تقارير أمنية

أمن المعلومات لدى وكالة الأمن القومي الأمريكي

المجد- خاص

بدأ الاهتمام مؤخراً في الشرق الأوسط والعالم العربي بأمن المعلومات، لكن هذا الاهتمام مازال بطيئاً نسبياً مقارنة بباقي المجالات وللأسف هنالك نقصٌ في طرق ومعايير تقييم تأمين تقنية المعلومات، بالإضافة لعدم الوعي الكافي بطبيعة مشاكل أمن المعلومات.

وقد سبقت الولايات المتحدة الأمريكية العالم في مجال الحماية الالكترونية بطريقة منظمة فأوكلت لوكالة الأمن القومي الأمريكي NSA  مهمة الحماية وفق نظام سنتطرق إليه بعد قليل.

وقد أنشأت وكالة الأمن القومي الأمريكي الخاص نظاماً خاصاً بتقييم أمن المعلومات بطريقة منهجية وهو عبارة عن تحليل معياري وتفصيلي لأمن معلومات أي مؤسسة وطريقة منظمة لاختبار الثغرات الأمنية من وجهة نظر ادارة أمنية وليس من وجهة نظر تقنية فقط.

وتم تطوير هذا النظام واختباره من قبل وكالة الأمن القومي الأمريكية على حكومة الولايات المتحدة الأمريكية منذ عام 1997 وأصبح متوفراً للعامة بصورة تجارية عام 2001.

وتشير التقارير الأمريكية إلى أن تطوير نظام منهجية تقييم أمن المعلومات كان نتاج للخبرة التي يتمتع بها CIA في مجال تقييم أنظمة أمن المعلومات للحكومة الامريكية منذ ما يقارب 15 عام، والتقييم شامل لنقاط قوة أنظمة المعلومات ونقاط ضعفها، ويحتوي على توصيات تفصيلية لحذف أو لمعالجة الأمور الأمنية التي يتعرف عليها التقييم.

مراحل التقييم:

النموذج يتم عن طريق فريق من الأفراد يراجعون أمن أنظمة المعلومات للتعرف على الثغرات ولاقتراح طرق لمعالجتها وعملية التقييم تحتوي على ثلاثة مراحل هي:

1-     مرحلة ما قبل التقييم.

2-     زيارة الموقع.

3-      ما بعد التقييم.

 مرحلة ما قبل التقييم:

في مرحلة ما قبل التقييم يقوم الفريق بجمع متطلبات المؤسسة وفهم معلوماتها عن طريق إجراء مقابلات مع الجهات الإدارية في المؤسسة بالإضافة إلي تحديد النظام الذي سوف يتم اختباره.

وبمشاركة إدارة المؤسسة يتم إعداد خطة التقييم المعلومات التي يتم جمعها في هذه المرحلة تقدم فهماً كاملاً لأهداف المؤسسة ورسالتها حيث يقوم الفريق بتحديد كل المعلومات المهمة وكل الاقتراحات والضوابط.

بعد ذلك يقوم الفريق بعمل نطاق التقييم ويحصل على الوثائق المتعلقة بالنظام لمراجعتها، وتصبح مخرجات هذه المرحلة النقاط الرئيسية لخطة التقييم بالإضافة للتحضير للمرحلة الثانية وهي الزيارة الميدانية للأنظمة.

الزيارة الميدانية للأنظمة:

في هذه المرحلة التي تعتبر مكملة للمرحلة السابقة الفريق يجمع معلومات عن طريق المقابلات مقابلات المرحلة الثانية تكون مع المستخدمين وموظفين الشركة ومن خلالها يتم معرفة النظام معرفة كاملة ومعرفة الطرق المستخدمة، وهذا ما يؤدي إلي تقرير قوي وجيد، أيضاً يتم مراجعة الوثائق المتعلقة بالنظام وإجراء تحليل مبدئي.

مرحلة ما بعد التقييم:

وهي المرحلة الأخيرة وتعتبر أهم مرحلة حيث يتم فيها مراجعة إضافية لوثائق النظام والقيام بتحليلات إضافية للمعلومات التي تم جمعها من الزيارة التي تمت في المرحلة السابقة وأخيراً تحضير التقرير النهائي وعرض ما تم إيجاده على إدارة المؤسسة.

نموذج تقييم المخاطر يشمل:

1-     الوثائق المتعلقة بأمن المعلومات.

2-     مسؤوليات وأدوار أمن المعلومات.

3-     تحديد الهوية والتوثيق، إدارة الحسابات.

4-      التحكم في الجلسات.

5-      الاتصالات.

6-      المراجعة والحماية من الفيروسات.

7-      خطط الطوارئ.

8-      الصيانة.

9-      إدارة الإعدادات.

10- النسخ الاحتياطي.

11-  التخلص من الوسائط.

12-  البيئة الفيزيائية.

13-  أمن الأفراد.

14-  التوعية الامنية والدورات التدريبية.

عدد من المؤسسات الحكومية والمؤسسات الخاصة في الولايات المتحدة الأمريكية  قامت باستخدام هذا النموذج مما ساعدها في تحقيق الأهداف الخاصة بمهامها والتركيز عليها وتقييم وثائق أمنها.

وأظهرت هذه المؤسسات ارتياحاً لاستخدام هذا النموذج، فهو فعال ويُعتمد عليه حيث أن وكالة الأمن القومي من الوكالات ذات مكانة عالية وتعتبر خبيرة في المجال.

ويؤكد بريان كلاين أن هذا النموذج يقدم خطوات تساعد في تأمين معلومات المؤسسات الحرجة من خلال التأكد أن إجراءات التأمين تم تطبيقها بشكل جيد.

 

مقالات ذات صلة