الأمن السيبراني
تطبيق المدرسة لاشتراطات الأمن السيبراني
تهدف هذه الضوابط إلى توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني المبنية على أفضل الممارسات والمعايير لتقليل المخاطر السيبرانية على الأصول المعلوماتية والتقنية للجهات من التهديدات ( Threats) الداخلية والخارجية. وتتطلب حماية الأصول المعلوماتية والتقنية للجهة التركيز على الأهداف الأساسية للحماية، وهي
* سرية المعلومة Confidentiality
* سلامة المعلومة Integrity
* توافر المعلومة Availability
وتأخذ هذه الضوابط بالاعتبار المحاور الأربعة الأساسية التي يرتكز عليها الأمن السيبراني، وهي
• الاستراتيجية Strategy
• الأشخاص People
• الإجراء Process
• التقنية Technology
1 ) مراجعة استراتيجية الأمن السيبراني على فترات زمنية مخطط لها .
2 ) تشكيل لجنة معنية بالأمن السيبراني في المدرسة .
3 ) تم تنفيذ إجراءات تقييم مخاطر الأمن السيبراني بحد أدنى في الحالات التالية
* في مرحلة مبكرة من العمل التقني
* قبل إجراء تغيير جوهري في البنية التقنية
* عند التخطيط للحصول على خدمات طرف خارجي
* عند التخطيط وقبل إطلاق خدمات تقنية جديدة.
4 ) تغطي متطلبات الأمن السيبراني لإدارة العمل على الأصول المعلوماتية والتقنية بحد أدنى ما يلي:
* تقييم الثغرات معالجتها
* إجــراء مراجعة للإعـدادات التحصين و حزم التحديثات قبل إطلاق وتدشين العمل والتغييرات.
5 ) تم تنفيذ متطلبات الأمن السيبراني بحد أدنى ما يلي:
* استخدام معايير التطوير الآمن للتطبيقات
* استخدام مصادر مرخصة وموثوقة لأدوات تطوير التطبيقات والمكتبات الخاصة بها
* إجراء اختبار للتحقق من مدى استيفاء التطبيقات للمتطلبات الأمنية السيبرانية .
* أمن التكامل بين التطبيقات
* إجــراء مراجعة للإعـدادات التحصين و حزم التحديثات قبل إطلاق وتدشين التطبيقات .
6 ) تقوم على لجنة الأمن السيبراني بمراجعة تطبيق ضوابط الأمن السيبراني دورياً.
7 ) توثق اللجنة نتائج مراجعة وتدقيق الأمن السيبراني، التي تشتمل على نطاق المراجعة والتدقيق، والملاحظات المكتشفة، والتوصيات والإجراءات التصحيحية، وخطة معالجة الملاحظات .
8 ) تم تـضـمـيـن مــســؤولــيــات الأمن الــســيــبــرانــي وبـــنـــود الــمــحــافــظــة عــلــى ســريــة الـمـعـلـومـات ) في عقود العاملين في المدرسة ) لتشمل خلال و بعد انتهاء/إنهاء العلاقة الوظيفية مع المدرسة
9 ) تم التوعية بالأمن السيبراني عند بداية المهنة الوظيفية للعاملين بالمدرسة وخلالها.
10 ) يتم مراجعة وإلغاء الصلاحيات للعاملين مباشرة بعد انتهاء/إنهاء الخدمة المهنية لهم.
11 ) تم تزويد العاملين بالمهارات والدورات التدريبية المطلوبة في مجال الأمن السيبراني لحماية الأصول المعلوماتية والتقنية والقيام بمسؤولياتهم تجاه الأمن السيبراني.
12 ) تغطي متطلبات الأمن السيبراني المتعلقة بـإدارة هويات الدخول والصلاحيات ما يلي:
* التحقق من هوية المستخدم بناء على إدارة تسجيل المستخدم وإدارة كلمة المرور
* إدارة تصاريح وصلاحيات المستخدمين بناء على مبادئ التحكم بالدخول
* المراجعة الدورية لهويات الدخول والصلاحيات
13 ) تم حماية الأنظمة وأجهزة معالجة المعلومات بحد أدنى ما يلي :
* الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة على أجهزة المستخدمين والخوادم باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة، وإدارتها بشكل آمن.
* التقييد الحازم لاستخدام أجهزة وسائط التخزين الخارجية والأمن المتعلق بها.
* إدارة حزم التحديثات والإصلاحات للأنظمة والتطبيقات والأجهزة .
* مزامنة التوقيت مركزياً ومن مصدر دقيق وموثوق .
14 ) تم تأمين شبكات المدرسة بحد أدنى ما يلي :
* العزل والتقسيم المادي أو المنطقي لأجزاء الشبكات بشكل آمن، واللازم للسيطرة على مخاطر الأمن السيبراني ذات العلاقة، باستخدام جدار الحماية Firewall ومبدأ الدفاع الأمني متعدد المراحل .
* عزل شبكة بيئة الإنتاج عن شبكات بيئات التطوير والاختبار
* أمن التصفح والاتصال بالإنترنت، ويشمل ذلك التقييد الحازم للمواقع الإلكترونية المشبوهة، ومواقع مشاركة وتخزين الملفات، ومواقع الدخول عن بعد
* أمن الشبكات اللاسلكية وحمايتها باستخدام وسائل آمنة للتحقق من الهوية والتشفير، وعدم ربط الشبكات اللاسلكية بالشبكة الداخلية.
* حماية قناة تصفح الإنترنت من التهديدات المتقدمة المستمرة التي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً .
15 ) تم حماية سرية وسلامة بيانات ومعلومات المدرسة ودقتها وتوافرها، من خلال ملكية البيانات والمعلومات و الخصوصية .
16 ) تم تشكيل لجنة للنسخ الاحتياطية بحد أدنى ما يلي:
* نطاق النسخ الاحتياطية وشموليتها للأصول المعلوماتية والتقنية.
* القدرة السريعة على استعادة البيانات والأنظمة بعد التعرض لحوادث الأمن السيبراني .
* إجراء فحص دوري لمدى فعالية استعادة النسخ الاحتياطية.