‫سياسة أمن المعلومات‬

‫‪Information Security Policy‬‬

‫تعريف سياسة امن المعلومات ‪:Definition of Security Policy‬‬

‫هي عب ارة عن تعب ير رس مي يقص د ب ه مجموع ة القواع د والق وانين ال تي يتم تطبيقه ا عن د‬
‫التعامل مع المعلومات والتقنيات المرتبطة بها داخل المنشأة فهي توضح ما هو مسموح به‬
‫وم ا ال يس مح ب ه‪ .‬ترتب ط سياس ة أمن المعلوم ات بط رق الوص ول للمعلوم ات وإ دارته ا‬
‫والعمليات عليها‪.‬وهي ُتعنى بتعريف المعامالت والحلول األمنية تجاه كل معاملة ولكنها ال‬
‫تهتم بكيفي ة ص ياغة وهندس ة ه ذه الحل ول‪ .‬يتم تعزي ز سياس ة أمن المعلوم ات‪،‬في مرحل ة‬
‫التطبيق نظام أمن المعلومات‪ ،‬بواسطة مجموعة اإلجراءات واالدوات والطرق التي يص طلح‬
‫على تس ميتها بـ "‪ "Security Mechanisms‬وال تي تمث ل اآللي ات لتط بيق سياس ات أمن‬
‫المعلومات‪.‬‬
‫أهداف سياسة أمن المعلومات‪Goals Security Policy‬‬
‫‪ -‬ترجمة وتوضيح األمن كما تم تعريفه في القواعد والمبادئ واألهداف العليا للمنظمة‬
‫‪ -‬تعري ف المس تخدمين بمس ؤولياتهم وواجب اتهم تج اه أمن نظم المعلوم ات وال ذي يتض من‬
‫األفراد ‪،‬األجهزة‪،‬البرامج‪،‬المعومات‪...‬الخ‬
‫‪ -‬بي ان اإلج راءات ال تي يجب إتباعه ا لتف ادي المخ اطر والمه ددات والتعام ل معه ا إذا م ا‬
‫وقعت‬
‫‪ -‬تحديد اآلليات التي يتم من خاللها تنفيذ وتحقيق المسؤوليات والواجبات لكل مستخدم‬
‫خصائص ومميزات سياسة األمن‪Security Policy Characteristics of‬‬
‫‪ -‬يجب أن تكون مناسبة اقتصاديا (ذات جدوى اقتصادية)‬

‫‪1‬‬
 ‫‪ -‬يجب أن تكون مفهومة للمستخدمين‬
‫‪ -‬يجب أن تكون واقعية تتناسب مع واقع المنظمة‬
‫‪ -‬يجب أن تكون متناغمة مع أهداف المنظمة‬
‫‪ -‬يجب أن تكون مرنة وقابلة للمعالجة‬
‫‪ -‬يجب أن توفر حماية معقولة ألهداف اإلدارة المعلنة‬
‫‪ -‬يجب أن تك ون مس تقلة أي (ال تعتم د على أجه زة ‪ Hardware‬وال ب رامج ‪Software‬‬
‫محددة)‬
‫أما خصائص سياسة األمن الجي دة ‪Characteristic of Good Security‬‬
‫‪Policy‬‬
‫يجب أن تك ون قابل ة للتط بيق‪ Implementable‬من خالل اإلج راءات والتوجيه ات‬ ‫‪-‬‬
‫اإلدارية‬
‫يجب تدعيمها باألدوات األمنية والقوانين والمراسيم اإلدارية‬ ‫‪-‬‬
‫يجب تحديد المسؤوليات على كل مستويات الهيكل التنظيمي‬ ‫‪-‬‬
‫يجب أن تكون موزعة‪ Distributed‬على كل وحدات المنظمة‬ ‫‪-‬‬
‫يجب أن تكون موثقة‪( Documented‬للمرجعية)‬ ‫‪-‬‬
‫يجب أن تكون مرنة وفعالة ألطول فترة ممكنة وحتى تتحقق هذه الخاصية فالبد من أن‬ ‫‪-‬‬
‫عن أي ‪ Hardware‬أو ‪ Software‬الن ه ذين‬ ‫تك ون مس تقلة ‪Independent‬‬
‫العنصرين يتغيران بشكل سريع‪.‬‬
‫مكونات سياسة األمن ‪:Security Policy Composition‬‬
‫تتكون إستراتيجية أمن المعلومات من ثالث مكونات هي‪:‬‬

‫‪2‬‬
‫اإلس تراتيجية نفس ها وال تي توث ق ل دوافع حماي ة المؤسس ة لبياناته ا وم ا هي ه ذه البيان ات‬ ‫‪.1‬‬
‫والتي يمكن بناءها في الخطوات التالية‪:‬‬
‫تحديد المادة ‪( Subject‬الموضوع ) محل االهتمام والمراد عمل اإلستراتيجية له‬ ‫‪-‬‬
‫ما هي العمليات والنشاطات المسموح بها وما هي المرفوضة(غير المسموح بها) ولمن‬ ‫‪-‬‬
‫من المستخدمين‬
‫تحديد األشخاص (المستخدمين) المتأثرين بهذه اإلستراتيجية‬ ‫‪-‬‬
‫تحديد كيفية تطبيق اإلستراتيجية في بيئة المنظمة‬ ‫‪-‬‬
‫تحديد المخاطر المتوقعة في البيئة المحددة‬ ‫‪-‬‬
‫تحديد وتصنيف البيانات وموارد النظام‬ ‫‪-‬‬
‫تحديد خدمات األمن األساسية في بيئة المنظمة‬ ‫‪-‬‬
‫تحديد قائمة بالسياسات التي تم إنشاءها‬ ‫‪-‬‬
‫إنشاء تحليل النسياب البيانات المصنفة منذ مرحلة اإلنشاء وحتى الحذف من النظام‬ ‫‪-‬‬
‫توثيق اإلستراتيجية‬ ‫‪-‬‬
‫وهي توث ق لماهي ة المقاص د المنش ودة لتط بيق وإ دارة أمن‬ ‫المع ايير ‪Standard‬‬ ‫‪.2‬‬
‫المعلومات في المنظمة‪.‬‬
‫اإلجراءات ‪ Procedures‬وهي توثق للكيفي ة التي تنجز به ا المنظم ة المتطلبات‬ ‫‪.3‬‬
‫المفروض ة بالمع ايير واإلس تراتيجيات‪.‬وهي األدوات ال تي به ا يتم تحوي ل السياس ات إلى‬
‫أحداث وعمليات‪.‬‬
‫بع د إنش اء السياس ات يجب توزيعه ا على ك ل مس تويات الهيك ل التنظيمي (مس تخدمين ‪,‬‬
‫موظفين ‪,‬اإلدارة ‪ ,‬الزبائن ‪,‬االستشاريين ‪...‬الخ‪.‬‬

‫‪3‬‬
‫لضمان صالحية السياسات يجب تعهدها بالمراجعة المستمرة وذلك بتحديث آلياتها وأدواتها‬
‫ويجب عكس التغييرات في بيئة عمل المنظمة على سياسات التأمين أول بأول‪.‬‬
‫مسألة‪:‬‬
‫نص السياسة‪:‬‬
‫يمنع أي طالب من اإلطالع أو النسخ لملفات الواجبات الدراسية‪ ،‬المخزنة بالحواسيب داخل‬
‫المعمل ‪،‬والخاصة بغيره من الطالب‪.‬إذا فشل الطالب في استخدام اآللية التي توفر له حماية‬
‫ملفات ه وتم االطالع عليه ا ونس خها من قب ل ط الب آخ ر ف ان الط الب األخ ير يك ون ق د اخ ترق‬
‫السياس ة المس ماة (سياس ة س رية ملف ات الطالب في معم ل الحاس ب بجامع ة الس ودان)‬
‫والمفروضة من قبل إدارة المعمل‪.‬‬
‫اسم اإلستراتيجية‪:‬‬
‫سياسة سرية ملفات الطالب في معمل الحاسب بجامعة السودان‬
‫المادة المستهدفة بالسياسة‪ :‬الملفات الدراسية للطالب‬
‫النشاطات المسموح بها والمرفوضة ومن هم المستخدمين‬
‫الصالحية‬ ‫المستخدم‬ ‫النشاط‬
‫يسمح له‬ ‫الطالب مالك الملفات‬ ‫االطالع والنسخ‬
‫ال يسمح لهم‬ ‫بقية الطالب‬
‫يسمح له‬ ‫مدير المعمل‬ ‫الحذف والتعديل‬
‫ال يسمح لهم‬ ‫كل الطالب‬
‫يسمح له‬ ‫مدير المعمل‬ ‫إعطاء الصالحيات‬
‫ال يسمح لهم‬ ‫كل الطالب‬
‫النشاطات المسموح بها وغير المسموح بها‬

‫‪4‬‬
 ‫األشخاص المتأثرين بالسياسة‪:‬‬
‫مدير المعمل‪,‬موظف المعمل‪,‬الطالب‪,‬األستاذ المشرف على دراسة الطالب‬
‫كيفية تطبيق اإلستراتيجية في بيئة المنظمة‪:‬‬
‫تطبق اإلستراتيجية أوال بالتحقق من الطالب عند دخول المعمل ‪,‬بواسطة موظف المعمل‪,‬‬
‫وذل ك ب إبراز بطاق ة الهوي ة‪.‬وثاني ا ب التحقق ‪ Authentication‬االلك تروني ال ذي يح دث عن‬
‫بداية دخول الحاسب حيث يطلب الحاسب اسم الدخول وكلمة المرور التي يتم منحها للطالب‬
‫بواسطة مدير المعمل ‪.‬‬
‫المخاطر المتوقعة في بيئة المعمل ‪:‬‬
‫ُيتوقع حدوث المخاطر التالية‪:‬‬
‫‪ -‬انتحال شخصية الطالب عند الدخول للمعمل‬
‫‪ -‬فقدان بطاقة الهوية ووقوعها في يد طالب آخر‬
‫‪ -‬سرقة اسم المستخدم وكلمة المرور‬
‫‪ -‬تسرب اسم المستخدم وكلمة المرور‬
‫‪ -‬عدم مراجعة مسؤول المعمل لحيازات الطالب‬
‫‪ -‬عدم تأكيد الطالب على إجراءات الخروج (‪)Logout‬وترك الحاسب والملفات مفتوحة‬
‫‪ -‬قابلية كشف ملفات الطالب باستخدام اسم المستخدم وكلمة المرور الخاصة بمدير النظام‬
‫ذو الصالحيات الواسعة‬
‫‪ -‬سرقة الطالب لوحدات تخزين البيانات في غياب مسؤول المعمل‬
‫‪ -‬إمكانية استخدام الشبكات في الدخول ألجهزة المعمل ونسخ الملفات‬
‫تحديد وتصنيف المعلومات وموارد النظام‬
‫‪ -‬ملفات وقوائم مستخدمي المعمل المخزنة في الحاسب أو على الورق(عالية السرية)‬

‫‪5‬‬
 ‫‪ -‬ملفات الطالب المخزنة في الحاسب(عالية السرية)‬
‫‪ -‬ملفات الدخول والمراجعة الموجودة في الحاسب (‪( )Auditing‬متاحة لموظف المعمل‬
‫ومدير المعمل)‬
‫‪ -‬دفاتر سجالت الزوار (متاحة لموظف المعمل فقط)‬
‫‪ -‬دفاتر سجالت حضور الطالب (متاحة لألستاذ فقط)‬
‫‪ -‬األقراص الصلبة والمرنة واالسطوانات(متاحة لموظف المعمل)‬
‫‪ -‬الطابعات وماكينات التصوير وماسحات الصور(متاحة للجميع)‬
‫‪ -‬وصالت ومفاتيح الشبكات(متاحة لموظف المعمل)‬
‫خدمات األمن األساسية في بيئة المنظمة‬
‫‪ -‬ال دخول لوح دة المعام ل ال يتم إال من قب ل الطالب المس موح لهم وحس ب زمن ج دول‬
‫المحاضرات‬
‫‪ -‬ال يقبل اصطحاب األطفال والزوار‬
‫‪ -‬صيانة المعامل تتم فقط بواسطة فرقة الدعم الفني في وحدة المعامل وبواسطة أشخاص‬
‫محددين‬
‫انسياب البيانات المصنفة منذ مرحلة اإلنشاء وحتى الحذف من النظام‬
‫‪ -‬يتم إنشاء البيانات بواسطة الطالب مع إمكانية قراءتها ونسخها وتعديلها‬
‫‪ -‬تح ذف الملف ات بواس طة فرق ة الص يانة أو مس ؤول المعم ل وذل ك فق ط بع د نهاي ة الع ام‬
‫الدراسي بعد إخطار الطالب واألستاذ‬
‫المعايير ‪Standard‬‬
‫‪ -‬تحقيق نسبة تأمين ‪ %100‬لملفات الطالب الدراسية ألنها تمثل أداء الطالب خالل العام‬
‫‪ -‬ضبط األداء بالمعمل للحفاظ على سرية ملفات كل طالب‬

‫‪6‬‬
 ‫اإلجراءات‪Procedure‬‬
‫‪ -‬التحكم في الدخول والخروج بواسطة بطاقات الهوية وملفات المراجعة وقوائم الحضور‬
‫والغياب‬
‫‪ -‬فرض إجراءات التحقق ‪ Authentication‬لدخول نظام الحاسب‬
‫‪ -‬تفعيل مراقبة النظام باستخدام ملفات المراجعة ‪Audits‬‬

‫تمارين‪:‬‬
‫‪ -‬عرف مفهوم سياسة أمن المعلومات‬
‫‪ -‬ما هو الهدف من وضع سياسة أمن المعلومات‬
‫‪ -‬ما هي خصائص سياسة أمن المعلومات الناجحة‬
‫‪ -‬ما هي مكونات سياسة أمن المعلومات‬
‫‪ -‬كي ف تخط ط لوض ع سياس ة أمن معلوم ات ناجح ة لنظ ام معلوم ات مكتب ك الخ اص ال ذي‬
‫يحت وي الكتب الدراس ية والثقافي ة وأجه زة الحاس ب الخاص ة ب ك(حاس ب‪,‬طابع ة‪,‬ماس ح‬
‫الصور ‪...‬الخ‬

‫تمارين‪:‬‬
‫‪ -‬عرف ما هي سياسة أمن المعلومات‬
‫‪ -‬كيف يمكن أن تكون سياسة امن المعلومات مرنة‬
‫‪ -‬كيف يمكن تكوين ساسة امن المعلومات‬

‫‪7‬‬