Professional Documents
Culture Documents
POLICY Configuration and Hardening Template Ar FINAL
POLICY Configuration and Hardening Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس00يبراني كمث00ال توض00يحي يمكن اس00تخدامه ك00دليل
ومرجع للجهات .يجب أن يتم تعديل ه0ذا النم0وذج ومواءمت0ه م0ع أعم0ال <اس0م الجه0ة> والمتطلب0ات التش0ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض00ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة اإلعدادات والتحصين
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة اإلعدادات والتحصين
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 6.............................................................................................................
التحديث والمراجعة 6...............................................................................................................
االلتزام بالسياسة 6..................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة اإلعدادات والتحصين
الغرض
الغرض من هذه السياسة هو تحديد متطلبات األمن السيبراني المتعلقة بحماية وتحصين وضبط إعدادات
األصول المعلوماتية والتقني0ة والتطبيق00ات الخاص00ة ب<اس00م الجه00ة> للح0د من المخ0اطر الس00يبرانية الناتج0ة عن
التهديدات الداخلية والخارجية في <اسم الجهة> للمحافظة على سرية المعلومات ،وسالمتها ،وتوافرها.
تمت موائم00ة ه00ذه السياس00ة م00ع الض00وابط والمع00ايير الص00ادرة من الهيئ00ة الوطني00ة لألمن الس00يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جميع األصول المعلوماتية والتقنية والتطبيقات الخاص00ة ب<اس00م الجه00ة> ،وتنطب00ق
على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب تحديد وتوثيق جميع األصول المعلوماتي00ة والتقني00ة المس00تخدمة داخ00ل <اس00م الجه00ة> وك00ذلك 1-1
التطبيقات والبرمجيات المعتمدة.
يجب تحصين وضبط إعدادات أجهزة الحاسب اآللي ،واألنظم00ة ،والتطبيق00ات ،وأجه00زة الش00بكات، 1-2
والخوادم واألجهزة األمنية الخاصة ب<اسم الجهة> بما يتوافق مع المعايير التقنية األمنية المعتمدة
من قب0ل الم0ورد وفًق ا للمتطلب0ات التش0ريعية والتنظيمي0ة ذات العالق0ة وأفض0ل الممارس0ات الدولي0ة
لتصدي الهجمات السيبرانية.
يجب تعطيل خاصية التصوير ( )Print Screen or Screen Captureلألجهزة التي تنشئ 1-3
أو تعالج المعلومات بناًء على تصنيف تلك المعلومات.
يجب استخدام مؤشر قياس األداء ( )KPIلضمان التطوير المس00تمر واالس00تخدام الص00حيح والفع00ال 1-4
لمتطلبات حماية أمن اإلعدادات والتحصين.
تطوير المعايير األمنية التقنية: -2
يجب اس00تخدام دلي00ل اإلع00دادات والتحص00ين ()Security Configuration Guidance 2-1
الخاص بالُمورد وذلك وفًق ا للسياسات واإلجراءات التنظيمية الخاصة ب<اسم الجهة> ،والمتطلبات
التشريعية والتنظيمية ذات العالقة وأفضل الممارسات الدولية.
يجب استخدام دليل اإلعدادات والتحص0ين من مص0ادر موثوق0ة ومتوافق0ة م0ع المع0ايير المص0نعية، 2-2
مث00ل :مرك00ز أمن اإلن00ترنت ( ،)CISومعه00د األمن والش00بكات وإدارة النظم ( ،)SANSوالمعه00د
الوطني للمعايير والتقنية (.)NIST
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة اإلعدادات والتحصين
يجب تطوير معايير أمنية تقنية خاصة ب<اسم الجهة> بما يتناسب مع طبيعة األعمال وبما يتوافق 2-3
مع دليل اإلعدادات والتحصين الخاص ب0المورد والمع0ايير المص0نعية ووفًق ا للمتطلب0ات التش0ريعية
والتنظيمية ذات العالقة.
يجب تط00وير وتوثي00ق واعتم00اد ومراجع00ة المع00ايير التقني00ة األمني00ة (Technical Security 2-4
)Standardsالخاصة بجميع األص0ول المعلوماتي0ة والتقني0ة والتطبيق0ات والبرمجي0ات المص0رح
باستخدامها لدى <اسم الجهة> ،وفًق ا ألفضل الممارسات الدولية والسياسات واإلجراءات التنظيمي00ة
المعتمدة لدى <اسم الجهة> ،والمتطلبات التشريعية والتنظيمية ذات العالقة.
مراجعة اإلعدادات والتحصين والتأكد من تطبيقها في الحاالت التالية: -3
يجب مراجعة اإلعدادات والتحصين لجميع األنظمة لألصول المعلوماتية والتقني0ة والتطبيق00ات م00رة 3-1
واحدة كل سنة على األقل أو عند وج0ود تغي0يرات ،والتأك0د من تطبيقه0ا بم0ا يتواف0ق م0ع إرش0ادات
األمن الس00يبراني ،وأفض00ل الممارس00ات ،والتوص00يات الخاص00ة ب00الموردين ( ،)Vendorsوبم00ا
يتوافق مع آليات إدارة التغيير المتبعة في <اسم الجهة>.
يجب مراجعة اإلعدادات والتحصين قبل إطالق وتدشين التطبيق00ات والمش00اريع التقني00ة والتغي00يرات 3-2
المتعلقة باألصول المعلوماتية والتقنية.
يجب مراجعة وتحص00ين اإلع00دادات المص00نعية ( )Default Configurationلجمي00ع األص00ول 3-3
التقنية ولألصول التقنية ألنظمة العمل عن بعد ،ومنها التأكد من ع00دم وج00ود كلم00ات م00رور ثابت00ة،
وخلفية افتراضية.
يجب تقييد تفعيل الخصائص والخدمات في أنظمة العمل عن بع00د حس00ب الحاج00ة على أن يتم تق00ييم 3-4
المخاطر السيبرانية المحتملة في حال الحاج0ة لتفعيله0ا وفًق ا للمتطلب0ات التش0ريعية والتنظيمي0ة ذات
العالقة.
يجب اعتماد نسخة ( )Imageإلعدادات وتحصين األصول المعلوماتية والتقنية الخاص00ة ب<اس00م 3-5
الجهة> وفًق ا للمعايير التقنية األمنية المعتمدة ،وحفظها في مكان آمن.
يجب استخدام نسخة ( )Imageمعتمدة في تثبيت أو تحديث األصول المعلوماتية والتقنية. 3-6
يجب توفير التقنيات الالزمة إلدارة اإلعدادات والتحصين مركزًي ا ،والتأك00د من إمكاني00ة تط00بيق أو 3-7
تحديث اإلعدادات والتحصين تلقائًيا لكافة األصول المعلوماتي00ة والتقني00ة في مواعي00د زمني00ة مح00ددة
ومخطط لها ،بعد إجراء االختبارات الالزمة.
يجب توفير نظام مراقبة اإلعدادات المتوافقة م00ع بروتوك00ول أتمت00ة المحت00وى األم00ني (Security 3-8
)”Content Automation Protocol “SCAPللتأك00د من أن اإلع00دادات متوافق00ة م00ع
المعايير التقني00ة األمني00ة المعتم00دة ومطبق00ة بش00كل كام00ل ،كم00ا يجب اإلبالغ عن أي تغي00يرات غ00ير
مصّرح بها.
مزامنة التوقيت ( )Clock Synchronizationمركزًيا ومن مص0در دقي0ق وموث0وق (مث0ل م0ا 3-9
توفره الهيئة السعودية للمواصفات والمقاييس والجودة من مصادر ذات عالقة).
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة اإلعدادات والتحصين
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجع00ة السياس00ة س00نوًيا على األق0ل أو في ح0ال ح0دوث
تغي00يرات في السياس00ات أو اإلج00راءات التنظيمي00ة في <اس00م الجه00ة> أو المتطلب00ات التش00ريعية والتنظيمي00ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج00راءات المتبع00ة في <اس00م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
6