sama cybersecurity framework

كشف أسرار إطار الأمن السيبراني الآمن

ما هو إطار الأمن السيبراني؟ يعمل إطار عمل الأمن السيبراني كخريطة طريق قد تستخدمها الشركات لتعزيز أمنها السيبراني والدفاع ضد الهجمات عبر الإنترنت. إنها تشبه وصفة كعكة ، حيث يتم سرد كل خطوة ومكون بالترتيب الصحيح لإنتاج كعكة لذيذة. وبالمثل ، فإن إطار عمل الأمن السيبراني يمنح الشركات خطة خطوة بخطوة للتأكد من أن بياناتها وأنظمتها آمنة من الهجمات عبر الإنترنت.

يقدم قائمة من التوصيات وأفضل الممارسات للتعامل مع إدارة المخاطر والاستجابة للحوادث وأمن الشبكة ، من بين الموضوعات الأخرى المتعلقة بالأمن السيبراني. يمكن للمنظمات تحديد المخاطر وتحديد أولوياتها باستخدام المنهجية ، وتخصيص الموارد بشكل فعال ، وتعزيز وضع الأمن السيبراني بشكل تدريجي.

تشمل أطر الأمن السيبراني البارزة

 NIST Cybersecurity Framework (NIST CSF) و ISO / IEC 27001 و CIS Controls إلخ.

 

ما مدى أهمية إطار الأمن السيبراني

أصبحت الحكومات والشركات والمواطنون قلقون بشكل متزايد بشأن الأمن السيبراني. من الأهمية بمكان حماية أمان بياناتنا وأنظمتنا عبر الإنترنت حيث تتطور التكنولوجيا وتتخلل المزيد والمزيد من جوانب حياتنا. يتم توفير استراتيجية شاملة لإدارة التهديدات السيبرانية وتعزيز وضع الأمن السيبراني للمؤسسة من خلال إطار عمل للأمن السيبراني. يتيح إطار الأمن السيبراني أيضًا للمنظمات الوصول إلى عملية التحسين المستمر.

مزايا إطار الأمن السيبراني متعددة الأوجه ، بما في ذلك ما يلي:

إدارة المخاطر: يوفر إطار عمل الأمن السيبراني طريقة منهجية للتعرف على التهديدات ونقاط الضعف السيبرانية وتقييمها. يساعد المنظمات في تخصيص الموارد بشكل صحيح لتقليل المخاطر الأكثر أهمية.

الامتثال: يتم إنشاء أطر عمل مختلفة لتتوافق مع القوانين والمواصفات بما في ذلك يمكن للمنظمات استخدام إطار عمل لإظهار التزامها بهذه القواعد والإرشادات..  

أفضل الممارسات: يقدم إطار العمل قائمة بالتوصيات وأفضل الممارسات التي يمكن للشركات استخدامها لتعزيز موقعها في مجال الأمن السيبراني. ويغطي مجموعة متنوعة من موضوعات الأمن السيبراني ، مثل أمان الشبكة والتحكم في الوصول والاستجابة للحوادث.

التحسين المستمر: إطار العمل هو عملية ، وليس إصلاحًا لمرة واحدة. يمكن للمنظمات استخدام منهجية لتحليل وتعزيز وضع الأمن السيبراني بمرور الوقت.

التعاون: الأمن السيبراني هو مسؤولية مشتركة ، ويمكن لإطار العمل أن يسهل على الشركات والقطاعات العمل معًا ومشاركة المعلومات

 

لوائح الأمن السيبراني في المملكة العربية السعودية

تم سن قانون مكافحة الجرائم الإلكترونية في المملكة العربية السعودية في عام 2007. وتتمثل الأهداف الرئيسية لهذا القانون في التعرف على مجرمي الإنترنت ومعاقبتهم ، وضمان أمن الكمبيوتر والمعلومات ، وحماية المصلحة العامة والأخلاق وحماية الاقتصاد الوطني. أصدرت الهيئة الوطنية للأمن السيبراني (NCA) بعض الإرشادات والوثائق لتنظيم الأمن السيبراني. ترد لوائح وقوانين وتطبيقات الأمن السيبراني في المملكة العربية السعودية والالتزامات والعقوبات بالتفصيل في المادة السابقة.

 

كيف هو إطار الأمن السيبراني في المملكة العربية السعودية؟

في المملكة العربية السعودية ، الإطار الأساسي للأمن السيبراني هو إطار عمل الهيئة الوطنية للأمن السيبراني (NCA). إنها مجموعة من الإرشادات وأفضل الممارسات للمؤسسات لتأمين أنظمة المعلومات الخاصة بها والحماية من التهديدات السيبرانية. يغطي إطار عمل NCA مختلف جوانب الأمن السيبراني ، بما في ذلك إدارة المخاطر والاستجابة للحوادث والوقاية من الجرائم الإلكترونية. وهي مصممة لتتماشى مع أفضل الممارسات والمعايير الدولية ، مثل ISO / IEC 27001 و NIST Cybersecurity Framework. يُعد إطار عمل NCA بمثابة دليل شامل للمنظمات في المملكة العربية السعودية لتحسين وضع الأمن السيبراني والحماية من الهجمات الإلكترونية

 

ما هو إطار سما للأمن السيبراني؟

مؤسسة النقد العربي السعودي (ساما) هي البنك المركزي للمملكة العربية السعودية وهي مسؤولة عن تنظيم والإشراف على القطاع المالي في البلاد. يمكن اعتبار إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي بمثابة مجموعة من الإرشادات للمؤسسات المالية في المملكة العربية السعودية لاتباعها لتحسين الأمن السيبراني والحماية من التهديدات السيبرانية. تشمل موضوعات الأمن السيبراني التي يغطيها الإطار إدارة المخاطر والاستجابة للحوادث وأمن الشبكة. من خلال اتباع إطار عمل sama للأمن السيبراني ، يمكن للمؤسسات المالية التأكد من أنها بذلت جميع الجهود المطلوبة لتأمين أنظمتها وحماية معلومات عملائها ، وتبذل قصارى جهدها للحفاظ على أنظمتها آمنة من خلال الالتزام بإطار sama للأمن السيبراني.

يهدف إطار عمل سما إلى تحقيق ما يلي:

١.. لمساعدة المنظمات الأعضاء على تطوير استراتيجية مشتركة للتعامل مع الأمن السيبراني

٢. للوصول بإجراءات الأمن السيبراني الخاصة بالمنظمات الأعضاء إلى المستوى المناسب من النضج.

٣. لضمان إدارة مخاطر الأمن السيبراني للمنظمات الأعضاء بشكل مناسب.

لعدد من الأسباب ، يعد إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي أمرًا بالغ الأهمية.

يساعد أولاً المؤسسات المالية في المملكة العربية السعودية في تعزيز وضع الأمن السيبراني لديهم. يقدم إطار العمل قائمة شاملة بالتوصيات وأفضل الممارسات التي يمكن للمؤسسات المالية استخدامها لحماية أنظمة الكمبيوتر وبيانات المستهلك من التهديدات عبر الإنترنت.

ثانيًا ، يساعد المؤسسات المالية في الالتزام بالقواعد والمواصفات. يتوافق مع اللوائح والمعايير الدولية ، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). من خلال اتباع إطار عمل مؤسسة النقد العربي السعودي ، يمكن للمؤسسات المالية الاحتفاظ بسمعتها والابتعاد عن المشاكل من خلال الالتزام بالإطار وإثبات توافقها مع هذه القواعد والمعايير.

ثالثًا ، يساعد الشركات المالية في تخصيص مواردها بكفاءة. يساعد الإطار المؤسسات المالية في تحديد وترتيب أولويات مخاطرها الأكثر أهمية بحيث يمكن تخصيص الموارد للتخفيف أولاً من هذه المخاطر.

رابعًا ، من خلال ضمان حماية المؤسسات المالية من أخطر المخاطر ، قد تستفيد إلى أقصى حد من مواردها المحدودة.

أخيرًا وليس آخرًا ، تتمتع المؤسسات المالية بإمكانية الوصول إلى عملية التحسين المستمر من خلال إطار البنك السعودي المركزي

 

الأنواع الشائعة لأطر الأمن السيبراني؟

من بين أطر الأمن السيبراني الأكثر استخدامًا:

ان أي اس تي  إطار عمل الأمن السيبراني ١. 

أنشأ المعهد الوطني للمعايير والتكنولوجيا كمجموعة من المعايير لمساعدة الشركات في إدارة مخاطر الأمن السيبراني وخفضها. لتعزيز موقف الأمن السيبراني لديها والدفاع ضد الهجمات الإلكترونية ، يمكن للشركات استخدام إطار العمل ، الذي يوفر مفردات قياسية وقائمة بالممارسات الموصى بها. يوفر إطار العمل نهجًا مرنًا للأمن السيبراني يمكن تخصيصه لمطابقة المتطلبات الفريدة لكل مؤسسة ، ولكنه ليس إلزاميًا (NIST) إطار عمل الأمن السيبراني 

يتم تنظيم اطار العمل معي ان أي اس تي في الامن السيبراني في خمس وظاىف.  

تحديد: تستلزم هذه الوظيفة إدراك مخاطر الأمن السيبراني للمؤسسة ، بما في ذلك التهديدات ونقاط الضعف والتأثيرات.

الحماية: تستلزم هذه المهمة اتخاذ إجراءات لوقف أو تقليل آثار حادث إلكتروني. قد يكون تنفيذ جدران الحماية وأنظمة كشف التسلل وضوابط الوصول جزءًا من هذا.

الكشف: تستلزم هذه الوظيفة مراقبة الشبكات والأنظمة الخاصة بمؤشرات الهجوم السيبراني ووضع خطة لتحديد الحدث ومعالجته بسرعة.

الاستجابة: تستلزم هذه الوظيفة وجود خطة استجابة مطبقة للحادث السيبراني ، والتي تتضمن عمليات لاحتواء الحادث ، والحفاظ على الأدلة ، واستعادة العمليات العادية.

التعافي: إن وجود خطة للتعافي من حدث إلكتروني ضروري لتقليل التأثير على المنظمة ويتضمن إجراءات لاستعادة الأنظمة والبيانات.

  1. ISO / IEC 27001

ISO / IEC 27001 هو معيار معترف به عالميًا لأنظمة إدارة أمن المعلومات (ISMS). يتضمن إرشادات لإدارة المخاطر والاستجابة للحوادث والتحكم في الوصول ، بالإضافة إلى نهج منظم لإدارة المعلومات الحساسة. يهدف المعيار إلى مساعدة المنظمات في حماية أصول معلوماتها ، مثل المعلومات السرية والملكية الفكرية والبيانات الشخصية.

يعالج المعيار عددًا من المشكلات ، بما في ذلك

سياسات أمن المعلومات: يتعين على المنظمات تطوير والحفاظ على سياسات أمن المعلومات المكتوبة التي تحدد نهجها في أمن المعلومات.

إدارة المخاطر: تستلزم إدارة المخاطر قيام المؤسسات بتحديد وتقييم وإدارة مخاطر أمن المعلومات ، بالإضافة إلى تطبيق ضوابط للتخفيف من تلك المخاطر.

التحكم في الوصول: يجب أن تضع المنظمات ضوابط الوصول لضمان وصول الأفراد المصرح لهم فقط إلى المعلومات الحساسة.

التشفير: يجب على المؤسسات استخدام التشفير لحماية البيانات الحساسة أثناء نقلها وفي حالة سكونها.

إدارة الحوادث: إدارة الحوادث: يجب أن يكون لدى الشركات خطة للتعامل مع قضايا أمن المعلومات ، ويجب عليهم مراجعة هذه الخطة وتحديثها باستمرار.

  1. ضوابط رابطة الدول المستقلة

تم إنشاء ضوابط CIS من قبل مركز أمان الإنترنت وتقدم للمؤسسات قائمة ذات أولوية من الخطوات التي يجب اتخاذها من أجل حماية أنظمتها وبياناتها من التهديدات السيبرانية.

  1. FAIR (تحليل عامل مخاطر المعلومات)

يوفر هذا الإطار لمديري المخاطر مفردات موحدة ونهجًا كاملاً لإدارة مخاطر المعلومات.

  1. ضوابط الأمن الحرجة 

يوفر معهد SANS قائمة ذات أولوية من الخطوات التي قد تتخذها المنظمات لتعزيز وضع الأمن السيبراني لديها وحماية نفسها من التهديدات عبر الإنترنت

 

كيف يستخدم أمان أطر الأمن السيبراني

الفوائد المشتركة لإطار عمل الأمن السيبراني للمؤسسة هي إدارة المخاطر والامتثال. يوفر إطار الأمن السيبراني في إدارة المخاطر طريقة منهجية للتعرف على التهديدات ونقاط الضعف السيبرانية وتقييمها ، وإطارًا تستخدمه المؤسسات لإثبات الامتثال لهذه القواعد والإرشادات.

من الضروري حماية بيانات الدفع المخزنة هذه بأمان إلكتروني مناسب إذا قمت بحفظ معلومات الدفع ببطاقة الائتمان من عملائك ، بما في ذلك المعلومات من مدفوعات سطح المكتب أو المدفوعات عبر الإنترنت أو خدمات PCI. قد يتم تقليل الخسائر المالية طويلة الأجل من قبل المؤسسات التي تستثمر في أفضل خدمات ضمان واختبار الأمن السيبراني وأفضل طرق الامتثال. الهجمات عبر الإنترنت في هجوم واحد فقط من هجمات الفدية الإلكترونية ، يمكن خسارة ما يصل إلى 4 ملايين جنيه إسترليني. يمكن أن يستلزم ذلك إغلاق شركة صغيرة تمامًا. يساعد اختبار التأكيد الشركات على زيادة الامتثال وتقليل الخسائر المالية التي يمكن تجنبها. من خلال تحديد المخاطر المحتملة لها وتجنب الخسارة المالية ، يمكن لتقنيات اختبار أمان حلول الأمان السيبراني المساعدة في حماية هذه البيانات الحساسة