ما تاکنون شانس آورده ایم.
افتا و دانشگاه ها
رئیس کمیسیون افتای سازمان نظام صنفی در ادامه گفت: بخش خصوصی دانش فنی حوزه امنیت را در این به دانشگاه ها انتقال داده و با رشد کاربردی در این زمینه روبرو هستیم. در حال حاضر هم ارتباط خوبی با دانشگاه صنعتی شریف داریم و در حال توسعه این ارتباط با سایر دانشگاه ها هستیم.
در ادامه طالبی در پاسخ به سئوال ایتنا در مورد همپوشانی فعالیت کمیسیون افتا با کارگروه امنیت کمیسیون شبکه گفت: کارگروه امنیت دقیقا کارهایی را انجام می داد که باید در کمیسیون افتا انجام می شد و ما به دلیل الویت کاری برخی مباحث نمی توانستیم منتظر راه اندازی این کمیسیون شویم. بعد از راه اندازی کمیسیون هم این کارگروه همکاری خود را آغاز کرده هرچند که نیازی دیگر به ادامه فعالیت آن نمی بینیم ولی به طور کامل هم آن را از مجموعه حذف نخواهیم کرد.
در ادامه بابادی نیا در پاسخ به پرسش دیگر ایتنا در مورد وجود نهادهای موازی دیگر چون شورای عالی افتا در بدنه دولتی و سندیکای تولیدکنندگان افتا گفت: سیاست من هم در کمیسیون شبکه و هم در افتا اینگونه بوده و خواهد بود که از تشکیل کمیسیون های موازی استقبال می کنم. هیچ منعی را در این مورد نمی بینم چون این را از خصوصیات یک جامعه مدنی می دانم. ولی باید این را تعریف کنیم که منشا قدرت چه قابلیتی دارد و ما می خواهیم چه نیازی از جامعه را پوشش دهیم. ما یک فعالیت تخصصی را آغاز کرده ایم و دست دوستی هم به سوی آنان دراز می کنیم. من به عنوان رئیس کمیسیون افتا تعدد این نهادها را خوشحال کننده می دانم چون حداقل فرهنگ افتا را در جامعه گسترش می دهند. جز برنامه های ماست که با این نهادها ارتباط برقرار کنیم. مهم این است که ما نیاز جامعه را برآورده کنیم.
بابادی نیا در مورد وضعیت شرکت های فعال در حوزه امنیت به ایتنا گفت: تمام سرمایه گذاری که در این حوزه انجام شده توسط بخش خصوصی بوده و این بخش با توان مالی خود تمام آموزش ها و هزینه ها و واردات تجهیزات را به سختی انجام می دهد این در حالی است که بخش دولتی هیچ کار حمایتی نمی دهد. بحث تحریم بحث جدی ای است ولی با با تمام این موانع و مشکلات این کارها را انجام می دهیم چون دلمان برای مملکتمان می سوزد. از آن طرف بخش دولتی می گوید من این نیازها را دارم، این تجهیزات را هم می خواهم، وقتی که تجهیزات را آوردیم یک شبه با بالا بردن تعرفه واردات تجهیزات مثلا از ما حمایت می کند، این است حمایت بخش دولتی از ما.
محورهای فعالیت کمیسیون افتا
در ادامه علیرضا صالحی قائم مقام کمیسیون افتای سازمان با بیان اینکه محورهای هفت گانه ای داریم که براساس آن فعالیت خواهیم کرد، گفت: تعامل دستگاه ها و سازمان های دولتی، تقویت کمی و کیفی تقاضا در بازار، اصلاح مقررات و شرایط حاکم بر بازار، تقویت بنیه اعضای سازمان، افزایش توان سازمان و ارتقای جایگاه آن و همچنین اطلاع رسانی از جمله محورهای فعالیت های کمیسیون محسوب می شود.
تعیین تعرفه خدمات مشاوره مهندسی اطلاعات
قائم مقام کمیسیون افتای در پاسخ به پرسش خبرنگاران گفت: کار مهمی که در یک سال آینده انجام خواهیم داد تعیین تعرفه خدمات مشاوره مهندسی اطلاعات است. این کار جز وظایف کمیسیون است که هم موجب ساماندهی بازار و هم تقویت بنیه بخش خصوصی خواهد شد همچنین شناسنامه دار کردن شرکت هایی که از این طریق فعالیت می کنند از دیگر نتایج این کار خواهد بود. ما باید بدانیم نوع فعالیت ها و همچنین دستمزدها و پروژه ها چگونه تعریف می شود. این اتفاق باعث ایجاد ارتباط و هماهنگی بخش خصوصی و دولتی با سازمان خواهد شد. کما اینکه تعرفه هایی که سازمان در بخش شبکه مشخص کرده است در یک سال گذشته مبنای عمل بخش دولتی قرار گرفته است.
در ادامه نیز الله مراد طالبی دبیر موقت کمیسیون به تشریح اهداف و برنامه های کمیسیون پرداخت و گفت: برنامه ریزی، تعیین چارت سازمانی، انتخاب اعضای کمیسیون و کارگروه ها، تشکیل جلسات، تعیین نحوه تبادل اطلاعات و و توافق در نحوه گردش کار، چگونگی پیگیری درخواست های درون سازمانی و برون سازمانی و ارائه طرح یکسان سازی صورت جلسات جز این موارد است.
متولی امنیت فضای تبادل اطلاعات در کشور کیست؟
... امنیت یک فرآیند و یک تلاش مستمر است و با الزامی که دولت برای سازمان های مالی و اعتباری و بانک ها قرار داده، آن ها به سمت مدیریت امنیت اطلاعات و پیاده سازی استانداردهای امنیتی اطلاعات حرکت کردند و موفق شدیم در سال گذشته به چهار استاندارد امنیت اطلاعات در ایران دست یابیم که این موضوع در بحث فن آوری اطلاعات و امنیت اطلاعات در ایران نقطه عطفی محسوب می شود اما قطعا کافی نیست ... به گزارش ایسنا با توسعه شبکه های ارتباطات و فن آوری اطلاعات، یکی از موضوعات اصلی مطرح از سوی کارشناسان و متخصصان، تأمین امنیت ict است تا سرویس و محتوایی که ارائه می شود، سالم و بدون نقص به کاربران عرضه شود ... با تشکیل کمیسیون هایی مثل امنیت فضا تبادل اطلاعات در کشور- افتا - این آگاهی در جامعه در حال ایجاد است که صنعت فن آوری اطلاعات باید به سمت امنیت اطلاعات و ضرورت توجه و سرمایه گذاری آن حرکت کند و از طرفی با توجه به اینکه بحث امنیت غیرقابل لمس است باید به سازمان ها و مراکز این موضوع را تاکید و یادآور شد که بحث امنیت و توجه به آن اگرچه فیزیکی نبوده اما بسیار مهم تر از خرید تجهیزات برای سازمان ها محسوب می شود و از سویی مهم ترین موضوع بحث فرهنگ سازی در حوزه امنیت و آموزش است ... این اهمیت تا جایی است که وزیر ارتباطات و فن آوری اطلاعات اخیرا از تشکیل کمیته افتا در وزارت ارتباطات خبر داده و گفت: به منظور پیگیری مباحث مربوط به امنیت فضای تبادل اطلاعات، کمیته افتا در وزارت ارتباطات تشکیل شد و باید امنیت فضای تبادل اطلاعات به گونه ای تأمین شود که افراد بتوانند به راحتی خدمات خود را در بستر مجازی به کاربران و متقاضیان ارایه کنند ...
isms سیستم مدیریت امنیت اطلاعات
... سیستم مدیریت امنیت اطلاعات یا information security management system سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی اطلاعات را تضمین می نماید ... استاندارد bs7799 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاستهای متناسب با سازمان و همچنین پیاده سازی 127 کنترل مختلف، اطلاعات سازمان را ایمن می سازد ... این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرور ها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت ... آیا امنیت 100% امکانپذیر است؟با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید hack و crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد ... ولی آیا چون نمی توان امنیت 100% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟فوائد استاندارد bs7799 و لزوم پیاده سازی اطمینان از تداوم تجارت وکاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدهااطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده هاقابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ایجاد اطمینان نزد مشتریان و شرکای تجاری امکان رقابت بهتر با سایر شرکت هاایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازیدمراحل ایجاد سیستم مدیریت امنیت اطلاعات (isms) ایجاد و تعریف سیاست ها: در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد ...
نیمی از شرکت های تجاری اطلاعات شخصی کاربران را ایمن نمی کنند
... بر اساس مطالعه جدید انجام شده، اطلاعات شخصی که در اختیار شرکت های تجاری قرار می گیرد، ایمنی لازم را ندارد و می تواند مشکلات عدیده ای را برای صاحبان این اطلاعات به وجود آورد ... برسی جدید انجام شده توسط "موسسه imperva و ponemon" روی 500 شرکت نشان داد، حدود 55 درصد از تمام شرکت های تجاری از برقراری ایمنی برای اطلاعات مربوط به کارت های اعتباری مطمئن هستند و در عین حال، هیچ گونه ایمنی برای شماره های امنیت اجتماعی، جزئیات اطلاعات حساب های بانکی و دیگر اطلاعات شخصی در نظر نگرفته اند ... این بررسی به منظور مشخص کردن میزان استفاده شرکت ها از "استاندارد امنیت اطلاعات مربوط به صنعت کارت های اعتباری"(pci dss) انجام شد ... این استاندارد به منظور ایجاد امنیت لازم در سایت های اینترنتی شرکت ها، پایگاه های داده و دیگر سیستم های پردازش و ذخیره سازی اطلاعات شخصی کاربران تعریف شده است ... طبق مطالعه حاضر، 71 درصد شرکت های تجاری ایمنی اطلاعات را اولویت اصلی خود نمی دانند و این در حالی است که 79 درصد این شرکت ها اعلام کرده اند که پیش تر یک یا چند بار مورد حملات سارقان اینترنتی برای دسترسی به این اطلاعات قرار گرفته اند ... از زمان تصویب استاندارد pci dss در سال 2005 میلادی تاکنون، میزان سرقت اطلاعات کارت های اعتباری و سوءاستفاده از حساب های الکترونیکی کاربران افزایش یافته است ...
ضرورت تدوین استاندارد کامل و ملی در زمینه ی امنیت اطلاعات
... تدوین یک استاندارد کامل و ملی در زمینه امنیت اطلاعات را یکی از موضوعاتی دانست که در حال حاضر جای خالی آن و ضرورت وجود آن بسیار احساس می شود ... حمید فرهادی - کارشناس فن آوری اطلاعات - در گفت وگو با خبرنگار فن آوری اطلاعات خبرگزاری دانشجویان ایران (ایسنا) با اشاره به ضرورت توجه و سرمایه گذاری در زمینه امنیت اطلاعات گفت: طبیعی است که روز به روز به اهمیت بحث امنیت اطلاعات بیش تر تاکید می شود و در واقع با نبود امنیت اطلاعات در دولت الکترونیکی مثل مکعب شیشه ای خواهد بود که همه چیز در آن مشخص و پیدا است بنابراین آسیب پذیری افزایش می یابد ... او تصریح کرد: البته استانداردهایی مثل استاندارد مدیریت امنیت اطلاعات (isms) در این حوزه تعریف شده اما متاسفانه مطرح شدن این گونه مباحث به یکپارچگی و شورایی نیاز دارد که آن ها را جمع بندی کرده و در نهایت آن ها را به یک استاندارد ملی و جامع تبدیل کند که قابل استناد باشد ... این کارشناس نبود دید کلان و سند راهبردی در این زمینه را مهم و قابل توجه برشمرد و اظهار کرد: ظاهرا قرار است مجوز برای راه اندازی دو بانک کاملا الکترونیکی ارائه شود بنابراین فعالان و کسانی که می خواهند در این بانک ها کار کنند باید از یک استاندارد ملی تبعیت کنند ... وی تاکید کرد: متاسفانه در موسسه ملی استاندارد ما نیز به موضوع استاندارد امنیت اطلاعات توجه چندانی نشده در صورتی که تدوین این استاندارد ضرورتی اجتناب ناپذیر محسوب می شود و این موسسه استاندارد باید استانداردهای مملکتی را در زمینه های مختلف تدوین کند ...
گواهینامه امنیت اطلاعات دریافت شد
... سرویس اخبار استان ها- بندر امام خمینی موفق به دریافت گواهینامه بین المللی امنیت و ارائه اطلاعات شد ... بنا بر اعلام روابط عمومی اداره کل بنادر و کشتیرانی استان خوزستان، بندر امام خمینی اولین ارگان دولتی است که این گواهینامه را با پشت سر گذاشتن ممیزی بین المللی استاندارد امنیت اطلاعات (ISMS) موفق به دریافت گواهینامه (iso-27001) درباره استقرار نظم، امنیت و ارائه خدمات it شده است ... معاون طرح و توسعه اداره کل بنادر و کشتیرانی استان خوزستان در این باره گفت: با توسعه فیبرنوری در این مجتمع بندری به میزان 90 کیلومتر از دو مسیر مجزا و افزایش پهنای باند این شبکه به هزار مگابایت در ثانیه که بر اساس آخرین استاندارد بین المللی روز دنیا طراحی شده، قابلیت دسترس پذیری به آن افزایش یافت ... سید سعید بزاز، پیش بینی افزایش شمار نقاط اتصال کاربران به شبکه را تا 10 سال آینده یکی از مزایای این شبکه برشمرد و در ادامه افزود: جهت ایجاد محیط امن و پایدار برای تبادل اطلاعات، این شبکه به سرورهای قوی مجهز شده و بستر مناسبی برای برقراری سیستم های جامع دریایی و بندری که در آینده نزدیک علاوه بر سیستم های اداری، مالی و اینترنت افزوده خواهد شد، فراهم می کند ...
هولوگرام کنترل کیفیت کالاهای ICT جایگزین طرح های اجباری شود
... علیرضا خمسه، مدیرعامل مرکز تحقیقات صنایع انفورماتیک، در گفت وگو با ایلنا، با بیان این که ویژگی مورد انتظار از یک کالای استاندارد، فروشنده و نمایندگی معتبر و دارای شبکه توزیع است، اظهارداشت: کالاهای فناوری اطلاعات وابسته به سرویس هستند و به شرط گارانتی، فروشنده و شبکه توزیع پیش نیاز اولیه ای است که کمک می کند تا خریدار بتواند کالای خوب دریافت کند ... خمسه، با اشاره به هالوگرام کنترل کیفیت محصولات انفورماتیک در کشور که مصرف کننده و واردکننده را مقید می سازد که از محصولات استاندارد استفاده کنند، افزود: هالوگرام به نوعی با کالای قاچاق مبارزه می کند و مزیت آن پشتیبانی از کالاهای مرغوب در کشور خواهد بود ... مدیرعامل مرکز تحقیقات صنایع انفورماتیک با بیان این که علاوه بر نشان هولوگرام، تعیین استاندارد کالاهای سخت افزاری از دیگر اقدامات این مرکز خواهد بود، گفت: کالاهای سخت افزاری نظیر منبع تغذیه، کیس، مانیتور، پرینتر، اسکنر، سرور و کپی یر از جمله اقلامی است که اگر وارد کشور می شوند، لازم است که مقررات استاندارد در موردشان احراز شود که این امر استاندارد اجباری تلقی شده و در صورتی که واردکننده مستندات قابل قبولی ارایه نکند، شامل این استاندارد نخواهد شد ... خمسه، در خصوص استاندارد نرم افزاری با بیان این که در زمینه نرم افزار به بلوغی نرسیده ایم که به استاندارد آن فکر کنیم، یادآور شد: راه حل های نرم افزاری در کشور ما عمومی نیست که بخواهیم آن را استاندارد کنیم؛ اما در خصوص استاندارد امنیت اطلاعات فعالیت هایی صورت گرفته است ...
|
صفحه 1
|
|
