الزام برای تست امنیت تجهیزات ارتباطی در نقطه انتهایی
عضو کمیسیون تامین سازمان نظام صنفی رایانه ای استان تهران معتقد است: ارزيابی تجهیزات ارتباطی میبايست در نقطه انتهايی زنجیره تامین انجام شود نه در نقطه ابتدايی ورود به کشور و در گمرک و همچنین پایش امنیت و انجام سرویسهای امن سازی میبایست به صورت مستمر صورت گیرد.
حسین توکلی، عضو کمیسیون تامین سازمان نظام صنفی رایانه ای استان تهران پیرامون لحاظ نمودن موارد امنیتی در واردات تجهیزات ارتباطی به کشور طی مطلب ارسالی به سیتنا نوشت:
پیرامون این موضوع سه نکته قابل توجه است:
1 - الزام برای برقراری آزمایشگاه امنیت در سازمانهای بزرگ و تست امنیت تجهیزات در نقطه انتهایی:
در سالهای اخیر تمرکز تمامی دستورالعملها، آيین نامه ها و پیشنهادهای نگارش شده در حوزه واردات تجهیزات تنها و تنها بر روی ارزيابی تجهیزات در مبادی ورودی بوده است که سوابق اجرای این سیاست در سالهای گذشته موفق نبوده و مشکلات زیادی ایجاد نموده است.
نکته بسیار مهم در ارزيابی اين است که ارزيابی تجهیزات میبايست در نقطه انتهايی زنجیره تامین انجام شود نه در نقطه ابتدايی ورود به کشور و در گمرک و همچنین پایش امنیت و انجام سرویسهای امن سازی میبایست به صورت مستمر صورت گیرد.
2 - الزام به استمرار در تست و به روز رسانی تجهیزات:
سازمانهای نظارتی و قانونگذار به واقع زمانی میتوانند وظايف خود را به درستی انجام دهند که سازمانها را به عنوان اصلیترين بخش اين پازل ملزم نمايد که به صورت پیوسته در دورههای زمانی شبکه را ارزيابی نمايند، اقدامات فنی زیر در این مسیر پیشنهاد میشوند:
آزمونهای نفوذ و ارزیابیهای امنیتی منظم:
کلیه متخصصان بر اين باورند که ارزيابی تجهیزات به تنهايی تاثیر و نقش بسیار اندکی در کل فرآيند امنیت شبکه دارد. بديهی است امنیت يک روند کاملا مستمر و پويا است که به نظر میرسد به دلیل نیاز به مسئولیت پذيری همه بازيگران (و نه تنها تولیدکنندگان و واردکنندگان) تا کنون تصمیم سازان از انجام فرآيند صحیح تعلل کرده اند.
فرآیندهای نظارتی و ارزیابی امنیتی: ارزیابیهای امنیتی جامع باید به طور منظم انجام شود تا سیاستهای امنیتی بررسی و در صورت نیاز تقویت شوند. مشابه با ارزیابی های شاپرک در حوزه شبکه پرداخت الکترونیک.
آزمون نفوذ: به طور منظم آزمونهای نفوذ انجام دهید تا آسیبپذیریهای سیستمهای بانک شناسایی و برطرف شوند. این آزمونها توسط تیمهای متخصص داخلی امنیت فاوا انجام میشوند .
بروز نگه داشتن سیستمها و نرمافزارها:
بروزرسانی منظم: تمام نرمافزارها و سیستمها باید به صورت اصلی و با برخورداری از سرویس های سازنده اصلی تهیه شوند و به صورت منظم بروزرسانی شوند تا اطمینان حاصل شود که در برابر آسیبپذیریهای شناختهشده محافظت میشوند.
پچهای امنیتی: شرایط دسترسی سریع به پچهای امنیتی باید برقرار باشد و به محض انتشار باید به سرعت اعمال شوند تا از سوءاستفاده از آسیبپذیریهای شناختهشده جلوگیری شود.
3 - پیشگیری از ایجاد انحصار در صنعت فاوا:
حوزه فاوا نیازمند حضور متعدد شرکتهای بخش خصوصی و ارتباط نزدیک بخش خصوصی با حاکمیت است. حذف فعالین بخش خصوصی که دارای تعهد و تخصص لازم و کافی میباشند و ایجاد شرکتهای خصولتی و ایجاد انحصار برای این شرکتها در نهایت ریسک و خسران مالی و امنیتی زیادی برای این صنعت و حاکمیت ایجاد مینماید.
4 - بازارسازی برای صنعت فاوا و تقویت این صنعت:
با توجه به اهمیت صنعت فاوا و افزایش روزافزون آن در راستای هوش مصنوعی و اقتصاد دیجیتال، میبایست این صنعت مورد حمایت ویژه دولت قرار گرفته و با ایجاد بازارهای جدید و اعتماد به بخش خصوصی و سپردن کار به این بخش و مسوولیت پذیری از بخش خصوصی، این صنعت را در راستای چشم انداز عالی حاکمیت تقویت نمود.
5- آموزش و آگاهی مستمر:
باید آموزشهای منظم در خصوص سیاستها و شیوههای امنیتی در لایه های مدیران و کارشناسان ارایه گردد که به افزایش آگاهی از مسایل امنیت اطلاعات و بهبود رفتار امنیتی در سازمان کمک کند. آموزش مستمر به کارمندان در بخش دولتی و خصوصی درباره تهدیدات امنیتی و بهترین شیوههای حفظ امنیت میتواند ریسک خطاهای انسانی را کاهش دهد.
انتهای پیام
افزودن دیدگاه جدید