معايير حماية البيانات ISO-27001 و PCI-DSS فى حفظ المعلومات

Security
ما هى المعايير التى تطبقها المنظمات والحكومات لحماية البيانات وما هى الفروق بين ISO-27001 و PCI-DSS
Mostafa Tamam
March 15, 2023, 1:30 p.m.
mostafa_tamam
معايير حماية البيانات ISO-27001 و PCI-DSS فى حفظ المعلومات

مقدمة

مصطلحات مثل ISO 27001 او PCI-DSS مصطلحات تجدها عند تصفحك او فى متطلبات وظائف الأمن السيبرانى تجدها كثيرا او فى مقابلات العمل المختلفة ولعلك تتسائل ما هى هذة المعايير؟ وكيف تحدد؟ وكيف تطبق هذة المعايير؟ وكيف اتعلمها ... الخ واسئلة كثيرة تدور فى ذهنك عند مقابلة هذة المصطلحات, نبشرك فقد حان الرد على اسئلتك, هناك العديد من المعايير في أمن المعلومات، ولكن هناك معياران لهما صلة خاصة بنطاقهما وتأثيرهما الدولي هما ISO 27001 و PCI-DSS, في هذه المقالة ستتعلم ما هى هذة معايير وما هى الفروق الخاصة بينهم.

ما هو معيار ISO/IEC 27001

معيار ISO 27001 هو المعيار الدولي الرائد الذي يركز على أمن المعلومات, تم نشره من قبل المنظمة الدولية للتوحيد القياسي (ISO), بالشراكة مع اللجنة الدولية (IEC) كلاهما من المنظمات الدولية الرائدة التي تطور المعايير الدولية.

معيار ISO 27001 هو جزء من مجموعة معايير تم تطويرها للتعامل مع أمن المعلومات, سلسلة ISO/IEC 27000 تقوم بتطبيق معايير أمن المعلومات والأمن السيبراني وحماية الخصوصية و أنظمة إدارة أمن المعلومات (ISMS) , والـ ISMS هو منهج منظم لإدارة المعلومات الحساسة للمنظمة من أجل تقليل مخاطر تسريب المعلومات الحساسة, يشمل ISMS الأفراد والعمليات وأنظمة تكنولوجيا المعلومات من خلال تطبيق عملية الـ risk management, توفر هذه المواصفات القياسية متطلبات إنشاء نظام ISMS وتنفيذه وصيانته وتحسينه باستمرار. علاوة على ذلك ، يمكن تطبيق هذا المعيار على أي مؤسسة في أي قطاع ولا يتم أخذ حجم المنظمة في الاعتبار في هذا المعيار.

 أحدث إصدار من هذا المعيار قدم فى فبراير لعام 2022 بأسم ISO/IEC 27000:2022

ما سبب أهمية ISO 27001

يمكن هذا المعيار للشركات المعرفة اللازمة لحماية معلوماتها بشكل افضل بناء على قواعد واسس تضعها المنظمة الدولية، ويمكن أيضًا أن تحصل الشركة على شهادة ISO 27001 ، وبهذه الطريقة تثبت لعملائها وشركائها أنها تحمي بياناتهم.
يمكن للأفراد أيضًا الحصول على شهادة ISO 27001 من خلال حضور دورة ISO/IEC 27000 واجتياز الاختبار وبهذه الطريقة يمكن إثبات مهاراتهم في تنفيذ أو تدقيق نظام إدارة أمن المعلومات للشركات والمؤسسات الباحثين عن مهندسين أمن معلومات فنظرًا لأنه معيار دولي، يمكن التعرف على ISO 27001 بسهولة في جميع أنحاء العالم ، مما يزيد من فرص الأعمال للمؤسسات والأشخاص.

ما هي المعايير التى يطبقها ISO 27001

الهدف الأساسي من ISO 27001 ونظام إدارة أمن المعلومات (ISMS) هو حماية ثلاثة جوانب من المعلومات هما:

 الـ Confidentiality: او السرية هو حماية البيانات من الدخول غير المصرح به مع أحقية الأشخاص المصرح لهم فقط الوصول إلى المعلومات.
 الـ Integrity: او النزاهة ويمكن الأشخاص المصرح لهم فقط تغيير المعلومات.
 الـ Availability: او التوفر وهو هام جدا فيجب أن تكون المعلومات في متناول الأشخاص المصرح لهم كلما دعت الحاجة إليها.

ويسمى ايضا بمثلث الـ CIA وهو اساس تطبيق اى معايير فى الأمن السيبرانى. 

كيف تطبق معايير وضوابط ISO 27001؟

هناك 11 عنصر تحكم جديد تم تقديمه في ISO/IEC 27001:2022 وهما:

A.5.7 Threat intelligence
A.5.23 Information security for use of cloud services
A.5.30 ICT readiness for business continuity
A.7.4 Physical security monitoring
A.8.9 Configuration management
A.8.10 Information deletion
A.8.11 Data masking
A.8.12 Data leakage prevention
A.8.16 Monitoring activities
A.8.23 Web filtering
A.8.28 Secure coding

يتم تنفيذ هذة الضوابط والمعايير من خلال تحديد القواعد الواجب اتباعها، او توفير المعرفة أو التعليم أو المهارات أو الخبرة للأشخاص لتمكينهم من أداء أنشطتهم بطريقة آمنة وكذلك السلوك المتوقع من المستخدمين والمعدات والبرامج والأنظمة. ويطبق كل معيار بأنظمته والقواعد المتبعة لكل فئة داخله, على سبيل المثال النسخ الاحتياطي وبرنامج مكافحة الفيروسات تدخل تحت معيار A.8 وما الى ذلك, كل معيار له تطبيق وامثلتة الخاصة , يمكنك ايضا التعرف بالتفصيل على كل معيار وطريقة تطبيقة من اكادمية Advisera.

ما هو معيار PCI-DSS ؟

معيار أمان بيانات البطاقات الأئتمانية | Payment Card Industry Data Security Standard (PCI DSS) هو معيار أمان معلومات تم تنفيذه للحد من عمليات الاحتيال المتعلقة بالبطاقات الأئتمانية من خلال حماية بيانات حامل البطاقة. تم تطوير معيار أمان البيانات (DSS) وصيانته من قبل مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC). تم إنشاء PCI SSC بشكل مشترك من قبل أربع شركات بطاقات ائتمان رئيسية مثل Visa و MasterCard و Discover و American Express, بالنسبة لهذه الشركات، يعد الامتثال للمعيار إلزاميًا، وقد يتم ايضا تطبيق متطلبات أو التزامات مختلفة.

ما هى القواعد والمتطلبات لتنفيذ PCI-DSS

يتكون PCI-DSS من 13 مجموعة من الضوابط (12 عنصر من المتطلبات + ملحق واحد) ، وأكثر من 200 عنصر تحكم تركز على أمان بيانات بطاقات الائتمان:

1- تثبيت تكوين جدار الحماية والحفاظ عليه لحماية بيانات حامل البطاقة.
2- لا تستخدم الإعدادات الافتراضية التي يوفرها مزود الخدمة لكلمات مرور النظام ومعلمات الأمان الأخرى.
3- حماية بيانات حامل البطاقة المخزنة.
4- تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة.
5- حماية جميع الأنظمة من البرامج الضارة وتحديث برامج أو برامج مكافحة الفيروسات بانتظام.
6- تطوير وصيانة الأنظمة وتثبيت التطبيقات الآمنة.
7- تقييد الوصول إلى بيانات حامل البطاقة حسب حاجة الشركة إلى معرفتها.
8- تحديد ومصادقة الوصول إلى مكونات النظام.
9- تقييد الوصول المادي إلى بيانات حامل البطاقة.
10- تتبع ومراقبة كل الوصول إلى موارد الشبكة وبيانات حامل البطاقة.
11- اختبار أنظمة وعمليات الأمن بانتظام.
12- الحفاظ على سياسة تتناول أمن المعلومات لجميع الموظفين.

الملحق A.1: يجب على موفري الاستضافة المشتركة حماية بيئة بيانات حامل البطاقة.

احدث اصدار من PCI-DSS هو V4

معيار PCI-DSS هو متاج بشكل مجانى ويمكن الرجوع إليه وتنزيله من الموقع الرسمي لمجلس معايير أمان PCI.

كيف تصنف PCI-DSS المؤسسات والشركات ؟

تحتوي PCI-DSS على أربعة مستويات تحتاج كل مؤسسة إلى تصنيفها ضمن إحدى هذه الفئات.

المستوى الأول: المنظمات التي تعالج أكثر من 6 ملايين معاملة سنويًا.
المستوى الثانى: المنظمات التي تعالج ما بين 1 إلى 6 ملايين معاملة سنويًا.
المستوى الثالث: المنظمات التي تعالج ما بين 20000 إلى 1 مليون معاملة رقمية سنويًا.
المستوى الرابع: المؤسسات التي تعالج أقل من 20000 معاملة رقمية أو ما يصل إلى مليون معاملة.


ما هو الفرق بين ISO-27001 و PCI-DSS ؟

كما وضحنا بأن معيار PCI DSS هو معيار يحدد خط الأساس لحماية بيانات بطاقة الدفع، في حين أن ISO-27001 هو نظام لإدارة المعلومات يضع إطارًا لحماية البيانات والمؤسسات بشكل اكبر, يركز كلا المعيارين على الضوابط الفنية والتنظيمية ، واذا كنا سنختصر الفرق بينهم سيكون ISO 27001 يعتمد بشكل أكبر على ادراة المخاطر والبيانات فى حين ان PCI DSS يعتمد على القواعد وتأمين بيانات الدفع.

عندما نقارن PCI-DSS و ISO-27001 ، فإننا نقارن مجموعة من القواعد الأساسية بتأميين طرق الدفع مقابل مجموعة من الضوابط القائمة على ادارة المخاطر. يخبرك PCI DSS بما يتوقع أن تراه بعبارات لا لبس فيها وبتفيذ هذة الأجراءت بشكل الزامى ، بينما تتوقع ISO 27001 منك تحديد الشكل الذي سوف يتماشى مع مؤسستك.

الخاتمة

والى هنا نكون بحمدالله انتيهنا من تعريف كل معيار على حدة واجابة اغلب التساؤلات التى يسئلها اغلبنا, والى هنا النهاية ... ولكنها البداية لسلسة جديدة لتعريف مجال الـ security governance ومصطلحاتة ولنا لقاء فى مقالات اخرى وتحديات اخرى laugh

enlightenedشارك المقالة على وسائل التواصل الأجتماعى واخبرنا فى التعليقات عن ما هى الأسئلة المتعلقة بموضوع المقالة قد سؤلت عنها من قبل .

ونختم بقول الشاعر الشنفرى wink

أَقيموا بَني أُمّي صُدورَ مَطِيَّكُم & فَإِنّي إِلى قَومٍ سِواكُم لأمْيَلُ
وَلي دونَكُم أَهلَونَ سيدٌ عَمَلَّسٌ & وَأَرقَطُ زُهلولٌ وَعَرفاءُ جَيأَلُ

 

References:

PCI-DSS-v4-0.pdf

ISO/IEC 27001 (ISMS): Full Certification Bootcamp

Advisera


PCI-DSS ISO-2700 2023 ISO/IEC 27000 CIA Mostafa Tamam Security Root-X