Professional Documents
Culture Documents
STANDARD Workstations Security Template Ar FINAL
STANDARD Workstations Security Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس11يبراني كمث11ال توض11يحي يمكن اس11تخدامه ك11دليل
ومرجع للجهات .يجب أن يتم تعديل ه1ذا النم1وذج ومواءمت1ه م1ع أعم1ال <اس1م الجه1ة> والمتطلب1ات التش1ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض11ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج معيار أمن أجهزة المستخدمين
اعتماد الوثيقة
نسخ الوثيقة
<أدخل تفاصيل اإلصدار> <أدخل االسم الكامل للموظف> <أدخل رقم النسخة>
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج معيار أمن أجهزة المستخدمين
قائمة المحتويات
الغرض4..................................................................................................................
النطاق4...................................................................................................................
المعايير4..................................................................................................................
األدوار والمسؤوليات10.................................................................................................
التحديث والمراجعة10...................................................................................................
االلتزام بالمعيار10.......................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج معيار أمن أجهزة المستخدمين
الغرض
يهدف هذا المعيار إلى تحديد متطلبات األمن السيبراني التفصيلية المتعلقة ب11إدارة أجه11زة المس11تخدمين (
)Workstationsالخاص11ة ب<اس11م الجه11ة> لتقلي11ل المخ11اطر الس11يبرانية وحمايته11ا من التهدي11دات الداخلي11ة
والخارجي11ة في <اس11م الجه11ة> .ه11ذه المتطلب11ات تمت موائمته11ا م11ع سياس11ة أمن أجه11زة المس11تخدمين واألجه11زة
المحمولة واألجهزة الشخصية ومتطلبات األمن السيبراني الصادرة من الهيئ1ة الوطني1ة لألمن الس11يبراني ويش11مل
ذلك على سبيل المثال ال الحصر :الضوابط األساسية لألمن السيبراني ( ،)ECC – 1: 2018ض11وابط األمن
السيبراني لألنظمة الحساسة ( )CSCC – 1: 2019وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
النطاق
يطب1ق ه1ذا المعي1ار على جمي1ع أجه1زة المس1تخدمين المكتبي1ة الخاص1ة ب<اس1م الجه1ة> ،وعلى جمي1ع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
المعايير
الوصول اآلمن 1
ضمان حماية أجهزة المستخدمين ووظائفها من الوصول غير المصرح به. الهدف
ينطوي على الوصول غير المصّر ح به إلى أجهزة المستخدمين مخاطر كب1يرة ق1د ت1ؤدي
إلى سرقة المعلومات ووقوع انتهاكات أمنية ُتمكن منفذيها من ش11ن المزي11د من الهجم11ات المخاطر المحتملة
الضارة ضد موظفي <اسم الجهة> وبنيتها التحتية أو ضد أي هدف خارجي آخر.
اإلجراءات المطلوبة
تط11بيق الوص11ول اآلمن وإدارة هوي11ات ال11دخول ألجه11زة المس11تخدمين بم11ا يتواف11ق م11ع
المعايير التقنية واألمنية المذكورة في معي11ار إدارة الص11الحيات والهوي11ات المعتم11د ل11دى 1-1
<اسم الجهة> لمقاومة الهجمات السيبرانية.
تقييد الوصول إلى أجهزة المستخدمين وحصره على حساب المستخدم للجهاز. 1-2
إلى جانب استخدام تركيبة اسم المستخدم/كلمة المرور ،إل11زام المس11تخدم باس11تخدام آلي11ات
المص11ادقة أو التحّق ق من الهوي11ة متعّ11دد العناص11ر ( ،)MFAمث11ل الخص11ائص الحيوي11ة
1-3
والمفاتيح المادية وكلمات المرور المؤقتة والبطاقات الذكية وش11هادات التش11فير وغيره11ا،
على أجهزة المستخدمين في البيئات فائقة الحماية مثل مركز العمليات األمنية (.)SOC
اختر التصنيف
اإلصدار <>1.0
4
نموذج معيار أمن أجهزة المستخدمين
األساسي (.)BIOS
تقييد الوصول المادي إلى أجهزة المستخدمين على العاملين المصرح لهم فقط. 1-5
حماية أجهزة المستخدمين من خالل قف1ل الشاش1ة أو تس1جيل الخ1روج (screen lock
1-6
)or logoutقبل مغادرة مساحة العمل لمنع الوصل الغير مصرح به.
ضبط إع11دادات أجه11زة المس11تخدمين بحيث تع11رض شاش11ة توّق ف ( )screen saver
محمية بكلمة مرور في حال عدم اس11تخدام الجه11از ( )Session Timeoutلم11دة <5 1-7
دقائق> لضمان حماية محطات العمل التي تركت بشكل غير آمنة.
اس11تخدام طبق11ات شاش11ة ل11دعم الخصوص11ية أو اس11تخدام ح11واجز مادي11ة أخ11رى للح11د من
1-8
تعرض البيانات لالطالع غير المصرح به.
الخروج من التطبيقات قيد التشغيل وإغالق المستندات المفتوحة عند مغادرة المكتب. 1-9
التأكد من وصول أجهزة المس11تخدمين اآلمن للش11بكة الالس11لكية وفًق ا لمعي11ار أمن الش11بكة
1-10
الالسلكية المعتمد لدى <اسم الجهة>.
تحديد متطلبات األمن السيبراني الحساسة ألجه11زة المس11تخدمين لض11مان تص11ميم أجه11زة
الهدف
المستخدمين وإعدادها وتشغيلها بطريقة آمنة.
يمكن أن يؤدي اإلعداد الخاطئ والتص1ميم غ1ير اآلمن ألجه1زة المس1تخدمين إلى ثغ1رات
المخاطر المحتملة
أمنية يمكن استغاللها لتهديد سرية وسالمة وتوافر بيانات <اسم الجهة> وسير عملها.
اإلجراءات المطلوبة
تطبيق مراجعة اإلعدادات والتحصين ألجهزة المستخدمين بما يتوافق مع المعايير التقنية
واألمنية الم11ذكورة في معي11ار إع11دادات الحماي11ة والتحص11ين المعتم11د في <اس11م الجه11ة> 2-1
لمقاومة الهجمات السيبرانية.
حذف التطبيقات والخدمات غير الضرورية أو غير الالزمة أو إلغاء تفعيلها على أجه11زة
المستخدمين مثل بروتوكول تل نت ( ،)Telnetولوح11ة المف11اتيح ب11اللمس ،والس11جل عن 2-2
بعد (إذا لم يكن ضرورًيا) ،وغيرها.
إنشاء نسخ وقوالب آمنة ألجهزة المستخدمين بناًء على معايير اإلعدادات المعتمدة ووفًق ا
لسياسة اإلعدادات والتحصين المعتمدة لدى <اسم الجهة> وإعادة نسخ األجهزة باستخدام 2-3
أحد قوالب نسخ أجهزة المستخدمين في حال تعرضها النتهاك أمني.
اختر التصنيف
اإلصدار <>1.0
5
نموذج معيار أمن أجهزة المستخدمين
تخزين نسخ أجهزة المستخدمين في بيئ11ة آمن11ة على أو بيئ11ة تخ11زين مع11دة بص11ورة آمن11ة
وغير مرتبطة بالشبكة والتحقق بانتظ1ام من ه1ذه النس11خ باس11تخدام أدوات مراقب1ة س11المة 2-4
المعلومات.
منع تنزيل برامج غير مصرح بها على أجهزة المستخدمين. 2-5
يمكن أن تؤدي الهجمات الخبيث1ة الناجح1ة على أجه1زة المس1تخدمين إلى تع1ريض <اس1م
الجهة> الختراق أمني أو الوص11ول غ11ير المص11رح ب1ه أو الكش11ف عن بياناته11ا في ح1ال المخاطر المحتملة
تركت أجهزة المستخدمين دون حماية.
اإلجراءات المطلوبة
منع إنشاء/تعديل/حذف إعدادات نظ11ام التش11غيل وب11رامج حماي11ة األجه11زة الطرفي11ة ،مث11ل
إلغاء تفعيل تغيير وقت النظام يدوًيا ،وتعديل ملفات النظام ،وإنشاء الملفات أو تع11ديلها أو 3-1
حذفها ،وغيره.
تطبيق خاصية السماح بقائمة محددة من التطبيقات على أجهزة المستخدمين لتمكين عم11ل
3-2
تطبيقات وبرمجيات محددة فقط وفًق ا للحاجة.
تطبيق خاصية السماح بقائمة محددة من التطبيقات واستخدام ميزتين لتحديد التطبيق ،بما
في ذلك على سبيل المثال ال الحصر ،قواعد التجزئة المشفرة أو قواع11د ش11هادات الناش11ر 3-3
أو قواعد المسار للسماح باستخدام التطبيقات أو منعها.
ضبط إعدادات أنظمة الس11ماح بقائم11ة مح11ددة من التطبيق11ات بحيث ال يمكن للمس11تخدمين
إلغاء تفعيل األنظمة باستثناء المديرين عند أدائهم لمهام إدارية معينة تقتضي إلغاء تفعي11ل 3-4
السماح بقائمة محددة من التطبيقات مؤقًت ا.
فيما يخص خاصية السماح بقائمة محددة من التطبيق1ات ،يجب تعري1ف الملف1ات التنفيذي1ة
المعتم11دة ( ,exe, com, pifوغيره11ا) ومكتب11ات البرمجي11ات ( ,dll, ocxوغيره11ا)
3-5
والنصوص ( ,ps1, bat, vbsوغيرها) وبرامج التثبيت ( ,msi, mspوغيرها) من
أجل تنفيذ الملفات من القائمة المعتمدة فقط.
تط11بيق نظ11ام الحماي11ة المتقدم11ة الكتش11اف ومن11ع االختراق11ات في المستض11يف (Host- 3-6
)"based Intrusion Prevention System "HIPSعلى جمي11ع أجه11زة
اختر التصنيف
اإلصدار <>1.0
6
نموذج معيار أمن أجهزة المستخدمين
المستخدمين.
تطبيق جدار حماية من البرمجيات المستضافة على جميع أجهزة المستخدمين. 3-7
تطبيق برامج مكافحة البرامج الضارة على جميع أجهزة المستخدمين. 3-9
تط11بيق ب11رامج اكتش11اف أجه11زة النهاي11ة الطرفي11ة واالس11تجابة له11ا على جمي11ع أجه11زة
3-11
المستخدمين.
تطبيق برمجيات التحكم بأجهزة النهاية الطرفية على كاف11ة أجه11زة المس11تخدمين لمن11ع أي
3-12
دخول من أجهزة خارجية غير مصرحة.
تطبيق منع تّسرب البيانات ( )DLPحيثما كان ذلك الزًم ا وفًق ا للسياس11ات واإلج11راءات
3-13
ذات العالقة في <اسم الجهة>.
التشفير 4
ضمان الحفاظ على سرّية بيانات المستخدمين والتأّك د من س11المتها وموثوقيته11ا لحمايته11ا
الهدف
من الوصول غير المصّر ح به والكشف عن المعلومات الحّساسة.
قد يؤدي عدم وجود التقنيات األمنية المناسبة لضمان تش11فير بيان1ات أجه11زة المس11تخدمين
إلى تعرض بيانات <اسم الجهة> لمخاطر سيبرانية عالية نتيجة الوصول غير المص11رح المخاطر المحتملة
به إلى هذه البيانات.
اإلجراءات المطلوبة
تطبيق التشفير ألجهزة المستخدمين بما يتوافق مع المعايير التقنية واألمنية المذكورة في
4-1
معيار التشفير المعتمد لدى <اسم الجهة> للحد من محاوالت االطالع غير المصرح به.
تش11فير وس11ائط التخ11زين في أجه11زة المس11تخدمين بم11ا في ذل11ك األق11راص الص11لبة وفًق ا
4-2
للسياسات واإلجراءات ذات العالقة في <اسم الجهة>.
استخدام بروتوكول إدارة أجهزة المستخدمين الذي يدعم التشفير أو يقوم بضبط إع11دادات 4-3
التشفير لبروتوكوالت إدارة أجهزة المستخدمين مثل :بروتوكول النفاذ إلى الدليل البس11يط
( )LDAPعلى أمن طبقة النقل ( ،)TLSوالنس11خة الثالث11ة من بروتوك11ول إدارة الش11بكة
اختر التصنيف
اإلصدار <>1.0
7
نموذج معيار أمن أجهزة المستخدمين
تحديد المتطلبات األمنية إلدارة أجهزة المس1تخدمين لض1مان تش1غيل أجه1زة المس1تخدمين
الهدف
وإداراتها مركزًيا وبطريقة آمنة وضمان تطبيق جميع المتطلبات األمنية وتنفيذها.
يؤدي االفتقار إلى اإلدارة اآلمنة وعدم تطبيق المتطلبات األمنية على أجهزة المستخدمين
إلى زيادة احتمالية التعرض للهجمات ،ويزيد من فرص وجود ثغرات ونقاط ض11عف في
المخاطر المحتملة
بيئة <اسم الجه11ة> يمكن اس11تغاللها في الهجم11ات أو االختراق11ات الخبيث11ة ،مم11ا يع11رض
أجهزة المستخدمين والبيانات في <اسم الجهة> إلى انتهاكات أمنية.
اإلجراءات المطلوبة
ضبط إعدادات خادم اإلدارة المركزي11ة أو خ11ادم النط11اق ليطب11ق سياس11ة أمن الخ11وادم في
5-1
<اسم الجهة> على جميع أجهزة المستخدمين.
تث11بيت أدوات إدارة إع11دادات النظ11ام ال11تي تنف11ذ إع11دادات الض11بط والتهيئ11ة ألجه11زة
المستخدمين وتعيد تثبيتها تلقائًيا في فترات زمنية محددة ومنتظمة .للمزيد من التفاص11يل، 5-2
يرجى الرجوع إلى سياسة اإلعدادات والتحصين في <اسم الجهة>.
تطبيق نظام مراقبة اإلعدادات المتوافقة مع بروتوكول أتمتة محت11وى األمن (Security
)"Content Automation Protocol "SCAPللتأك11د من عناص11ر اإلع11دادات
5-3
األمنية كافة وجدولة االستثناءات المعتمدة واإلبالغ عن حدوث أي تغييرات غير مصّرح
بها.
يمكن أن ت11ؤدي الهجم11ات الخبيث11ة الناجح11ة على أجه11زة المس11تخدمين ذات الص11الحيات
الهامة والحساسة إلى تعريض <اسم الجهة> الختراق11ات خط11يرة وانتهاك11ات أمني11ة ألهم المخاطر المحتملة
أصولها الحساسة مما يؤدي إلى أضرار جسيمة.
اإلجراءات المطلوبة
ف11رض اس11تخدام التحّق ق من الهوي11ة متعّ11دد العناص11ر من أج11ل الوص11ول إلى أجه11زة 6-1
اختر التصنيف
اإلصدار <>1.0
8
نموذج معيار أمن أجهزة المستخدمين
تقييد الوصول إلى أجهزة المستخدمين ذات الصالحيات واالمتيازات الهامة والحساس11ة (
6-2
)PAWوحصره على المشرفين والمشغلين المصرح لهم فقط.
تش11فير جمي11ع أن11واع الحرك11ة المنقول11ة من أو إلى أجه11زة المس11تخدمين ذات الص11الحيات
واالمتيازات الهامة والحساسة ( )PAWبم11ا في ذل11ك حرك11ة الوص11ول اإلداري والتحكم
(مث11ل بروتوك11ول النق11ل اآلمن " ،"SSHوبروتوك11ول التحكم بس11طح المكتب عن بع11د " 6-4
،)"RDPوحركة البيانات باستخدام آليات التشفير (مثل أمن طبقة النق11ل " )"TLSوفًق ا
لمعيار التشفير المعتمد في <اسم الجهة>.
إلغاء تفعيل خاصية الوص11ول إلى اإلن11ترنت على أجه11زة المس11تخدمين ذات الص11الحيات
6-5
واالمتيازات الهامة والحساسة (.)PAW
إلغاء تفعيل الخدمات غير األساسية أو الالزمة (مث11ل إرس11ال رس11ائل البري11د اإللك11تروني
واستالمها) على أجهزة المستخدمين ذات الص11الحيات واالمتي11ازات الهام11ة والحساس11ة ( 6-6
.)PAW
تفعيل جميع مستويات التسجيل ،إلى جانب سجل التدقيق والسجالت األمنية ،محلًيا وعلى
6-7
نظام تسجيل أحداث مركزي.
تطبيق جميع المعايير والمتطلبات األمني1ة ألجه1زة المس1تخدمين لض1مان أعلى مس1تويات
الهدف
الحماية.
عدم تط11بيق جمي11ع المع11ايير والمتطلب11ات األمني11ة يع11رض <اس11م الجه11ة> إلى زي11ادة في
المخاطر المحتملة
المخاطر األمنية التي تهدد أجهزة المستخدمين.
اإلجراءات المطلوبة
اختر التصنيف
اإلصدار <>1.0
9
نموذج معيار أمن أجهزة المستخدمين
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني> . -3
قياس االلتزام بالمعيار< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعيار سنوًيا على األقل أو في حال حدوث
تغييرات تقنية جوهرية في البنية التحتية أو في حال حدوث تغييرات في السياسات أو اإلجراءات التنظيمية في
<اسم الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة.
االلتزام بالمعيار
-1يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا.
-2يجب على جميع العاملين في <اسم الجهة> االلتزام بهذا المعيار.
-3قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إج11راء ت11أديبي حس11ب اإلج11راءات المتبع11ة في <اس11م
الجهة>.
اختر التصنيف
اإلصدار <>1.0
10