تعاريف في أمن المعلومات Definitions

مقدمة

يبدأ مشوارنا مع أمن المعلومات من هذا الفصل الذي نقدم فيه ملخصا للتعاريف الأساسية في مجال أمن المعلومات. كي تكون أساسا لما سيأتي في الفصول الكثيرة اللاحقة. دعونا إذا نبدأ المشوار.

أمن المعلومات Information Security

هو حماية معلومات معينة من أن تعاين، أو تستخدم من قبل أشخاص غير مخول لهم ذلك، أو من أن تكشف للعلن، أو توزع، أو أن تعدّل، أو من أن تدمر أو تحذف. هذا التعريف ينطبق على أي نوع من المعلومات سواء كانت المعلومة مكتوبة على ورق أو موجودة في ملف ما على الإنترنت.

لا يتضمن هذا التعريف الاجراءات اللازمة لضمان أمن المعلومات والاجراءات التي يجب وضعها للتعامل مع حالات خسارة أمن المعلومات مؤقتا أو حالات خسارة المعلومات أو جزء منها وغير ذلك. ولا بنمذجة التهديدات Threat Modeling ولا بآليات إدارة المخاطر والتدريب والتوافق مع القوانين المعمول بها ولا بالتكنولوجيا المستخدمة في تصميم نظام أمن المعلومات. جميع هذه المواضيع تندرج تحت المفهوم الأعم لأمن المعلومات والذي نسميه ضمان المعلومات Information Assurance IA والذي نتناوله لاحقا في هذا السرد لتعاريف أمن المعلومات.

إدارة الخطورة Risk Management

بشكل عام يمكن أن نقول أن الخطورة (ريسك Risk) هي احتمال حدوث شئ سئ. ونقاط الضعف (فولنرابيليتيز Vulnerabilities) هي ما يمكن استغلاله لالحاق الأذى. أما التهديدات (ثريت Threats) هي اي شئ يمكن أن يسبب الأذى.

مثلا في بناء طابقي لا يحتوي على عدد كافي من مطافئ الحريق ولا يحوي مخارج طوارئ في كل طابق, تكون الخطورة هي احتمال وقوع ضحايا في البناء, وتكون نقاط الضعف عدم وجود مطافئ حريق كافية وعدم وجود مخارج طوارئ, ويكون التهديد هو وجود مواد قابلة للاشتعال في المبنى كلأثاث الخشبي والسجاد أو كبلات كهربائية مهترئة ممكن أن تشعل شرارة تؤدي لحريق.

بالتالي يمكن تعريف إدارة الخطورة على أنها عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات الخاصة بشخص ما أو بمؤسسة ما أو منظمة ما، ثم تحديد الإجراءات المضادة واتباعها لإزالة ما أمكن من الخطورة، ولتقليل أثر الباقي من الخطورة إلى حد مقبول بالنسبة لشروط العمل الموضوعية كالتكلفة والوقت والإمكانيات التقنية المتاحة، واستيعاب وجود خطورة متبقية لا يمكن إزالتها أو التعامل معها وفق المعطيات الموضوعية يجب التعايش معها.

بالعودة لمثالنا, إدارة الخطورة هي تحديد التهديدات الممكنة كوجود الكبلات الكهربائية المهترئة. وتحديد الاجراءات المضادة مثل صيانة الكبلات بالإضافة لوضع مطافئ حريق كافية وهكذا.

هنا تجدر الإشارة إلى:

أن عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات يجب أن تكون عملية مستمرة ومتكررة. فطالما هناك معلومات يجب ضمان أمنه يجب ألا تتوقف عملية تحديد نقاط الضعف. لأن التهديدات الممكنة دائمة التجدد والتغير. فالتطورات التقنية مثلا تتيح المجال لاستغلال ثغرات لم يكن لها اعتبار بسبب غياب التقنية اللازمة.
اختيار الاجراءات المضادة لانقاص الخطورة يجب أن يحقق توازن بين انتاجية المؤسسة والتكاليف والخطورة.
لا يمكن تحديد كل المخاطر بالتالي لا يمكن أيضا الاستعداد لكل المخاطر.

أيضا من المفيد أن نذكر أن المخاطر على أمن المعلومات لفرد أو منظمة تزيد كلما زاد اعتماد الفرد أو المؤسسة على تقنيات العالم الرقمي. فكل تقنية جديدة تستخدمها المؤسسة أو يستخدمها الفرد في مهامه تحمل عددا جديدا من نقاط الضعف يضاف إلى نقاط الضعف الموجودة أساسا. ما يزيد بالتالي المخاطر ومعها التهديدات.

يجب إذا قبل إستخدام أو إدخال أية تقنية إلى عمل الفرد أو المؤسسة دراسة تأثيرها على مستوى الخطورة على أمن المعلومات الرقمية العام.

نمذجة التهديدات Threat Modelling

هي عملية يتم خلالها تحديد التهديدات المحتملة على منظومة ما وترتيبها. وهي بالتالي جزء أساسي ومحدد من إدارة الخطورة Risk Management. الهدف من تحديد التهديدات هو الإجابة على الأسئلة التالية التي يتم الإجابة عليها من وجهة نظر المهاجمين على اختلاف انواعهم:

ما هي الموارد ذات الأهمية القصوى ضمن المنظومة؟
ما هي نقطة الضعف الأكبر في المنظومة؟
ما هي التهديدات المهمة من بين جميع التهديدات المحتملة؟
هل هناك نقاط ضعف لم يتم ملاحظتها سابقا؟

ينتج عن تحديد التهديدات وترتيبها نموذج التهديدات الخاص بالمنظومة. قد تتشارك عدد من المنظومات بنموذج التهديد نفسه. مثلا قد يتماثل نموذج تهديدات صحيفة في مدينة ما مع صحيفة منافسة لها في نفس المدينة، وإن لم تتماثل تماما قد تتشابه إلى حد كبير.

يساعد تشابه نموذج التهديدات لمنظمة ما ونموذج النهديدات لمنظمة ثانية في تسهيل وضع أو تعديل خطط الأمان للمنظمتين. فما ينطبق على المنظمة الأولى غالبا ما ينطبق على الأخرى وبالعكس،

وينتج إعداد نماذج تهديدات مختلفة على إعداد قوالب جاهزة لخطط الأمان، يمكن تطبيقها بسرعة وربما بتعديلات طفيفة على منظومات جديدة عند توفر القالب المناسب للنموذج.

أمن البيانات أو أمن المعلومات الرقمية IT Security

هي إجراءات أمن المعلومات المطبقة على التجهيزات الرقمية كالحواسب الشخصية والإنترنت والهواتف النقالة والذكية... الخ. ففي عالم اليوم تلعب أجهزة الحاسوب والإنترنت دورا أساسياً في إدارة أي عمل أو مؤسسة أو شركة أو منظمة, بالتالي أصبح أمن المعلومات الرقمية (آي تي سيكيوريتي IT Security) أو أمن البيانات (داتا Data Security) ضرورة لا بل حاجة أساسية.

لا تقتصر ضرورة العناية بأمن البيانات أو أمن المعلومات الرقمية على الشركات والمنظمات بل تشمل أيضا أمن المعلومات الرقمية الشخصية للفرد نفسه.

في كثير من الأحيان, أنقذت إجراءات الأمن الرقمي للناشطين حياتهم عندما ألقي القبض عليهم بشكل تعسفي. وفي أحيان أخرى أدى إهمال مبادئ الأمن الرقمي الأساسية إلى استشهاد عدد كبير من الناشطين. وفي حالات أسؤأ أدى إهمال شخص واحد لمبدأ بسيط من مبادئ الأمن الرقمي إلى اعتقال عدد من زملائه من الفريق الذي يعمل ضمنه وأصدقائه وملاحقة عائلته والتنكيل بهم في المعتقل وتعذيبهم بلا رحمة.

أحيانا نسمع من يقول أنه بسبب وجوده في إحدى الدول الأوروبية لا داعي لأن يهتم بامن المعلومات. أيضا يجيب هؤلاء كلما أثرت الموضوع أمامهم أنهم بعيدون عن الاستبداد, وأن موضوع الامن الرقمي يخص من في الداخل فقط. هذه نظرية خاطئة. لأن اختراق حساب البريد الالكتروني لأحدهم, الذي يحوي على مراسلات مع ناشطين في الداخل, قد تشير إلى أصحاب المراسلات وأماكن تواجدهم في الداخل وتضعهم في خطر كبير. بالتالي إهمال من في الخارج لأمنهم الالكتروني يعرض من في الداخل لخطر الاعتقال والتعذيب والتصفية.

النظرية الصحيحة هي ان أمنك الرقمي حاجة أساسية سواء كنت ضمن دولة تعاني الاستبداد أو خارجها بينما زملاؤك يتواصلون معك من الداخل

الخصوصيّة على الإنترنت Internet Privacy

بشكل عام, الخصوصية Privacy هي الحد الذي يفصل بين ما يحق للآخرين أو المجتمع معرفته عن حياتنا الخاصة وما لا يحق للآخرين أو المجتمع معرفته عن حياتنا الخاصة. بكلمات أخرى, تعني الخصوصية قدرة أو حق شخص أو مجموعة من الأشخاص في البت في ما يمكن نشره من معلومات عنهم على العلن وما لا يمكن نشره.

الخصوصية حق من حقوق الانسان (راجع البند 12 من الاعلان العالمي لحقوق الانسان). وفي كثير من البلاد يعتبر احترام الخصوصية جزءا أساسيا من كرامة الانسان وجزءا أساسيا من القيم كحرية التعبير, وحرية الانتماء الفكري.

هناك درجات عديدة من الخصوصية. وفي العديد من الدول يجرم القانون درجات معينة من انتهاك الخصوصية الفردية فمثلا أخذ صورة بشكل سري لشخص داخل منزله تعتبر في أحد البلدان انتهاكا للخصوصية يعاقب عليها القانون. لأن الصورة أخذت دون موافقته المسبقة ودون معرفته وهو ضمن ملكيته الشخصية. لكن نشر معلومات عن تواجد شخص ما في مكان ما والذي هو أيضا انتهاك للخصوصية قد لا يعتبر جريمة يعاقب عليها القانون في نفس البلد.

تقوم الدول التي لا تحترم حقوق الانسان بانتهاك خصوصية الأفراد, فمثلا في سوريا في مقاهي الإنترنت يطلب صاحب المقهى من مستخدم الإنترنت ترك اسمه ورقم هويته عند استخدامه للانترنت وتجبر مقاهي الإنترنت على الاحتفاظ بسجلات الزوار بالإضافة لتسجيلات كاملة لاستخدامهم للانترت بدون علم الزوار. أيضا تنتهك السلطات الرسمية خصوصية مستخدمي الهواتف الجوالة والذكية عبر حصولها على بيانات الاتصال المتعلقة بأي شخص تريده عبر سلطتها القانونية على شركات الاتصال, وتملك السلطات الحق في التنصت على المكالمات وتسجيلها. هنا لا يمكن أن نقول أن السلطات تنتهك القانون. هنا يمكن بالتأكيد القول أن القانون استبدادي. وهذا ليس إلا غيض من فيض فيما يتعلق بانتهاك الخصوصية في الدول الاستبدادية. حيث ينتهك فيما ينتهك الحق في الحياة, والحق في انشاء التجمعات والحق في حرية الرأي وغيرها من الحريات التي يكفلها الاعلان العالمي لحقوق الانسان.

عودة لموضوعنا. ما يهمنا من الخصوصية في هذا الكتيب هو الخصوصية على الإنترنت والتي تتعلق بالبيانات الشخصيّة والوصفية للمستخدمين عند استخدام الإنترنت تمريريها لطرف ثالث أو إظهارها على العلن عبر الإنترنت. ترتبط الخصوصية على الإنترنت بأي المعلومات تحدد شخصية مستخدم الإنترنت كتاريخ الميلاد، الاسم الحقيقي، الصورة الشخصية، عنوان السكن أو رقم جواز السفر. وتسمى هذه المعلومات اختصارا المعلومات المحددة للشخصية (بيرسونالي أيدينتيفايينغ إنفورميشن بي آي آي Personally Identifying Information PII) كما ترتبط الخصوصية على الانترنت بالمعلومات غير المحددة للشخصية (non-PII) مثل سلوك زائر ما لموقع ما على الإنترنت، فترة الزيارة، تاريخ الزيارة، ما هي المواقع والصفحات التي عاينها المستخدم، الخ.

كيف يضمن مستخدمو الإنترنت عدم الكشف عن هويتهم عند استخدام الانترنت لأغراض تغضب السلطات القمعية، ككتابة المقالات المناوئة للاستبداد في المدونات، أو رفع التقارير الصحفيّة والأفلام التي تظهر تورط السلطات مثلا بانتهاك حقوق الانسان أو التي تثبت الفساد الإداري في الدوائر الرسمية. على المستخدمين الاهتمام بسلامتهم الشخصية وسلامة من حولهم من العاملين ليس فقط عبر تشفير المعلومات مثلا واستخدام وسائل الاتصال المشفرة، بل عليهم أيضا الاهتمام بخصوصيتهم وخصوصية من حولهم إن كانوا يريدون الاستمرار في عملهم.

مثال على ذلك انشاء حساب فيسبوك واستخدام لقب ما أو اسم مغاير للاسم الحقيقي, وعدم وضع صورة شخصية أو وضع صورة شخصية لشخص آخر. واستخدام الحساب الوهمي للعمل المناوئ للاستبداد. مع العلم أن هذا التصرف مخالف لشروط استخدام فيسبوك ويعطيها الحق باغلاق الحساب عند وصول شكوى عن كون الحساب زائفا.

أمن الإنترنت Internet Security

أمن الإنترنت فرع في مجال أمن المعلومات الرقمي يختص بأمن المعلومات الرقمي على الإنترنت واستخداماتها خاصة ما يتعلق بمتصفحات الإنترنت. يهدف أمن الإنترنت لوضع القواعد والأساليب والإجرائيات التي تحد من مخاطر استخدام الإنترنت على أمن المعلومات. فتبادل المعلومات عبر الإنترنت يحمل مخاطر كثيرة جدا كالتنصت على الرسائل والخداع والغش وسرقة كلمات السرّ وغيرها.

تدخل في نطاق أمن الإنترنت مصطلحات كثيرة مثل:

والكثير غيرها.

تأمين المعلومات من الضياع Securing Data from Loss

تأمين المعلومات من الضياع يعني ضمنان عدم ضياع المعلومات مع مرور الوقت أو عند حدوث طارئ أو أزمة ما. الحوادث الطارئة التي قد تؤدي لضياع المعلومات تتراوح بين الكوارث الطبيعية والحذف غير المقصود للمعلومات, مرورا بالسرقة والعطب وتوقف الأجهزة عن العمل والهجمات الالكترونية التخريبية بمختلف أنواعها.

كثيرا ما نسمع أن فلانا أضاع هاتفه الجوال, ولأنه لم يكن مستعدا لهذا الاحتمال, فقد كل معلومات التواصل مع أصدقائه. هذا مثال بسيط على عدم وجود إجراء يضمن سلامة هذه المعلومات من الضياع.

أيضا توقف القرص الصلب الهارد ديسك Hard-Disk عن العمل سبب رئيسي من أسباب ضياع المعلومات عند المستخدم العادي. الكثيرون منا اختبروا هذا الأمر بأنفسهم وفقدوا بسبب بذلك محتويات أقراصهم الصلبة إلى الأبد.

اجراء النسخ الاحتياطية Backups بشكل دوري والاحتفاظ بها في مكان آمن بعيدا عن مكان تواجد المعلومات المراد الاحتفاظ بها هو الوسيلة الأكثر انتشارا لتأمين المعلومات من الضياع.

على كل شخص أو مجموعة أن تتأكد من أن المعلومات التي بحوزته مؤمنة من الضياع عبر وضع اجرائيات مناسبة وتنفيذها.

ضمان المعلومات Information Assurance IA

ضمان المعلومات هو مجموعة الأعمال الازمة لتأمين المعلومات وإدارة المخاطر الرتبطة باستخدام, معالجة, تخزين ونقل المعلومات. بالإضافة لتأمين الأنظمة والأجهزة المستخدمة والاجراءات اللازمة لتأمينها. يتضمن مصطلح ضمان المعلومات حماية المعلومات من الضياع أو التعديل, وضمان توافر المعلومات عند اللزوم فقط للأشخاص المخولين بالوصول لها. ويعتمد ضمان المعلومات على التقنيات والأجهزة المناسبة وأيضا على الاجراءات الإدارية. وعلى الرغم من أن المصطلح برز في مجال المعلومات الرقمية إلا أنه يستخدم في مجال المعلومات بشكل عام سواء كانت رقمية أو غير رقمية. بكلمات أخرى, أمن المعلومات هو المصطلح الأعم والأكثر شمولا فيما يتعلق بهذا المجال.

إذا ضمان المعلومات لا يتعلق فقط بأمن المعلومات بل بتأمين الأنظمة حيث يتم تداول المعلومات وتخزينها ومحتوياتها وأيضا بالاجراءات الاستراتيجية لإدارة المخاطر المتعلقة بأمن المعلومات.

بالتالي يقوم العاملون في مجال IA الواسع بالإضافة لمواجهة الاختراقات الأمنية أو التطبيقات والبرمجيات الخبيثة (كالفيروسات), بإصدار سياسات المؤسسات المتعلقة بضمان المعلومات, كسياسة الخصوصية والمعايير ومقدار والالتزام بها, وأيضا بإجراء التدقيق في استعدادات المؤسسة لقابلية استمرار العمل, قابلية التعافي بعد الكوارث والمقصود هنا كوارث الاختراقات الأمنية المتعلقة بالمعلومات والكثير غيرها من المهمام والأنشطة.

وبالتالي يشمل العمل في مجال IA اختصاصات مختلفة كالمحاسبة, كشف التزوير, علم التحقيق الجنائي, علوم الإدارة, هندسة الأنظمة وهندسة الأمان وعلم الجريمة بالإضافة لعلوم الحاسب والشبكات الرقمية وغيرها من العلوم التقنية المتعلقة بالمعلومات ومعالجتها.

مدير أمن المعلومات CISO Chief Information Security Officer

مدير أمن المعلومات أو الـ CISO هو المدير الإداري الأرفع ضمن المؤسسة في مجال أمن المعلومات. وهو المسؤول عن وضع والمحافظة على رؤية المؤسسة, استراتيجيتها وبرنامج عملها في ما يتعلق بضمان المعلومات الخاصة بالمؤسسة. وهو أحد الموظفين من فئة الـ C (اختصارا لـ Chief) أي من فئة المسؤولين الإداريين في المؤسسات والشركات والتي تتضمن مثلا المدير التنفيذي العام للمؤسسة CEO ومدير المعلومات CIO مدير التسويق CMO.

يختلف تسلسل المسؤوليات الهرمي بالنسبة للـ CISO حسب بنية المؤسسة. ففي العديد من المؤسسات يكون الـ CISO مسؤولا أمام المدير التنفيذي CEO. وفي عيرها من المؤسسات أمام مدير المعلومات CIO، وفي الكثير منها يكون الـ CISO مسؤولا بشكل مباشر أمام مجلس إدارة المؤسسة Board of directors.

السرية، الأمانة والتوافر في ضمان المعلومات CIA of IA

سرية المعلومات Confidentiality وأمانتها Integrity وتوافرها Availability هي ثلاثة متطلبات أساسية لضمان المعلومات. وتسمى اختصارا بالـ CIA أو CIA of IA لتمييزها عن التسمية المختصرة لوكالة الاستخبارات المركزية في الولايات المتحدة الأمريكية.

تعني سريّة معلومات Confidentiality معينة باختصار ألّا تكشف هذه المعلومات إلا للمخولين بمعاينتها. أيضا يشمل التعريف إخفاء حقيقة وجود المعلومات عن غير المخولين بمعرفة وجودها أمانة المعلومات Integrity تعني أن هذه المعلومات لم يتم تعديلها أو التلاعب بها أو حذفها. يجب ملاحظة أن هذا لا يتعلق بصدق هذه المعلومات أو دقتها، وإنما فقط بأمانة المعلومات أثناء نقلها وأثناء تخزينها وأثناء معالجتها. أما توافر المعلومات Availability فتعني أن المعلومات التي تقوم المؤسسة مثلا بالاحتفاظ بها متوافرة للمخولين بمعاينتها عند الحاجة لها. فمثلا لو أن المؤسسة تحتفظ بملفات مهمة لعمل المؤسسة على قرص صلب وتعطل القرص الصلب فإن ذلك يعني خسارة المعلومات وعدم توافرا للمخولين بمعاينتها.

يحاول القائمون على ضمان المعلومات في أي مؤسسة على تأمين حلول تقنية أو إجرائية لتوفير السرية، الأمانة والتوافر حيث تنبغي وبحسب الإمكانيات المتاحة لتحقيق سوية مناسب من الخطورة.

السرية الأمانة والتوافر في ضمان المعلومات CIA of IA

مكعب ماكمبر McCumber Cube

قام جون مككمبر عام 1991 بوضع إطار لتصميم وتقييم خطط ضمان المعلومات في المؤسسات كجزء من مهمة اسندت إليه. ولتوضيح الإطار استخدم جون مككمبر وجوه مكعب في رسم توضيحي بات يعرف باسم مكعب مككمبر، مبين في الشكل، ما زال يستخدم حتى هذا اليوم لبساطته ووضوحه ولتجرّده .

يذكر الوجه الأول (تدرجات الأزرق) مستخدم المكعب بمتطلبات أو معايير ضمان المعلومات الثلاثة، وهي سرية المعلومات Confidentiality، أمانة المعلومات Integrity وتوافرها Availability. وهي الأهداف التي ذكرناها في الفقرة السابقة. أما الوجه الثاني فيذكر مدير أمن المعلومات بمراعاة معايير ضمان المعلومات لجميع الحالات التي تتواجد فيها المعلومات في المؤسسة. سواء كانت المعلومات في طور النقل Transmission التخزينStorage أو المعالجة Processing (تدرجات الأحمر). أما الوجه الأخير فيذكر العناوين الأساسية التي يستطيع خبير أمن المعلومات استخدامها لتقليل الخطورة في كل مكان حيث يكون وهي السياسات Policies والتقنيات Technologies والعامل البشري Human Factors (تدرجات الأخضر).

يساعد مكعب مككمبر مدير أمن المعلومات الذي يعمل على وضع أو تقييم خطة شاملة لضمان المعلومات في المؤسسة مع مراعاة جميع النواحي في المنظومة. وبالتالي عدم نسيان أي جانب من جوانب ضمان المعلومات. فعند وضع خطة ضمان المعلومات يبدأ مدير أمن المعلومات بوجه المكعب المقابل للسياسات كما هو مبين في الشكل. يقوم مدير أمن المعلومات بمعاينة كل خانة من خانات هذا الوجه، أي بمعاينة الخانات التسعة والتأكد من وضع سياسات مناسبة لكل منها.

مكعب ماكمبر McCumber Cube

أطر ضمان المعلومات Information Assurance Frameworks

مع ازدياد أهمية وقيمة المعلومات ومع نمو الاعتماد عليها في مختلف القطاعات، ومع نمو ونضوج الخبرات في التعاطي مع موضوع ضمان المعلومات، لاحظ العاملون في هذا القطاع أن ضمان المعلومات في مؤسسة ما يشبه إلى حد بعيد ضمان المعلومات في مؤسسة أخرى. فسارعوا إلى وضع معايير وقوالب وحلول تنظم عملهم وتضمن جودته وتغطيته لمختلف جوانب ضمان المعلومات.

إطار أمن المعلومات هو مجموعة من المعارف والقوالب والخطوات والعمليات والحلول التي تساعد المسؤول عن ضمان المعلومات في مؤسسة ما على عمله في وضع ومراجعة خطة ضمان المعلومات في المؤسسة.

إذا عندما يقوم مدير أمن المعلومات CISO في مؤسسة ما بعمله فإنه يعتمد عادة على إطار من الأطر المعروفة لوضع السياسيات والإجراءات وتحديد الأدوات اللازمة لإدارة المخاطر المتعلقة بأمن المعلومات في المؤسسة أو لإجراء مراجعة شاملة لخطة أمن المعلومات المطبقة.

هناك أطر كثيرة لضمان المعلومات من أهمها:

وبالنسبة للمؤسسات غير الربحية الصغيرة والناشئة: