‫أمن المعلومات والنظم المعلوماتية‪Security of Data andComputer Systems ..

‬‬

‫ازدادت في السنوات السابقةعمليات األتمتة في المؤسسات الحكومية والخاصة والتي تتطلب‬

‫استخدام النظم المعلوماتية أوالحواسيب اإللكترونية وما يرافقها من ربط للنظم الحاسوبية بين المواقع‬
‫المختلفةلهذه المؤسسات وتبادل المعلومات بين هذه المواقع‪ .‬ونظراً لما توفره مثل هذه النظم‬
‫المعلوماتيةفي سهولة سير األعمال في المؤسسات‪ ،‬أصبح االعتماد عليها أمراً ضرورياً‪ .‬لكن استخدام‬
‫نظم المعلومات الحاسوبية يؤدي إلى ظهور أخطار جديدة ناتجة عن تجميع كميات كبيرة من المعلومات‬
‫في مكان واحد‪ ،‬وجعل تلك المعلومات الهامة عرض ًة للفقد أو السرقة أو العبث بها من أشخاص غير‬
‫مخولين باإلطالع عليها‪.‬‬

‫حماية ممتلكاتن امن المعلومات ‪:‬‬

‫نحرص جميعاً على حماية ممتلكاتنا الخاصة أو العامة من العبث أو السرقة‪ .‬فالمعلومات بأشكالها‬
‫المختلفة الورقيه أواإللكترونية هي ممتلكات تنفق المؤسسات أموال ً طائلة لتدوينها وحفظها‪ .‬وبالتالي‬
‫فالمعلومات اإللكترونية هي ممتلكات ولكي نحافظ عليها يجب علينا‪ V‬الحفاظ على أمن النظم‬
‫الحاسوبية الحاملة لها والشبكات الحاسوبية الناقلة لها‪ .‬فنحن معنيون بالحفاظ‪ V‬على سرية‬
‫‪Security‬المعلومات ومنع الوصول إليها إال من المخولين بذلك وعلى تكامليتها ‪ Integrity‬من حيث الدقة‬
‫وعدم تغيير جزء منها وعلىجاهزيتها ِ‪ Availability‬لتمكين المخولين من الوصول إليها عند الحاجة أي‬
‫توفيراستمرارية بالحصول‪ V‬عليها فيكافة الظروف‪ .‬من هنا ظهرت أهمية علوم أمن المعلومات والنظم‬
‫المعلوماتية التي تغطيالمتطلبات الثالث السابقة‪.‬‬
‫األخطار والمهدداتالتي تتعرض لها النظم الحاسوبية ‪:‬‬
‫إن معرفة المهددات التيتتعرض لها النظم الحاسوبية تساعد في وضع وتنفيذ اإلجراءات األمنية األكثر‬
‫فاعلية لمجابهة تلكاألخطار‪ .‬يمكن تصنيف المهددات واألخطار إلى أربعة أنواع رئيسية هي‪:‬‬
‫‪-‬خرق النظم الحاسوبية بهدفاالطالع على المعلومات المخزنة فيها والوصول إلى معلومات شخصية أو‬
‫أمنية عن شخص ما‪ ،‬أوالتجسس الصناعي‪ ،‬أو التجسس المعادي للوصول إلى معلومات عسكرية‬
‫سرية‪.‬‬
‫‪-‬خرق النظم الحاسوبية بهدفالتزوير أو االحتيال (التالعب بالحسابات في البنوك‪ ،‬التالعب بفاتورة‬
‫الهاتف‪ ،‬التالعببالضرائب‪ ،‬تغيير بيانات شخصية في السجل المدني أوفي السجل العام للموظفين‪،‬‬
‫الخ‪.)...‬‬
‫‪-‬خرق النظم الحاسوبية بهدفتعطيل هذه النظم عن العمل ألغراض تخريبية باستخدام ما يسمى‬
‫البرامج الخبيثة (مثل الفيروسات‪،‬الدودة‪ ،‬حصان طروادة‪ ،‬أو القنابل اإللكترونية) إما من قبل األفراد أو‬
‫العصاباتأو الجهات األجنبيةبغرض شل هذه النظم الحاسوبية (أو المواقع على اإلنترنت) عن‬
‫العملوخاصة في ظروف خاصة أو في أوقاتالحرب‪.‬‬
‫‪-‬أخطار ناتجة عن فشل التجهيزاتفي العمل‪ ،‬أعطال كهربائية‪ ،‬حريق‪ ،‬كوارث طبيعية (فيضانات‪،‬‬
‫زلزال‪ ، ). . ،‬عملياتتخريبية‪V.‬‬
‫يبين المخطط رقم (‪ ) 1‬نتائجدراسة أجريت على عدد من المؤسسات حول أنواع المهددات التي تتعرض‬
‫لها أنظمتها الحاسوبية‪،‬حيث يبين نسبة المؤسسات التي ذكرت حدوث خسائر في بياناتها أو‬
‫برمجياتها نتيجة إصابتهاباألخطار والمهددات‪.‬ويجدر اإلشارة هنا إلى أن أنواع المهددات األمنية للنظم‬
‫المعلوماتية تتنوع مصادرها حسب األغراض التيتقوم بها تلك النظم‪ .‬فمثال ً تكون األنظمة المرتبطة مع‬
‫شبكة اإلنترنت أكثر عرضةللفيروسات من األنظمة غير المرتبطة مع الشبكة‪ .‬نالحظ أن حوالي ‪%85‬‬
‫من المؤسساتفقدت بيانات وبرمجيات نتيجة الفيروسات بينما حوالي ‪ %55‬فقدت بياناتهاأو برمجياتها‬
‫نتيجة تعطل تجهيزات و‪ %50‬فقدت بيانات نتيجة خروقاتداخلية من العاملين فيها‪.‬‬
‫متطلبات األمنوالحماية للمنظومات المعلوماتية‪:‬‬
‫تعتبر مسألة أمن النظمالمعلوماتية من المسائل الحساسة في المؤسسات العامة والخاصة التي‬
‫تقوم بأتمتة معلوماتها‪ .‬وتختلفالمتطلبات األمنية للمنظومات المعلوماتية تبعاً الختالف تطبيقات وأعمال‬
‫كل مؤسسة‪.‬ويمكن حصر أهم هذه المتطلبات بما يلي‪:‬‬
‫‪google_protectAndRun("ads_core.google_render_ad", google_handleError,‬‬
‫)‪;google_render_ad‬‬
‫‪-‬يجب وضع سياسة‪ policy‬حماية عامة ألمنالمعلومات والنظم المعلوماتية حسب طبيعة عمل‬
‫وتطبيقات المؤسسة‪.‬‬
‫‪-‬من الضروري أن تدعم اإلدارةالعليا في المؤسسة سياسة أمن المعلومات لديها‪.‬‬
‫‪-‬تسمية مسؤولين عن أمنالمعلومات في المؤسسة‪.‬‬
‫‪-‬تحديد الحمايات الالزم توفرهافي أنظمة التشغيل والتطبيقات المختلفة‪.‬‬
‫‪-‬تحديد آليات المراقبة والتفتيشفي النظم المعلوماتية والشبكات الحاسبية وإجراء السبر الدوري‬
‫لألخطار الناتجة عناختراق المنظومات المعلوماتية‪.‬‬
‫‪-‬حفظ وسائط التخزين العاديةواالحتياطية‪ V‬بشكل آمن ‪.‬‬
‫‪-‬تعمية أو تشفير المعلومات عندالحفظ والتخزين والنقل على مختلف الوسائط‪.‬‬
‫‪-‬تأمين استمرارية عمل وجاهزيةنظم المعلومات ‪-‬العمل في حالة األزمات من خالل استخدام تجهيزات‬
‫منيعة أو مرتبة بحيثتكون‪ V‬متسامحة مع االخطاء ومن خالل التكرارية للتجهيزات في مواقع أخرى‪.‬‬
‫إجراءات الحماية الواجب توفرهافي المنظومات المعلوماتية‪:‬‬
‫يمكن حصر إجراءات الحمايةالواجب توفرها في النظم المعلوماتية لمجابهة المهددات التي تتعرض لها‬
‫ولتحقيق المتطلباتاألمنية ضمن ثالثة محاور رئيسية هي الحماية الفيزيائية وحماية البرامج‬
‫والبياناتوحماية‪ V‬شبكات نقل المعلومات‪ .‬ويتفرع عن هذه المحاور عدد من اإلجراءاتالرئيسية التي يمكن‬
‫تلخيصها بما يلي‪:‬‬
‫‪-‬إجراءات الحماية الفيزيائيةلألنظمة المعلوماتية‪.‬‬
‫‪-‬انتقاء العاملين في النظمالمعلوماتية وتوعيتهم أمنياً‪.‬‬
‫‪-‬إجراءات الحماية الخاصة بنظمالتشغيل والبرامج التطبيقية‪ V‬وضبط الصالحيات‪.‬‬
‫‪-‬إجراءات الحماية الخاصةبالشبكات‪ V‬المعلوماتية‪.‬‬
‫‪-‬تعمية المعلومات المنقولةوالمخزنة (تشفيرها)‪.‬‬
 ‫‪-‬إجرائية حفظ البيانات بصورةعامة وحفط نسخ عنها في مواقع آمنة‪.‬‬
‫‪-‬إجراءات لضمان استمرارية عملوجاهزية النظم المعلوماتية في كافة الظروف بما فيها حاالت الكوارث‬
‫الطبيعية‪.‬‬
‫وسنتناول‪ V‬هذه اإلجرائيات بمزيدمن التفصيل في عدد الحق‪.‬‬
‫ضرورة إحداث هيئة وطنية ناظمةلموضوع أمن المعلومات والنظم المعلوماتية‪:‬‬
‫يعتبر موضوع أمن النظمالمعلوماتية وتعمية المعلومات بغرض حمايتها عند التخزين أو النقل عبر وسائط‬
‫النقل المختلفة‪،‬من األمور األساسية والهامة في البلدان المتطورة‪ ،‬حيث تولي هذه الدول موضوع‬
‫أمنالنظم اهتماماً خاصاً ليس فقط لحماية أنظمتها بل لالستفادة من هذه التقنياتكوسيلة الختراق‬
‫أنظمة الغير‪ ،‬وتقوم بتضمين التجهيزات والبرمجيات المطورةلديها بالوسائل كاألبواب الخفية (‬
‫‪ ) Trapdoors‬التي تمكنها من اختراق تلك التجهيزاتوالبرمجيات عند الحاجة‪ .‬فعلىسبيل المثال تهتم‬
‫وكالة األمن القومي األمريكية ‪ NSA‬بموضوع أمن المعلومات وتعميتها‪ ،‬إذ تقومبتنظيم موضوع استخدام‬
‫التعمية أو التشفير وتتحكم بما ينشر حول هذاالموضوع في المجالت العلمية األمريكية وكذلك ما يمكن‬
‫بيعه للخارج من تجهيزاتوخوارزميات تعمية‪ .‬كما تتحكم بالمنتجات التي تطرح في األسواقاألمريكية‬
‫لتمكن الحكومة من مراقبة المعلومات المشفرة عند الحاجة‪.‬‬
‫‪google_protectAndRun("ads_core.google_render_ad", google_handleError,‬‬
‫)‪;google_render_ad‬‬
‫ومع التطور السريع في األتمتةالمعلوماتية في سورية واالنتشار الواسع لشبكات االتصاالت المعلوماتية‬
‫في التطبيقاتالمدنية واستخدام التشفير في الجهات المدنية‪ ،‬فالبد من إنشاء هيئة وطنية‬
‫ألمنالمعلومات والنظم المعلوماتية تتضمن عدة أقسام تعنى بتصنيف‪ V‬المعلوماتوأمنها ورقابتها وبالنظم‬
‫الحاسوبية وأمنها وبالشبكات المعلوماتيةواستثمارها ورقابتها وتقترح التشريعات الالزمة لذلك وتشرف‬
‫على تنفيذها‪ ،‬ويمكنأن يناط بها المهام التالية‪:‬‬
‫‪-‬توعية المؤسسات العامة والخاصةبأهمية أمن النظم المعلوماتية وتعمية المعلومات وضرورة وضع‬
‫سياسة أمنية لمنظوماتهاالمعلوماتية‪.‬‬
‫‪-‬تصنيف المعلومات والنظم المعلوماتية‪.‬‬
‫‪-‬وضع ضوابط أمن ورقابة المعلومات المتداولة بكافة أشكالها(ورقية‪ ،‬االتصاالت السلكية والالسلكية‪،‬‬
‫اإلنترنت ورقابتها)‪.‬‬
‫‪-‬اقتراح التشريعات الالزمة ألمنالمعلومات والنظم والشبكات المعلوماتية‪.‬‬
‫‪-‬وضع اإلجراءات والسياساتالالزمة ألمن النظم المعلوماتية استناداً للتشريعات الخاصة بذلك‪.‬‬
‫‪-‬اإلشراف على حسن تطبيق إجراءاتأمن النظم المعلوماتية‪.‬‬
‫‪-‬وضع اإلجراءات الالزمةالستثمار شبكات المعلومات والمعلومات المتداولة عبرها‪.‬‬
‫‪-‬وضع اإلجراءات المناسبة لتنظيمالتشفير‪ V‬وإدارة مفاتيح التشفير في سورية‪.‬‬
‫‪-‬اإلشراف على تنظيم وإدارة أمورالتوقيع‪ V‬الرقمي في سورية (المصادقة االلكترونية)‪.‬‬
‫‪-‬منح الرخص الستخدام نظمالتشفير في الجهات المدنية واإلشراف على حسن استخدامها‬
‫وسالمتها‪.‬‬
 ‫مسؤولية أمنالمعلومات هي مسؤولية جماعية‪:‬‬
‫يمكن القول أنه يجب علىكافة المتعاملين مع النظم المعلوماتية معرفة أساسيات أمن وحماية هذه‬
‫النظم‪ .‬كما يجب توضيحالممارسات األمنية المقبولة في النظم المعلوماتية على كافة مستويات‬
‫اإلدارة‪ ،‬ومن ثمرفع حجم الثقة لدى إدارة المؤسسات بفاعلية إجراءات الحماية وإمكانيةقياسها‪ .‬كما أن‬
‫هناك ضرورة لوجود خطة حماية أمنية شاملة والتي تنعكس فيانخفاض النفقات الناتجة عن توظيف‬
‫الحلول الجزئية لألمن باإلضافة إلى دراسةمردودية الكلفة المادية إلجراءات الحماية في النظم‬
‫المأمونة‪ .‬ويجب على جميعالعاملين في المؤسسات والشركات معرفة أن األمن المعلوماتي هو‬
‫مسؤولية جماعيةوعلى كافة المستويات(فرد – مؤسسة ‪ -‬دولة)‪.‬‬
‫منقول‬