ضوابط الأمن وإجراءات الحماية
تسمى حماية الأصول Security Controls أو Safeguards وهي تعنى الطرق التي يمكن اتخاذها لحماية أصول الشركة ، كما تعني أيضاً الضوابط والطرق الأمنية سواء كانت مادية Physical أو فنية Technical أو إدارية Administrative لتحقيق السرية والنزاهة والإتاحة.
إن الهدف من ذلك هو التقليل من المخاطر التي تواجه الشركة والوصول لدرجة يمكن قبولها من قبل الإدارة. ولابد دائماً من الرجوع للإدارة لأن الإدارة هي المسئولة ولابد من أخذ موافقتها لأن الهدف للشركة هو المكسب من العمل Business وليس تكنولوجيا المعلومات أو الأمن في حد ذاته ، ولكن الأمن وتكنولوجيا المعلومات هي المساعد من أجل تحقيق الأهداف ونجاح العمل Business.
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
•تنقسم ضوابط الأمن إلى:
1 - Physical Controls
يقصد بالضوابط المادية Physical Controls وجود آلية ملموسة ومادية مثل الجدران والأبواب والبطاقات الممغنطة لفتح الأقفال أو الأبواب ، بالإضافة إلى وجود كاميرات المراقبة. والهدف من هذه الضوابط هو المراقبة أو المنع أو تقييد حركة الأشخاص لحماية المنشأة أو البيانات أو الأجهزة .
ومن أبسط الأمثلة على ذلك هو مدخل الشركة الرئيسي. كما يمكن أن ترتبط الضوابط المادية بضوابط فنية إضافية مثل ارتباط كاميرات المراقبة التي تعتبر ضوابط مادية بأجهزة أخرى فنية تقوم بتسجيل الفيديوهات والسماح للموظفين بالرجوع بالزمن في حالة الاضطرار والحاجة إلى ذلك. ومثال على ذلك أيضا البطاقات الممغنطة RFID Card.
2 - Technical Controls
بالنسبة للضوابط الفنية تسمى أيضا Logical Controls والتي الضوابط التي تنفذ من خلال الأنظمة والأجهزة والشبكات لمنع الوصول الغير مصرح به ومنع أي اختراقات ويمكن أن تكون الضوابط الفنية مثل إعدادات جهاز معين أو نظام معين أو ملفات معينة مثل حماية ويندوز أو أجهزة السويتش والراوتر.
3 - Administrative Controls
تحدث Administrative Controls من خلال المديرين وهي تمثل التوجيهات والإرشادات الموجهة للعاملين داخل المنظمة وتكون من الإدارة للموظفين للتحكم في سلوك الموظفين سواء داخليا أو خارجيا ولابد أن تكون هذه الضوابط قوية وصارمة مثل السياسات Policies والإجراءات Procedures.
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
•يمكن أن ترتبط الضوابط الإدارية أيضا بضوابط فنية مثل طلب وصول Access لموظف جديد بالشركة من خلال مديره فقط وهذا ضمن الضوابط الإدارية وعند تمكن الموظف من عمل Access بشكل معين فهذا يعتبر Technical Control.
•أقفال الأبواب والمولدات الكهربية وأيضا طفايات الحريق تعتبر ضوابط مادية وبالنسبة لجهاز الحماية Firewall أو اسم المستخدم وكلمة المرور يعتبر من الضوابط الفنية ويعتبر الاطلاع على تاريخ وذاكرة الموظف من قبل تعيينه وأيضا تدوير طاقم العمالة من ضمن الضوابط الإدارية.
•Clean Desk Police : تحث على عدم وضع أي ملاحظات ملصقة أو كلمات مرور على المكتب أو شاشة الحاسب أو ترك درج غير مغلق وكل هذه ضمن الضوابط الإدارية.
•Access Control List (ACL) : تعتبر ضمن الضوابط الفنية التي توضع للأجهزة وأنظمة التشغيل لتحديد وتقنين صلاحيات الوصول.