سياسات أمن المعلومات ضمن خطة الحماية من التهديدات السيبرانية

في هذا المقال سنتعرف على المعايير والإرشادات المتبعة في تطوير وتنفيذ سياسات أمن المعلومات و الحماية في الشركات. بالنسبة لمعظم الشركات والمنظمات لا تقل أهمية الحفاظ على أمن المعلومات عن أهمية الأعمال نفسها. بل يمكن اعتبار أمن المعلومات جزءاً من أعمال الشركة التي يقوموا بها.

ففي حال تعرض أمنهم للخطر فهذا الأمر سيؤدي لفشل العمل الخاص بهذه الشركة ككل. ولتقليل احتمالية حدوث هذا الأمر تعمد الشركات إلى تنظيم عملية الحماية وإضفاء الطابع الرسمي عليها. وهذا الأمر يتم من خلال تطبيق سياسة ومعايير وإجراءات وإرشادات أمنية موثقة للحصول على بنية تحتية قوية ومقاومة للهجمات والتهديدات المحتملة. وبهذا الشكل يتم التقليل من الفوضى والتعقيد المرتبط بتصميم وتنفيذ الحلول الأمنية للبنى التحتية الكبيرة لكنولوجيا المعلومات.

ما هي سياسات أمن المعلومات؟

يمكن تعريف سياسة أمن المعلومات على أنها الوثيقة التي تحدد نطاق الأمن الذي تحتاجه الشركة أو المنظمة. وتناقش هذه السياسة كل الأصول التي تتطلب الحماية والمدى الذي يجب أن تصل إليه الحلول الأمنية لتوفير مستوى الحماية المطلوب.

بشكل عام، يمكن اعتبار السياسة وثيقة تحدد المتطلبات أو القواعد التي يجب الوفاء بها. ترسم السياسة إطاراً عاماً لرؤية المؤسسة تجاه موضوع معين. من الأمثلة على السياسة سياسة الأأمن المكاني أو الفيزيائي ، والتي قد تنص على ما يلي: “يجب مراعاة قواعد الأمن الفيزيائي ضمن مباني المؤسسة”.

كما يمكن القول أن تلك السياسة هي نظرة عامة أو تعميم للاحتياجات الأمنية للمؤسسة أو الشركة فهي تحدد الأهداف الأمنية الرئيسة وتحدد المجالات المختلفة وطرق التعامل مع البيانات وتوضح وتعرف جميع المصطلحات ذات الصلة. كما يجب أن تحدد بوضوح أهمية الحماية والأصول ذات القيمة التي يجب العمل على حمايتها بشكل جيد.
سياسة أمن المعلومات هي الخطة الاستراتيجية لتطبيق الحماية ومن خلالها يتم تحديد الأهداف والممارسات الأمنية التي يجب اتباعها لحماية المصالح الحيوية للمؤسسة أو الشركة ويتم من خلالها مناقشة أهمية الحماية لكل جانب من جوانب العمليات التجارية واليومية.

بالإضافة للأنواع المختلفة (المخصصة) لسياسات الحماية يوجد ثلاث فئات عامة وهي:

السياسات التنظيمية:

تكون مطلوبة في حال كانت المعايير القانونية والصناعية قابلة للتطبيق في شركتك وتناقش هذه السياسة اللوائح والإجراءات التي يجب اتباعها للحصول على الامتثال القانوني والمعياري.

الاستشارية:

وتناقش هذه السياسة السلوكيات والأنشطة المقبولة وتحدد عواقب الانتهاكات وتشرح رغبات الإدارة العليا للحماية والامتثال داخل المؤسسة

الإعلامية:

لتوفير المعلومات والمعرفة حول موضوع معين مثل أهداف الشركة أو بياناتها المهمة وكيفية تفاعل الشركة مع العملاء والشركاء.

يوجد ضمن كل السياسات الأمنية مستندات فرعية أخرى تساعد وتعرف العناصر والمعايير اللازمة للحلول الأمنية. فالسياسات تكتب بلغة عامة واسعة. أما المعايير والإرشادات والإجراءات فهي تتضمن معلومات أكثر تفصيلاً. ويمكن القول أن المعايير هي المستوى التالي لسياسات الحماية.

معايير الحماية المتبعة في سياسات أمن المعلومات:

بمجرد وضع السياسات الأمنية الرئيسية يمكن الانتقال لصياغة وثائق أمن المعلومات الأخرى والتي ستكون وفقاً لتوجهات تلك السياسات. تحدد المعايير المتطلبات الإلزامية لاستخدام الأجهزة والبرامج وضوابط الأمان والحماية . كما تؤمن خارطة طريق يمكن م من خلالها تطبيق جميع الإجراءات بشكل موحد في جميع أنحاء المنظمة.
في حال اعتبرنا إعداد السياسة خطوة استراتيجية فيمككنا تعريف المعايير على أنها وثائق تكتيكية . حيث تحدد المعايير الخطوات والأساليب اللازمة لتحقيق الأهداف والتوجه العام الذي تحدده السياسات الأمنية.

أمثلة عن معايير أمن المعلومات المعروفة تاريخياً

• TCSEC – Trusted Computer System Evaluation Criteria: أصدرت وزارة الدفاع الأمريكية في الأصل عام 1983 و يعرف “بالكتاب البرتقالي Orange book. وهو يناقش ضوابط تصنيف أمان نظام الكمبيوتر. وتم تحديثه في عام 1985 ، قبل أن يتم استبداله بمعيار “Common Criteria” في عام 2005.

• ITSEC – Information Technology Security Evaluation and Criteria: إن معايير تقييم أمن تكنولوجيا المعلومات (ITSEC) هي مجموعة من المعايير لتقييم أمان الكمبيوتر داخل المنتجات والأنظمة. تم نشر ITSEC لأول مرة في أيار1990 في بعض الدول الأوربية. أيضاً تم تم استبدال ITSEC إلى حد كبير بـ “Common Criteria” ، والتي توفر مستويات تقييم محددة بشكل مشابه.

• NIST – National Institute of Standards and Technology: يصدر المعهد الوطني للمعايير والتكنولوجيا التابع لوزارة التجارة الأمريكية المعايير الخاصة بأمن المعلومات. كما يستجيب للتطورالتقني عبر العديد من الإصدارات التخصصية التي تساعد في تأمين الأعمال.

نلاحظ أن TCSEC تجمع الفعالية الوظيفية والاجراءات الواجب اتخاذها لتوفير الاطمئنان لسلامة عملية أمن المعلومات في المؤسسة. بينما تقوم ITSEC بتقييم هاتين السمتين كل على حدى. و يوفر ITSEC مرونة أكثر من TCSEC. تتناول ITSEC النزاهة والتوافر والسرية (CIA) بينما تتناول TCSEC السرية فقط.

إجراءات الحماية:

الإجراءات هي العنصرالأخير في بنية الحماية. ويمكن تعريفها على انها مستند إرشادي تفصيلي خطوة بخطوة. مهمة هذا المستند أن يصف الإجراءات الدقيقة اللازمة لتنفيذ آلية الأمان أو التحكم لحل أو منتج معين. ويمكن لهذه الاجراءات أن تشرح بشكل تفصيلي جميع الأنشطة التي نحتاجها لجعل النظام قابلاً للاستخدام. تشمل هذه الأأنشطة مثلاً: طريقة التنصيب و التكوين و التخصيص. أو يمكن أن تركز فقط على منتج او جانب واحد مثل كيفية وضع جدار الحماية (firewall) في الخدمة. أو تحديث تعريفات الفيروسات ضمن مضاد الفيروسات.

في معظم الحالات تكون الإجراءات خاصة بالنظام والبرامج بحيث يجب العمل على تحديثها بالتوازي مع تطور الأجهزة والأنظمة والبرامج. والهدف الأساسي لهذه الإجراءات هو ضمان سلامة العمليات التجارية وهذه العمليات هي سبب وجود أي مؤسسة تبحث عن الربحية.

حتى إذا تم إنجاز كل أمر من خلال اتباع إجراء مفصل فيجب أن تكون جميع الأنشطة متسقة و متوافقة مع السياسات والمعايير وهذا الأمر يساعد على ضمان الحماية عبر جميع الأنظمة.
يمكن أن تكون عملية صياغة السياسة الأمنية وجميع الوثائق الخاصة بها مهمة شاقة. تعمل معظم المنظمات لتحديد المعايير الأساسية اللازمة لأمنها بشكل أكثر تخصصاً يتوافق مع بنيتها وقطاع الأعمال الذي تنتمي إليه. وبمجرد اكتمال وثائق سياسة الحماية بشكل معقول يمكن استخدامها لتوجيه القرارات وتدريب الموظفين والاستجابة للمشاكل والتفكير في التوجهات المستقبلية. وبشكل عام لا يجب ان تتأخر الشركات في إعداد سياسة الحماية ويجب أن تكون جزء أساسي من عملية إنشاء الشركة.