ISO 27032 Cyber security Management System

بعد إعتماد مجلس الوزراء السعودي للإستراتيجية  الوطنية للأمن السيبراني تسعى العديد من المنشأت الحكومية , الخاصة و الغير ربحية إلى التزام بالتوصيات و الضوابط الأمنية التي تساعد على حماية الأصول المعلوماتية للمملكة وتضمن الوصول إلى فضاء سـيبراني سـعودي آمن وموثوق يمكّن النمـو والازدهار.

وتعد عملية تطبيق الأمن السيبراني رحلة طويلة تحتاج إلى تفعيل مجموعة من الممارسات على مستوى الأفراد و العمليات و الأنظمة الأمنية التقنية وفي هذا الإطار تقدم شركة ريناد المجد لتقنية المعلومات (RMG) العديد من الخدمات الاستشارية التي تساعد على رسم خارطة الطريق لهذه الرحلة عبر إتباع التقنيات الأمنية في الآيزو 27032  (ISO/IEC 27032:2012) المنسجمة مع الضوابط والإرشادات الصادرة عن الهيئة الوطنية للأمن السيبراني.

الآيزو 27032 ما هو و كيف نشأ ؟

تقدم مواصفة الآيزو 27032 مجموعة من إرشادات لتحسين وضع الأمن السيبراني في المنظمة من خلال وضع إطار للأمن مبني على إدارة المخاطر وسيغطي وعلى وجه الخصوص:

  1. أمان المعلومات
  2. أمان الشبكة
  3. أمان الإنترنت
  4. حماية البنى التحتية للمعلومات
ISO 27032 Cyber security Management System مجموعة ريناد المجد لتقنية المعلومات RMG

وظهرت المواصفة لأول مرة في الشهر السابع من عام 2012 بعد الزيادة الكبيرة في عدد الجرائم السيبرانية على مستوى العالم خلال الفترة بين عامي 2000 إلى 2012 فعلى سيبل المثال في عام 2010 أدى إنتشار حصان الطروادة زيوس (Zeus Trojan Horse) إلى سرقة ما يزيد عن 70 مليون دولار من البنوك الأمريكية كما واستهدفت الهجمات هذه العديد من القطاعات الأخرى مثل المؤسسات الحكومية , المرافق الصحية و شركات النقل و العديد من المصانع الكبرى.

وفي عام 2011 قام مجموعة من المخترقين (Hackers) بسرقة معلومات 77 مليون عميل من عملاء شركة سوني (Sony Corporation).

وطبقا لموقع فوبيز (Forbes) فمن المتوقع أن يبلغ الانفاق العالمي على الأمن السيبراني 123 مليار دولار أمريكي في عام 2020 حيث يستمر إنفاق المؤسسات الحكومية و الشركات الخاصة و المنظمات الغير ربحية على الأمن السيبراني في النمو ، متحدية بذلك الانكماش الاقتصادي الناجم عن فيروس كورونا.

الأمن السيبراني والفضاء السيبراني

يمكن تعريف الفضاء السيبراني بأنه المكان الافتراضي الذي يمارس فيه الجميع حول العالم أعمالهم اليومية مثل الدراسة و العمل و التسوق و التواصل و البحث عن الخدمات الأخرى وطبقا للمواصفة 27032 يمكن توصيف الفضاء السيبراني بأنه بيئة معقدة ناتجة عن تفاعل الأشخاص والبرامج والخدمات على الإنترنت عن طريق الأجهزة التقنية الحديثة المتصلة بالشبكات العالمية ، والتي لا توجد بأي شكل مادي إنما فقط بشكل أفتراضي.

أما الأمن السيبراني فهو جميع الأمور المتعلقة بأمن الفضاء الإلكتروني من خلال الإجراءات الأمنية التي تحميه.وتتلخص مهمة مواصفة الآيزو 27032  (ISO/IEC 27032:2012في توفير مجموعة من الأدلة و التوصيات تكفل تفاعل أمنا مع البيئة الافتراضية للفضاء السيبراني.

و تعتبر عناصر التحكم التي يوفرها  نظام إدارة الأمن السيبراني الآيزو 27032  (ISO/IEC 27032:2012) عناصر تحكم تقنية تمتاز بتحديد الجوانب الأمن السيبراني التقنية (تطبيق ضوابط المستوى ، وحماية الخوادم ، و حماية المستخدم النهائي ، وضوابط هجوم الهندسة الاجتماعية ، وما إلى ذلك).

إطار نظام إدارة الأمن السيبراني

توفير مواصفة الآيزو 27032  إطارًا لمعالجة إنشاء الثقة والتعاون وتبادل المعلومات والإرشادات الفنية بحيث تضمن تشكيل نظام تكامل يجمع أصحاب المصلحة في الفضاء السيبراني.

يتكون إطار الأمن السيبراني من أربع مجالات هي :

  1. المنع

من خلال تنفيذ التدابير والضوابط التي تحد من آثار أحداث الأمن السيبراني المحتملة وتحتويها

  1. الحماية والكشف

حيث يتم تطبيق الضوابط لإدارة الأمن ومراقبة الأحداث الأمنية من أجل الكشف عنها والحماية منها

  1. الاستجابة والتواصل

تتكون من إجراءات التخفيف من العناصر السلبية والاختراقات المحتملة المتعلقة بالأمن السيبراني

  1. التعافي والتعلم

من خلال إجراءات استعادة الأنظمة والخدمات المتعلقة بنظام تقنية المعلومات والاعمال التصحيحية لتقليل احتمالية حدوث هذه الحوادث مجددا .

ISO 27032 Cyber security Management System مجموعة ريناد المجد لتقنية المعلومات RMG

منهجية بناء نظام إدارة الأمن السيبراني

يتم بناء نظام الامن السيبراني  من خلال أربع مراحل :

المرحلة الأولى: فهم المنظمة

فهم المنتجات والخدمات المقدمة للعملاء الداخليين والخارجيين والإطار التنظيمي الأمني وجمع

الوثائق الأمنية مع إجراءات الأمان الفنية المطبقة على أن تتم هذه العملية من خلال

مراجعة :

1- العمليات والوظائف وتشمل:

– المخططات التنظيمية للإدارات

– علاقة المواقع والعمليات والتبعيات

– الاوصاف الوظيفية المتعلقة بالأمن السيبراني

– الإجراءات الرئيسية
2- مراكز البيانات وغرف الحاسب و الاتصالات: بما في ذلك المادية والبيئية وغيرها
3- مرافق الكمبيوتر:
– الأجهزة (الخوادم وأنظمة التخزين)
– أنظمة الاتصالات
– الشبكات والرسوم البيانية
– موقع التخزين للأقراص والأشرطة وما إلى ذلك.
– الأمن المادي بما في ذلك التحكم في الوصول
– الكابلات والتدفئة وتكييف الهواء وأجهزة الحماية من الحرائق
– المعدات الأخرى المتعلقة بالكمبيوتر
– التوافر العالي والتكتل وحلول التعافي من الكوارث وغيرها لكل خادم ونظام وأجهزة تخزين وغيرها من المعدات.
– المحاكاة الافتراضية وموازنة الحمل
– الشبكات (LAN، WAN ، إلخ) وإعداد الاتصالات
4- سياسات واستراتيجيات وإجراءات امن المعلومات .
5- البرمجيات:
– أنظمة التشغيل وبرمجيات الأنظمة
– قواعد بيانات
– التطبيقات
– البرامج والانظمة أخرى
6- أرشفة سياسات وإجراءات التخزين:
– ملفات البيانات
– البرمجيات
– تردد الدوران
7- الضوابط والسياسات الأخرى القائمة مثل الآيزو 27001 (IS0/IEC27001:2013).
8- التشريعات المحلية الحالية والمتطلبات التنظيمية .
9- إجراءات إدارة المستندات الحالية ، إجراءات الإجراءات التصحيحية ، إجراءات الإجراءات الوقائية ، إجراءات المخاطر التشغيلية وإجراءات المراجعة الداخلية (إن وجدت) .

المرحلة الثانية: تحليل المخاطر

سيحدد تقييم المخاطر الأحداث المحيطة والبيئية (الداخلية والخارجية) التي يمكن أن تؤثر سلبًا على المنظمة ومنشآتها بالاضطراب وكذلك الكوارث، والأضرار التي يمكن أن تسببها هذه الأحداث ، والضوابط اللازمة لمنع أو تقليل آثار الخسارة المحتملة .

فيما يلي بعض أنواع التهديدات التي يمكن أخذها في الاعتبار .

– طبيعية (مثل الزلازل والفيضانات والحرائق ، إلخ)
– التقنية (مثل فقدان الطاقة وفشل الاتصالات وفشل البنية التحتية لتقنية المعلومات والاتصالات والفيروسات وأمن أنظمة المعلومات وفشل الأجهزة وما إلى ذلك)
– من صنع الإنسان (مثل التخريب ، الحوادث / الأحداث الكبيرة ، الأخطاء البشرية ، الإرهاب ، أخطاء العمليات ، الاحتيال ، إدارة المشاريع السيئة ، إلخ)
– اجتماعية سيتم تطبيق تقييم المخاطر على عمليات الإدارة ، مع التركيز على العمليات والأنشطة والموارد (الأنظمة ، منطقة العمل ، التكنولوجيا ، إلخ)

سيكون الغرض من دراسة تقييم المخاطر في إدارة الامن السيبراني :

تحديد التهديدات الداخلية والخارجية ونقاط الضعف والمسؤوليات والتعرض التي يمكن أن تتسبب في الانقطاع أو الانقطاع المؤقت أو الدائم أو الخسارة للعمليات والأنشطة والموارد والأنظمة والتطبيقات ذات الأولوية العالية للمؤسسة ، بما في ذلك على سبيل المثال لا الحصر:

– المرونة الداخلية وموثوقية البنية التحتية (مثل نقاط الضعف للشبكة والمواقع والموظفين)
– التهديدات الخارجية مثل فشل الشركاء والظروف الجوية والكوارث الطبيعية  والحوادث ، والتخريب
– التهديدات من الشبكات المترابطة الأخرى
– تحديد تركيزات المخاطر ونقاط الفشل (بما في ذلك نقاط الفشل الفردية) ونقاط الضعف في جميع الموارد المطلوبة لمواصلة التشغيل لكل نشاط بالغ الأهمية
– تحديد احتمالية (احتمال أو تواتر) حدوث تهديد والتعرض والضعف للتهديدات المحددة وتقييم تأثيرها على تشغيل الشبكة والخدمات المقدمة مع مراعاة نقاط الضعف ونقاط الضعف المحددة
– توفير أساس للمنظمة التخفيف من المخاطر وبرنامج مراقبة الإدارة وخطة العمل.

نهج مشروع تقييم المخاطر

بمجرد تحديد العمليات الرئيسية والأنشطة المهمة للمهمة والخدمات والموارد وما إلى ذلك ، وتحديد قيم أعمالها سيتضمن نهج تقييم المخاطر لدينا الخطوات التالية:

– الخطوة 1 – تحديد وتمييز التهديدات
– الخطوة 2 – تحديد وتمييز تدابير الحماية والتخفيف الحالية
– الخطوة 3 – تحديد وتمييز نقاط الضعف
– الخطوة 4 – تقدير الاحتمالات والعواقب
– الخطوة 5 – تقدير وتقييم المخاطر

قد تتضمن اعتبارات تقييم المخاطر ما يلي:

– تكرار أنواع معينة من الكوارث ( بشكل غالب أو بشكل نادر)
– سرعة الظهور (بشكل فاجئ أو بشكل تدريجي)
– مستويات التكرار الموجودة والمطلوبة في جميع أنحاء المنظمة لاستيعاب الأنظمة والوظائف الحيوية ، تتضمن الخيارات النموذجية لتخفيف المخاطر
– تجنب المخاطر
– قبول المخاطر
– السيطرة على المخاطر

المرحلة الثالثة: خطة الامن السيبراني

في هذه المرحلة وبفضل العمل الذي تم تنفيذه في المراحل السابقة  سيتم وضع الخطة التي تسمح بمعرفة الأولويات والتدابير التي يجب تطويرها لتحقيق متطلبات الامن السيبراني.

ستواجه هذه الخطة استراتيجيات مختلفة يجب تطبيقها على مستويات مختلفة من المنظمة ، بما في ذلك:

– سياسات الامن السيبراني
– تحديد الأدوار والمسؤوليات
– الضوابط التقنية

المجالات الرئيسية التي سيتم النظر فيها تشمل

– خيارات الموارد
– النظم والتقنيات والبنية التحتية عالية المستوى ذات الصلة
– الموردين الرئيسيين والأطراف الثالثة

تقديم توصيات لإدخال تحسينات على البنية التحتية والأنظمة والتطبيقات والتقنيات والواجهات والعمارة والشبكة والموارد الخاصة بإدارة الامن السيبراني :

تحسين توافر التطبيقات والأنظمة (على سبيل المثال ، تجاوز الفشل التلقائي حيث يوجد الدليل)
تحسين البنية التحتية للموقع (مثل UPS والتبريد والأمن وما إلى ذلك) .

المرحلة الرابعة: التنفيذ

المرحلة التي تتطلب عادةً بذل أكبر قدر من الجهود حيث ستنعكس جميع الإجراءات المحددة في المراحل السابقة وتهدف إلى إلزام كل من ينفذها بأن يكون استباقيًا في التدابير الأمنية ، مع التركيز بشكل كبير على آليات الوقاية في العمليات التي تستخدم الفضاء السيبراني ستركز هذه المرحلة بعد ذلك على تنفيذ الضوابط التي يجب أن تأخذ في الاعتبار مستوى النضج في إدارة الأمن الحالية وتطبيق السياسات الأمنية وتنفيذ الأطر الصحيحة لتبادل المعلومات والتأكد من تنفيذ خطط توعية الموظفين وتطبيق أنظمة التصيد الالكتروني ومراقبة تكنولوجيا المعلومات والاتصالات مع وضع ضوابط إضافية تشمل التحكم في التطبيقات والتحقق من صحة البيانات والحماية من الهجمات وعمليات عناصر التحكم في مستوى الخادم وإدارة التصحيح والمراقبة والمراجعات الدورية  والفحوصات الأمنية وتحديثات نظام التشغيل ومكافحة الفيروسات والأدوات وإعدادات الأمانآ

ISO 27032 Cyber security Management System مجموعة ريناد المجد لتقنية المعلومات RMG

كيف أبدا في تطبيق نظام إدارة الامن السيبراني

إن أي عملية تطبيق ناجحة تبدأ من تحليل الفجوة بشكل دقيق و تعد شركة ريناد المجد لتقنية المعلومات (RMG) من أوائل الشركات السعودية التي نجحت بتطبيق نظام إدارة الامن السيبراني  (ISO/IEC 27032:2012) تقدم الشركة حزمة من الخدمات تتلخص بـ :

  • تحليل الفجوة و إجراء تقييم النضج.
  • تصميم نظام إدارة الامن السيبراني (ISO/IEC 27032:2012)
  • تطبيق نظام إدارة الامن السيبراني (ISO/IEC 27032:2012)
  • تقديم خدمات التدريب ونقل المعرفة.
ISO 27032 Cyber security Management System مجموعة ريناد المجد لتقنية المعلومات RMG

تواصل معنا اليوم وسنكون سعداء بخدمتك