هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين

 

الإفصاح عن نقاط الضعف 

 

تم استخدام أمن المعلومات والأمن الإلكتروني بالتبادل - وإن كان ذلك بشكل غير صحيح (فون سولمز وفان نيكيرك، 2013). ،وفي حين لا يوجد تعريف متفق عليه لأمن المعلومات، فقد تم استخدام التعريف المتضمن في المقياس ISO/IEC 27002 على نطاق واسع. يُعرّف المقياس ISO/IEC 27002 أمن المعلومات بأنه "الحفاظ على سرية المعلومات وسلامتها وتوافرها". وعلى غرار أمن المعلومات، لا يوجد تعريف عالمي للأمن الإلكتروني. ووفقًا للاتحاد الدولي للاتصالات، "يسعى الأمن الإلكتروني لضمان تحقيق وصيانة الخصائص الأمنية للمنظمة وأصول المستخدم ضد المخاطر الأمنية ذات الصلة في البيئة الإلكترونية" (ITU-T X.1205). وبالتالي، فإن الأمن الإلكتروني لا يحمي الفضاء الإلكتروني فحسب، بل "يحمي أيضًا ... هؤلاء ... [الذين] يعملون في الفضاء الإلكتروني وأي من أصولهم التي يمكن الوصول إليها عبر الفضاء الإلكتروني" (فون سولمز وفان نيكيرك، 2013، الصفحة 101).

هل كنت تعلم؟

يحتوي مقياس ISO/IEC 27002 على 14 منطقة ضوابط لأمن المعلومات، بالإضافة إلى إرشادات ومتطلبات التنفيذ لكل عنصر من عناصر التحكم هذه. وهذه المجالات هي: سياسات أمن المعلومات؛ وتنظيم أمن المعلومات؛ وأمن الموارد البشرية؛ وإدارة الأصول؛ وصلاحية التحكم صلاحية الدخول؛ والتشفير؛ والأمن المادي والبيئي؛ وأمن العمليات أمن الاتصالات اكتساب النظام وتطويره وصيانته؛ وعلاقات الموردين إدارة حوادث أمن المعلومات؛ وجوانب أمن المعلومات لإدارة استمرارية الأعمال؛ والامتثال.

تريد معرفة المزيد؟

لمزيد من المعلومات حول عناصر التحكم هذه، راجع ISO/IEC 27002.

ويتشكل أمن المعلومات والأمن الإلكتروني من خلال الكشف عن نقاط الضعف. عندما يتم اكتشاف الثغرات الأمنية من قبل الباحثين والمهنيين في هذا المجال، يمكن إما الكشف عنها بالكامل أو الكشف عنها بشكل مسؤول (ترول، 2015). يتضمن الكشف الكامل نشر البرامج أو نقاط الضعف في الأجهزة عبر الإنترنت (على سبيل المثال، على موقع ويب) قبل توفر الإصلاح (ترول، 2015) في المقابل، يشير الكشف المسؤول إلى ممارسة عدم الكشف عن الثغرة الأمنية حتى تقوم المؤسسة المسؤولة عن صفقات الأجهزة أو البرامج بإصلاح الثغرة الأمنية (ترول ، 2015) للإفصاح المسؤول، يتصل الباحث أو المحترف بالمنظمة المتأثرة، وينتظر حتى تصدر المنظمة إصلاحًا للثغرة الأمنية المحددة. وبعد إصدار الإصلاح، يمكن للباحث أو المحترف الكشف رسميًا عن معلومات حول الثغرة الأمنية والحصول على رصيد لهذا التعريف. باستخدام طريقة الكشف هذه، قد يسأل الباحث أو المحترف عما يُعرف بمعرّف نقاط الضعف والتعرض الشائعة (CVE). وتُستخدم نقاط الضعف والتعرض الشائعة، وهي قائمة بالمعرفات الشائعة للثغرات الأمنية الإلكترونية المعروفة(نقاط الضعف والتعرض الشائعة ، بدون تاريخ)، لتتبع نقاط الضعف عبر الأجزاء الرئيسية من البرامج، وكذلك أولئك الذين يجدون مثل هذه الثغرات. بالإضافة إلى الإفصاح الكامل والمسؤول، قد يختار الباحث أو المحترف عدم الكشف عن الثغرة الأمنية (سينسيني، يو، وتشان، 2005). وهناك طريقة أخرى للإفصاح وهي الكشف المنسق عن نقاط الضعف (CVD)، والتي تشير إلى "عملية جمع المعلومات من مكتشفي الثغرات، وتنسيق مشاركة تلك المعلومات بين أصحاب المصلحة المعنيين، والكشف عن وجود ثغرات في البرامج وتخفيفها لمختلف أصحاب المصلحة، بما في ذلك الجمهور" (هاوسهولدر، وواسرمان، ومانيون، وكينج، 2017).

وتتوفر إرشادات أفضل الممارسات للكشف عن نقاط الضعف والتعامل مع الثغرات الأمنية. الحالات في هذا الصدد هي إرشادات أفضل الممارسات التي تم تطويرها ونشرها من قبل المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC) (لمزيد من المعلومات حول هذه المنظمات، راجع الوحدة التعليمية الجرائم الإلكترونية 4 حول مقدمة في الطب الشرعي الرقمي) حول الكشف عن نقاط الضعف ISO/IEC 29147) وعمليات معالجة الثغرات الأمنية (ISO/IEC 30111).

 
التالي: تدابير الأمن الإلكتروني وقابلية الاستخدام
العودة إلى الأعلى