همانطور که میدانید، صرافیها در زمینه خرید و فروش ارز، عملیات مربوط به حوالههای ارزی از طریق مؤسسات اعتباری و همچنین ارائه خدمات ارزی برون مرزی توسط کارگزاران فعالیت میکنند. از طرفی شرکت های صرافی روزانه اطلاعات معاملات ارزی خود را در سامانههای حاکمیتی بانک مرکزی همچون پنجره واحد مجوزهای بانکی، سامانه سنا و نیما ثبت میکنند.
به همین دلیل طبق قانون جدید، تمامی صرافیهای سراسر کشور ملزم به ایجاد یکسری تغییرات نرمافزاری، سختافزاری و زیرساختهای استاندارد طبق <<طرح مدیریت جامع امنیت اطلاعات شرکت های صرافی>> برای بهبود عملکرد و ارتقای سطح ایمنی خدمات خود هستند. در حقیقت این دستورالعملهای امنیتی در راستای کاهش مخاطرات پردازش، ذخیرهسازی و انتقال اطلاعات صرافیها تعریف شده است که مرکز کاشف به عنوان رابط بین نیروهای IT صرافی و بانک مرکزی بر روی نحوه اجرای آن نظارت میکند؛ اما این الزامات بانک مرکزی برای شرکت های صرافی چیست؟ شامل چه مواردی میشود و چه اقداماتی باید از سمت صرافی انجام شود؟ برای یافتن پاسخ کامل این پرسشها کافی است تا انتهای این مقاله ما را همراهی کنید …
اهداف سند الزامات بانک مرکزی برای شرکت های صرافی چیست؟
به طور کلی، مهمترین هدف از اجرای طرح مدیریت جامع امنیت اطلاعات شرکت های صرافی، کمک به ایمنسازی محیط داخلی و سایبری شرکت های صرافی و ارتقای امنیت رابط کاربری خدمات ارائه شده از سوی بانک مرکزی به صرافی است. در حقیقت، الزامات تعیین شده علاوه بر اینکه معیاری برای ممیزی امنیت اطلاعات در صرافیها خواهد بود، برای کاهش مخاطرات مرتبط با موارد زیر نیز در نظر گرفته میشود:
- بهرهبرداری امن از تمامی سامانههای حاکمیتی بانک مرکزی شامل و نه محدود به پنجره واحد مجوزهای بانکی و سامانههای سنا و نیما
- پردازش، ذخیرهسازی و انتقال اطلاعات موجود در صرافیها
- استفاده امن از شبکه نورنتا
صرافیها برای رسیدن به حداقل الزامات امنیت اطلاعاتی باید از نیروهای ماهر و با تجربه آیتی یا شرکت های فعال در این حوزه همچون شرکت صرافیار کمک بگیرند تا بتوانند مطابق با دستورالعملهای بانک مرکزی تغییرات نرمافزاری و سختافزاری موردنیاز مثل ساخت اتاق سرور، دیتابیس و… را انجام دهند. در ادامه این مقاله به طور دقیق تمامی الزامات بانک مرکزی برای شرکت های صرافی را بررسی میکنیم.
مرکز کاشف کجاست؟
سامانه کاشف، مرکزی برای کنترل امنیت، رصد و پایش فضای سایبری و تبادل اطلاعات نظام بانکی کشور است. مرکز کاشف به عنوان بازوی فنی بانک مرکزی در کنار مرکز امداد رایانهای امنیتی بانکها، در راستای ایجاد سپری امن در مقابل تهدیدات داخلی و خارجی در سیستم بانکی فعالیت میکند. در حقیقت شورای پول و اعتبار در صد و پنجاه و یکمین جلسه خود در آذرماه سال 1391، بانک مرکزی را مکلف به راهاندازی کاشف یا همان مرکز کنترل امنیت شبکه و فوریتهای بانکی کرد.
از همین رو با هدف ارتقای فنی و ایجاد ساختاری ایمن و یکپارچه، در راستای ایجاد سامانه مدیریت آسیب پذیری بانک مرکزی، شرکت دانشبنیان مدیریت امن الکترونیکی کاشف در اسفندماه سال 1392 تأسیس شد. بدین ترتیب مرکز کاشف، مجری اهداف حاکمیتی بانک مرکزی جمهوری اسلامی ایران در حوزه «مدیریت و هدایت امنیت فضای تولید و تبادل اطلاعات بانکی» شناخته میشود. در طرح الزامات بانک مرکزی برای شرکت های صرافی نیز کاشف بهعنوان رابط بین بانک و صرافیها معرفی شده است.
راهبردهای اصلی مرکز کاشف چیست؟
به طور کلی کاشف با ایجاد یک پنجره واحد با نظارت بانک، مدیریت یکپارچه امنیت اطلاعات را برعهده دارد. در این راستا برای مدیریت جامع رخدادهای امنیتی و طراحی زیرساختهای امن، الزامات بانک مرکزی برای شرکت های صرافی را با راهبردهای زیر دنبال میکند.
- مدیریت مخاطرات امنیت اطلاعات شبکه بانکی
- فرهنگسازی عمومی برای استفاده امن از خدمات بانکی
- آموزش و توانمندسازی نیروهای انسانی فعال بانکها، مؤسسات مالی و مراکز وابسته
- مشارکت نزدیک با مراکز علمی و پژوهشی و شرکت های دانشبنیان
- برقراری تعاملات هدفمند و بهاشتراکگذاری اطلاعات با ذینفعان نظام بانکی
- نهادینهسازی امنیت به عنوان اولویت و اصل رقابتی در شبکه بانکی کشور
در نهایت میتوان گفت مرکز کاشف با شناسایی تهدیدهای داخلی و خارجی در شبکه بانکی و انجام هماهنگیهای لازم برای همکاری عملیاتی و ارتقای سطح امنیت بانکها، مؤسسات مالی و صرافیها، در رفع این خطرات اقدامات لازم را انجام میدهد.
- برای اطلاعات بیشتر در رابطه با مرکز کاشف، به مقاله همه چیز درباره مرکز کاشف + {راهنمای اخذ تاییدیه کاشف} را مطالعه نمایید.
شرح الزامات بانک مرکزی برای شرکت های صرافی
به طور کلی الزامات این سند شامل بایدها و نبایدهایی است که اجرای آن برای فعالان این حوزه میتواند کاری بسیار دشوار باشد؛ از همین رو بهتر است اجرای این دستورالعملها را به شرکت های آیتی معتبر همچون صرافیار بسپارید. در ادامه تلاش میکنیم تا به صورت کامل الزامات خواسته شده را برای شما شرح دهیم.
فرایندهای امنیت اطلاعات
براساس الزامات بانک مرکزی برای شرکت های صرافی باید خط مشیها و روشهای اجرایی امنیت اطلاعات به طور کامل مستند شده و در بازههای زمانی مشخصی نیز بررسی و بروزرسانی شوند.
خط مشیها و روشهای اجرایی عبارتاند از:
- امنیت شبکه
- مدیریت پیکربندی موجودیتهای شبکه
- مدیریت تغییرات
- مدیریت آسیبپذیریها
- طبقهبندی اطلاعات
- مقابله با بدافزار
- توسعه و نگهداری امن سامانهها و برنامههای کاربردی
- مدیریت دسترسیها
- مدیریت رمزنگاری
- مدیریت گذرواژه
- امنیت فیزیکی
- مدیریت رویداد نگاری (ایونت لاگر)
- مدیریت مخاطرات داراییهای اطلاعاتی صرافی
- آگاهیرسانی و آموزشهای امنیتی کارکنان و پیمانکاران
- بهره برداری صحیح از تجهیزات و فناوریهای کاربر نهایی
- سند محدوده امنیت اطلاعات
این نکته را در نظر داشته باشید که خط مشیهای گفته شده باید به تمامی ذینفعان داخلی و خارجی همچون پیمانکاران ابلاغ شده و از آگاهی آنها نسبت به این موارد اطمینان حاصل شود. از طرفی ضروری است که دورههای آگاهیرسانی عمومی در حوزه امنیت اطلاعات برگزار شده و آموزشهای لازم به کارکنان داده شود.
مدیریت تغییرات و پشتیبان گیری
به طور کلی تمامی تغییرات اعمال شده در سامانهها و تجهیزات شرکت صرافی، باید براساس یک روش اجرایی مدون به طور منظم کنترل، پایش و مورد بررسی قرار گیرد.
این تغییرات شامل موارد زیر است:
- پیکربندی تجهیزات پردازش، ذخیرهسازی و انتقال اطلاعات
- معماری شبکه ارتباطی
- پیکربندی ابزارهای امنیتی نظیر دیوارههای آتش، سامانه پیشگیری و تشخیص نفوذ IPS/IDS و WAF
- تغییر در تاریخ و ساعت سیستمها
از طرفی طبق الزامات بانک مرکزی برای شرکت های صرافی در این مورد، باید روال اجرایی مناسبی برای پشتیبانگیری دقیق از اطلاعات حساس، پیکربندی ابزارهای امنیتی، پایگاههای داده و زیرساختهای مجازیسازی در صرافیها، ایجاد و اجرایی شود. در نهایت نیز این نسخه پشتیبان در دورههای منظم، مورد ارزیابی قرار گیرد تا از صحت یکپارچگی آنها اطمینان حاصل شود.
مدیریت آسیبپذیری
این نکته را در نظر داشته باشید که پیادهسازی اثربخش خط مشیها و روشهای اجرایی باید هر 6 ماه یکبار از طریق ممیزی داخلی ارزیابی شده و در صورت ایراد و خطا، اقدامات اصلاحی برای بر طرف کردن نقاط ضعف انجام شود. از طرفی تمامی تجهیزات پردازش، ذخیرهسازی و انتقال اطلاعات به همراه ابزارهای امنیتی باید به صورت ماهانه از طریق سامانه مدیریت آسیبپذیری خودکار مرکز کاشف مورد ارزیابی قرار گیرد.
اگر یکی از سامانههای داخلی صرافی را توسعه دهید، ضروری است قبل از استفاده در محیط عملیاتی، توسط مرکز کاشف ارزیابی شده و مجوزهای لازم را دریافت کند؛ همچنین باید فهرست کاملی از داراییها برای مدیریت وصلهها و آسیبپذیریها تنظیم شود و بهروزرسانیهای کاربردپذیر در محدودههای زمانی از قبل تعیین شده (حداکثر تا 15 روز پس از انتشار) نصب شوند.
امنیت فیزیکی
در راستای تأمین امنیت فیزیکی صرافی و بر اساس الزامات بانک مرکزی برای شرکت های صرافی باید فهرستی از اماکن حساس ایجاد شده و از طریق دوربینهای نظارتی و تجهیزات امنیتی پیشرفته مانند دزدگیر صرافی به طور دقیق پوشش داده شوند. دادههای دوربینها حداقل به مدت 3 ماه نگهداری شده و به صورت دورهای نیز بازبینی شوند.
تعمیرات و پشتیبانی سختافزاری و نرمافزاری تمامی تجهیزات صرافی باید توسط اشخاص حقیقی یا حقوقی که با ایشان توافقنامه رازداری امضا شده و به تأیید مدیر ارشد شرکت صرافی رسیده است، انجام شود. در نهایت این نکته را نیز در نظر داشته باشید که دسترسی و تردد در اماکن حساس صرافی همچون محل استقرار تجهیزات شبکه، اتاق سرور، سامانهها، ایستگاههای کاری و محلهای نگهداشت نسخ پشتیبان اطلاعات معاملات باید از طریق تجهیزات کنترل و پایش تردد، امکانپذیر باشد. برای تهیه تجهیزات امنیتی موردنیاز صرافیها میتوانید از خدمات شرکت صراف یار استفاده کنید.
امنیت شبکه و ارتباطات
به طور کلی ارائه خدمات صرافی از جمله خرید و فروش ارز، سکه و انجام حواله ارزی به صورت غیرحضوری مجاز نیست؛ اما در مواردی که نیاز به ارائه خدمات غیرحضوری باشد، باید مجوزهای لازم از اداره امنیت اطلاعات بانک دریافت شود؛ از این رو رعایت الزامات بانک مرکزی برای شرکت های صرافی در مورد امنیت شبکه و ارتباطات آن بسیار ضروری خواهد بود.
در حقیقت باید تمامی دستورالعملهای ایمنی و حفاظت از اطلاعات در شبکه و ارتباطات صرافی به طور کامل اجرایی شده و در بازههای زمانی منظم رصد و ارزیابی شود. این کنترلهای امنیتی شامل تمامی تجهیزات پردازش، ذخیرهسازی و انتقال اطلاعات متصل به شبکه صرافی میشوند.
در نهایت این نکته را فراموش نکنید که هنگام بروز رخدادهای امنیت اطلاعات همچون آلودگی سیستمها به باجافزار یا بدافزار، باید از انجام اقداماتی که به رویداد نگاشتهای پشتیبانیکننده آسیب میزند، خودداری کرده و مراتب در اسرع وقت به مرکز کاشف گزارش شود. در این مورد نیز شرکت آیتی محور صراف یار، خدمات کاملی را برای اجراکردن تمامی این الزامات به شرکت های صرافی ارائه میدهند که شما میتوانید از آنها (خدمات) کمک بگیرید.
مدیریت داراییها
بر اساس این دستورالعمل باید فهرست داراییهای اطلاعاتی شرکت صرافی تهیه شده و همواره بروزرسانی شود. این فهرست شامل موارد زیر میشود:
- سامانههای اطلاعاتی به همراه داراییهای پشتیبانیکننده از آنها
- کلیدهای رمزنگاری و گواهینامهها
- اماکن حساس
- زیرساخت فناوری اطلاعات همچون شبکهها و تجهیزات آنها
- ابزارهای امنیتی
- افراد از جمله کاربران و راهبران
- برنامههای کاربردی
- تجهیزات و رسانههای ذخیره ساز
علاوه بر آن باید فهرست تمامی فناوریهایی که طول عمر یا دوره پشتیبانی آنها توسط تولید کننده به اتمام رسیده است یا امکان پیاده سازی الزامات بانک مرکزی برای شرکت های صرافی در آنها وجود ندارد، نیز تهیه شود. از طرفی باید نمودار جریان گردش دادههای شبکه داخلی و تبادل اطلاعات با سامانههای خارج از شبکه صرافی، تدوین و به طور منظم بروزرسانی شود.
رویدادنگاری و رسیدگی به رخداد
وقایع موجودیتهای متصل به شبکه صرافی، همچون تجهیزات پردازش، ذخیرهسازی و انتقال اطلاعات، ابزارهای امنیتی، سامانههای مهم و کلیدی برای شناسایی فعالیتهای مشکوک، باید به صورت روزانه بررسی شده و به فعالیتهای مشکوک رسیدگی شود؛ همچنین شرکت صرافی موظف است برنامه ریزی های لازم را برای ارسال این گزارشات به مرکز کاشف، انجام دهد.
مدیریت پیکربندی
تمامی تجهیزات متصل به شبکه صرافی و ابزارهای امنیتی باید به طور امن پیکربندی شوند. از طرفی باید با شناسایی آسیبپذیریهای احتمالی، پیکربندیهای داراییهای متأثر مورد بازنگری قرار گیرد؛ همچنین قبل یا بهمحض اتصال موجودیت جدید به شبکه، الزامات پیکربندی در آن اعمال شود.
این نکته را در نظر داشته باشید که تمامی اقدامات و پیکربندیهای سازوکارهای امنیتی همچون دیوارههای آتش (فایروال)، سامانه ضد بدافزار، سامانه جلوگیری و تشخیص نفوذ باید حداقل هر 6 ماه یکبار بازبینی شده و سوابق این بازنگریها نگهداری شود.
مدیریت گذرواژه و احراز هویت
طبق الزامات بانک مرکزی برای شرکت های صرافی، این مراکز موظف هستند تا در تمامی سامانههای متصل به شبکه خود، از سازوکارهای احراز هویت چند عاملی (حداقل دو عاملی) استفاده کنند. این نکته را هم در نظر داشته باشید که سامانه احراز هویت چند عاملی نباید توسط کاربر عادی یا راهبر غیر فعال شود؛ مگر به طور موقت و در موارد خاص که شرایط آن مستند شده و به تأیید مدیریت رسیده باشد.
مدیریت دسترسیها
مجوزها و سطوح دسترسیهای سامانهها و تجهیزات موجود در شبکه صرافی باید با توجه به نیاز کسب و کار تعیین شود. در حقیقت میزان دسترسی هر فرد باید بر اساس «حداقل نیاز به دانستن» و بر مبنای طبقه بندی شغلی و وظایف محول شده باشد. از طرفی این دسترسیها باید توسط افراد ذیصلاح تأیید شود.
در نهایت نیز تمامی حسابهای کاربری و سطوح دسترسی افراد باید به صورت دورهای و حداقل هر 6 ماه یکبار بازبینی شده تا از مناسببودن سطح دسترسی اطمینان حاصل شود.
ملاحظات حراستی
در آخرین مورد از الزامات بانک مرکزی برای شرکت های صرافی میتوان گفت که نماینده امنیت اطلاعات صرافی میبایست پیش از انتساب به منظور تأیید صلاحیت به اداره حراست فناوری اطلاعات بانک معرفی شود.
از کجا خدمات آیتی موردنیاز برای طرح الزامات صرافی را دریافت کنیم؟
از آنجایی که تأیید الزامات بانک مرکزی برای شرکت های صرافی توسط مرکز کاشف ملزم به اجرای فاکتورهای مختلفی است، پیشنهاد میشود اجرای دستورالعملهایی که در این مقاله نیز به آنها اشاره کردیم را به یک شرکت معتبر IT بسپارید تا خیالتان بابت دریافت تأییدیه راحت باشد.
صراف یار، یک شرکت فعال در حوزه خدمات انفورماتیک (آیتی) به صرافیهای سراسر ایران است. در حقیقت این شرکت با تجربه 15 ساله خود و بهرهمندی از مهندسان متخصص، پشتیبانی از شرکت های صرافی را در سراسر کشور به عهده دارد. صراف یار علاوه بر پیاده سازی الزامات بانک مرکزی برای شرکت های صرافی، خدماتی همچون پسیو و اتاق سرور، اکتیو شبکه، تلفن اینترنتی VoIP، دزدگیر و دوربین مداربسته صرافی را نیز به صرافیها ارائه میدهد. برای استفاده از خدمات این شرکت آیتی میتوانید با کارشناسان مجموعه صراف یار در تماس باشید.