أنواع الضوابط الأمنية - ProgrammerTech
Language:

Search

أنواع الضوابط الأمنية

  • Share this:
أنواع الضوابط الأمنية

Security Control     

في الواقع، هناك الكثير من أجهزة الحماية التي يجب أن تكون على دراية بها لتطبيق مبادئ أمن المعلومات CIA Triad كمتخصص في مجال أمن المعلومات. يجب أن تكون لديك القدرة على مقارنة ضوابط الأمان ويجب أن تكون قادرًا أيضًا على معرفة تأثير الضوابط الأمنية داخل المؤسسة وأيضًا اختيار وتكوين ضوابط الأمان وتحديد أنواع الضوابط الأمنية وتطبيقها داخل المؤسسة.

وعادة ما يتم النظر في ضمان المعلومات في عملية شاملة لإدارة المخاطر الأمنية. هذا هو عمل المتخصصين في أمن المعلومات. وقد وضعت بعض المنظمات المختلفة إطارا (framework ) للعمل على هذه الإيجارات، وهو مجموعة من السياسات التي يتم وضعها داخل المنظمة للحد من المخاطر بشكل عام والوفاء بأفضل الممارسات التي ينبغي وضعها داخل الشركة. ويشار إلى هذه الجراءات والسياسات والأنشطة مجتمعة بأنها ضوابط أمنية.

 Security control هو شي مصمم لمنح النظام خصاص ( confidentiality , integrity , availability and non-repudiation ) CIA Triad ويتم تقسيم تلك الضوابط ألي ثلاث فئات رئيسية تمثل طريقة التنفيذ و التحكم.        

Technical Security control : يتم تنفيذ التحكم كجهاز أو نظام برمجي. مثال على ذلك. جدار الحماية وبرامج مكافحة الفيروسات ونماذج التحكم في الوصول. ويمكن أيضا وصف الضوابط التقنية بأنها ضوابط منطقية.       

Operational Security control : هنا يتم تنفيذ السيطرة من قبل أشخاص مثل حراس الأمن ويمكن وصفها بأنها ضوابط تشغيلية وليست ضوابط تقنية.

Managerial Security control : يمنح سيطرة كاملة على نظام المعلومات لوضع خطط وسياسات للحد من المخاطر الأمنية تشمل تحديد المخاطر الأمنية وتحديد واختيار الضوابط الأمنية المناسبة في المكان المناسب

ومن الممكن أيضا تصنيف الضوابط الأمنية من حيث الهدف أو الوظيفة.(Goal or Function ).


Security Control Functional Types     

Preventive Security control : إنه مصطلح يشير إلى جميع الضوابط الأمنية. التي تعمل قبل الهجوم لغرض اكتشافه وحمايته من ذلك الهجوم بغض النظر عن العناصر الأمنية سواء كان Software أو hardware مثال علي ذلك IPS و Access control lists ( ACL ) و firewalls . باختصار، يشير المصطلح إلى جميع العناصر الأمنية التي تعمل قبل وقوع هجوم على مؤسسة.      

Detective Security control: مصطلح يعكس إلى حد ما مصطلح Preventive . إنها مجموعة من الضوابط الأمنية التي تعمل وقت الهجوم بغض النظر عن حقيقة أن هذه الأجهزة لا يمكنها منع الهجوم ولكنها ستحدد وتسجل محاولة اقتحام ناجحة وتعيد سجلات الهجوم بالتفصيل وترسل التقارير إلى مدير الشبكة كمثال على أجهزة IDS .

Corrective Security control:      مصطلح يشير إلى الإجراءات التي يمكن اتخاذها بعد اختراق أمني ناجح. ومن الأمثلة على ذلك نسخة من البيانات المدمرة. على سبيل المثال، يجب أن يكون هناك نسخة احتياطية من البيانات حتى لو تم مسح البيانات، فهناك نسخة احتياطية.

بينما يمكن تصنيف الضوابط وظيفيًا ( Preventive , Detective , Corrective ) ويمكن استخدام بعض المصطلحات الأخرى لتحديد الحالات الأخرى    

Physical Security control : مصطلح يشير إلى جميع أجهزة الحماية المادية. مثل الكاميرات وأجهزة الإنذار والأقفال والبوابات

Deterrent Security control : إنه نوع من التحكم الأمني الذي يتلاعب بالجانب النفسي للمهاجم الذي قد لا يمنع المهاجم جسديًا أو منطقيًا. لكنه يثني المهاجم عن الجانب النفسي ويمكن أن يؤدي إلى عدم وقوع الهجوم بشكل رئيسي. ومن الأمثلة على ذلك  التحذيرات من العقوبات القانونية ضد التعدي على ممتلكات الغير.    

Compensating Security control : يشير هذا المصطلح إلى عملية تعويض الضوابط الأمنية بخلاف ذلك إذا كان هناك نقص في حراس الأمن ما هي الضوابط الأمنية التي يمكن استخدامها كبديل لحراس الأمن على سبيل المثال بوابات الكشف عن المعادن. باختصار، إذا كان هناك ضرر فقط لأي ضوابط أمنية، فإن هذا المصطلح يشير إلى البديل أو التعويض.

كما يتم وضع الضوابط الأمنية من خلال مجموعة من السياسات والقوانين على المستويين الداخلي والخارجي للشركة وتشمل تلك القوانين والسياسات. حول أنواع الضوابط الأمنية المناسبة وكذلك موقعها على الشبكة. ويشمل أيضا جميع السياسات والإجراءات. للحد من المخاطر الأمنية، هناك مجموعة من Frameworks  التي تساعد على تطوير القوانين والسياسات.

security contro
Security control     

 

Cybersecurity Framework    


هناك مجموعة من الشركات التي وصعت framework للمساعدة في تطوير السياسات داخل المؤسسات برغم من تلك القوانين و السياسات ألا انه هناك سياسات وقوانين ثابتة لجميع المؤسسات وهناك سياسات وقوانين تكون خاصة لشركة نفسة علي حسب البنية التحتية لشركة وطريقة عمل تلك الشركة ومن اشهر الشركات التي وضعت framework (NIST , IEEE , IOS ).

وهناك أيضا Framework تستخدم على مستوى تكنولوجي مختلف على سبيل المثال. هناك شيء مخصص على مستوى Cloud مثل IOS 27k وهناك أيضًا شيء مخصص لإدارة المخاطر مثل RMF وهو من NIST وكما تحدثنا، هناك Framework عمل لجميع تقنيتي الحالية الآن من شركات مختلفة


Ahmed Kaissar

Ahmed Kaissar

From Egypt from Giza Governorate a web programmer and information security expert a lover of technology and information security a trainer for languages ​​Python HTML  CSS PHP  JS  Laravel and a CTF test trainer. I hope to communicate everything I have to everyone and do not skimp on any information.