07.Afta Center_Khorasani

Download Report

Transcript 07.Afta Center_Khorasani 

‫بسمه تعالي‬
‫رياست جمهوري‬
‫مرکز مديريت راهبردي افتا‬
‫کليات طرح جامع امن سازي زيرساختهاي حياتي در مقابل‬
‫حمالت الکترونيکي‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫مقدمه‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫امروزه بیشتر امور کسب وکار مبتني بر فناوري اطالعات و ارتباطات (فاوا) گرديده‬
‫است‪.‬‬
‫در وزارت نیرو نیز از ابزارها و سامانههاي مرتبط با فناوري ارتباطات و اطالعات براي‬
‫کنترل صنعتي استفاده ميشود که بدون بکارگیري آنها برخي از عمليات جاري صنعتي‬
‫غیرممکن و يا غیر اقتصادي خواهد شد‪.‬‬
‫به مخاطره افتادن هريک از سامانههاي عملياتي و اطالعاتي فوق و يا سامانههاي‬
‫مشابه ميتواند از کار افتادن سرویسهای وزارت نیرو شده و تبعات اجتماعي‪ ،‬سياس ي‬
‫و امنيت ملي به وجود آورد‪.‬‬
‫یک بدافزار کامپیوتری میتواند به راحتی باعث نابودی یک نیروگاه‪ ،‬پاالیشگاه‪ ،‬کارخانه‬
‫و ‪ ...‬شود‪.‬‬
‫امروزه بدافزارها‪ ،‬جنگ افزارهای نوین هستند‪.‬‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫مقدمه‪-‬ادامه‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫طراحي و بکارگیري کرم استاکس نت نشان داد که دشمنان کشور به اين مهم آگاه بوده و‬
‫براي برهم زدن نظم عمومي و امنيت ملي برنامهريزي ميکنند‪.‬‬
‫از آنجا که بسیاری از زیرساختهای حیاتی کشور به وزارت نیرو وابسته ميباشند‬
‫هوشياري در برابر حمالت الکترونيکي اهميت مضاعفي مييابد‪.‬‬
‫پروژه استاکسنت با هدف آسيب رساني به سيستمهاي کنترل صنعتي کشور طراحي‬
‫گرديد و به دنبال آن پروژه ‪ DUQU‬و وایپر و‪ ...‬ادامه پيدا کرد‪.‬‬
‫به راستي آيا استاکس نت‪ DUQU ،‬و‪ ...‬آخرين حمالت الکترونيکي به زيرساختهاي‬
‫حياتي ما خواهند بود؟؟؟؟‬
‫طبق بخشنامه رياست جمهوري به کليه دستگاهها مرکز مديريت راهبردي افتاي رياست‬
‫جمهوري متولي برنامهريزي‪ ،‬سياستگذاري و هدايت راهبردي و کالن دستگاهها در امن‬
‫سازي زيرساختهاي حياتي ميباشد‪.‬‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫اهداف طرح‬
‫‪ ‬پيشگیري از وقوع حمالت و امن سازي زيرساختهاي حياتي وزارت نیرو در مقابل انواع حمالت‬
‫سايبري‪.‬‬
‫‪ ‬نظارت بر تداوم امنيت زير ساخت از طريق جمع آوري اطالعات ‪ ،‬تحليل و مديريت مخاطرات و‬
‫تشخيص و مقابله با حوادث‪.‬‬
‫‪ ‬ايجاد قابليت تداوم کسب و کار و سرويس دهي وزارت نیرو در شرايط بحراني‪.‬‬
‫‪ ‬ارائه راهکارهاي فني (متدولوژي ها)‪.‬‬
‫‪ ‬آموزش و آگاهي رساني امنيتي به کليه متوليان‪ ،‬ذينفعان و عوامل درگیر در کنترل و هدايت‬
‫زيرساخت وزارت نیرو ‪.‬‬
‫‪ ‬ايجاد مراکز جمع آوري‪ ،‬اشتراک و تحليل اطالعات در سطح زيرساختهاي وزارت نیرو‪.‬‬
‫‪ ‬هماهنگي با مراجع باالدستي از جمله مرکز مديريت راهبردي افتا در امن سازي زيرساخت‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫اقدامات‬
‫‪ -1‬تحليل وضعيت افتا‬
‫‪ ‬تحليل و ارزيابي کمي وضع موجود توسط فاوا و با نظارت حراست دستگاه‪:‬‬
‫‪ ‬وضعيت طرح و برنامة افتا‬
‫‪ ‬وضعيت تشكيالت افتا‬
‫‪ ‬وضعيت مديريت افتا‬
‫‪ ‬وضعيت بودجة افتا‬
‫‪ ‬وضعيت پرسنلي افتا‬
‫‪ ‬وضعيت فني افتا‬
‫‪ ‬وضعيت وقايع افتا‬
‫‪ ‬تحليل و ارزيابي کيفي مخاطرات وضع موجود توسط فاوا و با نظارت حراست‬
‫دستگاه‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫اقدامات‪ -‬ادامه‬
‫‪ -2‬تهيه برنامه مديريت وضعيت افتا زيرساخت توسط مرکز‬
‫‪ ‬تدوين و ابالغ برنامه کوتاه مدت مديريت وضعيت افتا به منظور مقابله با‬
‫تهديدات فوري‬
‫‪ ‬تدوين و ابالغ برنامه بلند مدت مديريت وضعيت افتا به منظور حصول‬
‫اهداف برنامه پنجساله و سند افتا با توجه به تحليل و ارزيابي وضعيت‬
‫افتاي وزارت نیرو‬
‫‪ -3‬نظارت بر حسن اجراي برنامه توسط مرکز‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫برنامه هاي کوتاه مدت مديريت وضعيت افتا به منظ ‌ور‬
‫مقابله با تهديدات فوري‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تکميل فرمهاي وضعيت افتاي وزارت نیرو توسط فاوای دستگاه‪.‬‬
‫ارزيابي و تحليل مخاطرات با استفاده از متدولوژي و نرم افزار پيشنهادي مرکز (بر اساس‬
‫)‪ )ISO 27005: 2008‬و انجام اقدامات الزم برای کاهش مخاطرات شناسایی شده توسط فاوا‬
‫و با نظارت حراست دستگاه‪.‬‬
‫راه اندازي مرکز عمليات امنيت )‪ (soc‬مطابق الزامات مرکز توسط فاوا و با نظارت حراست‬
‫دستگاه‪.‬‬
‫راه اندازي تيم امداد کامپيوتري و صنعتي مطابق الزامات مرکز توسط فاوا و با نظارت حراست‬
‫دستگاه‪.‬‬
‫راه اندازی طرح مقابله با بدافزار مطابق الزامات مرکز توسط فاوا و با نظارت حراست دستگاه‪.‬‬
‫ارزيابي امنيتي کارشناسان‪ ،‬پيمانکاران و محصوالت موثر در افتا توسط مرکز با همکاري حراست‬
‫دستگاه‪.‬‬
‫طرح تداوم کسب و کار و فعاليت سازمان توسط فاوا و با نظارت حراست دستگاه‪.‬‬
‫طرح ارتقاي سطح امنيت و بهبود معماري امنيت اطالعات و ارتباطات توسط فاوا و با نظارت‬
‫حراست دستگاه‪..‬‬
‫بهبود کمي و کيفي تيم امنيت اطالعات و ارتباطات وزارت نیرو‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫برنامه بلند مدت امن سازي‬
‫وزارت نیرو‬
‫چرخه اقدامات‬
‫برنامه کوتاه‬
‫مدت مقابله‬
‫با تهديدات‬
‫فوري‬
‫ارزيابي‬
‫وضعيت افتا‬
‫نظارت بر حسن‬
‫اجراي برنامه‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫نقشهاي موثر در برنامه‬
‫تحليل‪ ،‬برنامه ريزي و نظارت‪ :‬مرکز مدیریت راهبردي افتا‬
‫مجري‌‪:‬‬
‫فاواي دستگاه‬
‫ارزیابی امنیتی محصوالت‪ ،‬خدمات‪،‬‬
‫ناظر‪:‬‬
‫حراست‬
‫دستگاه‬
‫حراست کل‬
‫نیروي انتظامي‬
‫پيمانکاران و کارشناسان‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬
‫با تشکر‪........‬‬
‫مرکز مديريت راهبردي افتا‬
‫کلیات طرح جامع امن‌سازی زيرساخت‌هاي حياتي‬
‫اسفند ‪1390‬‬