حمیدرضا ستوده رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه (مکنا) در گفتوگو با شهر بورس، اظهار داشت: از مهمترین اقدامات انجام شده در این مرکز میتوان به ارزیابی امنیتی جامع شرکتهای ارکان، تابعه و شرکتهای پیمانکار در حوزه خدمات نرمافزاری بازار سرمایه (OMS) اشاره کرد.
وی افزود: در سال ۱۴۰۳، هر یک از این شرکتها بیش از سه بار در طول سال بر اساس سند الزامات فناوری و امنیت اطلاعات مرکز مکنا، مورد بازرسی امنیتی قرار گرفتند و ممیزیهای چندباره این مرکز فرصت بهتری را برای بهبود و برطرف کردن موارد عدم انطباقهای امنیتی شرکتها فراهم ساخت.
وی با اشاره به تغییرات در شیوه امتیازدهی در ارزیابیهای جامع شرکتهای تحت نظارت، خاطرنشان کرد: تغییرات به گونهای در سال جاری صورت گرفت که هر کنترل از سند الزامات امنیت و فناوری اطلاعات، سطح بلوغ مجزایی را به خود اختصاص داد و نمره نهایی، برآیند بلوغ هر کنترل در فرآیند ارزیابیهای امنیت بود. وی افزود: به این ترتیب، سطح بلوغ امنیت شرکتهای تحت نظارت قابل اندازهگیری شد.
رئیس مرکز مکنا به تدوین سند نسخه ۶ از سند الزامات و امنیت اطلاعات اشاره کرد و گفت: این سند، نسخه بهروز شده نسخه ۵ است که بر اساس نیازهای امنیت بازار سرمایه، بازبینی اساسی در الزامات صورت گرفته است. وی افزود: همچنین تدوین دستورالعمل دسترسی به اطلاعات طبقهبندی شده در بازار سرمایه از دیگر اقدامات مهم این مرکز بوده است که هدف از آن، ایجاد الزامات فرآیندی و فنی جهت دسترسی به اطلاعات طبقهبندی شده، به خصوص اطلاعات معاملاتی و پس از معاملاتی در سطح بازار سرمایه است.
ستوده درمورد ایجاد ساختار مدیریت امنیت اطلاعات، یادآور شد: این ساختار پس از تصویب در کمیته امنیت اطلاعات سازمان بورس و اوراق بهادار ایجاد شد.
وی افزود: هدف از این ساختار، تشکیل کارگروههای فنی-امنیتی مختلف با اهداف متنوع زیر نظر کمیته امنیت بود تا فعالیتهای تخصصی امنیتی در این کارگروهها انجام شود و برای تصمیمسازی نهایی کارگشا باشد.
رئیس مرکز مکنا از ایجاد مرکز تحلیل و اشتراک اطلاعات (Makna-ISAC) خبر داد و عنوان کرد: در این اقدام، مرکز عملیات امنیت (SOC) مکنا به جایگاهی تبدیل شده است که رخدادهای امنیتی تولید شده در شرکتهای تحت نظارت خود را دریافت میکند و بر اساس استراتژیهای امنیتی راهبردی، راهکارهای دفاعی یکپارچه را در سطح بازار سرمایه ارائه میدهد.
ستوده به ارزیابی امنیتی سامانههای معاملاتی پرداخت و گفت: یکی از مهمترین فعالیتهای این مرکز صدور مجوز فعالیت سامانههای معاملاتی پس از محرز شدن امنیت آنها در سطح بازار سرمایه است.
وی تصریح کرد: هر یک از شرکتهای مجاز فعالیت در بازار سرمایه پیش از بهرهبرداری از سامانههای خود باید تایید امنیتی از سامانهها و زیرساختهای آنها را از مرکز مکنا دریافت کنند.
رئیس مرکز مکنا درباره ارزیابی امنیتی زیرساخت و سیستمعاملهای سازمان بورس و اوراق بهادار، عنوام کرد: در این پروژه سعی شده است یک ارزیابی امنیتی جامع روی سرورهای مستقر در سازمان بورس و اوراق بهادار صورت بگیرد. وی افزود: نتایج حاصل از این ارزیابی امنیتی توسط مدیریت فناوری اطلاعات سازمان مورد بررسی قرار گرفته و اقدامات اصلاحی آن در دستور کار قرار دارد.
ستوده به مهمترین اقدامات مکنا در سال آتی اشاره کرد و گفت: از جمله این اقدامات میتوان به پیادهسازی یک استراتژی یکپارچه دفاع سایبری در سطح بازار سرمایه، پیادهسازی مدیریت ریسک امنیتی در سطح بازار سرمایه، تدوین سیاستهای راهبری جهت ایجاد مدیریت و پاسخ به حوادث امنیتی در سطح بازار سرمایه، سنجش سطح بلوغ مراکز عملیات امنیت (SOC) در سطح بازار سرمایه، استفاده از تکنولوژیهای بهروز مانند هوش مصنوعی در زمینه خودکارسازی ارزیابیهای امنیتی، استقرار سیستم تشخیص مدیریت تغییرات در فایلهای پیکربندی سامانههای معاملاتی و پس از معاملاتی بازار سرمایه و تدوین دستورالعمل واحد برای کدنویسی امن سامانههای معاملاتی و پس از معاملاتی بر اساس استانداردهای مطرح این حوزه اشاره داشت.
وی ادامه داد: همچنین آموزش و آگاهیرسانی حوادث امنیت سایبری در سطح سازمان بورس و بازار سرمایه از دیگر برنامههای این مرکز در سال آینده است.
