Professional Documents
Culture Documents
إخالء المسؤولية
ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن الس00يبراني كمث00ال توض00يحي يمكن اس00تخدامه ك00دليل
ومرجع للجهات .يجب أن يتم تعديل ه0ذا النم0وذج ومواءمت0ه م0ع أعم0ال <اس0م الجه0ة> والمتطلب0ات التش0ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض00ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج معيار أمن األجهزة المحمولة
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج معيار أمن األجهزة المحمولة
قائمة المحتويات
الغرض4..................................................................................................................
نطاق العمل4..............................................................................................................
المعايير4..................................................................................................................
األدوار والمسؤوليات8...................................................................................................
التحديث والمراجعة8.....................................................................................................
االلتزام بالمعيار8.........................................................................................................
اإلصدار <>1.0
3
نموذج معيار أمن األجهزة المحمولة
الغرض
يهدف هذا المعيار إلى تحديد متطلبات األمن السيبراني التفصيلية لحماية األجه00زة المحمول00ة (Mobile
)Devicesالخاص00ة ب<اس00م الجه00ة> واألجه00زة الشخص00ية للع00املين ( Bring Your Own Device
)”“BYODوذلك لتحقيق الغ00رض األساس00ي وه0و تقلي0ل المخ0اطر الس00يبرانية الناتج0ة عن التهدي0دات الداخلي0ة
والخارجي00ة في <اس00م الجه00ة> .ه00ذه المتطلب00ات تمت موائمته00ا م00ع سياس00ة أمن أجه00زة المس00تخدمين واألجه00زة
المحمولة واألجهزة الشخصية ومتطلبات األمن السيبراني الصادرة من الهيئ0ة الوطني0ة لألمن الس00يبراني ويش00مل
ذلك على سبيل المثال ال الحصر :الضوابط األساسية لألمن السيبراني ( ،)ECC – 1: 2018ض00وابط األمن
السيبراني لألنظمة الحساسة ( )CSCC – 1: 2019وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
نطاق العمل
يطبق هذا المعيار على جميع األجه00زة المحمول00ة ( )Mobile Devicesفي <اس00م الجه00ة> ،وعلى
جميع األجهزة الشخصية للعاملين ( ،)BYODوعلى جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
المعايير
منع الوصول إلى الجهاز 1
ض00مان ع00دم وص00ول المس00تخدمين غ00ير المصّ00رح لهم إلى األجه00زة غ00ير المراقب00ة و/أو
الهدف
المفقودة و/أو المسروقة.
في حال الوصول غير مصّر ح به إلى جهاز محمول تملك0ه <اس0م الجه0ة> ويحت0وي على
بيانات خاصة ب<اسم الجهة> أو منح صالحيات هامة للدخول إلى بيئة تقني00ة المعلوم00ات المخاطر
الخاصة ب<اسم الجهة> ،فقد يؤّث ر أي اخ0تراق محتم0ل متعّل ق بالعم0ل في اإلدارة حس0ب المحتملة
شّدة الحادث.
اإلجراءات المطلوبة
اإلصدار <>1.0
4
نموذج معيار أمن األجهزة المحمولة
تغيير رمز المرور لقفل الجهاز المحمول دوريًا ،أو كل ثالثة أشهر على األقل. 1-3
يجب ضبط آليات القفل التلقائي للجهاز عندما ال يكون الجهاز قيد االستعمال لم00دة ال تزي00د
1-5
عن 90ثانية أو وفًق ا لمتطلبات <اسم الجهة>.
تطبيق آلية قياسية لمنع إجراء تعديالت غ00ير مقص00ودة أو ض00ارة على محتوي00ات البيان00ات
الهدف
الُمخّز نة في الجهاز.
في حال تعّر ض البيان00ات الُمخّز ن00ة في الجه00از للعبث أو التل00ف أو التع00ديل ،فإن00ه ال يمكن
المخاطر
اعتبار الجهاز أو البيانات المخزنة بعد ذلك من األصول الموثوقة التي ُيس َ0م ح باس00تخدامها
المحتملة
داخل بيئة تقنية المعلومات الخاصة ب<اسم الجهة>.
اإلجراءات المطلوبة
تفعيل التشفير الكامل لمحتويات الجهاز إن كان الجهاز المحمول يدعم هذا الخيار. 2-1
تفعيل وتطبيق خاصية فصل البيانات بين المعلومات الشخصية والبيانات الخاصة ب<اسم
الجهة> ،وذلك في األجهزة الشخصية للعاملين ( )BYODإن كانت تدعم ه00ذه الخاص00ية. 2-2
كما يجب تشفير البيانات بعد فصلها.
تفعيل إغالق ُمحِّمل التشغيل ( )Bootloaderإن كان الجهاز المحمول يدعم هذا الخيار. 2-4
ضبط وتطبيق التشفير على أي من وسائط التخزين القابلة لإلزالة (مثل :بطاقات التخ00زين
اآلمنة " "SD Cardsأو وسائط التخزين الخارجية " )"USBالتي تصل إليها األجه00زة 2-5
المحمولة.
ضبط إعدادات الجهاز إلجراء قفل تلقائي بعد القيام بخمس محاوالت خاطئة إلدخال رم00ز
المرور ،وإجراء مسح تلقائي للبيان00ات بع00د القي00ام بعش00ر مح00اوالت خاطئ00ة إلدخ00ال رم00ز 2-6
المرور أو وفقًا لعدد المحاوالت التي يدعمها نظام تشغيل الجهاز.
منع المستخدمين من تعديل أو إلغاء آلية إغالق ُمحِّمل التشغيل (.)Bootloader 2-8
اإلصدار <>1.0
5
نموذج معيار أمن األجهزة المحمولة
من00ع إج00راء أي عملي00ة تج00اوز للقي00ود ال00تي تفرض00ها الش00ركات المص ّ0ن عة للجه00از (مث00ل
Rootingأو )Jailbreakingعلى أي جهاز محمول ،ومنع استخدام األجهزة ال00تي تم 2-9
إجراء هاتين العمليتين عليها داخل بيئة تقنية المعلومات الخاصة ب<اسم الجهة>.
ضمان تح0ديث وض00بط نظ0ام التش00غيل والتطبيق00ات المثّبت0ة في الجه00از المحم00ول بطريق00ة
الهدف
مناسبة قبل استخدامه.
تثبيت التطبيقات الغير مصرح به00ا أو ع00دم تح0ديث أنظم00ة التش00غيل والتطبيق00ات الخاص00ة
المخاطر
باألجهزة المحمولة يزيد من احتمالية وجود برمجيات ض00ارة ق00د ت00ؤثر على البيئ00ة التقني00ة
المحتملة
الخاصة ب<اسم الجهة>.
اإلجراءات المطلوبة
إتاحة تثبيت التطبيقات المقّد مة فقط من الجهة أو المتاجر المعتمدة الخاصة بالموّرد. 3-1
تقييد الصالحيات الممنوحة للتطبيقات المثّبتة على الجهاز المحمول بحيث ُتطّبق مبدأ الحّد
3-2
األدنى من الصالحيات.
تعطيل الكاميرا والميكروفون بشكل افتراضي وتحديد التطبيقات المصرح لها باس00تخدامها
3-3
حسب حاجة العمل.
التأّك د من تزويد الجهاز المحمول بأحدث نسخة رس00مية من إص00دار/نس00خة نظ00ام التش00غيل
من خالل م00وّر د الجه00از .وإذا تعّ0ذ ر تزوي00د أي جه00از بنس00خة أح00دث من نظ00ام التش00غيل،
3-5
وتوّق ف الم00وّرد عن تق00ديم ح00زم اإلص00الحات والتح00ديثات األمني00ة للجه00از في الع00امين
الماضيين ،يجب عندها التوقف عن استخدام الجهاز واستبداله.
تطبيق نظام مراقبة اإلعدادات المتوافقة مع بروتوك0ول أتمت0ة محت0وى األمن (Security
)Content Automation Protocolلتدقيق عناصر اإلعدادات األمنية كافة والتأّك د
3-6
منه00ا في األجه00زة المحمول00ة وجدول00ة االس00تثناءات المعتم00دة واإلبالغ عن ح00دوث أي
تغييرات غير مصّرح بها..
تعطيل أو إزال00ة الحس00ابات االفتراض00ية ،وتقيي00د الوص00ول إلى الحس00ابات ذات الص00الحية
3-8
العالية على األجهزة المحمولة بالتوافق مع سياسة إدارة هويات الوصول والصالحيات.
تطوير المعايير األمنية األساسية لألجهزة المحمولة وتنفيذها ومراقبتها دوريًا. 3-9
اإلصدار <>1.0
6
نموذج معيار أمن األجهزة المحمولة
إجراء نسخ احتياطي كامل ومنتظم للبيانات المخزنة على األجهزة المحمولة وفق ً0ا لسياس00ة
3-10
النسخ االحتياطية الخاصة ب<اسم الجهة>.
إج00راء التح00ديثات واإلص00الحات على أجه00زة المس00تخدمين المحمول00ة بش00كل منتظم وفق ً0ا
لسياسة أمن أجهزة المستخدمين وسياسة إدارة التحديثات واإلصالحات في <اس0م الجه0ة>
3-11
لض00مان تح00ديث جمي00ع أنظم00ة التش00غيل وبرمجي00ات التطبيق00ات على أجه00زة المس00تخدمين
المحمولة.
استخدام عناص0ر التحكم في األجه0زة وحظ0ر الوص0ول إلى الوس0ائط القابل0ة لإلزال0ة عن0د
3-12
الضرورة أو وفقًا لسياسة االستخدام المقبول في <اسم الجهة>.
تثبيت برمجيات التحكم بأجهزة المستخدمين المحمولة على كافة الأجه00زة لمن00ع االس00تخدام
غير المصرح به ألدوات اتص00ال الش00بكة ( ).Wi-Fi, Bluetooth, etcواألجه00زة 3-13
الطرفية.
تعطيل كافة خصائص تبادل البيانات أو الملفات مثل ( Airdrop, NFC, Bluetooth
3-14
.).etc
تثبيت برمجيات الحماية على أجهزة المستخدمين المحمولة بما في ذلك مضاد الفيروسات،
والبرامج التي تسمح لقائمة مح00ددة فق00ط من التطبيق00ات ،وب00رامج من00ع تس00رب المعلوم00ات 3-15
والبيانات على كافة الأجهزة المحمولة.
تطبيق اإلع00دادات األمني00ة والتحص00ين ألجه00زة المس00تخدمين بم00ا في ذل00ك التحص00ين على
3-17
مستوى البرمجيات وأنظمة التشغيل وفقًا لسياسة اإلعدادات والتحصين في <اسم الجهة>.
تط00بيق جمي00ع المع00ايير والمتطلب00ات األمني00ة لألجه00زة المحمول00ة لض00مان أعلى مس00تويات
الهدف
الحماية.
ع00دم تط00بيق جمي00ع المع00ايير والمتطلب00ات األمني00ة يع00رض <اس00م الجه00ة> إلى زي00ادة في المخاطر
المخاطر األمنية لألجهزة المحمولة. المحتملة
اإلجراءات المطلوبة
4-1
تطبيق المعايير التالية:
معيار التعافي من الكوارث والنسخ االحتياطية -1
معيار تسجيل األحداث وسجل التدقيق -2
معيار الحماية من البرمجيات الضارة -3
معيار التشفير -4
اإلصدار <>1.0
7
نموذج معيار أمن األجهزة المحمولة
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بتقنية المعلومات> و< اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالمعيار< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعيار سنوًيا على األقل أو في حال حدوث
تغييرات تقنية جوهرية في البنية التحتية أو في حال حدوث تغييرات في السياسات أو اإلجراءات التنظيمية في
<اسم الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة.
االلتزام بالمعيار
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دوريًا. -1
يجب على جميع العاملين في <اسم الجهة> االلتزام بهذا المعيار. -2
قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حسب اإلجراءات المتبعة في <اسم -3
الجهة>.
اإلصدار <>1.0
8