CVE - Copy of Sheet1 Flashcards
CVE
مكافحة التطرف العنيف
(2) Hi, I’m Ariel.
(2) مرحبًا، أنا آرييل.
(3) Congratulations on your commitment to becoming a System Security Certified Practitioner, SSCP.
(3) تهانينا على التزامك بأن تصبح ممارسًا معتمدًا لأمن الأنظمة، SSCP.
(4) Whether you’re starting your journey to becoming part of the global ISC squared community or continuing your professional growth, we applaud you for your effort and commitment to ensuring a safe and secure cyber world.
(4) سواء كنت تبدأ رحلتك لتصبح جزءًا من مجتمع ISC Squared العالمي أو تواصل نموك المهني، فإننا نشيد بك على جهودك والتزامك بضمان عالم إلكتروني آمن ومأمون.
(5) Earning the SSCP certification will demonstrate your ability to implement, monitor, and administer IT infrastructure in accordance with cybersecurity policies and procedures that ensure data confidentiality, integrity, and availability.
(5) سيثبت الحصول على شهادة SSCP قدرتك على تنفيذ البنية التحتية لتكنولوجيا المعلومات ومراقبتها وإدارتها وفقًا لسياسات وإجراءات الأمن السيبراني التي تضمن سرية البيانات وسلامتها وتوافرها.
(6) The material in this course is intended to help you achieve your career goals and is based on the knowledge found in the ISC squared, SSCP common body of knowledge.
(6) تهدف المواد الموجودة في هذه الدورة إلى مساعدتك على تحقيق أهدافك المهنية وتستند إلى المعرفة الموجودة في ISC التربيعي، والمجموعة المعرفية المشتركة لـ SSCP.
(7) Passing the SSCP exam depends on your mastery of the domains covered within the exam outline and your ability to apply those concepts in the real-world.
(7) يعتمد اجتياز اختبار SSCP على إتقانك للمجالات التي يغطيها مخطط الاختبار وقدرتك على تطبيق تلك المفاهيم في العالم الحقيقي.
(8) This official ISC squared SSCP, CBK training seminar has been carefully built using the topics from the exam outline and additional topics approved by the ISC squared SSCP education committee.
(8) تم إنشاء هذه الندوة التدريبية الرسمية لـ ISC تربيع SSCP وCBK بعناية باستخدام موضوعات من مخطط الاختبار وموضوعات إضافية معتمدة من قبل لجنة التعليم SSCP التربيعية لـ ISC.
(9) The material has been broken down into the eight working chapters noted in the table of contents.
(9) تم تقسيم المادة إلى فصول العمل الثمانية المذكورة في جدول المحتويات.
(10) The ninth chapter contains information about testing and certification requirements, along with the discussion of processes and some tips and tricks to test-taking.
(10) يحتوي الفصل التاسع على معلومات حول متطلبات الاختبار وإصدار الشهادات، إلى جانب مناقشة العمليات وبعض النصائح والحيل لإجراء الاختبار.
(11) In each chapter you’re going to see a mix of content presented as video lectures, text pages, knowledge check activities, and other formats to best facilitate your learning based on the content being discussed.
(11) ستشاهد في كل فصل مزيجًا من المحتوى المقدم كمحاضرات فيديو، وصفحات نصية، وأنشطة للتحقق من المعرفة، وتنسيقات أخرى لتسهيل تعلمك بشكل أفضل بناءً على المحتوى الذي تتم مناقشته.
(12) I will be your facilitator as you work at your own pace through the content and activities.
(12) سأكون الميسر لك أثناء العمل بالسرعة التي تناسبك من خلال المحتوى والأنشطة.
(13) This online self-paced course offers flexibility, but also requires commitment and attention.
(13) توفر هذه الدورة التدريبية الذاتية عبر الإنترنت المرونة، ولكنها تتطلب أيضًا الالتزام والاهتمام.
(14) To help you succeed, let’s take a moment and review how the course is organized and what you can expect from your learning experience.
(14) لمساعدتك على النجاح، دعنا نتوقف لحظة ونراجع كيفية تنظيم الدورة وما يمكن أن تتوقعه من تجربة التعلم الخاصة بك.
(15) Each chapter has clearly identified learning objectives, and within the chapter, you’ll find smaller modules that contain the information for each course topic.
(15) حدد كل فصل أهدافًا تعليمية واضحة، وستجد داخل الفصل وحدات أصغر تحتوي على المعلومات الخاصة بكل موضوع من مواضيع الدورة التدريبية.
(16) Modules contain lectures, readings, activities, and knowledge check quizzes to reinforce the learnings.
(16) تحتوي الوحدات على محاضرات وقراءات وأنشطة واختبارات للتحقق من المعرفة لتعزيز التعلم.
(17) You’ll work through the course at your own pace and you’ll have access to all course materials throughout your enrollment period.
(17) ستعمل خلال الدورة التدريبية بالسرعة التي تناسبك وسيكون لديك إمكانية الوصول إلى جميع مواد الدورة التدريبية طوال فترة التسجيل الخاصة بك.
(18) In fact, the only deadline to consider is the course access limit.
(18) في الواقع، الموعد النهائي الوحيد الذي يجب مراعاته هو الحد الأقصى للوصول إلى الدورة التدريبية.
(19) Just make sure you know when your access will end.
(19) فقط تأكد من أنك تعرف متى سينتهي وصولك.
(20) As we’ve discussed, the course content is presented as a mixture of lectures, reading activities, and quizzes.
(20) كما ناقشنا، يتم تقديم محتوى الدورة كمزيج من المحاضرات وأنشطة القراءة والاختبارات.
(21) Within each chapter, you’re going to find several quizzes including end of module knowledge checks, which are ungraded and will help you gauge how well you understood module topics and end of chapter quizzes, which will help you measure your understanding of chapter concepts.
(21) في كل فصل، ستجد العديد من الاختبارات بما في ذلك اختبارات المعرفة في نهاية الوحدة، وهي غير مصنفة وستساعدك على قياس مدى فهمك لموضوعات الوحدة واختبارات نهاية الفصل، والتي ستساعدك على قياس فهمك لموضوعات الوحدة. مفاهيم الفصل.
(22) The quizzes are automatically graded and feedback on the answers will be made available in every instance.
(22) يتم تصنيف الاختبارات تلقائيًا وسيتم توفير التعليقات على الإجابات في كل حالة.
(23) The final quiz or post-course assessment will test your mastery and understanding of all the course concepts as you prepare for the certification exam.
(23) سيختبر الاختبار النهائي أو التقييم اللاحق للدورة إتقانك وفهمك لجميع مفاهيم الدورة أثناء تحضيرك لامتحان الشهادة.
(24) Aside from these quizzes, there are also activity exercises throughout the chapters designed to gauge your understanding and application of important concepts.
(24) وبصرف النظر عن هذه الاختبارات، هناك أيضًا تمارين للأنشطة في جميع الفصول مصممة لقياس فهمك وتطبيقك للمفاهيم المهمة.
(25) The activities are meant to broaden your understanding of the material and to provide some common points of reference.
(25) تهدف الأنشطة إلى توسيع نطاق فهمك للمادة وتوفير بعض النقاط المرجعية المشتركة.
(26) These include application quizzes, which quiz you on the application of a particular concept.
(26) تتضمن هذه الاختبارات اختبارات التطبيق، والتي تختبرك حول تطبيق مفهوم معين.
(27) Activities will encourage applied thinking beyond quizzes.
(27) ستشجع الأنشطة التفكير التطبيقي بعد الاختبارات.
(28) Case studies will use real-world and historical situations to help explain and consider a topic.
(28) ستستخدم دراسات الحالة المواقف الواقعية والتاريخية للمساعدة في شرح الموضوع والنظر فيه.
(29) Applied scenarios will be an in-depth application of course concepts encouraging you to apply what you know to an ongoing hypothetical scenario.
(29) ستكون السيناريوهات التطبيقية عبارة عن تطبيق متعمق لمفاهيم الدورة التدريبية مما يشجعك على تطبيق ما تعرفه على سيناريو افتراضي مستمر.
(30) For each of these activity types, clear instructions will be provided and a summary response will be available so that you can check your response and thinking.
(30) سيتم توفير تعليمات واضحة لكل نوع من أنواع الأنشطة هذه وسيتم توفير إجابة موجزة حتى تتمكن من التحقق من استجابتك وتفكيرك.
(31) In many cases there will be no right or wrong answer to the activities.
(31) في كثير من الحالات لن تكون هناك إجابة صحيحة أو خاطئة للأنشطة.
(32) They’ve been designed to encourage critical thinking and the application of the knowledge you’ll need in your work as a certified security professional.
(32) لقد تم تصميمها لتشجيع التفكير النقدي وتطبيق المعرفة التي ستحتاجها في عملك كمحترف أمني معتمد.
(33) I want to thank you for joining us and wish you much success.
(33) أود أن أشكركم على انضمامكم إلينا وأتمنى لكم التوفيق.
(34) Let’s get started.
(34) لنبدأ.
(35) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/GaWC3/welcome-video
(35) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/GaWC3/welcome-video
(36) Welcome to chapter 1, introducing security and aligning asset management to risk management.
(36) مرحبًا بكم في الفصل الأول، تقديم الأمان ومواءمة إدارة الأصول مع إدارة المخاطر.
(37) In this chapter, we are going to start by discussing the security concepts, identifying corporate assets, and discussing the risk management process.
(37) سنبدأ في هذا الفصل بمناقشة المفاهيم الأمنية، وتحديد أصول الشركة، ومناقشة عملية إدارة المخاطر.
(38) We will go through each topic in great detail together.
(38) سنتناول كل موضوع بتفصيل كبير معًا.
(39) Now, let us start the journey.
(39) الآن، دعونا نبدأ الرحلة.
(40) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/dBDc2/the-meaning-of-information-security
(40) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/dBDc2/the-meaning-of-information-security
(41) Welcome to System Security Certified Practitioner certification, SSCP Chapter 1.
(41) مرحبًا بك في شهادة ممارس أمن النظام المعتمد، الفصل الأول من SSCP.
(42) In this module, we will classify information security and security concepts.
(42) سنقوم في هذه الوحدة بتصنيف مفاهيم أمن المعلومات وأمنها.
(43) One of the first questions we should ask ourselves is, what is information security? Information security can have completely different meanings for different people.
(43) أحد الأسئلة الأولى التي يجب أن نطرحها على أنفسنا هو ما هو أمن المعلومات؟ يمكن أن يكون لأمن المعلومات معاني مختلفة تمامًا بالنسبة لأشخاص مختلفين.
(44) When we look at information security, it can have different context depending on the industry in which one works.
(44) عندما ننظر إلى أمن المعلومات، يمكن أن يكون له سياق مختلف اعتمادًا على الصناعة التي يعمل فيها الشخص.
(45) In some industries or organizations, everyone knows that the malicious actors are out there setting their sights on the valuable information assets that the company has or the records in a government data center.
(45) في بعض الصناعات أو المؤسسات، يعلم الجميع أن الجهات الفاعلة الضارة موجودة هناك وتركز أنظارها على أصول المعلومات القيمة التي تمتلكها الشركة أو السجلات الموجودة في مركز بيانات حكومي.
(46) In other walks of life, especially in many of the millions of small and medium-sized businesses, SMBs worldwide, there may be a little perception that all that cyber stuff is something to worry about.
(46) في مناحي الحياة الأخرى، وخاصة في العديد من الملايين من الشركات الصغيرة والمتوسطة الحجم، والشركات الصغيرة والمتوسطة في جميع أنحاء العالم، قد يكون هناك تصور بسيط بأن كل هذه الأشياء السيبرانية هي أمر يدعو للقلق.
(47) The people in these SMBs, which make up the vast majority of employers worldwide, certainly get upset when their personal data is corrupted or their own digital identity is stolen.
(47) من المؤكد أن الأشخاص في هذه الشركات الصغيرة والمتوسطة، التي تشكل الغالبية العظمى من أصحاب العمل في جميع أنحاء العالم، ينزعجون عندما تتلف بياناتهم الشخصية أو تتم سرقة هويتهم الرقمية.
(48) But the threat to their business and its data, is hard for many of them to comprehend.
(48) لكن التهديد الذي تتعرض له أعمالهم وبياناتها يصعب على الكثير منهم فهمه.
(49) We can also see that information security is only a subset of the security of the entire organization, and this is an important point.
(49) يمكننا أيضًا أن نرى أن أمن المعلومات ليس سوى مجموعة فرعية من أمن المنظمة بأكملها، وهذه نقطة مهمة.
(50) An information security breach is measured by its impact on the organization, not just by its impact on the affected IT system.
(50) يتم قياس خرق أمن المعلومات من خلال تأثيره على المنظمة، وليس فقط من خلال تأثيره على نظام تكنولوجيا المعلومات المتضرر.
(51) It is worth pointing out that the term breach has both a specific meeting as in data breach and a more general meeting that includes all forms of attacks on information systems, the information within them, and the organizations that create and use that information.
(51) تجدر الإشارة إلى أن مصطلح الخرق له اجتماع محدد كما هو الحال في خرق البيانات واجتماع أكثر عمومية يشمل جميع أشكال الهجمات على أنظمة المعلومات، والمعلومات الموجودة بداخلها، والمنظمات التي تنشئ تلك المعلومات وتستخدمها .
(52) This shows that the idea of an information security breach is a strategic one.
(52) وهذا يدل على أن فكرة اختراق أمن المعلومات هي فكرة استراتيجية.
(53) As such, attacks can affect the organization and its stakeholders at the highest levels.
(53) على هذا النحو، يمكن أن تؤثر الهجمات على المنظمة وأصحاب المصلحة فيها على أعلى المستويات.
(54) When we develop an information security strategy, it must be strategic, not just operational or tactical.
(54) عندما نقوم بتطوير استراتيجية لأمن المعلومات، يجب أن تكون استراتيجية، وليست تشغيلية أو تكتيكية فقط.
(55) The strategy must plan for the risks and environment of the future, not just the threats and challenges of today.
(55) يجب أن تخطط الإستراتيجية لمخاطر وبيئة المستقبل، وليس فقط تهديدات وتحديات اليوم.
(56) The development of an information security strategy must be aligned with the direction and strategy of the organization.
(56) يجب أن يتماشى تطوير استراتيجية أمن المعلومات مع اتجاه واستراتيجية المنظمة.
(57) Otherwise, it is too easy to build an information security program that quickly becomes outdated.
(57) بخلاف ذلك، سيكون من السهل جدًا إنشاء برنامج لأمن المعلومات والذي سرعان ما يصبح قديمًا.
(58) A common risk is that the information security strategy does not address business processes and technology changes.
(58) يتمثل الخطر الشائع في أن استراتيجية أمن المعلومات لا تتناول العمليات التجارية والتغيرات التكنولوجية.
(59) Which might change the way the business operates completely.
(59) مما قد يغير طريقة عمل الشركة بالكامل.
(60) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/GJ1GU/common-misunderstandings
(60) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/GJ1GU/common-misunderstandings
(61) Too often, security falls to the IT department under the misguided assumption that security is achieved through the use of technology.
(61) في كثير من الأحيان، يقع الأمن على عاتق قسم تكنولوجيا المعلومات في ظل الافتراض المضلل بأن الأمن يتحقق من خلال استخدام التكنولوجيا.
(62) It is true that your IT system, technologies, communication systems, access control systems, etc, are all vital assets.
(62) صحيح أن نظام تكنولوجيا المعلومات والتقنيات وأنظمة الاتصالات وأنظمة التحكم في الوصول وما إلى ذلك، كلها أصول حيوية.
(63) Indeed, so much so that most organizations would not be able to function without these various systems, but this is not the complete security picture.
(63) في الواقع، لدرجة أن معظم المنظمات لن تكون قادرة على العمل بدون هذه الأنظمة المختلفة، ولكن هذه ليست الصورة الأمنية الكاملة.
(64) Relying on or simply securing these technical systems will not entirely create the security posture for which you are aiming.
(64) لن يؤدي الاعتماد على هذه الأنظمة التقنية أو مجرد تأمينها إلى إنشاء الوضع الأمني الذي تهدف إليه بشكل كامل.
(65) There is no way that a firewall or IDS system can be truly effective unless we remember that security is a jigsaw puzzle.
(65) لا توجد طريقة يمكن أن يكون بها جدار الحماية أو نظام IDS فعالاً حقًا إلا إذا تذكرنا أن الأمان عبارة عن أحجية الصور المقطوعة.
(66) Suppose an attacker can bypass your physical security, convince a member of staff that they are legitimate members of the organization, or have a user click on an email link.
(66) لنفترض أن أحد المهاجمين يمكنه تجاوز أمانك الجسدي، أو إقناع أحد الموظفين بأنهم أعضاء شرعيون في المنظمة، أو جعل المستخدم ينقر على رابط بريد إلكتروني.
(67) In that case, it really doesn’t matter what technology you have in place, a single point of failure will cascade at an alarming rate.
(67) في هذه الحالة، لا يهم حقًا ما هي التكنولوجيا المتوفرة لديك، فنقطة واحدة من الفشل سوف تتسلسل بمعدل ينذر بالخطر.
(68) It is also true to say, we don’t have to buy the most advanced system, sometimes a simple training session is more effective.
(68) ومن الصحيح أيضًا أن نقول، ليس علينا شراء النظام الأكثر تقدمًا، ففي بعض الأحيان تكون جلسة تدريب بسيطة أكثر فعالية.
(69) Look at what you hope to achieve and align it with your stakeholders and available resources, sometimes less really is more.
(69) انظر إلى ما تأمل في تحقيقه وقم بمواءمته مع أصحاب المصلحة لديك والموارد المتاحة، أحيانًا يكون الأقل هو الأكثر حقًا.
(70) This course will focus on the many topics that make up information security.
(70) سوف يركز هذا المساق على العديد من المواضيع التي تشكل أمن المعلومات.
(71) But it’s important to remember that information security is there to support business goals and objectives.
(71) ولكن من المهم أن نتذكر أن أمن المعلومات موجود لدعم أهداف وغايات العمل.
(72) We should never have a situation where our information security program hinders the business mission.
(72) لا ينبغي لنا أبدًا أن نواجه موقفًا يعيق فيه برنامج أمن المعلومات لدينا مهمة العمل.
(73) Instead, our security program must be woven into the processes of the organization.
(73) وبدلاً من ذلك، يجب أن يكون برنامجنا الأمني مندمجًا في عمليات المنظمة.
(74) Security is not a separate endeavor from the business, it is the way we do business.
(74) الأمن ليس مسعى منفصلاً عن العمل، بل هو الطريقة التي نؤدي بها أعمالنا.
(75) When we build security into the business processes, we ensure that the organization is stable and secure.
(75) عندما نقوم ببناء الأمن في العمليات التجارية، فإننا نضمن أن المنظمة مستقرة وآمنة.
(76) One reality in information security that most likely will not change, is the fact that there will never be enough time or money to do everything you need and want to do.
(76) إحدى حقائق أمن المعلومات التي لن تتغير على الأرجح، هي حقيقة أنه لن يكون هناك ما يكفي من الوقت أو المال للقيام بكل ما تحتاج إليه وتريد القيام به.
(77) For most organizations, the gap between where they are and where they want to be is quite large.
(77) بالنسبة لمعظم المنظمات، فإن الفجوة بين مكان وجودهم والمكان الذي يريدون أن يكونوا فيه كبيرة جدًا.
(78) And to reach their desired security objectives would take an incredible amount of time and budget.
(78) والوصول إلى أهدافهم الأمنية المرجوة سيستغرق قدرًا لا يصدق من الوقت والميزانية.
(79) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/gMZSo/protecting-assets
(79) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/gMZSo/protecting-assets
(80) Protecting assets is essential to ensuring efficient use in the organization.
(80) تعد حماية الأصول أمرًا ضروريًا لضمان الاستخدام الفعال في المنظمة.
(81) An asset is anything of value that an organization owns.
(81) الأصل هو أي شيء ذي قيمة تمتلكه المنظمة.
(82) Assets include both tangible and intangible items.
(82) تشمل الأصول البنود الملموسة وغير الملموسة.
(83) Tangible items are physical objects such as information systems, hardware, infrastructure equipment, and physical property like land and buildings.
(83) العناصر الملموسة هي أشياء مادية مثل أنظمة المعلومات، والأجهزة، ومعدات البنية التحتية، والممتلكات المادية مثل الأراضي والمباني.
(84) Intangible assets are not physical objects but rather ideas or information such as intellectual property, the contents of a data warehouse, or the distribution files for a software application.
(84) الأصول غير الملموسة ليست أشياء مادية ولكنها أفكار أو معلومات مثل الملكية الفكرية أو محتويات مستودع البيانات أو ملفات التوزيع لتطبيق برمجي.
(85) An information security program includes protecting all the organizations valuable assets including equipment, data, personnel, facilities, systems, and physical infrastructure.
(85) يتضمن برنامج أمن المعلومات حماية جميع الأصول القيمة للمنظمة بما في ذلك المعدات والبيانات والموظفين والمرافق والأنظمة والبنية التحتية المادية.
(86) For example, we cannot protect data stored in an on-premises server system if we do not have a lock on the server room door.
(86) على سبيل المثال، لا يمكننا حماية البيانات المخزنة في نظام خادم محلي إذا لم يكن لدينا قفل على باب غرفة الخادم.
(87) Throughout this course we will examine how to protect each of the assets that were listed on the slides.
(87) سندرس خلال هذه الدورة كيفية حماية كل من الأصول التي تم إدراجها في الشرائح.
(88) We will examine asset management in more detail in subsequent topics.
(88) سوف نتناول إدارة الأصول بمزيد من التفصيل في المواضيع اللاحقة.
(89) We cannot protect something we are unaware of.
(89) لا يمكننا حماية شيء لا ندركه.
(90) Having an asset management database or similar asset tracking system is crucial to providing the correct level of asset protection.
(90) يعد وجود قاعدة بيانات لإدارة الأصول أو نظام مماثل لتتبع الأصول أمرًا بالغ الأهمية لتوفير المستوى الصحيح من حماية الأصول.
(91) Some assets require little or no protection and we should not waste limited resources protecting such assets.
(91) تتطلب بعض الأصول القليل من الحماية أو لا تتطلب أي حماية، ويجب ألا نهدر الموارد المحدودة لحماية هذه الأصول.
(92) Now, let us take a look at classification and asset value.
(92) الآن دعونا نلقي نظرة على التصنيف وقيمة الأصول.
(93) Some systems and equipment may be at the end of their useful life, so even though they were critically crucial at one point, their importance has now diminished.
(93) قد تكون بعض الأنظمة والمعدات في نهاية عمرها الإنتاجي، لذلك على الرغم من أنها كانت بالغة الأهمية في وقت ما، إلا أن أهميتها تضاءلت الآن.
(94) This change in asset value complicates the process of asset management because some assets increase in value over time while others decrease.
(94) يؤدي هذا التغير في قيمة الأصول إلى تعقيد عملية إدارة الأصول لأن بعض الأصول تزيد قيمتها بمرور الوقت بينما تنخفض قيمة البعض الآخر.
(95) Most organizations will develop a method of identifying the value of assets.
(95) ستقوم معظم المنظمات بتطوير طريقة لتحديد قيمة الأصول.
(96) For example, data is often listed as business private, confidential, secret, or top secret.
(96) على سبيل المثال، غالبًا ما يتم إدراج البيانات على أنها بيانات خاصة بالعمل أو سرية أو سرية أو سرية للغاية.
(97) The classification may also be based on laws or regulations that require a certain level of protection for sensitive data.
(97) قد يعتمد التصنيف أيضًا على القوانين أو اللوائح التي تتطلب مستوى معينًا من الحماية للبيانات الحساسة.
(98) The benefit of classification is that it describes and mandates the asset handling to protect it based on its value.
(98) تتمثل فائدة التصنيف في أنه يصف ويلزم التعامل مع الأصول بحمايتها على أساس قيمتها.
(99) When a person picks up a document that is marked as business confidential, they should know how to handle that document.
(99) عندما يلتقط شخص ما مستندًا تم وضع علامة عليه على أنه سري تجاري، يجب أن يعرف كيفية التعامل مع هذا المستند.
(100) Are they allowed to discuss it with a co-worker? Does it need to be shredded or just recycled? The risk with classification is having too many classification levels so that no one knows the difference between one level of classification and another.
(100) هل يجوز لهم مناقشة الأمر مع زميل في العمل؟ هل يجب تمزيقها أم إعادة تدويرها فقط؟ تكمن خطورة التصنيف في وجود مستويات تصنيف كثيرة جدًا بحيث لا يعرف أحد الفرق بين مستوى تصنيف وآخر.
(101) This overkill makes the classification meaningless or ineffective.
(101) هذه المبالغة تجعل التصنيف بلا معنى أو غير فعال.
(102) As asset values change, the classification should be reviewed and perhaps a classified document can now be declassified or reclassified.
(102) مع تغير قيم الأصول، ينبغي مراجعة التصنيف وربما يمكن الآن إلغاء تصنيف وثيقة مصنفة أو إعادة تصنيفها.
(103) Some essential tips on what we’ve covered so far are that information security is a business oriented activity.
(103) بعض النصائح الأساسية حول ما قمنا بتغطيته حتى الآن هي أن أمن المعلومات هو نشاط موجه للأعمال.
(104) It must address the needs of the business and be built into business operations.
(104) يجب أن يلبي احتياجات العمل وأن يكون مدمجًا في العمليات التجارية.
(105) An essential part of an information security program is a clear understanding of the terminology used and the information security strategy.
(105) جزء أساسي من برنامج أمن المعلومات هو الفهم الواضح للمصطلحات المستخدمة واستراتيجية أمن المعلومات.
(106) An essential first step in protecting the organization’s assets is identifying all assets and ensuring that they are appropriately classified and protected based on value.
(106) تتمثل الخطوة الأولى الأساسية في حماية أصول المنظمة في تحديد جميع الأصول والتأكد من تصنيفها وحمايتها بشكل مناسب على أساس القيمة.
(107) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/Yrc6G/information-security-principles
(107) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/Yrc6G/information-security-principles
(108) We have already discussed the challenge of defining what information security is and we saw how people see information security differently.
(108) لقد ناقشنا بالفعل التحدي المتمثل في تعريف أمن المعلومات ورأينا كيف يرى الناس أمن المعلومات بشكل مختلف.
(109) As security practitioners, we tend to see information security as a positive factor that supports and stabilizes business operations.
(109) كممارسين في مجال الأمن، فإننا نميل إلى رؤية أمن المعلومات كعامل إيجابي يدعم العمليات التجارية ويؤدي إلى استقرارها.
(110) Whereas managers might see security as an unnecessary cost, or even an irritation that gets in the way of productivity.
(110) في حين أن المديرين قد ينظرون إلى الأمن على أنه تكلفة غير ضرورية، أو حتى مصدر إزعاج يعيق الإنتاجية.
(111) We need to convince management and users of the value and benefits of information security and why it is a part of their job, not just the responsibility of some other department, or individual.
(111) نحن بحاجة إلى إقناع الإدارة والمستخدمين بقيمة وفوائد أمن المعلومات ولماذا يعتبر جزءًا من وظيفتهم، وليس فقط مسؤولية قسم أو فرد آخر.
(112) It is necessary to make security-relevant, and meaningful and to avoid the perception that security is as measurable, or impossible, security is possible.
(112) من الضروري جعل الأمن ذا صلة وذا معنى وتجنب تصور أن الأمن قابل للقياس أو مستحيل، فالأمن ممكن.
(113) Security professionals are winning the battle against their adversaries, every day.
(113) يربح محترفو الأمن المعركة ضد خصومهم كل يوم.
(114) Every time a new flaws discovered, and a tin of security team patches the vulnerability, it shuts down the attack.
(114) في كل مرة يتم فيها اكتشاف عيوب جديدة، ويقوم فريق أمني بتصحيح الثغرة الأمنية، يتم إيقاف الهجوم.
(115) This causes frustration for would-be attackers who then constantly need to find new ways to attack.
(115) وهذا يسبب الإحباط للمهاجمين المحتملين الذين يحتاجون باستمرار إلى إيجاد طرق جديدة للهجوم.
(116) To define security, it has become common to use confidentiality, integrity, and availability, also known as the CIA triad.
(116) لتعريف الأمن، أصبح من الشائع استخدام السرية والنزاهة والتوفر، المعروف أيضًا باسم ثالوث وكالة المخابرات المركزية.
(117) The purpose of these terms is to describe security using relevant and meaningful words to management end users, then make security more understandable and define its purpose.
(117) الغرض من هذه المصطلحات هو وصف الأمان باستخدام كلمات ذات صلة وذات معنى لمستخدمي الإدارة النهائيين، ثم جعل الأمان أكثر قابلية للفهم وتحديد الغرض منه.
(118) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/W8pL5/confidentiality
(118) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/W8pL5/confidentiality
(119) Confidentiality is defined in the committee on national security systems instruction C and SSI 4,009, as preserving the authorized restrictions on information access and disclosure, including protecting personal privacy and proprietary information.
(119) تم تعريف السرية في تعليمات لجنة أنظمة الأمن القومي C وSSI 4,009، على أنها الحفاظ على القيود المصرح بها على الوصول إلى المعلومات والكشف عنها، بما في ذلك حماية الخصوصية الشخصية والمعلومات الخاصة.
(120) We can see that confidentiality relates to permitting authorized access to information, while at the same time protecting information from improper disclosure.
(120) يمكننا أن نرى أن السرية تتعلق بالسماح بالوصول المصرح به إلى المعلومات، وفي نفس الوقت حماية المعلومات من الكشف غير المناسب.
(121) This is a difficult balance to achieve, especially when many users on our systems, our guests or customers that we have little or no control over.
(121) يعد هذا توازنًا يصعب تحقيقه، خاصة عندما يكون هناك العديد من المستخدمين على أنظمتنا أو ضيوفنا أو عملائنا الذين ليس لدينا سيطرة تذكر عليهم أو لا نتحكم بهم على الإطلاق.
(122) We do not know if they are accessing our systems from a compromised machine or vulnerable mobile application.
(122) لا نعرف ما إذا كانوا يصلون إلى أنظمتنا من جهاز مخترق أو تطبيق هاتف محمول ضعيف.
(123) Our obligation is to regulate access and protect the data that needs protection, yet permit access to authorized individuals related to the area of confidentiality or the terms personally identifiable information, PII, protected health information, PHI, and classified or sensitive information.
(123) التزامنا هو تنظيم الوصول إلى البيانات التي تحتاج إلى الحماية وحمايتها، مع السماح بالوصول إلى الأفراد المصرح لهم فيما يتعلق بمجال السرية أو مصطلحات معلومات التعريف الشخصية، ومعلومات تحديد الهوية الشخصية، والمعلومات الصحية المحمية، والمعلومات الصحية المحمية، والمعلومات السرية أو الحساسة.
(124) This last category includes trade secrets, research, business plans, and intellectual property, IP.
(124) تشمل هذه الفئة الأخيرة الأسرار التجارية والأبحاث وخطط الأعمال والملكية الفكرية.
(125) NIST special publication 800-122 defines PII as any information about an individual maintained by an agency, including one, any information that can be used to distinguish or trace an individual’s identity, such as name, social security number, date, and place of birth, mother’s maiden name, or biometric records, and two, any other information that is linked or linkable to an individual such as medical, educational, financial, and employment information.
(125) يُعرّف منشور NIST الخاص رقم 800-122 معلومات تحديد الهوية الشخصية بأنها أي معلومات عن فرد تحتفظ به وكالة، بما في ذلك وكالة واحدة، وأي معلومات يمكن استخدامها لتمييز هوية الفرد أو تتبعها، مثل الاسم ورقم الضمان الاجتماعي والتاريخ والتاريخ. مكان الميلاد، اسم الأم قبل الزواج، أو السجلات البيومترية، واثنين، أي معلومات أخرى مرتبطة أو يمكن ربطها بفرد مثل المعلومات الطبية والتعليمية والمالية والتوظيفية.
(126) PHI is any information regarding health status, the provision of health care or payment for health care as defined in HIPAA, Health Insurance Portability and Accountability Act.
(126) PHI هي أي معلومات تتعلق بالحالة الصحية أو توفير الرعاية الصحية أو الدفع مقابل الرعاية الصحية على النحو المحدد في HIPAA، وقانون قابلية نقل التأمين الصحي والمساءلة.
(127) Classified or sensitive information refers to information that has been determined to require protection against unauthorized disclosure and it’s marked to indicate it’s classified status when in documentary form.
(127) تشير المعلومات السرية أو الحساسة إلى المعلومات التي تم تحديدها على أنها تتطلب الحماية ضد الكشف غير المصرح به، ويتم وضع علامة عليها للإشارة إلى حالتها السرية عندما تكون في شكل مستندي.
(128) Another useful definition is sensitivity, which is a measure of the importance assigned to information by its owner or the purpose of denoting its need for protection.
(128) تعريف آخر مفيد هو الحساسية، وهي مقياس للأهمية التي يوليها مالكها للمعلومات أو لغرض الإشارة إلى حاجتها للحماية.
(129) Sensitive information is information for which harm would befall an organization or individual if that information were to be improperly disclosed or modified.
(129) المعلومات الحساسة هي المعلومات التي قد يلحق الضرر بمنظمة أو فرد إذا تم الكشف عن تلك المعلومات أو تعديلها بشكل غير صحيح.
(130) In many cases, sensitivity is related to the harm to external stakeholders who are the people or organizations that may not be a part of the organization that is processing or using the information.
(130) في كثير من الحالات، ترتبط الحساسية بالضرر الذي يلحق بأصحاب المصلحة الخارجيين الذين هم الأشخاص أو المنظمات التي قد لا تكون جزءًا من المنظمة التي تقوم بمعالجة المعلومات أو استخدامها.
(131) Note that the EU’s general data protection regulation and the laws that implement it within EU member nations include PHI and PII within its broad definition of sensitive personal information, but does not use those prevalent terms and the North American market.
(131) لاحظ أن اللائحة العامة لحماية البيانات في الاتحاد الأوروبي والقوانين التي تنفذها داخل الدول الأعضاء في الاتحاد الأوروبي تشمل المعلومات الصحية المحمية (PHI) ومعلومات التعريف الشخصية (PII) ضمن تعريفها الواسع للمعلومات الشخصية الحساسة، ولكنها لا تستخدم هذه المصطلحات السائدة وسوق أمريكا الشمالية.
(132) Many other nations have legally mandated requirements for protecting such information, expressed in slightly different terms.
(132) لدى العديد من الدول الأخرى متطلبات قانونية لحماية مثل هذه المعلومات، معبرًا عنها بعبارات مختلفة قليلاً.
(133) The consequences of breaching confidentiality may include legal and regulatory fines and sanctions, loss of customer and investor confidence, loss of competitive advantage, and civil litigation.
(133) قد تشمل عواقب انتهاك السرية الغرامات والعقوبات القانونية والتنظيمية، وفقدان ثقة العملاء والمستثمرين، وفقدان الميزة التنافسية، والتقاضي المدني.
(134) These consequences can have a damaging effect on the reputation and economic stability of an organization.
(134) يمكن أن يكون لهذه العواقب تأثير ضار على سمعة المنظمة واستقرارها الاقتصادي.
(135) For example, businesses must often deal with information that they consider pre procurement sensitive, which can often involve what if explorations of ideas related to opening or closing a factory, changes to a product or changes to a supplier relationship.
(135) على سبيل المثال، يجب على الشركات في كثير من الأحيان التعامل مع المعلومات التي تعتبرها حساسة قبل الشراء، والتي يمكن أن تتضمن في كثير من الأحيان ما إذا كانت استكشافات الأفكار المتعلقة بفتح أو إغلاق مصنع، أو تغييرات على منتج أو تغييرات في علاقة الموردين.
(136) Someone acting on such insider knowledge prior to public or marketplace disclosure could act in ways that profits oneself but harms others.
(136) يمكن لأي شخص يتصرف بناءً على هذه المعرفة الداخلية قبل الإفصاح العام أو في السوق أن يتصرف بطرق تفيد نفسه ولكنها تضر الآخرين.
(137) Confidentiality supports the principle of least privilege by providing the only authorized individuals, processes, or systems should have access to information on a need-to-know basis.
(137) تدعم السرية مبدأ الامتياز الأقل من خلال توفير إمكانية الوصول إلى المعلومات على أساس الحاجة إلى المعرفة للأفراد أو العمليات أو الأنظمة المرخص لها فقط.
(138) The level of access than authorized individuals should have is set at the level necessary for that individual to perform their job.
(138) يتم تحديد مستوى الوصول الذي يجب أن يتمتع به الأفراد المصرح لهم بالمستوى اللازم لذلك الفرد لأداء وظيفته.
(139) An important measure to ensure confidentiality of information is data classification.
(139) من التدابير المهمة لضمان سرية المعلومات تصنيف البيانات.
(140) This helps determine who should have access to the information, whether public, internal use only or confidential.
(140) يساعد هذا في تحديد من يجب أن يكون لديه حق الوصول إلى المعلومات، سواء كانت عامة أو للاستخدام الداخلي فقط أو سرية.
(141) Identification, authentication, and authorization through access controls are practices that support maintaining the confidentiality of information.
(141) يعد تحديد الهوية والتوثيق والترخيص من خلال ضوابط الوصول ممارسات تدعم الحفاظ على سرية المعلومات.
(142) A sample control for protecting confidentiality is to encrypt information.
(142) عينة التحكم لحماية السرية هي تشفير المعلومات.
(143) A variety of techniques including encryption, anonymization, and fragmentation or segmentation can limit the usability of the information if it is accessible to an unauthorized person.
(143) يمكن لمجموعة متنوعة من التقنيات بما في ذلك التشفير وإخفاء الهوية والتجزئة أو التجزئة أن تحد من إمكانية استخدام المعلومات إذا كان الوصول إليها متاحًا لشخص غير مصرح له.
(144) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/TjaAl/integrity
(144) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/TjaAl/integrity
(145) We just covered confidentiality, consequences of a breach, and ensuring confidentiality.
(145) لقد تناولنا للتو مسألة السرية وعواقب الانتهاك وضمان السرية.
(146) Now, let us move on to integrity and consequences of integrity failure.
(١٤٦) الآن، دعونا ننتقل إلى النزاهة وعواقب الفشل في النزاهة.
(147) Integrity measures the degree to which something is whole and complete, internally consistent and correct.
(147) تقيس النزاهة الدرجة التي يكون بها الشيء كاملاً وكاملًا ومتسقًا داخليًا وصحيحًا.
(148) The concept of integrity applies to information or data, to systems, and processes, for business operations, to organizations, and of course, to people and their actions.
(148) ينطبق مفهوم النزاهة على المعلومات أو البيانات، وعلى الأنظمة والعمليات، وعلى العمليات التجارية، وعلى المنظمات، وبالطبع على الأشخاص وأفعالهم.
(149) Data integrity can be defined as the property that data has not been altered in an unauthorized manner.
(149) يمكن تعريف سلامة البيانات بأنها خاصية عدم تغيير البيانات بطريقة غير مصرح بها.
(150) Data integrity covers data in storage, during processing, and while in transit.
(150) تغطي سلامة البيانات البيانات المخزنة وأثناء المعالجة وأثناء النقل.
(151) Another definition is guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity.
(151) تعريف آخر هو الحماية من التعديل أو التدمير غير المناسب للمعلومات، ويتضمن ضمان عدم إنكار المعلومات وصحتها.
(152) Organizations depend on accurate and reliable information, that is, information that can be trusted.
(152) تعتمد المنظمات على المعلومات الدقيقة والموثوقة، أي المعلومات التي يمكن الوثوق بها.
(153) This requires the protection of the data in our systems and during processing to ensure that we protect the data from improper modification, errors or loss of information.
(153) يتطلب ذلك حماية البيانات الموجودة في أنظمتنا وأثناء المعالجة للتأكد من أننا نحمي البيانات من التعديل غير الصحيح أو الأخطاء أو فقدان المعلومات.
(154) Whereby it is recorded, used, and maintained in a way that ensures its completeness.
(154) حيث يتم تسجيلها واستخدامها والمحافظة عليها بطريقة تضمن اكتمالها.
(155) The information must be accurate, internally consistent, and useful for a stated purpose.
(155) يجب أن تكون المعلومات دقيقة ومتسقة داخليًا ومفيدة لغرض محدد.
(156) The internal consistency of information refers to the principle of ensuring that information is correct on all related systems, so that it is displayed and stored in the same way on all systems.
(156) يشير الاتساق الداخلي للمعلومات إلى مبدأ التأكد من صحة المعلومات على جميع الأنظمة ذات الصلة، بحيث يتم عرضها وتخزينها بنفس الطريقة على جميع الأنظمة.
(157) Imagine, for example, if your employer’s human resources HR management information systems could hold multiple conflicting versions of your performance appraisals for the same performance period, which is the correct one? In a medical situation, if your doctor’s clinical data systems could contain three different sets of blood type information about you, that could turn out to be literally a fatal error.
(157) تخيل، على سبيل المثال، إذا كانت أنظمة معلومات إدارة الموارد البشرية الخاصة بصاحب العمل يمكن أن تحتوي على إصدارات متعارضة متعددة من تقييمات أدائك لنفس فترة الأداء، فما هو الإصدار الصحيح؟ في الحالة الطبية، إذا كان من الممكن أن تحتوي أنظمة البيانات السريرية الخاصة بطبيبك على ثلاث مجموعات مختلفة من معلومات فصيلة الدم عنك، فقد يتبين أن ذلك خطأ فادح حرفيًا.
(158) Consistency as a part of data integrity requires that all instances of the data that describes the state or condition of a specific person, place, thing, or idea must all be identical in form, content, and meaning.
(158) يتطلب الاتساق كجزء من سلامة البيانات أن تكون جميع مثيلات البيانات التي تصف حالة أو حالة شخص أو مكان أو شيء أو فكرة معينة متطابقة في الشكل والمحتوى والمعنى.
(159) If not, no one really knows which one is the truth.
(159) إذا لم يكن الأمر كذلك، فلا أحد يعرف حقًا أيهما هو الحق.
(160) On the other hand, system integrity refers to the maintenance of a known good configuration and expected operational function as the system processes the information.
(160) من ناحية أخرى، تشير سلامة النظام إلى الحفاظ على التكوين الجيد المعروف والوظيفة التشغيلية المتوقعة أثناء معالجة النظام للمعلومات.
(161) For example, the integrity of a transaction where a customer makes a deposit and the system ensures that the deposit is made to the correct account of the correct amount.
(161) على سبيل المثال، سلامة المعاملة حيث يقوم العميل بالإيداع ويضمن النظام أن يتم الإيداع في الحساب الصحيح بالمبلغ الصحيح.
(162) And that all processing steps needed to achieve that have been successfully completed.
(162) وأن جميع خطوات المعالجة اللازمة لتحقيق ذلك قد اكتملت بنجاح.
(163) This example shows that maintaining data integrity requires additional steps to achieve systems integrity for all processes that use or modify that data.
(163) يوضح هذا المثال أن الحفاظ على تكامل البيانات يتطلب خطوات إضافية لتحقيق تكامل الأنظمة لجميع العمليات التي تستخدم تلك البيانات أو تعدلها.
(164) The key to ensuring integrity is a knowledge of state, that is the ability to document and understand the state of data or a system at a certain point.
(164) إن مفتاح ضمان النزاهة هو معرفة الحالة، أي القدرة على توثيق وفهم حالة البيانات أو النظام عند نقطة معينة.
(165) Creating a baseline, for example, a baseline can refer to the current state of the information.
(165) إنشاء خط أساس، على سبيل المثال، يمكن أن يشير خط الأساس إلى الحالة الحالية للمعلومات.
(166) Then, to preserve that state, the information must continue to be protected at all times through a transaction.
(166) ومن ثم، للحفاظ على هذه الحالة، يجب أن تستمر حماية المعلومات في جميع الأوقات من خلال المعاملة.
(167) Going forward from that baseline, the integrity of the data or the system can always be ascertained by comparing the baseline with the current state.
(167) انطلاقًا من خط الأساس هذا، يمكن دائمًا التأكد من سلامة البيانات أو النظام من خلال مقارنة خط الأساس بالحالة الحالية.
(168) If the two match, then the integrity of the data or the system is intact.
(168) إذا تطابق الاثنان، فإن سلامة البيانات أو النظام سليمة.
(169) If the two do not match, then the integrity of the data or the system has been compromised.
(169) إذا لم يتطابق الاثنان، فهذا يعني أن سلامة البيانات أو النظام قد تم اختراقها.
(170) Integrity is a primary factor in the reliability of information and systems.
(170) تعتبر النزاهة عاملاً أساسيًا في موثوقية المعلومات والأنظمة.
(171) Integrity controls include system edits and data validation routines invoked during data entry and update, system file and data access permissions, change in commitment control procedures, and secure hashing algorithms.
(171) تشمل ضوابط النزاهة عمليات تحرير النظام وإجراءات التحقق من صحة البيانات التي يتم استدعاؤها أثناء إدخال البيانات وتحديثها، وأذونات الوصول إلى ملفات النظام والبيانات، والتغيير في إجراءات التحكم في الالتزام، وخوارزميات التجزئة الآمنة.
(172) Detective controls include system and application audit trails, balancing reports and procedures, antivirus software and file integrity checkers that could detect a potential problem with the integrity of the information.
(172) تشتمل أدوات التحكم الكشفية على مسارات تدقيق النظام والتطبيقات، وموازنة التقارير والإجراءات، وبرامج مكافحة الفيروسات، وأدوات فحص سلامة الملفات التي يمكنها اكتشاف مشكلة محتملة تتعلق بسلامة المعلومات.
(173) The need to safeguard information integrity and system integrity may be dictated by laws and regulations such as the Sarbanes-Oxley or SOX Act of 2002.
(173) إن الحاجة إلى حماية سلامة المعلومات وسلامة النظام قد تمليها القوانين واللوائح مثل قانون Sarbanes-Oxley أو SOX لعام 2002.
(174) Or Article 32 of the GDPR, which mandate the use of security controls to protect the integrity and confidentiality of information.
(174) أو المادة 32 من اللائحة العامة لحماية البيانات، التي تنص على استخدام الضوابط الأمنية لحماية سلامة المعلومات وسريتها.
(175) More often, it is dictated by the organization’s needs to access and use reliable, accurate information.
(175) في أغلب الأحيان، تمليه احتياجات المنظمة للوصول إلى معلومات موثوقة ودقيقة واستخدامها.
(176) Integrity controls, such as digital signatures used to guarantee the authenticity of messages, documents, and transactions, play an important role in non-repudiation.
(176) تلعب ضوابط النزاهة، مثل التوقيعات الرقمية المستخدمة لضمان صحة الرسائل والمستندات والمعاملات، دورًا مهمًا في عدم التنصل.
(177) A sending or signing party cannot deny his or her action and verify receipt of messages.
(177) لا يجوز للطرف المرسل أو الموقع رفض تصرفاته والتحقق من استلام الرسائل.
(178) Finally, the integrity of system logs and audit trails and other types of forensic data is essential to the legal interests of an organization.
(178) أخيرًا، تعد سلامة سجلات النظام ومسارات التدقيق والأنواع الأخرى من البيانات الجنائية أمرًا ضروريًا للمصالح القانونية للمنظمة.
(179) The direct operational consequences of integrity failure include an inability to read or access critical files or records leading to processing errors or other failures in information processing.
(179) تشمل العواقب التشغيلية المباشرة لفشل النزاهة عدم القدرة على قراءة الملفات أو السجلات الهامة أو الوصول إليها مما يؤدي إلى أخطاء في المعالجة أو فشل آخر في معالجة المعلومات.
(180) This can lead to miscalculations and misinformed decision making by business leaders, managers, and workers at every level of an organization.
(180) يمكن أن يؤدي هذا إلى حسابات خاطئة واتخاذ قرارات خاطئة من قبل قادة الأعمال والمديرين والعاملين على كل مستوى من مستويات المنظمة.
(181) Integrity failures may also result in inaccuracies in reporting, resulting in the levying of fines and sanctions, and inadmissibility of evidence when making certain legal claims or prosecuting crimes.
(181) قد يؤدي الإخفاق في النزاهة أيضًا إلى عدم الدقة في التقارير، مما يؤدي إلى فرض غرامات وعقوبات، وعدم قبول الأدلة عند تقديم مطالبات قانونية معينة أو ملاحقة الجرائم.
(182) Along with confidentiality, integrity and availability, these basic terms are expanded to include other key information security attributes such as non-repudiation, authenticity, privacy, and safety.
(182) إلى جانب السرية والنزاهة والتوافر، يتم توسيع هذه المصطلحات الأساسية لتشمل سمات أمن المعلومات الرئيسية الأخرى مثل عدم الإنكار والأصالة والخصوصية والسلامة.
(183) Abbreviated as CIANA+PS, we use confidentiality, integrity, and availability, non-repudiation, authenticity, privacy, and safety to define security.
(183) نحن نستخدم السرية والنزاهة والتوافر وعدم التنصل والأصالة والخصوصية والسلامة لتعريف الأمان، والمختصرة بـ CIANA+PS.
(184) The purpose of these terms is to make security more understandable and easier to define its purpose.
(184) الغرض من هذه المصطلحات هو جعل الأمن أكثر قابلية للفهم وأسهل لتحديد الغرض منه.
(185) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/F5O9W/privacy
(185) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/F5O9W/privacy
(186) Privacy is a fundamental concept in human rights and has many definitions in legal and ethical systems around the world.
(186) الخصوصية مفهوم أساسي في حقوق الإنسان ولها تعريفات عديدة في الأنظمة القانونية والأخلاقية حول العالم.
(187) The united nations human rights commission, for example, defined it as the presumption that individuals should have an area of autonomous development, interaction, and liberty.
(187) لجنة حقوق الإنسان التابعة للأمم المتحدة، على سبيل المثال، عرفته على أنه افتراض أن الأفراد يجب أن يكون لديهم مجال للتطور المستقل والتفاعل والحرية.
(188) A private sphere with or without interaction with others, free from state intervention, and from excessive unsolicited intervention by other UN invited individuals.
(188) مجال خاص مع أو بدون تفاعل مع الآخرين، خالي من تدخل الدولة، ومن التدخل المفرط غير المرغوب فيه من قبل أفراد آخرين مدعوين من الأمم المتحدة.
(189) The right to privacy is also the ability of individuals to determine who holds information about them and how is that information used.
(189) الحق في الخصوصية هو أيضًا قدرة الأفراد على تحديد من يحتفظ بمعلومات عنهم وكيف يتم استخدام تلك المعلومات.
(190) By referring to this definition, we can see that many of the legal requirements for data protection systems and data integrity, authenticity.
(190) من خلال الإشارة إلى هذا التعريف، يمكننا أن نرى أن العديد من المتطلبات القانونية لأنظمة حماية البيانات وسلامة البيانات وصحتها.
(191) And more all flow from these ideas about privacy, especially what is said in that last sentence.
(191) وأكثر من ذلك كله ينبع من هذه الأفكار حول الخصوصية، وخاصة ما قيل في تلك الجملة الأخيرة.
(192) The European union’s general data protection regulation GDPR directly implements these concepts.
(192) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) تنفذ هذه المفاهيم بشكل مباشر.
(193) Member nations of the EU enact laws to put these regulations into practice, and in some cases, those countries add more stringent requirements to what the GDPR has specified.
(193) تسن الدول الأعضاء في الاتحاد الأوروبي قوانين لوضع هذه اللوائح موضع التنفيذ، وفي بعض الحالات، تضيف تلك الدول متطلبات أكثر صرامة إلى ما حدده القانون العام لحماية البيانات.
(194) In all cases, these laws include national and state level laws dictate that any entity, anywhere in the world handling the private data of persons of that legal jurisdiction.
(194) في جميع الحالات، تتضمن هذه القوانين القوانين الوطنية وقوانين مستوى الولاية التي تنص على أن يتعامل أي كيان، في أي مكان في العالم، مع البيانات الخاصة للأشخاص الخاضعين لتلك الولاية القضائية القانونية.
(195) Must abide by the privacy requirements of that jurisdiction.
(195) يجب الالتزام بمتطلبات الخصوصية لتلك الولاية القضائية.
(196) The national and international laws that define privacy and data protection periodically change, particularly as discussions around private data become more prevalent.
(196) تتغير القوانين الوطنية والدولية التي تحدد الخصوصية وحماية البيانات بشكل دوري، لا سيما مع تزايد انتشار المناقشات حول البيانات الخاصة.
(197) As an information security professional, you will not be required to interpret the laws that is the role of your organization’s legal counsel.
(197) باعتبارك متخصصًا في أمن المعلومات، لن يُطلب منك تفسير القوانين، وهو دور المستشار القانوني لمؤسستك.
(198) But having an understanding of how these laws apply to your organization is important as a member of its data protection team.
(198) ولكن من المهم أن يكون لديك فهم لكيفية تطبيق هذه القوانين على مؤسستك كعضو في فريق حماية البيانات الخاص بها.
(199) We’ll look at some of these requirements as expressed in GDPR and other laws later in this chapter and in subsequent chapters.
(199) سننظر في بعض هذه المتطلبات كما تم التعبير عنها في اللائحة العامة لحماية البيانات (GDPR) والقوانين الأخرى لاحقًا في هذا الفصل وفي الفصول اللاحقة.
(200) Although international privacy laws are somewhat different in respect to their specific requirements, they all tend to be based on core principles or guidelines.
(200) على الرغم من أن قوانين الخصوصية الدولية تختلف إلى حد ما فيما يتعلق بمتطلباتها المحددة، إلا أنها تميل جميعها إلى الاستناد إلى مبادئ أو مبادئ توجيهية أساسية.
(201) The organization for economic cooperation and development, OECD has broadly classified these principles into eight areas.
(201) قامت منظمة التعاون الاقتصادي والتنمية، منظمة التعاون الاقتصادي والتنمية، بتصنيف هذه المبادئ على نطاق واسع إلى ثمانية مجالات.
(202) Collection limitation, data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability.
(202) القيود على الجمع، وجودة البيانات، وتحديد الغرض، وتقييد الاستخدام، والضمانات الأمنية، والانفتاح، والمشاركة الفردية، والمساءلة.
(203) Now let’s discuss the guidelines in greater detail.
(203) الآن دعونا نناقش المبادئ التوجيهية بمزيد من التفصيل.
(204) There should be limits to the collection of personal data, and any such data should be obtained by lawful and fair means.
(204) يجب أن تكون هناك حدود لجمع البيانات الشخصية، وينبغي الحصول على أي من هذه البيانات بوسائل قانونية وعادلة.
(205) And we are appropriate with the knowledge or consent of the data subject.
(205) ونحن مناسبون بمعرفة صاحب البيانات أو موافقته.
(206) Personal data should be relevant to the purposes for which it is to be used and should be accurate, complete, and kept up to date.
(206) يجب أن تكون البيانات الشخصية ذات صلة بالأغراض التي سيتم استخدامها من أجلها ويجب أن تكون دقيقة وكاملة ومحدثة.
(207) The purposes for which personal data is collected should be specified not later than at the time of data collection.
(207) ينبغي تحديد الأغراض التي يتم جمع البيانات الشخصية من أجلها في موعد لا يتجاوز وقت جمع البيانات.
(208) The subsequent use of the data should be limited to the fulfillment of those purposes.
(208) يجب أن يقتصر الاستخدام اللاحق للبيانات على تحقيق تلك الأغراض.
(209) Or such other as are not incompatible with those purposes and as are specified on each occasion or change of purpose.
(209) أو أي شيء آخر لا يتعارض مع تلك الأغراض وكما هو محدد في كل مناسبة أو تغيير في الغرض.
(210) Personal data should not be disclosed, made available, or otherwise used for purposes other than those specified above, except with the consent of the data subject or by the authority of law.
(210) لا يجوز الكشف عن البيانات الشخصية أو إتاحتها أو استخدامها لأغراض أخرى غير تلك المحددة أعلاه، إلا بموافقة صاحب البيانات أو بموجب سلطة القانون.
(211) Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorized access, destruction, use, modification, or disclosure.
(211) يجب حماية البيانات الشخصية من خلال ضمانات أمنية معقولة ضد مخاطر مثل الفقدان أو الوصول غير المصرح به أو التدمير أو الاستخدام أو التعديل أو الكشف.
(212) There should also be a general policy of openness about developments, practices, and policies concerning personal data.
(212) يجب أيضًا أن تكون هناك سياسة عامة للانفتاح بشأن التطورات والممارسات والسياسات المتعلقة بالبيانات الشخصية.
(213) Means should be readily available for establishing the existence and nature of personal data and the main purposes of its use, as well as the identity and usual residence of the data controller.
(213) ينبغي أن تكون الوسائل متاحة بسهولة لإثبات وجود وطبيعة البيانات الشخصية والأغراض الرئيسية لاستخدامها، فضلاً عن هوية مراقب البيانات ومقر إقامته المعتاد.
(214) Individuals are an important consideration and should have the right to obtain confirmation of whether the data controller has data relating to them.
(214) يعد الأفراد اعتبارًا مهمًا ويجب أن يكون لهم الحق في الحصول على تأكيد عما إذا كان لدى مراقب البيانات بيانات تتعلق بهم.
(215) This communication should take place within a reasonable time, in a reasonable manner, and in a form that is readily intelligible to them, a charge, if any, should not be excessive.
(215) يجب أن يتم هذا الاتصال خلال فترة زمنية معقولة، وبطريقة معقولة، وبصورة يسهل عليهم فهمها، ويجب ألا تكون الرسوم، إن وجدت، مفرطة.
(216) The individual is to be given reasons if a request made is denied, and to be able to challenge such denial.
(216) يجب إعطاء الفرد الأسباب في حالة رفض الطلب المقدم، وأن يكون قادرًا على الطعن في هذا الرفض.
(217) Individuals have the right to challenge data relating to them, and, if the challenge is successful, to have the data erased, rectified, completed, or amended.
(217) يحق للأفراد الاعتراض على البيانات المتعلقة بهم، وإذا نجح الاعتراض، يحق لهم مسح البيانات أو تصحيحها أو استكمالها أو تعديلها.
(218) The data controller should be accountable for complying with measures that give effect to the principles stated above.
(218) يجب أن يكون مراقب البيانات مسؤولاً عن الامتثال للتدابير التي تنفذ المبادئ المذكورة أعلاه.
(219) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/58WAg/safety
(219) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/58WAg/safety
(220) Safety focuses on the prevention of unwanted or unauthorized harm to persons or property.
(220) تركز السلامة على منع الضرر غير المرغوب فيه أو غير المصرح به للأشخاص أو الممتلكات.
(221) The first distinction of unwanted or unauthorized recognizes the many situations, in which law enforcement, emergency responders, military forces, or even industrial process control systems, must cause property damage or even human injury or death as part of carrying out their authorized duties and responsibilities.
(221) التمييز الأول بين غير المرغوب فيه أو غير المصرح به يعترف بالمواقف العديدة التي يجب فيها أن يتسبب تطبيق القانون، أو المستجيبون للطوارئ، أو القوات العسكرية، أو حتى أنظمة التحكم في العمليات الصناعية، في إتلاف الممتلكات أو حتى الإصابة البشرية أو الوفاة كجزء من تنفيذ مهامهم المصرح بها الواجبات والمسؤوليات.
(222) Many tasks involving heavy machinery, for example, destroy one part of the physical world, as part of oil or minerals extraction.
(222) العديد من المهام التي تنطوي على الآلات الثقيلة، على سبيل المثال، تدمر جزءًا واحدًا من العالم المادي، كجزء من استخراج النفط أو المعادن.
(223) The safe disposal of condemned buildings, automobiles, and other equipment involves authorized damage or destruction.
(223) يتضمن التخلص الآمن من المباني والسيارات وغيرها من المعدات المحظورة حدوث ضرر أو تدمير مسموح به.
(224) These tasks are often carried out by human operators who command information and control systems, which then command the machinery itself.
(224) غالبًا ما يتم تنفيذ هذه المهام بواسطة مشغلين بشريين يتحكمون في أنظمة المعلومات والتحكم، والذين يتحكمون بعد ذلك في الآلات نفسها.
(225) The issue of safety concerns the physical world.
(225) مسألة السلامة تتعلق بالعالم المادي.
(226) Therefore, safety of information is in most circumstances related to the use of information, and ways that support safety objectives.
(226) لذلك، ترتبط سلامة المعلومات في معظم الظروف باستخدام المعلومات والطرق التي تدعم أهداف السلامة.
(227) Information safety must be considered in two ways.
(227) يجب النظر إلى سلامة المعلومات بطريقتين.
(228) One, disclosure of information that could enable others to take action that leads to harm, and two, malfunction of physical devices due to incorrect or incomplete information in the commands and data that control those devices.
(228) الأول، الكشف عن المعلومات التي يمكن أن تمكن الآخرين من اتخاذ إجراء يؤدي إلى الضرر، والثاني، خلل في الأجهزة المادية بسبب معلومات غير صحيحة أو غير كاملة في الأوامر والبيانات التي تتحكم في تلك الأجهزة.
(229) Until recently, most information systems safety concerns were related to computer controlled manufacturing, and the operation of water, power, and transportation infrastructures.
(229) حتى وقت قريب، كانت معظم المخاوف المتعلقة بسلامة أنظمة المعلومات مرتبطة بالتصنيع الذي يتم التحكم فيه بواسطة الكمبيوتر، وتشغيل البنية التحتية للمياه والطاقة والنقل.
(230) The dramatic increase in the use of IoT devices, autonomous vehicles, and other robotics technologies, means that today’s information safety issues can affect any of us at almost any time.
(230) الزيادة الكبيرة في استخدام أجهزة إنترنت الأشياء، والمركبات ذاتية القيادة، وتقنيات الروبوتات الأخرى، تعني أن قضايا سلامة المعلومات اليوم يمكن أن تؤثر على أي واحد منا في أي وقت تقريبًا.
(231) Let’s consider the consequences of a safety-related information security failure.
(231) دعونا ننظر في عواقب فشل أمن المعلومات المتعلقة بالسلامة.
(232) Failures to keep safety critical information systems safe, secure, and reliable can lead to environmental contamination, property damage, injury, or even death.
(232) يمكن أن يؤدي الفشل في الحفاظ على أنظمة المعلومات الهامة الخاصة بالسلامة آمنة وموثوقة وموثوقة إلى التلوث البيئي أو تلف الممتلكات أو الإصابة أو حتى الوفاة.
(233) For example, medical implants with smart one board controllers, such as pacemakers, have shown to be vulnerable to some forms of sophisticated attacks.
(233) على سبيل المثال، أظهرت المزروعات الطبية المزودة بوحدات تحكم ذكية ذات لوحة واحدة، مثل أجهزة ضبط نبضات القلب، أنها عرضة لبعض أشكال الهجمات المتطورة.
(234) Water treatment and other public utilities are coming under increasing attention from cyber attackers.
(234) تتعرض معالجة المياه والمرافق العامة الأخرى لاهتمام متزايد من المهاجمين السيبرانيين.
(235) Attacks against water treatment facilities, for example, could lead to unsafe levels of chemicals or contaminants getting into a town’s drinking water supply.
(235) يمكن أن تؤدي الهجمات ضد مرافق معالجة المياه، على سبيل المثال، إلى وصول مستويات غير آمنة من المواد الكيميائية أو الملوثات إلى إمدادات مياه الشرب في المدينة.
(236) Security researchers have already demonstrated ways to disable computer-controlled braking, cruise control, and engine control systems in automobiles.
(236) لقد أظهر الباحثون الأمنيون بالفعل طرقًا لتعطيل أنظمة المكابح التي يتم التحكم فيها بواسطة الكمبيوتر، والتحكم في السرعة، وأنظمة التحكم في المحرك في السيارات.
(237) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/wjnjJ/separation-of-duties
(237) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/wjnjJ/separation-of-duties
(238) Separation of duties is defined as an operational security mechanism for preventing fraud and unauthorized use that requires two or more individuals to complete a task or perform a specific function.
(238) يتم تعريف فصل الواجبات على أنه آلية أمنية تشغيلية لمنع الاحتيال والاستخدام غير المصرح به الذي يتطلب فردين أو أكثر لإكمال مهمة أو أداء وظيفة محددة.
(239) Separation of duties does not necessarily require two people to perform a single task, but requires that the person performing a task is not the same person that is checking on the task.
(239) لا يتطلب الفصل بين الواجبات بالضرورة قيام شخصين بأداء مهمة واحدة، ولكنه يتطلب ألا يكون الشخص الذي يقوم بالمهمة هو نفس الشخص الذي يقوم بالتحقق من المهمة.
(240) Separation of duties is a powerful concept for process control and is commonly seen in financial applications that assigns separate individuals to the functions of approving, performing and auditing, or balancing a transaction.
(240) يعد فصل الواجبات مفهومًا قويًا للتحكم في العمليات ويتم رؤيته بشكل شائع في التطبيقات المالية التي تكلف أفرادًا منفصلين بمهام الموافقة على المعاملة وتنفيذها ومراجعتها أو موازنة المعاملة.
(241) This ensures that no single person operating alone can perform a fraudulent act without detection.
(241) يضمن هذا أنه لا يمكن لأي شخص يعمل بمفرده أن يقوم بعمل احتيالي دون اكتشافه.
(242) Separation of duties can also be applied to the design of fully automated systems by breaking a complex and critical task into several subtasks, each of which is performed by a separate software or hardware process.
(242) يمكن أيضًا تطبيق فصل الواجبات على تصميم الأنظمة المؤتمتة بالكامل عن طريق تقسيم مهمة معقدة وحاسمة إلى عدة مهام فرعية، يتم تنفيذ كل منها بواسطة عملية برمجية أو أجهزة منفصلة.
(243) Installing a new applications program on Windows, Linux, or Android-based systems often requires that the installation scripts are processed by one set of software, such as a package manager, which uses a built-in operating system’s utility to perform critical sensitive steps in that installation process.
(243) غالبًا ما يتطلب تثبيت برنامج تطبيقات جديد على أنظمة Windows أو Linux أو Android معالجة البرامج النصية للتثبيت بواسطة مجموعة واحدة من البرامج، مثل مدير الحزم، الذي يستخدم أداة مساعدة مضمنة في نظام التشغيل لأداء المهام الهامة الخطوات الحساسة في عملية التثبيت تلك.
(244) Dual control is similar to a separation of duties and that it requires two or more people operating at the same time to perform a single function.
(244) يشبه التحكم المزدوج الفصل بين الواجبات ويتطلب وجود شخصين أو أكثر يعملون في نفس الوقت لأداء وظيفة واحدة.
(245) Examples of dual control include use of two signatures for processing payments, supervisor overrides for transactions over a certain monetary value, and for the recovery of encryption keys.
(245) تشمل أمثلة التحكم المزدوج استخدام توقيعين لمعالجة المدفوعات، وتجاوزات المشرف للمعاملات التي تتجاوز قيمة نقدية معينة، واسترداد مفاتيح التشفير.
(246) Separation of duties does not prevent collusion.
(246) الفصل بين الواجبات لا يمنع التواطؤ.
(247) Collusion is where two or more people cooperate to bypass separation of duties and perpetuate a fraudulent act.
(247) التواطؤ هو عندما يتعاون شخصان أو أكثر لتجاوز الفصل بين الواجبات وإدامة عمل احتيالي.
(248) Careful transaction balancing and review of suspicious activity and output captured in logs, transaction registers, and reports are the best methods of detecting collusion.
(248) تعد الموازنة الدقيقة للمعاملات ومراجعة الأنشطة المشبوهة والمخرجات المسجلة في السجلات وسجلات المعاملات والتقارير من أفضل الطرق لاكتشاف التواطؤ.
(249) In some organizations, additional operational security practices such as mandatory vacation periods or job rotations, are enforced to provide management with an opportunity to prevent and detect collusion.
(249) في بعض المنظمات، يتم فرض ممارسات أمنية تشغيلية إضافية مثل فترات الإجازة الإلزامية أو التناوب الوظيفي، لتزويد الإدارة بفرصة لمنع واكتشاف التواطؤ.
(250) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/wOH2W/defense-in-depth
(250) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/wOH2W/defense-in- Deep
(251) In simplest terms, defense in depth is a security architecture design principle that places security controls at multiple layers across the organization systems.
(251) بعبارات أبسط، الدفاع المتعمق هو مبدأ تصميم معماري أمني يضع ضوابط الأمان في طبقات متعددة عبر أنظمة المؤسسة.
(252) Ideally, it takes a failure of all controls in a series layer upon layer to allow an intrusion or attack to get past the defenses successfully.
(252) من الناحية المثالية، يتطلب الأمر فشل جميع عناصر التحكم في طبقة متسلسلة فوق طبقة للسماح بالتطفل أو الهجوم بتجاوز الدفاعات بنجاح.
(253) Designing for defense in depth requires understanding the specific threats to the target asset, and the anatomy of potential attacks, or attack vectors.
(253) يتطلب التصميم الدفاعي المتعمق فهم التهديدات المحددة للأصول المستهدفة، وتشريح الهجمات المحتملة، أو نواقل الهجوم.
(254) For example, the specific means by which a particular attack can occur.
(254) على سبيل المثال، الوسائل المحددة التي يمكن أن يحدث بها هجوم معين.
(255) Differences may be designed to prevent or deter attacks using an outside in, or inside out approach.
(255) قد يتم تصميم الاختلافات لمنع الهجمات أو ردعها باستخدام نهج من الخارج إلى الداخل أو من الداخل إلى الخارج.
(256) By placing safeguards at two or more points along the access path to the asset, failure of one safeguard can be counteracted by the function of another safeguard further along the access path.
(256) من خلال وضع الضمانات في نقطتين أو أكثر على طول مسار الوصول إلى الأصل، يمكن مواجهة فشل إحدى الضمانات من خلال وظيفة ضمانة أخرى على طول مسار الوصول.
(257) A firewall protecting an organization’s web server maybe designed to only allow web browsing, for example, HTTP or HTTPS to the server from the external network.
(257) قد يكون جدار الحماية الذي يحمي خادم الويب الخاص بالمؤسسة مصممًا للسماح فقط بتصفح الويب، على سبيل المثال، HTTP أو HTTPS إلى الخادم من الشبكة الخارجية.
(258) An attacker may circumvent the firewall policy by following an indirect path.
(258) قد يتحايل أحد المهاجمين على سياسة جدار الحماية باتباع مسار غير مباشر.
(259) For example, accessing a web server via a compromised host, or user account with access to the server by exploiting vulnerabilities in the firewall itself, or by using the allowed ports and protocols for purposes other than those for which they are intended.
(259) على سبيل المثال، الوصول إلى خادم ويب عبر مضيف مخترق، أو حساب مستخدم لديه حق الوصول إلى الخادم عن طريق استغلال نقاط الضعف في جدار الحماية نفسه، أو باستخدام المنافذ والبروتوكولات المسموح بها لأغراض أخرى غير تلك المخصصة لها.
(260) A defense in depth strategy might go beyond perimeter defenses, adding safe guards to the web server, and hosted web applications.
(260) قد تتجاوز استراتيجية الدفاع المتعمق الدفاعات المحيطة، وإضافة حراس آمنين إلى خادم الويب، وتطبيقات الويب المستضافة.
(261) It might do this by disabling unnecessary services such as File Transfer Protocol, FTP, terminal emulation, Telnet, and remote procedure calls requiring use of a unique identifier and strong authentication method to gain access to services, implementing protections against brute force of passwords, or other means.
(261) قد يتم ذلك عن طريق تعطيل الخدمات غير الضرورية مثل بروتوكول نقل الملفات، وFTP، والمضاهاة الطرفية، وTelnet، واستدعاءات الإجراءات عن بعد التي تتطلب استخدام معرف فريد وطريقة مصادقة قوية للوصول إلى الخدمات، وتنفيذ الحماية ضد القوة الغاشمة كلمات المرور أو وسائل أخرى.
(262) These ensure that the attack vector cannot be compromised by a hacker that bypasses a single control.
(262) يضمن ذلك عدم إمكانية اختراق ناقل الهجوم بواسطة متسلل يتجاوز عنصر تحكم واحد.
(263) It is important to note that a true defense in depth strategy requires that safeguards not share a common mechanism or be dependent on one another for proper operation.
(263) ومن المهم الإشارة إلى أن استراتيجية الدفاع المتعمق الحقيقية تتطلب ألا تشترك الضمانات في آلية مشتركة أو أن تعتمد على بعضها البعض من أجل التشغيل السليم.
(264) This is because failure of a common mechanism causes failure of all safeguards that rely on that mechanism.
(264) وذلك لأن فشل الآلية المشتركة يؤدي إلى فشل جميع الضمانات التي تعتمد على تلك الآلية.
(265) A failure of a single sign-on solution, for example, would interrupt access to all the systems it supports.
(265) فشل حل تسجيل الدخول الموحد، على سبيل المثال، قد يؤدي إلى مقاطعة الوصول إلى جميع الأنظمة التي يدعمها.
(266) Network segmentation is also an effective way to achieve defense in depth for distributed or multi-tiered applications.
(266) يعد تجزئة الشبكة أيضًا وسيلة فعالة لتحقيق الدفاع المتعمق للتطبيقات الموزعة أو متعددة المستويات.
(267) The use of a demilitarized zone, DMZ, for example, is a common practice in security architecture.
(267) يعد استخدام المنطقة منزوعة السلاح، على سبيل المثال، ممارسة شائعة في الهندسة الأمنية.
(268) With a DMZ, host systems that are accessible through the firewall are physically separated from the internal network by means of secured switches, or by using an additional firewall to control traffic between the web server and the internal network.
(268) في المنطقة المجردة من السلاح، يتم فصل الأنظمة المضيفة التي يمكن الوصول إليها من خلال جدار الحماية فعليًا عن الشبكة الداخلية عن طريق مفاتيح آمنة، أو باستخدام جدار حماية إضافي للتحكم في حركة المرور بين خادم الويب والشبكة الداخلية.
(269) Application DMZs, or semi-trusted networks, are frequently used today to limit access to application servers to those networks, or systems that have a legitimate need to connect.
(269) يتم استخدام مناطق DMZ للتطبيقات، أو الشبكات شبه الموثوقة، بشكل متكرر اليوم لتقييد الوصول إلى خوادم التطبيقات لتلك الشبكات، أو الأنظمة التي لديها حاجة مشروعة للاتصال.
(270) We’ll look at this in more detail in Chapter 5, Module 4.
(270) سننظر في هذا بمزيد من التفصيل في الفصل 5، الوحدة 4.
(271) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/DGpgr/professional-ethics
(271) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/DGpgr/professional-ethics
(272) Let’s take a few minutes to discuss ethics and how ethics impacts your professional practice.
(272) لنأخذ بضع دقائق لمناقشة الأخلاقيات وكيف تؤثر الأخلاقيات على ممارستك المهنية.
(273) Society trusts in you to know your practice.
(273) المجتمع يثق بك ليعرف ممارستك.
(274) No, it’s practical limits and work to make sure that the services you perform meet or exceed the profession’s best practices.
(274) لا، إنها حدود عملية وعمل للتأكد من أن الخدمات التي تقدمها تلبي أفضل ممارسات المهنة أو تتجاوزها.
(275) This is a legal and ethical responsibility.
(275) هذه مسؤولية قانونية وأخلاقية.
(276) Everything you do requires you to understand the needs of your employers or clients.
(276) كل ما تفعله يتطلب منك فهم احتياجات أصحاب العمل أو العملاء.
(277) You listen, observe, gather data, and ask questions.
(277) أنت تستمع وتلاحظ وتجمع البيانات وتطرح الأسئلة.
(278) You think about what you’ve learned and you come to conclusions.
(278) تفكر فيما تعلمته وتوصل إلى استنتاجات.
(279) You make recommendations, offer advice, or take action within the scope of your job and responsibilities.
(279) أنت تقدم توصيات أو تقدم نصائح أو تتخذ إجراءات ضمن نطاق وظيفتك ومسؤولياتك.
(280) Sometimes you take action outside of that scope, going above and beyond the call of those duties.
(280) في بعض الأحيان تتخذ إجراءً خارج هذا النطاق، وتتجاوز نداء تلك الواجبات.
(281) You do this because you are a professional.
(281) أنت تفعل هذا لأنك محترف.
(282) You would not even think of making those conclusions, or taking those actions if they violently conflicted with what known technical standards or recognized best technical practices said was required.
(282) لن تفكر حتى في التوصل إلى تلك الاستنتاجات، أو اتخاذ تلك الإجراءات إذا كانت تتعارض بشدة مع ما تنص عليه المعايير الفنية المعروفة أو أفضل الممارسات الفنية المعترف بها.
(283) You would not knowingly recommend or act to violate the law.
(283) لا يجوز لك أن توصي أو تتصرف بانتهاك القانون عن قصد.
(284) Your professional ethics are no different.
(284) لا تختلف أخلاقياتك المهنية.
(285) To be a professional means that society has placed great trust and confidence in you, because you have been willing to take on the responsibility to get things done right.
(285) أن تكون محترفًا يعني أن المجتمع قد وضع فيك ثقة كبيرة، لأنك كنت على استعداد لتحمل المسؤولية لإنجاز الأمور بشكل صحيح.
(286) They are a set of standards that are both constraints and freedoms which you use to inform, shape, and then test your conclusions and decisions with before you act.
(286) إنها مجموعة من المعايير التي تمثل قيودًا وحريات في نفس الوقت والتي تستخدمها للإعلام والتشكيل ثم اختبار استنتاجاتك وقراراتك قبل التصرف.
(287) As a professional in any profession, you learned what that profession requires of you through education, training, and on-the-job experience.
(287) باعتبارك محترفًا في أي مهنة، فقد تعلمت ما تتطلبه هذه المهنة منك من خلال التعليم والتدريب والخبرة أثناء العمل.
(288) You learned from teachers, mentors, trainers, and the people working alongside of you.
(288) لقد تعلمت من المعلمين والموجهين والمدربين والأشخاص الذين يعملون معك.
(289) They shared their hard-earned insight and knowledge with you as they are part of promoting the profession that you had in common.
(289) لقد شاركوا معك بصيرتهم ومعرفتهم التي اكتسبوها بشق الأنفس لأنهم جزء من الترويج للمهنة المشتركة بينكما.
(290) In doing so, they strengthen the practice of the ethics of the profession and the practice of its technical disciplines.
(290) وهم بذلك يعززون ممارسة أخلاقيات المهنة وممارسة تخصصاتها الفنية.
(291) (ISC)^2 provides us a code of ethics and to be an SSCP, you agree to abide by it.
(291) (ISC)^2 يزودنا بمدونة قواعد السلوك، ولكي تكون SSCP، فإنك توافق على الالتزام بها.
(292) It starts with a preamble which states, the safety and welfare of society and the common good duty to our principles and to each other, requires that we adhere and be seen to adhere to the highest ethical standards of behavior.
(292) يبدأ بديباجة تنص على أن سلامة ورفاهية المجتمع وواجب الصالح العام تجاه مبادئنا وتجاه بعضنا البعض، يتطلب منا الالتزام بأعلى معايير السلوك الأخلاقية وأن يُنظر إلينا على أننا ملتزمون بها.
(293) Strict adherence to this code is a condition of certification.
(293) الالتزام الصارم بهذا القانون هو شرط من شروط الشهادة.
(294) Let’s operationalize that preamble by taking it apart step-by-step and see what it really asks of us.
(294) دعونا نقوم بتفعيل هذه الديباجة من خلال تفكيكها خطوة بخطوة ونرى ما تطلبه منا حقًا.
(295) Step 1, safety and welfare of society allowing information systems to come to harm because of the failure of their security systems or controls can lead to damage to property, injury, or death of people who were depending upon those systems operating correctly.
(295) الخطوة 1، سلامة ورفاهية المجتمع التي تسمح لأنظمة المعلومات بالتعرض للأذى بسبب فشل أنظمتها الأمنية أو ضوابطها يمكن أن تؤدي إلى تلف الممتلكات أو الإصابة أو وفاة الأشخاص الذين كانوا يعتمدون على تلك الأنظمة التي تعمل بشكل صحيح.
(296) Step 2, is the common good.
(296) الخطوة الثانية، هي الصالح العام.
(297) All of us benefit when our critical infrastructures provide common services that we all depend upon and work correctly and reliably.
(297) نستفيد جميعًا عندما توفر بنيتنا التحتية الحيوية خدمات مشتركة نعتمد عليها جميعًا ونعمل بشكل صحيح وموثوق.
(298) Step 3, duty to our principles.
(298) الخطوة الثالثة، الواجب تجاه مبادئنا.
(299) Our duties to those we regard as leaders, rulers, or our supervisors in any capacity.
(299) واجباتنا تجاه من نعتبرهم قادة أو حكامًا أو مشرفين علينا بأي صفة.
(300) Step 4, our duty to each other, to our fellow SSCPs, others in our profession, and to others in our neighborhood and society at large.
(300) الخطوة الرابعة، واجبنا تجاه بعضنا البعض، وتجاه زملائنا من SSCPs، والآخرين في مهنتنا، وتجاه الآخرين في منطقتنا والمجتمع ككل.
(301) Step 5, adhere and be seen to adhere, behave correctly, and set the example for others to follow.
(301) الخطوة 5، التزم وأن يُرى ملتزمًا، وتصرف بشكل صحيح، وكن قدوة للآخرين ليتبعوها.
(302) Be visible and performing your job ethically and adherence with this code so that others can have confidence in us as a profession and learn from our example.
(302) كن مرئيًا وقم بأداء وظيفتك بشكل أخلاقي والتزم بهذه القواعد حتى يتمكن الآخرون من الثقة بنا كمهنة والتعلم من مثالنا.
(303) The code is equally short, containing just four canons of principles to abide by.
(303) القانون قصير أيضًا، ويحتوي فقط على أربعة شرائع من المبادئ التي يجب الالتزام بها.
(304) One, protect society, the common good, necessary public trust and confidence, and the infrastructure.
(304) أولاً، حماية المجتمع والصالح العام والثقة العامة الضرورية والبنية التحتية.
(305) Two, act honorably, honestly, justly, responsibly and legally.
(305) ثانيًا، التصرف بشرف وأمانة وعدالة ومسؤولية وقانونًا.
(306) Three, provide diligent and competent service to principals.
(306) ثلاثة، تقديم خدمة مجتهدة ومختصة لمديري المدارس.
(307) Four, advance and protect the profession.
(307) رابعاً: الارتقاء بالمهنة وحمايتها.
(308) The cannons do more than restate the preamble’s key points.
(308) تقوم المدافع بأكثر من مجرد إعادة ذكر النقاط الرئيسية في الديباجة.
(309) They show us how to adhere to the preamble.
(309) يبينون لنا كيفية الالتزام بالديباجة.
(310) We must take action to protect what we value.
(310) يجب علينا اتخاذ الإجراءات اللازمة لحماية ما نقدره.
(311) That action should be done with honor, honesty, and with justice as our guide.
(311) يجب أن يتم هذا العمل بشرف وصدق وعدالة كدليل لنا.
(312) Do care and due diligence are what we owe to those we work for, including the customers of the businesses that employ us.
(312) إن العناية والعناية الواجبة هما ما ندين به لأولئك الذين نعمل لديهم، بما في ذلك عملاء الشركات التي توظفنا.
(313) The final cannon talks to our continued responsibility to grow as a professional.
(313) المدفع الأخير يتحدث عن مسؤوليتنا المستمرة للنمو كمحترفين.
(314) We are on a never ending journey of learning and discovery.
(314) نحن في رحلة لا تنتهي من التعلم والاكتشاف.
(315) Each day brings an opportunity to make the profession of information security stronger and more effective.
(315) كل يوم يحمل فرصة لجعل مهنة أمن المعلومات أقوى وأكثر فعالية.
(316) SSCPs are members of a worldwide community of practice, the informal grouping of people concerned with the safety, security, and reliability of information systems and the information infrastructures of our modern world.
(316) SSCPs هم أعضاء في مجتمع الممارسة العالمي، وهو التجمع غير الرسمي للأشخاص المهتمين بسلامة وأمن وموثوقية أنظمة المعلومات والبنية التحتية للمعلومات في عالمنا الحديث.
(317) Most businesses and non-profits or other types of organizations have a code of ethics that they use to shape their policies, guide them in making decisions, setting goals, and taking actions.
(317) لدى معظم الشركات والمنظمات غير الربحية أو غيرها من أنواع المنظمات قواعد أخلاقية تستخدمها لتشكيل سياساتها وتوجيهها في اتخاذ القرارات وتحديد الأهداف واتخاذ الإجراءات.
(318) They also use these codes of ethics to guide the efforts of their employees, team members, and associates.
(318) كما يستخدمون قواعد الأخلاق هذه لتوجيه جهود موظفيهم وأعضاء فريقهم وشركائهم.
(319) In many cases, these codes can be the basis of decisions to admonish discipline or to terminate their relationship with an employee.
(319) في كثير من الحالات، يمكن أن تكون هذه القواعد أساسًا لقرارات التحذير من الانضباط أو إنهاء العلاقة مع الموظف.
(320) In most cases, organizational codes of ethics are also extended to the partners, customers, or clients that the organization chooses to do business with.
(320) في معظم الحالات، تمتد قواعد الأخلاقيات التنظيمية أيضًا إلى الشركاء أو العملاء أو العملاء الذين تختارهم المنظمة للتعامل معهم.
(321) Sometimes these codes of ethics are written down and established as policy directives upon all who work there.
(321) في بعض الأحيان يتم تدوين قواعد الأخلاق هذه ووضعها كتوجيهات سياسية لجميع الذين يعملون هناك.
(322) Sometimes they are implicitly or tacitly understood as part of the organizational culture or shaped and driven by influential personalities in the organization.
(322) في بعض الأحيان يتم فهمها ضمنيًا أو ضمنيًا على أنها جزء من الثقافة التنظيمية أو يتم تشكيلها وتحفيزها من قبل شخصيات مؤثرة في المنظمة.
(323) But just because they aren’t written down, that doesn’t mean that an ethical code or framework for that organization doesn’t exist.
(323) ولكن لمجرد عدم تدوينها، فهذا لا يعني عدم وجود مدونة أخلاقية أو إطار عمل لتلك المنظمة.
(324) Fundamentally, these codes of ethics have the capacity to balance the conflicting needs of law and regulation with the bottom line pressure to survive and flourish as an organization.
(324) في الأساس، تمتلك قواعد الأخلاق هذه القدرة على تحقيق التوازن بين الاحتياجات المتضاربة للقانون والتنظيم مع الضغط الأساسي من أجل البقاء والازدهار كمنظمة.
(325) This is the real purpose of an organizational ethical code.
(325) هذا هو الغرض الحقيقي من مدونة الأخلاق التنظيمية.
(326) Unfortunately, some organizations let the balance go too far towards the bottom line set of values and take shortcuts.
(326) لسوء الحظ، تترك بعض المنظمات التوازن يذهب بعيدًا جدًا نحو مجموعة القيم الأساسية وتتخذ طرقًا مختصرة.
(327) They compromise their ethics, legal or regulatory responsibilities, and end up applying their codes of ethics loosely, if at all.
(327) إنهم يعرضون للخطر أخلاقياتهم ومسؤولياتهم القانونية أو التنظيمية، وينتهي بهم الأمر إلى تطبيق قواعد الأخلاق الخاصة بهم بشكل فضفاض، هذا إن حدث ذلك على الإطلاق.
(328) As a case in point, consider that risk management must include the dilemma that sometimes there are more laws and regulations than any business can possibly afford to comply with.
(328) وكمثال على ذلك، ضع في اعتبارك أن إدارة المخاطر يجب أن تتضمن المعضلة المتمثلة في وجود قوانين ولوائح في بعض الأحيان أكثر مما تستطيع أي شركة تحمل الالتزام به.
(329) They all conflict with each other in some way, shape, or form.
(329) جميعها تتعارض مع بعضها البعض بشكل أو شكل أو شكل.
(330) It’s actually quite easy to incorporate professional and personal ethics along with the organization’s own code of ethics to every decision process you use.
(330) من السهل جدًا في الواقع دمج الأخلاقيات المهنية والشخصية جنبًا إلى جنب مع قواعد الأخلاقيات الخاصة بالمنظمة في كل عملية اتخاذ قرار تستخدمها.
(331) For example, focus your attention on the strengths, weaknesses, opportunities, and threats that a situation or problem presents.
(331) على سبيل المثال، ركز انتباهك على نقاط القوة والضعف والفرص والتهديدات التي يمثلها الموقف أو المشكلة.
(332) Being true to one’s ethics should be a strength in such a context.
(332) يجب أن يكون الصدق مع أخلاق المرء قوة في مثل هذا السياق.
(333) If it starts to be seen as a weakness or thread, that’s a dangerous signal about that situation or context that you must address or take to management and leadership for them to own.
(333) إذا بدأ يُنظر إليه على أنه ضعف أو خيط، فهذه إشارة خطيرة حول هذا الموقف أو السياق الذي يجب عليك معالجته أو نقله إلى الإدارة والقيادة حتى يمتلكوه.
(334) As the on scene information security professional, you’ll be the one who most likely has the first clear opportunity to look at an IT security posture, policy, control, or action, and challenge any aspects of it that you think might conflict with the organization’s code of ethics, the ISC Squared code of ethics, or your own personal and professional ethics.
(334) باعتبارك متخصصًا في أمن المعلومات في الموقع، ستكون الشخص الذي على الأرجح لديه أول فرصة واضحة لإلقاء نظرة على موقف أو سياسة أو سيطرة أو إجراء أمن تكنولوجيا المعلومات، وتحدي أي جانب منه تعتقد أنه قد يكون ممكنًا تتعارض مع قواعد الأخلاقيات الخاصة بالمنظمة، أو قواعد الأخلاقيات الخاصة بـ ISC Squared، أو الأخلاقيات الشخصية والمهنية الخاصة بك.
(335) As members of (ISC)^2, security professionals willingly and knowingly agree to fulfill two important duties defined in many nations legal systems and their society’s ethical systems.
(335) كأعضاء في (ISC)^2، يوافق المتخصصون في مجال الأمن عن طيب خاطر وعن علم على الوفاء بواجبين مهمين محددين في العديد من الأنظمة القانونية في العديد من الدول والأنظمة الأخلاقية لمجتمعهم.
(336) The first important duty is due care.
(336) الواجب الأول المهم هو العناية الواجبة.
(337) Due care requires that the professional use their knowledge and experience to identify all steps necessary to fully, correctly and completely address the requirements of their clients or the organizations and people that they support within the requirements of both law and contracts.
(337) تتطلب العناية الواجبة أن يستخدم المحترف معرفته وخبرته لتحديد جميع الخطوات اللازمة لتلبية متطلبات عملائه أو المنظمات والأشخاص الذين يدعمونهم بشكل كامل وصحيح وكامل ضمن متطلبات القانون والعقود.
(338) The second important duty is due diligence.
(338) الواجب الثاني المهم هو العناية الواجبة.
(339) Due diligence requires that the professional perform all tasks necessary to monitor or oversee their performance of activities that fall within their purview to assure that they are being performed correctly, producing the required outcomes, and that those outcomes are still appropriate giving any changes in circumstances.
(339) تتطلب العناية الواجبة أن يقوم المحترف بجميع المهام اللازمة لرصد أو الإشراف على أدائهم للأنشطة التي تقع ضمن نطاق اختصاصهم للتأكد من أنها يتم تنفيذها بشكل صحيح، وتنتج النتائج المطلوبة، وأن تلك النتائج لا تزال مناسبة مع إجراء أي تغييرات في الظروف.
(340) Due care can often be thought of as doing the right thing, while due diligence can be seen as following through on what’s being done.
(340) يمكن في كثير من الأحيان اعتبار العناية الواجبة بمثابة فعل الشيء الصحيح، في حين يمكن النظر إلى العناية الواجبة على أنها متابعة ما يتم القيام به.
(341) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/slvzJ/it-asset-management-itam
(341) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/slvzJ/it-asset-management-itam
(342) We began this module by looking at the identification of assets and how to both protect and determine the value of these assets.
(342) لقد بدأنا هذه الوحدة من خلال النظر في تحديد الأصول وكيفية حماية هذه الأصول وتحديد قيمتها.
(343) Now, let us take a look at IT Asset Management or ITAM.
(343) الآن، دعونا نلقي نظرة على إدارة أصول تكنولوجيا المعلومات أو ITAM.
(344) The IT Asset Management entails collecting inventory financial and contractual data to manage the IT asset throughout its life cycle.
(344) تستلزم إدارة أصول تكنولوجيا المعلومات جمع البيانات المالية والتعاقدية للمخزون لإدارة أصول تكنولوجيا المعلومات طوال دورة حياتها.
(345) ITAM depends on robust processes with tools to automate manual processes.
(345) يعتمد ITAM على عمليات قوية مع أدوات لأتمتة العمليات اليدوية.
(346) In the IT management life cycle, putting asset security into a useful perspective, must start with a clear definition of what an asset is, and with that definition, have a way to deal with the many different types of assets that modern organizations need to keep safe and secure.
(346) في دورة حياة إدارة تكنولوجيا المعلومات، يجب أن يبدأ وضع أمن الأصول في منظور مفيد بتعريف واضح لماهية الأصل، وبهذا التعريف، يكون هناك طريقة للتعامل مع العديد من أنواع الأصول المختلفة التي توفرها المؤسسات الحديثة بحاجة للحفاظ على آمنة ومأمونة.
(347) Every organization depends upon three types of resources to work to achieve its goals and objectives.
(347) تعتمد كل منظمة على ثلاثة أنواع من الموارد للعمل على تحقيق أهدافها وغاياتها.
(348) In broad terms, these resources can be grouped as materials, supplies, and assets.
(348) بشكل عام، يمكن تجميع هذه الموارد كمواد وإمدادات وأصول.
(349) Capturing and integrating auto discovery of inventory, financial and contractual data in a central repository for all IT assets enables the functions to effectively manage vendors and a software and hardware asset portfolio from requisition through retirement, thus, monitoring the asset’s performance throughout its life cycle.
(349) التقاط ودمج الاكتشاف التلقائي للمخزون والبيانات المالية والتعاقدية في مستودع مركزي لجميع أصول تكنولوجيا المعلومات يمكّن الوظائف من إدارة البائعين بشكل فعال ومحفظة أصول البرامج والأجهزة بدءًا من الطلب حتى التقاعد، وبالتالي مراقبة أداء الأصل طوال فترة وجوده دورة الحياة.
(350) Materials are the inputs to manufacturing processes.
(350) المواد هي مدخلات عمليات التصنيع.
(351) For example, the plastic to injection mold with or 3D print parts and packaging, the electronic components or sub-assemblies at the board or unit level, fasteners, and so on.
(351) على سبيل المثال، قالب حقن البلاستيك مع الأجزاء والتغليف أو الطباعة ثلاثية الأبعاد، والمكونات الإلكترونية أو التجميعات الفرعية على مستوى اللوحة أو الوحدة، والمثبتات، وما إلى ذلك.
(352) Materials come in, finished goods go out.
(352) تأتي المواد، وتخرج البضائع تامة الصنع.
(353) Supplies are items that are consumed by that manufacturing process or managing of it.
(353) اللوازم هي العناصر التي تستهلكها عملية التصنيع تلك أو إدارتها.
(354) Chemicals, shipping, and packaging materials, wire, glue, and the paper and pens of the office are all examples of supplies.
(354) تعتبر المواد الكيميائية ومواد الشحن والتغليف والأسلاك والغراء وأوراق وأقلام المكتب كلها أمثلة على الإمدادات.
(355) This figure shows these relationships.
(355) ويوضح هذا الشكل هذه العلاقات.
(356) Note that assets are the heart of business processes.
(356) لاحظ أن الأصول هي قلب العمليات التجارية.
(357) Without them, nothing gets done.
(357) بدونهم لا يتم عمل شيء.
(358) Assets remain with the organization.
(358) تبقى الأصول لدى المنظمة.
(359) They might be purchased or otherwise acquired from the marketplace or developed in-house.
(359) يجوز شراؤها أو الحصول عليها بطريقة أخرى من السوق أو تطويرها داخليًا.
(360) Tangible assets are those that have physical existence such as computer servers or buildings.
(360) الأصول الملموسة هي تلك التي لها وجود مادي مثل خوادم الكمبيوتر أو المباني.
(361) Intangible assets are those that exist in the mind, they are ideas, data, information, plans, processes, questions.
(361) الأصول غير الملموسة هي تلك الموجودة في العقل، وهي الأفكار والبيانات والمعلومات والخطط والعمليات والأسئلة.
(362) Consider a typical database used by an organization.
(362) خذ بعين الاعتبار قاعدة بيانات نموذجية تستخدمها المنظمة.
(363) The data contained in a database is one intangible asset.
(363) البيانات الموجودة في قاعدة البيانات هي أحد الأصول غير الملموسة.
(364) The software that is the database management system, DBMS, is another intangible asset.
(364) يعد البرنامج الذي يمثل نظام إدارة قاعدة البيانات، DBMS، أحد الأصول غير الملموسة الأخرى.
(365) The storage array or subsystem it physically resides on, is a third tangible asset.
(365) تعتبر مصفوفة التخزين أو النظام الفرعي الموجود عليها فعليًا أصلًا ملموسًا ثالثًا.
(366) While the software executes on a combination of processors, more tangible assets.
(366) أثناء تنفيذ البرنامج على مجموعة من المعالجات، تكون هناك أصول ملموسة أكثر.
(367) The endpoint device that an employee uses to access the database via its applications is connected via a network, another tangible asset to the system.
(367) جهاز نقطة النهاية الذي يستخدمه الموظف للوصول إلى قاعدة البيانات عبر تطبيقاته متصل عبر شبكة، وهو أصل ملموس آخر للنظام.
(368) The procedural knowledge in the employees head is an intangible asset, which is tacit knowledge if not written down in a procedure which makes it explicit knowledge.
(368) تعتبر المعرفة الإجرائية لدى رئيس الموظفين أصلاً غير ملموس، وهي معرفة ضمنية إذا لم يتم كتابتها في إجراء يجعلها معرفة صريحة.
(369) Note that for information intensive businesses and service organizations, the information that they use, the ones and the zeros of the data, ideas, knowledge, and perceptions can be assets.
(369) لاحظ أنه بالنسبة للشركات والمؤسسات الخدمية كثيفة المعلومات، فإن المعلومات التي تستخدمها، والأرقام والأصفار من البيانات، والأفكار، والمعرفة، والتصورات يمكن أن تكون أصولًا.
(370) Process, materials, or products.
(370) العمليات أو المواد أو المنتجات.
(371) Even so, it’s simpler and very effective to treat them all as assets for loss prevention and value creation purposes.
(371) ومع ذلك، فمن الأسهل والفعال للغاية التعامل معها جميعًا كأصول لمنع الخسارة ولأغراض إنشاء القيمة.
(372) We will discuss providing security protection for the physical tangible assets of the organizations information systems in Chapter 8.
(372) سنناقش توفير الحماية الأمنية للأصول المادية الملموسة لأنظمة معلومات المنظمة في الفصل الثامن.
(373) Asset management, like any organizational process, should be done in ways that conform to organizational governance processes and standards.
(373) يجب أن تتم إدارة الأصول، مثل أي عملية تنظيمية، بطرق تتوافق مع عمليات ومعايير الإدارة التنظيمية.
(374) These might include accounting and financial record keeping, insurance, health and safety, or other compliance requirements.
(374) قد تشمل هذه المتطلبات المحاسبة والسجلات المالية، والتأمين، والصحة والسلامة، أو متطلبات الامتثال الأخرى.
(375) Taken altogether and looked at just from the perspective of information technology assets, tangible and intangible, this describes an IT asset management life cycle.
(375) إذا أخذنا هذا كله بعين الاعتبار وننظر إليه فقط من منظور أصول تكنولوجيا المعلومات، الملموسة وغير الملموسة، فإن هذا يصف دورة حياة إدارة أصول تكنولوجيا المعلومات.
(376) Notice that this figure reflects two very broad pathways into the management activity.
(376) لاحظ أن هذا الرقم يعكس مسارين واسعين للغاية في نشاط الإدارة.
(377) One represents a requirements driven deliberate process.
(377) واحد يمثل عملية متعمدة مدفوعة بالمتطلبات.
(378) This assumes that no assets should exist or that it deserves management and information security protection, if there is not an organizational goal or objective, it is aligned with.
(378) يفترض هذا أنه لا ينبغي وجود أي أصول أو أنها تستحق حماية الإدارة وأمن المعلومات، إذا لم يكن هناك هدف أو غرض تنظيمي، تتماشى معه.
(379) The other path is more of a discovery channel.
(379) المسار الآخر هو أكثر من مجرد قناة اكتشاف.
(380) It recognizes that many IT assets are part and parcel of the organizations ways of doing business right now, today, and that these assets need to be evaluated, assigned to an accounting group or class and have their information security needs determined via categorization and classification processes.
(380) يُدرك أن العديد من أصول تكنولوجيا المعلومات هي جزء لا يتجزأ من طرق المنظمة لممارسة الأعمال في الوقت الحالي، وأن هذه الأصول تحتاج إلى تقييم وتعيينها إلى مجموعة أو فئة محاسبية وتحديد احتياجاتها لأمن المعلومات من خلال التصنيف. وعمليات التصنيف.
(381) This ad hoc or discovery channel is or should be coupled with the organizations technical security processes of systems, enumeration, baselining, and management.
(381) هذه القناة المخصصة أو قناة الاكتشاف تكون أو يجب أن تكون مقترنة بعمليات الأمن الفني للمنظمة للأنظمة، والتعداد، وتحديد الأساس، والإدارة.
(382) Note that the decision to manage a discovered asset can include disposing of it securely one hopes, or allowing it to remain outside of formal asset management processes, including those for configuration management and change control.
(382) لاحظ أن قرار إدارة الأصل المكتشف يمكن أن يشمل التخلص منه بشكل آمن، أو السماح له بالبقاء خارج عمليات إدارة الأصول الرسمية، بما في ذلك العمليات الخاصة بإدارة التكوين والتحكم في التغيير.
(383) Let’s look at this IT asset management lifecycle again.
(383) دعونا نلقي نظرة على دورة حياة إدارة أصول تكنولوجيا المعلومات مرة أخرى.
(384) This time, we should focus on the information security management activities in each step.
(384) هذه المرة، يجب أن نركز على أنشطة إدارة أمن المعلومات في كل خطوة.
(385) To begin, planning needs to establish the alignment of the asset with goals and objectives, which produce the contribution to the organization’s bottom line that the asset should produce.
(385) للبدء، يحتاج التخطيط إلى إنشاء محاذاة الأصل مع الأهداف والغايات، والتي تنتج المساهمة في النتيجة النهائية للمنظمة التي يجب أن ينتجها الأصل.
(386) This stage should identify the IT asset, data, software, hardware, or a combination.
(386) يجب أن تحدد هذه المرحلة أصول تكنولوجيا المعلومات أو البيانات أو البرامج أو الأجهزة أو مجموعة منها.
(387) Several different asset valuations can be determined at this time, including total cost to acquire or develop, deploy, support, and use throughout the assets operational lifecycle.
(387) يمكن تحديد العديد من تقييمات الأصول المختلفة في هذا الوقت، بما في ذلك التكلفة الإجمالية للحصول على أو تطوير ونشر ودعم واستخدام طوال دورة الحياة التشغيلية للأصول.
(388) Total anticipated revenues attributable to the use of the asset, total competitive advantage that exclusive use of the asset by the organization provides with respect to competitors, and total harm that can occur to organization if the asset is compromised, damaged, or put out of operation for an extended period of time.
(388) إجمالي الإيرادات المتوقعة التي تعزى إلى استخدام الأصل، وإجمالي الميزة التنافسية التي يوفرها الاستخدام الحصري للأصل من قبل المنظمة فيما يتعلق بالمنافسين، والضرر الإجمالي الذي يمكن أن يحدث للمنظمة إذا تعرض الأصل للخطر أو التلف أو وضعه خارج الخدمة لفترة طويلة من الزمن.
(389) Note that some of these valuations may be assigned qualitatively as on a high to low ranking or some other non measured manner.
(389) لاحظ أن بعض هذه التقييمات قد يتم تخصيصها نوعيًا على أنها من أعلى إلى أدنى مرتبة أو بطريقة أخرى غير قابلة للقياس.
(390) Most however, can and should be quantitatively determined from measured or estimated numerical values.
(390) ومع ذلك، يمكن وينبغي تحديد معظمها كميًا من القيم الرقمية المقاسة أو المقدرة.
(391) Assigning security needs first looks at classifying and categorizing the asset in terms of the harm the organization or others may suffer through unauthorized disclosure, use, alteration or interference with that asset and its essential meaning and content.
(391) ينظر تحديد الاحتياجات الأمنية أولاً في تصنيف الأصول من حيث الضرر الذي قد تتعرض له المنظمة أو الآخرين من خلال الكشف غير المصرح به أو استخدامه أو تغييره أو التدخل في ذلك الأصل ومعناه الأساسي ومحتواه.
(392) This will be examined further in this section on classification and categorization.
(392) سيتم مناقشة ذلك بشكل أكبر في هذا القسم الخاص بالتصنيف والتصنيف.
(393) This helps to determine the functional security requirements but does not directly leap into choosing or implementing security controls or processes for it.
(393) يساعد هذا في تحديد متطلبات الأمان الوظيفية ولكنه لا يقفز مباشرة إلى اختيار أو تنفيذ ضوابط أو عمليات الأمان الخاصة بها.
(394) Continuing the process, acquiring the asset can now proceed with greater confidence that needed security considerations for its design and use have been identified.
(394) بمواصلة العملية، يمكن الآن المضي قدمًا في الحصول على الأصل بثقة أكبر حيث تم تحديد الاعتبارات الأمنية اللازمة لتصميمه واستخدامه.
(395) This may be a combination of in-house development, even by citizen programmers within the organization.
(395) قد يكون هذا مزيجًا من التطوير الداخلي، حتى من قبل المبرمجين المواطنين داخل المنظمة.
(396) Third party development or purchase of licensing or commercial systems elements.
(396) تطوير أو شراء عناصر الترخيص أو الأنظمة التجارية بواسطة طرف ثالث.
(397) Deployment to operational use may involve training end-users and support personnel on security-related aspects of the new asset.
(397) قد يتضمن النشر للاستخدام التشغيلي تدريب المستخدمين النهائيين وموظفي الدعم على الجوانب المتعلقة بالأمن للأصل الجديد.
(398) It should also include procedures for how to protect information as it is stored in various physical or virtual storage media and devices.
(398) يجب أن تتضمن أيضًا إجراءات حول كيفية حماية المعلومات أثناء تخزينها في وسائط وأجهزة تخزين فعلية أو افتراضية مختلفة.
(399) Almost all systems, devices and endpoints and many communications and network devices retain some data in their circuits even after the power is turned off.
(399) تحتفظ جميع الأنظمة والأجهزة ونقاط النهاية والعديد من أجهزة الاتصالات والشبكات تقريبًا ببعض البيانات في دوائرها حتى بعد انقطاع التيار الكهربائي.
(400) This is known as data remnants.
(400) يُعرف هذا ببقايا البيانات.
(401) Planning for ways to deal with it and contain or mitigate the risk of unauthorized disclosure should start doing asset planning, development and acquisition.
(401) التخطيط لطرق التعامل معها واحتواء أو تخفيف مخاطر الكشف غير المصرح به يجب أن يبدأ في تخطيط الأصول وتطويرها وحيازتها.
(402) Managing the diploid asset includes ongoing security assessment.
(402) تتضمن إدارة الأصول الثنائية التقييم الأمني المستمر.
(403) Does its specified security features or needs still work effectively? Has the threat landscape changed, requiring new or modified information security measures for this asset? Monitoring for performance and security is a vital part of managing the asset.
(403) هل لا تزال ميزاته أو احتياجاته الأمنية المحددة تعمل بفعالية؟ هل تغير مشهد التهديدات، مما يتطلب اتخاذ تدابير جديدة أو معدلة لأمن المعلومات لهذا الأصل؟ تعد مراقبة الأداء والأمان جزءًا حيويًا من إدارة الأصول.
(404) Recovery and continuity planning and operations also take place as managed activities during this stage to help ensure that the organization can recover from an incident or disaster, restore functionality and continue to perform business operations.
(404) يتم أيضًا التخطيط للعمليات والتعافي والاستمرارية كأنشطة مُدارة خلال هذه المرحلة للمساعدة في ضمان قدرة المنظمة على التعافي من حادث أو كارثة واستعادة الوظائف ومواصلة أداء العمليات التجارية.
(405) This usually involves archiving of information both for backup and restore operations along with meeting historical or legal data retention needs.
(405) يتضمن هذا عادةً أرشفة المعلومات لعمليات النسخ الاحتياطي والاستعادة إلى جانب تلبية احتياجات الاحتفاظ بالبيانات التاريخية أو القانونية.
(406) Retiring the asset addresses all aspects of disposal and destruction which may be needed to address any data remnants issues.
(406) يؤدي سحب الأصل من الخدمة إلى معالجة جميع جوانب التخلص والتدمير التي قد تكون ضرورية لمعالجة أي مشكلات متعلقة ببقايا البيانات.
(407) Disposal of data is often subject to legal, regulatory and contractual compliance mandates.
(407) غالبًا ما يخضع التخلص من البيانات لتفويضات الامتثال القانونية والتنظيمية والتعاقدية.
(408) This will often require the right technical approach to sanitization or zero ionization techniques for storage devices or other appropriate data distraction techniques, along with the record-keeping to show that disposal has been done properly.
(408) سيتطلب هذا غالبًا اتباع النهج الفني الصحيح للتطهير أو تقنيات التأين الصفري لأجهزة التخزين أو غيرها من تقنيات تشتيت البيانات المناسبة، إلى جانب حفظ السجلات لإظهار أن التخلص قد تم بشكل صحيح.
(409) This phase also includes any defensive briefing of end-users or other staff members regarding any needs to maintain security measures regarding the about to be retired asset.
(409) تتضمن هذه المرحلة أيضًا أي إحاطة دفاعية للمستخدمين النهائيين أو الموظفين الآخرين فيما يتعلق بأي احتياجات للحفاظ على التدابير الأمنية فيما يتعلق بالأصل الذي على وشك التقاعد.
(410) Before looking further into how we determine the needed level of security controls, let’s take a second look at the IT asset lifecycle.
(410) قبل النظر بشكل أكبر في كيفية تحديد المستوى المطلوب من ضوابط الأمان، دعنا نلقي نظرة ثانية على دورة حياة أصول تكنولوجيا المعلومات.
(411) Comparing the planned and discovery model suggests that the first step in each has something in common and that is making an inventory, catalog or registry of all the information assets that the organization is aware of, whether they already exist or there’s a wish list or need to create or acquire them.
(411) تشير مقارنة نموذج التخطيط والاكتشاف إلى أن الخطوة الأولى في كل منهما لديها شيء مشترك وهو إجراء جرد أو كتالوج أو تسجيل لجميع أصول المعلومات التي تدركها المنظمة، سواء كانت موجودة بالفعل أو هناك رغبة القائمة أو الحاجة إلى إنشائها أو الحصول عليها.
(412) This is the first step in any asset management process and it requires that we identify and locate all assets of interests, including and especially the information assets.
(412) هذه هي الخطوة الأولى في أي عملية لإدارة الأصول وتتطلب منا تحديد وتحديد جميع أصول المصالح، بما في ذلك أصول المعلومات على وجه الخصوص.
(413) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/e6DvL/information-asset-inventory
(413) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/e6DvL/information-asset-inventory
(414) At this point, and for the rest of this chapter, let’s narrow our focus down to just the set of data or information assets.
(414) في هذه المرحلة، وفي بقية هذا الفصل، دعونا نحصر تركيزنا في مجموعة البيانات أو أصول المعلومات فقط.
(415) The intangible sets of ideas, numbers, values or relationships that are the lifeblood of the digital organization.
(415) المجموعات غير الملموسة من الأفكار أو الأرقام أو القيم أو العلاقات التي تمثل شريان الحياة للمنظمة الرقمية.
(416) Many information asset inventories are produced and organized in terms of the business processes they support or are involved with, and this provides a useful starting point for invest investigation.
(416) يتم إنتاج العديد من قوائم جرد أصول المعلومات وتنظيمها من حيث العمليات التجارية التي تدعمها أو تشارك فيها، وهذا يوفر نقطة بداية مفيدة للتحقيق في الاستثمار.
(417) An organization’s annual budget is an example of an information asset.
(417) تعتبر الميزانية السنوية للمنظمة مثالاً لأصول المعلومات.
(418) This budget probably exists as many different data entries within a number of databases, some of which are directly managed by financial applications.
(418) من المحتمل أن تكون هذه الميزانية موجودة مثل العديد من إدخالات البيانات المختلفة ضمن عدد من قواعد البيانات، والتي تتم إدارة بعضها مباشرة عن طريق التطبيقات المالية.
(419) The overall budget, planning, review, and approval process may produce any number of working products, from what if spreadsheet illustrations of spending plans to more complex simulations of revenues and costs.
(419) قد تنتج عملية الموازنة العامة والتخطيط والمراجعة والموافقة أي عدد من منتجات العمل، بدءًا من الرسوم التوضيحية لجداول البيانات لخطط الإنفاق وحتى عمليات المحاكاة الأكثر تعقيدًا للإيرادات والتكاليف.
(420) Taken together, all of these files, databases, and printed versions of the same make up the annual budget information asset.
(420) تشكل جميع هذه الملفات وقواعد البيانات والإصدارات المطبوعة منها معًا أصول معلومات الموازنة السنوية.
(421) This may require an inventory entry for each year’s budget, including those in archival storage.
(421) قد يتطلب ذلك إدخال مخزون لموازنة كل سنة، بما في ذلك تلك الموجودة في مخزن الأرشيف.
(422) So that planners and security analysts can appreciate how many different kinds of data objects and how many locations might need some kind of security protections.
(422) حتى يتمكن المخططون ومحللو الأمن من تقدير عدد أنواع كائنات البيانات المختلفة وعدد المواقع التي قد تحتاج إلى نوع من الحماية الأمنية.
(423) You’ll note that systems enumeration tools should be able to identify what applications are installed.
(423) ستلاحظ أن أدوات تعداد الأنظمة يجب أن تكون قادرة على تحديد التطبيقات المثبتة.
(424) Who their authorized users are, and even where in the storage networks and subsystems the various files used by the databases that support those applications are residing.
(424) من هم المستخدمون المصرح لهم، وحتى مكان وجود الملفات المختلفة التي تستخدمها قواعد البيانات التي تدعم تلك التطبيقات في شبكات التخزين والأنظمة الفرعية.
(425) But those tools can’t tell you where this year’s budget as a set of information that needs just enough security protection is kept.
(425) لكن هذه الأدوات لا يمكنها إخبارك بمكان حفظ ميزانية هذا العام كمجموعة من المعلومات التي تحتاج إلى حماية أمنية كافية.
(426) Nor can enumeration tools help you find all the spreadsheets, document files that contain spreadsheets, or all the emails that discuss the arguments for the decisions that get reflected in the approved budget.
(426) ولا يمكن لأدوات التعداد مساعدتك في العثور على جميع جداول البيانات أو ملفات المستندات التي تحتوي على جداول بيانات أو جميع رسائل البريد الإلكتروني التي تناقش الحجج الخاصة بالقرارات التي تنعكس في الميزانية المعتمدة.
(427) This case is unfortunately quite typical of most modern organizations.
(427) هذه الحالة للأسف نموذجية تمامًا لمعظم المنظمات الحديثة.
(428) Building the information asset inventory from a top down perspective as a result needs to start with knowing the set of critical business processes and using them to identify the sets of information they need as input.
(428) بناء مخزون أصول المعلومات من منظور من أعلى إلى أسفل، ونتيجة لذلك، يجب أن يبدأ بمعرفة مجموعة العمليات التجارية الهامة واستخدامها لتحديد مجموعات المعلومات التي يحتاجونها كمدخلات.
(429) As retained corporate memory, and ensuring they produce as outputs to other business units, to outside stakeholders and as updates to the process’s own memory.
(429) كذاكرة الشركة المحتفظ بها، والتأكد من أنها تنتج كمخرجات لوحدات الأعمال الأخرى، ولأصحاب المصلحة الخارجيين وكتحديثات لذاكرة العملية الخاصة.
(430) Other forms of information assets may be easier to identify, locate and add to the inventory.
(430) قد يكون من الأسهل تحديد الأشكال الأخرى لأصول المعلومات وتحديد موقعها وإضافتها إلى المخزون.
(431) This could include process control data such as logs of instrument readings and commands, are generally produced as sets of files by the control systems themselves.
(431) يمكن أن يشمل ذلك بيانات التحكم في العمليات مثل سجلات قراءات الأجهزة والأوامر، والتي يتم إنتاجها عمومًا كمجموعات من الملفات بواسطة أنظمة التحكم نفسها.
(432) These might be organized and cataloged by systems, by products, or by some other characteristic.
(432) قد يتم تنظيمها وفهرستها حسب الأنظمة أو حسب المنتجات أو حسب بعض الخصائص الأخرى.
(433) Another example is network and system security information and monitoring data may be produced by almost every device and application on the organization’s networks or even customer transaction data.
(433) مثال آخر هو أن معلومات أمان الشبكة والنظام وبيانات المراقبة قد يتم إنتاجها بواسطة كل جهاز وتطبيق تقريبًا على شبكات المؤسسة أو حتى بيانات معاملات العملاء.
(434) Including access to their online or kiosk service points, are usually kept in the applications and databases that support them.
(434) بما في ذلك الوصول إلى نقاط الخدمة عبر الإنترنت أو الأكشاك، عادةً ما يتم الاحتفاظ بها في التطبيقات وقواعد البيانات التي تدعمها.
(435) Central to the task of making an information asset inventory is being able to relate a business or organizational process.
(435) من الأمور المركزية في مهمة إجراء جرد أصول المعلومات القدرة على ربط عملية تجارية أو تنظيمية.
(436) And its respective priority and risk management to a set of information needed, produced, modified, output, or retained by that process.
(436) وتتعلق الأولوية وإدارة المخاطر بمجموعة المعلومات المطلوبة أو المنتجة أو المعدلة أو المخرجة أو التي تحتفظ بها تلك العملية.
(437) After all, most business owners and operators think in terms of doing taking action manufacturing or using goods and systems moving materials or people to different locations.
(437) بعد كل شيء، يفكر معظم أصحاب الأعمال والمشغلين في القيام بإجراءات التصنيع أو استخدام السلع والأنظمة التي تنقل المواد أو الأشخاص إلى مواقع مختلفة.
(438) They recognize that taking these actions requires decisions and decisions need and produce information as do the actions themselves, usually.
(438) إنهم يدركون أن اتخاذ هذه الإجراءات يتطلب قرارات وأن القرارات تحتاج إلى معلومات وتنتجها كما تفعل الإجراءات نفسها عادةً.
(439) But their focus as business operators has long been on the actions and the things and that’s on the processes that people need to do to make those actions take place.
(439) لكن تركيزهم كمشغلي أعمال كان منذ فترة طويلة على الإجراءات والأشياء وهذا على العمليات التي يحتاج الناس إلى القيام بها لتحقيق تلك الإجراءات.
(440) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/MJ480/classification-and-categorization-levels-and-labels
(440) https://www.coursera.org/learn/sscp-4th-ed-course-1/lecture/MJ480/classification-and-categorization-levels-and-labels
(441) These two words, classification and categorization, are often used to describe several things at once.
(441) غالبًا ما تستخدم هاتان الكلمتان، التصنيف والتصنيف، لوصف عدة أشياء في وقت واحد.
(442) As verbs, they show how organizations decide what set of information security controls are needed to preserve and protect the various information assets of an organization.
(442) كأفعال، فإنها توضح كيف تحدد المنظمات مجموعة ضوابط أمن المعلومات اللازمة للحفاظ على أصول المعلومات المختلفة للمؤسسة وحمايتها.
(443) As nouns, they are the labels assigned to those assets to concisely reflect the types of security controls required to achieve the right levels of protection.
(443) كأسماء، فهي التسميات المخصصة لتلك الأصول لتعكس بإيجاز أنواع الضوابط الأمنية المطلوبة لتحقيق المستويات الصحيحة من الحماية.
(444) Unfortunately, the information security profession lacks a consistent and coherent definition of either of these words, even though it does seem to agree on what these processes need to accomplish.
(444) لسوء الحظ، تفتقر مهنة أمن المعلومات إلى تعريف ثابت ومتماسك لأي من هاتين الكلمتين، على الرغم من أنها تبدو متفقة على ما تحتاج هذه العمليات إلى تحقيقه.
(445) Several different schools of thought or traditions of use have inadvertently created some of this confusion.
(445) خلقت العديد من المدارس الفكرية أو تقاليد الاستخدام المختلفة عن غير قصد بعضًا من هذا الالتباس.
(446) Many nations, military and national security communities use classification to describe the assignment of security labels, such as secret, top secret, and even for official use only to information assets.
(446) تستخدم العديد من الدول والمجتمعات العسكرية والأمنية الوطنية التصنيف لوصف تخصيص التصنيفات الأمنية، مثل سري وسري للغاية وحتى للاستخدام الرسمي فقط لأصول المعلومات.
(447) Within these communities, long established policies, procedures, and traditions emphasize the confidentiality of information over almost any other consideration.
(447) داخل هذه المجتمعات، تؤكد السياسات والإجراءات والتقاليد الراسخة منذ فترة طويلة على سرية المعلومات أكثر من أي اعتبار آخر تقريبًا.
(448) Classified information almost by definition, is information that must first be kept from unauthorized disclosure.
(448) المعلومات السرية بحكم تعريفها تقريبًا هي المعلومات التي يجب أولاً الحفاظ عليها من الكشف غير المصرح به.
(449) Other information security attributes such as availability, integrity or non-repudiation, are of course important, but they are achieved as they serve the need for confidentiality.
(449) تعد سمات أمن المعلومات الأخرى، مثل التوفر أو النزاهة أو عدم التنصل، مهمة بالطبع، ولكن يتم تحقيقها لأنها تخدم الحاجة إلى السرية.
(450) Other national and regional government policies use categorization to describe the assignment of security labels such as personal health information, trade secret or proprietary.
(450) تستخدم السياسات الحكومية الوطنية والإقليمية الأخرى التصنيف لوصف تخصيص العلامات الأمنية مثل المعلومات الصحية الشخصية أو الأسرار التجارية أو الملكية.
(451) Usually as part of implementing laws and regulations for various government programs.
(451) عادة كجزء من تطبيق القوانين واللوائح الخاصة بالبرامج الحكومية المختلفة.
(452) Preferences for terminology within different communities also compound this confusion.
(452) كما أن تفضيلات المصطلحات داخل المجتمعات المختلفة تؤدي إلى تفاقم هذا الالتباس.
(453) Comparing publications by NIST or other US agencies with ISO, ISO/IEC or other nations standards bodies reveals many instances of very similar ideas being described in very different terms.
(453) تكشف مقارنة منشورات NIST أو وكالات أمريكية أخرى مع ISO أو ISO/IEC أو هيئات معايير الدول الأخرى عن العديد من الأمثلة لأفكار متشابهة جدًا يتم وصفها بمصطلحات مختلفة جدًا.
(454) Across the private sector, at least that part of it that does not do business with national governments, their militaries or other intelligence and security communities, there is little common agreement on what to call this security labeling process.
(454) عبر القطاع الخاص، على الأقل هذا الجزء منه الذي لا يتعامل مع الحكومات الوطنية أو جيوشها أو غيرها من مجتمعات الاستخبارات والأمن، لا يوجد اتفاق مشترك حول ما يمكن تسميته بعملية التصنيف الأمني هذه.
(455) It is also very important to realize that for decades, most of the information security conversation about classification and categorization has focused almost exclusively on just the three attributes of the CIA triad.
(455) ومن المهم جدًا أيضًا إدراك أنه على مدى عقود، ركزت معظم محادثات أمن المعلومات حول التصنيف والتصنيف بشكل حصري تقريبًا على السمات الثلاث لثالوث وكالة المخابرات المركزية فقط.
(456) This has the unfortunate consequence of downplaying or ignoring vital business and government security needs for safety, privacy, authenticity of data commands and messages and non-repudiation.
(456) وهذا له نتيجة مؤسفة تتمثل في التقليل من أهمية أو تجاهل الاحتياجات الحيوية للأعمال التجارية والحكومية فيما يتعلق بالسلامة والخصوصية وصحة أوامر البيانات والرسائل وعدم الإنكار.
(457) One way to cut through this fog is to focus attention on the creating, reading, updating, and deleting, CRUD.
(457) إحدى الطرق لتجاوز هذا الضباب هي تركيز الاهتمام على إنشاء وقراءة وتحديث وحذف CRUD.
(458) Actions of an information asset or the datasets and data items that contains creating, updating, and deleting data items or datasets have direct bearing on the integrity, availability, authenticity, and even the non-ruptured ability of that data.
(458) إن إجراءات أصل المعلومات أو مجموعات البيانات وعناصر البيانات التي تحتوي على إنشاء وتحديث وحذف عناصر البيانات أو مجموعات البيانات لها تأثير مباشر على سلامة تلك البيانات وتوافرها وصحتها وحتى عدم تمزقها.
(459) Confidentiality, of course, requires control over which processes and people can read the information and thereby have the ability to retain it in internal memory, copy it or send it elsewhere.
(459) تتطلب السرية بالطبع التحكم في العمليات والأشخاص الذين يمكنهم قراءة المعلومات وبالتالي لديهم القدرة على الاحتفاظ بها في الذاكرة الداخلية أو نسخها أو إرسالها إلى مكان آخر.
(460) Let’s consider some examples.
(460) لننظر في بعض الأمثلة.
(461) Hurricane forecasting and evacuation alerting processes published the raw data and the forecasts generated from that data.
(461) نشرت عمليات التنبؤ بالأعاصير والإنذار بالإخلاء البيانات الأولية والتنبؤات الناتجة عن تلك البيانات.
(462) The believability of the forecast depends upon the weather agencies transparency regarding their processes, data, the models that they use and how they make decisions to issue whether alerts and evacuation notices, nothing is confidential, but everything must be protected so that its availability, integrity, and authenticity is assured.
(462) تعتمد مصداقية التوقعات على شفافية وكالات الأرصاد الجوية فيما يتعلق بعملياتها وبياناتها والنماذج التي تستخدمها وكيفية اتخاذ القرارات لإصدار التنبيهات وإشعارات الإخلاء، لا يوجد شيء سري، ولكن يجب حماية كل شيء بحيث يكون يتم ضمان التوافر والنزاهة والأصالة.
(463) Non-repudiation is also critical to assert and protect.
(463) يعد عدم الإنكار أمرًا بالغ الأهمية أيضًا للتأكيد والحماية.
(464) Imagine the effect on public confidence if a National Weather Service could attempt to deny issuing an evacuation or safe to return warning to the public.
(464) تخيل التأثير على ثقة الجمهور إذا حاولت خدمة الأرصاد الجوية الوطنية رفض إصدار تحذير بالإخلاء أو العودة الآمنة للجمهور.
(465) Another example is postal mail contents and envelope data.
(465) مثال آخر هو محتويات البريد العادي وبيانات المغلف.
(466) In most jurisdictions, the address information for sender and recipient on the outside of the envelope or parcel, it’s considered public data or at least non-private.
(466) في معظم الولايات القضائية، تعتبر معلومات عنوان المرسل والمستلم الموجودة على الجزء الخارجي من المظروف أو الطرد بيانات عامة أو على الأقل غير خاصة.
(467) While the contents of the envelope or package itself are considered private.
(467) بينما تعتبر محتويات المظروف أو الطرد نفسه خاصة.
(468) Postal systems take reasonable and prudent means to protect the integrity of the envelope data, but not its confidentiality.
(468) تتخذ الأنظمة البريدية وسائل معقولة وحكيمة لحماية سلامة بيانات المغلف، ولكن ليس سريتها.
(469) Confidentiality of the contents is assured to the degree that the Postal Service does not deliver it to an incorrect addressee.
(469) يتم ضمان سرية المحتويات إلى درجة عدم قيام الخدمة البريدية بتسليمها إلى مرسل إليه غير صحيح.
(470) As a result, registered mail services can only attest that an envelope was sent and received, but can say nothing about the contents of that envelope.
(470) ونتيجة لذلك، لا يمكن لخدمات البريد المسجلة إلا أن تشهد على إرسال واستلام مظروف، ولكن لا يمكنها قول أي شيء عن محتويات ذلك المظروف.
(471) Where this brings us to, is making an impact assessment which is central to risk management.
(471) ما يقودنا إليه هذا هو إجراء تقييم الأثر وهو أمر أساسي لإدارة المخاطر.
(472) Before any labels can be attached two sets of data that indicate its sensitivity or handling requirements, the impact or loss to the organization needs to be assessed.
(472) قبل إرفاق أي تسميات بمجموعتين من البيانات التي تشير إلى حساسيتها أو متطلبات التعامل معها، يجب تقييم التأثير أو الخسارة التي تلحق بالمنظمة.
(473) This is our first definition.
(473) هذا هو تعريفنا الأول.
(474) Classification is the process of recognizing the impacts to the organization if it’s information suffers any security compromise to its confidentiality, integrity, availability, non-repudiation, authenticity, privacy or safety-related characteristics.
(474) التصنيف هو عملية التعرف على التأثيرات على المنظمة إذا كانت معلوماتها تعاني من أي تهديد أمني لسريتها أو سلامتها أو توفرها أو عدم التنصل أو صحتها أو خصوصيتها أو خصائصها المتعلقة بالسلامة.
(475) Classifications are derived from the compliance mandates the organization must operate within whether these be law, regulation, contracts specified standards, or other business expectations.
(475) يتم اشتقاق التصنيفات من تفويضات الامتثال التي يجب على المنظمة أن تعمل ضمنها سواء كانت قانونًا أو لائحة أو معايير محددة للعقود أو توقعات أعمال أخرى.
(476) One classification might indicate minor may disrupt some processes, while a more extreme one might be grave, could lead to loss of life or threaten ongoing existence of the organization.
(476) قد يشير أحد التصنيفات إلى أن التصنيف البسيط قد يعطل بعض العمليات، في حين أن التصنيف الأكثر تطرفًا قد يكون خطيرًا، وقد يؤدي إلى خسائر في الأرواح أو يهدد استمرار وجود المنظمة.
(477) You’ll note that a good impact statement links a summary term with a description.
(477) ستلاحظ أن بيان التأثير الجيد يربط مصطلحًا موجزًا بالوصف.
(478) These descriptions should reflect the ways in which the organization has chosen or been mandated to characterize and manage risks.
(478) يجب أن تعكس هذه الأوصاف الطرق التي اختارت بها المنظمة أو تم تكليفها بها لتوصيف المخاطر وإدارتها.
(479) Note that a classification is not a label.
(479) لاحظ أن التصنيف ليس تسمية.
(480) Security labels are part of implementing controls to protect classified information.
(480) تعتبر الملصقات الأمنية جزءًا من الضوابط التنفيذية لحماية المعلومات السرية.
(481) The immediate benefit of classification is that, it can lead to more efficient design and implementation of security processes if we can treat the protection needs for all similarly classified information with the same control strategy.
(481) تتمثل الفائدة المباشرة للتصنيف في أنه يمكن أن يؤدي إلى تصميم وتنفيذ عمليات أمنية أكثر كفاءة إذا تمكنا من معالجة احتياجات الحماية لجميع المعلومات المصنفة بشكل مماثل بنفس استراتيجية التحكم.
(482) This is our second definition.
(482) هذا هو تعريفنا الثاني.
(483) Categorization is the process of grouping sets of data, information or knowledge that have comparable sensitivities, impact or loss ratings, and have similar security needs, mandated by law, contracts or other compliance regimes.
(483) التصنيف هو عملية تجميع مجموعات من البيانات أو المعلومات أو المعرفة التي لها حساسيات أو تقييمات تأثير أو خسارة قابلة للمقارنة، ولها احتياجات أمنية مماثلة، بموجب القانون أو العقود أو أنظمة الامتثال الأخرى.
(484) These definitions are as directly applicable to small and medium-sized enterprises or businesses, SMEs or SMBs, as they are to defense contractors, government agencies, and major globe spanning enterprises in the private sector.
(484) تنطبق هذه التعريفات بشكل مباشر على المؤسسات أو الشركات الصغيرة والمتوسطة الحجم أو الشركات الصغيرة والمتوسطة أو الشركات الصغيرة والمتوسطة، كما تنطبق على مقاولي الدفاع والوكالات الحكومية والمؤسسات العالمية الكبرى في القطاع الخاص.
(485) While they are consistent with NIST special publication 800-60R1, FIPS 199, GDPR, and many ISO/IEC standards, their benefit to the organization does not depend upon using those as compliance frameworks.
(485) على الرغم من أنها تتوافق مع منشور NIST الخاص رقم 800-60R1 وFIPS 199 وGDPR والعديد من معايير ISO/IEC، إلا أن فائدتها للمؤسسة لا تعتمد على استخدامها كأطر امتثال.
(486) Instead, the benefits starts from flowing down from the compliance regimes that establish the boundaries within which the organization must operate.
(486) بدلاً من ذلك، تبدأ الفوائد من التدفق من أنظمة الامتثال التي تحدد الحدود التي يجب أن تعمل المنظمة ضمنها.
(487) With these definitions in hand, the organization can then go on to create the control processes such as policies and security baselines as part of implementing their security programs.
(487) مع وجود هذه التعريفات في متناول اليد، يمكن للمنظمة بعد ذلك الاستمرار في إنشاء عمليات التحكم مثل السياسات وخطوط الأساس الأمنية كجزء من تنفيذ برامج الأمان الخاصة بها.
(488) Different organizations and countries have different labels.
(488) المنظمات والبلدان المختلفة لها تسميات مختلفة.
(489) Many such sensitivity level examples can be found in various security blogs, which all tend to suggest the use of three or four levels of information sensitivity from highest to lowest, making sure you choose the best one that suits your organization.
(489) يمكن العثور على العديد من أمثلة مستويات الحساسية هذه في مدونات الأمان المختلفة، والتي تميل جميعها إلى اقتراح استخدام ثلاثة أو أربعة مستويات من حساسية المعلومات من الأعلى إلى الأدنى، مع التأكد من اختيار أفضل مستوى يناسب مؤسستك.
(490) Sensitivity levels and labels capture, in one or two words, a simple, easy to recognize warning statement as to the possible harm that could come to the organization if the data is compromised in any way.
(490) تلتقط مستويات الحساسية والتسميات، في كلمة أو كلمتين، بيان تحذير بسيط وسهل التعرف عليه فيما يتعلق بالضرر المحتمل الذي قد يلحق بالمنظمة إذا تم اختراق البيانات بأي شكل من الأشكال.
(491) Note that sensitivity can embrace both classification and categorization concerns.
(491) لاحظ أن الحساسية يمكن أن تشمل كلاً من اهتمامات التصنيف والتصنيف.
(492) Many such sensitivity level examples can be found in various security blogs, which all tend to suggest the use of three or four levels of information sensitivity from highest to lowest.
(492) يمكن العثور على العديد من أمثلة مستويات الحساسية هذه في مدونات الأمان المختلفة، والتي تميل جميعها إلى اقتراح استخدام ثلاثة أو أربعة مستويات من حساسية المعلومات من الأعلى إلى الأدنى.
(493) Compromise of data with a sensitivity label of highly restricted could possibly put the organization’s future existence at risk.
(493) قد يؤدي اختراق البيانات التي تحمل علامة حساسية مقيدة للغاية إلى تعريض وجود المنظمة المستقبلي للخطر.
(494) Compromise of this data could lead to substantial loss of life, injury or property damage, and the litigation and claims that would follow.
(494) يمكن أن يؤدي اختراق هذه البيانات إلى خسائر كبيرة في الأرواح أو الإصابة أو تلف الممتلكات، وما يتبع ذلك من دعاوى قضائية ومطالبات.
(495) In contrast, data such as unrestricted public data is already published, so no harm can come from further dissemination or disclosure.
(495) في المقابل، يتم بالفعل نشر بيانات مثل البيانات العامة غير المقيدة، لذلك لا يمكن أن يحدث أي ضرر من المزيد من النشر أو الكشف.
(496) The Center for Internet Security, for example, offers three levels of sensitive, business confidential, and public as a way of simplifying, classifying low, medium, and high levels.
(496) يقدم مركز أمن الإنترنت، على سبيل المثال، ثلاثة مستويات حساسة وسرية للأعمال وعامة كوسيلة لتبسيط وتصنيف المستويات المنخفضة والمتوسطة والعالية.
(497) We have discussed data sensitivity levels and labels, now let us move on to data categorization levels.
(497) لقد ناقشنا مستويات حساسية البيانات وتسمياتها، والآن دعونا ننتقل إلى مستويات تصنيف البيانات.
(498) They are often used to reflect the source or nature of the security requirements that dictate their use.
(498) تُستخدم غالبًا لتعكس مصدر أو طبيعة المتطلبات الأمنية التي تملي استخدامها.
(499) These often do not fit neatly into a hierarchy of most damaging to least damaging as sensitivity concerns do.
(499) هذه في كثير من الأحيان لا تتناسب تمامًا مع التسلسل الهرمي من الأكثر ضررًا إلى الأقل ضررًا كما تفعل المخاوف المتعلقة بالحساسية.
(500) For example, concerns such as human safety, equipment, and property safety, and the protection of personally identifiable information, PII, would be categorized as critical, as compromises to these areas could lead to physical property or systems being damaged or in the case of humans, safety, injury or loss of life.
(500) على سبيل المثال، سيتم تصنيف المخاوف مثل سلامة الإنسان، والمعدات، وسلامة الممتلكات، وحماية معلومات التعريف الشخصية، على أنها حرجة، لأن التنازلات في هذه المجالات قد تؤدي إلى إتلاف الممتلكات المادية أو الأنظمة أو حالة البشر أو السلامة أو الإصابة أو فقدان الحياة.
