تعاريف في أمن المعلومات Definitions

security

 

أمن المعلومات Information Security

 

infosec1

 

هو حماية معلومات معينة من أن تعاين، أو تستخدم من قبل أشخاص غير مخول لهم ذلك، أو من أن تكشف للعلن، أو توزع، أو أن تعدّل، أو من أن تدمر أو تحذف. هذا التعريف ينطبق على أي نوع من المعلومات سواء كانت المعلومة مكتوبة على ورق أو موجودة في ملف ما على الإنترنت.

 

لا يتضمن هذا التعريف الاجراءات اللازمة لضمان أمن المعلومات والاجراءات التي يجب وضعها للتعامل مع حالات خسارة أمن المعلومات مؤقتا أو حالات خسارة المعلومات أو جزء منها وغير ذلك. ولا بآليات إدارة المخاطر والتدريب والتوافق مع القوانين المعمول بها ولا بالتكنولوجيا المستخدمة في تصميم نظام أمن المعلومات… جميع هذه المواضيع تندرج تحت المفهوم الأعم لأمن المعلومات والذي نسمية ضمان المعلومات Information Assurance IA والذي نتناوله لاحقا في هذا السرد لتعاريف أمن المعلومات.

 

 

إدارة المخاطر Risk Management

 

secutity2

 

بشكل عام يمكن أن نقول أن الخطورة (ريسك Risk) هي احتمال حدوث شئ سئ. ونقاط الضعف (فولنرابيليتيز Vulnerabilities) هي ما يمكن استغلاله لالحاق الأذى. أما التهديدات (ثريت Threats) هي اي شئ يمكن أن يسبب الأذى.

 

مثلا في بناء طابقي لا يحتوي على عدد كافي من مطافئ الحريق ولا يحوي مخارج طوارئ في كل طابق, تكون الخطورة هي احتمال وقوع ضحايا في البناء, وتكون نقاط الضعف عدم وجود مطافئ حريق كافية وعدم وجود مخارج طوارئ, ويكون التهديد هو وجود مواد قابلة للاشتعال في المبنى كلأثاث الخشبي والسجاد أو كبلات كهربائية مهترئة ممكن أن تشعل شرارة تؤدي لحريق.

 

بالتالي يمكن تعريف إدارة الخطورة على أنها عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات الخاصة بشخص ما أو بمؤسسة ما أو منظمة وتحديد الإجراءات المضادة واتباعها لانقاص الخطورة إلى حد مقبول بالنسبة لشروط العمل الموضوعية كالتكلفة والوقت والإمكانيات التقنية المتاحة.

 

بالعودة لمثالنا, إدارة الخطورة هي تحديد التهديدات الممكنة كوجود الكبلات الكهربائية المهترئة. وتحديد الاجراءات المضادة مثل صيانة الكبلات بالإضافة لوضع مطافئ حريق كافية وهكذا.

 

هنا تجدر الإشارة إلى:

  1. أن عملية تحديد نقاط الضعف والتهديدات الممكنة على المعلومات يجب أن تكون عملية مستمرة ومتكررة. فطالما هناك معلومات يجب ضمان أمنه يجب ألا تتوقف عملية تحديد نقاط الضعف. لأن التهديدات الممكنة دائمة التجدد والتغير. فالتطورات التقنية مثلا تتيح المجال لاستغلال ثغرات لم يكن لها اعتبار بسبب غياب التقنية اللازمة.
  2. اختيار الاجراءات المضادة لانقاص الخطورة يجب أن يحقق توازن بين انتاجية المؤسسة والتكاليف والخطورة.
  3. لا يمكن تحديد كل المخاطر بالتالي لا يمكن أيضا الاستعداد لكل المخاطر.

 

أيضا من المفيد أن نذكر أن المخاطر على أمن المعلومات لفرد أو منظمة تزيد كلما زاد اعتماد الفرد أو المؤسسة على تقنيات العالم الرقمي. فكل تقنية جديدة تستخدمها المؤسسة أو يستخدمها الفرد في مهامه تحمل عددا جديدا من نقاط الضعف يضاف إلى نقاط الضعف الموجودة أساسا. ما يزيد بالتالي المخاطر ومعها التهديدات.

 

يجب إذا قبل إستخدام أو إدخال أية تقنية إلى عمل الفرد أو المؤسسة دراسة تأثيرها على مستوى الخطورة على أمن المعلومات الرقمية العام.

 

 

أمن البيانات أو أمن المعلومات الرقمية IT Security

 

secutity3

 

هي إجراءات أمن المعلومات المطبقة على التجهيزات الرقمية كالحواسب الشخصية والإنترنت والهواتف النقالة والذكية… الخ. ففي عالم اليوم تلعب أجهزة الحاسوب والإنترنت دورا أساسياً في إدارة أي عمل أو مؤسسة أو شركة أو منظمة, بالتالي أصبح أمن المعلومات الرقمية (آي تي سيكيوريتي IT Security) أو أمن البيانات (داتا Data Security) ضرورة لا بل حاجة أساسية.

 

لا تقتصر ضرورة العناية بأمن البيانات أو أمن المعلومات الرقمية على الشركات والمنظمات بل تشمل أيضا أمن المعلومات الرقمية الشخصية للفرد نفسه.

 

في كثير من الأحيان, أنقذت إجراءات الأمن الرقمي للناشطين حياتهم عندما ألقي القبض عليهم بشكل تعسفي. وفي أحيان أخرى أدى إهمال مبادئ الأمن الرقمي الأساسية إلى استشهاد عدد كبير من الناشطين. وفي حالات أسؤأ أدى إهمال شخص واحد لمبدأ بسيط من مبادئ الأمن الرقمي إلى اعتقال عدد من زملائه من الفريق الذي يعمل ضمنه وأصدقائه وملاحقة عائلته والتنكيل بهم في المعتقل وتعذيبهم بلا رحمة.

 

أحيانا نسمع من يقول أنه بسبب وجوده في إحدى الدول الأوروبية لا داعي لأن يهتم بامن المعلومات. أيضا يجيب هؤلاء كلما أثرت الموضوع أمامهم أنهم بعيدون عن الاستبداد, وأن موضوع الامن الرقمي يخص من في الداخل فقط. هذه نظرية خاطئة. لأن اختراق حساب البريد الالكتروني لأحدهم, الذي يحوي على مراسلات مع ناشطين في الداخل, قد تشير إلى أصحاب المراسلات وأماكن تواجدهم في الداخل وتضعهم في خطر كبير. بالتالي إهمال من في الخارج لأمنهم الالكتروني يعرض من في الداخل لخطر الاعتقال والتعذيب والتصفية.

 

النظرية الصحيحة هي ان أمنك الرقمي حاجة أساسية سواء كنت ضمن دولة تعاني الاستبداد أو خارجها بينما زملاؤك يتواصلون معك من الداخل.

 

الخصوصيّة على الإنترنت Internet Privacy

 

secutity4

 

بشكل عام, الخصوصية هي الحد الذي يفصل بين ما يحق للمجتمع معرفته عن حياتنا الخاصة وما لا يحق للمجتمع معرفته. بكلمات أخرى, تعني الخصوصية قدرة شخص أو مجموعة من الأشخاص في البت في ما يمكن نشره من معلومات عنهم على العلن وما لا يمكن نشره.

 

الخصوصية حق من حقوق الانسان (راجع البند 12 من الاعلان العالمي لحقوق الانسان). وفي كثير من البلاد يعتبر احترام الخصوصية جزءا أساسيا من كرامة الانسان وجزءا أساسيا من القيم كحرية التعبير, وحرية الانتماء الفكري.

 

هناك درجات عديدة من الخصوصية. وفي العديد من الدول يجرم القانون درجات معينة من انتهاك الخصوصية الفردية فمثلا أخذ صورة بشكل سري لشخص داخل منزله تعتبر في أحد البلدان انتهاكا للخصوصية يعاقب عليها القانون. لأن الصورة أخذت دون موافقته المسبقة ودون معرفته وهو ضمن ملكيته الشخصية. لكن نشر معلومات عن تواجد شخص ما في مكان ما والذي هو أيضا انتهاك للخصوصية قد لا يعتبر جريمة يعاقب عليها القانون في نفس البلد.

 

تقوم الدول التي لا تحترم حقوق الانسان بانتهاك خصوصية الأفراد, فمثلا في سوريا في مقاهي الإنترنت يطلب صاحب المقهى من مستخدم الإنترنت ترك اسمه ورقم هويته عند استخدامه للانترنت وتجبر مقاهي الإنترنت على الاحتفاظ بسجلات الزوار بالإضافة لتسجيلات كاملة لاستخدامهم للانترت بدون علم الزوار. أيضا تنتهك السلطات الرسمية خصوصية مستخدمي الهواتف الجوالة والذكية عبر حصولها على بيانات الاتصال المتعلقة بأي شخص تريده عبر سلطتها القانونية على شركات الاتصال, وتملك السلطات الحق في التنصت على المكالمات وتسجيلها.

 

هنا لا يمكن أن نقول أن السلطات تنتهك القانون. هنا يمكن بالتأكيد القول أن القانون استبدادي. وهذا ليس إلا غيض من فيض فيما يتعلق بانتهاك الخصوصية في الدول الاستبدادية. حيث ينتهك فيما ينتهك الحق في الحياة, والحق في انشاء التجمعات والحق في حرية الرأي وغيرها من الحريات التي يكفلها الاعلان العالمي لحقوق الانسان.

عودة لموضوعنا. ما يهمنا من الخصوصية في هذا الكتيب هو الخصوصية على الإنترنت وهي بالخصوصية فيما يتعلق بتخزين البيانات الشخصية عند استخدام الإنترنت, تمريريها لطرف ثالث أو إظهارها على العلن عبر الإنترنت. يمكن للخصوصة على الإنترنت أن تكون معلومات تحدد شخصية مستخدم الإنترنت كتاريخ الميلاد, الاسم الحقيقي, الصورة الشخصية, عنوان الشخص أو رقم جواز سفره. وتسمى هذه المعلومات اختصارا المعلومات المحددة للشخصية (بيرسونالي أيدينتيفايينغ إنفورميشن بي آي آي Personally Identifying Information PII) أو معلومات غير محددة للشخصية (non-PII) مثل سلوك زائر ما لموقع ما على الإنترنت.

 

كيف يضمن المستخدم للانترنت أنه لا يكشف عن هويته باستخدامه للانترنت لأغراض تغضب السلطات القمعية, ككتابة المقالات في المدونات المناوئة للاستبداد, أو رفع التقارير الصحفية والأفلام التي تظهر تورط السلطات بانتهاك حقوق الانسان. على المستخدم إن كان يريد الاستمرار في عمله الهام جدا في فضح ممارسات الاستبداد أن يهتم بسلامته الشخصية وسلامة من حوله من العاملين ليس فقط عبر تشفير المعلومات مثلا بل أيضا على ضمان عدم كشف شخصيته الحقيقية.

 

مثال على ذلك انشاء حساب فيسبوك واستخدام لقب ما أو اسم مغاير للاسم الحقيقي, وعدم وضع صورة شخصية أو وضع صورة شخصية لشخص آخر. واستخدام الحساب الوهمي للعمل المناوئ للاستبداد. مع العلم أن هذا التصرف مخالف لشروط استخدام فيسبوك ويعطيها الحق باغلاق الحساب عند وصول شكوى عن كون الحساب زائفا.

 

أمن الإنترنت Internet Security

 

secutity5

 

أمن الإنترنت فرع في مجال أمن المعلومات الرقمي يختص بأمن المعلومات الرقمي على الإنترنت واستخداماتها خاصة ما يتعلق بمتصفحات الإنترنت. يهدف أمن الإنترنت لوضع القواعد والأساليب والإجرائيات التي تحد من مخاطر استخدام الإنترنت على أمن المعلومات. فتبادل المعلومات عبر الإنترنت يحمل مخاطر كثيرة جدا كالتنصت على الرسائل والخداع والغش وسرقة كلمات السر وغيرها. تدخل في نطاق أمن الإنترنت مصطلحات كثيرة مثل:

  • تشفير رسائل الإيميل PGP Encryption
  • جدار النار Firewall
  • الفيروسات Viruses
  • الديدان Worms
  • أحصنة طروادة Trojan Horses
  • برامج التجسس Spyware
  • مضادات الفيروسات Anti-Viruses

وغيرها.

 

 

تأمين المعلومات من الضياع Securing Data from Loss

 

تأمين المعلومات من الضياع يعني ضمنان عدم ضياع المعلومات مع مرور الوقت أو عند حدوث طارئ أو أزمة ما. الحوادث الطارئة التي قد تؤدي لضياع المعلومات تتراوح بين الكوارث الطبيعية والحذف غير المقصود للمعلومات, مرورا بالسرقة والعطب وتوقف الأجهزة عن العمل والهجمات الالكترونية التخريبية بمختلف أنواعها.

 

كثيرا ما نسمع أن فلانا أضاع هاتفه الجوال, ولأنه لم يكن مستعدا لهذا الاحتمال, فقد كل معلومات التواصل مع أصدقائه. هذا مثال بسيط على عدم وجود إجراء يضمن سلامة هذه المعلومات من الضياع.

 

أيضا توقف القرص الصلب (الهارد ديسك Hard-Disk) عن العمل سبب رئيسي من أسباب ضياع المعلومات عند المستخدم العادي. الكثيرون منا اختبروا هذا الأمر بأنفسهم وفقدوا بسبب بذلك محتويات أقراصهم الصلبة إلى الأبد.

 

اجراء النسخ الاحتياطية (باك أب Backup) بشكل دوري والاحتفاظ بها في مكان آمن بعيدا عن مكان تواجد المعلومات المراد الاحتفاظ بها هو الوسيلة الأكثر انتشارا لتأمين المعلومات من الضياع.

 

على كل شخص أو مجموعة أن تتأكد من أن المعلومات التي بحوزته مؤمنة من الضياع عبر وضع اجرائيات مناسبة وتنفيذها.

 

 

ضمان المعلومات Information Assurance IA

 

secutity6

 

ضمان المعلومات هو مجموعة الأعمال الازمة لتأمين المعلومات وإدارة المخاطر الرتبطة باستخدام, معالجة, تخزين ونقل المعلومات. بالإضافة لتأمين الأنظمة والأجهزة المستخدمة والاجراءات اللازمة لتأمينها. يتضمن مصطلح ضمان المعلومات حماية المعلومات من الضياع أو التعديل, وضمان توافر المعلومات عند اللزوم فقط للأشخاص المخولين بالوصول لها. ويعتمد ضمان المعلومات على التقنيات والأجهزة المناسبة وأيضا على الاجراءات الإدارية. وعلى الرغم من أن المصطلح برز في مجال المعلومات الرقمية إلا أنه يستخدم في مجال المعلومات بشكل عام سواء كانت رقمية أو غير رقمية. بكلمات أخرى, أمن المعلومات هو المصطلح الأعم والأكثر شمولا فيما يتعلق بهذا المجال.

 

إذا ضمان المعلومات لا يتعلق فقط بأمن المعلومات بل بتأمين الأنظمة حيث يتم تداول المعلومات وتخزينها ومحتوياتها وأيضا بالاجراءات الاستراتيجية لإدارة المخاطر المتعلقة بأمن المعلومات.

 

بالتالي يقوم العاملون في مجال IA الواسع بالإضافة لمواجهة الاختراقات الأمنية أو التطبيقات والبرمجيات المسيئة (كالفيروسات), بإصدار سياسات المؤسسات المتعلقة بضمان المعلومات, كسياسة الخصوصية والمعايير ومقدار والالتزام بها, وأيضا بإجراء التدقيق في استعدادات المؤسسة لقابلية استمرار العمل, قابلية التعافي بعد الكوارث والمقصود هنا كوارث الاختراقات الأمنية المتعلقة بالمعلومات والكثير غيرها من المهمام والأنشطة.

 

وبالتالي يشمل العمل في مجال IA اختصاصات مختلفة كالمحاسبة, كشف التزوير, علم التحقيق الجنائي, علوم الإدارة, هندسة الأنظمة وهندسة الأمان وعلم الجريمة بالإضافة لعلوم الحاسب والشبكات الرقمية وغيرها من العلوم التقنية المتعلقة بالمعلومات ومعالجتها.

 

مدير أمن المعلومات CISO Chief Information Security Officer

 

secutity7

 

مدير أمن المعلومات أو الـ CISO هو المدير الإداري الأرفع ضمن المؤسسة في مجال أمن المعلومات. وهو المسؤول عن وضع والمحافظة على رؤية المؤسسة, استراتيجيتها وبرنامج عملها في ما يتعلق بضمان المعلومات الخاصة بالمؤسسة. وهو أحد الموظفين من فئة الـ C (اختصارا لـ Chief) أي من فئة المسؤولين الإداريين في المؤسسات والشركات والتي تتضمن مثلا المدير التنفيذي العام للمؤسسة CEO ومدير المعلومات CIO مدير التسويق CMO.

 

يختلف تسلسل المسؤوليات الهرمي بالنسبة للـ CISO حسب بنية المؤسسة. ففي العديد من المؤسسات يكون الـ CISO مسؤولا أمام المدير التنفيذي CEO. وفي عيرها من المؤسسات أمام مدير المعلومات CIO، وفي الكثير منها يكون الـ CISO مسؤولا بشكل مباشر أمام مجلس إدارة المؤسسة Board of directors.

 

المصدر