cobit
Denunciar
MohammedAltheiraSeguir
20 de Mar de 2023•0 gostou•1 visão
0 gostaram
Seja o primeiro a gostar disto
mostrar mais
visualizações
Vistos totais
0
No Slideshare
0
De incorporações
0
Número de incorporações
0
cobit
20 de Mar de 2023•0 gostou•1 visão
0 gostaram
Seja o primeiro a gostar disto
mostrar mais
visualizações
Vistos totais
0
No Slideshare
0
De incorporações
0
Número de incorporações
0
Baixar para ler offline
Denunciar
Arte e fotografia
cobit
MohammedAltheiraSeguir
Recomendados
#تواصل_تطوير المحاضرة رقم 197 مهندس / محمد الشامي عنوان المحاضرة أمن المعلوم...Egyptian Engineers Association
ملخص النهائي لضوابط الامن السيبرانيNaifAlghamdi31
ISMS Awareness IT StaffTooba Khaliq
مفهوم دورة تطوير نظام المعلومات الادراية واهميتهAshraf91
دور محلل إدارة الهوية والوصول.pdfBahaa Abdulhadi
(Information security) مقدمة في أمن المعلوماتDrMohammed Qassim
cobit
- Controls for Information Security
- الثقة خدمات اطار : بين باالشتراك تطويره تم اطار هو AICPA و CICA , بمجموعها تكون التي المبادئ من مجموعة من يتكون المحاسبية المعلومات في الموثوقية لتقييم دليل ظ في المعلومات تكنلوجيا على الرقابة تنظيم الى اضافة ل وهي مترابطة مبادئ خمسة : - االمن Security - السرية Confidentiality - الخصوصية Privacy – تكامل المعالجة Processing Integrity - الجاهزية Availability
- Two Fundamental Information Security امن مبادئ المعلومات Concepts 1 - تقنية قضية ليست و ادارية قضية االمن : االمن حياة دورة : - االستجابة اختيار و التهديدات تقدير - معينة سياسة توصيل و تطوير - تنفيذها و الحلول على الحصول - االنجاز مراقبة
- 2 - نموذج االمن المستند الى الوقت THE TIME-BASED MODEL OF INFORMATION SECURITY P > D + R ) ) الدفاع في العمق (defense-in-depth) و هو استراتيجية تحاول المنظمات بموجبها حماية اهداف نموذج الحماية المعتمد على الوقت و التي تقوم على اساس استخدام اك ثر من مستوى واحد من الرقابة لتجنب الفشل في االجراءات ذات الخطوة الواحدة
- فهم الهجمات المستهدفة Understanding Targeted Attacks الخطوات األساسية التي يتبعها المجرمون للهجوم على نظام معلوم ات المنظمة 1 - عليها الهجوم المستهدف الشركة عن معلومات جمع و استطالع اجراء . 2 - االجتماعية الهندسة احتيال اساليب على االعتماد 3 - المشركة في المتنوعة االتمتة ادوات الى اللجوء خالل من الهدف تحديد و مسح المستخدمة البرمجيات و لمستهدفة . 4 - استغاللها محاولة و بالبرمجيات الضعف نقاط عن البحث . 5 - المعلومات نظام مميزات من االستفادة محاولة و الهجوم تنفيذ . 6 - لنظام المستمر الدخول مسار و المهاجمون سيستخدمه الذي الغطاء اختيار الضحية الشركة معلومات , ؟ قوية الداخلية الرقابة كانت اذا اال
- المعلومات مصادر حماية Protecting Information Resources بموجب تحتويها التي االنظمة و المعلومات مصادر حماية يتم التصحيحية و الرصدية و الوقائية الرقابة من طرق ثالث , يلي كما و الوقت نموذج عناصر باستخدام : - هي و اجزاء اربعة بموجب تعمل الوقائية الرقابة : ( العمليات – تكنلوجية حلول - تغيير االدارة - حماية طبي عية .)
- اهمها طرق بعدة الوقائية الرقابة تطوير يتم : - االشخاص : أ - المستمر االمن ثقافة خلق : يحدد COBIT وجه على عوامل من كواحدة المؤسسة وأخالقيات ثقافة التحديد الفعال المعلومات ألمن الحاسمة التمكين . و ثقافة إلنشاء اعية التنظيمية بالسياسات الموظفون فيها يلتزم لألمن
- ب – التدريب : يحدد COBIT 5 مساعدة كأداة وكفاءاتهم الموظفين مهارات المعلومات أمن الفعالية لتحقيق أخرى مهمة . يف أن يجب هم المؤسسة أمن سياسات متابعة كيفية الموظفون . وبالت ، الي ف أهميتها تنعكس ،مهمة وقائية مراقبة هو التدريب فإن ي كممارسة يناقش األمني الوعي على التدريب أن حقيقة إدارة عمليات من العديد لدعم رئيسية COBIT 5
- العملية : للمستخدم الوصول ضوابط PROCESS: USER ACCESS CONTROLS أن نفهم أن المهم من " الغرباء " الوحيد التهديد مصدر ليسوا . األسباب من لعدد اًساخط يصبح للموظف يجوز ( ، االنتقام الصعوبات أو ، المالية يتم قد م لتوفير ابتزازه علومات حساسة .) لذلك تحتاج من مجموعة تنفيذ إلى المنظمات غي االستخدام من معلوماتها أصول لحماية المصممة الضوابط ر الموظفين قبل من والوصول به المصرح .
- لتحقيق هذا الهدف ، فإن ممارسة COBIT 5 اإلدارة DSS05.04 تشدد الى الحاجة إلى ضوابط إلدارة هوية المستخدم والوصول المن طقي بحيث يكون من الممكن ان يحدد بشكل فريد كل شخص يصل إل ى نظام معلومات المنظمة ويتعقب اإلجراءات التي يقومون بها . تنفيذ DSS05.04 ينطوي على استخدام اثنين ذات الصلة ولكنها متميز ة .
- أنواع رقابة المستخدم وصول : التخويل في رقابة . في ضوابط التوثق . . رقابة ّديالتق " صحة من التحقق " ن إلى الوصول يمكنه من ظام المؤسسة معلومات . التوثق رقابة هؤال يفعله أن يمكن ما تحد ء الوصول حق منحهم بمجرد األفراد .
- التوثيق ضوابط AUTHENTICATION CONTROLS التوثيق النظام إلى الوصول يحاول جهاز أو شخص هوية من التحقق عملية . الهد هو ف التأكد شرعية من إلى الوصول النظام . هوية من للتحقق االعتماد بيانات من أنواع ثالثة استخدام يمكن الشخص . Three types of credentials can be used to verify a person’s identity 1 - شيء الشخصي الهوية أرقام أو السر كلمات مثل ، الشخص يعرفه ة ( PINs ) 2 - الهوية اشارات أو الذكية البطاقات مثل ، الشخص لدى شيء 3 - السلوكية أو الفيزيائية الخصائص بعض ( البيومترية الهوية ) ، للشخص الكتابة أنماط أو األصابع بصمات مثل
- وبما ان كانت كلمة السر طريق توثيق اكثر استخداما فيجب ان تستوفي عدد من ا لمتطلبات الطول Length . قوة كلمة السر مرتبطة مباشرة بطولها . كلما كان اطول ذلك أفضل أنواع متعددة من الرموز Multiple character types .. باستخدام خليط من والحروف األبجدية والرقمية والحروف الصغيرة بشكل كبير يزيد من قوة كلمة السر . العشوائية Randomness ينبغي أن ال تكون كلمة السر معروفة لدى الجميع و ينبغي أن ال تكون كلمات توضع قبل او بعد رمز رقمي كما ال ترتبط باهتمامات المستخدم أو هواياته الشخصية ؛ النه من الممكن العثور على قواميس متخصصة بكلمات السر األكثر ًشيوعا المتع لقة بمختلف المواضيع المتاحة على شبكة اإلنترنت . على سبيل المث ال
- التغيير بشكل متكرر Changed frequently : ينبغي ان تتغير كلمة السر على فترات منتظمة . يجب ان يبدل معظم المستخدمين كلمات السر على األقل كل 90 اًميو ؛ اما المستخدمين الذي لهم حق الوصول إلى المعلومات الحساسة يجب تغيير كلمات الس ر الخاصة بهم في كثير من األحيان ، ربما كل 30 اًميو . وبصفة فردية ، لكل طريقة توثيق محدوديتها . يمكن لكلمة السر ان تحزر اوتفقد ك ما يمكن الساليب التعريف المادية ( ،البطاقات، االشارات ) ان تفقد اوتسرق او تستنسخ وهك ذا فان كلمة السر واالدوات المادية االخرى التوفر ضمانا 100 % ورغم عدم وجود اي طريقة مضمونة من طرق التوثيق الثالثة فان يمكن استعمال اثنان م نها بالتكافل وهذه العملية تعرف بالتوثيق متعددالعوامل multifactor authentication . فمثال عندما يطلب استعمال بطاقة الذكية في الة قراءة ويدخل كلمة سر يوفر ذلك ت وثيقا اقوى من استعمال احدى الطرق .
- الرقابة على التخويل Authorization controls الرقابة على التخويل هي عملية تقييد المستخدمين أصحاب الحسابات األصلي ة إلوصول الى أجزاء محددة من النظام والحد من اإلجراءات المسموح لهم بها . كما توضح ممارسة COBIT 5 DSS06.03 ، فإنها طريقة تحافظ على الفصل بين الواجباب . على سب يل المثال ، ال ينبغي أن يكون ممثل خدمة العمالء مخول للوصول إلى نظام الرواتب . باإلضافة إلى ذلك ، ينبغي لممثلي خدمة العمالء يسمح فقط لقراءة ، ولكن ليس لتغيير أسعار، عناصر المخزون
- ويتم تنفيذ عناصر الرقابة على التخويل من خالل إنشاء مصفوفة رقابة الوصول access control matrix وهو جدول يحدد اي اجزاء النظام يسمح للمستخدمين الوصول اليه . واي اعمال يمكنهم ال قيام بها . وعندما يحاول احد المستخدمي الوصول إلى مورد معين للمعلومات ، يقوم النظام بإجراء اختبار توافق compatibility test يطابق اوراق اعتماد توثيق المستخدم مع مصفوفة رقابة الوصول لتحديد ما إذا كان ينبغي ان يسمح لذلك المستخدم بالوصول إلى هذا المورد وتنفي ذ اإلجراء المطلوب ام ال . من المهم أن يتم تحديث مصفوفة رقابة الوصول بانتظام لتعكس التغييرا ت في واجبات العمل بسبب الترقيات أو النقل . وخالف ذلك ، مع مرور الوقت قد يتراكم عند احد الستخدمي ن مجموعة من الحقوق واالمتيازات ال ت توافق مع الفصل الصحيح بين الواجبات .
- عملية : اختبار االختراق PROCESS: PENETRATION TESTING : توضح عمليات الرقابة على COBIT 5 MEA01 الحاجة إلى إجراء اختبار دوري لفعالية العمليات التجارية والضوابط الداخلية ( بما في ذلك إجر اءات األمان ) . يوفر اختبار Penetration test طريقة صارمة الختبار مدى فاعلية االمان لمعلومات المؤسسة
- عملية : تغيير السيطرة وإدارة التغيير PROCESS: CHANGE CONTROLS AND CHANGE MANAGEMENT تقوم المؤسسات بتعديل نظم المعلومات الخاصة بها باستمرار لتعكس ممارسات األعمال الجديدة واالستفادة من التقدم في مجال تكنولوجيا المعلومات . تغيير السيطرة وإدارة التغييرتشير إلى العملية الرسم ية المستخدمة لضمان إجراء تعديالت على األجهزة أو البرامج أو العمليات حتى ال تقل ل من موثوقية النظم . اًبغال ما تؤدي السيطرة الجيدة على التغيير إلى ت حسين األداء بشكل أفضل اًنظر لوجود مشكالت أقل في اإلصالح . و بتكاليف أقل عند حدوث الحوادث األمنية ، والقدرة على تحديد التغييرات غير المصرح ب ها بسرعة ومعاقبة المسؤولين عن تعمد التحايل على عملية تغيير .
- التغيير في السيطرة عملية خصائص : - ال وأساسه ، التغيير طبيعة وتحديد ، التغيير طلبات جميع توثيق منطقي الطلب ونتائج الطلب تاريخ، . - المناس اإلدارة مستويات حسب التغيير طلبات جميع من موثقة موافقة بة . التغييرات بمراجعة العليا اإلدارة تقوم أن خاص بشكل المهم من هذا والموافقة الرئيسية عليها خط مع يتفق المقترح التغيير أن لضمان ط المدى طويلة إستراتيجية للمنظمة نظام في التغييرات جميع اختبار االختبارالمستخدم وليس،منفصل ف ي اليومية التجارية العمليات . خطر من يقلل هذا في التعديالت لت يؤدي عطيل العادية األعمال . ضوابط ال من كامل وبشكل بدقة البيانات نقل يتم أن لضمان التحويل قديم الجديد للنظام . عملية مراجعة الداخليين المراجعين على التحويل .
- - الوثائق جميع تحديث ( أدلة اإلجراءات ، النظام أوصاف ، البرنامج تعليمات وما ، ذلك إلى ) حديثا تنفيذها تم التي التغييرات لتعكس . عملية خاصة للمراجعة في الوقت المناسب والموافقة عليها وتوثيق " التغييرات الطارئة " بمجرد األزمة كما هو عملي . يجب تسجيل جميع التغييرات الطارئة لتقديمها درب التدقيق . عدد كبير أو زيادة ملحوظة ف ي عدد التغييرات في حاالت الطوارئ هو عالم حمراء محتملة للمشاكل األخرى ( إجراءات إدارة التهيئة الضعيفة ، أو عدم وجود صيانة مسبقة ، أو " اللعب " السياسي لتجنب عملية التحكم في التغيير العادية ) . - تطوير وتوثيق خطط " التخلف " لتسهيل العودة إلى السابق تكوينات إذا كان التغيير الجديد يخلق مشاكل غير متوقعة . مراقبة ومراجعة دقيقة لحقوق المستخدم وامتيازاته أثناء عملية التغي ير إلى ضمان الحفاظ على الفصل الصحيح للواجبات .
- المستخدم حساب إدارة USER ACCOUNT MANAGEMENT COBIT 5 تشدد ممارسة اإلدارة على الح ا جة إلى إدارة جميع حسابات المستخدمين بعناية ، اًصوخصو الحسابات التي لها حقوق ( إدارية ) غي ر محدودة على هذا الكمبيوتر . هناك حاجة لحقوق إدارية من أجل تثبيت البرامج وتغيير معظم إعدادات التكوين . هذه القدرات القوية تجعل الحس ابات ذات أهداف إدارية أساسية للمهاجمين . لذلك ، يجب تعيين الموظفين ال ذين يحتاجون إلى صالحيات إدارية على كمبيوتر معين ، حسابين : أحدهما ل ه حقوق إدارية واآلخر لديه امتيازات محدودة فقط .
- ﺗﺻﻣﯾ ا م ﻟﺑ ر ﻣﺟﯾﺎ ت SOFTWARE DESIGN ﺑﻣﺎ أن ا ﻟﻣﻧ ظ ﻣﺎ ت زادت ﻣ ن ﻓﻌﺎﻟﯾﺔ ﺿ وا ﺑ ط ا ﻷﻣ ن ا ﻟﺧﺎﺻﺔ ﺑﮭﺎ ، ﻓﻘ د ا ﺳﺗﮭ دف ا ﻟﻣﮭﺎﺟ رون ﺑﺷﮐ ل ﻣﺗ زا ﯾ د ﻧﻘﺎ ط ا ﻟﺿﻌ ف ﻓﻲ ﺑ را ﻣﺞ ا ﻟﺗ ط ﺑﯾﻘﺎ ت . ومن بين األمثلة الشائعة للهجمات ضد البرامج التي يتم تشغيلها على مواقع الويب الفيض العازلة وحقن SQL والبرمجة عبر المواقع . تستغل هذه الهجمات جميع البرامج المكتوبة بشكل سيئ والتي ال تتحقق بشكل كامل من المدخالت المقدمة من قبل المستخدم قبل إج راء مزيد من المعالجة .
- حلول المعلومات تكنولوجيا : IT SOLUTIONS: ENCRYPTION التشفير ENCRYPTION يوفر التشفير طبقة نهائية من الحماية لمن ع الوصول غير المصرح به إلى المعلومات الحساسة . هو عملية تغيير النص الطبيعي , من نص عادي مقروء الى لغة تقن ية غير مقروءة تدعى النص الطغرائي ( Cipher text Decryption ) ومن ثم قلب هذه العملية معيدا النص المشفر الى نص عادي . متانة التشفير Encryption Strength ثالث عوامل مهمة تقرر متانة اي نظام تشفير : ( 1 ) طول المفتاح , ( 2 ) سياسات االدارة الرئيسية , ( 3 ) طبيعة لوغاريتم التشفير
- البدني األمان : PHYSICAL SECURITY: ACCESS CONTROLS من الضروري للغاية التحكم في الوصول المادي إلى موارد المعلومات . يحت اج المهاجم المهرة إلى بضع دقائق فقط من الوصول المادي المباشر غير الخاضع للرقابة من أجل تجاوز ضوابط أمان المعلومات الموجودة . أهم عناصر التحكم في الوصول الفعلي : يبدأ التحكم في الوصول المادي بنقاط دخول إلى المبنى نفسه . يجب أن يتمركز موظف استقبال أو حارس أمن عند المدخل الرئيسي للتحقق من هوية الموظفين . يجب أن تكون الغرف التي تحتوي على أجهزة الكمبيوتر مغلقة بشكل آمن ويتم مراقبة جميع الدخول / الخروج بواسطة أنظمة التلفزيون ذات الدائرة المغلقة .
- يجب أن تكمل الخوادم التي تحتوي على ملقمات تحتوي على بيانا ت حساسة بشكل خاص أقفال منتظمة بتقنيات أقوى . يجب اًضأي تقييد الوصول إلى األسالك المستخدمة في الشبكات المحلية للمنظمة من أجل منع التنصت على المكالمات الهاتفية . يجب فصل مقابس الحائط غير المستخدمة اًيحال عن الشبكة لمن ع أي شخص من توصيل الكمبيوتر المحمول ومحاولة الوصول إلى الشبكة . يتعين على الشركات اًضأي دفع تكاليف خدمات مراقبة االئتمان ل لعمالء الذين فقدوا أو رقوا ُ س معلوماتهم الشخصية .
- كشف الهجمات Detecting Attacks ال تكون الضوابط الوقائية فعالة بنسبة 100 ٪ في منع جميع الهجمات . لذلك ، تصف الممارسة اإلدارية األنشطة التي تحتاجها المنظمات اًضأي لتمك ين الكشف في الوقت المناسب عن االختراقات والمشاكل وهي : تحليل سجل LOG ANALYSIS : هو عملية فحص السجالت لتحديد األدلة على الهجمات المحتملة . من المهم بشكل خاص تحليل سجالت المحاوالت الفاشلة لتسجيل الدخول إلى نظام ومحاوالت فاشلة للوصول إلى موارد معلومات محددة .
- أنظمة كشف التطفل : INTRUSION DETECTION SYSTEMS تتكون أنظمة كشف التطفل الشبكي ( IDS ) من مجموعة من أجهزة االستشعار ووحدة مراقبة مركزية تقوم بإنشاء سجالت لحركة مرور الشبكة التي مح ُ س لها بتمرير جدار الحماية ثم تحليل تلك الس جالت اًثبح عن عالمات على محاوالت نجاح أو توغل . مثل IPS الشبكة ، IDS الشبكة . ا ﻟﻣ را ﻗﺑﺔ ا ﻟﻣﺳﺗ د يمة COBIT5 CONTINU MONITORING ﺗﺷ دد ﻣﻣﺎ ر ﺳﺔ ا ﻹ دارة ﻋﻟﯽ أه ﻣﯾﺔ ا ﻟ ر ﺻ د ا ﻟﻣﺗ وا ﺻ ل ﻻﻣﺗﺛﺎ ل ا ﻟﻣ وظف ﻟﺳﯾﺎﺳﺎ ت أ ﻣ ن ا ﻟﻣﻌﻟ و ﻣﺎ ت ﻓﻲ ا ﻟﻣﻧ ظ ﻣﺔ وا ﻷ داء ا ﻟﻌﺎ م ﻟﻌﻣﻟﯾﺎ ت ا ﻷﻋﻣﺎ ل
- الهجمات على الرد Responding to Attacks إن الكشف في الوقت المناسب عن المشاكل رغم أهميته ال يكفي ، لذلك تحتاج المؤسسات اًضأي إلى إجراءات للقيام بإجراءات تصحي حية في الوقت المناسب من خالل الضوابط التصحيحية والتي تتمثل باالتي : فريق االستجابة للحاسوب ( Cirt ) Computer IncIdent response team كبير موظفي أمن المعلومات ChIef InformatIon securIty officer (Ciso)
- المحاكاة االفتراضية : هي قوة وسرعة أجهزة الكمبيوتر الحديثة لتشغيل أنظمة متعدد ة في وقت واحد على كمبيوتر فعلي واحد . الحوسبة السحابية : عرض النطاق الترددي العالي لشبكة االتصاالت العالمية الحديث ة لتمكين الموظفين من استخدام المتصفح للوصول عن بعد إلى البرامج ( البرمجيات كخدمة ) ، وأجهزة تخزين البيانات ( التخزين كخدمة ) ، واألجهزة ( البنية التحتية كخدمة ) ، وبيئات التطبيق بأكملها ( النظام األساسي كخدمة ) . إنترنت األشياء ( IoT ) : هو تضمين أجهزة االستشعار في العديد من األجهزة ( األضواء والتدفئة وتكييف الهواء واألجهزة المنزلية ، وما إلى ذلك ) بحيث يمكن لهذه األجهزة اآلن االتصال باإلن ترنت السحابي والحوسبة االفتراضية للمحاكاة األمنية اآلثار وإنترنت ة األشياء Security Implications of Virtualization, Cloud Computing, and the Internet of Things