متطلبات الأمن الإلكتروني الرئيسية للمقاولين الفيدراليون

يتمسك المقاولون الفيدراليون بأعلى معايير أمن المعلومات. ومع إدخال معايير "التأمين الأساسي" الجديدة لأنظمة معلومات المقاولين، سوف تكتشف الكثير من الشركات بأن عقودها مع الحكومة الفيدرالية منتهية ما لم يمكنهم التحقق من مدى الامتثال لها.

وستطبق القواعد الجديدة على المقاولين الذين يعملون مع الأجهزة الفيدرالية بما فيها وزارة الدفاع وإدارة الخدمات العامة ووكالة ناسا. ويتم توضيح مختلف المتطلبات الآن في لائحة الاستحواذ الفيدرالية وذلك بغية ضمان الامتثال.

تم توضيح خمسة عشر مواصفة من المواصفات الجديدة في ست فئات:

نظام التحكم بالدخول

ينبغي أن يقتصر الدخول إلى أنظمة المعلومات على المستخدمين المصرح لهم والعمليات المصرحة التي تتم بالنيابة عن هؤلاء المستخدمين، أو الأجهزة المصرحة والتي يمكن أن تشمل أنظمة معلومات أخرى.

• ينبغي أن يقتصر الدخول إلى أنظمة المعلومات على هذه الأنواع من الوظائف والمعاملات التي ينبغي السماح للمستخدمين المصرح لهم بتنفيذها.
• يجب على الأنظمة التحقق والتحكم في الاتصالات بالبيانات الخارجية ("المعلومات") واستخدامها.
• ينبغي على الأنظمة التعرف على المستخدمين والعمليات والأجهزة التي تتصل بأنظمة المعلومات وتستخدمها.
• يجب التحكم في المعلومات التي يتم نشرها أو معالجتها من خلال الأنظمة المتاحة للعامة.

التعريف والمصادقة

ينبغي أن يقتصر الوصول إلى أنظمة المعلومات على المستخدمين المصرح لهم والعمليات المصرحة التي تتم بالنيابة عن هؤلاء المستخدمين، أو الأجهزة المصرحة والتي يمكن أن تشمل أنظمة معلومات أخرى..

• يجب على المؤسسات المصادقة على هويات المستخدمين أو العمليات أو الأجهزة كشرط مسبق لتوفير الدخول إلى أنظمة المعلومات التنظيمية.
• يجب على المؤسسات تدمير أو بالأحرى "حذف" كل الوسائط الخاصة بأنظمة المعلومات والتي تحتوي على بيانات العقد الحساسة قبل التصرف فيها أو إعادة استخدامها.

حماية الوسائط

يجب على المؤسسات قصر عملية الوصول الفعلي إلى أنظمة المعلومات ومعداتها وبيئة التشغيل ذات الصلة على الأشخاص المصرح لهم.

الحماية الفعلية

• يجب على المؤسسات الحفاظ على سجلات التدقيق الخاصة بالوصول الفعلي وكذلك الحفاظ على مراقبة الوصول إلى الأجهزة المادية وإدارته بالإضافة إلى مرافقة كل الزائرين ومراقبة أنشطتهم.
• يجب عليهم السيطرة على عملية المراقبة المناسبة للاتصالات التنظيمية مثل البيانات التي ترسل أو تستلم في إطار الحدود التنظيمية (الخارجية منها والداخلية) وحمايتها والحفاظ عليها.

النظام و حماية الإتصالات

• يجب على المؤسسات تطبيق الشبكات الفرعية وتنفيذها لعناصر الأنظمة التي يمكن للجمهور الوصول إليها والتي تكون منفصلة منطقيًا أو فعليًا عن الشبكة الداخلية.
• يجب عليهم تحديد العيوب الموجودة في أنظمة المعلومات المشمولة والإبلاغ عنها وتصحيحها بشكل سريع وفوري.

تكامل الأنظمة والمعلومات

• يجب على المؤسسات توفير الحماية من الشفرة الخبيثة في كل جانب من جوانب أنظمة معلومات المؤسسة.
• يجب على المؤسسات تحديث سبل الحماية من الشفرة الخبيثة كلما كانت الإصدارات الجديدة متاحة أو متوفرة.
• يجب عليهم إجراء عمليات الفحص الدورية لنظام المعلومات ككل وكذلك إجراء عمليات الفحص الفورية للملفات المستلمة من مصادر خارجية (كما هو الحال عند تنزيلها أو تطبيقها أو فتحها).

تعرض شركة أي إس سكويرد خدمتي أمن مدارتين لمساعدة المؤسسات على تلبية هذه المتطلبات:

المعلومات الأمنية وإدارة الأحداث كخدمة

خدمة مركز عمليات الأمن الإلكتروني

فهم إدارة نظام أمن المعلومات و إدارة الأحداث SIEM

يعتبر التبليغ الفوري عن الأحداث الأمنية المهمة محور اهتمام أساسي في خدمة المعلومات الأمنية وإدارة الاحداث. وقد تساعد الخدمات الأمنية المدارة على الاستفادة من العمارة الافتراضية الحالية لاستضافة خدمة المعلومات الأمنية وإدارة الأحداث دون الحاجة لنشر الخبرة الداخلية لبناء تلك الخدمة وإدارتها وصيانتها.

وبفضل الخدمات الأمنية المدارة المتوافقة، يقوم الخبراء بتنفيذ الخدمات الرئيسية مثل الإبلاغ والتنبيه والتهيئة والتنقيح ذات الصلة بالوظائف، ويقدم هذا النموذج الفعال من حيث التكلفة والذي يركز على نفقات التشغيل الإمكانيات والقدرات في جزء صغير من تكلفة الخبرة الداخلية.

فهم مركز العمليات الأمنية كخدمة

تحتوي معظم معايير الامتثال في صميمها على شرط المراقبة الصارمة أي أنه يجب على خبير في مجال الأمان عبر الإنترنت مراجعة سجلات الأحداث بصفة دورية. وتساعدك إدارة الخدمات الأمنية على تحديد نطاق هذا الشرط المهم والضروري بتكلفة معقولة من خلال نموذج الإسناد.

وعند إجراء مقارنة بين مورّدي مركز العمليات الأمنية، يجب التركيز على أولئك الذين ينفذون عمليات في الولايات المتحدة الأمريكية ولديهم فريق عمل هناك. وبسبب الطبيعة الحساسة للكثير من بيانات المقاولين الفيدراليين، يمكن أن تمنعك اللوائح من استخدام الخدمات الأمنية المدارة التي تقع في بلدان أخرى.

وعند تناول تحديات الامتثال التنظيمية من منظور الخدمات الأمنية المدارة، يمكنك الوصول إلى المعايير العالمية والحفاظ عليها، وذلك لن يتطلب تخطيطًا لرأس المال أو توظيفًا مكلفًا أو عملية استقدام عالية الموارد.

وبفضل شركة أي إس سكويرد، فقد تساعدك إمكانياتك الجديدة في الامتثال والإبلاغ على أن تكون على دراية بآخر المستجدات ولديك القدرة على العمل سريعًا.