صدر عن دار الوطن السعودية في الرياض كتاب جديد بعنوان «آلية البناء الأمني لنظم المعلومات» تأليف طارق بن عبد الله الشدي، وقدم للكتاب الدكتور محمد بن ابراهيم السويل، نائب رئيس مدينة الملك عبد العزيز للعلوم والتقنية لمعاهد البحوث، الذي أشار إلى تغطية الكتاب الواضحة والمبسطة للمفاهيم الأساسية في أمن الحاسب الآلي وجرائمه، ويفتح الباب أمام المختصين في التشريع لدراسة هذه الظاهرة، واستنباط الأحكام الشرعية المناسبة لهذه الجرائم.
يتكون الكتاب من سبعة فصول يتناول في الأول أنظمة المعلومات، وجرائم التقنية، وخطوات معالجة البيانات والتعريف بجريمة الحاسب الآلي وتصنيفات جرائمه، والأساليب المستخدمة في ارتكاب تلك الجرائم، حيث صنفها إلى أربعة أصناف تشمل التعديل المقصود وغير المقصود للبرامج والمعلومات والاستخدام غير المصرح به لموارد الكومبيوتر وشبكات الاتصال، والاطلاع غير المصرح به على المعلومات والبرامج.
وتناول المؤلف الأساليب الاجرامية المستخدمة في جرائم الحاسب الآلي داعماً كل أسلوب بأمثلة واقعية عن جرائم حدثت باستخدامه كبرامج التتبع والتنصت والقنابل المنطقية وفيروسات الحاسب الآلي والتجسس الالكتروني.
وفي الباب الثاني يتحدث عن تأمين أنظمة المعلومات وتشمل هذه الأنظمة نظم التشغيل والبرامج التطبيقية وقواعد البيانات، ثم تناول الأسباب التي تجعل بعض أنظمة المعلومات غير آمنة رغم ما تبذله المنظمات من جهود للحفاظ على سلامة بياناتها. وذكر ستة أسباب تؤدي لذلك، منها قلة الوعي الأمني، عدم التصنيف المناسب للمعلومات من حيث سريتها، وصعوبة التأكد من فعالية نظم الأمن، وعدم أخذ أمن المعلومات في الاعتبار عند تأسيس النظام، والتكلفة المالية لأمن المعلومات، وأخيراً ما قد تسببه محاولة تسهيل عملية العمل على النظام من قبل المستخدم من إخلال بإجراءات وقواعد الأمن. وتحدث في الجزء الثاني من هذ الباب عن طرق تأمين المعلومات الداخلية حيث يشرح خمس عشرة طريقة لتأمينها مثل النسخ الاحتياطية، كلمات السر، ملفات الدخول، ملفات العمليات، موارد المستخدم.
أما الباب الثالث فيتحدث فيه المؤلف عن أمن شبكات الحاسب الآلي ويورد في ذلك خمس طرق رئيسية لتأمين الشبكات هي ملفات تسجيل الدخول وتعمل هذه الملفات على تأمين الشبكة عن طريق متابعة محاولات الدخول غير المصرح به من داخل المنظمة أو خارجها ومتابعة العمليات التي يقوم بها الموظفون ومتابعة محاولات الدخول على الجهاز الرئيسي للمنظمة والتعرف على مرتكبيها، وتفحص مثل هذه الملفات من قبل مدير أمن النظام، بعد تحليل محتواها والاحتفاظ بنسخ منها.
ومن أهم أساليب الحماية استخدام أجهزة الاتصال العكسي وهي نوع من الأجهزة يتم تركيبها في النهاية لدى المستخدم تتحكم في عمليات الوصول للنظام من قبل المستخدمين من الخارج عن طريق شبكة الاتصال والتأكد من أن بيانات الشخص المتصل تتطابق مع بيانات الأشخاص المصرح لهم بالدخول إلى الشبكة.
ويتناول الباحث في الباب الرابع ضوابط التحكم في نظم المعلومات التي يجب التعرف عليها وتطبيقها من قبل إدارة المنظمة والاقسام ذات العلاقة من أجل تأمين هذه المعلومات حيث يرصد ما يقارب 220 ضابطاً منها الضوابط الإدارية، التنظيم وعمليات التشغيل، ضوابط البرامج التطبيقية، ضوابط الصلاحيات والدخول للأنظمة، ضوابط قواعد البيانات، ضوابط عمليات الادخال والاخراج، ضوابط الأمن المادي.
ويبحث الباب الخامس في السلوك الانساني وجرائم الحاسب الآلي وأسباب اخفاء المؤسسات تعرضها لجريمة معلوماتية سعياً للاستفادة من خدمات الضمان والخوف من فقدان مصداقية المنظمة وعدم الرغبة في الظهور بمظهر الضحية ثم الرغبة في عدم ابراز كفاءة المجرم.
ويرشد الباب السادس إلى كيفية إدارة الأزمات المتعلقة بجرائم التقنية وإدارة أزماتها وذلك بتحديد الأصول ثم تحديد الاخطار التي قد تتعرض لها الأصول، وكيفية إدارة هذه المخاطر والسيطرة عليها، وكيفية صياغة سياسة لأمن المعلومات بدءاً من استحداثها وحتى تطبيقها ثم تحدث عن الاقتراحات وإجراءات الرقابة من الاختراق وكيفية التعامل مع الاختراقات حين وقوعها.
الكتاب: آلية البناء الأمني لنظم المعلومات المؤلف: طارق بن عبد الله الشدي =