1. المقدمة

يشكل كل من الحاسب الآلي والبرمجيات والبيانات العناصر الأساسية لنظام المعلومات في البيئة الرقمية المرتبطة بالحكومة الإلكترونية. وقد يرتبط الحاسب الآلي بواسطة أجهزة وخدمات الاتصال في شبكة بنهايات طرفية أو حسابات أخرى أو تسهيلات اتصال معينة. وقد تكون شبكة الحاسبات شبكة محلية LAN أو شبكة خاصة ممتدة علي نطاق المصلحة الحكومية أو الوزارة المعنية كشبكة الإنترانت، أو شبكة المجال العريض WAN كشبكة الإكسترانت أو شبكة معلومات دولية كالإنترنت، كما قد تكون وصلة اتصال خارجية مفتوحة لأي فرد مزود بالوسائل التكنولوجية التي تمكنه في الوصول إليها.

وتشتمل كثير من شبكات المعلومات علي تجميع من الوصلات الداخلية والخارجية، كما تتضمن شبكات الاتصال علي بيانات اتصال، بالإضافة لتليفون وفاكس موديم. ومن الأجهزة الأخرى قد ترتبط الطابعات بأجهزة الحاسبات والاتصالات. وقد تتضمن برمجيات الحاسبات نظم تشغيل وبرمجيات التطبيقات التي تصمم خصيصا لعميل معين كمصلحة أو جهاز حكومي معين. وقد تركب البرمجيات في الحاسب الآلي أو تخزن علي أقراص مدمجة CD-ROMs، أو أي وسائل تخزين أخري متاحة . وتساند الأدلة الورقية والتوثيقية أو المحمولة والمقروءة إلكترونيا تشغيل الأجهزة والبرمجيات واستخدامها وصيانتها.

وينشأ الهيكل الكامل لنظم وتطبيقات المعلومات في البيئة الرقمية بهدف تخزين البيانات والمعلومات ومعالجتها واسترجاعها وإرسالها أو نقلها للمستخدم المستهدف. وتجمع كل هذه العناصر المختلفة والعديدة معا لتشكل نظام المعلومات في البيئة الرقمية مما يمثل ديناميكية تكنولوجيا المعلومات والاتصالات المتقدمة في دعم ومساندة البيئة الرقمية وما يرتبط بها من تطورات كالحكومة الإلكترونية  والتعلم الإلكتروني والعلاج عن بعد، الخ.

وفي هذا الإطار يمكن تحديد العوامل الحاكمة التالية:

1.    زيادة استخدام وفعالية قيمة الحاسبات الآلية، وتسهيلات الاتصال، وشبكات الحاسبات والاتصالات، والبيانات والمعلومات التي تخزن وتعالج وتسترجع وترسل بواسطتها متضمنة البرامج والمواصفات والإجراءات.

2.    الطابع العالمي لنظم وتطبيقات المعلومات وانتشارها علي كافة المستويات المحلية والقومية والدولية.

3.    نتيجة لزيادة دور نظم وتطبيقات المعلومات المتزايد الأهمية والاعتماد المتنامي عليها في الاقتصاد والتجارة والإدارة والتعلم أي في كافة أوجه الحياة الاجتماعية والثقافية والسياسية، فقد أدي ذلك إلي بذل جهود خاصة لضمان الثقة والمصداقية لهذه النظم والتطبيقات من حيث أمنها وشفافيتها للمستخدمين.

4.    للبيانات والمعلومات المتوافرة في نظم وتطبيقات المعلومات الإلكترونية مزايا إضافية تجعلها مختلفة ومتميزة عن النظم الورقية أو الوثائقية التقليدية، ويحتم ذلك ضرورة توافر ما يلي:

• طرق ملائمة لزيادة الوعي بالمخاطر المحيطة بنظم وتطبيقات المعلومات,

• توجيهات ومعايير وأساليب مقننة لحماية أمن وشفافية المعلومات ونظماها وتطبيقاتها في البيئة الرقمية،

• إجراءات مناسبة تجرم المساس بسرية وخصوصية وتوافر البيانات والمعلومات لمستخدميها،

• مقاييس وإجراءات تعكس المبادئ التي تخص أمن المعلومات الإلكترونية،

وعلي هذا الأساس فإن تعزيز الثقة والأمن في استعمال تكنولوجيا المعلومات والاتصالات سوف يعزز إطار الطمأنينة الذي يشمل أمن المعلومات وأمن الشيكات وصون الخصوصية والسرية وحماية المواطن المستخدم مما يعتبر شرطا مسبقا لإنشاء مشروعات الحكومة الإلكترونية لتنمية مجتمع المعلومات لبناء الثقة بين مستخدمي تكنولوجيا المعلومات والاتصالات.

 ويتضمن هذا العمل عدة محاور ترتبط بالتوسع في استخدامات نظم وتطبيقات وخدمات المعلومات الرقمية الحكومية  التي تتاح علي شبكات المعلومات التي صارت تتسم بالاعتمادية، وقابليتها للتعرض للضرر والخطر، وحاجتها لاكتساب الثقة في التعامل معها من قبل المواطنين؛ وأمن نظم المعلومات وتطبيقاتها وخدماتها في بيئة المصالح والمنظمات الحكومية الرقمية التي يجب أن تمثل حماية سريتها وسلامتها وتوافرها فيما يتصل بالتهديدات المطلوب مواجهتها والاعتبارات العامة التي تشكل معالم شفافيتها من العمليات والبشر والتكنولوجيا والثقافة المؤسسية المتاحة؛ ومتطلبات الأمن الطبيعي والمنطقي والفني والسيكولوجي للمعلومات التي تحدد عمليات التحقق من الأمن المستهدفة (التعريف، الاعتماد، الإدارة، والمراجعة)، وتفهم استخدام أمن نظم المعلومات، ومحاسبة إدارة الأمن وتنفيذ أدوات ومنتجات الأمن؛ واعتبارات وأبعاد أمن المعلومات؛ وتوجيهات ومعايير أمن نظم المعلومات من حيث غرضها العام ومجالها وتعاريفها وأهدافها والمبادئ الخاصة بأمن المعلومات؛  وتنفيذ نظم أمن وشفافية المعلومات المرتبط بتطوير السياسة الخاصة بنظام الأمن والتعليم والتدريب المصاحب لتطوير النظام وتبادل المعلومات والتعاون في المعلومات الأمنية لنظم المعلومات وتطبيقاتها وخدماتها. ويختتم هذا العمل بالخلاصة التي تتضمن النتائج والتوصيات المتوصل إليها.

2.  التوسع في استخدامات تطبيقات وخدمات نظم المعلومات في البيئة الرقمية

تقبل المجتمع المعاصر أهمية تكنولوجيا الحاسبات والاتصالات اقتصاديا واجتماعيا وسياسيا. وتعتبر هذه التكنولوجيات المتقدمة جوهرية وأساسية لا من أجلها فحسب، ولكن أيضا بما تمثله كقاطرة لكل الأنشطة والمكونات الأخرى التي ترتبط بالمنتجات والخدمات النابعة منها.

وقد شهد المجتمع المعاصر كثيرا من التطورات التي منها:

·     انتشار الحاسبات الآلية وتشعبها وانتشارها في كل أوجه حياة المجتمع المعاصر.

·     تلاحم وتشابك تكنولوجيات المعلومات والاتصالات.

·     تواصل أعظم لتكنولوجيا الحاسبات والاتصالات والتشغيل المتداخل لنظمها وتطبيقاتها.

·      زيادة لا مركزية وظائف الحاسبات والاتصالات.

·     نمو استخدام الحاسبات إلي المدى الذي يعتبر كل فرد مستخدم فعلي أو متوقع لشبكات المعلومات والاتصالات وخاصة في الدول المتقدمة تكنولوجيا.

إن العالم المعاصر يتجه بخطي حثيثة ومتأنية نحو مجتمع المعلومات الذي عقدت له الأمم المتحدة بالتعاون مع الاتحاد الدولي للاتصالات ITU الجولة الأولي لمؤتمر القمة العالمي لمجتمع المعلومات، جنيف: ديسمبر 2003، وسوف تعقد الجولة الثانية لهذا المؤتمر في تونس عام 2005. ويتسم مجتمع المعلومات بأنه مجتمع لا حدود له غير متأثر بالمسافة أو الوقت،

كما تعتبر اقتصاديات وسياسات ومجتمعات اليوم مبنية أقل علي البنية الأساسية الجغرافية والطبيعية عما كانت عليه في الماضي، وصارت حاليا تعتمد بزيادة مطردة علي البنية الأساسية لنظم وتطبيقات المعلومات في البيئة الرقمية التي أصبحت تفيد الحكومات والمنظمات والمنشآت والأفراد علي حد سواء.

 وقد صارت هذه النظم والتطبيقات المعلوماتية تمثل جزءا مكملا وأساسيا لأنشطة الأمن والإدارة والتجارة والتمويل القومية والدولية، كما أصبحت تستخدم بتوسع. وعلي هذا الأساس صارت هذه النظم والتطبيقات الرقمية تستخدم في أداء كثير من الخدمات والأنشطة الحكومية من خلال الحكومات الإلكترونية E-Government ، التعلم الإلكتروني E-Learning، الخ. وتقدم استخدامات تطبيقات وخدمات ونظم المعلومات مدى واسع وممتد من الإمكانيات في الوصول الأعظم للموارد والخبرة والتعلم والمشاركة في الحياة المدنية والثقافية للمواطن العادي.

وتتسم نظم وتطبيقات وشبكات المعلومات الحديثة بالعوامل أو الخصائص الثلاثة التالية:

أولا: الاعتمادية Dependency   

يتأثر كل شخص ، منشأة أو مصلحة حكومية مباشرة بتطبيقات ونظم المعلومات الرقمية، ويصبح معتمدا علي وظائفها المختلفة التي تلائم استخداماته المتنوعة. علي سبيل المثال لا الحصر، إن استخدام نظم المعلومات المتزايد قد ساهم في تعميق التغييرات الأساسية التي تحدث في الإجراءات التنظيمية الداخلية في أي منظمة مما أدى إلي تبديل وتغيير الطريقة التي تتفاعل بها مع جمهور المتعاملين معها. أما في حالة فشل أي نظام معلومات، يصبح من المستحيل الاستمرار في الإجراءات الحالية بدون هذه النظم، كما يصبح من الصعب العودة مرة أخري إلي الطرق والإجراءات القديمة التقليدية. وأصبح غير كاف تواجد سجلات ورقية، أو الاعتماد فقط علي مهارات العاملين اليدوية، أو حتى توافر عدد كبير من القوي العاملة لكي يسمح للمنظمة أو المؤسسة المعنية من الاستمرار في أداء وظائفها بمعدلات إنتاجية عالية وجودة أحسن بنفس المدى الذي قد تعمل به مع تواجد نظم وتطبيقات المعلومات الرقمية الحديثة حتى يمكن من مواجهة المنافسين في عالم مفتوح يتسم بالعو لمة. فعلي سبيل المثال أيضا، في الإمكان ملاحظة تأثير فشل نظام المعلومات الإلكتروني علي الأداء وفعالية الخدمات وانتظام حركة المعاملات علي شركات خطوط  الطيران والبنوك وغيرها من المؤسسات التي لا تستطيع الاستغناء علي التطبيقات والخدمات والنظم الإلكترونية المتقدمة. مما سبق يمكن استنباط مدى نمو الاعتماد علي نظم وخدمات المعلومات الرقمية بمعدلات كبيرة غير مسبوقة. وقد صاحب هذا الاعتماد المتنامي بزوغ الحاجة الملحة لتوفير الثقة والشفافية لهذه النظم المستمرة في التطوير والتواجد في المستقبل.

ثانيا: قابلية تعرض النظم والتطبيقات للضرر   Vulnerability

كما أن استخدام تطبيقات وخدمات ونظم المعلومات الرقمية قد زاد بطريقة هائلة مما أدي إلي بزوغ فوائد ومزايا كبيرة عادت بالنفع علي المنظمات والأفراد المستخدمين لها، إلا أنها أدت إلي تواجد فجوة كبيرة بين الحاجة لحماية هذه النظم والتطبيقات ودرجة الأمن الموفرة والموظفة لها بالفعل. فقد أصبح مجتمع المعلومات الحديث المتضمن الأعمال والخدمات العامة والأفراد معتمدا بصفة كبيرة علي تكنولوجيات المعلومات والاتصالات الغير موثوق منها لحد كبير. وتعتبر كل استخدامات نظم المعلومات وتطبيقاتها الرقمية المحملة علي شبكات الحاسبات معرضة للهجمات الضارة أو  للفشل فيما يتصل بإفشاء سرية معلوماتها أو عدم حفظ خصوصية بيانات الهيئات والمتعاملين معها أو التأخر في توافرها في الوقت الملائم لمن يحتاج إليها بسرعة، أي توجد مخاطر جمة من الوصول غير المعتمد والاستخدام غير الملائم وغير المخصص أو فشل النظم ذاتها بأسباب عرضية جانبية، مع العلم بأن كثير من نظم وتطبيقات المعلومات سوء كانت عامة أو خاصة كتلك المستخدمة في الأغراض الحربية والأمنية والبنوك والمستشفيات وغيرها تمثل أرضية خصبة للإرهاب المعلوماتي المتنامي اليوم.

وفي إطار التطورات المتلاحقة المتمثلة في تزايد الحاسبات الآلية، زيادة قدرة وقوة الحاسبات، التواصلية المتداخلة ، اللامركزية، نمو الشبكات وعدد مستخدميها المتنامي، تعزيز نفعية نظم المعلومات مع زيادة قابليتها للتعرض للضرر والخطر، كل ذلك جعل من الصعوبة تحديد موقع المشكلات التي يتعرض لها النظام وتحديد أسبابها للعمل علي تصحيحها بطريقة متوازنة مع وظائف ومتطلبات النظام الأخرى حتى يمكن منع تكرار حدوثها أو ارتدادها.

وكما تصبح نظم المعلومات وتطبيقاتها لامركزية وتنمو بطريقة متناهية، فمن المهم مراعاة اعتماد مكوناتها وملحقاتها وتداخلها معا الموردة والمباعة من قبل موردين وبائعين ومن مصادر مختلفة ومتعددة. إضافة لما تقدم، فإن نمو تواصلية نظم شبكات المعلومات واستخدامات الشبكات الخارجية أدي إلي مضاعفة أوجه الفشل والقصور الممكنة. وتقع هذه المظاهر الخارجية خارج نطاق رقابة عمليات وحقوق ومهام الأطراف المتضمنة والمتعاملة مباشرة مع النظم، وخاصة في حالة حدوث أي هجمات وتجاوزات غير مسموح بها.

وفي نفس الوقت، يكون التغيير الفني غير متوازي مع تطوير النظم، ويتخطى بعض الميادين، بينما يتأخر حدوثه في البعض الآخر. كما أن عدم القدرة في التكيف واستيعاب التطورات التكنولوجية بنفس المعدل الذي تحدث فيه التي تحدث مثلا في حالة الفشل الملائم لاختيار أو تنسيق متغيرات النظام، قد يؤدي إلي حدوث مشكلات علي النظام. وقد تنجز التطورات التكنولوجية قبل تشعبها ونتائجها ومواقعها تجاه التكنولوجيات القائمة بالفعل مما يعتبر شيئا مألوفا ومفهوما. وقد يغطي توزيع قدرات النظام بطريقة غير متساوية غير متساوية في الرقابة والوصول لنظم المعلومات بدلا مما هو مطلوب أو متوقع. كما أن زيادة عدد المستخدمين في الوصول لنظم المعلومات مع تقليل الرقابة المباشرة عليهم من قبل الشركات الموردة أو المنظمات المستخدمة قد يؤدي إلي خسارة مالية مباشرة كالخسارة في طلبات العملاء إلي جانب الخسارة غير المباشرة التي قد تتمثل في إفشاء خصوصية المعلومات الشخصية أو المعلومات السرية المهمة أو تلك المعلومات ذات الطابع التنافسي أو الحساسة لتواجد المنظمة ذاتها.

ومن الملاحظ أيضا أن تطور الأوجه القانونية والتشريعية قد لا تكون دائما بخطى موازية مع التقدم التكنولوجي‘ ففي بعض الحيان يعتبر ذلك غير كافي علي المستوى القومي إلي جانب من تواجد عدد من الحالات غير المطورة حتى الآن علي المستوى الدولي. إن تناسق وانسجام القوانين والتشريعات المرتبطة بنظم المعلومات يعتبر من الأهداف الهامة التي يجب مراعاتها والعمل علي سنها بصفة مستمرة.

ثالثا: بناء الثقة  Building Confidence   

يجب أن يثق مستخدمي نظم المعلومات وتطبيقاتها في البيئة الرقمية للمنظمة المعنية في أنها تشغل وفقا لما هو مقرر لها بدون أي أعطال، أخطاء، فشل أو مشكلات غير متوقعة. وفيما عدى ذلك، فإن النظم والتكنولوجيات المرتبطة بها قد لا تكتشف في المدى الممكن لاكتشافها كما أن النمو والإبداع اللاحق قد يحجب. وعلي ذلك، فإن الوصول لتأمين الشبكات وإعداد توجيهات ومعايير أمن حاكمة قد تنبع نتيجة لمتطلبات المستخدمين ذاتهم, وأن فقد الثقة في النظام والتطبيق القائم عليه قد ينبع من سوء الاستخدام ، من عدم تلبية التوقعات، أو عدم التأكد الذي قد يتوصل إليه. وعلي ذلك، تحتاج نظم المعلومات الرقمية إلي توفير وبناء إجراءات وقواعد مقبولة لكل الأطراف المتعاملة معها حتى تقدم أوضاعا تزيد من الثقة والمصداقية في هذه النظم.

ويجب ملاحظة أن مسئولية الفشل في تطوير وتشغيل واستخدام النظم تقع علي كاهل مطوريها ومشغليها ومستخدميها في المقام الأول. وعلي هذا الأساس ، يجب تحديد مسئولياتهم والتزاماتهم وحقوقهم تجاه هذه النظم من خلال وضع قواعد واضحة وموحدة لتسهيل وتشجيع نمو واستغلال النظم.

ويمثل أمن المعلومات ونظمها والقدرة علي تطويرها وتشغيلها واستخدامها قضية عالمية لأن نظم المعلومات غالبا ما تتعدى الحدود القومية أو الوطنية المحدودة، فهي مشكلة  تتطلب تعاونا دوليا مكثفا للتغلب عليها. وفي الواقع، بافتراض تجاهل نظم المعلومات للحدود الجغرافية والتشريعية فإنها تعتبر من المعاهدات والاتفاقات الأحسن قبولا ودعما علي المستوي العالمي.

وتتضمن الخبرات المكتسبة في القطاعات الأخرى أن التكنولوجيات المتقدمة الجديدة التي قد تتضمن أخطارا وأضرار معينة تجابه تحديات ثلاثة تتمثل في:

1. تطوير التكنولوجيا وتطبيقها،

2. تجنب ومجابهة فشل التكنولوجيا،

3. كسب المساندة العامة والموافقة علي استخدام التكنولوجيا.

وفي هذا الإطار، يمكن اعتبار أن صناعة الطيران ناجحة في تنفيذ أساليب ومتطلبات السلامة الملاحية الجوية، حيث أنها تسهل الأداء السلس الآمن للنقل الجوي وتبعث علي إضفاء الثقة لدي الجمهور المتعامل معها. وبصفة مشابهة للمثال السابق، تستخدم صناعة السفن نظم اعتماد وسلامة لبناء السفن بنجاح. من هذا المنطلق، يجب أن يكو الهدف من صناعة المعلومات والاتصالات شبيها للمثالين السابقين يرتبط بتجنب أي قصور أو فشل يرتبط بها وتجنبه بقدر الإمكان بدرجة كبيرة من الموثوقية تختص بمنع التطفل والوصول غير المعتمد لنظم المعلومات في البيئة الرقمية.

3. أمن المعلومات ونظمها في البيئة الرقمية

يمثل أمن المعلومات ونظمها في البيئة الرقمية حماية  المعلومات من حيث توافرها وإضفاء الثقة فيها وتأكيد سلامتها. ويعبر توافر Availability  المعلومات علي خاصية من خصائص نظم المعلومات الممكن الوصول إليها واستخدامها علي أساس فوري في إطار نمط محدد ومطلوب، كما يصبح في الإمكان الوصول إلي النظام عندما يطلب بطريقة معتمدة ووفقا لمواصفات ملائمة لهذا للنظام؛ وتعتبر السرية Confidentiality  خاصية ترتبط بعدم تغيير البيانات والمعلومات أو فقدها أو إهدارها وإتاحتها فقط لأشخاص وكيانات معتمدة ومصرح لها فقط باستخدامها، وتتضمن العمليات التي تستخدم أساليب التشفير والحجب لمحتويات البيانات والمعلومات أو السماح بها في أوقات وفي طرق معتمدة. أما السلامة  Integrity فهي خاصية البيانات والمعلومات الدقيقة والكاملة التي تحفظ بدرجة كبيرة من الدقة والاكتمال. وتتنوع الأولوية والأهمية النسبية لتوافر المعلومات وسريتها وسلامتها طبقا لنظام المعلومات المتاح.

والعرض التالي يوضح معالم أمن نظام المعلومات وإطار الأمن  ومكوناته أو معالمه والتهديدات المختلفة التي يتعرض لها نظام المعلومات:

3-1 أمن نظام المعلومات:  

يمثل الهدف من أي برنامج أمن يعد لنظام المعلومات حماية معلومات المنظمة أو المنشأة المعنية بتقليل المخاطر التي قد تؤثر علي توافر المعلومات وسريتها وسلامتها بمستوي مقبول ومحدد.

ويتضمن برنامج أمن المعلومات الجيد توافر عنصرين رئيسيين، يتمثلان في تحليل المخاطرة وإدارة المخاطرة.

وفي مرحلة تحليل المخاطرة يراعي مستودع البيانات والمعلومات لكل النظم المتوافرة في المنظمة. وينشأ كل نظام من نظم المعلومات قيمة خاصة للمنظمة والدرجة التي تقرر لتعرض المنظمة للمخاطرة. أما إدارة المخاطرة فهي من جهة أخري تتضمن أساليب الرقابة ومقاييس الأمن التي تقلل تعرض المنظمة لمستوي مقبول ومسموح به من المخاطرة. ولكي يكون أمن نظام المعلومات فعالا وكفء ويعكس الإحساس المشترك، يجب أن تعمل إدارة المخاطرة مع إطار الأمن ، حيث تكمل مقاييس أمن المعلومات من خلال القوي العاملة المهنية في تكنولوجيا المعلومات والاتصالات والإدارة إلي جانب مقاييس الأمن الطبيعية كما في الشكل التالي:

شكل رقم (1) طبقات أمن المعلومات المتممة بعضها ببعض

من خلال الشكل السابق، يتضح أن إدارة أمن المعلومات هي  قضية إدارية في المقام الأول، حيث يتوصل فيها إلي توازن بين قيمة المعلومات للمنظمة من جهة وتكلفة الأفراد والمقاييس الإدارية والتكنولوجية من جهة أخرى. وتضع مقاييس الأمن الحاجة في التوصل إلي أقل تكلفة من المخاطر أو الأضرار التي قد تسبب فقد سرية المعلومات وتحد من سلامتها وتوافرها.

وتتطلب كثير من المناهج المتبعة في تحليل المخاطرة الرسمية خبرة فنية عالية في مجال تكنولوجيا المعلومات وأساليب رقابة متوافقة وتوافر تكرار أحداث الخطر المحتملة التي قد تكون خارج نطاق عمليات المراجعة التقليدية المتبعة. ويتمثل الهدف من تحليل المخاطرة بناء خبرات وموارد مكتسبة بمرور الوقت,

3-2 إطار أمن المعلومات:

يمثل أمن المعلومات أحد عناصر البنية الأساسية التي يجب أن تتاح لأمن نظام المعلومات، وعلي ذلك يجب ألا يفحص من فراغ، كما يجب وجود إطار سياسات أمن يختص بكل أوجه الأمن الطبيعي وأمن الأفراد وأمن المعلومات، بالإضافة إلي وجود أدوار ومسئوليات واضحة للمستخدمين وأفراد الأمن وأعضاء لجنة إدارة نظم المعلومات.

 ويشتمل برنامج أمن المعلومات علي كل الأوجه الحساسة لمعلومات المنظمة التي تتضمن سريتها وسلامتها وتوافرها. كما يجب أن يحدد أيضا برنامج أمن المعلومات برنامجا للتوعية  يوضع سبل التنفيذ ويذكر كل العاملين بالمنظمة المعنية بالمخاطر والهجمات الممكنة  ومسئولياتهم في حفظ معلومات المنظمة. وإلي جانب الإشارة للشكل رقم (1) السابق يمثل أمن المعلومات مجموعة من المقاييس المختلفة علي كافة المستويات الطبيعية وتلك المتعلقة بالأفراد والمقاييس الإدارية لمستويات نظام المعلومات المتكاملة معا، ويمثل أمن المعلومات مقاييس الرقابة الإدارية الجيدة. وعند وجود أي قصور في أحد المستويات يمكن أن يهدد كل المستويات الأخرى. علي سبيل المثال، إذا كانت سياسات أمن الأفراد غير متضمنة وبالتالي غير منفذة يصبح أمن المعلومات باهظ التكلفة أو علي الأقل غير ممكن مساندته. ومن جهة أخري، يجب أن تؤكد المقاييس المخططة لكل المستويات حدا أدنى من حماية المعلومات علي أن تكون مخاطرة الأمن محسوبة ومقبولة من قبل الإدارة المعنية.

 وتوجد بعض الأوضاع المعينة التي يمكن لمقاييس الأمن في أحد مستويات نظام المعلومات أن تعوض ضعف الأمن في مستويات أخرى. علي سبيل المثال، تضيف عملية التشفير Encryption حتى في الحالات التي تكون فيها مقاييس الأمن الطبيعية أو تلك المتعلقة بالأفراد أو المقاييس الإدارية ضعيفة، يصبح التشفير أحد معالم الدفاع الأخيرة للمساعدة في حماية أي أخطار تواجه سرية المعلومات.

وعند التخطيط لأمن المعلومات، يجب توازن قيمة المعلومات لإدارة المنظمة مع الحجم النسبي لأنواع المعلومات الأخرى في مواجهة حد الأمن المتوسط في الأساس. وفي كثير من المصالح والأجهزة الحكومية، يجب توافر متطلبات أمن صارمة لمعالجة وتخزين واسترجاع المعلومات ونقلها بطريقة تحمي سريتها وسلامتها في مستودعاتها المقروءة آليا.

وفيما يتصل بإطار المعلومات، يمكن ملاحظة تواجد مدخلا يتضمن طبقتين لمراجعة أمن المعلومات. ويرتكز هذا المدخل علي توظيف الإدراك المشترك والسليم في توازن تكلفة الأمن المبنية في نظام لقيمة المعلومات المتدفقة في نظام المعلومات. والشكل التالي رقم (2) يمثل هذا المدخل المرتبط بتحليل وإدارة مخاطرة الأمن:

شكل رقم (2) مدخل الطبقتين لتحليل وإدارة مخاطرة الأمن

وتشتمل الطبقة الأولي من هذا المدخل الخاصة بتحليل المخاطرة علي المراجعة من أعلي لأسفل، وتحديد التكاليف الصافية المحتاج إليها، والخبرة والموارد المتوافرة، والتحليل المفصل. أما الطبقة الثانية المرتبطة بإدارة المخاطرة فتتضمن توصيا الأمن العام والمقاييس المعينة، والتحليل الإضافي الكمي، ومرحلة التنفيذ المتعلقة بالمقاييس المفصلة المتضمنة تكلفة الصيانة.

3-3 مكونات ومحاور أمن المعلومات: 

تنفيذ وتشغيل نظام أمن المعلومات يمثل طريقة حياة تعتمد علي أربع مكونات أساسية كل منها كل منها مهم ولا يمكن التعامل معه بصفة فردية مستقلة.

ويحدد الشكل التالي رقم (3) معلم مكونات نظام أمن المعلومات:

شكل رقم (3) مكونات نظام أمن المعلومات

1.   العمليات: Possesses  تعتبر العمليات لا غني عنها لأي نظام أمن، فهي جوهرية وذات طبيعة مستمرة. ويحكم أداة عمليات أمن المعلومات مجموعة من المعايير كتلك التي قررتها المنظمة الدولية للتوحيد القياسي ISO التي تعتبر ذات قيمة كبيرة لأي نظام أمن معلومات. وتطبق العمليات بطريقة منظمة كما تراجع باستمرار في إطار الخبرة المتراكمة بغية استبعاد الأخطاء والمخاطر.

2.   البشر: People الذين يمثلون العاملين، المستشارين، المتعاقدين، والفنيين وينجزون كل العمليات والخدمات، ويحتاج إلي تواجدهم بأعداد وتخصصات  ملائمة وبمهارات وخبرات ودافعية مناسبة.

3.   التكنولوجيا: Technology  تعتبر متوافرة وجاهزة، ولمنتجاتها دورات حياة قصيرة نسبيا. وتعتبر سوق التكنولوجيا ذات طبعة تنافسية، يتوافر لها عدد كبير من المنتجين و الموردين والبائعين والموزعين الذين يأتون ويذهبون ، وقد يندمجون في شركات أكبر أو قد يخسرون ويخرجون من سوق الأعمال. ويجعل ذلك من الصعب تقييم التكنولوجيا عما كانت عليه في الماضي.

4.   الثقافة: Culture ترتبط بتفسير بيئة الأعمال وتتعلق بأخلاقيات المنظمة تجاه المجتمع، حيث يكون لإدارة المنظمة دورا رئيسيا تؤديه في حفظ ثقافة المنظمة المتوافقة مع ثقافة مجتمعها. ومن أمثلة الثقافات الناجحة في إدارة أمن المعلومات التي يمكن تتبعها في مجالين رئيسيين:

·        الاستخبارات، الأمن والدفاع.

·        الصرافة، التبادل الخارجي والتأمين.

        وتشتمل الأوجه الثقافية ذات الطبيعة الحرجة في إدارة نظام أمن المعلومات الناجح

      علي التالي:

·        المساندة والالتزام الكامل تجاه أمن المعلومات من قبل الإدارة العليا بالمنظمة.

·        الانضباط التنظيمي القوي.

·        السياسة الموثقة والموصلة بوضوح لكل العاملين.

·        العمليات الموثقة والمساندة بواسطة المراجعات المستمرة.

·        توافق عمليات المراجعة المستمرة.

·        الاختبارات والمراجعات العادية الدورية.

3-4 تهديدات أمن نظم المعلومات: Threats to Information Systems

توجد كثير من التحديات تؤثر علي الأداء السليم لوظائف نظم المعلومات، التي منها: التطورات التكنولوجية المتسارعة، المشكلات الفنية المتزايدة، الأحداث البيئية المتغيرة، الضعف البشري، وعدم ملاءمة المؤسسات الاجتماعية والسياسية والاقتصادية الراهنة للمتغيرات المتلاحقة، الخ. وتنبع التهديدات والمخاطر التي تواجه نظم المعلومات من الأفعال والتصرفات المقصودة وغير المقصودة علي السواء التي قد ترد من مصادر داخلية أو خارجية، كما أنها تتراوح من أحداث مفاجئة أو أحداث ثانوية تؤدي إلي عدم الكفاءة اليومية المتوقعة. علي سبيل المثال، قد تنتج الأعطال من أعطال كبيرة  تؤدي إلي توقف العمل، أو إبطاء العمل بصفة دائمة، أو تقلل قيمة النظام وتفسخ خدماته.وفي هذه الحالة يجب مراعاة توقيتات الأعطال والتشويش الذي يتعرض له النظام عند التخطيط لأمن المعلومات من البداية.

والعوامل الفنية التي تؤدي لفشل نظم المعلومات عديدة ومتنوعة، كما قد تعتبر غير مفهومة في بعض الأحيان، أو تتغير علي الدوام.

 وقد تنبع أخطاء النظام من سوء استخدام الأجهزة والبرمجيات، الأخطاء الكامنة Bugs، التحميل الزائد أو المشكلات التشغيلية وغير ذلك. وقد تظهر الصعوبة في مكون النظام الداخلي كما في حالة أجهزة وملحقات النظام المتعلقة بوحدة الذاكرة، تجميع نظام الحسابات الشبكي أو النظام الموزع؛ أو في برمجيات نظم التشغيل والتطبيقات مثل المحرر Editor ، الجامع Compiler، شبكة الكمبيوتر المحلية LAN. وقد تكون الصعوبة نابعة من مكون النظام الخارجي كما في حالة دوائر الاتصالات عن بعد أو الأقمار الصناعية، أو نتيجة لتواصل وترابط مكونات النظام المختلفة معا.

وقد تتسبب المشكلات الفنية نتيجة للهجمات المختلفة التي يتعرض لها النظام. فغالبا تدخل الفيروسات Viruses في النظام من خلال البرمجيات المصابة Infected ، المتطفلين Parasites ، أبواب الشراك Trap Doors ، الديدان Worms، أو القنابل المنطقية Logic Bombs، الخ. التي تمثل بعض الوسائل الفنية المستخدمة لتعطيل النظام وتشويه ، إتلاف أو تحريف بياناته ووظائفه المختلفة.

والصعوبة في صيانة وحماية أمن المعلومات والنظم والشبكات قد تنبع من تواجد بيئات متعددة من الأطراف المرتبطة بها كالمتعهدين، الموردين، البائعين، الخ. علي سبيل المثال، توجد مشكلة جوهرية تتعلق بعدم توافر برمجيات تحكم ورقابة علي الوصول المعتمد التي يتفق عليها كل الأطراف المعنية. ومن مقاييس الأمن الشائعة ضرورة توافق البرمجيات في بيئة الموردين المتعددة. وحتى يمكن التوصل لذلك، يصبح من الضروري موافقة منظمات التوحيد القياسي، الموردين، والمنظمات ومستخدمي نظم المعلومات علي المعايير والتوجيهات الحاكمة لقياسات الأمن ذات الطابع الدولي.

وتقع التهديدات الطبيعية لنظم المعلومات في مجموعتين عريضتين: الأحداث البيئية الجسيمة، وأوضاع التجهيزات الطبيعية المعكوسة. وتشتمل الأحداث البيئية الجسيمة علي الحرائق، الزلازل، الفيضانات، العواصف الكهربائية، الموجات الحرارية المرتفعة، والرطوبة الزائدة وما شابه ذلك. وقد يقع نظام المعلومات يضم الحاسبات الآلية وخطوط الاتصال، حيث قد يكرس له حجرات للحاسبات الآلية وحجرات تخزين البيانات لها ارتباطات وتجهيزات للطاقة الكهربائية والاتصالات تتعرض كلها للأحداث البيئية الجسيمة عند حدوثها. أما أوضاع التجهيزات الطبيعية المعكوسة فقد تظهر من خلال اختراق مقاييس الأمن الطبيعية في حالات انقطاع التيار الكهربائي، سوء استخدام أجهزة التكييف، تسرب المياه، أو بسبب الغبار والأتربة، الخ.  وقد يتأثر نظام المعلومات من الإهمال المباشر في الأماكن المخصصة له، أو غير المباشر في نقاط الربط الجوهرية خارج المنظمة كما في إمداد الكهرباء أو قنوات الاتصال عن بعد. كما يساهم البشر وما ينشأونه من مؤسسات مختلفة اقتصادية، سياسية أو اجتماعية  في قصور قيمتها وأدائها مما ينجم عنه مشكلات أمنية أيضا. وقد يؤدي التنوع الكبير لمستخدمي نظام المعلومات والمتعاملين معه (العاملون، المستشارون، العملاء، المنافسون والجمهور العام) فيما يتعلق بتوعيتهم وتدريبهم واهتماماتهم المختلفة والمتفرقة في ظهور صعوبات خاصة بأمن المعلومات ونظمها.

إن نقص التدريب والتوعية الملائمة عن أمن المعلومات وأهميته تسهم في الجهل باستخدام نظم المعلومات المناسبة. وبدون تنظيم دورات تدريب ملائمة، قد يجهل كثير من العاملين والمستخدمين بأعراض الأضرار النابعة من سوء استخدام نظم المعلومات، كما قد لا يستخدمون أي مقاييس أمن حتى البدائية منها ، مما قد يؤدي إلي مزاولات تعود بالإساءة لأمن المعلومات. ويقدم اختيار كلمة المرور Password الذي يمثل نشاط المستخدم في كل أنحاء العالم بل يمثل النشاط الرئيسي لأي نظام معلومات مثالا واضحا لأمن المعلومات. فعلي الرغم من أن كلمات المرور تطبق عادة علي رقابة الوصول إلي معظم نظم المعلومات، لا زال عدد قليل جدا من المستخدمين يعلم بأهمية الحاجة لأمن كلمة المرور بالطريقة التي تتمثل في تحديد أو إنشاء كلمة المرور ومن العواقب التي تتمثل في سوء استخدام النظام.

علي أنه بدون تدريب أو توجيه، يستطيع كثير من المستخدمين اختيار كلمات مرور واضحة يسهل تذكرها والتحقق منها مثل أسماء العائلة، الأسماء القصيرة، أو الكلمات المرتبطة بالمهام، الخ. وبعد الدخول أو الولوج في النظام، قد يترك المستخدمون غير المدربين كلمات المرور الخاصة بهم معروضة وغير مستخدمة علي النهايات الطرفية النشطة المرتبطة بنظم الشبكة ، كما يفشلون في إنشاء ملفات بيانات إضافية مساندة، ويشتركون في رموز التعريف وكلمات المرور، ويتركون منافذ الرقابة والوصول مفتوحة في مواقع الأمن مما يعرضها للاختراق. وكل ذلك يمثل  مشكلات الأمن التي تظهر من الدخول علي ملفات الحاسب لآلي، التحويل علي الحاسبات أو النهايات الطرفية وامتلاك كلمات المرور وسوء استخدامها.

وقد تحدث الأخطاء والاختراقات في تجميع البيانات والمعلومات ومعالجتها وتخزينها وإرسالها وحذفها. كما أن فشل عمل نسخ بديلة ومساندة للملفات والبرمجيات ذات الطبيعة الحرجة يضاعف من آثار الأخطاء والاختراقات ذات الطابع السلبي. وعندما لا توجد سياسة أمن للمنظمة المعينة تتصل بإعداد وحفظ نسخ إضافية مساندة لملفات المعلومات والبرمجيات التي تمتلكها، فإنها سوف تتحمل نفقات وخسائر واضحة ترتبط بالوقت والجهد والمال الذي ينفق في إعادة إنشائها من جديد.

إن سوء الاستخدام المقصود للنظام والوصول غير المعتمد له بغرض التطفل والنزوع للأذى وتعمد التخريب والتدمير والاحتيال أو السرقة تعتبر مخاطر وتهديدات خطيرة تؤثر سلبيا علي قابلية نمو حياة النظام والمنظمة المالكة له بل تؤثر أيضا علي القابلية للبقاء والتواجد. علي سبيل المثال، استنساخ البرمجيات غير المعتمد المنتشر علي نطاق واسع قد يؤدي إلي خسائر كبيرة علي النظم والمنظمات.

ومن المألوف أن جزءا أعظم من التهديدات التي تواجه نظم المعلومات يأتي غالبا من المصادر الخارجية. كما أنه علي النقيض من ذلك، فإن الأشخاص الذين منحوا حق الوصول المعتمد للنظام قد يعرضون تهديدات أعظم تواجه نظم المعلومات أيضا. فعلي الرغم من أنهم قد يكونوا مؤتمنين أو عاملين من ذوي النوايا الحسنة فإنهم بسبب التعب أو الإرهاق أو التدريب غير الملائم قد يقترفون أفعالا غير متعمدة قد تسهم في حذف كميات كبيرة من البيانات الهامة للمنظمة التي يعملون بها. وفي حالة كون الأشخاص غير مؤتمنين فإنهم يسيئون استخدام نظم  المعلومات أو يتعمدون الوصول المعتمد علي العبث والتلاعب في النظام بطرق متعمدة بغية الاستغلال أو الثراء الذاتي للإضرار بالمنظمة التي يعملون بها.

وبرامج الحاسبات التي تمثل عنصرا مهما من عناصر نظام المعلومات، من المحتمل أن تكون مجالا خصبا للتهديدات التي يتعرض لها النظام، حيث قد تشتمل هذه البرامج علي فيروسات الحاسبات الوالجة في النظام مما قد يعرض سرية بياناته وخصوصيتها وتوافرها للخطر المتزايد. بالإضافة لذلك فإن التحميل المتزايد للبيانات والمعلومات في النظام، أو تحويرها وتغييرها، وانتهاكات اتفاقيات الترخيص الممنوحة قد تعرض أمن نظام المعلومات للخطر الإضافي. علي سبيل المثال، فإن تبديل البرنامج المرخص به بطريقة غير معتمدة، قد يؤدي إلي قصور الأداء عند تفاعل البرمجيات المعدلة والمراجعة مع أجزاء النظام الأخرى. كما أن إفشاء البيانات الضمنية قد يضر بالوضع التنافسي للمنظمة مما يؤدي إلي خسارتها بل وبقائها.

من هذا المنطلق، يجب أن تمتد إجراءات الأمن الملائمة لما بعد النهايات الطرفية وخطوط الاتصال إلي مجال نظام المعلومات بالكامل. فعلي سبيل المثال، عدم ملاءمة تداول وسائل تخزين البيانات والمعلومات (سواء كانت ورقية، ممغنطة، ضوئية، الخ)، بالإضافة إلي عدم ملاءمة طريقة التخلص أو تدمير التقارير التي تمثل مخرجات النظام تؤدي إلي ثغرات أمنية مكلفة. فمثلا قد تشتمل مخرجات الحاسبات الورقية علي معلومات ضمنية أو تنافسية أو مفاتيح تخص الوصول للنظام وأصوله، كما أن كثيرا من الشركات أو المؤسسات المختلفة لا يتوافر لها سياسات واضحة للتخلص أو استبعاد أصولها المعلوماتية مما يجعل أمن المعلومات سهلا في الاختراق.

وقد يؤدي عدم وجود سياسات واضحة  لاستخدام نظام المعلومات إلي مشكلات أمن ضخمة يتعرض لها النظام، كما في حالة أعمال الصيانة والسلامة عند نقص الأفراد المؤهلين، أو بسبب تغيير ودوران العمالة ، أو إدخال تكنولوجيات متقدمة تتطلب مهارات جديدة، أو إبطاء العمل أو توقفه التي يجب مراعاتها من بدء التخطيط لنظم الأمن والشفافية المطلوبة.

ومن الملاحظ أن كثيرا من المؤسسات أو المنظمات السياسية والاقتصادية والاجتماعية القائمة حاليا وخاصة في المجتمعات النامية لم تجاري حتى الآن التطور والنمو التكنولوجي المرتبط باستخدام نظم المعلومات وتأمينها، فلا يزال يوجد قصور واضح ونقص كبير في التقنين والتوحيد لعدم الأخذ بالمعايير الدولية والتشفير الخاص بالمزاولة الأحسن، إلي جانب قصور  الإرشاد والتوعية والحقوق والالتزامات القانونية، مما يزيد في النفقات ويسبب تأخير الأعمال وعدم تكامل البيانات. إن السماح باستمرار الوضع الراهن يحد من النمو المستقبلي ويؤخر اللحاق بعصر المعلومات والمعرفة المستهدف.        

3-5 الأضرار الناجمة من قصور أمن المعلومات:

الأضرار التي تنجم عن قصور وفشل إجراءات الأمن تؤدي إلي خسارة مباشرة تعود بالضرر علي المنظمة المعنية. علي سبيل المثال، تتمثل الخسارة المباشرة في المصالح أو الأجهزة الحكومية علي المعالجات، محطات العمل، الطابعات، الأقراص والأشرطة وأجهزة الاتصالات؛ البرامج المتضمنة في نظم التشغيل وبرمجيات التطبيقات؛ التوثيق المتضمن المواصفات وأدلة المستخدم وإجراءات التشغيل؛ والقوي العاملة المشتملة علي المشغلين والعاملين الفنيين والمساندين للنظام والمستخدمين؛ إلي جانب البيئة الطبيعية المتضمنة حجرات الحاسبات والاتصالات وأجهزة التكييف وإمداد الطاقة الكهربائية. وعلي الرغم من أن الخسارة المباشرة قد تشكل نسبة صغيرة من الخسارة الكلية النابعة من فشل إجراءات الأمن، إلا أن الاستثمار الكامل من تطوير وتشكيل النظام يعتبر جوهريا في العادة. ويتطلب نظام المعلومات حماية تختص بحقوقه من أصول المعلومات المخزنة في أوعيته وقنواته المختلفة والمتعددة. وتتصل الحاجة لحماية النظام والطريقة التي يعمل بها بالأسلوب المرتبط بحماية البيانات والمعلومات التي يقوم النظام بتخزينها ومعالجتها ونقلها لكي يحافظ علي توافرها وسريتها وخصوصيتها، وبما يمنع تبديل أوعيتها أو قنواتها التي يدخل من خلالها البيانات والمعلومات أو تصبح عرضة للفيروسات ذات التأثير الضار والمدمر علي تشغيل واستخدام النظام.

وقد تحدث الخسارة الناجمة عن ذلك، من فشل نظام المعلومات في تحقيق الأهداف المتوقعة وأداء الأنشطة والمهام والخدمات المطلوبة منه. وتشتمل الخسارة النابعة من فشل إجراءات أمن النظام علي التالي:

·        خسارة السلع، الأصول الملموسة الأخرى، الاعتمادات أو الملكية الفكرية؛ خسارة معلومات قيمة.

·         خسارة الرغبة في العمل الكفء المتسم بالجودة العالية للعملاء أو الموردين.

·        خسارة المطالبة بالعقوبات من الانتهاكات الضارة وعدم الالتزام بالاتفاقات والتشريعات القانونية المنظمة.

·        الخسارة والأضرار النابعة من ارتباك الأعمال وعدم مصداقيتها أمام الرأي العام والأجهزة الرقابية المسئولة.

 في ضوء كل ذلك تصبح مهمة حماية وتأمين البيانات والمعلومات لها الأولوية القصوى والمطلقة في تخطيط وعمل نظم المعلومات علي كافة أنواعها وتوجهاتها.

3-6 تعزيز أمن النظم: 

يجب موازنة أغراض السرية والسلامة والتوافر في مواجهة الأولويات التنظيمية الأخرى مثل فعالية التكلفة ضد انتهاكات الأمن السلبية ويجب ألا تتعدى التكلفة العائد المتوقع. وعلي ذلك يجب أن تكون أساليب الرقابة علي الأمن كافية لمنع المتطفلين والمخربين الذين يحاولون دخول نظم المعلومات لرؤية المعلومات غير المصرح بها أو الحصول عليها أو تداولها، حيث أن استخراج أو استخلاص التكاليف وكمية الوقت المطلوب تعتبر أعظم من القيمة التي الممكنة التي تكسب من الاقتحام غير المعتمد.

وتساعد المقاييس الملائمة لأمن نظم المعلومات في تأكيد دقة وسلاسة الأداء الوظيفي لنظم المعلومات. إلي جانب ذلك فيما يتصل بالعوائد التي تعود بالنفع علي نظم المعلومات التجارية، فإن أمن نظم المعلومات قد يساعد في حماية البيانات والخصوصية الشخصية والملكية الفكرية لهذه النظم التي قد تخدم أيضا في تعزيز إجراءات الأمن المستهدفة. كما أنه من جهة أخري، أدي استخدام نظم المعلومات التجارية في جمع البيانات الشخصية وتخزينها وإحالتها أو الاتجار فيها إلي بزوغ الحاجة الملحة لحماية تلك النظم من الوصول إليها والاستخدام غير المعتمد لها. وتشتمل طرق حماية نظم المعلومات علي ضرورة التحقق من المستخدم لإضفاء الشرعية والصلاحية له، الرقابة علي الوصول لملفات البيانات والتحكم في النهايات الطرفية ومراجعة شبكة المعلومات. وفي العادة تساهم تلك المقاييس علي أمن نظم المعلومات وحماية البيانات والخصوصية الشخصية.

 ومن الممكن أن يساء استخدام بعض المقاييس المطبقة  والمكيفة لأمن المعلومات فيما يتصل بانتهاك الخصوصية الشخصية. علي سبيل المثال، من المحتمل أن الشخص المستخدم لنظام المعلومات رصد بياناته لغرض غير مرتبط بالأمن للحصول علي معلومات عنه  قد ترتبط ببياناته المالية والوظيفية والطبية وغيرها من البيانات الشخصية. وتعطي المبادئ والتوجيهات والمعايير التي تحدد لأمن وحماية خصوصية المعلومات الشخصية وتدفقها عبر حدود النظم بل والأمم توجيهات محددة في تحقيق واقع متوافق مع أهداف أمن نظم المعلومات وحماية خصوصية البيانات الشخصية، كما سوف يتعرض له في هذا العمل لاحقا.

وكما سبق بيانه، تتضمن نظم المعلومات الأجهزة، برامج الحاسب، قواعد البيانات، تصميمات ترتيب شرائح أشباه المعالجات Semiconductors ، البيانات والمعلومات، إلي جانب العناصر التي تحمى بواسطة قوانين الملكية الفكرية والصناعية. وتعتبر الملكية الفكرية في نظم المعلومات غير محسوسة وتتخطى الحدود الافتراضية غير المدركة وعرضة للهجمات الضارة، كما قد يقوي أمن نظم المعلومات حماية الملكية الفكرية بقصرها علي الوصول المعتمد والمصرح به لمكونات النظام كالبرمجيات أو المعلومات ذات الطابع التنافسي.  

4. متطلبات الأمن الطبيعي لنظم المعلومات

4-1 الأمن الطبيعي:

كما هو الحال مع مقاييس الأمن الأساسية المستخدمة في الأعمال المنزلية العادية، فإن الأمن الطبيعي لنظم المعلومات يعتبر متطلبا رئيسيا لابد من توافره لخدمة إنشاء بيئة وثقافة وصول مراقبة وممكنة ومعدة لحماية تعطل أو توقف نظام المعلومات بمكوناته المختلفة. وتتطلب المزاولات الأحسن لنظم أمن المعلومات تعريف التالي:

·        الأفراد الذين يدخلون مواقع نظام المعلومات كحجرة الكمبيوتر أو مركز المعلومات سواء كانوا يعملون بها أو مترددين عليها لوحدهم أو بطريقة جماعية في بعض الوقت أو كله.

·        الشروط والمزاولات المتعلقة باستبعاد أي من مكونات النظام التي لا تستخدم.

·        الشروط المحددة لنقل وتخزين الوسائل أو الوسائط الطبيعية كالأشرطة أو الأقراص الممغنطة، الأقراص المدمجة أو أقراص الفيديو الرقمية، الخ.

إضافة لما تقدم يجب تقديم المتطلبات الفورية للنظم مثل:

·        معدات الرقابة علي الوصول أو كروت التعريف والهوية.

·        أبواب ونقاط وصول أخرى مؤمنة.

·        مكتشفات الحرائق والمياه والدخان والإضاءة والدوائر التليفزيونية المغلقة.

·        إمدادات الطاقة المؤمنة والمساندة الملائمة.

·        الدواليب المغلقة وأدراج الكابلات وغير ذلك من المزاولات الهندسية المناسبة الأخرى.

وتعتبر هذه الأمور مهمة بصفة معينة عند توافر خدمات الحاسبات الآلية أو مراكز المعلومات من مصادر خارجية تختص بظاهرة "التعهيد Outsourcing" . وعلي أي حال فإن مراقبة أو مراجعة مقدم أو مورد الخدمة تصبح من المتطلبات والشروط الهامة التي يجب مراعاتها.

وكما سبق ذكره، يجب ألا يتطلب أمن المعلومات السماح للمتطفلين أو المهاجمين من الاتصال الطبيعي مع الحاسب الآلي وملحقاته. ويتحقق الأمن الطبيعي عندما تستخدم آليات إضافية عديدة في نمط فعال.

والأمن الطبيعي يكمل مع الترتيبات الطبيعية بواسطة تقديم إجراءات وأدوات وبرمجيات تتمثل في التالي:

·        هيكلة كيف يمكن الوصول للبيانات والمعلومات وبواسطة من.

·        إعداد نسخ إضافية مساندة لكل البرمجيات وملفات البيانات حتى تساند استعادتها مرة أخرى عند حدوث الكوارث أو الفقد.

·        تطبيق آليات تشفير ملائمة.

·        اكتشاف ثغرات وانتهاكات الأمن.

·        اكتشاف البرمجيات المعيارية المتعلقة بالنظم والبريد الإلكتروني والوسائل المختلفة.

4-2 عمليات التحقق من الأمن المستهدف:

 يمكن تحديد أربع أبعاد رئيسية تستهدفه نظم أمن المعلومات المختلفة التي تتمثل في التالي:

(1)       التعريف: Identification and Authentication

من يسمح له دخول النظام؟ يجب التحقق من ذلك من خلال ثلاث مداخل أساسية وممكنة هي:

1.    ضرورة إعلام أو إخبار الحاسب الآلي عن شي معرف: أسم الشخص أو كلمة المرور Password. وعلي الرغم من أن كلمات المرور سهلة التطبيق والتنفيذ، إلا أنها تشتمل علي بعض القصور، حيث يمكن إعطائها لطرف ثالث. كما يمكن أن تكون موضوعا لقواعد معقدة ترتبط بعدد الحروف والأعداد، وتتغير بصفة كل فترة زمنية، الخ. وفي هذه الحالات يوجد توجه قوي في كتابة كلمات المرور التي يمكنها البقاء وعدم إفشاء محتواها حتى عندما يعثر عليه شخص آخر.

2.    تقديم شيء ما مملوك للشخص للدخول في النظام كبطاقة هوية أو تعريف شخصي أو رمز ما، حيث يمكن أن يزداد أمن النظام بأن يطلب إضافة إلي كلمة المرور بعض أنواع المعدات الطبيعية ككارت أو بطاقة هوية أو رمز إلكتروني معين للسماح بالدخول.

3.    إعطاء النظام شيء ما خاص بالمستخدم يرتبط بالخواص الشخصية مثل بصمة الإصبع أو نمط ذبذبة الصوت الشخصي التي يطلق عليها القياسات البيولوجية Biometrics حيث يمكن استخدامها في بيئة مؤمنة. وعلي الرغم من أن التكنولوجيا المرتبطة بذلك معقدة وباهظة التكلفة، إلا أن استخدامها في تزايد مستمر.

(2)       الاعتماد:  ِAuthorization

    بمجرد معرفة النظام بالمستخدم الحقيقي، فإن السؤال التالي الطبيعي هو ما يسمح به لهذا الشخص؟  وعلي ذلك فإن عملية الاعتماد تعتمد الوصول إلي الموارد لهذا المستخدم. علي سبيل المثال، تحديد المعاملات أو البيانات التي يسمح له بها، وتلك التي يمكن للمستخدم تعديلها أو إضافتها. وتبني  مزايا الوصول المعتمد علي تحديد دور المستخدم ومسئولياته وحقوقه قبل النظام. وفي حالة مقدمي الخدمات المعلوماتية كالمكتبات، شركات التجارة الإلكترونية، الخ تقرر هذه المزايا بمعايير محددة تحددها العقود، الاتفاقات، الاشتراكات، أو حقوق الائتمان، الخ.

(3)       الإدارة: Administration

   تمثل الإدارة عملية حفظ سمات المستخدمين ، بالإضافة إلي تعريف أمن  مورد معين. ويشتمل ذلك علي أنشطة مثل استبعاد مزايا وصول مستخدم أو موظف ترك الخدمة، تغيير السمات، تحديد قائمة النظام لما يسمح به لمستخدم معين بعد الترقية أو النقل، الخ.

(4)       المراجعة: Audit  

  تمثل عملية المراجعة التأكد من أن مقاييس الأمن مقبولة في نظام عمل محدد. وفي هذا الصدد، لا توجد طريقة معينة لمعرفة مدي تجاوز المستخدم الاعتماد أو الاعتراف الممنوح له بدون تلك المراجعات، كما لا توجد طريقة أخري أيضا توضح أن مقاييس الأمن يجب أن تحدد وتقوى بدون معرفة أولية لنواحي القصور التي قد تتواجد فيها، وبذلك تعتبر عملية المراجعة تكملة أساسية