وحدة الامن السيبراني
ماهو الأمن السيبراني ؟
حسب ما نص عليه تنظيم الهيئة الوطنية للأمن السيبراني الصادر بالأمر الملكي رقم 6801 وتاريخ 11/02/1439هـ ، فإن الأمن السيبراني هو حماية الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من أجهزة وبرمجيات، وما تقدمه من خدمات، وما تحتويه من بيانات، من أي اختراق أو تعطيل أو تعديل أو دخول أو استخدام أو استغلال غير مشروع. ويشمل مفهوم الأمن السيبراني أمن المعلومات والأمن الإلكتروني والأمن الرقمي ونحو ذلك.
مصطلحات عامة للأمن السيبراني
| المصطلح | التعريف |
|---|---|
| الفضاء السيبراني Cyberspace | الشبكة المترابطة من البنية التحتية لتقنية المعلومات، والتي تشمل الإنترنت وشبكات الاتصالات وأنظمة الحاسب الآلي والأجهزة المتصلة بالإنترنت، إلى جانب المعالِجات وأجهزة التحكم المرتبطة بها. كما يمكن أن يشير المصطلح إلى عالم أو نطاق افتراضي كظاهرة مجربة أو مفهوم مجرّد. |
| سياسة Policy | وثيقة تحدد بنودها التزاماً عاماً أو توجيهاً أو نية ما كما تم التعبير عن ذلك رسمياً من قبل صاحب الصلاحية للجهة. سياسة الأمن السيبراني هي وثيقة تعبر بنودها عن الالتزام الرسمي لإدارة العليا للجهة بتنفيذ وتحسين برنامج الأمن السيبراني في الجهة، وتشتمل السياسة على أهداف الجهة فيما يتعلق ببرنامج الأمن السيبراني وضوابطه ومتطلباته وآلية تحسينه وتطويره. |
| الخصوصية Privacy | الحرية من التدخل غير المصرح به أو الكشف عن معلومات شخصية حول فرد. |
| الأصل Asset | أي شيء ملموس أو غير ملموس له قيمة بالنسبة للجهة. هناك أنواع كثيرة من الأصول؛ بعض هذه الأصول تتضمن أشياء واضحة، مثل: الأشخاص، والآلات، والمرافق، وبراءات الاختراع، والبرمجيات والخدمات. ويمكن أن يشمل المصطلح أيضاً أشياء أقل وضوحاً، مثل: المعلومات والخصائص )مثل: سمعة الجهة وصورتها العامة، أو المهارة والمعرفة( |
| هجوم Attack | أي نوع من الأنشطة الخبيثة التي تحاول الوصول بشكل غير مشروع أو جمع موارد النظم المعلوماتية أو المعلومات نفسها أو تعطيلها أو منعها أو تحطيمها أو تدميرها. |
| تدقيق Audit | المراجعة المستقلة ودراسة السجلات والأنشطة لتقييم مدى فعالية ضوابط الأمن السيبراني ولضمان الالتزام بالسياسات، والإجراءات التشغيلية، والمعايير والمتطلبات التشريعية والتنظيمية ذات العلاقة. |
| التحقق Authentication | التأكد من هوية المستخدم أو العملية أو الجهاز، وغالباً ما يكون هذا الأمر شرطاً أساسياً للسماح بالوصول إلى الموارد في النظام. |
| صلاحية المستخدم Authorization | خاصية تحديد والتأكد من حقوق/تراخيص المستخدم للوصول إلى الموارد والأصول المعلوماتية والتقنية للجهة والسماح له وفقاً لما حدد مسبقاً في حقوق/تراخيص المستخدم. |
| توافر Availability | ضمان الوصول إلى المعلومات والبيانات والأنظمة والتطبيقات واستخدامها في الوقت المناسب. |
| النسخ الاحتياطية Backup | الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الأعطال أو الفقدان، أو إذا حذف الأصل منها أو توقف عن الخدمة. |
| تهديد Threat | أي ظرف أو حدث من المحتمل أن يؤثر سلباً على أعمال الجهة )بما في ذلك مهمتها أو وظائفها أو مصداقيتها أو سمعتها( أو أصولها أو منسوبيها مستغلًا أحد أنظمة المعلومات عن طريق الوصول غير المصرح به إلى المعلومات أو تدميرها أو كشفها أو تغييرها أو حجب الخدمة. وأيضاً قدرة مصدر التهديد على النجاح في استغلال أحد نقاط الضعف الخاصة بنظام معلومات معين. وهذا التعريف يشمل التهديدات السيبرانية. |
| الثغرة Vulnerability | أي نوع من نقاط الضعف في نظام الحاسب الآلي، أو برامجه أو تطبيقاته، أو في مجموعة من الإجراءات، أو في أي شيء يجعل الأمن السيبراني عرضة للتهديد. |
| الدائرة التلفزيونية المغلقة CCTV | يستخدم التلفزيون ذو الدائرة المغلقة، والمعروف أيضاً باسم المراقبة بالفيديو، كاميرات الفيديو لإرسال إشارة إلى مكان محدد على مجموعة محدودة من الشاشات. وغالباً ما يطلق هذا المصطلح على تلك التقنية المستخدمة للمراقبة في المناطق التي قد تحتاج إلى مراقبة حيث يشكل الأمن المادي مطلباً هاماً فيها. |
| السرية Confidentiality | الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات والإفصاح عنها بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية. |
| البيانات أو المعلومات الحساسة Confidentia Data / Information | هي المعلومات )أو البيانات( التي تعتبر غاية في الحساسية والأهمية، حسب تصنيف الجهة، والُمعدة للاستخدام من قبل جهة أو جهات محددة. وأحد الطرق التي يمكن استخدامها في تصنيف هذا النوع من المعلومات هو قياس مدى الضرر عند الإفصاح عنها أو الاطلاع عليها بشكل غير مصرح به أو فقدها أو تخريبها، حيث قد يؤدي ذلك إلى أضرار مادية أو معنوية على الجهة أو المتعاملين معها، أو التأثير على حياة الأشخاص ذو العلاقة بتلك المعلومات، أو التأثير والضرر بأمن الدولة أو اقتصادها الوطني أو مقدراتها الوطنية. وتشمل المعلومات الحساسة كل المعلومات التي يترتب على الإفصاح عنها بشكل غير مصرح به أو فقدها أو تخريبها مساءلة أو عقوبات نظامية. |
| التشفير Cryptography | ويسمى أيضاً علم التشفير وهي القواعد التي تشتمل مبادئ ووسائل وطرق تخزين ونقل البيانات أو المعلومات في شكل معين وذلك من أجل إخفاء محتواها الدلالي، ومنع الاستخدام غير المصرح به أو منع التعديل غير المكتشف، بحيث لا يمكن لغير الأشخاص المعنيين قراءتها ومعالجتها. |
| الهجوم السيبراني Cyber-Attack | الاستغلال المتعمّد لأنظمة الحاسب الآلي والشبكات والجهات التي يعتمد عملها على تقنية المعلومات والاتصالات الرقمية بهدف إحداث أضرار. |
| المخاطر السيبرانية Cyber Risks | المخاطر التي تمس عمليات أعمال الجهة )بما في ذلك رؤية الجهة أو رسالتها أو إداراتها أو صورتها أو سمعتها( أو أصول الجهة أو الأفراد أو الجهات الأخرى أو الدولة، بسبب إمكانية الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو تدمير المعلومات و/أو نظم المعلومات. |
| الصمود الأمني السيبراني Cybersecurity Resilience | القدرة الشاملة للجهة على الصمود أمام الأحداث السيبرانية، ومسببات الضرر، والتعافي منها. |
| الحماية من التهديدات المتقدمة المستمرة Advanced Presistent Threat (APT) Protection | الحماية من التهديدات المتقدمة التي تستخدم أساليب خفية تهدف إلى الدخول غير المشروع على الأنظمة والشبكات التقنية ومحاولة البقاء فيها لأطول فترة ممكنة عن طريق تفادي أنظمة الكشف والحماية. وهذه الأساليب تستخدم عادة )Zero-Day Malware( الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً لتحقيق هدفها. |
| الهوية Identification | وسيلة التحقق من هوية المستخدم أو العملية أو الجهاز، وهي عادة شرط أساسي لمنح حق الوصول إلى الموارد في النظام. |
| حادثة Incident | انتهاك أمني بمخالفة سياسات الأمن السيبراني أو سياسات الاستخدام المقبول أو ممارسات أو ضوابط أو متطلبات الأمن السيبراني. |
| سلامة المعلومة Integrity | الحماية ضد تعديل أو تخريب المعلومات بشكل غير مصرح به، وتتضمن ضمان عدم الإنكار للمعلومات والموثوقية. |
| البرمجيات الضارة Malware | برنامج يصيب الأنظمة بطريقة خفية )في الغالب( لانتهاك سرية أو سلامة ودقة أو توافر البيانات أو التطبيقات أو نظم التشغيل. |
| اختبار الاختراق Penetration Testing | ممارسة اختبار على نظام حاسب آلي أو شبكة أو تطبيق موقع إلكتروني أو تطبيق هواتف ذكية للبحث عن ثغرات يمكن أن يستغلها المهاجم. |
| رسائل التصيد الإلكتروني Phishing Emails | الحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور أو تفاصيل بطاقة الائتمان، غالباً لأسباب ونوايا ضارة وخبيثة، وذلك بالتنكر على هيئة جهة جديرة بالثقة في رسائل بريد إلكترونية. |
| الأمن المادري Physical Security | يصف الأمن المادي التدابير الأمنية التي تم تصميمها لمنع الوصول غير المصرح به إلى المرافق والمعدات والموارد التابعة للجهة، وحماية الأفراد والممتلكات من التلف أو الضرر )مثل التجسس أو السرقة، أو الهجمات الإرهابية(. ينطوي الأمن المادي على استخدام طبقات متعددة من نظم مترابطة، تشمل وحراس الأمن، وحدود أمنية، والأقفال، وأنظمة ،CCTV الدوائر التلفزيونية المغلقة التحكم في الوصول، والعديد من التقنيات الأخرى. |
الضوابط والإرشادات والسياسات للأمن السيبراني
في ضوء العمل الحكومي الموحد لشؤون التحول الرقمي والأمن السيبراني قدمت الهيئة الوطنية للأمن السيبراني السياسات والتشريعات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني. (نموذج 1 ).
وتهدف هذه التشريعات والسياسات والتي تم تعميمها والبدء بتنفيذها من قبل الجهات الحكومية ذات العلاقة إلى خلق فضاء سيبراني آمن من خلال أفضل الممارسات والمعايير . وقامت جامعة الباحه كمنظمة تعليمية حكومية ممثلة بإدارة الأمن السيبراني بعمادة التعلم الإلكتروني وتقنية المعلومات بتبني وموائمة الإرشادات والسياسات للأمن السيبراني والتي تم العمل بها بعد إعتمادها من قبل صاحب الصلاحية بجامعة الباحه.
وللإطلاع على كافة التنظيمات والظوابط الرجاء زيادة الرابط (الضغط هنا)
روابط للتشريعات ذات العلاقة بممارسات الأمن السيبراني في الممكلة العربية السعودية
- نظام مكافحة جرائم المعلوماتية :
https://laws.boe.gov.sa/BoeLaws/Laws/LawDetails/25df73d6-0f49-4dc5-b010-a9a700f2ec1d/1
- سياسات حوكمة البيانات الوطنية
https://sdaia.gov.sa/ndmo/Files/PoliciesAr.pdf
- هيئة الحكومة الرقمية
الإبلاغ عن الحوادث السيبرانية بجامعة الباحه
هي مبادرة تقدمها إدارة الأمن السيبراني بجامعة الباحه عبر فريق الاستجابة لحوادث الأمن السيبراني للمساعدة في التعامل والتصدي للمخاطر والحوادث السيبرانية القائمة والمتوقعه ذات العلاقة بأنظمة جامعة الباحه والخدمات الرقمية والبريد الإلكتروني .
