الفيسبوك
التويتر
اليوتيوب
الانستغرام
لينكدإن
تيلكرام
بنترست
بودكاست
الحوار المتمدن
- موبايل
الموقع
الرئيسي
تخطيط أمنية المعلومات كحافز لتكاملية وموثوقية النظام في المؤسسات
سفيان منذر صالح
2016 / 7 / 24التربية والتعليم والبحث العلمي
جزء من محاضره القيت في المعهد العالي للتطوير الأمني والأداري
يدفعنا التطور السريع في نظم المعلومات الحديثة اليوم ، والذي يزداد تطورآ وتعقيدآ يومآ بعد يوم ، الى حماية هذه النظم والنابع من ان ديمومة هذه النظم وتكاملها في الموسسأت ، مهما اختلفت تسمياتها ، ينبغي عليها الحفاظ على نظمها الداخلية وموثوقيتها ، من خلال بناء ستراتيجية لتوفير الحماية لمعلومات تلك المؤسسة من المخاطر -التي تهددها ، ومن خلال الأستخدام الامثل لتقانة وتكنلوجيا المعلومات والأدوات والوسائل، وعمل الاجراءات اللازمة لضمان الحماية من الاخطار الداخلية والخارجية ، والقدرة على التعامل مع المخاطر المحيطة بالمؤسسة ، مع الاخذ بنظر الاعتبار المتغيرات الدورية والعرضية والفجائية ، التي قد يتعرض لها نظام اي مؤسسة ، يعد من الامور بالغة الاهمية لنجاح أي عملية لتأمين المعلومات وبأحكام بالغ لضمان التنمية المستدامة لهذه المؤسسات او الشركات مهما اختلفت انشطتها ، مما تقدم .. ان بناء أي ستراتيجية أمنية لنظم المعلومات ، يتطلب فعليآ القيام بعملية ذات حركة ديناميكية دائمية التغيير حسب الحاجة تأخذ الزمن بنظر الاعتبار ، مولفتآ بذلك مصفوفة متكاملة ذات موثوقية عالية الترتيب والتشكيل من المعلومات التي يعتمد عليها مستقبلآ عند اتخاذ اي قرار يهم تلك المؤسسة ، لذا علينا عند بناء تلك الاستراتيجية ان تشمل الامور التالية :
أولآ : تحديد متطلبات أمن المعلومات المطلوب ، وتصنيفها وتبويبها حسب أهميتها .
ثانيآ : نشر ثقافة الوعي والتعليم لدى العاملين بأهمية ومسؤولية المعلومات ، تبعآ لتصنيفاتها المبوبة وحسب الأهمية .
ثالثآ : وضع السياسات التخطيطية اللازمة ، لرسم ستراتيجية أمنية كفيلة بالمحافظة على أمن المعلومات من خلال أليات توضع بهذا الخصوص .
رابعآ : عملية مراقبة العمليات للنظام ككل من مدخلات ومعالجات ومخرجات وأجراء التقارير الاحصائية الدورية عن سير العمليات في النظام ككل ، وترتيب تلك التقارير وفق مصفوفات فنية او ادارية تبعآ لنوع التقارير، يستفاد منها عند الحاجة في أنشاء النماذج الرياضية الاحصائية ، للوقوف على اهم المشاكل والفجوات في عمل النظام ، وأمكانية تحليل هذه الفجوات لتصحيح النظام مستقبلآ بصورة عامة .
خامسآ : يتم قياس حجم الخطر من خلال التوقع الدقيق لحجم الخساره المتوقعة ، مثل تعطل النظام او فقدان البيانات والمعلومات او حدوث اختراق للنظام او الاصابة بفايروس ... الخ .
وبالتالي .. فأن ضمان عناصر أمن المعلومات كلها او بعضها يعتمد على المعلومات محل الحماية وأستخداماتها وعلى الخدمات المتصلة بها ، ليس كل المعلومات تتطلب السرية وضمان عدم الافشاء ، وليس كل المعلومات في مؤسسة واحدة بذات الاهمية من حيث الوصول لها ، او ضمان عدم العبث بها ، لهذا من المهم معرفة العناصر التي يجب ان نركز على حمايتها في التخطيط لنظم المعلومات ومن خلال CIA وكما مبين :
1. Confidentiality (السرية والموثوقية):
ونعني بها أن المعلومات لا تكشف ولا يطلع عليها من قبل أشخاص غير مخولين بذلك ، ومن خلال تشكيل فريق العمل team work من المتخصصين .
2. Integrity (التكاملية وسلامة المحتوى):
مراجعة التحقق من أن محتوى المعلومات صحيح ، ولم يتم التلاعب به او العبث به أو تعديله ولن يتم تدميره في أية مرحلة من مراحل المعالجة، أو التبادل سواء في مرحلة التعامل الداخلي مع المعلومات أو عن طريق تدخل غير مشروع.
3. Availability (الاستمرارية):
وهي التحقق من استمرار عمل النظام المعلوماتي واستمرار تقديم الخدمة المعلوماتية المطلوبة من ذلك النظام الذي أنشأ لأجله .
وبهذا يمكننا من التخطيط للقيام بأنشاء خطة لأدارة المخاطر ، أستنادآ لهذا الحصر والتصنيف للمعلومات والمخاطر ، وعلينا البدء بتحديد وسيلة للعلاج الأفضل والأشمل ، من خلال طرق الحماية المعروفة وكالتالي:
• المنع : مثل تحديد صلاحيات الدخول للأنظمة ومنع الدخول غير المصرح به .
• الكشف: مثل برامج كشف الفيروسات ووضع شاشات للمراقبة ، والاستعانة بــــــــ Q.S.C .
• بناء ستراتيجيات: لأدارة الازمات عند حدوث اختراق أو عطل في الأنظمة ، مع اجراء تخطيط السيناريوهات والمحاكاه .
كما يمكن تصنيف الإجراءت التي يجب إتباعها لإدارة المخاطر داخل المؤسسة إلى عدة إجراءات يمكن من خلالها تحديد طريقة الحماية الأنسب وهذه الإجراءات هي:
أولاً: إجراءات تقنية:
مثل تحديد صلاحيات الدخول للأنظمة، واستخدام جدار حماية، ومضادات للفيروسات، والنسخ الاحتياطي للبيانات، ووضع آليات رقابة.
ثانياً: إجراءات إدارية:
مثل تعيين حراس وكذلك عمل تقييم دوري لنظم الحماية.
ثالثاً: إجراءات تشغيلية:
تدريب وتوعية الموظفين لأهمية أمن المعلومات، حماية الأجهزة وربطها بالمكاتب مثلاً ووضع شاشات مراقبة...إلخ.
كما تطال المخاطر والاعتداءات في بيئة المعلومات أربعة مواطن أساسية هي مكونات تقنية المعلومات في احدث تجلياتها :-
• الأجهــزة :- وهي كافة المعدات والادوات المادية التي تتكون منها النظم ، كالشاشات والطابعات ومكوناتها الداخلية ووسائط التخزين المادية وغيرها .
• البرامــج :- وهي الاوامر المرتبة في نسق معين لانجاز الاعمال ، وهي اما مستقلة عن النظام او مخزنة فيه .
• المعطيـات :- انها الدم الحي للأنظمة ، وما سيكون محلا لجرائم الكمبيوتر كما سنرى ، وتشمل كافة البيانات المدخلة والمعلومات المستخرجة عقب معالجتها ، وتمتد بمعناها الواسع للبرمجيات المخزنة داخل النظم ، والمعطيات قد تكون في طور الادخال او الاخراج او التخزين او التبادل بين النظم عبر الشبكات ، وقد تخزن داخل النظم او على وسائط التخزين خارجه .
• الاتصـالات :- وتشمل شبكات الاتصال التي تربط اجهزة التقنية بعضها بعض محليا ونطاقيا ودوليا LAN ,WAN ، وتتيح فرصة اختراق النظم عبرها كما انها بذاتها محل للاعتداء وموطن من مواطن الخطر الحقيقي.
• ومحور الخطر ، الانسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فادراك هذا الشخص حدود صلاحياته ، وادراكه اليات التعامل مع الخطر ، وسلامة الرقابة على انشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات .
وبالتالي فأن تعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات في المؤسسات وعلى اختلاف أنشطتها ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :-
تصنيف المعلومات Information classification :-
وهي عملية اساسية لدى بناء أي نظام او في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات الى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية او قد تكون معلومات متاح الوصول اليها واخرى محظور التوصل اليها وهكذا .
التوثيق Documentation :-
وتتطلب عمليات المعلومات اساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والانظمة التطبيقية . وفي اطار الأمن ، فان التوثيق يتطلب ان تكون استراتيجية او سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، اضافة الى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .
المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities
ان مهام المتصلين بنظام أمن المعلومات تبدأ في الاساس من حسن اختيار الافراد المؤهلين وعمق معارفهم النظرية والعملية ، على ان يكون مدركا ان التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية او التنظيمية تتكون من خمسة عناصر او مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة او الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الامني – توظيف الاجهزة والمعدات والوسائل ، واخيرا تنفيذ الخطط والسياسات .
ومن المهم ادراك ان نجاح الواجبات الإدارية او الجماعية للمنشأة يتوقف على ادراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن .
وعلى المستوى الشخصي او مستوى المستخدمين ، فان على المؤسسة ان تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة ان تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .
وسائل التعريف والتوثق من المستخدمين وحدود صلاحيات الاستخدام Identification and Authorization
ان الدخول الى أنظمة الكمبيوتر وقواعد البيانات ومواقع المعلوماتية عموما ، يمكن تقييده بالعديد من وسائل التعرف على شخصية المستخدم وتحديد نطاق الاستخدام ، وهو ما يعرف بأنظمة التعريف والتخويل Identification and Authorization systems. . والتعريف او الهوية مسالة تتكون من خطوتين ، الأولى وسيلة التعريف على شخص المستخدم ، والثانية قبول وسيلة التعريف او ما يسمى التوثق من صحة الهوية المقدمة .
ووسائل التعريف تختلف تبعا للتقنية المستخدمة ، وهي نفسها وسائل أمن الوصول الى المعلومات او الخدمات في قطاعات استخدام النظم او الشبكات أو قطاعات الاعمال الإلكترونية ، وبشكل عام ، فان هذه الوسائل تتوزع الى ثلاثة أنواع :-
1 - شئ ما يملكه الشخص مثل البطاقة البلاستيكية او غير ذلك .
2 – شئ ما يعرفه الشخص مثل كلمات السر او الرمز او الرقم الشخصي غير ذلك .
3– شيء ما يرتبط بذات الشخص او موجود فيه مثل بصمة الاصبع او بصمة العين والصوت وغيرها .
وتعد وسائل التعريف والتوثق الاقوى ، تلك الوسائل التي تجمع بين هذه الوسائل جميعا على نحو لا يؤثر على سهولة التعريف وفعاليته في ذات الوقت .
وايا كانت وسيلة التعريف التي سيستتبعها توثق من قبل النظام authentication ، فانها بذاتها وبما ستصل باستخدامها تخضع لنظام أمن وارشادات امنية يتعين مراعاتها ، فكلمات السر على سبيل المثال ، وهي الاكثر شيوعا من غيرها من النظم ، تتطلب ان تخضع لسياسة مدروسة من حيث طولها ومكوناتها والابتعاد عن تلك الكلمات التي يسهل تخمينها او تحريها وكذلك خضوع الاستخدام لقواعد عدم الاطلاع وعدم الافشاء والحفاظ عليها .
ومتى ما استخدمت وسائل تعريف ملائمة لاتاحة الوصول للنظام ، ومتى ما تحققت عملية التوثق والمطابقة والتأكد من صحة التعريف (الهوية) فان المرحلة التي تلي ذلك هي تحديد نطاق الاستخدام Authorization وهو ما يعرف بالتخويل او التصريح باستخدام قطاع ما من المعلومات في النظام ، وهذه المسالة تتصل بالتحكم بالدخول او التحكم بالوصول الى المعلومات او اجزاء النظام Access Control system .
سجل الأداء Logging :-
تحتوى مختلف أنواع الكمبيوترات نوعا ما من السجلات التي تكشف استخدامات الجهاز وبرمجياته والنفاذ اليه ، وهي ما يعرف بسجلات الأداء او سجلات النفاذ الى النظام ، تتخذ سجلات الأداء اهمية استثنائية في حال تعدد المستخدمين وتحديدا في حالة شبكات الكمبيوتر التي يستخدم مكوناتها اكثر من شخص ، وفي هذه الحالة تحديدا ، أي شبكات المستخدمين ، فان هناك اكثر من نوع من أنواع سجلات الأداء وتوثيق الاستخدامات ، كما ان سجلات الأداء تتباين من حيث نوعها وطبيعتها وغرضها ، فهناك سجلات الأداء التاريخية والسجلات المؤقتة ، وسجلات التبادل وسجلات النظام وسجلات الأمن وسجلات قواعد البيانات والتطبيقات وسجلات الصيانة او ما يعرف بسجلات الأمور التقنية وغيرها . وبشكل عام فان سجلات الأداء منوط بها ان تحدد شخص المستخدم ووقت الاستخدام ، ومكانه ، وطبيعة الاستخدام ( محتواه ) واية معلومات إضافية أخرى تبعا للنشاط ذاته
عمليات الحفظ Back-up :-
وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام او خارجه ، وتخضع عمليات الحفظ لقواعد يتعين ان تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .
ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ وامنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .
وسائل الأمن الفنية ونظام منع الاختراق :-
تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى ، وتتخذ الجدران النارية Firewalls ، اضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق ( Intrusion Detection Systems IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات اهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي اضافة لوسائل التعريف والتوثيق المتقدم الاشارة اليها تمثل اهم وسائل الأمن التقنية في الوقت الحاضر ، وسنعرض لهذه الوسائل بالقدر المتاح مع بيان اهم مسائلها من خلال ادلة الأمن المعتمدة دوليا وبعض المعايير والمقاييس السائدة بشأنها وفق المواصفة الدولية الخاصة بأمن المعلومات ( ISO/ IEC 27001 ).
نظام التعامل مع الحوادث Incident Handling System :-
بغض النظر عن حجم وسائل الأمن التقنية المستخدمة ، ومعايير الأمن وإجراءاته المتبعة ، فانه لا بد من توفر نظام متكامل للتعامل مع المخاطر والحوادث والاعتداءات ، ويعدو متطلبا رئيسا بالنسبة لمؤسسات الاعمال كما في حالة البنوك والمؤسسات المالية .
واول ما يتعين ادراكه في هذا الصدد ان التعامل مع الحوادث عملية وليست مجرد مشروع او خطوة واحدة ، بمعنى انها عملية متكاملة تتصل باداء متواصل متدرج خاضع لقواعد محددة سلفا ومتبعة بدقة وانضباط ، ومتى ما تم التعامل مع الحوادث على انها مجرد حالة تنشا عند الحادث كنا امام حالة قصور تمثل بذاتها أحد عناصر الضعف في نظام الأمن .
وتختلف مكونات ومراحل وخطوات نظام التعامل مع الحوادث من مؤسسة الى أخرى تبعا لعوامل عديدة تتعلق بطبيعة الأخطار التي أظهرتها عملية تحليل المخاطر وما أظهرته استراتيجية الأمن الموضوعة في المؤسسة ، وتبعا للنظام محل الحماية وما اذا كنا نتحدث عن نظم كمبيوتر مغلقة أم مفتوحة او قواعد بيانات او شبكات او مزيج منها وما اذا كنا نتحدث عن نظام خدمة مخصوص أم عن خدمات للعامة عبر الشبكة خاصة كانت أم دولية وتبعا لوظيفة التطبيق محل الحماية ، اذ تتباين خطوات ومحتوى وعناصر خطط التعامل مع الحوادث لدى بنوك الإنترنت مثلا عنها لدى المواقع المعلوماتية ، ومع ذلك ، وبوجه عام ، فان نظام التعامل مع الحوادث يتكون عادة من ستة مراحل ( خطوة فخطوة ) هي :- الاعداد المسبق والتحري والملاحظة الاحتواء والاستئصال ، التعافي والعودة للوضع الطبيعي ، والمتابعة .
وأخيرآ ... أنه لا يمكن توفير الحماية الكاملة لأي نظام معلومات، حتى تكون عملية إدارة المخاطر فعالة وناجحة يجب أن يكون هناك رؤية استراتيجية فيما يتعلق بمستويات الأمان المطلوبة لنظام المعلومات داخل المؤسسة. فالتخطيط بصورة عامة والتخطيط الاستراتيجي بصورة خاصة يسمح للمؤسسة باتخاذ القرارات الضرورية واللازمة التي تساعد في تكوين الرؤية المستقبلية للمؤسسة، من خلال خطة مرنة وفعالة لتوجيه موارد المؤسسة من أجل توفير الحماية اللازمة للمعلومات من المخاطر التي تهددها من خلال حماية العناصر الثلاثة التي تحدثنا عنها (CIA).
إذن فهذه العناصر الثلاثة (CIA) هي العناصر الأساسية التي يتم تطوير كافة البرامج الأمنية بناءً عليها، والفكرة الرئيسية هي أن المعلومات هي الأصول التي تتطلب حمايتها. ويقترح لبناء خطة إستراتيجية فعالة داخل مؤسسة يتوفر لديها الخبرات والإمكانيات والأدوات اللازمة أن تكون خطة متوسطة المدى يمكن لها تحقيق أهدافها الرئيسية (يشرف على إنجاز كل هدف مجموعة من الخبراء) التي يمكن أن نحددها على النحو التالي:
o بناء برنامج مركزي لأمن المعلومات لمتابعة إنجاز المبادرات الخاصة بكل هدف من الأهداف.
o بناء خطة لعملية إدارة المخاطر.
o بناء خطة استجابة للحوادث الأمنية الطارئة.
o بناء برنامج تدريب شامل لنشر الوعي الأمني لدى العاملين.
o تحديث وتطوير آليات استمرار العمليات وخطة لأدارة الازمات للتعافي من الكوارث .
o إنشاء خطة للتغذية الراجعة والتقييم المستمر.
|
|
التعليق والتصويت على الموضوع في الموقع الرئيسي
.. واشنطن تعتزم فرض عقوبات على النظام المصرفي الصيني بدعوى دعمه
.. توقيف مسؤول في البرلمان الأوروبي بشبهة -التجسس- لحساب الصين
.. حادثة «كالسو» الغامضة.. الانفجار في معسكر الحشد الشعبي نجم ع
.. الأوروبيون يستفزون بوتين.. فكيف سيرد وأين قد يدور النزال الق
.. الجيش الإسرائيلي ينشر تسجيلا يوثق عملية استهداف سيارة جنوب ل
