Professional Documents
Culture Documents
Cybersecurity Roles and Responsibilities Template Ar
Cybersecurity Roles and Responsibilities Template Ar
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس,,يبراني كمث,,ال توض,,يحي يمكن اس,,تخدامه ك,,دليل
ومرجع للجهات .يجب أن يتم تعديل ه,ذا النم,وذج ومواءمت,ه م,ع أعم,ال <اس,م الجه,ة> والمتطلب,ات التش,ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض,,ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج أدوار ومسؤوليات األمن السيبراني
اعتماد الوثيقة
نسخ الوثيقة
<أدخل وصف التعديل> <أدخل االسم الكامل للموظف> اضغط هنا إلضافة تاريخ <أدخل رقم النسخة>
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج أدوار ومسؤوليات األمن السيبراني
قائمة المحتويات
مقدمة5.......................................................................................................................
الغرض5.....................................................................................................................
نطاق الوثيقة5...............................................................................................................
جدول فصل مسؤوليات المكونات الفرعية للضوابط األساسية لألمن السيبراني (5........)ECC-1:2018
األدوار والمسؤوليات المتعلقة باألمن السيبراني 7....................................................................
<صاحب الصالحية>7.........................................................................................................................
أعضاء اللجنة اإلشرافية لألمن السيبراني7.................................................................................................
<رئيس اإلدارة المعنية باألمن السيبراني> 9...............................................................................................
األدوار والمسؤوليات الخاصة <باإلدارة المعنية باألمن السيبراني>11...............................................................
<رئيس مكتب إدارة البيانات> 51............................................................................................................
موظفو <مكتب إدارة البيانات>52...........................................................................................................
<رئيس اإلدارة المعنية بتقنية المعلومات>57..............................................................................................
موظفو <اإلدارة المعنية بتقنية المعلومات>58.............................................................................................
األدوار والمسؤوليات الخاصة ب<أمن تقنية المعلومات> 59...........................................................................
<مسؤول تطوير التطبيقات>68..............................................................................................................
المعنيون بتطوير التطبيقات69................................................................................................................
<مسؤول عمليات تقنية المعلومات>70.....................................................................................................
المعنيون بعمليات تقنية المعلومات71........................................................................................................
<رئيس اإلدارة المعنية بالموارد البشرية>72..............................................................................................
موظفو <اإلدارة المعنية بالموارد البشرية> 73............................................................................................
<رئيس اإلدارة المعنية بالتدقيق الداخلي> 74..............................................................................................
موظفو <اإلدارة المعنية بالتدقيق الداخلي>75.............................................................................................
<اإلدارة المعنية بالشؤون القانونية>75.....................................................................................................
موظفو <اإلدارة المعنية بالشؤون القانونية>76............................................................................................
جميع العاملين في <اسم الجهة>76..........................................................................................................
جدول فصل مهام إدارة وتشغيل األنظمة واألدوات المتعلقة باألمن السيبراني78..............................
األدوار والمسؤوليات 79..................................................................................................
التحديث والمراجعة 79....................................................................................................
اإلصدار <>1.0
3
نموذج أدوار ومسؤوليات األمن السيبراني
اإلصدار <>1.0
4
نموذج أدوار ومسؤوليات األمن السيبراني
مقدمة
تم تطوير هذه الوثيقة لتحدي,,د األدوار والمس,,ؤوليات الالزم,,ة لتلبي,,ة متطلب,,ات األمن الس,,يبراني ودعم,,ه
وتعزيزه في <اسم الجهة> ،ويجب على جميع األطراف المشاركة في تطبيق برامج ومتطلبات األمن الس,,يبراني
فهم أدوارهم والقيام بمسؤولياتهم المتعلقة باألمن السيبراني في <اسم الجهة>.
الغرض
ته,,دف ه,,ذه الوثيق,,ة إلى تحدي,,د أدوار ومس,,ؤوليات األمن الس,,يبراني في <اس,,م الجه,,ة> وذل,,ك لتحقي,,ق
الغرض األساسي من الوثيقة وهو التأكد من أن جميع األط,راف المش,,اركة في تط,,بيق ض,,وابط األمن الس,,يبراني
في الجهة على دراية بمس,,ؤولياتهم في تط,,بيق ب,,رامج ومتطلب,,ات األمن الس,,يبراني في <اس,,م الجه,,ة> والجه,,ات
التابعة لها .هذه األدوار والمسؤوليات تمت موائمتها مع اإلطار السعودي لك,,وادر األمن الس,,يبراني الص,,ادر من
الهيئة الوطنية لألمن السيبراني (.)SCyWF – 1:2020
نطاق الوثيقة
تطبق هذه الوثيقة على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
اإلصدار <>1.0
5
نموذج أدوار ومسؤوليات األمن السيبراني
اإلصدار <>1.0
6
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تأسيس <اإلدارة المعني,ة ب,األمن الس,يبراني> وض,مان اس,تقالليتها لع,دم تض,ارب المص,الح ،وتع,يين
1
<رئيس اإلدارة المعينة باألمن السيبراني> وأن يكون سعودي الجنسية.
تخصيص الميزانية الكافية لمتطلبات األمن السيبراني بما في ذلك ميزانية الموارد البشرية. 4
اعتماد استراتيجية األمن السيبراني بعد رفعها لّلجنة اإلشرافية لألمن السيبراني. 5
اعتماد سياسات وإجراءات األمن السيبراني من قبل ص,,احب الص,,الحية بع,,د رفعه,,ا لّلجن,,ة اإلش,,رافية
6
لألمن السيبراني.
اعتم,,اد وثيق,,ة حوكم,,ة األمن الس,,يبراني والهيك,,ل التنظيمي واألدوار والمس,,ؤوليات الخاص,,ة ب,,األمن
7
السيبراني بعد رفعهما لّلجنة اإلشرافية لألمن السيبراني في <اسم الجهة> من قبل صاحب الصالحية.
اعتماد وثيقة إدارة المخاطر السيبرانية بعد رفعهما لّلجنة اإلشرافية لألمن السيبراني. 8
االطالع على تقارير حالة األمن السيبراني دورًيا ،وتوفير الدعم المطلوب. 9
المسؤوليات #
متابعة المتطلبات األمنية وفًق ا للوثيقة المنظمة للجنة اإلشرافية لألمن السيبراني في <اسم الجهة>. 1
ترسيخ مبادئ المساءلة والمسؤولية والصالحية من خالل تحديد األدوار والمسؤوليات به,,دف حماي,,ة
2
األصول المعلوماتية والتقنية الخاصة ب<اسم الجهة>.
التأكد من وجود وثيقة معتمدة توضح منهجي,,ة إدارة وتق,,ييم المخ,,اطر الس,,يبرانية ومس,,توى المخ,,اطر
المقبول ( )Risk Appetiteلدى <اسم الجهة> ،ومراجعتها بشكل مستمر أو عند حدوث أي تغيير 3
جوهري في مستوى المخاطر المقبول.
اإلصدار <>1.0
7
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
الموافقة على إجراءات إدارة مخاطر األمن السيبراني ودعمها ومراقبتها. 4
مراجعة استراتيجية األمن السيبراني لضمان توافقها مع األهداف االستراتيجية ل<اس,م الجه,ة> قب,ل
6
اعتمادها من صاحب الصالحية.
اعتماد خطة العمل الخاصة بتنفيذ استراتيجية األمن السيبراني ودعمها ومراقبتها. 7
اعتماد مبادرات ومشاريع األمن السيبراني (مثل :برنامج التوعية باألمن السيبراني ،وحماية البيانات
9
والمعلومات ،وغيرها) ودعمها ومراقبتها.
مراجع,,ة التق,,ارير الدوري,,ة الص,,ادرة من <اإلدارة المعني,,ة ب,,األمن الس,,يبراني> وال,,تي تش,,تمل على
مشاريع األمن السيبراني ،والحالة العامة لوضع األمن السيبراني ،والمخاطر السيبرانية الداخلية التي
12
قد تؤثر على عمل <اسم الجهة> ،وكذلك المخاطر السيبرانية الخارجية والتي قد تؤثر بشكل مباش,,ر
أو غير مباشر على أعمال <اسم الجهة> ،وتقديم الدعم الالزم لمواجهة تلك المخاطر.
مراجعة التقارير الخاصة بمخاطر األمن السيبراني ومتابعة معالجتها وتقديم ال,,دعم الالزم لمعالجته,,ا
13
أو العمل على تقليلها.
مراجعة التقارير األمنية الخاصة بحوادث األمن السيبراني وتقديم التوصيات بشأنها. 14
مراجعة طلبات االستثناءات الخاصة باألمن السيبراني وتقديم التوصيات بشأنها. 15
متابعة تقارير حالة حزم التحديثات واإلصالحات األمنية ،وتقييم الثغرات األمنية على جميع األصول
16
التقنية والمعلوماتية والتأكد من معالجتها.
مراجعة نتائج تدقيق األمن السيبراني الداخلي والخارجي ،والتأك,,د من وج,,ود خط,,ة مناس,,بة لمعالج,,ة
17
المالحظات المكتشفة ومتابعتها وتقديم الدعم الالزم لمعالجتها.
رفع التقارير الدورية عن حالة األمن السيبراني والدعم المطلوب لصاحب الصالحية. 18
مراجعة حالة االلتزام بالمتطلبات الداخلية للجهة والمتطلبات التشريعية الص,,ادرة من الهيئ,,ة الوطني,,ة 19
اإلصدار <>1.0
8
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
لألمن السيبراني.
المسؤوليات #
التواص,,ل الفّع ال م,,ع اإلدارة العلي,,ا بش,,أن ج,,وانب األمن الس,,يبراني ،والتأك,,د من أن متطلب,,ات األمن
1
السيبراني لتقنية المعلومات تتوافق مع استراتيجية األمن السيبراني في الجهة.
التع,,اون م,,ع أص,,حاب المص,,لحة لض,,مان تلبي,,ة ب,,رامج اس,,تمرارية األعم,,ال والتع,,افي من الك,,وارث
2
لمتطلبات الجهة.
اإلشراف على الموظفين القائمين على مهام األمن السيبراني وإسناد األعمال إليهم بفاعلية. 4
رفع الوعي بالسياسة واالستراتيجية السيبرانية بين مدراء اإلدارات في الجهة. 6
العمل مع أصحاب المصلحة لتطوير سياسات األمن الس,,يبراني والوث,,ائق المص,,احبة بم,,ا يتواف,,ق م,,ع
7
استراتيجية األمن السيبراني للجهة.
ض,,مان تق,,ديم ال,,دعم لتط,,بيق السياس,,ات والعملي,,ات واإلج,,راءات ذات العالق,,ة بالخصوص,,ية واألمن
11
السيبراني.
ض,,مان وض,,ع الض,,وابط المالئم,,ة للح,,د من مخ,,اطر األمن الس,,يبراني بفاعلي,,ة ومعالج,,ة مخ,,اوف
12
الخصوصية خالل عملية تقييم المخاطر.
ضمان تقديم الدعم لتنفيذ وحفظ برنامج إدارة مخاطر األمن السيبراني. 13
اإلصدار <>1.0
9
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
ضمان عكس مبادئ سليمة لألمن السيبراني على رسالة الجهة ورؤيتها وأهدافها. 14
حي,,ازة الم,,وارد الالزم,,ة لتط,,وير وتط,,بيق عملي,,ات فّعال,,ة تل,,بي األه,,داف األمني,,ة والمعلوماتي,,ة
15
االستراتيجية.
فهم الحالة األمنية لمعلومات الجهة والتعبير عنها خالل عمليات التمحيص القانوني والتنظيمي. 16
دعم األمن السيبراني وإبراز قيمته لدى أصحاب المصلحة في الجهة. 17
التواصل بفاعلية مع األطراف الخارجية عند وقوع حادث أمن سيبراني. 18
ضمان مراجعة فاعلية ضوابط األمن السيبراني للجهة ومواءمتها ألهدافها االستراتيجية. 19
إدارة التقييم والصيانة الدورية لسياسات األمن السيبراني بالجهة والوثائق ذات العالقة. 20
التأكد من اتخاذ اإلجراءات المالئمة لمعالجة الخطر عند وقوع حادثة متعلق باألمن السيبراني. 21
دعم القض,,ايا األمني,,ة ل,,دى اإلدارة العلي,,ا ،والتأك,,د من ش,,مول األمن الس,,يبراني ض,,من األه,,داف
22
االستراتيجية.
التأك,,د من معالج,,ة اس,,تراتيجية األمن الس,,يبراني للجه,,ة بفعالي,,ة من خالل سياس,,ات األمن الس,,يبراني
23
والوثائق ذات الصلة.
التأكد من تحديد متطلبات األمن السيبراني لكافة أنظمة تقنية المعلومات. 24
تطوير سياسات األمن السيبراني المناسبة والوثائق ذات العالقة وحفظها لضمان حماية البنية التحتي,,ة
25
الحساسة للجهة بشكل مالئم.
التعاون مع أصحاب المصلحة في الجهة واألطراف اآلخرين عند تحديد المتطلبات المستقبلية للخط,,ة
26
االستراتيجية لألمن السيبراني.
تحديد وتعيين الموارد الخبيرة المالئمة للقيام بأنشطة األمن السيبراني في الجهة. 27
حضور الفعاليات الدولية لألمن السيبراني وإلقاء الكلمات فيها عند الحاجة. 28
حيازة الموارد المالئمة لتنفيذ وحفظ جوانب األمن السيبراني لخطة استمرارية أعمال فعالة. 29
تطوير وحفظ خطط استراتيجية لألمن السيبراني تتوافق مع خطة األعمال االستراتيجية للجهة. 30
التأكد من أن متطلبات األمن السيبراني لتقنية المعلومات تتوافق مع اس,,تراتيجية األمن الس,,يبراني في 31
اإلصدار <>1.0
10
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
الجهة.
إدارة الجوانب المالية لألمن السيبراني شاملة إعداد الميزانية وتوفير الموارد. 32
التأكد من فاعلي,,ة إيص,,ال المعلوم,,ات ال,,تي تخص تهدي,,دات األمن الس,,يبراني وأس,,اليب معالجته,,ا إلى
33
األطراف األخرى المهتمة.
المسؤوليات #
إجراء مراجعات األمن السيبراني ،وتحديد الفج,وات في المعماري,ة األمني,ة ،من أج,ل إص,دار خط,ط
1
إلدارة المخاطر السيبرانية.
تحديد وظائف األعمال الحيوية وتصنيف أولوياتها بالتعاون مع أصحاب المصلحة بالجهة. 4
تقديم استشارات بشأن تكاليف المشاريع ،ومفاهيم التصميم التابعة لها ،أو التغييرات على تصاميمها. 5
تقديم المشورة بشأن المتطلبات األمنية المطلوب إدراجها في وثائق المشتريات. 6
تحليل المعمارية المرشحة ،وتخصيص الخدمات األمنية واختيار اآلليات األمنية. 7
تعريف السياق األمني للُن ظم ،ومفهوم العمليات واحتياجاتها المبدئية ،وفًق ا لسياس,,ات األمن الس,,يبراني
8
المطبقة.
تحرير المواصفات الوظيفية التفصيلية التي توثق عملية تطوير المعمارية. 9
تطوير المعمارية المؤسسية أو مكونات النظام المطلوبة لتلبية احتياجات المستخدم. 11
اإلصدار <>1.0
11
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحديد ضوابط األمن لنظم المعلومات والشبكات ،مع توثيقها على نحو مالئم. 13
تعريف لمستويات التوافر المناسبة لوظائف النظم الحرجة ومتطلب,,ات عملي,,ات التع,,افي من الك,,وارث
15
واالستمرارية لتقديمها.
تحديد وترتيب أولويات قدرات الُن ظم أو وظائف األعمال الالزمة الستعادة النظام جزئًي ا أو كلًي ا بع,,د
16
وقوع عطل كارثي.
تطوير ودمج تصاميم األمن السيبراني للُن ظم والشبكات والتي لها متطلبات أمن متعددة المستويات. 17
توثي,,ق ومعالج,,ة متطلب,,ات الجه,,ة لألمن الس,,يبراني في المعماري,,ة وهندس,,ة النظم في كاف,,ة مراح,,ل
18
عمليات الشراء واالستحواذ.
ضمان اتساق الُن ظم والمعمارية التي تمت حيازتها أو تطويرها م,ع إرش,ادات الجه,ة لمعماري,ة األمن
19
السيبراني.
العمل مع أعضاء فريق التطوير المرن لتسريع إعداد نماذج أولية ودراسات الجدوى وتق,,ييم التقني,,ات
21
الحديثة.
تص,ميم ُنظم وحل,ول ل,دعم نج,اح “حل,ول إثب,ات المب,دأ” والمش,اريع التجريبي,ة في مج,االت التقني,ات
22
الناشئة.
تحديد وتوثيق أثر تنفيذ نظام جدي,د أو واجه,ات اتص,ال جدي,دة بين الُن ظم على الوض,ع األم,ني للبيئ,ة
25
الحالية.
تقديم التوصيات بخص,,وص الض,,وابط األمني,,ة ذات الكف,,اءة المالي,,ة لمعالج,,ة المخ,,اطر المكتش,,فة عن
26
طريق االختبار والمراجعة.
اإلصدار <>1.0
12
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقديم حلول سحابية آمنة إلى فرق التط,,وير ،وض,,مان أم,,ان الس,,حب المنقول,,ة ،وأم,,ان عملي,,ة تط,,وير
2
التطبيقات السحابية.
العم,,ل ض,,من ف,,رق متع,,ددة التخصص,,ات كخب,,ير متخص,,ص في مع,,ايير معماري,,ة األمن الس,,حابي
3
ومنهجياتها.
تطوير وتنفيذ استراتيجية سحابية آمنة بالتالزم مع أعمال المعمارية المؤسسية. 5
تطوير وتنفيذ أنماط آمنة الستهالك فرق التقنية للخدمات السحابية. 6
بناء حلول لتحديد بيانات الجهة المتواجدة بداخل البيئات السحابية. 7
توفير الخبرة المتخصصة لتطوير وهندسة الجيل القادم من األمن السيبراني. 8
بناء الضوابط األمنية حيث يلزم لمراقبة وحماية المعلومات المخزنة في البيئ,,ات الس,,حابية على نح,,و
9
مالئم.
تقديم المشورة المتخصصة في أمن معمارية الحوسبة السحابية ش,امال الش,بكات ،والتخ,زين ،وقواع,د
10
البيانات ،والتوفير واإلدارة.
المسؤوليات #
تحليل نتائج التمارين وبيئة النظام للتخطيط وللتوصية بتعديالت وتسويات. 2
اإلشراف على الموظفين القائمين على مهام األمن السيبراني وإسناد األعمال إليهم بفاعلية. 3
اإلصدار <>1.0
13
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
دمج األمن السيبراني في عملية المتطلبات عن طريق تعريف الضوابط األمنية وتوثيقها. 6
إصدار نموذج التهديدات استناًد ا إلى المقابالت مع العمالء وتحديد متطلباتهم. 7
تقييم مواطن االرتباط بين العتاد والبرامج من خالل التشاور مع الكوادر الهندسية. 8
اإلفادة بمعلومات لمهام إعداد األجهزة من خالل تقييم القيود المالية والقيود األمنية. 9
تطبيق المنهجيات إلصالح األخطاء البرمجية الشائعة ذات التبعات األمنية لضمان تط,,وير برمجي,,ات
10
آمنة.
ضمان تضمين األمن السيبراني بداخل عمليات تطوير البرامج ،وحفظها ،وإخراجها من الخدمة. 11
إجراء اختبارات مدمجة لضمان جودة وظائف األنظمة األمنية وصمودها. 12
ترجمة المتطلبات األمنية إلى عناصر تصميم التطبيق ،بما في ذلك توثيق عناصر األجزاء المعرضة
15
للهجوم في البرمجيات وتصميم نماذج للتهديدات وتحديد أي ضوابط أمنية خاصة.
ضمان إجراء اختبارات االختراق عند الحاجة للتطبيقات الجديدة أو المحَّد ثة. 16
توجيه أعمال البرمجة لتطبيقات األمن السيبراني وأعمال تطوير مستنداتها التوثيقية. 18
إجراء أعمال التحليل لتق,,ديم معلوم,,ات إلى أص,,حاب المص,,لحة بم,,ا ي,,دعم تط,,وير تطبيق,,ات أمني,,ة أو
19
تعديلها.
تحليل االحتياجات األمنية ومتطلبات البرمجيات ،لتحديد جدوى التصميم ضمن الحدود الزمنية وقي,ود
20
التكلفة وااللتزامات األمنية.
التشغيل التجريبي للبرامج وتطبيقات البرمجيات ،لضمان إنتاج المعلومات المرغوبة ،وضمان سالمة
21
التعليمات والمستويات األمنية.
اإلصدار <>1.0
14
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إجراء اختبارات ومراجعات وتقييمات البرامج اآلمن,,ة لتحدي,,د م,,واطن الخل,,ل المحتمل,,ة في الش,,فرات
24
البرمجية ومعالجة الثغرات.
تحديد وتوثيق حزم تحديثات اإلص,,الح للبرمجي,,ات أو نط,,اق اإلص,,دارات ال,,ذي سينش,,أ عن,,ه ثغ,,رات
25
بالبرامج.
تحدي,د المش,كالت األمني,ة المتعلق,ة بالتش,غيل المس,تقر لل,برامج وإدارته,ا وعم,ل اإلج,راءات األمني,ة
26
الالزمة عندما يصل منتج معين لنهاية دورة حياته.
المسؤوليات #
البحث في التقنيات المعاصرة لفهم قدرات الدفاع السيبراني المطلوبة من قبل النظم أو الشبكة. 1
تحديد وتطوير أدوات الهندسة العكسية لتعزيز القدرات والكشف عن الثغرات. 2
تطوير قدرات إدارة البيانات اآلمنة لدعم القوى العاملة المتنقلة. 3
مراجع,,ة ب,,رامج التنقيب عن البيان,,ات ومس,,تودعات البيان,,ات وعملياتهم,,ا ومتطلباتهم,,ا ،والتحق,,ق من
4
مصداقيتها.
تحديد استراتيجيات القدرات الس,يبرانية لتط,وير األجه,زة والبرمجي,ات المخصص,ة حس,ب متطلب,ات
5
الجهة.
اتب,,اع مع,,ايير وعملي,,ات دورة حي,,اة هندس,,ة البرمجي,,ات والُن ظم عن,,د تط,,وير نظم وحل,,ول األمن
9
السيبراني.
استكش,,اف أخط,,اء التص,,اميم في نم,,اذج الج,,دوى األولي,,ة ،ومعالج,,ة المش,,اكل ع,,بر مراح,,ل تص,,ميم 10
اإلصدار <>1.0
15
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مراجعة المتطلبات التشغيلية للبحث والتطوير واالستحواذ للق,,درات الس,,يبرانية ،واعتماده,ا ،وت,رتيب
13
أولوياتها ،وتقديمها.
المسؤوليات #
إدارة تجميع البيانات ،وفهرستها ،والتخزين المؤقت لها ،وتوزيعها واسترجاعها. 7
توفير تدفق منظم للمعلومات ذات الصلة (عن طريق البوابات اإللكترونية على الش,,بكة العنكبوتي,,ة أو
8
الوسائل األخرى) حسب متطلبات الرسالة.
التشاور مع محللي الُن ظم والمهندسين والمبرمجين وغيرهم لتصميم تطبيقات األمن السيبراني. 13
اإلصدار <>1.0
16
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقديم توصيات قابلة للتطبيق ألصحاب المصلحة ،استناًد ا إلى تحليل البيانات والنتائج. 17
استخدام المستندات أو الموارد التقنية لتنفيذ طريقة رياضية جديدة أو طريقة تعتمد على علوم البيانات
18
أو علوم الحاسوب.
قراءة النصوص البرمجية البسيطة وتفسيرها وتحريرها وتعديلها وتنفيذها ألداء المهام. 20
استخدام لغات برمجة مختلفة لكتابة الشفرات البرمجية ولفتح الملفات ،ولقراءتها ،ولكتابة المخرج,,ات
21
في ملفات مختلفة.
المسؤوليات #
التواصل الفّع ال مع اإلدارة العليا بشأن الجوانب المالية لألمن السيبراني. 2
التع,,اون م,,ع أص,,حاب المص,,لحة لض,,مان تلبي,,ة ب,,رامج اس,,تمرارية األعم,,ال والتع,,افي من الك,,وارث
3
لمتطلبات الجهة.
التأكد من توافق قدرات االكتش,,اف والحماي,ة الس,,يبرانية م,,ع اس,,تراتيجية وسياس,,ات األمن الس,,يبراني
4
للجهة ،ومع المستندات األخرى ذات العالقة.
اإلصدار <>1.0
17
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التأكد من أن القرارات المتخذة بشأن األمن السيبراني تستند على المبادئ األساسية إلدارة المخاطر. 5
التعرف على أنم,اط ع,دم االل,تزام بسياس,ات األمن الس,يبراني والوث,ائق ذات العالق,ة به,دف تعري,ف
6
طرق لتحسينها.
تتبع نتائج وتوصيات التدقيق لضمان اتخاذ إجراءات معالجة مالئمة. 7
ضمان مراعاة متطلبات الجهة لألمن السيبراني في عمليات ال,دمج واالس,تحواذ واالس,تعانة ب,الموارد
9
الخارجية وغيرها من العمليات التي تشمل طرفا ثالثًا.
المراجع,,ة الدوري,,ة الس,,تراتيجية األمن الس,,يبراني وسياس,,اته والوث,,ائق ذات العالق,,ة للمحافظ,,ة على
10
االلتزام بالقوانين واألنظمة المعمول بها.
ضمان عكس مبادئ سليمة لألمن السيبراني على رسالة الجهة ورؤيتها وأهدافها. 12
حي,,ازة الم,,وارد الالزم,,ة لتط,,وير وتط,,بيق عملي,,ات فّعال,,ة تل,,بي األه,,داف األمني,,ة والمعلوماتي,,ة
13
االستراتيجية.
ضمان جمع وحفظ البيانات الالزمة لتلبية المتطلبات المحددة لتقارير األمن السيبراني. 14
دعم األمن السيبراني وإبراز قيمته لدى أصحاب المصلحة في الجهة. 15
ضمان تقييم أنشطة التحسينات األمنية ،وتنفيذها ومراجعتها حسب الحاجة. 16
ضمان تنسيق حمالت تفتيش األمن السيبراني في البيئة الشبكية ،وأعمال االختبارات والمراجعات. 17
ض,,مان إدراج متطلب,,ات األمن الس,,يبراني في كاف,,ة عملي,,ات التخطي,,ط الس,,تمرارية األعم,,ال وتالفي
18
الكوارث.
ضمان توافق تصاميم معمارية األمن السيبراني مع استراتيجية األمن السيبراني للجهة. 19
تقييم جهود التطوير لألنظمة واإلجراءات الجديدة لضمان تطبيق الضوابط األمنية المناسبة. 20
تحديد استراتيجيات األمن السيبراني البديلة لتحقيق الغاية األمنية للجهة. 21
تحديد تبعات التقنيات الجديدة وأعمال الترقية على األمن السيبراني في جميع أرجاء الجهة. 22
اإلصدار <>1.0
18
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التواصل بفاعلية مع األطراف الخارجية عند وقوع حادث أمن سيبراني. 23
مراجعة قدرات األمن السيبراني للتقنيات الجديدة المقترحة قبل تبني الجه,,ة له,,ا ،واعتماده,,ا في ح,,ال
24
مناسبتها.
ضمان اإلدارة المالئمة لمعلومات األمن السيبراني للجهة ،وتقييمها ومشاركتها بصفة مالئمة. 25
مراجعة فاعلية ضوابط األمن السيبراني للجهة ومواءمتها ألهدافها االستراتيجية. 26
ضمان تطوير جميع الوثائق الخاصة بأمن الشبكات ،وإصدارها وصيانتها. 30
ضمان توفير التدريب التوعوي باألمن السيبراني لجميع الموظفين بالجهة. 31
ضمان إدراج متطلبات األمن السيبراني في أعمال الشراء حسب المالئم. 32
التأكد من تقديم تقارير مناسبة إلى اإلدارة العليا حسب الحاجة. 33
التأكد من تخصيص الموارد المالئمة لتحقيق متطلبات األمن السيبراني بالجهة. 35
إدارة التقييم والصيانة الدورية لسياسات األمن السيبراني بالجهة والوثائق ذات العالقة. 36
التأكد من اتخاذ اإلجراءات المالئمة لمعالجة الخطر عند وقوع حادثة متعلق باألمن السيبراني. 37
استخدام الوثائق المتاحة دولَي ا ذات العالقة باألمن السيبراني إلفادة وتعزيز وثائق الجهة. 38
دعم القض,,ايا األمني,,ة ل,,دى اإلدارة العلي,,ا ،والتأك,,د من ش,,مول األمن الس,,يبراني ض,,من األه,,داف
39
االستراتيجية.
التأك,,د من معالج,,ة اس,,تراتيجية األمن الس,,يبراني للجه,,ة بفعالي,,ة من خالل سياس,,ات األمن الس,,يبراني
40
والوثائق ذات الصلة.
تقييم فاعلية وكفاءة وظيفة المشتريات في ضمان معالجة متطلبات األمن الس,,يبراني ومخ,,اطر سلس,,لة
41
اإلمداد حسب الحاجة ،وتنفيذ التحسينات أينما لزمت.
اإلصدار <>1.0
19
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التأكد من تحديد متطلبات األمن السيبراني لكافة أنظمة تقنية المعلومات. 42
المشاركة في عملية االستحواذ حسب الضرورة ،مع ضمان تبني الممارسات المناسبة إلدارة مخاطر
43
سلسلة اإلمداد.
تطوير سياسات األمن السيبراني المناسبة والوثائق ذات العالقة وحفظها لضمان حماية البنية التحتي,,ة
45
الحساسة للجهة بشكل مالئم.
حيازة الموارد المالئمة لتنفيذ وحفظ جوانب األمن السيبراني لخطة استمرارية أعمال فعالة. 47
إحاطة اإلدارة العليا بالتغييرات الهامة في وضع األمن السيبراني للجهة. 48
التأكد من أن متطلبات األمن السيبراني لتقنية المعلومات تتوافق مع اس,,تراتيجية األمن الس,,يبراني في
49
الجهة
إدارة الجوانب المالية لألمن السيبراني شاملة إعداد الميزانية وتوفير الموارد. 50
التأكد من فاعلي,,ة إيص,,ال المعلوم,,ات ال,,تي تخص تهدي,,دات األمن الس,,يبراني وأس,,اليب معالجته,,ا إلى
51
األطراف األخرى المهتمة.
المراجع,,ة الدوري,,ة لض,,مان مواءم,,ة سياس,,ات األمن الس,,يبراني والوث,,ائق ذات العالق,,ة م,,ع غاي,,ات
52
واستراتيجيات الجهة المعلنة.
المسؤوليات #
التواصل الفّع ال مع اإلدارة العليا بشأن الجوانب المالية لألمن السيبراني. 2
العمل مع أصحاب المصلحة لتطوير سياسات األمن الس,,يبراني والوث,,ائق المص,,احبة بم,,ا يتواف,,ق م,,ع 3
اإلصدار <>1.0
20
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
فهم الحالة األمنية لمعلومات الجهة والتعبير عنها خالل عمليات التمحيص القانوني والتنظيمي. 4
دعم األمن السيبراني وإبراز قيمته لدى أصحاب المصلحة في الجهة. 5
التواصل بفاعلية مع األطراف الخارجية عند وقوع حادث أمن سيبراني. 6
مراجعة فاعلية ضوابط األمن السيبراني للجهة ومواءمتها ألهدافها االستراتيجية. 7
إدارة التقييم والصيانة الدورية لسياسات األمن السيبراني بالجهة والوثائق ذات العالقة. 8
دعم القض,,ايا األمني,,ة ل,,دى اإلدارة العلي,,ا ،والتأك,,د من ش,,مول األمن الس,,يبراني ض,,من األه,,داف
9
االستراتيجية.
التأك,,د من معالج,,ة اس,,تراتيجية األمن الس,,يبراني للجه,,ة بفعالي,,ة من خالل سياس,,ات األمن الس,,يبراني
10
والوثائق ذات الصلة.
تزويد اإلدارة العليا بموجز عن ضوابط األمن السيبراني الالزمة لحماية الجهة. 12
إعداد التقارير عن أحداث وفعاليات األمن السيبراني الدولية لصالح اإلدارة العليا. 14
إحاطة اإلدارة العليا بالتغييرات الهامة في وضع األمن السيبراني للجهة. 15
تطوير وحفظ خطط استراتيجية لألمن السيبراني تتوافق مع خطة األعمال االستراتيجية للجهة. 16
المسؤوليات #
تطوير أوصاف للمخاطر األمنية لنظم الحاسب من خالل تقييم التهديدات لتلك النظم وثغراتها. 2
اإلصدار <>1.0
21
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تطوير استراتيجيات للحد من المخاطر من أج,,ل إدارة المخ,,اطر في ظ,,ل سياس,,ات الجه,,ة لمس,,تويات
3
المخاطرة المقبولة.
تطوير إجراءات مضادة خاصة باألمن السيبراني واستراتيجيات لمعالجة المخاطر. 4
توصيف مخاطر األمن السيبراني األولية أو المتبقية التي تؤثر على تشغيل النظام. 5
التأكد من أن القرارات المتخذة بشأن األمن السيبراني تستند على المبادئ األساسية إلدارة المخاطر. 6
ض,,مان تعري,,ف مخ,,اطر األمن الس,,يبراني ومعالجته,,ا بالطريق,,ة المناس,,بة من خالل عملي,,ة حوكم,,ة
9
المخاطر للجهة.
التعاون مع اآلخرين لتنفيذ وحفظ برنامج إدارة مخاطر األمن السيبراني. 11
انتقاء أفراد وإسناد أدوار محددة لهم فيما يتعلق بتنفيذ إطار إدارة المخاطر. 12
وضع استراتيجية إدارة المخاطر بالجهة ،شاملة تحديد مستوى تحمل المخاطر. 13
إجراء تقييم مخاطر أولي ألصول أصحاب المصلحة وتحديث تقييم المخاطر بصفة مستمرة. 14
العمل مع المسؤولين بالجه,,ة لض,,مان أن بيان,,ات أدوات المراقب,,ة المس,,تمرة ت,,وفر ال,,وعي بمس,,تويات
15
المخاطر القائمة.
تطوير منهجيات فّع الة لمراقبة وقياس المخاطر ،ومدى االلتزام ،وجهود توكيد االلتزام. 17
تحديد مخاطر سلسلة اإلمداد وتوثيقها لعناصر األنظمة الحرجة حيثما وجدت. 18
أخصائي االلتزام في األمن السيبراني ()Cybersecurity Compliance Officer
المسؤوليات #
تحليل سياسات الدفاع السيبراني للجهة وإعداداتها ،وذلك لتقييم مدى التزامها بالتنظيمات والتوجيهات
1
المؤسسية.
اإلصدار <>1.0
22
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقييم ج,,وانب األمن الس,,يبراني للعق,,ود لض,,مان االل,,تزام بالمتطلب,,ات المالي,,ة ،والتعاقدي,,ة ،والقانوني,,ة،
2
والتنظيمية.
التأك,,د من أن أي منتج يتم اس,,تخدامه إلدارة مخ,,اطر األمن الس,,يبراني تم تقييم,,ه بفعالي,,ة والتص,,ريح
3
باستخدامه
التعرف على أنم,اط ع,دم االل,تزام بسياس,ات األمن الس,يبراني والوث,ائق ذات العالق,ة به,دف تعري,ف
4
طرق لتحسينها.
المراجع,,ة الدوري,,ة الس,,تراتيجية األمن الس,,يبراني وسياس,,اته والوث,,ائق ذات العالق,,ة للمحافظ,,ة على
5
االلتزام بالقوانين واألنظمة المعمول بها.
العمل مع أصحاب المصلحة لحل حوادث األمن السيبراني وقضايا الثغرات في االلتزام. 6
تطوير منهجيات فّع الة لمراقبة وقياس المخاطر ،ومدى االلتزام ،وجهود توكيد االلتزام. 7
تطوير المواصفات لضمان أن جه,,ود معالج,,ة المخ,,اطر واالل,,تزام والض,,مان تل,,تزم بمتطلب,,ات األمن
8
السيبراني.
الحف,,اظ المتواص,,ل على المعرف,,ة بالسياس,,ات والتنظيم,,ات ووث,,ائق االل,,تزام المعم,,ول به,,ا في األمن
9
السيبراني الدفاعي حسب ما يختص منها بأعمال التدقيق لألمن السيبراني الدفاعي.
مراقبة وتقييم مدى التزام النظام بمتطلبات األمن السيبراني ،ومتطلبات الصمود واالعتمادية. 10
توفير تقييم تقني صحيح لتطبيقات البرامج أو األنظمة أو الشبكات ،وتوثيق م,,دى التزامه,,ا بمتطلب,,ات
11
األمن السيبراني المتفق عليها.
تطوير عمليات االلتزام األمني وعمليات تدقيق للخدمات المقدمة من أطراف خارجية. 12
الحفاظ المتواصل على المعرفة ب,,القوانين المعم,,ول به,,ا والتنظيم,,ات ومع,,ايير االعتم,,اد ،والمراجع,,ة
14
الدورية لها لضمان التزام الجهة.
التعاون مع المؤسسات التنظيمية المعنية والكيانات القانونية األخرى فيما يخص التحقيق,,ات وعملي,,ات
15
مراجعة االلتزام.
المحافظة على التوعية بقوانين الخصوصية وأنظمتها ومعايير االعتماد المعمول بها. 16
اإلصدار <>1.0
23
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مراجعة السياسات القائمة والمقترحة والوثائق ذات العالقة مع أصحاب المصلحة. 3
توفير الخبرة االستشارية في األمن السيبراني في مجال السياسات التنظيمية والقطاعية. 4
ضمان التزام سياسات وعمليات إدارة كوادر األمن السيبراني بالمتطلبات القانونية ومتطلبات الجهة. 6
مراجعة وتقييم فاعلية الكوادر السيبرانية لتحديد الفجوات في المهارات واحتياجات التدريب. 8
تفسير وتطبيق األنظمة المطبقة والقوانين واللوائح والوث,,ائق التنظيمي,,ة لض,,مان عكس,,ها في سياس,,ات
9
األمن السيبراني.
العمل مع أصحاب المصلحة لتطوير سياسات األمن الس,,يبراني والوث,,ائق المص,,احبة بم,,ا يتواف,,ق م,,ع
11
استراتيجية األمن السيبراني للجهة.
مراقبة مدى كفاءة التطبيق لسياسات ومبادئ وممارسات األمن السيبراني عند تقديم خدمات التخطيط
14
واإلدارة.
السعي إلى توافق آراء أصحاب المصلحة بشأن التغييرات المقترحة في سياسة األمن السيبراني. 15
مراجعة تدقيقات البرامج والمشاريع السيبرانية ،أو تنفيذها ،أو المشاركة فيها. 17
دعم المسؤول األول لتقنية المعلومات ( )CIOفي صياغة سياسات األمن السيبراني. 18
اإلصدار <>1.0
24
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إجراء مراجعات األمن السيبراني ،وتحديد الفج,وات في المعماري,ة األمني,ة ،من أج,ل إص,دار خط,ط
1
إلدارة المخاطر السيبرانية.
إجراء مراجعات األمن السيبراني ،وتحديد الثغرات األمنية في المعمارية األمنية ل,,دعم اس,,تراتيجيات
2
معالجة المخاطر.
مراجعة وثائق األمن السيبراني العاكسة لتصميم النظام ،وتحديثها وحفظها. 5
ض,,مان تعري,,ف مخ,,اطر األمن الس,,يبراني ومعالجته,,ا بالطريق,,ة المناس,,بة من خالل عملي,,ة حوكم,,ة
6
المخاطر للجهة.
ضمان مراعاة متطلبات الجهة لألمن السيبراني في عمليات ال,دمج واالس,تحواذ واالس,تعانة ب,الموارد
8
الخارجية وغيرها من العمليات التي تشمل طرفا ثالثا.
تخطيط وتنفيذ أعمال المراجعة وتطوير قضايا التصريح األمني للتثبيت األولي للنظم والشبكات. 12
مراجعة س,,جالت المخ,,اطر والوث,,ائق المش,,ابهة للتأك,,د من أن مس,,توى المخ,,اطر لك,,ل تط,,بيق ونظ,,ام
13
وشبكة يقع ضمن الحدود المقبولة.
إج,راء أعم,,ال الت,دقيق للحال,ة األمني,ة لل,برامج والش,بكة والنظ,ام حس,,ب م,,ا ورد في سياس,,ات األمن
14
السيبراني ،وتقديم توصيات باألنشطة المطلوبة لعالج الثغرات المكتشفة.
اإلصدار <>1.0
25
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تطوير عمليات االلتزام األمني وعمليات تدقيق للخدمات المقدمة من أطراف خارجية. 15
المراجع,,ة الدوري,,ة لض,,مان مواءم,,ة سياس,,ات األمن الس,,يبراني والوث,,ائق ذات العالق,,ة م,,ع غاي,,ات
16
واستراتيجيات الجهة المعلنة.
تحديد وتوثيق أثر تنفيذ نظام جدي,د أو واجه,ات اتص,ال جدي,دة بين الُن ظم على الوض,ع األم,ني للبيئ,ة
17
الحالية.
ضمان توثيق التصميم والتطوير ألنشطة األمن السيبراني على نحو مالئم. 18
ضمان أن إعدادات التطبيقات والشبكات والُن ظم تلتزم بسياسات الجهة لألمن السيبراني. 20
المسؤوليات #
تقييم ج,,وانب األمن الس,,يبراني للعق,,ود لض,,مان االل,,تزام بالمتطلب,,ات المالي,,ة ،والتعاقدي,,ة ،والقانوني,,ة،
1
والتنظيمية.
فهم الحالة األمنية لمعلومات الجهة والتعبير عنها خالل عمليات التمحيص القانوني والتنظيمي. 3
ح,,ل التعارض,,ات بين السياس,,ات أو المع,,ايير أو اإلج,,راءات عن,,د خالفه,,ا م,,ع الق,,وانين والتنظيم,,ات
6
المعمول بها.
اإلصدار <>1.0
26
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
اكتساب المعرفة العملية بالمشاكل الدستورية التي تنشأ في القوانين واألنظمة والسياسات واالتفاقي,,ات
7
والمعايير واإلجراءات ،والحفاظ عليها على الدوام.
توفير الخبرات باألمن السيبراني عند تأطير المرافعات طلبا لتحديد أّي انتهاك,,ات مزعوم,,ة للق,,وانين،
8
أو األنظمة أو السياسات أو اإلرشادات.
تطوير اإلرشادات الخاصة بتنفيذ ضوابط األمن السيبراني ذات العالقة. 9
توفير إرشادات في األمن السيبراني للمشرفين وموظفي متابعة االلتزام فيما يخص االلتزام بسياس,,ات
10
األمن السيبراني والمتطلبات القانونية والتنظيمية ذات الصلة.
تق,,ييم أث,,ر التغي,,يرات في الق,,وانين واألنظم,,ة على سياس,,ات األمن الس,,يبراني بالجه,,ة والوث,,ائق ذات
11
العالقة.
توف,,ير إرش,,ادات من منظ,,ور األمن الس,,يبراني بش,,أن الق,,وانين واألنظم,,ة والسياس,,ات والمع,,ايير ،أو
12
اإلجراءات لصالح اإلدارة ،أو العاملين ،أو العمالء.
المساعدة في تنفيذ القوانين أو األنظمة أو األوامر التنفيذية وما شابهها – سواء كانت جديدة أم محدث,ة
13
-حسب عالقتها بسياسات األمن السيبراني والوثائق األخرى.
توفير اإلرشاد من منظور األمن السيبراني فيما يخص إعداد الوثائق القانونية والوثائق األخ,,رى ذات
14
الصلة.
المحافظة على التوعية بقوانين الخصوصية وأنظمتها ومعايير االعتماد المعمول بها. 15
محلل دفاع األمن السيبراني ()Cybersecurity Defense Analyst
المسؤوليات #
استخدام منتجات األمن السيبراني أو تقنيات التحكم األمني للحد من المخاطر المكتشفة إلى مس,,تويات
2
مقبولة.
توثيق وتصعيد الحوادث السيبرانية التي من شأنها أن تؤدي إلى أثر فوري أو مستمر. 3
ربط المعلومات من مصادر متعددة لإللمام بالحالة وتحديد فاعلية الهجمة المرصودة. 5
اإلصدار <>1.0
27
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إجراء مراجعات األمن السيبراني ،وتحديد الثغرات األمنية في المعمارية األمنية ل,,دعم اس,,تراتيجيات
6
معالجة المخاطر.
تحليل نتائج التمارين وبيئة النظام للتخطيط وللتوصية بتعديالت وتسويات. 7
تحليل تنبيهات الشبكة ال,,تي يتم الحص,,ول عليه,,ا من مص,,ادر مختلف,,ة لتحدي,,د األس,,باب المحتمل,,ة ألي
8
أحداث يتم اكتشافها.
الكشف عن الهجمات واألنشطة المشبوهة وحاالت إساءة االستخدام ،والتعرف عليه,,ا والتنبي,ه بش,,أنها
9
في الوقت المناسب ،وتمييزها عن األنشطة االعتيادية.
تسخير أدوات الدفاع السيبراني للمراقب,ة المس,تمرة ألنش,طة النظم وتحليله,ا به,دف تعري,ف األنش,طة
10
الضارة.
تحلي,,ل األنش,,طة الخبيث,,ة لتحدي,,د الثغ,,رات المس,,تغلة ،وأس,,اليب االس,,تغالل ،والت,,أثيرات على النظم
11
والمعلومات.
اس,,تخدام البيان,,ات الوص,,فية للتع,,رف على ح,,االت االش,,تباه في حرك,,ة م,,رور البيان,,ات ع,,بر الش,,بكة
15
وتحليلها.
تحديد المؤشرات والتحذيرات من خالل البحث والتحليل والربط عبر مجموعات بيانات متعددة. 16
استخدام أدوات تحليل الحزم للتحقق من تنبيهات نظام كشف التسلل. 17
استخدام حركة مرور البيانات عبر الشبكة لتحديد تطبيقات أحد أجهزة الشبكة ونظم التشغيل الخاص,,ة
19
به.
استخدام حركة المرور عبر الشبكات إلعادة تمثيل النشاط الخبيث. 20
تحديد عمليات محاولة التعرف على التصميم الشبكي وأنشطة التعرف على أنظمة التشغيل. 21
المساعدة في حصر خواص التعرف (التواقيع) لتفعيل استخدامها في أدوات األمن الس,,يبراني للش,,بكة 22
اإلصدار <>1.0
28
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
اإلبالغ عن الحوادث السيبرانية المشتبه بها وفًق ا لخطة الجهة لالستجابة للحوادث السيبرانية. 23
تقييم مدى كفاية ضوابط التحكم بالوصول بناء على سياسات الجهة. 25
مراقبة مصادر البيانات الخارجية للمحافظة على فهم محدث لحالة تهديدات األمن الس,,يبراني وتحدي,,د
26
القضايا األمنية التي قد تؤثر على الجهة.
تقييم ومراقبة جوانب األمن السيبراني لممارسات الجهة بتطبيق الُن ظم واختبارها. 27
تقديم توصيات األمن السيبراني للقيادة استناًد ا إلى التهديدات والثغرات الجسيمة. 28
العمل مع أصحاب المصلحة لحل حوادث األمن السيبراني وقضايا الثغرات في االلتزام. 29
وصف وتحلي,ل حرك,ة الم,رور على الش,بكة ،لتحدي,د األنش,طة الش,اذة والتهدي,دات المحتمل,ة لم,وارد
31
الشبكات.
التنسيق مع بقية طاقم عمل الدفاع السيبراني للتحقق من مصداقية التنبيهات الشبكية. 32
تقديم تقارير ُمجملة يومية ألح,,داث الش,,بكات واألنش,,طة األخ,,رى ذات الص,,لة ب,,األمن الس,,يبراني بم,,ا
33
يتالءم مع سياسات ومتطلبات الجهة.
المسؤوليات #
تحديد حماية البنية التحتية الحاسمة للدفاع السيبراني ومواردها ،وترتيب أولوياتها وتنسيقها. 3
تطبيق وظ,,ائف األمن الس,,يبراني (مث,,ل التش,,فير والتحكم في الوص,,ول وإدارة الهوي,,ة) لتقلي,,ل ف,,رص
4
االستغالل.
اإلصدار <>1.0
29
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
اإلدارة واإلشراف على أعمال تحديث القواعد والتواقيع لتطبيقات الدفاع السيبراني. 5
إعداد وتهيئة برامج وأجهزة الدفاع السيبراني المخصصة ،وتثبيتها وتحديثها واختبارها. 6
المساعدة في تقييم أثر بناء وتشغيل بنية تحتية مخصصة للدفاع السيبراني. 7
إدارة منص,,ات االختب,,ار ،واختب,,ار وتق,,ييم التطبيق,,ات وأجه,,زة البني,,ة التحتي,,ة والقواع,,د والتوقيع,,ات،
8
وضوابط التحكم بالوصول وإعدادات المنصات التي يديرها مزودو الخدمات.
إنش,,اء ق,,وائم التحكم بالوص,,ول إلى الش,,بكات المخزن,,ة ب,,داخل ُنظم ال,,دفاع الس,,يبراني المخصص,,ة،
9
وتعديلها وإدارتها.
تحديد التعارضات المحتملة جراء تنفيذ أي من أدوات الدفاع السيبراني ،واإلبالغ عنها. 10
تنفيذ متطلبات إطار إدارة المخ,,اطر والتق,,ييم األم,,ني والتص,,ريح لُنظم ال,,دفاع الس,,يبراني المخصص,,ة
11
داخل الجهة ،وتوثيق سجالتها وحفظها.
انتقاء ضوابط األمن السيبراني للنظام وتوثيق الوصف الوظيفي لتنفيذ الضوابط في الخطة األمنية. 12
تنفيذ ضوابط األمن السيبراني الواردة في الخطة األمنية أو وثائق الُنظم األخرى. 13
تطوير العمليات واإلجراءات الخاص,ة بالتح,ديث وعم,ل تح,ديث اإلص,الح الي,دوي لبرمجي,ات الُنظم
بحس,,ب متطلب,ات الج,دول الزم,,ني الح,الي أو المتوق,ع لتط,بيق ح,زم تح,ديثات اإلص,الح على البيئ,ة 14
التشغيلية للنظام.
المسؤوليات #
تحليل السجالت من مصادر متعددة لتحديد التهديدات المحتملة ألمن الشبكة. 3
اإلصدار <>1.0
30
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقييم ومراقبة جوانب األمن السيبراني لممارسات الجهة بتطبيق الُن ظم واختبارها. 5
أداء تقييمات تقنية وغير تقنية للمخاطر والثغرات للبيئات التقنية للجهة. 6
وصف وتحلي,ل حرك,ة الم,رور على الش,بكة ،لتحدي,د األنش,طة الش,اذة والتهدي,دات المحتمل,ة لم,وارد
9
الشبكات.
التنسيق مع بقية طاقم عمل الدفاع السيبراني للتحقق من مصداقية التنبيهات الشبكية. 10
تقديم تقارير ُمجملة يومية ألح,,داث الش,,بكات واألنش,,طة األخ,,رى ذات الص,,لة ب,,األمن الس,,يبراني بم,,ا
11
يتالءم مع سياسات ومتطلبات الجهة.
المسؤوليات #
تحليل سياسات الدفاع السيبراني للجهة وإعداداتها ،وذلك لتقييم مدى التزامها بالتنظيمات والتوجيهات
1
المؤسسية.
الحفاظ على مجموعة أدوات تدقيق الدفاع السيبراني القابلة للتفعيل ،بناء على أفض,,ل الممارس,,ات في
3
القطاع ،وذلك لدعم عمليات تدقيق الدفاع السيبراني.
إعداد تقارير التدقيق والتقييم التي تحدد النتائج التقنية واإلجرائية ،وتش,,مل توص,,يات باالس,,تراتيجيات
4
والحلول العالجية.
أداء تقييمات تقنية وغير تقنية للمخاطر والثغرات للبيئات التقنية للجهة. 5
اإلصدار <>1.0
31
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
الحف,,اظ المتواص,,ل على المعرف,,ة بالسياس,,ات والتنظيم,,ات ووث,,ائق االل,,تزام المعم,,ول به,,ا في األمن
7
السيبراني الدفاعي حسب ما يختص منها بأعمال التدقيق لألمن السيبراني الدفاعي.
إجراء المراجعات المطلوبة شاملة مراجعات التدابير الدفاعية حسب سياسات الجهة. 9
تقديم التوصيات بخص,,وص الض,,وابط األمني,,ة ذات الكف,,اءة المالي,,ة لمعالج,,ة المخ,,اطر المكتش,,فة عن
10
طريق االختبار والمراجعة.
المسؤوليات #
جمع المعلومات عن معمارية واستخدامات الش,,بكات من خالل التحلي,,ل التق,,ني والبحث في المص,,ادر
2
المفتوحة وتوثيق النتائج.
محاكاة أساليب الهندسة االجتماعية الضارة التي يستخدمها المهاجم في محاولته لخرق النظام للكش,,ف
3
عن الثغرات األمنية ونقاط الضعف.
تحديد المنهجيات التي قد يستخدمها المهاجمون الستغالل نقاط الضعف في الُن ظم والشبكات. 4
إعداد تقارير نتائج اختبارات االختراق والتق,,ييم لنق,,اط الض,,عف ش,,امال مس,,توى الخط,,ر ،واقتراح,,ات
7
المعالجة ،وكافة التفاصيل التقنية الالزمة إلعادة توليد نتائج االختبار.
مناقشة النتائج األمنية مع اإلدارة المعنية باألمن السيبراني واإلدارة العليا وفرق تقنية المعلومات. 8
اإلصدار <>1.0
32
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تصميم نماذج محاكاة للهجمات لتوضح األثر على أعمال الجهة والمستخدمين. 12
عرض نتائج االختبارات والمخاطر واالستنتاجات على المتلقين التقنيين وغير التقنيين. 13
توضيح التبعات على األعم,,ال بس,,بب نق,,اط الض,,عف المكتش,,فة من خالل االختب,,ارات إلب,,راز أهمي,,ة
14
معالجتها.
فحص الثغرات في التطبيقات على الشبكة العنكبوتية اإلنترنت وتطبيقات العميل والتطبيقات النمطية. 16
تحديد مصطلحات اللغات األجنبية بداخل برامج الحاسب (مثل المالحظات وأسماء المتغيرات). 17
المسؤوليات #
تحليل السجالت من مصادر متعددة لتحديد التهديدات المحتملة ألمن الشبكة. 2
تحليل أولويات الحوادث لتحديد الثغرة ونطاقها وأولويتها وتأثيرها المحتمل ،ومن ثم تق,,ديم توص,,يات
3
من شأنها توفير المعالجة السريعة.
إجراء جمع أولي للصور الجنائية بموجب معايير البحث الجنائي ذات العالقة ،وفحصها لتحديد أنسب
5
إجراءات المعالجة
أداء مهام االستجابة لألحداث دعما لف,,رق االس,,تجابة لألح,,داث ،ش,,امال جم,,ع األدل,,ة الجنائي,,ة ،ورب,,ط
6
حاالت التسلل ،والتتبع ،وتحليل التهديدات ومعالجة األنظمة.
اإلصدار <>1.0
33
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحليل تنبيهات الشبكة ال,,تي يتم الحص,,ول عليه,,ا من مص,,ادر مختلف,,ة لتحدي,,د األس,,باب المحتمل,,ة ألي
7
أحداث يتم اكتشافها.
تتبع الحوادث السيبرانية وتوثيقها منذ اكتشافها إلى حلها بشكل نهائي. 8
كتابة ونشر أساليب وإرشادات تعزيز األمن السيبراني وتقارير األحداث الس,,يبرانية ،ومش,,اركتها م,,ع
9
الجهات ذات العالقة.
تطبيق مبادئ وممارسات الدفاع األمني متعدد المستويات بما يتماشى مع سياسات الجهة. 10
جمع آثار التس,,لل ،واس,,تخدام البيان,,ات المكتش,,فة للح,,د من ح,,وادث األمن الس,,يبراني المحتمل,,ة داخ,,ل
11
الجهة.
تحرير ونشر المراجعات للتعلم ولنشر الدروس المستفادة من أحداث األمن السيبراني. 12
مراقبة مصادر البيانات الخارجية للمحافظة على فهم محدث لحالة تهديدات األمن الس,,يبراني وتحدي,,د
13
القضايا األمنية التي قد تؤثر على الجهة.
أداء دور الخبير التق,,ني ل,,دعم الس,,لطات القانوني,,ة التنفيذي,,ة وش,,رح تفاص,,يل ح,,ادث األمن الس,,يبراني
16
والتحليل الجنائي ،حسب المطلوب.
التنسيق مع محللي معلومات التهديدات السيبرانية بهدف ربط بيانات تقييم التهديدات. 17
تحديد وانتقاء موارد المعلومات األكثر فاعلية للمساعدة في التحقيق في حادث األمن السيبراني. 19
اإلصدار <>1.0
34
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
أداء مهام االستجابة لألحداث دعما لف,,رق االس,,تجابة لألح,,داث ،ش,,امال جم,,ع األدل,,ة الجنائي,,ة ،ورب,,ط
5
حاالت التسلل ،والتتبع ،وتحليل التهديدات ومعالجة األنظمة.
اسنخدام أدوات مراقبة الشبكات لرصد وتحليل حركة البيانات الشبكية ذات العالقة بالعمليات الضارة 6
تحليل ملفات السجالت واألدلة والمعلومات األخرى لتحديد أفضل المنهجيات لمعرف,,ة هوي,,ة المتس,,لل
7
للشبكة.
إنشاء نسخة مطابقة وسليمة من جانب األدلة الشرعية بهدف استخدامها في عمليات اس,,تعادة البيان,,ات
9
وتحليلها ،تمشيا مع السياسات المعنية سواء المؤسسية منها أو الوطنية حسب الساري.
ض,,مان تتب,,ع تسلس,,ل الُع َه د لجمي,,ع الوس,,ائط الرقمي,,ة المس,,تحوذ عليه,,ا وفًق ا للمتطلب,,ات التش,,ريعية
11
والتنظيمية ذات العالقة.
إجراء تحليل ديناميكي لتحميل "صورة" (نسخة طبق األصل من البيانات) لمحرك األقراص -س,,واء
13
مع أو بدون وجود محرك األقراص األصلي -لرؤية التسلل كما قد يراه المستخدم في بيئة أصلية.
إجراء مقارنة االختزال ( )Hash comparisonعلى قواع,,د البيان,,ات حس,,ب متطلب,,ات سياس,,ات
14
الجهة.
إجراء تحليل للبرمجيات الضارة على المستوى األول والثاني والثالث. 16
اإلصدار <>1.0
35
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقديم مساعدة تقنية خالل عمليات جمع وحفظ ومعالجة أو تحليل األدلة الرقمية. 18
التعرف على الوحدات الجنائية األولية واإلبالغ عنها بما يتماشى مع سياسات اإلبالغ. 19
استخدام معدات وأساليب مخصصة للقيام بمهام التحقيق الجنائي الرقمي بما يتماشى مع السياسات. 21
أداء دور الخبير التق,,ني ل,,دعم الس,,لطات القانوني,,ة التنفيذي,,ة وش,,رح تفاص,,يل ح,,ادث األمن الس,,يبراني
23
والتحليل الجنائي ،حسب المطلوب.
إجراء تحليل ثابت لتحميل "صورة" (نسخة طب,,ق األص,,ل من البيان,,ات) لق,,رص م,,ع وج,,ود الق,,رص
26
األصلي أو بدونه.
استخدام مجموعة األدوات الجنائية القابلة للتطبيق الميداني لدعم العمليات. 28
التنسيق مع محللي معلومات التهديدات السيبرانية بهدف ربط بيانات تقييم التهديدات. 29
مراقبة الملفات والسجل المركزي على نظام التشغيل الحي ،بعد تحديد التسلل. 32
إدخال معلومات الوسائط الرقمية التي تمت حيازتها إلى قاعدة بيانات التتبع. 33
استخدام نتائج تحليل آثار التسلل إلفادة التوصيات بشأن معالجة حوادث الدفاع السيبراني المحتملة. 36
مراجعة النسخ طبق األص,,ل من البيان,,ات الجنائي,,ة والبيان,,ات الُعرض,,ة للتغي,,ير وغيره,,ا من مص,,ادر 37
اإلصدار <>1.0
36
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحرير ونشر التوصيات والتقارير عن مكتشفات الحوادث لصالح المجموعات المعنية. 38
فحص البيانات المستردة بحًث ا عن معلومات ذات الصلة بالمشكلة محل النظر. 39
المسؤوليات #
بناء عالقات بين فريق االستجابة للحوادث والمجموعات الداخلية والخارجية األخرى. 1
تطوير خطة للتحقيق في الجرائم السيبرانية المزعومة أو المخالفة أو النشاط المشتبه به. 4
دمج نت,,ائج التحلي,,ل للش,,بكات وللبني,,ة التحتي,,ة ولألدل,,ة الرقمي,,ة م,,ع النت,,ائج من التحقيق,,ات والعملي,,ات
5
الجنائية األخرى.
تحديد ما إذا كان الحادث األمني ُيعد مخالًف ا للقانون وبالتالي يتطلب اتخاذ إجراء قانوني محدد. 6
تحديد األدلة النصية أو المادية المرتبطة بحوادث التسلل السيبرانية والتحقيق,,ات والعملي,,ات ،وجمعه,,ا
9
واالستحواذ عليها.
استخدام معدات وأساليب مخصصة للقيام بمهام التحقيق الجنائي الرقمي بما يتماشى مع السياسات. 12
اإلصدار <>1.0
37
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقييم األفعال والتصرفات ذات العالقة بعمليات التحري مع الضحايا والش,,هود أو المش,,تبه بهم ،ورف,,ع
13
تقارير بذلك.
تحدي,د نط,اق تغطي,ة التهدي,دات ،والمخ,اطر الناجم,ة ،وتق,ديم توص,ية باألفع,ال أو الت,دابير المض,ادة
14
لمعالجتها.
تقديم الدعم بخصوص التحقيقات الجنائية للسلطات القانونية خالل مجريات العملية القضائية. 15
تحليل المواد المتعلقة بحوادث األمن السيبراني للحصول على أدلة على وجود ط,,رف أجن,,بي ع,,دائي
17
أو نشاط إجرامي.
جمع وحفظ األدلة التي يمكن استخدامها في مقاضاة مقترفي الجرائم السيبرانية. 18
تحدي,,د وتط,,وير دالئ,,ل ومص,,ادر معلوم,,ات للمس,,اعدة في تحدي,,د األط,,راف المس,,ؤولة عن الج,,رائم
19
السيبرانية أو مقاضاتهم.
توثيق الحالة األصلية لألدلة الرقمية واألدلة ذات الصلة بما يتوافق مع السياس,,ات الوطني,,ة وسياس,,ات
20
الجهة.
تحليل ُن ظم تقنية المعلومات والوسائط الرقمية لحل الجرائم السيبرانية والتحقيق فيها ،وللمقاضاة. 21
تحديد وانتقاء موارد المعلومات األكثر فاعلية للمساعدة في التحقيق في حادث األمن السيبراني. 23
فحص البيانات المستردة بحًث ا عن معلومات ذات الصلة بالمشكلة محل النظر. 24
المسؤوليات #
تحديد وتطوير أدوات الهندسة العكسية لتعزيز القدرات والكشف عن الثغرات. 1
اإلصدار <>1.0
38
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مراجعة وتحليل تهديدات األمن السيبراني لتزويد أصحاب المصلحة بالمعلومات المطلوبة لالس,,تجابة
2
لهذه التهديدات.
إجراء تحليل للبرمجيات الضارة على الُر تبة األولى والثانية والثالثة. 3
مراجعة المعلومات المجموعة لتحديد مدى مص,,داقيتها وعالقته,,ا ب,,التحقيق بم,,ا يتواف,,ق م,,ع سياس,,ات
4
الجهة
تنقيح التقارير لحماية بيانات أو منهجيات الممتلكات الخاصة ،أو التجاري,,ة ،أو الشخص,,ية ،أو غيره,,ا
5
من البيانات أو المنهجيات السرية أو الحساسة.
تحديد أّي نشاط خبيث محتَم ل من خالل تفريغ الذاكرة ،أو السجالت ،أو الِحزم الملتقطة. 7
تطوير متطلبات المعلومات الالزمة لالستجابة لطلبات المعلومات ذات األولوية. 14
إصدار معلومات استباقية مدمج,ة وفي ال,وقت المناس,ب من كاف,ة مص,ادر العملي,ات الس,يبرانية ومن
دالئل وتحذيرات منتجات المعلوم,ات االس,تباقية (مث,ل تقييم,ات التهدي,دات ،واإليج,ازات ،ودراس,ات 16
المعلومات االستباقية ،ودراسات الدول).
توفير دعم المعلومات االس,,تباقية اآلني ألص,,حاب المص,,لحة ال,,داخليين والخ,,ارجيين المهمين ،حس,,ب
17
المالئم.
توفير التقييم والمرئيات الالزمة لتحسين إنتاج المعلومات االس,,تباقية و تقاريره,,ا عملي,,ات ومتطلب,,ات
18
جمعها.
اإلصدار <>1.0
39
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
توفير تحذيرات آنية بالمقاصد ،أو األنشطة الوشيكة أو العدائية ،أو األنشطة التي قد تؤثر على غايات
19
الجهة أو مواردها أو قدراتها.
تحديد مصطلحات اللغات األجنبية بداخل برامج الحاسب (مثل المالحظات وأسماء المتغيرات). 21
المسؤوليات #
استخدام المعرفة بممثلي التهديد وباألنشطة لبناء فهم مشترك عن حالة المخاطر الحالية للجهة. 3
استخدام المعرفة بممثلي التهديد وباألنشطة إلفادة الجهة في االستجابة لحادث سيبراني. 4
تنس,,يق مص,,ادر المعلوم,,ات االس,,تباقية لتهدي,,دات األمن الس,,يبراني ونق,,اط التغذي,,ة ،والتحق,,ق من
5
مصداقيتها وإدارتها.
تحديد الثغرات في المعلومات االستباقية للتهديدات وتقييم آثارها على الجهة. 6
التعاون ومشاركة المعلومات مع محللي معلومات التهديدات الذين يعملون في المجاالت ذات الصلة. 8
المراقبة واإلبالغ عن التغيرات في ميول التهديدات وأنشطتها ،وأساليبها ،وقدراتها ،وغاياتها. 13
اإلصدار <>1.0
40
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مراقبة المواقع مفتوحة المصدر للمحتوى العدائي الموجه ضد مصالح الجهة أو شركائها. 15
مراقبة أنشطة الجهات التي تمثل مصدر للتهديدات واإلبالغ عنها ،لتحقي,,ق متطلب,,ات الجه,,ة المتعلق,,ة
16
بالمعلومات االستباقية للتهديدات والبالغات.
تس,,خير الخ,,برة حي,,ال ممثلي التهدي,,د ل,,دعم أنش,,طة التخطي,,ط والتط,,وير الس,,تراتيجية وم,,وارد األمن
17
السيبراني للجهة.
توفير المعلومات والتقييمات عن ممثلي التهدي,د ل,دعم أص,حاب المص,لحة في تخطي,ط وتنفي,ذ أنش,طة
18
األمن السيبراني
تقديم التحليل والدعم الحي في مجال المعلوم,ات االس,تباقية للتهدي,دات خالل تم,ارين وح,وادث األمن
19
السيبراني.
مراقب,,ة مص,,ادر التغذي,,ة للمعلوم,,ات االس,,تباقية للتهدي,,دات واإلبالغ عن األح,,داث الش,,بكية الكب,,يرة
20
وحاالت التسلل.
تطوير متطلبات المعلومات الالزمة لالستجابة لطلبات المعلومات ذات األولوية. 23
إصدار معلومات استباقية مدمج,ة وفي ال,وقت المناس,ب من كاف,ة مص,ادر العملي,ات الس,يبرانية ومن
دالئل وتحذيرات منتجات المعلوم,ات االس,تباقية (مث,ل تقييم,ات التهدي,دات ،واإليج,ازات ،ودراس,ات 25
المعلومات االستباقية ،ودراسات الدول).
توفير دعم المعلومات االس,,تباقية اآلني ألص,,حاب المص,,لحة ال,,داخليين والخ,,ارجيين المهمين ،حس,,ب
26
المالئم.
توف,,ير التق,,ييم والتغذي,,ة الراجع,,ة الالزم,,ة لتحس,,ين إنت,,اج المعلوم,,ات االس,,تباقية وتقاريره,,ا عملي,,ات
27
ومتطلبات جمعها
توفير إخطارات آنية بالمقاص,,د ،أو األنش,,طة الوش,,يكة ،أو العدائي,ة ،أو األنش,,طة ال,تي ق,د ت,ؤثر على
28
غايات الجهة أو مواردها أو قدراتها.
العمل الوثيق م,,ع المخططين ومحللي معلوم,,ات التهدي,,دات وم,,ديري التجمي,,ع؛ لض,,مان دق,,ة وحداث,,ة
29
متطلبات المعلومات االستباقية وخطط تجميعها.
اإلصدار <>1.0
41
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
المسؤوليات #
إنشاء عالقات بين فريق االستجابة للحوادث والمجموعات الداخلية والخارجية األخرى. 3
تحليل السجالت من مصادر متعددة لتحديد التهديدات المحتملة ألمن الشبكة. 5
تحليل أولويات الحوادث لتحديد الثغرة ونطاقها وأولويتها وتأثيرها المحتمل ،ومن ثم تق,,ديم توص,,يات
6
من شأنها توفير العالج السريع.
أداء مهام االستجابة لألحداث دعما لف,,رق االس,,تجابة لألح,,داث ،ش,,امال جم,,ع األدل,,ة الجنائي,,ة ،ورب,,ط
11
حاالت التسلل ،والتتبع ،وتحليل التهديدات ومعالجة األنظمة.
أداء البرمجة اآلمنة وتحديد مواطن الخلل المحتملة في الشفرات البرمجية لمعالجة الثغرات. 12
تسخير أدوات مراقبة الشبكات لرصد وتحليل حركة البيانات الشبكية ذات العالقة بالعمليات الضارة. 13
الكشف عن الهجمات واألنشطة المشبوهة وحاالت إساءة االستخدام ،والتعرف عليه,,ا والتنبي,ه بش,,أنها
14
في الوقت المناسب ،وتمييزها عن األنشطة االعتيادية.
اإلصدار <>1.0
42
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تسخير أدوات الدفاع السيبراني للمراقب,ة المس,تمرة ألنش,طة النظم وتحليله,ا به,دف تعري,ف األنش,طة
15
الضارة.
تحلي,,ل األنش,,طة الخبيث,,ة لتحدي,,د الثغ,,رات المس,,تغلة ،وأس,,اليب االس,,تغالل ،والت,,أثيرات على النظم
16
والمعلومات.
تحديد حماية البنية التحتية الحاسمة للدفاع السيبراني ومواردها ،وترتيب أولوياتها وتنسيقها. 17
استخدام أدوات تحليل الحزم للتحقق من تنبيهات نظام كشف التسلل. 19
تحديد وتطوير أدوات الهندسة العكسية لتعزيز القدرات والكشف عن الثغرات. 21
مراجعة تدقيقات البرامج والمشاريع السيبرانية ،أو تنفيذها ،أو المشاركة فيها. 22
مراجعة وتحليل تهديدات األمن السيبراني لتزويد أصحاب المصلحة بالمعلومات المطلوبة لالس,,تجابة
23
لهذه التهديدات.
دعم القض,,ايا األمني,,ة ل,,دى اإلدارة العلي,,ا ،والتأك,,د من ش,,مول األمن الس,,يبراني ض,,من األه,,داف
25
االستراتيجية.
إجراء تحليل للبرمجيات الضارة على المستوى األول والثاني والثالث. 27
استخدام معدات وأساليب مخصصة للقيام بمهام التحقيق الجنائي الرقمي بما يتماشى مع السياسات. 28
استخدام المراجعات للتوصية بتدابير جديدة أو محدثة لجوانب األمن أو الصمود والموثوقية. 29
تحليل نتائج اختبارات البرمجيات والعتاد واالختبار البيني لتحديد تحسينات ذات كفاءة عالية للحد من
30
المخاطر المكتشفة.
اإلصدار <>1.0
43
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
الكشف عن حاالت االستغالل ضد الشبكات والمضيفات ذات االهتمام إلفادة جهود محاولة فهم نش,,اط
34
ممثل التهديد.
تطبيق األساليب التحليلية للحصول على معلومات ممثلي التهديد محل االهتمام. 37
تقييم القدرات المتوفرة للتصدي ألنشطة التهديدات المحتملة وذلك لتقديم توصية بحلول فّعالة. 40
تقديم المدخالت أو تطوير مسارات العمل بناء على فهم التهديدات. 44
المراقبة واإلبالغ عن التغيرات في ميول التهديدات وأنشطتها ،وأساليبها ،وقدراتها ،وغاياتها. 45
معالجة الحوادث ،وفرز األح,,داث حس,,ب أولوياته,,ا ،وتحلي,,ل الش,,بكات ،وكش,,ف التهدي,,دات ،وتحلي,,ل
47
التوجهات ،وتطوير المقاييس ،ونشر المعلومات عن الثغرات.
المساندة في تحليل التهديدات والثغرات وتقديم الخدمات والتوصيات االستشارية في األمن السيبراني. 48
اإلصدار <>1.0
44
نموذج أدوار ومسؤوليات األمن السيبراني
مصمم معمارية األمن السيبراني ألنظمة التحكم الصناعي والتقنيات التشغيلية (ICS/OT
(Cybersecurity Architect
المسؤوليات #
إجراء مراجعات األمن السيبراني ،وتحديد الفج,وات في المعماري,ة األمني,ة ،من أج,ل إص,دار خط,ط
1
إلدارة المخاطر السيبرانية.
تحديد وظائف األعمال الحيوية وتصنيف أولوياتها بالتعاون مع أصحاب المصلحة بالجهة. 4
تقديم استشارات بشأن تكاليف المشاريع ،ومفاهيم التصميم التابعة لها ،أو التغييرات على تصاميمها. 5
تقديم المشورة بشأن المتطلبات األمنية المطلوب إدراجها في وثائق المشتريات. 6
تحليل المعمارية المرشحة ،وتخصيص الخدمات األمنية واختيار اآلليات األمنية. 7
تعريف السياق األمني للُن ظم ،ومفهوم العمليات واحتياجاتها المبدئية ،وفًق ا لسياس,,ات األمن الس,,يبراني
8
المطبقة.
تحرير المواصفات الوظيفية التفصيلية التي توثق عملية تطوير المعمارية. 9
تطوير المعمارية المؤسسية أو مكونات النظام المطلوبة لتلبية احتياجات المستخدم. 11
تحديد ضوابط األمن لنظم المعلومات والشبكات ،مع توثيقها على نحو مالئم. 13
تعريف لمستويات التوافر المناسبة لوظائف النظم الحرجة ومتطلب,,ات عملي,,ات التع,,افي من الك,,وارث
15
واالستمرارية لتقديمها
تحديد وتوثيق أثر تنفيذ نظام جدي,د أو واجه,ات اتص,ال جدي,دة بين الُن ظم على الوض,ع األم,ني للبيئ,ة
16
الحالية.
اإلصدار <>1.0
45
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تقديم التوصيات بخص,,وص الض,,وابط األمني,,ة ذات الكف,,اءة المالي,,ة لمعالج,,ة المخ,,اطر المكتش,,فة عن
17
طريق االختبار والمراجعة.
تحديد وترتيب أولويات قدرات الُن ظم أو وظائف األعمال الالزمة الستعادة النظام جزئًي ا أو كلًي ا بع,,د
18
وقوع عطل كارثي في بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
تطوير ودمج تصاميم األمن السيبراني للُن ظم والشبكات والتي لها متطلبات أمن متعددة المستويات في
19
بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
توثيق ومعالجة متطلبات األمن السيبراني لعملي,,ات النظم ،ومتطلب,,ات هندس,,ة األمن للُب نى المعماري,,ة
والُنظم في كاف,,ة مراح,,ل عملي,,ات الش,,راء واالس,,تحواذ في بيئ,,ات تقني,,ة المعلوم,,ات وأنظم,,ة التحكم 20
الصناعي والتقنيات التشغيلية.
ضمان اتساق الُنظم والُبنى المعمارية التي تمت حيازتها أو تطويرها م,,ع إرش,,ادات الجه,,ة لمعماري,,ة
21
األمن السيبراني في بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
ترجمة القدرات المقترحة إلى متطلب,,ات تقني,,ة في بيئ,,ات تقني,,ة المعلوم,,ات وأنظم,,ة التحكم الص,,ناعي
22
والتقنيات التشغيلية.
العمل مع أعضاء فريق التطوير المرن لتسريع إعداد نماذج أولية ودراسات الجدوى وتق,,ييم التقني,,ات
23
الحديثة في بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
تص,ميم ُنظم وحل,ول ل,دعم نج,اح “حل,ول إثب,ات المب,دأ” والمش,اريع التجريبي,ة في مج,االت التقني,ات
24
الناشئة في بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
تحدي,,د وتوثي,,ق الض,,وابط األمني,,ة لألنظم,,ة والش,,بكات في بيئ,,ات تقني,,ة المعلوم,,ات وأنظم,,ة التحكم
27
الصناعي والتقنيات التشغيلية.
محلل دفاع األمن السيبراني ألنظمة التحكم الصناعي والتقنيات التشغيلية (ICS/OT
)Cybersecurity Defense Analyst
اإلصدار <>1.0
46
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
استخدام منتجات األمن السيبراني أو تقنيات التحكم األمني للحد من المخاطر المكتشفة إلى مس,,تويات
2
مقبولة
توثيق وتصعيد الحوادث السيبرانية التي من شأنها أن تؤدي إلى أثر فوري أو مستمر. 3
ربط المعلومات من مصادر متعددة لإللمام بالحالة وتحديد فاعلية الهجمة المرصودة 5
إجراء مراجعات األمن السيبراني ،وتحديد الثغرات األمنية في المعمارية األمنية ل,,دعم اس,,تراتيجيات
6
معالجة المخاطر
تحليل نتائج التمارين وبيئة النظام للخروج بالتوصيات والتعديالت الالزمة. 7
تحليل تنبيهات الشبكة ال,,تي يتم الحص,,ول عليه,,ا من مص,,ادر مختلف,,ة لتحدي,,د األس,,باب المحتمل,,ة ألي
8
أحداث يتم اكتشافها
الكشف عن الهجمات واألنشطة المشبوهة وحاالت إساءة االستخدام ،والتعرف عليه,,ا والتنبي,ه بش,,أنها
9
في الوقت المناسب ،وتمييزها عن األنشطة االعتيادية
تسخير أدوات الدفاع السيبراني للمراقب,ة المس,تمرة ألنش,طة النظم وتحليله,ا به,دف تعري,ف األنش,طة
10
الضارة
تحلي,,ل األنش,,طة الخبيث,,ة لتحدي,,د الثغ,,رات المس,,تغلة ،وأس,,اليب االس,,تغالل ،والت,,أثيرات على النظم
11
والمعلومات
تطبيق مبادئ وممارسات الدفاع األمني متعدد المستويات بما يتماشى مع سياسات الجهة 12
اس,,تخدام البيان,,ات الوص,,فية للتع,,رف على ح,,االت االش,,تباه في حرك,,ة م,,رور البيان,,ات ع,,بر الش,,بكة
16
وتحليلها
تحديد المؤشرات والتحذيرات من خالل البحث والتحليل والربط عبر مجموعات بيانات متعددة 17
اإلصدار <>1.0
47
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
استخدام أدوات تحليل الحزم للتحقق من تنبيهات نظام كشف التسلل 18
استخدام حركة مرور البيانات عبر الشبكة لتحديد تطبيقات أحد أجهزة الشبكة ونظم التشغيل الخاص,,ة
20
به
استخدام حركة المرور عبر الشبكات إلعادة تمثيل النشاط الخبيث 21
تحديد عمليات محاولة التعرف على التصميم الشبكي وأنشطة التعرف على أنظمة التشغيل 22
المساعدة في حصر خواص التعرف (التواقيع) لتفعيل استخدامها في أدوات األمن الس,,يبراني للش,,بكة
23
وذلك لالستجابة للتهديدات الجديدة والتهديدات التي تمت مالحظتها سابًقا
اإلبالغ عن الحوادث السيبرانية المشتبه بها وفًق ا لخطة الجهة لالستجابة للحوادث السيبرانية 24
تقييم مدى كفاية ضوابط التحكم بالوصول بناء على سياسات الجهة 27
مراقبة مصادر البيانات الخارجية للمحافظة على فهم محدث لحالة تهديدات األمن الس,,يبراني وتحدي,,د
28
القضايا األمنية التي قد تؤثر على الجهة
تقييم ومراقبة جوانب األمن السيبراني لممارسات الجهة بتطبيق الُنظم واختبارها 29
تقديم توصيات األمن السيبراني للقيادة استناًد ا إلى التهديدات والثغرات الجسيمة 30
العمل مع أصحاب المصلحة لحل حوادث األمن السيبراني وقضايا الثغرات في االلتزام 31
وصف وتحلي,ل حرك,ة الم,رور على الش,بكة ،لتحدي,د األنش,طة الش,اذة والتهدي,دات المحتمل,ة لم,وارد
33
الشبكات
التنسيق مع بقية طاقم عمل الدفاع السيبراني للتحقق من مصداقية التنبيهات الشبكية 34
تقديم تقارير ُمجملة يومية ألح,,داث الش,,بكات واألنش,,طة األخ,,رى ذات الص,,لة ب,,األمن الس,,يبراني بم,,ا
35
يتالءم مع سياسات ومتطلبات الجهة
اإلصدار <>1.0
48
نموذج أدوار ومسؤوليات األمن السيبراني
أخصائي مخاطر األمن السيبراني ألنظمة التحكم الصناعي والتقنيات التشغيلية (ICS/OT
)Cybersecurity Risk Officer
المسؤوليات #
تطوير أوصاف للمخاطر األمنية لنظم الحاسب من خالل تقييم التهديدات لتلك النظم وثغراتها 2
تطوير استراتيجيات للحد من المخاطر من أج,,ل إدارة المخ,,اطر في ظ,,ل سياس,,ات الجه,,ة لمس,,تويات
3
المخاطرة المقبولة
تطوير إجراءات مضادة خاصة باألمن السيبراني واستراتيجيات لمعالجة المخاطر 4
توصيف مخاطر األمن السيبراني األولية أو المتبقية التي تؤثر على تشغيل النظام 5
التأكد من أن القرارات المتخذة بشأن األمن السيبراني تستند على المبادئ األساسية إلدارة المخاطر 6
أداء مهام االستجابة لألحداث دعما لف,,رق االس,,تجابة لألح,,داث ،ش,,امال جم,,ع األدل,,ة الجنائي,,ة ،ورب,,ط
7
حاالت التسلل ،والتتبع ،وتحليل التهديدات ومعالجة األنظمة
ض,,مان تعري,,ف مخ,,اطر األمن الس,,يبراني ومعالجته,,ا بالطريق,,ة المناس,,بة من خالل عملي,,ة حوكم,,ة
10
المخاطر للجهة
مراجعة تدقيقات البرامج والمشاريع السيبرانية ،أو تنفيذها ،أو المشاركة فيها 12
التعاون مع اآلخرين لتنفيذ وحفظ برنامج إدارة مخاطر األمن السيبراني 13
انتقاء أفراد وإسناد أدوار محددة لهم فيما يتعلق بتنفيذ إطار إدارة المخاطر 14
اإلصدار <>1.0
49
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
وضع استراتيجية إدارة المخاطر بالجهة ،شاملة تحديد مستوى تحمل المخاطر 15
إجراء تقييم مخاطر أولي ألصول أصحاب المصلحة وتحديث تقييم المخاطر بصفة مستمرة 16
العمل مع المسؤولين بالجه,,ة لض,,مان أن بيان,,ات أدوات المراقب,,ة المس,,تمرة ت,,وفر ال,,وعي بمس,,تويات
17
المخاطر القائمة
تطوير منهجيات فّع الة لمراقبة وقياس المخاطر ،ومدى االلتزام ،وجهود توكيد االلتزام 20
تنس,,يق وتق,,ديم ال,,دعم االستش,,اري التق,,ني إلى فري,,ق األمن الس,,يبراني بالجه,,ة لح,,ل ح,,وادث األمن
21
السيبراني في بيئة أنظمة التحكم الصناعي والتقنيات التشغيلية
عمل تحليل المخ,اطر في بيئ,ات أنظم,ة التحكم الص,ناعي والتقني,ات التش,غيلية كلم,ا ح,دث تغي,ير في
22
تطبيق أو نظام
أخصائي استجابة للحوادث السيبرانية ألنظمة التحكم الصناعي والتقنيات التشغيلية (ICS/OT
)Cybersecurity Incident Responder
المسؤوليات #
تحليل السجالت من مصادر متعددة لتحديد التهديدات المحتملة ألمن الشبكة 2
تحليل أولويات الحوادث لتحديد الثغرة ونطاقها وأولويتها وتأثيرها المحتمل ،ومن ثم تق,,ديم توص,,يات
3
من شأنها توفير العالج السريع
إجراء جمع أولي للصور الجنائية بموجب معايير البحث الجنائي ذات العالقة ،وفحصها لتحديد أنسب
5
إجراءات المعالجة
اإلصدار <>1.0
50
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحليل تنبيهات الشبكة ال,,تي يتم الحص,,ول عليه,,ا من مص,,ادر مختلف,,ة لتحدي,,د األس,,باب المحتمل,,ة ألي
6
أحداث يتم اكتشافها
تتبع الحوادث السيبرانية وتوثيقها منذ اكتشافها إلى حلها النهائي 7
كتابة ونشر أساليب وإرشادات الدفاع السيبراني وتقارير األحداث السيبرانية ،ومشاركتها مع الجهات
8
ذات العالقة
تطبيق مبادئ وممارسات الدفاع األمني متعدد المستويات بما يتماشى مع سياسات الجهة 9
جمع آثار التسلل ،واستخدام البيانات المكتشفة للحد من حوادث األمن السيبراني المحتملة داخل الجهة 10
تحرير ونشر المراجعات للتعلم ولنشر الدروس المستفادة من أحداث األمن السيبراني 11
مراقبة مصادر البيانات الخارجية للمحافظة على فهم محدث لحالة تهديدات األمن الس,,يبراني وتحدي,,د
12
القضايا األمنية التي قد تؤثر على الجهة
أداء دور الخبير التق,,ني ل,,دعم الس,,لطات القانوني,,ة التنفيذي,,ة وش,,رح تفاص,,يل ح,,ادث األمن الس,,يبراني
14
والتحليل الجنائي ،حسب المطلوب
التنسيق مع محللي معلومات التهديدات السيبرانية بهدف ربط بيانات تقييم التهديدات 15
تنس,,يق وتق,,ديم ال,,دعم االستش,,اري التق,,ني إلى فري,,ق األمن الس,,يبراني بالجه,,ة لح,,ل ح,,وادث األمن
16
السيبراني في بيئة أنظمة التحكم الصناعي والتقنيات التشغيلية
تنفيذ مهام التعامل الفوري م,ع ح,وادث األمن الس,يبراني في بيئ,ات تقني,ة المعلوم,ات وأنظم,ة التحكم
17
الصناعي والتقنيات التشغيلية لدعم فريق االستجابة للحوادث
التأكد من التزام <مكتب إدارة البيانات> بجميع متطلبات األمن السيبراني. 1
قيادة وتوجيه موظفي <مكتب إدارة البيانات> من خالل اإلشراف على الت,,دريب والتوعي,,ة والتثقي,,ف 2
اإلصدار <>1.0
51
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التأكد من إشراك <مكتب إدارة البيانات> في جميع المسائل األمنية المتعلقة بالبيانات. 3
العمل مع <مكتب إدارة البيانات> لتطوير الضوابط األمنية لحماية البيانات. 4
اإلشراف على سرعة تطبيق التوصيات للتقليل من مخاطر األمن السيبراني. 5
المسؤوليات #
استخدام لغات برمجة مختلفة لكتابة الشفرات البرمجية ولفتح الملفات ،ولقراءتها ،ولكتابة المخرج,,ات
2
في ملفات مختلفة.
تطوير العمليات المؤتمتة وحلول الذكاء االصطناعي ذوات التصنيف العالمي. 4
تحديد وتطوير الحلول الحسابية المؤتمتة ،شامال الحلول التحليلية والخوارزمية. 5
تعزيز األساليب اإلحصائية والتعُّلم اآللي لتحديد االتجاهات والتحليل التنبئي. 6
تطبيق المعرفة في التعّلم اآللي ،أو اإلبصار الحاسوبي ( ،)Computer visionأو االستشعار عن
ُبعد ومعالجة البيان,,ات الكب,,يرة ألج,,ل معالج,,ة المش,,اكل المهم,,ة من خالل تط,,وير البرمجي,,ات لتحدي,,د 7
الخوارزميات والمنهجيات المناسبة.
تحليل البيانات وإجراء تحليل كمي للبيانات باستخدام مجموعة متنوعة من مجموعات البيانات لتحديد
8
العمليات ومراقبتها واستكشافها.
مواكبة أبح,اث اإلبص,ار الحاس,وبي ( )Computer visionوالتعُّلم اآللي لنس,خ وتأس,يس أس,اليب
9
جديدة.
اإلصدار <>1.0
52
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
استخدام األدوات المرئية لتصور البيانات وإنشاء لوحات المعلومات إليصال النتائج. 10
تشخيص البيانات وإجراء التحليل اإلحصائي والتحليل من خالل التعّلم اآللي. 11
المسؤوليات #
الحفاظ على مجموعة أدوات تدقيق الدفاع السيبراني القابلة للتفعيل ،بناء على أفض,,ل الممارس,,ات في
1
القطاع ،وذلك لدعم عمليات تدقيق الدفاع السيبراني.
إعداد تقارير التدقيق والتقييم التي تحدد النتائج التقنية واإلجرائية ،وتش,,مل توص,,يات باالس,,تراتيجيات
4
والحلول العالجية
تتبع نتائج وتوصيات التدقيق لضمان اتخاذ إجراءات معالجة مالئمة. 5
مراجعة تدقيقات البرامج والمشاريع السيبرانية ،أو تنفيذها ،أو المشاركة فيها. 8
الحف,,اظ المتواص,,ل على المعرف,,ة بالسياس,,ات والتنظيم,,ات ووث,,ائق االل,,تزام المعم,,ول به,,ا في األمن
9
السيبراني الدفاعي حسب ما يختص منها بأعمال التدقيق لألمن السيبراني الدفاعي.
إج,راء أعم,,ال الت,دقيق للحال,ة األمني,ة لل,برامج والش,بكة والنظ,ام حس,,ب م,,ا ورد في سياس,,ات األمن
10
السيبراني ،وتقديم توصيات باألنشطة المطلوبة لعالج الثغرات المكتشفة.
تطوير عمليات االلتزام األمني وعمليات تدقيق للخدمات المقدمة من أطراف خارجية. 11
اإلصدار <>1.0
53
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
المراجع,,ة الدوري,,ة لض,,مان مواءم,,ة سياس,,ات األمن الس,,يبراني والوث,,ائق ذات العالق,,ة م,,ع غاي,,ات
12
واستراتيجيات الجهة المعلنة.
ضمان توثيق التصميم والتطوير ألنشطة األمن السيبراني على نحو مالئم. 13
ضمان أن عمليات التدقيق لألمن السيبراني تختبر جميع الجوانب ذات العالق,,ة بالبني,,ة التحتي,,ة للجه,,ة
14
وااللتزام بالسياسات.
تطوير العمليات مع المدققين الخارجيين حول كيفية مشاركة المعلومات بأمان. 15
المسؤوليات #
إجراء تقييمات لمدى التأثير على الخصوصية لضمان حماي,,ة سِّ,,ر ية معلوم,,ات المعرف,,ات الشخص,,ية
1
بشكل مناسب.
التع,,اون م,,ع اآلخ,,رين بش,,أن السياس,,ات والعملي,,ات واإلج,,راءات ذات العالق,,ة بالخصوص,,ية واألمن
2
السيبراني
ض,,مان وض,,ع الض,,وابط المالئم,,ة للح,,د من مخ,,اطر األمن الس,,يبراني بفاعلي,,ة ومعالج,,ة مخ,,اوف
3
الخصوصية خالل عملية تقييم المخاطر.
العمل مع المستشارين القانونيين بالجهة واألطراف األخرى ذات العالقة لضمان التزام كافة الخدمات
4
مع متطلبات الخصوصية وأمن البيانات.
العمل مع المستشارين القانونيين واإلداريين وأصحاب المص,,لحة بالجه,,ة لض,,مان ت,,وفر توثي,,ق مالئم
5
للخصوصية والسرية بالجهة والمحافظة عليه.
العمل مع أصحاب المصلحة لتط,,وير العالق,,ات م,,ع الجه,,ات التنظيمي,,ة واإلدارات الحكومي,,ة المعني,,ة
6
بقضايا الخصوصية وأمن البيانات.
ضمان تسجيل كافة مص,,ادر البيان,ات ومص,,ادر معالجته,,ا ل,دى س,,لطات حماي,ة خصوص,,ية البيان,ات
7
حسب اللزوم.
العمل مع فرق األعم,,ال واإلدارة العلي,,ا لض,,مان التوعي,,ة بأفض,,ل الممارس,,ات في مج,,ال خصوص,,ية
8
المعلومات وأمن البيانات.
اإلصدار <>1.0
54
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
العمل مع اإلدارة العليا بالجهة لتأسيس لجنة مراقبة لخصوصية البيانات. 9
تطوير وتوثيق إجراءات بالغات اإلفصاح الذاتي عن أية أدلة على انتهاكات الخصوصية. 11
العمل كحلق,,ة اتص,,ال لخصوص,,ية المعلوم,,ات لمس,,تخدمي األنظم,,ة التقني,,ة ،واإلبالغ عن الخروق,,ات
12
لإلدارة العليا.
تط,,وير م,,واد الت,,دريب واالتص,,االت األخ,,رى لزي,,ادة فهم الم,,وظفين لسياس,,ات الخصوص,,ية بالجه,,ة
13
وممارسات معالجة البيانات وااللتزامات القانونية.
اإلشراف على التدريب والتعريف األولي في مجال الخصوصية ،وتوجيهه وض,,مان تقديم,,ه لك,,ل من
14
الموظفين والمتطوعين والمقاولين والحلفاء وشركاء العمل وأّي أطراف أخرى ذات صلة.
العمل مع الشؤون الخارجية لتطوير العالقات مع منظمات المس,,تهلكين وغيره,,ا من المنظم,,ات غ,,ير
16
الحكومية المهتمة بقضايا الخصوصية وأمن البيانات.
العم,,ل م,,ع إدارة الجه,,ة والمستش,,ارين الق,,انونيين واألط,,راف األخ,,رى ذات الص,,لة لتمثي,,ل مص,,الح
17
خصوصية المعلومات للجهة أمام األطراف الخارجية.
تقديم التقارير الدورية عن الوضع الراهن لبرنامج الخصوصية لصالح اإلدارة العليا أو المسؤولين أو
18
اللجان اآلخرين.
توجيه مسؤولي الخصوصية واإلشراف على أعمالهم ،وتنسيق برامج الخصوصية وأمن البيانات م,,ع
20
اإلدارة العليا لضمان التناسق عبر الجهة.
العمل مع فرق الموارد البشرية والقانونية لتطوير عقوبات مناسبة لعدم االلتزام بسياسات وإج,,راءات
22
الخصوصية للجهة
حّل مزاعم عدم االلتزام بسياسات الخصوصية للجهة ،أو ممارسات إبالغ المعلومات ،دون تأخر. 23
اإلصدار <>1.0
55
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مراجعة مشاريع البيانات والخصوصية بالجهة وضمان التزامها بسياسات الخصوصية وأمن البيانات
25
بالجهة.
إنشاء عملية إلدارة جميع جوانب الشكاوى المتعلقة بسياسات وإجراءات الخصوصية في الجهة. 26
توف,,ير القي,,ادة في أعم,,ال التخطي,,ط والتص,,ميم والتق,,ييم للمش,,اريع ذات الص,,لة بالخصوص,,ية واألمن
27
السيبراني.
المراجعة الدورية لبرنامج الخصوصية وتحديثه ليشمل التغييرات في الق,,وانين أو األنظم,,ة أو سياس,,ة
29
الجهة.
تقديم إرشادات التطوير والمساعدة فيما يخص سياسات وإجراءات خصوصية المعلومات بالجهة. 30
ضمان أن استخدام التقنيات يحافظ على ُسبل حماية الخصوصية ،سواء عن,,د االس,,تخدام أو الجم,,ع أو
31
اإلفصاح عن المعلومات الشخصية ،وال يؤدي إلى تعريتها.
مراقبة تطوير الُن ظم وعملياتها لضمان التزامها بسياسات الخصوصية واألمن. 32
إجراء تقييمات لآلثار المترتب,ة على الخصوص,,ية ج,راء قواع,,د جدي,دة مقترح,ة في ح,ق خصوص,,ية
33
المعلومات الشخصية.
مراجعة كافة خطط األمن السيبراني لضمان المواءمة بين األمن السيبراني وممارسات الخصوصية. 34
تط,,وير وإدارة إج,,راءات التمحيص وت,,دقيق الم,,وردين لالل,,تزام بالمتطلب,,ات المناس,,بة في مج,,االت
35
الخصوصية وأمن البيانات والمتطلبات القانونية والتنظيمية
التأك,,د من أن كاف,,ة الش,,كاوى ذات العالق,,ة بسياس,,ة الخصوص,,ية للجه,,ة والوث,,ائق ذات العالق,,ة تتم
36
معالجتها دون تأخر من خالل المورد المناسب
التنسيق مع رئيس إدارة األمن السيبراني أو من يق,,وم بعمل,,ه لض,,مان المواءم,,ة بين ممارس,,ات األمن
38
السيبراني وممارسات الخصوصية.
إعداد االتصاالت والتدريبات المناسبة لتحفيز وتعليم كاف,,ة الم,,وظفين ،بم,,ا فيهم القي,,ادات العلي,,ا ،فيم,,ا
39
يخص االلتزام بالخصوصية وعواقب عدم االلتزام ،والمداومة على ذلك.
اإلصدار <>1.0
56
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
ضمان تسخير التقنيات المالئمة الستمرار التزام الجهة بمتطلبات الخصوصية. 41
تطوير خط,,ط اس,,تراتيجية م,,ع اإلدارة العلي,,ا لض,,مان معالج,,ة المعلوم,,ات الشخص,,ية وفًق ا لمتطلب,,ات
42
الخصوصية المعمول بها.
تطوير إجراءات على مستوى الجهة ومتابعتها لضمان تطوير المنتجات والخدمات الجديدة بما يتس,,ق
43
مع سياسات الخصوصية بالجهة والتزاماتها القانونية.
العمل مع رئيس إدارة األمن السيبراني والمستشار القانوني واإلدارة العليا إلدارة ح,,وادث وانتهاك,,ات
44
الخصوصية وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
المحافظة على التوعية بقوانين الخصوصية وأنظمتها ومعايير االعتماد المعمول بها. 45
التأكد من التزام <اإلدارة المعنية بتقنية المعلومات> بجميع متطلبات األمن السيبراني. 1
قيادة وتوجيه موظفي <اإلدارة المعنية بتقنية المعلومات> من خالل اإلشراف على التدريب والتوعية
2
والتثقيف باألمن السيبراني تماشًيا مع مسؤولياتهم.
المشاركة والمساهمة في تطوير إطار وإجراءات وعمليات إدارة المخاطر وتطبيقها. 3
اعتماد وسائل يدوية (غير آلية) للتحديثات واإلص,,الحات في ح,,ال لم تكن األدوات اآللي,,ة المس,,تخدمة
4
في <اسم الجهة> مدعومة.
اإلشراف والمتابعة الدورية لتنفيذ الحلول اآللية إلدارة حزم التحديثات واإلصالحات. 5
مراجعة فاعلية وكفاءة إدارة التحديثات واإلصالحات في األنظمة الحساسة المتعلقة بتقنية المعلومات. 6
التأكد من إشراك <اإلدارة المعنية باألمن السيبراني> في جمي,,ع المس,,ائل األمني,,ة المتعلق,,ة باألص,,ول
7
المعلوماتية والتقنية ،وإدارة المشاريع ،والمشتريات.
التأكد من إشراك <اإلدارة المعنية باألمن السيبراني> لض,,مان حماي,,ة األص,,ول المعلوماتي,,ة والتقني,,ة 8
اإلصدار <>1.0
57
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التأّك د من مراجعة عقود الصيانة الحالية مع موردي أنظمة تقني,ة المعلوم,,ات و/أو األنظم,,ة الحّساس,,ة
9
لتزويد <اسم الجهة> بأحدث اإلصدارات من حزم التحديثات واإلصالحات.
11اإلشراف على إدارة عمليات التشغيل لألصول التقنية المتعلقة باألمن السيبراني.
تط,,بيق متطلب,,ات األمن الس,,يبراني المتعلق,,ة ب<اإلدارة المعني,,ة بتقني,,ة المعلوم,,ات> ،بم,,ا في ذل,,ك
1
سياسات األمن السيبراني وإجراءاته ،وعملياته ومعاييره وإرشاداته.
تطبيق متطلبات األمن السيبراني فيما يتعلق بطبيعة عمل الموظف المعني. 3
تص,,عيد أي أنش,,طة مش,,بوهة أو مخ,,اوف تتعل,,ق ب,,األمن الس,,يبراني إلى <اإلدارة المعني,,ة ب,,األمن
4
السيبراني> واإلبالغ عنها.
المساعدة في تقديم مدخالت ألنشطة عمليات إطار إدارة المخاطر والوثائق ذات العالقة. 5
التنسيق مع <اإلدارة المعنية باألمن السيبراني> حول جميع المس,,ائل المتعلق,,ة باألص,,ول المعلوماتي,,ة
6
والتقنية وإدارة المشاريع.
التنسيق مع <اإلدارة المعنية باألمن السيبراني> لضمان حماية األصول المعلوماتية والتقني,ة لـ<اس,م
7
الجهة> وتأمينها على النحو المطلوب.
مراجعة عقود الصيانة الحالية مع موردي أنظمة تقنية المعلومات واألنظمة الحّساسة للتأكد من تزويد
8
<اسم الجهة> بأحدث اإلصدارات من حزم التحديثات واإلصالحات.
اإلصدار <>1.0
58
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تطبيق السياسات األمنية على التطبيقات المتداخلة بين بعضها البعض. 1
تطوير أوصاف للمخاطر األمنية لنظم الحاسب من خالل تقييم التهديدات لتلك النظم وثغراتها. 2
إجراء تقييمات لمدى التأثير على الخصوصية لضمان حماي,,ة سِّ,,ر ية معلوم,,ات المعرف,,ات الشخص,,ية
3
بشكل مناسب.
تطوير استراتيجيات للحد من المخاطر من أجل إدارة المخاطر بالتوافق مع سياسات الجهة لمستويات
4
المخاطرة المقبولة.
تطوير تدابير مضادة خاصة باألمن السيبراني واستراتيجيات لمعالجة المخاطر. 5
التأك,,د من أن أي منتج يتم اس,,تخدامه إلدارة مخ,,اطر األمن الس,,يبراني تم تقييم,,ه بفعالي,,ة والتص,,ريح
6
باستخدامه.
تحليل المخاطر السيبرانية كلما خضع أي برنامج أو نظام لتغيير جوهري. 7
تصميم ضوابط وإجراءات أمن الُن ظم التي توفر السرية والسالمة والت,,وافر والتحق,,ق وع,,دم اإلنك,,ار،
9
وتطويرها وتحقيق تكاملها وتحديثها.
توفير الخبرة المتخصصة لتطوير وهندسة الجيل القادم من األمن السيبراني. 11
تحديد وظائف األعمال الحيوية وتصنيف أولوياتها بالتعاون مع أصحاب المصلحة بالجهة. 12
تحلي,,ل قي,,ود التص,,ميم والمفاض,,الت في التص,,ميم التفص,,يلي لألمن الس,,يبراني للنظ,,ام م,,ع األخ,,ذ في
13
االعتبار دعم دورة حياة النظام.
بناء نماذج أولية للمنتج,,ات واختباره,,ا وتع,,ديلها ،إلثب,,ات على التزامه,,ا بمتطلب,,ات األمن الس,,يبراني،
15
وذلك من خالل النماذج الفعلية أو النظرية.
اإلصدار <>1.0
59
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تصميم العتاد وُن ظم التشغيل وتطبيقات البرمجيات لتلبية متطلبات األمن السيبراني. 17
تصميم أو دمج النسخ االحتياطي اآلمن ،والتخزين المحمي لقدرات النسخ االحتياطية للبيانات ،حسب
18
المناسب في التصاميم.
تطوير وتوجيه اإلجراءات وأعمال التوثيق لعمليات اختبار النظم وعمليات المصادقة. 19
تطوير وثائق التصميم األمني التفصيلية بخص,,وص مواص,,فات المكون,,ات والواجه,,ات ل,,دعم تص,,ميم
20
النظام وتطويره.
تطوير واختبار خطط التعافي من الكوارث واستمرارية العمليات للُن ظم الخاضعة للتطوير وذل,,ك قب,,ل
21
إدخال النظم في بيئة اإلنتاج الحية.
تحديد وتوجيه معالجة المشكالت التقنية التي تتم مواجهتها في أثناء اختبار وتنفيذ ُنظم جديدة. 23
ضمان تضمين األمن السيبراني بداخل عمليات تطوير البرامج ،وحفظها ،وإخراجها من الخدمة. 24
إدارة تجميع البيانات ،وفهرستها ،والتخزين المؤقت لها ،وتوزيعها واسترجاعها. 26
استخدام النماذج والمحاكاة لتحليل أداء النظام في ظل ظروف تشغيل مختلفة أو التنبؤ به. 29
تطوير تصاميم األمن السيبراني لتلبية احتياجات تشغيلية وعوامل بيئية محددة. 32
تنفيذ منهجيات دورة حياة تطوير النظام ودمجها في بيئة التطوير ألنظمة األمن السيبراني. 33
توظيف عمليات إدارة اإلعدادات عند تطبيق أنظمة األمن السيبراني. 34
اإلصدار <>1.0
60
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تصميم الواجهات اآلمنة بين ُنظم المعلومات والُن ظم المادية والتقني,,ات المدمج,,ة ،وتنفي,,ذها واختباره,,ا
35
وتقييمها.
التصميم حسب المتطلبات األمنية ،لضمان تلبية المتطلبات لجميع الُن ظم والتطبيقات. 36
وض,,ع اس,,تراتيجيات المعالج,,ة لمواجه,,ة المخ,,اطر ذات الص,,لة بالتكلف,,ة والج,,داول الزمني,,ة واألداء
37
واألمن.
تقديم المدخالت للخطط التنفيذية ألمن أنظمة المعلومات وإجراءات التشغيل النمطية. 39
ضمان توثيق التصميم والتطوير ألنشطة األمن السيبراني على نحو مالئم. 42
أخصائي البنية التحتية لألمن السيبراني ألنظمة التحكم الصناعي والتقنيات التشغيلية (ICS/OT
)Cybersecurity Infrastructure Specialist
المسؤوليات #
تحديد حماية البنية التحتية الحاسمة للدفاع السيبراني ومواردها ،وترتيب أولوياتها وتنسيقها. 3
تطبيق وظ,,ائف األمن الس,,يبراني (مث,,ل التش,,فير والتحكم في الوص,,ول وإدارة الهوي,,ة) لتقلي,,ل ف,,رص
4
االستغالل.
اإلدارة واإلشراف على أعمال تحديث القواعد والتواقيع لتطبيقات الدفاع السيبراني. 5
إعداد وتهيئة برامج وأجهزة تعزيز األمن السيبراني المخصصة ،وتثبيتها ،وتحديثها ،واختبارها. 6
المساعدة في تقييم أثر بناء وتشغيل بنية تحتية مخصصة تعزيز األمن السيبراني. 7
اإلصدار <>1.0
61
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إدارة منص,,ات االختب,,ار ،واختب,,ار وتق,,ييم التطبيق,,ات وأجه,,زة البني,,ة التحتي,,ة والقواع,,د والتوقيع,,ات،
8
وضوابط التحكم بالوصول وإعدادات المنصات التي يديرها مزودو الخدمات.
إنش,,اء ق,,وائم التحكم بالوص,,ول إلى الش,,بكات المخزن,,ة ب,,داخل ُنظم ال,,دفاع الس,,يبراني المخصص,,ة،
9
وتعديلها وإدارتها.
تحديد التعارضات المحتملة جراء تنفيذ أي من أدوات الدفاع السيبراني ،واإلبالغ عنها. 10
تنفيذ متطلبات إطار إدارة المخ,,اطر والتق,,ييم األم,,ني والتص,,ريح لُنظم ال,,دفاع الس,,يبراني المخصص,,ة
11
داخل الجهة ،وتوثيق سجالتها وحفظها.
تحديد ضوابط األمن السيبراني للنظام وتوثيق الوصف الوظيفي لتنفيذ الضوابط في الخطة األمنية. 12
تنفيذ ضوابط األمن السيبراني الواردة في الخطة األمنية أو وثائق الُنظم األخرى. 13
تطوير العمليات واإلجراءات الخاص,ة بالتح,ديث وعم,ل تح,ديث اإلص,الح الي,دوي لبرمجي,ات الُنظم
بحس,,ب متطلب,ات الج,دول الزم,,ني الح,الي أو المتوق,ع لتط,بيق ح,زم تح,ديثات اإلص,الح على البيئ,ة 14
التشغيلية للنظام.
انتقاء ضوابط األمن السيبراني للنظام وتوثيق الوصف الوظيفي لتنفيذ الضوابط في الخطة األمنية في
15
بيئات تقنية المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
تنفيذ ضوابط األمن الس,,يبراني ال,,واردة في الخط,,ة األمني,,ة أو وث,,ائق الُنظم األخ,,رى في بيئ,,ات تقني,,ة
16
المعلومات وأنظمة التحكم الصناعي والتقنيات التشغيلية.
المسؤوليات #
تطبيق السياسات األمنية على التطبيقات المتداخلة بين بعضها البعض. 1
استخدام منتجات األمن السيبراني أو تقنيات التحكم األمني للحد من المخاطر المكتشفة إلى مس,,تويات 3
اإلصدار <>1.0
62
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
مقبولة.
إجراء مراجعات األمن السيبراني ،وتحديد الفج,وات في المعماري,ة األمني,ة ،من أج,ل إص,دار خط,ط
4
إلدارة المخاطر السيبرانية.
تحليل نتائج التمارين وبيئة النظام للتخطيط وللتوصية بتعديالت وتسويات. 5
مراجعة وثائق األمن السيبراني العاكسة لتصميم النظام ،وتحديثها وحفظها. 7
تقييم مدى كفاية ضوابط التحكم بالوصول بناء على سياسات الجهة. 12
تقييم ومراقبة جوانب األمن السيبراني لممارسات الجهة بتطبيق الُن ظم واختبارها. 13
تقديم توصيات األمن السيبراني للقيادة استناًد ا إلى التهديدات والثغرات الجسيمة. 14
العمل مع األطراف المعنيين لحل حوادث األمن السيبراني وقضايا الثغرات في االلتزام. 15
تط,,بيق مب,,ادئ المعماري,,ة األمني,,ة الموجه,,ة للخ,,دمات الس,,تيفاء متطلب,,ات الجه,,ة الخاص,,ة بالس,,رية
17
والسالمة والتوافر.
ضمان توثيق جميع عمليات أمن الُن ظم وأنشطة الصيانة على نحو مالئم ،وتحديثها حسب الضرورة. 18
تطبيق التحديثات وحزم التحديثات األمني,ة للمنتج,ات التجاري,ة بم,,ا يتواف,ق م,,ع األط,ر الزمني,ة ال,تي
19
تمليها السلطة اإلدارية فيما يخص بيئة التشغيل المعنية.
دمج القدرات المؤتمتة المخصصة لتحديث أو عمل تحديثات إص,,الح برمجي,,ات النظ,,ام ،حيثم,,ا أمكن
21
ذلك عمليا.
اإلصدار <>1.0
63
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
توثيق وتحديث جميع األنشطة المتعلقة بتنفيذ وتشغيل وصيانة أمن األنظمة. 23
تقديم إرشادات بشأن األمن السيبراني إلى اإلدارة المعنية باألمن السيبراني. 24
تطوير واختبار إجراءات نقل عمليات النظام إلى موقع بديل. 25
تنفيذ تدابير أمنية على النظام أو مكونات النظام لمعالجة الثغرات وتقليل المخ,,اطر ،والتوص,,ية بعم,,ل
27
تغييرات تتعلق باألمن السيبراني.
تنفيذ التدابير والضوابط األمنية للنظام وفًق ا لإلجراءات المعمول بها. 28
رفع التوصيات لإلدارة بعمل اإلجراءات الالزمة للمعالجة والتصحيح أو بقبول المخاطر الناتج,,ة عن
30
جوانب القصور األمني التي يتم اكتشافها عند الفحص.
تطوير العمليات واإلجراءات الخاص,ة بالتح,ديث وعم,ل تح,ديث اإلص,الح الي,دوي لبرمجي,ات الُنظم
بحس,,ب متطلب,ات الج,دول الزم,,ني الح,الي أو المتوق,ع لتط,بيق ح,زم تح,ديثات اإلص,الح على البيئ,ة 32
التشغيلية للنظام.
المسؤوليات #
تقييم مدى كفاية ضوابط التحكم بالوصول بناء على سياسات الجهة. 1
تطبيق وظ,,ائف األمن الس,,يبراني (مث,,ل التش,,فير والتحكم في الوص,,ول وإدارة الهوي,,ة) لتقلي,,ل ف,,رص
2
االستغالل.
تطوير تصاميم األمن السيبراني لتلبية احتياجات تشغيلية وعوامل بيئية. 3
اإلصدار <>1.0
64
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إنشاء قوائم التحكم بالوصول إلى الشبكات المخزنة بداخل ُنظم تعزي,,ز األمن الس,,يبراني المخصص,,ة،
4
وتعديلها وإدارتها.
العمل مع الفرق األخرى لتصميم وتطوير وتأمين حلول إلدارة الهوية والوصول. 5
العمل مع معماري األمن السيبراني لتطوير استراتيجية إدارة الهوية والوصول. 6
ضمان اتباع معايير وسياسات الجهة عند تنفيذ حلول إدارة الهوية والوصول. 7
العمل مع األطراف المعنية لتحديد ومعالجة الثغرات عند تنفيذ حلول إدارة الهوية والوصول. 8
تقديم التوجيه والنصيحة إلى أعضاء الفريق بشأن أنظمة إدارة الهوية والوصول وعملياتها. 9
إعداد سياسات المجموعات وقوائم التحكم في الوصول لضمان التوافق مع المعايير التنظيمية وقواعد
10
العمل واالحتياجات.
تصميم وتطوير وظائف إدارة النظم واإلشراف عليها للمستخدمين ذوي الصالحيات اإلضافية. 12
اإلشراف على الحسابات وصالحيات الشبكة والوصول إلى األنظمة والمعدات. 13
إعداد عمليات وإجراءات التحكم في الوصول ألدوات وتقنيات المراقبة المستمرة. 14
ضمان أن تتم إدارة الوصول ألدوات وتقنيات المراقبة المستمرة بشكل مناسب. 15
المسؤوليات #
التأكد من توافق قدرات االكتش,,اف والحماي,ة الس,,يبرانية م,,ع اس,,تراتيجية وسياس,,ات األمن الس,,يبراني
2
للجهة ،ومع المستندات األخرى ذات العالقة.
تطوير قدرات إدارة البيانات اآلمنة لدعم القوى العاملة المتنقلة. 3
اإلصدار <>1.0
65
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تمكين التطبيق,,ات بالمف,,اتيح العام,,ة من خالل مكتب,,ات البني,,ة التحتي,,ة للمف,,اتيح العمومي,,ة القائم,,ة ،م,,ع
4
تضمين إدارة الشهادات والتشفير حسب الحاجة.
تصميم ضوابط وإجراءات أمن الُن ظم التي توفر السرية والسالمة والت,,وافر والتحق,,ق وع,,دم اإلنك,,ار،
5
وتطويرها ،وتحقيق تكاملها وتحديثها.
تطبيق وظ,,ائف األمن الس,,يبراني (مث,,ل التش,,فير والتحكم في الوص,,ول وإدارة الهوي,,ة) لتقلي,,ل ف,,رص
6
االستغالل.
تط,,بيق مب,,ادئ المعماري,,ة األمني,,ة الموجه,,ة للخ,,دمات الس,,تيفاء متطلب,,ات الجه,,ة الخاص,,ة بالس,,رية
7
والسالمة والتوافر.
تنفيذ التدابير والضوابط األمنية للنظام وفًق ا لإلجراءات المعمول بها. 9
المسؤوليات #
أداء البرمجة اآلمنة وتحديد مواطن الخلل المحتملة في الشفرات البرمجية لمعالجة الثغرات. 1
تحليل نتائج التمارين وبيئة النظام للتخطيط وللتوصية بتعديالت وتسويات. 3
تمكين التطبيق,,ات بالمف,,اتيح العام,,ة من خالل مكتب,,ات البني,,ة التحتي,,ة للمف,,اتيح العمومي,,ة القائم,,ة ،م,,ع
4
تضمين إدارة الشهادات والتشفير حسب الحاجة.
تطبيق وظ,,ائف األمن الس,,يبراني (مث,,ل التش,,فير والتحكم في الوص,,ول وإدارة الهوي,,ة) لتقلي,,ل ف,,رص
5
االستغالل.
تحليل المعلومات لتحديد متطلبات التطوير لبرنامج جديد أو تعديل برنامج قائم ،والتوصية والتخطي,,ط
6
في ذلك كله.
اإلصدار <>1.0
66
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحلي,,ل كيفي,,ة تلبي,,ة احتياج,,ات المس,,تخدم ومتطلب,,ات البرمجي,,ات بم,,ا يتماش,,ى م,,ع سياس,,ات األمن
7
السيبراني ،وتحديد مدى واقعية التصميم ،ضمن القيود الزمنية والمالية.
دمج األمن السيبراني في عملية المتطلبات عن طريق تعريف الضوابط األمنية وتوثيقها. 10
ضمان توثيق سير تط,,وير ال,,برامج وتح,,ديثها ،وض,,مان ق,,درة اآلخ,,رين على فهمه,,ا من خالل إدراج
11
التعليقات في الشفرات البرمجية.
تقييم مواطن االرتباط بين العتاد والبرامج من خالل االستشارة مع الكوادر الهندسية. 13
العم,,ل على ض,,مان الحص,,ول على النت,,ائج المرج,,وة من خالل إع,,ادة التحق,,ق من البرن,,امج وإج,,راء
14
التغييرات المناسبة لتصحيح األخطاء.
تطبيق المنهجيات إلصالح األخطاء البرمجية الشائعة ذات التبعات األمنية لضمان تط,,وير برمجي,,ات
16
آمنة.
ضمان تضمين األمن السيبراني بداخل عمليات تطوير البرامج ،وحفظها ،وإخراجها من الخدمة. 17
إجراء اختبارات مدمجة لضمان جودة وظائف األنظمة األمنية وصمودها. 18
إعداد مخططات تدفق العمليات والرسومات البيانية التي توض,,ح الم,,دخالت والمخرج,,ات والعملي,,ات
19
المنطقية لألنظمة األمنية.
ترجمة المتطلبات األمنية إلى عناصر تصميم التطبيق ،بما في ذلك توثيق عناصر األجزاء المعرضة
21
للهجوم في البرمجيات وتصميم نماذج للتهديدات وتحديد أي ضوابط أمنية خاصة.
توجيه أعمال البرمجة لتطبيقات األمن السيبراني وأعمال تطوير مستنداتها التوثيقية. 23
اإلصدار <>1.0
67
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
استخدام لغات برمجة مختلفة لكتابة الشفرات البرمجية ولفتح الملفات ،ولقراءتها ،ولكتابة المخرج,,ات
24
في ملفات مختلفة.
تحديد العمليات والخدمات األمنية المؤسسية عند تصميم وتطوير التطبيقات اآلمنة ،واالستفادة منها. 25
التشغيل التجريبي للبرامج وتطبيقات البرمجيات ،لضمان إنتاج المعلومات المرغوبة ،وضمان سالمة
26
التعليمات والمستويات األمنية.
تعديل البرمجيات القائمة وحفظها لتصحيح األخطاء أو تكييفها مع أجهزة جدي,,دة أو ترقي,,ة الواجه,,ات
28
وتحسين األداء.
تحديد وتوثيق حزم تحديثات اإلص,,الح للبرمجي,,ات أو نط,,اق اإلص,,دارات ال,,ذي سينش,,أ عن,,ه ثغ,,رات
29
بالبرامج.
ابتك,ار أس,اليب وحل,ول إبداعي,ة مخصص,ة لالس,تغالل الكتش,اف الثغ,رات وم,دى ُعرض,ة األه,داف
30
ألعمال االستغالل.
اإلشراف على تنفيذ متطلبات األمن السيبراني المتعلقة بتطوير التطبيقات في <اسم الجهة>. 1
التنسيق مع فريق األمن السيبراني حول المسائل المتعلقة باألمن السيبراني ال,,تي ت,,ؤثر على <اإلدارة
2
المعنية بتطوير التطبيقات>.
التأك,,د من تط,,بيق مع,,ايير األمن الس,,يبراني المعتم,,دة لتط,,وير التطبيق,,ات ،مث,,ل ( Open Web
3
.)”Application Security Project “OWASP
اإلشراف على تطبيق معايير وأدوات االختبار األمني ( )Testing Standardsوالمعايير األمنية
لشفرة البرامج والتطبيقات ( ،)Coding Standardsبما في ذلك الفحص العشوائي ()Fuzzing
4
ألدوات التحليل الثابت للشفرات ( )Static Code Analysisوإجراء مراجعات لش,,فرة ال,,برامج
والتطبيقات (.)Code Reviews
اإلصدار <>1.0
68
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحديد حزم التحديثات واإلصالحات وتوثيقها والتأكد من سالمتها قبل تنصيبها. 5
التأك,,د من توثي,,ق الش,,فرة المص,,درية لعملي,,ات التط,,وير الداخلي,,ة والخارجي,,ة (أي من خالل ط,,رف
6
خارجي) للتطبيقات في <اسم الجهة> لتمكين عمليات التتبع والمراجعة في إدارة الثغرات.
التأكد من البرمجة اآلمنة من خالل التأكد من معالجة األخطاء وتحديد األخطاء المحتمل,,ة في التش,,فير
7
للحد من الثغرات.
التأكد من تحديد الخدمات والوظائف المتعلقة ب,األمن الس,يبراني (مث,ل :التش,فير ،والتحكم بالوص,ول،
9
وإدارة الهوية) واستخدامها للحد من فرص االستغالل.
باإلضافة إلى جميع المس,,ؤوليات الم,,ذكورة لم,,وظفي <اإلدارة المعني,,ة بتقني,,ة المعلوم,,ات> ،يت,,وّلى المع,,نيون
بتطوير التطبيقات المسؤوليات التالية:
تنفي,,ذ متطلب,,ات األمن الس,,يبراني المتعلق,,ة بتط,,وير التطبيق,,ات في <اس,,م الجه,,ة> ،واتب,,اع المع,,ايير
1
واإلجراءات المعتمدة في تطوير التطبيقات (مثل :معايير التطوير اآلمن للتطبيقات).
متابعة عمليات إدارة المشاريع والتغييرات في <اسم الجهة> ،وذل,,ك بالنس,,بة لجمي,,ع التغي,,يرات ال,,تي
2
تنطبق على التطبيقات الخاصة ب<اسم الجهة>.
إجراء البرمجة اآلمنة ،ومعالجة األخطاء ،وتحديد األخطاء المحتملة في التشفير للحد من الثغرات. 4
تطبيق معايير وأدوات االختبار األمني والمع,,ايير األمني,,ة لش,,فرة ال,,برامج والتطبيق,,ات ،بم,,ا في ذل,,ك
5
الفحص العشوائي ألدوات التحليل الثابت للشفرات ،وإجراء مراجعات لشفرة البرامج والتطبيقات.
اإلصدار <>1.0
69
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
تحديد وتوثيق التحديثات واإلصالحات الالزم,ة لل,برامج ،واإلص,دارات ال,تي تك,ون خالله,ا ال,برامج
6
عرضة للثغرات.
تنس,,يق ف,,ترات الص,,يانة حس,,ب األولوي,,ة وتخطيطه,,ا وتحدي,,د موع,,دها من أج,,ل تث,,بيت التح,,ديثات
واإلصالحات وفًق ا لسياسة إدارة المشاريع والتغييرات المعتمدة في <اس,,م الجه,,ة> بم,,ا ال ي,,ؤثر على 1
األمن السيبراني لألصول.
اإلش,راف على الحل,ول اآللي,ة إلدارة ح,زم التح,ديثات واإلص,الحات ،والتأك,د من إج,راء التح,ديثات
2
اليدوية في حال كانت التحديثات واإلصالحات اآللية غير مدعومة.
اإلشراف على تنفيذ متطلبات األمن السيبراني المتعلقة بعمليات تقنية المعلومات في <اسم الجهة>. 4
التأكد من اختبار تحديثات وإصالحات األصول المعلوماتية والتقنية قبل النشر. 5
التأكد من تنفيذ سياس,ات األمن الس,يبراني المتعلق,ة باألص,ول المعلوماتي,ة والتقني,ة الخاص,ة بـ<اس,م
7
الجهة> (مثل نموذج سياسة أمن أجهزة المستخدمين ،ونموذج سياسة أمن الخوادم ،وغيره).
تحديد وترتيب األولويات والقدرات الس,,تعادة األنظم,,ة ووح,دات األعم,,ال األساس,,ية الالزم,,ة كلًي ا أو
8
جزئًيا بعد وقوع حدث كارثي يؤثر على األنظمة واستمرارية األعمال.
تحديد المستويات المالئمة لتوافر المعلومات في األنظمة ،وذلك استناًد ا إلى الوظائف األساسية للنظام
المعني ،مع ضمان أن متطلبات النظام تحدد متطلبات التعافي من الكوارث واستمرارية األعمال ،بما
9
في ذلك أي متطلب,,ات موق,,ع ب,,ديل ( ،)Fail-over Siteومتطلب,,ات النس,,خ االحتياطي,,ة ،ومتطلب,,ات
القدرة على الدعم الستعادة واسترداد النظام.
اإلشراف على اختبار كفاءة خطة التعافي من الكوارث والمشاركة في اختبار كفاءة خطة اس,,تمرارية
10
األعمال.
اإلصدار <>1.0
70
نموذج أدوار ومسؤوليات األمن السيبراني
باإلضافة إلى جميع المس,,ؤوليات الم,,ذكورة لم,,وظفي <اإلدارة المعني,,ة بتقني,,ة المعلوم,,ات> ،يت,,وّلى المع,,نيون
بعمليات تقنية المعلومات المسؤوليات التالية:
المس,,اعدة في التنس,,يق م,,ع <اإلدارة المعني,,ة ب,,األمن الس,,يبراني> ح,,ول المس,,ائل المتعلق,,ة ب,,األمن
1
السيبراني التي تؤثر على اإلدارة المعنية بعمليات تقنية المعلومات.
تنفيذ متطلبات األمن السيبراني المتعلقة بعمليات تقنية المعلومات في <اسم الجهة>. 2
تنفيذ الحلول اآللية إلدارة حزم التحديثات واإلصالحات ،والتأكد من إجراء التحديثات اليدوية متى م,,ا
5
كانت التحديثات واإلصالحات اآللية غير مدعومة.
تفعيل وحماية السجالت المناسبة ودمجها مع نظام إدارة السجالت المركزي. 6
تهيئة جميع برامج اإلدارة وبرامج الحماية ونظام التشغيل على األصول المعلوماتية والتقنية. 7
اإلش,,راف على ص,,الحيات الوص,,ول وحس,,ابات المس,,تخدمين لألص,,ول المعلوماتي,,ة والتقني,,ة حس,,ب
8
السياسة الخاصة بها.
مراعاة عزل األصول المعلوماتية والتقنية والتقسيم المنطقي ألجزاء الشبكات بشكل آمن. 9
المشاركة في إدارة التهديدات والحوادث في أنظمة تقنية المعلوم,ات في المراح,ل المعني,ة به,ا (مث,ل:
مراح,,ل االحت,,واء ( ،)Containmentواالستئص,,ال ( ،)Eradicationوالتع,,افي أو االس,,تعادة ( 10
.)Recovery
المساعدة في تحديد وترتيب أولويات قدرات األنظمة ووح,دات األعم,ال األساس,ية الالزم,ة الس,تعادة
11
النظام المعني كلًيا أو جزئًيا بعد وقوع حدث كارثي يتسبب في فشل متعلق باألمن السيبراني.
المساعدة في تحديد المستويات المالئمة لتوافر المعلوم,ات في األنظم,ة ،وذل,ك اس,تناًد ا إلى الوظ,ائف 12
األساس,,ية للنظ,,ام المع,,ني ،م,,ع ض,,مان أن متطلب,,ات النظ,,ام تح,,دد متطلب,,ات التع,,افي من الك,,وارث
واستمرارية األعمال ،بما في ذلك أي متطلبات موقع ب,ديل ( ،)Fail-over Siteومتطلب,ات النس,,خ
اإلصدار <>1.0
71
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
اإلشراف على تنفيذ متطلبات األمن السيبراني المتعلقة بالموارد البشرية في <اسم الجهة>. 1
التأك,,د من إج,,راء المس,,ح األم,,ني للع,,املين في وظ,,ائف األمن الس,,يبراني والوظ,,ائف التقني,,ة ذات
2
الصالحيات الهامة والحساسة بالتنسيق مع الجهات المعنية.
تولي المسؤولية المتعلق,ة ب,دعم تط,بيق سياس,ة االس,تخدام المقب,ول لألص,ول وتط,بيق العقوب,ات على
3
المخالفين حسب اإلجراءات المعتمدة لدى <اسم الجهة>.
حضور اجتماعات اللجنة اإلشرافية لألمن السيبراني والمشاركة بها حسب الضرورة. 5
المطالبة بالتمويل الكافي للموارد التدريبية المتعلقة باألمن السيبراني ،بما في ذل,,ك ال,,دورات الداخلي,,ة
6
والدورات المتعلقة بالقطاع ،والمدربين والمواد ذات الصلة.
إجراء تقييمات االحتياجات التعليمية وتحديد المتطلبات المتعلقة باألمن السيبراني. 7
التأكد من إع,,داد وتنفي,ذ أدوار ومس,,ؤوليات وظيفي,ة قياس,,ية وفًق ا لألدوار الوظيفي,ة المح,ددة المتعلق,,ة
8
باألمن السيبراني.
تحدي,د المس,ارات المهني,ة لألمن الس,يبراني إلتاح,ة الفرص,ة للنم,و المه,ني والترقي,ات في المج,االت
9
المهنية المتعلقة باألمن السيبراني.
التنسيق مع <اإلدارة المعنية باألمن السيبراني> حول المسائل المتعلقة ب,األمن الس,يبراني ال,تي ت,ؤثر
10
على <اإلدارة المعنية بالموارد البشرية>.
المشاركة في مراجعة استراتيجية وسياسات األمن السيبراني وتقديم المدخالت لها. 11
التعامل مع مخالفات ع,,دم االل,,تزام بسياس,,ات األمن الس,,يبراني وذل,ك بالتنس,,يق م,,ع <اإلدارة المعني,ة
12
بالشؤون القانونية>.
اإلصدار <>1.0
72
نموذج أدوار ومسؤوليات األمن السيبراني
تنفيذ متطلبات األمن السيبراني المتعلقة بالموارد البشرية في <اسم الجهة>. 1
إجراء المسح األمني للعاملين في وظائف األمن السيبراني والوظائف التقنية ذات الصالحيات الهام,,ة
2
والحساسة بالتنسيق مع الجهات المعنية.
إجراء تقييم للوعي األمني لجميع العاملين وتحديد نقاط الض,,عف المتعلق,,ة ب,,األمن الس,,يبراني والعم,,ل
3
على معالجتها.
تنفيذ برنامج التوعية والت,دريب ب,األمن الس,يبراني بالتنس,يق م,ع اإلدارة المعني,ة بالتوعي,ة والت,دريب
4
باألمن السيبراني.
إعداد وتنفيذ أوصاف وظيفية قياسية وفًق ا لألدوار الوظيفية المحددة المتعلقة باألمن السيبراني. 5
المساعدة في تحديد المسارات المهنية لألمن السيبراني إلتاح,ة الفرص,ة للنم,و المه,ني والترقي,ات في
6
المجاالت المهنية المتعلقة باألمن السيبراني.
تقديم الدعم في المطالبة بالتمويل الكافي للم,,وارد التدريبي,ة المتعلق,,ة ب,األمن الس,,يبراني ،بم,,ا في ذل,ك
7
الدورات الداخلية والدورات المتعلقة بالقطاع ،والمدربين والمواد ذات الصلة.
اإلشراف على المراجعة والتدقيق الدوري لبرامج ومتطلب,,ات األمن الس,,يبراني وفًق ا لمع,,ايير الت,,دقيق
1
المقبولة عموًما ( ،)GAASوالقوانين والتنظيمات ذات العالقة.
اإلشراف على تدقيق األمن السيبراني وفًق ا لشروط سياسة تدقيق ومراجعة األمن السيبراني. 2
التأكد من المراجعة والتحديث الدوري لجميع الوثائق المتعلقة باألمن السيبراني. 3
التعاون مع إدارة األمن السيبراني لحضور اجتماعات اللجنة اإلش,,رافية لألمن الس,,يبراني والمش,,اركة
4
بها حسب الضرورة.
اإلصدار <>1.0
73
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
التأكد من تحديث مخاطر األمن السيبراني وإعادة تقييمها وفًق ا لسياسة إدارة مخاطر األمن السيبراني. 5
التأكد من مواءمة قبول المخاطر مع سياسة إدارة مخاطر األمن السيبراني. 6
تقديم نتائج ومالحظات التدقيق إلى اللجنة اإلشرافية المعنية باألمن السيبراني. 9
التنسيق مع فريق األمن السيبراني حول المسائل المتعلق,,ة ب,,األمن الس,,يبراني ال,,تي ت,,ؤثر على اإلدارة
13
المعنية بالتدقيق الداخلي.
المساعدة في مراجعة وتدقيق تنفيذ ضوابط األمن الس,,يبراني وفًق ا لمع,,ايير الت,,دقيق المتع,,ارف عليه,,ا
1
والمقبولة عموًما ،والقوانين والتنظيمات ذات العالقة.
تنفيذ متطلبات األمن السيبراني المتعلقة بالتدقيق الداخلي في <اسم الجهة>. 2
إجراء مراجعات للتأّك د من تحديث مخاطر األمن السيبراني وإعادة تقييمها وفًق ا لسياسة إدارة مخاطر
4
األمن السيبراني.
إجراء مراجعات للتأكد من مواءمة قبول المخاطر مع سياسة إدارة مخاطر األمن السيبراني. 5
اإلصدار <>1.0
74
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
إجراء مراجعات وإبالغ رئيس التدقيق الداخلي بعدم االلتزام بمتطلبات األمن السيبراني. 6
تنفيذ عملية تدقيق األمن السيبراني وفًق ا لشروط سياسة تدقيق ومراجعة األمن السيبراني. 7
تحليل الضوابط الفّع الة لألمن السيبراني ،وتقديم التوصيات لرئيس التدقيق الداخلي بشأنها. 8
اقتراح اإلجراءات التصحيحية على رئيس التدقيق الداخلي وفًق ا لنتائج ومالحظات التدقيق. 9
المساعدة في التنسيق مع فريق األمن السيبراني حول المسائل المتعلقة ب,,األمن الس,,يبراني ال,,تي ت,,ؤثر
11
على اإلدارة المعنية بالتدقيق الداخلي.
حص,,ر المتطلب,,ات التنظيمي,,ة والتش,,ريعية الوطني,,ة ذات العالق,,ة ب,,األمن الس,,يبراني ،واالتفاقي,,ات
وااللتزامات الدولية المعتمدة محلًيا التي تتضمن متطلبات خاصة باألمن السيبراني تنطبق على <اس,,م 1
الجهة>.
ترجمة ضوابط األمن السيبراني وتنظيماته وسياساته ومعاييره وإجراءاته ،وجعلها ملزمة قانونًيا. 2
اإلشراف على تنفيذ متطلبات األمن السيبراني المتعلقة بالشؤون القانونية في <اسم الجهة>. 4
حضور اجتماعات اللجنة اإلشرافية لألمن السيبراني والمشاركة بها حسب الضرورة. 5
مراجعة سياسة أمن األطراف الخارجي,,ة المعتم,,دة في <اس,,م الجه,,ة> وفًق ا للمتطّلب,,ات القانوني,,ة ذات
7
العالقة.
العمل مع <اإلدارة المعنية باألمن السيبراني> ح,ول المس,ائل المتعلق,ة ب,األمن الس,يبراني ال,تي ت,ؤثر
8
على اإلدارة المعنية بالشؤون القانونية.
اإلصدار <>1.0
75
نموذج أدوار ومسؤوليات األمن السيبراني
المسؤوليات #
المساعدة في تفسير قوانين األمن السيبراني وتنظيماته وسياساته ومعاييره وإجراءات,,ه وتطبيقه,,ا على
1
مسائل محددة.
تنفيذ متطلبات األمن السيبراني المتعلقة بالشؤون القانونية في <اسم الجهة>. 2
تالفي انتهاك حقوق أي شخص أو شركة محمية بحقوق النشر أو براءة االختراع أو أي ملكية فكري,,ة
2
أخرى أو قوانين أو لوائح مماثلة.
استخدام جميع األصول المعلوماتية والتقنية الخاصة بـ<اس,م الجه,ة> ألغ,راض العم,ل فق,ط وحس,ب
8
سياسة االستخدام المقبول لألصول المعتمدة في <اسم الجهة>.
الحصول على التصريح المطلوب من <اإلدارة المعنية في الجهة> أو ص,,احب الص,,الحية في <اس,,م 9
اإلصدار <>1.0
76
نموذج أدوار ومسؤوليات األمن السيبراني
اإلصدار <>1.0
77
نموذج أدوار ومسؤوليات األمن السيبراني
اإلصدار <>1.0
78
نموذج أدوار ومسؤوليات األمن السيبراني
األدوار والمسؤوليات
مالك الوثيقة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة الوثيقة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ الوثيقة وتطبيقها < :اإلدارة المعنية باألمن السيبراني> و<اإلدارة المعنية بالموارد البشرية>. -3
مراجعة االلتزام بالوثيقة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجع,,ة الوثيق,,ة س,,نوًيا على األق,,ل أو في ح,,ال ح,,دوث
تغي,,يرات في السياس,,ات أو اإلج,,راءات التنظيمي,,ة في <اس,,م الجه,,ة> أو المتطلب,,ات التش,,ريعية والتنظيمي,,ة ذات
العالقة.
االلتزام بالوثيقة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه الوثيقة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه الوثيقة. -2
جدول المراجع
رقم الضابط المرجع في ضوابط التنظيم الالئحة ذات الصلة
4-1 1-4-1 الضوابط األساسية لألمن
4-1 2-4-1 السيبراني )(ECC
.1
اإلصدار <>1.0
79