الأسبوع الأول - ترجمة قطعة القراءة الرابعة: نموذج أمني أكثر شمولاً.

الدورات عن بعد- الهيئة المستقلة للانتخاب
poll
-A A +A

في القسم السابق قدمنا ثلاثي CIA، وهو نموذج مستخدم على نطاق واسع للغاية يقدم الجوانب الأساسية في مجال أمن المعلومات. في هذا القسم، قمنا بتوسيع ذلك باستخدام نموذج RMIAS، وهو واحد من العديد من النماذج الأخرى التي يمكن استخدامها لتقديم النطاق الأوسع لمجال أمن المعلومات في سياق المنظمة. المرجع إلى الورقة العلمية هو:


Y. Cherdantseva and J. Hilton, "A Reference Model of Information Assurance & Security," Availability, Reliability and Security (ARES), 2013 Eighth International Conference on , vol., no., pp.546-555, IEEE, doi: 10.1109/ARES.2013.72,  2-6 سبتمبر 2013.


يوجد صورة من نموذج RMIAS متاحة على ويكيبيديا. قد تجد أنه من المفيد فتح الصورة في نافذة متصفح جديدة. يمكنك أيضًا تحميل الورقة من researchgate.net، والتي تتطرق إلى تفاصيل أكثر مما نحاول تغطيته هنا. في درجة الماجستير، نشجعك على تحميل ودراسة الأوراق العلمية ذات الصلة، مثل هذه الورقة، ولكن ليس من الضروري أن تفعل ذلك هنا.


لدى نموذج RMIAS نطاق أوسع من ثلاثي CIA ويستند إلى IAS – ضمان المعلومات وأمنها - وهو تكامل أمن المعلومات الذي عرّفناه، وضمان المعلومات، الذي نناقشه هنا بإيجاز. يتم توفير التفاصيل في القسم الخاص بالموارد والتوصيف.


ضمان المعلومات له تركيز مختلف عن أمن المعلومات - فهو متعدد التخصصات وينصب تركيزه على تقليل المخاطر على المعلومات ونظم المعلومات بما في ذلك الأمن الحقيقي، وجوانب الأشخاص مثل الوعي والتدريب بالإضافة إلى العمليات والحوكمة داخل المنظمة. بالإضافة إلى ذلك، فإن تصور ضمان المعلومات هو أن تركيزها ينصب أكثر على التدابير الدفاعية وفعالية تكلفة الإجراءات التي يمكن وضعها لتقليل تأثير أي حدث أمني. يتشابه أمن المعلومات / الأمن السيبراني في نطاقه ولكنه لا يركز بشكل مفرط على المخاطر والتكلفة.


ما هو النموذج المرجعي؟ نأمل أن تكون قد سمعت عن نموذج الاتصال المعياري المؤلف من 7 طبقات والموحد من قبل منظمة المعايير الدولية (ISO) لشبكات الحواسب. يوفر هذا النموذج تجريدًا - مجموعة من المفاهيم والبديهيات والعلاقات لشبكات الحواسب المستقلة عن معايير أو تقنيات أو تطبيقات محددة. نموذج RMIAS هو اقتراح يحدد تجريداً لضمان المعلومات وأمن المغلومات على أنه تمثيل مربع لمفاهيم مختلفة - تسمى الأبعاد.


إنه ليس النموذج الوحيد. أخذ المؤلفون عددًا من النماذج الأخرى التي تم إنشاؤها على مدى العقود القليلة الماضية. دعنا ننظر بإيجاز إلى هذه الأبعاد الأربعة التي حددوها:


●    دورة حياة أمن نظم المعلومات - توضح الجانب الزمني وتطبيق بعض منهجيات التطوير التي ستنشئ وتوزع وتقيس وتصقل وفي النهاية تقاعد حلول / أنظمة المعلومات في سياق العمل / المنظمة.
●    تصنيف المعلومات – والذي يمكننا من خلاله وصف المعلومات التي تتم حمايتها ودورة حياتها منذ إنشائها وحتى تدميرها. هنا نعتبر كل فئة من فئات المعلومات حسب الشكل والحالة والحساسية والموقع.
●    الأهداف الأمنية - تحديد مجموعة الأهداف التي يمكن تطبيقها في سياق منظمة أو عمل تجاري أو نظام. النموذج هنا هو توسع لثلاثي CIA ليصبح "ثماني IAS" من خلال إضافة على سبيل المثال؛ المساءلة وعدم الإنكار والخصوصية. يسمح الاتفاق على الأهداف لأصحاب المصلحة لفهم المفاهيم التي يمكن بعد ذلك تعيينها إلى وجهات النظر التقنية والتجارية والعملية والإنسانية. 
●    التدابير المضادة التي تخص الأمان - يمكننا تعريفها كطريقة تقنية أو عملية تستخدم لتحقيق الأهداف الأمنية المطلوبة. من منظور IAS، يتم اختيار التدابير الأمنية من منظور الفعالية من حيث التكلفة وكفاءة الأعمال. تغطي هذه المجموعة من التدابير المضادة العوامل التقنية، والتجارية، والقانونية والبشرية. ونحن نغطي بعض الجوانب التقنية والتجارية في الأسابيع 2 و 3 و 4. على سبيل المثال، يشمل الجانب البشري وضع سياسات أمنية للموظفين لتلبية متطلبات العمل. لمساعدة الموظفين، تتطلب الأعمال من الموظفين أن يكونوا على دراية بالسياسات، يجب عليهم تأكيد وعيهم وامتثالهم، وقد يتلقون تدريبًا وقد يتم اختبارهم، على سبيل المثال، ترسل العديد من الشركات رسائل بريد إلكتروني مزيفة إلى الموظفين لمعرفة من يفتح ويتفاعل مع محاولة الاحتيال. من خلال مراقبة أو تدقيق فعالية التدابير المضادة التي تخص الأمان، يمكننا إغلاق الحلقة لأن هذا يغذي دورة حياة تطوير الأمان ويمكن أن يحدث التغيير.


هناك ثروة من التفاصيل عندما تنظر إلى كل من هذه الأبعاد. أكثر بكثير مما يمكننا تغطيته في دورة قصيرة. المنظور الرئيسي هو التفكير في النموذج واستخدامه كأداة للمساعدة في فهم اتساع أمن المعلومات وضمان المعلومات.
الموارد والتوصيف:


نقدم هنا روابط لمعلومات أساسية، وعلى وجه التحديد بعض المقالات أو المصادر المُستخدمة في هذه الحصص لتقديم مجال أمن المعلومات / الأمن السيبراني. قد تجد هذه المصادر مفيدة لاستكشاف الموضوع بشكل أعمق.
تم مناقشة ثلاثي CIA في صفحة ويكيبيديا حول أمن المعلومات. يشير الرابط إلى مقالة قصيرة (متوفرة باللغة الإنجليزية فقط) The CIA Triad بواسطة Chad Perrin المنشورة في TechRepublic في IT Security، وهو مورد مفيد في هذا المجال.
يتوفر ملخص موجز لنموذج RMIAS على ويكيبيديا. المرجع الكامل للورقة العلمية هو:


Y. Cherdantseva and J. Hilton, "A Reference Model of Information Assurance & Security," Availability, Reliability and Security (ARES), 2013 Eighth International Conference on , vol., no., pp.546-555, IEEE, doi: 10.1109/ARES.2013.72,  2-6 سبتمبر 2013.


يمكن تحميل الورقة من researchgate.net.