ما هو إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF)؟

ما هو إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF)؟

يوفر إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) إرشادات شاملة وأفضل الممارسات التي يمكن لمؤسسات القطاع الخاص اتباعها لتحسين أمن المعلومات وإدارة مخاطر الأمن الإلكتروني.

يعد المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) وكالة غير تنظيمية تعمل على تعزيز الابتكار من خلال تطوير علم القياس والمعايير والتكنولوجيا.

يتسم إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) بالمرونة الكافية للاندماج مع العمليات الأمنية الحالية داخل أي مؤسسة في أي صناعة من الصناعات. حيث إنه يوفر نقطة انطلاق ممتازة لتنفيذ أمن المعلومات وإدارة مخاطر الأمن الإلكتروني في أي مؤسسة قطاع خاص تقريبًا في الولايات المتحدة.

رسائل Think الإخبارية

هل سيستطيع فريقك اكتشاف الثغرة الأمنية الفورية القادمة في الوقت المناسب؟

انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.

سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجِع بيان الخصوصية لشركة IBM للمزيد من المعلومات.

https://www.ibm.com/qa-ar/privacy

تاريخ إطار عمل الأمن الإلكتروني التابع للمعهد الوطني للمعايير والتكنولوجيا

في 12 فبراير 2013، صدر الأمر التنفيذي (EO) 13636 المسمى "تحسين الأمن الإلكتروني للبنية التحتية الحساسة". وقد أدى هذا إلى انطلاق جهود المعهد الوطني الأمريكي للمعايير والتكنولوجيا بالتعاون مع القطاع الخاص الأمريكي "لتحديد معايير الإجماع الطوعية الحالية وأفضل ممارسات الصناعة لدمجها في إطار عمل للأمن الإلكتروني". وكان من نتائج هذا التعاون ظهور إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) الإصدار 1.0.

أدى قانون تعزيز الأمن الإلكتروني (CEA) لعام 2014 إلى توسيع نطاق جهود المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) في تطوير إطار عمل الأمن الإلكتروني. واليوم، لا يزال إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) يعد أحد أكثر الأطر الأمنية المعتمدة على نطاق واسع في جميع الصناعات.

Mixture of Experts | 28 أغسطس، الحلقة 70

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضمّ إلى نخبة من المهندسين والباحثين وقادة المنتجات وغيرهم من الخبراء وهم يقدّمون أحدث الأخبار والرؤى حول الذكاء الاصطناعي، بعيدًا عن الضجيج الإعلامي.
شاهد أحدث حلقات البودكاست

الهيكل الأساسي لإطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF)

يتضمن إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) وظائف وفئات وفئات فرعية ومراجع إعلامية.

تقدم الوظائف نظرة عامة على بروتوكولات الأمن لأفضل الممارسات. ولا يُقصد بالوظائف أن تكون خطوات إجرائية، بل يتم تنفيذها "بشكل متزامن ومستمر لتشكيل ثقافة تشغيلية تعالج مخاطر الأمن الإلكتروني." توفر الفئات والفئات الفرعية المزيد من خطط العمل الملموسة لإدارات أو عمليات محددة داخل كل مؤسسة.

تتضمن أمثلة وظائف وفئات NIST ما يلي:

  • تحديد الهوية: للحماية من الهجمات الإلكترونية، يحتاج فريق الأمن الإلكتروني إلى فهم شامل لأهم أصول مجموعة الموارد. وتشمل وظيفة تحديد الهوية فئات مثل إدارة الأصول وبيئة الأعمال والحوكمة واستراتيجية تقييم المخاطر وإدارة مخاطر سلسلة التوريد.

  • الحماية: تغطي وظيفة الحماية الكثير من الضوابط الأمنية التقنية والمادية لتطوير وتنفيذ الضمانات المناسبة وحماية البنية التحتية الحيوية الحساسة. وتتمثل هذه الفئات في إدارة الهوية والتحكم في الوصول، والوعي والتدريب، وأمن البيانات، وعمليات وإجراءات حماية المعلومات، والصيانة والتقنيات الوقائية.

  • الكشف: تنفذ وظيفة الكشف إجراءات تنبه المؤسسة إلى الهجمات الإلكترونية. وفئات الكشف تشمل الحالات الشاذة والأحداث، والأمن، وعمليات المراقبة المستمرة والكشف.

  • الاستجابة: فئات وظيفة الاستجابة تتأكد من الاستجابة المناسبة للهجمات الإلكترونية وغيرها من أحداث الأمن السيبراني. وتشمل الفئات المحددة التخطيط للاستجابة، والاتصالات، والتحليل، والتخفيف، والتحسينات.

  • الاسترداد: تقوم أنشطة الاسترداد بتنفيذ خطط المرونة الإلكترونية وضمان استمرارية الأعمال في حالة وقوع هجوم إلكتروني أو اختراق أمني أو أي حدث آخر يتعلق بالأمن الإلكتروني. تتمثل وظائف الاسترداد في تحسينات تخطيط التعافي والاتصالات.

من خلال المراجع المعلوماتية لإطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) يتم رسم علاقة مباشرة بين الوظائف والفئات والفئات الفرعية والضوابط الأمنية المحددة لأُطُر العمل الأخرى. وتشمل أطر العمل هذه ما يلي:

  1. ®Center for Internet Security (CIS) Controls
  2. COBIT 5
  3. الجمعية الدولية للأتمتة (ISA) 62443-2-1:2009
  4. ISA 62443-3-3:2013
  5. المنظمة الدولية للمعايير (ISO) واللجنة الكهروتقنية الدولية (IEC) 27001:2013
  6. NIST SP 800-53 Rev. 4

لا يوضح إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) كيفية جرد الأجهزة والأنظمة المادية أو كيفية جرد منصات المخزون والتطبيقات؛ فهو يوفر فقط قائمة مرجعية بالمهام التي يجب إكمالها. يمكن للمؤسسة اختيار طريقتها الخاصة حول كيفية إجراء المخزون.

إذا احتاجت المؤسسة إلى مزيد من الإرشادات، فيمكنها الرجوع إلى المراجع التثقيفية للضوابط ذات الصلة في المعايير التكميلية الأخرى. هناك الكثير من الحرية في إطار CSF لاختيار الأدوات التي تناسب احتياجات المؤسسة من إدارة مخاطر الأمن الإلكتروني.

مستويات تنفيذ إطار عمل NIST

لمساعدة مؤسسة القطاع الخاص على قياس مدى تقدمها نحو تنفيذ إطار العمل للأمن الإلكتروني، يحدد إطار العمل أربعة مستويات للتنفيذ:

  • المستوى 1 - جزئي: تكون المؤسسة على دراية بمعايير إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) وربما تكون قد نفذت بعض جوانب الرقابة في بعض مجالات البنية التحتية. كان تنفيذ أنشطة وبروتوكولات الأمن الإلكتروني تفاعليًا مقابل ما هو مخطط له. لدى المؤسسة وعي محدود بمخاطر الأمن الإلكتروني وتفتقر إلى العمليات والموارد لتمكين أمن المعلومات.

  • المستوى 2 - الإلمام بالمخاطر: تكون المؤسسة أكثر وعيًا بمخاطر الأمن الإلكتروني وتُشارك المعلومات على أساس غير رسمي. وتفتقر إلى عملية إدارة مخاطر الأمن الإلكتروني على مستوى المؤسسة بشكل مخطط وقابل للتكرار واستباقي.

  • المستوى 3 - قابل للتكرار: تدرك المؤسسة وكبار مسؤوليها التنفيذيين مخاطر الأمن الإلكتروني، وتنفذ خطة إدارة مخاطر الأمن الإلكتروني القابلة للتكرار على مستوى المؤسسة. وضع فريق الأمن الإلكتروني خطة عمل لرصد الهجمات الإلكترونية والاستجابة لها بكفاءة وفاعلية.

  • المستوى 4 - التكيف: تتمتع المؤسسة الآن بالمرونة الإلكترونية وتستخدم الدروس المستفادة والمؤشرات التنبؤية لمنع الهجمات الإلكترونية. يعمل فريق الأمن الإلكتروني باستمرار على تحسين وتطوير تقنيات وممارسات الأمن الإلكتروني بالمؤسسة وتكيفها مع التغيرات في التهديدات بسرعة وكفاءة. يوجد نهج على مستوى المؤسسة لإدارة مخاطر أمن المعلومات على مستوى المؤسسة مع اتخاذ قرارات مستنيرة بشأن المخاطر، وسياسات وإجراءات وعمليات صناعة القرار. تنجح المؤسسات القادرة على التكيف في دمج إدارة مخاطر الأمن الإلكتروني في قرارات الميزانية والثقافة التنظيمية.

إنشاء برنامج إدارة مخاطر الأمن الإلكتروني ضمن إطار عمل المعهد الوطني الأمريكي للمعايير والتكنولوجيا

يوفر إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST CF) دليلًا تفصيليًا حول كيفية إنشاء أو تحسين برنامج إدارة مخاطر أمن المعلومات:

  1. تحديد الأولويات والنطاق: تكوين فكرة واضحة عن نطاق المشروع وتحديد الأولويات. تحديد أهداف العمل أو المهمة رفيعة المستوى واحتياجات العمل وتحديد مدى تحمل المؤسسة للمخاطر.

  2. التوجيه: تقييم أصول المؤسسة وأنظمتها وتحديد اللوائح المعمول بها ونهج المخاطر والتهديدات التي تتعرض لها المؤسسة.

  3. إنشاء ملف تعريف حالي: الملف التعريفي الحالي هو لقطة لكيفية إدارة المؤسسة للمخاطر كما هو محدد بواسطة الفئات والفئات الفرعية لإطار عمل المخاطر الحرجة.

  4. إجراء تقييم: تقييم البيئة التشغيلية والمخاطر الناشئة ومعلومات تهديدات الأمن الإلكتروني لتحديد احتمالية وخطورة حدث الأمن الإلكتروني.

  5. إنشاء ملف تعريف مستهدف: يمثل الملف الشخصي المستهدف هدف إدارة المخاطر لفريق أمن المعلومات.

  6. تحديد الفجوات وتحليلها وتحديد أولوياتها: من خلال تحديد الفجوات بين الملف الشخصي الحالي والملف المستهدف، يمكن لفريق أمن المعلومات إنشاء خطة عمل، بما في ذلك المعالم والموارد القابلة للقياس (الأشخاص والميزانية والوقت) المطلوبة لسد هذه الفجوات.

  7. تنفيذ خطة العمل: تنفيذ خطة العمل المحددة في الخطوة 6.

الموارد

IBM® X-Force Threat Intelligence Index لعام 2025

احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام IBM X-Force Threat Intelligence Index.
IDC MarketScape: تقييم مزوِّدي خدمات استشارات الأمن الإلكتروني لعام 2025

اكتشِف سبب تصنيف IBM كإحدى الشركات الفاعلة الرئيسية، واحصل على رؤى تساعدك على اختيار مزوِّد خدمات استشارات الأمن الإلكتروني الأنسب لاحتياجات مؤسستك.
الأمن الإلكتروني في عصر الذكاء الاصطناعي التوليدي

تعرَّف على كيفية تغير الواقع الأمني اليوم وكيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مواجهة الأزمات.
تقرير مشهد التهديدات السحابية لمنصة IBM X-Force لعام 2024

تعرَّف على أحدث التهديدات وعزِّز دفاعاتك السحابية من خلال تقرير مشهد التهديدات السحابية لمنصة IBM X-Force.
ما المقصود بأمن البيانات؟

اكتشف كيف يساعد أمن البيانات على حماية المعلومات الرقمية من الوصول غير المصرح به أو التلف أو السرقة طوال دورة حياتها بأكملها.
ما المقصود بالهجوم الإلكتروني؟

الهجوم الإلكتروني هو جهد متعمد لسرقة البيانات أو التطبيقات أو غيرها من الأصول أو كشفها أو تغييرها أو تعطيلها أو إتلافها من خلال الوصول غير المصرح به.
حلول ذات صلة
حلول الأمن المؤسسي

طوّر برنامجك الأمني بشكل غير مسبوق بفضل الحلول المقدمة من أكبر موفري خدمات الأمن المؤسسي.

 استكشف حلول الأمن الإلكتروني
خدمات الأمن الإلكتروني

يمكنك تحويل أعمالك وإدارة المخاطر من خلال الخدمات الاستشارية في الأمن الإلكتروني والخدمات السحابية وخدمات الأمان المُدارة.

         استكشف خدمات الأمن الإلكتروني
    الأمن الإلكتروني بالذكاء الاصطناعي (AI)

    حسِّن سرعة الفرق الأمنية ودقتها وإنتاجيتها باستخدام حلول الأمن السيبراني المدعومة بالذكاء الاصطناعي.

         استكشف الأمن السيبراني بالذكاء الاصطناعي
    اتخِذ الخطوة التالية

    سواء كنت بحاجة إلى حلول أمن البيانات أو إدارة نقاط النهاية أو إدارة الهوية والوصول (IAM)، فإن خبرائنا مستعدون للعمل معك لتحقيق وضع أمني قوي. طوّر أعمالك وتمكّن من إدارة المخاطر في مؤسستك مع شركة عالمية رائدة في مجال استشارات الأمن السيبراني، والخدمات السحابية، والخدمات الأمنية المُدارة.

         استكشف حلول الأمن الإلكتروني اكتشف خدمات الأمن السيبراني