طرح ضربتی افتا ۱۴۰۴ و ارتقای امنیت سایبری

طرح ضربتی افتا ۱۴۰۴ و ارتقای امنیت سایبری

مرور طرح ضربتی افتا ۱۴۰۴ برای ارتقای آمادگی، سنجش بلوغ امنیت سایبری دستگاه‌های زیرساختی و الزامات گزارش‌دهی به مرکز مدیریت راهبردی افتا.
  • مقالات

فهرست مطالب

طرح ضربتی ارتقاء سطح آمادگی برای شناسایی و مقابله با حملات سایبری

مرکز مدیریت راهبردی افتا با توجه به نقش و وظایفی که در زمینه امن‌سازی دستگاه‌های زیرساختی بر عهده دارد، در سال ۱۴۰۳ «طرح ضربتی ارتقاء سطح آمادگی برای شناسایی و مقابله با حملات سایبری» را تهیه و ابلاغ کرد تا دستگاه‌ها با مشارکت و هماهنگی مرکز افتا نسبت به ارتقاء سطح آمادگی خود در پیشگیری و مقابله با حملات سایبری اقدام نمایند.

با توجه به اینکه مهلت طرح قبلی در شهریورماه ۱۴۰۴ به اتمام رسیده، ویرایش جدید این طرح برای بهره‌برداری از مهر ۱۴۰۴ تا شهریور ۱۴۰۵ تدوین شده تا بتواند در شرایط تشدید حملات هوشمند ترکیبی رژیم صهیونیستی و آمریکا – به‌ویژه در حوزه سایبری – اقدامات فوری و اولویت‌دار را برای ارتقاء سطح امنیت دستگاه‌های زیرساختی تعیین و تبیین کند.

در ضمن، این طرح چارچوب تهیه برنامه عملیاتی مربوط به ماده (پ) تبصره (۶) آیین‌نامه اجرایی قانون بودجه سال ۱۴۰۴ کل کشور (ابلاغی طی نامه شماره ۵۳۲۸۸ مورخ 1404/04/07) را نیز تعیین کرده است.

هدف از تهیه و ابلاغ این سند، تعیین چارچوب برنامه عملیاتی و ارائه اقدامات فوری و اولویت‌دار برای ارتقاء سطح امنیت دستگاه‌های زیرساختی در زمینه پیشگیری و مقابله با حملات سایبری است.

به‌منظور سیاست‌گذاری، مدیریت و نظارت بر امنیت سایبری، تصمیم‌گیری درباره مدیریت مخاطرات مرتبط با امنیت اطلاعات و حسن اجرای برنامه عملیاتی ارتقای سطح بلوغ امنیت سایبری دستگاه، کمیته‌ای با عنوان کمیته امنیت سایبری دستگاه تشکیل می‌شود که ترکیب اعضای آن به شرح زیر است:

  • یکی از معاونین دستگاه اجرایی به عنوان نماینده بالاترین مقام دستگاه و رئیس کمیته.
  • مسئول فناوری اطلاعات و امنیت فضای مجازی (فاوا) دستگاه به عنوان دبیر کمیته.
  • معاونین مرتبط دستگاه به تشخیص بالاترین مقام دستگاه اجرایی به عنوان اعضای اصلی.
  • بالاترین مقام مسئول حراست دستگاه به عنوان عضو اصلی.
  • نماینده مرکز مدیریت راهبردی افتا به عنوان عضو مدعو.

تبصره: بنا به تشخیص رئیس کمیته و متناسب با موضوع جلسه، می‌توانند افراد دیگری نیز به عنوان مدعو در جلسه حاضر شوند.

جدول خلاصه طرح ضربتی افتا ۱۴۰۴ (راهنمای سریع مدیران)

بخش الزامات کلیدی مسئول اجرا بازه زمانی خروجی مورد انتظار
تشکیل کمیته امنیت سایبری تعیین رئیس، دبیر فاوا، حراست و اعضا بالاترین مقام دستگاه فوری کمیته رسمی مصوب
ارزیابی وضعیت موجود شناسایی دارایی‌های حیاتی + تعیین سطح بلوغ واحد فاوا مرحله اول جدول ارزیابی Baseline
تعیین سطح هدف مشخص کردن Target Maturity Level کمیته امنیت سایبری قبل از تدوین برنامه تعیین سطح مورد انتظار
تدوین برنامه عملیاتی تعریف پروژه‌ها، منابع، زمان‌بندی و پیمانکار فاوا + کمیته تا پایان تابستان ۱۴۰۵ برنامه عملیاتی مصوب
ارسال برنامه به افتا تأیید نهایی مرکز مدیریت راهبردی افتا دستگاه اجرایی پایان مهر ۱۴۰۵ تأیید رسمی
گزارش‌دهی دوماهه ارسال پیشرفت اجرای برنامه دستگاه زیرساختی هر دو ماه گزارش رسمی به افتا
ممیزی و رتبه‌بندی بررسی سطح بلوغ و اعلام رتبه مرکز افتا پس از گزارش‌ها رتبه‌بندی ملی

کلیات طرح

تمامی دستگاه‌های زیرساختی باید بر اساس مدل بلوغ مندرج در فصل سوم این سند، نسبت به تعیین سطح بلوغ فعلی و سطح بلوغ مورد انتظار اقدام نمایند.

برنامه عملیاتی ارتقای امنیت سایبری دستگاه باید حداکثر تا پایان تابستان ۱۴۰۵ تهیه و پس از تصویب در کمیته امنیت سایبری دستگاه، تا پایان مهرماه به مرکز مدیریت راهبردی افتا ارسال شود.

در صورت عدم تأیید برنامه عملیاتی توسط مرکز افتا، اسناد مربوطه مورد تأیید ذیحسابی قرار نخواهند گرفت.

در طول اجرای برنامه، دستگاه‌های زیرساختی باید هر دو ماه یک‌بار (با شروع از پایان آذرماه) گزارش پیشرفت برنامه عملیاتی و سطح امنیت سایبری خود را تهیه و برای مرکز افتا ارسال نمایند.

مرکز افتا پس از دریافت گزارش‌ها، آخرین وضعیت رتبه‌بندی و سطح بلوغ دستگاه‌های زیرساختی را احصا و به مراجع بالادستی ارائه خواهد کرد.

دستگاه‌هایی که بر اساس خودارزیابی در سطح ۳ یا بالاتر از آن قرار دارند، می‌توانند از کارگزاران واجد صلاحیت برای ممیزی استفاده نمایند. 

 فلسفه و رویکرد کلی متدولوژی

متدولوژی این طرح بر مبنای یک چرخه بهبود مستمر امنیت سایبری طراحی شده است که بر سه محور اصلی استوار است:

  • ارزیابی وضعیت موجود امنیت سایبری دستگاه‌های زیرساختی
  • تعیین سطح بلوغ مورد انتظار و تدوین برنامه عملیاتی ارتقاء سطح امنیت
  • پایش و ممیزی مستمر سطح بلوغ و اثربخشی اقدامات انجام‌شده

این طرح عملاً یک الگوی ملی برای سنجش و ارتقاء بلوغ امنیت سایبری در دستگاه‌های حیاتی کشور است و به‌صورت دستوری از سوی مرکز مدیریت راهبردی افتا برای کلیه دستگاه‌های زیرساختی ابلاغ شده است.

ساختار اجرایی متدولوژی

در سطح هر دستگاه زیرساختی، یک کمیته امنیت سایبری تشکیل می‌شود که وظیفه راهبری و کنترل اجرای طرح را دارد. این کمیته شامل:

  • نماینده بالاترین مقام اجرایی دستگاه (رئیس)
  • مسئول فناوری اطلاعات و امنیت فضای مجازی (دبیر)
  • معاونین مرتبط
  • مسئول حراست
  • نماینده مرکز افتا (عضو مدعو)

وظیفه این کمیته:

  • تعیین سطح بلوغ فعلی و مورد انتظار؛
  • تصویب برنامه عملیاتی امنیت سایبری؛
  • نظارت بر اجرای برنامه و ارسال گزارش‌های ادواری به مرکز افتا.

گام‌های متدولوژی (چرخه اجرایی طرح)

گام اول: ارزیابی وضعیت موجود (Baseline Assessment)

  • شناسایی و ثبت دارایی‌های سایبری حیاتی (جدول شماره ۱).
  • تعیین سطح فعلی بلوغ امنیت سایبری هر دارایی (جدول شماره ۲).
  • تحلیل تبعات نقض امنیتی هر دارایی (حیاتی، حیاتی پشتیبان، فیزیکی، نرم‌افزاری، سازمانی).
  • مستندسازی الزامات برآورده‌شده در هر سطح از مدل بلوغ ۷‌مرحله‌ای.

خروجی گام ۱: جدول دارایی‌های حیاتی + ارزیابی سطح فعلی بلوغ.

گام دوم: تعیین سطح هدف و برنامه‌ریزی ارتقاء (Target Definition & Planning)

  • تعیین سطح بلوغ مورد انتظار (Target Maturity Level) بر اساس اهمیت دستگاه و توان اجرایی آن.
  • تدوین برنامه عملیاتی ارتقاء سطح امنیت سایبری شامل اقدامات، منابع، زمان‌بندی و پیمانکاران (جدول شماره ۳).
  • تصویب برنامه در کمیته امنیت سایبری دستگاه و ارسال به مرکز افتا برای تأیید نهایی.

خروجی گام ۲: برنامه عملیاتی تأییدشده شامل پروژه‌ها، هزینه‌ها و زمان‌بندی.

گام سوم: اجرا و نظارت مستمر (Implementation & Monitoring)

  • اجرای برنامه‌های مصوب (توسط واحد فناوری و پیمانکاران دارای صلاحیت افتا).
  • ارسال گزارش پیشرفت دوماهه به مرکز افتا (شروع از پایان آذرماه ۱۴۰۴).
  • پایش پیشرفت سطح بلوغ با مدل بلوغ ۷ سطحی.
  • بازبینی، اصلاح و ارسال نسخه‌های به‌روز از پروژه‌ها هر سه ماه یکبار.

خروجی گام ۳: گزارش‌های پیشرفت دوره‌ای + ارزیابی تغییر سطح بلوغ.

گام چهارم: ممیزی و بهبود مستمر (Audit & Continuous Improvement)

  • مرکز افتا پس از دریافت گزارش‌های دستگاه‌ها، وضعیت نهایی بلوغ امنیت سایبری هر دستگاه را رتبه‌بندی می‌کند.
  • دستگاه‌هایی که به سطح ۳ یا بالاتر رسیده‌اند، می‌توانند توسط کارگزاران ممیزی صلاحیت‌دار بررسی شوند.
  • نتایج ممیزی برای اصلاح برنامه‌ها و ارتقاء مداوم امنیت سایبری استفاده می‌شود.

خروجی گام ۴: رتبه‌بندی ملی دستگاه‌ها و برنامه اصلاحی دور بعد.

 مدل بلوغ امنیت سایبری (Cybersecurity Maturity Model)

هسته اصلی متدولوژی بر پایه یک مدل ۷ سطحی طراحی شده است که میزان بلوغ دستگاه را در حوزه‌های کلیدی امنیت اطلاعات می‌سنجد.

۷ سطح بلوغ (۰ تا ۶ یا ۷ بسته به طبقه‌بندی):

سطح عنوان وضعیت توصیفی
0 پایه / صفر اقدامات حداقلی، فقدان فرآیند رسمی
1 مقدماتی مستندسازی اولیه و شناخت دارایی‌ها
2 اولیه ساختارمند فرآیندهای امنیتی پایه اجرا شده
3 میانی کنترل‌ها و پاسخ به حوادث مستقر شده
4 پیشرفته فرآیندهای نظارت، آزمون و آموزش منظم
5 بهینه‌سازی‌شده SOC، مدیریت دارایی و ریسک منسجم
6 پویا / خودکار اتوماسیون امنیت و دفاع لایه‌ای هوشمند
7 تعالی امنیتی یکپارچگی کامل با هوش تهدید و تحلیل پیش‌دستانه

سنجه‌ها در مدل بلوغ :

هر سطح شامل سنجه‌هایی در حوزه‌های زیر است:

  • مدیریت حوادث و امداد سایبری
  • مدیریت دارایی‌ها (IT/OT)
  • سازماندهی و مسئولیت‌ها
  • حفاظت فیزیکی
  • امنیت شبکه و کنترل دسترسی
  • مدیریت آسیب‌پذیری و بدافزار
  • آموزش و آگاهی امنیتی
  • تداوم کسب‌وکار و بازیابی
  • زنجیره تأمین و پیمانکاران
  • رصد و پایش امنیتی (SOC/NOC)
  • هوش تهدید و تحلیل رویدادها

ارتباط با چارچوب‌های ملی و بین‌المللی

متدولوژی این طرح با چارچوب‌های زیر هم‌راستا طراحی شده است:

  •   مدیریت امنیت اطلاعات (ISO/IEC 27001:2022)
  •  شناسایی، حفاظت، کشف، پاسخ و بازیابی (NIST CSF (Cybersecurity Framework))
  • الزامات امنیتی دستگاه‌های حیاتی کشور

جمع‌بندی چرخه متدولوژی

به‌صورت خلاصه، چرخه کامل به شکل زیر است:

  • Identify: شناسایی دارایی‌ها و تهدیدات
  • Assess: ارزیابی بلوغ فعلی و شکاف‌ها
  • Plan: تدوین برنامه ارتقاء و اهداف
  • Implement: اجرای پروژه‌های امنیتی
  • Monitor: پایش مستمر و گزارش به افتا
  • Audit: ممیزی سطح بلوغ و تأیید نهایی
  • Improve: بهبود مستمر در دوره بعدی
اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *