تعاريف في أمن المعلومات Definitions

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

يبدأ مشوارنا مع أمن المعلومات من هذا الفصل الذي نقدم فيه ملخصا للتعاريف الأساسية في مجال أمن المعلومات. كي تكون أساسا لما سيأتي في الفصول الكثيرة اللاحقة. دعونا إذا نبدأ المشوار.

أمن المعلومات Information Security

هو حماية معلومات معينة من أن تعاين، أو تستخدم من قبل أشخاص غير مخول لهم ذلك، أو من أن تكشف للعلن، أو توزع، أو أن تعدّل، أو من أن تدمر أو تحذف. هذا التعريف ينطبق على أي نوع من المعلومات سواء كانت المعلومة مكتوبة على ورق أو موجودة في ملف ما على الإنترنت.

لا يتضمن هذا التعريف الاجراءات اللازمة لضمان أمن المعلومات والاجراءات التي يجب وضعها للتعامل مع حالات خسارة أمن المعلومات مؤقتا أو حالات خسارة المعلومات أو جزء منها وغير ذلك. ولا بآليات إدارة المخاطر والتدريب والتوافق مع القوانين المعمول بها ولا بالتكنولوجيا المستخدمة في تصميم نظام أمن المعلومات... جميع هذه المواضيع تندرج تحت المفهوم الأعم لأمن المعلومات والذي نسمية ضمان المعلومات Information Assurance IA والذي نتناوله لاحقا في هذا السرد لتعاريف أمن المعلومات.

إدارة المخاطر Risk Management

بشكل عام يمكن أن نقول أن الخطورة (ريسك Risk) هي احتمال حدوث شئ سئ. ونقاط الضعف (فولنرابيليتيز Vulnerabilities) هي ما يمكن استغلاله لالحاق الأذى. أما التهديدات (ثريت Threats) هي اي شئ يمكن أن يسبب الأذى.

مثلا في بناء طابقي لا يحتوي على عدد كافي من مطافئ الحريق ولا يحوي مخارج طوارئ في كل طابق, تكون الخطورة هي احتمال وقوع ضحايا في البناء, وتكون نقاط الضعف عدم وجود مطافئ حريق كافية وعدم وجود مخارج طوارئ, ويكون التهديد هو وجود مواد قابلة للاشتعال في المبنى كلأثاث الخشبي والسجاد أو كبلات كهربائية مهترئة ممكن أن تشعل شرارة تؤدي لحريق.

بالتالي يمكن تعريف إدارة الخطورة على أنها عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات الخاصة بشخص ما أو بمؤسسة ما أو منظمة وتحديد الإجراءات المضادة واتباعها لانقاص الخطورة إلى حد مقبول بالنسبة لشروط العمل الموضوعية كالتكلفة والوقت والإمكانيات التقنية المتاحة.

بالعودة لمثالنا, إدارة الخطورة هي تحديد التهديدات الممكنة كوجود الكبلات الكهربائية المهترئة. وتحديد الاجراءات المضادة مثل صيانة الكبلات بالإضافة لوضع مطافئ حريق كافية وهكذا.

هنا تجدر الإشارة إلى:

  1. أن عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات يجب أن تكون عملية مستمرة ومتكررة. فطالما هناك معلومات يجب ضمان أمنه يجب ألا تتوقف عملية تحديد نقاط الضعف. لأن التهديدات الممكنة دائمة التجدد والتغير. فالتطورات التقنية مثلا تتيح المجال لاستغلال ثغرات لم يكن لها اعتبار بسبب غياب التقنية اللازمة.
  2. اختيار الاجراءات المضادة لانقاص الخطورة يجب أن يحقق توازن بين انتاجية المؤسسة والتكاليف والخطورة.
  3. لا يمكن تحديد كل المخاطر بالتالي لا يمكن أيضا الاستعداد لكل المخاطر.

أيضا من المفيد أن نذكر أن المخاطر على أمن المعلومات لفرد أو منظمة تزيد كلما زاد اعتماد الفرد أو المؤسسة على تقنيات العالم الرقمي. فكل تقنية جديدة تستخدمها المؤسسة أو يستخدمها الفرد في مهامه تحمل عددا جديدا من نقاط الضعف يضاف إلى نقاط الضعف الموجودة أساسا. ما يزيد بالتالي المخاطر ومعها التهديدات.

يجب إذا قبل إستخدام أو إدخال أية تقنية إلى عمل الفرد أو المؤسسة دراسة تأثيرها على مستوى الخطورة على أمن المعلومات الرقمية العام.

أمن البيانات أو أمن المعلومات الرقمية IT Security

هي إجراءات أمن المعلومات المطبقة على التجهيزات الرقمية كالحواسب الشخصية والإنترنت والهواتف النقالة والذكية... الخ. ففي عالم اليوم تلعب أجهزة الحاسوب والإنترنت دورا أساسياً في إدارة أي عمل أو مؤسسة أو شركة أو منظمة, بالتالي أصبح أمن المعلومات الرقمية (آي تي سيكيوريتي IT Security) أو أمن البيانات (داتا Data Security) ضرورة لا بل حاجة أساسية.

لا تقتصر ضرورة العناية بأمن البيانات أو أمن المعلومات الرقمية على الشركات والمنظمات بل تشمل أيضا أمن المعلومات الرقمية الشخصية للفرد نفسه.

في كثير من الأحيان, أنقذت إجراءات الأمن الرقمي للناشطين حياتهم عندما ألقي القبض عليهم بشكل تعسفي. وفي أحيان أخرى أدى إهمال مبادئ الأمن الرقمي الأساسية إلى استشهاد عدد كبير من الناشطين. وفي حالات أسؤأ أدى إهمال شخص واحد لمبدأ بسيط من مبادئ الأمن الرقمي إلى اعتقال عدد من زملائه من الفريق الذي يعمل ضمنه وأصدقائه وملاحقة عائلته والتنكيل بهم في المعتقل وتعذيبهم بلا رحمة.

أحيانا نسمع من يقول أنه بسبب وجوده في إحدى الدول الأوروبية لا داعي لأن يهتم بامن المعلومات. أيضا يجيب هؤلاء كلما أثرت الموضوع أمامهم أنهم بعيدون عن الاستبداد, وأن موضوع الامن الرقمي يخص من في الداخل فقط. هذه نظرية خاطئة. لأن اختراق حساب البريد الالكتروني لأحدهم, الذي يحوي على مراسلات مع ناشطين في الداخل, قد تشير إلى أصحاب المراسلات وأماكن تواجدهم في الداخل وتضعهم في خطر كبير. بالتالي إهمال من في الخارج لأمنهم الالكتروني يعرض من في الداخل لخطر الاعتقال والتعذيب والتصفية.

النظرية الصحيحة هي ان أمنك الرقمي حاجة أساسية سواء كنت ضمن دولة تعاني الاستبداد أو خارجها بينما زملاؤك يتواصلون معك من الداخل

الخصوصيّة على الإنترنت Internet Privacy

بشكل عام, الخصوصية هي الحد الذي يفصل بين ما يحق للآخرين أو المجتمع معرفته عن حياتنا الخاصة وما لا يحق للآخرين أو المجتمع معرفته عن حياتنا الخاصة. بكلمات أخرى, تعني الخصوصية قدرة أو حق شخص أو مجموعة من الأشخاص في البت في ما يمكن نشره من معلومات عنهم على العلن وما لا يمكن نشره.

الخصوصية حق من حقوق الانسان (راجع البند 12 من الاعلان العالمي لحقوق الانسان). وفي كثير من البلاد يعتبر احترام الخصوصية جزءا أساسيا من كرامة الانسان وجزءا أساسيا من القيم كحرية التعبير, وحرية الانتماء الفكري.

هناك درجات عديدة من الخصوصية. وفي العديد من الدول يجرم القانون درجات معينة من انتهاك الخصوصية الفردية فمثلا أخذ صورة بشكل سري لشخص داخل منزله تعتبر في أحد البلدان انتهاكا للخصوصية يعاقب عليها القانون. لأن الصورة أخذت دون موافقته المسبقة ودون معرفته وهو ضمن ملكيته الشخصية. لكن نشر معلومات عن تواجد شخص ما في مكان ما والذي هو أيضا انتهاك للخصوصية قد لا يعتبر جريمة يعاقب عليها القانون في نفس البلد.

تقوم الدول التي لا تحترم حقوق الانسان بانتهاك خصوصية الأفراد, فمثلا في سوريا في مقاهي الإنترنت يطلب صاحب المقهى من مستخدم الإنترنت ترك اسمه ورقم هويته عند استخدامه للانترنت وتجبر مقاهي الإنترنت على الاحتفاظ بسجلات الزوار بالإضافة لتسجيلات كاملة لاستخدامهم للانترت بدون علم الزوار. أيضا تنتهك السلطات الرسمية خصوصية مستخدمي الهواتف الجوالة والذكية عبر حصولها على بيانات الاتصال المتعلقة بأي شخص تريده عبر سلطتها القانونية على شركات الاتصال, وتملك السلطات الحق في التنصت على المكالمات وتسجيلها. هنا لا يمكن أن نقول أن السلطات تنتهك القانون. هنا يمكن بالتأكيد القول أن القانون استبدادي. وهذا ليس إلا غيض من فيض فيما يتعلق بانتهاك الخصوصية في الدول الاستبدادية. حيث ينتهك فيما ينتهك الحق في الحياة, والحق في انشاء التجمعات والحق في حرية الرأي وغيرها من الحريات التي يكفلها الاعلان العالمي لحقوق الانسان.

عودة لموضوعنا. ما يهمنا من الخصوصية في هذا الكتيب هو الخصوصية على الإنترنت وهي بالخصوصية فيما يتعلق بتخزين البيانات الشخصية عند استخدام الإنترنت, تمريريها لطرف ثالث أو إظهارها على العلن عبر الإنترنت. يمكن للخصوصة على الإنترنت أن تكون معلومات تحدد شخصية مستخدم الإنترنت كتاريخ الميلاد, الاسم الحقيقي, الصورة الشخصية, عنوان الشخص أو رقم جواز سفره. وتسمى هذه المعلومات اختصارا المعلومات المحددة للشخصية (بيرسونالي أيدينتيفايينغ إنفورميشن بي آي آي Personally Identifying Information PII) أو معلومات غير محددة للشخصية (non-PII) مثل سلوك زائر ما لموقع ما على الإنترنت.

كيف يضمن المستخدم للانترنت أنه لا يكشف عن هويته باستخدامه للانترنت لأغراض تغضب السلطات القمعية, ككتابة المقالات في المدونات المناوئة للاستبداد, أو رفع التقارير الصحفية والأفلام التي تظهر تورط السلطات بانتهاك حقوق الانسان. على المستخدم إن كان يريد الاستمرار في عمله الهام جدا في فضح ممارسات الاستبداد أن يهتم بسلامته الشخصية وسلامة من حوله من العاملين ليس فقط عبر تشفير المعلومات مثلا بل أيضا على ضمان عدم كشف شخصيته الحقيقية.

مثال على ذلك انشاء حساب فيسبوك واستخدام لقب ما أو اسم مغاير للاسم الحقيقي, وعدم وضع صورة شخصية أو وضع صورة شخصية لشخص آخر. واستخدام الحساب الوهمي للعمل المناوئ للاستبداد. مع العلم أن هذا التصرف مخالف لشروط استخدام فيسبوك ويعطيها الحق باغلاق الحساب عند وصول شكوى عن كون الحساب زائفا.

أمن الإنترنت Internet Security

أمن الإنترنت فرع في مجال أمن المعلومات الرقمي يختص بأمن المعلومات الرقمي على الإنترنت واستخداماتها خاصة ما يتعلق بمتصفحات الإنترنت. يهدف أمن الإنترنت لوضع القواعد والأساليب والإجرائيات التي تحد من مخاطر استخدام الإنترنت على أمن المعلومات. فتبادل المعلومات عبر الإنترنت يحمل مخاطر كثيرة جدا كالتنصت على الرسائل والخداع والغش وسرقة كلمات السرّ وغيرها.

تدخل في نطاق أمن الإنترنت مصطلحات كثيرة مثل:

والكثير غيرها.

تأمين المعلومات من الضياع Securing Data from Loss

تأمين المعلومات من الضياع يعني ضمنان عدم ضياع المعلومات مع مرور الوقت أو عند حدوث طارئ أو أزمة ما. الحوادث الطارئة التي قد تؤدي لضياع المعلومات تتراوح بين الكوارث الطبيعية والحذف غير المقصود للمعلومات, مرورا بالسرقة والعطب وتوقف الأجهزة عن العمل والهجمات الالكترونية التخريبية بمختلف أنواعها.

كثيرا ما نسمع أن فلانا أضاع هاتفه الجوال, ولأنه لم يكن مستعدا لهذا الاحتمال, فقد كل معلومات التواصل مع أصدقائه. هذا مثال بسيط على عدم وجود إجراء يضمن سلامة هذه المعلومات من الضياع.

أيضا توقف القرص الصلب (الهارد ديسك Hard-Disk) عن العمل سبب رئيسي من أسباب ضياع المعلومات عند المستخدم العادي. الكثيرون منا اختبروا هذا الأمر بأنفسهم وفقدوا بسبب بذلك محتويات أقراصهم الصلبة إلى الأبد.

اجراء النسخ الإحتياطية (باك أب Backup) بشكل دوري والاحتفاظ بها في مكان آمن بعيدا عن مكان تواجد المعلومات المراد الاحتفاظ بها هو الوسيلة الأكثر انتشارا لتأمين المعلومات من الضياع.

على كل شخص أو مجموعة أن تتأكد من أن المعلومات التي بحوزته مؤمنة من الضياع عبر وضع اجرائيات مناسبة وتنفيذها.

ضمان المعلومات Information Assurance IA

ضمان المعلومات هو مجموعة الأعمال الازمة لتأمين المعلومات وإدارة المخاطر الرتبطة باستخدام, معالجة, تخزين ونقل المعلومات. بالإضافة لتأمين الأنظمة والأجهزة المستخدمة والاجراءات اللازمة لتأمينها. يتضمن مصطلح ضمان المعلومات حماية المعلومات من الضياع أو التعديل, وضمان توافر المعلومات عند اللزوم فقط للأشخاص المخولين بالوصول لها. ويعتمد ضمان المعلومات على التقنيات والأجهزة المناسبة وأيضا على الاجراءات الإدارية. وعلى الرغم من أن المصطلح برز في مجال المعلومات الرقمية إلا أنه يستخدم في مجال المعلومات بشكل عام سواء كانت رقمية أو غير رقمية. بكلمات أخرى, أمن المعلومات هو المصطلح الأعم والأكثر شمولا فيما يتعلق بهذا المجال.

إذا ضمان المعلومات لا يتعلق فقط بأمن المعلومات بل بتأمين الأنظمة حيث يتم تداول المعلومات وتخزينها ومحتوياتها وأيضا بالاجراءات الاستراتيجية لإدارة المخاطر المتعلقة بأمن المعلومات.

بالتالي يقوم العاملون في مجال IA الواسع بالإضافة لمواجهة الاختراقات الأمنية أو التطبيقات والبرمجيات المسيئة (كالفيروسات), بإصدار سياسات المؤسسات المتعلقة بضمان المعلومات, كسياسة الخصوصية والمعايير ومقدار والالتزام بها, وأيضا بإجراء التدقيق في استعدادات المؤسسة لقابلية استمرار العمل, قابلية التعافي بعد الكوارث والمقصود هنا كوارث الاختراقات الأمنية المتعلقة بالمعلومات والكثير غيرها من المهمام والأنشطة.

وبالتالي يشمل العمل في مجال IA اختصاصات مختلفة كالمحاسبة, كشف التزوير, علم التحقيق الجنائي, علوم الإدارة, هندسة الأنظمة وهندسة الأمان وعلم الجريمة بالإضافة لعلوم الحاسب والشبكات الرقمية وغيرها من العلوم التقنية المتعلقة بالمعلومات ومعالجتها.

مدير أمن المعلومات CISO Chief Information Security Officer

مدير أمن المعلومات أو الـ CISO هو المدير الإداري الأرفع ضمن المؤسسة في مجال أمن المعلومات. وهو المسؤول عن وضع والمحافظة على رؤية المؤسسة, استراتيجيتها وبرنامج عملها في ما يتعلق بضمان المعلومات الخاصة بالمؤسسة. وهو أحد الموظفين من فئة الـ C (اختصارا لـ Chief) أي من فئة المسؤولين الإداريين في المؤسسات والشركات والتي تتضمن مثلا المدير التنفيذي العام للمؤسسة CEO ومدير المعلومات CIO مدير التسويق CMO.

يختلف تسلسل المسؤوليات الهرمي بالنسبة للـ CISO حسب بنية المؤسسة. ففي العديد من المؤسسات يكون الـ CISO مسؤولا أمام المدير التنفيذي CEO. وفي عيرها من المؤسسات أمام مدير المعلومات CIO، وفي الكثير منها يكون الـ CISO مسؤولا بشكل مباشر أمام مجلس إدارة المؤسسة Board of directors.

السرية، الأمانة والتوافر في ضمان المعلومات CIA of IA

سرية المعلومات Confidentiality وأمانتها Integrity وتوافرها Availability هي ثلاثة متطلبات أساسية لضمان المعلومات. وتسمى اختصارا بالـ CIA أو CIA of IA لتمييزها عن التسمية المختصرة لوكالة الاستخبارات المركزية في الولايات المتحدة الأمريكية.

تعني سريّة معلومات Confidentiality معينة باختصار ألّا تكشف هذه المعلومات إلا للمخولين بمعاينتها. أيضا يشمل التعريف إخفاء حقيقة وجود المعلومات عن غير المخولين بمعرفة وجودها أمانة المعلومات Integrity تعني أن هذه المعلومات لم يتم تعديلها أو التلاعب بها أو حذفها. يجب ملاحظة أن هذا لا يتعلق بصدق هذه المعلومات أو دقتها، وإنما فقط بأمانة المعلومات أثناء نقلها وأثناء تخزينها وأثناء معالجتها. أما توافر المعلومات Availability فتعني أن المعلومات التي تقوم المؤسسة مثلا بالاحتفاظ بها متوافرة للمخولين بمعاينتها عند الحاجة لها. فمثلا لو أن المؤسسة تحتفظ بملفات مهمة لعمل المؤسسة على قرص صلب وتعطل القرص الصلب فإن ذلك يعني خسارة المعلومات وعدم توافرا للمخولين بمعاينتها.

يحاول القائمون على ضمان المعلومات في أي مؤسسة على تأمين حلول تقنية أو إجرائية لتوفير السرية، الأمانة والتوافر حيث تنبغي وبحسب الإمكانيات المتاحة لتحقيق سوية مناسب من الخطورة.

CIA of IA ar.png

السرية الأمانة والتوافر في ضمان المعلومات CIA of IA

مكعب ماكمبر McCumber Cube

قام جون مككمبر عام 1991 بوضع إطار لتصميم وتقييم خطط ضمان المعلومات في المؤسسات كجزء من مهمة اسندت إليه. ولتوضيح الإطار استخدم جون مككمبر وجوه مكعب في رسم توضيحي بات يعرف باسم مكعب مككمبر، مبين في الشكل، ما زال يستخدم حتى هذا اليوم لبساطته ووضوحه ولتجرّده .

يذكر الوجه الأول (تدرجات الأزرق) مستخدم المكعب بمتطلبات أو معايير ضمان المعلومات الثلاثة، وهي سرية المعلومات Confidentiality، أمانة المعلومات Integrity وتوافرها Availability. وهي الأهداف التي ذكرناها في الفقرة السابقة. أما الوجه الثاني فيذكر مدير أمن المعلومات بمراعاة معايير ضمان المعلومات لجميع الحالات التي تتواجد فيها المعلومات في المؤسسة. سواء كانت المعلومات في طور النقل Transmission التخزينStorage أو المعالجة Processing (تدرجات الأحمر). أما الوجه الأخير فيذكر العناوين الأساسية التي يستطيع خبير أمن المعلومات استخدامها لتقليل الخطورة في كل مكان حيث يكون وهي السياسات Policies والتقنيات Technologies والعامل البشري Human Factors (تدرجات الأخضر).

يساعد مكعب مككمبر مدير أمن المعلومات الذي يعمل على وضع أو تقييم خطة شاملة لضمان المعلومات في المؤسسة مع مراعاة جميع النواحي في المنظومة. وبالتالي عدم نسيان أي جانب من جوانب ضمان المعلومات. فعند وضع خطة ضمان المعلومات يبدأ مدير أمن المعلومات بوجه المكعب المقابل للسياسات كما هو مبين في الشكل. يقوم مدير أمن المعلومات بمعاينة كل خانة من خانات هذا الوجه، أي بمعاينة الخانات التسعة والتأكد من وضع سياسات مناسبة لكل منها.

McCumberCube.png

مكعب ماكمبر McCumber Cube

أطر ضمان المعلومات Information Assurance Frameworks

مع إزدياد أهمية وقيمة المعلومات ومع نمو الاعتماد عليها في مختلف القطاعات، ومع نمو ونضوج الخبرات في التعاطي مع موضوع ضمان المعلومات، لاحظ العاملون في هذا القطاع أن ضمان المعلومات في مؤسسة ما يشبه إلى حد بعيد ضمان المعلومات في مؤسسة أخرى. فسارعوا إلى وضع معايير وقوالب وحلول تنظم عملهم وتضمن جودته وتغطيته لمختلف جوانب ضمان المعلومات.

إطار أمن المعلومات هو مجموعة من المعارف والقوالب والخطوات والحلول التي تساعد المسؤول عن ضمان المعلومات في مؤسسة ما على عمله في وضع ومراجعة خطة ضمان المعلومات في المؤسسة.

إذا عندما يقوم مدير أمن المعلومات CISO في مؤسسة ما بعمله فإنه يعتمد عادة على إطار من الأطر المعروفة لوضع السياسيات والإجراءات وتحديد الأدوات اللازمة لإدارة المخاطر المتعلقة بأمن المعلومات في المؤسسة أو لإجراء مراجعة شاملة لخطة أمن المعلومات المطبقة.

هناك أطر كثيرة لضمان المعلومات من أهمها:

وبالنسبة للمؤسسات غير الربحية الصغيرة والناشئة:

تنقل ضمن الكتيب eBook Navigation

التالي: أساسيات في الأمن الرقمي Information Security Essentials

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

تور Tor

الشبكة الخاصة الافتراضية Virtual Private Network

سايفون2 Psiphon2

سايفون3 Psiphon3

تشفير الرسائل الالكترونية PGP Encryption

الفيروسات Viruses

الديدان Worms

أحصنة طروادة Trojan Horses

برامج التجسس Spyware

مراجع References

الاعلان العالمي لحقوق الانسان

http://en.wikipedia.org/wiki/Internet_privacy

ISO/IEC 27001:2005

ISO/IEC 27001:2013

Online tracking more common than most realize

سلسلة معايير ISO/IEC 27000-series

800 عائلة معايير NIST SP 800-x

Risk Management Guide for Information Technology Systems

سيفتاچ SAFETAG

هل تعرف ماهو الأثر الرقمي؟ - مقابلة مع باسل مطر