Professional Documents
Culture Documents
POLICY Identity and Access Management Template Ar FINAL
POLICY Identity and Access Management Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس11يبراني كمث11ال توض11يحي يمكن اس11تخدامه ك11دليل
ومرجع للجهات .يجب أن يتم تعديل ه1ذا النم1وذج ومواءمت1ه م1ع أعم1ال <اس1م الجه1ة> والمتطلب1ات التش1ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض11ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
`
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة إدارة هويات الدخول والصالحيات
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
`
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة إدارة هويات الدخول والصالحيات
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 8.............................................................................................................
التحديث والمراجعة 8...............................................................................................................
االلتزام بالسياسة 9..................................................................................................................
`
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة إدارة هويات الدخول والصالحيات
الغرض
الغ11رض من ه11ذه السياس11ة ه11و تحدي11د متطلب11ات األمن الس11يبراني المتعلق11ة ب11إدارة هوي11ات ال11دخول
والصالحيات على األصول المعلوماتية والتقنية الخاصة بـ<اسم الجهة> وذلك لحمايتها من المخ11اطر الس11يبرانية
ومن التهديدات الداخلية والخارجية لـ<اس11م الجه11ة> ،من خالل الترك11يز على األه11داف األساس11ية للحماي11ة وهي:
سرية المعلومات ،وسالمتها ،وتوافرها.
تمت موائم11ة ه11ذه السياس11ة م11ع الض11وابط والمع11ايير الص11ادرة من الهيئ11ة الوطني11ة لألمن الس11يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جميع األصول المعلوماتية والتقنية الخاصة ب<اس11م الجه11ة> ،وتنطب11ق على جمي11ع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب توثيق واعتماد إجراء إلدارة الوصول يوضح آلية منح صالحيات الوصول لألصول المعلوماتي11ة 1-1
والتقنية وتعديلها وإلغائها في <اسم الجهة> ،ومراقبة هذه اآللية والتأكد من تطبيقها.
يجب إنشاء هويات المستخدمين ( )User Identitiesوفًق ا للمتطلبات التشريعية والتنظيمية الخاص11ة 1-2
ب<اسم الجهة>.
يجب التحقق من هوية المستخدم ( )Authenticationباستخدام اسم مستخدم وكلم1ة م1رور والتحق1ق 1-3
من صحتها قبل منح المستخدم صالحية الوصول إلى األص1ول المعلوماتي1ة والتقني1ة الخاص1ة ب<اس1م
الجهة>.
يجب التأكد من المحافظة على سرية هوية المستخدم والحسابات والصالحيات ،بما في ذل11ك الطلب من 1-4
المستخدمين حفظ خصوصيتها (للعاملين ،واألطراف الخارجية ،والمستخدمين).
يجب توثي11ق واعتم11اد ومراجع11ة مص11فوفة ( )Matrixإلدارة تص11اريح وص11الحيات المس11تخدمين ( 1-5
)Authorizationبناًء على مبادئ التحكم بالدخول والصالحيات التالية:
مبدأ الحاجة إلى المعرفة واالستخدام (.)Need-to-Know and Need-to-Use
مبدأ فصل المهام (.)Segregation of Duties
مبدأ الحد األدنى من الصالحيات واالمتيازات (.)Least Privilege
`
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة إدارة هويات الدخول والصالحيات
يجب تطبيق ضوابط التحّقق من الهوي11ات والص11الحيات على جمي11ع األص11ول التقني11ة والمعلوماتي11ة في 1-6
<اسم الجهة> من خالل نظام مركزي آلي للتحّك م في الوصول ،مثل "خدمات النطاقات-الدليل النش11ط"
(.)Domain services -Active Director
يجب من11ع اس11تخدام الحس11ابات المش11تركة ( )Generic Userللوص11ول إلى األص11ول المعلوماتي11ة 1-7
والتقنية الخاصة ب<اسم الجهة>.
يجب التأكد من اإلدارة اآلمنة للجلسات ( ،)Secure Session Managementوتشمل موثوقية 1-8
الجلسات ( ،)Authenticityوإقفالها ( ،)Lockoutوإنهاء مهلتها (.)Timeout
يجب ضبط إعدادات األنظمة وجلسات االتصال ليتم إنهائها تلقائًيا بعد فترة زمنية محّ11ددة (Session 1-9
)Timeoutوفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتمد لدى <اسم الجهة>.
يجب ض11بط إع11دادات األنظم11ة وجلس11ات االتص11ال ليتم إغالقه11ا مؤقًت ا بع11د ع11دد معين من مح11اوالت 1-10
الوصول الخاطئة وفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتمد لدى <اسم الجهة>.
يجب تعطيل حسابات المستخدمين غير المستخدمة خالل فترة زمنية محّددة وفًق ا لمعي11ار إدارة هوي11ات 1-11
الدخول والصالحيات المعتمد لدى <اسم الجهة>.
يجب ض11بط إع11دادات جمي11ع أنظم11ة إدارة الهوي11ات والوص11ول إلرس11ال الس11جالت إلى نظ11ام تس11جيل 1-12
ومراقبة مركزي وفًق ا لسياسة إدارة سجالت األحداث ومراقبة األمن السيبراني.
يجب ع11دم منح المس11تخدمين ص11الحيات الوص11ول أو التعام11ل المباش11ر م11ع قواع11د البيان11ات لألنظم11ة 1-13
الحساس11ة ،حيث يك11ون ذل11ك من خالل التطبيق11ات فق11ط ،ويس11تثنى من ذل11ك مش11رفي قواع11د البيان11ات (
)Database Administratorsعلى أن يتم تطبيق إجراءات تمنع إطالع المشرفين على البيانات
المصنفة والحساسة ،وفقا لسياسة أمن قواعد البيانات المعتمدة لدى <اسم الجهة>.
يجب توثيق واعتماد إجراءات واضحة للتعامل مع حسابات الخدمات ( )Service Accountوالتأكد 1-14
من إدارتها بشكل آمن ما بين التطبيقات واألنظمة ،وتعطيل الدخول البش1ري التف1اعلي (Interactive
)Loginمن خاللها ومراجعتها دوريًا.
يجب إدارة صالحيات المستخدمين للعمل عن بع11د بن11اًء على احتياج11ات العم11ل ،م11ع مراع11اة حساس11ية 1-15
األنظمة ومستوى الصالحيات ،ونوعي1ة األجه1زة المس1تخدمة من قب1ل الم1وظفين للعم1ل عن بع1د وفًق ا
للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب اس11تخدام مؤش11ر قي11اس األداء ( )KPIلض11مان التط11وير المس11تمر واالس11تخدام الص11حيح والفع11ال 1-16
لمتطلبات حماية إدارة هويات الدخول والصالحيات.
منح صالحية الدخول -2
متطلبات صالحية الدخول لحسابات المستخدمين 2-1
يجب منح صالحية الدخول بناًء على طلب المس11تخدم من خالل نم11وذج معتم11د من <اإلدارة 2-1-1
المعنية ب1األمن الس11يبراني> أو عن طري1ق النظ1ام المعتم11د من قب1ل الم11دير المباش11ر ومال1ك
النظام (ُ )System Ownerيحّدد فيه اسم النظ11ام ون11وع الطلب والص11الحية وم11دتها (في
حال كانت صالحية الدخول مؤقتة).
`
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة إدارة هويات الدخول والصالحيات
يجب منح المستخدم صالحية الوصول إلى األص11ول المعلوماتي1ة والتقني1ة الخاص11ة ب<اس11م 2-1-2
الجهة> بما يتوافق مع األدوار والمسؤوليات الخاصة به مع أخذ الموافقات الالزمة.
يجب اتباع آلية موحدة إلنشاء هويات المستخدمين بطريق11ة ت11تيح النش11اطات ال11تي يتم أداؤه11ا 2-1-3
باستخدام "هوية المستخدم" ( )User IDوربطها مع المستخدم ،مثل كتابة <الح11رف األول
من االس11م األول> نقط11ة <االس11م األخ11ير> ،أو كتاب11ة رقم الموظ11ف المع11رف مس11بًقا ل11دى
<اإلدارة المعنية بالموارد البشرية>.
يجب تعطيل إمكانية تسجيل دخول المستخدم من أجه11زة حاس11بات متعّ11ددة في نفس ال11وقت ( 2-1-4
.)Concurrent Logins
يجب تحديد عدد محاوالت تسجيل ال11دخول غ11ير الناجح11ة المس11موح به11ا إلى النظ11ام لتف11ادي 2-1-5
هجمات تخمين كلمات المرور وفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتم11د ل11دى
<اسم الجهة>.
2-2متطلبات صالحية الوصول للحسابات الهامة والحّس اسة
باإلضافة إلى الضوابط المذكورة في قسم متطلبات ص11الحية الوص11ول لحس11ابات المس11تخدمين ،يجب أن
ُتطَب ق الضوابط الُموّض حة أدناه على الحسابات ذات الصالحيات الهامة والحّساسة:
يجب تعيين صالحيات مديري النظام بناًء على مهامهم الوظيفية ،م11ع األخ11ذ باالعتب11ار مب11دأ 2-2-1
فصل المهام.
يجب تفعيل سجل كلمة المرور ( )Password Historyلتتبع عدد كلم1ات الم1رور ال1تي 2-2-2
تم تغييرها.
يجب تغيير أسماء الحسابات االفتراض1ية ،وخصوًص ا الحس1ابات الحاص1لة على ص1الحيات 2-2-3
هام11ة وحّساس11ة مث11ل "الحس11اب الرئيس11ي" ( )Rootوحس11اب "م11دير النظ11ام" ()Admin
وحساب "ُمعّر ف النظام" (.)Sys id
يجب من11ع اس11تخدام الحس11ابات ذات الص11الحيات الهام11ة والحّساس11ة في العملي11ات التش11غيلية 2-2-4
اليومية ومنعها من الوصول لإلنترنت.
يجب التحّق ق من حس11ابات المس11تخدمين ذات الص11الحيات الهام11ة والحّساس11ة على األص11ول 2-2-5
التقني11ة والمعلوماتي11ة من خالل آلي11ة التحّق ق من الهوي11ة متع11دد العناص11ر (Multi-Factor
)”Authentication “MFAباستخدام عنصرين مستقلة على األقل من آليات التحقق من
الهوي11ة على األق11ل وفًق ا لمعي11ار إدارة هوي11ات ال11دخول والص11الحيات المعتم11د ل11دى <اس11م
الجهة>.
يجب استخدام التقنيات الخاص11ة بحف11ظ وإدارة الص11الحيات الهام11ة والحّساس11ة ( Privilege 2-2-6
.)Access Management Solution
يجب أن يتطلب الوص111ول إلى األنظم111ة الحساس111ة واألنظم111ة المس111تخدمة إلدارة األنظم111ة 2-2-7
الحساسة ومتابعتها استخدام آلية التحقق من الهوية متعدد العناصر ( )MFAلجميع العاملين.
2-3الدخول عن ُب عد إلى شبكات <اسم الجهة>
`
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة إدارة هويات الدخول والصالحيات
يجب منح صالحية الدخول عن بع11د لألص11ول المعلوماتي11ة والتقني11ة بع11د الحص11ول على إذن 2-3-1
مسبق من <اإلدارة المعنية لألمن الس1يبراني> وتقيي1د ال1دخول باس1تخدام التحق1ق من الهوي1ة
متعدد العناصر ( )MFAعبر قنوات آمنة ومعتمدة في <اسم الجهة>.
يجب حف11ظ س11جالت األح11داث المتعلق11ة بجمي11ع جلس11ات ال11دخول عن ُبع11د الخاص11ة ومراقب11ة 2-3-2
األنشطة المتعلقة بها بشكل مستمر حسب حساسية األصول المعلوماتية والتقنية.
إلغاء وتغيير صالحية الوصول 2-4
يجب على <اإلدارة المعنية ب1الموارد البش1رية> تبلي1غ <اإلدارة المعني1ة بتقني1ة المعلوم1ات> 2-4-1
التخاذ اإلجراء الالزم عند انتقال المستخدم أو تغيير مهامه أو إنهاء/انته11اء العالق11ة الوظيفي11ة
بين المستخدم و<اسم الجهة> لتقوم <اإلدارة المعني1ة بتقني1ة المعلوم1ات> بإيق1اف الحس1ابات
والصالحيات أو تعديلها بناًء على مهامه الوظيفية الجديدة مع ضرورة األتمتة قدر اإلمكان.
في ح11ال تم إيق11اف ص11الحيات المس11تخدم ،يجب من11ع ح11ذف س11جالت األح11داث الخاص11ة 2-4-2
بالمس11تخدم ويتم حفظه11ا وفًق ا لسياس11ة إدارة س11جالت األح11داث ومراقب11ة األمن الس11يبراني
المعتمدة لدى <اسم الجهة>.
مراجعة هويات الدخول والصالحيات 2-5
يجب مراجع11ة هوي11ات ال11دخول ( )User IDsالخاص11ة باألص11ول المعلوماتي11ة والتقني11ة 2-5-1
واستخداماتها <سنوًيا> ،ومراجعة هويات الدخول على األنظمة الحساسة واستخداماتها م11رة
واحدة كل ثالثة أشهر على األقل.
يجب مراجع1ة ص1الحيات المس1تخدمين ( )User Profileالخاص1ة باألص1ول المعلوماتي1ة 2-5-2
والتقني11ة واس11تخداماتها <س11نوًيا> ،ومراجع11ة الص11الحيات الخاص11ة باألنظم11ة الحساس11ة
واستخداماتها كل ثالث أشهر على األقل.
إدارة كلمات المرور 2-6
يجب تطبيق سياسة آمن1ة لكلم11ة الم11رور ذات مع11ايير عالي1ة لجمي1ع الحس11ابات داخ1ل <اس11م 2-6-1
الجهة> وذلك وفًق ا لمعيار إدارة الهويات والص11الحيات المعتم11د ل11دى <اس11م الجه11ة> ووفًق ا
للسياسات والمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب إشعار المستخدمين قبل انتهاء صالحية كلم11ة الم11رور لت1ذكيرهم بتغي1ير كلم11ة الم11رور 2-6-2
قبل انتهاء الصالحية.
يجب عدم استخدام كلمة مرور تم استخدامها من قبل. 2-6-3
يجب ضبط إعدادات كافة األصول المعلوماتي1ة والتقني1ة لطلب تغي1ير كلم1ة الم1رور المؤقت1ة 2-6-4
عند تسجيل المستخدم الدخول ألول مرة.
يجب تغيير جميع كلمات المرور االفتراضية لجميع األصول المعلوماتية والتقنية قبل تثبيته11ا 2-6-5
في بيئة اإلنتاج.
يجب تغيير كلمات مرور السالسل النصية ( )Community Stringاالفتراض11ية (مث11ل: 2-6-6
« »Publicو« »Privateو« )»Systemالخاصة ب11بروتوكول إدارة الش11بكة البس11يط (
`
اختر التصنيف
اإلصدار <>1.0
7
نموذج سياسة إدارة هويات الدخول والصالحيات
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفي55ذ السياس55ة وتطبيقه55ا< :اإلدارة المعني11ة بتقني11ة المعلوم11ات> و<اإلدارة المعني11ة ب11الموارد البش11رية> -3
و<اإلدارة المعنية باألمن السيبراني>.
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
`
اختر التصنيف
اإلصدار <>1.0
8
نموذج سياسة إدارة هويات الدخول والصالحيات
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن الس11يبراني> مراجع11ة السياس11ة س11نوًيا على األق11ل أو في ح11ال ح11دوث
تغي11يرات في السياس11ات أو اإلج11راءات التنظيمي11ة في <اس11م الجه11ة> أو المتطلب11ات التش11ريعية والتنظيمي11ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج11راءات المتبع11ة في <اس11م -3
الجهة>.
`
اختر التصنيف
اإلصدار <>1.0
9