Professional Documents
Culture Documents
Standard Data-Diode-Standard Template Ar v0.4
Standard Data-Diode-Standard Template Ar v0.4
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس22يبراني كمث22ال توض22يحي يمكن اس22تخدامه ك22دليل
ومرجع للجهات .يجب أن يتم تعديل ه2ذا النم2وذج ومواءمت2ه م2ع أعم2ال <اس2م الجه2ة> والمتطلب2ات التش2ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض22ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
قائمة المحتويات
الغرض 4..........................................................................................................................................
نطاق العمل4.....................................................................................................................................
المعايير4..........................................................................................................................................
األدوار والمسؤوليات8..........................................................................................................................
التحديث والمراجعة8............................................................................................................................
االلتزام بالمعيار8................................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
الغرض
الغرض من هذا المعيار هو تحديد متطلبات األمن السيبراني التفصيلية المتعلقة بأجهزة نقل البيان22ات في
اتجاه واحد لدى <اسم الجهة> لتقليل المخاطر السيبرانية الناتجة من التهديدات الداخلية والخارجية .وأجهزة نق22ل
البيانات في اتجاه واحد عبارة أدوات أو أجهزة شبكية تتيح نقل البيانات في اتجاه واحد محدد مسبًقا فقط.
تمت موائم22ة ه22ذا المعي22ار م22ع الض22وابط الص22ادرة من الهيئ22ة الوطني22ة لألمن الس22يبراني والمتطلب22ات
التنظيمية والتشريعية ذات العالقة.
نطاق العمل
ينطبق هذا المعيار على جميع أجهزة نقل البيان2ات في اتج2اه واح2د المثبت2ة على ش2بكة التقني2ة التش2غيلية
الخاصة ب<اسم الجهة> وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
المعايير
المتطلبات العامة 1
تحديد المتطلبات العامة ألجه22زة نق22ل البيان22ات في اتج22اه واح22د وذل22ك للتأك22د من حماي22ة
سرية وس2المة وت2وافر البيان2ات وإدارته2ا بش2كل آمن واس2تعمالها بص2ورة مالئم2ة عن2د الهدف
الحاجة.
قد يؤدي عدم استعمال أجه22زة نق22ل البيان22ات في اتج22اه واح22د بش22كل مالئم أو الخط22أ في
إعداداتها أو عدم إدارته22ا بم22ا يتواف22ق م22ع المع22ايير األمني22ة العام22ة إلى تع22ريض الجه22ة
المخاطر المحتملة
لتداعيات خطيرة تؤدي إلى اختراقات وتعطل األعمال ووقوع حوادث مرتبطة بالسالمة
أو خسائر مالية.
اإلجراءات المطلوبة
يجب تثبيت جميع أجهزة نقل البيانات في اتجاه واحد على معماري22ة <اس22م الجه22ة> بم22ا
يتواف22ق م22ع سياس22ات األمن الس22يبراني المعَّ22د ة والمتطلب22ات الالزم22ة ووفًق ا لألنظم22ة 1-1
والتشريعات ذات العالقة.
يجب تحديد جميع أجهزة نقل البيانات في اتجاه واحد وجردها وإداراته22ا وحمايته22ا ،بم22ا
1-2
يتوافق مع معيار األمن السيبراني ألصول أنظمة التحكم الصناعي.
يجب أن تك22ون أجه22زة نق22ل البيان22ات في اتج22اه واح22د ممتثل22ة لمع22ايير األمن الس22يبراني
الصناعية حسب أفضل الممارسات (مثل معيار ،IEC 62443ومعيار NIST SP 1-3
.)800-82
اختر التصنيف
اإلصدار <>1.0
4
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
يجب أن يسمح جهاز نقل البيانات في اتجاه واح2د بت2دفق البيان2ات من ش22بكة إلى أخ2رى
1-4
مع تطبيق العزل المادي والمنطقي المناسب.
تحديد المتطلبات الخاصة بعملية إع2دادات الوص2ول إلى أجه2زة نق2ل البيان2ات في اتج2اه
الهدف
واحد ،وذلك للتأكد من أن مسار العملية سليم وآمن وفًق ا للقواعد األمنية المحددة.
قد يؤدي غياب التحديد المناسب واإلدارة المالئمة للوصول إلى أجهزة نق22ل البيان22ات في
اتجاه واحد وعدم إدارتها بما يتوافق مع المعايير األمني22ة إلى تع22ريض الجه22ة لت22داعيات المخاطر المحتملة
خطيرة تؤدي إلى اختراق األعمال وتهديد استمرارية التشغيل ووقوع خسائر مالية.
اإلجراءات المطلوبة
يجب أن ُيخصص لجهاز نقل البيانات في اتجاه واحد واجهة إدارة شبكية منفصلة. 2-1
يجب أن ُيخصص لجهاز نقل البيانات في اتجاه واحد واجهة مستخدم رس22ومية ()GUI
2-2
أو واجهة سطر أوامر( )CLIمخصصة إلجراء إعدادات األجهزة.
يجب تقييد صالحيات الوصول إلى إع22دادات أو ص22يانة أجه22زة نق22ل البيان22ات في اتج22اه
2-3
واحد ومنحها لمسؤولي األنظمة المصرح لهم فقط.
يجب حماي22ة الوص22ول إلى إع22دادات أجه22زة نق22ل البيان22ات في اتج22اه واح22د باس22تعمال
2-4
حسابات وكلمات مرور غير افتراضية.
يجب تقييد صالحيات الوصول المادي إلى أجهزة نقل البيانات في اتج22اه واح22د ومنحه22ا
2-5
لمسؤولي األنظمة المصرح لهم فقط وحمايتها بطبقات األمن المادي.
تحديد متطلبات عملية إدارة اإلع22دادات الخاص22ة ب22أجهزة نق22ل البيان22ات في اتج22اه واح22د
الهدف
للتأكد من أن مسار العملية سليم وآمن وفًق ا للقواعد األمنية المحددة.
قد يؤدي عدم تحديد اإلع22دادات األساس22ية ألجه22زة نق22ل البيان22ات في اتج22اه واح22د وع22دم
إدارة اإلعدادات بما يتوافق مع المعايير األمنية إلى تداعيات خطيرة ت22ؤدي إلى اخ22تراق المخاطر المحتملة
العمليات وتهديد استمرارية التشغيل ووقوع خسائر مالية.
اإلجراءات المطلوبة
يجب تطوير وتوثيق اإلعدادات األمنية األساسية ألجهزة نق2ل البيان2ات في اتج2اه واح2د،
3-1
بما يشمل جوانب االتصاالت والتشغيل والتواصل باألنظمة ،ومراجعتها بشكل رسمي.
اختر التصنيف
اإلصدار <>1.0
5
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
يجب أن توفر واجهة اإلدارة/التشخيص إمكاني2ة تس2جيل األح2داث وإرس2الها إلى أنظم2ة
3-2
أمنية أخرى أو إلى خوادم السجالت.
يجب أن يوفر جهاز نقل البيانات في اتجاه واحد وظ2ائف النس22خ االحتي2اطي واالس2تعادة
لتمكين المسؤولين من تص2دير واس2تيراد اإلع2دادات الخاص2ة ب2أجهزة نق2ل البيان2ات في 3-3
اتجاه واحد.
يجب أن يقوم جهاز نقل البيانات في اتجاه واحد بجمع وإرسال الس22جالت الخاص22ة ب22أي
3-4
أحداث يمكن ان تدخل ضمن نطاق تفتيش التدقيق.
يجب تهيئ2ة إع2دادات أجه2زة نق2ل البيان2ات في اتج2اه واح2د بحيث تقتص2ر على إرس2ال
السجالت المحددة فقط إلى نظام السجالت المركزي باستخدام :بروتوكول SYSLOG 3-5
وصيغ السجالت CEFأو LEEFأو .RFC 5425
تحديد متطلبات الحماية البيئية والمادية ألجهزة نقل البيانات في اتجاه واحد ،وذلك للتأكد
الهدف
من أن مسار العملية سليم وآمن وفًق ا للقواعد األمنية المحددة.
ق22د ي22ؤدي قص22ور الحماي22ة البيئي22ة والمادي22ة ألجه22زة نق22ل البيان22ات في اتج22اه واح22د إلى
ت22داعيات خط22يرة ت22ؤدي إلى اخ22تراق بيئ22ة العم22ل والعملي22ات ،وه22و م22ا ق22د ي22ؤثر على المخاطر المحتملة
استمرارية التشغيل ويتسبب في حوادث مرتبطة بالسالمة أو وقوع خسائر مالية.
اإلجراءات المطلوبة
عند الضرورة ،يجب صناعة نسخة أكثر متانة وتحمل من جهاز نقل البيان22ات في اتج22اه
واحد ،وذلك لكي يعمل الجهاز بشكل موث2وق في البيئ2ات وظ2روف االس2تخدام القاس2ية، 4-1
مثل االهتزازات القوية ودرجات الحرارة الشديدة والظروف الرطبة أو الملبدة باألتربة.
يجب تعديل جهاز نقل البيانات في اتجاه واحد بحيث يمكن تثبيت22ه في البيئ22ات الص22ناعية
4-2
(داخل خزانات األجهزة اإللكترونية أو على سكك تثبيت القواطع).
يجب أن يضمن عتاد جهاز نقل البيانات في اتجاه واحد ارتفاع مس22تويات الت22وافر (على
4-3
سبيل المثال ،استخدام مصدر طاقة إضافي).
تحديد متطلبات حماي22ة األنظم22ة واالتص22االت الخاص22ة ب22أجهزة نق22ل البيان22ات في اتج22اه
الهدف
واحد ،وذلك للتأكد من أن مسار العملية سليم وآمن وفًق ا للقواعد األمنية المحددة.
قد يؤدي عدم تحديد إجراءات حماية األنظمة واالتصاالت الخاصة بأجهزة نقل البيان22ات المخاطر المحتملة
في اتجاه واحد وعدم إدارتها بما يتوافق مع المعايير األمنية إلى ت22داعيات خط22يرة يمكن
اختر التصنيف
اإلصدار <>1.0
6
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
أن ت22ؤدي إلى اختراق22ات أمني22ة التص22االت األنظم22ة ،وه22و م22ا ق22د ي22ؤدي إلى تهدي22د
استمرارية التشغيل ويتسبب في حوادث مرتبطة بالسالمة أو وقوع خسائر مالية.
اإلجراءات المطلوبة
يجب تث22بيت جه22از نق22ل البيان22ات أعلى المنطق22ة المحاي22دة ( )DMZمن ج22انب التقني22ة
التشغيلية ( )OTوعلى طبقة المنطقة المحاي2دة ( )IT(/)DMZتقني2ة المعلوم2ات كنقط2ة
5-1
اتص22ال وحي22دة بين منطق22ة المص22در الص22ناعية المحمي22ة وغيره22ا من من22اطق/ش22بكات
األعمال غير الموثوقة.
يجب أن يقتص22ر جه22از نق22ل البيان22ات في اتج22اه واح22د على قب22ول البيان22ات ال22واردة من
المص22ادر المس22موحة المعروف22ة للبيان22ات ،وال22تي يمكن حص22رها في م22زيج فري22د من 5-2
العناوين ( )IPsوالمنافذ وبرتوكوالت الشبكة.
يجب ضبط معدل النق2ل لجه2از نق2ل البيان2ات في اتج2اه واح2د عن2د قيم2ة مح2ددة بوح2دة
،))Mbits/sويتعين تحديد تلك القيمة باالستناد إلى تقدير معدل نق22ل البيان22ات واختب22ار 5-3
للمحاكاة.
يجب أن يدعم جهاز نقل البيانات في اتجاه واحد ال22بروتوكوالت الص22ناعية المس22تخدمة
لتب22ادل البيان22ات بين منطق22ة المص22در الص22ناعية المحمي22ة والمنطق22ة المحاي22دة ( )DMZ 5-4
ومناطق/شبكات األعمال المستهدفة غير الموثوقة التي تستخدمها <اسم الجهة>.
يجب أن ي22دعم جه22از نق22ل البيان22ات في اتج22اه واح22د بروتوك22والت األتمت22ة المفتوح22ة
والبروتوكوالت الس22ابقة ،وأن يتمكن من اس22تيعابها (على س22بيل المث22ال ،أي بروتوك22ول 5-5
،MODBUSوبروتوكول ،OPC UAوغيرهما).
يجب أن ي22دعم جه22از نق22ل البيان22ات في اتج22اه واح22د بروتوك22والت الش22بكية اإلض22افية
المستخدمة للدعم التش22غيلي أو نق22ل الملف22ات ،وأن يتمكن من اكتش22افها (مث2ل بروتوك22ول
التحكم بالنقل ( ،)TCPأو بروتوكول نقل الملفات ( ،)FTPأو بروتوكول نقل الملفات 5-6
اآلمن ( ،)SFTPأو بروتوك222ول نظ222ام ملف222ات اإلن222ترنت المش222ترك ( ،)CIFSأو
بروتوكول وقت الشبكة (.))NTP
يجب تهيئ22ة اإلع22دادات الخاص22ة ب22أجهزة نق22ل البيان22ات في اتج22اه واح22د واس22تخدامها
الهدف
ومراقبتها بشكل آمن.
قد يؤدي عدم التزام <اسم الجهة> بكافة المع22ايير والمتطلب22ات إلى تعريض22ها لمخ22اطر
المخاطر
متزايدة مما قد يؤثر على استمرارية التشغيل ويتسبب في حوادث مرتبط22ة بالس22المة أو
المحتملة
وقوع خسائر مالية.
اختر التصنيف
اإلصدار <>1.0
7
نموذج معيار أجهزة نقل البيانات في اتجاه واحد
اإلجراءات المطلوبة
يجب تطبيق المعايير التالية فيما يتعلق بأمن أصول أنظمة التحكم الصناعي:
6-1
معيار أمن أجهزة وأنظمة التحكم الصناعي ()OT/ICS -1
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بأمن أجهزة وأنظمة التحكم الصناعي (.>)OT/ICS -3
قياس االلتزام بالمعيار< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعي22ار س22نوًيا على األق22ل أو في ح22ال ح22دوث
تغييرات في السياسات أو في اإلجراءات التنظيمية في <اس22م الجه22ة> أو المتطلب22ات التش22ريعية والتنظيمي22ة ذات
العالقة.
االلتزام بالمعيار
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذا المعيار. -2
قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حس22ب اإلج22راءات المتبع22ة في <اس22م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
8