أنواع الضوابط الأمنية
في الواقع، هناك الكثير من أجهزة الحماية التي يجب أن تكون على دراية بها لتطبيق مبادئ أمن المعلومات CIA Triad كمتخصص في مجال أمن المعلومات. يجب أن تكون لديك القدرة على مقارنة ضوابط الأمان ويجب أن تكون قادرًا أيضًا على معرفة تأثير الضوابط الأمنية داخل المؤسسة وأيضًا اختيار وتكوين ضوابط الأمان وتحديد أنواع الضوابط الأمنية وتطبيقها داخل المؤسسة.
وعادة ما يتم النظر في ضمان المعلومات في عملية شاملة لإدارة المخاطر الأمنية. هذا هو عمل المتخصصين في أمن المعلومات. وقد وضعت بعض المنظمات المختلفة إطارا (framework) للعمل على هذه الإيجارات، وهو مجموعة من السياسات التي يتم وضعها داخل المنظمة للحد من المخاطر بشكل عام والوفاء بأفضل الممارسات التي ينبغي وضعها داخل الشركة. ويشار إلى هذه الإجراءات والسياسات والأنشطة مجتمعة بأنها ضوابط أمنية.
Security control: هو شيء مصمم لمنح النظام خصاص (confidentiality, integrity, availability and non-repudiation) CIA Triad ويتم تقسيم تلك الضوابط ألي ثلاث فئات رئيسية تمثل طريقة التنفيذ و التحكم.
Technical Security control: يتم تنفيذ التحكم كجهاز أو نظام برمجي. مثال على ذلك. جدار الحماية وبرامج مكافحة الفيروسات ونماذج التحكم في الوصول. ويمكن أيضا وصف الضوابط التقنية بأنها ضوابط منطقية.
Operational Security control: هنا يتم تنفيذ السيطرة من قبل أشخاص مثل حراس الأمن ويمكن وصفها بأنها ضوابط تشغيلية وليست ضوابط تقنية.
Preventive Security control: إنه مصطلح يشير إلى جميع الضوابط الأمنية. التي تعمل قبل الهجوم لغرض اكتشافه وحمايته من ذلك الهجوم بغض النظر عن العناصر الأمنية سواء كان Software أو hardware مثال علي ذلك IPS و Access control lists (ACL) و firewalls. باختصار، يشير المصطلح إلى جميع العناصر الأمنية التي تعمل قبل وقوع هجوم على مؤسسة.
Detective Security control: مصطلح يعكس إلى حد ما مصطلح Preventive. إنها مجموعة من الضوابط الأمنية التي تعمل وقت الهجوم بغض النظر عن حقيقة أن هذه الأجهزة لا يمكنها منع الهجوم ولكنها ستحدد وتسجل محاولة اقتحام ناجحة وتعيد سجلات الهجوم بالتفصيل وترسل التقارير إلى مدير الشبكة كمثال على أجهزة IDS.
Corrective Security control: مصطلح يشير إلى الإجراءات التي يمكن اتخاذها بعد اختراق أمني ناجح. ومن الأمثلة على ذلك نسخة من البيانات المدمرة. على سبيل المثال، يجب أن يكون هناك نسخة احتياطية من البيانات حتى لو تم مسح البيانات، فهناك نسخة احتياطية.
بينما يمكن تصنيف الضوابط وظيفيًا (Preventive, Detective, Corrective) ويمكن استخدام بعض المصطلحات الأخرى لتحديد الحالات الأخرى.
Deterrent Security control: إنه نوع من التحكم الأمني الذي يتلاعب بالجانب النفسي للمهاجم الذي قد لا يمنع المهاجم جسديًا أو منطقيًا. لكنه يثني المهاجم عن الجانب النفسي ويمكن أن يؤدي إلى عدم وقوع الهجوم بشكل رئيسي. ومن الأمثلة على ذلك, التحذيرات من العقوبات القانونية ضد التعدي على ممتلكات الغير.
Compensating Security control: يشير هذا المصطلح إلى عملية تعويض الضوابط الأمنية بخلاف ذلك إذا كان هناك نقص في حراس الأمن ما هي الضوابط الأمنية التي يمكن استخدامها كبديل لحراس الأمن على سبيل المثال بوابات الكشف عن المعادن. باختصار، إذا كان هناك ضرر فقط لأي ضوابط أمنية، فإن هذا المصطلح يشير إلى البديل أو التعويض.
كما يتم وضع الضوابط الأمنية من خلال مجموعة من السياسات والقوانين على المستويين الداخلي والخارجي للشركة وتشمل تلك القوانين والسياسات. حول أنواع الضوابط الأمنية المناسبة وكذلك موقعها على الشبكة. ويشمل أيضا جميع السياسات والإجراءات. للحد من المخاطر الأمنية، هناك مجموعة من Frameworks التي تساعد على تطوير القوانين والسياسات.
Cybersecurity Framework
هناك مجموعة من الشركات التي وصعت framework للمساعدة في تطوير السياسات داخل المؤسسات برغم من تلك القوانين و السياسات ألا انه هناك سياسات وقوانين ثابتة لجميع المؤسسات وهناك سياسات وقوانين تكون خاصة لشركة نفسة علي حسب البنية التحتية لشركة وطريقة عمل تلك الشركة ومن اشهر الشركات التي وضعت framework (NIST, IEEE, IOS).
وهناك أيضا Framework تستخدم على مستوى تكنولوجي مختلف على سبيل المثال. هناك شيء مخصص على مستوى Cloud مثل IOS 27k وهناك أيضًا شيء مخصص لإدارة المخاطر مثل RMF وهو من NIST وكما تحدثنا، هناك Framework عمل لجميع تقنيتي الحالية الآن من شركات مختلفة.
اطرق تعليق لنري ما رضاكم علي الدروس التي نقدمها (إن كان هناك مشكلة في الدرس يمكنك التحدث مع فريق الدعم لحل لك المشكلة او طرق تعليق بتلك المشكلة ليتم التفاعل من خلال الزوار الآخرين)
