‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع*د تعبئ*ة النم*وذج‪ .‬يجب تحري*ر البن*ود الملّو ن*ة ب*اللون األزرق بص*ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج سياسة حماية تطبيقات الويب‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض**غط على مفت**احي "‪ "Ctrl‬و"‪ "H‬في ال**وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫أض**ف "<اس**م الجه**ة>" في مرب**ع البحث عن‬ ‫‪‬‬
‫النص‪.‬‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب**ع "اس**تبدال"‬ ‫اضغط هنا إلضافة نص ‪‬‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض***غط على "المزي***د" وتأّك د من اختي***ار "‬ ‫‪‬‬
‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن السيبراني كمثال توضيحي يمكن استخدامه كدليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل هذا النموذج ومواءمته مع أعمال <اسم الجهة> والمتطلبات التشريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويضه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫<أدخل االسم الكامل‬

‫<أدخل التوقيع>‬ ‫<أدخل المسمى الوظيفي>‬
‫للموظف>‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ُعدل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫اضغط هنا إلضافة نص‬ ‫<أدخل رقم النسخة>‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة نص‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫قائمة المحتويات‬
‫الغرض‪4..................................................................................................................‬‬
‫نطاق السياسة‪4...........................................................................................................‬‬
‫بنود السياسة‪4.............................................................................................................‬‬
‫األدوار والمسؤوليات‪6...................................................................................................‬‬
‫التحديث والمراجعة‪6.....................................................................................................‬‬
‫االلتزام بالسياسة‪6........................................................................................................‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫الغرض‬
‫تهدف هذه السياس**ة إلى تحدي**د متطلب**ات األمن الس**يبراني المتعلق**ة بحماي**ة تطبيق**ات ال**ويب الخارجي**ة‬
‫الخاصة بـ<اسم الجهة>‪ ،‬لتقليل المخ**اطر الس**يبرانية وحمايته**ا من التهدي**دات الداخلي**ة والخارجي**ة للحف**اظ على‬
‫السرية والموثوقي*ة والت*وافر في <اس**م الجه**ة>‪ .‬ه*ذه المتطلب*ات تمت موائمته**ا م**ع متطلب*ات األمن الس**يبراني‬
‫الصادرة من الهيئة الوطنية لألمن السيبراني ويشمل ذلك على سبيل المثال ال الحصر‪ :‬الضوابط األساس**ية لألمن‬
‫الس*يبراني ( ‪ ،)ECC – 1: 2018‬ض*وابط األمن الس*يبراني لألنظم*ة الحساس*ة ( ‪)CSCC – 1: 2019‬‬
‫وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬

‫نطاق السياسة‬
‫تطبق هذه السياسة على جميع تطبيقات الويب الخارجية الخاصة بـ<اسم الجهة>‪ ،‬وعلى جميع الع**املين‬
‫(الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫بنود السياسة‬
‫البنود العامة‬ ‫‪1‬‬
‫يجب استخدام جدار الحماية لتطبيقات الويب (‪ )WAF‬لحماية تطبيقات الويب الخارجية من الهجمات‬ ‫‪1-1‬‬
‫الخارجية‪.‬‬
‫يجب أن تتب***ع تطبيق***ات ال***ويب الخارجي***ة مب***دأ المعماري***ة متع***ددة المس***تويات ( ‪Multi-tier‬‬ ‫‪1-2‬‬
‫‪ )Architecture‬على أال يقل عن مستويين (‪.)tier Architecture-2‬‬
‫يجب استخدام مبدأ المعمارية متعددة المستويات لتطبيقات الويب الخارجية لألنظمة الحساس*ة على أال‬ ‫‪1-3‬‬
‫يقل عدد المستويات عن ‪ 3‬مستويات (‪.)tier Architecture-3‬‬
‫يجب التأكد من استخدام بروتوكوالت االتصاالت اآلمن**ة فق**ط‪ ،‬مث**ل بروتوك**ول نق**ل النص التش**عبي‬ ‫‪1-4‬‬
‫اآلمن (‪ )HTTPS‬وبروتوكول نقل الملفات اآلمن (‪ )SFTP‬وأمن طبقة النقل (‪ )TLS‬وغيرها‪.‬‬
‫يجب تطبيق العزل المنطقي لبيئة التطوير (‪ )Development Environment‬وبيئة االختب**ار (‬ ‫‪1-5‬‬
‫‪ )Testing Environment‬عن بيئة اإلنتاج (‪.)Production Environment‬‬
‫يجب استخدام تقنيات حماية البيانات والمعلومات في تطبيق**ات ال**ويب الخارجي**ة وذل**ك وفًق ا لسياس**ة‬ ‫‪1-6‬‬
‫حماية البيانات والمعلومات وسياسة التصنيف المعتمدة لدى <اسم الجهة>‪.‬‬
‫في حال شراء تطبيقات ويب من طرف خارجي‪ ،‬يجب التأك**د من ال**تزام الم**ورد بسياس**ات ومع**ايير‬ ‫‪1-7‬‬
‫األمن السيبراني المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تط**بيق مع**ايير أمن التطبيق**ات وحمايته**ا ( ‪OWASP Top Ten Web Application‬‬ ‫‪1-8‬‬
‫‪ )Security Risks‬في حدها األدنى لتطبيقات الويب الخارجية لألنظمة الحساسة‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫يجب تطبيق معايير أمن واجهة برمجة التطبيقات ( ‪ )OWASP Top Ten API Security‬في‬ ‫‪1-9‬‬
‫حدها األدنى لتطبيقات الويب الخارجية لألنظمة الحساسة‪.‬‬
‫يجب تحديد متطلبات األمن السيبراني في بناء تطبيقات الويب وتصميمها وتطبيقها بشكل آمن وفعال‪.‬‬ ‫‪1-10‬‬
‫يجب ضمان حفظ سجالت األحداث والتدقيق لتطبيقات الويب في <اسم الجهة> ومراقبتها‪.‬‬ ‫‪1-11‬‬
‫يجب ضمان سالمة بيانات تطبيقات الويب من العبث بها أو فق**دانها بالخط**أ أو تخريبه**ا‪ ،‬والتأك**د من‬ ‫‪1-12‬‬
‫توافرها وقابلية استعادتها عن طريق النسخ االحتياطية واألرشيف (‪.)Backup and Archival‬‬
‫يجب تحدي**د متطلب**ات األمن الس**يبراني لتطبيق**ات ال**ويب المستض**افة بالحوس**بة الس**حابية لض**مان‬ ‫‪1-13‬‬
‫إعدادها وتثبيتها وتشغيلها بطريقة آمنة‪.‬‬
‫يجب الحف***اظ على ت***وافر تطبيق***ات ال***ويب الخارجي***ة وحمايته***ا من هجم***ات تعطي***ل الخدم***ة (‬ ‫‪1-14‬‬
‫‪ )Distributed Denial of Service “DDoS” Attacks‬على مستوى التطبيقات والشبكة‪.‬‬
‫يجب تطوير إجراءات ومعايير خاصة بحماية تطبيقات الويب بناًء على حاجة العمل‪.‬‬ ‫‪1-15‬‬
‫يجب استخدام مؤشر قياس األداء (‪ )KPI‬لض**مان التط**وير المس**تمر واالس**تخدام الص**حيح والفع**ال‬ ‫‪1-16‬‬
‫لمتطلبات حماية تطبيقات الويب‪.‬‬
‫متطلبات صالحية الوصول (‪)Access Right‬‬ ‫‪2‬‬
‫يجب استخدام التحّقق من الهوية متع**ّدد العناص**ر (‪ )Multi-Factor Authentication‬لعملي**ات‬ ‫‪2-1‬‬
‫دخول المس**تخدمين على تطبيق**ات ال*ويب الخارجي*ة ودخ*ول مس**ؤولي النظ*ام على تطبيق**ات ال*ويب‬
‫الداخلية‪.‬‬
‫يجب توثيق واعتماد معايير أمنية لتطوير تطبيقات الويب‪ ،‬وتشمل كحد أدنى اإلدارة اآلمن**ة للجلس**ات‬ ‫‪2-2‬‬
‫(‪ ،)Secure Session Management‬بما يتض**من موثوقي**ة الجلس**ات (‪،)Authenticity‬‬
‫وإقفالها (‪ ،)Lockout‬وإنهاء مهلتها (‪.)Timeout‬‬
‫يجب تقييد صالحية الوصول إلى منظومات اإلنتاج‪ ،‬وأن يتم التحكم بها وفًق ا للمسؤوليات الوظيفية‪.‬‬ ‫‪2-3‬‬
‫يجب نشر سياسة االستخدام اآلمن لجميع مستخدمي تطبيقات الويب الخارجية‪.‬‬ ‫‪2-4‬‬
‫يجب اس**تخدام ط**رق آمن**ة (‪ )hashing function‬لحف**ظ بيان**ات المس**تخدم عن**د ال**دخول على‬ ‫‪2-5‬‬
‫تطبيقات الويب الخارجية مثل كلمة المرور‪.‬‬
‫متطلبات مراجعة اإلعدادات األمنية (‪)Secure Configuration‬‬ ‫‪3‬‬
‫يجب إجراء تقييم لمخاطر األمن الس**يبراني عن**د التخطي**ط لتط**وير أو ش**راء تطبيق**ات ال**ويب وقب**ل‬ ‫‪3-1‬‬
‫إطالقها في بيئة اإلنتاج وفًق ا لسياسة إدارة مخاطر األمن السيبراني المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تحدي**د اإلع**دادات األمني**ة والتحص**ين ومراجعته**ا للتأك**د من ض**بط إع**دادات تطبيق**ات ال**ويب‬ ‫‪3-2‬‬
‫وتشغيلها بشكل آمن وفعال وتوثيقها‪.‬‬
‫يجب ض**مان س**رية بيان**ات تطبيق**ات ال**ويب والتأك**د من س**المتها وفًق ا لسياس**ة حماي**ة البيان**ات‬ ‫‪3-3‬‬
‫والمعلومات المعتمدة لدى <اسم الجهة>‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫قب*ل اس*تخدام المعلوم**ات المص**نفة في بيئ*ة االختب*ار‪ ،‬يجب الحص**ول على إذن مس**بق من <اإلدارة‬ ‫‪3-4‬‬
‫المعنية باألمن السيبراني> واستخدام ضوابط مشددة لحماية تلك البيانات‪ ،‬مثل‪ :‬تقنيات م**زج البيان**ات‬
‫(‪ )Data Scrambling‬وتقنيات تعتيم البيانات (‪ ،)Data Masking‬وحذفها مباشرة بعد االنتهاء‬
‫من استخدامها‪.‬‬
‫يجب حف**ظ الش**فرة المص**درية (‪ )Source Code‬بش**كل آمن وتقيي**د الوص**ول إليه**ا أوتع**ديلها‬ ‫‪3-5‬‬
‫للمصرح لهم فقط‪.‬‬
‫يجب إجراء اختبار االختراق لتطبيق الويب الخ*ارجي في بيئ*ة االختب*ار وتوثي*ق النت*ائج والتأك*د من‬ ‫‪3-6‬‬
‫معالجة جميع الثغرات قبل إطالق التطبيق على بيئة اإلنتاج وفًق ا لسياس*ة اختب*ار االخ*تراق المعتم*دة‬
‫لدى <اسم الجهة>‪.‬‬
‫يجب إج*راء فحص الثغ*رات للمكون*ات التقني*ة لتطبيق*ات ال*ويب والتأك*د من معالجته*ا بتث*بيت ح*زم‬ ‫‪3-7‬‬
‫التحديثات واإلصالحات المعتمدة لدى <اسم الجهة> بشكل دوري‪.‬‬
‫يجب إجراء اختبارات لتقييم حماية تطبيقات الويب في حال إصدار تط**بيق جدي**د أو رئيس**ي (‪New‬‬ ‫‪3-8‬‬
‫‪ ،)or Major Application Release‬تطبيق****ات ويب جدي****دة (‪Acquired Web‬‬
‫‪ ،)Applications‬إص**دارات بس**يطة (‪ ،)Point Releases‬إص**دارات تص**حيحية (‪Patch‬‬
‫‪ ،)Releases‬وإصدارات الطوارئ (‪.)Emergency Releases‬‬
‫يجب اعتماد التغييرات على تطبيقات الويب من قبل <اللجن**ة التقني**ة االستش**ارية للتغي**ير> (‪)CAB‬‬ ‫‪3-9‬‬
‫قبل إطالقها في بيئة اإلنتاج‪.‬‬

‫األدوار والمسؤوليات‬
‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياسة سنوًيا على األقل أو في ح*ال ح*دوث‬
‫تغي**يرات في السياس**ات أو اإلج**راءات التنظيمي**ة في <اس**م الجه**ة> أو المتطلب**ات التش**ريعية والتنظيمي**ة ذات‬
‫العالقة‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج سياسة حماية تطبيقات الويب‬

‫االلتزام بالسياسة‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج**راءات المتبع**ة في <اس**م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬