ما مقوّمات وضع برنامج للأمن الحاسوبي

تمثّل المرافق التي تتعامل مع المواد النووية أو غيرها من المواد المشعة، وتضطلع بالأنشطة المرتبطة بها، بنيةً أساسيةً حسّاسةً تستلزم مستويات عالية من الأمان والأمن. وباتباع نَهْج شامل ذي طبيعة استباقية إزاء الأمن الحاسوبي، يمكن للمؤسسات حماية أصول المعلومات الحسّاسة والنُّظم الحاسوبية في هذه المرافق مما قد يُخِلُّ بها. ويكمن أساس النَّهج الذي أوصت به الوكالة بشأن الأمن الحاسوبي في قيام الدول بتحديد متطلباتٍ لاستراتيجية وطنية أو سياسة وطنية، ما يمكّن من سرية وحماية المعلومات الحسّاسة ونُظم الحوسبة المتعلقة بالحماية المادية، والأمان النووي، وحصر المواد النووية ومراقبتها. ويمكن أن تأخذ هذه المتطلبات أيضاً شكل لوائح وطنية تنصُّ على إعداد وتنفيذ برنامج للأمن الحاسوبي*.

وبرنامج الأمن الحاسوبي هو إطار شامل يتضمّن العناصر الرئيسية لخطة فعّالة لتنفيذ سياسات وإجراءات الأمن الحاسوبي التي ستُستخدم طوال عمر مرفق نووي أو مرفق ينطوي على مصادر مشعّة. وهو يهدف إلى حماية أصول المعلومات الحسّاسة ونُظم الحوسبة ذات الأهمية البالغة للحفاظ على وظائف الأمان والأمن من التهديدات السيبرانية من أجل التخفيف من أثر الهجمات السيبرانية.

الاستراتيجية الوطنية

تستلزم استراتيجية الأمن الحاسوبي الشاملة والفعّالة نهجاً منظّماً يدمج عناصر مختلفة، بما في ذلك اللوائح، والبرامج، وتدابير الأمن الوقائية، وقدرات التصدّي للحفاظ على نُظم الأمن النووي الوطنية.

اللوائح

توفّر اللوائح الفعّالة إطاراً قانونيًّا لحماية النُّظم الحاسوبية الحسّاسة وتضمن أن يوجد لدى المؤسسات برنامج أمن حاسوبي قائم مع الضوابط المناسبة المعمول بها.

العناصر الرئيسية لبرنامج الأمن الحاسوبي:

الأدوار والمسؤوليات

للأدوار والمسؤوليات التنظيمية مع المساءلة أهميةٌ حيويةٌ بالنسبة للإدارة الفعّالة، خصوصاً عندما يتعلق الأمر بالبنية الأساسية الحسّاسة. والدراية بالتسلسل الهرمي التنظيمي والخطوط الواضحة لتسلسل السلطة، وهيكل الإبلاغ أمران ضروريان لغرس تعاون وتآزر يتسمان بالكفاءة والفعالية ضمن برنامج الأمن الحاسوبي.

إدارة المخاطر ومواطِن الضعف والامتثال

تتضمن إدارة مخاطر الأمن الحاسوبي تقييمَ مواطِن ضعف الأصول الرقمية والنُّظم الحاسوبية الحسّاسة وعواقبها المحتملة من أجل تنفيذ ضوابط أمن حاسوبي في نَهْج متدرّج لدرء الهجمات السيبرانية. وينبغي أن يتناسب مستوى التدابير الأمنية المطبقة مع مستوى المخاطر المرتبطة بالمعلومات و/أو النُّظم الحاسوبية التي تتمّ حمايتها. ومن خلال النظر في عواقب مواطِن الضعف أو التهديد، يمكن للمؤسسات تحديد مستوى التدابير الأمنية اللازمة للتخفيف من المخاطر.

تصميم الأمن وإدارته

يُعدُّ تصميم الأمن الحاسوبي جانباً بالغ الأهمية للحماية من التهديدات السيبرانية.  وتشمل مبادئ التصميم الأساسية وضع نَهْج متدرّج والدفاع في العمق، حيث تُنفَّذ طبقات متعددة من الضوابط الأمنية المقسَّمة إلى مناطق للحؤول دون وقوع الهجمات والتخفيف من أثرها. ويجب أيضاً دَمْج متطلبات الأمن على امتداد دورة حياة تطوير النظام بما في ذلك أن تخضع منظمات الأطراف الثالثة لسياسات واتفاقات واضحة بما يضمن أن تكون الإجراءات الأمنية متسقة وفعّالة.

إدارة الأصول الرقمية

يعتمد الأمن الحاسوبي الفعّال على عملية منهجية لتحديد قائمة شاملة لجميع وظائف المرافق وأصولها ونُظمها بما في ذلك الأصول الرقمية الحسّاسة الضرورية لحماية العمليات النووية أو للحفاظ على الاستخدام المأمون والآمن للمواد النووية وغيرها من المواد المشعّة. وتوفر هذه القائمة أيضاً تدفقات البيانات وأوجُه الاعتماد المتبادل فيما بينها التي تُعدُّ مهمةً للمؤسسة لدعم ضوابط الوصول، والنُّسخ الاحتياطية، والتدابير الأمنية الأخرى لحماية هذه الأصول من التخريب أو السرقة.

الإجراءات الأمنية

توفر سياسات وإجراءات الأمن النووي التشغيلية التوجيهَ مع المساءلة لدعم مَنْع السرقة، أو التخريب، أو الاستخدام غير المأذون به للمواد والمرافق النووية. وتضمن هذه السياسات أن يخضع الوصول إلى المعلومات والأصول الحسّاسة لضوابط صارمة، وأن يتمَّ التحقُّق من الأفراد الذين لديهم إمكانية الوصول وتدريبهم بشكل مناسب.

إدارة الموظفين

الجدارة بالثقة والوعي والتدريب أمور بالغة الأهمية لإدارة الموظفين في الصناعة النووية. وينبغي تقييم الجدارة بالثقة لضمان أن يكون الموظفون موثوقين ومختصين وفي مأمن من أي تنازع للمصالح يمكن أن يُخِلَّ بالأمان والأمن. والحفاظ على موظفين مؤهلين وجديرين بالثقة أمر ذو أهمية بالغة لضمان الأمان والأمن النووية.

* يَرِدُ المزيد من التفاصيل في العدد 17-T (الصيغة المنقَّحة (Rev.1)) من سلسلة الأمن النووي الصادرة عن الوكالة، "Computer Security Techniques for Nuclear Facilities" (تقنيات الأمن الحاسوبي المستخدمة في المرافق النووية).