المنتشر لدى كثيراً من الناس أن أمن المعلومات يعني الحفاظ على سريتها فقط، فسرية المعلومات تعتبر عنصر مهم من عناصر أمن المعلومات، ولكن هي ليست كل أمن المعلومات.
لتوضيح الفكرة نضرب مثل بسيط بالمعلومات الشخصية والطبية لمريض في أحد المستشفيات، فيستطيع المستشفى أن يطلب من الطبيب بعد الكشف على المريض أن يضع الملف في ظرف ويشمعه ويتم حفظ الملف في خزنة آمنة داخل غرفة خاصة، ومفتاح الخزنة لدى شخص ومفتاح الغرفة لدى شخص آخر وذلك لضمان سرية المعلومات وعدم اطلاع أحد على هذه المعلومات إلا بتقديم طلب ويمر بآلية معينة وعن طريق الشخصين الذين لديهم مفتاح الخزنة ومفتاح الغرفة يتم الحصول على ملف المريض، وعن طريق الطبيب المختص يتم فتح الظرف. بطبيعة الحال المعلومات في هذه الحالة لا تزال سرية ولم يطلع عليها إلا الطبيب عند فتحة للظرف الذي شمعة الطبيب السابق. ولكن هل معلومات هذا المريض آمنة؟ الجواب لا، ففي حالة حضور المريض للإسعاف في وقت متأخر من الليل، فلن نستطيع الحصول على ملفه بسبب عدم جود الأشخاص الذين لديهم المفاتيح. إن أمن المعلومات ببساطة يعني الإجراءات المتخذة لضمان وصول المعلومات للأشخاص المصرح لهم فقط (ومنهم من يستطيع الاطلاع عليها فقط ومنهم من له صلاحية تعديلها أو حذفها) وذلك يتطلب إجراءات معينه وخبرة ومهارات ومعرفة بطرق حماية المعلومات. فأمن المعلومات له ثلاثة أبعاد وهي: سرية المعلومة وسلامتها وتوفرها.
فسرية المعلومات يعني تأمينها بحيث يكون الوصول للمعلومة مقتصرا على الأشخاص المخولين بذلك فقط. ولذلك فإن انتهاكات السرية تحدث للبيانات التي لم تعالج بأسلوب مناسب للتأكد من سريتها، ومن نماذج انتهاكات السرية التي يمكن أن تحدث للمعلومات، الوصول إلى المعلومة في الجهاز بطريقة غير مشروعة، أو إفشاء المعلومة وتداولها شفهيا بين الأشخاص، أو طباعة المعلومات بحيث يمكن الحصول عليها بسهولة، أو نسخها أو إرسالها عبر البريد الإلكتروني. وبناءً على تصنيف أهمية المعلومات يمكن تصنيف درجة السرية ومن ثم أتحاذ الإجراءات اللازمة لحمايتها.
أما سلامة المعلومة فيعني ضمان اعتمادية مصادر المعلومات بحيث لا تُغير المعلومة إلا من قبل الأشخاص المخولين بذلك، ويتكون عنصر السلامة من شقين: سلامة المعلومات وسلامة المصدر. ونعني بالأولى أن المعلومة لم تغير بشكل غير ملائم سواء بالصدفة أو من قبل عمل متعمد، أما سلامة المصدر فيعني أن المعلومات تم الحصول عليها من المصدر الأصلي. كما يتضمن مفهوم سلامة المعلومات أن المعلومة أدخلت بشكل صحيح، بحيث تعكس الظروف الحقيقية للمعلومة، وتحت نفس الظروف سوف تنتج نفس المعلومة المتوقعة من غير تعديل أو تغيير، ولذا يمكن إيجاز مفهوم سلامة البيانات بتلك الإجراءات التي تضمن حفظ المعلومات خلال مراحل إدخالها أو نقلها عبر البريد الإلكتروني أو أي وسيلة أخرى إلى الجهاز أو الشبكة الناقلة بحيث نحافظ على سريتها وسلامتها.
أما العنصر الأخير فهو توفر المعلومة وقت الحاجة إليها ولذا فإن عدم توفر المعلومة وقت الحاجة إليها يماثل عدم وجود المعلومة أصلا وفي بعض الأوقات يكون عمل المنشأة معتمدا اعتمادا كاملا على المعلومات، مثل مكاتب الجوازات في المطارات. وهناك خطران يهددان توفر المعلومات، الأول هو رفض الخدمة، ويشير إلى الأفعال التي تعطل خدمات نظم المعلومات وشبكاتها بصورة لا يمكن للأشخاص المصرح لهم استعمال الحاسب والاستفادة منه والوصول إلى المعلومات المطلوبة. والخطر الثاني فقدان قدرة معالجة البيانات كنتيجة للكوارث الطبيعية أو أفعال الإنسان والتي عادة ما تكون أكثر انتشارًا ومكمن معظم الأخطار، ومثل هذه الأخطار غالبا يمكن تفاديها أو التخفيف من أضرارها بتصميم خطط للطوارئ تساعد على تقليل الوقت الذي تكون فيه المعلومات غير متوفرة. وهناك مجموعة احتياطات مادية وإدارية وتقنية تتعلق بتوفر المعلومات، وقد لا يكون هذا هو المكان المناسب لذكرها.
إن مستوى الحفاظ على سرية المعلومة وسلامتها وتوفرها يعتمد بشكل كبير على بيئة العمل وكذلك إجراءات المنع والاكتشاف. وفي نفس الوقت تعتمد مقاييس وتطبيق أمن المعلومات من الناحية العملية على طبيعة نظم المعلومات في المنظمة واحتمالات الاختراق. ولتوضيح ذلك نطرح السؤال البسيط التالي: هل منازلنا آمنة من السرقة؟ في بعض الحالات نكتفي بالتأكد من إقفال الأبواب والنوافذ، بينما نجد أنه إذا احتوى المنزل على أشياء ثمينة أو كانت البيئة المحيطة بالمنزل غير آمنة، فإن الإجراءات تكون أكثر صرامة ولذا نحتاج إلى كاميرات مراقبة أو حارس للمنزل، وكذلك الأبواب والنوافذ ستتبع معايير سلامة أخرى أكثر أمناً. أما الأشخاص الذين لديهم صلاحية الدخول للمنزل فيجب أن يكون لديهم مفاتيح خاصة. وهذا السؤال ينطبق على أمن المعلومات سواء كانت تلك المعلومات أمنية، أو عسكرية أو بنكية، أو معلومات أخرى بسيطة.
وغنياً عن القول أن الأبعاد الأساسية الثلاثة لإدارة أمن المعلومات (السرية، والسلامة، والتوفر) لابد من توفرها في كل النظم، ولكن قد يغلب أحدها على الآخر حسب طبيعة المعلومات والمنظمة والظروف المحيطة بها. والأهم من ذلك كله التوازن بين المنع والاستخدام، ومن المعروف أن اتخاذ قرار المنع الكلي سهل جداً، ولكنه غير مناسب، وغير مفيد.
لتوضيح الفكرة نضرب مثل بسيط بالمعلومات الشخصية والطبية لمريض في أحد المستشفيات، فيستطيع المستشفى أن يطلب من الطبيب بعد الكشف على المريض أن يضع الملف في ظرف ويشمعه ويتم حفظ الملف في خزنة آمنة داخل غرفة خاصة، ومفتاح الخزنة لدى شخص ومفتاح الغرفة لدى شخص آخر وذلك لضمان سرية المعلومات وعدم اطلاع أحد على هذه المعلومات إلا بتقديم طلب ويمر بآلية معينة وعن طريق الشخصين الذين لديهم مفتاح الخزنة ومفتاح الغرفة يتم الحصول على ملف المريض، وعن طريق الطبيب المختص يتم فتح الظرف. بطبيعة الحال المعلومات في هذه الحالة لا تزال سرية ولم يطلع عليها إلا الطبيب عند فتحة للظرف الذي شمعة الطبيب السابق. ولكن هل معلومات هذا المريض آمنة؟ الجواب لا، ففي حالة حضور المريض للإسعاف في وقت متأخر من الليل، فلن نستطيع الحصول على ملفه بسبب عدم جود الأشخاص الذين لديهم المفاتيح. إن أمن المعلومات ببساطة يعني الإجراءات المتخذة لضمان وصول المعلومات للأشخاص المصرح لهم فقط (ومنهم من يستطيع الاطلاع عليها فقط ومنهم من له صلاحية تعديلها أو حذفها) وذلك يتطلب إجراءات معينه وخبرة ومهارات ومعرفة بطرق حماية المعلومات. فأمن المعلومات له ثلاثة أبعاد وهي: سرية المعلومة وسلامتها وتوفرها.
فسرية المعلومات يعني تأمينها بحيث يكون الوصول للمعلومة مقتصرا على الأشخاص المخولين بذلك فقط. ولذلك فإن انتهاكات السرية تحدث للبيانات التي لم تعالج بأسلوب مناسب للتأكد من سريتها، ومن نماذج انتهاكات السرية التي يمكن أن تحدث للمعلومات، الوصول إلى المعلومة في الجهاز بطريقة غير مشروعة، أو إفشاء المعلومة وتداولها شفهيا بين الأشخاص، أو طباعة المعلومات بحيث يمكن الحصول عليها بسهولة، أو نسخها أو إرسالها عبر البريد الإلكتروني. وبناءً على تصنيف أهمية المعلومات يمكن تصنيف درجة السرية ومن ثم أتحاذ الإجراءات اللازمة لحمايتها.
أما سلامة المعلومة فيعني ضمان اعتمادية مصادر المعلومات بحيث لا تُغير المعلومة إلا من قبل الأشخاص المخولين بذلك، ويتكون عنصر السلامة من شقين: سلامة المعلومات وسلامة المصدر. ونعني بالأولى أن المعلومة لم تغير بشكل غير ملائم سواء بالصدفة أو من قبل عمل متعمد، أما سلامة المصدر فيعني أن المعلومات تم الحصول عليها من المصدر الأصلي. كما يتضمن مفهوم سلامة المعلومات أن المعلومة أدخلت بشكل صحيح، بحيث تعكس الظروف الحقيقية للمعلومة، وتحت نفس الظروف سوف تنتج نفس المعلومة المتوقعة من غير تعديل أو تغيير، ولذا يمكن إيجاز مفهوم سلامة البيانات بتلك الإجراءات التي تضمن حفظ المعلومات خلال مراحل إدخالها أو نقلها عبر البريد الإلكتروني أو أي وسيلة أخرى إلى الجهاز أو الشبكة الناقلة بحيث نحافظ على سريتها وسلامتها.
أما العنصر الأخير فهو توفر المعلومة وقت الحاجة إليها ولذا فإن عدم توفر المعلومة وقت الحاجة إليها يماثل عدم وجود المعلومة أصلا وفي بعض الأوقات يكون عمل المنشأة معتمدا اعتمادا كاملا على المعلومات، مثل مكاتب الجوازات في المطارات. وهناك خطران يهددان توفر المعلومات، الأول هو رفض الخدمة، ويشير إلى الأفعال التي تعطل خدمات نظم المعلومات وشبكاتها بصورة لا يمكن للأشخاص المصرح لهم استعمال الحاسب والاستفادة منه والوصول إلى المعلومات المطلوبة. والخطر الثاني فقدان قدرة معالجة البيانات كنتيجة للكوارث الطبيعية أو أفعال الإنسان والتي عادة ما تكون أكثر انتشارًا ومكمن معظم الأخطار، ومثل هذه الأخطار غالبا يمكن تفاديها أو التخفيف من أضرارها بتصميم خطط للطوارئ تساعد على تقليل الوقت الذي تكون فيه المعلومات غير متوفرة. وهناك مجموعة احتياطات مادية وإدارية وتقنية تتعلق بتوفر المعلومات، وقد لا يكون هذا هو المكان المناسب لذكرها.
إن مستوى الحفاظ على سرية المعلومة وسلامتها وتوفرها يعتمد بشكل كبير على بيئة العمل وكذلك إجراءات المنع والاكتشاف. وفي نفس الوقت تعتمد مقاييس وتطبيق أمن المعلومات من الناحية العملية على طبيعة نظم المعلومات في المنظمة واحتمالات الاختراق. ولتوضيح ذلك نطرح السؤال البسيط التالي: هل منازلنا آمنة من السرقة؟ في بعض الحالات نكتفي بالتأكد من إقفال الأبواب والنوافذ، بينما نجد أنه إذا احتوى المنزل على أشياء ثمينة أو كانت البيئة المحيطة بالمنزل غير آمنة، فإن الإجراءات تكون أكثر صرامة ولذا نحتاج إلى كاميرات مراقبة أو حارس للمنزل، وكذلك الأبواب والنوافذ ستتبع معايير سلامة أخرى أكثر أمناً. أما الأشخاص الذين لديهم صلاحية الدخول للمنزل فيجب أن يكون لديهم مفاتيح خاصة. وهذا السؤال ينطبق على أمن المعلومات سواء كانت تلك المعلومات أمنية، أو عسكرية أو بنكية، أو معلومات أخرى بسيطة.
وغنياً عن القول أن الأبعاد الأساسية الثلاثة لإدارة أمن المعلومات (السرية، والسلامة، والتوفر) لابد من توفرها في كل النظم، ولكن قد يغلب أحدها على الآخر حسب طبيعة المعلومات والمنظمة والظروف المحيطة بها. والأهم من ذلك كله التوازن بين المنع والاستخدام، ومن المعروف أن اتخاذ قرار المنع الكلي سهل جداً، ولكنه غير مناسب، وغير مفيد.
