عناصر أمن المعلومات

اقرأ في هذا المقال


لأمن المعلومات آثار تقنية وكذلك اجتماعية، حيث أن نظام أمن المعلومات هو عملية حماية وتأمين البيانات من الوصول غير المصرح به أو الكشف أو الإتلاف أو التعطيل. كما أن أهم العناصر الأساسية لأمن المعلومات وعناصره الحاسمة، بما في ذلك الأنظمة والأجهزة التي تستخدم هذه المعلومات وتخزنها وتنقلها. والأدوات اللازمة مثل السياسة والوعي والتدريب والتعليم والتكنولوجيا هو تطبيق تدابير لضمان سلامة وخصوصية البيانات من خلال إدارة تخزينها وتوزيعها.

لماذا أمن المعلومات مهم؟

تقوم الشركات والمؤسسات من جميع القطاعات ومن جميع الأحجام بجمع كميات هائلة من البيانات من أجل العمل بسلاسة وتقديم خدمة أفضل والمنافسة مع الآخرين. في مثل هذه البيئة، فإن القدرة على الحفاظ على أمان هذه البيانات لا تقل أهمية عن القدرة على جمعها. ولهذا السبب، أصبحت ممارسات أمن المعلومات أكثر أهمية من أي وقت مضى.

يتفق العديد من الخبراء على أن المعلومات هي أثمن الأصول التي يمكن أن تمتلكها الشركة. نتيجة لذلك، تحدث مئات الهجمات التي تستهدف شركات من مختلف الصناعات كل يوم. حيث أن تدابير أمن المعلومات تهدف إلى حماية الشركات من مجموعة متنوعة من الهجمات مثل البرامج الضارة أو التصيد الاحتيالي. وعندما تفشل الإجراءات التي يتخذها الشخص المسؤول للحفاظ على أمان بياناته في حمايته، يحدث خرق للبيانات. بعبارة أخرى، يتمكن الشخص الخارجي من الوصول إلى معلوماته القيمة. نتيجة لذلك، قد تفقد الشركة أعمالها أو ثقة الجمهور المكتسبة بصعوبة.

أهم 5 عناصر أساسية لأمن المعلومات:

1. السرية “secrecy”:

يجب أن تقتصر أصول البيانات والمعلومات على ترخيص الأفراد للوصول وعدم الكشف عنها للآخرين؛ حيث تنص السرية على أن المعلومات يمكن الوصول إليها من المصرح لهم الوصول إليها. حيث قد تحدث انتهاكات السرية بسبب المعالجة غير السليمة للبيانات أو محاولة القرصنة.

تتضمن عناصر التحكم تصنيف البيانات وتشفير البيانات والتخلص المناسب من المعدات (مثل أقراص DVD والأقراص المضغوطة وما إلى ذلك)، والسرية ترتبط ارتباط وثيق بالخصوصية تقريبًا. والتدابير المتخذة لتأكيد السرية مصممة لمنع البيانات الحساسة من الوصول إلى الأشخاص غير الصحيحين. وفي حين أن التأكد من أن الأشخاص المناسبين سيحصلون عليها حقًا، يجب تقييد الوصول إلى أولئك المرخصين الذين ينظرون إلى المعلومات المعنية.

2. النزاهة”Integrity”:

الحفاظ على المعلومات سليمة وكاملة وصحيحة وتشغيل أنظمة تكنولوجيا المعلومات، حيث أن النزاهة هي مصداقية البيانات أو الموارد في منع التغييرات غير الصحيحة وغير المصرح بها لضمان أن المعلومات دقيقة بما فيه الكفاية لغرضها. وقد تتضمن تدابير الحفاظ على تكامل البيانات مجموعًا تدقيقيًا (رقم يتم إنتاجه بواسطة وظيفة رياضية للتحقق من عدم تغيير كتلة معينة من البيانات) والتحكم في الوصول (الذي يضمن أن الأشخاص المصرح لهم فقط هم الذين يمكنهم تحديث البيانات وإضافتها وحذفها من أجل الحماية سلامتها). كما تتضمن النزاهة الحفاظ على اتساق المعلومات ودقتها وموثوقيتها طوال دورة حياتها بأكملها.

لا ينبغي تعديل المعلومات أثناء النقل، ويجب اتخاذ خطوات لتأكيد عدم إمكانية تغيير المعلومات من قبل أشخاص غير مصرح لهم (على سبيل المثال، في انتهاك للسرية). تتضمن هذه الإجراءات أذونات الملفات وضوابط وصول المستخدم.

ربما لن تتمكن إدارة الإصدار من منع التغييرات غير الصحيحة أو الحذف العرضي من قبل المستخدمين المرخصين ليصبح مشكلة. بالإضافة إلى ذلك، هناك بعض الوسائل التي يجب أن تكون موجودة لاكتشاف أي تغييرات في المعلومات قد تحدث كنتيجة لأحداث غير بشرية مثل النبض الكهرومغناطيسي (EMP) أو تعطل الخادم. وقد تتضمن بعض المعلومات المجموع الاختباري وحتى المجموع الاختباري للتشفير، للتحقق من التكامل. ويجب تقديم النسخ الاحتياطية أو التكرار لإحياء المعلومات المتأثرة إلى حالتها الصحيحة.

3. التوفر “Availability”:

هدف يشير إلى أن البيانات أو النظام تحت تصرف مستخدمي الترخيص بمجرد طلبهم. والتوفر هو التأكيد على أن الأنظمة المسؤولة عن تسليم المعلومات وتخزينها ومعالجتها يمكن الوصول إليها عند طلب المستخدمين المصرح لهم. والتوافر يعني أن البيانات يمكن الوصول إليها من قبل المستخدمين المرخصين.

إذا لم يتمكن المهاجم من اختراق المكونات الأساسية لأمن البيانات، فسيحاول تنفيذ هجمات مثل رفض الخدمة التي ستؤدي إلى تعطيل الخادم، ممّا يؤدي إلى إنشاء موقع الويب غير متاح للمستخدمين الشرعيين بسبب عدم توفره . ويمكن أن تشمل تدابير الحفاظ على توافر البيانات مصفوفات أقراص الأنظمة المتكررة والآلات المجمعة، وبرامج مكافحة الفيروسات لإيقاف البرامج الضارة من تدمير الشبكات، وأنظمة منع رفض الخدمة الموزعة (DDoS).

4. الموثوقية “Reliability“:

تتضمن سياسة الأمن نمطًا هرميًا، وهذا يعني أنه من المؤكد عادة أن العمال الأقل رتبة لن يشاركوا الكمية الصغيرة من البيانات التي يحتاجون إليها ما لم تتم الموافقة عليها صراحة. على العكس من ذلك، قد يكون لدى كبار المديرين سلطة كافية لإنشاء خيار بشأن المعلومات التي تتم مشاركتها ومع من، ممّا يعني أنهم غير مقيدين بشروط مماثلة لسياسة أمان البيانات.

أن المنطق يتطلب أن يتعامل مزود خدمة الإنترنت مع كل منصب أساسي داخل المنظمة بمواصفات ستوضح موقفه الرسمي. وتشير الموثوقية إلى خاصية الاتصال أو المستند أو أي بيانات تضمن جودة كونها أصلية أو تالفة. ويتمثل الدور الرئيسي للمصادقة في تأكيد أن المستخدم حقيقي، أي شخص يدعي أنه كذلك.

ضوابط مثل المقاييس الحيوية والبطاقات الذكية، يجب على المستخدم إثبات حقوق الوصول والهوية. بشكل عام، يتم استخدام أسماء المستخدمين وكلمات المرور لهذه الطريقة. ومع ذلك، قد يتم التحايل على هذا النوع من المصادقة من قبل المتسللين. وتعد المقاييس الحيوية أفضل شكل من أشكال المصادقة، لأنها تعتمد على وجود المستخدم والميزات البيولوجية (شبكية العين أو بصمات الأصابع).

تستخدم منهجية المصادقة (PKI وهو البنية التحتية للمفتاح العام) الشهادات الرقمية لإثبات هوية المستخدم. وستكون أدوات المصادقة المختلفة عبارة عن بطاقات مفاتيح أو رموز (USB). حيث يحدث أقوى تهديد للمصادقة مع رسائل البريد الإلكتروني غير الآمنة التي تبدو شرعية.

5. عدم الإنكار:

إن عدم الإنكار يعني التأكيد على أن شخصًا ما لا يستطيع إنكار صحة شيء واحد. قد يكون تفكيرًا قانونيًا يُستخدم على نطاق واسع في أمان البيانات ويشير إلى خدمة توفر دليلاً على أصل المعلومات وكذلك سلامة المعلومات. وبكلمات مختلفة، فإن عدم التنصل يجعل من الصعب للغاية إنكار من / من أين أتت الرسالة أيضًا على أنه أصالة تلك الرسالة. وأن المستلم لا يمكنه إنكار استلام الرسالة. حيث يستخدم الأفراد والمؤسسات التوقيعات الرقمية لضمان عدم التنصل.


شارك المقالة: