مكعب ماكمبر
يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. (أغسطس 2023) |
في عام 1991، أنشأ جون ماكمبر إطارًا نموذجيًا لإنشاء وتقييم برامج أمن المعلومات (تأمين المعلومات)، المعروف الآن باسم مكعب ماكمبر. تم تصوير نموذج الأمان هذا على شكل شبكة ثلاثية الأبعاد تشبه مكعب روبيك.
مفهوم هذا النموذج هو أنه عند تطوير أنظمة تأمين المعلومات، يجب على المنظمات مراعاة الترابط بين جميع العوامل المختلفة التي تؤثر عليها. لابتكار برنامج قوي لتأمين المعلومات، يجب على المرء ألا يأخذ فقط في الاعتبار الأهداف الأمنية للبرنامج، ولكن أيضًا في كيفية ارتباط هذه الأهداف على وجه التحديد بالحالات المختلفة التي يمكن أن توجد فيها المعلومات في النظام والمجموعة الكاملة من الضمانات الأمنية المتاحة التي يجب مراعاتها في التصميم. يساعد نموذج ماكمبر المرء على تذكر مراعاة جميع جوانب التصميم المهمة دون التركيز بشكل كبير على أي واحد على وجه الخصوص (أي الاعتماد حصريًا على الضوابط الفنية على حساب السياسات المطلوبة وتدريب المستخدم النهائي).
وفقًا لموقع الويب الخاص بجون ماكمبر، تتمثل الفكرة في دفع تقدم الأمان كفن ودعمه بمنهجية منظمة تعمل بشكل مستقل عن تطور التكنولوجيا. أساس هذه المنهجية هو العلاقة المتبادلة بين السرية والنزاهة والتوافر مع التخزين والنقل والمعالجة أثناء تطبيق السياسة والإجراءات والجانب البشري والتكنولوجيا.
الأبعاد والسمات
الأهداف المرجوة
- السرية: ضمان عدم الكشف عن المعلومات الحساسة عمدًا أو عرضًا لأفراد غير مصرح لهم.
- النزاهة: ضمان عدم تعديل المعلومات عمدًا أو عرضيًا بطريقة تؤدي إلى التشكيك في موثوقيتها.
- التوفر: ضمان حصول الأفراد المصرح لهم على وصول موثوق به وفي الوقت المناسب إلى البيانات والموارد الأخرى عند الحاجة.
حالة المعلومات
- التخزين: البيانات المخزنة (DAR) في نظام معلومات، مثل تلك الموجودة في الذاكرة أو على شريط مغناطيسي أو قرص صلب.
- النقل: نقل البيانات بين أنظمة المعلومات - المعروف أيضًا باسم البيانات العابرة (DIT) .
- المعالجة: إجراء العمليات على البيانات من أجل تحقيق الهدف المنشود.
الضمانات
- السياسة والممارسات: الضوابط الإدارية، مثل توجيهات الإدارة، التي توفر أساسًا لكيفية تنفيذ ضمان المعلومات داخل المنظمة. (مثل سياسات الاستخدام المقبولة أو إجراءات الاستجابة للحوادث) - يشار إليها أيضًا بالعمليات.
- العوامل البشرية: التأكد من أن مستخدمي نظم المعلومات على دراية بأدوارهم ومسؤولياتهم فيما يتعلق بحماية نظم المعلومات وقادرون على اتباع المعايير. (مثل تدريب المستخدم النهائي على تجنب التعرض لفيروسات الكمبيوتر أو التعرف على أساليب الهندسة الاجتماعية) - يشار إليه أيضًا باسم العامل البشري.
- التكنولوجيا: الحلول القائمة على البرامج والأجهزة المصممة لحماية أنظمة المعلومات (مثل مكافحة الفيروسات، والجدران النارية، وأنظمة الكشف عن التسلل، إلخ.)
انظر أيضا
مراجع
- تقييم وإدارة المخاطر الأمنية في أنظمة تكنولوجيا المعلومات: منهجية منظمة بقلم جون ماكمبر (المؤلف) [الناشر: Auerbach Publications؛ الطبعة الأولى (15 يونيو 2004)]