ضوابط أمن المعلومات للمؤسسات بقلم المهندس اسماعيل بابكر
عندما تختار الإدارة للتخفيف من المخاطر فإنها تفعل ذلك من خلال تنفيذ الضبط الاتي في امن المعلومات
ضوابط إدارية وتشمل سياسة امن المعلومات سياسة كلمة السر
الضوابط المنطقية وتسمى أيضا الضوابط التقنية) استخدام البرمجيات والبيانات لرصد ومراقبة الوصول إلى نظم المعلومات والحوسبة على سبيل المثال :
كلمات السر، والجدران النارية، وكشف التسلل قوائم التحكم بالولوج وتشفير البيانات والضوابط المنطقية.
رقابة هامة من المنطقي أن يتم التغاضي عن كثير من الأحيان هو مبدأ الامتيازات الأقل.
يتطلب أن الفرد أو برنامج أو عملية النظام لا يتم منح أي امتيازات وصول أكثر من ضرورية لأداء المهمة.
وثمة مثال صارخ على عدم التقيد بمبدأ الأقل امتياز هو تسجيل الدخول إلى ويندوز المستخدم المسؤول لقراءة البريد الإلكتروني وتصفح الإنترنت. انتهاكات من هذا المبدأ يمكن أن يحدث أيضا عند الفرد بجمع امتيازات وصول إضافية بمرور الوقت.
هذا يحدث عندما تتم تغيير واجبات العمل أو ترقية الموظف إلى منصب جديد أو تم نقله إلى قسم آخر امتيازات الوصول التي تتطلبها مهامهم الجديدة كثيرا ما أضيف على امتيازاتها وصول القائمة بالفعل والتي قد لا تكون ضرورية أو مناسبة.
الضوابط المادية رصد ومراقبة البيئة في مكان العمل ومرافق الحوسبة. كما رصد ومراقبة الدخول والخروج من هذه المرافق. على سبيل المثال الأبواب والأقفال، والتدفئة وتكييف الهواء وأجهزة إنذار الحريق ونظم إخماد الحريق وكاميرات المراقبة ووضع حراس الأمن، وتأمين الكابلات وما إلى ذلك فصل الشبكة، ومكان العمل في مجالات وظيفية هي أيضا الضوابط المادية.
رقابة هامة المادية التي كثيرا ما يتم تجاهلها في الفصل بين الواجبات ويضمن أن الفرد لا يستطيع إكمال المهمة الحاسمة بنفسه. على سبيل المثال :
الموظف الذي يقدم طلبا لسداد لا ينبغي أيضا أن يكون قادرا على أن يأذن له بدفع أو طباعة الشيك.
كذلك مبرمج التطبيقات لا ينبغي أن يكون أيضا مسؤول المخدم أو مدير قاعدة البيانات هذه الأدوار والمسؤوليات يجب أن تكون مفصولة عن بعضها البعض.