راهنمای جامع طرح ضربتی افتا 1404

مرکز مدیریت راهبردی افتا اخیراً اقدام به تشدید و ابلاغ مجموعه‌ای از اقدامات عملیاتی ارتقای تاب‌آوری زیرساخت‌های حیاتی کرد. محتوای عمومی این ابلاغ‌ها شامل: اجرای سریع کنترل‌های پایه (patch/backup/BCP/IR)، تقویت SOC/پایش مستمر، تست نفوذ و اسکن‌های آسیب‌پذیری، و الزام به استفاده بیشتر از محصولات/خدمات داخلی افتاست.

این طرح در مهرماه 1404 ابلاغ گردیده و دستگاهها موظف هستند هر دو ماه در خصوص سنجه های این طرح به افتا گزارش دهند طرح ضربتی ارتقاء آمادگی سایبری افتا، برنامه‌ای است که با هدف شناسایی، ارزیابی و کاهش مخاطرات سایبری در سازمان‌ها و زیرساخت‌های حیاتی کشور طراحی شده است.

به عبارت دیگر، این طرح می‌خواهد سطح آمادگی سایبری دستگاه‌ها و سازمان‌ها را در بازه زمانی کوتاه‌تر (ضربی) ارتقاء دهد تا در مواجهه با حملات یا رخدادهای سایبری، بتوانند واکنش سریع و مؤثر داشته باشند.

خلاصه اجرایی طرح ضربتی افتا ۱۴۰۴

دامنه و مخاطب طرح ضربتی 1404

این طرح عمدتاً متوجه دستگاه‌ها، سازمان‌ها و زیرساخت‌هایی است که «حیاتی» تلقی می‌شوند، به این معنا که شکست یا اختلال در آن‌ها می‌تواند امنیت ملی، اقتصاد یا خدمات عمومی را تحت‌الشعاع قرار دهد.

همچنین، شرکت‌های تولید، ارائه‌دهنده خدمات فناوری اطلاعات و پیمانکارانی که با این دستگاه‌ها تعامل دارند نیز بخشی از مخاطبان این طرح‌اند تا سطح کل اکوسیستم امنیت سایبری ارتقاء یابد.

ساختار و الزامات کلیدی طرح ضربتی

برخی از مهم‌ترین الزامات و مؤلفه‌های طرح به شرح زیر هستند:

• سازمان‌ها باید دارایی‌های اطلاعاتی و سامانه‌های حیاتی خود را شناسایی کرده و اولویت‌بندی کنند.
• اجبار به اجرای ارزیابی‌های امنیتی منظم، تست نفوذ، پویش آسیب‌پذیری و رفع نقاط ضعف.
• تدوین برنامه‌های پاسخ به حادثه (IR) و بازیابی فاجعه (DR) تا زمان اختلال بتواند خدمات به حالت و عملکرد مناسب بازگردد.
  اتخاذ رویکردهایی مانند «دفاع در عمق» (Defense in Depth)، «اعتماد صفر» (Zero Trust) و نظارت مستمر بر ترافیک و رخدادها برای ارتقاء تاب‌آوری سایبری

نقش و اهمیت در زمینه امنیت سازمانی

برای سازمان‌هایی که در حوزه‌های ریسک، مدیریت دارایی‌ها، چارچوب‌های GRC و استانداردهایی مثل ISO/IEC 27001:2022 کار می کنند، این طرح اهمیت ویژه‌ای دارد:

• این طرح می‌تواند به‌عنوان یک الزام یا پیش‌شرط برای سازمان‌ها در دستگاه‌های دولتی باشد، بنابراین دانستن الزامات آن برای طراحی سیستم‌های مدیریت امنیت اطلاعات، ریسک سایبری و دارایی‌ها ضروری است.
• می‌تواند به شما کمک کند چارچوب ریسک سازمانی را طوری طراحی کنید که با این طرح همسو شود؛ یعنی دارایی‌های حیاتی را تعیین، سناریوهای ریسک سایبری را تعریف، ارزیابی و کنترل نمایید.
• در نرم‌افزار مدیریت ریسک یا دارایی که می‌سازید، می‌توان فیلدها و فرم‌های مربوط به «سطح آمادگی سایبری»، «اجرای الزامات طرح ضربتی»، «شاخص‌های بلوغ سایبری» را پیش‌بینی کرد تا پوشش الزامات این طرح را داشته باشید.

پیشنهاد برای پیاده‌سازی طرح ضربتی 1404 افتا در سازمان

اگر شما قرار است این طرح را در سازمان یا سیستم خود پیاده‌سازی کنید، پیشنهاداتی دارم:

1. گام شناسایی دارایی‌ها: فهرستی جامع از سامانه‌ها، سرویس‌ها، سخت‌افزارها، شبکه‌ها، پیمانکاران و ارتباطات بیرونی تهیه کنید — چون طرح روی «دارایی‌های حیاتی» تمرکز دارد.
2. ارزیابی وضع موجود: وضعیت امنیت سایبری فعلی‌تان را با یک معیار مثل «بلوغ امنیت سایبری» بسنجید؛ نقاط ضعف را استخراج کنید.
3. تعیین اولویت‌ها: بر اساس میزان حیاتی بودن دارایی → اولویت‌های امنیتی را تعریف کنید.
4. طراحی نقشه راه ضربتی: چون این طرح ضربتی است، باید اقداماتی تعیین شوند که سریع قابل اجرا هستند (مثلاً کاهش اتصال‌های غیرضروری، پشتیبان‌گیری فوری، کنترل دسترسی‌ها، اجرای تست نفوذ پایه) و سپس مراحل بلندمدت مشخص شوند.
5. پایش و مستندسازی: اجرای اقدامات – ثبت نتایج – گزارش به مراجع ذی‌ربط (مثلاً مرکز افتا یا نهاد بالادستی) و ارزیابی مجدد دوره‌ای.
6. هم راستا کردن با استانداردها: این طرح را با استانداردهایی که شما قبلاً در کار دارید (مثل ISO/IEC 27001، CIS Controls، COBIT) تلفیق کنید تا یکنواختی در سازمان ایجاد شود.

روال گزارش دهی و شناسایی دارایی های حیاتی و سطوح بلوغ سنجه ها در این طرح، دارای یک متدلوژی خاص است که در سامانه GRC سوراتک در نظر گرفته شده است.