تغييرات

اذهب إلى: تصفح، ابحث

تعاريف في أمن المعلومات Definitions

تم إضافة 2٬327 بايت، 11:11، 19 ديسمبر 2019
ط
مدير أمن المعلومات CISO Chief Information Security Officer
يجب إذا قبل إستخدام أو إدخال أية تقنية إلى عمل الفرد أو المؤسسة دراسة تأثيرها على مستوى الخطورة على أمن المعلومات الرقمية العام.
 
==نمذجة التهديدات Threat Modelling==
 
هي عملية يتم خلالها تحديد التهديدات المحتملة على منظومة ما وترتيبها. وهي بالتالي جزء أساسي ومحدد من إدارة الخطورة Risk Management.
الهدف من تحديد التهديدات هو الإجابة على الأسئلة التالية التي يتم الإجابة عليها من وجهة نظر المهاجمين على اختلاف انواعهم:
* ما هي الموارد ذات الأهمية القصوى ضمن المنظومة؟
* ما هي نقطة الضعف الأكبر في المنظومة؟
* ما هي التهديدات المهمة من بين جميع التهديدات المحتملة؟
* هل هناك نقاط ضعف لم يتم ملاحظتها سابقا؟
 
ينتج عن تحديد التهديدات وترتيبها نموذج التهديدات الخاص بالمنظومة. قد تتشارك عدد من المنظومات بنموذج التهديد نفسه. مثلا قد يتماثل نموذج تهديدات صحيفة في مدينة ما مع صحيفة منافسة لها في نفس المدينة، وإن لم تتماثل تماما قد تتشابه إلى حد كبير.
 
يساعد تشابه نموذج التهديدات لمنظمة ما ونموذج النهديدات لمنظمة ثانية في تسهيل وضع أو تعديل خطط الأمان للمنظمتين. فما ينطبق على المنظمة الأولى غالبا ما ينطبق على الأخرى وبالعكس،
 
وينتج إعداد نماذج تهديدات مختلفة على إعداد قوالب جاهزة لخطط الأمان، يمكن تطبيقها بسرعة وربما بتعديلات طفيفة على منظومات جديدة عند توفر القالب المناسب للنموذج.
==أمن البيانات أو أمن المعلومات الرقمية IT Security==
تقوم الدول التي لا تحترم حقوق الانسان بانتهاك خصوصية الأفراد, فمثلا في سوريا في مقاهي الإنترنت يطلب صاحب المقهى من مستخدم الإنترنت ترك اسمه ورقم هويته عند استخدامه للانترنت وتجبر مقاهي الإنترنت على الاحتفاظ بسجلات الزوار بالإضافة لتسجيلات كاملة لاستخدامهم للانترت بدون علم الزوار. أيضا تنتهك السلطات الرسمية خصوصية مستخدمي الهواتف الجوالة والذكية عبر حصولها على بيانات الاتصال المتعلقة بأي شخص تريده عبر سلطتها القانونية على شركات الاتصال, وتملك السلطات الحق في التنصت على المكالمات وتسجيلها. هنا لا يمكن أن نقول أن السلطات تنتهك القانون. هنا يمكن بالتأكيد القول أن القانون استبدادي. وهذا ليس إلا غيض من فيض فيما يتعلق بانتهاك الخصوصية في الدول الاستبدادية. حيث ينتهك فيما ينتهك الحق في الحياة, والحق في انشاء التجمعات والحق في حرية الرأي وغيرها من الحريات التي يكفلها الاعلان العالمي لحقوق الانسان.
عودة لموضوعنا. ما يهمنا من الخصوصية في هذا الكتيب هو '''[[الخصوصية على الإنترنت''' وهي بالخصوصية فيما يتعلق بتخزين البيانات الشخصية ]] والتي تتعلق بالبيانات الشخصيّة والوصفية للمستخدمين عند استخدام الإنترنت, تمريريها لطرف ثالث أو إظهارها على العلن عبر الإنترنت. يمكن للخصوصة ترتبط الخصوصية على الإنترنت أن تكون معلومات بأي المعلومات تحدد شخصية مستخدم الإنترنت كتاريخ الميلاد, الميلاد، الاسم الحقيقي, الحقيقي، الصورة الشخصية, الشخصية، عنوان الشخص السكن أو رقم جواز سفرهالسفر. وتسمى هذه المعلومات اختصارا المعلومات المحددة للشخصية (بيرسونالي أيدينتيفايينغ إنفورميشن بي آي آي Personally Identifying Information PII) أو معلومات كما ترتبط الخصوصية على الانترنت بالمعلومات غير محددة المحددة للشخصية (non-PII) مثل سلوك زائر ما لموقع ما على الإنترنتالإنترنت، فترة الزيارة، تاريخ الزيارة، ما هي المواقع والصفحات التي عاينها المستخدم، الخ.
كيف يضمن المستخدم للانترنت أنه لا يكشف مستخدمو الإنترنت عدم الكشف عن هويته باستخدامه للانترنت هويتهم عند استخدام الانترنت لأغراض تغضب السلطات القمعية, القمعية، ككتابة المقالات المناوئة للاستبداد في [[المدونات]] المناوئة للاستبداد, ، أو رفع التقارير الصحفية الصحفيّة والأفلام التي تظهر تورط السلطات مثلا بانتهاك حقوق الانسانأو التي تثبت الفساد الإداري في الدوائر الرسمية. على المستخدم إن كان يريد الاستمرار في عمله الهام جدا في فضح ممارسات الاستبداد أن يهتم بسلامته المستخدمين الاهتمام بسلامتهم الشخصية وسلامة من حوله حولهم من العاملين ليس فقط عبر تشفير المعلومات مثلا واستخدام وسائل الاتصال المشفرة، بل عليهم أيضا على ضمان عدم كشف شخصيته الحقيقيةالاهتمام بخصوصيتهم وخصوصية من حولهم إن كانوا يريدون الاستمرار في عملهم.
مثال على ذلك انشاء حساب فيسبوك واستخدام لقب ما أو اسم مغاير للاسم الحقيقي, وعدم وضع صورة شخصية أو وضع صورة شخصية لشخص آخر. واستخدام الحساب الوهمي للعمل المناوئ للاستبداد. مع العلم أن هذا التصرف مخالف لشروط استخدام فيسبوك ويعطيها الحق باغلاق الحساب عند وصول شكوى عن كون الحساب زائفا.
إذا ضمان المعلومات لا يتعلق فقط بأمن المعلومات بل بتأمين الأنظمة حيث يتم تداول المعلومات وتخزينها ومحتوياتها وأيضا بالاجراءات الاستراتيجية لإدارة المخاطر المتعلقة بأمن المعلومات.
بالتالي يقوم العاملون في مجال IA الواسع بالإضافة لمواجهة الاختراقات الأمنية أو التطبيقات والبرمجيات المسيئة الخبيثة (كالفيروسات), بإصدار سياسات المؤسسات المتعلقة بضمان المعلومات, كسياسة الخصوصية والمعايير ومقدار والالتزام بها, وأيضا بإجراء التدقيق في استعدادات المؤسسة لقابلية استمرار العمل, قابلية التعافي بعد الكوارث والمقصود هنا كوارث الاختراقات الأمنية المتعلقة بالمعلومات والكثير غيرها من المهمام والأنشطة.
وبالتالي يشمل العمل في مجال IA اختصاصات مختلفة كالمحاسبة, كشف التزوير, علم التحقيق الجنائي, علوم الإدارة, هندسة الأنظمة وهندسة الأمان وعلم الجريمة بالإضافة لعلوم الحاسب والشبكات الرقمية وغيرها من العلوم التقنية المتعلقة بالمعلومات ومعالجتها.
<span id="CIA">
<span id="confidentiality"></span>
<span id="integrity"></span>
<span id="availability"></span>
==السرية، الأمانة والتوافر في ضمان المعلومات CIA of IA==
==أطر ضمان المعلومات Information Assurance Frameworks==
مع إزدياد ازدياد أهمية وقيمة المعلومات ومع نمو الاعتماد عليها في مختلف القطاعات، ومع نمو ونضوج الخبرات في التعاطي مع موضوع ضمان المعلومات، لاحظ العاملون في هذا القطاع أن ضمان المعلومات في مؤسسة ما يشبه إلى حد بعيد ضمان المعلومات في مؤسسة أخرى. فسارعوا إلى وضع معايير وقوالب وحلول تنظم عملهم وتضمن جودته وتغطيته لمختلف جوانب ضمان المعلومات.
إطار أمن المعلومات هو مجموعة من المعارف والقوالب والخطوات والعمليات والحلول التي تساعد المسؤول عن ضمان المعلومات في مؤسسة ما على عمله في وضع ومراجعة خطة ضمان المعلومات في المؤسسة.
إذا عندما يقوم مدير أمن المعلومات CISO في مؤسسة ما بعمله فإنه يعتمد عادة على إطار من الأطر المعروفة لوضع السياسيات والإجراءات وتحديد الأدوات اللازمة لإدارة المخاطر المتعلقة بأمن المعلومات في المؤسسة أو لإجراء مراجعة شاملة لخطة أمن المعلومات المطبقة.
* [http://csrc.nist.gov/publications/PubsSPs.html#SP 800 عائلة معايير NIST SP 800-x]
وبالنسبة للمؤسسات غير الربحية الصغيرة والناشئة:
* [https://safetag.org سيفتاچ SAFETAG] من مؤسسة [https://www.internews.org/ Internews]
<!--
==نظام إدارة أمن المعلومات ISMS Information Security Management System==
[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf Risk Management Guide for Information Technology Systems]
[https://safetag.org سيفتاچ SAFETAG]
[http://rozana.fm/ar/22271-%D9%87%D9%84-%D8%AA%D8%B9%D8%B1%D9%81-%D9%85%D8%A7%D9%87%D9%88-%D8%A7%D9%84%D8%A3%D8%AB%D8%B1-%D8%A7%D9%84%D8%B1%D9%82%D9%85%D9%8A%D8%9F هل تعرف ماهو الأثر الرقمي؟ - مقابلة مع باسل مطر]

قائمة التصفح

MediaWiki spam blocked by CleanTalk.