السياسات الأمنية في امن المعلومات

السياسات الأمنية في امن المعلومات

يعتبر موضوع أمن المعلومات من المواضيع الساخنة والمتجددة في عالم تقنية المعلومات وذلك في ظل الاعتماد الكبير للمنظمات على التقنية. ومما لا يخفى على الجميع ما للمعلومات وأنظمتها في عصرنا هذا من أهمية قصوى لكونها تمثل القلب النابض لعمل المنظمات وتمثل أحد أهم الممتلكات (Asset) - إن لم تكن الأهم - مثلها مثل أي أصول ثمينة لدى المنظمة. فالكل يعي أهمية حماية المباني من الحريق أو الكوارث الطبيعية، ولكن لا يعي الكل أهمية حماية المعلومات من المخاطر المحيطة بها. لذا ولكي يتم حماية المنظمات وعملها يتوجب حماية المعلومات وأنظمتها.

ويعرف أمن المعلومات على أنه المحافظة على دقة وسرية وتوفر البيانات ضد أي مؤثرات سواءً كانت متعمدة أم عرضية. وتتمثل المحافظة على دقة المعلومات (Integrity) بمنع أي محاولات تهدف إلى التأثير على دقة وصحة البيانات كعمل تغييرات غير صحيحة في محتوى البيانات. بينما تتمثل المحافظة على سرية البيانات (Confidentiality) بمنع أي محاولات قد تؤدي إلى كشف محتوى البيانات لأشخاص غير مصرح لهم بذلك وغير معنيين. أما العنصر الثالث والأخير لأمن المعلومات فهو المحافظة على توفر وتواجد البيانات (Availability) في الوقت الذي تطلب به.

وقد يعتقد البعض أن الحلول التقنية الأمنية وحدها كفيلة بتأمين جانب الحماية للمعلومات، وهذا بالطبع اعتقاد خاطئ. إذ أن حماية المعلومات ترتكز على ثلاثة عناصر أساسية مكملة لبعضها البعض وهي 1) العنصر البشري، 2) الحلول التقنية، 3) السياسات الأمنية للمعلومات، والتي بدورها تحكم وتنظم كيفية تعامل العنصر البشري مع المعلومات بشكل سليم للوصول إلى الهدف المنشود. يمثل الرسم التالي مدى ترابط هذه العناصر، إذ أن نقطة تقاطع هذه العناصر الثلاثة هي أعلى مستوى من مستويات أمن المعلومات:

العناصر الأساسية لأمن المعلومات
ما هي السياسات الأمنية للمعلومات؟ تعرف السياسات الأمنية للمعلومات (Information Security Policy) على أنها مجموعة من القوانين والتنظيمات والتوجيهات المتعلقة بكيفية تعامل الأشخاص مع المعلومات بجميع صورها سواءً الإلكترونية أو الورقية أو حتى الشفهية. وتمثل هذه القوانين توجه المنظمة وسياستها في حماية معلوماتها وأنظمتها.
وللأسف تفتقر معظم الشركات والأجهزة الحكومية السعودية لتطبيق مفهوم السياسات الأمنية للمعلومات وذلك لعدم وعيها بفوائد تلك السياسات التي من شأنها أن تقلل من المخاطر الأمنية التي تتعرض لها المنظمة. فعلى سبيل المثال نجد أن سياسة "استخدام الإنترنت" تهدف إلى تقليل المخاطر التي قد توثر تقنياً على المستوى الأمني على جهاز المستخدم وبالتالي على الشبكة الداخلية للمنظمة أو تؤثر معنوياً على سمعة المنظمة في حال نشر المستخدم لأي من أسرار الشركة على سبيل المثال. وتفرض هذه السياسة على الموظفين إتباع قوانين وإرشادات إدارية معينة تتعلق بتوفير جانب الأمان للمنظمة من خلال توجيه الموظفين بعدم تصفح المواقع المشبوهة أو تحميل برامج غير موثوقة قد تحمل برامج تخريبية أو نشر أسرار المنظمة بالمنتديات أو تحميل الملفات الكبيرة كالأغاني أو الأفلام والتي من شأنها أن تستهلك موارد الشبكة سلبياً إلى غير ذلك من التوجيهات الإيجابية الأخرى.
بالإضافة إلى سياسات أمنية أخرى لأمن المعلومات مثل سياسة البريد الإلكتروني، سياسة تطوير الأنظمة، وسياسة كلمة المرور والتي تحتوي على متطلبات اختيار كلمة مرور قوية غير قابلة للتخمين أو الكسر، الخ.
ولكي تتم الاستفادة القصوى من تنفيذ السياسات الأمنية للمعلومات، ينبغي أن تُعتمد من مستوى عالي في المنظمة كالرئيس أو مجلس الإدارة أو لجنة عليا لإضفاء جانب الإلزام والمسئولية على جميع المعنيين بالشركة بمختلف مستوياتهم الإدارية والوظيفية.
ولقد قامت مجموعة كبيرة من الشركات والمنظمات العالمية الرائدة بتبني معيار موحد (Standard) في رسم وتحديد السياسات الأمنية للمعلومات وهو (BS 7799) والذي يعتبر أفضل معيار عالمي في إعداد سياسات أمن المعلومات. والجدير بالذكر أن هذا المعيار قد تم اعتماده من قبل منظمة المعايير العالمية (ISO). ويقوم هذا المعيار برسم منهجية متكاملة لتطبيق مفهوم أمن المعلومات في المنظمة ابتداءً من تحليل المخاطر المحيطة بالمنظمة (Risk Analysis) حتى استنتاج واستخراج الضوابط الأمنية التي من شأنها تقليل مستوى تلك المخاطر.

سياسات كلمة المرور Password Policies
و تمثل جانباً مهماً جداً من جوانب سياسة الأمن . قد تمثل أضعف حاجز عند الاتصال بالشركة . من الضروري جداً أن يعي جميع مستخدمي الشبكة أهمية الاحتفاظ بسرية كلمات المرور الخاصة بهم . بعض المستخدمين يكتب كلمة المرور الخاصة به على الطاولة أو يضعها تحت لوحة المفاتيح أو يلصقها في أي مكان على شاشة الحاسب, لماذا؟ , لأنه لا توجد سياسات تحْكم استخدام كلمات المرور بحيث يكون كل مستخدم حذر تجاهها و مدرك لها. من الواضح معرفة ما سيحدث فيما لو استطاع شخص ما غير مصرح له بالدخول للشبكة , بهذا نكون قمنا بتسهيل عمل المخترق Hacker بإعطائه كلمة المرور. إذا كان لا بد من تسجيل كلمة المرور, تأكد أن السياسات تشمل طريقة للتعامل مع مثل هذه الحالة , كأن تغلف بمظروف محكم الإغلاق و تحفظ في مكان آمن . لا بد أن يتم تغطية مسئوليات المدراء و مسئوليات المستخدمين فيما يخص كلمة المرور عند وضع السياسات. أما كلمة المرور نفسها فيجب أن لا تكون واحداً مما يلي :

- كلمة من القاموس ( أي قاموس سواءً تقنياً أو غيره).
- اسم شخص أو اسم شيء .
- اسم مكان .
- اسم علم .
- رقم هاتف .
- كلمة مرور بنفس الأحرف (مثل aaaaaa ).
- نمط سهل من الأحرف على لوحة المفاتيح (مثل qwer أو zxcv ) .
- أي مما سبق مع إضافة أرقام قبلها أو بعدها .

- المسئوليات الإدارية Administrative Responsibilities
لدى المدير الكثير من المسئوليات , و لذا فإننا سنركز على تلك التي تخص موضوعنا هذا. مما يُغفل عنه أن الكثير من نظم التشغيل Operating Systems و الموجهات Routers و المحولات Switches تأتي بحسابات مستخدمين account و كلمات مرور افتراضية , لذا يجب أن يؤخذ الحذر فور استعمالها.
- مسئوليات المستخدمين User Responsibilities
أول مسئوليات المستخدم هي معرفته و فهمه لسياسات الأمن في موقعه. هذا يعني أنه لا بد أن يكون هناك برنامج تدريبي جيد في مكان العمل لتعريف الموظفين الجدد والقدامى بالسياسات المراد تطبيقها. اعتماداً على حجم العمل , هناك طرق متعددة لاستخدامها في هذا الجانب,مثلاً بعض الشركات تستخدم النشرات الدورية و البعض يكتفي باستخدام البريد الالكتروني. هناك بعض النقاط المطلوب تغطيتها عند وضع السياسات, مثل أهمية الحفاظ على آمان كلمة المرور والقواعد التي تحكم استخدام وسائط التخزين القابلة للإزالة (Diskettes, CD's,etc…) و استخدام الحاسب (personnel use,email,Internet) . الهدف هو التأكد من كفاءة التدريب للمستخدمين وبقائهم على علم بآخر التفاصيل