cobit
- 2. الثقة خدمات اطار
:
بين باالشتراك تطويره تم اطار هو
AICPA
و
CICA
,
بمجموعها تكون التي المبادئ من مجموعة من يتكون
المحاسبية المعلومات في الموثوقية لتقييم دليل
ظ في المعلومات تكنلوجيا على الرقابة تنظيم الى اضافة
ل
وهي مترابطة مبادئ خمسة
:
-
االمن
Security
-
السرية
Confidentiality
-
الخصوصية
Privacy
–
تكامل
المعالجة
Processing Integrity
-
الجاهزية
Availability
- 3. Two Fundamental Information Security
امن مبادئ
المعلومات
Concepts
1
-
تقنية قضية ليست و ادارية قضية االمن
:
االمن حياة دورة
:
-
االستجابة اختيار و التهديدات تقدير
-
معينة سياسة توصيل و تطوير
-
تنفيذها و الحلول على الحصول
-
االنجاز مراقبة
- 4. 2
-
نموذج
االمن
المستند
الى
الوقت
THE TIME-BASED
MODEL OF INFORMATION SECURITY
P > D + R )
)
الدفاع
في
العمق
(defense-in-depth)
و
هو
استراتيجية
تحاول
المنظمات
بموجبها
حماية
اهداف
نموذج
الحماية
المعتمد
على
الوقت
و
التي
تقوم
على
اساس
استخدام
اك
ثر
من
مستوى
واحد
من
الرقابة
لتجنب
الفشل
في
االجراءات
ذات
الخطوة
الواحدة
- 6. المعلومات مصادر حماية
Protecting Information Resources
بموجب تحتويها التي االنظمة و المعلومات مصادر حماية يتم
التصحيحية و الرصدية و الوقائية الرقابة من طرق ثالث
,
يلي كما و الوقت نموذج عناصر باستخدام
:
-
هي و اجزاء اربعة بموجب تعمل الوقائية الرقابة
:
(
العمليات
–
تكنلوجية حلول
-
تغيير
االدارة
-
حماية
طبي
عية
.)
- 7. اهمها طرق بعدة الوقائية الرقابة تطوير يتم
:
-
االشخاص
:
أ
-
المستمر االمن ثقافة خلق
:
يحدد
COBIT
وجه على
عوامل من كواحدة المؤسسة وأخالقيات ثقافة التحديد
الفعال المعلومات ألمن الحاسمة التمكين
.
و ثقافة إلنشاء
اعية
التنظيمية بالسياسات الموظفون فيها يلتزم لألمن
- 8. ب
–
التدريب
:
يحدد
COBIT 5
مساعدة كأداة وكفاءاتهم الموظفين مهارات
المعلومات أمن الفعالية لتحقيق أخرى مهمة
.
يف أن يجب
هم
المؤسسة أمن سياسات متابعة كيفية الموظفون
.
وبالت
، الي
ف أهميتها تنعكس ،مهمة وقائية مراقبة هو التدريب فإن
ي
كممارسة يناقش األمني الوعي على التدريب أن حقيقة
إدارة عمليات من العديد لدعم رئيسية
COBIT 5
- 9. العملية
:
للمستخدم الوصول ضوابط
PROCESS: USER ACCESS
CONTROLS
أن نفهم أن المهم من
"
الغرباء
"
الوحيد التهديد مصدر ليسوا
.
األسباب من لعدد اًساخط يصبح للموظف يجوز
(
، االنتقام
الصعوبات
أو ، المالية
يتم قد
م لتوفير ابتزازه
علومات
حساسة
.)
لذلك
تحتاج
من مجموعة تنفيذ إلى المنظمات
غي االستخدام من معلوماتها أصول لحماية المصممة الضوابط
ر
الموظفين قبل من والوصول به المصرح
.
- 11. أنواع
رقابة
المستخدم وصول
:
التخويل في رقابة
.
في ضوابط
التوثق
.
.
رقابة
ّديالتق
"
صحة من التحقق
"
ن إلى الوصول يمكنه من
ظام
المؤسسة معلومات
.
التوثق رقابة
هؤال يفعله أن يمكن ما تحد
ء
الوصول حق منحهم بمجرد األفراد
.
- 12. التوثيق ضوابط
AUTHENTICATION CONTROLS
التوثيق
النظام إلى الوصول يحاول جهاز أو شخص هوية من التحقق عملية
.
الهد
هو ف
التأكد
شرعية من
إلى الوصول
النظام
.
هوية من للتحقق االعتماد بيانات من أنواع ثالثة استخدام يمكن
الشخص
.
Three
types of credentials can be used to verify a person’s identity
1
-
شيء
الشخصي الهوية أرقام أو السر كلمات مثل ، الشخص يعرفه
ة
(
PINs
)
2
-
الهوية اشارات أو الذكية البطاقات مثل ، الشخص لدى شيء
3
-
السلوكية أو الفيزيائية الخصائص بعض
(
البيومترية الهوية
)
، للشخص
الكتابة أنماط أو األصابع بصمات مثل
- 18. عملية
:
تغيير
السيطرة
وإدارة
التغيير
PROCESS: CHANGE
CONTROLS AND CHANGE MANAGEMENT
تقوم
المؤسسات
بتعديل
نظم
المعلومات
الخاصة
بها
باستمرار
لتعكس
ممارسات
األعمال
الجديدة
واالستفادة
من
التقدم
في
مجال
تكنولوجيا
المعلومات
.
تغيير
السيطرة
وإدارة
التغييرتشير
إلى
العملية
الرسم
ية
المستخدمة
لضمان
إجراء
تعديالت
على
األجهزة
أو
البرامج
أو
العمليات
حتى
ال
تقل
ل
من
موثوقية
النظم
.
اًبغال
ما
تؤدي
السيطرة
الجيدة
على
التغيير
إلى
ت
حسين
األداء
بشكل
أفضل
اًنظر
لوجود
مشكالت
أقل
في
اإلصالح
.
و
بتكاليف
أقل
عند
حدوث
الحوادث
األمنية
،
والقدرة
على
تحديد
التغييرات
غير
المصرح
ب
ها
بسرعة
ومعاقبة
المسؤولين
عن
تعمد
التحايل
على
عملية
تغيير
.
- 19. التغيير في السيطرة عملية خصائص
:
-
ال وأساسه ، التغيير طبيعة وتحديد ، التغيير طلبات جميع توثيق
منطقي
الطلب ونتائج الطلب تاريخ،
.
-
المناس اإلدارة مستويات حسب التغيير طلبات جميع من موثقة موافقة
بة
.
التغييرات بمراجعة العليا اإلدارة تقوم أن خاص بشكل المهم من هذا
والموافقة الرئيسية
عليها
خط مع يتفق المقترح التغيير أن لضمان
ط
المدى طويلة إستراتيجية
للمنظمة
نظام في التغييرات جميع اختبار
االختبارالمستخدم وليس،منفصل
ف
ي
اليومية التجارية العمليات
.
خطر من يقلل هذا
في
التعديالت
لت يؤدي
عطيل
العادية األعمال
.
ضوابط
ال من كامل وبشكل بدقة البيانات نقل يتم أن لضمان التحويل
قديم
الجديد للنظام
.
عملية مراجعة الداخليين المراجعين على
التحويل
.
- 20.
-
الوثائق جميع تحديث
(
أدلة اإلجراءات ، النظام أوصاف ، البرنامج تعليمات
وما ،
ذلك إلى
)
حديثا تنفيذها تم التي التغييرات لتعكس
.
عملية
خاصة
للمراجعة
في
الوقت
المناسب
والموافقة
عليها
وتوثيق
"
التغييرات
الطارئة
"
بمجرد
األزمة
كما
هو
عملي
.
يجب
تسجيل
جميع
التغييرات
الطارئة
لتقديمها
درب
التدقيق
.
عدد
كبير
أو
زيادة
ملحوظة
ف
ي
عدد
التغييرات
في
حاالت
الطوارئ
هو
عالم
حمراء
محتملة
للمشاكل
األخرى
(
إجراءات
إدارة
التهيئة
الضعيفة
،
أو
عدم
وجود
صيانة
مسبقة
،
أو
"
اللعب
"
السياسي
لتجنب
عملية
التحكم
في
التغيير
العادية
)
.
-
تطوير
وتوثيق
خطط
"
التخلف
"
لتسهيل
العودة
إلى
السابق
تكوينات
إذا
كان
التغيير
الجديد
يخلق
مشاكل
غير
متوقعة
.
مراقبة
ومراجعة
دقيقة
لحقوق
المستخدم
وامتيازاته
أثناء
عملية
التغي
ير
إلى
ضمان
الحفاظ
على
الفصل
الصحيح
للواجبات
.
- 21. المستخدم حساب إدارة
USER ACCOUNT MANAGEMENT
COBIT 5
تشدد
ممارسة
اإلدارة
على
الح
ا
جة
إلى
إدارة
جميع
حسابات
المستخدمين
بعناية
،
اًصوخصو
الحسابات
التي
لها
حقوق
(
إدارية
)
غي
ر
محدودة
على
هذا
الكمبيوتر
.
هناك
حاجة
لحقوق
إدارية
من
أجل
تثبيت
البرامج
وتغيير
معظم
إعدادات
التكوين
.
هذه
القدرات
القوية
تجعل
الحس
ابات
ذات
أهداف
إدارية
أساسية
للمهاجمين
.
لذلك
،
يجب
تعيين
الموظفين
ال
ذين
يحتاجون
إلى
صالحيات
إدارية
على
كمبيوتر
معين
،
حسابين
:
أحدهما
ل
ه
حقوق
إدارية
واآلخر
لديه
امتيازات
محدودة
فقط
.
- 23. حلول
المعلومات تكنولوجيا
:
IT SOLUTIONS: ENCRYPTION
التشفير
ENCRYPTION
يوفر
التشفير
طبقة
نهائية
من
الحماية
لمن
ع
الوصول
غير
المصرح
به
إلى
المعلومات
الحساسة
.
هو
عملية
تغيير
النص
الطبيعي
,
من
نص
عادي
مقروء
الى
لغة
تقن
ية
غير
مقروءة
تدعى
النص
الطغرائي
(
Cipher text Decryption
)
ومن
ثم
قلب
هذه
العملية
معيدا
النص
المشفر
الى
نص
عادي
.
متانة
التشفير
Encryption Strength
ثالث
عوامل
مهمة
تقرر
متانة
اي
نظام
تشفير
:
(
1
)
طول
المفتاح
,
(
2
)
سياسات
االدارة
الرئيسية
,
(
3
)
طبيعة
لوغاريتم
التشفير
- 24. البدني األمان
:
PHYSICAL SECURITY: ACCESS CONTROLS
من
الضروري
للغاية
التحكم
في
الوصول
المادي
إلى
موارد
المعلومات
.
يحت
اج
المهاجم
المهرة
إلى
بضع
دقائق
فقط
من
الوصول
المادي
المباشر
غير
الخاضع
للرقابة
من
أجل
تجاوز
ضوابط
أمان
المعلومات
الموجودة
.
أهم
عناصر
التحكم
في
الوصول
الفعلي
:
يبدأ
التحكم
في
الوصول
المادي
بنقاط
دخول
إلى
المبنى
نفسه
.
يجب
أن
يتمركز
موظف
استقبال
أو
حارس
أمن
عند
المدخل
الرئيسي
للتحقق
من
هوية
الموظفين
.
يجب
أن
تكون
الغرف
التي
تحتوي
على
أجهزة
الكمبيوتر
مغلقة
بشكل
آمن
ويتم
مراقبة
جميع
الدخول
/
الخروج
بواسطة
أنظمة
التلفزيون
ذات
الدائرة
المغلقة
.
- 28. الهجمات على الرد
Responding to Attacks
إن
الكشف
في
الوقت
المناسب
عن
المشاكل
رغم
أهميته
ال
يكفي
،
لذلك
تحتاج
المؤسسات
اًضأي
إلى
إجراءات
للقيام
بإجراءات
تصحي
حية
في
الوقت
المناسب
من
خالل
الضوابط
التصحيحية
والتي
تتمثل
باالتي
:
فريق
االستجابة
للحاسوب
(
Cirt
)
Computer IncIdent
response team
كبير
موظفي
أمن
المعلومات
ChIef InformatIon securIty
officer (Ciso)