الملحق (ج)- قائمة المصطلحات
| الرقم: 56224/67 | التاريخ (م): 2019/5/13 | التاريخ (هـ): 1440/9/9 |
Effective from 2019-05-13 - May 12 2019
To view other versions open the versions tab on the right
| المدة | الوصف |
| المرونة | القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة. |
| الهجمات السيبرانية | هجوم، عبر الفضاء السيبراني، يستهدف استخدام المؤسسة للفضاء السيبراني لغرض تعطيل أو إعطاب أو تدمير أو التحكم بشكل ضار في بيئة/البنية التحتية لنظام الحوسبة؛ أو تدمير سلامة البيانات أو سرقة المعلومات الخاضعة للرقابة. المرجع (NIST SP 800-39 (CNSSI 4009) ) |
| المؤسسة العضو | مؤسسة عضو-المؤسسات التابعة للبنك المركزي. |
| F.E.E.R. | إطار عمل محاكاة الهجمات السيبرانية للمؤسسات المالية |
| المملكة | المملكة العربية السعودية |
| محاكاة الهجمات السيبرانية | تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام. |
| البنك المركزي | البنك المركزي العربي السعودي* |
| اختبار الاختراق | اختبار الأمان الذي يحاكي فيه المقيمون هجمات العالم الحقيقي في محاولة لتحديد طرق التحايل على ميزات الأمان لتطبيق أو نظام أو شبكة ما. غالبا ما يتضمن اختبار الاختراق إطلاق هجمات حقيقية على أنظمة وبيانات فعلية، باستخدام نفس الأدوات والتقنيات المستخدمة من قبل المهاجمين الفعليين. تتضمن معظم اختبارات الاختراق البحث عن مجموعات من الثغرات الأمنية في نظام واحد أو أنظمة متعددة، بحيث يتم استغلالها للوصول إلى قدر أكبر مما يمكن تحقيقه من خلال ثغرة أمنية واحدة. المرجع (NIST SP 800-115) |
| التكتيكات والأساليب والإجراءات | التكتيكات والأساليب والإجراءات |
| القراصنة الأخلاقيون | خبير يقوم بتنفيذ اختبار الاختراق. راجع 'اختبار الاختراق'. |
| خطاب التفويض | خطاب التفويض |
| اللجنة المصرفية لأمن المعلومات | اللجنة المصرفية لأمن المعلومات |
| الرئيس التنفيذي لأمن المعلومات | الرئيس التنفيذي لأمن المعلومات .مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف. |
| الهندسة الاجتماعية | مصطلح عام للمهاجمين الذين يحاولون خداع الأشخاص للكشف عن معلومات حساسة أو تنفيذ إجراءات بعينها، مثل تحميل وتنفيذ الملفات التي تبدو وكأنها ملفات عادية ولكنها في الواقع ضارة. المرجع: (NIST SP 800-114 ) |
| الفريق الأزرق | مجموعة من الأفراد يقومون بتنفيذ تقييمات لثغرات الشبكة التشغيلية ويقدمون وسائل لتخفيف آثار الثغرات للعملاء الراغبين في إجراء مراجعة فنية مستقلة لوضع أمن الشبكة الخاصة بهم. ويحدد الفريق الأزرق التهديدات والمخاطر الأمنية في بيئة التشغيل ويحلل بالتعاون مع العميل بيئة الشبكة وحالة الاستعداد الأمني الحالية. وبناء على نتائج الفريق الأزرق وخبرته، يقدم الفريق توصيات يمكن دمجها في الحلول الشاملة لأمن المؤسسة وتحسين استعداد العميل في جانب الأمن السيبراني. في كثير من الأحيان تتم الاستعانة بالفريق الأزرق بشكل تلقائي أو قبل الاستعانة بالفريق الأحمر للتأكد من أن شبكات العميل آمنة قدر الإمكان قبل أن يقوم الفريق الأحمر باختبار الأنظمة. المرجع: (CNSSI 4009-2015 ) |
| مركز العمليات الأمنية | مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة. |
| تسلسل الهجوم السيبراني | مفهوم تصوري يستخدم لهيكلة هجوم سيبراني. |
| الفريق الأبيض | المجموعة المسؤولة عن ترتيب الاشتباك بين فريق أحمر من المهاجمين الوهميين وفريق أزرق من المدافعين الفعليين عن استخدام مؤسستهم لأنظمة المعلومات. ويعمل الفريق الأبيض كقاضي أثناء التمرين، ويفرض قواعد التمرين ويراقبه، ويسجل نقاط كل فريق، ويحل أي مشاكل قد تنشأ، ويتعامل مع جميع طلبات أو استفسارات المعلومات، ويضمن سير المنافسة بشكل عادل دون التسبب في مشاكل تشغيلية لمهمة المدافع. ويساعد الفريق الأبيض في وضع قواعد الاشتباك ومقاييس تقييم النتائج وإجراءات توفير الأمان التشغيلي للاشتباك. وعادة ما يتحمل الفريق الأبيض مسؤولية استخلاص الدروس المستفادة، وإجراء تقييم ما بعد الاختبار وإصدار النتائج. المرجع: (CNSSI 4009-2015 ) |
| الفريق الأخضر | يتم توفير الفريق الأخضر من قبل الفريق السيبراني بالقطاع المالي في ساما. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويحتفظ الفريق الأخضر كذلك بقائمة قصيرة من مزودي خدمات محاكاة الهجمات السيبرانية المحتملين ويوفر استخبارات التهديدات التي تواجه القطاع المالي. |
| مدير الاختبار | مدير الاختبار هو المسؤول عن توجيه الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. |
| المخاطرة | مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. ( NISTIR 7298r2 مسرد مصطلحات أمن المعلومات الرئيسية) |
| برمجية الاستغلال | جزء من التعليمات البرمجية أو أمر يهدف إلى تنفيذ أنشطة ضارة على النظام، من خلال الاستفادة من الثغرة الأمنية. |
| الثغرة الأمنية | ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 مسرد مصطلحات أمن المعلومات الرئيسية) |
| اتفاقية عدم الإفصاح | اتفاقية عدم الإفصاح |
| استخبارات التهديدات | استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر) |
| مزود أعمال محاكاة الهجمات السيبرانية | مزود أعمال محاكاة الهجمات السيبرانية |
| التوفر | ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) |
| نيست (NIST) | المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (www.nist.gov) |
| حادثة | حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) |