Professional Documents
Culture Documents
STANDARD Database Security Template Ar FINAL
STANDARD Database Security Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس++يبراني كمث++ال توض++يحي يمكن اس++تخدامه ك++دليل
ومرجع للجهات .يجب أن يتم تعديل ه+ذا النم+وذج ومواءمت+ه م+ع أعم+ال <اس+م الجه+ة> والمتطلب+ات التش+ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض++ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج معيار أمن قواعد البيانات
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج معيار أمن قواعد البيانات
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
المعايير 4...........................................................................................................................
األدوار والمسؤوليات 7.............................................................................................................
التحديث والمراجعة 7...............................................................................................................
االلتزام بالمعيار 8..................................................................................................................
الغرض
الغرض من هذا المعيار هو تحدي++د متطلب++ات األمن الس++يبراني التفص++يلية المتعلق++ة بأنظم++ة إدارة قواع++د
البيانات ( )”Database Management System “DBMSالخاصة ب<اسم الجهة> لتقليل المخ+اطر
السيبرانية الناتجة من التهديدات الداخلية والخارجية.
تمت موائمة هذا المعيار مع سياسة أمن قواعد البيانات والضوابط والمعايير الصادرة من الهيئة الوطنية
لألمن السيبراني والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
يغطي هذا المعيار جميع األص++ول التقني+ة والمعلوماتي+ة (ش++املة أنظم++ة إدارة قواع++د البيان+ات) الخاص++ة
ب<اسم الجهة> ،وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
المعايير
مراجعة اإلعدادات والتحصين ()Secure Hardening Configuration 1
تحديد متطلبات حماية نظام إدارة قواعد البيان+ات ( )DBMSاألساس++ية لض++مان تص++ميم
الهدف
نظام إدارة قواعد البيانات ( )DBMSوإعداده وتشغيله بطريقة آمنة.
تعتبر األخطاء في إعداد نظام إدارة قواعد البيانات ( )DBMSوالتصاميم الض++عيفة من
أبرز األسباب التي تؤدي إلى وجود ثغرات أمني++ة يمكن اس++تغاللها لتهدي++د س++رية بيان++ات المخاطر المحتملة
<اسم الجهة> وسالمتها وتوافرها.
اإلجراءات المطلوبة
اإلصدار <>1.0
3
نموذج معيار أمن قواعد البيانات
أن تك++ون طريق++ة التس++مية بين خ++وادم نظ++ام إدارة قواع++د البيان++ات ( )DBMSفي بيئ++ة
1-1
اإلنتاج والبيئات األخرى مختلفة ليتم تمييزها.
عدم تحديد روابط خوادم نظام إدارة قواعد البيانات (( )DBMSمثل إنشاء اتصاالت أو
1-5
واجهات) بين أنظمة إدارة قواعد البيانات ( )DBMSاإلنتاجية وغير اإلنتاجية.
استخدام خاصية التحّق ق من ص++حة وس++المة البيان++ات المدخل++ة لض++مان س++المة البيان++ات
1-6
المخّز نة.
تقييد حقول قاعدة البيانات بمجاالت محّددة من المدخالت واستخدام المدخالت الثنائي++ة أو
ط++رق التحّق ق األخ++رى من الم++دخالت واالس++تعالمات ،مث++ل التحّق ق من الح++دود (
،)Boundary Checkingأو التحقق من المحتوى وتصفية روابط مواقع اإلن++ترنت
( ،)Content Inspection/URL Filteringللحد من العمليات مثل:
البيانات المفقودة أو غير المكتملة أو كالهما. 1-7
القيم خارج النطاق.
البيانات غير المصّر ح بها أو غير المتسقة.
األحرف واألرقام غير الصحيحة في حقول البيانات.
تجاوز حدود قيمة الحد األعلى أو األدنى للتاريخ.
تقيي++د الوص++ول إلى ملف++ات إع++دادات نظ++ام إدارة قواع++د البيان++ات ( )DBMSوالش++فرة
المص++درية ( )Source Codeللتطبيق++ات والبرمجي++ات المخّز ن++ة في قاع++دة البيان++ات 1-8
ومراقبتها.
حفظ قائمة جرد دقيقة لكافة قواعد البيانات ومحتوياتها وتحديثها دورًيا. 1-9
ترميز البيانات المخّز نة في قواعد البيانات باستخدام أنواع ترميز آمنة محّددة مسبًقا وفًقا
1-10
للسياسات والإجراءات والضوابط ذات العالقة في <اسم الجهة>.
إص++دار س++جالت نظ++ام إدارة قواع++د البيان++ات ( )DBMSلألح++داث األمني++ة الرئيس++ية الهدف
والحرجة وتسجيلها وتأمينها على نظ++ام إدارة قواع++د البيان++ات ( )DBMSللمس++اعدة في
اإلصدار <>1.0
4
نموذج معيار أمن قواعد البيانات
َت ُح د س++جالت الت++دقيق غ++ير الوافي++ة من ق++درة <اس++م الجه++ة> على كش++ف االنتهاك++ات
والحوادث والمسائل األمنية وتتُّبِعه++ا في نظ++ام إدارة قواع++د البيان++ات ( ،)DBMSوُتقّي د
إمكانية تحديد سبب االنتهاكات األمنية .كما يؤدي عدم تأمين سجالت الت++دقيق على نظ++ام المخاطر المحتملة
إدارة قواعد البيان+ات ( )DBMSبالش+كل المناس+ب إلى العبث بالس+جالت مم+ا ي+ؤّث ر في
سالمتها.
اإلجراءات المطلوبة
مزامن++ة أوق++ات جمي++ع أنظم++ة إدارة قواع++د البيان++ات ( )DBMSمركزًي ا م++ع خ++ادم
2-1
بروتوكول وقت الشبكة (.)Network Time Protocol
إرفاق السجالت بسجالت نظ++ام التش++غيل أو أن تك++ون مس++تقّلة ض++من نظ++ام إدارة قواع++د
2-2
البيانات (.)DBMS
إصدار سجالت التدقيق التي تحتوي على معلومات تفصيلية لتحديد هوية أي مس++تخدم أو
2-3
عملية ذات عالقة بالحدث المعني.
تسجيل نشاطات نظام إدارة قواعد البيانات ( )DBMSالتالية بحّد أدنى ،وزمن وقوعه++ا 2-4
( )DBMSتسجيل نشاطات نظام إدارة قواعد البيانات:
جميع حاالت اإلنذار أو األخطاء التي ظهرت في النظام.
التشغيل.
اإلغالق.
إنشاء أو تعديل أو حذف (اس+تبعاد) قواع+د البيان+ات وأي هيك+ل تخ+زين لقواع+د
البيانات وأي جداول لقواعد البيانات وفهارس وحسابات ومصادر.
تفعيل وظيفة التدقيق وإلغاء تفعيلها.
منح االمتيازات والصالحيات وإلغائها على مستوى نظام إدارة قواع++د البيان++ات
(.)DBMS
أي إجراء ُيسِّبب ظهور رسالة خطأ لعدم وجود المصدر الذي يتم البحث عنه.
أي إج+راء ي+ؤدي إلى إع+ادة تس+مية مص+در على نظ+ام إدارة قواع+د البيان+ات (
.)DBMS
أي إج++راء يمنح أو يلغي امتي++ازات وص++الحيات اس++تخدام المص++در من دور أو
حساب نظام إدارة قواعد البيانات (.)DBMS
كاف+ة التع++ديالت على دلي+ل البيان+ات أو إع++دادات نظ+ام إدارة قواع++د البيان+ات (
.)DBMS
تدقيق جميع حاالت فشل االتصال بنظام إدارة قواعد البيانات ( )DBMSحيثما
أمكن ،ويضمن مدير قاعدة البيانات ت++دقيق مح++اوالت االتص++ال الناجح++ة وغ++ير
الناجحة.
اإلصدار <>1.0
5
نموذج معيار أمن قواعد البيانات
تحديد عدد وإرس++ال التنبي++ه لمح++اوالت تس++جيل ال++دخول غ++ير الناجح++ة ،وأقف++ال
كلمات المرور.
محاوالت إضافة أو تعديل أو حذف االمتيازات والصالحيات أو التصاريح.
حذف فئات من المعلومات (مثل مستويات التصنيف أو مستويات األمن).
أمر غير عادي (أمر يطلب أمًر ا آخر وهكذا).
إلغاء تفعيل سجالت نظام إدارة قواعد البيانات ( )DBMSأو تعديلها.
توفير تنبيه فوري ومباشر من أجل تق++ديم ال+دعم المناس++ب لألش+خاص في جمي+ع أح+داث
2-5
فشل التدقيق التي تتطّلب إجراءات مباشرة.
حماية خصائص التدقيق في نظام إدارة قواعد البيان+ات ( )DBMSمن عملي+ات الح+ذف
2-6
غير المصّرح بها.
ضبط إعدادات أنظمة إدارة قواع+د البيان+ات ( )DBMSإلرس+ال س+جالت األح+داث إلى
نظام التسجيل والمراقبة المركزي+ة وفًق ا لمعي+ار إدارة س+جالت األح+داث ومراقب+ة األمن 2-7
السيبراني المعتمد لدى <اسم الجهة>.
تط++بيق جمي++ع المع++ايير والمتطلب++ات األمني++ة لقواع++د البيان++ات لض++مان أعلى مس++تويات
الهدف
الحماية.
عدم تط+بيق جمي+ع المع++ايير والمتطلب+ات األمني+ة يع++رض <اس++م الجه++ة> إلى زي+ادة في
المخاطر المحتملة
المخاطر األمنية لقواعد البيانات.
اإلجراءات المطلوبة
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بتقنية المعلومات>. -3
اإلصدار <>1.0
6
نموذج معيار أمن قواعد البيانات
التحديث والمراجعة
يجب على <اإلدارة المعني++ة ب++األمن الس++يبراني> مراجع++ة المعي++ار س++نوًيا على األق++ل أو في ح++ال ح++دوث
تغي++يرات في السياس++ات أو اإلج++راءات التنظيمي++ة في <اس++م الجه++ة> أو المتطلب++ات التش++ريعية والتنظيمي++ة ذات
العالقة.
االلتزام بالمعيار
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذا المعيار. -2
قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حس++ب اإلج++راءات المتبع++ة في <اس++م -3
الجهة>.
اإلصدار <>1.0
7