الكشف والاستجابة والحوكمة
الامتثال وأطر GRC
4 دقيقة للقراءة
معرفة GRC (الحوكمة، المخاطر، الامتثال) أساسية لأدوار قيادة الأمن. يغطي هذا الدرس الأطر الرئيسية والتحضير للتدقيق.
أطر الامتثال الرئيسية
مقارنة الأطر
| الإطار | التركيز | من يحتاجه |
|---|---|---|
| SOC 2 | ضوابط منظمة الخدمة | موردو SaaS، مزودو السحابة |
| ISO 27001 | إدارة أمن المعلومات | المنظمات العالمية |
| PCI DSS | بيانات بطاقات الدفع | أي شخص يعالج البطاقات |
| HIPAA | معلومات الرعاية الصحية | مقدمو الرعاية الصحية، الشركاء |
| GDPR | البيانات الشخصية (الاتحاد الأوروبي) | أي شخص يتعامل مع بيانات مواطني الاتحاد الأوروبي |
| NIST CSF 2.0 | إطار الأمن السيبراني | الفدرالية الأمريكية، البنية التحتية الحرجة |
تعمق SOC 2
يقيّم SOC 2 الضوابط مقابل معايير خدمة الثقة:
| المعيار | الوصف | الضوابط الشائعة |
|---|---|---|
| الأمان | الحماية من الوصول غير المصرح به | جدران الحماية، MFA، التشفير |
| التوافر | وقت تشغيل النظام والأداء | المراقبة، DR، SLAs |
| سلامة المعالجة | معالجة دقيقة، في الوقت المناسب | QA، إدارة التغيير |
| السرية | حماية المعلومات السرية | التشفير، ضوابط الوصول |
| الخصوصية | التعامل مع المعلومات الشخصية | الموافقة، تقليل البيانات |
سؤال المقابلة
س: "ما الفرق بين SOC 2 Type 1 و Type 2؟"
الإجابة:
- Type 1: تقييم نقطة زمنية - هل الضوابط مصممة بشكل صحيح؟
- Type 2: تقييم الفترة (6-12 شهر) - هل الضوابط تعمل بفعالية؟
Type 2 أكثر قيمة لأنه يُظهر امتثال مستدام، وليس مجرد لقطة.
إطار NIST للأمن السيبراني 2.0
صدر فبراير 2024، NIST CSF 2.0 هو المعيار الذهبي:
الوظائف الست
┌─────────────────────────────────────────────────────────────┐
│ NIST CSF 2.0 │
│ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ الحوكمة │ │ التحديد │ │ الحماية │ │ الكشف │ │
│ │(جديد) │ │ │ │ │ │ │ │
│ └─────────┘ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │الاستجابة│ │الاستعادة│ │
│ │ │ │ │ │
│ └─────────┘ └─────────┘ │
└─────────────────────────────────────────────────────────────┘
الحوكمة (جديد في 2.0):
- تؤسس السياق التنظيمي
- تدمج الأمن السيبراني مع مخاطر المؤسسة
- تحدد المساءلة والرقابة
مستويات نضج CSF
| المستوى | الوصف | الخصائص |
|---|---|---|
| المستوى 1: جزئي | مخصص، تفاعلي | لا برنامج رسمي |
| المستوى 2: مستنير بالمخاطر | بعض الوعي | المخاطر ليست على مستوى المؤسسة |
| المستوى 3: قابل للتكرار | رسمي، معتمد | السياسات موجودة |
| المستوى 4: تكيفي | تحسين مستمر | الدروس المستفادة مطبقة |
PCI DSS 4.0
المتطلبات الـ 12
| # | المتطلب | الضوابط الرئيسية |
|---|---|---|
| 1 | تثبيت وصيانة ضوابط أمان الشبكة | تكوين جدار الحماية |
| 2 | تطبيق التكوينات الآمنة | إزالة الافتراضيات |
| 3 | حماية بيانات الحساب المخزنة | التشفير، إدارة المفاتيح |
| 4 | حماية بيانات حامل البطاقة أثناء النقل | TLS 1.2+ |
| 5 | الحماية من البرامج الضارة | مكافحة البرامج الضارة |
| 6 | تطوير أنظمة آمنة | SDLC آمن، الترقيع |
| 7 | تقييد الوصول | على أساس الحاجة للمعرفة |
| 8 | تحديد المستخدمين والمصادقة | MFA، كلمات مرور قوية |
| 9 | تقييد الوصول المادي | الأمان المادي |
| 10 | تسجيل ومراقبة الوصول | مسارات التدقيق |
| 11 | اختبار الأمان بانتظام | اختبار الاختراق، المسح |
| 12 | دعم الأمان بالسياسات | الحوكمة |
مفاهيم GDPR الرئيسية
حقوق موضوع البيانات
| الحق | الوصف | وقت الاستجابة |
|---|---|---|
| الوصول | الحصول على نسخة من البيانات الشخصية | 30 يوم |
| التصحيح | تصحيح البيانات غير الدقيقة | 30 يوم |
| المحو | "الحق في النسيان" | 30 يوم |
| قابلية النقل | استلام البيانات بتنسيق قابل للنقل | 30 يوم |
| الاعتراض | إيقاف المعالجة للتسويق | 30 يوم |
الأدوار الرئيسية
| الدور | المسؤولية |
|---|---|
| متحكم البيانات | يحدد غرض المعالجة |
| معالج البيانات | يعالج نيابة عن المتحكم |
| DPO | مسؤول حماية البيانات - يشرف على الامتثال |
سؤال المقابلة
س: "عميل يطلب حذف بياناته بموجب GDPR. ماذا تفعل؟"
الإجابة:
1. التحقق من الطلب
└── تأكيد هوية الطالب
└── فحص إذا كان الطلب صالح (بعض الاستثناءات تنطبق)
2. تحديد نطاق البيانات
└── تحديد كل الأنظمة التي تحتوي بياناتهم
└── تضمين النسخ الاحتياطية، السجلات، أنظمة الطرف الثالث
3. تنفيذ الحذف
└── حذف أو إخفاء هوية البيانات
└── توثيق ما حُذف، متى، من قِبل من
4. التعامل مع الاستثناءات
└── الحجز القانوني - لا يمكن الحذف
└── المصلحة المشروعة - قد تحتفظ ببعض
└── توثيق المنطق لأي بيانات محتفظ بها
5. الرد على العميل
└── خلال 30 يوم
└── تأكيد الحذف أو شرح الاستثناءات
التحضير للتدقيق
جمع الأدلة
| مجال الضبط | أنواع الأدلة |
|---|---|
| التحكم في الوصول | قوائم المستخدمين، تعيينات الأدوار، مراجعات الوصول |
| إدارة التغيير | تذاكر التغيير، سير عمل الموافقة |
| المراقبة | تكوينات التنبيهات، سجلات الحوادث |
| التدريب | سجلات الإكمال، مواد التدريب |
| السياسات | السياسات الموثقة، سجل الإصدارات |
نتائج التدقيق الشائعة
| النتيجة | الوقاية |
|---|---|
| حسابات مستخدمين قديمة | مراجعات الوصول ربع السنوية |
| MFA مفقود | فرض MFA لكل المستخدمين |
| أنظمة غير مرقعة | إدارة الترقيع الآلية |
| تسجيل غير مكتمل | تقييم تغطية السجل |
| فجوات السياسة | مراجعة السياسة السنوية |
بناء برنامج الامتثال
نضج الامتثال
المستوى 1: تفاعلي
└── الاستجابة لنتائج التدقيق
└── جمع الأدلة اليدوي
المستوى 2: مُدار
└── عمليات محددة
└── تدقيقات داخلية منتظمة
المستوى 3: استباقي
└── مراقبة مستمرة
└── فحوصات امتثال آلية
المستوى 4: محسّن
└── الامتثال ككود
└── لوحات معلومات في الوقت الحقيقي
└── تحليل الفجوات التنبؤي
أدوات للأتمتة
| الفئة | أمثلة |
|---|---|
| منصات GRC | ServiceNow GRC، OneTrust، Vanta |
| الامتثال ككود | Chef InSpec، Open Policy Agent |
| جمع الأدلة | Drata، Secureframe |
| إدارة السياسات | PowerDMS، LogicGate |
نصيحة المقابلة: عند مناقشة الامتثال، أكد أنه أرضية، وليس سقف. الامتثال يضمن الحد الأدنى من المعايير، لكن الأمان الجيد غالباً يتجاوز ما تتطلبه اللوائح.
في الدرس التالي، سنغطي منهجيات تقييم المخاطر. :::