عزت
04-06-2013, 12:12 PM
أساسيات أمن المعلومات
هي عبارة عن مجموعة من إجراءات أساسية مشتركة فيما بينها والتي تسعى إلى تحقيق أمن معلومات فعلي للمنظمة. ومن هذه الإجراءات ما يمكن إيجازه في عده نقاط مع الشرح اللازم على النحو التالي:
أولا: تحديد المجال والهدف.
يتعلق بترابط النشاطات المختلفة في المنظمة ببعضها البعض وتحديد مدى المعلومات المسموح بها والإجراءات التي من خلالها يتم التعامل مع الموظفين وكذلك مع الأشخاص من خارج المنظمة. أما فبما يتعلق بتحديد الهدف فذلك يتم من خلال معرفة الأخطار التي تواجه المنظمة وكيفية السيطرة عليها، وماهو المقياس المرجو للأمن في هذه المنظمة.
ثانيا: عمليه الاختيار.
يقصد بهذه العملية اختيار الإجراءات اللازم توفرها أو اللازم عملها أولا في أساسات المنظمة والتي يمكن الاختيار فيما بينها بحسب الأولوية الهامة لكل إجراء.
ثالثا: المواضيع ذات العلاقة بأساسيات أمن المعلومات.
يقصد بذلك التطبيقات ذات العلاقة المباشرة بأمن المعلومات في أي منظمة والتي يمكن من خلاله الوصول إلى المستوى الأمني المنشود. ومن هذه التطبيقات:
▪ ماهي الإجراءات التقنية والإجراءات التنظيمية التي يقبل بها في المنظمة.
▪ ماهو حد الأخطار والضعف التي يمكن القبول به في داخل المنظمة.
▪ ماهي الميزانية المتاحة لتأسيس أمن المعلومات والتأكد بأنها كافيه لجميع الجوانب المطلوب تنفيذها والنظر بعد ذلك في ماتم تحقيقه فعليا في المنظمة.
مع الأخذ بالاعتبار بعض الإجراءات يمكن تغييرها أو الإضافة عليها أو حذفها أثناء العمل وبذلك يجب أن تكون بالمرونة المرجو منها.
سياسات أمن المعلومات.
يقصد بهذه السياسات أن تكون لدى المنظمة تشريعات خاصة بأمن المعلومات أي أن يعرف كل فرد الإجراءات ويسعى إلى تطبيقها على المستوى الأدنى.
والهدف من سياسات أمن المعلومات الوصول إلى الإجراءات التي يلزم كل فرد بأتباعها وتساعد هذه الإجراءات في بناء البنية التحتية للمنظمة. ومن هذه السياسات تحديد الوصول المسموح به لكل فرد سواء من داخل أو خارج المنظمة، ومن هذه الإجراءات:
▪ وجود وثيقة سياسات أمنيه للمنظمة. بحيث يكون هناك عدد من الإجراءات المثالية المتعارف عليها التي يلزمه إتباعها وعدم تجاوزها.
▪ تنفيذ هذه السياسات. يكون هناك عدد من الإجراءات التي تتأكد من أن السياسات قد نفذت بالشكل المطلوب.
▪ تطوير هذه السياسات. بأن يكون هناك تطوير لهذه السياسات عند وجود تقنيات جديدة أو عند سن قوانين في داخل المنظمة.
وبذلك نلاحظ ضرورة وجود عدد من السياسات الصارمة التي تضمن الوصول للدرجة الأمنية المطموح بها عند بناء بنيه تحتية لأمن المعلومات.
ثالثاً : أمن المنظمة.
يقصد به أداة لإدارة أمن المعلومات، ومن ذلك وجود بنية تحتية لأمن المعلومات في المنظمة ووجود منظمة أمنية في داخل المنظمة تضمن تنفيذ الخطط التنفيذية للأمن ووجود اتصالات وتفاعلات بين إطراف وجهات المنظمة داخلياً وتتفاعل هذه الجهات مع البيئة الخارجية ككتلة واحده. ووجود وظيفة إشرافية تدقق سير العمل وإذا لزم الأمر تستطيع المنظمة الاستعانة باستشاري خارجي يقدم نصائح اختصاصية في أمن المعلومات. كما يمكن للمنظمة أن تتعاون مع المنظمات الأخرى مستفيدة بذلك من الخبرات وبذلك يكون هناك حقل خبرات مشترك بين المنظمات، ولاننسى أهميه وجود سلطة لتقييم الوضع الأمني في المنظمة ويكون أفراد هذه السلطة مجموعة يتم اختيارهم من موظفين المنظمة بحيث تقوم بشكل دوري على دراسة وتقييم الأمن المعلوماتي في المنظمة.
رابعاً : المتطلبات الأمنية الخاصة بالموظفين.
والهدف منها تقليل الأخطاء الأمنية البشرية أو الاحتيال أو سوء استعمال السلطات والمعلومات، فالبشر هم من لديهم المعلومات السرية وهم أيضا من يسعى إلى اختراق ومعرفة هذه المعلومات. ومن هذه المتطلبات مايمكن إيجازه في النقاط التالية:
▪ تعيين الموظفين بشرط تحقق الأداء اللازم للخطط الأمنية، بحيث أن كل شخص جديد في المنظمة يلزم أن يوافق ويقر بالأنظمة الأساسية الموجودة والتآلف معها، ويتطلب أيضا للمواقع الحساسة أن يتم تعيين أشخاص تنطبق عليهم شروط معينة ويخضعوا لاختبارات سابقة بما يضمن قدرتهم على تحمل المسؤولية والسلامة من تسريب المعلومات، وانه لكل وظيفة وكل منصب له شروط أمنية مختلفة تعتمد على كمية المعلومات الحساسة المتعامل معها. ولاننسى زوار المنظمة سواء من استشاريين أو متدربين لديها يجب أن يتقيدوا بالتعليمات الخاصة بأمن المعلومات.
▪ التدريب. ويقصد به تدريب الموظفين في المنظمة على كيفيه استخدام برامج أمن المعلومات ويتضمن ذلك أنشطة مختلفة تكون كفيله بإعطاء الموظف الكمية الكافية من أساسيات أمن المعلومات.
▪ ردود الفعل تجاه التهديدات المحتملة أو حوادث الاختراق. من ذلك أن يذكر مثلا حادثه تم بها الحصول على معلومات من المنظمة بطريقة غير شرعية، لكي يتم تفادي وقوعها مستقبلاً .أو ذكر تهديد تمت السيطرة عليه لكي يعرف الموظفين بمثل هذه التهديدات إن واجهتهم في المستقبل.
▪ ذكر نقاط الضعف في النظام الأمني للمنظمة. بحيث يلزم الموظفين بإبلاغ رؤسائهم عنها لكي يتم معالجتها في أسرع وقت.
▪ ذكر نقاط ضعف البرامج لكي يتم تم تطويرها والمساعدة من قبل المختصين في المنظمة بذلك.
▪ إعلان عن الإجراءات التأديبية التي صدرت في حق الموظفين المخلين بالأنظمة الأمنية داخل المنظمة يكون كفيلا ورادعاً لغيرهم.
خامساً : كيف نحقق بيئة أمن مناسبة؟
يتم ذلك من خلال منع الوصول غير المسموح به إلى المنظمة، ونحاول في المنظمة تقسيم الخطط الأمنية على كل قسم بحيث يمكن السيطرة على كل قسم بسهولة وتعيين مسئولا أمنيا في هذا القسم. من الملاحظ أيضا أن لا ننسى الدخول الفعلي للمنظمة واخذ المعلومات كأن يتم انتحال شخصية موظفي الصيانة وبذلك يتمكن من الدخول واخذ المعلومات اللازمة.ويجب وجود أمن على مداخل ومخارج مبنى المنظمة ووضع نظم أمنية مشدده وأجهزة مراقبة لمنع محاوله الدخول الفعلي الغير شرعي. يلزم أيضا وجود توثيق لعمليات الدخول والخروج.وللحفاظ علي هذه الأجهزة من الحوادث لاسمح الله يلزم وجود نظام إنذار مبكر بحدوث حريق مثلا والتدابير اللازمة عند وقوع ذلك كوجود طفايات حريق وقطع التيار الكهربائي ولتفادي كل ذلك يقوم موظفين بعمل الصيانة الدورية اللازمة للأجهزة والخادمات.
سادساً : أساسيات أمن الأجهزة والشبكات.
الهدف منها تحقيق أمن وسلامه للأجهزة والشبكات المترابطة بينها في موقع العمل ويكون ذلك بعدد من الإجراءات منها التخطيط السليم للشبكات منها وجود شبكة خاصة بكل قسم بحيث لو تم اختراقها لا يتمكن من الدخول للأجهزة الأخرى. وضع أجهزة منع الفيروسات عند المنافذ الخارجية و يوجد عدد من الإجراءات المتفرقة التي يرجى منها تحقيق السلامة اللازمة ومنها:
▪ تصميم تدابير أمنيه مشدده للحيال دون الوصول إلى الشبكة.
▪ إدارة التطبيق والتي من مهامها التأكيد على تطبيق التطبيقات الأمنية المختلفة.
▪ إدارة التقنية والتي تقوم بحل المشاكل التقنية التي يمكن مواجهتها أثناء العمل.
▪ إدارة التفويض والتوثيق.وهي التي تقوم بتوثيق العمليات الحاصلة وإعطاء الصلاحيات اللازمة لكل موظف في الحدود المسموحة له.
▪ مراقبه الاستعمال الصحيح للشبكة والأجهزة .
هي عبارة عن مجموعة من إجراءات أساسية مشتركة فيما بينها والتي تسعى إلى تحقيق أمن معلومات فعلي للمنظمة. ومن هذه الإجراءات ما يمكن إيجازه في عده نقاط مع الشرح اللازم على النحو التالي:
أولا: تحديد المجال والهدف.
يتعلق بترابط النشاطات المختلفة في المنظمة ببعضها البعض وتحديد مدى المعلومات المسموح بها والإجراءات التي من خلالها يتم التعامل مع الموظفين وكذلك مع الأشخاص من خارج المنظمة. أما فبما يتعلق بتحديد الهدف فذلك يتم من خلال معرفة الأخطار التي تواجه المنظمة وكيفية السيطرة عليها، وماهو المقياس المرجو للأمن في هذه المنظمة.
ثانيا: عمليه الاختيار.
يقصد بهذه العملية اختيار الإجراءات اللازم توفرها أو اللازم عملها أولا في أساسات المنظمة والتي يمكن الاختيار فيما بينها بحسب الأولوية الهامة لكل إجراء.
ثالثا: المواضيع ذات العلاقة بأساسيات أمن المعلومات.
يقصد بذلك التطبيقات ذات العلاقة المباشرة بأمن المعلومات في أي منظمة والتي يمكن من خلاله الوصول إلى المستوى الأمني المنشود. ومن هذه التطبيقات:
▪ ماهي الإجراءات التقنية والإجراءات التنظيمية التي يقبل بها في المنظمة.
▪ ماهو حد الأخطار والضعف التي يمكن القبول به في داخل المنظمة.
▪ ماهي الميزانية المتاحة لتأسيس أمن المعلومات والتأكد بأنها كافيه لجميع الجوانب المطلوب تنفيذها والنظر بعد ذلك في ماتم تحقيقه فعليا في المنظمة.
مع الأخذ بالاعتبار بعض الإجراءات يمكن تغييرها أو الإضافة عليها أو حذفها أثناء العمل وبذلك يجب أن تكون بالمرونة المرجو منها.
سياسات أمن المعلومات.
يقصد بهذه السياسات أن تكون لدى المنظمة تشريعات خاصة بأمن المعلومات أي أن يعرف كل فرد الإجراءات ويسعى إلى تطبيقها على المستوى الأدنى.
والهدف من سياسات أمن المعلومات الوصول إلى الإجراءات التي يلزم كل فرد بأتباعها وتساعد هذه الإجراءات في بناء البنية التحتية للمنظمة. ومن هذه السياسات تحديد الوصول المسموح به لكل فرد سواء من داخل أو خارج المنظمة، ومن هذه الإجراءات:
▪ وجود وثيقة سياسات أمنيه للمنظمة. بحيث يكون هناك عدد من الإجراءات المثالية المتعارف عليها التي يلزمه إتباعها وعدم تجاوزها.
▪ تنفيذ هذه السياسات. يكون هناك عدد من الإجراءات التي تتأكد من أن السياسات قد نفذت بالشكل المطلوب.
▪ تطوير هذه السياسات. بأن يكون هناك تطوير لهذه السياسات عند وجود تقنيات جديدة أو عند سن قوانين في داخل المنظمة.
وبذلك نلاحظ ضرورة وجود عدد من السياسات الصارمة التي تضمن الوصول للدرجة الأمنية المطموح بها عند بناء بنيه تحتية لأمن المعلومات.
ثالثاً : أمن المنظمة.
يقصد به أداة لإدارة أمن المعلومات، ومن ذلك وجود بنية تحتية لأمن المعلومات في المنظمة ووجود منظمة أمنية في داخل المنظمة تضمن تنفيذ الخطط التنفيذية للأمن ووجود اتصالات وتفاعلات بين إطراف وجهات المنظمة داخلياً وتتفاعل هذه الجهات مع البيئة الخارجية ككتلة واحده. ووجود وظيفة إشرافية تدقق سير العمل وإذا لزم الأمر تستطيع المنظمة الاستعانة باستشاري خارجي يقدم نصائح اختصاصية في أمن المعلومات. كما يمكن للمنظمة أن تتعاون مع المنظمات الأخرى مستفيدة بذلك من الخبرات وبذلك يكون هناك حقل خبرات مشترك بين المنظمات، ولاننسى أهميه وجود سلطة لتقييم الوضع الأمني في المنظمة ويكون أفراد هذه السلطة مجموعة يتم اختيارهم من موظفين المنظمة بحيث تقوم بشكل دوري على دراسة وتقييم الأمن المعلوماتي في المنظمة.
رابعاً : المتطلبات الأمنية الخاصة بالموظفين.
والهدف منها تقليل الأخطاء الأمنية البشرية أو الاحتيال أو سوء استعمال السلطات والمعلومات، فالبشر هم من لديهم المعلومات السرية وهم أيضا من يسعى إلى اختراق ومعرفة هذه المعلومات. ومن هذه المتطلبات مايمكن إيجازه في النقاط التالية:
▪ تعيين الموظفين بشرط تحقق الأداء اللازم للخطط الأمنية، بحيث أن كل شخص جديد في المنظمة يلزم أن يوافق ويقر بالأنظمة الأساسية الموجودة والتآلف معها، ويتطلب أيضا للمواقع الحساسة أن يتم تعيين أشخاص تنطبق عليهم شروط معينة ويخضعوا لاختبارات سابقة بما يضمن قدرتهم على تحمل المسؤولية والسلامة من تسريب المعلومات، وانه لكل وظيفة وكل منصب له شروط أمنية مختلفة تعتمد على كمية المعلومات الحساسة المتعامل معها. ولاننسى زوار المنظمة سواء من استشاريين أو متدربين لديها يجب أن يتقيدوا بالتعليمات الخاصة بأمن المعلومات.
▪ التدريب. ويقصد به تدريب الموظفين في المنظمة على كيفيه استخدام برامج أمن المعلومات ويتضمن ذلك أنشطة مختلفة تكون كفيله بإعطاء الموظف الكمية الكافية من أساسيات أمن المعلومات.
▪ ردود الفعل تجاه التهديدات المحتملة أو حوادث الاختراق. من ذلك أن يذكر مثلا حادثه تم بها الحصول على معلومات من المنظمة بطريقة غير شرعية، لكي يتم تفادي وقوعها مستقبلاً .أو ذكر تهديد تمت السيطرة عليه لكي يعرف الموظفين بمثل هذه التهديدات إن واجهتهم في المستقبل.
▪ ذكر نقاط الضعف في النظام الأمني للمنظمة. بحيث يلزم الموظفين بإبلاغ رؤسائهم عنها لكي يتم معالجتها في أسرع وقت.
▪ ذكر نقاط ضعف البرامج لكي يتم تم تطويرها والمساعدة من قبل المختصين في المنظمة بذلك.
▪ إعلان عن الإجراءات التأديبية التي صدرت في حق الموظفين المخلين بالأنظمة الأمنية داخل المنظمة يكون كفيلا ورادعاً لغيرهم.
خامساً : كيف نحقق بيئة أمن مناسبة؟
يتم ذلك من خلال منع الوصول غير المسموح به إلى المنظمة، ونحاول في المنظمة تقسيم الخطط الأمنية على كل قسم بحيث يمكن السيطرة على كل قسم بسهولة وتعيين مسئولا أمنيا في هذا القسم. من الملاحظ أيضا أن لا ننسى الدخول الفعلي للمنظمة واخذ المعلومات كأن يتم انتحال شخصية موظفي الصيانة وبذلك يتمكن من الدخول واخذ المعلومات اللازمة.ويجب وجود أمن على مداخل ومخارج مبنى المنظمة ووضع نظم أمنية مشدده وأجهزة مراقبة لمنع محاوله الدخول الفعلي الغير شرعي. يلزم أيضا وجود توثيق لعمليات الدخول والخروج.وللحفاظ علي هذه الأجهزة من الحوادث لاسمح الله يلزم وجود نظام إنذار مبكر بحدوث حريق مثلا والتدابير اللازمة عند وقوع ذلك كوجود طفايات حريق وقطع التيار الكهربائي ولتفادي كل ذلك يقوم موظفين بعمل الصيانة الدورية اللازمة للأجهزة والخادمات.
سادساً : أساسيات أمن الأجهزة والشبكات.
الهدف منها تحقيق أمن وسلامه للأجهزة والشبكات المترابطة بينها في موقع العمل ويكون ذلك بعدد من الإجراءات منها التخطيط السليم للشبكات منها وجود شبكة خاصة بكل قسم بحيث لو تم اختراقها لا يتمكن من الدخول للأجهزة الأخرى. وضع أجهزة منع الفيروسات عند المنافذ الخارجية و يوجد عدد من الإجراءات المتفرقة التي يرجى منها تحقيق السلامة اللازمة ومنها:
▪ تصميم تدابير أمنيه مشدده للحيال دون الوصول إلى الشبكة.
▪ إدارة التطبيق والتي من مهامها التأكيد على تطبيق التطبيقات الأمنية المختلفة.
▪ إدارة التقنية والتي تقوم بحل المشاكل التقنية التي يمكن مواجهتها أثناء العمل.
▪ إدارة التفويض والتوثيق.وهي التي تقوم بتوثيق العمليات الحاصلة وإعطاء الصلاحيات اللازمة لكل موظف في الحدود المسموحة له.
▪ مراقبه الاستعمال الصحيح للشبكة والأجهزة .