به همت مدیریت امور اعضا کانون برگزار شد:
جلسه آموزش الزامات مکنا به مدیران عامل شرکتهای کارگزاری
حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس، طی دو جلسه به آموزش الزامات مکنا به مدیران عامل شرکتهای کارگزاری در کانون کارگزاران بورس پرداخت. او الزامات مکنا را در دو دسته مدیریتی و فنی معرفی کرد و تاکید کرد: در حوزه مدیریت، موضوع سازماندهی امنیت اطلاعات باتوجه به اندازه هر شرکت باید متناسبسازی شود.
به گزارش روابط عمومی کانون کارگزاران بورس و اوراق بهادار، مدیریت امور اعضا کانون کارگزاران طی دو جلسه در تاریخ 05/07/1402 و 18/07/1402 اقدام به برگزاری نشست «آموزش الزامات مکنا به مدیران عامل شرکتهای کارگزاری» کرد که با تدریس رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار برگزار شد.
این جلسات با حضور مدیران عامل و اعضای هیئتمدیره شرکتهای کارگزاری در سالن جلسات استاد زرگانی نژاد کانون کارگزاران تشکیل شد. در این جلسات حامد سنجری با توجه به حساسیت مسئله امنیت و لزوم استخدام نیروی انسانی خبره در حوزه فناوری اطلاعات در شرکتهای کارگزاری، برای همکاری در استخدام نیروهای این حوزه در مرحله مصاحبه اعلام آمادگی کرد.
مهمترین مباحثی که در این جلسه مطرح شد به شرح ذیل است:
- معرفی سند الزامات امنیت اطلاعات بازار سرمایه؛
- ضرورت ایجاد تشکیل واحد امنیت اطلاعات زیر مجموعه مستقیم مدیرعامل؛
- لزوم وجود معماری امن در توپولوژی فیزیکی و منطقی شبکه؛
- لزوم وجود فایروال امن با تنظیمات صحیح در شبکه شرکتهای کارگزاری؛
- عدم استفاده از تجهیزات شبکه قدیمی و غیرقابل مدیریت؛
- لزوم مدیریت یکپارچه حسابهای کاربری کاربران و ضرورت وجود سرویس Active Directory؛
- لزوم راهاندازی سرویس ایمیل داخلی؛
- رعایت امنیت در اشتراک فایلها؛
- ضرورت دریافت تاییدیه امنیتی مرکز مکنا قبل از انتشار سامانهها در بستر اینترنت؛
- لزوم وجود آنتیویروس معتبر و بهروزرسانی مداوم آن؛
- پشتیبانگیری منظم از تنظیمات تجهیزات، دادهها و سرویسهای مهم و تست آن؛
- لزوم وجود WAF برای آن دسته از سامانههای کارگزاری که در شبکه اینترنت سرویسدهی میکنند؛
- لزوم امنسازی اتاق سرور؛
- لزوم امنسازی سیستمهای متصل به سامانههای حساس بورسی.
براساس این گزارش، سرفصلهای یاد شده از جمله عناوین مهمی بودند که در این دو جلسه رئیس مرکز نظارت بر امنیت اطلاعات بازارسرمایه با ذکر مثالهایی واقعی از شرکتها و ارگانهایی که به دلیل عدم رعایت الزامات، امنیت شبکه دچار مشکلات و خطرات و هزینه شدهاند، مطرح و به اهمیت رعایت این الزامات تأکید کرد.
در این نشست آموزشی، سنجری، الزامات مکنا را در دو دسته مدیریتی و فنی معرفی کرد و توضیح داد: در حوزه مدیریت، موضوع سازماندهی امنیت اطلاعات باتوجه به اندازه هر شرکت باید متناسبسازی شود.
او درخصوص ارتباط با شرکتهای ثالث نیز بر رعایت موضوعات قرارداد، الزامات منابع انسانی و اهمیت ممیزی داخلی تأکید داشت و مدیران IT و امنیت را متوجه این موضوع دانست.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه، زیربخشهای امنیت شبکه و ارتباطات، امنیت سیستمها و برنامههای کاربردی، حفاظت از دادهها، وقایع و پایش رخدادهای امنیتی و امنیت فیزیکی را به عنوان الزامات بخش فنی معرفی کرد.
او همچنین تأکید کرد: دسترسی بخشهای مختلف سازمان به شبکه داخلی باید با توجه به ماهیت کار و مسئولیت هر واحد تعریف شود.
سنجری در ادامه گفت: برنامههای فایروال و IPS از الزامات اصلی در این راستا هستند، با این توضیح که فایروال، مرزی را بین شبکه داخلی شرکت و شبکه خارجی اینترنت و بین سرورها ایجاد میکند.
او با تأکید بر لزوم بخشبندی از نظر شبکهای و تنظیمات صحیح، دقیق و بهینه فایروال گفت: اتصال پورتها و ترافیک اینترنت کاربران باید مدیریت شود.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه در خصوص اتاق سرور و امکانات آن به مدیران عامل شرکتهای کارگزاری توضیح داد: جایگاه اتاق سرور و امکانات سرمایشی مناسبی برای این اتاق در نظر بگیرند و همچنین دوربین مداربسته با قابلیت پوشش کلیه نقاط اتاق وجود داشته باشد و ایضا کلیه کابلهای داخل این اتاق به درستی نامگذاری شوند.
سنجری از مدیران عامل خواست تا از تجهیزات قدیمی و غیرقابل مدیریت که امکان بروزرسانی ندارند استفاده نکنند و از حالت کاربری خارج کنند.
او ادامه داد: شرکتهای کارگزاری ضمن استفاده از سرویس Active Directory که امکان مدیریت رمز عبور کلاینتها را ممکن میسازد، باید به تنظیم صحیح آن توجه کنند.
راهاندازی سرویس ایمیل داخلی، نصب آنتی ویروس مناسب روی سرور و آپدیت مداوم آن، تدوین سند دسترسی به سامانههای بکآفیس و آنلاین گروهی با ذکر علت دسترسی به ازای هر کاربر، عدم استفاده از CMS، پشتیبانگیری منظم از تنظیمات تجهیزات، دادهها و سرویسهای مهم، لزوم استفاده از WAF برای سامانههای سرویسدهی اینترنتی شرکتهای کارگزاری، مکانیزمهای امنسازی سیستمعاملها، پایگاههای داده، وبسرورها و تجهیزات شبکه، بسته بودن پورتهای USBشرکت، بهروزرسانی سیستمها از جمله دیگر موارد مهمی بودند که سنجری به لزوم رعایت این موارد تأکید داشت.
او در پایان یادآور شد: سرورها و سیستمهای حیاتی مجموعه نباید از طریق وای فای قابل رؤیت باشند؛ در واقع شبکه وایرلس نباید به شبکه سرورهای داخلی دسترسی داشته باشد.
نظر دهید