ما هو إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF)؟

يعد المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) وكالة غير تنظيمية تعمل على تعزيز الابتكار من خلال تطوير علم القياس والمعايير والتكنولوجيا.

يتسم إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) بالمرونة الكافية للاندماج مع العمليات الأمنية الحالية داخل أي مؤسسة في أي صناعة من الصناعات. حيث إنه يوفر نقطة انطلاق ممتازة لتنفيذ أمن المعلومات وإدارة مخاطر الأمن الإلكتروني في أي مؤسسة قطاع خاص تقريبًا في الولايات المتحدة.

في 12 فبراير 2013، صدر الأمر التنفيذي (EO) 13636 المسمى "تحسين الأمن الإلكتروني للبنية التحتية الحساسة". وقد أدى هذا إلى انطلاق جهود المعهد الوطني الأمريكي للمعايير والتكنولوجيا بالتعاون مع القطاع الخاص الأمريكي "لتحديد معايير الإجماع الطوعية الحالية وأفضل ممارسات الصناعة لدمجها في إطار عمل للأمن الإلكتروني". وكان من نتائج هذا التعاون ظهور إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) الإصدار 1.0.

أدى قانون تعزيز الأمن الإلكتروني (CEA) لعام 2014 إلى توسيع نطاق جهود المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) في تطوير إطار عمل الأمن الإلكتروني. واليوم، لا يزال إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) يعد أحد أكثر الأطر الأمنية المعتمدة على نطاق واسع في جميع الصناعات.

يتضمن إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) وظائف وفئات وفئات فرعية ومراجع إعلامية.

تقدم الوظائف نظرة عامة على بروتوكولات الأمن لأفضل الممارسات. ولا يُقصد بالوظائف أن تكون خطوات إجرائية، بل يتم تنفيذها "بشكل متزامن ومستمر لتشكيل ثقافة تشغيلية تعالج مخاطر الأمن الإلكتروني." توفر الفئات والفئات الفرعية المزيد من خطط العمل الملموسة لإدارات أو عمليات محددة داخل كل مؤسسة.

تتضمن أمثلة وظائف وفئات NIST ما يلي:

• تحديد الهوية: للحماية من الهجمات الإلكترونية، يحتاج فريق الأمن الإلكتروني إلى فهم شامل لأهم أصول مجموعة الموارد. وتشمل وظيفة تحديد الهوية فئات مثل إدارة الأصول وبيئة الأعمال والحوكمة واستراتيجية تقييم المخاطر وإدارة مخاطر سلسلة التوريد.
  
  
• الحماية: تغطي وظيفة الحماية الكثير من الضوابط الأمنية التقنية والمادية لتطوير وتنفيذ الضمانات المناسبة وحماية البنية التحتية الحيوية الحساسة. وتتمثل هذه الفئات في إدارة الهوية والتحكم في الوصول، والوعي والتدريب، وأمن البيانات، وعمليات وإجراءات حماية المعلومات، والصيانة والتقنيات الوقائية.
  
  
• الكشف: تنفذ وظيفة الكشف إجراءات تنبه المؤسسة إلى الهجمات الإلكترونية. وفئات الكشف تشمل الحالات الشاذة والأحداث، والأمن، وعمليات المراقبة المستمرة والكشف.
  
  
• الاستجابة: فئات وظيفة الاستجابة تتأكد من الاستجابة المناسبة للهجمات الإلكترونية وغيرها من أحداث الأمن السيبراني. وتشمل الفئات المحددة التخطيط للاستجابة، والاتصالات، والتحليل، والتخفيف، والتحسينات.
  
  
• الاسترداد: تقوم أنشطة الاسترداد بتنفيذ خطط المرونة الإلكترونية وضمان استمرارية الأعمال في حالة وقوع هجوم إلكتروني أو اختراق أمني أو أي حدث آخر يتعلق بالأمن الإلكتروني. تتمثل وظائف الاسترداد في تحسينات تخطيط التعافي والاتصالات.

من خلال المراجع المعلوماتية لإطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) يتم رسم علاقة مباشرة بين الوظائف والفئات والفئات الفرعية والضوابط الأمنية المحددة لأُطُر العمل الأخرى. وتشمل أطر العمل هذه ما يلي:

1. ®Center for Internet Security (CIS) Controls
2. COBIT 5
3. الجمعية الدولية للأتمتة (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. المنظمة الدولية للمعايير (ISO) واللجنة الكهروتقنية الدولية (IEC) 27001:2013
6. NIST SP 800-53 Rev. 4
   

لا يوضح إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) كيفية جرد الأجهزة والأنظمة المادية أو كيفية جرد منصات المخزون والتطبيقات؛ فهو يوفر فقط قائمة مرجعية بالمهام التي يجب إكمالها. يمكن للمؤسسة اختيار طريقتها الخاصة حول كيفية إجراء المخزون.

إذا احتاجت المؤسسة إلى مزيد من الإرشادات، فيمكنها الرجوع إلى المراجع التثقيفية للضوابط ذات الصلة في المعايير التكميلية الأخرى. هناك الكثير من الحرية في إطار CSF لاختيار الأدوات التي تناسب احتياجات المؤسسة من إدارة مخاطر الأمن الإلكتروني.

لمساعدة مؤسسة القطاع الخاص على قياس مدى تقدمها نحو تنفيذ إطار العمل للأمن الإلكتروني، يحدد إطار العمل أربعة مستويات للتنفيذ:

• المستوى 1 - جزئي: تكون المؤسسة على دراية بمعايير إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) وربما تكون قد نفذت بعض جوانب الرقابة في بعض مجالات البنية التحتية. كان تنفيذ أنشطة وبروتوكولات الأمن الإلكتروني تفاعليًا مقابل ما هو مخطط له. لدى المؤسسة وعي محدود بمخاطر الأمن الإلكتروني وتفتقر إلى العمليات والموارد لتمكين أمن المعلومات.
  
  
• المستوى 2 - الإلمام بالمخاطر: تكون المؤسسة أكثر وعيًا بمخاطر الأمن الإلكتروني وتُشارك المعلومات على أساس غير رسمي. وتفتقر إلى عملية إدارة مخاطر الأمن الإلكتروني على مستوى المؤسسة بشكل مخطط وقابل للتكرار واستباقي.
  
  
• المستوى 3 - قابل للتكرار: تدرك المؤسسة وكبار مسؤوليها التنفيذيين مخاطر الأمن الإلكتروني، وتنفذ خطة إدارة مخاطر الأمن الإلكتروني القابلة للتكرار على مستوى المؤسسة. وضع فريق الأمن الإلكتروني خطة عمل لرصد الهجمات الإلكترونية والاستجابة لها بكفاءة وفاعلية.
  
  
• المستوى 4 - التكيف: تتمتع المؤسسة الآن بالمرونة الإلكترونية وتستخدم الدروس المستفادة والمؤشرات التنبؤية لمنع الهجمات الإلكترونية. يعمل فريق الأمن الإلكتروني باستمرار على تحسين وتطوير تقنيات وممارسات الأمن الإلكتروني بالمؤسسة وتكيفها مع التغيرات في التهديدات بسرعة وكفاءة. يوجد نهج على مستوى المؤسسة لإدارة مخاطر أمن المعلومات على مستوى المؤسسة مع اتخاذ قرارات مستنيرة بشأن المخاطر، وسياسات وإجراءات وعمليات صناعة القرار. تنجح المؤسسات القادرة على التكيف في دمج إدارة مخاطر الأمن الإلكتروني في قرارات الميزانية والثقافة التنظيمية.

يوفر إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) دليلًا تفصيليًا حول كيفية إنشاء أو تحسين برنامج إدارة مخاطر أمن المعلومات:

1. تحديد الأولويات والنطاق: تكوين فكرة واضحة عن نطاق المشروع وتحديد الأولويات. تحديد أهداف العمل أو المهمة رفيعة المستوى واحتياجات العمل وتحديد مدى تحمل المؤسسة للمخاطر.
   
   
2. التوجيه: تقييم أصول المؤسسة وأنظمتها وتحديد اللوائح المعمول بها ونهج المخاطر والتهديدات التي تتعرض لها المؤسسة.
   
   
3. إنشاء ملف تعريف حالي: الملف التعريفي الحالي هو لقطة لكيفية إدارة المؤسسة للمخاطر كما هو محدد بواسطة الفئات والفئات الفرعية لإطار عمل المخاطر الحرجة.
   
   
4. إجراء تقييم: تقييم البيئة التشغيلية والمخاطر الناشئة ومعلومات تهديدات الأمن الإلكتروني لتحديد احتمالية وخطورة حدث الأمن الإلكتروني.
   
   
5. إنشاء ملف تعريف مستهدف: يمثل الملف الشخصي المستهدف هدف إدارة المخاطر لفريق أمن المعلومات.
   
   
6. تحديد الفجوات وتحليلها وتحديد أولوياتها: من خلال تحديد الفجوات بين الملف الشخصي الحالي والملف المستهدف، يمكن لفريق أمن المعلومات إنشاء خطة عمل، بما في ذلك المعالم والموارد القابلة للقياس (الأشخاص والميزانية والوقت) المطلوبة لسد هذه الفجوات.
   
   
7. تنفيذ خطة العمل: تنفيذ خطة العمل المحددة في الخطوة 6.