امن المعلومات

ماهيتها وعناصرها واستراتيجياتها

    1. مـا  المقصـود بأمـــن المعلومات وما هـي عناصره ؟

أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .

واستخدام اصطلاح أمن المعلومات Information Security   وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات  وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .

1-1  ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟  

     ( عناصر أمن المعلومات)

ان اغراض ابحاث واستراتيجيات ووسائل أمن المعلومات – سواء من الناحية التقنية او الادائية - وكذا هدف التدابير التشريعية في هذا الحقل ، ضمان توفر العناصر التالية لاية معلومات يراد توفير الحماية الكافية لها :-

ü    السرية أو الموثوقية  CONFIDENTIALITY : وتعني التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .

ü    التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح ولم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره او العبث به في اية مرحلة من مراحل المعالجة او التبادل سواء في مرحلة التعامل الداخلي مع المعلومات او عن طريق تدخل غير مشروع .

ü    استمرارية توفر المعلومات او الخدمة AVAILABILITY  :- التأكد من استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات وتقديم الخدمة لمواقع المعلوماتية وان مستخدم  المعلومات لن يتعرض الى منع استخدامه لها او دخوله اليها .

ü        عدم إنكار التصرف المرتبط بالمعلومات ممن قام به  Non-repudiation  :- ويقصد به ضمان عدم انكار الشخص الذي قام بتصرف ما متصل بالمعلومات او مواقعها انكار انه هو الذي قام بهذا التصرف ، بحيث تتوفر قدرة اثبات ان تصرفا ما قد تم من شخص ما في وقت معين .

تعريف المفاهيم الخاصة بأمن المعلوماتتعددت تعريفات امن المعلومات فنجد انها رغم تعدد التفسيرات الا انها تصب فى نفس المفهوم و هو الامن أمن المعلومات:-يمكن تعريف الأمن المعلومات علي أنها العلم الذي يعمل علي توثيق الحماية من المخاطر الذي تهددها أو اعتداء عليها وذلك من خلل توثيق الأدوات ووسائل اللازمة لحماية معلومات من مخاطر الداخلية والخارجية أي وضع برنامج امن لمعلومات وذلك لمنع وصول المعلومات إلي أشخاص عير مخولين عبر اتصال ولضمان صحة هذه اتصال ويعتبر امن المعلومات أمر قديم ولكن بدء استخدام بشكل ملحوظ مع تطوير تكنولوجيا وحاسوب وخاصة مع انتشار إعمال التجارية علي شبكه الانترنت ولابد من وضع الإجراءات تمنع عمليات الدخول غير مخولين وذلك عن لحد من إمكانية تسلل إلي معلومات ويضمن encryption وتشفير authentication طريق تبني التحقيق تفنيه محافظ علي سريتها ويتضمن برنامج امن معلومات توفير عنصرين رئيسين وهماتحليل المخاطر و أدارت المخاطر أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .واستخدام اصطلاح أمن المعلومات Information Security   وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات  وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .1-1  ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟ فى الواقع ان هناك اختلاف حاد بين تكنولوجيا المعلومات و امن المعلومات فمصطلح امن المعلومات هو خصوصيتها و الحفاظ عليها بعيدا عن العابثين و سريتها الشديده و متى يتم تداولها و من الذى يتداولها و من يحق له الوصول اليها خصوصا لو شركات تعمل فى مجالات علميه او تكنولوجيا الاختراع و الصناعات الحديثهعل العبث هنا ياتى من الدول العظمى و التلاعب بالالفاظ و الكلمات بحجج واهيه انها تؤمن معلوماتك فى المواقع المختلفه و هى فى الوقت ذاته تقوم بسرقه معلومات غايه فى الاهميه للحصول على وثائق تكنولوجيه حديثه او معلومات خاصة بالتقدم النووى او التسليحفى مقاله ترجمتها من الموقع التالى نتفهم ما الفرق بين كلاهما https://www.csoonline.com/article/3225344/data-protection/information-security-is-not-information-technology.html انقسمت القياده الامريكيه من وكاله الامن القومى على مكافحه الحروب داخل المجتمعات الدوليه فى الفضاتمت تغطية التغطية الإخبارية الأخيرة بالحديث عن انقسام القيادة الإلكترونية الأمريكية من وكالة الأمن القومي. إنه انتقال منطقي. تركز قيادة الإنترنت على مكافحة الحروب داخل المجال الالكترونى بينما تركز وكالة الأمن القومي على جمع المعلومات الاستخبارية ، وفي حين أن التقنيات غالبا ما تكون هي نفسها ، إلا أن الأهداف مختلفة تمامًا. في الواقع ، تحكمهم قضيتان مختلفتان تمامًا. تقع القيادة الإلكترونية تحت العنوان 10 من قانون الولايات المتحدة ، الذي يحكم القتال. داخل المجال الالكترونى ، يُطلق على هذا الأمر اسم Network Attack ، أو CNA ، ويعني ضرب الخصم بهدف تعطيل أو رفض أو تحطيم أو تدمير المعلومات أو أجهزة الكمبيوتر أو الشبكات. من المحتمل جدا أن يلاحظ الخصم كل هذه الأنشطة. من ناحية أخرى ، يحكم NSA عنوان 50 ، الذي يغطي مجموعة المخابرات السرية - وهو نشاط فعال فقط إذا لم يلاحظه الخصم. هذان النشاطان مختلفان إلى درجة أنه من المحتمل أنه لم يكن من الممكن أبداً أن يجمع بينهما ، إلا أنه يوجد تداخل بين مجموعات المهارات والأدوات. إذن ما هو الدرس الذي يمكن أن تتعلمه الشركات من هذا؟ تخصص الأمن بالنسبة إلى أي شخص شارك في أمن المعلومات خلال العقود القليلة الماضية ، فإن هذا المزيج من الأهداف غير المرتبطة على أساس بعض التداخل بين مجموعات وأدوات المهارات مألوف للغاية. هذا هو السبب في دمج الأعمال بين وظائف تكنولوجيا المعلومات وأمن المعلومات. في الواقع ، العديد من قادة الأعمال بشكل خاطئ ينظرون إلى InfoSec كتخصص في تكنولوجيا المعلومات. ليست كذلك. InfoSec هو تخصص أمني. يصبح هذا التمييز أكثر وضوحًا عندما ننظر إلى أوجه التشابه بين تقنية المعلومات وصيانة المباني. ينصب تركيز كلتا الوظيفتين على التأكد من أن كل شيء يعمل ومتاح - سواء كان ذلك HVAC أو بنية تحتية للشبكة. وهناك بالتأكيد بعض التداخل مع الأمن. التوافر هو واحد من الركائز الثلاث للمبدأ الأمني ​​المعروف باسم ثالوث السي آي إيه - السرية والنزاهة والتوافر. علاوة على ذلك ، غالباً ما تكون صيانة المباني مسؤولة عن الأبواب والأقفال ، تماماً مثل قسم تكنولوجيا المعلومات في الشركة غالباً ما يكون مسؤولاً عن الحفاظ على جدران الحماية ومكافحة الفيروسات. ومع ذلك ، فإن تطبيق المبادئ الأمنية في مجال تركيز شخص ما لا يجعله خبيرًا أمنيًا. تتطلب الخبرة الأمنية رؤية مختلفة للعالم. يولد بعض الناس معها. يروي بروس شناير ، عالم الكريبتوغراف ، قصة عظيمة توضح ذلك : عندما كان طفلاً ، اشترى بروس مزرعة للنمل. لم يأت مع النمل الحي. بدلا من ذلك ، جاء مع بطاقة فارغة. للحصول على النمل ، سيقوم أحد بملء البطاقة وإرسالها إلى الشركة ، وسيقوم بإرسال أنبوب من النمل إلى منزلك. "لقد أعرب صديقي عن دهشته لأنك قد ترسل إليك النمل في البريد" ، يقول بروس. لكن استجابة بروس توضح الفرق في المنظور الأمني: "الشيء المثير للاهتمام حقًا هو أن هؤلاء الأشخاص سيرسلون أنبوبًا من النمل الحي إلى أي شخص تخبرهم به". المتخصصون في مجال الأمن باستمرار ، ربما بشكل إلزامي ، يبحثون عن طرق لجعل الأمور تعمل بطرق غير متوقعة. ليس كل من ولدت معه رغم ذلك. ويمكن أيضا شحذها على مدى سنوات من التركيز على الأمن. هذا هو السبب في أننا نشهد العديد من الأعضاء السابقين في الجيش ومجتمع الاستخبارات ينتقلون إلى وظائف داخل أمن المعلومات . (الكشف: أنا من قدامى المحاربين في الجيش والمخابرات). هؤلاء هم خبراء الأمن الذين يقومون بنقل خبرتهم الأمنية إلى مجال آخر: المعلومات. انها واحدة من التخصصات الأمنية القليلة الموجودة في العالم المدني. ويساعد هذا التمييز على توضيح أنه على الرغم من مشاركة كلمة مشتركة في عناوينها ، فإن أمن المعلومات وتكنولوجيا المعلومات تطبق مبادئ مختلفة للغاية لتحقيق أهداف مختلفة للغاية. تختلف هذه الأهداف بحيث يجب على الشركات في نهاية المطاف الفصل بين التركيزين ، وهذا الفصل منطقي بطرق أكثر من واحد. تضارب المصالح بالإضافة إلى كونه تخصصًا مختلفًا ، هناك أيضًا تضارب واضح بين اهتمامات ومنظورات المسؤولين عن ضمان عمل الأشياء وتلك التي تضمن أن الأشياء آمنة. إن إيجاد التوازن الصحيح بين إمكانية الوصول والأمن هو جزء أساسي من نجاح المؤسسة الحديثة. من المهم إزالة احتمالية وجود أي من المنظور الآخر. عندما يكون الأمان مفرطًا ، يمكن للمؤسسة أن تفقد الوظيفة التي تمكن من التركيز الأساسي. من ناحية أخرى ، عندما يتجاوز التركيز على وظائف تقنية المعلومات وإمكانية الوصول إلى أمان المؤسسة ، تصبح الاختراقات وشيكة. التوازن هو المفتاح هنا ، لأن المخطئة على أي من الجانبين يمكن أن تكون مدمرة لمنظمة. أين يجب أن يتلاءم الأمن داخل المؤسسة؟ توقع IDC أن 75 ٪ من CISOs سوف يقدم تقريرا إلى المدير التنفيذي بحلول عام 2018 ، ولكن أظهرت دراسة حديثة من قبل K Logix أن أكثر من نصف ما زالوا يرفعون تقاريرهم إلى رئيس قسم المعلومات. يتجاهل هذا الهيكل العوامل الرئيسية: تضارب المصالح المتأصل ، وحقيقة أن الأمن ليس مجموعة فرعية من تكنولوجيا المعلومات. وقد جادل البعض بأن على مدير المعلومات أن يقدم تقريرا إلى CISO ، ولكن هذا يخلق هذه المشاكل نفسها بطريقة مختلفة. ويتمثل أحد الحلول البسيطة في منح CISO و CIO نفس هيكل التقارير ، مع تقديم التقارير إلى المدير التنفيذي. لكن هذه ليست النهاية. ومع تدفق خروقات البيانات التي لا تنتهي أبداً في الأخبار ، سنرى إدراكاً صارخاً من قادة الأعمال من أي نوع: أمن المعلومات يتعلق بمخاطر العمل الوجودية ، وليس مخاطر تكنولوجيا المعلومات. في النهاية ، إنها قضية على مستوى مجلس الإدارة . وقد أدركت الرابطة الوطنية لمديري الشركات ذلك ، ونشرت مؤخرًا دليل المدير بشأن الرقابة على المخاطر السيبرانية ، وبدأت مجالس إدارات الشركات تدرك أنها بحاجة إلى خبرة أمنية على مستوى مجلس الإدارة . التحول وشيك والسؤال الوحيد المتبقي لمعظم الشركات هو ما إذا كانت ستدرك ذلك قبل ، أو كنتيجة لخرق بيانات كارثي. تم نشر هذه المقالة كجزء من شبكة المساهمين IDG.ترجمة و نشر المستشار فى التحكيم الدولي :: محمد عبدالغني عبدالحميد سيد