Cyber Risk Management Frameworks and Standards PDF
Document Details
Uploaded by ArticulateEmpowerment
Umm Al-Qura University
Tags
Summary
This presentation provides an overview of cyber risk management frameworks and standards, specifically targeting UMM AL-QURA UNIVERSITY students. It covers key concepts, including the definition, different frameworks, and choosing a suitable framework. It also includes examples on how to evaluate assets using established standards.
Full Transcript
الكلية التطبيقية Cyber Risk Management Standards and Frameworks معايير وأطر إدارة المخاطر السيبرانية مقدمة Introduction تتضمن إدارة المخاطر السيبرا...
الكلية التطبيقية Cyber Risk Management Standards and Frameworks معايير وأطر إدارة المخاطر السيبرانية مقدمة Introduction تتضمن إدارة المخاطر السيبرانية تحديد وتقييم وتخفيف المخاطر المتعلقة بأنظمة تكنولوجيا المعلومات والبيانات والعمليات.تم تطوير معايير وأطر مختلفة لمساعدة المؤسسات على إنشاء ممارسات فعالة إلدارة المخاطر السيبرانية. توفر هذه المعايير واألطر إرشادات وأفضل الممارسات ونهًج ا منظًما إلدارة المخاطر السيبرانية. هناك العديد من أطر إدارة المخاطر السيبرانية ،كل منها يوفر معايير يمكن للمؤسسات استخدامها لتحديد المخاطر والتخفيف من حدتها.تستخدم اإلدارة العليا وقادة األمن هذه األطر لتقييم الوضع األمني للمؤسسة وتحسينه. يمكن إلطار إدارة المخاطر السيبرانية أن يساعد المؤسسات على تقييم المخاطر وتخفيفها ومراقبتها بشكل فعال؛ وتحديد العمليات واإلجراءات األمنية لمعالجتها. ماهي معايير واطر إدارة المخاطر السيبرانية What is Cyber Risk Management Standards and Frameworks إطار إدارة المخاطر السيبرانية عبارة عن مجموعة منظمة من العمليات والمبادئ التوجيهية والممارسات التي تستخدمها المؤسسات لتحديد وتقييم وتخفيف ومراقبة المخاطر المتعلقة على وجه التحديد باألمن السيبراني وتكنولوجيا المعلومات. يوفر هذا اإلطار نهًج ا منظًم ا إلدارة وتأمين األصول الرقمية والبيانات وأنظمة المعلومات في مواجهة التهديدات السيبرانية المتطورة.ويشمل عناصر مختلفة، مثل تقييم المخاطر ،والضوابط األمنية ،واالستجابة للحوادث ،والمراقبة المستمرة اختيار اطار عمل إدارة مخاطر االمن السيبراني Choosing a Cybersecurity Risk Management Framework يجب تحديد واختيار إطار عمل ( )frameworkكي يكون مرجع في عمليات إدارة مخاطر االمن السيبراني في الجهة.وللجهة حرية اختيار االطار المناسب لها بشرطين: .1توافق االطار مع المتطلبات التشريعية والتنظيمية الوطنية وافضل الممارسات الدولية ذات العالقة والذي يتضمن على ان االطار يجب ان يتم اختياره وفقا العتبارات السرية والنزاهة واالتاحية لألصول المعلوماتية والتقنية اختيار اطار عمل إدارة مخاطر االمن السيبراني Choosing a Cybersecurity Risk Management Framework -2توافر عناصر إدارة المخاطر األساسية في اإلطار المستخدم عناصر إدارة المخاطر: حدود تقبل مؤشرات أداء مؤشرات فئات سياسة إدارة األدوار حوكمة إدارة وتحمل إدارة إدارة المخاطر المخاطر المخاطر والمسؤوليات المخاطر المخاطر المخاطر اختيار اطار عمل إدارة مخاطر االمن السيبراني Choosing a Cybersecurity Risk Management Framework وبذلك األطر التي تحقق التوافق مع المتطلبات التشريعية وتحقيق عناصر إدارة المخاطر األساسية ,يتم اختيار األنسب منها حسب الصفات التالية : نطاق تركيز اإلطار : فرز األطر والمنهجيات التي يكون نطاقها هو إدارة مخاطر االمن السيبراني سهولة ومناسبة التطبيق: المقارنة والمفاضلة بين األطر والمنهجيات التي اجتازت مرحلتي الفرز األولية وذلك الختيار اإلطار المناسب إلدارة مخاطر االمن السيبراني نطاق اإلطار: حصر األطر والمنهجيات العالمية التي تقدم إرشادات او إجراءات إلدارة المخاطر االمن السيبراني بشكل خاص أطر إدارة المخاطر السيبرانية شائعة االستخدام: Commonly Used Cyber Risk Management Frameworks ISO/IEC 27001 الوصف ISO/IEC 27001 :هو معيار دولي يوفر إطاًر ا إلنشاء نظام إدارة أمن المعلومات () information security management system )ISMSوتنفيذه وصيانته وتحسينه باستمرار. نطاق التركيز :يؤكد على أهمية تقييم المخاطر ومعالجتها ،ومساعدة المنظمات على إدارة وتأمين أصول المعلومات الخاصة بها. إطار األمن السيبراني :NIST الوصف :تم تطوير هذا اإلطار بواسطة المعهد الوطني للمعايير والتكنولوجيا NIST) ،(National )Institute of Standards and Technology ويوفر مجموعة من المعايير الطوعية والمبادئ التوجيهية وأفضل الممارسات إلدارة المخاطر المتعلقة باألمن السيبراني. التركيز :يتبع هيكل "التحديد والحماية والكشف واالستجابة واالسترداد" لمساعدة المؤسسات على إدارة وتحسين وضع األمن السيبراني الخاص بها. أطر إدارة المخاطر السيبرانية شائعة االستخدام: Commonly Used Cyber Risk Management Frameworks ):COBIT (Control Objectives for Information and Related Technologies الوصف COBIT :هو إطار عمل طورته ISACAلحوكمة وإدارة تكنولوجيا المعلومات الخاصة بالمؤسسات.ويوفر مجموعة من الضوابط وأفضل الممارسات لتكنولوجيا المعلومات ونظم المعلومات. التركيز:يؤكد COBITعلى أهمية مواءمة أهداف تكنولوجيا المعلومات مع أهداف العمل ويتضمن إطاًر ا إلدارة المخاطر المتعلقة بتكنولوجيا المعلومات. ):FAIR (Factor Analysis of Information Risk الوصف FAIR :هو إطار عمل لفهم وتحليل وقياس مخاطر المعلومات من الناحية المالية.ويوفر نهجا كميا إلدارة المخاطر. التركيز :يساعد المؤسسات على تحديد األولويات واتخاذ قرارات مستنيرة بناًء على تحليل التكلفة والعائد الستراتيجيات تخفيف المخاطر المختلفة. أطر إدارة المخاطر السيبرانية شائعة االستخدام: Commonly Used Cyber Risk Management Frameworks :CIS Critical Security Controls الوصف :تم تطوير عناصر التحكم هذه بواسطة مركز أمن اإلنترنت ( ،)CISوتوفر مجموعة من أفضل الممارسات المصممة لمساعدة المؤسسات على تحسين وضع األمن السيبراني الخاص بها. التركيز :يتم إعطاء األولوية للضوابط لمعالجة التهديدات السيبرانية األكثر شيوًعا ويتم تحديثها بانتظام لتعكس التهديدات والتقنيات الناشئة. ):ITIL (Information Technology Infrastructure Library الوصف ITIL :عبارة عن مجموعة من الممارسات إلدارة خدمات تكنولوجيا المعلومات ) )ITSMالتي تركز على مواءمة خدمات تكنولوجيا المعلومات مع احتياجات األعمال. التركيز :على الرغم من أن ( )ITILليست إطاًر ا لألمن السيبراني حصرًيا ،إال أنها تتضمن ممارسات إلدارة وتخفيف المخاطر المتعلقة بتكنولوجيا المعلومات ،مما يجعلها ذات صلة بإدارة المخاطر الشاملة. أطر إدارة المخاطر السيبرانية شائعة االستخدام: commonly used cyber risk management frameworks كيف يتم تقييم األصول بحسب معيارااليزو 27005؟ يتم ذلك بثالث اعتبارات رئيسية : القيمة االبتدائية لألصل قيمة استبدال \ اعادة انشاء األصل قيمة التبعات في حال حدوث حادثة على األصل (تعطيل عمل الجهة ,خسائر مالية ,خسارة والء العمالء ,فقد ميزة تنافسية ,تأثيرات السمعة ,الخ) أطر إدارة المخاطر السيبرانية شائعة االستخدام: commonly used cyber risk management frameworks مثال :1تقييم قيمة خادم البريد االلكتروني يمكن تقييم قيمة الخادم بإحدى الطرق التالية : تقييم قيمة العتاد بحسب قيمتها االبتدائية بقيمة 1000ريال(بافتراض انه تم شراء الخادمب 1000ريال في حينه ) تقييم قيمة العتاد بسعره الحالي في السوق 2000ريال (باعتبار ان أسعار العتاد ارتفعت خالل السنوات األخيرة ) قيمة تبعات تسرب او فقدان المعلومات المخزنة في خادم البريد االلكتروني oاذا كان الخادم ال يحتوي على أي معلومات =قيمة منخفضة oالخادم يحتوي على معلومات محدودة=قيمة متوسطة oالخادم يحتوي على معلومات استراتيجية او تحمل قيمة تنافسية او معلومات قد تضر بالسمعة =قيمة عالية أطر إدارة المخاطر السيبرانية شائعة االستخدام: commonly used cyber risk management frameworks مثال :2تقييم قيمة معلومات العمالء لجهة ما(أسماء ,ارقام هواتف ,بريد الكتروني ,كلمات المرور ,ارقام الهويات ,معلومات بطاقات الدفع ) يمكن تقييم قيمة معلومات العمالء بإحدى الطرق التالية : حساب تكلفة القيمة التقديرية لجمع هذه البيانات ,فمثال استغرق جمع هذه المعلومات 5سنوات ,وتم توظيف 3موظفين لتسجيل هذه البيانات ,وتم شراء خادم قاعدة بيانات لحفظ هذه المعلومات .وبذلك التكلفة االبتدائية للمعلومات تكون كالتالي : (5سنوات * 12شهرا*مجموع رواتب الموظفين الثالثة)+قيمة خادم قاعدة البيانات تقييم قيمة إعادة جمع المعلومات العمالء حاليا(باعتبار ان أسعار العتاد قد ترتفع او تنخفض وكذلك الرواتب في هذا القطاع),وبذلك سيكون حساب قيمة إعادة جمع المعلومات بنفس المعادلة السابقة وباختالف األرقام حسب تغيرها انخفاضا او ارتفاعا. قيمة تبعات تسرب او فقدان معلومات العمالء (أسماء ,ارقام هواتف ,بريد الكتروني ,كلمات المرور ,ارقام الهويات ,معلومات بطاقات الدفع) oسيكون هناك تبعات مع المنافسين وخسارة قيمة تنافسية في حال خسارتها oسيكون هناك تبعات نظامية وتشريعية في حال تسرب البيانات الشخصية كأرقام الهويات oسيكون هناك خسائر مالية في حال خسارة معلومات بطاقات الدفع oسيكون هناك خسارة والء العمالء وخسارة في السمعة في حال فقدان او تسريب المعلومات Cyber Risk Management Processes Across Levels in the Organization عمليات إدارة المخاطر السيبرانية عبر المستويات في المنظمة األدوار والمسؤوليات: :Roles and responsibilities علــى الجهــة تحديــد األدوار المعنيــة إلدارة المخاطــر وتعيينهــا للجهــات المســؤولة عــن تنفيذهــا وتكــون علــى النحــو اآلتي: إدارة االمن السيبراني اللجنة االشرافية على إدارة المخاطر السيبرانية إدارة المخاطر المؤسسية وحدات العمل (الفرق التشغيلية) إدارة االمن السيبراني : Cyber security management اعتماد سياسة إدارة المخاطر في الجهة وأي تعديالت عليها. التأكد من فعالية اإلجراءات المتخذة لضمان سالمة تطبيق سياسات إدارة المخاطر. الموافقـة علـى حـدود تقبـل المخاطـر ،واسـتراتيجية إدارة المخاطـر ومنهجيـة تقييمهـا وأسـاليب قياسـها وآليـة تقييـم الخسـائر اللجنة اإلشرافية على إدارة المخاطر: Risk Management Supervisory Committee اعتماد إطار إدارة المخاطر في الجهة وأي تعديالت عليه. مراجعـة مسـتويات تقبـل المخاطـر ،وسياسـة إدارة المخاطـر ،والسياسـات ذات العالقـة ومنهجيـة تقييمهـا وأسـاليب قياسـها وآليـة تقييـم الخسـائر ،واعتمـاد اإلجراءات الالزمة لتطبيق السياسـة. اإلشراف علــى عمليــة تنفيــذ منهجيــة إدارة المخاطــر الرئيســية فــي الجهــة ،والتأكــد مــن فاعليــة قيــاس مؤشــرات المخاطــر الرئيســية وفقــًا لمســتويات تقبــل المخاطــر المعتمــدة. التأكـد مـن تنفيـذ االستراتيجيات التشـغيلية والماليـة بمـا يتوافـق مـع مسـتويات تقبـل المخاطر.اطــالع اللجنــة علــى الموضوعــات التــي قــد تؤثــر علــى قــدرة الجهــة علــى تحقيــق خططهــا االستراتيجية والماليــة والتشــغيلية ،وكل مــا قــد يؤثــر علــى ســمعة الجهــة. اللجنة اإلشرافية على إدارة المخاطر: Risk Management Supervisory Committee تقديم التوصيات للجنة حول إجراءات التعامل مع المخاطر.توفير الموارد الالزمة لتطبيق سياسة إدارة المخاطر. العمــل مــع إدارة المخاطــر لتطويــر خطــط الرقابــة والعمــل المالئمة للحــد مــن آثــار المخاطــر. متابعــة فاعليــة تطبيــق السياســة والموافقــة علــى السياســات الفرعيــة المنبثقــة عــن سياســة إدارة المخاطــر. تقديـم التوصيـات والمشـورة بمـا يخـص اسـتراتيجية إدارة المخاطـر ومنهجيـة تقييمهـا وأسـاليب قياسـها وآليـة تقييـم الخسـائر. إدارة المخاطر المؤسسية: :Enterprise risk management اقتــراح اســتراتيجية إدارة المخاطــر ،وإعــداد واقتــراح حــدود تقبــل وتحمــل الجهــة للمخاطـر ،والسياسـات واإلجراءات ذات العالقـة واإلطار العـام للتعامـل مـع المخاطـر ومنهجيــة تقييمهــا وأســاليب قياســها وآليــة تقييــم الخســائر ورفعهــا للجنــة. إعداد اإلجراءات الالزمة لتطبيق سياسة إدارة المخاطر. اإلشراف علــى تنفيــذ سياســة إدارة المخاطــر وتقييــم ومراقبــة ســامة تطبيقهــا، إدارة المخاطر المؤسسية: :Enterprise risk management اإلشراف علـى رفـع وعـي الموظفيـن وتدريبهـم لتمكينهـم مـن االلتزام بسياسـة إدارة المخاطر. متابعـة تطبيـق حـدود تقبـل وتحمـل المخاطـر واسـتراتيجية إدارة المخاطـر والسياسـات ذات العالقــة ومنهجيــة تقييمهــا وأســاليب قياســها وآليــة تقييــم الخســائر ورفعهــا للجنـة أو للمسـؤول األول بالجهـة ضمـــان شـــمولية التقييـــم ألي مبادرات أو تغييرات جوهرية جديـــدة طرأت على الخدمات أو األنظمة. إعــداد التقاريــر الالزمة ورفعهــا لــذوي الشــأن فــي الجهــة لتمكيــن عمليــة صنــع القــرار فـي الجهـة. وحدات العمل(الفرق التشغيلية): ):Business units (operational teams توفيــر المعلومــات والبيانــات بشــكل دقيــق وفــي الوقــت المناســب لضمــان فعاليــة إجــراءات تحديــد وتقييــم وإدارة ومراقبــة المخاطــر. تنفيذ الضوابط الرقابية المتعلقة بالعمليات الرئيسية للوحدة بشكل فعال. تحديــد وتقييــم المخاطــر الكامنــة والمتبقيــة المتعلقــة بوحدتهــم ،بالتعــاون مــع إدارة المخاطــر. تحديــد وتقييــم خيــارات معالجــة المخاطــر وإعــداد خطــط العمــل لمعالجــة المخاطــر حســب نتائــج تقييــم خيــارات المعالجــة ،بالتعــاون مــع إدارة المخاطــر. وحدات العمل(الفرق التشغيلية): ):Business units (operational teams ضمان توفر الموارد المطلوبة لتنفيذ خطط العمل لمعالجة المخاطر.تنفيــذ خطــط العمــل لمعالجــة المخاطــر ورفــع تقاريــر التقــدم فــي التنفيــذ إلــى إدارة المخاطــر بشــكل مســتمر. العمـل علـى مراقبـة مؤشـرات المخاطـر الرئيسـية ورفـع تقاريـر عـن حالـة المخاطـر إلـى إدارة المخاطــر وتوضيــح أي تجــاوزات لحــدود المؤشــرات. مراجعـة وتحديـد سـجالت المخاطـر المعنيـة بالوحـدة بشـكل مسـتمر وتحديـد وتقييـم أي مخاطـر جديـدة ورفعهـا إلـى إدارة المخاطـر بشـكل دوري. تحديـد وتسـجيل األحداث والخسـائر والعمـل علـى تقييمهـا ومعالجتهـا ورفعهـا إلـى إدارة المخاطــر. المراجع Cybersecurity Risk Management | Frameworks, Analysis & Assessment | Imperva Cybersecurity Framework | NIST risk-management-guide.pdf (mof.gov.sa)
