Professional Documents
Culture Documents
D8b3d98ad8a7d8b3d987 D8a7d985d986 D8aa Information Security Policy
D8b3d98ad8a7d8b3d987 D8a7d985d986 D8aa Information Security Policy
1
-يجب أن تكون مفهومة للمستخدمين
-يجب أن تكون واقعية تتناسب مع واقع المنظمة
-يجب أن تكون متناغمة مع أهداف المنظمة
-يجب أن تكون مرنة وقابلة للمعالجة
-يجب أن توفر حماية معقولة ألهداف اإلدارة المعلنة
-يجب أن تك ون مس تقلة أي (ال تعتم د على أجه زة Hardwareوال ب رامج Software
محددة)
أما خصائص سياسة األمن الجي دة Characteristic of Good Security
Policy
يجب أن تك ون قابل ة للتط بيق Implementableمن خالل اإلج راءات والتوجيه ات -
اإلدارية
يجب تدعيمها باألدوات األمنية والقوانين والمراسيم اإلدارية -
يجب تحديد المسؤوليات على كل مستويات الهيكل التنظيمي -
يجب أن تكون موزعة Distributedعلى كل وحدات المنظمة -
يجب أن تكون موثقة( Documentedللمرجعية) -
يجب أن تكون مرنة وفعالة ألطول فترة ممكنة وحتى تتحقق هذه الخاصية فالبد من أن -
عن أي Hardwareأو Softwareالن ه ذين تك ون مس تقلة Independent
العنصرين يتغيران بشكل سريع.
مكونات سياسة األمن :Security Policy Composition
تتكون إستراتيجية أمن المعلومات من ثالث مكونات هي:
2
اإلس تراتيجية نفس ها وال تي توث ق ل دوافع حماي ة المؤسس ة لبياناته ا وم ا هي ه ذه البيان ات .1
والتي يمكن بناءها في الخطوات التالية:
تحديد المادة ( Subjectالموضوع ) محل االهتمام والمراد عمل اإلستراتيجية له -
ما هي العمليات والنشاطات المسموح بها وما هي المرفوضة(غير المسموح بها) ولمن -
من المستخدمين
تحديد األشخاص (المستخدمين) المتأثرين بهذه اإلستراتيجية -
تحديد كيفية تطبيق اإلستراتيجية في بيئة المنظمة -
تحديد المخاطر المتوقعة في البيئة المحددة -
تحديد وتصنيف البيانات وموارد النظام -
تحديد خدمات األمن األساسية في بيئة المنظمة -
تحديد قائمة بالسياسات التي تم إنشاءها -
إنشاء تحليل النسياب البيانات المصنفة منذ مرحلة اإلنشاء وحتى الحذف من النظام -
توثيق اإلستراتيجية -
وهي توث ق لماهي ة المقاص د المنش ودة لتط بيق وإ دارة أمن المع ايير Standard .2
المعلومات في المنظمة.
اإلجراءات Proceduresوهي توثق للكيفي ة التي تنجز به ا المنظم ة المتطلبات .3
المفروض ة بالمع ايير واإلس تراتيجيات.وهي األدوات ال تي به ا يتم تحوي ل السياس ات إلى
أحداث وعمليات.
بع د إنش اء السياس ات يجب توزيعه ا على ك ل مس تويات الهيك ل التنظيمي (مس تخدمين ,
موظفين ,اإلدارة ,الزبائن ,االستشاريين ...الخ.
3
لضمان صالحية السياسات يجب تعهدها بالمراجعة المستمرة وذلك بتحديث آلياتها وأدواتها
ويجب عكس التغييرات في بيئة عمل المنظمة على سياسات التأمين أول بأول.
مسألة:
نص السياسة:
يمنع أي طالب من اإلطالع أو النسخ لملفات الواجبات الدراسية ،المخزنة بالحواسيب داخل
المعمل ،والخاصة بغيره من الطالب.إذا فشل الطالب في استخدام اآللية التي توفر له حماية
ملفات ه وتم االطالع عليه ا ونس خها من قب ل ط الب آخ ر ف ان الط الب األخ ير يك ون ق د اخ ترق
السياس ة المس ماة (سياس ة س رية ملف ات الطالب في معم ل الحاس ب بجامع ة الس ودان)
والمفروضة من قبل إدارة المعمل.
اسم اإلستراتيجية:
سياسة سرية ملفات الطالب في معمل الحاسب بجامعة السودان
المادة المستهدفة بالسياسة :الملفات الدراسية للطالب
النشاطات المسموح بها والمرفوضة ومن هم المستخدمين
الصالحية المستخدم النشاط
يسمح له الطالب مالك الملفات االطالع والنسخ
ال يسمح لهم بقية الطالب
يسمح له مدير المعمل الحذف والتعديل
ال يسمح لهم كل الطالب
يسمح له مدير المعمل إعطاء الصالحيات
ال يسمح لهم كل الطالب
النشاطات المسموح بها وغير المسموح بها
4
األشخاص المتأثرين بالسياسة:
مدير المعمل,موظف المعمل,الطالب,األستاذ المشرف على دراسة الطالب
كيفية تطبيق اإلستراتيجية في بيئة المنظمة:
تطبق اإلستراتيجية أوال بالتحقق من الطالب عند دخول المعمل ,بواسطة موظف المعمل,
وذل ك ب إبراز بطاق ة الهوي ة.وثاني ا ب التحقق Authenticationااللك تروني ال ذي يح دث عن
بداية دخول الحاسب حيث يطلب الحاسب اسم الدخول وكلمة المرور التي يتم منحها للطالب
بواسطة مدير المعمل .
المخاطر المتوقعة في بيئة المعمل :
ُيتوقع حدوث المخاطر التالية:
-انتحال شخصية الطالب عند الدخول للمعمل
-فقدان بطاقة الهوية ووقوعها في يد طالب آخر
-سرقة اسم المستخدم وكلمة المرور
-تسرب اسم المستخدم وكلمة المرور
-عدم مراجعة مسؤول المعمل لحيازات الطالب
-عدم تأكيد الطالب على إجراءات الخروج ()Logoutوترك الحاسب والملفات مفتوحة
-قابلية كشف ملفات الطالب باستخدام اسم المستخدم وكلمة المرور الخاصة بمدير النظام
ذو الصالحيات الواسعة
-سرقة الطالب لوحدات تخزين البيانات في غياب مسؤول المعمل
-إمكانية استخدام الشبكات في الدخول ألجهزة المعمل ونسخ الملفات
تحديد وتصنيف المعلومات وموارد النظام
-ملفات وقوائم مستخدمي المعمل المخزنة في الحاسب أو على الورق(عالية السرية)
5
-ملفات الطالب المخزنة في الحاسب(عالية السرية)
-ملفات الدخول والمراجعة الموجودة في الحاسب (( )Auditingمتاحة لموظف المعمل
ومدير المعمل)
-دفاتر سجالت الزوار (متاحة لموظف المعمل فقط)
-دفاتر سجالت حضور الطالب (متاحة لألستاذ فقط)
-األقراص الصلبة والمرنة واالسطوانات(متاحة لموظف المعمل)
-الطابعات وماكينات التصوير وماسحات الصور(متاحة للجميع)
-وصالت ومفاتيح الشبكات(متاحة لموظف المعمل)
خدمات األمن األساسية في بيئة المنظمة
-ال دخول لوح دة المعام ل ال يتم إال من قب ل الطالب المس موح لهم وحس ب زمن ج دول
المحاضرات
-ال يقبل اصطحاب األطفال والزوار
-صيانة المعامل تتم فقط بواسطة فرقة الدعم الفني في وحدة المعامل وبواسطة أشخاص
محددين
انسياب البيانات المصنفة منذ مرحلة اإلنشاء وحتى الحذف من النظام
-يتم إنشاء البيانات بواسطة الطالب مع إمكانية قراءتها ونسخها وتعديلها
-تح ذف الملف ات بواس طة فرق ة الص يانة أو مس ؤول المعم ل وذل ك فق ط بع د نهاي ة الع ام
الدراسي بعد إخطار الطالب واألستاذ
المعايير Standard
-تحقيق نسبة تأمين %100لملفات الطالب الدراسية ألنها تمثل أداء الطالب خالل العام
-ضبط األداء بالمعمل للحفاظ على سرية ملفات كل طالب
6
اإلجراءاتProcedure
-التحكم في الدخول والخروج بواسطة بطاقات الهوية وملفات المراجعة وقوائم الحضور
والغياب
-فرض إجراءات التحقق Authenticationلدخول نظام الحاسب
-تفعيل مراقبة النظام باستخدام ملفات المراجعة Audits
تمارين:
-عرف مفهوم سياسة أمن المعلومات
-ما هو الهدف من وضع سياسة أمن المعلومات
-ما هي خصائص سياسة أمن المعلومات الناجحة
-ما هي مكونات سياسة أمن المعلومات
-كي ف تخط ط لوض ع سياس ة أمن معلوم ات ناجح ة لنظ ام معلوم ات مكتب ك الخ اص ال ذي
يحت وي الكتب الدراس ية والثقافي ة وأجه زة الحاس ب الخاص ة ب ك(حاس ب,طابع ة,ماس ح
الصور ...الخ
تمارين:
-عرف ما هي سياسة أمن المعلومات
-كيف يمكن أن تكون سياسة امن المعلومات مرنة
-كيف يمكن تكوين ساسة امن المعلومات
7