1. استراتيجية أمن المعلوماتية
والمن السيبراني
المحاضر
الدكتور المهندس / خضـر درة
مستشار أنظمة المعلوماتية
خبير أمن المعلومات
برنامج المم المتحدة النمائي
الكويت في ديسمبر 2102
موبايل: 93556605
بريد الكتروني: kdurah@gmail.com
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/1 :Page
2. السيرة الذاتية للمحاضر
الدكتور خضر درة من مواليد عام 0691 في حمص - سورية. •
حصل على شهادة البكالوريوس تخصص علوم الكمبيوتر والحصاء الرياضي من جامعة •
الكويت عام 4891.
حصل على درجة الماجستير في أمن الشبكات والمعلوماتية عام 7991 من أمريكا. •
حصل على درجة الدكتوراة في مجال هندسة المعلوماتية عام 0002 من أمريكا . •
عمل في منظمات دولية وأشرف على تنفيذ مشاريع معلوماتية انمائية في أكثر من 03 دولة •
بالعالم .
أشرف الدكتور خضر درة على بحثين دكتوراة وعدد خمسة أبحاث ماجستير في مجال •
"هندسة أمن المعلوماتية الستخباراتي" .
قام الدكتور خضر درة بتأليف ةثلةثة كتب علمية مهنية وما يزيد عن 01 مقالت وعروض •
تقديمية محكمة في منتديات علمية وةثقافية محلية ودولية.
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/2 :Page
9. Stuxnet is the first computer virus (precisely a “worm”) created to target, study, infect
and subvert only industrial systems, namely Siemens’
http://socks-studio.com/2012/07/17/stuxnet-anatomy-of-the-first-weapon-made-entirely-out-of-code/
Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 9/30
10. Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 10/30
11. Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 11/30
12. Anonymous Hackers to start #OpFuelStrike, threatens to attack
International Oil Companies.
Posted date: November 13, 2012 In: Hacking News
Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 12/30
15. استراتيجية أمن المعلوماتية والمن السيبراني
2. تعريف أمن المعلومات
يمكن تعريف أمن المعلوما ت بـأنه:
” الطرق والوسـائل المعتمدة للسـيطرة علـى كافة أنواع
ومصــادر المعلوما ت وحمايتهــا مــن الســرقة والتشويه
والبتزاز والتلــف والضياع والتزويــر والســتخدام غير
المرخـص وغيـر القانونـي واتباع كافـة الوسـائل والسبل
والتأهب والعمل الفعلي لمواجهة هذه الخطار ان حدثت أو
التقليل من أثرها السلبي“.
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/51 :Page
16. استراتيجية أمن المعلوماتية والمن السيبراني
3. اتجاه العدوان على البيئة المعلوماتية
تتجه العتداءا ت في البيئة المعلوماتية الى خمسة أهداف رئيسية هي:
• الهجهزة : وهـي كافـة المعدا ت والدوا ت الماديـة التـي تتكون منهـا النظـم كأجهزة الحاسوب
والشاشا ت والطابعا ت ووسائط التخزين ومكوناتها الداخلية.
• البرمجيات : وهي الوامر المرتبة في نسق معين لنجاز العمال وهي اما مستقلة عن النظام
كالتطبيقا ت أو مخزنة فيه كنظم التشغيل والبرامج الوسيطة.
• المعطيات : وهـي الدم الحـي للنظمـة ومـا سـيكون محل للجرائـم اللكترونيـة ، وتشمـل كافة
الـبيانا ت والمعلوما ت سـواء كانـت داخـل النظام أـو خارجـه أـو معدة للتبادل بيـن النظـم عبر
الشبكا ت.
• التصصالت : وتشمل شبكا ت التصال التي تربط أجهزة التقنيـة بعضها ببعض محليـا ونطاقيا
ودوليا سواء عبر الوسائط السلكية أو اللسلكية حيث تتيح فرصة لختراق النظم كما أنها قد
تكون محل للعتداء وموطن من مواطن الخطر الحقيقي.
• العنصصر البشري: ونقصـد بـه جميـع العامليـن فـي هذا المجال ليشمـل مركـز نظم المعلوما ت
والمستخدين لهذه النظم من قبل كافة الدارا ت والقسام .
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/61 :Page
17. استراتيجية أمن المعلوماتية والمن السيبراني
4. تنظيم وادارة أمن البيئة المعلوماتية
توزيع المخاطر وذلك بفصل ادارة الستثمار المعلوماتي عن ادارة أمن المعلوماتية وهذا يعني أن
ادارة أممن المعلوماتيمة يجمب أمن تكون ادارة منفصملة فمي أمي مركمز نظمم معلومات ول يجمب أن
تخصص أعمال وأنشطة أمن المعلوماتية الى ادارات الستثمار المعلوماتي مثل ادارة النظم ، ادارة
قواعمد المبيانات ادارة الشبكات أمو ادارة الحاسمب اللمي والتشغيمل بسمبب تعارض المصالح والحفاظ
على الموضوعية.
وضع استيراتيجية أمن معلومات وهي وةثيقة تتضمن سياسات ومباديء تنظي م عملية الوصول إلى
ومعالجة المعطيا ت )البيانا ت( والتصرف فيها ونقلها داخل هيكل يعتمد المعلومة عنصرا أساسيا في
تحسين أدائه و بلوغ أهدافه.
تأهيل كوادر وطنية لحماية المعلومات تؤدي عملها الوظيفي بمهارات عالية من خلل الشراف على
تنفيذ اجراءات حماية المعلومات الموضوعة في هذه الستراتيجية.
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/71 :Page
20. Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 20/30
21. استراتيجية أمن المعلوماتية والمن السيبراني
6. منهجية وضع استراتيجية أمن المعلوماتية
إن وضع الاستراتيجية وتوفير الوسائل التقنية والجراءات الضرورية لحماية مصادر البيئة المعلوماتية
تستوجب طرح تساؤلت من شأنها أن تسمح بتحديد منطلقات خطة واضحة المعالم تعد وتعتمد وجوبا
لضمان أمن البيئة المعلوماتية. ومن أهم هذه التساؤلت على سبيل المثال :
ما الذي نريد أن نحميه ؟ •
و هل تتطلب كل مصادر البيئة المعلوماتية نفس القدر من الحماية ؟ •
و ما هي المخاطر التي يمكن أن تهدد مصادر البيئة المعلوماتية فتستوجب الحماية ؟ •
و ما هي وسائل هذه الحماية ؟ •
و كيف نتصرف في حالة تحقق خطر بالرغم من توفر هذه الوسائل ؟ •
ما واقع أداء مركز نظم المعلومات في مجال أمن المعلوماتية ؟ •
ما جوانب القوة والضعف في هذا الواقع مقارنا بطبيعة الداء في فكر أمن المعلوماتية المعاصر؟
ً •
ما التصور المقترح لتطوير أداء مركز نظم المعلومات وما يتفق مع الفكر الداري والتقني المعاصر؟ •
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/12 :Page
22. استراتيجية أمن المعلوماتية والمن السيبراني
7. بناءاستراتيجية أمن المعلوماتية
الهيكل الساسي لستراتيجية أمن المعلوماتية يتكون من )7( أجزاء ويتم عمله
بالتوافق مع المعايير الدولية ISO/IEC 2700xو ITILو COBITكما يلي:
تحديد الرسالة والرؤية والقيم •
توصيف البيئة المعلوماتية •
التحليل الرباعي لتحديد المخاطر ومواطن الضعف •
وضع سياسات البيئة المعلوماتية •
وضع معايير وأنماط البيئة المعلوماتية •
آلية مراقبة تطبيق المعايير والسياسات •
وضع خطة ادارة الكوارث واستمرارية العمل •
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/22 :Page
23. استراتيجية أمن المعلوماتية والمن السيبراني
7. بناءاستراتيجية أمن المعلوماتية
1. الرسالة والرؤية والقيم
الرؤية والرسالة والقيم هي التي توجه جهود وخطط وأهداف الدارات والعاملين لتحقيق أهداف
واستراتيجيات المنظمة ، وبالتالي كلما كانت هذه العناصر محددة ومتطورة و واقعية يتبناها الجميع إدارة
وعاملون كان ذلك عامل لدوام تحقيق التفوق والنجاح.
تتناول الرسالة التساؤل الرئيسي الذي يواجه كل الستراتيجيون : ما هو مجال عملنا ؟ فهي بذلك غير
محددة بهدف بينما الرؤية تعطي جوابا للتساؤل: ما هي الهداف التي يجب أن نضعها لتحقيق رسالتنا؟
وبذلك تكون الرؤية محددة بهدف أو ب أهداف قصيرة المدى اما بالكمية أو بالنوعية وهي بذلك نقصد الرؤية
وسيلة لتحقيق الرسالة. وتأتي القيم لتحدد المبادئ التي يجب اتباعها لتحقيق أهدافنا التي بواسطتها نحقق
رسالتنا.
وعليه نقترح الرسالة والرؤية والقيم لمركز نظم المعلومات في الوكالة كما يلي:
الرسالة
الستمرار بتعزيز الخدمات المعلوماتية في توفير حلول متكاملة ذات جودة عالية ومجدية اقتصاديا ومركزة
على ارضاء المستخدمين.
الرؤية
العمل لنكون أحد أفضل مراكز المعلوماتية.
القيم
المانة ، المسؤولية واللتزام نحو المجتمع.
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/32 :Page
27. استراتيجية أمن المعلوماتية والمن السيبراني
8. متابعة تنفيذ وتقييم استراتيجية أمن المعلوماتية
توريد منظومة متكاملة لمراقبة وقياس أداء ألت ومعدات وبرمجيات تقنية المعلوماتية
الملخص التنفيذي
توريد منظومة متكاملة لمراقبة وقياس أداء الل ت ومعدا ت وبرمجيا ت البيئة المعلوماتية بهدف ترشيد
الستهل ك ورفع كفاءة الستخدام .
أهداف المنظومة:
• مراقبة استخدام الجهزة الطرفية والخوادم في جميع قطاعا ت االمنظمة.
• مراقبة استخدام وادارة البرمجيا ت في جميع قطاعا ت المنظمة.
• مراقبة استخدام خدمة النترنت.
• مراقبة تعامل الموظف مع جهاز الكمبيوتر الخاص به والبرامج التي يعمل بها عليه.
• توفر بيانا ت عامة لحظية حول أداء الل ت والمعدا ت والبرمجيا ت باستخدام الرسوما ت الثنائية والثلثية
البعاد.
• ترشيد استهل ك مصادر تكنولوجيا المعلوما ت في المنظمة.
• المساهمة في وضع ميزانية تكنولوجيا المعلوما ت المستقبلية
28. استراتيجية أمن المعلوماتية والمن السيبراني
8. متابعة تنفيذ وتقييم استراتيجية أمن المعلوماتية
توريد منظومة متكاملة لتطبيق المعايير وتنفيذ السياسات الخاصة بأمن المعلومات
الملخص التنفيذي
توريد منظومة متكاملة ل مراقبة تطبيق وتنفيذ المعايير والسياسا ت الخاصة بأمن البيئة المعلوماتية
وحمايتها من السرقة والتشويه والبتزاز والتلف والضياع والتزوير والستخدام غير المرخص وغير
القانوني.
أهداف المنظومة
• ربط كافة مصادر المعلوماتية في المنظمة ) خوادم ، أجهزة طرفية ، وبرمجيا ت ( بشبكة أمنية واحدة
لحمايتها أو تقليل الثار السلبية عند وقوع المخاطر.
• توفير بيانا ت عامة لحظية حول سير عملية تطبيق معايير وسياسا ت أمن المعلوما ت في مختلف قطاعا ت
المنظمة.
• تمكين متخذي القرار من التفاعل لحظيا مع المخاطر من خلل نقطة مراقبة واحدة.
• اطلق تحذيرا ت واشارا ت خطر عند حدوث خروقا ت أمنية وتحديد مواقع الخلل.
• توفر آليا ت ومقترحا ت عملية لكيفية سد الثغرا ت المنية
29. استراتيجية أمن المعلوماتية والمن السيبراني
8. متابعة تنفيذ وتقييم استراتيجية أمن المعلوماتية
خطة ادارة الكوارث واستمرارية العمل
وتعني الجراءا ت التي يجب اتخاذها في أوقا ت الكوارث الخاصة منها والعامة.
• الكوارث الخاصة يقصد بها انقطاع التصال ت أو النترنت أو الشبكة اللكترونية أو توقف أحد الخوادم
أو البرمجيا ت عن العمل لسباب فنية أو مادية.
• أما الكوارث العامة فيقصد بها هي الحروب والثورا ت والضرابا ت والكوارث الطبيعية .
تهدف الخطة بشكل خاص إلى تكوين فريق للعمل وصياغة كتيب أو مرشد للخطة يعنى بما يلي:
• ضمان استمرارية عمل المانة الرئيسي وخطوا ت المساندة وذلك بتحديد وتقييم وإدارة ومعالجة المخاطر
التشغيلية.
• توفير خدما ت غير منقطعة ومستمرة للموظفين.
مكونات الخطة:
.1 توصيف الموقع البديل من حيث الموقع والمساحة
.2 الفعاليا ت المطلوب ايجادها في الموقع البديل
.3 الجهزة والمعدا ت المطلوب توفرها في الموقع البديل
.4 الميزانية المطلوب لتأسيس كل ما سبق في الموقع البديل
.5 توثيق هذه الخطة ونشرها بين العاملين.
93556605 :Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile 03/92 :Page
30. Dr. Kheder Durah, Email: kdurah@gmail.com, Mobile: 50665539 Page: 30/30