باشگاه خبرنگاران جوان - حمیدرضا ستوده، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه (مکنا)، در گفت‌و‌گو با شهر بورس، اعلام کرد: از مهم‌ترین اقدامات انجام شده در این مرکز می‌توان به ارزیابی امنیتی جامع شرکت‌های ارکان، تابعه و شرکت‌های پیمانکار در حوزه خدمات نرم‌افزاری بازار سرمایه (OMS) اشاره کرد.

او افزود: در سال ۱۴۰۳، هر یک از این شرکت‌ها بیش از سه بار در طول سال بر اساس سند الزامات فناوری و امنیت اطلاعات مرکز مکنا، مورد بازرسی امنیتی قرار گرفتند و ممیزی‌های چندباره این مرکز فرصت بهتری را برای بهبود و برطرف کردن موارد عدم انطباق‌های امنیتی شرکت‌ها فراهم ساخت.

او با اشاره به تغییرات در شیوه امتیازدهی در ارزیابی‌های جامع شرکت‌های تحت نظارت، خاطرنشان کرد: تغییرات به گونه‌ای در سال جاری صورت گرفت که هر کنترل از سند الزامات امنیت و فناوری اطلاعات، سطح بلوغ مجزایی را به خود اختصاص داد و نمره نهایی، برآیند بلوغ هر کنترل در فرآیند ارزیابی‌های امنیت بود. وی افزود: به این ترتیب، سطح بلوغ امنیت شرکت‌های تحت نظارت قابل اندازه‌گیری شد.

رئیس مرکز مکنا به تدوین سند نسخه ۶ از سند الزامات و امنیت اطلاعات اشاره کرد و گفت: این سند، نسخه به‌روز شده نسخه ۵ است که بر اساس نیاز‌های امنیت بازار سرمایه، بازبینی اساسی در الزامات صورت گرفته است. وی افزود: همچنین تدوین دستورالعمل دسترسی به اطلاعات طبقه‌بندی شده در بازار سرمایه از دیگر اقدامات مهم این مرکز بوده است که هدف از آن، ایجاد الزامات فرآیندی و فنی جهت دسترسی به اطلاعات طبقه‌بندی شده، به خصوص اطلاعات معاملاتی و پس از معاملاتی در سطح بازار سرمایه است.

ستوده درمورد ایجاد ساختار مدیریت امنیت اطلاعات، یادآور شد: این ساختار پس از تصویب در کمیته امنیت اطلاعات سازمان بورس و اوراق بهادار ایجاد شد.

او افزود: هدف از این ساختار، تشکیل کارگروه‌های فنی-امنیتی مختلف با اهداف متنوع زیر نظر کمیته امنیت بود تا فعالیت‌های تخصصی امنیتی در این کارگروه‌ها انجام شود و برای تصمیم‌سازی نهایی کارگشا باشد.

رئیس مرکز مکنا از ایجاد مرکز تحلیل و اشتراک اطلاعات (Makna-ISAC) خبر داد و اعلام کرد: در این اقدام، مرکز عملیات امنیت (SOC) مکنا به جایگاهی تبدیل شده است که رخداد‌های امنیتی تولید شده در شرکت‌های تحت نظارت خود را دریافت می‌کند و بر اساس استراتژی‌های امنیتی راهبردی، راهکار‌های دفاعی یکپارچه را در سطح بازار سرمایه ارائه می‌دهد.

ستوده به ارزیابی امنیتی سامانه‌های معاملاتی پرداخت و گفت: یکی از مهم‌ترین فعالیت‌های این مرکز صدور مجوز فعالیت سامانه‌های معاملاتی پس از محرز شدن امنیت آنها در سطح بازار سرمایه است.

او تاکید کرد: هر یک از شرکت‌های مجاز فعالیت در بازار سرمایه پیش از بهره‌برداری از سامانه‌های خود باید تایید امنیتی از سامانه‌ها و زیرساخت‌های آنها را از مرکز مکنا دریافت کنند.

رئیس مرکز مکنا درباره ارزیابی امنیتی زیرساخت و سیستم‌عامل‌های سازمان بورس و اوراق بهادار، اعلام کرد: در این پروژه سعی شده است یک ارزیابی امنیتی جامع روی سرور‌های مستقر در سازمان بورس و اوراق بهادار صورت بگیرد.

او افزود: نتایج حاصل از این ارزیابی امنیتی توسط مدیریت فناوری اطلاعات سازمان مورد بررسی قرار گرفته و اقدامات اصلاحی آن در دستور کار قرار دارد.

ستوده به مهم‌ترین اقدامات مکنا در سال جاری اشاره کرد و گفت: از جمله این اقدامات می‌توان به پیاده‌سازی یک استراتژی یکپارچه دفاع سایبری در سطح بازار سرمایه، پیاده‌سازی مدیریت ریسک امنیتی در سطح بازار سرمایه، تدوین سیاست‌های راهبری جهت ایجاد مدیریت و پاسخ به حوادث امنیتی در سطح بازار سرمایه، سنجش سطح بلوغ مراکز عملیات امنیت (SOC) در سطح بازار سرمایه، استفاده از تکنولوژی‌های به‌روز مانند هوش مصنوعی در زمینه خودکارسازی ارزیابی‌های امنیتی، استقرار سیستم تشخیص مدیریت تغییرات در فایل‌های پیکربندی سامانه‌های معاملاتی و پس از معاملاتی بازار سرمایه و تدوین دستورالعمل واحد برای کدنویسی امن سامانه‌های معاملاتی و پس از معاملاتی بر اساس استاندارد‌های مطرح این حوزه اشاره داشت.

او ادامه داد: همچنین آموزش و آگاهی‌رسانی حوادث امنیت سایبری در سطح سازمان بورس و بازار سرمایه از دیگر برنامه‌های این مرکز در سال آینده است.

منبع: سازمان بورس