الرئيسية
أحدث الصور
من طرف أمنالمعلومات والنظم المعلوماتية.. Security of Data andComputer Systems
ازدادت في السنوات السابقةعمليات الأتمتة في المؤسسات الحكومية والخاصة والتي تتطلب استخدام النظم المعلوماتية أوالحواسيب الإلكترونية وما يرافقها من ربط للنظم الحاسوبية بين المواقع المختلفةلهذه المؤسسات وتبادل المعلومات بين هذه المواقع. ونظراً لما توفره مثلهذه النظم المعلوماتيةفي سهولة سير الأعمال في المؤسسات، أصبح الاعتماد عليها أمراًضرورياً. لكن استخدام نظمالمعلومات الحاسوبية يؤدي إلى ظهور أخطار جديدة ناتجة عن تجميع كميات كبيرة من المعلومات فيمكان واحد، وجعل تلك المعلومات الهامة عرضةً للفقد أو السرقة أو العبث بها منأشخاص غير مخولين بالإطلاع عليها.
حماية ممتلكاتنامن المعلومات :
نحرص جميعاً على حمايةممتلكاتنا الخاصة أو العامة من العبث أو السرقة. فالمعلومات بأشكالها المختلفة الورقيه أوالإلكترونية هي ممتلكات تنفق المؤسسات أمولاً طائلة لتدوينها وحفظها. وبالتاليفالمعلومات الإلكترونية هي ممتلكات ولكي نحافظ عليها يجب علينا الحفاظ على أمنالنظم الحاسوبية الحاملة لها والشبكات الحاسوبية الناقلة لها. فنحنمعنيون بالحفاظ على سريةSecurityالمعلومات ومنع الوصول إليهاإلا من المخولين بذلك وعلى تكامليتها Integrity من حيث الدقة وعدم تغيير جزء منها وعلىجاهزيتها ِAvailability لتمكين المخولين من الوصول إليها عند الحاجة أي توفيراستمرارية بالحصول عليها فيكافة الظروف. من هنا ظهرت أهمية علوم أمن المعلومات والنظم المعلوماتية التي تغطيالمتطلبات الثلاث السابقة.
الأخطار والمهدداتالتي تتعرض لها النظم الحاسوبية :
إن معرفة المهددات التيتتعرض لها النظم الحاسوبية تساعد في وضع وتنفيذ الإجراءات الأمنية الأكثر فاعلية لمجابهة تلكالأخطار. يمكن تصنيف المهددات والأخطار إلى أربعة أنواع رئيسية هي:
-خرق النظم الحاسوبية بهدفالاطلاع على المعلومات المخزنة فيها والوصول إلى معلومات شخصية أو أمنية عن شخص ما، أوالتجسس الصناعي، أو التجسس المعادي للوصول إلى معلومات عسكرية سرية.
-خرق النظم الحاسوبية بهدفالتزوير أو الاحتيال (التلاعب بالحسابات في البنوك، التلاعب بفاتورة الهاتف، التلاعببالضرائب، تغيير بيانات شخصية في السجل المدني أوفي السجل العام للموظفين، الخ...).
-خرق النظم الحاسوبية بهدفتعطيل هذه النظم عن العمل لأغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل الفيروسات،الدودة، حصان طروادة، أو القنابل الإلكترونية) إما من قبل الأفراد أو العصاباتأو الجهات الأجنبيةبغرض شل هذه النظم الحاسوبية (أو المواقع على الإنترنت) عن العملوخاصة في ظروف خاصة أو في أوقاتالحرب.
-أخطار ناتجة عن فشل التجهيزاتفي العمل، أعطال كهربائية، حريق، كوارث طبيعية (فيضانات، زلزال، . .) ، عملياتتخريبية.
يبين المخطط رقم (1) نتائجدراسة أجريت على عدد من المؤسسات حول أنواع المهددات التي تتعرض لها أنظمتها الحاسوبية،حيث يبين نسبة المؤسسات التي ذكرت حدوث خسائر في بياناتها أو برمجياتها نتيجة إصابتهابالأخطار والمهددات.ويجدر الإشارة هنا إلى أن أنواع المهددات الأمنية للنظم المعلوماتية تتنوع مصادرها حسب الأغراض التيتقوم بها تلك النظم. فمثلاً تكون الأنظمة المرتبطة مع شبكة الإنترنت أكثر عرضةللفيروسات من الأنظمة غير المرتبطة مع الشبكة. نلاحظ أن حوالي 85% من المؤسساتفقدت بيانات وبرمجيات نتيجة الفيروسات بينما حوالي 55% فقدت بياناتهاأو برمجياتها نتيجة تعطل تجهيزات و50% فقدت بيانات نتيجة خروقاتداخلية من العاملين فيها.
متطلبات الأمنوالحماية للمنظومات المعلوماتية:
تعتبر مسألة أمن النظمالمعلوماتية من المسائل الحساسة في المؤسسات العامة والخاصة التي تقوم بأتمتة معلوماتها. وتختلفالمتطلبات الأمنية للمنظومات المعلوماتية تبعاً لاختلاف تطبيقات وأعمال كل مؤسسة.ويمكن حصر أهم هذه المتطلبات بما يلي:
google_protectAndRun("ads_core.google_render_ad", google_handleError, google_render_ad);
-يجب وضع سياسةpolicy حماية عامة لأمنالمعلومات والنظم المعلوماتية حسب طبيعة عمل وتطبيقات المؤسسة.
-من الضروري أن تدعم الإدارةالعليا في المؤسسة سياسة أمن المعلومات لديها.
-تسمية مسؤولين عن أمنالمعلومات في المؤسسة.
-تحديد الحمايات اللازم توفرهافي أنظمة التشغيل والتطبيقات المختلفة.
-تحديد آليات المراقبة والتفتيشفي النظم المعلوماتية والشبكات الحاسبية وإجراء السبر الدوري للأخطار الناتجة عناختراق المنظومات المعلوماتية.
-حفظ وسائط التخزين العاديةوالاحتياطية بشكل آمن .
-تعمية أو تشفير المعلومات عندالحفظ والتخزين والنقل على مختلف الوسائط.
-تأمين استمرارية عمل وجاهزيةنظم المعلومات -العمل في حالة الأزمات من خلال استخدام تجهيزات منيعة أو مرتبة بحيثتكون متسامحة مع الاخطاء ومن خلال التكرارية للتجهيزات في مواقع أخرى.
إجراءات الحماية الواجب توفرهافي المنظومات المعلوماتية:
يمكن حصر إجراءات الحمايةالواجب توفرها في النظم المعلوماتية لمجابهة المهددات التي تتعرض لها ولتحقيق المتطلباتالأمنية ضمن ثلاثة محاور رئيسية هي الحماية الفيزيائية وحماية البرامج والبياناتوحماية شبكات نقل المعلومات. ويتفرع عن هذه المحاور عدد من الإجراءاتالرئيسية التي يمكن تلخيصها بما يلي:
-إجراءات الحماية الفيزيائيةللأنظمة المعلوماتية.
-انتقاء العاملين في النظمالمعلوماتية وتوعيتهم أمنياً.
-إجراءات الحماية الخاصة بنظمالتشغيل والبرامج التطبيقية وضبط الصلاحيات.
-إجراءات الحماية الخاصةبالشبكات المعلوماتية.
-تعمية المعلومات المنقولةوالمخزنة (تشفيرها).
-إجرائية حفظ البيانات بصورةعامة وحفط نسخ عنها في مواقع آمنة.
-إجراءات لضمان استمرارية عملوجاهزية النظم المعلوماتية في كافة الظروف بما فيها حالات الكوارث الطبيعية.
وسنتناول هذه الإجرائيات بمزيدمن التفصيل في عدد لاحق.
ضرورة إحداث هيئة وطنية ناظمةلموضوع أمن المعلومات والنظم المعلوماتية:
يعتبر موضوع أمن النظمالمعلوماتية وتعمية المعلومات بغرض حمايتها عند التخزين أو النقل عبر وسائط النقل المختلفة،من الأمور الأساسية والهامة في البلدان المتطورة، حيث تولي هذه الدول موضوع أمنالنظم اهتماماً خاصاً ليس فقط لحماية أنظمتها بل للاستفادة من هذه التقنياتكوسيلة لاختراق أنظمة الغير، وتقوم بتضمين التجهيزات والبرمجيات المطورةلديها بالوسائل كالأبواب الخفية (Trapdoors) التي تمكنها من اختراق تلك التجهيزاتوالبرمجيات عند الحاجة. فعلىسبيل المثال تهتم وكالة الأمن القومي الأمريكية NSA بموضوع أمن المعلومات وتعميتها، إذ تقومبتنظيم موضوع استخدام التعمية أو التشفير وتتحكم بما ينشر حول هذاالموضوع في المجلات العلمية الأمريكية وكذلك ما يمكن بيعه للخارج من تجهيزاتوخوارزميات تعمية. كما تتحكم بالمنتجات التي تطرح في الأسواقالأمريكية لتمكن الحكومة من مراقبة المعلومات المشفرة عند الحاجة.
google_protectAndRun("ads_core.google_render_ad", google_handleError, google_render_ad);
ومع التطور السريع في الأتمتةالمعلوماتية في سورية والانتشار الواسع لشبكات الاتصالات المعلوماتية في التطبيقاتالمدنية واستخدام التشفير في الجهات المدنية، فلابد من إنشاء هيئة وطنية لأمنالمعلومات والنظم المعلوماتية تتضمن عدة أقسام تعنى بتصنيف المعلوماتوأمنها ورقابتها وبالنظم الحاسوبية وأمنها وبالشبكات المعلوماتيةواستثمارها ورقابتها وتقترح التشريعات اللازمة لذلك وتشرف على تنفيذها، ويمكنأن يناط بها المهام التالية:
-توعية المؤسسات العامة والخاصةبأهمية أمن النظم المعلوماتية وتعمية المعلومات وضرورة وضع سياسة أمنية لمنظوماتهاالمعلوماتية.
-تصنيف المعلومات والنظم المعلوماتية.
-وضع ضوابط أمن ورقابة المعلومات المتداولة بكافة أشكالها(ورقية، الاتصالات السلكية واللاسلكية، الإنترنت ورقابتها).
-اقتراح التشريعات اللازمة لأمنالمعلومات والنظم والشبكات المعلوماتية.
-وضع الإجراءات والسياساتاللازمة لأمن النظم المعلوماتية استناداً للتشريعات الخاصة بذلك.
-الإشراف على حسن تطبيق إجراءاتأمن النظم المعلوماتية.
-وضع الإجراءات اللازمةلاستثمار شبكات المعلومات والمعلومات المتداولة عبرها.
-وضع الإجراءات المناسبة لتنظيمالتشفير وإدارة مفاتيح التشفير في سورية.
-الإشراف على تنظيم وإدارة أمورالتوقيع الرقمي في سورية (المصادقة الالكترونية).
-منح الرخص لاستخدام نظمالتشفير في الجهات المدنية والإشراف على حسن استخدامها وسلامتها.
مسؤولية أمنالمعلومات هي مسؤولية جماعية:
يمكن القول أنه يجب علىكافة المتعاملين مع النظم المعلوماتية معرفة أساسيات أمن وحماية هذه النظم. كما يجب توضيحالممارسات الأمنية المقبولة في النظم المعلوماتية على كافة مستويات الإدارة، ومن ثمرفع حجم الثقة لدى إدارة المؤسسات بفاعلية إجراءات الحماية وإمكانيةقياسها. كما أن هناك ضرورة لوجود خطة حماية أمنية شاملة والتي تنعكس فيانخفاض النفقات الناتجة عن توظيف الحلول الجزئية للأمن بالإضافة إلى دراسةمردودية الكلفة المادية لإجراءات الحماية في النظم المأمونة. ويجب على جميعالعاملين في المؤسسات والشركات معرفة أن الأمن المعلوماتي هو مسؤولية جماعيةوعلى كافة المستويات(فرد – مؤسسة - دولة).
منقول
ازدادت في السنوات السابقةعمليات الأتمتة في المؤسسات الحكومية والخاصة والتي تتطلب استخدام النظم المعلوماتية أوالحواسيب الإلكترونية وما يرافقها من ربط للنظم الحاسوبية بين المواقع المختلفةلهذه المؤسسات وتبادل المعلومات بين هذه المواقع. ونظراً لما توفره مثلهذه النظم المعلوماتيةفي سهولة سير الأعمال في المؤسسات، أصبح الاعتماد عليها أمراًضرورياً. لكن استخدام نظمالمعلومات الحاسوبية يؤدي إلى ظهور أخطار جديدة ناتجة عن تجميع كميات كبيرة من المعلومات فيمكان واحد، وجعل تلك المعلومات الهامة عرضةً للفقد أو السرقة أو العبث بها منأشخاص غير مخولين بالإطلاع عليها.
حماية ممتلكاتنامن المعلومات :
نحرص جميعاً على حمايةممتلكاتنا الخاصة أو العامة من العبث أو السرقة. فالمعلومات بأشكالها المختلفة الورقيه أوالإلكترونية هي ممتلكات تنفق المؤسسات أمولاً طائلة لتدوينها وحفظها. وبالتاليفالمعلومات الإلكترونية هي ممتلكات ولكي نحافظ عليها يجب علينا الحفاظ على أمنالنظم الحاسوبية الحاملة لها والشبكات الحاسوبية الناقلة لها. فنحنمعنيون بالحفاظ على سريةSecurityالمعلومات ومنع الوصول إليهاإلا من المخولين بذلك وعلى تكامليتها Integrity من حيث الدقة وعدم تغيير جزء منها وعلىجاهزيتها ِAvailability لتمكين المخولين من الوصول إليها عند الحاجة أي توفيراستمرارية بالحصول عليها فيكافة الظروف. من هنا ظهرت أهمية علوم أمن المعلومات والنظم المعلوماتية التي تغطيالمتطلبات الثلاث السابقة.
الأخطار والمهدداتالتي تتعرض لها النظم الحاسوبية :
إن معرفة المهددات التيتتعرض لها النظم الحاسوبية تساعد في وضع وتنفيذ الإجراءات الأمنية الأكثر فاعلية لمجابهة تلكالأخطار. يمكن تصنيف المهددات والأخطار إلى أربعة أنواع رئيسية هي:
-خرق النظم الحاسوبية بهدفالاطلاع على المعلومات المخزنة فيها والوصول إلى معلومات شخصية أو أمنية عن شخص ما، أوالتجسس الصناعي، أو التجسس المعادي للوصول إلى معلومات عسكرية سرية.
-خرق النظم الحاسوبية بهدفالتزوير أو الاحتيال (التلاعب بالحسابات في البنوك، التلاعب بفاتورة الهاتف، التلاعببالضرائب، تغيير بيانات شخصية في السجل المدني أوفي السجل العام للموظفين، الخ...).
-خرق النظم الحاسوبية بهدفتعطيل هذه النظم عن العمل لأغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل الفيروسات،الدودة، حصان طروادة، أو القنابل الإلكترونية) إما من قبل الأفراد أو العصاباتأو الجهات الأجنبيةبغرض شل هذه النظم الحاسوبية (أو المواقع على الإنترنت) عن العملوخاصة في ظروف خاصة أو في أوقاتالحرب.
-أخطار ناتجة عن فشل التجهيزاتفي العمل، أعطال كهربائية، حريق، كوارث طبيعية (فيضانات، زلزال، . .) ، عملياتتخريبية.
يبين المخطط رقم (1) نتائجدراسة أجريت على عدد من المؤسسات حول أنواع المهددات التي تتعرض لها أنظمتها الحاسوبية،حيث يبين نسبة المؤسسات التي ذكرت حدوث خسائر في بياناتها أو برمجياتها نتيجة إصابتهابالأخطار والمهددات.ويجدر الإشارة هنا إلى أن أنواع المهددات الأمنية للنظم المعلوماتية تتنوع مصادرها حسب الأغراض التيتقوم بها تلك النظم. فمثلاً تكون الأنظمة المرتبطة مع شبكة الإنترنت أكثر عرضةللفيروسات من الأنظمة غير المرتبطة مع الشبكة. نلاحظ أن حوالي 85% من المؤسساتفقدت بيانات وبرمجيات نتيجة الفيروسات بينما حوالي 55% فقدت بياناتهاأو برمجياتها نتيجة تعطل تجهيزات و50% فقدت بيانات نتيجة خروقاتداخلية من العاملين فيها.
متطلبات الأمنوالحماية للمنظومات المعلوماتية:
تعتبر مسألة أمن النظمالمعلوماتية من المسائل الحساسة في المؤسسات العامة والخاصة التي تقوم بأتمتة معلوماتها. وتختلفالمتطلبات الأمنية للمنظومات المعلوماتية تبعاً لاختلاف تطبيقات وأعمال كل مؤسسة.ويمكن حصر أهم هذه المتطلبات بما يلي:
google_protectAndRun("ads_core.google_render_ad", google_handleError, google_render_ad);
-يجب وضع سياسةpolicy حماية عامة لأمنالمعلومات والنظم المعلوماتية حسب طبيعة عمل وتطبيقات المؤسسة.
-من الضروري أن تدعم الإدارةالعليا في المؤسسة سياسة أمن المعلومات لديها.
-تسمية مسؤولين عن أمنالمعلومات في المؤسسة.
-تحديد الحمايات اللازم توفرهافي أنظمة التشغيل والتطبيقات المختلفة.
-تحديد آليات المراقبة والتفتيشفي النظم المعلوماتية والشبكات الحاسبية وإجراء السبر الدوري للأخطار الناتجة عناختراق المنظومات المعلوماتية.
-حفظ وسائط التخزين العاديةوالاحتياطية بشكل آمن .
-تعمية أو تشفير المعلومات عندالحفظ والتخزين والنقل على مختلف الوسائط.
-تأمين استمرارية عمل وجاهزيةنظم المعلومات -العمل في حالة الأزمات من خلال استخدام تجهيزات منيعة أو مرتبة بحيثتكون متسامحة مع الاخطاء ومن خلال التكرارية للتجهيزات في مواقع أخرى.
إجراءات الحماية الواجب توفرهافي المنظومات المعلوماتية:
يمكن حصر إجراءات الحمايةالواجب توفرها في النظم المعلوماتية لمجابهة المهددات التي تتعرض لها ولتحقيق المتطلباتالأمنية ضمن ثلاثة محاور رئيسية هي الحماية الفيزيائية وحماية البرامج والبياناتوحماية شبكات نقل المعلومات. ويتفرع عن هذه المحاور عدد من الإجراءاتالرئيسية التي يمكن تلخيصها بما يلي:
-إجراءات الحماية الفيزيائيةللأنظمة المعلوماتية.
-انتقاء العاملين في النظمالمعلوماتية وتوعيتهم أمنياً.
-إجراءات الحماية الخاصة بنظمالتشغيل والبرامج التطبيقية وضبط الصلاحيات.
-إجراءات الحماية الخاصةبالشبكات المعلوماتية.
-تعمية المعلومات المنقولةوالمخزنة (تشفيرها).
-إجرائية حفظ البيانات بصورةعامة وحفط نسخ عنها في مواقع آمنة.
-إجراءات لضمان استمرارية عملوجاهزية النظم المعلوماتية في كافة الظروف بما فيها حالات الكوارث الطبيعية.
وسنتناول هذه الإجرائيات بمزيدمن التفصيل في عدد لاحق.
ضرورة إحداث هيئة وطنية ناظمةلموضوع أمن المعلومات والنظم المعلوماتية:
يعتبر موضوع أمن النظمالمعلوماتية وتعمية المعلومات بغرض حمايتها عند التخزين أو النقل عبر وسائط النقل المختلفة،من الأمور الأساسية والهامة في البلدان المتطورة، حيث تولي هذه الدول موضوع أمنالنظم اهتماماً خاصاً ليس فقط لحماية أنظمتها بل للاستفادة من هذه التقنياتكوسيلة لاختراق أنظمة الغير، وتقوم بتضمين التجهيزات والبرمجيات المطورةلديها بالوسائل كالأبواب الخفية (Trapdoors) التي تمكنها من اختراق تلك التجهيزاتوالبرمجيات عند الحاجة. فعلىسبيل المثال تهتم وكالة الأمن القومي الأمريكية NSA بموضوع أمن المعلومات وتعميتها، إذ تقومبتنظيم موضوع استخدام التعمية أو التشفير وتتحكم بما ينشر حول هذاالموضوع في المجلات العلمية الأمريكية وكذلك ما يمكن بيعه للخارج من تجهيزاتوخوارزميات تعمية. كما تتحكم بالمنتجات التي تطرح في الأسواقالأمريكية لتمكن الحكومة من مراقبة المعلومات المشفرة عند الحاجة.
google_protectAndRun("ads_core.google_render_ad", google_handleError, google_render_ad);
ومع التطور السريع في الأتمتةالمعلوماتية في سورية والانتشار الواسع لشبكات الاتصالات المعلوماتية في التطبيقاتالمدنية واستخدام التشفير في الجهات المدنية، فلابد من إنشاء هيئة وطنية لأمنالمعلومات والنظم المعلوماتية تتضمن عدة أقسام تعنى بتصنيف المعلوماتوأمنها ورقابتها وبالنظم الحاسوبية وأمنها وبالشبكات المعلوماتيةواستثمارها ورقابتها وتقترح التشريعات اللازمة لذلك وتشرف على تنفيذها، ويمكنأن يناط بها المهام التالية:
-توعية المؤسسات العامة والخاصةبأهمية أمن النظم المعلوماتية وتعمية المعلومات وضرورة وضع سياسة أمنية لمنظوماتهاالمعلوماتية.
-تصنيف المعلومات والنظم المعلوماتية.
-وضع ضوابط أمن ورقابة المعلومات المتداولة بكافة أشكالها(ورقية، الاتصالات السلكية واللاسلكية، الإنترنت ورقابتها).
-اقتراح التشريعات اللازمة لأمنالمعلومات والنظم والشبكات المعلوماتية.
-وضع الإجراءات والسياساتاللازمة لأمن النظم المعلوماتية استناداً للتشريعات الخاصة بذلك.
-الإشراف على حسن تطبيق إجراءاتأمن النظم المعلوماتية.
-وضع الإجراءات اللازمةلاستثمار شبكات المعلومات والمعلومات المتداولة عبرها.
-وضع الإجراءات المناسبة لتنظيمالتشفير وإدارة مفاتيح التشفير في سورية.
-الإشراف على تنظيم وإدارة أمورالتوقيع الرقمي في سورية (المصادقة الالكترونية).
-منح الرخص لاستخدام نظمالتشفير في الجهات المدنية والإشراف على حسن استخدامها وسلامتها.
مسؤولية أمنالمعلومات هي مسؤولية جماعية:
يمكن القول أنه يجب علىكافة المتعاملين مع النظم المعلوماتية معرفة أساسيات أمن وحماية هذه النظم. كما يجب توضيحالممارسات الأمنية المقبولة في النظم المعلوماتية على كافة مستويات الإدارة، ومن ثمرفع حجم الثقة لدى إدارة المؤسسات بفاعلية إجراءات الحماية وإمكانيةقياسها. كما أن هناك ضرورة لوجود خطة حماية أمنية شاملة والتي تنعكس فيانخفاض النفقات الناتجة عن توظيف الحلول الجزئية للأمن بالإضافة إلى دراسةمردودية الكلفة المادية لإجراءات الحماية في النظم المأمونة. ويجب على جميعالعاملين في المؤسسات والشركات معرفة أن الأمن المعلوماتي هو مسؤولية جماعيةوعلى كافة المستويات(فرد – مؤسسة - دولة).
منقول
» "خواطر "يا حبيبتي
» خواطر "يا حياتي "
» الطريق الى الجنة
» الحديث الاول من الأربعين النووية "الاخلاص والنية "
» البرنامج التدريبي أكتوبر - نوفمبر - ديسمبر 2015
» البرنامج التدريبي أكتوبر - نوفمبر - ديسمبر 2015
» البرنامج التدريبي أكتوبر - نوفمبر - ديسمبر 2015
» البرنامج التدريبي أكتوبر - نوفمبر - ديسمبر 2015