جمعية البنوك اليمنية - صنعاء بتاريخ: 2021/10/25
شهد قطاع المعلومات في الآونة الاخيرة تطورا كبيرا خاصة مع تطور الشبكة العنكبوتية واتساع رقعتها في كل بقاع الأرض حيث أصبح العالم قرية صغيرة تربطه ببعض شبكة الانترنت اللامحدودة.
وصحب هذا التطور انتشار ما يسمى بالمخترقين أو الهاكرز الذين هدفهم وغايتهم تدمير وتشويه ما بناه الآخرون في المجال المعلوماتي ومن هنا نشأ ما يسمى بالأمن السيبراني.
أولا تعريف الأمن السيبراني : في البداية كلمة سايبر (Cyber) هي كلمة درج استخدامها لوصف الفضاء الذي يضم الشبكات المحوسبة ومن هنا جاء ما يسمى بالأمن السيبراني الذي هو عملية حماية كل ما يتعلق بهذه الشبكات.
التكنولوجيا والأمن السيبراني : ولأن تكنولوجيا المعلومات والاتصالات تعتبر أحد العوامل المؤثرة في نهضة البلدان وتقدمها صار من الضروري جدا الاهتمام بهذا المجال فيما يخص أمن وحماية المعلومات وزاد بالمقابل مخاطر المنظومات المعلوماتية وتنوعت واختلفت اساليبها ودوافعها حيث تجاوز سقفها سرقة المعلومات او الاختراق او التجسس الى تعطيل الخدمات العامة في المؤسسات والشركات والهيئات والوزارات إلى حد سواء مما تسبب خسائر مادية ومعنوية كبيرة بالأفراد والمؤسسات والجهات الحكومية.
حيث عرف ما يسمى بالحروب السيبرانية أو الهجمات الالكترونية والتي قد تستهدف قطاع او قطاعات حيوية بأكملها على مستوى الدول والمؤسسات على حد سواء.
وبناء على ما سبق جاءت الضرورة إلى تأمين بنية تحتية امنة وموثوقة من أجل انجاز الاعمال والمهام وتقديم الخدمات الالكترونية بشكل أمن وسليم. مع ضرورة توفير البيئة الملائمة لتقليل خطر الاختراق للمنظومات المعلوماتية الحكومية والخاصة وكشف محاولات الاختراق مع اتخاذ كافة الاجراءات الضرورية وبأسرع وقت ممكن في حالة حدوثها ومنها نتجت ما تسمى بوثائق سياسات أمن المعلومات من أجل توفير كافة المتطلبات الأساسية في إجراءات الحماية من أجل ديمومة واستمرار الخدمات الالكترونية وقيامها بالمهام المناطة بها بسلامة واطمئنان.
ومن أهم السياسات الخاصة بأمن المعلومات ما يلي:
سياسة الأمن المادي والبيئي.
سياسة تصنيف وحساسية المعلومات.
سياسة خصوصية البيانات.
سياسة التعاقد والتعامل مع أطراف خارجية.
سياسة إدارة التحكم بالنفاذ.
سياسة أمن الشبكة.
سياسة أمن الانترنت.
سياسة أمن البريد الالكتروني.
سياسة الحماية من الشفرات الخبيثة.
سياسة التشفير.
سياسة النسخ الاحتياطي والاستعادة أثناء حدوث الكوارث.
سياسة تقييم وتدقيق المخاطر الأمنية.
سياسة مراقبة الأحداث الامنية.
سياسة إدارة الحوادث الامنية والاستجابة للطوارئ.
سياسة الامتثال.
علما أن كل سياسة من السياسات السابقة لها مجال ونطاق تطبيق حيث أن نجاح تطبيقها في الواقع العملي على الجهة المستهدفة يحد من الاختراقات وينظم استخدام النطاق المعلوماتي للجهة بشكل أمن وسلس بما يضمن السلامة المعلوماتية وخصوصيتها في الجهة المستهدفة والمطبق عليها.
مع العلم أن تطبيق السياسات المذكورة تكون بإشراف فريق أمن المعلومات بالجهة نفسها وهو المعني بتطبيق كافة بنود السياسة ومراقبة تنفيذها ضمانا لأمن معلومات متكامل مع تحقيق الأهداف المنشودة من السلامة المعلوماتية.
المبادئ الأساسية لضمان أمن المعلومات في الجهات الحكومية :
تتمثل المبادئ الأساسية لضمان أمن المعلومات بشكل معياري في توفر التالي:
الموثوقية أو السرية (Confidentiality):
حماية المعلومات الحساسة والسرية التابعة للجهات الحكومية من الكشف وضمان عدم وصولها إلى أفراد أو أنظمة غير مصرح لهم ,ويقتصر الوصول إلى هذه المعلومات على الأشخاص ذوي السلطة المناسبة والمصرح لها من قبل الجهة.
التكاملية والسلامة (Integrity):
يجب أن تكون معلومات الجهات الحكومية كاملة ودقيقة ويجب أن تعمل جميع الأنظمة والاصول والشبكات بشكل صحيح وفقا للمواصفات. ويتم الحفاظ على البيانات من التغيير أو التعديل من الاشخاص غير المخولين بالوصول اليها وحماية دقة واكتمال المعلومات.
توافر البيانات (Availability):
يجب توفير المعلومات وتسليمها إلى الشخص المناسب في الوقت المناسب وعند الحاجة والتأكد من أن المعلومات والخدمات الحيوية يمكن الوصول إليها للمستخدمين المصرح لهم عند الطلب.
المسائلة وعدم الإنكار (Non-Repudiation) :
عدم انكار التصرف المرتبط بالمعلومات ممن قام به ويقصد به ضمان عدم إنكار الشخص الذي قام بتصرف ما مرتبط بمعلومات الجهات الحكومية أو اصولها المعلوماتية وضمان عدم انكار بأنه الذي قام بمثل هذا التصرف بحيث تتوفر قدرة إثبات أن تصرفا ما قد تم من شخص ما في وقت معين.
متطلبات إدارة وتنفيذ أمن المعلومات :
يجب وضع خطة شاملة وواضحة لحماية أصول المعلومات التابعة لكل جهة في البلد المراد تطبيق أمن المعلومات فيها وبطريقة تتناسب مع قيمة تلك المعلومات وحجم الضرر المتوقع حال فقدانها أو إساءة الاستخدام أو السرقة أو التعديل بطرق غير قانونية وبما يضمن استخدامها وتخزينها ونقلها وإدارتها بطريقة فعالة, ويجب أن يراعى في الخطة الاعتبارات التالية:
خطة إدارة وتنفيذ أمن المعلومات :
خطة إدارة وتنفيذ أمن المعلومات في الجهات التي تريد تطبيق أمن المعلومات يجب أن تكون موثقة وتضمن الاجراءات والتعليمات والسياسات الداخلية الواجب تنفيذها من قبل العاملين والمتعاقدين والمتعهدين لديها ويجب أن تحظى هذه الخطة بدعم من قيادة الجهة وتتوافق مع سياسات ومعايير أمن المعلومات.
تحديد سياسات أمن المعلومات:
يجب تحديد سياسات أمن المعلومات في خطة أمن المعلومات للجهة وتعريفها وقد تكون الجهة منشأه حكومية أو خاصة مثل الوزارات والبنوك والهيئات والمؤسسات وفق متطلبات أمن المعلومات على أن يتم المصادقة عليها من قبل قيادات الجهة ونشرها لجميع المعنيين بتنفيذها ويجب أن تضمن كل سياسات البنود التالية:
تعريف السياسات والغرض منها وأهدافها.
تحديد المسؤوليات والأدوار على كل شخص أو جهة تابعة لتنفيذ هذه السياسات والرقابة على الالتزام به.
اجراءات واضحة لحالات عدم الامتثال للسياسة.
إدارة وتنفيذ أمن المعلومات:
يجب أن تقوم الجهة بوضع إطار عمل لإطلاق الخطة والتحكم بآليات التنفيذ من خلال فريق متخصص وبصلاحيات محددة وفترة زمنية محددة وتطويرها بشك مستمر بما يشمل:
تحديد فريق العمل المسئول عن تنفيذ السياسات أو مجموعة السياسات وإعداد تقارير عن مدى الالتزام مع الفترة الزمنية للتنفيذ.
تحديد الجهات الداخلية سواء كانت إدارات عامة أو إدارات أو اقسام ونحوها أو الجهات الخارجية والملزمين بتنفيذ السياسة.
وضع ألية واضحة لإبلاغ المعنيين بالجهة في حال حدوث أي طارئ يتعلق بأمن المعلومات كفقدان المعلومات أو الخدمات أو أي اختراقات أو نحو ذلك.
وضع الأدوار والمسؤوليات والمهام بين التفرعات الإدارية الداخلية للجهة بحيث لا تتعارض واجباتها وبما يضمن تحديد الجهة المسؤولة عن عدم تنفيذ السياسات أو عند حدوث أي طارئ.
متطلبات أمن المعلومات:
إن تحديد متطلبات أمن المعلومات في الجهات التي ترغب بتنفيذ أمن المعلومات يختلف باختلاف اهمية المعلومات والبيانات والخدمات الإلكترونية المعتمدة ويجري تحديد هذه المتطلبات في الجهات اعتمادا على ثلاثة مصادر أساسية:
تقييم المخاطر التي قد تهدد الجهة مع الأخذ بعين الاعتبار أهدافها والخدمات التي تقدمها ومدى الضرر المتوقع من هذه المخاطر.
القوانين والأنظمة والتعليمات وغيرها مما يتعلق بعمل الجهة أو المتعلقة بالخدمات الالكترونية التي تقدمها الجهة.
متطلبات نجاح الجهة في تحقيق أهدافها وتنفيذ مهامها.
م.فؤاد محمد محمد الصبري
قائم بعمل مدير عام نظم وتقنية المعلومات- المؤسسة العامة للاتصالات -