أهمية الامتثال لأمن المعلومات

أهمية الامتثال لأمن المعلومات

منذ الفشل الكبير لشركة Enron ، تدرك معظم المنظمات الكبيرة تمامًا عواقب عدم الامتثال للقوانين الوطنية والدولية والمتطلبات التنظيمية. في الآونة الأخيرة ، أصبحت تقنية المعلومات والاتصالات تحت رادار الهيئات التشريعية في جميع أنحاء العالم ، مما يتطلب من المنظمات الامتثال لمتطلبات أمان البيانات والخصوصية. ومن ثم فإن إدراك ما هو الامتثال لأمن المعلومات أمر بالغ الأهمية لكل مؤسسة ، كبيرها وصغيرها. 

يعد فهم تعريف الامتثال لأمن المعلومات أمرًا مهمًا لتحقيق النجاح. الامتثال هو كل شيء عن تلبية مجموعة من القواعد أو المعايير. يهتم أمن المعلومات بحماية سرية وسلامة وتوافر المعلومات والأصول التكنولوجية داخل المنظمة. لذا ، فإن الامتثال لأمن المعلومات يعني استيفاء القواعد أو المعايير المتعلقة بحماية البيانات والمعلومات.

سيكون هناك عدد من اللوائح الحكومية والصناعية وغيرها من اللوائح لأي منظمة تحدد متطلبات الأمان المحددة للبيانات والمعلومات. يعد ضمان الامتثال لأمن المعلومات ، بما في ذلك الامتثال لأمن تكنولوجيا المعلومات ، مكونًا حيويًا في أي نظام لأمن المعلومات. إن التوافق مع Infosec مدفوع جزئيًا بالحاجة إلى تلبية احتياجات أي منظمات تنظيمية خارجية لأمن المعلومات ، بما في ذلك أي قوانين ولوائح وطنية سارية لأمن المعلومات. ولكن يجب أيضًا أن يكون الامتثال لأمن المعلومات داخل المنظمة مدفوعًا بالرغبة في تجنب التعطيل بسبب انتهاكات البيانات والأمان. سوف تستكشف هذه المقالة سبب ضرورة الامتثال وتقديم نصائح حول كيفية تحقيقه والمحافظة عليه.

معظم البلدان المتقدمة لديها متطلبات قانونية لأمن المعلومات. يهتم بعضها صراحة بحماية البيانات ، مثل تشريعات حماية البيانات وتشريعات إساءة استخدام الكمبيوتر. يهتم البعض بحقوق الإنسان. لدى البعض الآخر اختصاصات أوسع تهدف إلى الحوكمة التنظيمية ، على سبيل المثال ، Sarbanes-Oxley. هناك أيضًا لوائح وامتثال لتكنولوجيا المعلومات تركز بشكل أكبر على التكنولوجيا المستخدمة في تكنولوجيا المعلومات.

هذا يعني أنه بغض النظر عن المكان الذي تعمل فيه ، سيكون هناك العديد من المتطلبات القانونية التي يجب الوفاء بها إذا كنت تريد الحصول على الامتثال لأمن المعلومات. ستعتمد قوانين وممارسات أمن المعلومات المحددة التي يتعين عليك الالتزام بها على البلدان التي تعمل فيها وقطاع الصناعة الخاص بك. قد يكون عدم الامتثال لأي منها مكلفًا للغاية ويمكن أن يؤدي إلى السجن وإغلاق الشركات.

حجم قضية الامتثال

للحصول على فكرة عن حجم لوائح أمن المعلومات ، هناك المئات من القوانين على المستوى الفيدرالي ومستوى الولاية لحماية البيانات الشخصية للأفراد في الولايات المتحدة الأمريكية. يوجد في المملكة المتحدة أكثر من 16 بندًا من التشريعات التي يجب الالتزام بها. بغض النظر عن حجم مؤسستك ، يجب أن تكون على دراية كاملة بالمتطلبات القانونية الخاصة بك لأمن المعلومات والتخطيط للامتثال.

فيما يلي مثال لبعض معايير الامتثال لأمن المعلومات الأكثر شيوعًا في الولايات المتحدة ، كل منها يتعلق بقطاع واحد أو أكثر من قطاعات الصناعة المختلفة:

قانون Sarbanes-Oxley (SOX): يتطلب الامتثال لقانون Sarbanes-Oxley الاحتفاظ بالسجلات المالية لمدة سبع سنوات. إنه مطلوب لجميع مجالس إدارة الشركات الأمريكية وموظفي الإدارة وشركات المحاسبة. يهدف هذا التشريع إلى منع فضيحة أخرى مثل حادثة إنرون ، حيث أدت عملية مسك الدفاتر الاحتيالية إلى سلسلة من الأحداث التي أدت إلى إفلاس الشركة الأمريكية الكبرى للطاقة والسلع والخدمات وحل مدققي حساباتها ، آرثر أندرسن إل إل بي ، والتي كانت واحدة من أكبر شركات التدقيق والمحاسبة في العالم.
GDPR : تهدف اللائحة العامة لحماية البيانات ، أو GDPR ، إلى حماية المواطنين في الاتحاد الأوروبي (EU) من انتهاكات البيانات. ينطبق القانون العام لحماية البيانات (GDPR) على جميع الشركات التي تعالج البيانات الشخصية للأشخاص المقيمين في الاتحاد الأوروبي ، حتى لو لم تكن هذه الشركة موجودة فعليًا أو مقرها في الاتحاد الأوروبي. هذا مثال جيد على كيفية طلب الامتثال لأمن المعلومات للتشريعات التي نشأت في ولاية قضائية أخرى.
القانون الفيدرالي لإدارة أمن المعلومات (FISMA) : يعتبر قانون إدارة أمن المعلومات الفيدرالي لعام 2002 أمن المعلومات مسألة تتعلق بالأمن القومي لجميع الوكالات الفيدرالية الأمريكية. كجزء من مشروع القانون ، يتعين على جميع الوكالات الفيدرالية تطوير أساليب حماية البيانات.
HIPAA :  اختصار لقانون نقل التأمين الصحي والمساءلة. ينص هذا القانون على العديد من اللوائح المتعلقة بالحفاظ على أمن سجلات مرضى الرعاية الصحية. يجب على جميع الشركات التي تتعامل مع بيانات الرعاية الصحية الامتثال للوائح HIPAA عند التعامل مع هذه البيانات.
PCI-DSS : معيار أمان بيانات صناعة بطاقات الدفع عبارة عن مجموعة من اللوائح التي تهدف إلى الحد من الاحتيال ، في المقام الأول من خلال حماية معلومات بطاقة ائتمان العملاء. مطلوب أمان وامتثال PCI-DSS لجميع الشركات التي تتعامل مع هذه المعلومات.

الامتثال لتكنولوجيا المعلومات  

تستهدف معايير الامتثال لأمن تكنولوجيا المعلومات بشكل خاص أنظمة ومكونات تكنولوجيا المعلومات. تحافظ معظم الشركات الكبرى على الامتثال لتقنية المعلومات مقابل معيار واحد على الأقل من معايير الامتثال التنظيمي لتكنولوجيا المعلومات. العديد من معايير الامتثال الأمني ​​هذه إلزامية لأنظمة تكنولوجيا المعلومات ، ولكن حتى عندما لا يكون الأمر كذلك ، فمن الجيد أن تهدف الشركات إلى الامتثال لأن هذا يوفر عددًا من الفوائد:

تحسين الأمان : يساعد الامتثال التنظيمي لأمن تكنولوجيا المعلومات على تحسين تدابير أمان تكنولوجيا المعلومات من خلال تحديد مجموعة أساسية متسقة من الحد الأدنى من المتطلبات. يساعد اعتماد هذا الخط الأساسي على إنشاء مجموعة مشتركة من الأساليب الأمنية داخل قطاع صناعي معين.
تقليل الخسائر : يؤدي تحسين أمان أنظمة تكنولوجيا المعلومات إلى تقليل انتهاكات البيانات. هذا يقلل من تكلفة الخسارة ، والتي يمكن أن تصل إلى ملايين الدولارات ، بما في ذلك الأعمال المفقودة ، وتكاليف استعادة البيانات ، والرسوم القانونية ، والتعويضات.
زيادة التحكم : يتطلب الأمان المحسن سيطرة متزايدة على ملكية تكنولوجيا المعلومات. يمكن أن تساعد الضوابط المحسّنة في منع تلف البيانات وفقدانها وتقليل الوقت المستغرق في مكافحة الهجمات الإلكترونية.
الثقة المحفوظة : يثق العملاء في تكنولوجيا المعلومات لرعاية معلوماتهم. سيظهر الامتثال لمعايير الامتثال لأمن تكنولوجيا المعلومات أن قسم تكنولوجيا المعلومات يهتم بالعميل ويريد الحفاظ على أمان معلوماته.

معايير الامتثال لأمن المعلومات

ISO / IEC 27001 ، المعيار الدولي لنظام إدارة أمن المعلومات (ISMS) ، هو أكثر معايير الامتثال لأمن تكنولوجيا المعلومات استخدامًا. يحدد نهج أفضل الممارسات لتوفير الأمان المناسب للبيانات والمعلومات. يمكن أن يدعم معيار الامتثال لأمن المعلومات جميع اللوائح الأخرى المتعلقة بتكنولوجيا المعلومات من خلال توفير إرشادات منظمة مستقلة لنظام إدارة أمن المعلومات. وهذا يشجع على اتباع نهج قائم على المخاطر لتأمين والحفاظ على سرية وسلامة وتوافر البيانات والمعلومات. يوفر المعيار أيضًا بيئة تحكم شاملة يمكن من خلالها أن تعمل الضوابط المحددة لأنظمة تكنولوجيا المعلومات وقواعد ولوائح تكنولوجيا المعلومات بشكل فعال.

تم نشر المعيار في الأصل في 2005 وتم تنقيحه في 2013. وهو يفصل متطلبات إنشاء وتنفيذ وصيانة وتحسين نظام إدارة أمن المعلومات باستمرار. تم نشر تحديث أوروبي جديد للمعيار في عام 2017. يمكن اعتماد المنظمات وفقًا للمعيار من قبل هيئة اعتماد معتمدة بعد الانتهاء بنجاح من  التدقيق .
يعتمد معيار الامتثال لأمن المعلومات هذا على مبدأ الضوابط داخل نظام إدارة أمن المعلومات المتسق  . وهذا يضمن تخطيط وتنظيم الضوابط لتأمين البيانات والمعلومات بدلاً من وضعها عشوائياً كرد فعل على الحوادث الفردية. يشجع المعيار أيضًا على اتباع نهج شامل لتقنية المعلومات يتضمن العديد من أجزاء المؤسسة بخلاف تكنولوجيا المعلومات ، بما في ذلك الإدارة العليا واستمرارية الأعمال والأمن المادي والموارد البشرية.

لدعم ذلك ، تتطلب ISO / IEC 27001 أن الإدارة:
فحص مخاطر أمن معلومات المنظمة بشكل منهجي ، مع مراعاة التهديدات ونقاط الضعف والتأثيرات.
تصميم وتنفيذ مجموعة متماسكة وشاملة من ضوابط أمن المعلومات و / أو أشكال أخرى من معالجة المخاطر (مثل تجنب المخاطر أو نقل المخاطر) لمواجهة تلك المخاطر التي تعتبر غير مقبولة.
اعتماد عملية إدارة شاملة لضمان استمرار ضوابط أمن المعلومات في تلبية احتياجات أمن معلومات المنظمة على أساس مستمر.
توفر المعايير الأخرى في  مجموعة معايير ISO / IEC 27000  إرشادات إضافية حول جوانب معينة من تصميم وتنفيذ وتشغيل ISMS ، على سبيل المثال ، ISO / IEC 27005 لإدارة مخاطر أمن المعلومات ( ISO / IEC 27005 ).

المتطلبات التنظيمية للأمن السيبراني

بالإضافة إلى لوائح الامتثال العامة لمعلومات أمن المعلومات ، هناك أيضًا لوائح محددة خاصة بالامتثال للأمن السيبراني. وتشمل هذه التوجيهات التي تهدف تحديدًا إلى إجبار الشركات والمؤسسات على تنفيذ حلول لحماية أنظمتها ومعلوماتها من الهجمات الإلكترونية ، بما في ذلك: 

الفيروسات
الديدان
أحصنة طروادة
هجمات التصيد
هجمات رفض الخدمة (DOS)
هناك العديد من الأدوات التي يمكن نشرها كإجراءات للحصول على الامتثال للمتطلبات التنظيمية للأمن السيبراني ، بما في ذلك جدران الحماية وأنظمة مكافحة الفيروسات والتشفير والمصادقة الثنائية وكلمات المرور.

بدأ ظهور معايير محددة للامتثال للأمن السيبراني في عام 2011 عندما أصدرت وزارة الدفاع الأمريكية (DoD) إرشادات حول "التشغيل في الفضاء الإلكتروني". هذا وصف خمسة أهداف: 

لمعاملة الفضاء السيبراني كمجال تشغيلي.
لتوظيف مفاهيم دفاعية جديدة لحماية شبكات وأنظمة وزارة الدفاع.
للدخول في شراكة مع الوكالات الأخرى والقطاع الخاص في السعي لتحقيق "إستراتيجية للأمن السيبراني لكامل الحكومة."
للعمل مع الحلفاء الدوليين لدعم الأمن السيبراني الجماعي. 
لدعم تطوير القوى العاملة السيبرانية القادرة على الابتكار التكنولوجي السريع.
ثم في نوفمبر 2013 ، اقترحت وزارة الدفاع قاعدة جديدة للأمن السيبراني (78 Fed. Reg. 69373) ، والتي فرضت متطلبات معينة على المقاولين. وشمل ذلك الامتثال لمعايير تكنولوجيا المعلومات الخاصة ، والإبلاغ الإلزامي عن حوادث الأمن السيبراني إلى وزارة الدفاع ، وشرط "التدفق إلى الأسفل" الذي يطبق نفس المتطلبات على أي مقاولين من الباطن. 

أصبح الأمن السيبراني الآن على أجندة معظم القوى العالمية ، لأنه يمثل أحد أكبر التهديدات للأعمال والتجارة.

يجب أن يكون الامتثال لأمن المعلومات عنصرًا في جدول أعمال كل مؤسسة ، بغض النظر عن حجمها. مع تنامي التهديدات التي تتعرض لها البيانات والمعلومات ، نمت أيضًا التشريعات التي تهدف إلى حماية البيانات والمعلومات. لم تكن Infosec على الإطلاق بنفس الأهمية التي هي عليها اليوم ، وسيزداد هذا فقط مع انتقال حياتنا بشكل متزايد إلى الأساليب الرقمية. سيكون عدم الامتثال لمتطلبات تقنية المعلومات والاتصالات أمرًا مكلفًا وقد يؤدي إلى فقدان عملك ، لذا حان الوقت الآن للعمل.