Professional Documents
Culture Documents
STANDARD Asset Classification Template Ar v0.3
STANDARD Asset Classification Template Ar v0.3
إخالء المسؤولية
نموذج معيار تصنيف األصول
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن السAAيبراني كمثAAال توضAAيحي يمكن اسAAتخدامه كAAدليل
ومرجع للجهات .يجب أن يتم تعديل هAذا النمAوذج ومواءمتAه مAع أعمAال <اسAم الجهAة> والمتطلبAات التشAريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويضAAه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج معيار تصنيف األصول
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج معيار تصنيف األصول
قائمة المحتويات
الغرض 4..........................................................................................................................
نطاق العمل 4.......................................................................................................................
المعايير 4..........................................................................................................................
األدوار والمسؤوليات 9.............................................................................................................
التحديث والمراجعة 10.............................................................................................................
االلتزام بالمعيار 10................................................................................................................
الملحق 10........................................................................................................................
اإلصدار <>1.0
3
نموذج معيار تصنيف األصول
الغرض
الغرض من هذا المعيار هو تحديد متطلبات األمن السيبراني التفصيلية ذات العالقAAة بتصAAنيف األصAAول
الخاصAة بأنظمAة وبيانAات ومعلومAات <اسAم الجهAة> وذلAك لتقليAل المخAاطر السAيبرانية الناتجAة عن التهديAدات
الداخليAAة والخارجيAAة بغAAرض تحقيAAق األهAAداف الرئيسAAية للحمايAAة وهي :سAAرية المعلومAAات ،وسAAالمة أنظمAAة
المعلومات ،وتوافرها.
تمت موائمAAة هAAذا المعيAAار مAAع الضAAوابط والمعAAايير الصAAادرة من الهيئAAة الوطنيAAة لألمن السAAيبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
يغطي هذا المعيار جميAع األصAAول (مثAل األصAول الماديAة والبيانAات وتطبيقAAات األعمAAال والبرمجيAات
والتقنيات) الخاصة ب<اسم الجهة> ،وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
المعايير
تصنيف األصول ()Asset classification 1
يAAؤدي عAAدم إعAAداد وتطAAبيق تصAAنيف األصAAول في <اسAAم الجهAAة> إلى فشAAل في حمايAAة
األصAAول باسAAتخدام تAAدابير أو ضAAوابط وقائيAAة غAAير مناسAAبة أو التعامAAل مAAع األصAAول
الحساسة بشكل غير صحيح ،مما قد يؤدي إلى اختراقها أو تعرضها النتهاكات أمنية. المخاطر المحتملة
اإلجراءات المطلوبة
يجب على <اسم الجهة> القيام بتصنيف جميع األصول التي تمتلكها وتديرها.
1-1
يجب تصنيف األصول المادية (مثل أجهAزة االتصAال بالشAبكة ،وأنظمAة كشAف التسAلل
ومنع التسلل ( ،)IDS/IPSوأصول التخAزين ،واألجهAزة الطرفيAة لألنظمAة الحساسAة)
بالرجوع إلى أعلى تصنيف لمدخالت المعلومات أو معالجتها أو تخزينهAAا أو نقلهAAا على 1-2
األصول المادية.
اإلصدار <>1.0
4
نموذج معيار تصنيف األصول
يجب تصAAنيف تطبيقAAات األعمAAال وأصAAول البرمجيAAات بAAالرجوع إلى أعلى تصAAنيف
لمAAدخالت المعلومAAات ،والAAتي تتم معالجتهAAا أو تخزينهAAا أو نقلهAAا أو حAAذفها من قبAAل 1-3
مستخدمي التطبيق أو البرنامج.
يجب تصنيف األطAAراف الخارجيAAة والمAAوردين بAAالرجوع إلى أعلى تصAAنيف لمAAدخالت
المعلومات ،أو معالجتهAAا أو تخزينهAAا أو نقلهAAا أو حAAذفها من قبAAل الطAAرف الخAAارجي أو 1-4
المورد.
يصعب تتبAAع أو مراقبAAة أو الرجAAوع إلى األصAAول الAAتي لم يتم ترميزهAAا من قبAAل <اسAAم
الجهة> ،فاألصول التي لم يتم ترميزها قد ال يتم إدراجها في سجل األصول ،مما يAAؤدي
المخاطر المحتملة
إلى عدم تحديثها أو الحفاظ عليها بالشكل المناسب .وقد يتم التعامل مع األصAول الماديAة
التي لم يتم ترميزها بشكل غير مناسب ،مما قد يؤدي إلى تلفها أو سرقتها او فقدانها.
اإلجراءات المطلوبة
يجب أن يكون لجميع األصول المادية التي تمتلكها الجهة رموًز ا مقاومة للتالعب.
2-1
يجب أن ُتظهAAر الرمAAوز المقاومAAة للتالعب رقًم ا تعريفًي ا ممAAيًز ا مخصًص ا لألصAAل في
سجل األصول مثل الرقم أو الرمز الشريطي أو رمز االستجابة السريع (.)QR 2-2
يجب أن ال يحتوي الرمAAز المقAAاوم للتالعب على اسAAم <اسAAم الجهAAة> ،أو شAAعار <اسAAم
الجهة> ،أو أي عالمات أو نصوص تعريفية أخرى.
2-4
اإلصدار <>1.0
5
نموذج معيار تصنيف األصول
يمكن أن يؤدي التعامل غير السAليم أو اإلهمAال لألصAول الماديAة إلى تلAف أو فقAدان أو
سرقة األصAAل وأي معلومAAات مخزنAAة أو متاحAAة على الجهAAاز .وبنAAاًء على فئAAة أو نAAوع
المخاطر المحتملة
األصول والمعلومات ،قد تتعرض <اسم الجهة> إلى التحقيقات والغرامات القانونيAAة أو
التنظيمية.
اإلجراءات المطلوبة
ال يجAAوز إزالAAة األصAAول الماديAAة (باسAAتثناء األصAAول المعتمAAدة كجAAزء من األجهAAزة
3-1
المحمولة) من مواقعها المخصصة.
يجب الحصول على الموافقة من مالك األصل في حال إزالة األصل المAAادي من موقعAAه
3-2
المحدد.
يجب حAAذف وسAAائط التخAAزين مثAAل محركAAات األقAAراص الصAAلبة المسAAتخدمة لتخAAزين
لمعلومات المصنفة مثل "سرية للغاية ،و"سرية" ،و"حساسAAة" باسAAتخدام طAAرق الحAAذف
المنشورة بحيث ال يتعذر استرجاع البيانAات (مثًال وفًق ا لمعيAار NIST SP800-88 3-3
.)Rev.1
يجب إتالف وسAAائط التخAAزين ،مثAAل محركAAات األقAAراص الثابتAAة ،الAAتي تم اسAAتخدامها
لتخزين المعلومات المصنفة على أنها معلومات "سري للغايAAة" أو "سAAري" أو "مقيAAد"،
إتالًفا مادًيا (على سبيل المثال عن طريق تمزيقها وفًق ا لمعيار المعهAAد األلمAAاني للتوحيAAد 3-4
القياسي ال سيما البندين O-5و H-5أو حرقها).
يمكن أن يؤدي التعامل غير السليم لألصول المحمولة أو إهمالهAAا إلى تلAAف أو فقAAدان أو
سAAرقة األصAAل وأي معلومAAات مخزنAAة أو متاحAAة على الجهAAاز .وبنAAاًء على فئAAة ونAAوع
المخاطر المحتملة
األصول والمعلومات ،قد تتعرض <اسم الجهة> إلى التحقيقات والغرامات القانونيAAة أو
التنظيمية.
اإلجراءات المطلوبة
اإلصدار <>1.0
6
نموذج معيار تصنيف األصول
يجب تدريب مستخدمي األجهزة المحمولة مرة واحدة على األقل في السنة على التعامل
اآلمن مAAع األجهAAزة والبيانAAات (مثAAل أجهAAزة الحاسAAوب المحمولAAة والهواتAAف المحمولAAة
وأجهزة التخزين المحمولة) التي يمكنها إدخAAال أو معالجAAة أو تخAAزين أو نقAAل أو حAAذف 4-1
البيانات المصنفة .ويجب على المستخدمين اإلقرار بحصAAولهم على الAAدورات التدريبيAAة
واستكمالها.
يجب إعادة األجهزة المحمولة إلى موقع مركزي للتخلص منها. 4-2
يجب حذف وسائط التخزين ،مثل محركAات األقAراص الصAلبة ،في األجهAزة المحمولAة
الAتي تم اسAتخدامها لتخAزين المعلومAات السAرية المصAنفة على أنهAا "سAرية للغايAة" أو
"سرية" أو "حساسة" بشAكل آمن باسAتخدام طريقAة حAذف آمنAة بحيث يتعAذر اسAترجاع 4-3
البيانات بعد إيقاف تشغيلها (مثل.)NIST SP800-88 Rev.1 :
يجب إتالف وسائط التخزين ،مثل محركات األقAAراص الصAAلبة ،في األجهAAزة المحمولAAة
الAتي تم اسAتخدامها لتخAزين المعلومAات السAرية المصAنفة على أنهAا "سAرية للغايAة" أو
"سAAرية" أو "حساسAAة" بعAAد إيقAAاف تشAAغيلها (مثًال عن طريAق تمزيقهAAا وفًق ا للبنAد H-5 4-4
والبند O-5من المعيار DIN 66399أو حرقها).
يجب تحطيم أجهAAزة التخAAزين المحمولAAة الAAتي ُاسAAتخدمت لتخAAزين المعلومAAات المصAAنفة
بشكل مادي بعد إيقاف التشغيل (على سبيل المثال تمزيقها وفًق ا للبند H-5والبنAAد O-5
من المعيار DIN 66399أو حرقها). 4-5
يجب ترمAAيز أصAAول المعلومAAات المصAAنفة ذات الصAAيغة الرقميAAة (الملفAAات أو قواعAAد
البيانAAات أو رسAAائل البريAAد اإللكAAتروني) إلكترونًي ا (مثًال من خالل اسAAتخدام الAAرؤوس
والتذييالت في الوثائق أو تسمية الملفات أو التواقيع الرقمية). 5-1
يجب ترمAAيز أصAAول المعلومAAات المصAAنفة ذات الصAAيغة الماديAAة (األوراق ،والنسAAخ 5-2
اإلصدار <>1.0
7
نموذج معيار تصنيف األصول
الورقيAAة ،والعقAAود ،ومAAا إلى ذلAAك) باسAAتخدام آليAAة مقاومAAة للتالعب مثAAل طوابAAع الحAAبر
المطاطية والرموز الالصقة والتصفيح ثالثي األبعاد.
يجب أن يكAAون للمعلومAAات الAAتي تتم طباعتهAAا على نسAAخة ورقيAAة من خالل تطAAبيق أو
برنامج أعمال رمز تصنيفي ذي صلة يتم وضعه قبAAل الطباعAAة (وفًق ا لسياسAAة تصAAنيف
البيانات المتبعة لدى <اسم الجهة>). 5-3
اإلجراءات المطلوبة
يجب تشفير أصول المعلومات المصنفة ذات الصيغة الرقمية أثناء التخزين والنقل. 6-1
يجب إجراء عمليات نقل البيانAات أو الملفAات اإللكترونيAة باسAتخدام نظAام معتمAد وآمن
6-2
لنقل الملفات (وليس البريد اإللكتروني أو تطبيقات المراسلة األخرى).
يجب نقل البيانات أو الملفات التي تحتوي على معلومات سرية باستخدام وسائط اتصال
آمنة ،مثل البريد اإللكتروني عبر الشبكة االفتراضAAية الخاصAAة ( )VPNأو بروتوكAAول 6-3
نقل الملفات اآلمن (.)SFTP
يجب أن تتطلب أنظمة نقل الملفات استخدام خاصية ُمعرف المستخدم ،ويجب أن يسجل
6-4
نظام نقل الملفات معرف المستخدم ،والملفات المنقولة ،والتاريخ والوقت على األقل.
يجب مراجعAAة سAAجالت نظAAام نقAAل الملفAAات مAAرة واحAAدة شAAهرًيا من قبAAل مالAAك تطAAبيق
6-5
األعمال.
يجب حماية أصول المعلومات المصنفة ذات الصيغة المادية (األوراق العاديAة ،والنسAخ
الورقية ،والعقود ،وما إلى ذلك) بوسائل مناسبة في جميع األوقAAات ،مثAAل حفظهAAا بعي ًAد ا 6-6
في حالة عدم استخدامها ووضعها في المظاريف عند نقلها.
يجب حفظ أصول المعلومات المصنفة ذات الصيغة المادية في مكان آمن في نهايAAة كAAل
6-7
يوم عمل ،أو عند ترك المكتب دون مراقبة ألكثر من ساعة.
اإلصدار <>1.0
8
نموذج معيار تصنيف األصول
يمكن نقAل أصAول المعلومAات ذات الصAيغة الماديAة والمصAنفة على أنهAا "حساسAة" أو
تصنيف أقل من مقرات <اسم الجهة> بطريقAAة آمنAAة (مثAAل :وضAAع األوراق في ظAAرف
مزدوج ،مع ضمان عدم ورود أي معلومات تسهل التعرف على <اسم الجهة> بصورة 6-8
ظاهرة ،ووضع األوراق في حقيبAAة أو حقيبAAة جهAAاز حاسAAوب محمAAول أو حقيبAAة أمتعAAة
يدوية).
ال يجوز نقل أصول المعلومات ذات الصيغة المادية والمصAAنفة على أنهAAا "حساسAAة" أو
6-9
تصنيف أعلى من مقرات <اسم الجهة>.
عند إرسال أصول المعلومAات المصAنفة ذات الصAيغة الماديAة إلى أطAراف خارجيAة أو
موردين ،يجب إرسالها بطريقة آمنة (مثل :وضع األوراق في ظرف مزدوج ،وضAAمان
6-10
أن أي شيء يؤدي إلى التعAAرف على <اسAAم الجهAAة> ال يمكن رؤيتAAه ،ووضAAع األوراق
في طرد مضاد للعبث أو غير قابل العبث).
عند إرسال أصول المعلومAات المصAنفة ذات الصAيغة الماديAة إلى أطAراف خارجيAة أو
موردين ،يجب إرسالها باسAتخدام وسAيلة المراسAلة أو البريAد الAذي يمكن تتبعAه .ويجب 6-11
على المستلم التوقيع على إقرار باالستالم.
يجب إتالف أصول المعلومات المصنفة ذات الصيغة المادية عن طريAAق تمزيقهAAا ،على
سبيل المثال :باستخدام آلة تمزيق الورق بشكل متقاطع وفًقا للبند P-4من معيار DIN 6-12
،66399أو أعلى (مثل P-5أو .)P-6
ال يجوز نقل أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "سرية للغايAAة"
6-13
و"سرية" من مقرات <اسم الجهة>.
يجب إتالف أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "سAAرية للغايAAة"
أو "سAAرية" أو "حساسAAة" بشAAكل آمن عن طريAAق تمزيقهAAا (مثال :باسAAتخدام آلAAة تمزيAAق 6-14
الورق بشكل متقاطع وفًق ا للبند P-5أو البند P-6من المعيار .)DIN 66399
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالمعيار< :اإلدارة المعنية باألمن السيبراني>. -4
اإلصدار <>1.0
9
نموذج معيار تصنيف األصول
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعيAAار سAAنوًيا على األقAAل أو في حAAال حAAدوث
تغييرات تقنية جوهرية في البنية التحتية أو في حال حدوث تغييرات في السياسAAات أو اإلجAAراءات التنظيميAAة في
<اسم الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة.
االلتزام بالمعيار
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا. -1
يجب على جميع العاملين في <اسم الجهة> االلتزام بهذا المعيار. -2
قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حسAAب اإلجAAراءات المتبعAAة في <اسAAم -3
الجهة>.
الملحق
مستويات تصنيف األصول أ)
<يتم تصنيف األصل على أنه "حساس" ،إذا كان الوصول غير المصرح به Aأو إساAءة االستAخدام
يسببان آثاًر ا شديدة وواسعة على الجهة بطريقة يصعب حلها> حساس
<يتم تصنيف األصل على أنه "مرتفع" ،إذا كان الوصول غير المصرAح به Aأو إساAءة االستAAخدام
يسبب آثاًر ا كبيرة على الجهة> مرتفع
<يتم تصنيف األصل على أنه "متوسط" ،إذا كان الوصول غير المصرح به أو إساAAءة االستAAخدام
يسبب آثاًر ا معتدلة على الجهة> متوسط
<يتم تصنيف األصل على أنه "منخفض" ،إذا تسبب الوصول غير المصرح به أو سوء االستخدام
إلى آثار ضئيلة أو طفيفة على الجهة> منخفض
<يتم تصنيف البياناAت بتصنAيف "سرAي للغاية ،"Aإذا كاAن الوصوAل غيAر المصرAح به Aأو إساAءة
االستخدام يسببان آثاًر ا شديدة وواسعة على الجهة بطريقة يصعب حلها> سري للغاية
<يتم تصنيف البيانات بتصنيف "سري" ،إذا كان الوصول غير المصرAح به Aأو إساAءة االستAAخدام
يسبب آثاًر ا كبيرة أو متوسطة على الجهة> سري
اإلصدار <>1.0
10
نموذج معيار تصنيف األصول
<يتم تصنيف البيانات بتصنيف "متوسط" ،إذا كان الوصول غير المصرح به أو إساءة االستAAخدام
يسبب آثاًر ا ضئيلة أو محدودة على الجهة> مقيد
<يتم تصنيف البيانات بتصنيف "عام" ،إذا كان الوصول غير المصرح به Aأو سوAAء االستAAخدام ال
يسبب أي آثار على الجهة> عام
اإلصدار <>1.0
11