Professional Documents
Culture Documents
ماهو cissp
/https://ar.wikipedia.org/wikiشهادة_محترف_أمن_نظم_المعلومات_()CISSP
الهدف منه
من سيكيورتي انالسيسز الى cisoمهم جدا ياخد الشهادة دي
االمتحان
يستخدم محترفو األمن السيبراني شهادة CISSPللتحقق من مهاراتهم ومعرفتهم في مجال أمن المعلومات .يقوم اختبار محترف
أمن نظم المعلومات المعتمد ( )CISSPبتقييم قدرة المرشح في 8مجاالت? مختلفة ،بما في ذلك إدارة المخاطر والتشفير واألمن
المادي وهجمات الهندسة االجتماعية مثل التصيد االحتيالي والتصيد االحتيالي .يمكن أن يختلف مستوى صعوبة االختبار
ً
اعتمادا على المجال الذي تختبره.
ُتعد شهادة CISSPبمثابة اعتماد قيم في صناعة أمن المعلومات? ،مع االعتراف بالتزامك بالتطوير المهني المستمر ومعرفتك
بكيفية تصميم أنظمة األمان وهندستها وتنفيذها وإدارتها.
تعد شهادة CISSPواحدة من أكثر الشهادات التي تحظى باحترام كبير ألي متخصص في أمن تكنولوجيا المعلومات .كما أنها
أصبحت أكثر شيو ًعا على مر السنين ،مع متوسط زيادة في الطلب .في منشور المدونة هذا ،سنناقش ما يمثله ، CISSP
ولماذا هو ضروري ،ونظرة عامة على اختبار .CISSP
للحصول على الشهادة isc2الزم تكون شغال 5سنين في مجال امن المعلوماات من 2الى 8دومينز مش الزم التايتل ومن
تلغي سنة لو معاك شهادة بكالوريوس او أي شهادة معتمدة
لو لم تصل السنين بعد االمتحان هتاخد Associate ISC2وبعد ما تحقق المطلوب خالص
Endorsementيعني انه بعد االمتحان الزم يكون في شخص certified from isc2ومحافظ على العضوية مهمته انه
يراجع المهام تبعك ويوقع عليها ويرجعها ل isc2
احتياجنا والمستمعين
الماتلاير شون هاريس /فريناندو –الماتلاير الرسمي من cissp
مسارات cissp
شريحة 22
CIA
ملحوظة مهمة تساعدك انك تاخد notesبالمصطلحات الجديدة
بعد ما نخلص اليوم حاول تشوف انك عارفهم وفاههم وعالقة المصطلحات?
ببعض
------------------------------هنشوف الكتاب
حساسية
تشير الحساسية إلى جودة المعلومات ،والتي قد تسبب ضررًا أو ضررًا إذا
تم الكشف عنها .يساعد الحفاظ على سرية المعلومات الحساسة في منع
الضرر أو الضرر.
حرية التصرف
التقدير التقديري هو عمل قرار حيث يمكن للمشغل التأثير أو التحكم في
الكشف من أجل تقليل الضرر أو الضرر.
الحرجة
األهمية الحرجة المستوى الذي تكون فيه المعلومات مهمة بالنسبة للمهمة هو
مقياس األهمية الحرجية .كلما ارتفع مستوى األهمية ،زادت احتمالية الحاجة
إلى الحفاظ على سرية المعلومات .تعد المستويات العالية من األهمية
ضرورية لتشغيل أو وظيفة المنظمة.
إخفاء
اإلخفاء هو فعل اإلخفاء أو منع اإلفشاء .غالبًا ما يُنظر إلى اإلخفاء على أنه
وسيلة للتغطية أو التشويش أو التشتيت .أحد المفاهيم ذات الصلة باإلخفاء Uهو
األمن من خالل الغموض ،وهو مفهوم محاولة الحصول على الحماية من
خالل االختباء أو الصمت أو السرية .في حين أن األمن من خالل الغموض
ال يعتبر عادةً تدبيرًا أمنيًا صالحًا ،فقد يظل له قيمة في بعض الحاالت.
السرية
Translation is too long to be saved
خصوصية
Translation is too long to be saved
الخصوصية الخصوصية تشير إلى الحفاظ على سرية المعلومات أي يمكن التعرف عليه شخصيًا أو قد
يتسبب في ضرر أو إحراج أو وصمة عار لشخص ما إذا تم الكشف عنه
العزلة
.العزلة العزلة هي فعل إبقاء شيء ما منفصالً عن اآلخرين .يمكن استخدام
العزل لمنع اختالط المعلومات أو الكشف عن المعلومات .تحتاج كل منظمة
إلى تقييم الفروق الدقيقة في السرية التي ترغب في فرضها .قد ال تدعم
األدوات والتكنولوجيا التي تطبق أحد أشكال السرية أشكااًل أخرى أو تسمح
بها.
عزل
العزل يتضمن تخزين شيء ما في مكان بعيد عن الطريق .يمكن أن يوفر
هذا الموقع أيضًا ضوابط وصول صارمة .يمكن أن يساعد العزلة في تطبيق
تدابير حماية السرية.
شريحة 23
Save translationTranslation is too long to be saved
المبدأ الثاني لـ CIA Triadهو النزاهة .النزاهة هي مفهوم حماية موثوقية البيانات وصحتها .حماية
النزاهة تمنع التعديالت غير المصرح بها للبيانات .يضمن بقاء البيانات صحيحة ،دون تغيير ،
ومحفوظة .توفر حماية السالمة المطبقة بشكل صحيح وسيلة للتغييرات المصرح بها مع الحماية من
األنشطة غير المصرح بها المقصودة والخبيثة (مثل الفيروسات والتطفل) وكذلك األخطاء التي يرتكبها
المستخدمون المصرح لهم (مثل األخطاء أو اإلغفاالت).
للحفاظ على السالمة ،يجب أن تحتفظ الكائنات Uبصحتها وأن يتم تعديلها عن
قصد من قبل األشخاص المصرح لهم فقط .إذا كانت آلية األمان توفر التكامل
،فإنها توفر مستوى عاليًا من التأكيد على أن البيانات Uوالكائنات والموارد لم
تتغير عن حالتها المحمية األصلية .يجب أال تحدث التعديالت أثناء تخزين
الكائن أو أثناء النقل أو قيد المعالجة .وبالتالي ،فإن الحفاظ على التكامل يعني
أن الكائن نفسه لم يتم تغييره وأن نظام التشغيل وكيانات البرمجة التي تدير
الكائن وتتعامل معه لن يتم اختراقها.
يمكن فحص النزاهة من ثالث وجهات نظر:
منع األشخاص غير المصرح لهم من إجراء تعديالت .منع األشخاص
المصرح لهم من إجراء تعديالت غير مصرح بها ،مثل األخطاء
للحفاظ على سالمة النظام ،يجب أن تكون الضوابط في مكانها لتقييد
الوصول إلى البيانات واألشياء والموارد .باإلضافة إلى ذلك ،يجب استخدام
تسجيل النشاط logsللتأكد من أن المستخدمين المصرح لهم فقط قادرون
على الوصول إلى الموارد الخاصة بهم .يتطلب الحفاظ على سالمة الكائن
والتحقق من صحته عبر التخزين والنقل والمعالجة العديد من الضوابط
والرقابة .تركز
العديد من الهجمات Uعلى انتهاك النزاهة .وتشمل هذه الفيروسات ،والقنابل
المنطقية ،والوصول غير المصرح به ،واألخطاء في البرمجة والتطبيقات ،
والتعديل الضار ،واالستبدال المتعمد ،واألبواب الخلفية للنظام .كما هو
الحال مع السرية ،ال تقتصر انتهاكات السالمة على الهجمات Uالمتعمدة .يفسر
الخطأ البشري أو اإلشراف أو عدم الكفاءة العديد من حاالت التغيير غير
المصرح به للمعلومات الحساسة .األحداث التي تؤدي إلى انتهاكات السالمة
تشمل تعديل أو حذف الملفات ؛ إدخال بيانات غير صالحة ؛ تعديل التكوينات
،بما في ذلك األخطاء في األوامر والرموز والنصوص ؛ إدخال فيروس
وتنفيذ تعليمات برمجية ضارة مثل حصان طروادة .يمكن أن تحدث انتهاكات
النزاهة بسبب تصرفات أي مستخدم ،بما في ذلك المسؤولين .يمكن أن
تحدث أيضًا بسبب إشراف في سياسة أمنية أو عنصر تحكم أمني خاطئ.
يمكن أن تضمن العديد من اإلجراءات المضادة النزاهة ضد التهديدات
المحتملة .وهي تشمل التحكم الصارم في الوصول ،وإجراءات المصادقة
الصارمة ،وأنظمة الكشف عن التسلل ،وتشفير الكائنات /البيانات، U
وعمليات التحقق اإلجمالية للتجزئة (انظر الفصل" ، 6 Uالتشفير وخوارزميات
المفاتيح المتماثلة") ،وقيود الواجهة ،وفحوصات المدخالت /الوظائف ،
وتدريب الموظفين المكثف .النزاهة تعتمد على السرية .تشمل المفاهيم
والشروط وجوانب النزاهة األخرى ما يلي
شريحة 24
قابلية االستخدام :حالة سهولة االستخدام أو التعلم أو القدرة على فهم الموضوع والتحكم فيه إمكانية
الوصول :ضمان إمكانية تفاعل أكبر مجموعة من الموضوعات مع أحد الموارد بغض النظر عن
إمكانياتها أو قيودها حسن التوقيت :أن تكون سري ًعا ،في الوقت المحدد ،ضمن إطار زمني معقول? ،
أو تقدم استجابة بزمن انتقال منخفض
CIA Priority
كل منظمة لديها متطلبات أمنية فريدة .في اختبار ، CISSPتتم مناقشة معظم
مفاهيم األمان بعبارات عامة ،ولكن في العالم الحقيقي ،ال تنجز المفاهيم
العامة وأفضل الممارسات المهمة .يجب أن يعمل فريق اإلدارة وفريق األمان
معًا لتحديد أولويات احتياجات أمان المؤسسة .ويشمل ذلك وضع خطة
الميزانية واإلنفاق ،وتخصيص الخبرات Uوالساعات ،وتركيز جهود
تكنولوجيا المعلومات ( )ITوأمن فريق العمل .يتمثل أحد الجوانب الرئيسية
لهذا الجهد في تحديد أولويات المتطلبات األمنية للمؤسسة .إن معرفة أي
عقيدة أو أصل أكثر أهمية من اآلخر يوجه إنشاء موقف أمني وفي النهاية
نشر حل أمني .في كثير من األحيان ،الشروع في تحديد األولويات هو
تحدي .يتمثل أحد الحلول الممكنة لهذا التحدي في البدء بإعطاء األولوية
لمبادئ األمان األساسية الثالثة المتمثلة في السرية والنزاهة والتوافر .يعد
تحديد أي من هذه العناصر األكثر أهمية بالنسبة للمؤسسة أمرًا ضروريًا في
كاف .يؤدي هذا إلى إنشاء نمط يمكن تكراره من المفهوم ٍ صياغة حل أمني
من خالل التصميم والهندسة المعمارية والنشر وأخيراً الصيانة .هل تعرف
األولوية التي تضعها مؤسستك على كل مكون من مكونات CIA Triad؟ إذا
لم يكن كذلك ،اكتشف .التعميم المثير لالهتمام لمفهوم تحديد أولوياتCIA
هو أنه في كثير من الحاالت تميل المنظمات العسكرية والحكومية إلى إعطاء
األولوية للسرية أعلى من النزاهة والتوافر ،في حين تميل الشركات الخاصة
إلى إعطاء األولوية للتوافر فوق السرية والنزاهة .على الرغم من أن تحديد
األولويات هذا يركز الجهود على جانب واحد من جوانب األمان على جانب
آخر ،إال أنه ال يعني أن العناصر ذات األولوية الثانية أو الثالثة يتم تجاهلها
أو معالجتها بشكل غير صحيح .يتم اكتشاف منظور آخر حول هذا األمر عند
مقارنة أنظمة تكنولوجيا المعلومات القياسية بأنظمة التكنولوجيا التشغيلية (
)OTمثل وحدات التحكم المنطقية القابلة للبرمجة ( ، )PLCsوالتحكم
اإلشرافي واكتساب البيانات ( ، )SCADAوأجهزة وأنظمة ( MESأنظمة تنفيذ
التصنيع) المستخدمة في مصنع التصنيع طوابق .تميل أنظمة تكنولوجيا
المعلومات ،حتى في الشركات الخاصة ،إلى اتباع .CIA Triadومع ذلك ،
تميل أنظمة OTإلى اتباع ، AIC Triadحيث يتم إعطاء األولوية للتوافر
بشكل عام ويتم تقييم النزاهة على السرية .مرة أخرى ،هذا مجرد تعميم
ولكنه قد يخدمك جيدًا في فك تشفير األسئلة في اختبار .CISSPتقرر كل
منظمة على حدة أولوياتها األمنية
شريحة 27
باإلضافة إلى ، CIA Triadتحتاج إلى التفكير في عدد كبير من المفاهيم
والمبادئ األخرى المتعلقة باألمان عند تصميم سياسة أمنية ونشر حل أمني.
ربما سمعت عن مفهوم خدمات .AAAالثالثة
يشير هذا االختصار إلى المصادقة والترخيص والمحاسبة (أو أحيانًا التدقيق).
يشير في الواقع إلى خمسة عناصر :التعريف ،والمصادقة ،والترخيص ،
والتدقيق ،والمحاسبة .تمثل هذه العناصر الخمسة عمليات األمان التالية:
تحديد الهوية :االدعاء بأن تكون هوية عند محاولة الوصول إلى منطقة آمنة
أو مصادقة النظام :إثبات أنك تفوض الهوية :تحديد األذونات (أي السماح /
المنح و /أو الرفض) الوصول إلى مورد وكائن لهوية محددة التدقيق :تسجيل
سجل لألحداث واألنشطة المتعلقة بالنظام والموضوعات المحاسبة (المعروف
أيضًا باسم المساءلة) :مراجعة ملفات السجل للتحقق من االمتثال واالنتهاكات
من أجل تحميل األشخاص المسؤولية عن أفعالهم
شريحة 28
Translation is too long to be saved
آليات الحماية جانب آخر من جوانب فهم وتطبيق مفاهيم السرية والنزاهة والتوافر هو مفهوم آليات
الحماية أو ضوابط الحماية .آليات الحماية هي خصائص مشتركة لضوابط األمن .ال يجب أن تتوفر في
جميع ضوابط األمان ،ولكن العديد من الضوابط توفر حمايتها للسرية والنزاهة والتوافر من خالل
استخدام هذه اآلليات .تتضمن بعض األمثلة الشائعة لهذه اآلليات استخدام طبقات أو مستويات وصول
متعددة ،واستخدام التجريد ،وإخفاء البيانات ،واستخدام التشفير.
Data Hiding
إخفاء البيانات Uإخفاء البيانات Uهو بالضبط ما يبدو عليه األمر :منع اكتشاف
البيانات أو الوصول إليها من قبل شخص ما عن طريق وضع البيانات Uفي
حجرة تخزين منطقية ال يمكن الوصول إليها أو رؤيتها من قبل الموضوع.
تتضمن أشكال إخفاء البيانات Uالحفاظ على قاعدة البيانات من الوصول إليها
من قبل الزوار غير المصرح لهم وتقييد موضوع على مستوى تصنيف أقل
من الوصول إلى البيانات Uعلى مستوى تصنيف أعلى .كما أن منع تطبيق من
الوصول إلى األجهزة مباشرة هو أيضًا شكل من أشكال إخفاء البيانات .Uغالبًا
ما يكون إخفاء البيانات Uعنصرًا أساسيًا في األمان
ضوابط وكذلك في البرمجة .قد يبدو مصطلح األمن من خالل الغموض وثيق
الصلة هنا .ومع ذلك ،هذا المفهوم مختلف .إخفاء Uالبيانات هو عملية وضع
البيانات عن قصد بحيث ال يمكن عرضها أو الوصول إليها من قبل شخص
غير مصرح به ،في حين أن األمن من خالل الغموض هو فكرة عدم إبالغ
موضوع ما عن كائن موجود وبالتالي على أمل أال يكتشف الموضوع
الكائن .األمن من خالل الغموض ال يطبق في الواقع أي شكل من أشكال
الحماية .إنها بدالً من ذلك محاولة لألمل أال يتم اكتشاف شيء مهم من خالل
الحفاظ على سرية المعرفة به .مثال على األمن رغم الغموض هو عندما
يدرك المبرمج وجود خلل في كود برمجياته ،لكنهم يطلقون المنتج على أي
حال على أمل أال يكتشف أحد المشكلة ويستغلها.
encryption
التشفير التشفير هو فن وعلم إخفاء Uمعنى أو نية اتصال من المستلمين غير
المقصودين .يمكن أن يتخذ التشفير أشكااًل عديدة ويمكن تطبيقه على كل نوع
من أنواع االتصاالت اإللكترونية ،بما في ذلك الملفات Uالنصية والصوتية
وملفات Uالفيديو باإلضافة إلى التطبيقات نفسها .يعد التشفير عنصرًا مه ًما في
ضوابط األمان ،خاصة فيما يتعلق بنقل البيانات Uبين األنظمة .هناك نقاط قوة
مختلفة للتشفير ،كل منها مصمم و /أو مناسب الستخدام أو غرض معين.
يمكن اعتبار التشفير الضعيف أو الضعيف على أنه ليس أكثر من التعتيم أو
حتى األمان من خالل الغموض .تمت مناقشة التشفير باستفاضة في الفصل 6
" ،التشفير وخوارزميات المفاتيح المتماثلة" ،والفصل " ، 7تطبيقات البنية
األساسية للمفاتيح العمومية والتشفير".
شريحة 29
تقييم وتطبيق مبادئ حوكمة األمن
تحديد وظيفة األمن
خطط إدارة األمن
العمليات التنظيمية
التحكم في التغيير /اإلدارة
تصنيف البيانات
األدوار والمسؤوليات التنظيمية
أطر مراقبة األمن
العناية الواجبة واالجتهاد الواجبU
اوال
حوكمة األمن هي مجموعة من الممارسات المتعلقة بدعم وتعريف وتوجيه
الجهود األمنية للمؤسسة .غالبًا ما ترتبط مبادئ حوكمة األمن ارتباطًا وثيقًا
بحوكمة الشركات وتكنولوجيا المعلومات وغالبًا ما تتشابك معها .غالبًا ما
تكون أهداف جداول أعمال الحكم الثالثة هذه هي نفسها أو مترابطة .على
سبيل المثال ،الهدف المشترك للحوكمة التنظيمية هو التأكد من أن المنظمة
ستستمر في الوجود وستنمو أو تتوسع بمرور الوقت .وبالتالي ،فإن الهدف
المشترك للحوكمة هو الحفاظ على العمليات التجارية مع السعي لتحقيق النمو
والمرونة .يتم فرض بعض جوانب الحوكمة على المؤسسات بسبب متطلبات
االمتثال التشريعية والتنظيمية ،في حين يتم فرض البعض اآلخر من خالل
إرشادات الصناعة أو متطلبات الترخيص .يجب تقييم جميع أشكال الحوكمة ،
بما في ذلك الحوكمة األمنية ،والتحقق منها من وقت آلخر .قد تكون هناك
متطلبات مختلفة للتدقيق والتحقق من الصحة بسبب اللوائح الحكومية أو
أفضل الممارسات الصناعية .غالبًا ما تختلف قضايا االمتثال للحوكمة من
صناعة إلى أخرى ومن بلد إلى آخر .مع توسع العديد من المنظمات والتكيف
للتعامل مع السوق العالمية ،تصبح قضايا الحوكمة أكثر تعقيدًا .هذا يمثل
مشكلة خاصة عندما تختلف القوانين في البلدان المختلفة أو تتعارض في
الواقع .يجب إعطاء المنظمة ككل التوجيه واإلرشاد واألدوات الالزمة لتوفير
اإلشراف واإلدارة الكافيين لمواجهة التهديدات والمخاطر مع التركيز على
القضاء على فترات التعطل والحفاظ على الخسائر أو األضرار المحتملة إلى
أدنى حد ممكن .كما يمكنك أن تقول ،غالبًا ما تكون تعريفات حوكمة األمن
مبنية إلى حد ما وعالية المستوى .في النهاية ،الحوكمة األمنية هي تنفيذ حل
أمني وطريقة إدارة مترابطة بإحكام .تشرف إدارة األمن بشكل مباشر على
جميع مستويات األمن وتشارك فيها .األمن ليس وال يجب التعامل معه على
أنه مشكلة تتعلق بتكنولوجيا المعلومات فقط .بدالً من ذلك ،يؤثر األمان على
كل جانب من جوانب المنظمة .لم يعد مجرد شيء يمكن لموظفي تكنولوجيا
المعلومات التعامل معه بمفردهم .األمن هو قضية عمليات تجارية .األمن هو
العملية التنظيمية ،وليس مجرد شيء يقوم به خبراء تكنولوجيا المعلومات
وراء الكواليس .يعد استخدام مصطلح "إدارة األمن" محاولة للتأكيد على هذه
النقطة من خالل اإلشارة إلى أن األمن يحتاج إلى إدارته وحكمه في جميع
أنحاء المؤسسة ،وليس فقط في قسم تكنولوجيا المعلومات .تتم إدارة حوكمة
األمن بشكل عام من قبل لجنة حوكمة أو على األقل مجلس إدارة .هذه هي
مجموعة خبراء المعرفة المؤثرين الذين تتمثل مهمتهم األساسية في اإلشراف
على إجراءات Uاألمن والعمليات الخاصة بالمنظمة وتوجيهها .األمن مهمة
معقدة .غالبًا ما تكون المنظمات كبيرة ويصعب فهمها من وجهة نظر واحدة.
إن وجود مجموعة من الخبراء يعملون معًا لتحقيق هدف حوكمة أمنية موثوقة
هو استراتيجية قوية .هناك العديد من أطر العمل األمنية وإرشادات الحوكمة
،بما في ذلك NIST 800-53أو .100-800بينما تركز إرشادات NIST
على االستخدام الحكومي والعسكري ،يمكن اعتمادها وتكييفها بواسطة أنواع
أخرى من المنظمات أيضًا .تتبنى العديد من المنظمات األطر األمنية في
محاولة لتوحيد وتنظيم ما يمكن أن يصبح نشاطًا معقدًا ومرب ًكا ،أي محاولة
تنفيذ حوكمة أمنية معقولة.
شريحة 30
تحديد وظيفة األمن طبقا الستراتيجية العمل واألهداف والرسالة واألهداف
يضمن تخطيط إدارة األمن اإلنشاء والتنفيذ واإلنفاذ المناسب لسياسة األمان .يعمل تخطيط إدارة األمن
على مواءمة وظائف األمان مع استراتيجية المنظمة وأهدافها ورسالتها وأهدافها .يتضمن ذلك تصميم
وتنفيذ األمان بنا ًء على حاالت العمل أو قيود الميزانية أو ندرة الموارد .عادة ما تكون دراسة الجدوى
حجة موثقة أو موقف معلن من أجل تحديد الحاجة التخاذ قرار أو اتخاذ شكل من أشكال العمل .إن
تقديم دراسة الجدوى هو إظهار الحاجة الخاصة بالعمل لتغيير عملية حالية أو اختيار نهج لمهمة العمل.
ً
خاصة المشروع المتعلق باألمان .من غالبًا ما يتم تقديم دراسة الجدوى لتبرير بدء مشروع جديد ،
ض ا النظر في الميزانية التي يمكن تخصيصها لمشروع األمان المستند إلى احتياجات العمل. المهم أي ً
يمكن أن يكون األمن باهظة الثمن ولكنها في أغلب األحيان أقل تكلفة من عدم وجود ذلك األمان.
وبالتالي ،يصبح األمن عنصرً ا أساسيًا في عملية تجارية موثوقة وطويلة األجل .في معظم المنظمات ،
تكون األموال والموارد ،مثل األشخاص والتكنولوجيا والفضاء ،محدودة .بسبب قيود الموارد مثل هذه
،يجب الحصول على أقصى فائدة من أي مسعى .من أكثر الطرق فعالية للتعامل مع تخطيط إدارة
األمن استخدام نهج من أعلى إلى أسفل .اإلدارة العليا أو العليا مسؤولة عن بدء وتحديد سياسات
المنظمة .توفر السياسات األمنية التوجيه لجميع مستويات التسلسل الهرمي للمؤسسة .تقع على عاتق
اإلدارة الوسطى مسؤولية تجسيد السياسة األمنية في معايير وخطوط أساسية وإرشادات وإجراءات.
يجب على مديري العمليات أو المتخصصين في مجال األمن بعد ذلك تنفيذ التكوينات المنصوص عليها
في وثائق إدارة األمن .أخيرً ا ،يجب على المستخدمين النهائيين االمتثال لجميع سياسات األمان الخاصة
بالمؤسسة.
ملحوظة
عكس النهج من أعلى إلى أسفل هو النهج التصاعدي .في بيئة النهج التصاعدي ،يتخذ موظفو
تكنولوجيا المعلومات قرارات أمنية مباشرة دون مدخالت من اإلدارة العليا .نادرًا ما يتم استخدام النهج
التصاعدي في المؤسسات ويعتبر مشكلة في صناعة تكنولوجيا المعلومات
تقع مسؤولية إدارة األمن على عاتق اإلدارة العليا ،وليس على عاتق موظفي
تكنولوجيا المعلومات ،وتعتبر مسألة تتعلق بالعمليات التجارية بدالً من إدارة
تقنية المعلومات .يجب أن يكون الفريق أو القسم المسؤول عن األمن داخل
المنظمة مستقالً .يجب أن يرأس فريق أمن المعلومات ( )InfoSecمسؤول
أمن المعلومات الرئيسي المعين ( )CISOالذي يجب أن يقدم تقاريره مباشرة
إلى اإلدارة العليا .يمكن أن يؤدي وضع استقاللية CISOوفريق CISOخارج
الهيكل الهرمي النموذجي في المؤسسة إلى تحسين إدارة األمن عبر المؤسسة
بأكملها .كما أنه يساعد على تجنب القضايا Uالسياسية الداخلية والداخلية.
يُستخدم مصطلح كبير ضباط األمن ( )CSOأحيانًا كبديل لمصطلح ، CISO
ولكن في العديد من المنظمات يكون منصب CSOهو منصب فرعي
تحت CISOالذي يركز على األمن المادي .هناك مصطلح آخر محتمل لـ
CISOوهو موظف أمن المعلومات ( ، )ISOولكن يمكن أيضًا استخدام هذا
كفرع فرعي في ظل .CISOتتضمن عناصر تخطيط إدارة األمن تحديد
األدوار األمنية ؛ تحديد كيفية إدارة األمن ،ومن سيكون مسؤوالً عن األمن ،
وكيف سيتم اختبار األمان من حيث الفعالية ؛ تطوير السياسات األمنية ؛
إجراء تحليل المخاطر .وتتطلب التثقيف األمني للموظفين .يتم توجيه هذه
الجهود من خالل تطوير خطط اإلدارة .أفضل خطة أمنية غير مجدية بدون
عامل رئيسي واحد :موافقة اإلدارة العليا .بدون موافقة اإلدارة العليا على
السياسة األمنية والتزامها بها ،لن تنجح السياسة .تقع على عاتق فريق تطوير
كاف حتى تفهم المخاطرٍ السياسة مسؤولية تثقيف اإلدارة العليا بشكل
وااللتزامات والتعرضات التي تظل حتى بعد نشر التدابير األمنية المنصوص
عليها في السياسة .إن تطوير وتنفيذ سياسة أمنية هو دليل على العناية الواجبة
والعناية الواجبة من جانب اإلدارة العليا .إذا لم تمارس الشركة العناية الواجبة
والعناية الواجبة ،فيمكن تحميل المديرين المسؤولية عن اإلهمال وتحمل
المسؤولية عن كل من األصول والخسائر المالية
شريحة 31
مقارنة الجدول الزمني للخطة االستراتيجية والتكتيكية والتشغيلية
Translation is too long to be saved
الخطة اإلستراتيجية الخطة اإلستراتيجية هي خطة طويلة األجل مستقرة إلى حد ما .يحدد الغرض
األمني للمنظمة .كما أنه يساعد على فهم وظيفة األمان ومواءمتها مع أهداف ورسالة وأهداف المنظمة.
يكون مفي ًدا لمدة خمس سنوات تقريبًا إذا تم صيانته وتحديثه سنويًا .تعمل الخطة اإلستراتيجية أيضًا
كأفق تخطيط .تتم مناقشة األهداف والرؤى طويلة المدى للمستقبل في خطة إستراتيجية .يجب أن
تتضمن الخطة اإلستراتيجية تقييمًا للمخاطر.
الخطة التكتيكية الخطة التكتيكية هي خطة منتصف المدة التي تم تطويرها لتوفير مزيد من التفاصيل
حول تحقيق األهداف المنصوص عليها في الخطة اإلستراتيجية أو يمكن صياغتها بشكل خاص بنا ًء
على أحداث غير متوقعة .عادة ما تكون الخطة التكتيكية مفيدة لمدة عام تقريبًا وغالبًا ما تصف وتجدول
المهام الالزمة لتحقيق األهداف التنظيمية .بعض األمثلة على الخطط التكتيكية هي خطط المشروع
وخطط االستحواذ وخطط التوظيف وخطط الميزانية وخطط الصيانة وخطط الدعم وخطط تطوير
النظام.
الخطة التشغيلية الخطة التشغيلية هي خطة قصيرة المدى ومفصلة للغاية تستند إلى الخطط اإلستراتيجية
والتكتيكية .إنه صالح أو مفيد فقط لفترة قصيرة .يجب تحديث الخطط التشغيلية في كثير من األحيان
(مثل الشهرية أو ربع السنوية) لالحتفاظ باالمتثال للخطط التكتيكية .توضح الخطط التشغيلية كيفية
تحقيق األهداف المختلفة للمنظمة .وهي تشمل تخصيصات الموارد ومتطلبات الميزانية وتعيينات
التوظيف والجدولة واإلجراءات التدريجية أو إجراءات التنفيذ .تتضمن الخطط التشغيلية تفاصيل حول
كيفية امتثال عمليات التنفيذ لسياسة أمن المنظمة .من أمثلة الخطط التشغيلية خطط التدريب وخطط نشر
النظام وخطط تصميم المنتج .األمن عملية مستمرة .وبالتالي ،قد يكون لنشاط تخطيط إدارة األمن نقطة
انطالق محددة ،لكن مهامه وعمله ال يتم إنجازه أو اكتماله بالكامل .تركز الخطط األمنية الفعالة االنتباه
على أهداف محددة وقابلة للتحقيق ،وتتوقع التغيير والمشاكل المحتملة ،وتعمل كأساس لصنع القرار
في المنظمة بأكملها .يجب أن تكون الوثائق األمنية محددة ومحددة جي ًدا ومعلنة بوضوح .لكي تكون
خطة األمن فعالة ،يجب تطويرها وصيانتها واستخدامها فعليًا.
شريحة 32
العمليات التنظيمية
تحتاج إدارة األمن إلى معالجة كل جانب من جوانب المنظمة.
لم يعد.
إلى حوكمة أمنية قوية هي تغيير التحكم /إدارة التغيير وتصنيف البيانات.
شريحة 33
التحكم في التغيير /اإلدارة
جانب آخر مهم إلدارة األمن هو السيطرة أو
ادارة التغيير .يمكن للتغيير في بيئة آمنة
إدخال الثغرات والتداخالت واألشياء المفقودة واإلغفاالت التي يمكن
يؤدي إلى نقاط ضعف جديدة .الطريقة الوحيدة للحفاظ على األمن في
وجه التغيير هو إدارة التغيير بشكل منهجي .هذا عادة
يتضمن التخطيط الشامل واالختبار والتسجيل والتدقيق والمراقبة
من األنشطة المتعلقة بالضوابط واآلليات األمنية .التسجيالت
من التغييرات التي تطرأ على بيئة ما لتحديد عوامل
التغيير ،سواء كانت تلك العوامل كائنات أو موضوعات أو برامج ،
مسارات االتصال ،أو حتى الشبكة نفسها.
الهدف من إدارة التغيير هو التأكد من أن أي تغيير ال يحدث
يؤدي إلى تقليل األمان أو تعرضه للخطر .إدارة التغيير أيضا
مسؤوالً عن جعل من الممكن التراجع عن أي تغيير إلى سابق
دولة آمنة .يمكن تنفيذ إدارة التغيير على أي
على الرغم من مستوى األمان .في النهاية ،إدارة التغيير
يحسن أمن البيئة من خالل حماية التنفيذ
األمان من التخفيضات غير المقصودة أو العرضية أو المتأثرة في
األمان .على الرغم من أن الهدف المهم إلدارة التغيير هو
منع التخفيضات? غير المرغوب فيها في األمن ،والغرض األساسي منه هو
جعل جميع التغييرات تخضع لوثائق ومراجعة مفصلة و
وبالتالي يمكن مراجعتها وفحصها من قبل اإلدارة.
يجب استخدام إدارة التغيير لإلشراف على التعديالت لكل
جانب من جوانب النظام ،بما في ذلك تكوين األجهزة وتشغيلها
النظام ( )OSوالبرامج التطبيقية .يجب أن تكون إدارة التغيير
المدرجة في التصميم والتطوير واالختبار والتقييم والتنفيذ ،
التوزيع والتطور والنمو والتشغيل المستمر والتعديل.
يتطلب جر ًدا مفصالً لكل مكون وتكوين.
كما يتطلب جمع وصيانة كاملة
وثائق لكل مكون من مكونات النظام ،من األجهزة إلى
البرنامج ومن إعدادات التكوين إلى ميزات األمان.
عملية التحكم في تغيير التكوين أو إدارة التغيير
له عدة أهداف أو متطلبات:
تنفيذ التغييرات بطريقة مراقبة ومنظمة .التغييرات
يتم التحكم بها دائمًا.
يتم تضمين عملية اختبار رسمية للتحقق من أن التغيير
ينتج النتائج المتوقعة.
يمكن عكس جميع التغييرات (المعروفة أيضًا باسم backoutأو التراجع
الخطط /اإلجراءات)?.
يتم إبالغ المستخدمين بالتغييرات قبل حدوثها لمنع فقدان ملفات
إنتاجية.
يتم تحليل آثار التغييرات بشكل منهجي لتحديد
ما إذا كان األمان أو العمليات? التجارية تتأثر سلبًا.
التأثير السلبي للتغييرات على القدرات والوظائف و
يتم تقليل األداء.
تتم مراجعة التغييرات والموافقة عليها من قبل المجلس االستشاري للتغيير
Change Advisory Board
()CAB
أحد األمثلة على عملية إدارة التغيير هو التشغيل المتوازي ،والذي
هو نوع من اختبار نشر النظام الجديد حيث يكون النظام الجديد و
يتم تشغيل النظام القديم بالتوازي .كل مستخدم رئيسي أو مهم
يتم تنفيذ العملية على كل نظام في وقت واحد للتأكد من أن
يدعم النظام الجديد جميع وظائف األعمال المطلوبة القديمة
نظام مدعوم أو مقدم.
شريحة 35
تصنيف البيانات
تصنيف البيانات ،أو تصنيفها ،هو الوسيلة األساسية التي يتم من خاللها
تتم حماية البيانات? بنا ًء على حاجتها إلى السرية أو الحساسية أو
سرية .من غير المجدي معالجة جميع البيانات بنفس الطريقة عندما
تصميم وتنفيذ نظام أمني بسبب بعض البيانات?
تحتاج العناصر إلى مزيد من األمان أكثر من غيرها .تأمين كل شيء عند
أدنى مستوى
مستوى األمان يعني سهولة الوصول إلى البيانات? الحساسة .تأمين
عال باهظ التكلفة ويقيد الوصول
كل شيء على مستوى أمان ٍ
إلى بيانات غير مصنفة وغير حرجة .تصنيف البيانات يستخدم ل
تحديد مقدار الجهد والمال والموارد المخصصة لها
حماية البيانات والتحكم في الوصول إليها .تصنيف البيانات ،أو
التصنيف ،هو عملية تنظيم العناصر واألشياء والموضوعات ،
وما إلى ذلك في مجموعات أو فئات أو مجموعات متشابهة.
يمكن أن تشمل أوجه التشابه هذه القيمة والتكلفة والحساسية والمخاطر ،
الضعف ،أو القوة ،أو االمتياز ،أو المستويات المحتملة للخسارة أو الضرر
،أو
بحاجة إلى معرفة.
الهدف األساسي من مخططات تصنيف البيانات? هو إضفاء? الطابع الرسمي
وطبقية عملية تأمين البيانات بنا ًء على الملصقات المخصصة لـ
األهمية والحساسية .يتم استخدام تصنيف البيانات لتوفير
آليات األمان لتخزين ومعالجة ونقل البيانات ?.هو -هي
يتناول أيضًا كيفية إزالة البيانات? من النظام وتدميرها.
فيما يلي فوائد استخدام نظام تصنيف البيانات:
إنه يوضح التزام المنظمة بالحماية
الموارد واألصول القيمة.
يساعد في تحديد تلك األصول األكثر أهمية أو
قيمة للمنظمة.
يضفي مصداقية على اختيار آليات الحماية.
غالبًا ما يكون مطلوبًا لالمتثال التنظيمي أو القيود القانونية.
يساعد على تحديد مستويات الوصول وأنواع االستخدامات المصرح بها و
معلمات لرفع السرية و /أو تدمير الموارد
التي لم تعد ذات قيمة.
إنها تساعد في إدارة دورة حياة البيانات? والتي تمثل في جزء منها التخزين
طول (االحتفاظ) ،واستخدامها ،وإتالف البيانات.
تختلف المعايير التي يتم من خاللها تصنيف البيانات بنا ًء على المنظمة
أداء التصنيف .ومع ذلك ،يمكنك جمع العديد
العموميات من أنظمة التصنيف المشتركة أو الموحدة:
فائدة البيانات
دقة توقيت البيانات?
قيمة أو تكلفة البيانات
نضج أو عمر البيانات?
عمر البيانات? (أو عندما تنتهي صالحيتها)
االرتباط بالموظفين
تقييم الضرر عند الكشف عن البيانات (أي كيفية الكشف عن
ستؤثر البيانات على المنظمة)
تقييم الضرر الناجم عن تعديل البيانات? (أي كيف يمكن لـ
تعديل البيانات? سيؤثر على المنظمة)
تداعيات البيانات على األمن القومي
الوصول المصرح به إلى البيانات? (أي من لديه حق الوصول إلى البيانات)?
تقييد من البيانات (أي ،من هو مقيد من البيانات)
صيانة البيانات ومراقبتها (أي من ينبغي
الحفاظ على البيانات ومراقبتها)
تخزين البيانات
باستخدام أي معايير مناسبة للمنظمة ،والبيانات
تم تقييمها ،ويتم تعيين تسمية تصنيف بيانات مناسبة لها.
في بعض الحاالت? ،يتم إضافة التسمية إلى كائن البيانات .في حاالت أخرى،
يحدث وضع العالمات تلقائيًا عند وضع البيانات في وحدة تخزين
آلية أو خلف آلية حماية أمنية.
لتنفيذ مخطط التصنيف ،يجب إجراء سبعة تخصصات? رئيسية
خطوات أو مراحل:
.1تحديد أمين الحفظ وتحديد مسؤولياته.
.2حدد معايير التقييم لكيفية ظهور المعلومات
مصنفة ومُص َّنفة.
.3تصنيف وتسمية كل مورد( .يقوم المالك? بهذه الخطوة ،لكن
يجب على المشرف مراجعتها).
.4توثيق أي استثناءات لسياسة التصنيف
اكتشفها ودمجها في معايير التقييم.
.5حدد عناصر التحكم األمنية التي سيتم تطبيقها على كل منها
مستوى التصنيف لتوفير مستوى الحماية الالزم.
.6تحديد إجراءات رفع السرية عن الموارد و
إجراءات? نقل عهدة مورد إلى جهة خارجية
كيان.
.7إنشاء برنامج توعية على مستوى المؤسسة إلرشاد الجميع
أفراد حول نظام التصنيف.
غالبًا ما يتم التغاضي عن رفع السرية عند تصميم التصنيف
النظام وتوثيق إجراءات? االستخدام .رفع السرية هو
مطلوب مرة واحدة لم يعد أحد األصول يستدعي أو يحتاج إلى حماية
التصنيف أو مستوى الحساسية المعين حاليًا .بعبارات أخرى،
إذا كان األصل جدي ًدا ،فسيتم تعيين تصنيف حساسية أقل له
مما تم تعيينه حاليًا .عندما تفشل األصول في رفع السرية عنها
الالزمة ،وتضيع موارد األمن ،وقيمة وحماية
تنخفض مستويات الحساسية األعلى.
مخططا التصنيف الشائعان هما الحكومة /الجيش
التصنيف (الشكل )1.4واألعمال التجارية /القطاع الخاص
تصنيف .هناك خمسة مستويات حكومية /عسكرية
التصنيف (مدرج هنا من األعلى إلى األدنى):
سري للغاية هو أعلى مستوى من التصنيف .ال
الكشف غير المصرح به عن البيانات السرية للغاية سيكون له تأثيرات جذرية
و
إلحاق ضرر جسيم باألمن القومي .البيانات السرية للغاية هي
مقسمة على أساس الحاجة إلى المعرفة بحيث يمكن للمستخدم
لديك تصريح سري للغاية ولديك حق الوصول إلى أي بيانات حتى يمتلك
المستخدم
بحاجة الى معرفة.
يستخدم Secret Secretللبيانات ذات الطبيعة المقيدة .غير المصرح به
الكشف عن البيانات المصنفة على أنها سرية سيكون له تأثيرات كبيرة و
تسبب ضررا خطيرا لألمن القومي.
يستخدم Confidential Confidentialمع البيانات الحساسة ،والملكية ،
أو الطبيعة ذات القيمة العالية .الكشف غير المصرح به عن البيانات?
تصنف على أنها سرية سيكون لها آثار ملحوظة ويسبب خطورة
اإلضرار باألمن القومي .يستخدم هذا التصنيف لجميع البيانات
بين التصنيفات? السرية والحساسة ولكن غير المصنفة.
حساس لكن غير مصنف حساس لكن غير مصنف Sensitive but
) unclassified (SBUمستخدم
للبيانات المخصصة لالستخدام الداخلي أو لالستخدام المكتبي فقط for office
) .use only (FOUO) (FOUOغالبا ً
يتم استخدام SBUلحماية المعلومات التي قد تنتهك حقوق الخصوصية
من األفراد .هذه ليست تسمية تصنيف تقنيًا ؛ بدال من ذلك ،هو كذلك
عالمة أو ملصق يستخدم لإلشارة إلى االستخدام أو اإلدارة.
يتم استخدام Unclassified Unclassifiedللبيانات غير الحساسة
وال تصنف .الكشف عن البيانات غير السرية ال
المساومة على السرية أو التسبب في أي ضرر ملحوظ .هذا هو
ليس من الناحية الفنية تسمية تصنيف ؛ بدالً من ذلك ،فهي عالمة أو تسمية
تستخدم لإلشارة إلى االستخدام أو اإلدارة.
شريحة 36
.1تحديد أمين الحفظ ،تحديد المسؤوليات.
.2تحديد معايير التقييم.
.3تصنيف وتسمية كل مورد.
.4توثيق أي استثناءات.
.5حدد عناصر التحكم في األمان لكل مستوى.
.6تحديد رفع السرية والتحويل الخارجي?.
.7إنشاء برنامج توعية على مستوى المؤسسة.
شريحة 38
األدوار والمسؤوليات التنظيمية
دور األمان هو الدور الذي يلعبه الفرد في المخطط العام لـتنفيذ وإدارة األمن
داخل المنظمة.
ال يتم تحديد األدوار األمنية بالضرورة في التوصيفات الوظيفية
ألنها ليست دائمًا مميزة أو ثابتة .اإللمام باألمن
ستساعد األدوار في إنشاء هيكل لالتصاالت والدعم
داخل المنظمة .هذا الهيكل سيمكن النشر وتطبيق سياسة األمن .األدوار الستة
التالية هي
يتم تقديمها بالترتيب المنطقي الذي تظهر به في ملف مضمون
بيئة:
مدير أول دور المالك التنظيمي (مدير أول) هو
يتم تعيينه للشخص المسؤول النهائي عن األمن
تحتفظ بها منظمة ومن يجب أن يكون أكثر اهتمامًا
حول حماية أصولها .يجب على المدير األول تسجيل الخروج
جميع قضايا السياسة .في الواقع ،يجب الموافقة على جميع األنشطة والتوقيع
عليها من قبل المدير األول قبل أن يتم تنفيذها .هنالك
ال توجد سياسة أمنية فعالة إذا لم يأذن المدير األول
ودعمها .موافقة المدير األول على األمن
تشير السياسة إلى الملكية المقبولة لألمان المنفذ
داخل المنظمة .المدير األول هو الشخص الذي سيكون
يتحمل المسؤولية عن النجاح? الشامل أو الفشل في حل أمني وهو
مسؤول عن ممارسة العناية الواجبة واالجتهاد الواجب في إنشاء
األمن لمنظمة.
على الرغم من أن كبار المديرين مسؤولون في النهاية عن األمن ،
نادرً ا ما يطبقون الحلول األمنية .في معظم الحاالت? ،هذا
يتم تفويض المسؤولية إلى متخصصي األمن داخل منظمة.
محترف األمن األمن المحترف والمعلومات
أمان ( )InfoSecالخاص بـ ، icerأو فريق االستجابة لحوادث الكمبيوتر (
)CIRT
يتم تعيين الدور لشبكة وأنظمة و
مهندس أمن مسئول عن إتباع التوجيهات
بتكليف من اإلدارة العليا .خبير األمن لديه
المسؤولية الوظيفية لألمن ،بما في ذلك كتابة األمن
السياسة وتنفيذها .يمكن أن يكون دور متخصص األمن
المسمى دور وظيفة .IS / ITدور محترف األمن هو
غالبًا ما يشغلها فريق مسؤول عن التصميم و
تنفيذ الحلول األمنية على أساس األمان المعتمد
سياسات .المتخصصون في مجال األمن ليسوا من صناع القرار .هم انهم
المنفذين .يجب ترك جميع القرارات لكبير المديرين.
مالك البيانات? يتم تعيين دور مالك البيانات إلى الشخص الذي يتم تعيينه
مسؤول عن تصنيف المعلومات من أجل التنسيب والحماية
ضمن الحل األمني .عادة ما يكون مالك البيانات? رفيع المستوى
المدير المسؤول النهائي عن حماية البيانات ?.لكن،
عادة ما يفوض مالك البيانات مسؤولية البيانات الفعلية
مهام اإلدارة ألمين البيانات?.
أمين حفظ البيانات يتم إسناد دور أمين البيانات إلى المستخدم الذي
مسؤول عن مهام تنفيذ الحماية المقررة
التي تحددها السياسة األمنية واإلدارة العليا .البيانات
يقوم أمين الحفظ بجميع األنشطة الالزمة لتوفير ما يكفي
حماية ( CIA Triadالسرية والنزاهة و
توافر) البيانات والوفاء بالمتطلبات والمسؤوليات
مفوض من اإلدارة العليا .يمكن أن تشمل هذه األنشطة
أداء واختبار النسخ االحتياطية والتحقق من سالمة البيانات والنشر
حلول األمان وإدارة تخزين البيانات على أساس التصنيف.
المستخدم يتم تعيين دور المستخدم (المستخدم النهائي أو المشغل) إلى أي
شخص
من لديه حق الوصول إلى النظام اآلمن .وصول المستخدم مرتبط بـ
مهام العمل ومحدودة بحيث يكون لديهم وصول كا ٍ
ف فقط ألدائها
المهام الالزمة لمنصب وظيفتهم (مبدأ أقل
شرف) .المستخدمون مسؤولون عن فهم ودعم
السياسة األمنية لمنظمة من خالل اتباع العملية المحددة
اإلجراءات والتشغيل ضمن معايير أمنية محددة.
المدقق المدقق مسؤول عن المراجعة والتحقق من أن
يتم تنفيذ سياسة األمن بشكل صحيح واألمان المشتق
الحلول كافية .قد يتم تعيين دور المدقق إلى ورقة مالية
مستخدم محترف أو مدرب .ينتج المدقق االمتثال و
تقارير الفعالية التي يتم مراجعتها من قبل كبار المديرين .مشاكل
المكتشفة من خالل هذه التقارير تتحول إلى توجيهات جديدة
المعين من قبل المدير األول إلى متخصصي األمن أو البيانات
األوصياء .ومع ذلك ،تم إدراج المدقق باعتباره الدور األخير ألن
يحتاج المدقق إلى مصدر للنشاط (أي المستخدمين أو المشغلين العاملين
في بيئة) للتدقيق أو المراقبة.
كل هذه األدوار تخدم وظيفة مهمة داخل مضمون
بيئة .فهي مفيدة لتحديد المسؤولية و
المسؤولية وكذلك لتحديد اإلدارة الهرمية ومخطط التفويض.
شريحة 38
أطر مراقبة األمن
غالبًا ما تتضمن صياغة موقف أمني لمنظمة ما الكثير
من مجرد كتابة بعض الم ُُثل السامية .في معظم الحاالت? ،كبير
يذهب مقدار التخطيط في تطوير سياسة أمنية متينة .عديدة
قد يتعرف معجبو Dilbertعلى المفهوم الذي يبدو سخي ًفا لعقد a
اجتماع للتخطيط الجتماع في المستقبل .لكن اتضح أن
يجب أن يبدأ التخطيط لألمن بالتخطيط للتخطيط ،ثم االنتقال إليه
التخطيط للمعايير واالمتثال ،واالنتقال أخيرً ا إلى
تطوير وتصميم الخطة الفعلية .تخطي أي من هذه "التخطيط
للتخطيط "يمكن أن تعرقل الحلول األمنية للمؤسسة قبلها
حتى يبدأ.
تعتبر إحدى أولى خطوات التخطيط األمني وأهمها
النظر في اإلطار العام للتحكم األمني أو هيكل
الحل األمني الذي تريده المنظمة .يمكنك االختيار من بينها
عدة خيارات فيما يتعلق بالبنية التحتية لمفهوم األمن ؛ ومع ذلك،
التحكم هو أحد أطر التحكم األمنية األكثر استخدامًا
أهداف المعلومات والتكنولوجيا ذات الصلة ( COBIT .)COBITهو
مجموعة موثقة من أفضل ممارسات أمن تكنولوجيا المعلومات التي وضعها
جمعية تدقيق ومراقبة نظم المعلومات ( .)ISACAهو -هي
يحدد أهداف ومتطلبات الضوابط األمنية و
يشجع على رسم خرائط للمثل العليا ألمن تكنولوجيا المعلومات ألهداف
العمل.
يستند COBIT 5إلى خمسة مبادئ أساسية للحوكمة و
إدارة تكنولوجيا المعلومات في المؤسسة:
المبدأ :1تلبية احتياجات? أصحاب المصلحة
المبدأ :2تغطية المؤسسة من البداية إلى النهاية
المبدأ :3تطبيق إطار واحد متكامل
المبدأ :4تمكين نهج شامل
المبدأ الخامس :فصل الحوكمة عن اإلدارة
ال يتم استخدام COBITفقط لتخطيط أمن تكنولوجيا المعلومات لمنظمة ما
ضا كدليل إرشادي للمراجعين COBIT .معترف به على نطاق واسع ولكن أي ً
و
إطار مراقبة أمنية محترم.
لحسن الحظ ،تمت اإلشارة إلى COBITبشكل متواضع فقط في االمتحان ،
لذلك
مزيد من التفاصيل ليست ضرورية .ومع ذلك ،إذا كان لديك اهتمام بهذا
المفهوم ،يرجى زيارة موقع ) ، ISACA (www.isaca.orgأو إذا كنت
تريد
هناك العديد من المعايير والمبادئ التوجيهية األخرى ألمن تكنولوجيا
المعلومات .قليلة
من هؤالء هم:
دليل منهجية اختبار األمان مفتوح المصدر ()OSSTMM
( :)/ www.isecom.org/ researchدليل تمت مراجعته من قِبل النظراء
لـ
اختبار وتحليل البنية التحتية األمنية
( ISO / IEC 27002التي حلت محل ( )ISO 17799
:)https://www.iso.org/standard/ 54533.htmlدولي
المعيار الذي يمكن أن يكون أساس التنفيذ التنظيمي
األمن والممارسات اإلدارية ذات الصلة
مكتبة البنية التحتية لتكنولوجيا المعلومات ()ITIL
( :)www.itlibrary.orgوضعت في البداية من قبل الحكومة البريطانية ،
ITILعبارة عن مجموعة من أفضل الممارسات الموصى بها ألمن تكنولوجيا
المعلومات األساسي و
العمليات التشغيلية وغالبًا ما تستخدم كنقطة انطالق لـصياغة حل مخصص
ألمن تكنولوجيا المعلومات
شريحة 40
توخي العناية الواجبة العناية المعقولة لحماية مصالح المنظمة.
االجتهاد الواجب هي ممارسة األنشطة التي تحافظ على جهود العناية الواجبة.
العناية الواجبة واالجتهاد الواجب?
لماذا التخطيط للتخطيط األمني بهذه األهمية؟ سبب واحد هو
شرط العناية الواجبة واالجتهاد الواجب ?.يتم استخدام العناية الواجبة
رعاية معقولة لحماية مصالح منظمة .بسبب
االجتهاد هو ممارسة األنشطة التي تحافظ على جهود العناية الواجبة.
على سبيل المثال ،تعمل العناية الواجبة على تطوير هيكل أمني رسمي
تحتوي على سياسة أمنية ومعايير وخطوط أساسية وإرشادات و
إجراءات ?.االجتهاد الواجب هي استمرار تطبيق هذا األمن
هيكل على البنية التحتية لتكنولوجيا المعلومات للمؤسسة .التشغيل
األمن هو الصيانة المستمرة للعناية الواجبة المستمرة والمستحقة
االجتهاد من قبل جميع األطراف المسؤولة داخل المنظمة.
في بيئة األعمال اليوم ،الحكمة إلزامية .إظهار موعد االستحقاق
الرعاية والعناية الواجبة هي الطريقة الوحيدة لدحض اإلهمال في
حدوث الخسارة .يجب على اإلدارة العليا إظهار العناية الواجبة والمستحقة
االجتهاد لتقليل مسؤوليتهم ومسؤوليتهم عند حدوث خسارة.
استفدت ايه من CIAوعالقتهم يجي معنى بعدين risk management