Professional Documents
Culture Documents
POLICY Web Applications Protection Template Ar FINAL
POLICY Web Applications Protection Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن السيبراني كمثال توضيحي يمكن استخدامه كدليل
ومرجع للجهات .يجب أن يتم تعديل هذا النموذج ومواءمته مع أعمال <اسم الجهة> والمتطلبات التشريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويضه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة حماية تطبيقات الويب
اعتماد الوثيقة
نسخ الوثيقة
<أدخل وصف التعديل> <أدخل االسم الكامل للموظف> اضغط هنا إلضافة نص <أدخل رقم النسخة>
جدول المراجعة
اضغط هنا إلضافة نص اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة حماية تطبيقات الويب
قائمة المحتويات
الغرض4..................................................................................................................
نطاق السياسة4...........................................................................................................
بنود السياسة4.............................................................................................................
األدوار والمسؤوليات6...................................................................................................
التحديث والمراجعة6.....................................................................................................
االلتزام بالسياسة6........................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة حماية تطبيقات الويب
الغرض
تهدف هذه السياس**ة إلى تحدي**د متطلب**ات األمن الس**يبراني المتعلق**ة بحماي**ة تطبيق**ات ال**ويب الخارجي**ة
الخاصة بـ<اسم الجهة> ،لتقليل المخ**اطر الس**يبرانية وحمايته**ا من التهدي**دات الداخلي**ة والخارجي**ة للحف**اظ على
السرية والموثوقي*ة والت*وافر في <اس**م الجه**ة> .ه*ذه المتطلب*ات تمت موائمته**ا م**ع متطلب*ات األمن الس**يبراني
الصادرة من الهيئة الوطنية لألمن السيبراني ويشمل ذلك على سبيل المثال ال الحصر :الضوابط األساس**ية لألمن
الس*يبراني ( ،)ECC – 1: 2018ض*وابط األمن الس*يبراني لألنظم*ة الحساس*ة ( )CSCC – 1: 2019
وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
نطاق السياسة
تطبق هذه السياسة على جميع تطبيقات الويب الخارجية الخاصة بـ<اسم الجهة> ،وعلى جميع الع**املين
(الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة 1
يجب استخدام جدار الحماية لتطبيقات الويب ( )WAFلحماية تطبيقات الويب الخارجية من الهجمات 1-1
الخارجية.
يجب أن تتب***ع تطبيق***ات ال***ويب الخارجي***ة مب***دأ المعماري***ة متع***ددة المس***تويات ( Multi-tier 1-2
)Architectureعلى أال يقل عن مستويين (.)tier Architecture-2
يجب استخدام مبدأ المعمارية متعددة المستويات لتطبيقات الويب الخارجية لألنظمة الحساس*ة على أال 1-3
يقل عدد المستويات عن 3مستويات (.)tier Architecture-3
يجب التأكد من استخدام بروتوكوالت االتصاالت اآلمن**ة فق**ط ،مث**ل بروتوك**ول نق**ل النص التش**عبي 1-4
اآلمن ( )HTTPSوبروتوكول نقل الملفات اآلمن ( )SFTPوأمن طبقة النقل ( )TLSوغيرها.
يجب تطبيق العزل المنطقي لبيئة التطوير ( )Development Environmentوبيئة االختب**ار ( 1-5
)Testing Environmentعن بيئة اإلنتاج (.)Production Environment
يجب استخدام تقنيات حماية البيانات والمعلومات في تطبيق**ات ال**ويب الخارجي**ة وذل**ك وفًق ا لسياس**ة 1-6
حماية البيانات والمعلومات وسياسة التصنيف المعتمدة لدى <اسم الجهة>.
في حال شراء تطبيقات ويب من طرف خارجي ،يجب التأك**د من ال**تزام الم**ورد بسياس**ات ومع**ايير 1-7
األمن السيبراني المعتمدة لدى <اسم الجهة>.
يجب تط**بيق مع**ايير أمن التطبيق**ات وحمايته**ا ( OWASP Top Ten Web Application 1-8
)Security Risksفي حدها األدنى لتطبيقات الويب الخارجية لألنظمة الحساسة.
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة حماية تطبيقات الويب
يجب تطبيق معايير أمن واجهة برمجة التطبيقات ( )OWASP Top Ten API Securityفي 1-9
حدها األدنى لتطبيقات الويب الخارجية لألنظمة الحساسة.
يجب تحديد متطلبات األمن السيبراني في بناء تطبيقات الويب وتصميمها وتطبيقها بشكل آمن وفعال. 1-10
يجب ضمان حفظ سجالت األحداث والتدقيق لتطبيقات الويب في <اسم الجهة> ومراقبتها. 1-11
يجب ضمان سالمة بيانات تطبيقات الويب من العبث بها أو فق**دانها بالخط**أ أو تخريبه**ا ،والتأك**د من 1-12
توافرها وقابلية استعادتها عن طريق النسخ االحتياطية واألرشيف (.)Backup and Archival
يجب تحدي**د متطلب**ات األمن الس**يبراني لتطبيق**ات ال**ويب المستض**افة بالحوس**بة الس**حابية لض**مان 1-13
إعدادها وتثبيتها وتشغيلها بطريقة آمنة.
يجب الحف***اظ على ت***وافر تطبيق***ات ال***ويب الخارجي***ة وحمايته***ا من هجم***ات تعطي***ل الخدم***ة ( 1-14
)Distributed Denial of Service “DDoS” Attacksعلى مستوى التطبيقات والشبكة.
يجب تطوير إجراءات ومعايير خاصة بحماية تطبيقات الويب بناًء على حاجة العمل. 1-15
يجب استخدام مؤشر قياس األداء ( )KPIلض**مان التط**وير المس**تمر واالس**تخدام الص**حيح والفع**ال 1-16
لمتطلبات حماية تطبيقات الويب.
متطلبات صالحية الوصول ()Access Right 2
يجب استخدام التحّقق من الهوية متع**ّدد العناص**ر ( )Multi-Factor Authenticationلعملي**ات 2-1
دخول المس**تخدمين على تطبيق**ات ال*ويب الخارجي*ة ودخ*ول مس**ؤولي النظ*ام على تطبيق**ات ال*ويب
الداخلية.
يجب توثيق واعتماد معايير أمنية لتطوير تطبيقات الويب ،وتشمل كحد أدنى اإلدارة اآلمن**ة للجلس**ات 2-2
( ،)Secure Session Managementبما يتض**من موثوقي**ة الجلس**ات (،)Authenticity
وإقفالها ( ،)Lockoutوإنهاء مهلتها (.)Timeout
يجب تقييد صالحية الوصول إلى منظومات اإلنتاج ،وأن يتم التحكم بها وفًق ا للمسؤوليات الوظيفية. 2-3
يجب نشر سياسة االستخدام اآلمن لجميع مستخدمي تطبيقات الويب الخارجية. 2-4
يجب اس**تخدام ط**رق آمن**ة ( )hashing functionلحف**ظ بيان**ات المس**تخدم عن**د ال**دخول على 2-5
تطبيقات الويب الخارجية مثل كلمة المرور.
متطلبات مراجعة اإلعدادات األمنية ()Secure Configuration 3
يجب إجراء تقييم لمخاطر األمن الس**يبراني عن**د التخطي**ط لتط**وير أو ش**راء تطبيق**ات ال**ويب وقب**ل 3-1
إطالقها في بيئة اإلنتاج وفًق ا لسياسة إدارة مخاطر األمن السيبراني المعتمدة لدى <اسم الجهة>.
يجب تحدي**د اإلع**دادات األمني**ة والتحص**ين ومراجعته**ا للتأك**د من ض**بط إع**دادات تطبيق**ات ال**ويب 3-2
وتشغيلها بشكل آمن وفعال وتوثيقها.
يجب ض**مان س**رية بيان**ات تطبيق**ات ال**ويب والتأك**د من س**المتها وفًق ا لسياس**ة حماي**ة البيان**ات 3-3
والمعلومات المعتمدة لدى <اسم الجهة>.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة حماية تطبيقات الويب
قب*ل اس*تخدام المعلوم**ات المص**نفة في بيئ*ة االختب*ار ،يجب الحص**ول على إذن مس**بق من <اإلدارة 3-4
المعنية باألمن السيبراني> واستخدام ضوابط مشددة لحماية تلك البيانات ،مثل :تقنيات م**زج البيان**ات
( )Data Scramblingوتقنيات تعتيم البيانات ( ،)Data Maskingوحذفها مباشرة بعد االنتهاء
من استخدامها.
يجب حف**ظ الش**فرة المص**درية ( )Source Codeبش**كل آمن وتقيي**د الوص**ول إليه**ا أوتع**ديلها 3-5
للمصرح لهم فقط.
يجب إجراء اختبار االختراق لتطبيق الويب الخ*ارجي في بيئ*ة االختب*ار وتوثي*ق النت*ائج والتأك*د من 3-6
معالجة جميع الثغرات قبل إطالق التطبيق على بيئة اإلنتاج وفًق ا لسياس*ة اختب*ار االخ*تراق المعتم*دة
لدى <اسم الجهة>.
يجب إج*راء فحص الثغ*رات للمكون*ات التقني*ة لتطبيق*ات ال*ويب والتأك*د من معالجته*ا بتث*بيت ح*زم 3-7
التحديثات واإلصالحات المعتمدة لدى <اسم الجهة> بشكل دوري.
يجب إجراء اختبارات لتقييم حماية تطبيقات الويب في حال إصدار تط**بيق جدي**د أو رئيس**ي (New 3-8
،)or Major Application Releaseتطبيق****ات ويب جدي****دة (Acquired Web
،)Applicationsإص**دارات بس**يطة ( ،)Point Releasesإص**دارات تص**حيحية (Patch
،)Releasesوإصدارات الطوارئ (.)Emergency Releases
يجب اعتماد التغييرات على تطبيقات الويب من قبل <اللجن**ة التقني**ة االستش**ارية للتغي**ير> ()CAB 3-9
قبل إطالقها في بيئة اإلنتاج.
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياسة سنوًيا على األقل أو في ح*ال ح*دوث
تغي**يرات في السياس**ات أو اإلج**راءات التنظيمي**ة في <اس**م الجه**ة> أو المتطلب**ات التش**ريعية والتنظيمي**ة ذات
العالقة.
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة حماية تطبيقات الويب
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج**راءات المتبع**ة في <اس**م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
7