الجمهورية الجزائرية الديمقراطية الشعبية وزارة العدل حوكمة الأنظمة المعلوماتية

1. الجمهورية الجزائرية الديمقراطية الشعبية وزارة العدل حوكمة الأنظمة المعلوماتية السيدة ل. براكة / المديرة العامة لعصرنة العدالة. وزارة العدل

2. نظام المعلومات نظام المعلوماتهو مجموعة منظمة من الموارد: الأجهزة والبرامج، والموظفين، والبيانات، والإجراءات،…المشاركة في إدارة ومعالجة ونقل ونشر المعلومات داخل هيئة معينة و التي تسمح لها بتحقيق أهدافها.

3. حوكمة نظام المعلومات إن حوكمة نظام المعلومات تستند على مجموعة من الإجراءات التي تمكن من مراقبة مدى تحقيق الأهداف المرجوة في النظام المعلوماتي. و يجب وضع إطار مرن وقابل للتطوير يهدف إلى تشجيع الممارساتالمثلى و تفاديالإنزلاقات من خلال إنشاء الضمانات اللازمة .

4. أمن الأنظمة المعلوماتية إن أمن الأنظمة المعلوماتية يعد أحد الرهانات الكبرى في إستراتيجية حوكمة الأنظمة الآلية . أكثر من نصف عمليات الاقتحام التي تتعرض لها الهيئات من خلال أنظمتها المعلوماتية مردها أخطاء داخلية.

5. أمن الأنظمة المعلوماتية لذا يجبعلى النظام أن يوفر عددا من الضمانات الأساسية مثل:السلامة والسرية وتوافر المعلومات و ذلك من أجل تحصينها من الهجمات و الاختراقات التي قد تلحق ضرر بالمؤسسة . كل الهيئات الأمنية توصي بوضع الإجراءات الأدنىللأمن،و يجب ان تكون هذه الإجراءات معروفة ومفهوهة من قبل الجميع و يكون مراقبتها بشكل منتظم من قبل الإدارة .

6. التدابير الوقائية القاعدية للأمن إذا كانت تدابير الأمن تشكل مسؤولية جميع المتدخلين فإن مراقبة مدى تطبيقها تعهد أساسا إلى مسيري إدارة المعلومات، و لضمان ذلك يجب: • إشراك الأشخاص المسؤولين عن التخطيط و التنفيذ و الرقابة فيإنجازاستراتيجية الأمن المعلوماتي؛ • إنشاء و تنفيذ استراتيجية الأمن و نشرها على كل الهيئات (أو جميع أصحاب المصلحة)، مع تدقيق و مراجعة هذه الإستراتيجية دوريا؛ • استعمال التكنولوجيات الحديثة ,الملائمة و إجراء التحيينات المناسبة على البرامج.

7. عن إستراتيجية الأمن • تكون إستراتيجيةالأمن مكتوبة، منفذة ومُراقبة بشكل منتظم من قبل المسئولين؛ • إنجاز دليل الممارسات المثلى:موجه لمسؤولي الإدارة و مسيري النظام المعلوماتي؛ • إنجاز ميثاق استعمال الأجهزة و المعدات الإليكترونية داخل الإدارة:موجه للمستخدمين مع تحذيرهم من كل انزلاق ؛ • إنجاز مرجع تنبيه في حالة الطوارئ و التدابير الاستعجالية : موجه للمسئولين ؛ وضع إستراتجية للتكوين المستمر لمسيري الأنظمة المعلوماتية في مجال الأمن ؛ وضع سياسة تحسيسية موجه لكل المشاركين و المستعملين للأنظمة المعلوماتية.

8. عن الممارساتالمثلى في مجال أمن تكنولوجيا المعلومات يجب على مسيري إدارة الأنظمة: • معرفة النظام المعلوماتي و مستخدميه؛ • التحكم في الشبكة؛ • تحيين البرمجيات؛ • تأمين كل الأجهزة؛ • تأمين الشبكة الداخلية؛ • فصل شبكة الإنترنت من الشبكة المعلوماتية الداخلية، لاسيما التي تحتوي على معلومات حساسة؛ • مراقبة الأنظمة؛ • تأمين إدارة الشبكة؛ • مراقبة الدخول إلى الأماكن الحساسة؛ • تنظيم كيفية إعادة التشغيل في حالة الطوارئ؛ • تنظيم دورات تحسيسية؛ • تنظيم عملية التدقيق المستمر للأمن.

9. المعايير توجد معايير دولية معترف بها تتعلق بالحوكمة، التدقيق، و أمن الأنظمة، مثلا: • معايير ISO 27000: لوضع واستعمال وصيانة وإدارة سياسة أمن المعلومات، ونظم أمن المعلوماتأو :SGSI (ISMS): نظام تسيير أمن المعلومات. • ISO / IEC 38500 : حوكمةأمن المعلومات.

10. المخاطر و التأثير على الأنظمة هناك حوالي 100 مليون من الفيروسات المنتشرة على شبكة الإنترنت، 60٪ هي "” Trojan Horses (Chevaux de Troie) موجهة لسرقة المعلومات، بحيث تأثر على ما يقرب 40٪ من أجهزة المستخدمين، و تعتبر سلاح تعطيل شامل. بلغ الضرر الناجم عن الهجمات الإلكترونية في أكثر من 24 بلدا، 388 مليار دولار في عام 2011، حسب ما أوردته بعض المجلات المتخصصة. إن القرصنة يمكن أن تسبب انقطاع التيار الكهربائي، أو منع هبوط طائرة إلى غير ذلك من الأضرار.

11. المخاطر و التأثير على الأنظمة كما أن الوقت المستغرق لاسترجاع المعلومات قد أسفر عن خسائر تقدر بحوالي 274 مليار دولار أمريكي في عام 2012. و ذلك بمهاجمة نقاط حساسة مثل البنية التحتية المدارة من قبل نظام الكمبيوتر، وشبكات المحمول، بحيث أن المهاجمين يهدفون لمنع الخدمات، لسرقة المعلومات أو ببساطةخلق المشاكل.

12. مقاومة الهجومات يتم مقاومة الهجومات بـ: • التحضير: وجود إستراتيجية رد فعل في حالة طوارئ فيها معلومات دقيقة و مفصلة على كل الإجراءات الواجب اتخاذها؛ • الفحص و التدقيق؛ • تحصين الخطر و القضاء عليه: مع تحديد الأنظمة و الأجهزة التي كانت محل الاختراق أو التخريب و معرفة نقطة الهجوم و الوسائل المستعملة؛ • إعادة تشغيل الأنظمة مع تحديد نقطة الضعف، • إعادة النظر في تدابير الأمن لتجنب مثل هذه الهجمات و نشرها على كافة الهيئات؛ • الحفظ على أدلة الهجوم لاستعمالها في حالة متابعة قضائية.

13. في الجزائر • إن تطور مجتمع المعلومات في الجزائر، تطلب إنشاء الشبكات المهنية التي تمكن من نقل المعلومات بصفة آمنة. • تم فصل ماديا الشبكات المؤسساتية المهنية الحساسة عن شبكة الإنترنت.

14. المنهجية المتبعة في إطار الخدمات الإلكترونية • إنشاء أسس الحوكمة الوطنية؛ • توفير كل الظروف الملائمة في مجال إنتاج البرمجيات و ضمان وسائل الاتصال الآمنة؛ • تعزيز البنية الأساسية للاتصالات ذات نوعية و أمان و تستجيب للمقاييس الدولية؛ • إنشاء هيئة للتحذير • تطوير الكفاءات البشرية: إعادة النظر في برامج التعليم العالي و التكوين المهني في مجال تكنولوجيات الإعلام و الاتصال؛ • مراجعة النصوص القانونية ذات الصلة ؛ • إنشاء لجنة المصادقة الإلكترونية؛ • تثمين التعاون الدولي؛ • وضع سياسة لتوعية مختلف الجهات الفاعلة.

15. في وزارة العدل • تم وضع ميثاق لتأمين الأنظمة والبيانات وتوزيعها على نطاق واسع مع إجراء حملة توعية لفائدة الإطارات المسؤولة على أنظمة المعلوماتية و كذا المستخدمين ؛ • إنشاء مواقع مرآة للأنظمة الحساسة؛ • وضع إجراءات خاصة بعمليات الحفظ / الأرشفة و الاسترجاع في حالة الطوارئ ؛ • وضع إستراتيجية تكوين لفائدة المهندسين في إدارة و تأمين الأنظمة المعلوماتية المنجزة ؛ • تعديل القاوانين، تماشيا مع الممارسات الدولية ؛ • إعداد نص قانوني لحماية البيانات الشخصية ؛

16. في الأخير: • الهجمات تزداد تعقيدا وفعالية. و بتحديدها يمكننا الحماية منها و مواجهتها؛ • إن رهان الأمن السيبراني كبير و شبكة الإنترنت أصبحت ساحة صراع يجب الاحتياط منها. "مع تطور شبكة الإنترنت في بُلداننا، وعملية عصرنة مؤسساتنا، فمن الواضح أن المتسللين سوف يجدون فرصة للقيام بأعمال القرصنة".

17. كيف يمكننا ضمان احترام القيم الأساسية على شبكة الإنترنت؟

18. حلول ؟ ...... • "فضاء إلكتروني أكثر أمنا"هو مسؤولية جميع الأطراف الفاعلة في مجتمع المعلومات العالمي، من المواطنين إلى الحكومات. • يجب على كل مواطن أن يحترم واجباته المدنية ومسؤولياته الاجتماعية والقوانين الموجودة.

19. حلول ؟ ...... • يتفق بعض الخبراء على ضرورة ضبط القوانين المتعلقة بجرائم الفضاء السيبراني؛ • إنشاء مراكز للتحذير؛ • تنظيم تدريبات حول الهجمات السيبرانية لتخفيف مفعولها وتنظيم حملات تحسيسية.

20. حلول ؟ ...... • تطبيق المعايير الدولية الوقائية للأمن أو على الأقل الاستهداء بها؛ • وضع إطار قانوني لحماية البيانات الشخصية؛ • ..........

21. اقتراحات أخرى هي موضع ترحيب.وشكراً