السؤال المتكرر: الخدمات السحابيّة والأمان؟

لا بد من تفكير مسؤولي أمن أو تقنية المعلومات ملياً قبل الاتجاه نحو الخدمات السحابيّة، حيث أنه من المهم جداً التفكير في مسألة أمن المعلومات قبل الانتقال إلى الخدمات السحابيّة، وهناك العديد من الأسئلة الأخرى التي يجب طرحها فيما يختصّ بأمن المعلومات قبل الانتقال إلى الخدمات السحابيّة. مثل:
  1. هل أنا آمن؟
  2. كيف أتأكد من أنني آمن؟
  3. كيف يمكنني مراقبة وتقييم درجة الأمان لدي؟
Cloud Security Alliance Infographic 01 AR
Cloud Security Alliance Infographic 02 EN
تمتلك العديد من الشركات حول العالم استضافة سحابية خاصة تقدّم الحماية للبيانات التي يتم تخزينها فيها، ولكن الاعتماد فقط على الحماية المقدمة من الشركات غير كافي بالنسبة لأيّ شخص يعمل ضمن مجال أمن المعلومات، حيث يجب توفر ما يلي:
  • أداة
  • برنامج
  • إطار العمل
  • معيار
وذلك من أجل مراقبة درجة الأمان وحوكمته في عصر الحوسبة السحابية.

حول برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)

تم إنشاء البرنامج كمبادرة تهدف إلى زيادة الشفافيّة في تنفيذ الممارسات الأمنيّة لموفري الخدمات السحابيّة في جميع أنحاء العالم، فهو يشكل المزيج الصحيح من عناصر التحكّم في الخدمات السحابيّة القادرة على تقييم الخدمات السحابيّة وفقاً لمعايير PCI DSS، ISO 27001، NIST SP800-53، COBIT، HIPPA، BITS، Fed RAMP، GAPP وغيرها من المعايير الدوليّة. يمكن اعتبار برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) كأحد البرامج القويّة لضمان أمن الخدمات السحابيّة، حيث يجمع بين المبادئ الرئيسيّة للشفافيّة والتدقيق الدقيق ومواءمة المعايير. إنّ ضمان الثقة الامنية والمخاطر (STAR) يمكن أن يضمن الشفافيّة في التعامل الأمني المتوافق مع المعايير العالميّة والقدرة على المراجعة من أيّ مدقق وفي أي جزئية خاصة. تعتبر المنظمات التي تستخدم برنامج ضمان الثقة الأمنية والمخاطر (STAR) الأفضل من ناحية الممارسات الأمنية والتحقق من السلامة الأمنية لمنتجاتها القائمة على الحوسبة السحابيّة في جميع أنحاء العالم. يقدم برنامج أمن الحوسبة السحابية (CSA) وضمان الثقة الأمنية والمخاطر (STAR) وثائق سجل ضامنة للخصوصية والأمان لجميع عناصر التحكّم التي تستخدم وفقاً لمعايير الحوسبة السحابيّة. حيث يوفر هذا السجل الأدوات والمراجع اللازمة لأيّ عميل يفكر في الاستفادة من الخدمات السحابيّة لتقييم مزوّد الخدمة قبل الالتزام معه ويساعده في اتّخاذ القرارات الصحيحة.

لماذا نحتاج إلى برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)؟

  • تتميَّز الضوابط المذكورة في الوثيقة 2020: 1-CCC بكونها تتواءم مع عدة معايير عالمية ذات صلة بالأمن السيبراني والحوسبة السحابية، مثل: 27001 IEC/ISO، و FedRAMP، وضوابط CCM، وC5، ومعايير الأمن السحابي في سنغافورة.
  • ضوابط الأمن السيبراني للحوسبة السحابية هي امتداد مُكمّل للضوابط الأساسية للأمن السيبراني.
  • تُعطي هذه الضوابط اهتماماً بالغاً للمحاور الأساسية التي يرتكز عليها الأمن السيبراني (الاستراتيجية والأشخاص والإجراءات والتقنية).
  • تُركّز هذه الضوابط على خدمات الحوسبة السحابية من منظور مقدمي الخدمات والمستفيدين.

ما أهمية ضوابط الأمن السيبراني للحوسبة السحابية؟

سواء كنت مستخدم أم مزود أم مدقق أم ضامن للخدمات السحابيّة فأنت بحاجة الى معرفة المزيد عن أمن الخدمات السحابيّة من مصدر موضوعي تابع لجهة ثالثة. أنت بحاجة إلى الأدوات المناسبة للتأكد من أنك تؤدي دورك في تأمين النظام السحابي مع دعم معايير الصناعة

أطر الشهادة المفتوحة

نطاق عمل ضوابط الأمن السيبراني للحوسبة السحابية

أُعدَّت ضوابط الأمن السيبراني للحوسبة السحابية لتكون ملائمة لمتطلبات الأمن السيبراني لمقدمي الخدمات والمشتركين، بتنوع طبيعة أعمالهم وتنوع أحجامها، ضمن نطاق العمل، وتشمل:
  1. أي جهة حكومية داخل المملكة العربية السعودية أو خارجها (وتشمل الوزارات والهيئات والمؤسسات وغيرها).
  2. الجهات والشركات التابعة للحكومة.
  3. مقدمو الخدمات الذين يقدمون خدمات الحوسبة السحابية لجهات سعودية خارج المملكة.
  4. جهات القطاع الخاص التي تمتلك أو تُشغّل أو تستضيف بنى تحتية وطنية حسّاسة.
الجدير بالذكر، أنَّ تطبيق هذه الضوابط غير مقتصر على الجهات المذكورة في الأعلى، بل يمكن للجهات الأُخرى في المملكة الإستفادة من هذه الضوابط أيضاً، وفي الحقيقة، تُشجّع الهيئة الوطنية للأمن السيبراني جداً على تطبيق هذه الضوابط بما يناسب المُنشآت خارج نطاق عمل الوثيقة.
Cloud Security Alliance Infographic 03 AR

المستوى الأول من برنامج ضمان الثقة الأمنية والمخاطر (STAR)

التقييم الذاتي: هو عرض مجاني يوثق ضوابط الأمان التي توفرها عروض الحوسبة السحابيّة المتنوعة، مما يساعد العملاء على تقييم أمان مزودي الخدمات السحابيّة الحاليين أو الجدد. يمكن للمؤسسات إجراء تقييم ذاتي للأمان والخصوصيّة ثم يمكنهم إرسالها إلى أيّ شركة تستخدم مصفوفة ضوابط الخدمات السحابيّة لأصول المؤسسة لتقييم الضوابط والتوثيق:
  • تكرار التقييم الذاتي:
يتم تحديث التقييمات الذاتيّة لبرنامج ضمان الثقة الأمنية والمخاطر (STAR) سنوياً.
  • رؤية العميل:
يقدّم مزودو الخدمات السحابيّة استبانة مبادرة التقييمات التوافقية الكاملة (CAIQ) لتوثيق الالتزام بمصفوفة ضوابط الخدمات السحابيّة (CCM). يصبح هذا المستند بعد ذلك متاحاً للجمهور مما يعزز شفافيّة الصناعة ويوفر رؤية للعميل للممارسات الأمنية لمزوّد معيّن. تضمن الوثيقة المنشورة سريّة المعلومات الحساسة وعدم الكشف عن أيّة معلومات، وتستند عمليات إرسال تقييم الخصوصيّة إلى مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات. 2-التقييم الذاتي لمدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات: يتألف النشر التطوعي في سجل برنامج ضمان الثقة الأمنية والمخاطر من وثيقتين:
  • بيان الالتزام بقواعد السلوك
  • نموذج مدونة الممارسات PLA (CoP) – الملحق 1 نتائج التقييم الذاتي
يغطي التقييم الذاتي الالتزام باللائحة العامة لحماية المعلومات (GDPR) لخدمة أو خدمات تقدّمها سياسة أمن المحتوى (CSP)، وتحصل المنظمة بعد نشر الوثيقة في السجل على علامة الالتزام بالمعايير صالحة لمدّة عام واحد. تتمّ مراجعة التقييم الذاتي عند تغيير سياسات الشركة أو الممارسات المتعلقة بالخدمة قيد التقييم.

المستوى الأول المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR)

لضمان فعاليّة الضوابط تستخدم سياسة أمن المحتوى التي تستخدم استبانة مبادرة التقييمات التوافقية (CAIQ) لتحقيق التقييم الذاتي كل 30 يوم (على سبيل المثال)، على عكس المتطلبات السنويّة وذلك من أجل تحقيق المستوى الأول المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR).

المستوى الثاني من برنامج أمن الحوسبة السحابيّة (CSA) ضمان الثقة الأمنية والمخاطر (STAR)

يسمح المستوى الثاني من برنامج ضمان الثقة الأمنية والمخاطر (STAR) للمنظمات بإنشاء شهادات ومعايير صناعيّة أخرى لجعلها خاصة بالخدمات السحابيّة. تدقيق الطرف الثالث: يمكن للمنظمات اختيار عمليات تدقيق الأمان والخصوصيّة والشهادات من أيّ شركة تدقيق تابعه لجهة ثالثة، وتختلف كلّ منظمة في الموقع وبعض المعايير والأدوار والقوانين التي تنطبق على هذه المنظمة لذلك من المهم اختيار جهة ثالثة لها نفس المعايير والأدوار والقوانين.
  • تصديق برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR):
إنّ تصديق برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) هي عبارة عن تعاون بين برنامج أمن الحوسبة السحابيّة (CSA) والمعهد الأمريكي للمحاسبين القانونيين المعتمدين AICPA لتقديم إرشادات لـ CPA لإجراء ارتباطات SOC 2 باستخدام معايير مقدمة من المعهد الأمريكي للمحاسبين القانونيين المعتمدين AICPA (مبادئ خدمة الثقة، AT 101) ومصفوفة ضوابط الخدمات السحابيّة الخاصة ببرنامج أمن الحوسبة السحابيّة.
توفر شهادة برنامج ضمان الثقة الأمنية والمخاطر (STAR) تقييمات صارمة ومستقلة من جهات خارجيّة لمزودي الخدمات السحابيّة.
  • صلاحية قوائم التصديق
تكون مدّة صلاحية الشهادة سنة واحدة ما لم يتمّ تحديثها.
  • شهادة برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)
إنّ شهادة برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) هي تقييم دقيق ومستقل من طرف ثالث لأمن مزوّد الخدمة السحابيّة، وتعزز شهادة الحياد التكنولوجي متطلبات معيار نظام إدارة أمن المعلومات ISO/IEC 27001:2013 جنباً إلى جنب مع مصفوفة ضوابط الخدمة السحابيّة لبرنامج أمن الحوسبة السحابيّة (CSA).
تتبع شهادات الاعتماد بروتوكول ISO/IEC 27001 العادي وتنتهي صلاحيتها بعد ثلاث سنوات ما لم يتمّ تحديثها.
  • شهادة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات
تعدّ شهادة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR CoC) شهادة من طرف ثالث تتضمن التزام خدمات أمن المحتوى في اللائحة العامة لحماية البيانات (GDRP) استناداً إلى مدونة قواعد السلوك لبرنامج أمن الحوسبة السحابيّة (CSA) الخاصة باللائحة العامة لحماية البيانات (GDRP). بعد نشر الوثيقة في السجل تمنح الشركة علامة الالتزام صالحة لمدّة عام واحد، وتتمّ مراجعة التقييم الذاتي فكلما كان هناك تغيير في سياسات الشركة أو الممارسات المتعلقة بالخدمة المُقيّمة.

المستوى الثاني المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR)

عملية آليّة يقوم فيها مزوّد الخدمة السحابيّة بأتمتة ممارسات الأمان الحاليّة، وتكون الممارسات الأمنية للمزودين منشورة للجمهور حيث يمكن لكل عميل أو بائع أن يستخدم الأداة المناسبة لالتقاط ممارسات مزوّدي الأمن التي تمّ نشرها. يمكن لسياسة أمن المحتوى (CSP) التي تحمل شهادة أو تقييم من  طرف ثالث تحقيق المستوى الثاني المستمر من برنامج ضمان الثقة  الامنية والمخاطر (STAR) عن طريق إضافة تقييم ذاتي مستمر كما هو الحال في المستوى الأول من برنامج ضمان الثقة الامنية والمخاطر (STAR)، ويضمن المُقيّم  أيضا أن نطاق التقييم يشمل برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر ويقيّم إرساليات سياسة أمن المحتوى (CSP) الخاصة باستبانة مبادرة التقييمات التوافقية (CAIQ) ضمن فترة من الزمن. بداية من الزيارة الرقابية السابقة أو زيارة إعادة التصديق، وبالنسبة لتصديق برنامج ضمان الثقة الأمنية والمخاطر (STAR) فيتمّ إصدار تقرير الضمان المحدود لربط الفترة بين تقريري التصديق ويقدم مراجعة في تقرير التدقيق فيما يتعلق بالأنشطة التي يقوم بها المُقيّم والتي تؤكد أن سياسة أمن المحتوى استوفت متطلبات برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمرة.

المستوى الثالث من برنامج أمن الحوسبة السحابيّة (CSA) ضمان الثقة الأمنية والمخاطر (STAR)

ضمان وشفافيّة كاملة للخدمات السحابيّة. إذا كانت منظمتك تعمل في بيئة عالية الخطورة فإننا نوصي بالمتابعة الى المستوى الثالث من برنامج ضمان الثقة الأمنية والمخاطر (STAR).
المراقبة المستمرة لبرنامج أمن الحوسية السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)- يجهز قريباً
تعتبر سياسة أمن المحتوى هي الأكثر شفافيّة من خلال عملية آلية مستمرة تضمن مراقبة عناصر التحكم في الأمان والتحقق من صحتها في جميع الأوقات، يتكوّن كل إطار تحكّم من عدّة ضوابط والتي تمّ تصميمها لضمان تنفيذ أحد المتطلبات. عند التحضير للتدقيق المستمر يتمّ وصف كلّ عنصر من عناصر التحكّم من خلال أهدافه المميّزة وهي هدف مستوى الخدمة (SLO) والهدف النوعي للخدمة (SQO). يتمّ جمع البيانات من خلال المقياس الذي تمّ اختياره لتقديم مدخلات حول إحدى الخصائص، ويعتمد التقييم الآلي في الغالب على أدوات المراقبة مثل تحليلات السجل وإحصاءات الشبكة والمراقبة وإحصاءات العمليات أو مدى فاعلية الاستفادة من الموارد المتاحة. في مرحلة التقييم يتم تحديد حالة التوافق مع هدف الشهادة من خلال تقييم الضوابط، وسيتمّ نشر نتيجة التقييم وتأكيدها وفقاً لمستوى التأكيد المستهدف من قبل طرف ثالث، وسينتج عن ذلك إصدار شهادة. يحتوي كل مستوى من مستويات برنامج ضمان الثقة الأمنية والمخاطر (STAR) أيضاً على خيار تدقيق مستمر يتيح لك زيادة شفافيتك، ويمكن الحصول على برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر من خلال البناء على مستوى برنامج ضمان الثقة الأمنية والمخاطر (STAR) الحالي لسياسة أمن المحتوى (CSP). المستوى الأول من برنامج ضمان الثقة والأمن والمخاطر (STAR): سياسة أمن المحتوى (CSP) التي تستخدم استبانة مبادرة التقييمات التوافقية (CAIQ) لتحقيق التقييم الذاتي وهو تقييم لحظي، يمكن أن يستخدم التقييم الذاتي المستمر لإثبات فعاليّة الضوابط خلال فترة زمنية وبالتالي تحقيق المستوى الأول من برنامج ضمان الثقة الأمنية والمخاطر المستمر. المستوى الثاني من برنامج ضمان الثقة والأمن والمخاطر (STAR): يمكن لسياسة أمان المحتوى التي تحمل تدقيقاً من طرف ثالث تحقيق المستوى الثاني من برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر عن طريق إضافة تقييم ذاتي مستمر، والذي يسمح لهم بإبلاغ العملاء بسرعة بالتغييرات التي تطرأ على برامج الأمان الخاصة بهم بدلاً من التواصل معهم خلال فترة المراجعة التالية في المستوى العادي من المستوى الثاني لبرنامج ضمان الثقة الأمنية والمخاطر (STAR). المستوى الثالث من برنامج ضمان الثقة والأمن والمخاطر (STAR): إنّ سياسة مستوى أمان المحتوى هي الأكثر شفافيّة من خلال عملية آلية ومستمرة تضمن مراقبة عناصر التحكم في الأمان والتحقق من صحتها في جميع الأوقات.

الأدوات الأساسية لبرنامج ضمان الثقة والأمن والمخاطر (STAR)

تقسم إلى قسمين رئيسيين:

  1. الأمن الذي يحتوي مصفوفة ضوابط الخدمات السحابيّة (CCM) & واستبانة مبادرة التقييمات التوافقية (CAIQ)
  2. الخصوصية التي تحتوي على مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات
الأدوات الأساسية لبرنامج ضمان الثقة
مصفوفة ضوابط الخدمات السحابية (CCM) إنّ مصفوفة ضوابط الخدمات السحابيّة (CCM) لبرنامج أمن الحوسبة السحابيّة (CSA) عبارة عن إطار عمل للتحكم في الأمن السيبراني للحوسبة السحابيّة، ويتكوّن هذا الإطار من 133 هدفاً للتحكم تغطي 16 مجالاً متعلقاً بالتكنولوجيا السحابيّة. يمكن لأيّ عميل استخدام مصفوفة ضوابط الخدمات السحابيّة (CCM) كأداة لتقييم تنفيذ الخدمات السحابيّة، كما توفر مصفوفة ضوابط الخدمات السحابيّة (CCM) إرشادات لاختيار عناصر التحكم في الأمان أثناء التنفيذ. يتوافق إطار عمل مصفوفة ضوابط الخدمات السحابيّة (CCM) مع إرشادات الأمان الإصدار 4 ويعتبر معياراً لضمان الأمان السحابي والالتزام بها. خريطة لأطر عمل المعايير والقوانين والضوابط: يتم تعيين عناصر التحكّم في مصفوفة ضوابط الخدمات السحابيّة (CCM) وفقاً لمعايير الأمان والقوانين وأطر التحكّم المقبولة في الصناعة بما في ذلك على سبيل المثال لا الحصر: ISO 27001/27002/27017/27018، NIST SP 800-53، AICPA TSC، ENISA إطار ضمان المعلومات، BSI C5 الألماني، PCI DSS، ISACA COBIT، NERC CIP، وغيرها الكثير. استبيان مبادرة تقييمات التوافقية (CAIQ) الإصدار 3.1 تمّ تقديم استبانة مبادرة التقييمات التوافقية (CAIQ) الإصدار 3.1 من قِبل برنامج أمن الحوسبة السحابية (CSA). توفّر استبانة مبادرة التقييمات التوافقية وثيقة بسيطة تسهل اختيار أيّ من عناصر التحكّم الأمنية في خدمات IaaS، PaaS، SaaS سيتمّ تطبيقه، تتكون استبانة مبادرة التقييمات التوافقية (CAIQ) من مجموعة من الأسئلة (نعم/لا) والتي تظهر في ذهن العميل أو المدقق قبل تحديد مزوّد الخدمة السحابيّة. ولا بد من التأكد من التزام مزوّد الخدمة السحابيّة بمصفوفة ضوابط الخدمة السحابية (CCM)، ويمكن لاستبانة مبادرة التقييمات التوافقية (CAIQ) مساعدة العملاء على التأكد من أنّ الأمان المقدّم من مزوّدي الخدمة كافٍ وأن أرشيفهم محمي وآمن. ما هي مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات؟ تمّ تطبيق اللائحة الأوروبية العامة لحماية البيانات (EU GDPR) مؤخراً، وتحتوي مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) على جميع المتطلبات للالتزام باللائحة الأوروبية العامة لحماية البيانات (EU GDPR) والتي يجب أن يفي بها مزوّد الخدمة السحابيّة، وتمّ إنشاء مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) من خلال التنسيق مع ممثل من سلطات حماية البيانات في دول الاتحاد الأوروبي، وتساعد مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) المنظمات على الالتزام باللائحة الأوروبية العامة لحماية البيانات.

فوائد شهادة CSA STAR

  • تقليل مخاطر الأمان لجميع المعنيين بالأمن السحابي من مزودي الخدمات السحابية (CSPs) وعملائهم ومالكي البيانات.
  • تعزيز ثقة العملاء ورضاهم حول أمن الخدمات السحابية.
  • تحسن شهادة CSA STAR من سمعة المؤسسة وكذلك الرغبة في التعاقد والتعامل مع خدماتها.
  • تقديم الرؤية للإدارة العليا لتقييم فعالية نظام الإدارة الخاص بالأمن السحابي و ISO / IEC 27001
  • التدقيق للحصول على الشهادة يعكس كيف تعمل المؤسسة في تحسين الخدمات السحابية
  • تتويج جهود المؤسسة بشهادة مصدق عليها بشكل مستقل من هيئة خارجية معتمدة تثبت الأمن السحابي لخدماتها.

كيف يمكن ل RMG مساعدة مؤسستك بالحصول على الشهادة

تطبيق معيار ISO / IEC 27001 ومصفوفة التحكم في السحابة (CCM). • تطبيق برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) • سيقدم مستشارونا المساعدة في التقييم والتدقيق حتى مرحلة الحصول على شهادة CSA STAR مستقلة.

نسعد باتصالك واستفساراتك!