Professional Documents
Culture Documents
POLICY Database Security Template Ar FINAL
POLICY Database Security Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس33يبراني كمث33ال توض33يحي يمكن اس33تخدامه ك33دليل
ومرجع للجهات .يجب أن يتم تعديل ه3ذا النم3وذج ومواءمت3ه م3ع أعم3ال <اس3م الجه3ة> والمتطلب3ات التش3ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض33ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة أمن قواعد البيانات
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة أمن قواعد البيانات
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 6.............................................................................................................
التحديث والمراجعة 6...............................................................................................................
االلتزام بالسياسة 6..................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة أمن قواعد البيانات
الغرض
الغ33رض من ه33ذه السياس33ة ه33و تحدي33د متطلب33ات األمن الس33يبراني المتعلق33ة بحماي33ة قواع33د البيان33ات (
)Databaseالخاصة ب<اسم الجهة> لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلي33ة والخارجي33ة
ب<اس33م الجه33ة> من خالل الترك33يز على األه33داف األساس33ية للحماي33ة وهي :س33رية المعلوم33ات ،وس33المتها،
وتوافرها.
تمت موائم33ة ه33ذه السياس33ة م33ع الض33وابط والمع33ايير الص33ادرة من الهيئ33ة الوطني33ة لألمن الس33يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جميع األصول المعلوماتية والتقنية (شاملة أنظمة قواعد البيان33ات) الخاص33ة ب<اس33م
الجهة> ،وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب تحديد وتوثيق جميع أنظمة قواعد البيانات المستخدمة داخل <اسم الجهة>. 1-1
يجب توفير بيئة آمن33ة مناس33بة لحماي33ة أنظم33ة قواع33د البيان33ات من المخ33اطر البيئي33ة والتش33غيلية بم33ا 1-2
يتناسب مع تصنيف قواعد البيانات.
يجب تطوير واعتماد معايير تقنية أمنية ألنظمة قواعد البيانات داخ3ل <اس3م الجه3ة> وتطبيقه3ا من 1-3
قبل مشرفي قواعد البيانات.
يجب منع الوصول أو التعامل المباشر ألي مستخدم مع قواعد البيان33ات ،فيم33ا ع33دا مش33رفي قواع33د 1-4
البيان33ات ( )Database Administratorsويتم ذل33ك من خالل التطبيق33ات فق33ط ،وبن33اًء على
الصالحيات المخّو ل بها مع مراعاة تطبيق حلول أمنية تحد أو تمنع اطالع مشرفي قواع33د البيان33ات
على البيانات المصنفة ( ،)Classified Dataوفًق ا لسياسة إدارة هوي33ات ال33دخول والص33الحيات
المعتمدة لدى <اسم الجهة>.
يجب منح ح33ق الوص33ول أو االطالع أو التع33ديل على قواع33د البيان33ات وفًق ا لسياس33ة إدارة هوي33ات 1-5
الدخول والصالحيات المعتمدة لدى <اسم الجهة>.
يجب تطبيق متطلبات جميع السياسات ذات العالقة بأمن اإلعدادات والتحصين المعتمدة لدى <اس33م 1-6
الجهة> ويشمل ذلك على سبيل المثال ال الحصر السياسات التالية:
سياسة حماية الخوادم المعتمدة لدى <اسم الجهة>. 1-6-1
سياسة الحماية من البرمجيات الضارة المعتمدة لدى <اسم الجهة>. 1-6-2
سياسة األمن المادي المعتمدة لدى <اسم الجهة>. 1-6-3
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة أمن قواعد البيانات
يجب منع نسخ أو نقل بيانات قواعد البيانات الخاص33ة باألنظم33ة الحساس33ة من بيئ33ة اإلنت33اج إلى أي بيئ33ة 1-7
اخرى إال بعد إجراء االختبارات الالزمة.
يجب اس33تخدام مؤش33ر قي33اس األداء ( )KPIلض33مان التط33وير المس33تمر واالس33تخدام الص33حيح والفع33ال 1-8
لمتطلبات حماية قواعد البيانات.
اإلجراءات األمنية المطلوبة الستضافة قواعد البيانات -2
يجب تحدي33د متطلب33ات اس33تمرارية األعم33ال والتع33افي من الك33وارث الخاص33ة بقواع33د البيان33ات 2-1
المستضافة في العقود المعني3ة م33ع م33زّو د الخدم33ة الس33حابية ،وال3تي تتضّ33من األدوار والمس33ؤوليات
المتبادل33ة من حيث الخط33ط واالختب33ارات للنس33خ االحتي33اطي واالس33تجابة للح33وادث والتع33افي من
الكوارث وغيرها.
يجب توفير العزل المنطقي والعزل المادي بين قواعد البيان3ات الخاص3ة ب<اس3م الجه3ة> وقواع3د 2-2
البيانات المستض33افة األخ33رى خاص33ة لقواع33د البيان33ات الحساس33ة بم33ا يتناس33ب م33ع تص33نيف قواع33د
البيانات.
يجب إج333راء مراجع333ة دوري333ة لإلع333دادات والتحص333ين (Secure Configuration and 2-3
)Hardeningالخاصة بقواعد البيانات في <اسم الجهة> مرة واحدة كل سنة على األقل.
يجب تقيي3د ص3الحية الوص3ول اإلداري إلى قواع3د البيان3ات باس3تخدام وس3يلة تش3فير ُمحَك م3ة مث3ل 2-4
بروتوكول النقل األمن ( ،)SSHأو الشبكات الخاصة االفتراضية ( ،)VPNأو طبقة المنافذ اآلمنة
(/)SSLأمن طبقة النقل ( ،)TLSأو استخدام آلي33ة التحق33ق من الهوي33ة متع33دد العناص33ر (،)MFA
وذلك وفًق ا لسياسة التشفير المعتمدة في <اسم الجهة>.
المتطلبات المتعّلقة بإدارة التغييرات على أنظمة قواعد البيانات -3
يجب أن تتم التغييرات على قواعد البيانات (مثل ترحيل قواعد البيان33ات ،والنق33ل إلى بيئ33ة اإلنت33اج) 3-1
وفًق ا لعملية إدارة التغيير المعتمدة في <اسم الجهة>.
يجب تثبيت التحديثات واإلصالحات على نظام قواعد البيانات وفًق ا لسياس33ة إدارة ح33زم التح33ديثات 3-2
واإلصالحات المعتمدة في <اسم الجهة>.
يجب التأكد من استخدام أنظمة قواعد بيانات موثوقة ومعتمدة ومرخصة عند التحديث أو التغيير. 3-3
يجب التأكد من وجود خطة واضحة للتعافي من الكوارث خاصة بأنظمة قواعد البيانات ومراجعتها 3-4
واختبارها سنوًيا.
يجب توقيع اتفاقية مس33توى الخدم33ة( )SLAsلل33دعم م33ع الم33وّر دين فيم33ا يتعّل ق بنظ33ام إدارة قواع33د 3-5
البيانات في بيئة اإلنتاج.
يجب تطبيق التجزئة والتشفير على قواع3د البيان3ات اثن3اء النق3ل والتخ3زين وفًق ا لسياس3ة التص3نيف 3-6
وسياسة التشفير المعتمدة في <اسم الجهة>.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة أمن قواعد البيانات
يجب على <اإلدارة المعنية باألمن السيبراني> مراقبة سجالت األح33داث المتعلق33ة بقواع33د البيان33ات 4-2
ومراقبة سلوك المستخدمين باستمرار.
يجب على <اإلدارة المعنية باألمن السيبراني> مراقبة سجالت األح3داث الخاص3ة بمش3رفي قواع3د 4-3
البيانات باستمرار ومراقبة سلوكهم ومراجعتها كل ستة أشهر على األقل.
يجب مزامنة التوقيت ( )Clock Synchronizationمركزًيا لجميع أنظمة قواعد البيانات. 5-2
يجب تطبيق متطلبات سياسة النسخ االحتياطية المعتمدة لدى <اسم الجهة>. 5-3
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعني3ة ب3األمن الس3يبراني> مراجع3ة السياس3ة س3نوًيا على األق3ل أو في ح3ال ح3دوث
تغي33يرات في السياس33ات أو اإلج33راءات التنظيمي33ة في <اس33م الجه33ة> أو المتطلب33ات التش33ريعية والتنظيمي33ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج33راءات المتبع33ة في <اس33م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
6