المعايير
-خطط الاستجابة للحوادث (Incident Response Plans)
الهدف: ضمان التطبيق الملائم لمنهجية بشكل رسمي ومركز ومتناسق وتشكيل خارطة الطريق لتنفيذ عمليات الاستجابة للحوادث في جامعة الإمام محمد بن سعود الإسلامية في حال التعرض لهجوم يستهدف البيانات الشخصية وبيانات العمل.
المخاطر المحتملة : في حال عدم وضع خطة استجابة للحوادث وتطبيقها في جامعة الإمام محمد بن سعود الإسلامية، قد تواجه جامعة الإمام محمد بن سعود الإسلامية المخاطر المحتملة التالية:
- الإخفاق في الاستجابة بشكل مُمنهج (أي باتباع منهجية شاملة في التعامل مع الحوادث) للحوادث التي قد تؤدي إلى إتلاف المعلومات أو سرقتها أو الوصول غير المصرح به إليها أو الإفصاح عنها مما يمكن أن يؤدي إلى انقطاع الخدمات.
- عدم القدرة على التعامل بكفاءة مع الحوادث التي يمكن أن تؤدي إلى مخاطر قد تؤثر على سمعة جامعة الإمام محمد بن سعود الإسلامية.
- عدم الاستفادة من المعلومات أثناء التعامل مع الحوادث من أجل التحضير بشكل أفضل للتعامل مع الحوادث المستقبلية وتوفير حماية أعلى للأنظمة والبيانات.
- اتباع منهجية ضعيفة في التعامل مع القضايا القانونية التي قد تنشأ خلال الحوادث وتهديدات الأمن السيبراني.
الإجراءات المطلوبة:
- تطوير خطة تلبي متطلبات الأعمال الخاصة بـجامعة الإمام محمد بن سعود الإسلامية، وترتبط بالمهام والحجم والهيكلية والوظائف الخاصة بـجامعة الإمام محمد بن سعود الإسلامية، وتحدد الموارد اللازمة والدعم الإداري المطلوب.
- تتضمن خطة الاستجابة للحوادث العناصر التالية:
- المهام.
- الأهداف الاستراتيجية.
- موافقة الإدارة العليا.
- منهجية جامعة الإمام محمد بن سعود الإسلامية للاستجابة للحوادث.
- كيفية تواصل فريق الاستجابة للحوادث مع باقي الإدارات المعنية (داخلياً) والجهات الأخرى (خارجياً)
- المقاييس الرئيسية لقدرات الاستجابة للحوادث وفاعليتها.
- خارطة طريق لتطوير قدرات الاستجابة للحوادث.
- مدى ملائمة قدرات الاستجابة للحوادث للجهة.
-تحديد عاملين إداريين، إضافة إلى من ينوبهم عند الحاجة، لتوفير الدعم اللازم في عمليات التعامل مع الحوادث من خلال تولي الأدوار الرئيسية لاتخاذ القرارات.
-دراسة العوامل ذات العلاقة عند اختيار هيكلية فريق الاستجابة للحوادث في سياق احتياجات الجهة والموارد المتوفرة. ومن أمثلة هيكلية فريق الاستجابة للحوادث التالي:
- تحديد هيكلية فريق الاستجابة للحوادث الذي يجب أن يكون متوفراً لمساعدة أي فرد يكتشف أو يشتبه بوقوع حادثة لها علاقة بـجامعة الإمام محمد بن سعود الإسلامية.
- اختيار الأفراد الذين يملكون المهارات الفنية والخبرة والكفاءة المطلوبة للعمل في فريق الاستجابة للحوادث وتمكينه من القيام بأنشطة الاستجابة للحوادث إلى جانب الأنشطة التالية:
- كشف الاختراقات: يتوقع من الفريق تحليل الحوادث بسرعة ودقة بناءً على المعرفة المكتسبة من تقنيات كشف الاختراقات.
- تقديم الاستشارات: يمكن أن يقدم الفريق الاستشارات لـجامعة الإمام محمد بن سعود الإسلامية فيما يتعلق بالثغرات والتهديدات الجديدة. وعادةً ما تكون الاستشارات مطلوبة عند ظهور تهديدات جديدة مثل الأحداث السياسية البارزة.
- رفع مستوى الوعي والتوعية: أن يكون المستخدمون والعاملون الفنيون على اطلاع بكيفية كشف الحوادث والإبلاغ عنها والاستجابة لها. ويمكن تحقيق هذا من خلال وسائل مختلفة مثل ورشات العمل، والمواقع الإلكترونية والنشرات الإخبارية والملصقات.
مشاركة المعلومات: يشارك فريق الاستجابة للحوادث عادة في مجموعات مشاركة المعلومات
إدراج التفاصيل في التحليل الأولي عند وقوع حادثة أمنية وذلك لتحديد نطاقها. وتشمل هذه التفاصيل الشبكات أو الأنظمة أو التطبيقات المتأثرة، والمتسبب بالحادثة، وكيفية وقوعها (مثل الأدوات أو طرق الهجوم المستخدمة والثغرات المستغلة). كما يجب أخذ ما يلي بعين الاعتبار عند إجراء التحليل الأولي:
- تحديد خصائص الشبكات والأنظمة التي تم قياس خصائص النشاط المتوقع فيها بحيث يكون من السهل تحديد التغييرات.
- فهم اسلوكيات الطبيعية.
- استخدام سجل مركزي وصياغة سياسة الاحتفاظ بالسجلات.
- ربط الأحداث مع بعضها البعض.
- الحفاظ على تزامن ساعات المستضيف.
- الحفاظ على قاعدة معرفية بالمعلومات واستخدامها.
- تشغيل برامج التلصص على المعلومات لجمع معلومات إضافية.
- وضع مصفوفة تشخيص للعاملين الأقل خبرة.
- تحديد أولويات الأنشطة اللاحقة، مثل احتواء الحادثة والتحليل العميق لتأثيرات الحادثة، وذلك بناءً على نتائج التحليل الأولي.
- توثيق وتسجيل كافة الحقائق المتعلقة بالحادثة عن طريق السجل أو أجهزة الكمبيوتر المحمولة أو التسجيلات الصوتية أو الكاميرات الرقمية.
- توثيق وتسجيل توقيت كل خطوة تم اتخاذها من وقت اكتشاف الحادثة وحتى وقت معالجتها، وتأريخ كل وثيقة تتعلق بالحادثة والتوقيع عليها من قبل الجهة المعنية بالتعامل مع الحوادث.
- الاحتفاظ بسجلات حول حالة الحادثة باستخدام تطبيق أو قاعدة بيانات مثل نظام تتبع المشكلات، على أن تتضمن هذه السجلات ما يلي:
- ملخص الحادثة.
- المؤشرات المتعلقة بالحادثة (أي الدلائل التي تشير إلى وقوع الحادثة أو احتمالية وقوعها في المستقبل).
- الإجراءات المتخذة من قبل جميع جهات التعامل مع الحوادث فيما يخص الحادثة.
- تسلسل العهدة، إن كان مطبقاً.
- تقييمات الأثر المتعلقة بالحادثة.
- معلومات الاتصال بالأطراف الأخرى المعنية (مثل الجهات المسؤولة عن النظام، أو مشرفي النظام، أو الموردين).
- قائمة بالأدلة التي تم جمعها خلال التحقيق في الحادثة.
- آراء وتعليقات الجهات المعنية بالتعامل مع الحوادث.
- الخطوات اللاحقة التي سيتم اتخاذها.
- وضع معيار لعملية المراجعة المطلوبة من الإدارة العليا لتحديد إمكانية إفصاح جامعة الإمام محمد بن سعود الإسلامية عن أي معلومات تتعلق بالحادثة الأمنية (مثل الجهة التي أبلغت عن الحادثة/المسببات والأنظمة المتأثرة) إلى أطراف خارجية (باستثناء الهيئة الوطنية للأمن السيبراني).
- حماية بيانات الحادثة وتقييد الوصول إليها إلى جانب تشفير المراسلات المتعلقة بالحادثة (مثل رسائل البريد الإلكتروني).
- تصنيف الحوادث وتحديد أولوياتها
(Incidents Classification and Prioritization)
الهدف: ضمان الاستجابة الفعالة والملائمة للحوادث بناءً على تقدير أثرها على الأعمال.
المخاطر المحتملة: في حالات الحوادث، يؤدي عدم تحديد الأولويات بصورة صحيحة إلى تسمية غير واضحة لحوادث أمن الشبكات وتنبيهاته ومشكلاته، مما ينتج عنه تأخير في الاستجابة للحوادث الطارئة، وعدم القدرة على تحديد الحوادث التي يمكن التعامل معها باعتبارها غير طارئة أو التنبيهات التي يمكن تجاهلها (مؤشرات سلبية خاطئة)، إلى جانب سوء تقدير نوع الاستجابة المناسب لحوادث وتنبيهات ومشكلات معينة.
الإجراءات المطلوبة:
- تحديد أولويات الاستجابة لكل حادثة بناءً على تقدير أثرها على الأعمال والجهود المطلوبة للتعافي منها. ويجب أخذ العوامل التالية بعين الاعتبار عند دراسة أثر الحادثة:
- الأثر الوظيفي للحادثة: تؤثر الحوادث التي تستهدف أنظمة تقنية المعلومات عادة على وظائف الأعمال التي تقدمها تلك الأنظمة، مما يؤثر سلباً على مستخدميها. يتضمن الجدول أ أمثلة على فئات الآثار الوظيفية يمكن لـجامعة الإمام محمد بن سعود الإسلامية استخدامها لتقييم حوادثها.
- الأثر المعلوماتي للحادثة: يمكن أن تؤثر الحوادث على سرية معلومات جامعة الإمام محمد بن سعود الإسلامية وسلامتها وتوافرها. يتضمن الجدول ب أمثلة على فئات الآثار المعلوماتية المحتملة تصف مقدار الانتهاك الأمني الذي تعرضت له المعلومات خلال الحادثة.
- إمكانية التعافي من الحادثة: يحدد حجم الحادثة ونوع الموارد المتأثرة بالحادثة مقدار الوقت والموارد المطلوبة للتعافي منها. يحتوي الجدول ج على فئات الجهد المطلوب للتعافي من الحوادث، وتعكس هذه الفئات مستوى الموارد المطلوبة للتعافي ونوعها.
- تصنيف جميع الحوادث بناءً على مستوى الحدة (الجدول د).
إجراء الأنشطة التالية عند محاولة تحديد المستضيف المسؤول عن هجوم الأمن السيبراني:
- التحقق من عنوان بروتوكول الإنترنت للمستضيف المهاجم.
- البحث عن المستضيف المهاجم عن طريق محركات البحث.
- استخدام قاعدة بيانات الحوادث.
- مراقبة قنوات الاتصالات المحتملة التي يستخدمها المهاجم.
- تحديد إجراء التصعيد في الحالات التي لا يستجيب فيها فريق الاستجابة للحوادث للحادثة ضمن الإطار الزمني المحدد.
- الإبلاغ عن الحوادث (Incident Reporting)
الهدف: ضمان الالتزام التام بأنظمة الهيئة الوطنية للأمن السيبراني أو بما تصدره، وتعزيز جهود جامعة الإمام محمد بن سعود الإسلامية من خلال توفير حلقة وصل للتعامل مع الحوادث. وتقوم الهيئة الوطنية للأمن السيبراني، إضافة إلى الجهات الأخرى، بتحليل المعلومات التي تقدمها جامعة الإمام محمد بن سعود الإسلامية لتحديد توجهات الهجمات ومؤشراتها. ويمكن تمييز هذه التوجهات بشكل أدق عند مراجعة بيانات العديد من الجهات مقارنة بمراجعة بيانات جهة واحدة.
المخاطر المحتملة: يعتبر الإخفاق في إبلاغ الهيئة الوطنية للأمن السيبراني عن الحوادث نوعاً من عدم الالتزام بالمتطلبات الرسمية التي حددتها الهيئة الوطنية للأمن السيبراني، والتي تتمحور رسالتها حول مراقبة التزام الجهات باستمرار بهدف دعم الدور الهام للأمن السيبراني. ونظراً إلى أنه يتوجب على جميع الجهات الوطنية تطبيق كافة الإجراءات اللازمة لضمان الالتزام المستمر بالضوابط الأساسية للأمن السيبراني وفقاً للبند 3 من المادة 10 من تكليف الهيئة الوطنية للأمن السيبراني، ووفقاً للأمر السامي الكريم رقم 57231 بتاريخ 10/11/1439، فإن الإخفاق في الإبلاغ عن الحوادث يمكن أن يؤدي إلى عقوبات بحق جامعة الإمام محمد بن سعود الإسلامية.
الإجراءات المطلوبة:
- تحديد جهة اتصال رئيسية واحتياطية مع الهيئة الوطنية للأمن السيبراني، والإبلاغ عن كافة الحوادث التي تتوافق مع سياسة إدارة حوادث وتهديدات الأمن السيبراني في جامعة الإمام محمد بن سعود الإسلامية.
- تحديد طرق وقنوات الاتصال المطلوبة لاطلاع جامعة الإمام محمد بن سعود الإسلامية والجهات المعنية الخارجية، مثل الهيئة الوطنية للأمن السيبراني، على آخر المستجدات.
- وضع سياسة تحدد المدة الزمنية التي يجب على مشرفي النظام وأفراد فريق العمل الآخرين إبلاغ فريق الاستجابة للحوادث عن الأحداث الشاذة خلالها، وآليات الإبلاغ (بما في ذلك قنوات الإبلاغ مثل رقم الهاتف و/أو عنوان البريد الإلكتروني)، ونوع المعلومات التي يجب إدراجها عند الإبلاغ عن الحوادث.
- وضع خطط تدريبية وسيناريوهات استجابة للحوادث وتطبيقها من أجل اختبار قنوات الاتصال التي تستخدمها فرق الاستجابة للحوادث، وتقييم مهارات اتخاذ القرار لديهم إلى جانب قدراتهم الفنية وذلك بهدف زيادة الوعي والمرونة في الاستجابة للتهديدات.
- تحديد أطر زمنية معينة والالتزام بها عند إبلاغ الهيئة الوطنية للأمن السيبراني عن حوادث الأمن السيبراني.
- خطة التعافي من الحوادث واستمرارية الأعمال
(Incident Recovery and Business Continuity Plan)
الهدف: ضمان تعافي واستعادة عمل الأنظمة بشكل طبيعي، واستعادة وظائف المستضيف المتأثر وبياناته، وإلغاء إجراءات الاحتواء المؤقت (في الحوادث المرتبطة بالبرمجيات الضارة)، وضمان توافق إجراءات وسياسات الاستجابة للحوادث وعمليات استمرارية الأعمال، مما يخدم رسالة جامعة الإمام محمد بن سعود الإسلامية وأهدافها العامة.
المخاطر المحتملة: يمكن أن يؤدي الإخفاق في تطبيق إجراءات خطة التعافي واستمرارية الأعمال بشكل ملائم إلى تكرار الهجمات في المستقبل مما قد يضر بسمعة جامعة الإمام محمد بن سعود الإسلامية وعلامتها التجارية، وعملياتها وعلاقاتها مع العملاء والموردين، بالإضافة إلى الآثار القانونية والمالية المصاحبة.
الإجراءات المطلوبة:
إصدار بلاغ باستجابة لحادثة أمنية وإسنادها إلى فريق الاستجابة للحوادث عند الإبلاغ عن حادثة أمنية.
- القيام بالأنشطة اللازمة لاستعادة الأنظمة المتأثرة، وتشمل هذه الأنشطة على سبيل المثال لا الحصر ما يلي:
- استعادة الأنظمة من النسخ الاحتياطية السليمة.
- إعادة بناء الأنظمة من الصفر.
- استبدال الملفات التي تعرضت لانتهاكات أمنية بنسخ سليمة.
- تثبيت التحديثات والإصلاحات.
- تغيير كلمات المرور وتشديد أمن محيط الشبكة (مثل مجموعة قواعد جدار الحماية، وقوائم التحكم بالوصول إلى مُوجّه الحدود).
- ضمان معالجة حادثة الأمن السيبراني وتصحيحها ضمن الأطر الزمنية المحددة، وفي حال عدم القدرة على ذلك، يجب على فريق الاستجابة للحوادث تصعيد الحادثة وفقاً لتصنيف الحوادث الأمنية وقواعد وإجراءات تصعيد الحوادث المعتمدة في الإدارة العامة للأمن السيبراني.
- تخصيص الميزانية والموارد اللازمة للتعافي من حوادث الأمن السيبراني، حيث تكون جامعة الإمام محمد بن سعود الإسلامية هي المسؤولة عن توفير التمويل الكافي للإدارة العامة للأمن السيبراني، والتي تستخدمه بدورها من أجل التقليل من الأضرار والتعافي من الحوادث.
- في بعض الحالات، يجب أن تدرس الجهات المعنية بالتعامل مع الحوادث الجهد المطلوب للتعافي فعلياً من الحادثة، وتقارن هذا الجهد بالقيمة الناتجة عن جهود التعافي، وأي متطلبات مرتبطة بالتعامل مع الحوادث.
- تخزين تفاصيل حوادث الأمن السيبراني التي تقع (مثل نوع الحادثة وفئتها، والمستخدمين الذين أبلغوا عنها، والخدمات والأصول والمعلومات المتأثرة بها، وكيفية اكتشافها، وأي وثائق مساندة) وحفظها ومراجعتها دورياً.
- عقد اجتماعات لمناقشة "الدروس المستفادة" مع كافة الأطراف المعنية بعد وقوع حادثة كبيرة من أجل دراسة التهديدات الجديدة وتحسين التقنيات المستخدمة والدروس المستفادة كجزء من عملية التعافي.
- إطلاع مسؤولي التخطيط لاستمرارية الأعمال على طبيعة الحوادث وتأثيراتها حتى يتمكنوا من تحديد تقييمات الأثر على الأعمال وتقييمات المخاطر وخطط عمليات الاستمرارية بصورة مناسبة.
- إشراك مختصي التخطيط لاستمرارية الأعمال في جامعة الإمام محمد بن سعود الإسلامية من المراحل الأولى من عمليات اكتشاف حوادث الأمن السيبراني والاستجابة لها لتقليل انقطاع الأعمال خلال الظروف الشديدة؛ حيث من الممكن الاستفادة منهم في التخطيط للاستجابة لحالات معينة مثل هجمات تعطيل الشبكات (Denial of Service "DoS").
- الحفاظ على المعلومات الاستباقية بشأن التهديدات
(Threat Intelligence Feeds Maintenance)
الهدف : ضمان اطلاع جامعة الإمام محمد بن سعود الإسلامية على التهديدات وجوانب الاستغلال وكيفية توفير الحماية ضد هذه التهديدات بصورة ملائمة، وذلك من خلال تزويدها بمعلومات استباقية حول التهديدات، حيث تشمل هذه المعلومات بيانات منظمة وتحليلات للهجمات الأخيرة والحالية والمحتملة والتي يمكن أن تشكل تهديداً سيبرانياً لـجامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة : يمكن أن يؤدي الإخفاق في اطلاع جامعة الإمام محمد بن سعود الإسلامية على التهديدات وجوانب الاستغلال بصورة ملائمة إلى مخاطر شديدة قد تتسبب بسرقة المعلومات أو الوصول غير المصرح به لها أو الكشف عنها.
الإجراءات المطلوبة:
- جمع المعلومات عن تهديدات الأمن السيبراني مثل المؤشرات (كعنوان بروتوكول الإنترنت للأوامر المشبوهة، واسم النطاق لنظام أسماء النطاقات، والعنوان "URL" الذي يرتبط بمحتوى خبيث) من مجموعة من المصادر، بما في ذلك مستودعات المصادر المفتوحة والمعلومات الاستباقية عن التهديدات التجارية والشركاء الخارجيين، وتنظيمها في قاعدة بيانات معرفية.
- تنظيم وتخزين المؤشرات في قاعدة بيانات معرفية بصيغة حرة مثل قواعد بيانات "Wikis"، وقواعد البيانات المنظمة بهدف تخزين مجموعات المؤشرات وتنظيمها وتتبعها والاستفسار عنها.
وتشمل المعلومات المتوفرة في القاعدة المعرفية عموماً ما يلي:
- مصدر المؤشر وتاريخ أو وقت الحصول عليه.
- القواعد التي تحكم استخدام المؤشر أو مشاركته.
- فترة صلاحية المؤشر.
- معلومات حول ما إذا كانت الهجمات المصاحبة للمؤشر قد استهدفت جهات أو قطاعات معينة.
- أي سجلات مصاحبة للمؤشر لتعداد الثغرات الشائعة (CVE)، وتعداد المنصات الشائعة (CPE)، وتعداد نقاط الضعف الشائعة (CWE)، وتعداد الإعدادات الشائعة (CCE).
- المجموعات والجهات المعادية والأسماء الوهمية المصاحبة للمؤشر.
- التكتيكات والأساليب والإجراءات التي تستخدمها الجهات المعادية عموماً.
- دوافع الجهات المعادية أو نواياها.
- الأفراد أو سمات الأفراد المستهدفين بالهجمات المصاحبة.
- الأنظمة المستهدفة بالهجمات.
مشاركة المعلومات المتعلقة بالتهديدات ومؤشرات الانتهاك مع الهيئة الوطنية للأمن السيبراني.
الجدول أ - فئات الآثار على الخدمات
الفئة التعريف
لا يوجد
لا يوجد تأثير على قدرة جامعة الإمام محمد بن سعود الإسلامية على تقديم الخدمات لكافة المستخدمين
منخفض
ما زالت جامعة الإمام محمد بن سعود الإسلامية قادرة على تقديم كافة الخدمات الأساسية لكافة المستخدمين، ولكنها تفتقد إلى الفعالية.
متوسط
لم تعد جامعة الإمام محمد بن سعود الإسلامية قادرة على تقديم الخدمات الأساسية لمجموعة فرعية من المستخدمين.
مرتفع
لا تستطيع جامعة الإمام محمد بن سعود الإسلامية تقديم بعض الخدمات الأساسية لأي من المستخدمين.
الجدول ب - فئات الآثار على المعلومات
الفئة التعريف
لا يوجد
لم يتم تسريب المعلومات أو تغييرها أو حذفها، ولم تتعرض لأي انتهاك أمني.
انتهاك الخصوصية
الوصول إلى المعلومات القابلة لتحديد الشخصية (PII) للعاملين والمستفيدين وغيرهم أو تسريبها.
انتهاك المعلومات المملوكة
الوصول إلى المعلومات المملوكة، مثل معلومات البنية التحتية الحساسة المحمية (PCII)، أو تسريبها.
انتهاك سلامة المعلومات
تغيير المعلومات المحمية أو المملوكة أو حذفها.
الجدول ج - فئات التعافي من آثار الحوادث
الفئة التعريف
اعتيادي
يمكن التنبؤ بالوقت اللازم للتعافي بالاستعانة بالموارد الحالية.
تكميلي
يمكن التنبؤ بالوقت اللازم للتعافي بالاستعانة بموارد إضافية.
ممتد
لا يمكن التنبؤ بالوقت اللازم للتعافي وهناك حاجة إلى موارد إضافية ومساعدة خارجية.
غير قابل للتعافي
من غير الممكن التعافي من الحادثة (مثل حوادث تسرب بيانات حساسة أو نشرها)، ويجب البدء بالتحقيق فيها.
الجدول د - تصنيف الحوادث وفقاً لمستوى الحدة
مستوى الحدة الوصف وقت الاستجابة المستهدف وقت الحل المستهدف
مرتفع جداً
- تهديد أو أثر مباشر على صورة جامعة الإمام محمد بن سعود الإسلامية أو سمعتها أو مصداقيتها.
- تأثر العديد من وحدات الأعمال الوظيفية بصورة كبيرة.
- تأثر موقع الأعمال بصورة كبيرة.
- الحاجة إلى تفعيل إجراءات استمرارية الأعمال.
فوري ساعتان
مرتفع
انقطاع كبير يؤثر على وحدات الأعمال الوظيفية أو الخدمات الرئيسية أو موقع الجهة
ساعة - ساعتان 4-5 ساعات
متوسط
تدهور متوسط في سير عمل وحدات الأعمال الوظيفية أو المواقع أو الأصول التقنية والمعلوماتية، إضافة إلى أثر يتراوح ما بين المتوسط والمرتفع على وحدات الأعمال غير الهامة في جامعة الإمام محمد بن سعود الإسلامية.
2-3 ساعات 8-9 ساعات
منخفض
- المشكلة صغيرة وعلى نطاق بسيط.
- تؤثر المشكلة على عدد قليل من الموارد.
- يمكن تحمل المشكلة لفترة زمنية محددة.
5 ساعات 24 ساعة
