أساسيات أمن المعلومات

Spread the love

المقدمه:

سوف نتطرق في هذا البحث بإذن الله لأساسيات أمن المعلومات في المنظمه وكيفيه بناء البنيه التحتيه لأمن المعلومات والسيطره على الاخطار الممكنه والاجراءات اللازمه للوصول والرقي بالمنظمة لنظام أمني متكامل في ظل وجود تفاعلات واتصالات اللازمه بين جميع الوظائف المختلفه والاخذ بنصائح الاستشارين في أمن المعلومات والتعاون بين الاجهزه المختلفه في المنظمات المختلفه، تشريع الاجراءات اللازمه والتأكد من تطبيقها..ونتطرق ايضا إلى اهميه وجود أمن للموظفين في المنظمة والحرص على تدريبهم وتوعيتهم من الاخطار المحيطه بهم من نصب واحتيال وسرقه معلومات تتعلق بأمن المنظمة.
بالاضافة الى نبذه عن كيفيه تحقيق بيئه أمن مناسبه وذلك بعمل عدد من الاجراءات اللازمه لمنع الدخول الغير مسموح به للمنظمة. وبما أن أي منظمة تكون في الاصل عبارة عن عدد من الاجهزه الموصله فيما بينها بشبكات داخليه… يجب علينا اذا تحقيق أمن لهذه الشبكات ومنع اختراقها من الخارج وعمل التحديثات الضروريه لتحميل الرقع اللازمه للأجهزه ,ولا ننسى اهميه وجود الصيانه لهذه الشبكات والاجهزه الموجوده.ونصل اخيرا الى وجود نظام يتحكم بهذه الانظمه المتعدده في المنظمه في ظل وجود الاداره الجيده التي تحسن استخدام المزايا والمعلومات المتوافره لدينا ويتظمن ذلك اجراءات كلمات السر المطلوبه وكيفيه ادارتها وفي النهايه يلزم وجود الاشراف المستمر ليدعم هذه الاجراءات ويتأكد من تحقيقها بشكل فعال.
۱. أساسيات أمن المعلومات

أساسيات أمن المعلومات: هي عباره عن مجموعة من اجراءات أساسية مشتركة فيما بينها والتي تسعى إلى تحقيق أمن معلومات فعلي للمنظمة. ومن هذه الاجراءات مايمكن ايجازه في عده نقاط مع الشرح اللازم على النحو التالي:
اولا: تحديد المجال والهدف.

يتعلق بترابط النشاطات المختلفة في المنظمة ببعضها البعض وتحديد مدى المعلومات السموح بها والاجراءات التي من خلالها يتم التعامل مع الموظفين وكذلك مع الاشخاص من خارج المنظمة. اما فبما يتعلق بتحديد الهدف فذلك يتم من خلال معرفة الاخطار التي تواجه المنظمة وكيفية السيطرة عليها، وماهو المقياس المرجو للأمن في هذه المنظمه.
ثانيا: عمليه الاختيار.

يقصد بهذه العمليه اختيار الاجراءات اللازم توفرها أو اللازم عملها اولا في اساسات المنظمة والتي يمكن الاختيار فيما بينها بحسب الاولوية الهامة لكل اجراء.

ثالثا: المواضيع ذات العلاقه بأساسيات أمن المعلومات.
يقصد بذلك التطبيقات ذات العلاقة المباشرة بأمن المعلومات في اي منظمة والتي يمكن من خلاله الوصول الى المستوى الأمني المنشود. ومن هذه التطبيقات:
 ماهي الاجراءات التقنية والاجراءات التنظيمية التي يقبل بها في المنظمة.
 ماهو حد الاخطار والضعف التي يمكن القبول به في داخل المنظمة.
 ماهي الميزانيه المتاحة لتأسيس أمن المعلومات والتأكد بأنها كافيه لجميع الجوانب المطلوب تنفيذها والنظر بعد ذلك في ماتم تحقيقه فعليا في المنظمة.
معى الاخذ بالاعتباربعض الاجراءات يمكن تغييرها او الاضافة عليها او حذفها اثناء العمل وبذلك يجب ان تكون بالمرونه المرجو منها.
٢. سياسات أمن المعلومات.
يقصد بهذه السياسات ان تكون لدى المنظمة تشريعات خاصة بأمن المعلومات أي أن يعرف كل فرد الاجراءات ويسعى الى تطبيقها على المستوى الادنى.

والهدف من سيسات أمن المعلومات الوصول الى الاجراءات التي يلزم كل فرد بأتباعها وتساعد هذه الاجراءات في بناء البنيه التحتيه للمنظمه. ومن هذه السياسات تحديد الوصول المسموح به لكل فرد سواء من داخل او خارج المظمة، ومن هذه الاجراءات:
▪ وجود وثيقه سياسات أمنيه للمنظمة. بحيث يكون هناك عدد من الاجراءات المثالية المتعارف عليها التي يلزمه اتباعها وعدم تجاوزها.
 تنفيذ هذه السياسات. يكون هناك عدد من الاجراءات التي تتأكد من ان السياسات قد نفذت بالشكل المطلوب.
 تطوير هذه السياسات. ان يكون هناك تطوير لهذه السياسات عند وجود تقنيات جديده او عند سن قوانين في داخل المنظمة.
وبذلك نلاحظ ضرورة وجود عدد من السياسات الصارمه التي تضمن الوصول الدرجه الأمنيه المطموح بها عند بناء بنيه تحتيه لأمن المعلومات.

۳. أمن المنظمة.

يقصد به ادارة لأدارة أمن المعلومات، ومن ذلك وجود بنية تحتية لأمن المعلومات في المنظمة ووجود منظمة أمنية في داخل المنظمة تضمن تنفيذ الخطط التنفيذية للأمن ووجود اتصالات وتفاعلات بين اطراف وجهات المنظمة داخلياً وتتفاعل هذه الجهات مع البيئة الخارجية ككتلة واحده. ووجود وظيفة اشرافية تدقق سير العمل واذا لزم الامر تسطيع المنظمة الاستعانة بأستشاري خارجي يقدم نصائح اختصاصية في أمن المعلومات. كما يمكن للمنظمة ان تتعاون مع المنظمات الاخرى مستفيدة بذلك من الخبرات وبذلك يكون هناك حقل خبرات مشترك بين المنظمات، ولاننسى اهميه وجود سلطة لتقييم الوضع الأمني في المنظمة ويكون افراد هذه السلطة مجموعة يتم اختيارهم من موظفين المنظمة بحيث تقوم بشكل دوري على دراسه وتقييم الأمن المعلوماتي في المنظمة.

٤. المتطلبات الأمنيه الخاصه بالموظفين.
والهدف منها تقليل الاخطاء الأمنية البشرية او الاحتيال او سوء استعمال السلطات والمعلومات، فالبشر هم من لديهم المعلومات السرية وهم ايضاً من يسعى الى اختراق ومعرفة هذه المعلومات. ومن هذه المتطلبات مايمكن ايجازه في النقاط التالية:

 تعيين الموظفين بشرط تحقق الاداء اللازم للخطط الأمنية، بحيث ان كل شخص جديد في المنظمة يلزم ان يوافق ويقر بالانظمة الأساسية الموجوده والتالف معها، ويتطلب ايضاً للمواقع الحساسة أن يتم تعيين اشخاص تنطبق عليهم شروط معينة ويخضعوا لاختبارات سابقة بما يضمن قدرتهم على تحمل المسؤولية والسلامة من تسريب المعلومات، وانه لكل وظيفة وكل منصب له شروط أمنية مختلفة تعتمد على كمية المعلومات الحساسة المتعامل معها. ولاننسى زوار المنظمة سواء من استشاريين او متدربين لديها يجب ان يتقيدوا بالتعليمات الخاصه بأمن المعلومات.

 التدريب. ويقصد به تدريب الموظفين في المنظمة على كيفيه استخدام برامج أمن المعلومات ويتضمن ذلك انشطة مختلفة تكون كفيله باعطاء الموظف الكمية الكافية من اساسيات أمن المعلومات.
 ردود الفعل تجاه التهديدات المحتملة او حوادث الاختراق. من ذلك ان يذكر مثلا حادثه تم بها الحصول على معلومات من المنظمة بطريقة غير شرعية، لكي يتم تفادي وقوعها مستقبلاً .او ذكر تهديد تمت السيطره عليه لكي يكون الموظفين بألمام بمثل هذه التهديدات ان واجهتهم في المستقبل.

 ذكر نقاط الضعف في النظام الأمني للمنظمة. بحيث يلزم الموظفين بأبلاغ رؤسائهم عنها لكي يتم معالجتها في اسرع وقت.

 ذكر نقاط ضعف البرامج لكي يتم تم تطويرها والمساعدة من قبل المختصين في المنظمة بذلك.

 اعلان عن الاجراءات التأديبية التي صدرت في حق الموظفين المخلين بالانظمة الأمنية داخل المنظمة يكون كفيلا ورادعاً لغيرهم.
 

 
٥. كيف نحقق بيئه أمن مناسبه؟

يتم ذلك من خلال منع الوصول غير المسموح به الى المنظمة، ونحاول في المنظمة الى تقسيم الخطط الأمنية على كل قسم بحيث يمكن السيطرة على كل قسم بسهولة وتعيين مسؤولا أمنيا في هذا القسم. من الملاحظ ايضا ان لا ننسى الدخول الفعلي للمنظمة واخذ المعلومات كأن يتم انتحال شخصية موظفي الصيانة وبذلك يتمكن من الدخول واخذ المعلومات اللازمه.ويجب وجود أمن على مداخل ومخارج مبنى المنظمة ووضع نظم أمنية مشدده واجهزة مراقبة اللازمة لمنع محاوله الدخول الفعلي الغير شرعي. يلزم ايضا وجود توثيق لعمليات الدخول والخروج.وللحفاظ علي هذه الاجهزة من الحوادث لاسمح الله يلزم وجود نظام انذار مبكر بحدوث حريق مثلا والتدابير اللازمه عند وقوع ذلك كوجود طفايات حريق وقطع التيار الكهربائي ولتفادي كل ذلك يقوم موظفين بعمل الصيانة الدورية اللازمة للاجهزة والخادمات.

 
٦.أساسيات أمن الاجهزه والشبكات.

الهدف منها تحقيق أمن وسلامه للاجهزة والشبكات المترابطه بينها في موقع العمل ويكون ذلك بعدد من الاجراءات منها التخطيط السليم للشبكات منها وجود شبكة خاصه بكل قسم بحيث لو تم اختراقها لايتمكن من الدخول الاجهزة الاخرى. وضع اجهزة منع الفيروسات عند المنافذ الخارجية و يوجد عدد من الاجراءات المتفرقة التي يرجى منها تحقيق السلامه اللازمه ومنها:
 تصميم تدابير أمنيه مشدده للحيال دون الوصول الى الشبكه.

 إدارة التطبيق والتي من مهامها التأكيد على تطبيق التطبيقات الأمنية المختلفة.
 إدارة التقنيه والتي تقوم بحل المشاكل التقنيه التي يمكن مواجهتها اثناء العمل.
 إدارة التفويض والتوثيق.وهي التي تقوم بتوثيق العمليات الحاصله واعطاء الصلاحيات اللازمه لكل موظف في الحدود المسموحة له.
 مراقبه الاستعمال الصحيح للشبكه والاجهزه .
 وجود حمايه خاصه من الفيروسات وذلك باستخدام الجدار الناري أو استخدام البرامج المضاده والكاشفه للفيروسات.
 منع الرسائل الدعائيه من الدخول الى البريد الاكتروني الخاص بالمنظمة. وبذلك نكون قللنا من التهديدات على المنظمة.
 توفر الرقع اللازم تحميلها على الاجهزة بحيث تقلل من العيوب الأمنية في النظام.
ويمكن ان نتطرق هنا الى قبول البرامج الجديدة بحيث انها تخضع الى اختبارات وقياسات أمنية للتحقق من امكانيه الوثوق بها و لكي نحافظ على المعلومات لدينا حتى ولو فقدت يلزمنا عمل نسخ احتياطيه للبرمج والمعلومات الهامه لدينا للحيال دون فقدانها ويتطلب ذلك وجو إدارة او اشخاص مكلفين من قبلها بعمل نسخ احتياطية دورية .

على ايه حال فأن الشبكات والاجهزة هي عبارة عن هاردوير “عتاد” اي يلزم عمل صيانه لهم. ويدخل من ضمن أمن الشبكات أمن البريد الاكتروني بحيث تكون هناك شفرات معينة بين المنظمة والمنظمات الاخرى المتعامل معها.

 

 

 

 

 

 
٧.تحقيق أمن فعلي للانظمة في المنظمة.
ويهدف منه اداره سرية الأنظمة المختلفة في المنظمة ومن ذلك إدارة الحسابات والمسؤوليات وتسجيل المستخدمين وعمل كلمات المرور الخاصه بهم ووجوب المحافظه على هذة الكلمات لضمان أمن معلوماتي جيد وتحديد فتره صلاحيه لها لكي يتم تغيرها بشكل دوري وكما نقول دائما فأنه يلزم وجود مراقبة دائمة على الانظمة والشبكات والموظفين المستخدمين لها
 
أخيرا..
ندرك بعد ذلك اهمية أمن المعلومات للمنظمة واهميه بناء بنيه أساسيه قويه لها تضمن هذا الامان..ونلاحظ ايضاً انه يمس جميع اطراف المنظمة وبذلك يلزم ان يكون كل فرد فيها ملم بأمن المعومات ولو معلومات سطحيه تضمن لنا عدم تسريب المعلومات..

 

 

 

 

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً