دليل اعتماد وزارة الدفاع الأمريكية رقم 8570: متطلبات أدوار IAT وIAM وIASAE وCSSP

تعتمد وزارة الدفاع الأمريكية (البنتاغون) على قوة عاملة سيبرانية عالية الكفاءة والمهارة لتأمين شبكاتها، والدفاع عن المهام الحيوية، وحماية مصالح الأمن القومي. وقد أرست توجيهات وزارة الدفاع رقم 8570 الإطار الأصلي لمتطلبات التدريب والتأهيل وإدارة القوى العاملة في مجال ضمان المعلومات، والتي لا تزال تُوجه العاملين في مجال الأمن السيبراني في جميع أنحاء وزارة الدفاع، حتى مع انتقال المسؤوليات بموجب توجيهات وزارة الدفاع رقم 8140.

يقدم هذا الدليل نظرة عامة شاملة ورسمية على متطلبات التأهيل الأساسية لتوجيهات وزارة الدفاع رقم 8570 لأربع فئات رئيسية من القوى العاملة في مجال الأمن السيبراني: فني ضمان المعلومات، وإدارة ضمان المعلومات، وهندسة وبنية أنظمة ضمان المعلومات، ومقدم خدمات الأمن السيبراني. وهو مُصمم ليكون مرجعًا للمتعاقدين، والموظفين المدنيين في وزارة الدفاع، والعسكريين، وقادة المؤسسات المسؤولين عن ضمان امتثال القوى العاملة.

1. الخلفية: الغرض من معيار وزارة الدفاع الأمريكية 8570

صدر توجيه وزارة الدفاع الأمريكية رقم 8570.01-M لضمان امتلاك جميع العاملين في مجال أمن المعلومات والأمن السيبراني للمعرفة والمهارات والشهادات المعترف بها في هذا المجال، واللازمة لحماية أنظمة المعلومات التابعة لوزارة الدفاع. وبموجب هذا المعيار، وضعت الوزارة ما يلي:

• مصفوفة موحدة للشهادات الأساسية
• فئات ومستويات موحدة للقوى العاملة
• اشتراط حصول العاملين على الشهادات المعتمدة والحفاظ عليها
• إلزام المقاولين بالتنسيق والامتثال
• هيكل مؤهلات موحد لجميع مكونات وزارة الدفاع

على الرغم من أن معيار 8570 يُدمج تدريجيًا في النظام البيئي المُحدَّث 8140، إلا أن نظام تصنيفه (IAT، IAM، IASAE، CSSP) لا يزال الأساس لتعيين العاملين في وزارة الدفاع والتحقق من صحة شهاداتهم.

2. فئات القوى العاملة وفقًا لمعيار وزارة الدفاع الأمريكية 8570

ينظم معيار 8570 العاملين في مجال الأمن السيبراني في أربع فئات رئيسية، لكل منها واجبات ومسؤوليات محددة.

تشمل الفئات ما يلي:

• فني ضمان المعلومات (IAT)
• إدارة ضمان المعلومات (IAM)
• هندسة وبنية أنظمة ضمان المعلومات (IASAE)
• مزود خدمات الأمن السيبراني (CSSP)

وتُقسّم كل فئة إلى مستويات بناءً على مستوى التعقيد والمسؤولية.

3. فني ضمان المعلومات (IAT)

يُؤدي فنيو ضمان المعلومات (IAT) مهامًا فنية عملية في مجال الأمن السيبراني وضمان المعلومات. وتشمل مسؤولياتهم ما يلي:

• تطبيق وصيانة ضوابط الأمان
• تهيئة وإدارة أنظمة المعلومات التابعة لوزارة الدفاع الأمريكية
• دعم عمليات الدفاع عن الشبكة
• إدارة ثغرات النظام والشبكة

يجب على فنيي ضمان المعلومات (IAT) إثبات كفاءة فنية تتناسب مع المستوى المُحدد لهم.

فني أمن المعلومات - المستوى الأول

الأدوار النموذجية

• فني دعم فني
• مسؤول أنظمة مبتدئ
• فني دعم شبكات

المسؤوليات الرئيسية

• تهيئة الأجهزة الأساسية
• الصيانة الدورية للأنظمة
• تطبيق إجراءات الأمان الأولية

الشهادات الأساسية المعتمدة

• شهادة CompTIA A+
• شهادة CompTIA Network+
• شهادة CCNA (مساعد شبكات معتمد من سيسكو)

فني أمن المعلومات - المستوى الثاني

الأدوار النموذجية

• مسؤول أنظمة
• مسؤول شبكات
• محلل أمن سيبراني متوسط المستوى

المسؤوليات الرئيسية

• تطبيق سياسات أمن وزارة الدفاع الأمريكية
• تهيئة أمان الأنظمة
• اكتشاف الحوادث والإبلاغ عنها

الشهادات الأساسية المعتمدة

• شهادة CompTIA Security+
• شهادة CompTIA CySA+
• شهادة GICSP
• شهادة CCNA Security

فني أمن المعلومات - المستوى الثالث

الأدوار النموذجية

• مسؤول أنظمة أول
• مهندس أمن سيبراني أول
• أمن الشبكات مهندس

المسؤوليات الرئيسية

• عمليات الدفاع المتقدمة عن الأنظمة
• تطبيق بنية الأمن
• دمج ضوابط أمن المؤسسة

الشهادات الأساسية المعتمدة

• شهادة CASP+ (ممارس أمن متقدم معتمد من CompTIA)

• شهادة CISSP (محترف معتمد في أمن نظم المعلومات)

• شهادة GCED (مدافع مؤسسي معتمد من GIAC)

4. إدارة ضمان المعلومات (IAM)

يشرف موظفو إدارة ضمان المعلومات على برامج الأمن السيبراني، ويديرون عمليات ضمان المعلومات، ويضمنون الامتثال لسياسات وزارة الدفاع الأمريكية. وتشمل مسؤولياتهم الإدارية والتنظيمية والإشرافية ما يلي:

إدارة ضمان المعلومات مستوى IAM الأول

الأدوار النموذجية

• مدير أمن (مبتدئ)
• مسؤول ضمان المعلومات

المسؤوليات الرئيسية

• إدارة برنامج الأمن المحلي
• الإشراف على صلاحيات المستخدمين
• تطبيق معايير الامتثال الأساسية

الشهادات الأساسية المعتمدة

• CAP (محترف معتمد في مجال التخويل)
• GSLC (شهادة قيادة الأمن من GIAC)

مستوى IAM الثاني

الأدوار النموذجية

• مدير أمن سيبراني متوسط المستوى
• مشرف برنامج الأمن السيبراني
• مدير نظم المعلومات

المسؤوليات الرئيسية

• الإشراف على عمليات ضمان المعلومات في المؤسسة
• إدارة الثغرات والمخاطر
• تطبيق السياسات ومراقبتها

الشهادات الأساسية المعتمدة

• CISM (مدير أمن معلومات معتمد)
• CISSP

مستوى IAM الثالث

الأدوار النموذجية

• مدير أمن سيبراني أول
• رئيس أمن المعلومات (CISO)
• قائد أمن المؤسسة

المسؤوليات الرئيسية

• الإشراف على أمن المعلومات على مستوى المؤسسة
• وضع السياسات الاستراتيجية
• تخطيط الموارد وضمان الامتثال

الشهادات الأساسية المعتمدة

• شهادة أخصائي أمن نظم المعلومات المعتمد (CISSP)
• شهادة دورة حياة البرمجيات العالمية (GSLC)

5. هندسة وتصميم أنظمة أمن المعلومات (IASAE)

يركز فريق هندسة وتصميم أنظمة أمن المعلومات (IASAE) على تصميم وهندسة وبناء أنظمة معلومات آمنة. ويضمنون استيفاء أنظمة وزارة الدفاع لمتطلبات الأمن السيبراني طوال دورة حياتها.

مستويات IASAE الأول والثاني والثالث

(تُمثل هذه المستويات أدوارًا فنية متدرجة، مع بقاء الشهادات الأساسية متشابهة.)

الأدوار النموذجية

• مهندس معماري للأمن السيبراني
• مهندس أمن الأنظمة
• مهندس معماري للمؤسسات

المسؤوليات الرئيسية

• تصميم البنية
• تكامل الأمن السيبراني للأنظمة
• توريث وتعيين عناصر التحكم في إطار إدارة المخاطر (RMF)

الشهادات الأساسية المعتمدة

• CISSP-ISSAP (محترف معماري أمن نظم المعلومات)
• CISSP-ISSEP (محترف هندسة أمن نظم المعلومات)
• CSSLP (محترف معتمد في دورة حياة البرمجيات الآمنة)

تُبرهن هذه الشهادات على خبرة هندسية ومعمارية متقدمة.

6. أدوار مزود خدمات الأمن السيبراني (CSSP)

6.1 نظرة عامة

تدعم فئة مزودي خدمات الأمن السيبراني (CSSP) عمليات الدفاع السيبراني (DCO) ووظائف مراقبة الأمن. يعمل موظفو CSSP عادةً ضمن مراكز عمليات الأمن (SOCs) وفرق الاستجابة للحوادث ووحدات الدفاع السيبراني التابعة لوزارة الدفاع الأمريكية.

تشمل أدوار أخصائي أمن أنظمة الاتصالات (CSSP) ما يلي:

• محلل أمن أنظمة الاتصالات (CSSP)
• دعم البنية التحتية لأمن أنظمة الاتصالات (CSSP)
• مستجيب الحوادث لأمن أنظمة الاتصالات (CSSP)
• مدقق أمن أنظمة الاتصالات (CSSP)
• مدير أمن أنظمة الاتصالات (CSSP)

لكل دور مسؤوليات ومتطلبات اعتماد محددة.

6.2 محلل أمن أنظمة أمن الحاسوب (CSSP)

المسؤوليات

• مراقبة الشبكات
• اكتشاف الحوادث الإلكترونية
• تحليل التهديدات

الشهادات المعتمدة

• شهادة القرصنة الأخلاقية المعتمدة (CEH)
• شهادة CySA+
• شهادة GCIH

6.3 دعم البنية التحتية لأمن أنظمة أمن الحاسوب (CSSP)

المسؤوليات

• دعم الدفاع عن الشبكة
• مراقبة البنية التحتية
• تهيئة الأدوات

الشهادات المعتمدة

• شهادة Security+
• شهادة CySA+
• شهادة GNFA

6.4 مستجيب الحوادث لأمن أنظمة أمن الحاسوب (CSSP)

المسؤوليات

• تحديد الحوادث الإلكترونية
• احتواء الحوادث والقضاء عليها
• الفرز الجنائي الرقمي

الشهادات المعتمدة

• شهادة GCIH
• شهادة CEH
• شهادة GCFA

6.5 مدقق أمن أنظمة أمن الحاسوب (CSSP)

المسؤوليات

• مراجعة وتقييمات الأمن
• التحقق من الامتثال
• إدارة المخاطر وعمليات تدقيق الثغرات الأمنية

الشهادات المعتمدة

• CISA
• GSNA
• CEH

6.6 مدير برنامج أمن أنظمة الحاسوب (CSSP)

المسؤوليات

• الإشراف على عمليات مركز عمليات الدفاع (DCO)
• الإشراف على أداء مركز عمليات الأمن (SOC)
• إدارة الدفاع السيبراني للمؤسسة

الشهادات المعتمدة

• CISSP
• CISM

7. جداول الشهادات والمحافظة عليها

يجب على الموظفين المعينين في وظائف 8570 ما يلي:

• الحصول على الشهادة المطلوبة قبل التعيين أو خلال ستة أشهر منه (حسب سياسة الوحدة).

• الحفاظ على صلاحية الشهادة من خلال وحدات التعليم المستمر (CEUs) أو برامج التطوير المهني المستمر (CPEs) أو أنشطة التعليم المستمر.

• تحميل بيانات التحقق من صحة الشهادة إلى نظام إدارة القوى العاملة التابع لوزارة الدفاع الأمريكية.

قد يؤدي عدم استيفاء هذه المتطلبات أو عدم الحفاظ عليها إلى إنهاء الوظيفة أو فقدان أهلية التعاقد (للمتعاقدين).

٨. المسؤوليات التنظيمية

يجب على مكونات وزارة الدفاع الأمريكية والمتعاقدين معها ضمان ما يلي:

• مواءمة القوى العاملة مع فئة ٨٥٧٠ الصحيحة
• تحديث سجلات الاعتماد وقابليتها للتدقيق
• التزام الأفراد بالجداول الزمنية للاعتماد
• التدريب المستمر وصقل المهارات
• الامتثال الكامل لإطار عمل وزارة الدفاع الأمريكية للقوى العاملة في مجال الأمن السيبراني (DCWF)

يجب على المتعاقدين التأكد من استيفاء موظفيهم المتعاقدين لمتطلبات الاعتماد قبل بدء العمل.

٩. ملخص

لا يزال إطار عمل وزارة الدفاع الأمريكية ٨٥٧٠ حجر الزاوية في برنامج تأهيل القوى العاملة بالوزارة، ويستمر في توجيه عملية اعتماد الأفراد في ظل الانتقال إلى معيار ٨١٤٠. ومن خلال تحديد مسارات اعتماد واضحة لأدوار IAT وIAM وIASAE وCSSP، تضمن وزارة الدفاع الأمريكية وجود قوة عاملة في مجال الأمن السيبراني قادرة على تأمين وحماية الأنظمة الحيوية للمهام.

يُعدّ فهم متطلبات المادة 8570 والامتثال لها أمرًا بالغ الأهمية لـ:

• موظفي وزارة الدفاع المدنيين
• الأفراد العسكريين
• المتعاقدين مع وزارة الدفاع
• متخصصي تكنولوجيا المعلومات والأمن السيبراني الذين يدعمون شبكات وزارة الدفاع

يضمن الامتثال الجاهزية، ويعزز الأمن العملياتي، ويُمكّن المؤسسات من تلبية متطلبات القوى العاملة الفيدرالية في مجال الأمن السيبراني.