Sorry, you need to enable JavaScript to visit this website.

سياسة حماية تطبيقات الويب

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-15-2 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- البنود العامة:

  • يجب استخدام جدار الحماية لتطبيقات الويب (WAF) لحماية تطبيقات الويب الخارجية من الهجمات الخارجية.

  • يجب أن تتبع تطبيقات الويب الخارجية مبدأ المعمارية متعددة المستويات (Multi-tier Architecture) على ألا يقل عن مستويين (2-tier Architecture).

  • يجب استخدام مبدأ المعمارية متعددة المستويات لتطبيقات الويب الخارجية للأنظمة الحساسة على ألا يقل عدد المستويات عن 3 مستويات (3-tier Architecture).

  • يجب التأكد من استخدام بروتوكولات الاتصالات الآمنة فقط، مثل بروتوكول نقل النص التشعبي الآمن (HTTPS) وبروتوكول نقل الملفات الآمن (SFTP) وأمن طبقة النقل (TLS) وغيرها.

  • يجب تطبيق العزل المنطقي لبيئة التطوير (Development Environment) وبيئة الاختبار (Testing Environment) عن بيئة الإنتاج (Production Environment).

  • يجب استخدام تقنيات حماية البيانات والمعلومات في تطبيقات الويب الخارجية وذلك وفقًا لسياسة حماية البيانات والمعلومات وسياسة التصنيف المعتمدة لدى جامعة الملك سعود.

  • في حال شراء تطبيقات ويب من طرف خارجي، يجب التأكد من التزام المورد بسياسات ومعايير الأمن السيبراني المعتمدة لدى جامعة الملك سعود.

  • يجب تطبيق معايير أمن التطبيقات وحمايتها (OWASP Top Ten Web Application Security Risks) في حدها الأدنى لتطبيقات الويب الخارجية للأنظمة الحساسة.

  • يجب تطبيق معايير أمن واجهة برمجة التطبيقات (OWASP Top Ten API Security) في حدها الأدنى لتطبيقات الويب الخارجية للأنظمة الحساسة.

  • يجب تحديد متطلبات الأمن السيبراني في بناء تطبيقات الويب وتصميمها وتطبيقها بشكل آمن وفعال.

  • يجب ضمان حفظ سجلات الأحداث والتدقيق لتطبيقات الويب في جامعة الملك سعود ومراقبتها.

  • يجب ضمان سلامة بيانات تطبيقات الويب من العبث بها أو فقدانها بالخطأ أو تخريبها، والتأكد من توافرها وقابلية استعادتها عن طريق النسخ الاحتياطية والأرشيف (Backup and Archival).

  • يجب تحديد متطلبات الأمن السيبراني لتطبيقات الويب المستضافة بالحوسبة السحابية لضمان إعدادها وتثبيتها وتشغيلها بطريقة آمنة.

  • يجب الحفاظ على توافر تطبيقات الويب الخارجية وحمايتها من هجمات تعطيل الخدمة (Distributed Denial of Service “DDoS” Attacks) على مستوى التطبيقات والشبكة.

  • يجب تطوير إجراءات ومعايير خاصة بحماية تطبيقات الويب بناءً على حاجة العمل.

  • يجب استخدام مؤشر قياس الأداء (KPI) لضمان التطوير المستمر والاستخدام الصحيح والفعال لمتطلبات حماية تطبيقات الويب.

 

2- متطلبات صلاحية الوصول ( Access Right ):

  • يجب استخدام التحقّق من الهوية متعدّد العناصر (Multi-Factor Authentication) لعمليات دخول المستخدمين على تطبيقات الويب الخارجية ودخول مسؤولي النظام على تطبيقات الويب الداخلية.

  • يجب توثيق واعتماد معايير أمنية لتطوير تطبيقات الويب، وتشمل كحد أدنى الإدارة الآمنة للجلسات (Secure Session Management)، بما يتضمن موثوقية الجلسات (Authenticity)، وإقفالها (Lockout)، وإنهاء مهلتها (Timeout).

  • يجب تقييد صلاحية الوصول إلى منظومات الإنتاج، وأن يتم التحكم بها وفقًا للمسؤوليات الوظيفية.

  • يجب نشر سياسة الاستخدام الآمن لجميع مستخدمي تطبيقات الويب الخارجية.

  • يجب استخدام طرق آمنة (hashing function) لحفظ بيانات المستخدم عند الدخول على تطبيقات الويب الخارجية مثل كلمة المرور.

 

3- متطلبات مراجعة الإعدادات الأمنية ( Secure Configuration ) :

  • يجب إجراء تقييم لمخاطر الأمن السيبراني عند التخطيط لتطوير أو شراء تطبيقات الويب وقبل إطلاقها في بيئة الإنتاج وفقًا لسياسة إدارة مخاطر الأمن السيبراني المعتمدة لدى جامعة الملك سعود.

  • يجب تحديد الإعدادات الأمنية والتحصين ومراجعتها للتأكد من ضبط إعدادات تطبيقات الويب وتشغيلها بشكل آمن وفعال وتوثيقها.

  • يجب ضمان سرية بيانات تطبيقات الويب والتأكد من سلامتها وفقًا لسياسة حماية البيانات والمعلومات المعتمدة لدى جامعة الملك سعود.

  • قبل استخدام المعلومات المصنفة في بيئة الاختبار، يجب الحصول على إذن مسبق من إدارة الأمن السيبراني في جامعة الملك سعود واستخدام ضوابط مشددة لحماية تلك البيانات، مثل: تقنيات مزج البيانات (Data Scrambling) وتقنيات تعتيم البيانات (Data Masking)، وحذفها مباشرة بعد الانتهاء من استخدامها.

  • يجب حفظ الشفرة المصدرية (Source Code) بشكل آمن وتقييد الوصول إليها أو تعديلها للمصرح لهم فقط.

  • يجب إجراء اختبار الاختراق لتطبيق الويب الخارجي في بيئة الاختبار وتوثيق النتائج والتأكد من معالجة جميع الثغرات قبل إطلاق التطبيق على بيئة الإنتاج وفقًا لسياسة اختبار الاختراق المعتمدة لدى جامعة الملك سعود.

  • يجب إجراء فحص الثغرات للمكونات التقنية لتطبيقات الويب والتأكد من معالجتها بتثبيت حزم التحديثات والإصلاحات المعتمدة لدى جامعة الملك سعود بشكل سنوي.

  • يجب إجراء اختبارات لتقييم حماية تطبيقات الويب في حال: 

    - عند التخطيط وقبل إطلاق تطبيقات الويب.

    - قبل إجراء أي تغيير أو تحديث مخطط له أو فوري.

تاريخ آخر تحديث : مايو 19, 2024 1:18م