الأمان المستند إلى المجال

«الأمان المستند إلى المجال»، الذي يختصر بـ "DBSy"، هو نهج يستند إلى نموذج للمساعدة في تحليل مخاطر أمن المعلومات في سياق الأعمال التجارية وتوفير تعيين واضح ومباشر بين المخاطر وعناصر التحكم الأمنية اللازمة لإدارتها.وتستخدم طريقة تقييم المخاطر التقنية رقم 1 التابعة لحكومة المملكة المتحدة صيغة بديلة للنهج.^[1] DBSy هي علامة تجارية مسجلة لشركة QinetiQ Ltd.

تم تطوير DBSy في أواخر التسعينات من قبل وكالة تقييم الدفاع والبحوث (DERA). وهو نهج قائم على النموذج لضمان المعلومات يصف متطلبات الأمن في المنظمة، مع مراعاة الأعمال التي تحتاج إلى دعم. يستند النموذج حول مفهوم مجال الأمان، الذي يمثل مكانًا منطقيًا حيث يعمل الأشخاص مع المعلومات باستخدام نظام كمبيوتر، وله اتصالات بمجالات أمان أخرى حيث يكون ذلك ضروريًا لدعم نشاط الأعمال. ومن هنا ينصب التركيز على المعلومات التي تحتاج إلى الحماية، والأشخاص الذين يعملون معها، والأشخاص الذين يتبادلون المعلومات معهم. يمكن للنموذج أيضًا وصف البيئات المادية التي يعمل فيها الأشخاص وحدود النظام حيث يتم وضع تدابير أمان النظام الرئيسية. ثم يتم تطبيق طريقة منهجية على النموذج لتحديد ووصف المخاطر التي تتعرض لها أصول المعلومات القيمة وتحديد التدابير الأمنية الفعالة في إدارة المخاطر.

التاريخ[عدل]

وقد نشأت شركة DBSy في أواخر التسعينيات، بعد أن تم تطويرها من قبل وكالة تقييم وأبحاث الدفاع (DERA) لوزارة الدفاع. في البداية دعا النهج القائم على المجال، تم تطويره جنبا إلى جنب مع بينيلوب الأرجواني لدعم حاجة وزارة الدفاع المتزايدة للترابط بين الأنظمة التي تعمل على مستويات أمنية مختلفة،.^[2] واكتشف بأن المخاطر المرتبطة بهذه الصلات تتصل مباشرة بطبيعة تبادل المعلومات اللازمة، وأن النموذج الفعال لفهم وإدارة المخاطر يجب أن يراعي احتياجات الأعمال التجارية لتبادل المعلومات. وقد لوحظ أن الإتاحة المحكمة للمعلومات من نظام يتعامل مع معلومات سرية (يشار إليها أحياناً في ذلك الوقت بــ«خفض الدرجة» أو «التعقيم») لم يتم وصفه بشكل كافٍ من قبل أي من النماذج الحالية لأمن المعلومات (لا سيما Bell-LaPadula, Biba ونماذج تدفق المعلومات المرتبطة بها).

ووجد أن نماذج تدفق المعلومات غير مفيدة في فهم المخاطر عندما يتعين تبادل المعلومات مع الأشخاص والنظم التي لا تحظى بثقة كاملة. وينبغي أن يراعي النموذج الفعال لفهم المخاطر وإدارتها احتياجات الأعمال التجارية لتبادل المعلومات داخل المنظمة وخارجها على حد سواء.

وقد طُبقت تقنية النمذجة على بعض المشاريع الرئيسية لوزارة الدفاع، ونتيجة لهذه التجربة، نُقحت تقنيات النمذجة الرسومية ووُضعت طريقة صارمة لتقييم المخاطر، استناداً إلى مفاهيم مسارات الحلول التوفيقية. كما تم إنشاء نهج لتوثيق أمان تكنولوجيا المعلومات من خلال دورة حياة المشروع.^[3] وعُقدت مؤتمرات أمنية قائمة على المجال في QinetiQ Malvern في حزيران 2005 وحزيران 2006، مما عزز مناقشة الكيفية التي يمكن بها استخدامه على نطاق، أوسع سواء بالنسبة للنظم الدفاعية أو التجارية.

تم تطوير نوع من طريقة DBSy في وقت لاحق ودمجها في معيار HMG Infosec Standard No.1 في حكومة المملكة المتحدة، وهو الأسلوب القياسي الذي سيتم استخدامه لتقييم المخاطر الأمنية لجميع أنظمة تكنولوجيا المعلومات الحكومية.

نموذج DBSy[عدل]

يستخدم نهج DBSy نماذج بسيطة لتمثيل متطلبات الأمان في المؤسسة باستخدام وجهتي نظر مختلفتين ولكن مرتبطتين: يمثل نموذج أعمال أمن المعلومات الجوانب الأمنية للأعمال، في حين يمثل نموذج البنية التحتية لأمن المعلومات توفيرًا منطقيًا للحدود القوية التي تفرض الفصل.عند الجمع بينهما، فإنها تشكل نموذج هندسة أمن المعلومات.^[4] ويشكل هذا النموذج الأساس لإجراء تقييم منهجي ودقيق للمخاطر.

يعرّف نموذج أعمال أمن المعلومات مجالات الأمان والاتصالات بينها. يحدد النموذج حدود المعلومات التي يمكن معالجتها وتبادلها بين مجالات الأمان، وبالتالي يشكل مجموعة متطلبات الأمان للأعمال. وعلى وجه الخصوص، لا يسمح بالاتصالات التي لم يتم نمذجتها بشكل صريح ويجب الا تحدث.يتميز مجال الأمان بمجموعة من أصول المعلومات، والتي قد تكون ذات قيمة للمنظمة، وكذلك الأشخاص الذين يعملون مع المعلومات والتطبيقات والخدمات التي تعمل نيابة عنهم.تتميز الاتصالات بين المجالات بطبيعة التفاعل المطلوب (مثل الرسائل الشخصية أو الوصول المشترك إلى قاعدة بيانات) ومتطلبات الحساسية والسلامة لتبادل المعلومات.يمكن أن يمثل النموذج أيضًا أنواع البيئة الفعلية التي يمكن الوصول منها إلى المجال.

ويعرّف نموذج البنية التحتية لأمن المعلومات جزر البنية التحتية الحاسوبية على أنها يتطلب منها أن تكون منفصلة منطقياً، بحيث لا يمكن تبادل المعلومات بينها إلا في نقاط اتصال يمكن تحديدها ويمكن التحكم فيها، يشار إليها باسم الممرات. وتتميز الجزيرة بقوة الفصل بينها وبين أي جزر أخرى وبالسكان الذين يديرون بنيتها التحتية للحوسبة.

يجمع نموذج هندسة أمن المعلومات بين طرق عرض الأعمال والبنية التحتية، من خلال إظهار مجالات الأمان التي تدعمها أي جزر البنية التحتية.عندما تكون هناك اتصالات بين مجالات الأمان التي يتم استضافتها في جزر مختلفة، يجب أن تكون الاتصالات مدعومة بطريق مناسب.

طريقة تقييم المخاطر[عدل]

وتستخدم طريقة DBSy إطاراً رشيداً للمخاطر لوصف المخاطر التي تتعرض لها بعض أصول المعلومات.وتُجمع أنواع مماثلة من الأصول معاً كمحور اهتمام، وتطبق عملية تقييم المخاطر على كل محور اهتمام بدوره.

والعوامل الرئيسية التي تحدد المخاطر التي يتعرض لها تركيز اهتمام معين هي:

•أثر التسوية على سرية أو نزاهة أو توافر محور الاهتمام.

•مجموعات من الناس الذين قد يرغبون في إلحاق الضرر (مصادر التهديد) ودوافعهم للقيام بذلك.

•مجموعات من الناس الذين تتاح لهم فرص مختلفة لإلحاق الضرر (الجهات الفاعلة في مجال التهديد) وقدرتها على القيام بذلك، والذين قد يكونون أيضاً مصادر تهديد أو قد يتأثرون بالآخرين.

•الوسائل التي يمكن بها لكل جهة تهديد أن تسبب الضرر (أسباب التسوية).

•الدفاعات الموجودة (أو المخطط لها) لحماية محور الاهتمام.

يتم تطبيق إطار المخاطر هذا بطريقة منهجية على نموذج بنية أمن المعلومات الخاص بالمؤسسة، ويمثل الميزات ذات الصلة بالأمان في أنظمة الأعمال وتكنولوجيا المعلومات في المؤسسة.من خلال هذه العملية يمكن وصف مجموعة من المسارات التوفيقية بشكل منهجي ويمكن تقييم الفعالية النسبية للتدابير المضادة المختلفة.^[5]

مقارنة مع أساليب المخاطر الأخرى IA[عدل]

يختلف الأمان المستند إلى المجال عن غيره من أساليب إدارة مخاطر تكنولوجيا المعلومات في أن تركيزه الأساسي هو على الناس، ومحركات الأعمال من منظمة والطريقة التي تعمل بها الأعمال التجارية، بدلاً من تدابير الأمن التقني. والمحلل مطالب بتحديد مجموعات الأشخاص الذين يشكلون تهديداً بشكل منهجي والطرق التي قد يسببون بها الضرر، وتوفير إطار صارم وموجه نحو الأعمال لمفاهيم التهديد والضعف. والهدف من ذلك هو فهم وتحليل مخاطر أمن المعلومات التي تواجهها المؤسسة، خاصة عندما يبدو أن المخاطر تتعارض مع احتياجات كفاءة الأعمال في جميع أنحاء المؤسسة أو في التعامل مع العملاء وشركاء الأعمال.

مراجع[عدل]

^ HMG IA Standard No. 1 "Technical Risk Assessment", Issue 3.51, October 2009, "Archived copy" (PDF). مؤرشف من الأصل (PDF) في 2012-05-26. اطلع عليه بتاريخ 2014-08-15.{{استشهاد ويب}}: صيانة الاستشهاد: الأرشيف كعنوان (link) accessed 15 August 2014
^ B. Pomeroy and S. Wiseman, "Private desktops and shared store," Proc. of 14th Computer Security Applications Conference, pp. 190–200, Phoenix, AZ, December 1998
^ Robinson C, Hughes K, “What are security documents for?- Objectives of MOD’s Accreditation Documents” Presented at the Annual Sunningdale Accreditor’s Conference, 23–24 September 2002 https://pdfs.semanticscholar.org/8e3e/c2654849e19be55571dfbab09899fef94674.pdf نسخة محفوظة 28 فبراير 2019 على موقع واي باك مشين.
^ Ashenden D, Warrener K, "Understanding Risk Dependencies in Information Systems", Proceedings of the 4th Australian Information Warfare and IT Security Conference, Adelaide, Nov 2003.
^ Hughes K, Wiseman S, "Analysis of Information Security Risks: Policy for Protection through to Implementation", Proceedings of the 4th European Conference on Information Warfare and Security, Academic Conferences Ltd. (ردمك 1-905305-02-8), July 2005.

بوابة أمن المعلومات

[1] HMG IA Standard No. 1 "Technical Risk Assessment", Issue 3.51, October 2009, "Archived copy" (PDF). مؤرشف من الأصل (PDF) في 2012-05-26. اطلع عليه بتاريخ 2014-08-15.{{استشهاد ويب}}: صيانة الاستشهاد: الأرشيف كعنوان (link) accessed 15 August 2014

[2] B. Pomeroy and S. Wiseman, "Private desktops and shared store," Proc. of 14th Computer Security Applications Conference, pp. 190–200, Phoenix, AZ, December 1998

[3] Robinson C, Hughes K, “What are security documents for?- Objectives of MOD’s Accreditation Documents” Presented at the Annual Sunningdale Accreditor’s Conference, 23–24 September 2002 https://pdfs.semanticscholar.org/8e3e/c2654849e19be55571dfbab09899fef94674.pdf نسخة محفوظة 28 فبراير 2019 على موقع واي باك مشين.

[4] Ashenden D, Warrener K, "Understanding Risk Dependencies in Information Systems", Proceedings of the 4th Australian Information Warfare and IT Security Conference, Adelaide, Nov 2003.

[5] Hughes K, Wiseman S, "Analysis of Information Security Risks: Policy for Protection through to Implementation", Proceedings of the 4th European Conference on Information Warfare and Security, Academic Conferences Ltd. (ردمك 1-905305-02-8), July 2005.

[1]

[2]

[3]

[4]

[5]