Scribd Logo
Upload

Welcome to Scribd!

  • POLICY Penetration Testing Template Ar FINAL

    Uploaded by

    lava.sky10
    4 views7 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    4 views7 pages

    POLICY Penetration Testing Template Ar FINAL

    Uploaded by

    lava.sky10

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 7

    ‫هذا المربع مخّص ص ألغراض توجيهية‪ .

    ‬احذف جميع المربعات التوجيهية‬


    ‫بع&د تعبئ&ة النم&وذج‪ .‬يجب تحري&ر البن&ود الملّو ن&ة ب&اللون األزرق بص&ورة‬
    ‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

    ‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

    ‫نموذج سياسة اختبار االختراق‬

    ‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬


    ‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
    ‫اض&&غط على مفت&&احي "‪ "Ctrl‬و"‪ "H‬في ال&&وقت‬ ‫‪‬‬
    ‫نفسه‪.‬‬
    ‫أض&&ف "<اس&&م الجه&&ة>" في مرب&&ع البحث عن‬ ‫‪‬‬
    ‫النص‪.‬‬ ‫التاريخ‪:‬‬
    ‫أدخل االسم الكامل لجهتك في مرب&&ع "اس&&تبدال"‬ ‫‪‬‬ ‫اإلصدار‪:‬‬
    ‫النص‪.‬‬
    ‫اض&&&غط على "المزي&&&د" وتأّك د من اختي&&&ار "‬ ‫‪‬‬
    ‫المرجع‪:‬‬
    ‫‪."Match case‬‬
    ‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
    ‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫إخالء المسؤولية‬
    ‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس&&يبراني كمث&&ال توض&&يحي يمكن اس&&تخدامه ك&&دليل‬
    ‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه&ذا النم&وذج ومواءمت&ه م&ع أعم&ال <اس&م الجه&ة> والمتطلب&ات التش&ريعية‬
    ‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض&&ه‪ .‬وتخلي‬
    ‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪1‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫اعتماد الوثيقة‬

    ‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

    ‫<أدخل االسم الكامل‬


    ‫<أدخل التوقيع>‬ ‫<أدخل المسمى الوظيفي>‬
    ‫للموظف>‬

    ‫نسخ الوثيقة‬

    ‫أسباب التعديل‬ ‫ُعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

    ‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬

    ‫جدول المراجعة‬

    ‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

    ‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

    ‫قائمة المحتويات‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪2‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫الغرض‪4..................................................................................................................‬‬
    ‫نطاق العمل‪4..............................................................................................................‬‬
    ‫بنود السياسة‪4.............................................................................................................‬‬
    ‫األدوار والمسؤوليات‪6...................................................................................................‬‬
    ‫التحديث والمراجعة‪6.....................................................................................................‬‬
    ‫االلتزام بالسياسة‪6........................................................................................................‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪3‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫الغرض‬
    ‫تهدف هذه السياسة إلى تحدي&د متطلب&ات األمن الس&يبراني المتعلق&ة بتق&ييم واختب&ار م&دى فعالي&ة ق&درات‬
    ‫تعزيز األمن السيبراني في <اسم الجهة> وذل&&ك من خالل محاك&&اة تقني&&ات وأس&&اليب الهج&&وم الس&&يبراني الفعلي&&ة‪،‬‬
    ‫والكتشاف نقاط الضعف األمنية غير المعروفة والتي قد تؤدي إلى االختراق السيبراني في <اس&&م الجه&&ة>‪ .‬ه&&ذه‬
    ‫المتطلبات تمت موائمتها مع متطلبات األمن السيبراني الصادرة من الهيئة الوطنية لألمن السيبراني ويشمل ذل&&ك‬
    ‫على س&&بيل المث&&ال ال الحص&&ر‪ :‬الض&&وابط األساس&&ية لألمن الس&&يبراني ( ‪ ،)ECC – 1: 2018‬ض&&وابط األمن‬
    ‫السيبراني لألنظمة الحساسة (‪ )CSCC – 1: 2019‬وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬

    ‫نطاق العمل‬
    ‫تطبق هذه السياسة على جميع األنظمة ومكوناتها التقنية‪ ،‬وجميع الخدمات المقدمة خارجًي ا (عن طري&&ق‬
    ‫اإلنترنت (ومكوناتها التقنية‪ ،‬ومنها‪ :‬البنية التحتية‪ ،‬والمواقع اإللكترونية‪ ،‬وتطبيق&&ات ال&&ويب‪ ،‬وتطبيق&&ات الهوات&&ف‬
    ‫الذكية واللوحي&ة‪ ،‬والبري&د اإللك&تروني وال&دخول عن بع&د في <اس&م الجه&ة>‪ ،‬وعلى جمي&ع الع&املين (الم&وظفين‬
    ‫والمتعاقدين) في <اسم الجهة>‪.‬‬

    ‫بنود السياسة‬
    ‫البنود العامة‬ ‫‪-1‬‬
    ‫يجب صياغة وثيقة قواع&&د التنفي&&ذ قب&&ل ب&&دء عملي&&ة اختب&&ار االخ&&تراق (‪)Penetration Testing‬‬ ‫‪1-1‬‬
    ‫والتي تغطي نطاق االختبار‪ ،‬الصالحيات‪ ،‬مدة االختبار‪ ،‬األنظمة المستهدفة‪ ،‬آلية االختب&&ار‪ ،‬الش&&روط‬
    ‫والمتطلبات العامة وغيرها‪.‬‬
    ‫يجب أن يش&&مل نط&&اق اختب&&ار االخ&&تراق جمي&&ع المكون&&ات التقني&&ة‪ ،‬ومنه&&ا‪ :‬البني&&ة التحتي&&ة‪ ،‬المواق&&ع‬ ‫‪1-2‬‬
    ‫اإللكترونية‪ ،‬تطبيقات الويب‪ ،‬تطبيق&&ات الهوات&&ف الذكي&&ة واللوحي&&ة‪ ،‬البري&&د اإللك&&تروني وال&&دخول عن‬
    ‫بعد‪ ،‬وبيئ&ة ش&&بكات أنظم&&ة التحكم الص&&ناعي والش&&بكات المرتبط&ة بالش&&بكة التش&&غيلية ألنظم&&ة التحكم‬
    ‫الصناعي وذلك وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
    ‫يجب إجراء اختبار االختراق لتقييم واختبار مدى فعالية قدرات تعزيز األمن السيبراني دوريًا‪.‬‬ ‫‪1-3‬‬
    ‫يجب إج&&راء اختب&&ار االخ&&تراق على األنظم&&ة الحساس&&ة ومكوناته&&ا التقني&&ة وجمي&&ع خ&&دماتها الداخلي&&ة‬ ‫‪1-4‬‬
    ‫والخارجية كل ستة أشهر على األقل‪.‬‬
    ‫يجب إج&راء اختب&ار االخ&تراق على أنظم&ة العم&ل عن بع&د وجمي&ع الخ&دمات المقدم&ة خارجًي ا (عن‬ ‫‪1-5‬‬
    ‫طريق اإلنترنت (ومكوناتها التقنية مرة واحدة كل سنة على األقل‪.‬‬
    ‫يجب التأكد من أن تأثير االختب&&ار مح&&دود على بيئ&&ة اإلنت&&اج) البيئ&&ة قي&&د التش&&غيل (أو إج&&راء اختب&&ار‬ ‫‪1-6‬‬
    ‫االختراق في بيئة منفصلة مماثلة‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪4‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫يجب إجراء االختبارات غير الفعالة (‪ )Passive Testing‬لمراجعة وفحص األنظمة والتطبيق&ات‬ ‫‪1-7‬‬
    ‫والشبكات والسياسات واإلجراءات واكتشاف الثغرات األمنية‪.‬‬
    ‫يجب تطوير واعتماد خطة الختبار االختراق يوضح فيها نطاق العمل‪ ،‬تاريخ الب&دء واالنته&&اء‪ ،‬وآلي&ة‬ ‫‪1-8‬‬
    ‫وسيناريوهات تنفيذ عمل محاكاة لتقنيات وأساليب الهجوم السيبراني الفعلية‪.‬‬
    ‫يجب التأكد من أن اختبار االختراق ال يؤثر على األنظمة والخدمات المقدمة في <اسم الجهة>‪.‬‬ ‫‪1-9‬‬
    ‫يجب تع&&يين فري&&ق مؤه&&ل لدي&&ه الش&&هادات والخ&&برات ذات الص&&لة لض&&مان إج&&راء عملي&&ات اختب&&ار‬ ‫‪1-10‬‬
    ‫االختراق بشكل فّعال‪.‬‬
    ‫يجب على فريق اختبار االختراق التنسيق مع األطراف المعنية من داخل <اسم الجهة>‪ ،‬اتب&اع خط&ة‬ ‫‪1-11‬‬
    ‫إجراءات وخطة اختبار االختراق المعتم&&دة‪ ،‬إج&&راء التحليالت الالزم&&ة لتحدي&&د المؤش&&رات اإليجابي&&ة‬
    ‫الخاطئة‪ ،‬وتصنيف الثغرات وتحديد أسباب وجودها‪.‬‬
    ‫يجب معالجة البيانات التابعة الختبار االختراق بطريقة آمنة وجمعها وتخزينها ونقلها و إزالتها عندما‬ ‫‪1-12‬‬
    ‫تصبح غير ضرورية وفًق ا لسياسة حماية البيانات والمعلومات المعتمدة لدى <اسم الجهة>‪.‬‬
    ‫يجب إجراء اختبار االختراق الكتشاف الثغرات األمني&ة بكاف&ة ص&&ورها وال&تي تش&&مل الثغ&&رات ال&تي‬ ‫‪1-13‬‬
    ‫تنتج عادًة عن أخطاء في تطوير التطبيقات (‪ )Application Development Error‬دون األخذ‬
    ‫بعين االعتب&&&ار معي&&&ار تط&&&وير التطبيق&&&ات اآلمن وض&&&بط إع&&&دادات النظ&&&ام بش&&&كل غ&&&ير آمن (‬
    ‫‪ )Misconfigurations‬وإمكاني&&ة اس&&تغالل ثغ&&رة مح&&ددة (‪Exploitability of Identified‬‬
    ‫‪.)Vulnerability‬‬
    ‫في حال تفويض طرف خارجي للقيام باختبار االختراق نياب&&ة عن <اس&&م الجه&&ة>‪ ،‬يجب التحق&&ق من‬ ‫‪1-14‬‬
    ‫تطبيق جميع متطلبات األمن السيبراني المتعلقة ب&&األطراف الخارجي&&ة وفًق ا لسياس&&ة األمن الس&&يبراني‬
    ‫المتعّلق باألطراف الخارجية المعتمدة لدى <اسم الجهة>‪.‬‬
    ‫يجب إعداد تقرير لعرض نتائج الا ختبار وتقديم التوصيات بعد إنتهاء عملية اختبار االختراق‪.‬‬ ‫‪1-15‬‬
    ‫يجب تصنيف نت&ائج اختب&ار االخ&تراق بن&اًء على خطورته&ا‪ ،‬ومعالجته&ا حس&ب المخ&اطر الس&يبرانية‬ ‫‪1-16‬‬
    ‫المترتبة عليها وفًق ا لمنهجية إدارة المخاطر المعتمدة لدى <اسم الجهة>‪.‬‬
    ‫يجب وضع خطة عمل لمعالجة نتائج اختبار االخ&تراق يوض&ح فيه&ا ت&أثير المخ&اطر وآلي&ة معالجته&ا‬ ‫‪1-17‬‬
    ‫والمسؤول عن تطبيقها والفترة الزمنية الالزمة لتنفيذها ومتابعتها‪.‬‬
    ‫يجب إدارة حس&&ابات المس&&تخدمين المس&&تخدمة إلج&&راء اختب&&ار االخ&&تراق ومراقبته&&ا للتأك&&د من أنه&&ا‬ ‫‪1-18‬‬
    ‫تستخدم فقط ألغراض مشروعة‪ ،‬وإزالتها بعد انتهاء االختبار‪.‬‬
    ‫يجب تطوير إجراءات ومعايير خاصة باختبار االختراق بناء على حاجة العمل‪.‬‬ ‫‪1-19‬‬
    ‫يجب استخدام مؤشر قياس األداء (‪ )KPI‬لض&&مان التط&&وير المس&&تمر واالس&&تخدام الص&&حيح والفع&&ال‬ ‫‪1-20‬‬
    ‫لمتطلبات عمليات اختبار االختراق‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪5‬‬
    ‫نموذج سياسة اختبار االختراق‬

    ‫األدوار والمسؤوليات‬
    ‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
    ‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
    ‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات>‪.‬‬ ‫‪-3‬‬
    ‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

    ‫التحديث والمراجعة‬
    ‫يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياسة سنوًيا على األقل أو في ح&ال ح&دوث‬
    ‫تغي&&يرات في السياس&&ات أو اإلج&&راءات التنظيمي&&ة في <اس&&م الجه&&ة> أو المتطلب&&ات التش&&ريعية والتنظيمي&&ة ذات‬
    ‫العالقة‪.‬‬

    ‫االلتزام بالسياسة‬
    ‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
    ‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
    ‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج&&راءات المتبع&&ة في <اس&&م‬ ‫‪-3‬‬
    ‫الجهة>‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪6‬‬

    You might also like