الهدف:
تهدف هذه السياسة إلى ضمان أمن وحماية المعلومات والأنظمة الرقمية في الجامعة من خلال أخذ نسخة احتياطية من البيانات بشكل دوري وتخزينها بشكل آمن واسترجاعها عند الحاجة بطريقة فعالة وآمنة.
المجال:
تغطي هذه السياسة جميع المعلومات التي يتم النسخ الاحتياطي لها، مثل:
• الوثائق الإلكترونية وغير الإلكترونية
• قواعد البيانات
• البريد الإلكتروني
• البرمجيات
• الأجهزة
• وسائط التخزين المستخدمة في النسخ الاحتياطي
تفاصيل السياسة:
واجبات الجامعة:
أ. استخدام البرمجيات والمعدات المناسبة: يجب على الجامعة اختيار الأنظمة والأدوات المناسبة لعملية النسخ الاحتياطي والتي تضمن حماية البيانات وسهولة استرجاعها.
ب. وضع إجراءات وآليات واضحة: يجب تحديد إجراءات النسخ الاحتياطي وتوضيح التعليمات المتعلقة بالتشغيل الآمن للبيانات.
ت. التعامل مع التعاقدات الخارجية بحذر: عند التعامل مع أطراف خارجية لحماية وسائط النسخ الاحتياطي، يجب أن تلتزم الجامعة بسياسة التعاقد الخارجي للتأكد من سلامة البيانات.
ث. التخزين في أماكن خارجية: في حال الحاجة إلى التخزين الخارجي، يجب وضع آلية واضحة ومحددة لتحديد المكان الخارجي المناسب.
واجبات مدير النظام:
أ. إدارة الصلاحيات: يجب على مدير النظام منح الصلاحيات لمن لهم علاقة بعملية النسخ الاحتياطي وحجبها عن غيرهم.
ب. مراقبة واسترجاع البيانات: المتابعة الدورية لعملية النسخ الاحتياطي وضمان استرجاع البيانات بشكل صحيح.
ت. تشفير البيانات: تشفير المعلومات المخزنة على وسائط النسخ الاحتياطي حسب سياسة تصنيف المعلومات.
ث. الجدولة الجغرافية: يجب مراعاة توزيع النسخ الاحتياطية بشكل محلي وإقليمي بناءً على حساسية البيانات.
ج. رفع التقارير الدورية: رفع تقارير دورية للإدارة العليا حول النسخ الاحتياطية، بما يشمل المعلومات التالية:
o تواريخ النسخ الاحتياطي
o المعلومات المنسوخة
o الأشخاص المصرح لهم بالوصول إلى النسخ الاحتياطية
o الأسباب التي دعت إلى استخدام النسخ الاحتياطية
واجبات مدير أمن المعلومات:
أ. التقييم الدوري: التأكد من إجراء الاختبارات اللازمة لضمان سلامة البيانات المخزنة في وسائط النسخ الاحتياطي وتقييم المخاطر الأمنية المحتملة.
واجبات المستخدمين داخل الجامعة:
أ. حفظ المعلومات في المواقع المحددة: يجب على المستخدمين حفظ ملفاتهم ومعلوماتهم على الأجهزة التي يحددها مدير النظام (مثل خوادم الملفات) والتي يتم نسخها احتياطيًا بشكل دوري. يُمنع استخدام وسائط تخزين خارجية.
ب. طلب استرجاع البيانات: عند الحاجة إلى استرجاع المعلومات، يجب تقديم طلب رسمي عبر مدير النظام بعد الحصول على موافقة المسؤول المباشر.
محاكاة تفصيلية لسياسة النسخ الاحتياطي
السيناريو:
جامعة تقنية تعتمد على أنظمة إلكترونية لحفظ جميع المعلومات والبيانات الخاصة بالطلاب، الأساتذة، الأبحاث، ونتائج الامتحانات. لضمان استمرارية العمل وسلامة البيانات، تتطلب الجامعة سياسة نسخ احتياطي قوية لاسترجاع البيانات في حال حدوث أي خلل.
________________________________________
السيناريو الأول: سياسة النسخ الاحتياطي المقبولة
الخطوات المتبعة:
أ. إعدادات النسخ الاحتياطي:
• يتم استخدام برمجيات نسخ احتياطي موثوقة وآمنة تقوم بإنشاء نسخ احتياطية تلقائية لجميع البيانات الحيوية على خوادم الجامعة يوميًا.
• تتم عملية النسخ الاحتياطي بشكل متزامن إلى مواقع متعددة، بما في ذلك موقع رئيسي داخل الجامعة وآخر خارجي في مكان آمن بعيد عن المباني الجامعية.
ب. تشفير البيانات:
• جميع البيانات التي يتم نسخها احتياطيًا مُشفرة باستخدام خوارزميات تشفير قوية مثل (AES-256) لضمان عدم تمكن أي شخص غير مخوّل من الوصول إلى البيانات في حالة وقوع أي اختراق.
ت. التحكم بالصلاحيات:
• فقط الموظفون المخوّلون والمحددون مسبقًا من قبل مدير النظام لديهم إمكانية الوصول إلى النسخ الاحتياطية أو استرجاع البيانات. يتم التحكم في هذه الصلاحيات عبر نظام مصادقة ذو عاملين (2FA).
ث. جدول النسخ الاحتياطي:
• النسخ الاحتياطي يجري يوميًا للبيانات الحرجة (مثل قواعد بيانات الطلاب وأعمال الأساتذة)، بينما يتم نسخ البيانات الأقل حساسية مثل الملفات العامة أسبوعيًا.
• النسخ الاحتياطية تُجدول بحيث لا تؤثر على استخدام النظام في أوقات الذروة الدراسية، ويتم إجراؤها في ساعات متأخرة من الليل أو في عطلات نهاية الأسبوع.
ج. فحص واسترجاع البيانات:
• تُجرى اختبارات استرجاع البيانات بانتظام للتأكد من أن عملية النسخ الاحتياطي تعمل بشكل صحيح، وأنه يمكن استرجاع البيانات بسهولة عند الحاجة. هذه الاختبارات تُجرى شهريًا ويتم توثيق نتائجها.
ح. مراقبة التقارير:
• يتم إنشاء تقارير دورية توضح حالة النسخ الاحتياطي، بما في ذلك تاريخ النسخة الاحتياطية الأخيرة، حالة الإكمال، وأي مشاكل واجهتها العملية. هذه التقارير تُرسل إلى الإدارة العليا بشكل منتظم.
نتيجة المحاكاة:
• في حالة حدوث مشكلة مثل انقطاع التيار الكهربائي أو هجوم سيبراني، يمكن استرجاع البيانات في غضون دقائق. جميع النسخ الاحتياطية مضمونة ومشفرة، مما يمنع أي تسريب للبيانات. الاسترجاع يعمل بشكل مثالي بعد اختبار العملية بنجاح عدة مرات.
السيناريو الثاني: سياسة النسخ الاحتياطي غير المقبولة
الخطوات المتبعة:
أ. غياب الجدولة المنتظمة :النسخ الاحتياطي يتم بشكل عشوائي وغير منتظم، بدون وجود جدول زمني محدد. على سبيل المثال، يتم نسخ البيانات مرة واحدة كل شهرين، مما يترك فجوة زمنية كبيرة يمكن أن تضيع فيها البيانات الهامة.
ب. عدم تشفير البيانات: النسخ الاحتياطي يتم بدون تشفير، مما يعني أنه في حالة سرقة الوسائط التي تحتوي على النسخ الاحتياطية (مثل الأقراص الصلبة أو أشرطة التخزين)، يمكن للمهاجمين الوصول بسهولة إلى جميع البيانات دون أي عوائق.
ت. عدم وجود تخزين خارجي: جميع النسخ الاحتياطية يتم حفظها على نفس الخوادم داخل الجامعة دون استخدام موقع خارجي. في حالة حدوث كارثة طبيعية أو حريق، ستضيع جميع النسخ الاحتياطية جنبًا إلى جنب مع البيانات الأصلية.
ث. صلاحيات الوصول غير مقيّدة: يتم منح جميع موظفي تكنولوجيا المعلومات في الجامعة وصولاً كاملاً إلى النسخ الاحتياطية، بما في ذلك الموظفين غير المتخصصين في النسخ الاحتياطي. هذا يعرض البيانات لخطر التلاعب أو الحذف غير المقصود.
ج. فشل في اختبار استرجاع البيانات: لا تُجرى اختبارات لاسترجاع البيانات، مما يعني أنه عند الحاجة لاسترجاع البيانات، يتم اكتشاف أن بعض النسخ الاحتياطية غير مكتملة أو تالفة، ولا يمكن استرجاعها بالكامل.
ح. غياب التقارير والمراقبة: لا يتم إنشاء تقارير دورية توضح حالة النسخ الاحتياطي. قد تتعطل عمليات النسخ الاحتياطي دون أن يتم اكتشافها لفترات طويلة. نتيجة لذلك، قد تضيع البيانات الحساسة في حالة حدوث أي مشكلة.
نتيجة المحاكاة:
• في حالة هجوم سيبراني أو عطل مفاجئ، تُفقد جميع البيانات بسبب غياب النسخ الاحتياطية المناسبة أو استرجاع نسخ غير مكتملة. البيانات السرية للطلاب والأساتذة قد تتسرب، مما يؤدي إلى مشاكل قانونية وأضرار للسمعة. استرجاع البيانات قد يستغرق أيامًا أو حتى يكون مستحيلاً.
________________________________________
الفرق بين السياسات المقبولة وغير المقبولة:
أ. السياسة المقبولة تعتمد على عملية نسخ احتياطي منظمة وآمنة مع جدول زمني ثابت، تشفير قوي، وفحص مستمر لعملية النسخ والاسترجاع. هذه السياسة تضمن الحفاظ على البيانات واسترجاعها بسرعة وكفاءة عند الحاجة.
ب. السياسة غير المقبولة تفتقر إلى النظام والتنظيم، ولا تحتوي على إجراءات أمان كافية مثل التشفير أو التخزين الخارجي، مما يجعل البيانات عرضة للخطر والتلف عند وقوع أي حادث.
