أمن المعلومات (أو اختصارا Info-Sec) عبارة عن مجموعة من الاستراتيجيات والسلوكيات لإدارة العمليات، والأدوات، والسياسات الضرورية هدفها المنع...
أمن المعلومات (أو اختصارا Info-Sec) عبارة عن مجموعة من الاستراتيجيات والسلوكيات لإدارة العمليات، والأدوات، والسياسات الضرورية هدفها المنع والكشف عن التهديدات، ومواجهة الأخطار على المعلومات بكافة اشكالها. في الواقع لا يتعلق أمن المعلومات فقط بتأمين المعلومات من الوصول غير المصرح به. أمن المعلومات هو في الأساس ممارسة منع الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو الفحص أو التسجيل أو إتلاف المعلومات. يمكن أن تكون المعلومات مادية أو إلكترونية. يمكن أن تكون المعلومات أي شيء مثل التفاصيل الخاصة بك أو يمكننا أن نقول ملفك الشخصي على وسائل التواصل الاجتماعي ، وبياناتك في الهاتف المحمول ، والقياسات الحيوية الخاصة بك وما إلى ذلك. وبالتالي ، فإن أمن المعلومات يمتد إلى العديد من مجالات البحث مثل التشفير ، والحوسبة المتنقلة ، والطب الشرعي السيبراني ، ووسائل التواصل الاجتماعي عبر الإنترنت ، إلخ. خلال الحرب العالمية الأولى ، تم تطوير نظام تصنيف متعدد المستويات مع مراعاة حساسية المعلومات. مع بداية الحرب العالمية الثانية تمت المواءمة الرسمية لنظام التصنيف. كان آلان تورينج هو الشخص الذي نجح في فك تشفير آلة إنجما التي استخدمها الألمان لتشفير بيانات الحرب.
يتم بناء برامج أمن المعلومات حول 3 أهداف ، والمعروفة باسم CIA - السرية والنزاهة والتوافر. 1- السرية: تعني عدم الكشف عن المعلومات لأفراد وكيانات وعملية غير مصرح لها. على سبيل المثال ، إذا قلنا إن لدي كلمة مرور لحساب Gmail الخاص بي ، لكن شخصًا ما شاهده أثناء قيامي بتسجيل الدخول إلى حساب Gmail. في هذه الحالة تم اختراق كلمة المرور الخاصة بي وتم اختراق السرية. 2- النزاهة: تعني الحفاظ على دقة واكتمال البيانات. هذا يعني أنه لا يمكن تحرير البيانات بطريقة غير مصرح بها. على سبيل المثال ، إذا غادر موظف مؤسسة ما ، في هذه الحالة ، يجب تحديث بيانات هذا الموظف في جميع الإدارات مثل الحسابات ، لتعكس الحالة إلى (موظف مغادر) بحيث تكون البيانات كاملة ودقيقة ، بالإضافة إلى هذا الشخص المصرح له فقط يجب السماح له تحرير بيانات الموظف. 3- التوافر: يعني أنه يجب أن تكون المعلومات متاحة عند الحاجة. على سبيل المثال ، إذا احتاج المرء إلى الوصول إلى معلومات موظف معين للتحقق مما إذا كان الموظف قد زاد على عدد الإجازات ، فإنه يتطلب في هذه الحالة التعاون من فرق تنظيمية مختلفة مثل عمليات الشبكة وعمليات التطوير والاستجابة للحوادث وإدارة السياسة / التغيير. هجوم رفض الخدمة او الحرمان هو أحد العوامل التي يمكن أن تعوق توافر المعلومات.
بصرف النظر عن هذا ، هناك مبدأ آخر يحكم برامج أمن المعلومات. هذا لا يمكن إنكاره.
- عدم التنصل - يعني أن أحد الأطراف لا يمكنه رفض تلقي رسالة أو معاملة ولا يمكن للطرف الآخر رفض إرسال رسالة أو معاملة. على سبيل المثال ، في التشفير ، يكفي إظهار أن الرسالة تتطابق مع التوقيع الرقمي الموقع بالمفتاح الخاص للمرسل وأن هذا المرسل قد يكون لديه رسالة مرسلة ولا يمكن لأي شخص آخر تغييرها أثناء النقل. سلامة البيانات وأصالتها هي شروط مسبقة لعدم التنصل.
- الأصالة - تعني التحقق من أن المستخدمين هم من يقولون ، وأن كل إدخال يصل إلى الوجهة هو من مصدر موثوق ، إذا تم اتباع هذا المبدأ يضمن الرسالة الصحيحة والحقيقية المستلمة من مصدر موثوق من خلال إرسال صالح. على سبيل المثال ، إذا أخذنا المثال أعلاه ، يرسل المرسل الرسالة جنبًا إلى جنب مع التوقيع الرقمي الذي تم إنشاؤه باستخدام قيمة تجزئة الرسالة والمفتاح الخاص. الآن يتم فك تشفير هذا التوقيع الرقمي في جانب المتلقي باستخدام المفتاح العام الذي يولد قيمة تجزئة ويتم تجزئة الرسالة مرة أخرى لإنشاء قيمة التجزئة. إذا كانت القيمة 2 متطابقة ، فإنها تُعرف باسم الإرسال الصحيح مع الأصل أو نقول رسالة حقيقية تم استلامها من جانب المستلم.
- المساءلة - تعني أنه ينبغي أن يكون من الممكن تتبع إجراءات الكيان بشكل فريد لهذا الكيان. على سبيل المثال ، كما ناقشنا في قسم النزاهة ، لا ينبغي السماح لكل موظف بإجراء تغييرات في بيانات الموظفين الآخرين. لهذا ، يوجد قسم منفصل في منظمة مسؤول عن إجراء مثل هذه التغييرات وعندما يتلقون طلبًا للتغيير ، يجب أن يتم توقيع هذا الخطاب من قبل سلطة أعلى ، على سبيل المثال مدير الكلية والشخص الذي تم تخصيص هذا التغيير له سيكون قادرًا على يتغير بعد التحقق من المقاييس الحيوية الخاصة به ، وبالتالي يتم تسجيل الطابع الزمني مع تفاصيل المستخدم (إجراء التغييرات). وبالتالي يمكننا أن نقول إذا سار التغيير على هذا النحو ، فسيكون من الممكن تتبع الإجراءات بشكل فريد لكيان ما.
التعليقات