سرية البيانات Data Confidentiality هي أحد عناصر أمن المعلومات وتتم من خلال حماية البيانات من الوصول الغير مصرح به لمنع كشف هذه البيانات وسرقتها.
السرية تتم من خلال الحفاظ على خصوصية المعلومات بما في ذلك منح التصريح أو الأذن لعرضها ومشاركتها واستخدامها.
المعلومات ذات السرية المنخفضة يمكن تصنيفها على أنها معلومات عامة ولا يوجد أي مخاطر من عرضها أو وصول العامة لها، أما المعلومات ذات السرية العالية يجب أن يتم الحفاظ عليها بشكل سري ومنع الوصول لها إلا من قبل الأشخاص المصرح لهم بذلك.
بعض الأمثلة على المعلومات المصنفة بشكل “سرية عالية”
- أرقام البطاقات البنكية والتي يجب أن تبقى سرية لمنع عمليات سرقة الحسابات والأموال المرتبطة بها
- كلمات السر والتي يجب أن تبقى سرية لحماية الأنظمة والحسابات من الوصول الغير مصرح به
- المعلومات الشخصية للموظفين والأشخاص بما في ذلك المعلومات الطبية.
عند القيام بعملية إدارة سرية البيانات يجب أن نأخذ بعين الاعتبار الأمور التالية:
- من يمكنه الاطلاع على هذه البيانات
- إذا كانت القوانين أو العقود الموقعة تتطلب الحفاظ على سرية هذه البيانات
- إمكانية عرض أو الاطلاع على البيانات ضمن ظروف معينة فقط
- منع عرض أو استخدام البيانات ضمن ظروف معينة
- اذا كانت البيانات حساسة و لها تأثير سلبي في حال تم الكشف عنها
- اذا كانت البيانات لها قيمة مهمة للأشخاص الغير مسموح لهم الوصول لها (المهاجمين)
التعليمات الخاصة بسرية البيانات:
عند إدارة سرية البيانات يجب أن نلتزم بالتعليمات التالية:
تشفير الملفات الحساسة:
التشفير هو عملية جعل البيانات غير قابلة للقراءة لأي شخص باستثناء الأشخاص المصرح له بذلك، الذين سيكون لديهم إمكانية فك التشفير وقراءة البيانات من خلال امتلاكهم لمفاتيح فك التشفير.
إدارة عملية الوصول للبيانات:
التحكم بالسرية يتعلق بشكل كبير بالتحكم بإمكانية الوصول إلى البيانات والتأكد من أن الوصول مسموح به فقط للأشخاص المخولين بذلك ومنع الوصول للأشخاص الغير مصرح لهم. وهذا الأمر يمكن أن يتم من خلال استخدام المصادقة والتي يجب أن تتم بشكل قوي من خلال استخدام كلمات سر قوية او استخدام مصادقة ذات عوامل متعددة كالمصادقة الثنائية.
التأمين المادي للأجهزة والمستندات:
تتضمن عملية التحكم بالوصول للبيانات جميع أنواع التحكم بالوصول الرقمي والمادي وهذا يتضمن حماية الأجهزة والمستندات الورقية من سوء الاستخدام او السرقة أو التخريب المتعمد ويتم ذلك من خلال قفل الأماكن التي تحوي على هذه الأجهزة والمستندات وتطبيق الرقابة عليها ومنع الوصول لها.
سرية البيانات عبر التخلص الآمن من البيانات والسجلات الورقية
عندما تصبح البيانات غير ضرورية يجب التخلص منها بطريقة آمنة وهذا يتم من خلال الطرق التالية:
- محو البيانات الحساسة بطريقة آمنة لمنع إمكانية إعادة استردادها أو إساءة استخدامها.
- تمزيق المستندات الورقية التي تحوي على معلومات حساسة بشكل لا يمكن إعادة تجميعها أو إعادة ترتيب الأجزاء المتلفة منها.
إدارة الحصول على البيانات:
عند جمع المعلومات الحساسة يجب أن نأخذ بعين الاعتبار كمية المعلومات المطلوبة فعلياً وتجنب الحصول على كامل المعلومات مالم يكن الأمر ضروري لذلك.
إدارة استخدام البيانات:
يمكن التقليل من مخاطر كشف البيانات من خلال استخدام البيانات الحساسة فقط بعد الموافقة المسبقة وحسب الضرورة لذلك.
إدارة الأجهزة:
إدارة الأجهزة يعتبر موضوع واسع ويتضمن العديد من ممارسات الحماية والأمان الأساسية وهذا يتضمن حماية الأجهزة وحماية البيانات الموجودة فيها ويتم من خلال استخدام برامج الحماية ومضادات الفيروسات والتأكد من عمليات إدارة صلاحيات البرامج والتطبيقات واستخدام كلمات سر للوصول للأجهزة والقيام بعمليات التشفير للأقراص داخل الأجهزة.
استخدام التشفيرلحماية سرية البيانات
التشفير هو الطريقة الأكثر فعالية لحماية سرية البيانات ومن خلاله يمكن منع الوصول الغير مصرح به للبيانات ويمكن تعريف التشفير على أنه تحويل البيانات إلى شكل غير قابل للقراءة إلا من قبل شخص لديه الحق بذلك وهو من يملك مفتاح فك التشفير.
يمكن تطبيق التشفير لكامل الأقراص في الأجهزة التي تعمل بنظام التشغيل ويندوز باستخدام Bitlocker أو للأنظمة التي تعمل بنظام MAC باستخدام FileVault ويجب أن تدرك أهمية استخدام التشفير أيضاً في عمليات تبادل البيانات، تأكد من استخدام قناة اتصال مشفرة وهذا الأمر يتم من خلال استخدام الشبكات الخاصة الافتراضية VPN و تأكد من عدم استخدام البرتوكول http الاتصال بمواقع الويب التي تتضمن إدخال معلومات أو تبادل بيانات حساسة والاتصال بشكل آمن باستخدام https والذي يستخدم SSL/TLS للقيام بعملية التشفير والتأكد أيضاً من عدم نقل الملفات باستخدام البرتوكول FTP واستخدام SFTP بدلاً عنه.
