Professional Documents
Culture Documents
POLICY Penetration Testing Template Ar FINAL
POLICY Penetration Testing Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس&&يبراني كمث&&ال توض&&يحي يمكن اس&&تخدامه ك&&دليل
ومرجع للجهات .يجب أن يتم تعديل ه&ذا النم&وذج ومواءمت&ه م&ع أعم&ال <اس&م الجه&ة> والمتطلب&ات التش&ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض&&ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة اختبار االختراق
اعتماد الوثيقة
نسخ الوثيقة
<أدخل وصف التعديل> <أدخل االسم الكامل للموظف> <أدخل رقم النسخة>
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
قائمة المحتويات
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة اختبار االختراق
الغرض4..................................................................................................................
نطاق العمل4..............................................................................................................
بنود السياسة4.............................................................................................................
األدوار والمسؤوليات6...................................................................................................
التحديث والمراجعة6.....................................................................................................
االلتزام بالسياسة6........................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة اختبار االختراق
الغرض
تهدف هذه السياسة إلى تحدي&د متطلب&ات األمن الس&يبراني المتعلق&ة بتق&ييم واختب&ار م&دى فعالي&ة ق&درات
تعزيز األمن السيبراني في <اسم الجهة> وذل&&ك من خالل محاك&&اة تقني&&ات وأس&&اليب الهج&&وم الس&&يبراني الفعلي&&ة،
والكتشاف نقاط الضعف األمنية غير المعروفة والتي قد تؤدي إلى االختراق السيبراني في <اس&&م الجه&&ة> .ه&&ذه
المتطلبات تمت موائمتها مع متطلبات األمن السيبراني الصادرة من الهيئة الوطنية لألمن السيبراني ويشمل ذل&&ك
على س&&بيل المث&&ال ال الحص&&ر :الض&&وابط األساس&&ية لألمن الس&&يبراني ( ،)ECC – 1: 2018ض&&وابط األمن
السيبراني لألنظمة الحساسة ( )CSCC – 1: 2019وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
نطاق العمل
تطبق هذه السياسة على جميع األنظمة ومكوناتها التقنية ،وجميع الخدمات المقدمة خارجًي ا (عن طري&&ق
اإلنترنت (ومكوناتها التقنية ،ومنها :البنية التحتية ،والمواقع اإللكترونية ،وتطبيق&&ات ال&&ويب ،وتطبيق&&ات الهوات&&ف
الذكية واللوحي&ة ،والبري&د اإللك&تروني وال&دخول عن بع&د في <اس&م الجه&ة> ،وعلى جمي&ع الع&املين (الم&وظفين
والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب صياغة وثيقة قواع&&د التنفي&&ذ قب&&ل ب&&دء عملي&&ة اختب&&ار االخ&&تراق ()Penetration Testing 1-1
والتي تغطي نطاق االختبار ،الصالحيات ،مدة االختبار ،األنظمة المستهدفة ،آلية االختب&&ار ،الش&&روط
والمتطلبات العامة وغيرها.
يجب أن يش&&مل نط&&اق اختب&&ار االخ&&تراق جمي&&ع المكون&&ات التقني&&ة ،ومنه&&ا :البني&&ة التحتي&&ة ،المواق&&ع 1-2
اإللكترونية ،تطبيقات الويب ،تطبيق&&ات الهوات&&ف الذكي&&ة واللوحي&&ة ،البري&&د اإللك&&تروني وال&&دخول عن
بعد ،وبيئ&ة ش&&بكات أنظم&&ة التحكم الص&&ناعي والش&&بكات المرتبط&ة بالش&&بكة التش&&غيلية ألنظم&&ة التحكم
الصناعي وذلك وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب إجراء اختبار االختراق لتقييم واختبار مدى فعالية قدرات تعزيز األمن السيبراني دوريًا. 1-3
يجب إج&&راء اختب&&ار االخ&&تراق على األنظم&&ة الحساس&&ة ومكوناته&&ا التقني&&ة وجمي&&ع خ&&دماتها الداخلي&&ة 1-4
والخارجية كل ستة أشهر على األقل.
يجب إج&راء اختب&ار االخ&تراق على أنظم&ة العم&ل عن بع&د وجمي&ع الخ&دمات المقدم&ة خارجًي ا (عن 1-5
طريق اإلنترنت (ومكوناتها التقنية مرة واحدة كل سنة على األقل.
يجب التأكد من أن تأثير االختب&&ار مح&&دود على بيئ&&ة اإلنت&&اج) البيئ&&ة قي&&د التش&&غيل (أو إج&&راء اختب&&ار 1-6
االختراق في بيئة منفصلة مماثلة.
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة اختبار االختراق
يجب إجراء االختبارات غير الفعالة ( )Passive Testingلمراجعة وفحص األنظمة والتطبيق&ات 1-7
والشبكات والسياسات واإلجراءات واكتشاف الثغرات األمنية.
يجب تطوير واعتماد خطة الختبار االختراق يوضح فيها نطاق العمل ،تاريخ الب&دء واالنته&&اء ،وآلي&ة 1-8
وسيناريوهات تنفيذ عمل محاكاة لتقنيات وأساليب الهجوم السيبراني الفعلية.
يجب التأكد من أن اختبار االختراق ال يؤثر على األنظمة والخدمات المقدمة في <اسم الجهة>. 1-9
يجب تع&&يين فري&&ق مؤه&&ل لدي&&ه الش&&هادات والخ&&برات ذات الص&&لة لض&&مان إج&&راء عملي&&ات اختب&&ار 1-10
االختراق بشكل فّعال.
يجب على فريق اختبار االختراق التنسيق مع األطراف المعنية من داخل <اسم الجهة> ،اتب&اع خط&ة 1-11
إجراءات وخطة اختبار االختراق المعتم&&دة ،إج&&راء التحليالت الالزم&&ة لتحدي&&د المؤش&&رات اإليجابي&&ة
الخاطئة ،وتصنيف الثغرات وتحديد أسباب وجودها.
يجب معالجة البيانات التابعة الختبار االختراق بطريقة آمنة وجمعها وتخزينها ونقلها و إزالتها عندما 1-12
تصبح غير ضرورية وفًق ا لسياسة حماية البيانات والمعلومات المعتمدة لدى <اسم الجهة>.
يجب إجراء اختبار االختراق الكتشاف الثغرات األمني&ة بكاف&ة ص&&ورها وال&تي تش&&مل الثغ&&رات ال&تي 1-13
تنتج عادًة عن أخطاء في تطوير التطبيقات ( )Application Development Errorدون األخذ
بعين االعتب&&&ار معي&&&ار تط&&&وير التطبيق&&&ات اآلمن وض&&&بط إع&&&دادات النظ&&&ام بش&&&كل غ&&&ير آمن (
)Misconfigurationsوإمكاني&&ة اس&&تغالل ثغ&&رة مح&&ددة (Exploitability of Identified
.)Vulnerability
في حال تفويض طرف خارجي للقيام باختبار االختراق نياب&&ة عن <اس&&م الجه&&ة> ،يجب التحق&&ق من 1-14
تطبيق جميع متطلبات األمن السيبراني المتعلقة ب&&األطراف الخارجي&&ة وفًق ا لسياس&&ة األمن الس&&يبراني
المتعّلق باألطراف الخارجية المعتمدة لدى <اسم الجهة>.
يجب إعداد تقرير لعرض نتائج الا ختبار وتقديم التوصيات بعد إنتهاء عملية اختبار االختراق. 1-15
يجب تصنيف نت&ائج اختب&ار االخ&تراق بن&اًء على خطورته&ا ،ومعالجته&ا حس&ب المخ&اطر الس&يبرانية 1-16
المترتبة عليها وفًق ا لمنهجية إدارة المخاطر المعتمدة لدى <اسم الجهة>.
يجب وضع خطة عمل لمعالجة نتائج اختبار االخ&تراق يوض&ح فيه&ا ت&أثير المخ&اطر وآلي&ة معالجته&ا 1-17
والمسؤول عن تطبيقها والفترة الزمنية الالزمة لتنفيذها ومتابعتها.
يجب إدارة حس&&ابات المس&&تخدمين المس&&تخدمة إلج&&راء اختب&&ار االخ&&تراق ومراقبته&&ا للتأك&&د من أنه&&ا 1-18
تستخدم فقط ألغراض مشروعة ،وإزالتها بعد انتهاء االختبار.
يجب تطوير إجراءات ومعايير خاصة باختبار االختراق بناء على حاجة العمل. 1-19
يجب استخدام مؤشر قياس األداء ( )KPIلض&&مان التط&&وير المس&&تمر واالس&&تخدام الص&&حيح والفع&&ال 1-20
لمتطلبات عمليات اختبار االختراق.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة اختبار االختراق
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياسة سنوًيا على األقل أو في ح&ال ح&دوث
تغي&&يرات في السياس&&ات أو اإلج&&راءات التنظيمي&&ة في <اس&&م الجه&&ة> أو المتطلب&&ات التش&&ريعية والتنظيمي&&ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج&&راءات المتبع&&ة في <اس&&م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
6