الدورة التدريبية: تقييم وإدارة مخاطر الأمن السيبراني

مقدمة

ستعلمك دورة تقييم وإدارة مخاطر الأمن السيبراني كيفية إجراء تقييم المخاطر الأمنية لحماية مؤسستك. سوف تتعرف على القوانين واللوائح التي تفرض متطلبات صارمة للأمن السيبراني على جميع المنظمات ، وستكتسب المهارات اللازمة لتطوير خطة تقييم الامتثال واستخدام عملية إدارة المخاطر القائمة على المعايير مع الحفاظ على وضع أمني مُرضٍ،يجب أن يكون لدى الحضور معرفة أساسية بالعمليات التجارية ومفاهيم التكنولوجيا. لا يتم افتراض المعرفة التقنية المتخصصة

أهداف الدورة

• تطبيق منهجيات قائمة على المعايير ومثبتة لتقييم وإدارة المخاطر التي تتعرض لها البنية التحتية لمعلومات مؤسستك
• تحديد وتنفيذ ضوابط الأمان التي تضمن الامتثال للقوانين واللوائح والسياسات والتوجيهات المعمول بها
• تمديد الحماية الأمنية لأنظمة التحكم الصناعية (ICS) والسحابة

محاور الدورة

اليوم الأول : مقدمة في تقييم وإدارة المخاطر

• ضمان الامتثال للقوى التنظيمية المعمول بها
• حماية المنظمة من الخسائر غير المقبولة
• وصف إطار عمل إدارة المخاطر (RMF)
• تطبيق عمليات إدارة المخاطر NIST / ISO
• توصيف متطلبات أمن النظام

تحديد النظام

• تحديد حدود أمان النظام
• تحديد الترابط بين النظام
• دمج الخصائص الفريدة لأنظمة التحكم الصناعية (ICS) والأنظمة القائمة على السحابة

تحديد مكونات المخاطر الأمنية

• تقدير تأثير التنازلات على السرية والنزاهة والتوافر
• اعتماد النموذج المناسب لتصنيف مخاطر النظام

تمهيد الطريق لإدارة ناجحة للمخاطر

• توثيق تقييم المخاطر الحرجة وقرارات الإدارة في خطة أمان النظام (SSP)
• تعيين الأفراد المؤهلين لأدوار حوكمة المخاطر

اليوم الثاني: اختيار الضوابط الأمنية المناسبة و تعيين خط أساس للتحكم الأمني

• التحقيق في عائلات الضبط الأمني
• تحديد خط الأساس من مخاطر أمن النظام

تكييف خط الأساس ليناسب النظام

• فحص هيكل الضوابط والتحسينات والمعايير الأمنية
• تراكبات التحكم الملزمة إلى الأساس المحدد
• قياس الحاجة إلى التأكيد المعزز
• التمييز بين الضوابط الخاصة بالنظام والضوابط التعويضية وغير القابلة للتطبيق

اليوم الثالث : تقليل المخاطر من خلال تنفيذ الرقابة الفعالة و تحديد نهج التنفيذ

• تعظيم الفعالية الأمنية من خلال البناء في الأمن
• تقليل المخاطر المتبقية في الأنظمة القديمة من خلال عناصر الأمان "المثبتة"

تطوير خطة التقييم

• تحديد أولويات عمق تقييم التحكم
• تحسين التحقق من خلال التسلسل والدمج
• التحقق من الامتثال من خلال الاختبارات والمقابلات والامتحانات

صياغة توصية التفويض

• تقييم مخاطر أمن النظام الشاملة
• التخفيف من المخاطر المتبقية
• نشر خطة العمل والمعالم (POA & M) وتقييم المخاطر والتوصية

اليوم الرابع: تفويض تشغيل النظام و التوفيق بين السلطة والمسؤولية

• قياس تحمل المخاطر التنظيمية
• رفع قرارات التفويض في سيناريوهات عالية المخاطر

تشكيل قرار قائم على المخاطر

• تقييم الأثر التشغيلي للنظام
• موازنة المخاطر المتبقية مقابل المرافق التشغيلية
• إصدار السلطة للتشغيل (ATO)

اليوم الخامس : الحفاظ على الامتثال المستمر و تبرير إعادة التفويض المستمر

• قياس تأثير التغييرات على وضع أمن النظام
• تنفيذ إدارة التكوين الفعالة
• إجراء إعادة تقييم دورية للمراقبة

الحفاظ على وضعية أمنية مقبولة

• تقديم تدريب متابعة أولي وروتيني للتوعية الأمنية
• جمع مقاييس الأمان الجارية
• تنفيذ عمليات إدارة الثغرات الأمنية والاستجابة للحوادث واستمرارية الأعمال