AR
AR EN FR DE JA ES
الصفحة الرئيسية | مدونة | إطار عمل NIST للأمن السيبراني 2.0: نظرة عامة

إطار الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا 2.0: نظرة عامة

بقلم: أورليث تراينور

8 الحد الأدنى للقراءة24 مارس 2025

يوجه إطار عمل NIST المؤسسات لإدارة مخاطر الأمن السيبراني من خلال تصنيفه للنتائج عالية المستوى للأمن السيبراني التي يمكن لأي منظمة استخدامها - بغض النظر عن حجمها أو قطاعها أو مستوى نضجها. يساعد الإطار المؤسسات على فهم وتقييم وتحديد أولويات جهودها في مجال الأمن السيبراني بشكل أفضل لتحسين وضعها في مجال الأمن السيبراني.

ما هو إطار عمل NIST CSF 2.0؟

تم توسيع نطاق إطار عمل NIST CSF 2.0 أيضًا لمعالجة تحديات الأمن السيبراني العالمية، متجاوزًا تركيزه الأولي على البنية التحتية الحيوية الأمريكية. الآن، يمكن لجميع المنظمات الاستفادة من ممارسات NIST، بغض النظر عن القطاع.

الإطار السيبراني يشمل المكونات التالية:

  • جوهر CSF. تصنيف مخرجات الأمن السيبراني رفيعة المستوى التي تساعد المؤسسات على إدارة مخاطر الأمن السيبراني الخاصة بها. تتكون مكونات CSF الأساسية من تسلسل هرمي للوظائف والفئات والفئات الفرعية التي تفصل كل نتيجة تنطبق على جميع أنظمة تكنولوجيا المعلومات (IT).
  • ملفات تعريف CSF التنظيمية. تفاصيل الآليات لوصف وضع المنظمة المستهدف للأمن السيبراني.
  • مستويات CSF. توفر المستويات سياقًا لكيفية رؤية المؤسسة لمخاطر الأمن السيبراني، والعمليات لإدارة تلك المخاطر بما في ذلك ممارسات الحوكمة والإدارة.
رسم توضيحي لإطار عمل NIST CSF 2.0. مصدر.

لماذا يعتبر إطار عمل NIST أساسيًا للامتثال للأمن السيبراني؟

يُعتبر إطار عمل NIST CSF 2.0 موردًا حيويًا لـ مؤسسات تسعى إلى تحسين وضعها السيبراني.

يمكن للمنظمات ربط معايير الأمن السيبراني المختلفة بإطار عمل NIST للامتثال للمتطلبات التنظيمية لتحديد حوادث الأمن السيبراني والكشف عنها والتعافي منها.

الامتثال لمعايير NIST يوفر أساسًا شاملاً يتوافق مع العديد من المعايير التنظيمية الحالية، مثل GDPR و HIPAA و ISO، و ضوابط CIS.

رسم بياني يوضح الفجوة بين المنظمات الآمنة سيبرانيًا وتلك المعرضة للخطر في عام 2024. مصدر.

الحوكمة هي وظيفة أساسية جديدة لإطار NIST CSF 2.0

لتطوير إطار عمل NIST الجديد للأمن السيبراني، عملت NIST مباشرة مع أصحاب المصلحة لمعالجة أحدث تحديات الأمن السيبراني.

أحد التغييرات الهامة في الإطار هو إضافة حكم وظيفة. تساعد الوظيفة الرئيسية الجديدة المؤسسات على اتخاذ قرارات مستنيرة بشأن السياسات والممارسات الإدارية بما يتماشى مع استراتيجية أكبر للأمن السيبراني، بما في ذلك السياق التنظيمي، واستراتيجيات إدارة المخاطر، وإدارة مخاطر سلسلة التوريد.

يمكن لـ NIST 2.0 دعم المنظمات الأوروبية في تطبيق أفضل الممارسات للأمن السيبراني

نفذ الاتحاد الأوروبي توجيه NIS 2 في أكتوبر 2024 لإنشاء إطار قانوني موحد لدعم الأمن السيبراني في 18 قطاعًا حيويًا عبر الاتحاد الأوروبي. ومع ذلك، فإن التوجيه ليس إطارًا بحد ذاته بل هو،, مجموعة من المتطلبات التي يجب على المؤسسات الالتزام بها.

ال يمكن لإطار عمل NIST CSF 2.0 دعم دول الاتحاد الأوروبي والمنظمات لتطبيق توجيه NIS 2. لدى NIST العديد من أمثلة التنفيذ من منظمات متنوعة الأحجام والقطاعات لدعم أفضل ممارسات الأمن السيبراني.

Identify, Protect, Detect, Respond, Recover

إطار عمل NIST يتم تنظيمها في 5 وظائف أساسية منذ الإصدار 1.1، بالإضافة إلى الوظيفة الجديدة حكم تمت إضافة الدالة إلى الإصدار 2.0.

نظرة عامة على الوظائف الأساسية ومُعرّفات الفئات في إطار عمل الأمن السيبراني (CSF) 2.0 من NIST. مصدر.

الوظائف الأساسية لإطار عمل NIST CSF 2.0 هي:

  • حكم—توفر وظيفة ‘الإدارة‘ نتائج لقدرة المنظمة على تحقيق الوظائف الخمس الأخرى وتحديد أولوياتها. لتقليل مخاطر الأمن السيبراني، من المهم مراعاة السياق التنظيمي الأوسع لتحقيق نتائج مستدامة، بما في ذلك وضع استراتيجية للأمن السيبراني، والنظر في إدارة مخاطر سلسلة توريد الأمن السيبراني (بما في ذلك الأدوار والمسؤوليات والسلطات)، والامتثال للأمن السيبراني للهيئات التنظيمية.
  • عرّف—تطلب وظيفة "التحديد" من المؤسسات النظر في مشهد تهديدات الأمن السيبراني الحالي لديها، وتحديد مجالات التحسين ضمن السياسات والخطط والعمليات والإجراءات وممارسات الإدارة.
  • حماية—تعالج وظيفة الحماية إجراءات وقائية لإدارة مخاطر الأمن السيبراني للمنظمة، ومنع استغلال الثغرات الأمنية. من المهم معالجة مجالات مثل إدارة الهوية، والتحكم في الوصول، وأمن البيانات، وأمن المنصة، ومرونة البنية التحتية.
  • كشف— تحدد وظيفة الكشف مدى سرعة اكتشاف المؤسسات للتهديد المحتمل وتحليل الأحداث الضارة التي تشير إلى هجمات إلكترونية. تدعم هذه الوظيفة أنشطة الاستجابة للحوادث والتعافي الناجحة لتعزيز التخفيف من حدة التهديدات.
  • رد— توفر دالة الرد إرشادات للإجراءات التي يجب اتخاذها بعد اكتشاف تهديد لاحتواء التهديدات السيبرانية. وهي تغطي إدارة الحوادث، والتحليل، والتخفيف، والإبلاغ، والتواصل بشأن الهجمات السيبرانية.
  • استعادة— تساعد وظيفة الاسترداد المؤسسات على تحديد الأصول والعمليات المتأثرة بهجوم سيبراني وتدعم عودة المؤسسة إلى التشغيل الطبيعي.

الفوائد الرئيسية لتطبيق NIST CSF 2.0

مع ظهور تطبيقات جديدة للتكنولوجيا، مثل الذكاء الاصطناعي، تنشأ مخاطر خصوصية وأمن سيبراني جديدة. تم تطوير الإطار للمساعدة في معالجة هذه المخاطر.

رسم بياني يوضح توزيع حوادث الأمن السيبراني في المؤسسات حول العالم اعتبارًا من سبتمبر 2024. مصدر.

يمكن أن يساعد تطبيق NIST CSF 2.0 المؤسسات على:

  • تلبية المتطلبات التنظيمية: تتوافق NIST CSF 2.0 مع معايير مثل ISO و HIPAA و GDPR، مما يساعد الشركات على تلبية متطلبات الامتثال المختلفة.
  • تحسين شفافية سلسلة التوريدإدارة المخاطر السيبرانية الحديثة، وتعزيز الثقة بين قطاع الأعمال والعملاء ومقدمي الخدمات.
  • بناء استراتيجية مرنة لإدارة المخاطر السيبرانيةيوفر إطار عمل إدارة المخاطر السيبرانية NIST CSF 2.0 للمؤسسات نقطة انطلاق عند تطوير استراتيجية إدارة المخاطر السيبرانية الخاصة بها. استخدم الإرشادات لإنشاء التكتيكات والتقنيات والبروتوكولات (TTPs) التي تتماشى مع أهداف الشركة.
  • مرن ومتكيف لجميع المؤسساتالهيكل القابل للتكيف لإطار الأمن السيبراني NIST 2.0 يعني أنه يمكن لأي مؤسسة تطبيق النصائح — من الشركات الصغيرة إلى المؤسسات الكبيرة.
  • حصّن مؤسستك ضد المستقبلتتمتع المنظمات والهيئات الحكومية التي تستخدم إطار عمل NIST بقدرة أكبر على الصمود في مواجهة التهديدات السيبرانية المتطورة، مما يشجع على النمو المستدام.

خسرت شركة بناء $550,000 في هجوم تسجيل المفاتيح

موظفو شركة بناء صغيرة تم تسجيل الدخول إلى أنظمة الشركة باستخدام معرف المستخدم الخاص بهم. بعد فترة وجيزة، تم إخطار المالك بأنه في غضون أسبوع واحد، قام مجرمو الإنترنت بإجراء ستة تحويلات من حسابات بنكية للشركة بمبلغ $550,000 إلى مصدر مجهول.

تم الكشف عن أن مجرمي الإنترنت قد قاموا بتثبيت برامج ضارة لتسجيل ضربات المفاتيح على أنظمة الشركة لالتقاط بيانات اعتمادها المصرفية. لم تتمكن الشركة إلا من استرداد $200,000 مما أدى إلى خسارة $350,000. لم يكن لدى شركة البناء أي برامج أو خطط للأمن السيبراني لمنع الهجوم.

كان يمكن لإطار عمل NIST CSF 2.0 أن يدعم الشركة في تطبيق:

  • إشعارات للمعاملاتقم بإعداد تنبيهات المعاملات على جميع الحسابات المصرفية ليتم إعلامك عند إجراء معاملة.
  • وصول مقيد: تأكد من أن الحسابات الحساسة متاحة فقط للموظفين الذين يحتاجون إلى الوصول إليها لأداء دورهم. يعد تغيير كلمات المرور بانتظام أمرًا مهمًا لتقليل المخاطر.
  • سياسات إدارة المخاطرتقييم مخاطر الأمن السيبراني مثل تقييم المخاطر لتحديد مدى تحمل المخاطر.
  • خطة الاستجابة للحوادثالشركات التي لديها خطة استجابة للحوادث تتمتع بنتائج أفضل للأمن السيبراني.
  • تدريب الموظفينتدريب الموظفين على الاستجابة للحوادث مثل التصيد الاحتيالي يساعد في تخفيف الأحداث السيبرانية الضارة.

فقد فندق $مليون درهم بسبب تهديد تصيد احتيالي

ال مدير تنفيذي لفندق بوتيك أدركوا أنهم كانوا ضحايا للاحتيال عبر الإنترنت عندما لم يكن لدى الفندق الأموال اللازمة لدفع النفقات الجارية. قبل بضعة أسابيع من الهجوم، نقر الرئيس التنفيذي على رابط خبيث في بريد إلكتروني اعتقد أنه من مصلحة الضرائب الأمريكية.

من خلال هجوم تصيد احتيالي مهندس اجتماعيًا، تمكن مجرمو الإنترنت من الاستيلاء على بيانات اعتماد تسجيل دخول الرئيس التنفيذي، مما منحهم وصولاً كاملاً إلى الأنظمة الداخلية للشركة. خسرت الشركة $مليون من الحسابات في الصين.

لمنع هجوم آخر، يمكن للشركة استخدام إطار عمل NIST CSF 2.0 للقيام بما يلي:

  • تدريب الموظفين على مخاطر التصيد الاحتيالييحتاج الموظفون إلى أن يكونوا على دراية بمخاطر النقر على الروابط الضارة والمرفقات المشبوهة للبريد الإلكتروني، وكيفية التعرف على رسائل البريد الإلكتروني الاحتيالية، وأن يتلقوا تدريبات أمنية منتظمة.
  • تطبيق بروتوكولات صارمة للتحويلات المصرفيةيشمل هذا المصادقة متعددة العوامل (MFA) وأشكالًا ثانوية أخرى للتحقق من التحويلات.
  • ضع خطة للاستجابة للحوادث السيبرانيةإن تنفيذ خطة الاستجابة للحوادث يضمن أنه حتى في حالة وقوع هجوم، يمكن للشركة الاستجابة دون مواجهة المزيد من الخسائر المحتملة.

كيف يمكن للمنظمات تطبيق إطار عمل الأمن السيبراني NIST 2.0 في استراتيجيتها للأمن السيبراني؟

يمكن تطبيق إطار عمل NIST CSF 2.0 من قبل أي حجم من الأعمال، من الشركات الصغيرة إلى الشركات الكبيرة بـ موارد إعلامية شاملة.

ال دليل البدء السريع لإدارة مخاطر المؤسسات هو مورد مجاني يساعد المنظمات على تقييم مدى تحملها للمخاطر من خلال تسجيل المخاطر عبر المؤسسة في صيغة سجل مشترك.

مخطط تفصيلي لكيفية تحسين المنظمات للمؤسسات لإدارة المخاطر الخاصة بها باستخدام NIST CSF 2.0. مصدر.

إليك كيفية البدء في تطبيق إطار عمل NIST CSF 2.0:

  • فهم الإطار انغمس في إطار الأمن السيبراني NIST 2.0، بما في ذلك وظائفه الأساسية الخمس: التحديد، الحماية، الاكتشاف، الاستجابة، والتعافي. انتبه بشكل خاص إلى وظيفة “الحوكمة” الجديدة، التي تركز على الحوكمة وإدارة المخاطر.
  • إشراك القيادة وأصحاب المصلحة احصل على التزام القيادة التنظيمية وأشرك أصحاب المصلحة الرئيسيين لضمان التوافق مع أهداف العمل والمتطلبات التنظيمية.
  • تقييم الوضع الحالي إجراء تقييم شامل لوضع الأمن السيبراني الحالي لمؤسستك، وتحديد نقاط القوة والضعف والمخاطر والفجوات في الامتثال.
  • حدد حالة مستهدفة: ضع أهدافًا واضحة للوضع الأمني السيبراني المطلوب بناءً على قدرتك على تحمل المخاطر والمتطلبات القانونية وأولويات عمل مؤسستك.
  • ضع خارطة طريق: إنشاء خطة قابلة للتنفيذ لمعالجة الفجوات وتحقيق حالتك المستهدفة. يجب أن يشمل ذلك مبادرات ذات أولوية، وجداول زمنية، وتخصيص الموارد.
  • تنفيذ الضوابط والعمليات: تأسيس أو تعزيز إجراءات وسياسات وآليات أمنية تتماشى مع إرشادات NIST 2.0.
  • مراقبة وقياس التقدم: استخدم المقاييس لتتبع التقدم وقياس الفعالية وضمان التحسين المستمر. قم بمراجعة استراتيجيتك وصقلها بانتظام للتكيف مع التهديدات والمتطلبات المتطورة.
  • إجراء تدريب وتوعية مستمرين تثقيف الموظفين حول مخاطر الأمن السيبراني وأفضل الممارسات لتعزيز ثقافة الأمان.

كيف يمكن للشركات الصغيرة تطبيق إطار عمل NIST CSF 2.0؟

يمكن للشركات التي ليس لديها استراتيجية قائمة للأمن السيبراني البدء في تطبيق إطار عمل الأمن السيبراني (CSF) 2.0 الخاص بالمعهد الوطني للمعايير والتكنولوجيا (NIST) باستخدام القوالب والمعلومات التي يوفرها NIST.

ال دليل البدء السريع للأعمال الصغيرة يقدم اقتراحات لكل وظيفة من الوظائف الأساسية الست لتوجيه الشركات الصغيرة خلال عملية إنشاء بنية تحتية للأمن السيبراني.

أسئلة شائعة

  1. ما هي الاختلافات الرئيسية بين NIST CSF 1.1 و 2.0؟ يبني إطار الأمن السيبراني 2.0 من المعهد الوطني للمعايير والتكنولوجيا (NIST) على الإصدار السابق 1.1 الذي صدر عام 2018. يركز إطار NIST المحدث بشكل أوسع ليطبق عبر الصناعات، بما في ذلك إرشادات إطار عمل جديدة للحوكمة.
  2. كيف يساعد إطار عمل NIST CSF 2.0 المؤسسات على تلبية المتطلبات التنظيمية؟ يساعد إطار عمل NIST CSF 2.0 المؤسسات على تلبية المتطلبات التنظيمية من خلال ربط ممارسات الأمن السيبراني باللوائح، والتركيز على إدارة المخاطر، وتعزيز التحسين المستمر. تجعل قابلية الإطار للتكيف ونهجه المنظم من السهل التوافق مع معايير تنظيمية متنوعة وضمان الامتثال.
  3. نعم، يمكن للشركات الصغيرة الاستفادة من اعتماد إطار عمل NIST CSF 2.0. يساعد إطار عمل NIST الشركات الصغيرة على تحديد المخاطر وتخفيفها، وتعزيز الثقة مع العملاء والشركاء، وتلبية المتطلبات التنظيمية بكفاءة، وبناء القدرة على الصمود ضد التهديدات السيبرانية - كل ذلك دون الحاجة إلى موارد واسعة.
  4. ما هي الموارد المتاحة للمساعدة في التنفيذ؟ إنست توفر كتالوج قابل للبحث للمراجع إعلامية الذي يتيح للمستخدمين الرجوع إلى إرشادات الإطار المرجعي لمقارنتها بأكثر من 50 وثيقة أخرى خاصة بالأمن السيبراني. أداة مرجع CSF 2.0 يُبسّط الطريقة التي يمكن للمؤسسات من خلالها تطبيق الإطار، مما يسمح للمستخدمين بتصفح البيانات والتفاصيل والبحث عنها وتصديرها من التوجيهات الأساسية للإطار (CSF) بتنسيقات قابلة للاستهلاك البشري وقابلة للقراءة آليًا.
  5. كيف تحسن وظيفة “الحوكمة” جهود الامتثال؟ تعمل وظيفة "الحوكمة" الإضافية في إطار عمل NIST CSF 2.0 على تعزيز جهود الامتثال من خلال تحديد أدوار ومسؤوليات وعمليات واضحة لإدارة مخاطر الأمن السيبراني. من خلال تطبيق استراتيجيات الحوكمة، يمكن للمؤسسات مواءمة متطلباتها التنظيمية بشكل أفضل والإشراف على ممارسات الأمن السيبراني.
  6. ما هو الدور الذي تلعبه معلومات التهديدات في الوقت الفعلي في تحقيق الامتثال؟ يمكّن إطار عمل NIST CSF 2.0 المؤسسات من معالجة تهديدات ونقاط الضعف السيبرانية بشكل استباقي من خلال توفير رؤى محدثة. يضمن إنشاء استراتيجية لمراقبة المخاطر والاستجابة لها في الوقت الفعلي حماية البيانات الحساسة والامتثال.

إدارة مخاطر الأمن السيبراني لديك باستخدام NIST CSF 2.0

لحماية البنية التحتية الحيوية مع استمرار تطور التهديدات السيبرانية، يجب على المؤسسات اتباع نهج تكيفي لوضعها الأمني السيبراني.

يمثل إطار عمل الأمن السيبراني (CSF) 2.0 الخاص بالمعهد الوطني للمعايير والتكنولوجيا (NIST) تقدمًا حيويًا في ممارسات الأمن السيبراني بفضل نهجه المرن والاستباقي لإدارة المخاطر وضمان الامتثال. تعمل وظيفة "الحوكمة" المضافة على تمكين الكيانات بجميع أحجامها من تعزيز وضعها الأمني ​​وحماية الأصول الحيوية.

ضمان الامتثال للأمن السيبراني مع حلول CybelAngel

منصة CybelAngel الشاملة لإدارة سطح الهجوم الخارجي يمكنه مراقبة التهديدات واكتشافها عبر البنية التحتية لتكنولوجيا المعلومات لديك في الوقت الفعلي.

شاهد كيف يمكنك استخدام CybelAngel بالاقتران مع إطار عمل NIST CSF 2.0 لتغطية لا مثيل لها.

طلب عرض توضيحي

عن المؤلف

أورليث تراينور

أورليث هي خبيرة استراتيجية في تسويق المحتوى بين الشركات ومقرها باريس، وهي متخصصة في الأمن السيبراني والتكنولوجيا، وتتمتع بخبرة عميقة في تحسين محركات البحث، وتحسين محركات البحث، والتخطيط التحريري، وإدارة نظام إدارة المحتوى. بعد أن قادت المحتوى في شركات مثل CybelAngel و PhantomBuster، تساعد أورليث العلامات التجارية التكنولوجية على إنشاء استراتيجيات محتوى تعزز الظهور العضوي وثقة المشتري في الأسواق التنافسية.

اقرأ كل المقالات