مرکز مدیریت راهبردی افتای ریاست جمهوری، سندی را تحت عنوان طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ نموده است.

شرکت آشنا ایمن، اقدام به مشاوره پیاده‌سازی الزامات این سند به سازمان‌های دارای زیرساخت حیاتی کشور می‌نماید که بر اساس گام‌های نقشه راه به شرح ذیل صورت می‌پذیرد:

سازمان‌ها نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری هستند. این ساختار، متناسب با شرایط و اهداف سازمان می‌تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به‌عنوان پیش‌نیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امن‌سازی متناسب با نقشه راه اجرایی گردد.

در گام بعد کارشناسان شرکت آشنا ایمن، وضعیت انطباق سازمان با الزامات مرکز مدیریت راهبردی افتای ریاست ‌جمهوری برای امن‌سازی زیرساخت‌های حیاتی را مورد ارزیابی قرار می‌دهند. در این بخش، منطبق با الزامات طرح امن­سازی زیرساخت­های حیاتی در قبال حملات سایبری، 10 دامنه در نظر گرفته شده که هر یک از آن‌ها شامل یک سری اهداف و هر هدف مجموعه‌ای از اقدامات امنیت سایبری است که سازمان می‌تواند برای ایجاد بلوغ و توانایی، آن‌ها را انجام دهد. این الزامات، در دامنه‌‌های مختلف زیر به بیان الزامات می‌پردازد:

• دامنه سازمان امنیت
• دامنه مدیریت مخاطرات
• پایش و کنترل سایبری
• مدیریت حوادث سایبری
• دامنه مدیریت تهدیدات بدافزاری
• دامنه مدیریت تداوم کسب‌وکار
• دامنه زیرساخت محرمانگی
• دامنه مدیریت هویت و دسترسی
• دامنه مدیریت زنجیره تأمین
• دامنه آموزش و فرهنگ‌سازی

با هدف ایجاد قابلیت سنجش پیشرفت، هر دامنه به سطوحی که به آن سطح شاخص بلوغ گفته می‌شود تقسیم شده است. این سطوح از 1 تا 4 شماره‌گذاری شده و دارای اولویت است و لازم است مجموعه فعالیت‌های هر سطح به ترتیب عملیاتی گردند.

در این راستا با انجام مصاحبه توسط کارشناسان شرکت آشنا ایمن با کارشناسان فناوری اطلاعات سازمان‌ها، میانگین سطح بلوغ در هر حوزه و سطح بلوغ نهایی محاسبه و در قالب نمودار ارائه خواهد شد. مبنای تعیین سطح بلوغ هر یک از کنترل‌ها در ادامه تشریح ‌شده است.

• سطح بلوغ 0 – ناامن: نشان‌دهنده یک سازمان “ناامن” بوده و به همین جهت در تقسیم‌بندی سطوح مدل بلوغ در نظر گرفته نشده است.
• سطح بلوغ 1 – تعریف‌شده: نشانگر سازمانی است که وضعیت موجود خود را شناسایی کرده باشد و برخی اقدامات اولیه و موردی در جهت هدف مربوطه انجام داده باشد.
• سطح بلوغ 2 – مدیریت‌شده: نشانگر سازمانی است که علاوه بر شناسایی وضع موجود خود، برنامه و خط‌مشی لازم برای دستیابی به هدف مربوطه را تدوین نموده است و قدمی نیز در جهت بهبود وضعیت امنیتی برداشته و بخشی از مخاطرات تحت پوشش آن هدف و دامنه را پوشش داده است.
• سطح بلوغ 3 – امن: نشانگر سازمانی است که به‌منظور انجام منظم و دوره‌ای اقدامات، فرآیندهای مربوطه را ایجاد نموده و اقدامات مورد نظر در قالب فرآیندهای سازمانی انجام می‌پذیرند.
• سطح بلوغ 4 – بهینه‌شده: نشانگر سازمانی است که فعلیت‌های متناظر در اهداف را به‌صورت خودکار و در قالب فرآیندهای بهبودیافته یا عجین‌شده با سایر فرآیندهای سازمانی و به‌صورت یک فرهنگ سازمانی انجام می‌دهد. همچنین این روال‌ها خود به‌صورت دوره‌ای و بسته به نیاز سازمان، به‌روز و متناسب می‌گردند.

بدین ترتیب پس از شناخت وضعیت موجود، شرکت آشنا ایمن سطح بلوغ امنیتی مطلوب سازمان را در طی سال‌های آتی و در چارچوب الزامات این طرح تعیین می‌نماید.

پس از تعیین سطح بلوغ امنیتی مطلوب، برنامه‌های عملیاتی توسط شرکت آشنا ایمن جهت نیل به این سطح، مطابق با الزامات هر دامنه تدوین گردیده و گام‌های عملیاتی سازمان برای ارتقای سطح امنیت سایبری مشخص خواهد شد که این برنامه‌های عملیاتی جهت بررسی و ارزیابی باید برای مرکز افتا ارسال شده و به تأیید این مرکز برسد.

پس از تدوین برنامه عملیاتی و اخذ تأییدیه نهایی از مرکز افتا، سازمان‌ها باید نسبت به اجرای فازهای عملیاتی برنامه خود اقدام کنند. برای اجرای برنامه مذکور ممكن است سازمان نیاز به برون‌سپاری برخی از خدمات داشته باشد که در این صورت فرآیند برون‌سپاری باید از طریق شرکت‌ها و استفاده از محصولات و سامانه‌هایی صورت پذیرد که دارای پروانه و مجوز معتبر از مرکز افتا باشند.

پس از اجرای برنامه‌های عملیاتی مدون و در راستای حصول اطمینان از اجرای اثربخش آن‌ها نیاز به برگزاری ممیزی‌های منظم و ادواری به شكل ممیزی داخلی و ممیزی خارجی خواهد بود، بدین صورت که روال‌های مشخصی برای اجرای ممیزی داخلی تدوین شده و سازمان باید به طور منظم نسبت به برگزاری آن‌ها اقدام نماید. علاوه بر ممیزی‌های داخلی، ممیزی‌های خارجی نیز می‌تواند توسط مرکز افتا و یا بخش خصوصی مورد تأیید مرکز افتا انجام شود تا بر روند اجرای برنامه‌های عملیاتی و اثربخشی آن‌ها نظارت لازم اعمال گردد.