دليل مسح البيانات الآمن لأصول تقنية المعلومات
يهدف هذا الدليل إلى توفير إرشادات شاملة ومفصلة لعملية مسح البيانات الآمن من أصول تقنية المعلومات في مؤسسة بناء للتنمية (BFD). يعتبر مسح البيانات بشكل آمن خطوة أساسية لحماية المعلومات الحساسة والسرية من الوصول غير المصرح به، خاصة عند التخلص من الأصول أو إعادة استخدامها أو نقلها. يضمن الالتزام بهذا الدليل الامتثال للمعايير الأمنية والتشريعات القانونية، ويساهم في الحفاظ على سمعة المؤسسة ومصداقيتها.
1. توفير إجراءات واضحة ومفصلة لمسح البيانات من أصول تقنية المعلومات.
2. ضمان حماية المعلومات الحساسة من الوصول غير المصرح به.
3. الامتثال للمعايير الأمنية والتشريعات القانونية ذات الصلة.
4. تعزيز ثقافة الأمن السيبراني داخل المؤسسة.
5. الامتثال للوائح الدولية مثل GDPR وNIST 800-88 لضمان الالتزام بأفضل الممارسات في حماية البيانات.
ينطبق هذا الدليل على جميع أصول تقنية المعلومات المملوكة أو المُدارة من قبل BFD، بما في ذلك:
1. الأجهزة الحاسوبية (المكتبية والمحمولة).
2. الخوادم ومعدات الشبكات.
3. وسائط التخزين مثل الأقراص الصلبة، SSD، USB، بطاقات الذاكرة.
4. الأجهزة المحمولة والهواتف الذكية.
5. الطابعات وأجهزة النسخ التي تحتوي على ذاكرة تخزين.
6. أي أجهزة أخرى تحتوي على بيانات تخص المؤسسة.
الجدول التالي يوضح التعارف الواردة في هذا المستند ليسهل الالمام بكل المواضيع والنقاط المذكورة من قبل المعنين والموظفين في الإدارات والاقسام
|
العنوان |
التعريف |
|
مسح البيانات الآمن |
عملية حذف البيانات من وسائط التخزين باستخدام طرق وبرامج متخصصة تضمن عدم إمكانية استعادة البيانات |
|
التدمير المادي |
عملية تدمير وسائط التخزين ماديًا لمنع الوصول إلى البيانات المخزنة عليها |
|
التشفير |
استخدام تقنيات التشفير لجعل البيانات غير قابلة للقراءة بدون مفتاح التشفير |
|
استعادة البيانات |
عملية محاولة استرجاع البيانات التي تم حذفها أو مسحها من وسائط التخزين |
|
الإزالة غير القابلة للاسترجاع |
عملية إزالة البيانات بشكل دائم بحيث لا يمكن استعادتها باستخدام أي تقنيات متاحة |
مدير الأمان:
· ضمان الامتثال للمعايير الدولية والمحلية.
· مراجعة عمليات مسح البيانات وتوثيق الامتثال.
· إجراء تدقيقات دورية على عمليات المسح لضمان الفعالية.
ضابط تقنية المعلومات والأمن السيبراني:
· الإشراف على تنفيذ إجراءات مسح البيانات الآمن.
· اختيار واعتماد الطرق والبرامج المناسبة للمسح.
· تقديم التدريب والتوجيه للموظفين المعنيين.
· توثيق عمليات المسح والاحتفاظ بالسجلات.
موظفو تقنية المعلومات والتحول الرقمي:
· تنفيذ عمليات مسح البيانات وفقًا للإجراءات المحددة.
· التأكد من نجاح عملية المسح والتحقق منها.
· توثيق العمليات والتقارير.
موظفو الإدارات/الأقسام:
· التنسيق مع وحدة تقنية المعلومات والتحول الرقمي لتحديد الأصول المراد مسح بياناتها.
· ضمان عدم استخدام الأصول بعد تسليمها للمسح.
تم عملية مسح البيانات الآمن بالعديد من المراحل التي تضمن الوصول الى النتائج المتوقعة من عملية المسح والحفاظ على الامن السيبراني داخل المؤسسة ولابد ان يمر على ست مراحل مصنفة أدناه.
6.1 تحديد الأصول والبيانات
· جرد الأصول عن طريق تحديد جميع الأصول التي تحتوي على بيانات وتحتاج إلى مسح قبل التخلص منها أو إعادة استخدامها.
· تجميع المعلومات حول نوع الأصول، وسائط التخزين المستخدمة، وأنظمة التشغيل.
6.2 تصنيف مستوى حساسية البيانات
يتم استخدام جدول تصنيف البيانات (المرفق ج) لتحديد مستوى حساسية البيانات على كل أصل (سري للغاية، سري، حساس، عام)
6.3 اختيار طريقة المسح المناسبة
بناءً على مستوى الحساسية ونوع الوسائط، يتم اختيار الطريقة الأنسب من بين: لعملية المسح كالتالي:
1. المسح البرمجي للأصول القابلة للمسح برمجيًا.
2. التدمير المادي للوسائط التالفة أو التي لا يمكن مسحها برمجيًا.
3. التشفير كطريقة إضافية أو في حالات خاصة.
6.4 تنفيذ عملية المسح
قبل تنفيذ علمية المسح يجب إعداد البيئة المناسبة والتأكد من توفر الأدوات والبرامج اللازمة، وأن البيئة آمنة ومناسبة للعمل ويجب اتباع خطوات المسح التالية:
1. تشغيل البرنامج المعتمد لمسح البيانات.
2. اختيار نوع المسح (مسح كامل، عدد مرات الكتابة فوق البيانات).
3. بدء العملية ومراقبتها حتى الانتهاء.
6.5 التحقق من نجاح المسح
بعد اكتمال عملية المسح يجب استخدام برامج استعادة البيانات لمحاولة استرجاع البيانات، إذا لم يتم استعادة أي بيانات، يعتبر المسح ناجحًا، وفي في حالة تم استعادة بيانات، يجب إعادة المسح باستخدام طريقة أكثر قوة أو اللجوء إلى التدمير المادي.
6.6 توثيق العملية
يجب استخدام نموذج توثيق عملية مسح البيانات (المرفق ب) لتسجيل:
تفاصيل الأصل (رقم، نوع، موديل).
تاريخ ووقت المسح.
الطريقة والبرنامج المستخدم.
نتائج التحقق.
5. توقيع المنفذ والمشرف.
6.7 اختبار استعادة البيانات
1. بعد اكتمال عملية المسح، يجب استخدام برامج استعادة البيانات للتحقق من عدم إمكانية استرجاع أي بيانات.
2. إذا تم استرجاع بيانات، يجب إعادة المسح باستخدام طريقة أكثر قوة، أو اللجوء إلى التدمير المادي.
7.1 المسح البرمجي
1. استخدام برامج متخصصة معتمدة من قبل المؤسسة (المرفق أ).
2. تطبيق معايير المسح مثل معيار DoD 5220.22-M.
3. تكرار الكتابة فوق البيانات بعدة أنماط لضمان عدم إمكانية استعادتها.
7.2 المسح المادي (التدمير المادي)
تطبيق هذه الطريقة في الحالات التي تكون فيها الوسائط تالفة ولا يمكن مسحها برمجيًا أو البيانات بالغة الحساسية وتتطلب تدمير الوسائط. وتتم طريقة التدمير المادي عبر التمزيق باستخدام آلات خاصة، اوالتفتيت إلى قطع صغيرة، او استخدام خدمات تدمير متخصصة.
7.3 المسح باستخدام التشفير
المسح باستخدام التشفير تتم عن طريق تشفير كامل للقرص ثم حذف مفتاح التشفير وهذه الطريقة تستخدم كطريقة إضافية لزيادة مستوى الأمان.
7.4 معيار الكتابة المتكررة
1. استخدم معيار الكتابة المتكررة (مثل DoD 5220.22-M) لضمان مسح البيانات بشكل آمن.
2. يتم كتابة بيانات عشوائية على وسائط التخزين ثلاث مرات على الأقل.
الجدول التالي يوضح بعض الارشادات التي يجب تطبيقها اثناء التعامل مع وسائط التخزين المختلفة
|
العنوان |
التعريف |
|
- المسح البرمجي هو الطريقة المفضلة. - استخدام برامج تدعم الكتابة المتكررة فوق البيانات |
|
|
- تختلف عن HDD في طريقة تخزين البيانات. - استخدام أوامر المسح المدمجة مثل "Secure Erase". - برامج متخصصة تدعم SSD. |
|
|
الأجهزة المحمولة والهواتف الذكية |
- إعادة ضبط المصنع مع التأكد من تشفير البيانات قبل ذلك. - التحقق من عدم وجود حسابات مرتبطة بعد المسح |
|
- المسح البرمجي باستخدام برامج تدعم الوسائط القابلة للإزالة. - التدمير المادي للوسائط الصغيرة إذا كانت البيانات حساسة جدًا |
|
|
الطابعات وأجهزة النسخ |
- مسح الذاكرة الداخلية باستخدام الخيارات المدمجة في الجهاز. - التواصل مع المورد للحصول على إرشادات المسح |
|
الأصول التالفة أو غير القابلة للمسح البرمجي |
- تحديد الوسائط التالفة التي لا يمكن تشغيلها. - استخدام التدمير المادي كخيار أساسي. - توثيق عملية التدمير والحصول على شهادة من المورد إذا تم التعاقد مع طرف خارجي |
· التأكد من سلامة المعدات قبل البدء.
· استخدام معدات الوقاية الشخصية عند القيام بالتدمير المادي.
· التعامل بحذر مع الأجزاء الحادة أو المواد الخطرة.
· يجب ارتداء معدات الوقاية الشخصية (PPE) مثل القفازات والنظارات الواقية أثناء عمليات التدمير المادي.
· تأكد من التخلص الآمن من الأجزاء الحادة والمواد الخطرة وفقًا للوائح البيئية.
1. تقديم دورات تدريبية للموظفين المعنيين حول إجراءات مسح البيانات.
2. تحديث المعرفة بأحدث التقنيات والبرامج المستخدمة.
3. تعزيز الوعي بأهمية مسح البيانات وحماية المعلومات.
1. مراجعة هذا الدليل سنويًا أو عند ظهور تقنيات جديدة.
2. تحديث قائمة البرامج المعتمدة بانتظام.
3. ضمان الامتثال للمعايير والتشريعات الجديدة.
1. سياسة حماية البيانات
2. سياسة الأرشفة والتخزين
تستند هذه السياسة إلى المعايير الدولية التالية:
1. (اللائحة العامة لحماية البيانات) GDPR
2. (إرشادات مسح البيانات) NIST 800-88
في حال انتهاك هذه الإجراءات، سيتم اتخاذ الإجراءات التأديبية وفقًا للوائح المؤسسة، وقد تشمل التحذير الكتابي، التعليق الوظيفي، أو الفصل النهائي.
14.1 المحلق (أ) قائمة بالبرامج المعتمدة لمسح البيانات
1. Eraser: برنامج مجاني يدعم عدة طرق للمسح.
2. DBAN (Darik's Boot and Nuke): أداة قوية لمسح الأقراص الصلبة.
3. Blancco Drive Eraser: حل احترافي مع شهادات مسح.
4. CCleaner Professional: يحتوي على أداة لمسح المساحة الفارغة.
14.2 المحلق (ب) نموذج توثيق عملية مسح البيانات
نموذج توثيق عملية مسح البيانات
|
رقم الأصل |
نوع الأصل |
الموديل |
الرقم التسلسلي |
طريقة المسح |
البرنامج المستخدم |
تاريخ المسح |
نتيجة التحقق |
اسم المنفذ |
توقيع المنفذ |
اسم المشرف |
توقيع المشرف |
14.3 المحلق (ج) جدول تصنيف البيانات ومستويات الحساسية
|
المستوى |
الوصف |
مثال |
|
سري للغاية |
معلومات ذات أهمية قصوى، يؤدي كشفها إلى ضرر جسيم للمؤسسة أو الأفراد المرتبطين بها. |
معلومات مالية حساسة، استراتيجيات أعمال، بيانات شخصية حساسة. |
|
سري |
معلومات مهمة، يؤدي كشفها إلى ضرر للمؤسسة أو علاقاتها. |
تقارير داخلية، سياسات غير منشورة. |
|
حساس |
معلومات داخلية، قد يؤثر كشفها على العمليات اليومية. |
إجراءات العمل، قوائم الموظفين. |
|
عام |
معلومات متاحة للجمهور، لا يشكل كشفها أي ضرر. |
منشورات المؤسسة، معلومات الاتصال العامة. |