الوحدة الخامسة - إدارة الحوادث والأمن المتقدم

58

خطوات استجابة للحوادث (كشف — احتواء — استرداد — تقرير)

دورة استجابة الحوادث الأمنية

إدارة الحوادث الأمنية تتطلب منهجية منظمة لضمان التعامل الفعال مع أي خرق أمني وتقليل آثاره.

الكشف والتحديد

اكتشاف الحادث وتحديد طبيعته ونطاقه

مراقبة الأنظمة والشبكات
تحليل السجلات والتنبيهات
تقييم الأولوية والخطورة

الاحتواء

منع انتشار الحادث وتقليل الأضرار

عزل الأنظمة المتأثرة
تغيير كلمات المرور
تنفيذ إجراءات طارئة

الاسترداد

استعادة العمليات والأنظمة

تنظيف الأنظمة
استعادة البيانات
إعادة التشغيل التدريجي

التقارير والدروس

توثيق الحادث وتحسين المستقبل

تحليل الجذور الأساسية
تحديث السياسات
تحسين الإجراءات

الجدول الزمني للاستجابة

الفترة	الإجراءات المطلوبة	المسؤوليات
أول 30 دقيقة	تحديد الأولوية، تشكيل فريق الاستجابة، بدء التوثيق	قائد الحادث، فريق الأمن
الساعات الأولى (1-4 ساعات)	احتواء فوري، جمع الأدلة، إخطار الإدارة	فريق الاستجابة، الإدارة العليا
اليوم الأول	استكمال الاحتواء، تحليل أولي، اتصالات خارجية	فريق متكامل، العلاقات العامة
أسبوع واحد	استعادة كاملة، تحليل مفصل، تقرير أولي	جميع الأقسام المعنية

59

نموذج تقرير حادث موجز (قالب)

هيكل التقرير الموجز

تقرير الحادث الموجز يقدم نظرة سريعة للحادث للاستخدام الداخلي والإدارة العليا.

عناصر التقرير الأساسية

معلومات الحادث الأساسية: رقم الحادث، التاريخ، الوقت، المدة
التصنيف: نوع الحادث، مستوى الخطورة، القطاع المتأثر
الملخص التنفيذي: وصف موجز للحادث والتأثير
الإجراءات المتخذة: خطوات الاستجابة والاحتواء
التأثير المالي والتشغيلي: تقدير الخسائر وتعطل الخدمات
التوصيات الأولية: إجراءات وقائية مستقبلية

قالب تقرير جاهز

                            
                            <div class="incident-report">
                              <h3>تقرير حادث أمني</h3>
                              <div class="report-section">
                                <h4>معلومات الحادث</h4>
                                <p>رقم الحادث: INC-2023-001</p>
                                <p>التاريخ: 2023-11-15</p>
                                <p>الخطورة: عالية</p>
                              </div>
                              <div class="report-section">
                                <h4>الوصف</h4>
                                <p>وصف موجز للحادث...</p>
                              </div>
                              <div class="report-section">
                                <h4>الإجراءات المتخذة</h4>
                                <ul>
                                  <li>الإجراء الأول</li>
                                  <li>الإجراء الثاني</li>
                                </ul>
                              </div>
                            </div>
                        

تحميل قالب Word تحميل قالب PDF قالب Excel للبيانات

60

بناء خطط الاستمرارية وصمود الأنظمة

استمرارية الأعمال واسترداد الكوارث

خطط استمرارية الأعمال (BCP) واسترداد الكوارث (DRP) تضمن استمرارية العمليات في ظل الظروف الصعبة.

تحليل تأثير الأعمال

تحديد العمليات الحرجة وتأثير تعطلها

تحليل RTO (هدف وقت الاسترداد)
تحليل RPO (هدف نقطة الاسترداد)
تحديد الاعتمادية بين الأنظمة

استراتيجيات الاسترداد

تطوير استراتيجيات استرداد متنوعة

النسخ الاحتياطي والاستعادة
المواقع البديلة
الأنظمة الموازية

توثيق الخطط

إنشاء وثائق مفصلة وقابلة للتنفيذ

إجراءات مفصلة خطوة بخطوة
قوائم الاتصال
معلومات الموارد

مؤشرات الصمود التنظيمي

المؤشر	التعريف	طريقة القياس
MTTD	متوسط وقت الكشف عن الحوادث	وقت الكشف الفعلي للحوادث
MTTR	متوسط وقت الاستجابة	وقت الاستجابة من الكشف إلى الحل
RTO	هدف وقت الاسترداد	الوقت الأقصى المسموح للتوقف
RPO	هدف نقطة الاسترداد	أقصى فقد مسموح للبيانات

61

نشاط: محاكاة حادث مبسّط (مهام للفرق)

تعليمات النشاط

الهدف: تطبيق عملي لخطوات استجابة الحوادث في بيئة آمنة

المدة: 90 دقيقة

المتطلبات: أجهزة حاسوب، اتصال إنترنت، أدوات مراقبة

المخرجات: تقرير حادث كامل وتقييم للأداء

تقسيم الفرق والأدوار

فريق القيادة

اتخاذ القرارات الاستراتيجية

قائد الحادث
منسق الاتصالات
ممثل الإدارة

فريق العمليات

التنفيذ التقني

محلل الأمن
مسؤول الأنظمة
مسؤول الشبكة

فريق الدعم

الدعم اللوجستي والتوثيق

مسؤول التوثيق
دعم القانوني
دعم العلاقات العامة

سيناريوهات المحاكاة

هجوم برمجية الفدية هجوم التصيد المتقدم اختراق الخادم تسرب البيانات

ملاحظات المدرب

تأكد من وجود بيئة معزولة وآمنة للمحاكاة
جهز السيناريوهات مسبقاً مع تفاصيل واقعية
خصص وقتاً للتغذية الراجعة والمناقشة الجماعية
ركز على عملية اتخاذ القرار وليس فقط النتيجة
شجع التفكير الإبداعي في حل المشكلات

62

مخاطر الأطراف الخارجية وكيفية التعاقد الآمن

إدارة مخاطر الطرف الثالث

الموردون والشركاء الخارجيون يمثلون نقطة ضعف محتملة في المنظومة الأمنية للمؤسسة.

المخاطر الشائعة للطرف الثالث

وصول غير مصرح به: وصول الموردين لأنظمة وحساسة
تسرب البيانات: مشاركة المعلومات مع أطراف غير موثوقة
توقف الخدمة: اعتماد العمليات على مورد واحد
عدم الامتثال: مخاطر قانونية بسبب تصرفات الموردين
سلسلة التوريد: اختراق الموردين يؤدي لاختراق المنظمة

بنود التعاقد الآمن

البند التعاقدي	الوصف	الأهمية
بنود السرية	حماية المعلومات السرية والبيانات	عالية
التزامات الأمن السيبراني	متطلبات أمنية محددة يجب الالتزام بها	عالية
حقوق التدقيق والمراجعة	حق المنظمة في مراجعة إجراءات الأمن	متوسطة
بنود المسؤولية والتعويض	تحديد المسؤوليات في حالة الخروق	عالية
إنهاء العقد	شروط إنهاء العقد في حالة الإخلال الأمني	متوسطة

63

الأمن السحابي — مبادئ وأفضل ممارسات (تقسيم مسؤوليات)

نموذج المسؤولية المشتركة في السحابة

في البيئات السحابية، تختلف مسؤوليات الأمن بين مقدم الخدمة والعميل حسب نموذج الخدمة.

نموذج الخدمة	مسؤولية المزود	مسؤولية العميل
IaaS (البنية كخدمة)	الأمن المادي، الشبكة الأساسية، ال virtualisation	أنظمة التشغيل، التطبيقات، البيانات، الهوية والوصول
PaaS (المنصة كخدمة)	+ أنظمة التشغيل، قواعد البيانات، middleware	التطبيقات، البيانات، إدارة الهوية
SaaS (البرنامج كخدمة)	+ التطبيقات، البيانات، runtime	إدارة المستخدمين، إعدادات الأمن، البيانات

أفضل الممارسات للأمن السحابي

إدارة الهوية والوصول

تنظيم صلاحيات المستخدمين والخدمات

مبدأ أقل صلاحية
المصادقة متعددة العوامل
مراجعة الصلاحيات الدورية

حماية البيانات

تأمين البيانات في السحابة

تشفير البيانات في السكون والنقل
إدارة المفاتيح الآمنة
نسخ احتياطي مستقل

المراقبة والامتثال

مراقبة البيئة السحابية باستمرار

تفعيل السجلات والمراقبة
مسح الضعفية المستمر
الامتثال للمعايير القياسية

64

مقدمة عن أمن أنظمة التحكم الصناعي (ICS) — مخاطر خاصة

أنظمة التحكم الصناعي (ICS)

أنظمة التحكم الصناعي تتحكم في العمليات الصناعية الحرجة وتختلف عن أنظمة تقنية المعلومات التقليدية.

SCADA

التحكم والإشراف واكتساب البيانات

المراقبة عن بعد
التحكم في العمليات
جمع البيانات

DCS

نظام التحكم الموزع

التحكم في العمليات المحلية
معالجة في الوقت الحقيقي
التحكم المتكامل

PLC

متحكم المنطق القابل للبرمجة

التحكم في المعدات
معالجة الإشارات
التنفيذ الآلي

المخاطر الخاصة بأنظمة ICS

التحديات الأمنية الفريدة

الأولوية للسلامة والتوافر: الأمن لا يأتي على حساب استمرارية العمليات
دورة حياة طويلة: أنظمة قديمة لا تدعم آليات الأمن الحديثة
متطلبات الوقت الحقيقي: أي تأخير قد يسبب كوارث
القيود التشغيلية: صعوبة التحديثات والإصلاحات في البيئات التشغيلية
التقارب بين IT وOT: اتصال الأنظمة التشغيلية بشبكات المؤسسة
تأثير مادي مباشر: الاختراقات تسبب أضراراً مادية وبشرية

إطار الأمن السيبراني لأنظمة ICS

معيار ISA/IEC 62443 إطار NIST للأمن السيبراني إرشادات CISA للأمن الصناعي