شناخت، امکان‌سنجی، انتخاب و استقرار محصول PAM

شرح مسئله و اهداف شرکت برای تعریف پروژه

در سازمان‌های بزرگ به‌ویژه در صنعت پرداخت، بانکداری و خدمات مالی، دسترسی مدیران سیستم و کارشناسان فنی به زیرساخت‌های حیاتی مانند سرورها، پایگاه‌های داده و تجهیزات شبکه، یکی از نقاط حساس امنیتی محسوب می‌شود. دسترسی‌های سطح بالا (Privileged Access) اگر بدون کنترل، نظارت و ثبت فعالیت‌ها انجام شود، می‌تواند منجر به نشت داده، تخریب سیستم، تغییر غیرمجاز در تنظیمات امنیتی یا حتی حملات داخلی (Insider Threat) شود.

به‌منظور مدیریت این ریسک‌ها، فناوری PAM (Privileged Access Management) به‌عنوان یکی از ستون‌های کلیدی امنیت سازمانی (Cybersecurity Framework) شناخته می‌شود. راهکارهای PAM امکان کنترل، مانیتورینگ، ضبط و مدیریت چرخه عمر دسترسی‌های خاص را فراهم کرده و از بروز دسترسی غیرمجاز یا سوءاستفاده از حساب‌های ادمین جلوگیری می‌کنند.

در صنعت پرداخت ایران، با افزایش تعداد مراکز داده، سرویس‌های ابری، و زیرساخت‌های حیاتی بانکی، ضرورت پیاده‌سازی محصول PAM بومی یا بین‌المللی سازگار با الزامات بانک مرکزی و مرکز ماهر، بیش از پیش احساس می‌شود. هدف از این پروژه، شناخت جامع، امکان‌سنجی، انتخاب بهینه و استقرار محصول PAM در زیرساخت‌های حساس صنعت پرداخت است.

اهداف کلان پروژه عبارت‌اند از:

  • تحلیل وضعیت موجود دسترسی‌های سطح بالا در زیرساخت‌های بانکی و پرداخت.
  • شناسایی الزامات امنیتی و فنی برای انتخاب محصول PAM متناسب با نیازهای داخلی.
  • مقایسه و ارزیابی محصولات بین‌المللی و بومی از منظر کارایی، امنیت و پشتیبانی.
  • طراحی معماری استقرار PAM در سطح سازمانی (Enterprise Deployment).
  • اجرای پایلوت و استقرار نهایی در مراکز داده و محیط‌های عملیاتی حساس.

چالش‌های فنی و تخصصی پروژه

  1. مدیریت جامع حساب‌های ممتاز (Privileged Accounts): شناسایی و فهرست‌برداری حساب‌های مدیریتی در سیستم‌عامل‌ها، پایگاه‌های داده، اپلیکیشن‌ها و تجهیزات شبکه با حداقل اختلال در سرویس‌ها.
  2. کنترل چرخه عمر دسترسی: تعریف فرآیند ایجاد، واگذاری، تمدید و لغو مجوزهای سطح بالا با ثبت کامل رخدادها (Session Recording & Audit).
  3. انتخاب محصول مناسب: بررسی تطبیقی بین راهکارهای تجاری (CyberArk, BeyondTrust, Delinea, One Identity) و راهکارهای بومی از منظر امکانات، هزینه، تطبیق با مقررات و پشتیبانی فنی.
  4. طراحی معماری فنی استقرار: تعیین توپولوژی مناسب شامل Vault، Proxy، Session Manager و ماژول‌های Audit، با درنظر گرفتن افزونگی و امنیت داده.
  5. یکپارچگی با سامانه‌های هویت و دسترسی (IAM/AD): ایجاد تعامل بین PAM و سیستم‌های موجود جهت مدیریت مرکزی کاربران و خودکارسازی فرآیند ورود.
  6. انطباق با الزامات امنیتی و حریم داده: اطمینان از تطابق با استانداردهای ISO 27001، NIST 800-53، PCI-DSS و سیاست‌های بانک مرکزی در ذخیره و رمزنگاری داده‌های حساس.
  7. آموزش و پذیرش در سازمان: طراحی فرآیند آموزشی برای تیم‌های IT و امنیت جهت کار با PAM و اطمینان از پذیرش فرهنگی در میان کاربران فنی.
  8. پایش و ارزیابی عملکرد پس از استقرار: تعریف شاخص‌های عملکرد (KPIs) نظیر کاهش زمان شناسایی دسترسی غیرمجاز، افزایش سطح کنترل و کاهش رخدادهای امنیتی.

فازهای عملیاتی پیشنهادی:

  • فاز ۱: شناخت وضعیت فعلی دسترسی‌های ممتاز و آسیب‌پذیری‌ها.
  • فاز ۲: امکان‌سنجی فنی، بررسی محصولات و انتخاب راهکار مناسب.
  • فاز ۳: طراحی معماری استقرار، توپولوژی و فرایندهای کنترل دسترسی.
  • فاز ۴: اجرای پایلوت در محیط کنترل‌شده و ارزیابی عملکرد.
  • فاز ۵: استقرار نهایی در محیط عملیاتی و اتصال به سیستم‌های هویت سازمانی.

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

  1. اولین چارچوب بومی پیاده‌سازی PAM در صنعت پرداخت ایران: با درنظر گرفتن الزامات امنیتی شبکه شاپرک، PSPها و مراکز داده بانکی.
  2. یکپارچگی کامل با سامانه‌های هویت و دسترسی (IAM/AD): خودکارسازی فرآیند ورود و کنترل دسترسی بدون مداخله دستی.
  3. مدیریت متمرکز جلسات (Session Management): ضبط کامل فعالیت کاربران ممتاز و تولید هشدار بلادرنگ در صورت رفتار غیرعادی.
  4. پشتیبانی از مدل ترکیبی (Hybrid Deployment): امکان استقرار در محیط داخلی سازمان و اتصال به سرویس‌های ابری خصوصی یا ملی.
  5. داشبورد هوش امنیتی (Security Analytics): تحلیل الگوهای دسترسی و شناسایی تهدیدهای داخلی با استفاده از الگوریتم‌های یادگیری ماشین.
  6. بومی‌سازی استانداردهای بین‌المللی: انطباق کامل با چارچوب‌های امنیتی جهانی (NIST، ISO، PCI-DSS) در قالب معماری قابل تطبیق با ایران.

مقیاس پروژه

مقیاس فنی: پروژه ابتدا در سطح یک مرکز داده بانکی یا PSP به‌صورت پایلوت پیاده‌سازی می‌شود و در صورت موفقیت، به سطح ملی قابل گسترش است.
 مقیاس اقتصادی: با کاهش ریسک حملات داخلی و بهبود کنترل دسترسی، هزینه‌های ناشی از رخدادهای امنیتی و اختلالات عملیاتی به‌طور چشمگیری کاهش خواهد یافت.

کاربران نهایی:

  • شرکت‌های PSP و بانک‌ها با زیرساخت‌های بزرگ IT
  • مراکز داده، تیم‌های SOC و امنیت سایبری
  • نهادهای نظارتی حوزه پرداخت و فناوری مالی

تأثیر کلان:

  • افزایش تاب‌آوری امنیتی زیرساخت‌های بانکی و پرداخت کشور
  • کاهش خطر نفوذ داخلی و سوءاستفاده از حساب‌های ممتاز
  • ارتقای بلوغ امنیتی سازمان‌ها بر اساس استانداردهای جهانی
  • فراهم‌سازی الگوی ملی برای پیاده‌سازی PAM در سایر صنایع حیاتی

جمع‌بندی فازبندی پیشنهادی پروژه

فاز

عنوان فاز

خروجی کلیدی

نوع فعالیت

۱

شناخت وضعیت فعلی دسترسی‌های ممتاز

گزارش آسیب‌پذیری‌ها و نقشه دسترسی‌ها

Assessment

۲

امکان‌سنجی و انتخاب محصول مناسب

گزارش مقایسه‌ای فنی و اقتصادی PAMها

Research

۳

طراحی معماری فنی و فرآیندهای کنترل دسترسی

مستند معماری و دستورالعمل اجرایی

Design

۴

اجرای پایلوت و ارزیابی عملکرد

گزارش تست، شاخص‌های کارایی و امنیت

Implementation

۵

استقرار نهایی و آموزش تیم‌ها

راه‌اندازی عملیاتی و مستندسازی نهایی

Deployment



ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

  • تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه
  • ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.
  • نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 
  • مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی
  • تاییدیه ها و استانداردها: 
  • هزینه آزمون ها و تست ها برای تحقیق و توسعه 
  • استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 
  • هزینه ثبت پتنت بین المللی  
  • همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.

Comments are disabled.