مركز أمن الإنترنت
مركز أمن الإنترنت | |
---|---|
البلد | الولايات المتحدة |
المقر الرئيسي | إيست غرينبوش |
النوع | منظمة 501 منظمة غير ربحية[1] |
Chairman and interim CEO | John C. Gilligan[2][3] |
شخصيات مهمة | Steven J. Spano, President and COO; Curtis W. Dukes, Executive Vice President; مجلس إدارة,[4] Executive Committee[5] |
الانتماء | آيزاكا، AICPA، IIA، ISC2، معهد سانس[6] |
الموقع الرسمي | www.cisecurity.org |
تعديل مصدري - تعديل |
مركز أمن الإنترنت (بالإنجليزية: Center for Internet Security) اختصارًا (CIS) هي منظمة 501 (c) (3) غير ربحية، تشكلت في شهر أكتوبر، في عام 2000. وتتمثل مهمتها في «تحديد وتطوير، والتحقق من صحة، وتعزيز، والحفاظ على حلول أفضل الممارسات للدفاع السيبراني وبناء وقيادة المجتمعات لتمكين بيئة من الثقة في الفضاء الإلكتروني». يقع المقر الرئيسي للمنظمة في شرق جرينبوش، بمدينة نيويورك، ويوجد لها أعضاء متعددين بما في ذلك الشركات الكبرى والوكالات الحكومية والمؤسسات الأكاديمية.
يوظف مركز أمن الإنترنت نموذجًا مغلقًا للتعهيد الجماعي لتحديد الإجراءات الأمنية الفعالة وصقلها، حيث يقوم الأفراد بتطوير توصيات يتم مشاركتها مع المجتمع للتقييم من خلال عملية صنع القرار بالإجماع. على الصعيدين الوطني والدولي، حيث يلعب مركز أمن الإنترنت دورًا مهمًا في تشكيل سياسات وقرارات الأمان من خلال الحفاظ على عناصر التحكم في مركز أمن الإنترنت ومعايير مركز أمن الإنترنت، واستضافة مركز تبادل المعلومات متعدد الدول وتحليله (MS-ISAC).[9]
مجالات البرامج
[عدل]يحتوي مركز أمن الإنترنت على العديد من مجالات البرامج، بما في ذلك MS-ISAC و CIS Controls و CIS Benchmarks و CIS Communities و CIS CyberMarket. من خلال هذه المجالات البرامجية، يعمل مركز أمن الإنترنت مع مجموعة واسعة من الكيانات، بما في ذلك تلك الموجودة في الأوساط الأكاديمية والحكومة والقطاع الخاص والجمهور العام على حد سواء لزيادة أمانهم عبر الإنترنت من خلال تزويدهم بالمنتجات والخدمات التي تحسن كفاءة وفعالية الأمان عبر الإنترنت.[10] [11]
مركز تبادل المعلومات والتحليل المتعدد الولايات (MS-ISAC)
[عدل]مركز تبادل المعلومات وتحليلها المتعدد الولايات (MS-ISAC) هو «مركز مراقبة وتخفيف تهديدات الإنترنت على مدار الساعة لحكومات الولايات والحكومات المحلية» تديره رابطة الدول المستقلة كشراكة مع مكتب الأمن السيبراني والاتصالات في الولايات المتحدة ووزارة الأمن الداخلي الأمريكية (DHS). تم إنشاء مركز تبادل المعلومات هذا في أواخر عام 2002، وتم إطلاقه رسميًا في شهر يناير من عام 2003، من قبل وليام بيلجرن، ومن ثم من قبل كبير ضباط الأمن في ولاية نيويورك.[12] بدءًا من مجموعة صغيرة من الدول المشاركة في الشمال الشرقي، أصبح مركز تبادل المعلومات يضم جميع الولايات الأمريكية الخمسين ومقاطعة كولومبيا، بالإضافة إلى الحكومات الإقليمية والقبلية والمحلية الأمريكية. من أجل تسهيل توسيع نطاقه. وفي أواخر عام 2010، انتقل مركز تبادل المعلومات إلى «وضع غير هادف للربح تحت رعاية مركز أمن الإنترنت»، وهو تحول أدى بتسهيلة وتنظيمة رابطة الدول المستقلة «لها سمعة راسخة في توفير موارد الأمن السيبراني للقطاعين العام والخاص».[13]
علاوة على كل ذلك، مركز تبادل المعلومات يساعد الوكالات الحكومية على مكافحة التهديدات السيبرانية ويعمل عن كثب مع تطبيق القانون الفيدرالي"، [14] [15] وتم تعيينه واعتماده من قبل وزارة الأمن الوطني كمصدر رئيسي للأمن السيبراني لحكومات الدولة في القطاعات المحلية والإقليمية والقبلية (SLTT). يقوم مركز عمليات الأمن السيبراني بالعمل بشكل متزامن مع مركز تبادل المعلومات على مدار 24 ساعة طوال أيام الأسبوع وذلك بإنشاء عمليات تختص بمراقبة الشبكة وإصدار تحذيرات واستشارات ونشر تهديدات إلكترونية في وقت مبكر، كما يقومون بإجراء التعرف على الثغرات الأمنية والتخفيف من حدتها وكذلك العمل على الاستجابة للحوادث الإلكترونية الأمنية.[16]
الأهداف الرئيسية لـ مركز تبادل المعلومات يمكن وصفها كما يلي: [17]
- توفير مشاركة ثنائية الاتجاه للمعلومات والإنذارات المبكرة حول تهديدات الأمان السيبراني.
- توفير عملية لجمع ونشر المعلومات حول حوادث الأمن السيبراني.
- تعزيز الوعي بالاعتماد المتبادل بين البنية التحتية الحيوية المادية والفضائية وكذلك بين القطاعات المختلفة وفيما بينها.
- تنسيق التدريب والوعي.
- التأكد من أن جميع الأطراف الضرورية شركاء في هذا الجهد.
مركز تبادل وتحليل معلومات البنية التحتية للانتخابات (EI-ISAC)
[عدل]يعد مركز تبادل وتحليل معلومات البنية التحتية للانتخابات (EI-ISAC)، مورداً حاسماً لمنع تهديدات الإنترنت وحمايتها واستجابتها واستردادها لدولة والقطاعات المحلية والإقليمية، والمكاتب الانتخابية القبلية (SLTT)، كما تم إنشاؤه بواسطة مجلس التنسيق الحكومي لقطاع البنية التحتية للانتخابات (GCC). يتم تشغيل وإدارة هذا المركز بواسطة مركز أمن الإنترنت.
تتمثل مهمة مركز تبادل وتحليل معلومات البنية التحتية للانتخابات في تحسين وضع الأمن السيبراني العام لمكاتب انتخابات SLTT ، من خلال التعاون وتبادل المعلومات بين الأعضاء، ووزارة الأمن الداخلي الأمريكية (DHS) والشركاء الفيدراليين الآخرين، وشركاء القطاع الخاص، حيث أن كل من هؤلاء يعتبرون هم بالأساس مفتاح النجاح الأول. يُعتبر المركز مورداً مركزياً لجمع المعلومات حول التهديدات السيبرانية للبنية التحتية للانتخابات والمشاركة في اتجاهين للمعلومات بين القطاعين العام والخاص من أجل تحديد وحماية وكشف والاستجابة والتعافي من الهجمات على الانتخابات العامة والخاصة في البنية التحتية. ويضم المركز أيضاً ممثلين من مكاتب الانتخابات SLTT والمقاولين لدعم البنية التحتية للانتخابات SLTT.[18]
عناصر التحكم في مركز أمن الإنترنت والمعايير
[عدل]توفر عناصر التحكم في مركز أمن الإنترت ومقاييس مركز أمن الإنترنت معايير عالمية لأمن الإنترنت، وهو معيار عالمي معترف به، حيث أنه يوفر أفضل الممارسات لتأمين أنظمة تكنولوجيا المعلومات والبيانات ضد الهجمات على مستوى وصعيد عالمي. أيضاً، يحافظ مركز أمن الإنترنت على «عناصر التحكم في المعايير»، وهي مجموعة شائعة من 20 عنصر تحكم أمان «والتي تحدد العديد من معايير الامتثال»، وهي قابلة للتطبيق على إنترنت الأشياء.[19] من خلال عملية توافق معيارية مستقلة، يوفر مركز أمن الإنترنت معايير عمل لمساعدة المنظمات على تعزيز أمنها. إضافة إلى ذلك، يقدم المركز مجموعة متنوعة من الموارد المجانية، [20] والتي تشمل «معايير التكوين الآمنة وأدوات تقييم التكوين التلقائي والمحتوى ومقاييس الأمان وشهادات منتجات برامج الأمان». [11]
تدافع عناصر التحكم في مركز أمن الإنترنت عن «نموذج دفاعي معمق للمساعدة في منع البرامج الضارة واكتشافها».[21] أظهرت دراسة أجريت في شهر مايو في عام 2017 أن «المؤسسات تفشل في كمعدل متوسط بنسبة 55٪ من عمليات التحقق من الامتثال التي أنشأها مركز أمان الإنترنت»، مع كون أكثر من نصف هذه الانتهاكات تُعتبر قضايا خطيرة للغاية.[22] في شهر مارس من عام 2015، أطلق مركز أمن الإنترنت صور Carden Hardened لـ Amazon Web Services ، استجابةً «للقلق المتزايد المحيط بسلامة بيانات المعلومات الموجودة على الخوادم الافتراضية في السحابة».[23] تم توفير الموارد في صورة Amazon Machine Images ، وهي قائمة بـ«أنظمة صلبة تخضع لمعايير مركز أمن الإنترنت»، بما في ذلك أنظمة مطبقة على أنظمة ويندوز ولينكس وأوبونتو، مع إضافة صور إضافية ومزودي خدمات السحاب لاحقًا.
أصدر مركز أمن الإنترت أدلة مصاحبة لـ «عناصر تحكم أمن الإنترنت»، وهي توصيات لاتخاذ إجراءات لمكافحة هجمات الأمن السيبراني، مع إصدار أدلة جديدة في شهر أكتوبر وشهر ديسمبر أيضاً في عام 2015.[24] في شهر أبريل بعام 2018، أطلق مركز أمن الإنترنت طريقة لتقييم مخاطر أمن المعلومات وذلك بغرض تطبيق عناصر التحكم الخاصة بمركز أمن الإنترنت نفسه، والتي تسمى بـ (CIS RAM)، والتي تقوم على تقييم معايير المخاطر من قبل مجلس DoCRA.[25]
معايير مركز أمن الإنترنت هي في الحقيقة تعمل بمثابة توافق إجماعي وتعاون بين مجتمع التوافق والإجماع (Consensus Community) وأعضاء CIS SecureSuite (وهي فئة من أعضاء مركز أمن الإنترنت لديهم إمكانية الوصول إلى مجموعات إضافية من الأدوات والموارد).[26] يتكون مجتمع التوافق والإجماع من خبراء في مجال أمن تكنولوجيا المعلومات يستخدمون معارفهم وخبراتهم لمساعدة مجتمع الإنترنت العالمي، بينما يتكون أعضاء CIS SecureSuite من عدة أنواع مختلفة من الشركات التي تتراوح في أحجامها، بما في ذلك الوكالات الحكومية والكليات والجامعات والمنظمات غير الربحية ومدققو تكنولوجيا المعلومات والاستشاريون وبائعي برامج الأمان والمنظمات الأخرى. تتيح معايير مركز أمن الإنترنت وغيرها من الأدوات التي يوفرها مركز أمن الإنترنت دون أي تكلفة للعاملين في تكنولوجيا المعلومات إنشاء تقارير تقارن أمان على نظامهم مع معيار التوافق العالمي. يعزز هذا الأمر هيكلًا جديدًا لأمن الإنترنت بحيث يكون كل شخص مسؤولاً عن ذلك يتم مشاركته بين كبار المسؤولين التنفيذيين ومحترفي التكنولوجيا وغيرهم من مستخدمي الإنترنت في جميع أنحاء العالم. علاوة على ذلك، يوفر مركز أمن الإنترنت أدوات أمان الإنترنت مع ميزة تسجيل تقوم بتصنيف أمان تكوين النظام الموجود. على سبيل المثال، يوفر مركز أمن الإنترنت لأعضاء SecureSuite إمكانية الوصول إلى CIS-CAT Pro ، وهو «تطبيق Java مشترك عبر الأنظمة الأساسية» الذي يقوم بمسح الأنظمة المستهدفة (مسح إستكشافي) و «ينتج تقريرًا يقارن إعداداتك بالمعايير المنشورة». [10] ويهدف هذا الأمر إلى تشجيع وتحفيز المستخدمين على تحسين الدرجات التي يقدمها البرنامج، مما يعزز أمان الإنترنت والأنظمة الخاصة بهم. يعتمد معيار الإجماع العالمي الذي يستخدمه مركز أمن الإنترنت على المعرفة المتراكمة لمحترفي التكنولوجيا الماهرين ويستخدمها كمعيار رسمي. نظرًا لأن متخصصي أمان الإنترنت يتطوعون بالمساهمة في هذا التوافق، فإن هذا الأمر من شأنه بأن يقلل تكاليف مركز أمن الإنترنت ويجعله فعال من حيث التكلفة.[27]
السوق الإلكتروني لمركز أمن الإنترنت
[عدل]السوق الإلكتروني في مركز أمن الإنترنت هو «برنامج شراء تعاوني يخدم المؤسسات الحكومية التابعة للولايات الأمريكية في القطاعات المحلية والقبلية والإقليمية (SLTT) والكيانات غير الربحية ومؤسسات الصحة والتعليم العامة لتحسين الأمن السيبراني من خلال الشراء الجماعي الفعال التكلفة».[28] يهدف هذا السوق الإلكتروني إلى الجمع بين القوة الشرائية للقطاعات الحكومية وغير الربحية لمساعدة المشاركين على تحسين أوضاع الأمن السيبراني بتكلفة أقل مما كان يمكن أن يحققوه من تلقاء أنفسهم. يساعد البرنامج المتواجد في السوق الإلكتروني لمركز أمن الإنترنت في مهمة «كثيفة الوقت ومكلفة ومعقدة وشاقة» تتمثل في الحفاظ على الأمن السيبراني من خلال العمل مع القطاعين العام والخاص لتقديم أدوات وخدمات فعالة التكلفة لشركائهم. حيث أنه أيضاً تتم مراجعة فرص الشراء المدمجة من قبل خبراء المجال. [17]
هناك ثلاثة أهداف رئيسية لـ السوق الإلكتروني في مركز أمن الإنترنت وهي:
- المساهمة في بيئة موثوق بها لتحسين حالة الأمن السيبراني للكيانات المذكورة سابقًا.
- خفض تكلفة احتياجات الأمن السيبراني.
- العمل مع الشركات لتقديم الخدمات والمنتجات الأمنية لشركائها.[17]
يخدم السوق الإلكتروني في مركز أمن الإنترنت مراكز وجهات أخرى عدة مثل مركز تبادل المعلومات (المذكور أعلاه)، والكيانات الحكومية وغير الربحية في تحقيق قدر أكبر من الأمن السيبراني. في صفحة «الموارد» على برامج السوق الإلكتروني في مركز أمن الإنترنت، تتوفر النشرات الإخبارية والوثائق المتعددة مجانًا، بما في ذلك «كتيب الأمن السيبراني للمدن والمقاطعات». [16]
مجتمعات مركز أمن الإنترنت
[عدل]مجتمعات مركز أمن الإنترنت هي «مجتمع عالمي متطوع مكون من محترفي تكنولوجيا المعلومات» الذين «يقومون باستمرار بصقل والتحقق من» أفضل ممارسات مركز أمن الإنترنت وأدوات الأمن السيبراني.[29] لتطوير وهيكلة معايير مركز أمن الإنترنت، يستخدم المركز إستراتيجية يقوم فيها أعضاء المنظمة أولاً بتكوين فرق. تقوم هذه الفرق بعد ذلك بجمع الاقتراحات والنصائح والعمل الرسمي والتوصيات من بعض المنظمات المشاركة. بعد ذلك، تقوم الفرق بتحليل بياناتها ومعلوماتها لتحديد إعدادات التكوين الأكثر حيوية التي من شأنها تحسين أمان نظام الإنترنت في أكبر عدد ممكن من إعدادات العمل. يعمل كل عضو في الفريق باستمرار مع زملائهم في الفريق ويحلل وينقد كل فرد من الفريق حتى يتكون قرار الإجماع بين أعضاء الفريق. قبل إصدار المعيار ونشره لعامة الناس والمستخدمين، يكون المعيار متاح للتنزيل والاختبار بين المجتمع الخاص الذي تم تكوينه من قبل. بعد مراجعة جميع التعليقات الواردة من الاختبار وإجراء أي تعديلات أو تغييرات ضرورية، يتم توفير المعيار النهائي وأدوات الأمان الأخرى ذات الصلة للجمهور للتنزيل من خلال موقع مركز أمن الإنترنت. هذه العملية واسعة النطاق ويتم تنفيذها بعناية بحيث يشارك فيها الآلاف من محترفي الأمن في جميع أنحاء العالم. وفقًا لـ ISACA ، «أثناء تطوير معيار مركز أمن الإنترنت لشركة Sun Microsystems Solaris ، قام أكثر من 2,500 مستخدم بتنزيل أدوات القياس والمراقبة».[30]
المنظمات المشاركة
[عدل]تشمل المنظمات التي شاركت في تأسيس مركز أمن الإنترنت في شهر أكتوبر بعام 2000 ISACA والمعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) ومعهد المراجعين الداخليين (IIA) واتحاد شهادات أمن نظم المعلومات الدولي (ISC2) ومعهد SANS (إدارة النظام والشبكات والأمن). منذ ذلك الحين نمت رابطة مركز أمن الإنترنت لتصبح رابطة مكونة من مئات الأعضاء وبدرجات متفاوتة من العضوية، وتتعاون وتعمل مع مجموعة متنوعة من المنظمات والأعضاء على الصعيدين الوطني والدولي. بعض هذه المنظمات تشمل تلك الموجودة في كل من القطاعين العام والخاص، والقطاعات الحكومية، ISACs وسلطات إنفاذ القانون أيضاً.
المراجع
[عدل]- ^ ا ب Rulison، Larry (9 نوفمبر 2016). "E. Greenbush group monitored election for hackers". Albany Times Union. مؤرشف من الأصل في 2017-10-06.
{{استشهاد ويب}}
: استعمال الخط المائل أو الغليظ غير مسموح:|ناشر=
(مساعدة) - ^ Ackerman، Robert K.؛ Pendleton، Breann (28 يونيو 2017). "More Than Just Your Regular Cyberthreats". Signal. مؤرشف من الأصل في 2019-12-17.
- ^ "John M. Gilligan". Center for Internet Security. مؤرشف من الأصل في 2019-12-17. اطلع عليه بتاريخ 2017-07-25.
- ^ "Center for Internet Security Board of Directors". Center for Internet Security. مؤرشف من الأصل في 2017-02-02. اطلع عليه بتاريخ 2017-07-25.
- ^ "Center for Internet Security Executive Committee". Center for Internet Security. مؤرشف من الأصل في 2017-01-04. اطلع عليه بتاريخ 2017-07-25.
- ^ ا ب Kreitner، Clint؛ Miuccio، Bert. "The Center for Internet Security: Global Security Benchmarks for Computers Connected to the Internet". آيزاكا (ISACA). مؤرشف من الأصل في 2020-05-18. اطلع عليه بتاريخ 2017-07-25.
{{استشهاد ويب}}
: صيانة الاستشهاد: BOT: original URL status unknown (link) - ^ Buonanno، Nicholas (22 مايو 2017). "High school students participate in cybersecurity internship". The Record. مؤرشف من الأصل في 2018-01-17.
- ^ "About us". Center for Internet Security. مؤرشف من الأصل في 2019-08-08. اطلع عليه بتاريخ 2017-07-25.
- ^ Nazli Choucri, Stuart Madnick, and Priscilla Koepke, Institutions for Cyber Security: International Responses and Data Sharing Initiatives, Working Paper CISL# 2016-10 (August 2016) Cybersecurity Interdisciplinary Systems Laboratory (CISL), Sloan School of Management, Massachusetts Institute of Technology. "نسخة مؤرشفة". مؤرشف من الأصل في 2019-08-30. اطلع عليه بتاريخ 2019-09-09.
{{استشهاد ويب}}
: صيانة الاستشهاد: BOT: original URL status unknown (link) - ^ ا ب "Information Security and Policy: About The Center for Internet Security". جامعة كاليفورنيا. مؤرشف من الأصل في 2019-12-13. اطلع عليه بتاريخ 2017-07-25.
- ^ ا ب "CIS Security Benchmarks Tools". جامعة جورج ماسون. مؤرشف من الأصل في 2019-02-20. اطلع عليه بتاريخ 2017-07-25.
- ^ Lohrmann، Dan (30 مايو 2015). "Interview with Retiring MS-ISAC Founder Will Pelgrin and Incoming CIS CEO Jane Lute". Government Technology. مؤرشف من الأصل في 2018-09-19.
- ^ "Multi-State Information Sharing and Analysis Center". Center for Internet Security. مؤرشف من الأصل في 2015-12-17. اطلع عليه بتاريخ 2014-03-21.
- ^ Nakashima، Ellen (29 أغسطس 2016). "Russian hackers targeted Arizona election system". واشنطن بوست. مؤرشف من الأصل في 2019-09-05.
- ^ Robert M. Clark and Simon Hakim, Protecting Critical Infrastructure at the State, Provincial, and Local Level: Issues in Cyber-Physical Security, Cyber-Physical Security (August 11, 2016), p. 11. نسخة محفوظة 17 ديسمبر 2019 على موقع واي باك مشين.
- ^ ا ب "Welcome to the MS-ISAC". Center for Internet Security. مؤرشف من الأصل في 2017-04-01. اطلع عليه بتاريخ 2017-07-25.
- ^ ا ب ج "Center for Internet Security". Center for Internet Security. مؤرشف من الأصل في 2019-08-30. اطلع عليه بتاريخ 2017-07-25.
- ^ "EI-ISAC® Charter". مؤرشف من الأصل في 2019-10-24.
- ^ Russell، Brian؛ Van Duren، Drew (2016). Practical Internet of Things Security. ص. 83. ISBN:978-1785880292.
- ^ Westby، Jody R. (2004). International Guide to Cyber Security. ص. 213. ISBN:1590313321.
- ^ Shelton، Debbie (ديسمبر 2016). "A winning pair: governance and automated controls must work in tandem to achieve maximum results". Internal Auditor. مؤرشف من الأصل في 2018-08-10.
{{استشهاد ويب}}
:|archive-date=
/|archive-url=
timestamp mismatch (مساعدة) والوسيط غير المعروف|A474660784&sid=
تم تجاهله (مساعدة) - ^ Seals، Tara (26 مايو 2017). "Cloud Environments Suffer Widespread Lack of Security Best Practices". Infosecurity Magazine. مؤرشف من الأصل في 2018-10-30.
- ^ Seals، Tara (25 مارس 2015). "Center for Internet Security Aims at AWS". Infosecurity Magazine. مؤرشف من الأصل في 2018-10-27.
- ^ Seals، Tara (23 ديسمبر 2015). "Center for Internet Security Releases Companion Guides". Infosecurity Magazine. مؤرشف من الأصل في 2019-05-16.
- ^ "CIS RAM FAQ". CIS® (Center for Internet Security, Inc.) website. مؤرشف من الأصل في 2020-04-16.
- ^ "CIS SecureSuite Membership". مؤرشف من الأصل في 2019-05-22. اطلع عليه بتاريخ 2016-07-25.
- ^ "Center for Internet Security Takes Leading Role in Industry Efforts to Enhance Security Automation". بزنيس واير [الإنجليزية]. 12 سبتمبر 2013. مؤرشف من الأصل في 2017-10-06.
- ^ "CIS CyberMarket". مؤرشف من الأصل في 2019-05-22. اطلع عليه بتاريخ 2017-07-25.
- ^ "CIS Communities". مؤرشف من الأصل في 2019-05-22. اطلع عليه بتاريخ 2017-07-29.
- ^ "ISACA: Serving IT Governance Professionals". مؤرشف من الأصل في 2019-09-06. اطلع عليه بتاريخ 2014-03-07.