استراتيجية أمن املعلوماتية واألمن السيبراني المحاضر الدكتور املهندس / خضر درة كبير اختصاصي نظم المعلوماتية خبير أمن المعلومات املركز الوطني لتطوير التعليم By Chris Mills, Gizmodo, March 22, 2013 from Cyber Warfare Manual منتدى الحكومة االلكترونية الثاني الكويت في نوفمبر 2014 هاتف: 22277711 موبايل: 50665539 بريد الكتروني: kdurah@nced.edu.kw
استراتيجية أمن املعلوماتية واألمن السيبراني محاور الندوة ملاذا أمن املعلومات تعريف أمن املعلومات من منطلقات مختلفة اتجاه العدوان على البيئة املعلوماتية تنظيم وادارة أمن البيئة املعلوماتية منهجية استراتيجية أمن املعلومات بناء استراتيجية أمن املعلومات متابعة تنفيذ وتقييم استراتيجية أمن املعلومات التوصيات واملقترحات.1.2.3.4.5.6.7.8
3
Dr. Lawrence Robert 4
لماذا أمن المعلومات
خريطة انتشار محطات التجسس على اتصاالت العالم في مشروع إيتشيلون تقرير االتحاد األوروبي عام 2001
Page: 7/30
http://www.businessinsider.com/the-similarities-between-the-j-20-heads-up-display-and-that-on-the-f-22-are-striking-2012-6?op=1 Page: 8/30
Stuxnet is the first computer virus (precisely a worm ) created to target, study, infect and subvert only industrial systems, namely Siemens http://socks-studio.com/2012/07/17/stuxnet-anatomy-of-the-first-weapon-made-entirely-out-of-code/ Page: 9/30
Page: 10/30
Graphic showing the various distribution of infections by Stuxnet, DuQu, Flame and Gauss. Courtesy of Kaspersky Lab Page: 11/30
Anonymous Hackers #OpFuelStrike, threatens to attack International Oil Companies Posted date: November 13, 2012 In: Hacking News
http://www.twylah.com/threatpost/tweets/183200927484874752 Page: 13/30
2. تعريف أمن المعلومات يمكن تعريف أمن المعلومات بأنه: الطرق والوسائل المعتمدة للسيطرة على كافة أنواع ومصادر المعلومات وحمايتها من السرقة والتشويه واالبتزاز والتلف والضياع والتزوير واالستخدام غير المرخص وغير القانوني واتباع كافة الوسائل والسبل والتأهب والعمل الفعلي لمواجهة هذه األخطار ان حدثت أو التقليل من أثرها السلبي.
هجتت تاءادتعلاا يف ةئيبلا ةيتامولعملا ىلا ةسمخ فادهأ ةيسيئر :يه :ةزهجلأا يهو ةفاك تادعملا تاودلأاو ةيداملا يتلا نوكتت اهنم مظنلا ةزهجأك بوساحلا تاشاشلاو تاعباطلاو طئاسوو نيزختلا اهتانوكمو.ةيلخادلا :تايجمربلا يهو رماولأا ةبترملا يف قسن نيعم زاجنلا لامعلأا يهو اما ةلقتسم نع ماظنلا تاقيبطتلاك وأ ةنزخم هيف مظنك ليغشتلا جماربلاو.ةطيسولا :تايطعملا يهو مدلا يحلا ةمظنلأل امو نوكيس لاحم مئارجلل ةينورتكللاا لمشتو ةفاك تانايبلا تامولعملاو ءاوس تناك لخاد ماظنلا وأ هجراخ وأ ةدعم لدابتلل نيب مظنلا ربع.تاكبشلا :تلااصتلاا لمشتو تاكبش لاصتلاا يتلا طبرت ةزهجأ ةينقتلا اهضعب ضعبب ايلحم ايقاطنو ايلودو ءاوس ربع طئاسولا ةيكلسلا وأ ةيكلسلالا ثيح حيتت ةصرف قارتخلا مظنلا امك اهنأ دق نوكت لحم ءادتعلال نطومو نم نطاوم رطخلا.يقيقحلا رصنعلا :يرشبلا دصقنو هب عيمج نيلماعلا يف اذه لاجملا لمشيل زكرم مظن تامولعملا نيدختسملاو هذهل مظنلا نم لبق ةفاك تارادلاا ماسقلأاو..3 ةيتامولعملا ةئيبلا ىلع ناودعلا هاجتا
عيزوت رطاخملا كلذو لصفب رامثتسلاا يتامولعملا نع نمأ ةيتامولعملا اذهو ينعي نأ نمأ ةيتامولعملا بجي نأ نوكت ةلصفنم يف يأ زكرم مظن تامولعم لاو بجي نأ صصخت لامعأ ةطشنأو نمأ ةيتامولعملا ىلا تارادا رامثتسلاا يتامولعملا لثم مظنلا دعاوق تانايبلا تاكبشلا وأ بساحلا يللآا ليغشتلاو ببسب ضراعت حلاصملا ظافحلاو ىلع.ةيعوضوملا عضو ةيجيتاريتسا نمأ تامولعم يهو ةقيثو نمضتت تاسايس ءيدابمو ريياعمو ميظنت ةيلمع مادختسا لماعتلاو عم رداصم ةئيبلا ةيتامولعملا ةفلتخملا فرصتلاو اهيف اهلقنو لخاد لكيه دمتعي ارصنع ةمولعملا ايساسأ يف نيسحت هئادأ و غولب.هفادهأ ليهأت رداوك ةينطو ةيامحل تامولعملا اهلمع يدؤت يفيظولا تاراهمب ةيلاع للاخ نم ىلع فارشلاا ذيفنت ةيامح تاءارجا تامولعملا ةعوضوملا يف هذه.ةيجيتارتسلاا.4 ةيتامولعملا ةئيبلا نمأ و ميظنت
5. منهجية وضع استراتيجية أمن المعلوماتية إن وضع االستراتيجية وتوفير الوسائل التقنية واإلجرراءات الضررورية لحمايرة مصرادر البيئرة المعلوماتيرة تستوجب طرح تسراالالت مرن شرانها أن تسرمح بتحديرد منطلقرات خطرة واضرحة المعرالم تعرد وتعتمرد وجوبرا لضمان أمن البيئة المعلوماتية. ومن أهم هذه التساالالت على سبيل المثال : ما الذي نريد أن نحميه و هل تتطلب كل مصادر البيئة المعلوماتية نفس القدر من الحماية و ما هي المخاطر التي يمكن أن تهدد مصادر البيئة المعلوماتية فتستوجب الحماية و ما هي وسائل هذه الحماية و كيف نتصرف في حالة تحقق خطر بالرغم من توفر هذه الوسائل ما واقع أداء مركز نظم المعلومات في مجال أمن المعلوماتية ما جوانب القوة والضعف في هذا الواقع مقارنا بطبيعة األداء في فكر أمن المعلوماتية المعاصر ما التصور المقترح لتطوير أداء مركز نظم المعلومات وما يتفق مع الفكر اإلداري والتقني المعاصر
مكعب استراتيجية أمن المعلوماتية العنصر البشري الحلول التقنية السياسة األمنية األجهزة البرمجيات البيانات االتصاالت المواجهة الحماية السيطرة
مكعب حماية البيئة المعلوماتية الحماية االدارية الحماية الشخصية الحماية المادية األجهزة البرمجيات البيانات االتصاالت االستمرارية الوثوقية السرية
7. بناءاستراتيجية أمن المعلوماتية )6( أجزاء ويتم عمله و COBIT كما يلي: الهيكل األساسي الستراتيجية أمن المعلوماتية يتكون من بالتوافق مع المعايير الدولية ISO/IEC 2700x و ITIL توصيف البيئة المعلوماتية التحليل الرباعي لتحديد المخاطر ومواطن الضعف وضع سياسات البيئة المعلوماتية وضع معايير وأنماط البيئة المعلوماتية آلية مراقبة تطبيق المعايير والسياسات وضع خطة ادارة الكوارث واستمرارية العمل.1.2.3.4.5.6
7. بناءاستراتيجية أمن المعلوماتية توصيف البيئة المعلوماتية توصيف الكادر الوظيفي لمركز نظم المعلومات توصيف العتاد الصلب Hardware توصيف شبكات االتصال توصيف البرمجيات وقواعد البيانات Software دراسة طلبات المكتب المساعد Help Desk اجراء دراسة ميدانية الستخدام تكنولوجيا المعلوماتية في المنظمة وتحديد ماهية ونوعية البيانات التي يتم تداولها. التحليل الرباعي SWOT تحديد جوانب القوة تحديد جوانب الضعف تحديد الفرص تحديد التحديات والمخاطر.1.2
7. بناءاستراتيجية أمن المعلوماتية. وضع سياسات أمن المعلوماتية سياسة استخدام موارد البيئة المعلوماتية. سياسة تقديم طلبات شراء أنظمة تكنولوجيا المعلومات واالتصاالت. سياسة استخدام البريد االلكتروني. سياسة تغيير وتبديل أنظمة تكنولوجيا المعلومات واالتصاالت. سياسة حماية البيانات والمعلومات (المعطيات). سياسة تسجيل دخول الموظفين الموحد Single Sign-on على شبكة االتصال سياسة حماية أجهزة ومعدات الخوادم.Servers سياسة ادارة تسجيل دخول الموظفين عبر الشبكة الالسلكية لألمانة سياسة مراقبة وحماية شبكات االتصال االلكترونية. سياسة حماية مركز المعلومات.Data Center سياسة ادارة الكوارث والخطة البديلة. سياسة حقوق الطبع والنشر االلكتروني. سياسة عمل وثائق دليل التشغيل واالستخدام..3
7. بناءاستراتيجية أمن المعلوماتية وضع معايير أمن المعلوماتية معيار اعداد الوثائق الفنية معيار تصنيف البيانات (المعطيات) معيار الحاسبات و التشغيل معيار البرمجيات و قواعد البيانات معيار منسق المعطيات آلية مراقبة تطبيق المعايير والسياسات توريد وتنصيب منظومة متكاملة لمراقبة وقياس أداء أالت ومعدات وبرمجيات تقنية المعلوماتية. توريد وتنصيب منظومة متكاملة لتطبيق المعايير وتنفيذ السياسات الخاصة بأمن المعلوماتية..4.5
Traditional IT Security Models 1) Access control list (ACL) 2) Bell-La Padula model 3) Biba model 4) Brewer and Nash model 5) Capability-based security 6) Clark-Wilson model 7) Context-based access control (CBAC) 8) Graham-Denning model 9) Harrison-Ruzzo-Ullman (HRU) 10) Lattice-based access control (LBAC) 11) Mandatory access control (MAC) 12) Multi-level security (MLS) 13) Non-interference (security) 14) Object-capability model 15) Role-based access control (RBAC) 16) Take-grant protection model ISO/IEC 27001:2013 7. المرجعيات العلمية والعملية ITIL v3 IT services are aligned to the needs of the business and support its core processes. It provides guidance to organizations and individuals on how to use IT as a tool to facilitate business change, transformation and growth. The ITIL best practices are currently detailed within five core publications: ITIL Service Strategy ITIL Service Design ITIL Service Transition ITIL Service Operation ITIL Continual Service Improvement. These five volumes map the entire ITIL Service Lifecycle, beginning with the identification of customer needs and drivers of IT requirements, through to the design and implementation of the service and finally, the monitoring and improvement phase of the service. Specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. A framework for developing, implementing, monitoring and improving information technology (IT) governance and management practices. 24
8. متابعة تنفيذ وتقييم استراتيجية أمن المعلوماتية توريد منظومة متكاملة لمراقبة وقياس أداء أالت ومعدات وبرمجيات تقنية المعلوماتية الملخص التنفيذي توريد منظومة متكاملة لمراقبة وقياس أداء اآلالت ومعدات وبرمجيات البيئة المعلوماتية بهدف ترشيد االستهالك ورفع كفاءة االستخدام. أهداف المنظومة: 1. مراقبة استخدام األجهزة الطرفية والخوادم في جميع قطاعات االمنظمة. 2. مراقبة استخدام وادارة البرمجيات في جميع قطاعات المنظمة. 3. مراقبة استخدام خدمة االنترنت. 4. مراقبة تعامل الموظف مع جهاز الكمبيوتر الخاص به والبرامج التي يعمل بها عليه. 5. توفر بيانات عامة لحظية حول أداء اآلالت والمعدات والبرمجيات باستخدام الرسومات الثنائية والثالثية األبعاد. 6. ترشيد استهالك مصادر تكنولوجيا المعلومات في المنظمة. 7. المساهمة في وضع ميزانية تكنولوجيا المعلومات المستقبلية
8. متابعة تنفيذ وتقييم استراتيجية أمن المعلوماتية توريد منظومة متكاملة لتطبيق المعايير وتنفيذ السياسات الخاصة بأمن المعلومات الملخص التنفيذي توريد منظومة متكاملة لمراقبة تطبيق وتنفيذ المعايير والسياسات الخاصة بأمن البيئة المعلوماتية وحمايتها من السرقة والتشويه واالبتزاز والتلف والضياع والتزوير واالستخدام غير المرخص وغير القانوني. أهداف المنظومة 1) ربط كافة مصادر المعلوماتية في المنظمة ) خوادم أجهزة طرفية وبرمجيات ( بشبكة أمنية واحدة لحمايتها أو تقليل اآلثار السلبية عند وقوع المخاطر. 2) توفير بيانات عامة لحظية حول سير عملية تطبيق معايير وسياسات أمن المعلومات في مختلف قطاعات المنظمة. 3) تمكين متخذي القرار من التفاعل لحظيا مع المخاطر من خالل نقطة مراقبة واحدة. 4) اطالق تحذيرات واشارات خطر عند حدوث خروقات أمنية وتحديد مواقع الخلل. 5) توفر آليات ومقترحات عملية لكيفية سد الثغرات األمنية
6( خطة ادارة الكوارث واستمرارية العمل وتعني االجراءات التي يجب اتخاذها في أوقات الكوارث الخاصة منها والعامة. الكوارث الخاصة يقصد بها انقطاع االتصاالت أو االنترنت أو الشبكة االلكترونية أو توقف أحد الخوادم أو البرمجيات عن العمل ألسباب فنية أو مادية. أما الكوارث العامة فيقصد بها هي الحروب والثورات واالضرابات والكوارث الطبيعية. تهدف الخطة بشكل خاص إلى تكوين فريق للعمل وصياغة كتيب أو مرشد للخطة يعنى بما يلي: ضمان استمرارية عمل المنظمة الرئيسي وخطوات المساندة وذلك بتحديد وتقييم وإدارة ومعالجة المخاطر التشغيلية. توفير خدمات غير منقطعة ومستمرة للموظفين. مكونات الخطة: توصيف الموقع البديل من حيث الموقع والمساحة 1. الفعاليات المطلوب ايجادها في الموقع البديل 2. األجهزة والمعدات المطلوب توفرها في الموقع البديل 3. 4. الميزانية المطلوب لتأسيس كل ما سبق في الموقع البديل توثيق هذه الخطة ونشرها بين العاملين. 5.
28 عيزوت رطاخملا كلذو لصفب رامثتسلاا يتامولعملا نع نمأ ةيتامولعملا اذهو ينعي نأ نمأ ةيتامولعملا بجي نأ نوكت ةلصفنم يف يأ زكرم مظن تامولعم لاو بجي نأ صصخت لامعأ ةطشنأو نمأ ةيتامولعملا ىلا تارادا رامثتسلاا يتامولعملا لثم مظنلا دعاوق تانايبلا تاكبشلا وأ بساحلا يللآا ليغشتلاو ببسب ضراعت حلاصملا ظافحلاو ىلع.ةيعوضوملا عضو ةيجيتاريتسا نمأ تامولعم يهو ةقيثو نمضتت تاسايس ءيدابمو ريياعمو ميظنت ةيلمع مادختسا لماعتلاو عم رداصم ةئيبلا ةيتامولعملا ةفلتخملا فرصتلاو اهيف لخاد لكيه دمتعي ةمولعملا ارصنع ةيمقرلا ايساسأ يف نيسحت هئادأ و غولب.هفادهأ ليهأت رداوك ةينطو ةيامحل تامولعملا اهلمع يدؤت يفيظولا تاراهمب ةيلاع للاخ نم ىلع فارشلاا ذيفنت ةيامح تاءارجا تامولعملا ةعوضوملا يف هذه.ةيجيتارتسلاا تاحرتقملاو تايصوتلا
المناقشة مفتوحة