الأسبوع الأول - ترجمة قطعة القراءة الثالثة: لا يقتصر الأمر على تكنولوجيا المعلومات فقط.

الدورات عن بعد- الهيئة المستقلة للانتخاب
poll
-A A +A

الفصل 2 من مقدمة في مجال أمن المعلومات و ISO27001:2013، بقلم ستيف ج. واتكينز، من قبل إدارة حوكمة تكنولوجيا المعلومات (2013) ، ينظر في النطاق الموسع لأمن المعلومات.


يعمل هذا الفصل القصير كجسر لموضوعنا التالي الذي يبحث في نموذج أكثر شمولاً يمكن تطبيقه على المنظمات في سياق أمن المعلومات؛ هذا هو النموذج المرجعي لضمان المعلومات وأمنها (RMIAS) والذي تم اقتراحه في عام 2013 لتغطية العديد من وجهات النظر المختلفة التي يمكن استخدامها لتصور ووصف نطاق أمن المعلومات في سياق المنظمات.


الفصل 2: لا يقتصر الأمر على تكنولوجيا المعلومات فقط

https://www.jstor.org/stable/j.ctt5hh3wf.6

ثلاثي CIA
ثلاثي CIA - السرية والنزاهة والتوافر هو نموذج راسخ في مجال أمن المعلومات، ويوجد صورة لهذا متاحة على ويكيبيديا. يركز نموذج ثلاثي CIA على ثلاثة جوانب رئيسية:


●    السرية: يجب أن يضمن النظام وصول المستخدمين المُخوّلين فقط إلى المعلومات؛ يتم تخزين تلك المعلومات أو نقلها لضمان عدم تمكن المستخدمين غير المُخوّلين من الوصول إليها.
●    النزاهة: يجب أن يضمن النظام في جميع مكوناته اكتمال ودقة وغياب التعديلات غير المُصرّح بها.
●    التوافر: يجب أن يكون النظام متوافر ويعمل بما في ذلك جميع مكوناته عندما يطلبها أي مستخدم مُخوّل.

ربما نحتاج إلى تعريف بعض المصطلحات!


المستخدم المُخوّل - مستخدم (شخص أو نظام) تمت مصادقته. بمجرد مصادقة المستخدم، يكون لديه مستوى معين من التفويض (على سبيل المثال القدرة على العرض والتغيير والحذف والإدارة وما إلى ذلك) والتي يتم تحديدها والتحقق منها بواسطة النظام.


المصادقة - آلية (بروتوكول) يتم من خلالها تحديد هوية المستخدم واستخدام بعض الرموز المميزة لإثبات هويته. ستكون على دراية بهذا الأمر عند استخدام اسم مستخدم وكلمة مرور للوصول إلى Coursera. لقد قمت بالتسجيل في هذه الدورة، وبالتالي أنت مرتبط بها ويمكنك الوصول إليها لعرض المحتوى وإجراء التغييرات (المشاركة في الاختبارات والمناقشات). يمكن أن تتخذ المصادقة العديد من الأشكال بما في ذلك القياسات الحيوية (أي استخدام السمات البيولوجية مثل الوجه والقزحية والبصمة وما إلى ذلك). سنتحدث أكثر عن المصادقة خلال الأسبوع الثالث من الدورة.


نحتاج إلى التأكد من صحة المعلومات أو البيانات التي نصل إليها، والتي يتم تحقيقها من خلال آليات تكامل مختلفة. يحدد تعريفنا "غياب التعديلات غير المُصرّح بها" وهذا يعني عدة أشياء؛ (1) أن النظام يتتبع (غالبًا ما يسمى التسجيل) أي مستخدم لديه حق الوصول إليه وأن المستخدم قد مر بعمليات مصادقة مناسبة، و (2) أنه يتحقق من أن المستخدم يجب أن يكون لديه صلاحيات الكتابة قبل أن يتمكن من إجراء تغيير وحفظ التغييرات - ويجوز أيضًا الاحتفاظ بنسخة احتياطية من التغييرات بالإضافة إلى معلومات التدقيق، (3) التي يمكن للمستخدم المُخوّل عرضها وتعديلها وحذفها وما إلى ذلك. فقط المعلومات التي يُصرّح لهم، و (4) يمكن تكوين النظام من عدد من المكونات وبالتالي يمكن أن تكون المصادقة والتفويض والمراجعة شيئًا يتم مشاركته عبر النظام.


لذلك من أجل النزاهة، نحتاج إلى المصادقة والتحقق من مستويات التفويض، وتسجيل المعلومات على النحو المطلوب حتى يتمكن التدقيق في المستقبل من تحديد ما حدث، وأخيرًا نحتاج إلى الثقة في أن المعلومات أو البيانات التي نعرضها صحيحة، أو أن المعاملة نريد تنفيذها (على سبيل المثال، تحويل النقد أو إجراء عمليات الدفع) صالحة – هذا شيء يمكننا إثباته رياضياً / منطقياً ونناقش ذلك بإيجاز في الأسبوع الثاني. هذا التعليق الأخير حول المعاملات مهم لأننا بحاجة إلى النظر في عدم الإنكار.


عدم الإنكار هو "التأكيد على أنه لا يمكن لشخص أن ينكر شيئًا" مثل التوقيع على عقد ما. في أمن المعلومات لدينا معنى مكافئ - لدينا خدمة، أو مجموعة من الخدمات التي تقدم دليلاً على تكامل البيانات وأصلها. يعتمد هذا على المصادقة وآليات التشفير حتى نتمكن من التوقيع على البيانات بشكل فعّال، مثل البريد الإلكتروني، حتى يكون لدى المتلقي ثقة عالية من مصدره المعروف وأنه لم يتم العبث به.


من أجل التوافر، نحن نتطلع إلى بناء أنظمة موثوقة وقادرة على تقديم الخدمة عبر مجموعة واسعة من حالات التشغيل. نحن مهتمون أن يظل النظام متاحًا للمستخدمين المُصرّح لهم لمجموعة من ظروف التشغيل، مثل ما إذا كان يتعرض للهجوم أو يتم استخدامه بكثافة. على سبيل المثال، قد يتم مهاجمة نظام متصل بالإنترنت (أو شبكة أخرى مثل خادم على شبكة خلوية) من أجل منع المستخدمين الشرعيين من الوصول إليه – ما يسمى الحرمان من الخدمة (DoS) أو هجوم DoS الموزع حيث يتم استخدام الموارد للوصول إلى النظام من قبل المهاجمين في محاولة لإيقاف المستخدمين. ووردت أنباء عن هذه الهجمات على نطاق واسع في الصحافة. بالإضافة إلى ذلك، قد يتمكن المهاجم من الوصول إلى النظام ويسبب توقف النظام أو حدوث خلل. لذلك نحن معنيين بإنشاء أنظمة ذات مستوى ملائم من التوافر على النحو المحدد من قبل الحكومة أو العملاء أو الصناعة، والتي قد نحتاج إلى توظيف توافر عال وهندسة موثوقية عالية. يمكن أن يوفر النظام المخترق أيضًا معلومات غير صحيحة - فشل في التكامل أو تمكين وصول غير مُصرّح به للمستخدمين إلى المعلومات أو الموارد - فشل في السرية.


يشمل ثلاثي CIA الأجهزة (الحواسب، والخوادم، والهواتف الذكية، وما إلى ذلك)، والبرمجيات (أنظمة التشغيل وكذلك التطبيقات) وتقنيات الاتصالات (المحولات، والموجهات، والبوابات، ونقاط الوصول إلى WIFI، والمحطات الأساسية، ومراكز تحويل المحمول، وما إلى ذلك). هذه المكونات الأساسية في سياق النظم والأشخاص والعمليات. عادة ما يكون هذا في سياق شخص أو وحدة عائلية أو عمل تجاري أو حكومة وبلد في جوانبها المدنية والعسكرية المتعددة.


الموارد والتوصيف:


نقدم هنا روابط لمعلومات أساسية، وعلى وجه التحديد بعض المقالات أو المصادر المُستخدمة في هذه الحصص لتقديم مجال أمن المعلومات / الأمن السيبراني. قد تجد هذه المصادر مفيدة لاستكشاف الموضوع بشكل أعمق.


تم مناقشة ثلاثي CIA في صفحة ويكيبيديا حول أمن المعلومات. يشير الرابط إلى مقالة قصيرة (متوفرة باللغة الإنجليزية فقط) The CIA Triad بواسطة Chad Perrin المنشورة في TechRepublic في IT Security، وهو مورد مفيد في هذا المجال.


يمكن شراء الكتاب الذي استخدمناه لقراءاتنا من خلال
www.itgovernance.co.uk/shop/p-357-an-introduction-to-information-securi…

لا ينتمي أو يرتبط أي من مقدم الدورة أو Royal Holloway أو جامعة لندن بالناشر ولا يشترط منك شراء الكتاب.