مركز أمن الإنترنت (Center for Internet Security) اختصارًا (CIS) هي منظمة 501 (c) (3) غير ربحية ، تشكلت في شهر أكتوبر، في عام 2000. وتتمثل مهمتها في "تحديد وتطوير، والتحقق من صحة، وتعزيز، والحفاظ على حلول أفضل الممارسات للدفاع السيبراني وبناء وقيادة المجتمعات لتمكين بيئة من الثقة في الفضاء الإلكتروني ". يقع المقر الرئيسي للمنظمة في شرق جرينبوش ، بمدينة نيويورك، ويوجد لها أعضاء متعددين بما في ذلك الشركات الكبرى والوكالات الحكومية والمؤسسات الأكاديمية.
مركز أمن الإنترنت | |
---|---|
البلد | الولايات المتحدة |
المقر الرئيسي | إيست غرينبوش |
النوع | 501(c)(3) منظمة غير ربحية[1] |
Chairman and interim CEO | John C. Gilligan[2][3] |
شخصيات مهمة | Steven J. Spano, President and COO; Curtis W. Dukes, Executive Vice President; مجلس إدارة,[4] Executive Committee[5] |
الانتماء | آيزاكا, AICPA, IIA, ISC2, SANS Institute[6] |
الموقع الرسمي | www.cisecurity.org |
يوظف مركز أمن الإنترنت نموذجًا مغلقًا للتعهيد الجماعي لتحديد الإجراءات الأمنية الفعالة وصقلها، حيث يقوم الأفراد بتطوير توصيات يتم مشاركتها مع المجتمع للتقييم من خلال عملية صنع القرار بالإجماع . على الصعيدين الوطني والدولي، حيث يلعب مركز أمن الإنترنت دورًا مهمًا في تشكيل سياسات وقرارات الأمان من خلال الحفاظ على عناصر التحكم في مركز أمن الإنترنت ومعايير مركز أمن الإنترنت، واستضافة مركز تبادل المعلومات متعدد الدول وتحليله (MS-ISAC). [9]
مجالات البرامج
يحتوي مركز أمن الإنترنت على العديد من مجالات البرامج، بما في ذلك MS-ISAC و CIS Controls و CIS Benchmarks و CIS Communities و CIS CyberMarket. من خلال هذه المجالات البرامجية، يعمل مركز أمن الإنترنت مع مجموعة واسعة من الكيانات، بما في ذلك تلك الموجودة في الأوساط الأكاديمية والحكومة والقطاع الخاص والجمهور العام على حد سواء لزيادة أمانهم عبر الإنترنت من خلال تزويدهم بالمنتجات والخدمات التي تحسن كفاءة وفعالية الأمان عبر الإنترنت. [10] [11]
مركز تبادل المعلومات والتحليل المتعدد الولايات (MS-ISAC)
مركز تبادل المعلومات وتحليلها المتعدد الولايات ( MS-ISAC ) هو "مركز مراقبة وتخفيف تهديدات الإنترنت على مدار الساعة لحكومات الولايات والحكومات المحلية" تديره رابطة الدول المستقلة كشراكة مع مكتب الأمن السيبراني والاتصالات في الولايات المتحدة ووزارة الأمن الداخلي الأمريكية (DHS). تم إنشاء مركز تبادل المعلومات هذا في أواخر عام 2002 ، وتم إطلاقه رسميًا في شهر يناير من عام 2003 ، من قبل وليام بيلجرن، ومن ثم من قبل كبير ضباط الأمن في ولاية نيويورك. [12] بدءًا من مجموعة صغيرة من الدول المشاركة في الشمال الشرقي، أصبح مركز تبادل المعلومات يضم جميع الولايات الأمريكية الخمسين ومقاطعة كولومبيا ، بالإضافة إلى الحكومات الإقليمية والقبلية والمحلية الأمريكية. من أجل تسهيل توسيع نطاقه. وفي أواخر عام 2010 ، انتقل مركز تبادل المعلومات إلى "وضع غير هادف للربح تحت رعاية مركز أمن الإنترنت" ، وهو تحول أدى بتسهيلة وتنظيمة رابطة الدول المستقلة "لها سمعة راسخة في توفير موارد الأمن السيبراني للقطاعين العام والخاص ". [13]
علاوة على كل ذلك، مركز تبادل المعلومات يساعد الوكالات الحكومية على مكافحة التهديدات السيبرانية ويعمل عن كثب مع تطبيق القانون الفيدرالي" ، [14] [15] وتم تعيينه واعتماده من قبل وزارة الأمن الوطني كمصدر رئيسي للأمن السيبراني لحكومات الدولة في القطاعات المحلية والإقليمية والقبلية (SLTT) . يقوم مركز عمليات الأمن السيبراني بالعمل بشكل متزامن مع مركز تبادل المعلومات على مدار 24 ساعة طوال أيام الأسبوع وذلك بإنشاء عمليات تختص بمراقبة الشبكة وإصدار تحذيرات واستشارات ونشر تهديدات إلكترونية في وقت مبكر، كما يقومون بإجراء التعرف على الثغرات الأمنية والتخفيف من حدتها وكذلك العمل على الاستجابة للحوادث الإلكترونية الأمنية. [16]
الأهداف الرئيسية لـ مركز تبادل المعلومات يمكن وصفها كما يلي: [17]
- توفير مشاركة ثنائية الاتجاه للمعلومات والإنذارات المبكرة حول تهديدات الأمان السيبراني.
- توفير عملية لجمع ونشر المعلومات حول حوادث الأمن السيبراني.
- تعزيز الوعي بالاعتماد المتبادل بين البنية التحتية الحيوية المادية والفضائية وكذلك بين القطاعات المختلفة وفيما بينها.
- تنسيق التدريب والوعي.
- التأكد من أن جميع الأطراف الضرورية شركاء في هذا الجهد.
مركز تبادل وتحليل معلومات البنية التحتية للانتخابات (EI-ISAC)
يعد مركز تبادل وتحليل معلومات البنية التحتية للانتخابات ( EI-ISAC ) ، مورداً حاسماً لمنع تهديدات الإنترنت وحمايتها واستجابتها واستردادها لدولة والقطاعات المحلية والإقليمية، والمكاتب الانتخابية القبلية (SLTT)، كما تم إنشاؤه بواسطة مجلس التنسيق الحكومي لقطاع البنية التحتية للانتخابات (GCC). يتم تشغيل وإدارة هذا المركز بواسطة مركز أمن الإنترنت .
تتمثل مهمة مركز تبادل وتحليل معلومات البنية التحتية للانتخابات في تحسين وضع الأمن السيبراني العام لمكاتب انتخابات SLTT ، من خلال التعاون وتبادل المعلومات بين الأعضاء، ووزارة الأمن الداخلي الأمريكية (DHS) والشركاء الفيدراليين الآخرين، وشركاء القطاع الخاص، حيث أن كل من هؤلاء يعتبرون هم بالأساس مفتاح النجاح الأول . يُعتبر المركز مورداً مركزياً لجمع المعلومات حول التهديدات السيبرانية للبنية التحتية للانتخابات والمشاركة في اتجاهين للمعلومات بين القطاعين العام والخاص من أجل تحديد وحماية وكشف والاستجابة والتعافي من الهجمات على الانتخابات العامة والخاصة في البنية التحتية. ويضم المركز أيضاً ممثلين من مكاتب الانتخابات SLTT والمقاولين لدعم البنية التحتية للانتخابات SLTT. [18]
عناصر التحكم في مركز أمن الإنترنت والمعايير
توفر عناصر التحكم في مركز أمن الإنترت ومقاييس مركز أمن الإنترنت معايير عالمية لأمن الإنترنت، وهو معيار عالمي معترف به، حيث أنه يوفر أفضل الممارسات لتأمين أنظمة تكنولوجيا المعلومات والبيانات ضد الهجمات على مستوى وصعيد عالمي. أيضاً، يحافظ مركز أمن الإنترنت على " عناصر التحكم في المعايير " ، وهي مجموعة شائعة من 20 عنصر تحكم أمان "والتي تحدد العديد من معايير الامتثال" ، وهي قابلة للتطبيق على إنترنت الأشياء . [19] من خلال عملية توافق معيارية مستقلة، يوفر مركز أمن الإنترنت معايير عمل لمساعدة المنظمات على تعزيز أمنها. إضافة إلى ذلك، يقدم المركز مجموعة متنوعة من الموارد المجانية، [20] والتي تشمل "معايير التكوين الآمنة وأدوات تقييم التكوين التلقائي والمحتوى ومقاييس الأمان وشهادات منتجات برامج الأمان". [11]
تدافع عناصر التحكم في مركز أمن الإنترنت عن "نموذج دفاعي معمق للمساعدة في منع البرامج الضارة واكتشافها". [21] أظهرت دراسة أجريت في شهر مايو في عام 2017 أن "المؤسسات تفشل في كمعدل متوسط بنسبة 55٪ من عمليات التحقق من الامتثال التي أنشأها مركز أمان الإنترنت" ، مع كون أكثر من نصف هذه الانتهاكات تُعتبر قضايا خطيرة للغاية. [22] في شهر مارس من عام 2015 ، أطلق مركز أمن الإنترنت صور Carden Hardened لـ Amazon Web Services ، استجابةً "للقلق المتزايد المحيط بسلامة بيانات المعلومات الموجودة على الخوادم الافتراضية في السحابة". [23] تم توفير الموارد في صورة Amazon Machine Images ، وهي قائمة بـ"أنظمة صلبة تخضع لمعايير مركز أمن الإنترنت" ، بما في ذلك أنظمة مطبقة على أنظمة ويندوز و لينكس و أوبونتو ، مع إضافة صور إضافية ومزودي خدمات السحاب لاحقًا.
أصدر مركز أمن الإنترت أدلة مصاحبة لـ "عناصر تحكم أمن الإنترنت" ، وهي توصيات لاتخاذ إجراءات لمكافحة هجمات الأمن السيبراني، مع إصدار أدلة جديدة في شهر أكتوبر وشهر ديسمبر أيضاً في عام 2015. [24] في شهر أبريل بعام 2018 ، أطلق مركز أمن الإنترنت طريقة لتقييم مخاطر أمن المعلومات وذلك بغرض تطبيق عناصر التحكم الخاصة بمركز أمن الإنترنت نفسه، والتي تسمى بـ (CIS RAM) ، والتي تقوم على تقييم معايير المخاطر من قبل مجلس DoCRA. [25]
معايير مركز أمن الإنترنت هي في الحقيقة تعمل بمثابة توافق إجماعي وتعاون بين مجتمع التوافق والإجماع (Consensus Community) وأعضاء CIS SecureSuite (وهي فئة من أعضاء مركز أمن الإنترنت لديهم إمكانية الوصول إلى مجموعات إضافية من الأدوات والموارد). [26] يتكون مجتمع التوافق والإجماع من خبراء في مجال أمن تكنولوجيا المعلومات يستخدمون معارفهم وخبراتهم لمساعدة مجتمع الإنترنت العالمي، بينما يتكون أعضاء CIS SecureSuite من عدة أنواع مختلفة من الشركات التي تتراوح في أحجامها، بما في ذلك الوكالات الحكومية والكليات والجامعات والمنظمات غير الربحية ومدققو تكنولوجيا المعلومات والاستشاريون وبائعي برامج الأمان والمنظمات الأخرى. تتيح معايير مركز أمن الإنترنت وغيرها من الأدوات التي يوفرها مركز أمن الإنترنت دون أي تكلفة للعاملين في تكنولوجيا المعلومات إنشاء تقارير تقارن أمان على نظامهم مع معيار التوافق العالمي. يعزز هذا الأمر هيكلًا جديدًا لأمن الإنترنت بحيث يكون كل شخص مسؤولاً عن ذلك يتم مشاركته بين كبار المسؤولين التنفيذيين ومحترفي التكنولوجيا وغيرهم من مستخدمي الإنترنت في جميع أنحاء العالم. علاوة على ذلك، يوفر مركز أمن الإنترنت أدوات أمان الإنترنت مع ميزة تسجيل تقوم بتصنيف أمان تكوين النظام الموجود. على سبيل المثال، يوفر مركز أمن الإنترنت لأعضاء SecureSuite إمكانية الوصول إلى CIS-CAT Pro ، وهو "تطبيق Java مشترك عبر الأنظمة الأساسية" الذي يقوم بمسح الأنظمة المستهدفة (مسح إستكشافي) و "ينتج تقريرًا يقارن إعداداتك بالمعايير المنشورة". [10] ويهدف هذا الأمر إلى تشجيع وتحفيز المستخدمين على تحسين الدرجات التي يقدمها البرنامج، مما يعزز أمان الإنترنت والأنظمة الخاصة بهم. يعتمد معيار الإجماع العالمي الذي يستخدمه مركز أمن الإنترنت على المعرفة المتراكمة لمحترفي التكنولوجيا الماهرين ويستخدمها كمعيار رسمي. نظرًا لأن متخصصي أمان الإنترنت يتطوعون بالمساهمة في هذا التوافق، فإن هذا الأمر من شأنه بأن يقلل تكاليف مركز أمن الإنترنت ويجعله فعال من حيث التكلفة. [27]
السوق الإلكتروني لمركز أمن الإنترنت
السوق الإلكتروني في مركز أمن الإنترنت هو "برنامج شراء تعاوني يخدم المؤسسات الحكومية التابعة للولايات الأمريكية في القطاعات المحلية والقبلية والإقليمية (SLTT) والكيانات غير الربحية ومؤسسات الصحة والتعليم العامة لتحسين الأمن السيبراني من خلال الشراء الجماعي الفعال التكلفة". [28] يهدف هذا السوق الإلكتروني إلى الجمع بين القوة الشرائية للقطاعات الحكومية وغير الربحية لمساعدة المشاركين على تحسين أوضاع الأمن السيبراني بتكلفة أقل مما كان يمكن أن يحققوه من تلقاء أنفسهم. يساعد البرنامج المتواجد في السوق الإلكتروني لمركز أمن الإنترنت في مهمة "كثيفة الوقت ومكلفة ومعقدة وشاقة" تتمثل في الحفاظ على الأمن السيبراني من خلال العمل مع القطاعين العام والخاص لتقديم أدوات وخدمات فعالة التكلفة لشركائهم. حيث أنه أيضاً تتم مراجعة فرص الشراء المدمجة من قبل خبراء المجال. [17]
هناك ثلاثة أهداف رئيسية لـ السوق الإلكتروني في مركز أمن الإنترنت وهي:
- المساهمة في بيئة موثوق بها لتحسين حالة الأمن السيبراني للكيانات المذكورة سابقًا.
- خفض تكلفة احتياجات الأمن السيبراني.
- العمل مع الشركات لتقديم الخدمات والمنتجات الأمنية لشركائها [17].
يخدم السوق الإلكتروني في مركز أمن الإنترنت مراكز وجهات أخرى عدة مثل مركز تبادل المعلومات (المذكور أعلاه) ، والكيانات الحكومية وغير الربحية في تحقيق قدر أكبر من الأمن السيبراني. في صفحة "الموارد" على برامج السوق الإلكتروني في مركز أمن الإنترنت، تتوفر النشرات الإخبارية والوثائق المتعددة مجانًا، بما في ذلك "كتيب الأمن السيبراني للمدن والمقاطعات". [16]
مجتمعات مركز أمن الإنترنت
مجتمعات مركز أمن الإنترنت هي "مجتمع عالمي متطوع مكون من محترفي تكنولوجيا المعلومات" الذين "يقومون باستمرار بصقل والتحقق من" أفضل ممارسات مركز أمن الإنترنت وأدوات الأمن السيبراني. [29] لتطوير وهيكلة معايير مركز أمن الإنترنت، يستخدم المركز استراتيجية يقوم فيها أعضاء المنظمة أولاً بتكوين فرق. تقوم هذه الفرق بعد ذلك بجمع الاقتراحات والنصائح والعمل الرسمي والتوصيات من بعض المنظمات المشاركة. بعد ذلك، تقوم الفرق بتحليل بياناتها ومعلوماتها لتحديد إعدادات التكوين الأكثر حيوية التي من شأنها تحسين أمان نظام الإنترنت في أكبر عدد ممكن من إعدادات العمل. يعمل كل عضو في الفريق باستمرار مع زملائهم في الفريق ويحلل وينقد كل فرد من الفريق حتى يتكون قرار الإجماع بين أعضاء الفريق. قبل إصدار المعيار ونشره لعامة الناس والمستخدمين، يكون المعيار متاح للتنزيل والاختبار بين المجتمع الخاص الذي تم تكوينه من قبل. بعد مراجعة جميع التعليقات الواردة من الاختبار وإجراء أي تعديلات أو تغييرات ضرورية، يتم توفير المعيار النهائي وأدوات الأمان الأخرى ذات الصلة للجمهور للتنزيل من خلال موقع مركز أمن الإنترنت. هذه العملية واسعة النطاق ويتم تنفيذها بعناية بحيث يشارك فيها الآلاف من محترفي الأمن في جميع أنحاء العالم. وفقًا لـ ISACA ، "أثناء تطوير معيار مركز أمن الإنترنت لشركة Sun Microsystems Solaris ، قام أكثر من 2,500 مستخدم بتنزيل أدوات القياس والمراقبة". [30]
المنظمات المشاركة
تشمل المنظمات التي شاركت في تأسيس مركز أمن الإنترنت في شهر أكتوبر بعام 2000 ISACA والمعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) ومعهد المراجعين الداخليين (IIA) واتحاد شهادات أمن نظم المعلومات الدولي (ISC2) ومعهد SANS (إدارة النظام والشبكات والأمن). منذ ذلك الحين نمت رابطة مركز أمن الإنترنت لتصبح رابطة مكونة من مئات الأعضاء وبدرجات متفاوتة من العضوية، وتتعاون وتعمل مع مجموعة متنوعة من المنظمات والأعضاء على الصعيدين الوطني والدولي. بعض هذه المنظمات تشمل تلك الموجودة في كل من القطاعين العام والخاص، والقطاعات الحكومية، ISACs وسلطات إنفاذ القانون أيضاً.
المراجع
- Rulison, Larry (November 9, 2016). "E. Greenbush group monitored election for hackers". Albany Times Union. مؤرشف من الأصل في 6 أكتوبر 2017.
- Ackerman, Robert K.; Pendleton, Breann (June 28, 2017). "More Than Just Your Regular Cyberthreats". Signal. مؤرشف من الأصل في 17 ديسمبر 2019.
- "John M. Gilligan". Center for Internet Security. مؤرشف من الأصل في 17 ديسمبر 201925 يوليو 2017.
- "Center for Internet Security Board of Directors". Center for Internet Security. مؤرشف من الأصل في 2 فبراير 201725 يوليو 2017.
- "Center for Internet Security Executive Committee". Center for Internet Security. مؤرشف من الأصل في 4 يناير 201725 يوليو 2017.
- Kreitner, Clint; Miuccio, Bert. "The Center for Internet Security: Global Security Benchmarks for Computers Connected to the Internet". آيزاكا (ISACA). مؤرشف من الأصل في 18 مايو 202025 يوليو 2017.
- Buonanno, Nicholas (May 22, 2017). "High school students participate in cybersecurity internship". The Record. مؤرشف من الأصل في 17 يناير 2018.
- "About us". Center for Internet Security. مؤرشف من الأصل في 8 أغسطس 201925 يوليو 2017.
- Nazli Choucri, Stuart Madnick, and Priscilla Koepke, Institutions for Cyber Security: International Responses and Data Sharing Initiatives, Working Paper CISL# 2016-10 (August 2016) Cybersecurity Interdisciplinary Systems Laboratory (CISL), Sloan School of Management, Massachusetts Institute of Technology. نسخة محفوظة 30 أغسطس 2019 على موقع واي باك مشين.
- "Information Security and Policy: About The Center for Internet Security". جامعة كاليفورنيا. مؤرشف من الأصل في 13 ديسمبر 201925 يوليو 2017.
- "CIS Security Benchmarks Tools". جامعة جورج ماسون. مؤرشف من الأصل في 20 فبراير 201925 يوليو 2017.
- Lohrmann, Dan (May 30, 2015). "Interview with Retiring MS-ISAC Founder Will Pelgrin and Incoming CIS CEO Jane Lute". Government Technology. مؤرشف من الأصل في 19 سبتمبر 2018.
- "Multi-State Information Sharing and Analysis Center". Center for Internet Security. مؤرشف من الأصل في 17 ديسمبر 201521 مارس 2014.
- Nakashima, Ellen (August 29, 2016). "Russian hackers targeted Arizona election system". واشنطن بوست. مؤرشف من الأصل في 5 سبتمبر 2019.
- Robert M. Clark and Simon Hakim, Protecting Critical Infrastructure at the State, Provincial, and Local Level: Issues in Cyber-Physical Security, Cyber-Physical Security (August 11, 2016), p. 11. "Multi-State+Information+Sharing+and+Analysis+Center"&hl=en&sa=X&ved=0ahUKEwi1qK34jazVAhVE4mMKHZjkCQgQ6AEITjAG نسخة محفوظة 17 ديسمبر 2019 على موقع واي باك مشين.
- "Welcome to the MS-ISAC". Center for Internet Security. مؤرشف من الأصل في 1 أبريل 201725 يوليو 2017.
- "Center for Internet Security". Center for Internet Security. مؤرشف من الأصل في 30 أغسطس 201925 يوليو 2017.
- "EI-ISAC® Charter". مؤرشف من الأصل في 24 أكتوبر 2019.
- Russell, Brian; Van Duren, Drew (2016). Practical Internet of Things Security. صفحة 83. .
- Westby, Jody R. (2004). International Guide to Cyber Security. صفحة 213. .
- Shelton, Debbie (December 2016). "A winning pair: governance and automated controls must work in tandem to achieve maximum results". Internal Auditor. مؤرشف من الأصل في 10 أغسطس 2018.
- Seals, Tara (May 26, 2017). "Cloud Environments Suffer Widespread Lack of Security Best Practices". Infosecurity Magazine. مؤرشف من الأصل في 30 أكتوبر 2018.
- Seals, Tara (March 25, 2015). "Center for Internet Security Aims at AWS". Infosecurity Magazine. مؤرشف من الأصل في 27 أكتوبر 2018.
- Seals, Tara (December 23, 2015). "Center for Internet Security Releases Companion Guides". Infosecurity Magazine. مؤرشف من الأصل في 16 مايو 2019.
- "CIS RAM FAQ". CIS® (Center for Internet Security, Inc.) website. مؤرشف من الأصل في 16 أبريل 2020.
- "CIS SecureSuite Membership". مؤرشف من الأصل في 22 مايو 201925 يوليو 2016.
- "Center for Internet Security Takes Leading Role in Industry Efforts to Enhance Security Automation". Business Wire. September 12, 2013. مؤرشف من الأصل في 6 أكتوبر 2017.
- "CIS CyberMarket". مؤرشف من الأصل في 22 مايو 201925 يوليو 2017.
- "CIS Communities". مؤرشف من الأصل في 22 مايو 201929 يوليو 2017.
- "ISACA: Serving IT Governance Professionals". مؤرشف من الأصل في 6 سبتمبر 2019March 7, 2014.
روابط خارجية
- الموقع الرسمي
- MS-ISAC الصفحة الرئيسية
- CIS معايير الصفحة الرئيسية
- السوق الإلكتروني لمركز أمن الإنترنت CyberMarket
- مركز مجلس أمن الإنترنت
- مركز اللجنة التنفيذية لأمن الإنترنت