تشريعات وقوانين الأمن السيبراني - الأمن السيبراني - ثالث ثانوي

107 3. مواضيع متقدمة في الأمن السيبراني سيتعرف الطالب في هذه الوحدة على تأثير التشريعات المتعلقة بالأمن السيبراني على المشهد التقني الحديث في المملكة العربية السعودية وعلى الصعيد الدولي كذلك، ثم سيستعرض مفاهيم علم التشفير الأساسية، وينفذ خوارزميات التشفير باستخدام لغة برمجة البايثون. وفي الختام سيتعرف على أهمية أنظمة الأمن السيبراني الحديثة والمتقدمة بالنسبة للمتطبيقات المنشأة باستخدام التقنيات الناشئة. أهداف التعلم بنهاية هذه الوحدة سيكون الطالب قادرا على أن : يحدد النقاط الرئيسة للتشريعات الموحدة للأمن السيبراني. > يصنف قوانين الأمن السيبراني الرئيسة وضوابطه في المملكة العربية السعودية والدول الأخرى. يفسر المقصود بالتشفير واستخداماته. يميز بين أنواع التشفير وأنواع التهديدات المحتملة من المتسللين. ينفذ خوارزميات التشفير باستخدام لغة البايثون يحلل كيفية حماية أنظمة الأمن السيبراني للتطبيقات المنشأة باستخدام التقنيات الناشئة. الأدوات البايثون (Python)

الدرس الأول تشريعات وقوانين الأمن السيبراني أهمية تشريعات الأمن السيبراني وقوانينه The Importance of Laws and Regulations in Cybersecurity www.len.edu. تزداد الحاجة إلى ضمان أمن الأفراد والمنشأت عبر الإنترنت مع التقدم المتسارع لأنظمة التقنيات الحديثة، ولقد تم تطوير التشريعات والقوانين الخاصة بالأمن السيبراني لتؤكد على تحمل الأفراد والشركات مسؤولية الحوادث والاختراقات الأمنية التي قد تحدث، وتبعاتها، ويمكن للمؤسسات والجهات الحكومية حماية البيانات بشكل أكثر فعالية بالامتثال لتلك التشريعات والقوانين، إضافة إلى اللوائح والقوانين الأخرى المتعلقة بالأعمال، ويُساعد فهم التشريعات والقوانين الأفراد والمنشآت في تبني دور نشط للحفاظ على الأمن عبر الإنترنت، كما تسهم هذه المعرفة في تعزيز ممارسات الأمن، وإنشاء منتجات أكثر أمنا، وزيادة ثقة العملاء في المنتجات والخدمات المقدمة من الأفراد والمؤسسات. فيما يلي أهم اعتبارات الاستخدام الصحيح للتشريعات والقوانين المنظمة لمجال الأمن السيبراني: خصوصية البيانات وحمايتها ( Data Privacy and Protection) مع وجود كميات ضخمة للغاية من البيانات الحساسة والشخصية التي يتم جمعها وتخزينها ونقلها عبر الشبكات رقميا ، فإن القوانين والتشريعات تساعد في ضمان التعامل مع هذه المعلومات بشكل آمن ومسؤول. مما يحمي حقوق خصوصية الأفراد، ويمنع الوصول غير المصرح به أو إساءة استخدام تلك البيانات. المعايير القياسية (Standardization): توفر تشريعات الأمن السيبراني وقوانينه مجموعة قياسية من المعايير وأفضل الممارسات التي يجب على المنشآت اتِّباعها، مما يعزز مستويات الأمن على مستوى المؤسسات والصناعات المختلفة، كما يسهل وجود المعايير القياسية عملية التعاون بين المؤسسات، ويوفر استراتيجيات استجابة موحدة أكثر فعالية للتهديدات السيبرانية الامتثال والمساءلة ( Compliance and Accountability): تحمل الأطر القانونية المنشآت المسؤولية وضع أمنها السيبراني من خلال مطالبتها بتنفيذ تدابير أمن سبيراني محددة، والإبلاغ عن الانتهاكات والاختراقات عند حدوثها. كما يعزز وجود هذه الأمر ثقافة الامتثال ويشجع المنشأت على تقييم ممارسات الأمن السيبراني وتحسينها باستمرار. ++ 0000 واره التعليم +

104 الردع والملاحقة القضائية ( Deterrence and Prosecution): تحدد قوانين الأمن السيبراني مختلف الجرائم الإلكترونية وتُصنفها حسب طبيعتها ، مما يسمح لجهات تنفيذ القانون بملاحقة الجناة ومقاضاتهم، كما تعمل هذه القوانين كرادع ضد الأنشطة السيبرانية الضارة، وتضمن محاسبة مرتكبي الجرائم السيبرانية على أفعالهم. التعاون الدولي ( International Cooperation): تبر الحاجة إلى التعاون الدولي لمكافحة الجرائم الإلكترونية نظراً للنطاق الواسع والعالمي للتهديدات والهجمات السيبرانية. وتسهم تشريعات الأمن السيبراني وقوانينه في تعزيز التعاون بين الدول، مما يتيح تبادل المعلومات الاستخباراتية والموارد وأفضل الممارسات في مجال معالجة التهديدات السيبرانية العالمية. قوانين الأمن السيبراني وتشريعاته في المملكة العربية السعودية Cybersecurity Laws and Regulations in KSA ضوابط الأمن السيبراني Cybersecurity Controls نشرت الهيئة الوطنية للأمن السيبراني (NCA) في المملكة العربية السعودية العديد من ضوابط الأمن السيبراني التي يجب على الكيانات العامة والخاصة العاملة في المملكة العربية السعودية الالتزام بها، وتلك الضوابط هي: هابير تقنية وغير تقنية مصممة لحماية أنظمة الحاسب والشبكات والبيانات من الوصول غير المصرح به، أو سوء الاستخدام، أو التعديل، أو الإتلاف أو تعطيل الوصول للبيانات والأنظمة، وفيما يلي نظرة عامة على هذه الضوابط الضوابط الأساسية للأمن السيبراني (Essential Cybersecurity Controls - ECC): يعد توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني الهدف الرئيس لهذه المتطلبات التي صممت بناء على أفضل الممارسات والمعايير لحماية الأصول المعلوماتية للجهات من التهديدات الداخلية والخارجية وتقليل المخاطر السيبرانية، كما تتناول هذه الضوابط جوانب مختلفة من الأمن السيبراني بما في ذلك إدارة الأصول وهويات الدخول والصلاحيات وإدارة حوادث وتهديدات الأمن السيبراني، والتوعية والتدرب بالأمن السيبراني. وتعد هذه الضوابط ملزمة على جميع الجهات الحكومية في المملكة العربية السعودية، بما في ذلك الوزارات والهيئات والمؤسسات وغيرها . والجهات والشركات التابعة لها. وجهات القطاع الخاص التي لديها بنى تحتية وطنية حساسة Critical National Infrastructures - Cis) أو تعمل على تشغيلها أو استضافتها، وذلك لضمان حماية أنظمة المعلومات الخاصة بها. الضوابط الأساسية للأمن السيبراني لوكية الامي شكل 3.1 المكونات الأساسية للصوابط 2018 1-ECC وزارة التعليم

ضوابط الأمن السيبراني للبيانات (Data Cybersecurity Controls - DCC) أصدرت الهيئة الوطنية للأمن السيبراني (NCA) ضوابط الأمن السيبراني للبيانات لتحسين تنظيم الفضاء السيبراني وأمنه في المملكة، وتهدف تلك الضوابط إلى رفع مستوى الأمن السيبراني لحماية البيانات الوطنية، وتعزيز الأمن السيبراني للجهات خلال مراحل دورة حياة البيانات وذلك لضمان حماية بياناتها والأصول المعلوماتية من التهديدات والمخاطر السيبرانية. 1 حوكمة الأمن السيبراني Cybersecurity Governance 2. تعزيز الأمن السيبراني 1-1 1-3 2-1 2-3 Cybersecurity 2-5 Defense الأمن السيبراني المتعلق بالاطراف الخارجة والحوسية السحابية Third Party and Cloud Computing Cybersecurity 2-7 31 المراجعة والتدقيق الدوري للأمن السيبراني 1-2 الأمن السيبراني المتعلق بالموارد. البشرية برنامج التوعية والتدريب بالأمن السير الي إدارة هويات الدخول حماية الأنظمة وأجهزة معالجة 2-2 والصلاحيات المعلومات أمن الأجهزة المحمولة 2-4 حماية البيانات والمعلومات التشفير 2-6 الإتلاف الأمن للبيانات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير الأمن السيبراني المتعلق بالأطراف الخارجية شكل 12 الكويت الأساسية والفريسة لضوابط الأمن الراي البايات (DCC ضوابط الأمن السيبراني للحوسبة السحابية ( Cloud Cybersecurity Controls): طورت الهيئة الوطنية للأمن السيبراني (NCA) ضوابط الأمن السيبراني للحوسبة السحالية كامتداد الضوابط . الأساسية للأمن السيبراني (ECC)، وذلك بهدف تقليل المخاطر السيبرانية على مقدمي الخدمات السحابية . (Cloud Service Providers - Cs) ومشتركي الخدمات السحابية ( Cloud Service Tenants - CST) . وزارة التعليم 105

ضوابط الأمن السيبراني للعمل عن بعد (Telework Cybersecurity Controls) الغرض من هذه الوثيقة هو رفع جاهزية الجهات للعمل عن بعد بشكل آمن والتكيف مع تغيرات بيئات وأنظمة العمل بعد عن بعد، بالإضافة لتعزيز قدرات الأمن السيبراني للجهات للصمود ضد التهديدات السيبرانية عند العمل عن بعد. ضوابط الأمن السيبراني للأنظمة الحساسة (Critical Systems Cybersecurity Controls) تهدف هذه الضوابط إلى تطوير قدرات الحماية والصمود ضد الهجمات السيبرانية، وذلك لتمكين الجهات ذات الأنظمة الحاسة من المحافظة على أصولها المعلوماتية والتقنية لتلبية الاحتياجات الأمنية الحالية وتعزيز جاهرية الجهات حيال المخاطر السيرانية المتزايدة والتي قد ينجم عنها تأثيرات ضارة على المستوى الوطني. ضوابط الأمن السيبراني للانظمة التشغيلية (Operational Technology Cybersecurity Controls): تهدف هذه الضوابط إلى رفع جاهزية الجهات حتى تتمكن من حماية أنظمتها التشغيلية. كما تحدد الوثيقة الحد الأدنى من متطلبات الأمن السيبراني للأنظمة التشغيلية في المرافق الصناعية الخاصة لدى الجهات الحكومية والخاصة لمنع الوصول غير المصرح به لهذه الأنظمة. أنظمة الجرائم الإلكترونية Cybercrime Regulation تم تشريع العديد من القوانين والضوابط في المملكة العربية السعودية لمكافحة الجرائم الإلكترونية وحماية خصوصية وأمن الأفراد والمنشآت، وفيما يلي لمحة عامة حول أبرزها: قانون حماية البيانات الشخصية (Personal Data Protection Law - PDP): ثم تشريع قانون حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية لحماية خصوصية الأفراد في المملكة العربية السعودية. حيث يضع الأساس القانوني لحماية حقوق الأفراد فيما يتعلق بمعالجة البيانات الشخصية من قبل جميع الكانات في المملكة وخارجها لجميع الأفراد في المملكة باستخدام أي وسيلة، بما في ذلك معالجة البيانات الشخصية عبر الإنترنت. قانون مكافحة جرائم المعلوماتية (Anti-Cyber Crime Law): قانون مكافحة جرائم المعلومانية في المملكة العربية السعودية هو مجموعة من القوانين والضوابط التي تجرم مجموعة واسعة من أنشطة الجرائم الإلكترونية، ولقد تم سن القانون الحماية الأمن القومي الميلاد ومصالحها الاقتصادية من التهديدات السيبرانية، وضمان سلامة المواطنين والمقيمين من الجرائم الإلكترونية يُجرم قانون مكافحة جرائم المعلوماتية كافة أنشطة الجرائم الإلكترونية مثل القرصنة والاحتيال عبر الإنترنت، وانتحال الشخصية، وانتهاك الخصوصية، كما يتضمن أحكاما لحماية البيانات الشخصية والتحقيق في الجرائم الإلكترونية والملاحقة القضائية مرتكبيها بموجب قانون مكافحة جرائم المعلوماتية تُعدُّ الحريمة الإلكترونية جريمة خطيرة يعاقب عليها بالغرامة والسجن وعضويات أخرى. كما يخول القانون الحكومة باتخاذ تدابير المتع الوصول إلى مواقع الويب التي تعد متورطة في الجرائم الإلكترونية. وزارة التعليم 2003 5 106

القوانين والضوابط الدولية للأمن السيبراني International Cybersecurity Laws and Regulations أصبحت القوانين والضوابط الدولية للأمن السيبراني ذات أهمية متزايدة في حماية البيانات والمعلومات على المستوى العالمي، وذلك بالإضافة إلى القوانين والضوابط المعمول بها فعليا في المملكة العربية السعودية، وفيما يلي بعض أبرز القوانين والضوابط الدولية للأمن السيبراني الولايات المتحدة الأمريكية USA قانون الاحتيال والانتهاك الحاسوبي (Computer Fraud and Abuse Act - CFAA): هو قانون اتحادي خاص بجرائم الحاسب وخصوصية البيانات، حيث يحظر القانون الوصول غير المصرح به إلى أجهزة الحاسب، وكافة أشكال التخريب أو الضرر المتعمد لأي نظام حاسب، وهو أحد القوانين الفيدرالية الأولى التي تجرم إساءة استخدام الحاسب وتُركز على حماية البيانات. قانون نقل التأمين الصحي والمساءلة (Health Insurance Portability and Accountability Act - HIPAA): هو قانون اتحادي يضع معايير وطنية لحماية المعلومات الصحية الحساسة للمرضى، ويحميها من المشاركة أو النشر دون موافقة المريض أو علمه، ولقد تم وضعه في عام 1996. قانون حماية خصوصية الأطفال على الإنترنت Children's Online Privacy Protection) هو قانون في الولايات المتحدة يُحدد قواعد جمع البيانات الشخصية من الأطفال الذين تقل أعمارهم عن 13 عاما واستخدامها، ويتطلب من مواقع الويب وتطبيقات الهاتف الذكي والخدمات الإلكترونية الأخرى الحصول على موافقة الوالدين قبل جمع تلك البيانات، أو استخدام معلوماتهم الشخصية ومشاركتها. الاتحاد الأوروبي EU قانون الاتحاد الأوروبي للأمن السيبراني ( EU Cybersecurity) يُعزز قانون الاتحاد الأوروبي للأمن السيبراني صلاحيات وكالة الاتحاد الأوروبي للأمن السيبراني (EU Agency for Cybersecurity-ENISA) . وينشئ إطارا للمصادقة على الأمن السيبراني للمنتجات والخدمات، حيث تقوم تلك الوكالة بإعداد الأسس التقنية لخطط الاعتماد، ويُؤسِّس القانون إطار الاعتماد على مستوى الاتحاد الأوروبي منتجات تقنية المعلومات والاتصالات وخدماتها ، وعملياتها، كما يعني هذا أن الشركات العاملة في الاتحاد الأوروبي يجب أن تحصل على المصادقة على منتجاتها وعملياتها وخدماتها في مجال تقنية المعلومات والاتصالات مرة واحدة كي يتم تعميم الاعتراف بتلك المصادقات في جميع أنحاء الاتحاد الأوروبي. النظام الأوروبي العام لحماية البيانات General Data Protection Regulation - GDP): هو لائحة قانونية تختص بحماية البيانات والخصوصية في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية. وينطبق قانون النظام الأوروبي العام لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليا أو جزئيا بالوسائل المؤتمنة. ومعالجتها بغيرها من تلك الوسائل التي تشكل أو ستشكل جزءا من نظام الملفات. المملكة المتحدة UK لوائح أمن الشبكات وأنظمة المعلومات (Network & Information Systems Regulations - (MIS): هي قوانين تهدف إلى زيادة أمن الشبكات الرقمية والمادية وأنظمة المعلومات، ولقد تم تشريعها لحماية الخدمات الأساسية والرقمية من الهجمات السيبرانية ولحماية المواطنين والشركات والخدمات العامة. وتتطيق هذه التوائح على الشركات التي تقدم الخدمات الأساسية مثل: النقل. والطاقة والمياه والصحة والبنية التحتية الرقمية، إضافة إلى مقدمي الخدمات الرقمية، بما في ذلك المتاجر الإلكترونية ومحركات البحث وخدمات الحوسبة السحابية. وزارة التعليم 1445

109 تمرينات حدد الجملة الصحيحة والجملة الخاطئة فيما يلي 1 يقتصر تطبيق القوانين والصوابط الخاصة بالأمن السيبراني على حماية المنشآت من التهديدات السيرانية صحيحة شاملة 2 يعمل وجود المعايير القياسية لقوانين الأمن السيبراني وضوابطه على تعزيز مستويات الأمن. 3. لا تتحمل الحكومات والمؤسسات أي مسؤولية حول أي اختراقات أمن سيبراني. 4 لا يعد التعاون الدولي أساسا في مكافحة الجريمة الإلكترونية. 5. لا تؤثر قوانين الأمن السيبراني وضوابطه على ثقة العملاء في المنتجات والخدمات. 6. تهدف الهيئة الوطنية للأمن السيبراني (NCA) إلى حماية مصالح المملكة من خلال تعزيز البنية التحتية للأمن السيبراني. 7 تناول الضوابط الأساسية للأمن السيبراني (ECC) إدارة هويات الدخول والصلاحيات فقط. يوفر قانون حماية البيانات الشخصية (PDPL) فاير لإدارة الأمن السيبراني السحابي. و ينظم قانون نقل التأمين الصحي والمساءلة (HIPPA) عملية الوصول غير المصرح به للبيانات المالية الرقمية. 10. يُغطي قانون مكافحة حرائم المعلوماتية السعودي كلا من أمن الأمراء وأمن المؤسسات. وزارة التعليم

2 الشرح فوائد المعايير القياسية لتوانين الأمس السيراني في الشركات والمؤسسات. حلل فنتين فرعيتين من ضوابط الأس راني للبيانات. وزارة التعليم

120 قيم الأثار المترتبة على عدم الامتثال لقوانين الأمن السيبراني وانظمته. 5 عرف قانون مكافحة جرائم المعلوماتية في المملكة العربية السعودية. وزارة التعليم

ابح في الانترنت عن الضوابط الأساسية للأمن السيبراني (ECC)، وأذكر الضوابط الرئيسة لبرنامج النوعية بالأمن السيراني والتدريب عليه . قيم الآثار المترتبة على النظام الأوروبي العام الحماية البيانات (GDPR على الشركات العاملة غير الحدود. وزارة التعليم