د.صالح بن ابراهيم المطيري

Slides:



Advertisements
Similar presentations
تجارب الدول في اعداد الخطط الوطنية لتقنية المعلومات أ. د. عبدالله بن حسن آلعبد القادر جامعة الملك فهـــــــــــد للبترول والمعـادن الظهران اللقاء السنوي.
Advertisements

الأمانة العامة لجامعة الدول العربية الإدارة العامة للشئون الاقتصادية الأمانة الفنية لمجلس وزراء العرب المسؤولين عن شؤون البيئة حلقة عمل حول إستخدام المواد.
دور إدارة وتنمية الموارد البشرية في تعزيز المساءلة والشفافية كانون أول 2005 الادارة العامة لتطوير القطاع العام - رئاسة الوزراء المملكة الاردنية الهاشمية.
1 التقويم المدرسي ( 3 فصول دراسية ) للمدارس الحكومية والمدارس الخاصة التي تطبق منهاج الوزارة العام الدراسي التقويم المدرسي ( 3 فصول دراسية )
الهيئة الوطنية لخدمات الشبكة
المجلس الأعلى للاتصالات وتكنولوجيا المعلومات (آي سي تي قطر) برنامج الحكومة الإلكترونية المتكاملة م. أحمد محمد الكواري مدير برنامج الحكومة الإلكترونية المتكاملة.
Download at SlideShop.com SlideShop.com المسوح الأسرية المعتمدة مصلحة الإحصاءات العامة والمعلومات المملكة العربية السعودية قطر 9 مايو 2011.
منصور البصيلي خالد الزهراني
نظام هال سوبر نوفا خالد العبدلله أقسام نظام هال سوبر نوفا قاريء الشاشة أنظمة إخراج: الناطق عدسة التكبير لغة برايل.
مكتب التقييم الأكاديمي ورشـــــــــة عمـــــــــــل نظام تقويم أداء أعضاء الهيئة الأكاديمية معــــايير التطبيق وجوانب الإفـادة مكتب التنمية المهنية وتطوير.
إدارة وتنمية مصادر المعلومات Information Resource Management (IRM)4.
شرطة خدمة المجتمع في مملكة البحرين " الواقع والمستقبل ”
المحتوى الإلكتروني المحلي الأهمية و سبل التطوير
مهارات الحاسب الآلي COMPUTER SKILLS ميسون القري. الفصل الدراسي الثاني 1431هـ الانترنت مجموعة ضخمة من شبكات الاتصالات المرتبطة ببعضها البعض، وهذه المجموعة.
الفصل الحادي عشر الطوارئ الإشعاعية
ما هي نظم المعلومات مراقبة عمل النظام تخزين موارد البيانات مخرجات
خطوات عملية التخطيط الاستراتيجي
محرك البحث الإدريسي غزوان البريكان
حسابات المستخدمين و المجموعات
Internet Safety الانترنت الآمن One of Hayah tech bytes Presenter :- Mohamed Ahmed.
© 2005 by Prentice Hall Initiating and Planning Systems Development Projects Modern Systems Analysis and Design Fourth Edition Jeffrey A. Hoffer Joey F.
بســــــــم الله الرحمن الرحيــــــــم. MRK 152 Mohammed Owais Qureshi Hashmi محمد عويس قرشي هاشمي Principles of Marketing.
© 2005 by Prentice Hall Identifying and Selecting Systems Development Projects Modern Systems Analysis and Design Fourth Edition Jeffrey A. Hoffer Joey.
تقارير جودة الخدمات للهاتف الثابت والمتحرك عن الربع
بســــــــم الله الرحمن الرحيــــــــم
تقسيم الشبكات Subnetting
البحث العلمي ورشة العمل الأولى للجان مشروع 11/11 للاعتماد المؤسسي هـ ا. د عبدالعزيز بن عبدالمحسن الملحم ا. د سليمان بن على الخطيب ا. د ايمن ايوب.
كواليتي لتقنية المعلومات الطريق الى التكنولوجيا
Principles of Marketing
First undersecretary for Economic Sector,CAPMAS
الرصد والتقييم في مرفق البيئة العالمي
المنشآت الصغيرة والمتوسطة بين «التجزئة» و «التكامل» محاضرة في مركز حمد الجاسر الثقافي إحسان علي بوحليقة 17فبراير2018.
معهد الادارة التقني قسم أنظمة الحاسبات تقدم.
إعداد المعلم : إيمان أحمد يوسف صالح
القمة العالمية لمجتمع المعلومات وقياسات تكنولوجيا المعلومات
لنفرض أن هدف التجربة هو مقارنة نوعين من الأعلاف (A و B) لتغذية أبقار حلوب خلال 3 شهور. وتم اختيار عشرين بقرة متشابهة ( في الوزن / العمر / السلالة / الموسم.
لنفرض أن هدف التجربة هو مقارنة صنفين من السماد (A و B) من حيث كمية محصول نوع معين من القمح.
الحوسبة السحابية وتطبيقاتها
What is “I am an IDP” App. ? ما هو تطبيق «أنا نازح» It is a free SMART phone app هو تطبيق مجاني للهواتف الذكية Can be downloaded from Google Play.
الإدارة الاستراتيجية.
المحاضرة الأولى مقدمة أساسية: - ما هو الوب؟ ما هي خصائصه؟
التعلم الالكترونى الطريق نحو تعليم افضل
How to contact me Twitter Blog :-
محاضرة بعنوان بطاقة الاداء المتوازن إعداد أ/ عمر شقور
المخدم الرئيسي في الشبكات
الوحدة الثالثة الاتصالات و شبكات الحاسوب
دولة فلسطين الجهاز المركزي للإحصاء الفلسطيني اعداد الاستراتيجية الوطنية لتطوير الاحصاءات الرسمية اعداد وتقديم محمد العمري عمان - الاردن.
إختر عنواناً لمشروعك يكون بسيطاً ويشد الانتباه!.
خدمة تعقب وحماية المركبات
أمن وحماية المعلومات.
استراتيجية الاتصالات والمعلومات تحديثها ... حوكمتها
تطوير نظام المدفوعات العراقي
دور الحكومة الإلكترونية في تطوير الخدمات الحكومية
Introduction to GIS Rugaia Omer Ahmed.
البرنامج التدريبي تهيئة معلمات الحاسب الآلي لتطبيق
Electronic Payment Systems أنظمة الدفع الالكتروني
Windows Security Center
رؤية في استمرارية العمل Vision in Business Continuity
مهارة التنظيم المتقدم تعريف مهارة التنظيم المتقدم Organizing in Advance هي تلك المهارة التي تستخدم من اجل ايجاد اطار عقلي او فكري يستطيع الافراد عن طريقه.
3. Browsing the Web تصفح الانترنت
Day 19-Internet.
"خمس خطوات نحو استراتيجية فعّالة"
Gateway (بوابة العبور أو الاتصال)
الأخلاق تجاه الحاسب.
الكلية الجامعية للعلوم التطبيقية
Prepared By : Ms Asma Prepared For : Grade 7
العلاقة مع المصادر Source Relationship.
السلام عليكم ورحمة الله وبركاته سيكون درسنا اليوم الدرس الأول في الوحدة الثالثة سنقدم لكم الدرس اليوم نحنُ طلاب المجموعة الثالثة : فيصل يحيى لعجم عبد الرحمن.
ماهو دور تكنولوجيا المعلومات في تفعيل إدارة علاقات الزبائن ببنك الخليج الجزائر - وكالة بسكرة-
الجمهــورية الجزائــرية الديمقــراطية الشعبيـــة وزارة التعليــم العــالي والبحــث العلمـي جــامعة محــمد خيضــر – بسكرة – كــلية العلــوم الاقتصــادية.
Presentation transcript:

د.صالح بن ابراهيم المطيري المدير العام - المركز الوطني للأمن الإلكتروني

عن المركز الوطني للأمن الالكتروني تم إنشاء المركز بناء على الأمر السامي الكريم رقم 53235 بتاريخ 12/12/1433 هـ وذلك لتأمين الفضاء الإلكتروني للمملكة. حيث تم تشكيل فريق من وزارة الداخلية وشركة أرامكو لتحقيق مضمون الأمر السامي الكريم. لدى المركز كادر سعودي يعملون لتحقيق أهداف المركز في حماية الفضاء الالكتروني للمملكة. تم إنشاء المنصة الأمنية الموحدة ومنصة مشاركة المعلومات. تم القيام بأعمال الاستجابة للحوادث الالكترونية على المستوى الوطني. تقديم خدمة توكيد المعلومات، حيث تمت مراجعة شبكات الاتصالات وأنظمة المعلومات الوطنية لعدة جهات حكومية. إقامة المؤتمر الدولي للأمن الالكتروني في الرياض 16/1/2016

البرنامج الوطني لحماية الفضاء الالكتروني استراتيجية المركز الوطني للأمن الالكتروني الاستراتيجية الوطنية للأمن الالكتروني في المملكة الخطة الاستراتيجية المبادئ الاستراتيجية المبادرات الوطنية للأمن الالكتروني في المملكة الأهداف الوطنية للأمن الالكتروني في المملكة المبادرات التنفيذية رؤية المركز الرؤية الوطنية للأمن الالكتروني في الممكلة المبادرة الأولى المبادرة الثانية المبادرة الثالثة الهدف الأول الرؤية الوطنية رسالة المركز المبادرة الرابعة مواثيق المبادرات المبادرة الخامسة الهدف الثاني المبادرة السادسة قيم المركز المبادرة السابعة الهدف الثالث المبادرة الثامنة أهداف وأوليات المركز المبادرة التاسعة خطة تنفيذ

منهجية الدراسة في تطوير الخطة الوطنية للأمن الالكتروني المخرجات أنشطة التطوير المدخلات الاستراتيجية الوطنية للأمن الالكتروني وثيقة المبادرات التنفيذية تحديد الرؤية الوطنية ووضع الأهداف والأولويات الاستراتيجية. تحديد الوضع المستقبلي لبرنامج الأمن الإلكتروني الوطني والفجوات الحالية. تحديد وترتيب الأولويات للمبادرات الإستراتيجية المتعلقة بالأمن الإلكتروني. وضع خارطة الطريق للمبادرات التنفيذية. تحديد الإجراءات اللازمة لتنفيذ وثيقة الإستراتيجية. تحديد منهجية التواصل مع الجهات ذات العلاقة. وثيقة خارطة الطريق وثيقة تقييم الوضع الراهن تم جمع معلومات من مصادر متعددة لتقيم الوضع الراهن و تحديد مستوى القوة والضعف في مجالات الأمن الإلكتروني وثيقة تحليل المخاطر و التهديدات تحديد التهديدات وتقييم المخاطر المتعلقة بالأمن الالكتروني للمملكة وثيقة خطة التنفيذ وثيقة تحليل أفضل الممارسات العالمية وثيقة خطة التواصل دراسة ومقارنة أبرز الجهود التي تمت في مجال الأمن الإلكتروني على المستوى العالمي وتحديد أفضل الممارسات المتبعة

رؤية و رسالة المركز الوطني للأمن الالكتروني الرؤية الرسالة رؤية و رسالة المركز الوطني للأمن الالكتروني لنكون القائد في حماية الفضاء الالكتروني للمملكة العربية السعودية و لنبني الثقة محلياً و دولياً كجهة فعّالة و متقدمة في الأمن الالكتروني يعمل المركز الوطني للأمن الإلكتروني ضمن استراتيجية قائمة على التعاون والتنسيق مع القطاعات الحكومية والمنشآت الحيوية بالمملكة كشركاء مهمين في تحقيق أهداف الأمن الإلكتروني بالمملكة. سيشكل المركز النقطة المحورية لتنسيق الجهود الوطنية في تحديد ومراقبة المخاطر الإلكترونية، وتقديم الارشادات والتوصيات اللازمة لحماية شبكات الاتصالات وأنظمة المعلومات الوطنية، ومشاركة البيانات المتعلقة بالتهديدات، وتنسيق عمليات الاستجابة والمعالجة للحوادث الإلكترونية.

بناء و تعزيز قدرات المركز الداخلية تعزيز الوضع العام للفضاء الالكتروني تعد الأهداف الاستراتيجية بمثابة الأداة لتنفيذ رؤية و رسالة المركز الوطني للأمن الالكتروني بناء و تعزيز قدرات المركز الداخلية تعزيز الوضع العام للفضاء الالكتروني تمكين الجهات الحكومية و المنشآت الحيوية من الاستعداد بشكل أفضل للحماية من الهجمات الالكترونية الهدف الثالث الهدف الثاني الهدف الأول بناء القدرات الداخلية لتعزيز دور المركز للقيام بالمسؤوليات المناطة به بشكل عملي و فعّال العمل على تعزيز فهم مخاطر الأمن الالكتروني وإيضاح آلية التعامل مع الحوادث الالكترونية مساعدة الجهات الحكومية و المنشآت الحيوية للاستعداد بشكل أفضل للحماية من الهجمات الالكترونية و التصدي لها على المستوى الوطني تطوير و إدارة المركز وفقا للمبادرات التنفيذية والتوجه الاستراتيجي للمركز. تحديد و إدارة المتطلبات التشغيلية للمركز. تسخير موارد المركز لتطوير و تحسين أداء العمل. تفعيل أفضل الممارسات العالمية في الفضاء الالكتروني في المملكة العربية السعودية. زيادة الوعي العام حول مخاطر الفضاء الالكتروني. تمكين الجهات الحكومية و المنشآت الحيوية على الحصول على معلومات استباقية للتصدي للهجمات. تزويد الجهات الحكومية و المنشآت الحيوية بقدرات عملية و فعالة للمراقبة الالكترونية. تعزيز التواصل و التعاون في حماية الفضاء الالكتروني بين الجهات الحكومية و المنشآت الحيوية.

الخدمات الرئيسية للمركز الوطني للأمن الالكتروني الاستجابة للحوادث والاستشارات التقنية عمليات الدراية الأمنية مشاركة المعلومات الأمنية الاستباقية توكيد المعلومات والجاهزية التحقيق الرقمي للحوادث الالكترونية ومعالجتها. تحليل الأدلة الجنائية الرقمية. المراقبة و الاستنتاج. رصد وتقييم الهجمات الالكترونية. جمع المعلومات الأمنية وتحليلها (Threat Intelligence). نشر النتائج (التحذيرات) للقطاعات الحكومية والمنشآت الحيوية. مراجعة البنية المعمارية لأمن المعلومات. قياس مستوى النضوج الأمني. تطوير وإدارة المعايير الأمنية. إدارة المخاطر.

تقييم شامل للوضع الراهن للأمن الالكتروني في المملكة: تحليل التهديدات الإلكترونية وتحديد أوليات المخاطر (مفصلة في "وثيقة تحديد المخاطر والتهديدات") # التعريف 1 تسريب البيانات: الحصول على بيانات بطريقة غير شرعية أو تسريب المعلومات على شبكات الانترنت من خلال عملية التصيد الالكتروني Spear-Phishing بروابط تعمل على تثبيت برامج ضارة لهدف سرقة المعلومات. 2 التزوير: احتيال محاسبي داخلي او معاملات مالية غير مشروعة،. 3 الاخلال بالبنية التحتية لشبكات الاتصال: رصد الاتصالات الحكومية الرسمية من خلال اختراق لشبكات مزودي الخدمة بطريقة مباشرة أو غير مباشرة كاستخدام صلاحيات غير مفوضة للاطلاع على الاتصالات الحكومية. 4 انقطاع الخدمة: استخدام هجمات حجب الخدمة الموزعة DDoS أو ما يماثله (تشويه صفحة المواقع الإلكترونية، سرقة الحسابات) ضد أنظمة أو مواقع حكومية أو قطاعات البنى التحتية الحيوية. 5 زرع برمجيات خبيثة: نشر البرمجيات الخبيثة في المنتديات العامة التي يتردد عليها موظفي الحكومة أو موظفي قطاعات البنى التحتية الحيوية. 6 نشر المعلومات السرية الخاصة: نشر المعلومات الخاصة بالمسؤولين السعوديين والتي تعتبر سرية على شبكات الانترنت لهدف الدعوة على العنف والعمل الارهابي 7 اختراق أنظمة الكترونية حديثة: سرقة البيانات الموجودة في قواعد البيانات السحابية سوآءا الحكومية أو الخاصة. 8 ابتزاز: سرقة بيانات أو ملفات خاصة لأحد قطاعات البنى التحتية فائقة الأهمية وطلب مبلغ مالي مقابل عدم نشر البيانات. 9 حادثة فقدان أجهزة حاسوبية: يقوم موظف بفقدان جهازه الحاسوبي الخاص ويتم نشر معلومات حساسة موجودة في الجهاز من طرف مجهول. 10 التهديد المستمر المتقدم (APT): تقنيات وتكتيكات متطورة تفوق قدرات ومعرفة فريق الحماية و الاستجابة للحوادث في قطاعات البنى التحتية فائقة الأهمية. 11 سرقة الحسابات: سرقة حسابات مواقع التواصل الاجتماعية للجهات الحكومية ونشر رسائل كاذبة. 12 ضعف كلمات الحماية: ضعف وسهولة كلمات المرور بسبب ضعف الضوابط الأمنية للحماية والتي قد تستغل في التوصل إلى وسائل التحكم بالأنظمة. 13 زرع برمجيات خبيثة: عن طريق تحميل ملفات من الانترنت على أجهزة الحاسب والتي قد تحتوي على برمجيات خبيثة وقد يتم انتشار العدوى إلى أجهزة اخرى على شبكة الأجهزة الحكومية. 14 ابتزاز: رسالة بريد الكتروني تحتوي على ملفات فديو أو صور تستخدم لزرع برمجيات خبيثة أو تهديد المستهدف بنشرها في حال عدم دفع مبلغ مالي.

تحديد أوليات المخاطر بناءاً على احتمالية الحدوث وحجم الضرر منخفض متوسط مرتفع حرج منخفضة متوسطة مرتفعة   9 5 14 12 13 3 8 4 10 2 1 6 7 تحديد أوليات المخاطر بناءاً على احتمالية الحدوث وحجم الضرر سرقة البيانات في القواعد السحابية سرقة حسابات الجهات الحكومية في مواقع التواصل نشر المعلومات السرية الخاصة لهدف العنف تسريب البيانات

نموذج المركز الوطني للأمن الإلكتروني المنشآت الحيوية ومزودي الخدمة محرك التحليل نظام المعلومات الإستخباراتية مصادر مفتوحة معلومات إستخباراتية حكومية معلومات إستخباراتية تجارية Feedback Actionable Intelligence الحوادث المنصة الوطنية الموحدة للأمن الإلكتروني العرض المرئي منصة الأدلة الجنائية معالجة الحوادث الإلكترونية تنبيهات منصة تبادل المعلومات التحقيقات معلومات تحذيرات معلومات

التقرير الأول للأمن الإلكتروني

أكثر 10 فيروسات انتشارا في المملكة للفتره 24 March 2016 - 24 April 2016

تحديات الحماية من الهجمات الإلكترونية صعوبة الوثوق بأنظمة المعلومات وأجهزة الاتصالات. الحماية ليست أنظمة تقنية فقط وإنما هي منظومة متكاملة (الحوكمة ،الاستراتيجيات والسياسات، والعنصر البشري) . صعوبة تحقيق الحماية مما يتطلب إدارة للمخاطر تراعي توازن بين الحماية والمراقبة والاستجابة للحوادث

ضوابط الأمن Security Controls ومنع الاختراقات هناك عدة أطر عامة وخاصة تحتوي على ضوابط لحماية شبكات الاتصالات وأنظمة المعلومات من الهجمات الإلكترونية . تلك الأطر تحتوي على قوائم طويلة من الضوابط الأمنية والتي يستلزم تطبيقها وقت وجهد كبير . استعانت بعض الدول بقائمة مختصرة بأهم الضوابط الأمنية والتي تم وضعها بقائمة Critical Controls بحيث: تمنع 80% أو أكثر من الاختراقات لا تحتاج إلى وقت أو جهد كبير للتطبيق Countries Australia U.K U.S.A KSA NIST 800-53 SANS Security Controls 35 20 120 24 17 Critical Controls 4 10 6 8

Top Six Cyber Security Controls Initiatives Monitoring Cyber Assessment Managing User Privilege Information Leakage Prevention Application Whitelisting Awareness & Training

Cybersecurity Controls Assessment Survey Implantation Roadmap KPI (measuring the success of control implementation) weight 1 Monitoring SIEM How many threat can the SIEM defect delay –monthly? Are all the logs connecting with SIEM? Do you have the expert people to deal with SIEM?   5 NGFW The NGFW must accurately identify applications on any port control application functions prevent information leaks The NGFW must protect networks based on applications and implement minimum authorization using whitelist Do you have the expert people to deal with NGFW? Make sure you have all the NGFW services: Firewall-IPS & IDS - Anti-Malware-Web Filtering-Anti-Spam-Traffic Shaping-VPN ENP AV work in all PC and servers and updated 2 Security Assessment NCSC's security survey Complete the survey. NCSC Security Audit NCSC audit team report. VA Network Mapping Vulnerability Scan Penetration testing File Integrity checks Password cracking Virus detection IDS/Firewall/Log review War dialing Wireless/802.11 Leak checks Analysis and Report. Cybersecurity Controls Assessment Survey Control Question Answer Yes/No Remark 1- Governance Program   Is organizational information security management policy (ISMP) established?

شكراً لكم ...