لوو سمحتوو ابي تقرير عن امن البيانات><بليييييييييييييييز:s55:

اتمنى انه يفيدك
.....
المبادئ الأساسية
وهي من أهم المفاهيم قبل اكثر من عشرين عاما، وأمن المعلومات قد عقدت السرية والنزاهة وتوافر (المعروفة باسم الثالوث سي آي ايهCIA) والمبادئ الأساسية لأمن المعلومات. العديد من المتخصصين في مجال أمن المعلوماتالذي نؤمن إيمانا راسخا بأن المساءلة ينبغي أن يضاف كمبدأ أساسي لأمن المعلومات.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=2)] السرية

السرية هو المصطلح المستخدم لمنع الكشف عن معلومات لأشخاص غير مأذون لهم بالأطلاع عليها أو الكشف عنها. على سبيل المثال، بطاقة الائتمان والمعاملات التجارية على شبكة الإنترنت يتطلب رقم بطاقة الائتمان على أن تنتقل من المشتري إلى التاجر ومن التاجر لانجاز وتجهيز المعاملات على الشبكة. يحاول النظام فرض السرية عن طريق تشفير رقم البطاقة أثناء الإرسال، وذلك بالحد من الأماكن التي قد تظهر (في قواعد البيانات، وسجل الملفات، النسخ الاحتياطي، والإيصالات المطبوعة، وهلم جرا)، وذلك بتقييد الوصول إلى الأماكن التي يتم تخزين الرقم والبيانات بها. إذا كان الطرف غير المصرح به يحصل على رقم البطاقة بأي شكل من الأشكال ،وبذلك فقد تم انتهاك مبدأ السرية في حفظ وتخزين البيانات.
خرق السرية يتخذ أشكالا عديدة. تلصص شخص ما على شاشة الكمبيوتر لسرقة كلمات سر الدخول ،أو رؤية بيانات سرية لديك بدون علم منك يمكن أن يكون خرقا للسرية. إذا الكمبيوتر المحمول يحتوي على معلومات حساسة عن موظفي الشركة هو سرق أو بيع، يمكن أن يسفر عن انتهاك لمبدأ السرية. إعطاء معلومات سرية عبر الهاتف هو انتهاك لمبدأ السرية إذا كان الطالب غير مخول أن يحصل على المعلومات.
السرية أمر ضروري (لكنها غير كافية) للحفاظ على الخصوصية من الناس الذين المعلومات الشخصية لنظام التعليق.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=3)] سلامة

في مجال أمن المعلومات، السلامة تعني الحفاظ على البيانات من التغيير والتعدل من الاشخاص الغير مخول لهم بذلك. عندما يقوم شخص بقصد أو بغير قصد انتهاك سلامة أو الإضرار أو حذف ملفات البيانات الهامة وهو غير مخول بذلك فهذه انتهاك لسلامة البيانات، وعندما يصيب فيروس كمبيوتر ويقوم بتعديل بيانات أو اتلافها فهذا انتهاك سلامة بيانات، وعندما يكون الموظف قادرا على تعديل راتبه في قاعدة البيانات والمرتبات، وعندما يقوم مستخدم غير مصرح له بتخريب موقع على شبكة الإنترنت، وهلم جرا.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=4)] توافر

يهدف أي نظام للمعلومات لخدمة غرضه، يجب أن تكون المعلومات متوفرة عند الحاجة إليها. وهذا يعني أن الأنظمة الحاسوبية المستخدمة لتخزين ومعالجة المعلومات، والضوابط الأمنية المستخدمة لحمايته، وقنوات الاتصال المستخدمة للوصول إلى ذلك يجب أن يعمل بشكل صحيح. توافر عالية نظم تهدف إلى ما زالت متاحة في جميع الأوقات، ومنع انقطاع الخدمة بسبب انقطاع التيار الكهربائي، أو تعطل الأجهزة، اونظام الترقيات والتحديث. ضمان توافر ينطوي أيضا على منع الحرمان من الخدمة الهجمات.
في عام 2002، Donn باركر اقتراح نموذج بديل لوكالة المخابرات المركزية الثالوث الكلاسيكي (CIA) الذي وصفه يتكوم من ستة عناصر من المعلومات. العناصر هي السرية (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%B3%D8%B1%D9%8A%D8% A9&action=edit&redlink=1)، حيازة (http://www.study4uae.com/wiki/%D8%AD%D9%8A%D8%A7%D8%B2%D8%A9)، سلامة (http://www.study4uae.com/w/index.php?title=%D8%B3%D9%84%D8%A7%D9%85%D8%A9&action=edit&redlink=1)، أصالة (http://www.study4uae.com/wiki/%D8%A3%D8%B5%D8%A7%D9%84%D8%A9)، توافر (http://www.study4uae.com/w/index.php?title=%D8%AA%D9%88%D8%A7%D9%81%D8%B1&action=edit&redlink=1) والأداة (http://www.study4uae.com/wiki/%D8%A7%D9%84%D8%A3%D8%AF%D8%A7%D8%A9). وقائع Parkerian hexad هي موضع نقاش بين المتخصصين في مجال الأمن.
وأبسط أنواع الحماية هي استخدام نظام التعريف بشخص المستخدم ووثوقية الاستخدام ومشروعيته وهذه الوسائل تهدف إلى ضمان استخدام النظام أو الشبكة من الشخص المخول بالاستخدام وتضم هذه الطائفة كلمات السر بأنواعها، والبطاقات الذكية المستخدمة للتعريف، ووسائل التعريف البيولوجية (http://www.study4uae.com/wiki/%D8%B9%D9%84%D9%85_%D8%A7%D9%84%D8%A3%D8%AD%D9%8A% D8%A7%D8%A1) والتي تعتمد على سمات معينة في الشخص المستخدم متصلة ببنائه البيولوجي المفاتيح المشفرة ويمكن ان نضم إلى هذه الطائفة ما يعرف بالاقفال الإلكترونية التي تحدد مناطق النفاذ.
اذاً نلاحظ مما سبق ان كل هذه التكنولوجيا (http://www.study4uae.com/wiki/%D8%AA%D9%82%D9%86%D9%8A%D8%A9) التي وصل إليها العالم لا يمكن ان تعيش من دون امن المعلومات فعلى سبيل المثال نظام البنوك لو لم يكن هناك امن المعلومات لاستطاع أي شخص ان يدخل على النظام ويغير حسابه ويصبح مليونير من لا شيء.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=5)] إدارة المخاطر

والمعالجة الشاملة للموضوع إدارة المخاطر هو خارج عن نطاق هذا المقال. ومع ذلك، سوف تقدم تعريفا مفيدا لإدارة المخاطر تكون كذلك بعض المصطلحات الأساسية ويشيع استخدامه في عملية إدارة المخاطر.
ينص التعريف التالي لإدارة المخاطر : "إدارة المخاطر هي عملية التعرف على نقاط الضعف والتهديدات الموجهة إلى موارد المعلومات التي تستخدمها المنظمةاو الشبكة المعلوماتية في تحقيق الأهداف التجارية او الاخرى، والحد والتقليل من نقاط الضعف إن وجدت، لتأخذ في الحد من المخاطر إلى مستوى مقبول، على أساس قيمة للموارد المعلومات إلى المنظمة. "
هناك أمران في هذا التعريف التي قد تحتاج إلى بعض التوضيح. أولا، عملية إدارة المخاطر هو تكرار العمليات الجارية ويجب أن يتكرر إلى ما لا نهاية لان بيئة العمل المتغيرة باستمرار، والتهديدات الجديدة والضعف تظهر كل يوم. والثانية اختيار التدابير المضادة (الرقابة) المستخدمة لإدارة المخاطر يجب أن توازن بين الإنتاجية، والتكلفة، وفعالية التدابير المضادة، وقيمة الموجودات وحماية البيانات.
الخطر هو احتمال أن شيئاما سيئا سيحدث يسبب الأذى لأحد الأصول المعلوماتية (أو الخسارة في الأصول). الضعف هو الضعف التي يمكن أن تستخدم لتعريضها للخطر أو التسبب في ضرر لأحد الأصول المعلوماتية. التهديد أي شيء فعل (أو من صنع الإنسان فعل من أفعال الطبيعة) بأن لديه القدرة على التسبب في ضرر.
احتمال أن يشكل تهديدا سوف تستخدم من التعرض للضرر يتسبب في خطر. عندما لا يشكل تهديدا استخدام الضعف لالحاق الاذى، لما له من أثر. في سياق أمن المعلومات، وأثر هو خسارة لتوافر والنزاهة والسرية، وربما غيرها من الخسائر (الدخل المفقود، والخسائر في الأرواح وخسائر في الممتلكات العقارية). وتجدر الإشارة إلى أنه ليس من الممكن تحديد جميع المخاطر، ولا هو ممكن للقضاء على جميع المخاطر. المخاطر المتبقية يسمى المخاطر المتبقية.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=6)] تقييم للمخاطر

السياسة الأمنية (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%B3%D9%8A%D8%A7%D8% B3%D8%A9_%D8%A7%D9%84%D8%A3%D9%85%D9%86%D9%8A%D8%A 9&action=edit&redlink=1)،
تنظيم أمن المعلومات، # إدارة الأصول (http://www.study4uae.com/w/index.php?title=%D8%A5%D8%AF%D8%A7%D8%B1%D8%A9_%D8 %A7%D9%84%D8%A3%D8%B5%D9%88%D9%84&action=edit&redlink=1)،
امن الموارد البشرية (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D9%88%D8%A7%D8%B1%D8%AF_%D8%A7%D9%84%D8%A8%D8% B4%D8%B1%D9%8A%D8%A9&action=edit&redlink=1)،
الجسدية الأمن البيئي (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%A3%D9%85%D9%86_%D8 %A7%D9%84%D8%A8%D9%8A%D8%A6%D9%8A&action=edit&redlink=1)،
الاتصالات (http://www.study4uae.com/wiki/%D8%A7%D9%84%D8%A7%D8%AA%D8%B5%D8%A7%D9%84%D8%A7%D 8%AA) وإدارة العمليات (http://www.study4uae.com/wiki/%D8%A5%D8%AF%D8%A7%D8%B1%D8%A9_%D8%A7%D9%84%D8%B9% D9%85%D9%84%D9%8A%D8%A7%D8%AA)، # التحكم في الوصول (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%AA%D8%AD%D9%83%D9% 85_%D9%81%D9%8A_%D8%A7%D9%84%D9%88%D8%B5%D9%88%D9% 84&action=edit&redlink=1)،
اقتناء نظم المعلومات (http://www.study4uae.com/wiki/%D9%86%D8%B8%D9%85_%D8%A7%D9%84%D9%85%D8%B9%D9%84% D9%88%D9%85%D8%A7%D8%AA) وتطويرها وصيانتها أو ما يسمى ب التحديث (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%AA%D8%AD%D8%AF%D9% 8A%D8%AB&action=edit&redlink=1)، # أمن المعلومات إدارة الحادث (http://www.study4uae.com/w/index.php?title=%D8%A5%D8%AF%D8%A7%D8%B1%D8%A9_%D8 %A7%D9%84%D8%AD%D8%A7%D8%AF%D8%AB&action=edit&redlink=1)،
إدارة استمرارية الأعمال
التوافق التنظيمي (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%AA%D9%88%D8%A7%D9% 81%D9%82_%D8%A7%D9%84%D8%AA%D9%86%D8%B8%D9%8A%D9%8 5%D9%8A&action=edit&redlink=1).
== عملية إدارة المخاطر يتألف من == .تحديد الموجودات وتقدير قيمتها. تشمل ما يلي : الناس والمباني والأجهزة والبرامج والبيانات (الإلكترونية والمطبوعة وغيرها)، واللوازم.
.إجراء تقييم التهديد. وتشمل : أفعال الطبيعة، أعمال الحرب والحوادث والأفعال الضارة القادمة من داخل أو خارج المنظمة.
.إجراء تقييم الضعف، ولكل الضعف، وحساب احتمال أن يكون للاستغلال. تقييم السياسات والإجراءات والمعايير، والتدريب، الأمن المادي، مراقبة الجودة والأمن التقني.
.في حسبانها تأثير كل ذلك من شأنه أن يكون خطرا على كل الموجودات. استخدام التحليل النوعي أو التحليل الكمي.
.تحديد واختيار وتطبيق الضوابط المناسبة. تقدم ردا متناسبا. النظر في الإنتاجية، وفعالية التكاليف، وقيمة الموجودات.
.تقييم فعالية تدابير المكافحة. ضمان توفير الضوابط اللازمة لحماية فعالة من حيث التكلفة دون فقدان ملحوظ في الإنتاجية.
عن أي خطر معين، يمكن أن تختار الإدارة التنفيذية قبول المخاطرة استنادا إلى انخفاض القيمة النسبية للموجودات، وتواتر حدوث منخفضة نسبيا، وأثر انخفاض نسبي على الأعمال التجارية. أو، قد تختار القيادة التخفيف من المخاطر من خلال تحديد وتنفيذ تدابير الرقابة المناسبة للحد من مخاطر. في بعض الحالات، يمكن أن يكون خطر نقل إلى آخر أعمال التأمين عن طريق شراء أو التسنيد إلى آخر الأعمال. قد واقع بعض المخاطر يمكن الجدال فيها. في مثل هذه الحالات قد تختار القيادة إنكار المخاطر. هذا هو في حد ذاته يشكل خطرا محتملا
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=7)] اعتماد وتدقيق أمن المعلومات

أصبحت النظم المعلوماتية وقواعد البيانات وشبكات الاتصال عصب العالم المعرفي والصناعي والمالي والصحي وغيرها من القطاعات. حيث أصبح من المهم الحفاظ على أمن المعلومات بعناصره الرئيسية الثلاث: السرية والصوابية والاستمرارية. وعلى المستوى العالمي يبرز نظام الأيزو للاعتماد والتقييم والتقييس 27001 لضمان أمن المعلومات. كما يوجد نظام HIPAA في الولايات المتحدة الأمريكية لضمان أمن المعلومات الصحية ونظام COBIT من ISACA لأمن المعلومات.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=8)] الضوابط

عندما يختار الإدارة للتخفيف من المخاطر، فإنها تفعل ذلك من خلال تنفيذ واحد أو أكثر من ثلاثة أنواع مختلفة من الضوابط.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=9)] الإدارية

الرقابة الإدارية (وتسمى أيضا الضوابط الإجرائية) تتألف من الموافقة الخطية والسياسات والإجراءات والمعايير والمبادئ التوجيهية. الرقابة الإدارية تشكل إطارا لإدارة الأعمال التجارية وإدارة الأفراد. انها إطلاع الناس على كيفية عمل ما وهو كيفة تشغيل العمليات اليومية ويجب أن تجرى. القوانين واللوائح التي أنشأتها الهيئات الحكومية هي أيضا نوع من الرقابة الإدارية لأنها أبلغ الأعمال. بعض قطاعات الصناعة والسياسات والإجراءات والمعايير والمبادئ التوجيهية التي يجب اتباعها—الدفع صناعة بطاقات) معيار أمن البيانات المطلوبة من قبل تأشيرة الدخول وماستر كارد هو مثال على ذلك. ومن الأمثلة الأخرى على ضوابط إدارية وتشمل الشركات السياسة الأمنية، سياسة كلمة السر، سياسات التوظيف، والسياسات التأديبية.
الرقابة الإدارية تشكل أساسا للاختيار وتنفيذ الضوابط المنطقية والفيزيائية. الضوابط المنطقية والفيزيائية هي مظاهر الرقابة الإدارية. الضوابط الإدارية لهما أهمية قصوى.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=10)] منطقي

الضوابط المنطقية (وتسمى أيضا الضوابط التقنية) استخدام البرمجيات والبيانات لرصد ومراقبة الوصول إلى نظم المعلومات والحوسبة. على سبيل المثال :كلمات السر (http://www.study4uae.com/w/index.php?title=%D9%83%D9%84%D9%85%D8%A7%D8%AA_%D8 %A7%D9%84%D8%B3%D8%B1&action=edit&redlink=1)، والجدران النارية (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%AC%D8%AF%D8%B1%D8% A7%D9%86_%D8%A7%D9%84%D9%86%D8%A7%D8%B1%D9%8A%D8%A 9&action=edit&redlink=1)، وكشف التسلل (http://www.study4uae.com/w/index.php?title=%D9%83%D8%B4%D9%81_%D8%A7%D9%84%D8 %AA%D8%B3%D9%84%D9%84&action=edit&redlink=1)، قوائم التحكم بالولوج (http://www.study4uae.com/w/index.php?title=%D8%A7%D9%84%D8%AA%D8%AD%D9%83%D9% 85_%D8%A8%D8%A7%D9%84%D9%88%D9%84%D9%88%D8%AC&action=edit&redlink=1)، وتشفير البيانات (http://www.study4uae.com/w/index.php?title=%D8%AA%D8%B4%D9%81%D9%8A%D8%B1_%D8 %A7%D9%84%D8%A8%D9%8A%D8%A7%D9%86%D8%A7%D8%AA&action=edit&redlink=1) والضوابط المنطقية.
رقابة هامة من المنطقي أن يتم التغاضي عن كثير من الأحيان هو مبدأ الامتيازات (http://www.study4uae.com/wiki/%D8%A7%D9%84%D8%A7%D9%85%D8%AA%D9%8A%D8%A7%D8%B2%D 8%A7%D8%AA) الأقل. أل مبدأ الامتيازات الأقل يتطلب أن الفرد أو برنامج أو عملية النظام لا يتم منح أي امتيازات وصول أكثر من ضرورية لأداء المهمة. وثمة مثال صارخ على عدم التقيد بمبدأ الأقل امتياز هو تسجيل الدخول إلى ويندوز المستخدم المسؤول لقراءة البريد الإلكتروني وتصفح الإنترنت. انتهاكات من هذا المبدأ يمكن أن يحدث أيضا عند الفرد بجمع امتيازات الوصول إضافية بمرور الوقت. هذا يحدث عندما العمال تغيير واجبات العمل، أو أنهم ترقيته إلى منصب جديد، أو أنهم نقل إلى قسم آخر. امتيازات الوصول التي تتطلبها مهامهم الجديدة كثيرا ما أضيف على امتيازاتها وصول القائمة بالفعل والتي قد لا تكون ضرورية أو مناسبة.
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=11)] المادية

الضوابط المادية رصد ومراقبة البيئة في مكان العمل ومرافق الحوسبة. كما رصد ومراقبة الدخول والخروج من هذه المرافق. على سبيل المثال الأبواب والأقفال، والتدفئة وتكييف الهواء والدخان وأجهزة إنذار الحريق ونظم إخماد الحريق، والكاميرات، ووضع المتاريس، والمبارزة، وحراس الأمن، وتأمين الكابلات، وما إلى ذلك فصل الشبكة، ومكان العمل في مجالات وظيفية هي أيضا الضوابط المادية.
رقابة هامة المادية التي كثيرا ما يتم تجاهلها في الفصل بين الواجبات. الفصل بين الواجبات ويضمن أن الفرد لا يستطيع إكمال المهمة الحاسمة بنفسه. على سبيل المثال : الموظف الذي يقدم طلبا لسداد لا ينبغي أيضا أن يكون قادرا على أن يأذن بدفع أو طباعة الشيك. مبرمج تطبيقات لا ينبغي أن يكون أيضا مسؤول الملقم أو مدير قاعدة البيانات—هذه الأدوار والمسؤوليات يجب أن تكون مفصولة عن بعضها البعض
[عدل (http://www.study4uae.com/w/index.php?title=%D8%A3%D9%85%D9%86_%D8%A7%D9%84%D9 %85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA&action=edit&section=12)] شهادات لخبراء أمن المعلومات

تعد CISA مدقق نظم المعلومات المعتمد أحد أبرز الشهادات في إدارة وتدقييق النظم المعلوماتية. كما تعتبر شهادة CISSP خبير أمن معلومات معتمد شهادة مهمة في أمن المعلومات. كما توجد شهادات متخصصة في أغلب الشركات الكبيرة لتخصص أمن المعلومات مثل ميكرسوفت وسن وسيسكو وغيرها من الشركات

اتمنى انه يفيدك
.....
المبادئ الأساسية
وهي من أهم المفاهيم قبل اكثر من عشرين عاما، وأمن المعلومات قد عقدت السرية والنزاهة وتوافر (المعروفة باسم الثالوث سي آي ايهcia) والمبادئ الأساسية لأمن المعلومات. العديد من المتخصصين في مجال أمن المعلوماتالذي نؤمن إيمانا راسخا بأن المساءلة ينبغي أن يضاف كمبدأ أساسي لأمن المعلومات.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=2)] السرية

السرية هو المصطلح المستخدم لمنع الكشف عن معلومات لأشخاص غير مأذون لهم بالأطلاع عليها أو الكشف عنها. على سبيل المثال، بطاقة الائتمان والمعاملات التجارية على شبكة الإنترنت يتطلب رقم بطاقة الائتمان على أن تنتقل من المشتري إلى التاجر ومن التاجر لانجاز وتجهيز المعاملات على الشبكة. يحاول النظام فرض السرية عن طريق تشفير رقم البطاقة أثناء الإرسال، وذلك بالحد من الأماكن التي قد تظهر (في قواعد البيانات، وسجل الملفات، النسخ الاحتياطي، والإيصالات المطبوعة، وهلم جرا)، وذلك بتقييد الوصول إلى الأماكن التي يتم تخزين الرقم والبيانات بها. إذا كان الطرف غير المصرح به يحصل على رقم البطاقة بأي شكل من الأشكال ،وبذلك فقد تم انتهاك مبدأ السرية في حفظ وتخزين البيانات.
خرق السرية يتخذ أشكالا عديدة. تلصص شخص ما على شاشة الكمبيوتر لسرقة كلمات سر الدخول ،أو رؤية بيانات سرية لديك بدون علم منك يمكن أن يكون خرقا للسرية. إذا الكمبيوتر المحمول يحتوي على معلومات حساسة عن موظفي الشركة هو سرق أو بيع، يمكن أن يسفر عن انتهاك لمبدأ السرية. إعطاء معلومات سرية عبر الهاتف هو انتهاك لمبدأ السرية إذا كان الطالب غير مخول أن يحصل على المعلومات.
السرية أمر ضروري (لكنها غير كافية) للحفاظ على الخصوصية من الناس الذين المعلومات الشخصية لنظام التعليق.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=3)] سلامة

في مجال أمن المعلومات، السلامة تعني الحفاظ على البيانات من التغيير والتعدل من الاشخاص الغير مخول لهم بذلك. عندما يقوم شخص بقصد أو بغير قصد انتهاك سلامة أو الإضرار أو حذف ملفات البيانات الهامة وهو غير مخول بذلك فهذه انتهاك لسلامة البيانات، وعندما يصيب فيروس كمبيوتر ويقوم بتعديل بيانات أو اتلافها فهذا انتهاك سلامة بيانات، وعندما يكون الموظف قادرا على تعديل راتبه في قاعدة البيانات والمرتبات، وعندما يقوم مستخدم غير مصرح له بتخريب موقع على شبكة الإنترنت، وهلم جرا.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=4)] توافر

يهدف أي نظام للمعلومات لخدمة غرضه، يجب أن تكون المعلومات متوفرة عند الحاجة إليها. وهذا يعني أن الأنظمة الحاسوبية المستخدمة لتخزين ومعالجة المعلومات، والضوابط الأمنية المستخدمة لحمايته، وقنوات الاتصال المستخدمة للوصول إلى ذلك يجب أن يعمل بشكل صحيح. توافر عالية نظم تهدف إلى ما زالت متاحة في جميع الأوقات، ومنع انقطاع الخدمة بسبب انقطاع التيار الكهربائي، أو تعطل الأجهزة، اونظام الترقيات والتحديث. ضمان توافر ينطوي أيضا على منع الحرمان من الخدمة الهجمات.
في عام 2002، donn باركر اقتراح نموذج بديل لوكالة المخابرات المركزية الثالوث الكلاسيكي (cia) الذي وصفه يتكوم من ستة عناصر من المعلومات. العناصر هي السرية (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%b3%d8%b1%d9%8a%d8% a9&action=edit&redlink=1)، حيازة (http://www.study4uae.com/wiki/%d8%ad%d9%8a%d8%a7%d8%b2%d8%a9)، سلامة (http://www.study4uae.com/w/index.php?title=%d8%b3%d9%84%d8%a7%d9%85%d8%a9&action=edit&redlink=1)، أصالة (http://www.study4uae.com/wiki/%d8%a3%d8%b5%d8%a7%d9%84%d8%a9)، توافر (http://www.study4uae.com/w/index.php?title=%d8%aa%d9%88%d8%a7%d9%81%d8%b1&action=edit&redlink=1) والأداة (http://www.study4uae.com/wiki/%d8%a7%d9%84%d8%a3%d8%af%d8%a7%d8%a9). وقائع parkerian hexad هي موضع نقاش بين المتخصصين في مجال الأمن.
وأبسط أنواع الحماية هي استخدام نظام التعريف بشخص المستخدم ووثوقية الاستخدام ومشروعيته وهذه الوسائل تهدف إلى ضمان استخدام النظام أو الشبكة من الشخص المخول بالاستخدام وتضم هذه الطائفة كلمات السر بأنواعها، والبطاقات الذكية المستخدمة للتعريف، ووسائل التعريف البيولوجية (http://www.study4uae.com/wiki/%d8%b9%d9%84%d9%85_%d8%a7%d9%84%d8%a3%d8%ad%d9%8a% d8%a7%d8%a1) والتي تعتمد على سمات معينة في الشخص المستخدم متصلة ببنائه البيولوجي المفاتيح المشفرة ويمكن ان نضم إلى هذه الطائفة ما يعرف بالاقفال الإلكترونية التي تحدد مناطق النفاذ.
اذاً نلاحظ مما سبق ان كل هذه التكنولوجيا (http://www.study4uae.com/wiki/%d8%aa%d9%82%d9%86%d9%8a%d8%a9) التي وصل إليها العالم لا يمكن ان تعيش من دون امن المعلومات فعلى سبيل المثال نظام البنوك لو لم يكن هناك امن المعلومات لاستطاع أي شخص ان يدخل على النظام ويغير حسابه ويصبح مليونير من لا شيء.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=5)] إدارة المخاطر

والمعالجة الشاملة للموضوع إدارة المخاطر هو خارج عن نطاق هذا المقال. ومع ذلك، سوف تقدم تعريفا مفيدا لإدارة المخاطر تكون كذلك بعض المصطلحات الأساسية ويشيع استخدامه في عملية إدارة المخاطر.
ينص التعريف التالي لإدارة المخاطر : "إدارة المخاطر هي عملية التعرف على نقاط الضعف والتهديدات الموجهة إلى موارد المعلومات التي تستخدمها المنظمةاو الشبكة المعلوماتية في تحقيق الأهداف التجارية او الاخرى، والحد والتقليل من نقاط الضعف إن وجدت، لتأخذ في الحد من المخاطر إلى مستوى مقبول، على أساس قيمة للموارد المعلومات إلى المنظمة. "
هناك أمران في هذا التعريف التي قد تحتاج إلى بعض التوضيح. أولا، عملية إدارة المخاطر هو تكرار العمليات الجارية ويجب أن يتكرر إلى ما لا نهاية لان بيئة العمل المتغيرة باستمرار، والتهديدات الجديدة والضعف تظهر كل يوم. والثانية اختيار التدابير المضادة (الرقابة) المستخدمة لإدارة المخاطر يجب أن توازن بين الإنتاجية، والتكلفة، وفعالية التدابير المضادة، وقيمة الموجودات وحماية البيانات.
الخطر هو احتمال أن شيئاما سيئا سيحدث يسبب الأذى لأحد الأصول المعلوماتية (أو الخسارة في الأصول). الضعف هو الضعف التي يمكن أن تستخدم لتعريضها للخطر أو التسبب في ضرر لأحد الأصول المعلوماتية. التهديد أي شيء فعل (أو من صنع الإنسان فعل من أفعال الطبيعة) بأن لديه القدرة على التسبب في ضرر.
احتمال أن يشكل تهديدا سوف تستخدم من التعرض للضرر يتسبب في خطر. عندما لا يشكل تهديدا استخدام الضعف لالحاق الاذى، لما له من أثر. في سياق أمن المعلومات، وأثر هو خسارة لتوافر والنزاهة والسرية، وربما غيرها من الخسائر (الدخل المفقود، والخسائر في الأرواح وخسائر في الممتلكات العقارية). وتجدر الإشارة إلى أنه ليس من الممكن تحديد جميع المخاطر، ولا هو ممكن للقضاء على جميع المخاطر. المخاطر المتبقية يسمى المخاطر المتبقية.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=6)] تقييم للمخاطر

السياسة الأمنية (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%b3%d9%8a%d8%a7%d8% b3%d8%a9_%d8%a7%d9%84%d8%a3%d9%85%d9%86%d9%8a%d8%a 9&action=edit&redlink=1)،
تنظيم أمن المعلومات، # إدارة الأصول (http://www.study4uae.com/w/index.php?title=%d8%a5%d8%af%d8%a7%d8%b1%d8%a9_%d8 %a7%d9%84%d8%a3%d8%b5%d9%88%d9%84&action=edit&redlink=1)،
امن الموارد البشرية (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d9%88%d8%a7%d8%b1%d8%af_%d8%a7%d9%84%d8%a8%d8% b4%d8%b1%d9%8a%d8%a9&action=edit&redlink=1)،
الجسدية الأمن البيئي (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%a3%d9%85%d9%86_%d8 %a7%d9%84%d8%a8%d9%8a%d8%a6%d9%8a&action=edit&redlink=1)،
الاتصالات (http://www.study4uae.com/wiki/%d8%a7%d9%84%d8%a7%d8%aa%d8%b5%d8%a7%d9%84%d8%a7%d 8%aa) وإدارة العمليات (http://www.study4uae.com/wiki/%d8%a5%d8%af%d8%a7%d8%b1%d8%a9_%d8%a7%d9%84%d8%b9% d9%85%d9%84%d9%8a%d8%a7%d8%aa)، # التحكم في الوصول (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%aa%d8%ad%d9%83%d9% 85_%d9%81%d9%8a_%d8%a7%d9%84%d9%88%d8%b5%d9%88%d9% 84&action=edit&redlink=1)،
اقتناء نظم المعلومات (http://www.study4uae.com/wiki/%d9%86%d8%b8%d9%85_%d8%a7%d9%84%d9%85%d8%b9%d9%84% d9%88%d9%85%d8%a7%d8%aa) وتطويرها وصيانتها أو ما يسمى ب التحديث (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%aa%d8%ad%d8%af%d9% 8a%d8%ab&action=edit&redlink=1)، # أمن المعلومات إدارة الحادث (http://www.study4uae.com/w/index.php?title=%d8%a5%d8%af%d8%a7%d8%b1%d8%a9_%d8 %a7%d9%84%d8%ad%d8%a7%d8%af%d8%ab&action=edit&redlink=1)،
إدارة استمرارية الأعمال
التوافق التنظيمي (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%aa%d9%88%d8%a7%d9% 81%d9%82_%d8%a7%d9%84%d8%aa%d9%86%d8%b8%d9%8a%d9%8 5%d9%8a&action=edit&redlink=1).
== عملية إدارة المخاطر يتألف من == .تحديد الموجودات وتقدير قيمتها. تشمل ما يلي : الناس والمباني والأجهزة والبرامج والبيانات (الإلكترونية والمطبوعة وغيرها)، واللوازم.
.إجراء تقييم التهديد. وتشمل : أفعال الطبيعة، أعمال الحرب والحوادث والأفعال الضارة القادمة من داخل أو خارج المنظمة.
.إجراء تقييم الضعف، ولكل الضعف، وحساب احتمال أن يكون للاستغلال. تقييم السياسات والإجراءات والمعايير، والتدريب، الأمن المادي، مراقبة الجودة والأمن التقني.
.في حسبانها تأثير كل ذلك من شأنه أن يكون خطرا على كل الموجودات. استخدام التحليل النوعي أو التحليل الكمي.
.تحديد واختيار وتطبيق الضوابط المناسبة. تقدم ردا متناسبا. النظر في الإنتاجية، وفعالية التكاليف، وقيمة الموجودات.
.تقييم فعالية تدابير المكافحة. ضمان توفير الضوابط اللازمة لحماية فعالة من حيث التكلفة دون فقدان ملحوظ في الإنتاجية.
عن أي خطر معين، يمكن أن تختار الإدارة التنفيذية قبول المخاطرة استنادا إلى انخفاض القيمة النسبية للموجودات، وتواتر حدوث منخفضة نسبيا، وأثر انخفاض نسبي على الأعمال التجارية. أو، قد تختار القيادة التخفيف من المخاطر من خلال تحديد وتنفيذ تدابير الرقابة المناسبة للحد من مخاطر. في بعض الحالات، يمكن أن يكون خطر نقل إلى آخر أعمال التأمين عن طريق شراء أو التسنيد إلى آخر الأعمال. قد واقع بعض المخاطر يمكن الجدال فيها. في مثل هذه الحالات قد تختار القيادة إنكار المخاطر. هذا هو في حد ذاته يشكل خطرا محتملا
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=7)] اعتماد وتدقيق أمن المعلومات

أصبحت النظم المعلوماتية وقواعد البيانات وشبكات الاتصال عصب العالم المعرفي والصناعي والمالي والصحي وغيرها من القطاعات. حيث أصبح من المهم الحفاظ على أمن المعلومات بعناصره الرئيسية الثلاث: السرية والصوابية والاستمرارية. وعلى المستوى العالمي يبرز نظام الأيزو للاعتماد والتقييم والتقييس 27001 لضمان أمن المعلومات. كما يوجد نظام hipaa في الولايات المتحدة الأمريكية لضمان أمن المعلومات الصحية ونظام cobit من isaca لأمن المعلومات.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=8)] الضوابط

عندما يختار الإدارة للتخفيف من المخاطر، فإنها تفعل ذلك من خلال تنفيذ واحد أو أكثر من ثلاثة أنواع مختلفة من الضوابط.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=9)] الإدارية

الرقابة الإدارية (وتسمى أيضا الضوابط الإجرائية) تتألف من الموافقة الخطية والسياسات والإجراءات والمعايير والمبادئ التوجيهية. الرقابة الإدارية تشكل إطارا لإدارة الأعمال التجارية وإدارة الأفراد. انها إطلاع الناس على كيفية عمل ما وهو كيفة تشغيل العمليات اليومية ويجب أن تجرى. القوانين واللوائح التي أنشأتها الهيئات الحكومية هي أيضا نوع من الرقابة الإدارية لأنها أبلغ الأعمال. بعض قطاعات الصناعة والسياسات والإجراءات والمعايير والمبادئ التوجيهية التي يجب اتباعها—الدفع صناعة بطاقات) معيار أمن البيانات المطلوبة من قبل تأشيرة الدخول وماستر كارد هو مثال على ذلك. ومن الأمثلة الأخرى على ضوابط إدارية وتشمل الشركات السياسة الأمنية، سياسة كلمة السر، سياسات التوظيف، والسياسات التأديبية.
الرقابة الإدارية تشكل أساسا للاختيار وتنفيذ الضوابط المنطقية والفيزيائية. الضوابط المنطقية والفيزيائية هي مظاهر الرقابة الإدارية. الضوابط الإدارية لهما أهمية قصوى.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=10)] منطقي

الضوابط المنطقية (وتسمى أيضا الضوابط التقنية) استخدام البرمجيات والبيانات لرصد ومراقبة الوصول إلى نظم المعلومات والحوسبة. على سبيل المثال :كلمات السر (http://www.study4uae.com/w/index.php?title=%d9%83%d9%84%d9%85%d8%a7%d8%aa_%d8 %a7%d9%84%d8%b3%d8%b1&action=edit&redlink=1)، والجدران النارية (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%ac%d8%af%d8%b1%d8% a7%d9%86_%d8%a7%d9%84%d9%86%d8%a7%d8%b1%d9%8a%d8%a 9&action=edit&redlink=1)، وكشف التسلل (http://www.study4uae.com/w/index.php?title=%d9%83%d8%b4%d9%81_%d8%a7%d9%84%d8 %aa%d8%b3%d9%84%d9%84&action=edit&redlink=1)، قوائم التحكم بالولوج (http://www.study4uae.com/w/index.php?title=%d8%a7%d9%84%d8%aa%d8%ad%d9%83%d9% 85_%d8%a8%d8%a7%d9%84%d9%88%d9%84%d9%88%d8%ac&action=edit&redlink=1)، وتشفير البيانات (http://www.study4uae.com/w/index.php?title=%d8%aa%d8%b4%d9%81%d9%8a%d8%b1_%d8 %a7%d9%84%d8%a8%d9%8a%d8%a7%d9%86%d8%a7%d8%aa&action=edit&redlink=1) والضوابط المنطقية.
رقابة هامة من المنطقي أن يتم التغاضي عن كثير من الأحيان هو مبدأ الامتيازات (http://www.study4uae.com/wiki/%d8%a7%d9%84%d8%a7%d9%85%d8%aa%d9%8a%d8%a7%d8%b2%d 8%a7%d8%aa) الأقل. أل مبدأ الامتيازات الأقل يتطلب أن الفرد أو برنامج أو عملية النظام لا يتم منح أي امتيازات وصول أكثر من ضرورية لأداء المهمة. وثمة مثال صارخ على عدم التقيد بمبدأ الأقل امتياز هو تسجيل الدخول إلى ويندوز المستخدم المسؤول لقراءة البريد الإلكتروني وتصفح الإنترنت. انتهاكات من هذا المبدأ يمكن أن يحدث أيضا عند الفرد بجمع امتيازات الوصول إضافية بمرور الوقت. هذا يحدث عندما العمال تغيير واجبات العمل، أو أنهم ترقيته إلى منصب جديد، أو أنهم نقل إلى قسم آخر. امتيازات الوصول التي تتطلبها مهامهم الجديدة كثيرا ما أضيف على امتيازاتها وصول القائمة بالفعل والتي قد لا تكون ضرورية أو مناسبة.
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=11)] المادية

الضوابط المادية رصد ومراقبة البيئة في مكان العمل ومرافق الحوسبة. كما رصد ومراقبة الدخول والخروج من هذه المرافق. على سبيل المثال الأبواب والأقفال، والتدفئة وتكييف الهواء والدخان وأجهزة إنذار الحريق ونظم إخماد الحريق، والكاميرات، ووضع المتاريس، والمبارزة، وحراس الأمن، وتأمين الكابلات، وما إلى ذلك فصل الشبكة، ومكان العمل في مجالات وظيفية هي أيضا الضوابط المادية.
رقابة هامة المادية التي كثيرا ما يتم تجاهلها في الفصل بين الواجبات. الفصل بين الواجبات ويضمن أن الفرد لا يستطيع إكمال المهمة الحاسمة بنفسه. على سبيل المثال : الموظف الذي يقدم طلبا لسداد لا ينبغي أيضا أن يكون قادرا على أن يأذن بدفع أو طباعة الشيك. مبرمج تطبيقات لا ينبغي أن يكون أيضا مسؤول الملقم أو مدير قاعدة البيانات—هذه الأدوار والمسؤوليات يجب أن تكون مفصولة عن بعضها البعض
[عدل (http://www.study4uae.com/w/index.php?title=%d8%a3%d9%85%d9%86_%d8%a7%d9%84%d9 %85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa&action=edit&section=12)] شهادات لخبراء أمن المعلومات

تعد cisa مدقق نظم المعلومات المعتمد أحد أبرز الشهادات في إدارة وتدقييق النظم المعلوماتية. كما تعتبر شهادة cissp خبير أمن معلومات معتمد شهادة مهمة في أمن المعلومات. كما توجد شهادات متخصصة في أغلب الشركات الكبيرة لتخصص أمن المعلومات مثل ميكرسوفت وسن وسيسكو وغيرها من الشركات

مشكووووووووووووورة ختيه و ما تقصرين ....