أمن المعلومات

أمن المعلومات معرفة بتأمين المعلومات المتداولة عبر الإنترنت من المخاطر التي تهددها. مع تطور التكنولوجيا ووسائل تخزين وتبادل المعلومات بطرق مختلفة ، أو ما يسمى بنقل البيانات عبر الشبكة من موقع إلى آخر ، فإن أمن هذه البيانات والمعلومات هو موضوع مهم للغاية وموضوع حيوي. يمكن تعريف أمن المعلومات على أنه العلم الذي يحمي المعلومات من التهديدات التي تواجهها أو الحاجز الذي يمنعها من الهجوم من خلال توفير الأدوات والوسائل اللازمة لحماية المعلومات من المخاطر الداخلية أو الخارجية. المعايير والتدابير المتخذة لمنع وصول المعلومات إلى الأشخاص غير المصرح لهم من خلال الاتصالات وضمان صحة هذه المراسلات وصحتها.

تعد حماية المعلومات قديمة ، لكنها استخدمت بفعالية منذ بداية التطور التكنولوجي وأمن المعلومات على أساس: –

  • أنظمة حماية أنظمة التشغيل
  • أنظمة حماية البرمجيات والتطبيقات.
  • نظم حماية قواعد البيانات.
  • نظم حماية الوصول.

المبادئ الأساسية


من بين أهم المفاهيم ، على مدار أكثر من عشرين عامًا ، تم تعريف أمن المعلومات على أنه سرية السرية (المبدأ) وسلامة البيانات وتوافرها (المعروف باسم الثالوث (CIA)) ، (أعضاء InfoSec التقليديون في الثالوث – السرية والتكامل ويشار إلى – بالتبادل في الأدبيات كما ، سمات الأمن ، وخصائص الأمن والأهداف ، والجوانب الأساسية ، ومعايير المعلومات ، وخصائص المعلومات الهامة ، والبنات الأساسية.) والمبادئ الأساسية لأمن المعلومات يعتقد الكثير من المتخصصين في أمن المعلومات اعتقادا راسخا أن المساءلة ينبغي تضاف كمبدأ أساسي لأمن المعلومات. .

بناءً على نتائج المشروع المشترك للمعهد الأمريكي للمحاسبين القانونيين (AICPA) والمعهد الكندي للمحاسبين (CICA) ، تم تحديد المبادئ الأساسية لأمن المعلومات (Webtrust) وأمن أنظمة المعلومات (Systrust): حماية النظام ، جاهزية نظام معلومات الويب ، والتكامل ، معالجات نظام المعلومات ، وضمان خصوصية الويب ، وسرية نظام المعلومات.

في عام 2002 ، اقترح دون باركر نموذجًا بديلاً للثالوث التقليدي (CIA). يتكون نموذج باركر من ستة عناصر لأمن المعلومات. العناصر هي السرية والحيازة والسلامة والأصالة والتوافر والأداة. السداسي باركر هو موضوع نقاش بين المتخصصين في مجال الأمن.

أبسط أنواع الحماية هو استخدام نظام تعريف المستخدم ، وموثوقية الاستخدام ، وشرعيته. تهدف هذه الوسائل إلى ضمان استخدام النظام أو الشبكة من قبل المستخدم المصرح له. هذا المجتمع يشمل:

  • كلمات المرور من جميع الأنواع.
  • البطاقات الذكية المستخدمة لتحديد الهوية.
  • المعرفات البيولوجية التي تعتمد على سمات المستخدم المتعلقة بهيكلها البيولوجي.
  • يمكن أن تتضمن المفاتيح المشفرة ما يسمى بالأقفال الإلكترونية التي تحدد مناطق الوصول.
  • جميع التقنيات التي وصل إليها العالم لا يمكن أن تعيش بدون أمن المعلومات. على سبيل المثال ، إذا لم يكن هناك أمن معلومات للنظام المصرفي ، يمكن لأي شخص الوصول إلى النظام وتغيير حسابه ويصبح مليونيرا من نقطة الصفر.

سرية
السرية هي المصطلح المستخدم لمنع إفشاء المعلومات للأشخاص غير المصرح لهم. على سبيل المثال ، يتطلب استخدام بطاقة ائتمان في معاملة تجارية على إحدى الشبكات إدخال رقم بطاقة ائتمان ليتم تحويلها من المشتري إلى التاجر ومن التاجر لإكمال المعاملات ومعالجتها على الشبكة. يحاول النظام فرض السرية من خلال تشفير رقم البطاقة أثناء النقل ، أو تقييد الوصول إلى مواقع التخزين أو إظهار تسلسل رقم البطاقة (في قواعد البيانات ، وسجلات الملفات ، والنسخ الاحتياطي ، والإيصالات المطبوعة) ، عن طريق تقييد الوصول إلى الأماكن التي يكون فيها الرقم والبيانات مخزن . إذا حصل الطرف غير المصرح به على رقم البطاقة بأي شكل من الأشكال ، فهذا يعد انتهاكًا لمبدأ السرية في تخزين البيانات وتخزينها.

خرق السرية يأخذ أشكالا عديدة. يمكن أن يشكل التجسس على شخص ما على شاشة الكمبيوتر لسرقة كلمات مرور تسجيل الدخول أو الاطلاع على البيانات السرية دون علم المالك خرقًا للسرية. إذا كان الكمبيوتر المحمول يحتوي على معلومات حساسة حول موظفي الشركة ، فقد تؤدي السرقة أو البيع إلى انتهاك السرية. يعد تقديم معلومات سرية عبر مكالمة هاتفية انتهاكًا لمبدأ السرية إذا كان المتصل غير مصرح له بتلقي المعلومات.

السرية ضرورية (ولكنها غير كافية) للحفاظ على خصوصية الأشخاص الذين تحتوي أنظمتهم على معلومات شخصية.

التكامل (السلامة)
في مجال أمن المعلومات ، تعني السلامة الحفاظ على البيانات من التغيير أو التعديل من الأشخاص غير المصرح لهم. عندما يكون الشخص عمدا أو عن غير قصد

تهدف أنظمة السرية العالية إلى الحفاظ على الحماية في جميع الأوقات.
منع انقطاع الخدمة بسبب انقطاع التيار الكهربائي ، وتعطل الأجهزة ، والترقيات والترقيات.
تأكد من منع هجمات الحرمان من الخدمة.
إدارة المخاطر
نهج شامل لإدارة المخاطر هو خارج نطاق هذه المقالة. ومع ذلك ، فإن توفير تعريف مفيد لإدارة المخاطر سيكون أيضًا بعض المصطلحات الرئيسية ويشيع استخدامها في عملية إدارة المخاطر.

ينص التعريف التالي لإدارة المخاطر على ما يلي: “إدارة المخاطر هي عملية تحديد مواطن الضعف والتهديدات لموارد المعلومات التي تستخدمها المنظمة أو شبكة المعلومات لتحقيق أهداف العمل أو غيرها ، ولتقليل وتقليل نقاط الضعف ، إن وجدت ، التي يجب اتخاذها تقليل المخاطر إلى مستوى مقبول ، بناءً على قيمة موارد المعلومات للمنظمة. “

يوجد شيئان في هذا التعريف قد يحتاجان إلى بعض التوضيح. أولاً ، عملية إدارة المخاطر هي تكرار للعمليات الجارية ويجب تكرارها إلى أجل غير مسمى لأن بيئة العمل تتغير باستمرار ، وتهديدات جديدة ونقاط ضعف تظهر كل يوم. يجب أن يوازن الخيار الثاني للتدابير المضادة (التحكم) المستخدمة لإدارة المخاطر بين الإنتاجية والتكلفة وفعالية التدابير المضادة وقيمة الأصول وحماية البيانات.

المخاطرة هي احتمال حدوث شيء سيء مما يتسبب في إلحاق ضرر بأصل تكنولوجيا المعلومات (أو فقد الأصول). الثغرة الأمنية هي ثغرة أمنية يمكن استخدامها في تعريض أصول المعلومات للخطر أو التسبب في ضرر لها. التهديد أي فعل (من صنع الإنسان أو فعل من طبيعة) لديه القدرة على التسبب في ضرر.

احتمال استخدام التهديد من التعرض للضرر يسبب الخطر. عندما لا تهديد استخدام الضعف للضرر ، بسبب تأثيره. في سياق أمن المعلومات ، يكون التأثير هو فقدان التوافر والنزاهة والسرية وربما خسائر أخرى (الدخل المفقود وخسارة الأرواح وفقدان الممتلكات العقارية). تجدر الإشارة إلى أنه لا يمكن تحديد جميع المخاطر ، ولا يمكن القضاء على جميع المخاطر. تسمى المخاطر المتبقية المخاطر المتبقية.

  • تقييم المخاطر
  • سياسة الأمن.
  • تنظيم أمن المعلومات ،
  • إدارة الأصول.
  • أمن الموارد البشرية.
  • الأمن البيئي المادي.
  • الاتصالات وإدارة العمليات ،
  • صلاحية التحكم صلاحية الدخول.
  • اقتناء وتطوير وصيانة نظم المعلومات ، أو التحديث ،
  • إدارة حوادث أمن المعلومات.
  • إدارة استمرارية العمل
  • التوافق التنظيمي.
  • إدارة المخاطر

تتكون عملية إدارة المخاطر من:

تحديد وتقييم الأصول. يشمل: الأفراد والمباني والأجهزة والبرامج والبيانات (الإلكترونية والمطبوعة ، وما إلى ذلك) ، واللوازم.
تقييم التهديد. وتشمل هذه: أفعال الطبيعة وأعمال الحرب والحوادث والأفعال الضارة القادمة من داخل أو خارج المنظمة.
إجراء تقييم للضعف ، ولكل نقطة ضعف ، احسب احتمالية الاستغلال. تقييم السياسات والإجراءات والمعايير ، والتدريب ، والأمن المادي ، ومراقبة الجودة والأمن التقني.
يأخذون في الاعتبار تأثير كل ذلك سيكون خطرا على جميع الأصول. استخدام التحليل النوعي أو الكمي.
تحديد واختيار وتطبيق الضوابط المناسبة. تقديم استجابة متناسبة. فكر في الإنتاجية وفعالية التكلفة وقيمة الأصول.
تقييم فعالية تدابير الرقابة. تأكد من توفير أدوات التحكم لتوفير حماية فعالة من حيث التكلفة دون فقد ملحوظ للإنتاجية.
في أي خطر معين ، يمكن للإدارة التنفيذية أن تختار قبول المخاطر على أساس الانخفاض النسبي للأصول ، وتواتر حدوثها منخفض نسبيًا ، وتأثير الانخفاض النسبي على العمل. أو ، قد تختار القيادة تخفيف المخاطر عن طريق تحديد وتنفيذ تدابير الرقابة المناسبة للحد من المخاطر. في بعض الحالات ، يمكن نقل الخطر إلى شركة تأمين أخرى عن طريق شراء أو تحويل أوراق مالية إلى شركة أخرى. حقيقة بعض المخاطر قد تكون مثيرة للجدل. في مثل هذه الحالات ، قد تختار القيادة إنكار المخاطر. هذا هو بحد ذاته خطر محتمل

اعتماد ومراجعة أمن المعلومات
أصبحت أنظمة المعلومات وقواعد البيانات وشبكات الاتصالات العمود الفقري للمعرفة ، والصناعية ، والمالية ، وقطاعات الصحة الأخرى في العالم. لقد أصبح من المهم الحفاظ على أمن المعلومات من خلال العناصر الثلاثة الرئيسية: السرية والصحة والاستمرارية. على المستوى العالمي ، تعتمد ISO 27001 نظام أمن المعلومات. يقع HIPAA أيضًا في الولايات المتحدة لضمان أمن المعلومات الصحية ونظام أمان معلومات ISACA COBIT.

ضوابط
عندما تختار الإدارة تخفيف المخاطر ، فإنها تفعل ذلك عن طريق تطبيق واحد أو أكثر من ثلاثة أنواع مختلفة من الضوابط.

إداري
تتكون الرقابة الإدارية (وتسمى أيضًا الضوابط الإجرائية) من موافقة كتابية وسياسات وإجراءات ومعايير وإرشادات. الرقابة الإدارية هي إطار لإدارة الأعمال وإدارة شؤون الموظفين. إنه إخبار الناس كيف يفعلون

admin

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *