توجيهات ومعايير أمن وشفافية نظم المعلومات

 

يشتمل هذا القسم من العمل المقدم علي تحديد معالم توجيهات ومعايير أمن وشفافية نظم المعلومات وتطبيقاتها وخدماتها. وبذلك سوف يستعرض الغرض من التوجيهات والمعايير، ومجالها، وتعاريفها وأهداف الأمن بالإضافة إلي تحديد المبادئ العامة التي تبني عليها توجيهات ومعايير أمن وشفافية نظم المعلومات.

 

6-1 الغرض العام من توجيهات ومعايير أمن المعلومات:

 

يقصد من الأغراض العامة لتوجيهات Guidelines ومعايير Standards أمن المعلومات التي تشكل وتطبق من قبل الأجهزة والمنظمات المعنية بالتوحيد القياسي والمعايرة مساعدة عمليات التطوير اللاحقة لنظم المعلومات واستخدامها. وبذلك ينظر إلي هذه الأغراض المنظمة والحاكمة كضرورة لا بد منها لزيادة الوعي بالمخاطر التي تواجه نظم المعلومات وإعادة تأكيد مدى مصداقيتها وجودتها، كما تتطلب من المنظمات والمصالح المختلفة التنسيق فيما بينها لخلق إطار شامل لأمن نظم المعلومات. كما تهدف التوجيهات والمعايير إلي زيادة الوعي بأهمية أمن نظم المعلومات، ومقاومة الاختراقات التي تواجها من الداخل والخارج، وتجميع إحصائيات تخص أمن المعلومات بالمنظمة المعنية.

 

وعلي هذا الأساس، ينظر إلي أغراض توجيهات ومعايير أمن المعلومات، علي أنها تحقق التالي:

 

- زيادة الوعي بالمخاطر التي تواجه نظم المعلومات وبطرق التأمين والإنقاذ المتوافرة للتغلب علي هذه المخاطر.

- خلق إطار عام لمساعدة أولئك المسئولين في المنظمات والهيئات العامة والخاصة لتطوير وتنفيذ مقاييس وإجراءات ومزاولات متناسقة مع أمن المعلومات ونظمها.

-· دعم التعاون بين القطاعات والمنظمات المختلفة في تطوير وتنفيذ هذه القياسات والإجراءات والمزاولات.

-· رعاية الثقة فيما يتصل بنظم المعلومات وبالطريقة التي تقدم بها للمستخدمين.

- تسهيل تطوير واستخدام نظم المعلومات علي كافة المستويات القطاعية، القومية والدولية.

-· دعم التعاون الدولي في تحقيق أمن نظم المعلومات.

 

6-2 مجال التوجيهات والمعايير:

 

تتجه توجيهات ومعايير أمن المعلومات إلي التطبيق في كل نظم المعلومات، سواء كانت مملوكة، مشغلة، أو مستخدمة بواسطة كيانات أو منظمات ذات طبيعة عامة أو خاصة، أو لأغراض ذات طابع عام أو خاص. وقد تحمى عناصر هذه التوجيهات والمعايير بواسطة قوانين الملكية الفكرية أو الملكية الصناعية أو أي قوانين وتشريعات أخرى. وكما سبق تحديده، فإن الغرض من التوجيهات والمعايير يرتبط أساسا بالتطبيق الكامل لها علي كل المستويات، وتوجه لكل الأطراف المعنية المتضمنة في نظم المعلومات، وتنسق بين مدخلين مزدوجين: أحدهما لنظم المعلومات المرتبطة بالأمن القومي، والمدخل الآخر متعلق بكل نظم المعلومات الأخرى. ومن المقبول به والملاحظ حاليا، أن الحكومات في معظم دول العالم قد تجد من الضروري إصباغ السرية المطلقة علي التوجيهات والمعايير وخاصة ما يرتبط بالمدخل الأول، وخاصة في حالات الأمن القومي وحفظ وصيانة النظام العام، علي أساس أن للحكومات حق السلطة المعترف به في القانون العام لعمل ما يجب عمله واتخاذه بصفة مطلقة في هذه المجالات الحيوية. علي أن أي ابتعاد عن التوجيهات والمعايير سوف يؤثر علي تنفيذها، علما بأن التوقعات علي الرغم من قلتها التي ترتبط بالسلطات القائمة تصبح ذات أهمية عظمى. وقد يتنبأ أن المعلومات الملائمة، سواء المتضمنة في نظام معلومات عام أو خاص، سوف تكون معروفة لكل أو بعض الأطراف العاملة والمتعاملة والمهتمة بالمنظمة المحددة وفقا لسياسة الأمن المحدد بمدي التوافر والسرية والسلامة.

 

من هذا المنطلق، يمكن أن تخاطب توجيهات و معايير أمن المعلومات المجالات التالي:

 

· القطاعات العامة والخاصة.

· التطبيقات المختلفة في كل نظم المعلومات.

· القدرة علي المساندة بواسطة الإجراءات والمزاولات المتعددة.

· توافر أمن المعلومات.

 

6-3 تعاريف التوجيهات والمعايير:

 

تتضمن تعاريف وتفاسير نظم المعلومات علي ما تتضمنه هذه النظم في الموضوعات التالية:

 

- الحاسبات الآلية وملحقاتها المادية المختلفة المترابطة معها؛

- البرمجيات وأساليب التعبير عن برامج الحاسبات الأخرى.

- الألجوريثمات والمواصفات الأخرى سواء كانت ضمنية في نطاق النظام أو يمكن الوصول إليها بواسطة الحاسبات الآلية.

- الأدلة والتوثيقات اليدوية الورقية، الممغنطة، الضوئية أو أي وسائل أخري.

- تسهيلات الاتصال مثل أجهزة النهايات الطرفية وعلاقاتها بالعميل في موقع العمل، أو المرتبطة بنقاط نهاية في شبكة نقل الاتصالات عن بعد التي لا تقدم للجمهور بصفة عامة.

- أبعاد الرقابة علي الأمن.

- عمليات التخزين، المعالجة، الاسترجاع، الإرسال ونقل بيانات الاتصال ، وشفرات ووحدات الفص وشفرات تحويل الحزم.

-· بيانات ومعلومات أطراف الوصول لنظم المعلومات.

-· أدلة تعريف المستخدم، مقاييس التدقيق (سواء كانت مبنية علي المعرفة أو علي الرموز، أو سلوكية التوجه، أو الإحصاءات المطبقة علي قياسات بيولوجية Biometrics ، الخ).

 

وقد تشتمل التعاريف والتفاسير علي العناصر التي تكون مملوكة أو غير مملوكة، عامة أو خاصة، متعاملة أو غير متعاملة مع البيانات المرسلة بواسطة النظام، أو العناصر الضرورية لتشغيل واستخدام وصيانة مكوناته الأخرى. وترتبط هذه العناصر بمدي سرية وسلامة وتوافر البيانات والمعلومات. ويؤكد عنصر التوافر مدي إتاحة البيانات ولأي الأطراف المحددة.

 

وقد تكون عناصر السرية والسلامة والتوافر مهمة لأسباب تتعلق بالميزة التنافسية، الأمن القومي أو لتحقيق الالتزامات القانونية، التشريعية أو الأخلاقية مثل واجبات الائتمان، حماية البيانات الشخصية، الخصوصية، البيانات الطبية.

 

وتتلخص تعاريف وتفاسير المعايير والتوجيهات في التالي:

 

- تعني كلمة "البيانات" تمثيل الحقائق، المفاهيم أو التعليمات في طريقة رسمية ملائمة للاتصال، الترجمة، أو المعالجة بواسطة التعامل البشري أو من خلال الوسائل الآلية.

 

-· تمثل كلمة "معلومات" المعني المخصص للبيانات بواسطة اتفاقات ومعالجات تطبق علي البيانات.

 

- تعني عبارة أو مصطلح "نظم المعلومات" الحاسبات، تسهيلات الاتصال، شبكات الحاسبات والاتصال، البيانات والمعلومات التي تخزن وتعالج وتسترجع أو ترسل بواسطة التكنولوجيات السابقة ومتضمنة البرامج، المواصفات، والإجراءات التي تقوم بتشغيلها واستخدامها وصيانتها,

 

- يعني لفظ " التوافر" خاصية البيانات، المعلومات ونظم المعلومات الممكن الوصول إليها واستخدامها علي أساس فوري أو وفي الطريقة المطلوبة.

 

-· يحدد لفظ "السرية" خاصية البيانات والمعلومات التي تعرض أو تتاح فقط لأشخاص، كيانات، وعمليات معتمدة في أوقات محددة ومعتمدة أيضا وبطريقة مجازة ومعتمدة.

 

- أما لفظ "الخصوصية" يعني خاصية البيانات والمعلومات ذات الطابع الشخصي والمؤسسي الدقيقة والكاملة التي تعتبر ملكية خاصة ومطلقة للممتلكين لها، وبذلك يحب العناية بحفظ الدقة والاكتمال لها.

 

 

6-4 أهداف الأمن:

 

يمثل أمن نظم المعلومات حماية توافر موارده ومكوناته والعمل علي سريتها وسلامتها. وفي غياب أمن كاف لنظم وتكنولوجيات المعلومات والاتصالات، لا تستخدم كل قدراتها وطاقاتها. ويؤدي غياب أو نقص الأمن إلي فقد الثقة في النظام إلي توقفه وعدم الاستفادة القصوى منه مما يجعله عبئا علي المنظمة. وعلي هذا الأساس يجب حماية النظام والمعلومات من الأضرار التي قد تؤدي إلي فشل النظم وتعود بالخسارة علي منظماتها والعاملين بها.

 

ويعتبر أمن النظم من الركائز الضرورية والحاكمة في حماية الأفراد والمنظمات من الأضرار الناتجة من قصور لأمن ، حيث يعتمد كل من الأفراد والمنظمات علي أداء نظم معلوماتهم من خلال ضمان أمنها بطرق دقيقة، ملائمة وموثوق منها. ومن الأمثلة الواضحة لأمن نظم المعلومات ما يمكن مشاهدته في نظم معلومات المستشفيات، نظم الرقابة علي المرور أو الملاحة الجوية، محطات القوي النووية، الخ. ويتجه الأمن إلي حفظ فعالية وكفاءة نظم المعلومات، وتأكيد مستوي مناسب لتوافرها وسريتها وسلامتها، إلي جانب تسهيل تطويرها واستخدامها من قبل الأفراد المعنيين بأغراض جديدة غير تقليدية تختلف عن تلك التي تطبق بالفعل، كما تسهل استغلال تكنولوجيا المعلومات بأقصى طاقاتها وإمكانياتها. وبذلك يسهم مجال أمن النظم في حماية حقوق واهتمامات كل المعتمدين في التعامل معها من بحمايتها وصيانتها من الضرر الناتج من فشل إجراءات توافرها وسريتها وسلامتها.

 

6-5 المبادئ العمة لتوجيهات ومعايير أمن المعلومات:

 

يعالج هذا الجزء المبادئ العامة التي يجب أن تبني عليها التوجيهات والمعايير الخاصة بأمن المعلومات. وقد أمكن تحديد تسعة مبادئ أساسية ترتبط بالتالي: المحاسبة، التوعية، الأخلاقيات، تعدد وتداخل المجالات، التناسب، التكامل، الفورية، إعادة التقويم والديمقراطية. وهي مبادئ يجب أن تراعي في تصميم وإعداد توجيهات ومعايير أمن المعلومات.

 

(1)المحاسبة: Accountability

 

يحدد مبدأ المحاسبة ضرورة التعبير والتخصيص عن المسئوليات والمحاسبة عنها في المواقف المختلفة المتصلة بأمن نظم المعلومات، من يمتلكها ومن يقدموها ومن يستخدمها وكل الأطراف الأخرى المرتبطة والمهتمة بها. ويتضمن ذلك:

 

· المديرون التنفيذون.

· المبرمجون.

· مقدمو خدمات الصيانة.

· مديرو نظام المعلومات مثل، مديرو البرمجيات، التشغيل، والشبكات.

· مديرو تطوير البرمجيات.

· المديرون المسئولون عن أمن نظام المعلومات.

· مراجعو نظم المعلومات داخليا وخارجيا.

· ..الخ.

 

(2) التوعية: Awareness

 

يقصد بهذا المبدأ مساعدة الأفراد المهتمين قانونيا بنظم الأمن علي التعلم والتعرف عن أمن نظام المعلومات. ولا يقتصر ذلك علي مجرد النجاح لنظام المعلومات أو مقاييس أمن معينة، ولا يجب أن ينشأ كاتجاه لأمن محفوف بالمخاطر. وفي هذا الإطار، فإن مستوي المعلومات التي يسعى إليه والمطابق لهذا المبدأ، يجب المساعدة في الحصول عليه بدون تهاون في إجراءات الأمن. ويتضمن هذا المبدأ الملاك والمقدمون، حيث قد توجد حالات يحتاج فيها إلي التزود بمعلومات حول أمن النظام. علي سبيل المثال، قد يدخل مالك شبكة معلومات في اتفاق أو اشتراك في خدمة قد ترغب منظمة أخرى في استخدامها لتقديم خدمات لأطراف ثالثة. وقد يتطلب مالك النظام ، كجزء من الاتفاق، أن تقدم أو تتوافر له مستويات أمن معينة. وفي هذه الحالة، قد يرغب هذا الشخص أو تلك المنظمة المالكة للنظام التعرف علي أمن نظام معلوماته. وتشبيها بذلك، قد تتعاقد أي منظمة مع مالك شبكة المعلومات أو الحاسب الآلي لتقديم خدمات معينة قد تتطلب لتأكيدات خاصة بالأمن والقدرة المستقلة في تحقيق الأمن ومراجعته بصفة مستمرة.

 

ويتضمن مستخدمو نظام المعلومات أيضا في مبدأ التوعية. علي سبيل المثال، المستخدم النهائي أو العميل الذي يختار بنك معين، قد يكون له اهتمام شرعي في معرفة سياسات الأمن لهذا البنك والبنوك الأخرى. واعتمادا علي سياسات الأمن المستخدمة تسوق وتروج الخدمات المصرفية كأداة لجذب العملاء.

 

وحتى يمكن اكتساب الثقة في نظام المعلومات، يجب أن يكون الملاك ومقدمو ومستخدمو النظام قادرين وجاهزين في التوعية عن أمن المعلومات، كما يجب عليهم أيضا أن يكونوا متضمنين في حفظ وصيانة الأمن. وبذلك يصبح مبدأ التوعية هاما في اكتساب المعرفة الملائمة والتعرف علي تواجد مزاولات وإجراءات لأمن النظام.

 

 

(3) الأخلاقيات: Ethics

 

في الحقبة المعاصرة، صارت نظم المعلومات تتخلل مجتمعاتنا وثقافاتنا، وقد صاحب ذلك نمو التوقعات والقواعد المرتبطة بالأمن الملائم في إمداد واستخدام هذه النظم. ويساند هذا المبدأ تطوير معايير اجتماعية ترتبط بأمن المعلومات التي تمثل أوجه مهمة في التعبير عن المعايير والتوجيهات لكل أعضاء المجتمع علي كافة مستوياتهم وأعمارهم بالإضافة إلي غرسها في أذهان الطلاب والشباب والعاملين وتتضمن في الأعراف المعمول بها منذ الصغر. أي أن نظم المعلومات وأمنها يجب أن تقدم وتستخدم بالطريقة التي تحترم بها الحقوق والاهتمامات الشرعية للآخرين.

 

(4) المجالات المتعددة البينية والمتداخلة: Multidisciplinary

 

عند تصميم وصيانة مقاييس ومزاولات وإجراءات أمن نظم المعلومات، يصبح من المهم عرض ومراجعة المدى الشامل لاحتياجات ومتطلبات الأمن وخياراته المتوافرة. علي سبيل المثال، قد يتواجد في أي منظمة استشارة الأفراد الفنيين، أفراد الإدارة والإدارة القانونية، المستخدمين وغيرهم فيما يتصل بتكامل النظم وإجراءات الأمن بطريقة متداخلة ومتعددة مع العلم بأن لكل هذه المجموعات والأطراف المتضمنة في النظم وأمنها منظورات ومتطلبات وموارد مختلفة يجب استشارتها ومعرفتها لكي تجمع المعلومات النابعة عنها معا لإنتاج مستوي أمثل لأمن النظام المستهدف. كما أنه علي مستوي السياسة، فإن التوجيهات تسهم في إعادة تقوية الأمن بنضوج كاف.

 

من جهة أخرى، يعترف هذا المبدأ باستخدام نظم المعلومات لأغراض عديدة مختلفة، وبتنوع متطلبات الأمن نتيجة لذلك. علي سبيل المثال، قد تختلف حاجات المصالح الحكومية والمدنية للأمن عن المصالح الأمنية والحربية، كما يتنوع ويختلف أمن المعلومات فيما يتصل بكل نوع من قطاعات الأعمال والتجارة وغيرها.

 

(5) التناسبية: Proportionality

 

لا يتطلب كل نظام معلومات أقصى درجة من الأمن، كما أنه من المهم ألا تكون النظم آمنة بدرجة غير كافية، أي أنه من غير الجدوى أن تتعدى إجراءات الأمن المتطلبات المعقولة للنظام. وتختلف هرمية نظم المعلومات وحاجاتها الأمنية من قطاع لآخر ومن منظمة لأخرى، أي لا يوجد حل واحد لمشكلات وقضايا الأمن المختلفة والمتعددة.

 

وفي تقويم حاجات الأمن، يجب معرفة المعلومات المستهدفة أولا بحيث يخصص قيمة لها، كما يجب إعداد مقاييس ومزاولات وإجراءات الأمن الممكنة وتوفيرها لحماية عناصر نظام المعلومات المختلفة، وتحسب تكاليف تنفيذ وصيانة خيارات الأمن.

 

وعلي هذا الأساس، يجب تحديد أوزان وقياس مستوي نوع الأمن المعين في مواجهة احتمال الأضرار الخطيرة التي يتعرض لها، بالإضافة إلي تكلفة مقاييس الأمن ذاتها، مع القيام بتحليل نظام المعلومات في سياق كل الإجراءات والنظم الأخرى المتطابقة.

 

أي أن مبدأ التناسبية يتضمن مستويات وتكاليف ومقاييس ومزاولات وإجراءات الأمن التي يجب أن تكون ملائمة ومناسبة لقيمة ودرجة اعتماد الثقة واعتما دية نظام المعلومات، في مواجهة خطورة واحتمالية ومدي الضرر الكامن في النظام كمتطلبات للأمن المطلوبة.

 

(6) التكامل: Integration

 

يعتبر أمن نظام المعلومات ذا فاعلية وكفاءة عند تصميم النظام ذاته، وتستنبط صيغ ملائمة له لكي تختبر لتجنب عدم التوافق وتقليل تكاليف الأمن الكلية له. ويتطلب الأمن في كل مرحلة من مراحل دورة حياة عملية تطوير نظام المعلومات المرتبطة بجمع البيانات والمعلومات وخلقها ومعالجتها وتخزينها ونقلها واستبعادها في كل مرحلة.

 

ويختص مبدأ التكامل بالمقاييس والمزاولات والإجراءات الخاصة بأمن المعلومات التي يجب أن تتكامل وتنسق معا ومع غيرها من الأبعاد الأخرى في المنظمة لخلق نظام أمن معلومات متكامل ومتناسق.

 

(7) الفورية أو الآنية: Timeliness

 

في بيئة نظم المعلومات المتواصلة والمتداخلة معا تتلاشى أهمية الوقت والمكان علي مستوي العالم. ويمكن الوصول لنظم المعلومات بغض النظر عن الموقع الطبيعي لها. ويعترف مبدأ الفورية أو الآنية، أنه طبقا لطبيعة نظم المعلومات المتصلة والمتداخلة والعابرة للحدود واحتمال حدوث الأضرار لهذه النظم بسرعة، قد تحتاج الأطراف المتضمنة إلي العمل معا بسرعة متناهية لمجابهة التحديات التي توجه نظم المعلومات. واعتمادا علي ثغرات الأمن. ويعترف هذا المعيار بحاجة القطاعات العامة والخاصة إلي إنشاء إجراءات للتعاون السريع الفوري والفعال استجابة لثغرات وأخطار الأمن. وعلي ذلك، يجب أن تعمل كل الأطراف المعنية بطريقة منسقة وبسرعة لمنع أي أخطار أو ثغرات في نظم المعلومات الخاصة بها.

 

(8) إعادة التقويم: Reassessment

 

يعترف هذا المبدأ بديناميكية نظم المعلومات في طبيعتها، مع العلم أن متطلبات أمن نظم المعلومات تتغير علي الدوام ولا تعتبر ثابتة في كل الأوقات. وعلي ذلك، يجب أن تمر نظم المعلومات بعملية تقييم مستمرة ودورية تتعلق بقيمتها وخطورة احتمال مدي الأضرار التي تتعرض لها. بالإضافة إلي متابعة مهمة التنفيذ في ضوء التطورات التكنولوجية الحديثة سواء المطبقة بواسطة الجهة المالكة للنظام أو المتوافرة للاستخدام من قبل الآخرين. أي أن أمن نظم المعلومات يجب إعادة تقييمه دوريا، حيث أن نظم المعلومات ومتطلبات أمنها تتغير خلال الوقت.

 

(9) الديمقراطية: Democracy

 

تقاس متطلبات أمن نظم المعلومات في مواجهة الاهتمامات الشرعية لكل الأطراف المعنية من مطورين ومشغلين ومستخدمين يرتبطون باستخدام المعلومات وتدفقها بهدف الوصول للتوازن طبقا للمجتمع الديمقراطي. وقد يفترض البعض غير الملم بأمن نظم المعلومات بأن ذلك قد يؤدي إلي قيود في الوصول للبيانات والمعلومات وفي تدفقها وحركتها. علما، أنه علي العكس، يعزز الأمن الوصول للمعلومات وتدفقها من خلال توفير نظما أكثر دقة وموثوقية وتوافر. علي سبيل المثال، يساعد انسجام وتوافق توجيهات ومعايير الأمن الفنية في منع تكاثر النظم المتفرقة غير المترابطة معا، وبذلك توجد ضرورة في توافق أمن نظم المعلومات من حيث استخدامها وتدفقه بعدالة وتوازن في المجتمع الديمقراطي.

 

المصدر: أ.د. محمد محمد الهادي أستاذ نظم المعلومات أكاديمية السادات للعلوم الإدارية
ahmedkordy

خدمات البحث العلمي 01009848570

  • Currently 65/5 Stars.
  • 1 2 3 4 5
21 تصويتات / 2731 مشاهدة
نشرت فى 27 ديسمبر 2010 بواسطة ahmedkordy

أحمد السيد كردي

ahmedkordy
»

ابحث

تسجيل الدخول

عدد زيارات الموقع

30,755,372

أحمد السيد كردي

موقع أحمد السيد كردي يرحب بزواره الكرام free counters