moji5
29th November 2009, 11:11 PM
شرکتی برای ممیزی امنیت اطلاعات بانکها ایجاد میشود.
به گزارش عصرارتباط، این شرکت باید زیر نظر بانک مرکزی فعالیت داشته باشد.
معاون فناوری اطلاعات بانکپارسیان و رییس کارگروه امنیت بانکداری الکترونیکی با بیان این مطلب در گفتوگو با خبرنگار ما افزود: طبق سند امنیت بانکداری الکترونیکی شرکتی زیر نظر بانک مرکزی برای حسابرسی و ممیزی امنیت اطلاعات بانکها تشکیل خواهد شد.
سند امنیت بانکداری الکترونیکی توسط کارگروه امنیت بانکداری الکترونیکی تقریبا تابستان سال گذشته تدوین شد و خبر ابلاغ آن را وزارت اقتصاد و دارایی اواخر سال گذشته منتشر کرد ولی تقریبا در همان زمان بانک مرکزی ابلاغ این سند را متوقف کرد چراکه برخی از سیاستهای پیشبینی شده در این دستورالعمل که عنوان سند را به خود گرفت با سیاستهای بانک مرکزی هماهنگ نبود از همین رو ابلاغ آن تا هماهنگی آن سیاستها با سیاستهای بانک مرکزی هماهنگ شود، به طول انجامید.
یکی از همین سیاستها پیشبینی سازمان حسابرسی برای ممیزی امنیت اطلاعات بانکها بود. در سند تدوین شده از سوی کارگروه پیشبینی شده بود که این سازمان تحت مالکیت مجمع عمومی بانکهای کشور و یا بانک مرکزی تشکیل شود ولی هماکنون قطعی شده که این سازمان و یا شرکت حتما باید مجوزهای لازم را از بانک مرکزی دریافت کند.
عبدالمجید منصوری گفت: یکی دیگر از تغییرات عمدهای که این سند با آن مواجه شده، مشخص نشدن میزان بودجه تخصیص یافته به امنیت سیستمهای بانکی است.
در سند پیشنهادی مقرر شده بود که 10 درصد از بودجه فناوری اطلاعات بانکها باید به امنیت تخصیص یابد اما هماکنون بانکها میزان تخصیص این بودجه برعهده خود بانکهاست.
او ادامه داد: در این سند پیشبینی شده است تا سایت مرکز داده و پشتیبان آن در یک استان ایجاد شود سایت اصلی مرکز داده در زیر زمین و سایت پشتیبان درطبقه فوقانی ایجاد شود. سایت پشتیبان درست آیینه سایت اصلی مرکز داده خواهد بود تا در صورت بروز مشکل در سایت اصلی به سادگی بتوان بار فعالیت را روی سایت پشتیبان منتقل کرد و هیچ مشکلی برای ارایه سرویسهای بانکی ایجاد نشود.
او اضافه کرد: در مقابل سایت بحران باید در یک استان دیگر و یا حداقل به فاصله 400 کیلومتری سایت مادر ایجاد شود. این سایت برای دورههای بحرانی مانند زلزله طراحی خواهد شد. در این سایت لازم نیست تمامی سرویسها بهصورت آنلاین ارایه شود ولی باید امکان ارایه سرویسهای اصلی از طریق این سایت وجود داشته باشد. از دیگر تفاوتهای این سایت، امکان استفاده مشترک با سایر بانکهاست.
طراحی و پیادهسازی سیستم مدیرت امنیت اطلاعات برمبنای استاندارد iso 27001 از دیگر پیشنهادهای مطرح در این سند است؛ برای رسیدن به این هدف باید متدولوژی ارزیابی مخاطرات و نیز سطوح مخاطرات تعیین شود همچنین آسیبپذیریها و تهدیدات باید شناسایی شوند.
همچنین باید گزارش تحلیل شکاف و تدوین برنامه کاهش مخاطرات تهیه و آییننامه سیاستها و روالهای امنیت اطلاعات بانکها تدوین شود.
به گزارش عصرارتباط، این شرکت باید زیر نظر بانک مرکزی فعالیت داشته باشد.
معاون فناوری اطلاعات بانکپارسیان و رییس کارگروه امنیت بانکداری الکترونیکی با بیان این مطلب در گفتوگو با خبرنگار ما افزود: طبق سند امنیت بانکداری الکترونیکی شرکتی زیر نظر بانک مرکزی برای حسابرسی و ممیزی امنیت اطلاعات بانکها تشکیل خواهد شد.
سند امنیت بانکداری الکترونیکی توسط کارگروه امنیت بانکداری الکترونیکی تقریبا تابستان سال گذشته تدوین شد و خبر ابلاغ آن را وزارت اقتصاد و دارایی اواخر سال گذشته منتشر کرد ولی تقریبا در همان زمان بانک مرکزی ابلاغ این سند را متوقف کرد چراکه برخی از سیاستهای پیشبینی شده در این دستورالعمل که عنوان سند را به خود گرفت با سیاستهای بانک مرکزی هماهنگ نبود از همین رو ابلاغ آن تا هماهنگی آن سیاستها با سیاستهای بانک مرکزی هماهنگ شود، به طول انجامید.
یکی از همین سیاستها پیشبینی سازمان حسابرسی برای ممیزی امنیت اطلاعات بانکها بود. در سند تدوین شده از سوی کارگروه پیشبینی شده بود که این سازمان تحت مالکیت مجمع عمومی بانکهای کشور و یا بانک مرکزی تشکیل شود ولی هماکنون قطعی شده که این سازمان و یا شرکت حتما باید مجوزهای لازم را از بانک مرکزی دریافت کند.
عبدالمجید منصوری گفت: یکی دیگر از تغییرات عمدهای که این سند با آن مواجه شده، مشخص نشدن میزان بودجه تخصیص یافته به امنیت سیستمهای بانکی است.
در سند پیشنهادی مقرر شده بود که 10 درصد از بودجه فناوری اطلاعات بانکها باید به امنیت تخصیص یابد اما هماکنون بانکها میزان تخصیص این بودجه برعهده خود بانکهاست.
او ادامه داد: در این سند پیشبینی شده است تا سایت مرکز داده و پشتیبان آن در یک استان ایجاد شود سایت اصلی مرکز داده در زیر زمین و سایت پشتیبان درطبقه فوقانی ایجاد شود. سایت پشتیبان درست آیینه سایت اصلی مرکز داده خواهد بود تا در صورت بروز مشکل در سایت اصلی به سادگی بتوان بار فعالیت را روی سایت پشتیبان منتقل کرد و هیچ مشکلی برای ارایه سرویسهای بانکی ایجاد نشود.
او اضافه کرد: در مقابل سایت بحران باید در یک استان دیگر و یا حداقل به فاصله 400 کیلومتری سایت مادر ایجاد شود. این سایت برای دورههای بحرانی مانند زلزله طراحی خواهد شد. در این سایت لازم نیست تمامی سرویسها بهصورت آنلاین ارایه شود ولی باید امکان ارایه سرویسهای اصلی از طریق این سایت وجود داشته باشد. از دیگر تفاوتهای این سایت، امکان استفاده مشترک با سایر بانکهاست.
طراحی و پیادهسازی سیستم مدیرت امنیت اطلاعات برمبنای استاندارد iso 27001 از دیگر پیشنهادهای مطرح در این سند است؛ برای رسیدن به این هدف باید متدولوژی ارزیابی مخاطرات و نیز سطوح مخاطرات تعیین شود همچنین آسیبپذیریها و تهدیدات باید شناسایی شوند.
همچنین باید گزارش تحلیل شکاف و تدوین برنامه کاهش مخاطرات تهیه و آییننامه سیاستها و روالهای امنیت اطلاعات بانکها تدوین شود.