أمن المعلومات والنظم المعلوماتيةSecurity of Data andComputer Systems ..
ازدادت في السنوات السابقةعمليات األتمتة في المؤسسات الحكومية والخاصة والتي تتطلب
استخدام النظم المعلوماتية أوالحواسيب اإللكترونية وما يرافقها من ربط للنظم الحاسوبية بين المواقع المختلفةلهذه المؤسسات وتبادل المعلومات بين هذه المواقع .ونظراً لما توفره مثل هذه النظم المعلوماتيةفي سهولة سير األعمال في المؤسسات ،أصبح االعتماد عليها أمراً ضرورياً .لكن استخدام نظم المعلومات الحاسوبية يؤدي إلى ظهور أخطار جديدة ناتجة عن تجميع كميات كبيرة من المعلومات في مكان واحد ،وجعل تلك المعلومات الهامة عرض ًة للفقد أو السرقة أو العبث بها من أشخاص غير مخولين باإلطالع عليها.
حماية ممتلكاتن امن المعلومات :
نحرص جميعاً على حماية ممتلكاتنا الخاصة أو العامة من العبث أو السرقة .فالمعلومات بأشكالها المختلفة الورقيه أواإللكترونية هي ممتلكات تنفق المؤسسات أموال ً طائلة لتدوينها وحفظها .وبالتالي فالمعلومات اإللكترونية هي ممتلكات ولكي نحافظ عليها يجب علينا Vالحفاظ على أمن النظم الحاسوبية الحاملة لها والشبكات الحاسوبية الناقلة لها .فنحن معنيون بالحفاظ Vعلى سرية Securityالمعلومات ومنع الوصول إليها إال من المخولين بذلك وعلى تكامليتها Integrityمن حيث الدقة وعدم تغيير جزء منها وعلىجاهزيتها ِ Availabilityلتمكين المخولين من الوصول إليها عند الحاجة أي توفيراستمرارية بالحصول Vعليها فيكافة الظروف .من هنا ظهرت أهمية علوم أمن المعلومات والنظم المعلوماتية التي تغطيالمتطلبات الثالث السابقة. األخطار والمهدداتالتي تتعرض لها النظم الحاسوبية : إن معرفة المهددات التيتتعرض لها النظم الحاسوبية تساعد في وضع وتنفيذ اإلجراءات األمنية األكثر فاعلية لمجابهة تلكاألخطار .يمكن تصنيف المهددات واألخطار إلى أربعة أنواع رئيسية هي: -خرق النظم الحاسوبية بهدفاالطالع على المعلومات المخزنة فيها والوصول إلى معلومات شخصية أو أمنية عن شخص ما ،أوالتجسس الصناعي ،أو التجسس المعادي للوصول إلى معلومات عسكرية سرية. -خرق النظم الحاسوبية بهدفالتزوير أو االحتيال (التالعب بالحسابات في البنوك ،التالعب بفاتورة الهاتف ،التالعببالضرائب ،تغيير بيانات شخصية في السجل المدني أوفي السجل العام للموظفين، الخ.)... -خرق النظم الحاسوبية بهدفتعطيل هذه النظم عن العمل ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل الفيروسات،الدودة ،حصان طروادة ،أو القنابل اإللكترونية) إما من قبل األفراد أو العصاباتأو الجهات األجنبيةبغرض شل هذه النظم الحاسوبية (أو المواقع على اإلنترنت) عن العملوخاصة في ظروف خاصة أو في أوقاتالحرب. -أخطار ناتجة عن فشل التجهيزاتفي العمل ،أعطال كهربائية ،حريق ،كوارث طبيعية (فيضانات، زلزال ، ). . ،عملياتتخريبيةV. يبين المخطط رقم ( ) 1نتائجدراسة أجريت على عدد من المؤسسات حول أنواع المهددات التي تتعرض لها أنظمتها الحاسوبية،حيث يبين نسبة المؤسسات التي ذكرت حدوث خسائر في بياناتها أو برمجياتها نتيجة إصابتهاباألخطار والمهددات.ويجدر اإلشارة هنا إلى أن أنواع المهددات األمنية للنظم المعلوماتية تتنوع مصادرها حسب األغراض التيتقوم بها تلك النظم .فمثال ً تكون األنظمة المرتبطة مع شبكة اإلنترنت أكثر عرضةللفيروسات من األنظمة غير المرتبطة مع الشبكة .نالحظ أن حوالي %85 من المؤسساتفقدت بيانات وبرمجيات نتيجة الفيروسات بينما حوالي %55فقدت بياناتهاأو برمجياتها نتيجة تعطل تجهيزات و %50فقدت بيانات نتيجة خروقاتداخلية من العاملين فيها. متطلبات األمنوالحماية للمنظومات المعلوماتية: تعتبر مسألة أمن النظمالمعلوماتية من المسائل الحساسة في المؤسسات العامة والخاصة التي تقوم بأتمتة معلوماتها .وتختلفالمتطلبات األمنية للمنظومات المعلوماتية تبعاً الختالف تطبيقات وأعمال كل مؤسسة.ويمكن حصر أهم هذه المتطلبات بما يلي: google_protectAndRun("ads_core.google_render_ad", google_handleError, );google_render_ad -يجب وضع سياسة policyحماية عامة ألمنالمعلومات والنظم المعلوماتية حسب طبيعة عمل وتطبيقات المؤسسة. -من الضروري أن تدعم اإلدارةالعليا في المؤسسة سياسة أمن المعلومات لديها. -تسمية مسؤولين عن أمنالمعلومات في المؤسسة. -تحديد الحمايات الالزم توفرهافي أنظمة التشغيل والتطبيقات المختلفة. -تحديد آليات المراقبة والتفتيشفي النظم المعلوماتية والشبكات الحاسبية وإجراء السبر الدوري لألخطار الناتجة عناختراق المنظومات المعلوماتية. -حفظ وسائط التخزين العاديةواالحتياطية Vبشكل آمن . -تعمية أو تشفير المعلومات عندالحفظ والتخزين والنقل على مختلف الوسائط. -تأمين استمرارية عمل وجاهزيةنظم المعلومات -العمل في حالة األزمات من خالل استخدام تجهيزات منيعة أو مرتبة بحيثتكون Vمتسامحة مع االخطاء ومن خالل التكرارية للتجهيزات في مواقع أخرى. إجراءات الحماية الواجب توفرهافي المنظومات المعلوماتية: يمكن حصر إجراءات الحمايةالواجب توفرها في النظم المعلوماتية لمجابهة المهددات التي تتعرض لها ولتحقيق المتطلباتاألمنية ضمن ثالثة محاور رئيسية هي الحماية الفيزيائية وحماية البرامج والبياناتوحماية Vشبكات نقل المعلومات .ويتفرع عن هذه المحاور عدد من اإلجراءاتالرئيسية التي يمكن تلخيصها بما يلي: -إجراءات الحماية الفيزيائيةلألنظمة المعلوماتية. -انتقاء العاملين في النظمالمعلوماتية وتوعيتهم أمنياً. -إجراءات الحماية الخاصة بنظمالتشغيل والبرامج التطبيقية Vوضبط الصالحيات. -إجراءات الحماية الخاصةبالشبكات Vالمعلوماتية. -تعمية المعلومات المنقولةوالمخزنة (تشفيرها). -إجرائية حفظ البيانات بصورةعامة وحفط نسخ عنها في مواقع آمنة. -إجراءات لضمان استمرارية عملوجاهزية النظم المعلوماتية في كافة الظروف بما فيها حاالت الكوارث الطبيعية. وسنتناول Vهذه اإلجرائيات بمزيدمن التفصيل في عدد الحق. ضرورة إحداث هيئة وطنية ناظمةلموضوع أمن المعلومات والنظم المعلوماتية: يعتبر موضوع أمن النظمالمعلوماتية وتعمية المعلومات بغرض حمايتها عند التخزين أو النقل عبر وسائط النقل المختلفة،من األمور األساسية والهامة في البلدان المتطورة ،حيث تولي هذه الدول موضوع أمنالنظم اهتماماً خاصاً ليس فقط لحماية أنظمتها بل لالستفادة من هذه التقنياتكوسيلة الختراق أنظمة الغير ،وتقوم بتضمين التجهيزات والبرمجيات المطورةلديها بالوسائل كاألبواب الخفية ( ) Trapdoorsالتي تمكنها من اختراق تلك التجهيزاتوالبرمجيات عند الحاجة .فعلىسبيل المثال تهتم وكالة األمن القومي األمريكية NSAبموضوع أمن المعلومات وتعميتها ،إذ تقومبتنظيم موضوع استخدام التعمية أو التشفير وتتحكم بما ينشر حول هذاالموضوع في المجالت العلمية األمريكية وكذلك ما يمكن بيعه للخارج من تجهيزاتوخوارزميات تعمية .كما تتحكم بالمنتجات التي تطرح في األسواقاألمريكية لتمكن الحكومة من مراقبة المعلومات المشفرة عند الحاجة. google_protectAndRun("ads_core.google_render_ad", google_handleError, );google_render_ad ومع التطور السريع في األتمتةالمعلوماتية في سورية واالنتشار الواسع لشبكات االتصاالت المعلوماتية في التطبيقاتالمدنية واستخدام التشفير في الجهات المدنية ،فالبد من إنشاء هيئة وطنية ألمنالمعلومات والنظم المعلوماتية تتضمن عدة أقسام تعنى بتصنيف Vالمعلوماتوأمنها ورقابتها وبالنظم الحاسوبية وأمنها وبالشبكات المعلوماتيةواستثمارها ورقابتها وتقترح التشريعات الالزمة لذلك وتشرف على تنفيذها ،ويمكنأن يناط بها المهام التالية: -توعية المؤسسات العامة والخاصةبأهمية أمن النظم المعلوماتية وتعمية المعلومات وضرورة وضع سياسة أمنية لمنظوماتهاالمعلوماتية. -تصنيف المعلومات والنظم المعلوماتية. -وضع ضوابط أمن ورقابة المعلومات المتداولة بكافة أشكالها(ورقية ،االتصاالت السلكية والالسلكية، اإلنترنت ورقابتها). -اقتراح التشريعات الالزمة ألمنالمعلومات والنظم والشبكات المعلوماتية. -وضع اإلجراءات والسياساتالالزمة ألمن النظم المعلوماتية استناداً للتشريعات الخاصة بذلك. -اإلشراف على حسن تطبيق إجراءاتأمن النظم المعلوماتية. -وضع اإلجراءات الالزمةالستثمار شبكات المعلومات والمعلومات المتداولة عبرها. -وضع اإلجراءات المناسبة لتنظيمالتشفير Vوإدارة مفاتيح التشفير في سورية. -اإلشراف على تنظيم وإدارة أمورالتوقيع Vالرقمي في سورية (المصادقة االلكترونية). -منح الرخص الستخدام نظمالتشفير في الجهات المدنية واإلشراف على حسن استخدامها وسالمتها. مسؤولية أمنالمعلومات هي مسؤولية جماعية: يمكن القول أنه يجب علىكافة المتعاملين مع النظم المعلوماتية معرفة أساسيات أمن وحماية هذه النظم .كما يجب توضيحالممارسات األمنية المقبولة في النظم المعلوماتية على كافة مستويات اإلدارة ،ومن ثمرفع حجم الثقة لدى إدارة المؤسسات بفاعلية إجراءات الحماية وإمكانيةقياسها .كما أن هناك ضرورة لوجود خطة حماية أمنية شاملة والتي تنعكس فيانخفاض النفقات الناتجة عن توظيف الحلول الجزئية لألمن باإلضافة إلى دراسةمردودية الكلفة المادية إلجراءات الحماية في النظم المأمونة .ويجب على جميعالعاملين في المؤسسات والشركات معرفة أن األمن المعلوماتي هو مسؤولية جماعيةوعلى كافة المستويات(فرد – مؤسسة -دولة). منقول