‫مقدمة‬

‫السالم عليكم ورحمة هللا وبركاته‬

‫معكم م‪/‬عبدالعليم السيد محمد حسين سعيد بان نكون مع بعض اليوم‬

‫من نحن وماذا نريد‬

‫أسماء الموجودين وتوقعاتهم عن الكورس‬

‫ماهو ‪cissp‬‬
‫‪/https://ar.wikipedia.org/wiki‬شهادة_محترف_أمن_نظم_المعلومات_(‪)CISSP‬‬

‫نتوقف عند نقاط الدومين موضوع الشهادة‬

‫الهدف منه‬
‫من سيكيورتي انالسيسز الى ‪ ciso‬مهم جدا ياخد الشهادة دي‬

‫االمتحان‬
‫يستخدم محترفو األمن السيبراني شهادة ‪ CISSP‬للتحقق من مهاراتهم ومعرفتهم في مجال أمن المعلومات‪ .‬يقوم اختبار محترف‬
‫أمن نظم المعلومات المعتمد (‪ )CISSP‬بتقييم قدرة المرشح في ‪ 8‬مجاالت? مختلفة ‪ ،‬بما في ذلك إدارة المخاطر والتشفير واألمن‬
‫المادي وهجمات الهندسة االجتماعية مثل التصيد االحتيالي والتصيد االحتيالي‪ .‬يمكن أن يختلف مستوى صعوبة االختبار‬
‫ً‬
‫اعتمادا على المجال الذي تختبره‪.‬‬

‫ُتعد شهادة ‪ CISSP‬بمثابة اعتماد قيم في صناعة أمن المعلومات? ‪ ،‬مع االعتراف بالتزامك بالتطوير المهني المستمر ومعرفتك‬
‫بكيفية تصميم أنظمة األمان وهندستها وتنفيذها وإدارتها‪.‬‬

‫تعد شهادة ‪ CISSP‬واحدة من أكثر الشهادات التي تحظى باحترام كبير ألي متخصص في أمن تكنولوجيا المعلومات‪ .‬كما أنها‬
‫أصبحت أكثر شيو ًعا على مر السنين ‪ ،‬مع متوسط زيادة في الطلب‪ .‬في منشور المدونة هذا ‪ ،‬سنناقش ما يمثله ‪، CISSP‬‬
‫ولماذا هو ضروري ‪ ،‬ونظرة عامة على اختبار ‪.CISSP‬‬
‫للحصول على الشهادة ‪ isc2‬الزم تكون شغال ‪ 5‬سنين في مجال امن المعلوماات من ‪ 2‬الى ‪ 8‬دومينز مش الزم التايتل ومن‬
‫تلغي سنة لو معاك شهادة بكالوريوس او أي شهادة معتمدة‬

‫لو لم تصل السنين بعد االمتحان هتاخد ‪ Associate ISC2‬وبعد ما تحقق المطلوب خالص‬

‫االمتحان كان ‪250‬سؤال في ‪ 6‬ساعات‬

‫االن لالنجليزي فقط ‪ 150-100‬سوال في ‪ 3‬ساعات?‬

‫‪ Endorsement‬يعني انه بعد االمتحان الزم يكون في شخص ‪ certified from isc2‬ومحافظ على العضوية مهمته انه‬
‫يراجع المهام تبعك ويوقع عليها ويرجعها ل ‪isc2‬‬

‫لو مفيش ‪ isc2‬هل اللي هتعمل القصة دي‬

‫احتياجنا والمستمعين‬
‫الماتلاير شون هاريس ‪/‬فريناندو –الماتلاير الرسمي من ‪cissp‬‬

‫مسارات ‪cissp‬‬
‫شريحة ‪22‬‬
‫‪CIA‬‬
‫ملحوظة مهمة تساعدك انك تاخد ‪ notes‬بالمصطلحات الجديدة‬
‫بعد ما نخلص اليوم حاول تشوف انك عارفهم وفاههم وعالقة المصطلحات?‬
‫ببعض‬
‫‪------------------------------‬هنشوف الكتاب‬
‫حساسية‬
‫تشير الحساسية إلى جودة المعلومات ‪ ،‬والتي قد تسبب ضررًا أو ضررًا إذا‬
‫تم الكشف عنها‪ .‬يساعد الحفاظ على سرية المعلومات الحساسة في منع‬
‫الضرر أو الضرر‪.‬‬
‫حرية التصرف‬
‫التقدير التقديري هو عمل قرار حيث يمكن للمشغل التأثير أو التحكم في‬
‫الكشف من أجل تقليل الضرر أو الضرر‪.‬‬
‫الحرجة‬
 ‫األهمية الحرجة المستوى الذي تكون فيه المعلومات مهمة بالنسبة للمهمة هو‬
‫مقياس األهمية الحرجية‪ .‬كلما ارتفع مستوى األهمية ‪ ،‬زادت احتمالية الحاجة‬
‫إلى الحفاظ على سرية المعلومات‪ .‬تعد المستويات العالية من األهمية‬
‫ضرورية لتشغيل أو وظيفة المنظمة‪.‬‬
‫إخفاء‬
‫اإلخفاء هو فعل اإلخفاء أو منع اإلفشاء‪ .‬غالبًا ما يُنظر إلى اإلخفاء على أنه‬
‫وسيلة للتغطية أو التشويش أو التشتيت‪ .‬أحد المفاهيم ذات الصلة باإلخفاء‪ U‬هو‬
‫األمن من خالل الغموض ‪ ،‬وهو مفهوم محاولة الحصول على الحماية من‬
‫خالل االختباء أو الصمت أو السرية‪ .‬في حين أن األمن من خالل الغموض‬
‫ال يعتبر عادةً تدبيرًا أمنيًا صالحًا ‪ ،‬فقد يظل له قيمة في بعض الحاالت‪.‬‬
‫السرية‬
‫‪Translation is too long to be saved‬‬

‫السرية السرية هي عملية االحتفاظ بسرية شيء ما أو منع إفشاء المعلومات‪.‬‬

‫خصوصية‬
‫‪Translation is too long to be saved‬‬

‫الخصوصية الخصوصية تشير إلى الحفاظ على سرية المعلومات أي يمكن التعرف عليه شخصيًا أو قد‬
‫يتسبب في ضرر أو إحراج أو وصمة عار لشخص ما إذا تم الكشف عنه‬

‫العزلة‬
‫‪.‬العزلة العزلة هي فعل إبقاء شيء ما منفصالً عن اآلخرين‪ .‬يمكن استخدام‬
‫العزل لمنع اختالط المعلومات أو الكشف عن المعلومات‪ .‬تحتاج كل منظمة‬
‫إلى تقييم الفروق الدقيقة في السرية التي ترغب في فرضها‪ .‬قد ال تدعم‬
‫األدوات والتكنولوجيا التي تطبق أحد أشكال السرية أشكااًل أخرى أو تسمح‬
‫بها‪.‬‬
 ‫عزل‬
‫العزل يتضمن تخزين شيء ما في مكان بعيد عن الطريق‪ .‬يمكن أن يوفر‬
‫هذا الموقع أيضًا ضوابط وصول صارمة‪ .‬يمكن أن يساعد العزلة في تطبيق‬
‫تدابير حماية السرية‪.‬‬
‫شريحة ‪23‬‬
‫‪Save translationTranslation is too long to be saved‬‬

‫المبدأ الثاني لـ ‪ CIA Triad‬هو النزاهة‪ .‬النزاهة هي مفهوم حماية موثوقية البيانات وصحتها‪ .‬حماية‬
‫النزاهة تمنع التعديالت غير المصرح بها للبيانات‪ .‬يضمن بقاء البيانات صحيحة ‪ ،‬دون تغيير ‪،‬‬
‫ومحفوظة‪ .‬توفر حماية السالمة المطبقة بشكل صحيح وسيلة للتغييرات المصرح بها مع الحماية من‬
‫األنشطة غير المصرح بها المقصودة والخبيثة (مثل الفيروسات والتطفل) وكذلك األخطاء التي يرتكبها‬
‫المستخدمون المصرح لهم (مثل األخطاء أو اإلغفاالت)‪.‬‬

‫للحفاظ على السالمة ‪ ،‬يجب أن تحتفظ الكائنات‪ U‬بصحتها وأن يتم تعديلها عن‬
‫قصد من قبل األشخاص المصرح لهم فقط‪ .‬إذا كانت آلية األمان توفر التكامل‬
‫‪ ،‬فإنها توفر مستوى عاليًا من التأكيد على أن البيانات‪ U‬والكائنات والموارد لم‬
‫تتغير عن حالتها المحمية األصلية‪ .‬يجب أال تحدث التعديالت أثناء تخزين‬
‫الكائن أو أثناء النقل أو قيد المعالجة‪ .‬وبالتالي ‪ ،‬فإن الحفاظ على التكامل يعني‬
‫أن الكائن نفسه لم يتم تغييره وأن نظام التشغيل وكيانات البرمجة التي تدير‬
‫الكائن وتتعامل معه لن يتم اختراقها‪.‬‬
‫يمكن فحص النزاهة من ثالث وجهات نظر‪:‬‬
‫منع األشخاص غير المصرح لهم من إجراء تعديالت‪ .‬منع األشخاص‬
‫المصرح لهم من إجراء تعديالت غير مصرح بها ‪ ،‬مثل األخطاء‬
‫للحفاظ على سالمة النظام ‪ ،‬يجب أن تكون الضوابط في مكانها لتقييد‬
‫الوصول إلى البيانات واألشياء والموارد‪ .‬باإلضافة إلى ذلك ‪ ،‬يجب استخدام‬
‫تسجيل النشاط ‪ logs‬للتأكد من أن المستخدمين المصرح لهم فقط قادرون‬
‫على الوصول إلى الموارد الخاصة بهم‪ .‬يتطلب الحفاظ على سالمة الكائن‬
 ‫والتحقق من صحته عبر التخزين والنقل والمعالجة العديد من الضوابط‬
‫والرقابة‪ .‬تركز‬
‫العديد من الهجمات‪ U‬على انتهاك النزاهة‪ .‬وتشمل هذه الفيروسات ‪ ،‬والقنابل‬
‫المنطقية ‪ ،‬والوصول غير المصرح به ‪ ،‬واألخطاء في البرمجة والتطبيقات ‪،‬‬
‫والتعديل الضار ‪ ،‬واالستبدال المتعمد ‪ ،‬واألبواب الخلفية للنظام‪ .‬كما هو‬
‫الحال مع السرية ‪ ،‬ال تقتصر انتهاكات السالمة على الهجمات‪ U‬المتعمدة‪ .‬يفسر‬
‫الخطأ البشري أو اإلشراف أو عدم الكفاءة العديد من حاالت التغيير غير‬
‫المصرح به للمعلومات الحساسة‪ .‬األحداث التي تؤدي إلى انتهاكات السالمة‬
‫تشمل تعديل أو حذف الملفات ؛ إدخال بيانات غير صالحة ؛ تعديل التكوينات‬
‫‪ ،‬بما في ذلك األخطاء في األوامر والرموز والنصوص ؛ إدخال فيروس‬
‫وتنفيذ تعليمات برمجية ضارة مثل حصان طروادة‪ .‬يمكن أن تحدث انتهاكات‬
‫النزاهة بسبب تصرفات أي مستخدم ‪ ،‬بما في ذلك المسؤولين‪ .‬يمكن أن‬
‫تحدث أيضًا بسبب إشراف في سياسة أمنية أو عنصر تحكم أمني خاطئ‪.‬‬
‫يمكن أن تضمن العديد من اإلجراءات المضادة النزاهة ضد التهديدات‬
‫المحتملة‪ .‬وهي تشمل التحكم الصارم في الوصول ‪ ،‬وإجراءات المصادقة‬
‫الصارمة ‪ ،‬وأنظمة الكشف عن التسلل ‪ ،‬وتشفير الكائنات ‪ /‬البيانات‪، U‬‬
‫وعمليات التحقق اإلجمالية للتجزئة (انظر الفصل‪" ، 6 U‬التشفير وخوارزميات‬
‫المفاتيح المتماثلة") ‪ ،‬وقيود الواجهة ‪ ،‬وفحوصات المدخالت ‪ /‬الوظائف ‪،‬‬
‫وتدريب الموظفين المكثف‪ .‬النزاهة تعتمد على السرية‪ .‬تشمل المفاهيم‬
‫والشروط وجوانب النزاهة األخرى ما يلي‬
‫شريحة ‪24‬‬

‫الدقة‪ :‬الصواب والدقة‬

‫الصدق‪ :‬أن تكون انعكاسًا حقيقيًا للواقع‬
‫األصالة‪ :‬أن تكون أصليًا أو أصليًا‬
‫الصالحية‪ :‬أن تكون سلي ًما من الناحية الواقعية أو المنطقية‬
 ‫عدم اإلنكار‪ :‬عدم القدرة على إنكار القيام بعمل أو نشاط أو القدرة على‬
‫التحقق من أصل اتصال أو حدث‬
‫شريحة ‪25‬‬
‫المساءلة‪ :‬أن تكون مسؤوالً أو ملز ًما باإلجراءات‪ U‬والنتائج‬
‫المسؤولية‪ :‬أن تكون مسؤوالً أو تتحكم في شيء أو شخص ما‬
‫االكتمال‪ :‬وجود جميع المكونات أو األجزاء المطلوبة والضرورية‬
‫الشمولية‪ :‬أن تكون كاملة في نطاقها‪ .‬التضمين الكامل لجميع العناصر‬
‫المطلوبة‬

‫مثال ‪ integrity‬تحميل برنامج بيكون معاه هاش فاليو‬

‫]دورك مش بس تعرف معاني الكالم وبس المهم عالقة المصطلحات? مع‬
‫بعض وازاي توظفها في الشغل تبعك وهتغير طريقة تفكيرك ‪mindset‬‬
‫بمعني اغلب الناس بتركز على احد النقاط او كلهم وتعتقد ان دورهم يحافظ‬
‫على ‪ intergrity or confidentiality or Avilabity‬ودا اللي بيعمله ‪It‬‬
‫لكن انت دورك هو الموازنة بينهم‬
‫لو السيستم وقع انت بتحاول ترجعه لكن كسيكورتي بتحاول ترجعه بطريقة‬
‫تحافظ على الوضع القديم له ‪ integrity‬مع الكونفجراشن وفي نفس الوقت‬
‫وقت االسترجاع يكون امان من عدم دخول ناس ملهاش صالحية‬
‫نقطة تانية في التوازن لو حبيت اضيف طبقات كتير للحماية ودي حاجة‬
‫جميلة هتقل ‪ avilabilty‬ودا هيخلي ‪ end user‬مضايق وهيحاول يشوف‬
‫‪workaround‬‬
‫فكره ميكروسوفت في ‪no more passwords‬‬
‫مفهوم ال‪avialbilty in timely manner‬‬
 ‫يعني في وقت محدد‬
‫نقطة تانية لو حبيت توصل ‪confidentialty and integrity 100%‬‬
‫هتكون ‪avablity =0‬‬
‫مثال منع الفالش ميموري‬
‫شريحة ‪26‬‬
‫‪Translation is too long to be saved‬‬

‫قابلية االستخدام‪ :‬حالة سهولة االستخدام أو التعلم أو القدرة على فهم الموضوع والتحكم فيه إمكانية‬
‫الوصول‪ :‬ضمان إمكانية تفاعل أكبر مجموعة من الموضوعات مع أحد الموارد بغض النظر عن‬
‫إمكانياتها أو قيودها حسن التوقيت‪ :‬أن تكون سري ًعا ‪ ،‬في الوقت المحدد ‪ ،‬ضمن إطار زمني معقول? ‪،‬‬
‫أو تقدم استجابة بزمن انتقال منخفض‬

‫‪CIA Priority‬‬
‫كل منظمة لديها متطلبات أمنية فريدة‪ .‬في اختبار ‪ ، CISSP‬تتم مناقشة معظم‬
‫مفاهيم األمان بعبارات عامة ‪ ،‬ولكن في العالم الحقيقي ‪ ،‬ال تنجز المفاهيم‬
‫العامة وأفضل الممارسات المهمة‪ .‬يجب أن يعمل فريق اإلدارة وفريق األمان‬
‫معًا لتحديد أولويات احتياجات أمان المؤسسة‪ .‬ويشمل ذلك وضع خطة‬
‫الميزانية واإلنفاق ‪ ،‬وتخصيص الخبرات‪ U‬والساعات ‪ ،‬وتركيز جهود‬
‫تكنولوجيا المعلومات (‪ )IT‬وأمن فريق العمل‪ .‬يتمثل أحد الجوانب الرئيسية‬
‫لهذا الجهد في تحديد أولويات المتطلبات األمنية للمؤسسة‪ .‬إن معرفة أي‬
‫عقيدة أو أصل أكثر أهمية من اآلخر يوجه إنشاء موقف أمني وفي النهاية‬
‫نشر حل أمني‪ .‬في كثير من األحيان ‪ ،‬الشروع في تحديد األولويات هو‬
‫تحدي‪ .‬يتمثل أحد الحلول الممكنة لهذا التحدي في البدء بإعطاء األولوية‬
‫لمبادئ األمان األساسية الثالثة المتمثلة في السرية والنزاهة والتوافر‪ .‬يعد‬
‫تحديد أي من هذه العناصر األكثر أهمية بالنسبة للمؤسسة أمرًا ضروريًا في‬
‫كاف‪ .‬يؤدي هذا إلى إنشاء نمط يمكن تكراره من المفهوم‬ ‫ٍ‬ ‫صياغة حل أمني‬
 ‫من خالل التصميم والهندسة المعمارية والنشر وأخيراً الصيانة‪ .‬هل تعرف‬
‫األولوية التي تضعها مؤسستك على كل مكون من مكونات ‪CIA Triad‬؟ إذا‬
‫لم يكن كذلك ‪ ،‬اكتشف‪ .‬التعميم المثير لالهتمام لمفهوم تحديد أولويات‪CIA‬‬
‫هو أنه في كثير من الحاالت تميل المنظمات العسكرية والحكومية إلى إعطاء‬
‫األولوية للسرية أعلى من النزاهة والتوافر ‪ ،‬في حين تميل الشركات الخاصة‬
‫إلى إعطاء األولوية للتوافر فوق السرية والنزاهة‪ .‬على الرغم من أن تحديد‬
‫األولويات هذا يركز الجهود على جانب واحد من جوانب األمان على جانب‬
‫آخر ‪ ،‬إال أنه ال يعني أن العناصر ذات األولوية الثانية أو الثالثة يتم تجاهلها‬
‫أو معالجتها بشكل غير صحيح‪ .‬يتم اكتشاف منظور آخر حول هذا األمر عند‬
‫مقارنة أنظمة تكنولوجيا المعلومات القياسية بأنظمة التكنولوجيا التشغيلية (‬
‫‪ )OT‬مثل وحدات التحكم المنطقية القابلة للبرمجة (‪ ، )PLCs‬والتحكم‬
‫اإلشرافي واكتساب البيانات (‪ ، )SCADA‬وأجهزة وأنظمة ‪( MES‬أنظمة تنفيذ‬
‫التصنيع) المستخدمة في مصنع التصنيع طوابق‪ .‬تميل أنظمة تكنولوجيا‬
‫المعلومات ‪ ،‬حتى في الشركات الخاصة ‪ ،‬إلى اتباع ‪ .CIA Triad‬ومع ذلك ‪،‬‬
‫تميل أنظمة ‪ OT‬إلى اتباع ‪ ، AIC Triad‬حيث يتم إعطاء األولوية للتوافر‬
‫بشكل عام ويتم تقييم النزاهة على السرية‪ .‬مرة أخرى ‪ ،‬هذا مجرد تعميم‬
‫ولكنه قد يخدمك جيدًا في فك تشفير األسئلة في اختبار ‪ .CISSP‬تقرر كل‬
‫منظمة على حدة أولوياتها األمنية‬
‫شريحة ‪27‬‬
‫باإلضافة إلى ‪ ، CIA Triad‬تحتاج إلى التفكير في عدد كبير من المفاهيم‬
‫والمبادئ األخرى المتعلقة باألمان عند تصميم سياسة أمنية ونشر حل أمني‪.‬‬
‫ربما سمعت عن مفهوم خدمات ‪ .AAA‬الثالثة‬
‫يشير هذا االختصار إلى المصادقة والترخيص والمحاسبة (أو أحيانًا التدقيق)‪.‬‬
‫يشير في الواقع إلى خمسة عناصر‪ :‬التعريف ‪ ،‬والمصادقة ‪ ،‬والترخيص ‪،‬‬
‫والتدقيق ‪ ،‬والمحاسبة‪ .‬تمثل هذه العناصر الخمسة عمليات األمان التالية‪:‬‬
‫تحديد الهوية‪ :‬االدعاء بأن تكون هوية عند محاولة الوصول إلى منطقة آمنة‬
‫أو مصادقة النظام‪ :‬إثبات أنك تفوض الهوية‪ :‬تحديد األذونات (أي السماح ‪/‬‬
‫المنح و ‪ /‬أو الرفض) الوصول إلى مورد وكائن لهوية محددة التدقيق‪ :‬تسجيل‬
‫سجل لألحداث واألنشطة المتعلقة بالنظام والموضوعات المحاسبة (المعروف‬
‫أيضًا باسم المساءلة)‪ :‬مراجعة ملفات السجل للتحقق من االمتثال واالنتهاكات‬
‫من أجل تحميل األشخاص المسؤولية عن أفعالهم‬
‫شريحة ‪28‬‬
‫‪Translation is too long to be saved‬‬

‫آليات الحماية جانب آخر من جوانب فهم وتطبيق مفاهيم السرية والنزاهة والتوافر هو مفهوم آليات‬
‫الحماية أو ضوابط الحماية‪ .‬آليات الحماية هي خصائص مشتركة لضوابط األمن‪ .‬ال يجب أن تتوفر في‬
‫جميع ضوابط األمان ‪ ،‬ولكن العديد من الضوابط توفر حمايتها للسرية والنزاهة والتوافر من خالل‬
‫استخدام هذه اآلليات‪ .‬تتضمن بعض األمثلة الشائعة لهذه اآلليات استخدام طبقات أو مستويات وصول‬
‫متعددة ‪ ،‬واستخدام التجريد ‪ ،‬وإخفاء البيانات ‪ ،‬واستخدام التشفير‪.‬‬

‫‪ ، Layering Layering‬المعروف أيضًا باسم الدفاع في العمق ‪ ،‬هو ببساطة‬

‫استخدام عناصر تحكم متعددة في سلسلة‪ .‬ال يوجد عنصر تحكم واحد يمكنه‬
‫الحماية من جميع التهديدات المحتملة‪ .‬يسمح استخدام حل متعدد الطبقات‬
‫بالعديد من الضوابط المختلفة للحماية من أي تهديدات تحدث‪ .‬عندما يتم‬
‫تصميم حلول األمان في طبقات ‪ ،‬يجب أال يؤدي فشل التحكم إلى تعرض‬
‫األنظمة أو البيانات‪ .‬من المهم استخدام الطبقات في سلسلة بدالً من التوازي‪.‬‬
‫يعني أداء القيود األمنية في سلسلة أداء واحدة تلو األخرى بطريقة خطية‪ .‬فقط‬
‫من خالل تكوين متسلسل سيتم فحص كل هجوم أو تقييمه أو التخفيف من‬
‫حدته بواسطة كل عنصر تحكم أمني‪ .‬في تكوين متسلسل ‪ ،‬ال يؤدي فشل‬
‫عنصر تحكم أمني واحد إلى جعل الحل بأكمله غير فعال‪ .‬إذا تم تنفيذ‬
‫الضوابط األمنية بالتوازي ‪ ،‬فقد يمر التهديد عبر نقطة تفتيش واحدة ال تعالج‬
‫نشاطه الضار المحدد‪ .‬التكوينات التسلسلية ضيقة جدًا ولكنها عميقة جدًا ‪ ،‬في‬
‫حين أن التكوينات المتوازية واسعة جدًا ولكنها ضحلة جدًا‪ .‬األنظمة الموازية‬
‫مفيدة في تطبيقات الحوسبة الموزعة ‪ ،‬لكن التوازي ليس مفهو ًما مفيدًا في‬
‫كثير من األحيان في مجال األمن‪.‬‬
 ‫فكر في المداخل المادية للمباني‪ .‬يتم استخدام تكوين مواز لمراكز التسوق‪.‬‬
‫هناك العديد من األبواب في العديد من المواقع حول محيط المركز التجاري‬
‫بالكامل‪ .‬من المرجح أن يتم استخدام تكوين متسلسل في أحد البنوك أو‬
‫المطارات‪ .‬يتم توفير مدخل واحد ‪ ،‬وهذا المدخل هو في الواقع عدة بوابات أو‬
‫نقاط تفتيش يجب تمريرها بترتيب تسلسلي للدخول إلى المناطق النشطة من‬
‫المبنى‪ .‬يتضمن التصفيف أيضًا مفهوم أن الشبكات تضم العديد من الكيانات‪U‬‬
‫المنفصلة ‪ ،‬ولكل منها عناصر تحكم أمنية فريدة ونقاط ضعف‪ .‬في حل أمني‬
‫فعال ‪ ،‬هناك تآزر بين جميع األنظمة المتصلة بالشبكة مما يؤدي إلى إنشاء‬
‫واجهة أمنية واحدة‪ .‬يؤدي استخدام أنظمة أمان منفصلة إلى إنشاء حل أمني‬
‫متعدد الطبقات‪.‬‬
‫ِ‪Abstraction‬‬
‫يستخدم التجريد من أجل الكفاءة‪ .‬يتم وضع العناصر المماثلة في مجموعات‬
‫أو فئات أو أدوار يتم تعيين ضوابط أمنية أو قيود أو أذونات عليها كمجموعة‪.‬‬
‫وبالتالي ‪ ،‬يتم استخدام مفهوم التجريد عند تصنيف األشياء أو تعيين أدوار‬
‫للموضوعات‪ .‬يتضمن مفهوم التجريد أيضًا تعريف أنواع الكائنات‬
‫والموضوع أو الكائنات نفسها (أي ‪ ،‬بنية البيانات‪ U‬المستخدمة لتحديد قالب لفئة‬
‫من الكيانات‪ .)U‬يُستخدم التجريد لتحديد أنواع البيانات التي يمكن أن يحتوي‬
‫عليها الكائن ‪ ،‬وأنواع الوظائف التي يمكن إجراؤها على هذا الكائن أو‬
‫بواسطته ‪ ،‬واإلمكانيات التي يمتلكها هذا الكائن‪ .‬يبسط التجريد األمان من‬
‫خالل تمكينك من تعيين عناصر تحكم األمان لمجموعة من الكائنات التي تم‬
‫تجميعها حسب النوع أو الوظيفة‪.‬‬

‫‪Data Hiding‬‬
‫إخفاء البيانات‪ U‬إخفاء البيانات‪ U‬هو بالضبط ما يبدو عليه األمر‪ :‬منع اكتشاف‬
‫البيانات أو الوصول إليها من قبل شخص ما عن طريق وضع البيانات‪ U‬في‬
‫حجرة تخزين منطقية ال يمكن الوصول إليها أو رؤيتها من قبل الموضوع‪.‬‬
 ‫تتضمن أشكال إخفاء البيانات‪ U‬الحفاظ على قاعدة البيانات من الوصول إليها‬
‫من قبل الزوار غير المصرح لهم وتقييد موضوع على مستوى تصنيف أقل‬
‫من الوصول إلى البيانات‪ U‬على مستوى تصنيف أعلى‪ .‬كما أن منع تطبيق من‬
‫الوصول إلى األجهزة مباشرة هو أيضًا شكل من أشكال إخفاء البيانات‪ .U‬غالبًا‬
‫ما يكون إخفاء البيانات‪ U‬عنصرًا أساسيًا في األمان‬
‫ضوابط وكذلك في البرمجة‪ .‬قد يبدو مصطلح األمن من خالل الغموض وثيق‬
‫الصلة هنا‪ .‬ومع ذلك ‪ ،‬هذا المفهوم مختلف‪ .‬إخفاء‪ U‬البيانات هو عملية وضع‬
‫البيانات عن قصد بحيث ال يمكن عرضها أو الوصول إليها من قبل شخص‬
‫غير مصرح به ‪ ،‬في حين أن األمن من خالل الغموض هو فكرة عدم إبالغ‬
‫موضوع ما عن كائن موجود وبالتالي على أمل أال يكتشف الموضوع‬
‫الكائن ‪ .‬األمن من خالل الغموض ال يطبق في الواقع أي شكل من أشكال‬
‫الحماية‪ .‬إنها بدالً من ذلك محاولة لألمل أال يتم اكتشاف شيء مهم من خالل‬
‫الحفاظ على سرية المعرفة به‪ .‬مثال على األمن رغم الغموض هو عندما‬
‫يدرك المبرمج وجود خلل في كود برمجياته ‪ ،‬لكنهم يطلقون المنتج على أي‬
‫حال على أمل أال يكتشف أحد المشكلة ويستغلها‪.‬‬

‫‪encryption‬‬
‫التشفير التشفير هو فن وعلم إخفاء‪ U‬معنى أو نية اتصال من المستلمين غير‬
‫المقصودين‪ .‬يمكن أن يتخذ التشفير أشكااًل عديدة ويمكن تطبيقه على كل نوع‬
‫من أنواع االتصاالت اإللكترونية ‪ ،‬بما في ذلك الملفات‪ U‬النصية والصوتية‬
‫وملفات‪ U‬الفيديو باإلضافة إلى التطبيقات نفسها‪ .‬يعد التشفير عنصرًا مه ًما في‬
‫ضوابط األمان ‪ ،‬خاصة فيما يتعلق بنقل البيانات‪ U‬بين األنظمة‪ .‬هناك نقاط قوة‬
‫مختلفة للتشفير ‪ ،‬كل منها مصمم و ‪ /‬أو مناسب الستخدام أو غرض معين‪.‬‬
‫يمكن اعتبار التشفير الضعيف أو الضعيف على أنه ليس أكثر من التعتيم أو‬
‫حتى األمان من خالل الغموض‪ .‬تمت مناقشة التشفير باستفاضة في الفصل ‪6‬‬
‫‪" ،‬التشفير وخوارزميات المفاتيح المتماثلة" ‪ ،‬والفصل ‪" ، 7‬تطبيقات البنية‬
‫األساسية للمفاتيح العمومية والتشفير"‪.‬‬
 ‫شريحة ‪29‬‬
‫تقييم وتطبيق مبادئ حوكمة األمن‬
‫تحديد وظيفة األمن‬
‫خطط إدارة األمن‬
‫العمليات التنظيمية‬
‫التحكم في التغيير ‪ /‬اإلدارة‬
‫تصنيف البيانات‬
‫األدوار والمسؤوليات التنظيمية‬
‫أطر مراقبة األمن‬
‫العناية الواجبة واالجتهاد الواجب‪U‬‬
‫اوال‬
‫حوكمة األمن هي مجموعة من الممارسات المتعلقة بدعم وتعريف وتوجيه‬
‫الجهود األمنية للمؤسسة‪ .‬غالبًا ما ترتبط مبادئ حوكمة األمن ارتباطًا وثيقًا‬
‫بحوكمة الشركات وتكنولوجيا المعلومات وغالبًا ما تتشابك معها‪ .‬غالبًا ما‬
‫تكون أهداف جداول أعمال الحكم الثالثة هذه هي نفسها أو مترابطة‪ .‬على‬
‫سبيل المثال ‪ ،‬الهدف المشترك للحوكمة التنظيمية هو التأكد من أن المنظمة‬
‫ستستمر في الوجود وستنمو أو تتوسع بمرور الوقت‪ .‬وبالتالي ‪ ،‬فإن الهدف‬
‫المشترك للحوكمة هو الحفاظ على العمليات التجارية مع السعي لتحقيق النمو‬
‫والمرونة‪ .‬يتم فرض بعض جوانب الحوكمة على المؤسسات بسبب متطلبات‬
‫االمتثال التشريعية والتنظيمية ‪ ،‬في حين يتم فرض البعض اآلخر من خالل‬
‫إرشادات الصناعة أو متطلبات الترخيص‪ .‬يجب تقييم جميع أشكال الحوكمة ‪،‬‬
‫بما في ذلك الحوكمة األمنية ‪ ،‬والتحقق منها من وقت آلخر‪ .‬قد تكون هناك‬
‫متطلبات مختلفة للتدقيق والتحقق من الصحة بسبب اللوائح الحكومية أو‬
 ‫أفضل الممارسات الصناعية‪ .‬غالبًا ما تختلف قضايا االمتثال للحوكمة من‬
‫صناعة إلى أخرى ومن بلد إلى آخر‪ .‬مع توسع العديد من المنظمات والتكيف‬
‫للتعامل مع السوق العالمية ‪ ،‬تصبح قضايا الحوكمة أكثر تعقيدًا‪ .‬هذا يمثل‬
‫مشكلة خاصة عندما تختلف القوانين في البلدان المختلفة أو تتعارض في‬
‫الواقع‪ .‬يجب إعطاء المنظمة ككل التوجيه واإلرشاد واألدوات الالزمة لتوفير‬
‫اإلشراف واإلدارة الكافيين لمواجهة التهديدات والمخاطر مع التركيز على‬
‫القضاء على فترات التعطل والحفاظ على الخسائر أو األضرار المحتملة إلى‬
‫أدنى حد ممكن‪ .‬كما يمكنك أن تقول ‪ ،‬غالبًا ما تكون تعريفات حوكمة األمن‬
‫مبنية إلى حد ما وعالية المستوى‪ .‬في النهاية ‪ ،‬الحوكمة األمنية هي تنفيذ حل‬
‫أمني وطريقة إدارة مترابطة بإحكام‪ .‬تشرف إدارة األمن بشكل مباشر على‬
‫جميع مستويات األمن وتشارك فيها‪ .‬األمن ليس وال يجب التعامل معه على‬
‫أنه مشكلة تتعلق بتكنولوجيا المعلومات فقط‪ .‬بدالً من ذلك ‪ ،‬يؤثر األمان على‬
‫كل جانب من جوانب المنظمة‪ .‬لم يعد مجرد شيء يمكن لموظفي تكنولوجيا‬
‫المعلومات التعامل معه بمفردهم‪ .‬األمن هو قضية عمليات تجارية‪ .‬األمن هو‬
‫العملية التنظيمية ‪ ،‬وليس مجرد شيء يقوم به خبراء تكنولوجيا المعلومات‬
‫وراء الكواليس‪ .‬يعد استخدام مصطلح "إدارة األمن" محاولة للتأكيد على هذه‬
‫النقطة من خالل اإلشارة إلى أن األمن يحتاج إلى إدارته وحكمه في جميع‬
‫أنحاء المؤسسة ‪ ،‬وليس فقط في قسم تكنولوجيا المعلومات‪ .‬تتم إدارة حوكمة‬
‫األمن بشكل عام من قبل لجنة حوكمة أو على األقل مجلس إدارة‪ .‬هذه هي‬
‫مجموعة خبراء المعرفة المؤثرين الذين تتمثل مهمتهم األساسية في اإلشراف‬
‫على إجراءات‪ U‬األمن والعمليات الخاصة بالمنظمة وتوجيهها‪ .‬األمن مهمة‬
‫معقدة‪ .‬غالبًا ما تكون المنظمات كبيرة ويصعب فهمها من وجهة نظر واحدة‪.‬‬
‫إن وجود مجموعة من الخبراء يعملون معًا لتحقيق هدف حوكمة أمنية موثوقة‬
‫هو استراتيجية قوية‪ .‬هناك العديد من أطر العمل األمنية وإرشادات الحوكمة‬
‫‪ ،‬بما في ذلك ‪ NIST 800-53‬أو ‪ .100-800‬بينما تركز إرشادات ‪NIST‬‬
‫على االستخدام الحكومي والعسكري ‪ ،‬يمكن اعتمادها وتكييفها بواسطة أنواع‬
‫أخرى من المنظمات أيضًا‪ .‬تتبنى العديد من المنظمات األطر األمنية في‬
 ‫محاولة لتوحيد وتنظيم ما يمكن أن يصبح نشاطًا معقدًا ومرب ًكا ‪ ،‬أي محاولة‬
‫تنفيذ حوكمة أمنية معقولة‪.‬‬
‫شريحة ‪30‬‬
‫تحديد وظيفة األمن طبقا الستراتيجية العمل واألهداف والرسالة واألهداف‬

‫يضمن تخطيط إدارة األمن اإلنشاء والتنفيذ واإلنفاذ المناسب لسياسة األمان‪ .‬يعمل تخطيط إدارة األمن‬
‫على مواءمة وظائف األمان مع استراتيجية المنظمة وأهدافها ورسالتها وأهدافها‪ .‬يتضمن ذلك تصميم‬
‫وتنفيذ األمان بنا ًء على حاالت العمل أو قيود الميزانية أو ندرة الموارد‪ .‬عادة ما تكون دراسة الجدوى‬
‫حجة موثقة أو موقف معلن من أجل تحديد الحاجة التخاذ قرار أو اتخاذ شكل من أشكال العمل‪ .‬إن‬
‫تقديم دراسة الجدوى هو إظهار الحاجة الخاصة بالعمل لتغيير عملية حالية أو اختيار نهج لمهمة العمل‪.‬‬
‫ً‬
‫خاصة المشروع المتعلق باألمان‪ .‬من‬ ‫غالبًا ما يتم تقديم دراسة الجدوى لتبرير بدء مشروع جديد ‪،‬‬
‫ض ا النظر في الميزانية التي يمكن تخصيصها لمشروع األمان المستند إلى احتياجات العمل‪.‬‬ ‫المهم أي ً‬
‫يمكن أن يكون األمن باهظة الثمن ولكنها في أغلب األحيان أقل تكلفة من عدم وجود ذلك األمان‪.‬‬
‫وبالتالي ‪ ،‬يصبح األمن عنصرً ا أساسيًا في عملية تجارية موثوقة وطويلة األجل‪ .‬في معظم المنظمات ‪،‬‬
‫تكون األموال والموارد ‪ ،‬مثل األشخاص والتكنولوجيا والفضاء ‪ ،‬محدودة‪ .‬بسبب قيود الموارد مثل هذه‬
‫‪ ،‬يجب الحصول على أقصى فائدة من أي مسعى‪ .‬من أكثر الطرق فعالية للتعامل مع تخطيط إدارة‬
‫األمن استخدام نهج من أعلى إلى أسفل‪ .‬اإلدارة العليا أو العليا مسؤولة عن بدء وتحديد سياسات‬
‫المنظمة‪ .‬توفر السياسات األمنية التوجيه لجميع مستويات التسلسل الهرمي للمؤسسة‪ .‬تقع على عاتق‬
‫اإلدارة الوسطى مسؤولية تجسيد السياسة األمنية في معايير وخطوط أساسية وإرشادات وإجراءات‪.‬‬
‫يجب على مديري العمليات أو المتخصصين في مجال األمن بعد ذلك تنفيذ التكوينات المنصوص عليها‬
‫في وثائق إدارة األمن‪ .‬أخيرً ا ‪ ،‬يجب على المستخدمين النهائيين االمتثال لجميع سياسات األمان الخاصة‬
‫بالمؤسسة‪.‬‬

‫ملحوظة‬
‫عكس النهج من أعلى إلى أسفل هو النهج التصاعدي‪ .‬في بيئة النهج التصاعدي ‪ ،‬يتخذ موظفو‬
‫تكنولوجيا المعلومات قرارات أمنية مباشرة دون مدخالت من اإلدارة العليا‪ .‬نادرًا ما يتم استخدام النهج‬
‫التصاعدي في المؤسسات ويعتبر مشكلة في صناعة تكنولوجيا المعلومات‬

‫تقع مسؤولية إدارة األمن على عاتق اإلدارة العليا ‪ ،‬وليس على عاتق موظفي‬
‫تكنولوجيا المعلومات ‪ ،‬وتعتبر مسألة تتعلق بالعمليات التجارية بدالً من إدارة‬
 ‫تقنية المعلومات‪ .‬يجب أن يكون الفريق أو القسم المسؤول عن األمن داخل‬
‫المنظمة مستقالً‪ .‬يجب أن يرأس فريق أمن المعلومات (‪ )InfoSec‬مسؤول‬
‫أمن المعلومات الرئيسي المعين (‪ )CISO‬الذي يجب أن يقدم تقاريره مباشرة‬
‫إلى اإلدارة العليا‪ .‬يمكن أن يؤدي وضع استقاللية ‪ CISO‬وفريق ‪ CISO‬خارج‬
‫الهيكل الهرمي النموذجي في المؤسسة إلى تحسين إدارة األمن عبر المؤسسة‬
‫بأكملها‪ .‬كما أنه يساعد على تجنب القضايا‪ U‬السياسية الداخلية والداخلية‪.‬‬
‫يُستخدم مصطلح كبير ضباط األمن (‪ )CSO‬أحيانًا كبديل لمصطلح ‪، CISO‬‬
‫ولكن في العديد من المنظمات يكون منصب ‪ CSO‬هو منصب فرعي‬
‫تحت ‪ CISO‬الذي يركز على األمن المادي‪ .‬هناك مصطلح آخر محتمل لـ‬
‫‪ CISO‬وهو موظف أمن المعلومات (‪ ، )ISO‬ولكن يمكن أيضًا استخدام هذا‬
‫كفرع فرعي في ظل ‪ .CISO‬تتضمن عناصر تخطيط إدارة األمن تحديد‬
‫األدوار األمنية ؛ تحديد كيفية إدارة األمن ‪ ،‬ومن سيكون مسؤوالً عن األمن ‪،‬‬
‫وكيف سيتم اختبار األمان من حيث الفعالية ؛ تطوير السياسات األمنية ؛‬
‫إجراء تحليل المخاطر‪ .‬وتتطلب التثقيف األمني للموظفين‪ .‬يتم توجيه هذه‬
‫الجهود من خالل تطوير خطط اإلدارة‪ .‬أفضل خطة أمنية غير مجدية بدون‬
‫عامل رئيسي واحد‪ :‬موافقة اإلدارة العليا‪ .‬بدون موافقة اإلدارة العليا على‬
‫السياسة األمنية والتزامها بها ‪ ،‬لن تنجح السياسة‪ .‬تقع على عاتق فريق تطوير‬
‫كاف حتى تفهم المخاطر‬‫ٍ‬ ‫السياسة مسؤولية تثقيف اإلدارة العليا بشكل‬
‫وااللتزامات والتعرضات التي تظل حتى بعد نشر التدابير األمنية المنصوص‬
‫عليها في السياسة‪ .‬إن تطوير وتنفيذ سياسة أمنية هو دليل على العناية الواجبة‬
‫والعناية الواجبة من جانب اإلدارة العليا‪ .‬إذا لم تمارس الشركة العناية الواجبة‬
‫والعناية الواجبة ‪ ،‬فيمكن تحميل المديرين المسؤولية عن اإلهمال وتحمل‬
‫المسؤولية عن كل من األصول والخسائر المالية‬
‫شريحة ‪31‬‬
‫مقارنة الجدول الزمني للخطة االستراتيجية والتكتيكية والتشغيلية‬
‫‪Translation is too long to be saved‬‬
 ‫الخطة اإلستراتيجية الخطة اإلستراتيجية هي خطة طويلة األجل مستقرة إلى حد ما‪ .‬يحدد الغرض‬
‫األمني للمنظمة‪ .‬كما أنه يساعد على فهم وظيفة األمان ومواءمتها مع أهداف ورسالة وأهداف المنظمة‪.‬‬
‫يكون مفي ًدا لمدة خمس سنوات تقريبًا إذا تم صيانته وتحديثه سنويًا‪ .‬تعمل الخطة اإلستراتيجية أيضًا‬
‫كأفق تخطيط‪ .‬تتم مناقشة األهداف والرؤى طويلة المدى للمستقبل في خطة إستراتيجية‪ .‬يجب أن‬
‫تتضمن الخطة اإلستراتيجية تقييمًا للمخاطر‪.‬‬

‫‪Translation is too long to be saved‬‬

‫الخطة التكتيكية الخطة التكتيكية هي خطة منتصف المدة التي تم تطويرها لتوفير مزيد من التفاصيل‬
‫حول تحقيق األهداف المنصوص عليها في الخطة اإلستراتيجية أو يمكن صياغتها بشكل خاص بنا ًء‬
‫على أحداث غير متوقعة‪ .‬عادة ما تكون الخطة التكتيكية مفيدة لمدة عام تقريبًا وغالبًا ما تصف وتجدول‬
‫المهام الالزمة لتحقيق األهداف التنظيمية‪ .‬بعض األمثلة على الخطط التكتيكية هي خطط المشروع‬
‫وخطط االستحواذ وخطط التوظيف وخطط الميزانية وخطط الصيانة وخطط الدعم وخطط تطوير‬
‫النظام‪.‬‬

‫‪Translation is too long to be saved‬‬

‫الخطة التشغيلية الخطة التشغيلية هي خطة قصيرة المدى ومفصلة للغاية تستند إلى الخطط اإلستراتيجية‬
‫والتكتيكية‪ .‬إنه صالح أو مفيد فقط لفترة قصيرة‪ .‬يجب تحديث الخطط التشغيلية في كثير من األحيان‬
‫(مثل الشهرية أو ربع السنوية) لالحتفاظ باالمتثال للخطط التكتيكية‪ .‬توضح الخطط التشغيلية كيفية‬
‫تحقيق األهداف المختلفة للمنظمة‪ .‬وهي تشمل تخصيصات الموارد ومتطلبات الميزانية وتعيينات‬
‫التوظيف والجدولة واإلجراءات التدريجية أو إجراءات التنفيذ‪ .‬تتضمن الخطط التشغيلية تفاصيل حول‬
‫كيفية امتثال عمليات التنفيذ لسياسة أمن المنظمة‪ .‬من أمثلة الخطط التشغيلية خطط التدريب وخطط نشر‬
‫النظام وخطط تصميم المنتج‪ .‬األمن عملية مستمرة‪ .‬وبالتالي ‪ ،‬قد يكون لنشاط تخطيط إدارة األمن نقطة‬
‫انطالق محددة ‪ ،‬لكن مهامه وعمله ال يتم إنجازه أو اكتماله بالكامل‪ .‬تركز الخطط األمنية الفعالة االنتباه‬
‫على أهداف محددة وقابلة للتحقيق ‪ ،‬وتتوقع التغيير والمشاكل المحتملة ‪ ،‬وتعمل كأساس لصنع القرار‬
‫في المنظمة بأكملها‪ .‬يجب أن تكون الوثائق األمنية محددة ومحددة جي ًدا ومعلنة بوضوح‪ .‬لكي تكون‬
‫خطة األمن فعالة ‪ ،‬يجب تطويرها وصيانتها واستخدامها فعليًا‪.‬‬

‫شريحة ‪32‬‬

‫العمليات التنظيمية‬
 ‫تحتاج إدارة األمن إلى معالجة كل جانب من جوانب المنظمة‪.‬‬

‫وهذا يشمل العمليات التنظيمية لعمليات االستحواذ والتصفية ‪،‬‬

‫ولجان الحوكمة‪ .‬عمليات االستحواذ واالندماج‬

‫منظمة على مستوى متزايد من المخاطر‪ .‬وتشمل هذه المخاطر‬

‫الكشف عن المعلومات غير المناسبة أو فقدان البيانات أو التوقف أو الفشل‬

‫لتحقيق عائد استثمار كا ٍ‬

‫ف (‪ .)ROI‬باإلضافة إلى كل‬

‫الجوانب التجارية والمالية النموذجية لعمليات االندماج واالستحواذ ‪ ،‬أ‬

‫جرعة صحية من الرقابة األمنية وزيادة التدقيق في كثير من األحيان‬

‫ضروري لتقليل احتمالية الخسائر خالل هذه الفترة تحويل‪.‬‬

‫وبالمثل ‪ ،‬فإن التجريد أو أي شكل من أشكال األصول أو تخفيض الموظفين هو‬

‫فترة زمنية أخرى من زيادة المخاطر وبالتالي زيادة الحاجة إليها‬

‫تركز الحوكمة األمنية‪ .‬يجب تعقيم األصول لمنعها‬

‫تسرب البيانات‪ .‬يجب إزالة وسائط التخزين وتدميرها ‪،‬‬

‫ألن تقنيات تعقيم الوسائط ال تضمن ضد البيانات‬

‫انتعاش البقايا‪ .‬يحتاج الموظفون المفرج عنهم من الخدمة إلى استجوابهم‪.‬‬

‫غالبًا ما تسمى هذه العملية بمقابلة الخروج‪ .‬هذه العملية عادة‬

‫يتضمن مراجعة أي اتفاقيات عدم إفشاء باإلضافة إلى أي اتفاقيات أخرى‬

‫العقود أو االتفاقيات? الملزمة التي ستستمر بعد التوظيف‬

‫لم يعد‪.‬‬

‫مثاالن إضافيان للعمليات التنظيمية الضرورية‬

‫إلى حوكمة أمنية قوية هي تغيير التحكم ‪ /‬إدارة التغيير وتصنيف البيانات‪.‬‬
 ‫شريحة ‪33‬‬
‫التحكم في التغيير ‪ /‬اإلدارة‬
‫جانب آخر مهم إلدارة األمن هو السيطرة أو‬
‫ادارة التغيير‪ .‬يمكن للتغيير في بيئة آمنة‬
‫إدخال الثغرات والتداخالت واألشياء المفقودة واإلغفاالت التي يمكن‬
‫يؤدي إلى نقاط ضعف جديدة‪ .‬الطريقة الوحيدة للحفاظ على األمن في‬
‫وجه التغيير هو إدارة التغيير بشكل منهجي‪ .‬هذا عادة‬
‫يتضمن التخطيط الشامل واالختبار والتسجيل والتدقيق والمراقبة‬
‫من األنشطة المتعلقة بالضوابط واآلليات األمنية‪ .‬التسجيالت‬
‫من التغييرات التي تطرأ على بيئة ما لتحديد عوامل‬
‫التغيير ‪ ،‬سواء كانت تلك العوامل كائنات أو موضوعات أو برامج ‪،‬‬
‫مسارات االتصال ‪ ،‬أو حتى الشبكة نفسها‪.‬‬
‫الهدف من إدارة التغيير هو التأكد من أن أي تغيير ال يحدث‬
‫يؤدي إلى تقليل األمان أو تعرضه للخطر‪ .‬إدارة التغيير أيضا‬
‫مسؤوالً عن جعل من الممكن التراجع عن أي تغيير إلى سابق‬
‫دولة آمنة‪ .‬يمكن تنفيذ إدارة التغيير على أي‬
‫على الرغم من مستوى األمان‪ .‬في النهاية ‪ ،‬إدارة التغيير‬
‫يحسن أمن البيئة من خالل حماية التنفيذ‬
‫األمان من التخفيضات غير المقصودة أو العرضية أو المتأثرة في‬
‫األمان‪ .‬على الرغم من أن الهدف المهم إلدارة التغيير هو‬
‫منع التخفيضات? غير المرغوب فيها في األمن ‪ ،‬والغرض األساسي منه هو‬
‫جعل جميع التغييرات تخضع لوثائق ومراجعة مفصلة و‬
‫وبالتالي يمكن مراجعتها وفحصها من قبل اإلدارة‪.‬‬
‫يجب استخدام إدارة التغيير لإلشراف على التعديالت لكل‬
‫جانب من جوانب النظام ‪ ،‬بما في ذلك تكوين األجهزة وتشغيلها‬
‫النظام (‪ )OS‬والبرامج التطبيقية‪ .‬يجب أن تكون إدارة التغيير‬
‫المدرجة في التصميم والتطوير واالختبار والتقييم والتنفيذ ‪،‬‬
‫التوزيع والتطور والنمو والتشغيل المستمر والتعديل‪.‬‬
‫يتطلب جر ًدا مفصالً لكل مكون وتكوين‪.‬‬
‫كما يتطلب جمع وصيانة كاملة‬
‫وثائق لكل مكون من مكونات النظام ‪ ،‬من األجهزة إلى‬
‫البرنامج ومن إعدادات التكوين إلى ميزات األمان‪.‬‬
‫عملية التحكم في تغيير التكوين أو إدارة التغيير‬
‫له عدة أهداف أو متطلبات‪:‬‬
‫تنفيذ التغييرات بطريقة مراقبة ومنظمة‪ .‬التغييرات‬
‫يتم التحكم بها دائمًا‪.‬‬
‫يتم تضمين عملية اختبار رسمية للتحقق من أن التغيير‬
‫ينتج النتائج المتوقعة‪.‬‬
‫يمكن عكس جميع التغييرات (المعروفة أيضًا باسم ‪ backout‬أو التراجع‬
‫الخطط ‪ /‬اإلجراءات)‪?.‬‬
‫يتم إبالغ المستخدمين بالتغييرات قبل حدوثها لمنع فقدان ملفات‬
 ‫إنتاجية‪.‬‬
‫يتم تحليل آثار التغييرات بشكل منهجي لتحديد‬
‫ما إذا كان األمان أو العمليات? التجارية تتأثر سلبًا‪.‬‬
‫التأثير السلبي للتغييرات على القدرات والوظائف و‬
‫يتم تقليل األداء‪.‬‬
‫تتم مراجعة التغييرات والموافقة عليها من قبل المجلس االستشاري للتغيير‬
‫‪Change Advisory Board‬‬
‫(‪)CAB‬‬
‫أحد األمثلة على عملية إدارة التغيير هو التشغيل المتوازي ‪ ،‬والذي‬
‫هو نوع من اختبار نشر النظام الجديد حيث يكون النظام الجديد و‬
‫يتم تشغيل النظام القديم بالتوازي‪ .‬كل مستخدم رئيسي أو مهم‬
‫يتم تنفيذ العملية على كل نظام في وقت واحد للتأكد من أن‬
‫يدعم النظام الجديد جميع وظائف األعمال المطلوبة القديمة‬
‫نظام مدعوم أو مقدم‪.‬‬
‫شريحة ‪35‬‬
‫تصنيف البيانات‬
‫تصنيف البيانات ‪ ،‬أو تصنيفها ‪ ،‬هو الوسيلة األساسية التي يتم من خاللها‬
‫تتم حماية البيانات? بنا ًء على حاجتها إلى السرية أو الحساسية أو‬
‫سرية‪ .‬من غير المجدي معالجة جميع البيانات بنفس الطريقة عندما‬
‫تصميم وتنفيذ نظام أمني بسبب بعض البيانات?‬
 ‫تحتاج العناصر إلى مزيد من األمان أكثر من غيرها‪ .‬تأمين كل شيء عند‬
‫أدنى مستوى‬
‫مستوى األمان يعني سهولة الوصول إلى البيانات? الحساسة‪ .‬تأمين‬
‫عال باهظ التكلفة ويقيد الوصول‬
‫كل شيء على مستوى أمان ٍ‬
‫إلى بيانات غير مصنفة وغير حرجة‪ .‬تصنيف البيانات يستخدم ل‬
‫تحديد مقدار الجهد والمال والموارد المخصصة لها‬
‫حماية البيانات والتحكم في الوصول إليها‪ .‬تصنيف البيانات ‪ ،‬أو‬
‫التصنيف ‪ ،‬هو عملية تنظيم العناصر واألشياء والموضوعات ‪،‬‬
‫وما إلى ذلك في مجموعات أو فئات أو مجموعات متشابهة‪.‬‬
‫يمكن أن تشمل أوجه التشابه هذه القيمة والتكلفة والحساسية والمخاطر ‪،‬‬
‫الضعف ‪ ،‬أو القوة ‪ ،‬أو االمتياز ‪ ،‬أو المستويات المحتملة للخسارة أو الضرر‬
‫‪ ،‬أو‬
‫بحاجة إلى معرفة‪.‬‬
‫الهدف األساسي من مخططات تصنيف البيانات? هو إضفاء? الطابع الرسمي‬
‫وطبقية عملية تأمين البيانات بنا ًء على الملصقات المخصصة لـ‬
‫األهمية والحساسية‪ .‬يتم استخدام تصنيف البيانات لتوفير‬
‫آليات األمان لتخزين ومعالجة ونقل البيانات‪ ?.‬هو ‪ -‬هي‬
‫يتناول أيضًا كيفية إزالة البيانات? من النظام وتدميرها‪.‬‬
‫فيما يلي فوائد استخدام نظام تصنيف البيانات‪:‬‬
‫إنه يوضح التزام المنظمة بالحماية‬
‫الموارد واألصول القيمة‪.‬‬
‫يساعد في تحديد تلك األصول األكثر أهمية أو‬
 ‫قيمة للمنظمة‪.‬‬
‫يضفي مصداقية على اختيار آليات الحماية‪.‬‬
‫غالبًا ما يكون مطلوبًا لالمتثال التنظيمي أو القيود القانونية‪.‬‬
‫يساعد على تحديد مستويات الوصول وأنواع االستخدامات المصرح بها و‬
‫معلمات لرفع السرية و ‪ /‬أو تدمير الموارد‬
‫التي لم تعد ذات قيمة‪.‬‬
‫إنها تساعد في إدارة دورة حياة البيانات? والتي تمثل في جزء منها التخزين‬
‫طول (االحتفاظ) ‪ ،‬واستخدامها ‪ ،‬وإتالف البيانات‪.‬‬
‫تختلف المعايير التي يتم من خاللها تصنيف البيانات بنا ًء على المنظمة‬
‫أداء التصنيف‪ .‬ومع ذلك ‪ ،‬يمكنك جمع العديد‬
‫العموميات من أنظمة التصنيف المشتركة أو الموحدة‪:‬‬
‫فائدة البيانات‬
‫دقة توقيت البيانات?‬
‫قيمة أو تكلفة البيانات‬
‫نضج أو عمر البيانات?‬
‫عمر البيانات? (أو عندما تنتهي صالحيتها)‬
‫االرتباط بالموظفين‬
‫تقييم الضرر عند الكشف عن البيانات (أي كيفية الكشف عن‬
‫ستؤثر البيانات على المنظمة)‬
‫تقييم الضرر الناجم عن تعديل البيانات? (أي كيف يمكن لـ‬
‫تعديل البيانات? سيؤثر على المنظمة)‬
 ‫تداعيات البيانات على األمن القومي‬
‫الوصول المصرح به إلى البيانات? (أي من لديه حق الوصول إلى البيانات)?‬
‫تقييد من البيانات (أي ‪ ،‬من هو مقيد من البيانات)‬
‫صيانة البيانات ومراقبتها (أي من ينبغي‬
‫الحفاظ على البيانات ومراقبتها)‬
‫تخزين البيانات‬
‫باستخدام أي معايير مناسبة للمنظمة ‪ ،‬والبيانات‬
‫تم تقييمها ‪ ،‬ويتم تعيين تسمية تصنيف بيانات مناسبة لها‪.‬‬
‫في بعض الحاالت? ‪ ،‬يتم إضافة التسمية إلى كائن البيانات‪ .‬في حاالت أخرى‪،‬‬
‫يحدث وضع العالمات تلقائيًا عند وضع البيانات في وحدة تخزين‬
‫آلية أو خلف آلية حماية أمنية‪.‬‬
‫لتنفيذ مخطط التصنيف ‪ ،‬يجب إجراء سبعة تخصصات? رئيسية‬
‫خطوات أو مراحل‪:‬‬
‫‪ .1‬تحديد أمين الحفظ وتحديد مسؤولياته‪.‬‬
‫‪ .2‬حدد معايير التقييم لكيفية ظهور المعلومات‬
‫مصنفة ومُص َّنفة‪.‬‬
‫‪ .3‬تصنيف وتسمية كل مورد‪( .‬يقوم المالك? بهذه الخطوة ‪ ،‬لكن‬
‫يجب على المشرف مراجعتها‪).‬‬
‫‪ .4‬توثيق أي استثناءات لسياسة التصنيف‬
‫اكتشفها ودمجها في معايير التقييم‪.‬‬
‫‪ .5‬حدد عناصر التحكم األمنية التي سيتم تطبيقها على كل منها‬
 ‫مستوى التصنيف لتوفير مستوى الحماية الالزم‪.‬‬
‫‪ .6‬تحديد إجراءات رفع السرية عن الموارد و‬
‫إجراءات? نقل عهدة مورد إلى جهة خارجية‬
‫كيان‪.‬‬
‫‪ .7‬إنشاء برنامج توعية على مستوى المؤسسة إلرشاد الجميع‬
‫أفراد حول نظام التصنيف‪.‬‬
‫غالبًا ما يتم التغاضي عن رفع السرية عند تصميم التصنيف‬
‫النظام وتوثيق إجراءات? االستخدام‪ .‬رفع السرية هو‬
‫مطلوب مرة واحدة لم يعد أحد األصول يستدعي أو يحتاج إلى حماية‬
‫التصنيف أو مستوى الحساسية المعين حاليًا‪ .‬بعبارات أخرى‪،‬‬
‫إذا كان األصل جدي ًدا ‪ ،‬فسيتم تعيين تصنيف حساسية أقل له‬
‫مما تم تعيينه حاليًا‪ .‬عندما تفشل األصول في رفع السرية عنها‬
‫الالزمة ‪ ،‬وتضيع موارد األمن ‪ ،‬وقيمة وحماية‬
‫تنخفض مستويات الحساسية األعلى‪.‬‬
‫مخططا التصنيف الشائعان هما الحكومة ‪ /‬الجيش‬
‫التصنيف (الشكل ‪ )1.4‬واألعمال التجارية ‪ /‬القطاع الخاص‬
‫تصنيف‪ .‬هناك خمسة مستويات حكومية ‪ /‬عسكرية‬
‫التصنيف (مدرج هنا من األعلى إلى األدنى)‪:‬‬
‫سري للغاية هو أعلى مستوى من التصنيف‪ .‬ال‬
‫الكشف غير المصرح به عن البيانات السرية للغاية سيكون له تأثيرات جذرية‬
‫و‬
 ‫إلحاق ضرر جسيم باألمن القومي‪ .‬البيانات السرية للغاية هي‬
‫مقسمة على أساس الحاجة إلى المعرفة بحيث يمكن للمستخدم‬
‫لديك تصريح سري للغاية ولديك حق الوصول إلى أي بيانات حتى يمتلك‬
‫المستخدم‬
‫بحاجة الى معرفة‪.‬‬
‫يستخدم ‪ Secret Secret‬للبيانات ذات الطبيعة المقيدة‪ .‬غير المصرح به‬
‫الكشف عن البيانات المصنفة على أنها سرية سيكون له تأثيرات كبيرة و‬
‫تسبب ضررا خطيرا لألمن القومي‪.‬‬
‫يستخدم ‪ Confidential Confidential‬مع البيانات الحساسة ‪ ،‬والملكية ‪،‬‬
‫أو الطبيعة ذات القيمة العالية‪ .‬الكشف غير المصرح به عن البيانات?‬
‫تصنف على أنها سرية سيكون لها آثار ملحوظة ويسبب خطورة‬
‫اإلضرار باألمن القومي‪ .‬يستخدم هذا التصنيف لجميع البيانات‬
‫بين التصنيفات? السرية والحساسة ولكن غير المصنفة‪.‬‬
‫حساس لكن غير مصنف حساس لكن غير مصنف ‪Sensitive but‬‬
‫)‪ unclassified (SBU‬مستخدم‬
‫للبيانات المخصصة لالستخدام الداخلي أو لالستخدام المكتبي فقط ‪for office‬‬
‫)‪ .use only (FOUO) (FOUO‬غالبا ً‬
‫يتم استخدام ‪ SBU‬لحماية المعلومات التي قد تنتهك حقوق الخصوصية‬
‫من األفراد‪ .‬هذه ليست تسمية تصنيف تقنيًا ؛ بدال من ذلك ‪ ،‬هو كذلك‬
‫عالمة أو ملصق يستخدم لإلشارة إلى االستخدام أو اإلدارة‪.‬‬
‫يتم استخدام ‪ Unclassified Unclassified‬للبيانات غير الحساسة‬
‫وال تصنف‪ .‬الكشف عن البيانات غير السرية ال‬
 ‫المساومة على السرية أو التسبب في أي ضرر ملحوظ‪ .‬هذا هو‬
‫ليس من الناحية الفنية تسمية تصنيف ؛ بدالً من ذلك ‪ ،‬فهي عالمة أو تسمية‬
‫تستخدم لإلشارة إلى االستخدام أو اإلدارة‪.‬‬
‫شريحة ‪36‬‬
‫‪ .1‬تحديد أمين الحفظ ‪ ،‬تحديد المسؤوليات‪.‬‬
‫‪ .2‬تحديد معايير التقييم‪.‬‬
‫‪ .3‬تصنيف وتسمية كل مورد‪.‬‬
‫‪ .4‬توثيق أي استثناءات‪.‬‬
‫‪ .5‬حدد عناصر التحكم في األمان لكل مستوى‪.‬‬
‫‪ .6‬تحديد رفع السرية والتحويل الخارجي‪?.‬‬
‫‪ .7‬إنشاء برنامج توعية على مستوى المؤسسة‪.‬‬

‫شريحة ‪38‬‬
‫األدوار والمسؤوليات التنظيمية‬
‫دور األمان هو الدور الذي يلعبه الفرد في المخطط العام لـتنفيذ وإدارة األمن‬
‫داخل المنظمة‪.‬‬
‫ال يتم تحديد األدوار األمنية بالضرورة في التوصيفات الوظيفية‬
‫ألنها ليست دائمًا مميزة أو ثابتة‪ .‬اإللمام باألمن‬
‫ستساعد األدوار في إنشاء هيكل لالتصاالت والدعم‬
‫داخل المنظمة‪ .‬هذا الهيكل سيمكن النشر وتطبيق سياسة األمن‪ .‬األدوار الستة‬
‫التالية هي‬
‫يتم تقديمها بالترتيب المنطقي الذي تظهر به في ملف مضمون‬
 ‫بيئة‪:‬‬
‫مدير أول دور المالك التنظيمي (مدير أول) هو‬
‫يتم تعيينه للشخص المسؤول النهائي عن األمن‬
‫تحتفظ بها منظمة ومن يجب أن يكون أكثر اهتمامًا‬
‫حول حماية أصولها‪ .‬يجب على المدير األول تسجيل الخروج‬
‫جميع قضايا السياسة‪ .‬في الواقع ‪ ،‬يجب الموافقة على جميع األنشطة والتوقيع‬
‫عليها من قبل المدير األول قبل أن يتم تنفيذها‪ .‬هنالك‬
‫ال توجد سياسة أمنية فعالة إذا لم يأذن المدير األول‬
‫ودعمها‪ .‬موافقة المدير األول على األمن‬
‫تشير السياسة إلى الملكية المقبولة لألمان المنفذ‬
‫داخل المنظمة‪ .‬المدير األول هو الشخص الذي سيكون‬
‫يتحمل المسؤولية عن النجاح? الشامل أو الفشل في حل أمني وهو‬
‫مسؤول عن ممارسة العناية الواجبة واالجتهاد الواجب في إنشاء‬
‫األمن لمنظمة‪.‬‬
‫على الرغم من أن كبار المديرين مسؤولون في النهاية عن األمن ‪،‬‬
‫نادرً ا ما يطبقون الحلول األمنية‪ .‬في معظم الحاالت? ‪ ،‬هذا‬
‫يتم تفويض المسؤولية إلى متخصصي األمن داخل منظمة‪.‬‬
‫محترف األمن األمن المحترف والمعلومات‬
‫أمان (‪ )InfoSec‬الخاص بـ ‪ ، icer‬أو فريق االستجابة لحوادث الكمبيوتر (‬
‫‪)CIRT‬‬
‫يتم تعيين الدور لشبكة وأنظمة و‬
‫مهندس أمن مسئول عن إتباع التوجيهات‬
 ‫بتكليف من اإلدارة العليا‪ .‬خبير األمن لديه‬
‫المسؤولية الوظيفية لألمن ‪ ،‬بما في ذلك كتابة األمن‬
‫السياسة وتنفيذها‪ .‬يمكن أن يكون دور متخصص األمن‬
‫المسمى دور وظيفة ‪ .IS / IT‬دور محترف األمن هو‬
‫غالبًا ما يشغلها فريق مسؤول عن التصميم و‬
‫تنفيذ الحلول األمنية على أساس األمان المعتمد‬
‫سياسات‪ .‬المتخصصون في مجال األمن ليسوا من صناع القرار‪ .‬هم انهم‬
‫المنفذين‪ .‬يجب ترك جميع القرارات لكبير المديرين‪.‬‬
‫مالك البيانات? يتم تعيين دور مالك البيانات إلى الشخص الذي يتم تعيينه‬
‫مسؤول عن تصنيف المعلومات من أجل التنسيب والحماية‬
‫ضمن الحل األمني‪ .‬عادة ما يكون مالك البيانات? رفيع المستوى‬
‫المدير المسؤول النهائي عن حماية البيانات‪ ?.‬لكن‪،‬‬
‫عادة ما يفوض مالك البيانات مسؤولية البيانات الفعلية‬
‫مهام اإلدارة ألمين البيانات‪?.‬‬
‫أمين حفظ البيانات يتم إسناد دور أمين البيانات إلى المستخدم الذي‬
‫مسؤول عن مهام تنفيذ الحماية المقررة‬
‫التي تحددها السياسة األمنية واإلدارة العليا‪ .‬البيانات‬
‫يقوم أمين الحفظ بجميع األنشطة الالزمة لتوفير ما يكفي‬
‫حماية ‪( CIA Triad‬السرية والنزاهة و‬
‫توافر) البيانات والوفاء بالمتطلبات والمسؤوليات‬
‫مفوض من اإلدارة العليا‪ .‬يمكن أن تشمل هذه األنشطة‬
 ‫أداء واختبار النسخ االحتياطية والتحقق من سالمة البيانات والنشر‬
‫حلول األمان وإدارة تخزين البيانات على أساس التصنيف‪.‬‬
‫المستخدم يتم تعيين دور المستخدم (المستخدم النهائي أو المشغل) إلى أي‬
‫شخص‬
‫من لديه حق الوصول إلى النظام اآلمن‪ .‬وصول المستخدم مرتبط بـ‬
‫مهام العمل ومحدودة بحيث يكون لديهم وصول كا ٍ‬
‫ف فقط ألدائها‬
‫المهام الالزمة لمنصب وظيفتهم (مبدأ أقل‬
‫شرف)‪ .‬المستخدمون مسؤولون عن فهم ودعم‬
‫السياسة األمنية لمنظمة من خالل اتباع العملية المحددة‬
‫اإلجراءات والتشغيل ضمن معايير أمنية محددة‪.‬‬
‫المدقق المدقق مسؤول عن المراجعة والتحقق من أن‬
‫يتم تنفيذ سياسة األمن بشكل صحيح واألمان المشتق‬
‫الحلول كافية‪ .‬قد يتم تعيين دور المدقق إلى ورقة مالية‬
‫مستخدم محترف أو مدرب‪ .‬ينتج المدقق االمتثال و‬
‫تقارير الفعالية التي يتم مراجعتها من قبل كبار المديرين‪ .‬مشاكل‬
‫المكتشفة من خالل هذه التقارير تتحول إلى توجيهات جديدة‬
‫المعين من قبل المدير األول إلى متخصصي األمن أو البيانات‬
‫األوصياء‪ .‬ومع ذلك ‪ ،‬تم إدراج المدقق باعتباره الدور األخير ألن‬
‫يحتاج المدقق إلى مصدر للنشاط (أي المستخدمين أو المشغلين العاملين‬
‫في بيئة) للتدقيق أو المراقبة‪.‬‬
‫كل هذه األدوار تخدم وظيفة مهمة داخل مضمون‬
 ‫بيئة‪ .‬فهي مفيدة لتحديد المسؤولية و‬
‫المسؤولية وكذلك لتحديد اإلدارة الهرمية ومخطط التفويض‪.‬‬
‫شريحة ‪38‬‬
‫أطر مراقبة األمن‬
‫غالبًا ما تتضمن صياغة موقف أمني لمنظمة ما الكثير‬
‫من مجرد كتابة بعض الم ُُثل السامية‪ .‬في معظم الحاالت? ‪ ،‬كبير‬
‫يذهب مقدار التخطيط في تطوير سياسة أمنية متينة‪ .‬عديدة‬
‫قد يتعرف معجبو ‪ Dilbert‬على المفهوم الذي يبدو سخي ًفا لعقد ‪a‬‬
‫اجتماع للتخطيط الجتماع في المستقبل‪ .‬لكن اتضح أن‬
‫يجب أن يبدأ التخطيط لألمن بالتخطيط للتخطيط ‪ ،‬ثم االنتقال إليه‬
‫التخطيط للمعايير واالمتثال ‪ ،‬واالنتقال أخيرً ا إلى‬
‫تطوير وتصميم الخطة الفعلية‪ .‬تخطي أي من هذه "التخطيط‬
‫للتخطيط "يمكن أن تعرقل الحلول األمنية للمؤسسة قبلها‬
‫حتى يبدأ‪.‬‬
‫تعتبر إحدى أولى خطوات التخطيط األمني وأهمها‬
‫النظر في اإلطار العام للتحكم األمني أو هيكل‬
‫الحل األمني الذي تريده المنظمة‪ .‬يمكنك االختيار من بينها‬
‫عدة خيارات فيما يتعلق بالبنية التحتية لمفهوم األمن ؛ ومع ذلك‪،‬‬
‫التحكم هو أحد أطر التحكم األمنية األكثر استخدامًا‬
‫أهداف المعلومات والتكنولوجيا ذات الصلة (‪ COBIT .)COBIT‬هو‬
‫مجموعة موثقة من أفضل ممارسات أمن تكنولوجيا المعلومات التي وضعها‬
 ‫جمعية تدقيق ومراقبة نظم المعلومات (‪ .)ISACA‬هو ‪ -‬هي‬
‫يحدد أهداف ومتطلبات الضوابط األمنية و‬
‫يشجع على رسم خرائط للمثل العليا ألمن تكنولوجيا المعلومات ألهداف‬
‫العمل‪.‬‬
‫يستند ‪ COBIT 5‬إلى خمسة مبادئ أساسية للحوكمة و‬
‫إدارة تكنولوجيا المعلومات في المؤسسة‪:‬‬
‫المبدأ ‪ :1‬تلبية احتياجات? أصحاب المصلحة‬
‫المبدأ ‪ :2‬تغطية المؤسسة من البداية إلى النهاية‬
‫المبدأ ‪ :3‬تطبيق إطار واحد متكامل‬
‫المبدأ ‪ :4‬تمكين نهج شامل‬
‫المبدأ الخامس‪ :‬فصل الحوكمة عن اإلدارة‬
‫ال يتم استخدام ‪ COBIT‬فقط لتخطيط أمن تكنولوجيا المعلومات لمنظمة ما‬
‫ضا كدليل إرشادي للمراجعين‪ COBIT .‬معترف به على نطاق واسع‬ ‫ولكن أي ً‬
‫و‬
‫إطار مراقبة أمنية محترم‪.‬‬
‫لحسن الحظ ‪ ،‬تمت اإلشارة إلى ‪ COBIT‬بشكل متواضع فقط في االمتحان ‪،‬‬
‫لذلك‬
‫مزيد من التفاصيل ليست ضرورية‪ .‬ومع ذلك ‪ ،‬إذا كان لديك اهتمام بهذا‬
‫المفهوم ‪ ،‬يرجى زيارة موقع )‪ ، ISACA (www.isaca.org‬أو إذا كنت‬
‫تريد‬
‫هناك العديد من المعايير والمبادئ التوجيهية األخرى ألمن تكنولوجيا‬
‫المعلومات‪ .‬قليلة‬
 ‫من هؤالء هم‪:‬‬
‫دليل منهجية اختبار األمان مفتوح المصدر (‪)OSSTMM‬‬
‫(‪ :)/ www.isecom.org/ research‬دليل تمت مراجعته من قِبل النظراء‬
‫لـ‬
‫اختبار وتحليل البنية التحتية األمنية‬
‫‪( ISO / IEC 27002‬التي حلت محل ‪( )ISO 17799‬‬
‫‪ :)https://www.iso.org/standard/ 54533.html‬دولي‬
‫المعيار الذي يمكن أن يكون أساس التنفيذ التنظيمي‬
‫األمن والممارسات اإلدارية ذات الصلة‬
‫مكتبة البنية التحتية لتكنولوجيا المعلومات (‪)ITIL‬‬
‫(‪ :)www.itlibrary.org‬وضعت في البداية من قبل الحكومة البريطانية ‪،‬‬
‫‪ ITIL‬عبارة عن مجموعة من أفضل الممارسات الموصى بها ألمن تكنولوجيا‬
‫المعلومات األساسي و‬
‫العمليات التشغيلية وغالبًا ما تستخدم كنقطة انطالق لـصياغة حل مخصص‬
‫ألمن تكنولوجيا المعلومات‬
‫شريحة ‪40‬‬
‫توخي العناية الواجبة العناية المعقولة لحماية مصالح المنظمة‪.‬‬
‫االجتهاد الواجب هي ممارسة األنشطة التي تحافظ على جهود العناية الواجبة‪.‬‬
‫العناية الواجبة واالجتهاد الواجب?‬
‫لماذا التخطيط للتخطيط األمني بهذه األهمية؟ سبب واحد هو‬
‫شرط العناية الواجبة واالجتهاد الواجب‪ ?.‬يتم استخدام العناية الواجبة‬
‫رعاية معقولة لحماية مصالح منظمة‪ .‬بسبب‬
 ‫االجتهاد هو ممارسة األنشطة التي تحافظ على جهود العناية الواجبة‪.‬‬
‫على سبيل المثال ‪ ،‬تعمل العناية الواجبة على تطوير هيكل أمني رسمي‬
‫تحتوي على سياسة أمنية ومعايير وخطوط أساسية وإرشادات و‬
‫إجراءات‪ ?.‬االجتهاد الواجب هي استمرار تطبيق هذا األمن‬
‫هيكل على البنية التحتية لتكنولوجيا المعلومات للمؤسسة‪ .‬التشغيل‬
‫األمن هو الصيانة المستمرة للعناية الواجبة المستمرة والمستحقة‬
‫االجتهاد من قبل جميع األطراف المسؤولة داخل المنظمة‪.‬‬
‫في بيئة األعمال اليوم ‪ ،‬الحكمة إلزامية‪ .‬إظهار موعد االستحقاق‬
‫الرعاية والعناية الواجبة هي الطريقة الوحيدة لدحض اإلهمال في‬
‫حدوث الخسارة‪ .‬يجب على اإلدارة العليا إظهار العناية الواجبة والمستحقة‬
‫االجتهاد لتقليل مسؤوليتهم ومسؤوليتهم عند حدوث خسارة‪.‬‬
 ‫استفدت ايه من ‪ CIA‬وعالقتهم يجي معنى بعدين ‪risk management‬‬

‫عشان اختيار التولز المناسبة‬

‫ال ‪ CIA‬هتفضل مستمرة معانا لالخر عشان هنبني عليها الحاجات? التانية‬
‫احنا كنا فاكرين انهم ‪ 3‬فقط واكتشفنا انه فيهم ‪ principals‬اكتر زي‬
‫‪Identification and authentication‬‬
‫انا اليهمني الوظيفة تبع البرنامج يهمني السكيورتي بمعني في حالة ‪HR‬‬
‫‪ system‬او ‪ ERP‬مليش دعوة ان البرنامج بيعمل المطلوب منه وال ال وهل‬
‫الوظيفة جيدة وال لكن يهمني ازاي الداتا بيتم الحفاظ عليها‬
‫‪ Princeipal‬تاني اللي هو ‪Authorization‬‬
‫ومعناه ‪some of privileges‬‬
‫‪ Non-repudiation‬عدم االنكار يعني لو حد عمل شيء بيتعرف عن‬
‫طريق ‪logs‬‬
‫لو انا بقيم منظومة ما مش بس برنامج‬
‫الزم المنظومة تحافظ على ‪ CIA‬واشرح وما يتتبع ذلك‬
 ‫السكيورتي كونترول‬
‫األدوات اللي بستخدمها للحماية‬