Professional Documents
Culture Documents
POLICY Servers Security Template Ar FINAL
POLICY Servers Security Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس11يبراني كمث11ال توض11يحي يمكن اس11تخدامه ك11دليل
ومرجع للجهات .يجب أن يتم تعديل ه1ذا النم1وذج ومواءمت1ه م1ع أعم1ال <اس1م الجه1ة> والمتطلب1ات التش1ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض11ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج سياسة أمن الخوادم
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج سياسة أمن الخوادم
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 7.............................................................................................................
التحديث والمراجعة 7...............................................................................................................
االلتزام بالسياسة 7......................................................................................................................................
اإلصدار <>1.0
3
نموذج سياسة أمن الخوادم
الغرض
الغرض من هذه السياسة هو تحديد متطلبات األمن السيبراني المتعلق11ة ب11الخوادم ( )Serversالخاص11ة
ب<اسم الجهة> لتقليل المخاطر السيبرانية عليها وحمايتها من التهديدات الداخلي1ة والخارجي1ة من خالل الترك1يز
على األهداف األساسية للحماية وهي :سرية المعلومات ،وسالمتها ،وتوافرها.
تمت موائم11ة ه11ذه السياس11ة م11ع الض11وابط والمع11ايير الص11ادرة من الهيئ11ة الوطني11ة لألمن الس11يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جميع األص11ول التقني11ة والمعلوماتي11ة (ش11املة الخ11وادم) الخاص11ة ب<اس11م الجه11ة>،
وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب تحديد وتوثيق جميع الخ11وادم الخاص11ة ب<اس11م الجه11ة> ،وتس11جيلها تحت إدارة فري11ق تش11غيلي 1-1
معين مسؤول عن العمليات التشغيلية واألمنية وفًق ا لسياس1ات <اس1م الجه1ة> والمتطلب1ات التش1ريعية
والتنظيمية ذات العالقة.
يجب تط11وير وتوثي11ق واعتم11اد ومراجع11ة المع11ايير التقني11ة األمني11ة ( Technical Security 1-2
)Standardsللخوادم المستخدمة داخل <اسم الجهة> ،وفًق ا ألفضل الممارسات الدولية والسياسات
واإلجراءات التنظيمية المعتمدة لدى <اسم الجهة> ،والمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب ضبط إعدادات الخ1وادم وفًق ا للمع11ايير التقني1ة األمني1ة المعتم11دة قب1ل تش11غيل الخ1وادم في البيئ1ة 1-3
التشغيلية
يجب عمل نسخ احتياطية منتظمة للخوادم وفًق ا لسياسة إدارة النس11خ االحتياطي11ة المعتم11دة ل11دى <اس11م 1-4
الجهة> لضمان إمكانية استعادتها في حال تعّر ضها لتلف أو حادث غير مقصود.
يجب استخدام التقنيات األمنية الالزمة وتعطيل وإعادة استخدام الخوادم التي تحوي معلومات مص11نفة 1-5
بشكل آمن وفًق ا للسياسات والمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب تحديث برمجيات الخوادم بما في ذلك أنظمة التشغيل وبرامج التطبيقات وتزويدها بأحدث ح11زم 1-6
التح11ديثات واإلص11الحات األمني11ة وفًق ا لسياس11ة إدارة التح11ديثات واإلص11الحات المعتم11دة في <اس11م
الجهة>.
يجب استخدام مؤشر قي11اس األداء ( )KPIلض11مان التط11وير المس11تمر واالس11تخدام الص11حيح والفع11ال 1-7
لمتطلبات حماية الخوادم.
إعدادات الخوادم -2
اإلصدار <>1.0
4
نموذج سياسة أمن الخوادم
يجب تطبيق متطلبات اإلعدادات والتحصين المعتمدة لدى <اسم الجهة>. 2-1
يجب تعطيل الخوادم والتطبيقات غير المستخدمة وفًق ا للمعايير التقنية األمنية المعتمدة. 2-2
يجب اعتماد إعدادات وتحصين الخوادم ،ومراجعتها وتحديثها <سنوًيا> ،وتطبيق ذلك كل ستة أشهر 2-3
على األقل بالنسبة لخوادم األنظمة الحساسة.
يجب تغيير كلمات المرور الثابتة للخوادم وفًق ا للمعايير التقنية األمنية المعتمدة لدى <اسم الجهة>. 2-4
اإلصدار <>1.0
5
نموذج سياسة أمن الخوادم
يجب تث11بيت الخ11وادم في المنطق11ة المناس11بة من مخط11ط/هيك11ل الش11بكة حس11ب المتطلب11ات التش11غيلية 4-5
والتشريعية لها لضمان إدارتها وتطبيق الحماية الالزمة عليها بشكل فّعال.
المتطلبات التشغيلية لإدارة الخوادم -5
يجب إدارة الخوادم مركزًيا في <اسم الجهة> لكشف المخاطر بصورة أسرع ،وتسهيل إدارة ومراقبة 5-1
الخوادم مثل تقييد الوصول وتثبيت حزم التحديثات وغيرها.
يجب توف111ير الحماي111ة الالزم111ة للخ111وادم ال111تي تعم111ل في بيئ111ة األنظم111ة االفتراض111ية (Virtual 5-2
)Environmentوإدارتها بشكل آمن بناًء على تقييم المخاطر السيبرانية.
يجب ض11بط إع11دادات الخ11وادم وتفعي11ل إرس11ال س11جالت األح11داث إلى نظ11ام الس11جالت والمراقب11ة ( 5-3
)SIEMوفًق ا لسياسة إدارة سجالت األحداث ومراقبة األمن السيبراني المعتمدة لدى <اسم الجهة>.
يجب مزامنة التوقيت ( )Clock Synchronizationمركزًيا لجميع الخ11وادم ومن مص11در دقي11ق 5-4
وموثوق ومعتمد.
يجب توفير المتطلبات الالزم11ة لتش11غيل الخ1وادم بش11كل آمن ومالئم ،مث1ل توف1ير بيئ1ة مناس11بة وآمن1ة 5-5
وتقييد الوصول المادي إلى منطقة الخوادم للعاملين المصرح لهم فقط ومراقبته.
يجب على <اإلدارة المعنية بتقنية المعلومات> مراقب11ة الخ11وادم التش11غيلية والتأك11د من فعالي11ة أدائه11ا، 5-6
وتوافرها ،وتوفير سعة تخزينية مناسبة ،ونحو ذلك.
إدارة الثغرات واختبار االختراق -6
يجب فحص الخوادم واكتشاف الثغ11رات عليه11ا ومعالجته11ا بن11اًء على تص11نيفها والمخ11اطر الس11يبرانية 6-1
المترتبة عليها دورًيا وفًق ا لسياسة إدارة الثغرات المعتمدة لدى <اسم الجه11ة> والمتطلب11ات التش11ريعية
والتنظيمية ذات العالقة.
يجب تنفيذ عمليات اختبار االختراق على الخوادم دورًيا ،وفًق ا لسياسة اختبار االختراق المعتمدة ل11دى 6-2
<اسم الجهة>.
يجب تثبيت حزم التح11ديثات واإلص11الحات األمني11ة لمعالج11ة الثغ11رات ورف11ع مس11توى كف11اءة الخ11وادم 6-3
وأمنها ،وفًق ا لسياسة إدارة التحديثات واإلصالحات المعتمدة لدى <اسم الجهة>.
الحماية المادية والبيئية للخوادم -7
يجب رصد ومراقبة الدخول والخروج من مرافق الخ1وادم داخ1ل <اس11م الجه11ة> ،على س11بيل المث1ال 7-1
األبواب واألقفال ،أنظمة المراقبة الحديثة.
يجب رصد ومراقبة العوامل البيئية للخوادم كالتدفئة وتكييف الهواء وال1دخان وأجه1زة إن1ذار الحري1ق 7-2
وأنظمة إخماد الحرائق.
يجب تطبيق العزل المادي للخوادم وشبكات األنظمة الحساسة في بيئة مقيدة الوصول وفًقا للسياس11ات 7-3
والمتطلبات التنظيمية التشريعية ذات العالقة.
يجب االلتزام بوضع الضوابط األمنية المادية المناسبة (مثل كاميرات المراقب1ة داخ1ل وخ1ارج مرك1ز 7-4
بيانات <اسم الجهة> ،وحراس األمن ،وتأمين الكابالت ،وغيرها).
اإلصدار <>1.0
6
نموذج سياسة أمن الخوادم
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعني1ة ب1األمن الس1يبراني> مراجع1ة السياس1ة س1نوًيا على األق1ل أو في ح1ال ح1دوث
تغي11يرات في السياس11ات أو اإلج11راءات التنظيمي11ة في <اس11م الجه11ة> أو المتطلب11ات التش11ريعية والتنظيمي11ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج11راءات المتبع11ة في <اس11م -3
الجهة>.
اإلصدار <>1.0
7