وحدة الأمن السيبراني

وحدة الأمن السيبراني

وحدة الامن السيبراني

وحدة الامن السيبراني

ماهو الأمن السيبراني ؟

حسب ما نص عليه تنظيم الهيئة الوطنية للأمن السيبراني الصادر بالأمر الملكي رقم  6801  وتاريخ 11/02/1439هـ ، فإن الأمن السيبراني هو حماية الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من أجهزة وبرمجيات، وما تقدمه من خدمات، وما تحتويه من بيانات، من أي اختراق أو تعطيل أو تعديل أو دخول أو استخدام أو استغلال غير مشروع. ويشمل مفهوم الأمن السيبراني أمن المعلومات والأمن الإلكتروني والأمن الرقمي ونحو ذلك.

مصطلحات عامة للأمن السيبراني

المصطلح  التعريف

الفضاء السيبراني Cyberspace 

الشبكة المترابطة من البنية التحتية لتقنية المعلومات، والتي تشمل الإنترنت وشبكات الاتصالات وأنظمة الحاسب الآلي والأجهزة المتصلة بالإنترنت، إلى جانب المعالِجات وأجهزة التحكم المرتبطة بها. كما يمكن أن يشير المصطلح إلى عالم أو نطاق افتراضي كظاهرة مجربة أو مفهوم مجرّد.
سياسة Policy وثيقة تحدد بنودها التزاماً عاماً أو توجيهاً أو نية ما كما تم التعبير عن ذلك رسمياً من قبل صاحب الصلاحية للجهة. سياسة الأمن السيبراني هي وثيقة تعبر بنودها عن الالتزام الرسمي لإدارة العليا للجهة بتنفيذ وتحسين برنامج الأمن السيبراني في الجهة، وتشتمل السياسة على أهداف الجهة فيما يتعلق ببرنامج الأمن السيبراني وضوابطه ومتطلباته وآلية تحسينه وتطويره.
الخصوصية Privacy الحرية من التدخل غير المصرح به أو الكشف عن معلومات شخصية حول فرد.
الأصل Asset أي شيء ملموس أو غير ملموس له قيمة بالنسبة للجهة. هناك أنواع كثيرة من الأصول؛ بعض هذه الأصول تتضمن أشياء واضحة، مثل: الأشخاص، والآلات، والمرافق، وبراءات الاختراع، والبرمجيات والخدمات. ويمكن أن يشمل المصطلح أيضاً أشياء أقل وضوحاً، مثل: المعلومات والخصائص )مثل: سمعة الجهة وصورتها العامة، أو المهارة والمعرفة(
هجوم Attack  أي نوع من الأنشطة الخبيثة التي تحاول الوصول بشكل غير مشروع أو جمع موارد النظم المعلوماتية أو المعلومات نفسها أو تعطيلها أو منعها أو تحطيمها أو تدميرها.
تدقيق Audit المراجعة المستقلة ودراسة السجلات والأنشطة لتقييم مدى فعالية ضوابط الأمن السيبراني ولضمان الالتزام بالسياسات، والإجراءات التشغيلية، والمعايير والمتطلبات التشريعية والتنظيمية ذات العلاقة.
التحقق Authentication التأكد من هوية المستخدم أو العملية أو الجهاز، وغالباً ما يكون هذا الأمر شرطاً أساسياً للسماح بالوصول إلى الموارد في النظام.
صلاحية المستخدم Authorization خاصية تحديد والتأكد من حقوق/تراخيص المستخدم للوصول إلى الموارد والأصول المعلوماتية والتقنية للجهة والسماح له وفقاً لما حدد مسبقاً في حقوق/تراخيص المستخدم.
توافر Availability ضمان الوصول إلى المعلومات والبيانات والأنظمة والتطبيقات واستخدامها في الوقت المناسب.
النسخ الاحتياطية Backup الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الأعطال أو الفقدان، أو إذا حذف الأصل منها أو توقف عن الخدمة.
تهديد Threat أي ظرف أو حدث من المحتمل أن يؤثر سلباً على أعمال الجهة )بما في ذلك مهمتها أو وظائفها أو مصداقيتها أو سمعتها( أو أصولها أو منسوبيها مستغلًا أحد أنظمة المعلومات عن طريق الوصول غير المصرح به إلى المعلومات أو تدميرها أو كشفها أو تغييرها أو حجب الخدمة. وأيضاً قدرة مصدر التهديد على النجاح في استغلال أحد نقاط الضعف الخاصة بنظام معلومات معين. وهذا التعريف يشمل التهديدات السيبرانية.
الثغرة Vulnerability أي نوع من نقاط الضعف في نظام الحاسب الآلي، أو برامجه أو تطبيقاته، أو في مجموعة من الإجراءات، أو في أي شيء يجعل الأمن السيبراني عرضة للتهديد.
الدائرة التلفزيونية المغلقة CCTV يستخدم التلفزيون ذو الدائرة المغلقة، والمعروف أيضاً باسم المراقبة بالفيديو، كاميرات الفيديو لإرسال إشارة إلى مكان محدد على مجموعة محدودة من الشاشات. وغالباً ما يطلق هذا المصطلح على تلك التقنية المستخدمة للمراقبة في المناطق التي قد تحتاج إلى مراقبة حيث يشكل الأمن المادي مطلباً هاماً فيها.
السرية Confidentiality الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات والإفصاح عنها بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية.
البيانات أو المعلومات الحساسة Confidentia Data / Information  هي المعلومات )أو البيانات( التي تعتبر غاية في الحساسية والأهمية، حسب تصنيف الجهة، والُمعدة للاستخدام من قبل جهة أو جهات محددة. وأحد الطرق التي يمكن استخدامها في تصنيف هذا النوع من المعلومات هو قياس مدى الضرر عند الإفصاح عنها أو الاطلاع عليها بشكل غير مصرح به أو فقدها أو تخريبها، حيث قد يؤدي ذلك إلى أضرار مادية أو معنوية على الجهة أو المتعاملين معها، أو التأثير على حياة الأشخاص ذو العلاقة بتلك المعلومات، أو التأثير والضرر بأمن الدولة أو اقتصادها الوطني أو مقدراتها الوطنية. وتشمل المعلومات الحساسة كل المعلومات التي يترتب على الإفصاح عنها بشكل غير مصرح به أو فقدها أو تخريبها مساءلة أو عقوبات نظامية.
التشفير Cryptography ويسمى أيضاً علم التشفير وهي القواعد التي تشتمل مبادئ ووسائل وطرق تخزين ونقل البيانات أو المعلومات في شكل معين وذلك من أجل إخفاء محتواها الدلالي، ومنع الاستخدام غير المصرح به أو منع التعديل غير المكتشف، بحيث لا يمكن لغير الأشخاص المعنيين قراءتها ومعالجتها.
الهجوم السيبراني Cyber-Attack الاستغلال المتعمّد لأنظمة الحاسب الآلي والشبكات والجهات التي يعتمد عملها على تقنية المعلومات والاتصالات الرقمية بهدف إحداث أضرار.
المخاطر السيبرانية Cyber Risks المخاطر التي تمس عمليات أعمال الجهة )بما في ذلك رؤية الجهة أو رسالتها أو إداراتها أو صورتها أو سمعتها( أو أصول الجهة أو الأفراد أو الجهات الأخرى أو الدولة، بسبب إمكانية الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو تدمير المعلومات و/أو نظم المعلومات.
الصمود الأمني السيبراني Cybersecurity Resilience القدرة الشاملة للجهة على الصمود أمام الأحداث السيبرانية، ومسببات الضرر، والتعافي منها.
الحماية من التهديدات المتقدمة المستمرة  Advanced Presistent Threat (APT) Protection  الحماية من التهديدات المتقدمة التي تستخدم أساليب خفية تهدف إلى الدخول غير المشروع على الأنظمة والشبكات التقنية ومحاولة البقاء فيها لأطول فترة ممكنة عن طريق تفادي أنظمة الكشف والحماية. وهذه الأساليب تستخدم عادة )Zero-Day Malware( الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً لتحقيق هدفها.
الهوية Identification وسيلة التحقق من هوية المستخدم أو العملية أو الجهاز، وهي عادة شرط أساسي لمنح حق الوصول إلى الموارد في النظام.
حادثة Incident انتهاك أمني بمخالفة سياسات الأمن السيبراني أو سياسات الاستخدام المقبول أو ممارسات أو ضوابط أو متطلبات الأمن السيبراني.
سلامة المعلومة Integrity الحماية ضد تعديل أو تخريب المعلومات بشكل غير مصرح به، وتتضمن ضمان عدم الإنكار للمعلومات والموثوقية.
البرمجيات الضارة Malware برنامج يصيب الأنظمة بطريقة خفية )في الغالب( لانتهاك سرية أو سلامة ودقة أو توافر البيانات أو التطبيقات أو نظم التشغيل.
اختبار الاختراق Penetration Testing ممارسة اختبار على نظام حاسب آلي أو شبكة أو تطبيق موقع إلكتروني أو تطبيق هواتف ذكية للبحث عن ثغرات يمكن أن يستغلها المهاجم.
رسائل التصيد الإلكتروني Phishing Emails الحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور أو تفاصيل بطاقة الائتمان، غالباً لأسباب ونوايا ضارة وخبيثة، وذلك بالتنكر على هيئة جهة جديرة بالثقة في رسائل بريد إلكترونية.
الأمن المادري Physical Security يصف الأمن المادي التدابير الأمنية التي تم تصميمها لمنع الوصول غير المصرح به إلى المرافق والمعدات والموارد التابعة للجهة، وحماية الأفراد والممتلكات من التلف أو الضرر )مثل التجسس أو السرقة، أو الهجمات الإرهابية(. ينطوي الأمن المادي على استخدام طبقات متعددة من نظم مترابطة، تشمل وحراس الأمن، وحدود أمنية، والأقفال، وأنظمة ،CCTV الدوائر التلفزيونية المغلقة التحكم في الوصول، والعديد من التقنيات الأخرى.

 

الضوابط والإرشادات والسياسات للأمن السيبراني

في ضوء العمل الحكومي الموحد لشؤون التحول الرقمي والأمن السيبراني قدمت الهيئة الوطنية للأمن السيبراني  السياسات والتشريعات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني. (نموذج 1 ). 

 وتهدف هذه التشريعات والسياسات والتي تم تعميمها والبدء بتنفيذها من قبل الجهات الحكومية ذات العلاقة إلى خلق فضاء سيبراني آمن من خلال أفضل الممارسات والمعايير . وقامت جامعة الباحه كمنظمة تعليمية حكومية ممثلة بإدارة الأمن السيبراني بعمادة التعلم الإلكتروني وتقنية المعلومات بتبني وموائمة الإرشادات والسياسات للأمن السيبراني والتي  تم العمل بها بعد إعتمادها من قبل صاحب الصلاحية بجامعة الباحه.  

وللإطلاع على كافة التنظيمات والظوابط الرجاء زيادة الرابط (الضغط هنا)

أدوات ونماذج السياسات الأمن السيبراني

روابط للتشريعات ذات العلاقة بممارسات الأمن السيبراني في الممكلة العربية السعودية

  • نظام مكافحة جرائم المعلوماتية :

                https://laws.boe.gov.sa/BoeLaws/Laws/LawDetails/25df73d6-0f49-4dc5-b010-a9a700f2ec1d/1

  • سياسات حوكمة البيانات الوطنية

                 https://sdaia.gov.sa/ndmo/Files/PoliciesAr.pdf

  • هيئة الحكومة الرقمية

      https://dga.gov.sa/

الإبلاغ عن الحوادث السيبرانية بجامعة الباحه

هي مبادرة تقدمها إدارة الأمن السيبراني بجامعة الباحه عبر فريق الاستجابة لحوادث الأمن السيبراني للمساعدة في التعامل والتصدي للمخاطر والحوادث السيبرانية القائمة والمتوقعه ذات العلاقة بأنظمة جامعة الباحه والخدمات الرقمية والبريد الإلكتروني .

قنوات التوصل

  • هاتف:  966-17-7257700  
  • تحويلة: 15447
  • ايميل : SOC@bu.edu.sa