الأنشطة الإستشاريّة
دورة حياة تدابير الأمن
الرسم 1. نموذج - خطط نفذ تحقق صحح
تقترح غاستي منهجيّة لوضع خطّة أمن المعلومات الرئيسية تقوم على مراحل خمس:
- صياغة سياسة أمن المعلومات
صياغة سياسة أمن المعلومات: تحديد رؤية المؤسسة ومبادئها التوجيهية وأهدافها السامية في مجال أمن المعلومات - إجراء جرد الأصول المعلوماتية وتصنيفها
إجراء جرد الأصول المعلوماتية وتصنيفها: إعداد قائمة جرد كلّ أصول المؤسسة المعلوماتية وتصنيفها ويتمّ هذا النشاط خارج نطاق وضع خطة أمن المعلومات الرئيسية وتوفّر نتائجه المدخلات لوضع هذه الخطة - وصف الحالة الراهنة
وصف الحالة الراهنة: تحديد المخاطر والضوابط ذات الصلة التي اعتمدتها المؤسسة لحدّ المخاطر المحدقة بأمن كلّ الأصول المعلوماتية الحرجة المحددة - تحليل المخاطر
تحليل المخاطر: تحليل الخطر على أساس مجموعة من التصورات التي تعبّر عن واقع المؤسسة وحالتها الراهنة - خطة الأمن الرئيسية
خطة الأمن الرئيسية: تسجيل العناصر السابقة ووضع خطة العمل مع مراعاة الإعتبارات الإستراتيجية والتشغيلية
النواتج
- سياسة الأمن
- الخطوط التوجيهية للأمن
- إخطارات الأمن
- المواد التدريبية
- القوالب والأشكال النموذجية
- سجل الجرد والتصنيف
- مصفوفة التصنيف
- قائمة مبوبة بالضوابط المناسبة
- ملخص تقييم الضوابط
- تقرير مرحلي عن الحالة الراهنة
- موجز تصورات المخاطر
- الحلول المحتملة
- تحديد الأولويات وخطة العمل
- خطة أمن المعلومات الرئيسية
الخدمات المعروضة
- صياغة سياسة الأمن ومراجعتها
- التدريب
- المساعدة على ترتيب الأنشطة حسب الأولويات
- تحديد المخاطر
- تحديد الضوابط القائمة
- تحيليل المخاطر
- تحليل المخاطر
- وضع التقارير
من أجل دعم أنشطة المؤسسات ومساعدتها على الإمتثال لشتى مقتضيات حماية المعلومات وإدارتها، تعتمد غاستي على الخبرة والدراية المكتسبتين في خلال التعامل مع هيئات القطاع العام والقطاع الخاص و قطاع الصحة والخدمات الإجتماعية لغرض تنسيق جهود كلّ الأطراف الفاعلة في المؤسسة بواسطة منهجيّة معدّة تقوم على المراحل التالية:
- التخطيط وتنظيم المشروع (الجدول الزمني والأنشطة وأفرقة العمل اللازمة)
- عرض المفاهيم والمتطلبات وتحديد السياق العام
- تكييف منهجيّة العمل مع السياق
- جمع البيانات ومعالجتها بالأساليب المناسبة والمتكيّفة مع السياق (الحجم والمزانية والموارد البشرية ومستوى التقدم في إدارة الأمن)
- المساعدة على إجراء عملية الجرد وتصنيف الأصول المعلوماتية وإعداد تقرير التصنيف
وتقترح غاستي القيام في ما بعد بتحليل الحالة في إطار خطة أمن المعلومات الرئيسية (تحديد المخاطر والضوابط وتحليلها).
الخدمات المعروضة
- نقل المعارف
- إدارة المشروع
- المساعدة على جمع البيانات
- تحليل البيانات
- إعداد التقارير
- الدعم
النواتج
- بيانات خام مجمّعة
- بيانات مبوّبة
- تحليل البيانات
- تقرير عن تصنيف الأصول
- القائمة المرجعية
وضع هيكل الأمن مع مراعاة 4 عمليات ذات أبعاد قانونية وبشرية تنظيمية وتكنولوجية
- إسداء المشورة للأفرقة ودعمها في تحديد الأهداف والإشكاليات ونطاق المشاريع
- إجراء التحاليل الأوّلية وتحاليل الآثار والمشاركة في تحديد المواقع والتوجهات
- توجيه محللي الأمن ودعم أفرقة المشاريع في أثناء مرحلة التنفيذ
- المشاركة في توعية الموظفين وتعميم المعايير والأدوات والمناهج
- التوصية باكتساب أنظمة أو حلول بعينها أو تطويرها وتحمّل مسؤولية تطوير البعض منها
وضع خطة استعادة القدرة
- تحليل المخاطر والآثار
- تقييم المخاطر
- تحديد نظم المعلومات الحرجة
- تحديد أهداف استمرارية الخدمات
- تحديد أولويات استعادة القدرة
- وضع قائمة جرد للأصول ترابطها
- تحديد الأدوار والمسؤوليات
- تحديد الإحتياجات من الموارد (البشرية والمالية)
- تحديد حلول التوريد
- تحديد التدابر الواجبة التنفيذ
- وضع استراتيجيات استعادة القدرة
وضع خطة استمرارية الأنشطة
- إعداد قائمة بالأنشطة والموارد الحرجة للمؤسسة
- تحديد المخاطر التي قد تمسّ تلك الأنشطة وآثارها المحتملة
- وضع الإستراتيجيات وتحديد الحلول المحتملة وصياغة الخطط المناسبة
- الإستجابة بصورة مأمونة وفعالة لكل حادث (إن كان خطراً أو لم يكن)
- الإستعداد لمواجهة الحوادث وتحيين الإستراتيجيات والخطط واستعراضها بما يكفل مواءمتها
تدقيق الأمن بموجب معايير أيزو 27002
- تحديد عمليات تكنولوجيا المعلومات المعرّضة للخطر في المؤسسة
- جدولة عمليات تدقيق الأمن
- إجراء عمليات تدقيق الأمن
- استخدام النماذج والمراجع والأدوات المعروفة
- عرض نتائج عملية التدقيق وشرحها
- التصرف بما يمتثل للمبادئ الأخلاقية ومدونات السلوك المعمول بها في عمليات التدقيق الداخلي
إختبار الهندسة الإجتماعية
- الإستراتيجيات والإجراءات والتوعية
القواعد الخطية التي تضعها المؤسسة لإدارة كافة مجالات الأمن والبرامج التعليمية المعتمدة حتى تكفل أنّ الموظفين إطلعوا على القواعد وفهموها وعملوا على تطبيقها - الأمن المادي
حراسة مرافق المؤسسة ومواردها. على سبيل المثال، إنّ حاويات النفايات التي تكون خارج المؤسسة تخرج عن نطاق الأمن المادي للمؤسسة - البيانات
معلومات المؤسسة وتفاصيل الحسابات والبريد الإلكتروني وإلخ. على أيّ تحليل لمخاطر الهندسة الإجتماعية أن يأخذ في الحسبان البيانات الإلكترونية والورقية في التخطيط لأمن البيانات - التطبيقات
البرماجيات التي يستعين بها المستخدمون. يتعيّن شرح الأساليب التي يلجأ إليها القراصنة لإفساد التطبيقات مثل البريد الإلكتروني أو خدمة التراسل الفوري - الحواسب المضيفة
الخواديم وحواسب العملاء المستعملة في المؤسسة. ينبغي حماية المستخدمين من الإعتداءات المباشرة على هذه الحواسب عن طريق وضع تعليمات صارمة بالنسبة إلى البرماجيات المستخدمة على حواسب العمل وأسلوب إدارة ضوابط الأمن مثل هوية المستخدم وكلمة المرور - الشبكة الداخلية
الشبكة التي يعتمد عليها نظام معلومات المؤسسة للتواصل. قد تكون هذه الشبكة شبكة محلية أو شبكة منطقة واسعة سلكية أو لاسلكية. على مرّ السنين، فقدت هذه الشبكة الداخلية بعض سماتها "الداخلية" مع تنامي ظاهرة العمل عن بعد وتكاثر أجهزة التواصل المحمولة. لذا يتعيّن على المؤسسة أن تسهر على أن يتّخذ المستخدمون كلّ الإحتياطات للتواصل بشكل مأمون عبر كافة أنواع الشبكات -
المحيط
نقطة الإتصال بين شبكات المؤسسة الداخلية والخارجية مثل الإنترنت أو شبكات الشركاء التجاريين وربما شبكة الإكسترانت. غالياً ما ترمي إعتداءات القراصنة إلى اختراق المحيط للنيل من البيانات والتطبيقات وحواسب استضافة الشبكة الداخيلة
عند تصميم أسلوب الدفاع، يتيح نموذج الأمن في تصوّر الدفاع المعزّز الفرصة لتحديد نقاط الضعف في المؤسسة. ومع أنّ هذا النموذج لا ينسحب بصورة خاصة على خطر القرصنة إلا أنّه مفيد في أنّه يبيّن الحاجة إلى حماية كلّ طبقة من طبقات الهيكل.
ويتمحور أسلوب الدفاع في هذا النموذج حول استراتيجيات الأمن وإجراءاته والتوعية إليها. ويستهدف العاملين في المؤسسة عن طريق التنبيه بالإجراءات الواجب إتخاذها وتوقيتها وسبب اتخاذها والطرف المسؤول عنها. أمّا الطبقات الأخرى فتزيد من درجة الحماية. أمّا الحماية الأساسية فتستند إلى مجموعة من القواعد المنظمة والمحددة بإحكام لحماية بيئة المعلموات.
إن غاستي قادرة على مساعدة المؤسسة في هذه المبادرة.
تدريب الموظفين على دقة أمن المعلومات
- شرح دور المستخدم في صون أمن المعلومات وفهمه
- الإطلاع على السياسات التي توفّر بيئة عمل مأمونة
- الإطلاع على سياسات الإستخدام عن بعد
- حماية المعدات المكتبية والأجهزة المحمولة من الأخطار