أمن المعلومات (معايير-)

أ ب ت ث ج ح خ د ذ ر ز س ش ص ض ط ظ ع غ ف ق ك ل م ن هـ و ي

أمن المعلومات (معايير-)

امن معلومات (معايير)

Information security standards - Normes de sécurité des informations

باسم صقور

تحليل القضايا الأمنية	أمن المعلومات
دراسة نقاط الضعف وتحليلها	سلسلة المعاييرISO 27000
الحد من شدة المخاطر	المعيارISO 27001
إدارة الأمن	منهجية تحليل المخاطرMEHARI

تتعامل الهيئات من منظمات حكومية أو شركات أو مؤسسات على اختلاف أحجامها مع كمٍّ كبير من المعلومات حيث تقوم بجمعها ومعالجتها ونقلها. وتساعد النظم الحاسوبية والشبكات على تزايد حجم المعلومات بقدر كبير؛ حيث ترتبط الهيئات داخلياً وخارجياً مع العالم أجمع. وبذلك تتيح النظم المعلوماتية للعديد من الجهات- من مورّدين وزبائن وشركاء وعملاء- إمكانية التعامل مع الخارج. ولكن ذلك قد يضعف قدرة مواجهة الهجمات المحتملة، ويُعرِّض النظم المعلوماتية للعديد من المخاطر، التي تتمثل بسرقة المعلومات أو سرقة الهوية، أو التسلل إلى النظم واستخدام مواردها أو تعطيلها. ويُعدّ تهديد أمن المعلومات information security من أهم المخاطر التي تواجهها الهيئات في هذا العصر، وأصبح من الضروري الاستثمار في تدابير حماية المعلومات وأمنها بوضع خطط أمنية لضمان سرية المعلومات وتكاملها. تُطبّق هذه الخطط الموثوقة بفضل توافر عدد من المعايير مثل ISO/IEC 27000 و W3C. حيث يهتم منتدى الوب العالمي W3C بجمع المعلومات المتعلقة بالجوانب الأمنية لتوصيف تقانات الوب وتنفيذها. وتقوم منظمة المعايير الدولية ISO بإصدار المعايير الدولية في عدة مجالات مثل سلسلة المعايير ISO/IEC 27000 المخصصة لتوصيف المسائل المتعلقة بأمن المعلومات.

إن نظم إدارة أمن المعلومات هي جزء من نظم الإدارة الشاملة، يعتمد منهجية دراسة المخاطر التي تتعرض لها المعلومات الاستراتيجية -الأصول- assets، وتتضمن إنشاء نظام أمن المعلومات وتنفيذه وتشغيله ومراقبته ومراجعته وصيانته وتحسينه.

أمن المعلومات

أمن المعلومات يشمل ثلاثة اتجاهات رئيسية، هي: السرية confidentiality، والمتاحية availability، والسلامة integrity. ويشمل أمن المعلومات تطبيق التدابير الأمنية المناسبة التي تعالج مجموعة واسعة من التهديدات threats وإدارتها ويجري تحقيق أمن المعلومات بتنفيذ مجموعة من الضوابط controls التي يمكن اختيارها بدراسة المخاطر risks التي تتعرض لها الأصول. ويتضمن ذلك السياسات والعمليات والإجراءات، والهياكل التنظيمية والبرامج والتجهيزات، وتحتاج هذه الضوابط إلى تحديد وتنفيذ ورصد ومراجعة لتحسينها عند الضرورة؛ بهدف ضمان الأهداف الأمنية والتجارية للهيئة. يقدّم المعيار ISO 27001 الضوابط الواجب توافرها للحدّ من المخاطر المعروفة.

سلسلة المعايير ISO 27000

يقدّم المعيار 27000 لمحة عامة عن أنظمة أمن المعلومات؛ إضافة إلى تحديد المصطلحات ذات الصلة وتوضيح استخدامها للتعبير عن المتطلبات. ويضم أيضاً شرحاً مبسطاً لنهج الإجرائيات process approach المستخدم لدراسة أمن المعلومات.

تتمثل آليات عمل الهيئات بتنفيذ عدد من النشاطات المترابطة؛ بحيث تستخدم إجرائية ما عدداً من الموارد للحصول على الخرج. ويمثل التناسق بين الإجرائيات استخدام خرج إجرائية دخلاً لإجرائية ثانية. ويشمل نهج الإجرائيات تنفيذ عدد من الإجرائيات بعد تحديدها وتعريف العلاقات بينها. اعتُمد هذا النهج لدراسة المخاطر التي تتعرض لها الأصول ولتصميم نظم أمن المعلومات ودراستها.

يُستخدم في تنفيذ نظم إدارة أمن المعلومات نهج الإجرائيات المشار إليه بالمختصر(PDCA) Plan-Do-Check-Act (الشكل 1)، وفيما يلي خطوات هذا النهج:

• التخطيط: إنشاء السياسات وتحديد الأهداف ووضع مخطط عمل والإجراءات المتعلقة بإدارة المخاطر وتحسين أمن المعلومات بعد تحليل وضع الهيئة المدروسة لتحقيق أمن المعلومات.

• التنفيذ: تنفيذ المخططات والضوابط التي تم وضعها.

• التحقق: قياس أداء الإجرائيات وتقييمه برصد مدى تحقيق الأهداف المرجوة والسياسات، وتوثيق النتائج لعرضها على الإدارة.

• التصحيح: تصحيح وتحسين، والتعلم من الأخطاء بغية تحسين الأنشطة بحيث تحقق نتائج أحسن.

يوضح الشكل (1) كيفية استخدام نهج الإجرائيات لتنفيذ نظام أمن معلومات بحيث يقوم بمعالجة احتياجات أمن المعلومات والتوقعات، ويقدم سلسلة من الأعمال والإجراءات الواجب تنفيذها لتحقيق المتطلبات.

تهدف هذه السلسلة من المعايير إلى:

الشكل (1): النهج PDCA المطبق على نظم أمن المعلومات.

• تحديد احتياجات نظم إدارة أمن المعلومات وطريقة تصديق النظم المحققة لهذه المعايير.

• تقديم دعم مباشر وتوجيهات وتفسير لتنفيذ المنهجية PDCA لتحديد الاحتياجات والإجرائيات.

• توجيهات لمعالجة أمن المعلومات ضمن قطاعات محددة.

• تقديم طرق التقييم لنظم أمن المعلومات.

وهي متوافقة مع المعايير ISO 9001 و ISO 1001 بغية تنفيذ نظم إدارة متكاملة مع معايير الإدارة وتشغيلها.

تضم هذه السلسلة عدداً من المعايير، ومن أهمها:

المعيار ISO 27000: وهو مخصص لأنظمة إدارة أمن المعلومات.

المعيار ISO 27001: ويحوي تعريف المتطلبات المعيارية لتطوير نظام إدارة أمن المعلومات وتنفيذها، وتقديم الضوابط للتحكم وتخفيف آثار المخاطر المرتبطة بالأصول. ويقدّم توجيهات لاختيار الممارسات التي يتضمنها المعيار 27002 وتطبيقها.

المعيار 27002 ISO: يزوّد بتوجيهات لتنفيذ ضوابط إدارة أمن المعلومات؛ وتقديمه جدولاً لهذه الممارسات، وعددها 133؛ إذ تم الاتفاق عالمياً على جودة هذه الممارسات.

المعيار ISO 27003: ويشمل تعريف التوجيهات العملية لتنفيذ نظام أمن المعلومات وتوجيهات لتنفيذ النهج PCDA.

المعيار ISO 27004: يقدم هذا المعيار تعريف المقاييس المستخدمة لتقييم نظم أمن المعلومات.

المعيار ISO 27005: ويعالج موضوع إدارة المخاطر، حيث يقدّم هذا المعيار توجيهات لطرق إدارة المخاطر ضمن الهيئات بما يتوافق مع الاحتياجات المعرّفة في المعيار 27001 لنظم إدارة أمن المعلومات. ويمكن تطبيقه لكل أنواع الهيئات، ولا يقترح استخدام منهجية محدّدة.

المعيار ISO 27006: يقدّم هذا المعيار الشروط للهيئات التي تقوم بمنح شهادات الإيزوISO لنظم إدارة أمن المعلومات وتدقيقها.

المعيار ISO 27007: ويضم مبادئ توجيهية للشركات التي تقوم بتدقيق أنظمة إدارة أمن المعلومات.
المعيار ISO 27008: وهو مبادئ توجيهية للتحقق من طرق حماية المعلومات.

يبين الشكل (2) سلسلة معايير أمن المعلومات والعلاقات فيما بينها.

الشكل (2): العلاقة بين معايير السلسلة 27000.

المعيار ISO 27001

يشمل هذا المعيار جميع أنواع الهيئات من شركات تجارية، ومؤسسات حكومية ومنظمات غير ربحية. ويقوم بتحديد الضوابط الواجب تنفيذها لتصميم منظومة إدارة أمن المعلومات وتنفيذها وتشغيلها ومراقبة صيانتها وتحسينها. وينبغي أن يكون اعتماد هذا المعيار قراراً استراتيجياً للهيئة بحيث تُصمّم المنظومة وتُنفذ وفق الاحتياجات والأهداف والمتطلبات الأمنية، وبما يناسب حجم المنظمة وهيكلها ووظيفتها، ويُتوقع تغيّر المتطلبات والمنظومات التي تخدمها مع مرور الزمن، ومن ثمّ تحجيم النظام الأمني وفقاً للمتغيّرات. يضمن اعتماد هيئة لهذا المعيار للمتعاملين معها- مثل العملاء والمساهمين والشركاء- بأن أمن نظم المعلومات قد تم تنفيذه على نحو فعال وأن الهيئة لديها عملية تحسين مستمرة لتحقيق أمن معلوماتها.

لإعداد نظام إدارة أمن المعلومات وفقاً للمعيار ISO 27001 أو تنفيذه؛ يجب:

• تعريف مدير المشروع.

• تحديد الميزانيات.

• تحليل المخاطر.

• تفعيل مشاركة الإدارة في عملية بناء سياسة الأمن.

• بناء نظام الإدارة.

• توعية الموظفين وتدريبهم وإجراء المراجعة الداخلية.

ويجري تنفيذ المراحل السابقة كافة وفق النهج PDCA، وذلك باتباع إحدى منهجيات تحليل المخاطر.

تقوم هيئة مختصة بالتحقق من مطابقة منظومة الإدارة للمعيار. وتقوم- في حال المطابقة الكاملة للمعيار- بتقديم شهادة مطابقة صالحة لمدة ثلاث سنوات. ويتضمن التحقق تحليل منظومة إدارة أمن المعلومات وفق مخطط سابق، وتحليل ممارسات الهيئة وفقاً لمتطلبات المعيار؛ للكشف عن عدم المطابقة للمعيار أو وجود ملاحظات على هذه الممارسات. وتقوم خلال فترة ثلاث سنوات بالقيام بعمليتي مراجعة.

مثال:

رمز الضابط	الهدف	الضابط
A.10.4.1	ضبط التطبيقات الخبيثة	وجود طرق كشف التطبيقات الخبيثة وحماية المعلومات واسترجاعها، وإجراءات لتوعية المستخدمين.
A.10.5.1	النسخ الاحتياطي	إجراء عمليات نسخ للمعلومات والبرمجيات وفحصها دورياً بما يتناسب مع سياسة النسخ الاحتياطي المتبعة.
A.10.8.3	وسائط نقل المعلومات الفيزيائية	يجب حمايتها من الاستخدام من الأشخاص غير المخولين وحماية المعلومات من سوء الاستخدام أو التعديل خارج الهيئة.

يتوفر عدد من المنهجيات لدراسة المخاطر وتحليلها، وتستخدم من الشركات التي تسعى إلى الحصول على مصادقة للمعيار 27001، ومنها EBIOS, RSSI Pilote, MEHARI, CRAMM, OCTAVE.

منهجية تحليل المخاطر MEHARI

وهي طريقة متوالفة لتحليل المخاطر method for harmonized analysis of risks أو اختصاراً MEHARI وتعد منهجية شاملة لإدارة المخاطر المتعلقة بالمعلومات وتقييمها وطرق معالجتها والموارد التي تستخدمها. ويمكن استخدام الجداول والمعلومات التي تقدمها هذه الطريقة على نحو حر؛ إذ إنها تتبع أحكام البرمجيات الحرة (المفتوحة المصدر). ويتطلب الحدّ من المخاطر في المرحلة الأولى تحديد الأصول الواجب حمايتها، ويُقصد بها المعلومات المهمة والعمليات الحيوية لعمل الهيئة. ومن ثم تنفيذ التدابير التنظيمية والتقنية لحماية هذه الأصول حمايةً مثلى، وذلك باستخدام التدابير والحلول لمواجهة التهديدات التي تتعرض لها المعلومات؛ والعمليات والعناصر التي تديرها أو تعالجها.

تحقق هذه المنهجية الشروط التي يفرضها المعيار ISO/IEC 27005 لإدارة المخاطر، ولذا يمكن أن تكون جزءاً من عملية التدقيق والتصديق لنظام أمن المعلومات بما يتوافق مع المعيار ISO/IEC 27001. تقوم المنهجية باتباع النهج PDCA الموصوف بسلسلة معايير أمن المعلومات، وذلك بتحديد المخاطر وتقييمها ضمن إطار وضع خطة أمن معلومات وسياسته (تخطيط)، وتقديم تعليمات دقيقة عن المخططات الواجب تنفيذها (تنفيذ)، ومراجعة المعلومات المتعلقة بنقاط الضعف (مراقبة)، واتباع منهجية دورية للتحسين (تحسين).

تحليل القضايا الأمنية

يُقصد بها تحديد الاختلال الوظيفي الذي يمكن أن يُسبّب أو يُسهم في خرقٍ للحماية؛ وتقييم مدى خطورته. ويُركز هذا التحليل كلياً على أهداف الهيئة وتطلعاتها، ولذا فهو يسمح بمساهمة واضعي السياسات والإدارة العليا للهيئة أو الكيان الذي تجري عليه الدراسة. ويستند إلى الموارد المقدّمة ضمن هذه المنهجية، والتي تضم وثائق مرجعية لتقييم أثر الاختلال في عمل الهيئة؛ إضافة إلى تصنيف رسمي لمعلومات نظم المعلومات ومواردها. وهو لا يعني إجراء مراجعة للأعطال الفعلية التي يمكن العثور عليها؛ ولكن التفكير في المخاطر الكبرى التي يتعرض لها الكيان وشدة عواقبها المحتملة.

وتضم المنهجية دليلاً لتحضير الوثائق المطلوبة للمصادقة على المعيار ISO 27001 وتنفيذها؛ إضافة إلى روابط مباشرة لتحليل مفصل للمخاطر.

دراسة نقاط الضعف وتحليلها

ويُقصد بذلك تحديد نقاط الضعف وأوجه القصور في الإجراءات الأمنية. وهو في الواقع تقييم كمّي لنوعية التدابير الأمنية التي توفرها المنهجية ضمن قاعدة بيانات موصوفة جيداً تضم الإجراءات الأمنية المعروفة كافة. ويجري تحديث هذه القاعدة تحديثاً مستمراً. وتحوي تقييم فعالية الخدمات الأمنية، إذ إن بعض التدابير أسهل من غيرها للخرق، وبعض التجهيزات والإجراءات مصمّمة لتقاوم مستويات مختلفة من الهجمات المختلفة؛ وهذا ما يجعلها أكثر أو أقل فعالية.

يؤدي تحليل نقاط الضعف في معظم الحالات إلى:

• التحقق من وجود نقاط ضعف غير مقبولة ومعالجتها بوضع خطط عمل فورية.

• تقييم فعالية التدابير المستخدمة وضمان كفاءتها: بفضل توفر قاعدة بيانات مرتبة بحسب المجالات والأدوات والأهداف مثل الحدّ من الأثر المحتمل لحالات الخطر أو لاحتمال وقوعها.

• إعداد تقرير للمخاطر الناجمة عن نقاط الضعف المحدّدة.

• المقارنة بالمعايير الدولية.

الحد من شدة المخاطر

يكون ذلك بتحديد الحالات التي قد تدعو إلى تعطل إحدى فعاليات شركة أو مؤسسة أو كيان داخلها، وذلك بتحديد المخاطر وتحليلها وتقييمها. وتُقدّم المعلومات التفصيلية التالية:

• احتمال المخاطر.

• عواقبها المحتملة.

• القبول بها أو رفضها.

• تحديد تدابير لتخفيف الخطر إلى مستوى مقبول.

يستهدف تحليل المخاطر عموماً ما يلي:

• تحديد التدابير الأكثر ملاءمة لبيئة الخطر وللمواضيع المتعلقة.

• تطوير إدارة المخاطر والتوثق من أن جميع المخاطر المهمة قد جرى تحديدها؛ وهذا ما يسمى سياسة إدارة الأمن عن طريق إدارة المخاطر.

• إدارة المخاطر لمشروع جديد وتحليلها (تقانة المعلومات، الأعمال التجارية، ..)

يُقدم للمنهجية دليل تنفيذي لترشيد عملية تحليل المخاطر وقواعد بيانات تضم:

• نموذج المخاطر والمقاييس المرتبطة بها.

• تقييم شدة حالات الخطر النموذجية (بغياب أي تدابير أمنية).

• تقييم العواقب المحتملة لحالة الخطر (بغياب أي تدابير أمنية).

• تقييم عوامل الحد من المخاطر استناداً إلى التدابير المستخدمة.

• أتمتة حساب مستوى شدة المخاطر.

إدارة الأمن

تهدف هذه الإدارة إلى وضع إطار منظّم لتحديد الأهداف السنوية أو خطط العمل بالاعتماد على مؤشراتٍ لمقارنة النتائج للأهداف من حيث النوعية والكمية والمدة الزمنية ووضع مؤشرات تسمح بقياس الأداء. وفي هذا المجال تقدّم المنهجية ما يلي:

• بيئة مناسبة لمناهج مختلفة وأنواع مختلفة من طرق إدارة الأمن.

• تطوير أساليب الإدارة الأمنية مع مرور الوقت.

• مواكبة تطور الهيئة وتطور طلبات الإدارة.

• مجموعة متنوعة من المؤشرات والملخصات لمستويات الضعف والمخاطر.

• مواضيع أمنية مهمة (16 مسألة ، ومنها التحكم في النفاذ، خطة احتياطية،...).

• متوافقة مع المعيار ISO 17799:2005 (المدرجة في المعيار ISO 27001).

• لوحة قيادة للمخاطر الحرجة.

تقدم المنهجية للمسؤولين عن أمن المعلومات ما يلي:

1. دعماً لتقييم المخاطر واختيار خطط السلامة.

2. بياناً للتصديق بحسب مواصفات المعيار 27005 ISO / IEC.

3. تكاملها مع الإجرائيات الموصى بها في المعيار ISO / IEC 27001.

4. معلومات تفصيلية عن العلاقة بين المخاطر وخيارات العلاج المناسبة.