Posts
مقدمة عن أمن العلومات
كثر استخدام مصطلح "أمن المعلومات" في الآونة الأخيرة ، وزاد انتشاره في القطاعات العامة والخاصة، والقطاعات المدنية والعسكرية، ومع التطور المستمر لقطاع الاتصالات الذي اتخذ أشكالا متعددة عبر الزمن، ودخول الانترنت والاتصالات الإلكترونية القطاعات المختلفة، بل حتى القطاع الشخصي، أصبح مفهوم أمن المعلومات أكثر حضورا في واقع كثير من الناس، فالانترنت قام بربط أجهزة الحاسب في العالم مع بعضها البعض حتى قيل أن العالم أصبح قرية صغيرة، ومن ثم أصبحت هذه الأجهزة وما تحويه من معلومات متاحة كذلك لكل من يستطيع الوصول لهذه الأجهزة من خلال الارتباط الحاصل بواسطة الشبكة العنكبوتية (الانترنت).
ولكي تحقق وسائل الاتصال أهدافها المرجوة منها، فلا بد أن تحقق الموضوعية والثقة ودرجة معينة من الحماية.
تمثل هذه المعلومات أصولاً مهمة جداً في كثير من الأحيان، بل هي رأس مال الكثيرين بحيث يشكل ضياعها تهديدا لاستمرارية المؤسسة أو الشركة.
فلو تخيلنا مثلا أن شركة دعاية وإعلان قامت بوضع قائمة عملائها في الحاسب المرتبط بالشبكة العنكبوتية، وهؤلاء العملاء هم المعلنون في إصداراتها والذين هم مصدر دخلها، ولم يقوموا بحماية هذه المعلومات من الضياع أو الاستخدام من قبل المنافسين، فماذا تتخيل أن يحصل إذا ما وصلت هذه القائمة للمنافسين؟
كذلك لو أن أحد المخترقين للأنظمة الحاسوبية استطاع أن يصل إلى حسابات عملاء أحد البنوك، فإنه بالتأكيد سوف يحول أرصدة هؤلاء العملاء إلى حسابه الخاص أو يعبث بها بأي نوع من أنواع العبث الذي قد يكلف هذا البنك مليارات الريالات.
ولا تسلم القطاعات الحكومية أو العسكرية من مثل هذا النوع من العبث، بل هو في حقها أشد خطورة وتهديدا من الأمثلة السابقة.
هذه الأمثلة ليست من باب الفرضيات التي ( لا أو لم ) تقع، بل قد وقعت وأدت إلى خسائر تفوق الوصف، وهو الذي دفع الكثيرين إلى إعطاء هذا الجانب حقه من الاهتمام، بل المضي قُدما في تصنيف معلوماته وضبط طرق عرضها والوصول إليها، ومتابعة الطرق المطلوبة لحمايتها من العبث أو الضياع.
ومع توسعة نطاق استخدام الانترنت، فلم يعد وسيلة لعرض المعلومات فقط، بل تعداه إلى أن أصبح وسيلة لعقد الاتفاقات والصفقات التجارية وتبادل الأموال، ومع أهمية وفائدة هذا الاستخدام في اختصار الوقت وتسهيل الاجراءات، إلا أنه يصاحب هذه الفائدة تهديدات متنوعة من الداخل والخارج تهدد هذه المصادر المهمة والقيمة.
· ما المقصود بأمن المعلومات؟
يقصد بأمن المعلومات: مجموعة العمليات والإجراءات والأدوات التي تتخذها القطاعات أو المنظمات لتأمين وحماية معلوماتها وأنظمتها ووسائطها من وصول غير المصرح لهم ، سواء في ذلك من هم من داخل القطاع أو من خارجه.
وتوصف هذه العمليات بأنها عمليات مستمرة تتطلب استمرارية في التطوير ومتابعة للمستجدات، واستمرار في مراقبة وافتراض المخاطر وابتكار الحلول لها.
ولهذا فالمنظمات لا توصف بأن لها نظام معلوماتي أمني حقيقي وفعال حتى تحقق نظام تطويري مستمر للعمليات الأمنية والبشرية والتقنية من أجل تقليل واحتواء المخاطر المفترضة أو المتوقعة.
فالمنظمات تحمي وتُأمن معلوماتها من خلال:
•اعتماد العمليات الأمنية التي تقوم بالتعرف على المخاطر.
•تكوين استراتيجيات لإدارة المخاطر.
•تطبيق للاستراتيجيات.
•اختبار تلك التطبيقات.
•مراقبة بيئة العمل للتحكم بالمخاطر.
· أهداف أمن المعلومات:
يمكننا من تعريف أمن المعلومات السابق تحديد الهدف المرجو منه وهو حماية المعلومات الخاصة بالمنظمة من العبث أو الفقدان، مع مراعاة عدم الحيلولة دون تحقيق أهداف وتطلعات المنظمة، حيث أن الهدف من أمن المعلومات لا بد أن يتفق مع أهداف المنظمة، وكي يتم ذلك لا بد من تحقق الأمور التالية، وهذه الأمور تسمى CIA:
•الخصوصية أو السرية (Confidentiality): وهي الخصوصية للمعلومات المتعلقة بالعملاء أو بالمنظمة بحيث تكون بعيد عن وصلو غير المصرح لهم بالاطلاع عليها. ومن الأمثلة المستخدمة للحصول على الخصوصية – نظام التشفير، وهو من الأمثلة المهمة التي توفر مستوى عالٍ من الأمن للمعلومات مع المحافظة على المرونة في تداول تلك البيانات
•السلامة (Integrity) المعلومات والأنظمة بحيث يمكن التأكد من عدم تعرضها لأي نوع من التغيير الغير مصرح به، وبعبارة أخرى فإن البيانات لا يمكن أن يحدث لها استحداث أو تغيير أو حذف من غير تصريح، وكذلك تعني أن البيانات المخزنة في أحد أجزاء جداول قواعد البيانات متوافقة مع ما يقابلها من البيانات المخزنة في جزء آخر من قواعد البيانات. مثال ذلك: يمكن أن تتغيب سلامة البيانات في قواعد البيانات عند حدوث انقطاع مفاجئ للكهرباء التي تغذي جهاز الخادم، أو عند عدم إقفال قاعدة البيانات بشكل صحيح، وكذلك بسبب حذف لمعلومة بطريقة الخطأ من قبل أحد الموظفين، وقد يحصل الخلل أيضا بسبب فايروس.
•التوفر بشكل دائم (Availability) المعلومات والأنظمة الحاسوبية والعمليات الأمنية بحيث تعمل بشكل سليم عند الحاجة لها، وذلك بعد تطبيق العمليات الخاصة بأمن المعلومات.
ولتحقيق هذه الأمور، نحتاج لاستخدام مجموعة من المقاييس. وتدرج هذه المقاييس تحت ثلاث أمور رئيسية وهي:
1- Access control (التحكم بالوصول)
2- Authentication (إثبات الصلاحيات)
3- Auditing (التدقيق)
ويرمز للأمور الثلاث السابقة بالاختصار AAA وهو الأمر الأساسي لفهم أمن الشبكات وأمن الوصول للبيانات, وتستخدم هذه الأمور الثلاثة بشكل يومي في حماية البيانات الخاصة وحماية الأنظمة من التخريب المعتمد والغير معتمد. وهذه المفاهيم السابقة تدعم مفاهيم الأمن CIA الخصوصية والسلامة والتوفر التي سبق ذكرها.
ماهو AAA؟
AAA هي مجموعة من العمليات تستخدم لحماية البيانات وسرية المعلومات والغرض منها هو تزويدنا بCIA ، وهي على النحو التالي:
1. التحكم بالوصول (Access control)
ممكن أن تعرف كسياسة للتحكم بمكونات البرامج أو مكونات الأجهزة من حيث المنع أو السماح للوصول إلى مصادر الشبكة ويمكن تمثيلها بالبطاقات الذكية أو أجهزة البصمة أو يمكن أن تكون أجهزة الاتصال الشبكي مثل الراوترات أو نقاط الوصول للأجهزة اللاسلكية تخصيص صلاحيات على ملفات شخصية لمستخدمي الكومبيوتر.
2. إثبات الصلاحيات (Authentication)
هي عملية التحقق من صلاحيات للمستخدمين على مصادر الشبكة ويتم تحديد المستخدم من خلال استخدام اسم المستخدم وكلمة السر أو البطاقات الذكية ويتم بعد ذلك إعطاءه الصلاحيات بناء على هويته. وهذه الصلاحيات يتم تحديدها من قبل مدير الشبكة.
3. التدقيق (Auditing)
وهي عبارة عن عمليات التدقيق وتتبع الصلاحيات عن طريق مراقبة الموارد والشبكة وتعتبر من أهم الأمور في مجال أمن الشبكة حيث يتم التعرف على المخترقين ومعرفة الطرق والأدوات التي تم استخدامها للوصول إلى الشبكة.َ
· المخاطر الواقعة على أمن المعلومات
يقصد بالمخاطر هنا هو كل ما يمكن أن يؤثر على المعلومات والبيانات بشكل سلبي من تغيير غير مُراد أو ضياع. هذه المخاطر تحتاج إلى معالجة لتجنيب البيانات الخطر قبل وقوعه وهو ما يعرف بإدارة المخاطر. فإدارة المخاطر تُعرف بأنها العمليات التي تهدف إلى التعرف على حساسية البيانات المملوكة للمنظمة، والتهديدات التي قد تقع على هذه البيانات، وتحديد الإجراءات والمقاييس التي يمكن اتخاذها لتقليل مستوى الخطر.
وكي تحقق إدارة المخاطر الأهداف المرجوة منها، فينبغي أن تبدأ مع بداية عمل المنظمة، أي من اليوم الأول أو قبله، وسوف يتم التفصيل في هذه الموضوع لاحقا.
· الوعي الأمني للمعلومات
مما سبق يتضح مفهوم أمن المعلومات، ومخاطر غياب هذا المفهوم لدى الموظفين، فكثير من المخاطر الواقعة على أمن المعلومات هي صادرة من داخل المنظمة من قبل الموظفين، بعضها بسبب الجهل وبعضها بسبب الخطأ أو الإهمال.
فبعض الموظفين يتساهل في تداول وسائل التخزين المختلفة دون التأكد من خلوها من برامج التجسس أو الفيروسات أو ...، وهذا بالتالي يعرض البيانات إلى خطر التلف أو السرقة والعبث.
وقد يتسبب الجهل بنوع الخطر وطريقة معالجته بخطر آخر لا يقل عن سابقه في الخطورة، ومثال ذلك: أن تقوم مؤسسة ببناء مركز معلوماتي وتتخذ إجراءات حماية لهذا المركز بأن تضع في المبنى كاشف للحريق، بحيث يتم اكتشاف الحريق وإطفائه قبل أن يصل إلى الخادمات ووسائط التخزين المختلفة، ويغفل المسؤول في المؤسسة أن يختار نوع المادة المستخدمة في إطفاء الحرائق، بل يستخدم المادة المعتادة وهي الماء، متغافلا عن أن خطرها على الخادمات بمقدار خطر النار عليها.
ومن الأمور التي تعتبر غاية في الأهمية هو التصنيف الأمني للمعلومات، فلا بد من تحديد القيمة الفعلية للبيانات والتعريف بدرجات سريتها وحساسيتها، ومن ثم تعريف إجراءات الحماية المناسبة لكل معلومة بحسب أهميتها، فليس كل البيانات بنفس القدر من الأهمية، ولهذا يجب التفاضل أيضا بينها في درجة الحماية، ومن الخطوات المهمة في تصنيف المعلومات:
• تحديد عضو مسؤول يصنف كمسؤول عن البيانات.
• تطوير نظام بسياسات التصنيف للبيانات، بحيث يتم تعريف ووصف المستويات المختلفة للتصنيف، وتحديد المعاييرالتي تحدد كيفية إدراج المعلومة في مستوى التصنيف المناسب، ومن ثم تحديد الأدوات والإجراءت التي تتخذ من أجل حماية كل مستوى من مستويات التصنيف.
• معرفة القوانين والأنظمة لدى المنظمات من الأمور المهمة في تحديد مستوى ودرجة أهمية البيانات، فمثلا تفقد الفواتير قانونيتها – وهي من البيانات المهمة – إذا تجاوز عمرها عن خمس سنوات مثلا.
وكنموذج على التصنيف لمستويات أمن المعلومات لدى المؤسسات التجارية:
1- المعلومات العامة.
2- المعلومات الحساسة.
3- المعلومات الخاصة.
4- المعلومات السرية.
وكنموذج على التصنيف لمستويات أمن المعلومات لدى القطاع الحكومي:
1- المعلومات الغير مصنفة.
2- المعلومات الحساسة غير المصنفة.
3- المعلومات السرية.
4- المعلومات عالية السرية.
ولا بد من تدريب الموظفين للتأكد من إلمامهم بهذا التصنيف ومعرفتهم التامة بالإجراءات المتخذة في كل مستوى من مستويات التصنيف.
وأيضا لا بد من الفحص الدوري للمعلومات، والتأكد من صحة بقائها في المستوى المناسب لأهميتها، فأهمية المعلومات والبيانات تتغير من حين لآخر، ومن ثم تحتاج إلى إعادة تصنيف من جديد.
المصدر:
1- Harris, Shon (2003). All-in-one CISSP Certification Exam Guide
2- ISACA (2006). CISA Review Manual 2006
مجموعة من المقالات المتوفرة عبر الانترنت
مناقشة المقالة
http://www.security4arab.com/index.php?option=com_kunena&Itemid=2&func=view&catid=5&id=13
كثر استخدام مصطلح "أمن المعلومات" في الآونة الأخيرة ، وزاد انتشاره في القطاعات العامة والخاصة، والقطاعات المدنية والعسكرية، ومع التطور المستمر لقطاع الاتصالات الذي اتخذ أشكالا متعددة عبر الزمن، ودخول الانترنت والاتصالات الإلكترونية القطاعات المختلفة، بل حتى القطاع الشخصي، أصبح مفهوم أمن المعلومات أكثر حضورا في واقع كثير من الناس، فالانترنت قام بربط أجهزة الحاسب في العالم مع بعضها البعض حتى قيل أن العالم أصبح قرية صغيرة، ومن ثم أصبحت هذه الأجهزة وما تحويه من معلومات متاحة كذلك لكل من يستطيع الوصول لهذه الأجهزة من خلال الارتباط الحاصل بواسطة الشبكة العنكبوتية (الانترنت).
ولكي تحقق وسائل الاتصال أهدافها المرجوة منها، فلا بد أن تحقق الموضوعية والثقة ودرجة معينة من الحماية.
تمثل هذه المعلومات أصولاً مهمة جداً في كثير من الأحيان، بل هي رأس مال الكثيرين بحيث يشكل ضياعها تهديدا لاستمرارية المؤسسة أو الشركة.
فلو تخيلنا مثلا أن شركة دعاية وإعلان قامت بوضع قائمة عملائها في الحاسب المرتبط بالشبكة العنكبوتية، وهؤلاء العملاء هم المعلنون في إصداراتها والذين هم مصدر دخلها، ولم يقوموا بحماية هذه المعلومات من الضياع أو الاستخدام من قبل المنافسين، فماذا تتخيل أن يحصل إذا ما وصلت هذه القائمة للمنافسين؟
كذلك لو أن أحد المخترقين للأنظمة الحاسوبية استطاع أن يصل إلى حسابات عملاء أحد البنوك، فإنه بالتأكيد سوف يحول أرصدة هؤلاء العملاء إلى حسابه الخاص أو يعبث بها بأي نوع من أنواع العبث الذي قد يكلف هذا البنك مليارات الريالات.
ولا تسلم القطاعات الحكومية أو العسكرية من مثل هذا النوع من العبث، بل هو في حقها أشد خطورة وتهديدا من الأمثلة السابقة.
هذه الأمثلة ليست من باب الفرضيات التي ( لا أو لم ) تقع، بل قد وقعت وأدت إلى خسائر تفوق الوصف، وهو الذي دفع الكثيرين إلى إعطاء هذا الجانب حقه من الاهتمام، بل المضي قُدما في تصنيف معلوماته وضبط طرق عرضها والوصول إليها، ومتابعة الطرق المطلوبة لحمايتها من العبث أو الضياع.
ومع توسعة نطاق استخدام الانترنت، فلم يعد وسيلة لعرض المعلومات فقط، بل تعداه إلى أن أصبح وسيلة لعقد الاتفاقات والصفقات التجارية وتبادل الأموال، ومع أهمية وفائدة هذا الاستخدام في اختصار الوقت وتسهيل الاجراءات، إلا أنه يصاحب هذه الفائدة تهديدات متنوعة من الداخل والخارج تهدد هذه المصادر المهمة والقيمة.
· ما المقصود بأمن المعلومات؟
يقصد بأمن المعلومات: مجموعة العمليات والإجراءات والأدوات التي تتخذها القطاعات أو المنظمات لتأمين وحماية معلوماتها وأنظمتها ووسائطها من وصول غير المصرح لهم ، سواء في ذلك من هم من داخل القطاع أو من خارجه.
وتوصف هذه العمليات بأنها عمليات مستمرة تتطلب استمرارية في التطوير ومتابعة للمستجدات، واستمرار في مراقبة وافتراض المخاطر وابتكار الحلول لها.
ولهذا فالمنظمات لا توصف بأن لها نظام معلوماتي أمني حقيقي وفعال حتى تحقق نظام تطويري مستمر للعمليات الأمنية والبشرية والتقنية من أجل تقليل واحتواء المخاطر المفترضة أو المتوقعة.
فالمنظمات تحمي وتُأمن معلوماتها من خلال:
•اعتماد العمليات الأمنية التي تقوم بالتعرف على المخاطر.
•تكوين استراتيجيات لإدارة المخاطر.
•تطبيق للاستراتيجيات.
•اختبار تلك التطبيقات.
•مراقبة بيئة العمل للتحكم بالمخاطر.
· أهداف أمن المعلومات:
يمكننا من تعريف أمن المعلومات السابق تحديد الهدف المرجو منه وهو حماية المعلومات الخاصة بالمنظمة من العبث أو الفقدان، مع مراعاة عدم الحيلولة دون تحقيق أهداف وتطلعات المنظمة، حيث أن الهدف من أمن المعلومات لا بد أن يتفق مع أهداف المنظمة، وكي يتم ذلك لا بد من تحقق الأمور التالية، وهذه الأمور تسمى CIA:
•الخصوصية أو السرية (Confidentiality): وهي الخصوصية للمعلومات المتعلقة بالعملاء أو بالمنظمة بحيث تكون بعيد عن وصلو غير المصرح لهم بالاطلاع عليها. ومن الأمثلة المستخدمة للحصول على الخصوصية – نظام التشفير، وهو من الأمثلة المهمة التي توفر مستوى عالٍ من الأمن للمعلومات مع المحافظة على المرونة في تداول تلك البيانات
•السلامة (Integrity) المعلومات والأنظمة بحيث يمكن التأكد من عدم تعرضها لأي نوع من التغيير الغير مصرح به، وبعبارة أخرى فإن البيانات لا يمكن أن يحدث لها استحداث أو تغيير أو حذف من غير تصريح، وكذلك تعني أن البيانات المخزنة في أحد أجزاء جداول قواعد البيانات متوافقة مع ما يقابلها من البيانات المخزنة في جزء آخر من قواعد البيانات. مثال ذلك: يمكن أن تتغيب سلامة البيانات في قواعد البيانات عند حدوث انقطاع مفاجئ للكهرباء التي تغذي جهاز الخادم، أو عند عدم إقفال قاعدة البيانات بشكل صحيح، وكذلك بسبب حذف لمعلومة بطريقة الخطأ من قبل أحد الموظفين، وقد يحصل الخلل أيضا بسبب فايروس.
•التوفر بشكل دائم (Availability) المعلومات والأنظمة الحاسوبية والعمليات الأمنية بحيث تعمل بشكل سليم عند الحاجة لها، وذلك بعد تطبيق العمليات الخاصة بأمن المعلومات.
ولتحقيق هذه الأمور، نحتاج لاستخدام مجموعة من المقاييس. وتدرج هذه المقاييس تحت ثلاث أمور رئيسية وهي:
1- Access control (التحكم بالوصول)
2- Authentication (إثبات الصلاحيات)
3- Auditing (التدقيق)
ويرمز للأمور الثلاث السابقة بالاختصار AAA وهو الأمر الأساسي لفهم أمن الشبكات وأمن الوصول للبيانات, وتستخدم هذه الأمور الثلاثة بشكل يومي في حماية البيانات الخاصة وحماية الأنظمة من التخريب المعتمد والغير معتمد. وهذه المفاهيم السابقة تدعم مفاهيم الأمن CIA الخصوصية والسلامة والتوفر التي سبق ذكرها.
ماهو AAA؟
AAA هي مجموعة من العمليات تستخدم لحماية البيانات وسرية المعلومات والغرض منها هو تزويدنا بCIA ، وهي على النحو التالي:
1. التحكم بالوصول (Access control)
ممكن أن تعرف كسياسة للتحكم بمكونات البرامج أو مكونات الأجهزة من حيث المنع أو السماح للوصول إلى مصادر الشبكة ويمكن تمثيلها بالبطاقات الذكية أو أجهزة البصمة أو يمكن أن تكون أجهزة الاتصال الشبكي مثل الراوترات أو نقاط الوصول للأجهزة اللاسلكية تخصيص صلاحيات على ملفات شخصية لمستخدمي الكومبيوتر.
2. إثبات الصلاحيات (Authentication)
هي عملية التحقق من صلاحيات للمستخدمين على مصادر الشبكة ويتم تحديد المستخدم من خلال استخدام اسم المستخدم وكلمة السر أو البطاقات الذكية ويتم بعد ذلك إعطاءه الصلاحيات بناء على هويته. وهذه الصلاحيات يتم تحديدها من قبل مدير الشبكة.
3. التدقيق (Auditing)
وهي عبارة عن عمليات التدقيق وتتبع الصلاحيات عن طريق مراقبة الموارد والشبكة وتعتبر من أهم الأمور في مجال أمن الشبكة حيث يتم التعرف على المخترقين ومعرفة الطرق والأدوات التي تم استخدامها للوصول إلى الشبكة.َ
· المخاطر الواقعة على أمن المعلومات
يقصد بالمخاطر هنا هو كل ما يمكن أن يؤثر على المعلومات والبيانات بشكل سلبي من تغيير غير مُراد أو ضياع. هذه المخاطر تحتاج إلى معالجة لتجنيب البيانات الخطر قبل وقوعه وهو ما يعرف بإدارة المخاطر. فإدارة المخاطر تُعرف بأنها العمليات التي تهدف إلى التعرف على حساسية البيانات المملوكة للمنظمة، والتهديدات التي قد تقع على هذه البيانات، وتحديد الإجراءات والمقاييس التي يمكن اتخاذها لتقليل مستوى الخطر.
وكي تحقق إدارة المخاطر الأهداف المرجوة منها، فينبغي أن تبدأ مع بداية عمل المنظمة، أي من اليوم الأول أو قبله، وسوف يتم التفصيل في هذه الموضوع لاحقا.
· الوعي الأمني للمعلومات
مما سبق يتضح مفهوم أمن المعلومات، ومخاطر غياب هذا المفهوم لدى الموظفين، فكثير من المخاطر الواقعة على أمن المعلومات هي صادرة من داخل المنظمة من قبل الموظفين، بعضها بسبب الجهل وبعضها بسبب الخطأ أو الإهمال.
فبعض الموظفين يتساهل في تداول وسائل التخزين المختلفة دون التأكد من خلوها من برامج التجسس أو الفيروسات أو ...، وهذا بالتالي يعرض البيانات إلى خطر التلف أو السرقة والعبث.
وقد يتسبب الجهل بنوع الخطر وطريقة معالجته بخطر آخر لا يقل عن سابقه في الخطورة، ومثال ذلك: أن تقوم مؤسسة ببناء مركز معلوماتي وتتخذ إجراءات حماية لهذا المركز بأن تضع في المبنى كاشف للحريق، بحيث يتم اكتشاف الحريق وإطفائه قبل أن يصل إلى الخادمات ووسائط التخزين المختلفة، ويغفل المسؤول في المؤسسة أن يختار نوع المادة المستخدمة في إطفاء الحرائق، بل يستخدم المادة المعتادة وهي الماء، متغافلا عن أن خطرها على الخادمات بمقدار خطر النار عليها.
ومن الأمور التي تعتبر غاية في الأهمية هو التصنيف الأمني للمعلومات، فلا بد من تحديد القيمة الفعلية للبيانات والتعريف بدرجات سريتها وحساسيتها، ومن ثم تعريف إجراءات الحماية المناسبة لكل معلومة بحسب أهميتها، فليس كل البيانات بنفس القدر من الأهمية، ولهذا يجب التفاضل أيضا بينها في درجة الحماية، ومن الخطوات المهمة في تصنيف المعلومات:
• تحديد عضو مسؤول يصنف كمسؤول عن البيانات.
• تطوير نظام بسياسات التصنيف للبيانات، بحيث يتم تعريف ووصف المستويات المختلفة للتصنيف، وتحديد المعاييرالتي تحدد كيفية إدراج المعلومة في مستوى التصنيف المناسب، ومن ثم تحديد الأدوات والإجراءت التي تتخذ من أجل حماية كل مستوى من مستويات التصنيف.
• معرفة القوانين والأنظمة لدى المنظمات من الأمور المهمة في تحديد مستوى ودرجة أهمية البيانات، فمثلا تفقد الفواتير قانونيتها – وهي من البيانات المهمة – إذا تجاوز عمرها عن خمس سنوات مثلا.
وكنموذج على التصنيف لمستويات أمن المعلومات لدى المؤسسات التجارية:
1- المعلومات العامة.
2- المعلومات الحساسة.
3- المعلومات الخاصة.
4- المعلومات السرية.
وكنموذج على التصنيف لمستويات أمن المعلومات لدى القطاع الحكومي:
1- المعلومات الغير مصنفة.
2- المعلومات الحساسة غير المصنفة.
3- المعلومات السرية.
4- المعلومات عالية السرية.
ولا بد من تدريب الموظفين للتأكد من إلمامهم بهذا التصنيف ومعرفتهم التامة بالإجراءات المتخذة في كل مستوى من مستويات التصنيف.
وأيضا لا بد من الفحص الدوري للمعلومات، والتأكد من صحة بقائها في المستوى المناسب لأهميتها، فأهمية المعلومات والبيانات تتغير من حين لآخر، ومن ثم تحتاج إلى إعادة تصنيف من جديد.
المصدر:
1- Harris, Shon (2003). All-in-one CISSP Certification Exam Guide
2- ISACA (2006). CISA Review Manual 2006
مجموعة من المقالات المتوفرة عبر الانترنت
مناقشة المقالة
http://www.security4arab.com/index.php?option=com_kunena&Itemid=2&func=view&catid=5&id=13
No comments:
Post a Comment