‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع‪+‬د تعبئ‪+‬ة النم‪+‬وذج‪ .‬يجب تحري‪+‬ر البن‪+‬ود الملّو ن‪+‬ة ب‪+‬اللون األزرق بص‪+‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج معيار أمن قواعد البيانات‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪++‬غط على مفت‪++‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪++‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫أض‪++‬ف "<اس‪++‬م الجه‪++‬ة>" في مرب‪++‬ع البحث عن‬ ‫‪‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب‪++‬ع "اس‪++‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض‪+++‬غط على "المزي‪+++‬د" وتأّك د من اختي‪+++‬ار "‬ ‫‪‬‬
‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪++‬يبراني كمث‪++‬ال توض‪++‬يحي يمكن اس‪++‬تخدامه ك‪++‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪+‬ذا النم‪+‬وذج ومواءمت‪+‬ه م‪+‬ع أعم‪+‬ال <اس‪+‬م الجه‪+‬ة> والمتطلب‪+‬ات التش‪+‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪++‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق العمل ‪4.......................................................................................................................‬‬
‫المعايير ‪4...........................................................................................................................‬‬
‫األدوار والمسؤوليات ‪7.............................................................................................................‬‬
‫التحديث والمراجعة ‪7...............................................................................................................‬‬
‫االلتزام بالمعيار ‪8..................................................................................................................‬‬

‫الغرض‬
‫الغرض من هذا المعيار هو تحدي‪++‬د متطلب‪++‬ات األمن الس‪++‬يبراني التفص‪++‬يلية المتعلق‪++‬ة بأنظم‪++‬ة إدارة قواع‪++‬د‬
‫البيانات ( ‪ )”Database Management System “DBMS‬الخاصة ب<اسم الجهة> لتقليل المخ‪+‬اطر‬
‫السيبرانية الناتجة من التهديدات الداخلية والخارجية‪.‬‬
‫تمت موائمة هذا المعيار مع سياسة أمن قواعد البيانات والضوابط والمعايير الصادرة من الهيئة الوطنية‬
‫لألمن السيبراني والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫يغطي هذا المعيار جميع األص‪++‬ول التقني‪+‬ة والمعلوماتي‪+‬ة (ش‪++‬املة أنظم‪++‬ة إدارة قواع‪++‬د البيان‪+‬ات) الخاص‪++‬ة‬
‫ب<اسم الجهة> ‪ ،‬وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫المعايير‬
‫مراجعة اإلعدادات والتحصين (‪)Secure Hardening Configuration‬‬ ‫‪1‬‬

‫تحديد متطلبات حماية نظام إدارة قواعد البيان‪+‬ات (‪ )DBMS‬األساس‪++‬ية لض‪++‬مان تص‪++‬ميم‬
‫الهدف‬
‫نظام إدارة قواعد البيانات (‪ )DBMS‬وإعداده وتشغيله بطريقة آمنة‪.‬‬

‫تعتبر األخطاء في إعداد نظام إدارة قواعد البيانات (‪ )DBMS‬والتصاميم الض‪++‬عيفة من‬
‫أبرز األسباب التي تؤدي إلى وجود ثغرات أمني‪++‬ة يمكن اس‪++‬تغاللها لتهدي‪++‬د س‪++‬رية بيان‪++‬ات‬ ‫المخاطر المحتملة‬
‫<اسم الجهة> وسالمتها وتوافرها‪.‬‬

‫اإلجراءات المطلوبة‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫أن تك‪++‬ون طريق‪++‬ة التس‪++‬مية بين خ‪++‬وادم نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات ( ‪ )DBMS‬في بيئ‪++‬ة‬
‫‪1-1‬‬
‫اإلنتاج والبيئات األخرى مختلفة ليتم تمييزها‪.‬‬

‫تخصيص خ‪++‬وادم نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات (‪ )DBMS‬وع‪++‬دم استض‪++‬افة أي وظ‪++‬ائف‬

‫أخرى مثل "مستوى الويب أو التطبيق" ( ‪ )Web or Application Tier‬أو "خدمات‬ ‫‪1-2‬‬
‫النطاق" (‪.)Domain Services‬‬

‫إعادة تسمية جميع قواعد البيانات االفتراضية‪.‬‬ ‫‪1-3‬‬

‫استخدام اإلجراءات المخّز نة المتوّفرة للتطبيق فق‪++‬ط إلج‪++‬راء التع‪++‬امالت أو االس‪++‬تعالمات‬

‫‪1-4‬‬
‫من قواعد البيانات‪.‬‬

‫عدم تحديد روابط خوادم نظام إدارة قواعد البيانات (‪( )DBMS‬مثل إنشاء اتصاالت أو‬
‫‪1-5‬‬
‫واجهات) بين أنظمة إدارة قواعد البيانات (‪ )DBMS‬اإلنتاجية وغير اإلنتاجية‪.‬‬

‫استخدام خاصية التحّق ق من ص‪++‬حة وس‪++‬المة البيان‪++‬ات المدخل‪++‬ة لض‪++‬مان س‪++‬المة البيان‪++‬ات‬
‫‪1-6‬‬
‫المخّز نة‪.‬‬

‫تقييد حقول قاعدة البيانات بمجاالت محّددة من المدخالت واستخدام المدخالت الثنائي‪++‬ة أو‬
‫ط‪++‬رق التحّق ق األخ‪++‬رى من الم‪++‬دخالت واالس‪++‬تعالمات‪ ،‬مث‪++‬ل التحّق ق من الح‪++‬دود (‬
‫‪ ،)Boundary Checking‬أو التحقق من المحتوى وتصفية روابط مواقع اإلن‪++‬ترنت‬
‫(‪ ،)Content Inspection/URL Filtering‬للحد من العمليات مثل‪:‬‬
‫البيانات المفقودة أو غير المكتملة أو كالهما‪.‬‬ ‫‪‬‬ ‫‪1-7‬‬
‫القيم خارج النطاق‪.‬‬ ‫‪‬‬
‫البيانات غير المصّر ح بها أو غير المتسقة‪.‬‬ ‫‪‬‬
‫األحرف واألرقام غير الصحيحة في حقول البيانات‪.‬‬ ‫‪‬‬
‫تجاوز حدود قيمة الحد األعلى أو األدنى للتاريخ‪.‬‬ ‫‪‬‬

‫تقيي‪++‬د الوص‪++‬ول إلى ملف‪++‬ات إع‪++‬دادات نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات (‪ )DBMS‬والش‪++‬فرة‬
‫المص‪++‬درية (‪ )Source Code‬للتطبيق‪++‬ات والبرمجي‪++‬ات المخّز ن‪++‬ة في قاع‪++‬دة البيان‪++‬ات‬ ‫‪1-8‬‬
‫ومراقبتها‪.‬‬

‫حفظ قائمة جرد دقيقة لكافة قواعد البيانات ومحتوياتها وتحديثها دورًيا‪.‬‬ ‫‪1-9‬‬

‫ترميز البيانات المخّز نة في قواعد البيانات باستخدام أنواع ترميز آمنة محّددة مسبًقا وفًقا‬
‫‪1-10‬‬
‫للسياسات والإجراءات والضوابط ذات العالقة في <اسم الجهة>‪.‬‬

‫سجالت التدقيق (‪)Audit Logs‬‬ ‫‪2‬‬

‫إص‪++‬دار س‪++‬جالت نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات (‪ )DBMS‬لألح‪++‬داث األمني‪++‬ة الرئيس‪++‬ية‬ ‫الهدف‬
‫والحرجة وتسجيلها وتأمينها على نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات (‪ )DBMS‬للمس‪++‬اعدة في‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫التحقيق والتتبع والتحّقق في المستقبل‪.‬‬

‫َت ُح د س‪++‬جالت الت‪++‬دقيق غ‪++‬ير الوافي‪++‬ة من ق‪++‬درة <اس‪++‬م الجه‪++‬ة> على كش‪++‬ف االنتهاك‪++‬ات‬
‫والحوادث والمسائل األمنية وتتُّبِعه‪++‬ا في نظ‪++‬ام إدارة قواع‪++‬د البيان‪++‬ات (‪ ،)DBMS‬وُتقّي د‬
‫إمكانية تحديد سبب االنتهاكات األمنية‪ .‬كما يؤدي عدم تأمين سجالت الت‪++‬دقيق على نظ‪++‬ام‬ ‫المخاطر المحتملة‬
‫إدارة قواعد البيان‪+‬ات (‪ )DBMS‬بالش‪+‬كل المناس‪+‬ب إلى العبث بالس‪+‬جالت مم‪+‬ا ي‪+‬ؤّث ر في‬
‫سالمتها‪.‬‬

‫اإلجراءات المطلوبة‬

‫مزامن‪++‬ة أوق‪++‬ات جمي‪++‬ع أنظم‪++‬ة إدارة قواع‪++‬د البيان‪++‬ات (‪ )DBMS‬مركزًي ا م‪++‬ع خ‪++‬ادم‬
‫‪2-1‬‬
‫بروتوكول وقت الشبكة (‪.)Network Time Protocol‬‬

‫إرفاق السجالت بسجالت نظ‪++‬ام التش‪++‬غيل أو أن تك‪++‬ون مس‪++‬تقّلة ض‪++‬من نظ‪++‬ام إدارة قواع‪++‬د‬
‫‪2-2‬‬
‫البيانات (‪.)DBMS‬‬

‫إصدار سجالت التدقيق التي تحتوي على معلومات تفصيلية لتحديد هوية أي مس‪++‬تخدم أو‬
‫‪2-3‬‬
‫عملية ذات عالقة بالحدث المعني‪.‬‬

‫تسجيل نشاطات نظام إدارة قواعد البيانات (‪ )DBMS‬التالية بحّد أدنى‪ ،‬وزمن وقوعه‪++‬ا‬ ‫‪2-4‬‬
‫(‪ )DBMS‬تسجيل نشاطات نظام إدارة قواعد البيانات‪:‬‬
‫جميع حاالت اإلنذار أو األخطاء التي ظهرت في النظام‪.‬‬ ‫‪‬‬
‫التشغيل‪.‬‬ ‫‪‬‬
‫اإلغالق‪.‬‬ ‫‪‬‬
‫إنشاء أو تعديل أو حذف (اس‪+‬تبعاد) قواع‪+‬د البيان‪+‬ات وأي هيك‪+‬ل تخ‪+‬زين لقواع‪+‬د‬ ‫‪‬‬
‫البيانات وأي جداول لقواعد البيانات وفهارس وحسابات ومصادر‪.‬‬
‫تفعيل وظيفة التدقيق وإلغاء تفعيلها‪.‬‬ ‫‪‬‬
‫منح االمتيازات والصالحيات وإلغائها على مستوى نظام إدارة قواع‪++‬د البيان‪++‬ات‬ ‫‪‬‬
‫(‪.)DBMS‬‬
‫أي إجراء ُيسِّبب ظهور رسالة خطأ لعدم وجود المصدر الذي يتم البحث عنه‪.‬‬ ‫‪‬‬
‫أي إج‪+‬راء ي‪+‬ؤدي إلى إع‪+‬ادة تس‪+‬مية مص‪+‬در على نظ‪+‬ام إدارة قواع‪+‬د البيان‪+‬ات (‬ ‫‪‬‬
‫‪.)DBMS‬‬
‫أي إج‪++‬راء يمنح أو يلغي امتي‪++‬ازات وص‪++‬الحيات اس‪++‬تخدام المص‪++‬در من دور أو‬ ‫‪‬‬
‫حساب نظام إدارة قواعد البيانات (‪.)DBMS‬‬
‫كاف‪+‬ة التع‪++‬ديالت على دلي‪+‬ل البيان‪+‬ات أو إع‪++‬دادات نظ‪+‬ام إدارة قواع‪++‬د البيان‪+‬ات (‬ ‫‪‬‬
‫‪.)DBMS‬‬
‫تدقيق جميع حاالت فشل االتصال بنظام إدارة قواعد البيانات ( ‪ )DBMS‬حيثما‬ ‫‪‬‬
‫أمكن‪ ،‬ويضمن مدير قاعدة البيانات ت‪++‬دقيق مح‪++‬اوالت االتص‪++‬ال الناجح‪++‬ة وغ‪++‬ير‬
‫الناجحة‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫تحديد عدد وإرس‪++‬ال التنبي‪++‬ه لمح‪++‬اوالت تس‪++‬جيل ال‪++‬دخول غ‪++‬ير الناجح‪++‬ة‪ ،‬وأقف‪++‬ال‬ ‫‪‬‬
‫كلمات المرور‪.‬‬
‫محاوالت إضافة أو تعديل أو حذف االمتيازات والصالحيات أو التصاريح‪.‬‬ ‫‪‬‬
‫حذف فئات من المعلومات (مثل مستويات التصنيف أو مستويات األمن)‪.‬‬ ‫‪‬‬
‫أمر غير عادي (أمر يطلب أمًر ا آخر وهكذا)‪.‬‬ ‫‪‬‬
‫إلغاء تفعيل سجالت نظام إدارة قواعد البيانات (‪ )DBMS‬أو تعديلها‪.‬‬ ‫‪‬‬

‫توفير تنبيه فوري ومباشر من أجل تق‪++‬ديم ال‪+‬دعم المناس‪++‬ب لألش‪+‬خاص في جمي‪+‬ع أح‪+‬داث‬
‫‪2-5‬‬
‫فشل التدقيق التي تتطّلب إجراءات مباشرة‪.‬‬

‫حماية خصائص التدقيق في نظام إدارة قواعد البيان‪+‬ات (‪ )DBMS‬من عملي‪+‬ات الح‪+‬ذف‬
‫‪2-6‬‬
‫غير المصّرح بها‪.‬‬

‫ضبط إعدادات أنظمة إدارة قواع‪+‬د البيان‪+‬ات (‪ )DBMS‬إلرس‪+‬ال س‪+‬جالت األح‪+‬داث إلى‬
‫نظام التسجيل والمراقبة المركزي‪+‬ة وفًق ا لمعي‪+‬ار إدارة س‪+‬جالت األح‪+‬داث ومراقب‪+‬ة األمن‬ ‫‪2-7‬‬
‫السيبراني المعتمد لدى <اسم الجهة>‪.‬‬

‫معايير أخرى (‪)Other Standards‬‬ ‫‪3‬‬

‫تط‪++‬بيق جمي‪++‬ع المع‪++‬ايير والمتطلب‪++‬ات األمني‪++‬ة لقواع‪++‬د البيان‪++‬ات لض‪++‬مان أعلى مس‪++‬تويات‬
‫الهدف‬
‫الحماية‪.‬‬

‫عدم تط‪+‬بيق جمي‪+‬ع المع‪++‬ايير والمتطلب‪+‬ات األمني‪+‬ة يع‪++‬رض <اس‪++‬م الجه‪++‬ة> إلى زي‪+‬ادة في‬
‫المخاطر المحتملة‬
‫المخاطر األمنية لقواعد البيانات‪.‬‬

‫اإلجراءات المطلوبة‬

‫تطبيق المعايير التالية‪:‬‬

‫معيار إدارة هويات الدخول والصالحيات‪.‬‬ ‫‪-1‬‬
‫معيار التعافي من الكوارث والنسخ االحتياطية‪.‬‬ ‫‪-2‬‬
‫معيار التشفير‪.‬‬ ‫‪-3‬‬ ‫‪3-1‬‬
‫معيار أمن الخوادم‪.‬‬ ‫‪-4‬‬
‫معيار األمن المادي‪.‬‬ ‫‪-5‬‬

‫األدوار والمسؤوليات‬
‫مالك المعيار‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة المعيار وتحديثه‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ المعيار وتطبيقه‪< :‬اإلدارة المعنية بتقنية المعلومات>‪.‬‬ ‫‪-3‬‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج معيار أمن قواعد البيانات‬

‫قياس االلتزام بالمعيار‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعني‪++‬ة ب‪++‬األمن الس‪++‬يبراني> مراجع‪++‬ة المعي‪++‬ار س‪++‬نوًيا على األق‪++‬ل أو في ح‪++‬ال ح‪++‬دوث‬
‫تغي‪++‬يرات في السياس‪++‬ات أو اإلج‪++‬راءات التنظيمي‪++‬ة في <اس‪++‬م الجه‪++‬ة> أو المتطلب‪++‬ات التش‪++‬ريعية والتنظيمي‪++‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام بالمعيار‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذا المعيار‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حس‪++‬ب اإلج‪++‬راءات المتبع‪++‬ة في <اس‪++‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬