به گزارش عصرارتباط، این شرکت باید زیر نظر بانک مرکزی فعالیت داشته باشد.

معاون فناوری اطلاعات بانک‌پارسیان و رییس کارگروه امنیت بانکداری الکترونیکی با بیان این مطلب در گفت‌وگو با خبرنگار ما افزود: طبق سند امنیت بانکداری الکترونیکی شرکتی زیر نظر بانک مرکزی برای حسابرسی و ممیزی امنیت اطلاعات بانک‌ها تشکیل خواهد شد.

سند امنیت بانکداری الکترونیکی توسط کارگروه امنیت بانکداری الکترونیکی تقریبا تابستان سال گذشته تدوین شد و خبر ابلاغ آن را وزارت اقتصاد و دارایی اواخر سال گذشته منتشر کرد ولی تقریبا در همان زمان بانک مرکزی ابلاغ این سند را متوقف کرد چراکه برخی از سیاست‌های پیش‌بینی شده در این دستورالعمل که عنوان سند را به خود گرفت با سیاست‌های بانک مرکزی هماهنگ نبود از همین رو ابلاغ آن تا هماهنگی آن سیاست‌ها با سیاست‌های بانک مرکزی هماهنگ شود، به طول انجامید.

یکی از همین سیاست‌ها پیش‌بینی سازمان حسابرسی برای ممیزی امنیت اطلاعات بانک‌ها بود. در سند تدوین شده از سوی کارگروه پیش‌بینی شده بود که این سازمان تحت مالکیت مجمع عمومی بانک‌های کشور و یا بانک مرکزی تشکیل شود ولی هم‌اکنون قطعی شده که این سازمان و یا شرکت حتما باید مجوزهای لازم را از بانک مرکزی دریافت کند.

عبدالمجید منصوری گفت: یکی دیگر از تغییرات عمده‌ای که این سند با آن مواجه شده، مشخص نشدن میزان بودجه تخصیص یافته به امنیت سیستم‌های بانکی است.

در سند پیشنهادی مقرر شده بود که 10 درصد از بودجه فناوری‌ اطلاعات بانک‌ها باید به امنیت تخصیص یابد اما هم‌اکنون بانک‌ها میزان تخصیص این بودجه برعهده خود بانک‌هاست.

او ادامه داد: در این سند پیش‌بینی شده است تا سایت مرکز داده و پشتیبان آن در یک استان ایجاد شود سایت اصلی مرکز داده در زیر زمین و سایت پشتیبان درطبقه فوقانی ایجاد شود. سایت پشتیبان درست آیینه سایت اصلی مرکز داده خواهد بود تا در صورت بروز مشکل در سایت اصلی به سادگی بتوان بار فعالیت را روی سایت پشتیبان منتقل کرد و هیچ مشکلی برای ارایه سرویس‌های بانکی ایجاد نشود.

او اضافه کرد: در مقابل سایت بحران باید در یک استان دیگر و یا حداقل به فاصله 400 کیلومتری سایت مادر ایجاد شود. این سایت برای دوره‌های بحرانی مانند زلزله طراحی خواهد شد. در این سایت لازم نیست تمامی سرویس‌ها به‌صورت آنلاین ارایه شود ولی باید امکان ارایه سرویس‌های اصلی از طریق این سایت وجود داشته باشد. از دیگر تفاوت‌های این سایت، امکان استفاده مشترک با سایر بانک‌هاست.

طراحی و پیاده‌سازی سیستم مدیرت امنیت اطلاعات برمبنای استاندارد ISO 27001 از دیگر پیشنهادهای مطرح در این سند است؛ برای رسیدن به این هدف باید متدولوژی ارزیابی مخاطرات و نیز سطوح مخاطرات تعیین شود همچنین آسیب‌پذیری‌ها و تهدیدات باید شناسایی شوند.

همچنین باید گزارش تحلیل شکاف و تدوین برنامه کاهش مخاطرات تهیه و آیین‌نامه سیاست‌ها و روال‌های امنیت اطلاعات بانک‌ها تدوین شود.