Sorry, you need to enable JavaScript to visit this website.

سياسة إدارة هويات الدخول والصلاحيات

 

المقدمة:

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-2-2 الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق:

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة:

1- المتطلبات العامة :

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات لجامعة الملك سعود.

  • يجب تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات لجامعة الملك سعود.

  • يجب أن تغطي متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول والصلاحيات لجامعة الملك سعود بحد أدنى ما يلي:

    - التحقق من هوية المستخدم (User Authentication) بناءً على إدارة تسجيل المستخدم، وإدارة كلمة المرور.

    - التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) لعمليات الدخول عن بعد.

    - إدارة تصاريح وصلاحيات المستخدمين بناءً على مبادئ التحكم بالدخول والصلاحيات (مبدأ الحاجة إلى المعرفة والاستخدام ومبدأ الحد الأدنى من الصلاحيات والامتيازات ومبدأ فصل المهام.

    - إدارة الصلاحيات الهامة والحساسة (Privileged Access Management).

    - المراجعة السنوية لهويات الدخول والصلاحيات.

  • يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات لجامعة الملك سعود دوريا.

 

2- متطلبات أعمال الوصول للمعلومات :

  • يجب التحكم في الوصول إلى المعلومات على أساس متطلبات العمل والأمن وقواعد التحكم في الوصول المحددة لكل نظام معلومات. يجب أن تراعي هذه القواعد ما يلي:

    - متطلبات الأمان لتطبيق (تطبيقات) الأعمال.

    - متطلبات عمل محددة للمستخدم للوصول إلى المعلومات أو العمليات (مبدأ "الحاجة إلى المعرفة").

    - كل الوصول مرفوض ما لم تتم الموافقة على وجه التحديد بموجب أحكام هذه السياسة.

    - الالتزام القانوني و / أو التعاقدي بتقييد وحماية الوصول إلى أنظمة المعلومات.

  • يتم توفير الوصول للمتعاقدين أو الاستشاريين أو موظفي الجهات الخارجية إلى أصول المعلومات التجارية لجامعة الملك سعود فقط على أساس اتفاق تعاقدي. يجب أن تشمل هذه الاتفاقية، على سبيل المثال لا الحصر:

    - توفر شروط وأحكام الوصول.

    - المسؤوليات الأمنية للمتعاقدين أو الاستشاريين أو موظفي الموردين.

    - موافقة المتعاقدين أو الاستشاريين أو الطرف الثالث على الالتزام بسياسات أمن المعلومات في جامعة الملك سعود.

  • أن يكون الوصول إلى الشبكات وخدمات الشبكة مرخصًا ومراقبًا على أساس الأعمال ومتطلبات الأمن وقواعد التحكم في الوصول المحددة لكل شبكة. يجب أن تأخذ هذه القواعد في الاعتبار ما يلي:

    - متطلبات الأمن للشبكة أو خدمة (خدمات) الشبكة.

    - متطلبات عمل محددة للمستخدم للوصول إلى الشبكة أو خدمة الشبكة (مبدأ "الحاجة إلى الحصول عليها").

    - التصنيف الأمني للمستخدم والتصنيف الأمني للشبكة.

    - الالتزام القانوني و / أو التعاقدي بتقييد أو حماية الوصول إلى أصول المعلومات.

 

3- إدارة حساب المستخدم :

  • تحدد جامعة الملك سعود إجراءً رسميًا للتحكم في الوصول يتضمن خطوات واضحة فيما يتعلق بطلب وإنشاء وتعديل وتعليق وإلغاء حسابات المستخدمين.

  • انشاء هوية مستخدمين وفق المتطلبات التشريعية والتنظيمية لجامعة الملك سعود.

  • منح وصول المستخدم، والتغييرات في حقوق وصول المستخدم الحالية وإزالة وصول المستخدم يجب أن يأذن به مالك الأصل مع مراعاة ما يلي:

    - حد أدنى من الصلاحيات (مبدأ "بحاجة الى معرفة").

    - الفصل بين الواجبات.

    - الوصول إلى المستوى المطلوب.

  • يجب التعرف على جميع مستخدمي جامعة الملك سعود ببيانات اعتماد فريدة تحدد الهوية. يجب أن تتطلب بيانات اعتماد المستخدم عامل مصادقة واحد على الأقل (مثل كلمة المرور أو الرقم المميز أو الأجهزة البيومترية).

  • يجب على النظام التحقق من صحة معلومات تسجيل الدخول فقط عند الانتهاء من جميع بيانات الإدخال. في حالة ظهور حالة خطأ، يجب ألا يشير النظام إلى أي جزء من البيانات صحيح أو غير صحيح.

  • تقوم إدارة الأنظمة بتحديد ومصادقة جميع المستخدمين بشكل فريد قبل منحهم الوصول المناسب للشبكة / النظام.

  • تطبيق ضوابط وصلاحيات التحقق على جميع الأصول التقنية والمعلوماتية في جامعة الملك سعود من خلال نظام مركزي للتحكم في الوصول الآلي، مثل بروتوكول الوصول الخفيف إلى الدليل LDAP.

  • منع استخدام الحسابات المشتركة (مستخدم عام) للوصول إلى الأصول المعلوماتية والفنية لجامعة الملك سعود.

  • يجب تكوين جميع أنظمة إدارة الهوية والوصول لإرسال السجلات إلى نظام مركزي للتسجيل والمراقبة، مثل SIEM، وفقًا للسياسات المعتمدة.

  • يجب توثيق الإجراءات الواضحة للتعامل مع حسابات الخدمة، والتأكد من إدارتها بشكل آمن بين التطبيقات والأنظمة، كما يجب تعطيل تسجيل الدخول البشري التفاعلي لحسابات الخدمة.

 

4- حقوق منح الوصول :

  • يُمنح الوصول بناءً على طلب المستخدم من خلال نموذج أو من خلال النظام المعتمد من قبل مديره المباشر ومالك النظام (مالك النظام) مع تحديد:

    - اسم النظام.

    - نوع الطلب.

    - الصلاحية ومدتها (في حال كانت سلطة الوصول مؤقتة).

  • يُمنح وصول المستخدم إلى الأصول المعلوماتية والفنية لجامعة الملك سعود وفقًا لأدواره ومسؤولياته.

  • يجب تعطيل تسجيل المستخدم من أجهزة كمبيوتر متعددة في نفس الوقت (عمليات تسجيل الدخول المتزامنة).

 

5- إدارة حقوق الوصول المميز :

  • يجب التحقق من أذونات حق الوصول المميز للتأكد من أن حقوق الوصول المميزة المطلوبة مناسبة.

  • يجب تسجيل تفاصيل المستخدمين، بما في ذلك هويتهم والمعرف المرتبط وامتيازات الوصول التي سيتم منحها.

  • يجب إخطار المستخدمين ومطالبتهم بتأكيد فهم حقوق الوصول المميزة الخاصة بهم وشروط الاستخدام المرتبطة بها، من خلال تثقيفهم من خلال التدريب على الوعي الأمني ذي الصلة.

  • قبل منح حق الوصول المميز للأفراد، يجب الحصول على موافقة خطية وموثقة من الإدارة العليا بالتنسيق مع إدارة المخاطر وأمن المعلومات.

  • يجب تحديد وتوثيق جميع المستخدمين المصرح لهم بالوصول إلى أصول معلومات جامعة الملك سعود. يجب تتبع عملية التفويضات وتسجيلها على النحو التالي:

    - تاريخ الترخيص.

    - تحديد الغرض من حقوق الوصول المميزة.

    - التخصيص المصرح به لحقوق الوصول المميز.

    - تخصيص حقوق الوصول المميزة عند الحاجة إلى الاستخدام بناءً على الحد الأدنى من المتطلبات لأدوارهم الوظيفية وعلى أساس كل حدث على حدة.

    - تعيين حقوق الوصول المميزة لمعرف مستخدم يختلف عن تلك المستخدمة في الأنشطة العادية أو الأنشطة الأخرى.

    - استخدام المصادقة الثنائية (2FA) للوصول المميز.

    - الاحتفاظ بسجل للحسابات ذات حقوق الوصول المميزة.

     

  • يجب إزالة الحسابات الافتراضية أو إعادة تسميتها، خاصة الحسابات ذات الامتيازات المهمة والحساسة مثل " root account" وحساب " admin" وحساب " unique system identifier" (معرف النظام).

  • يجب تسجيل استخدام حقوق الوصول المميزة والتغييرات التي تطرأ عليها ومراجعتها بانتظام.

  • يجب عدم تنفيذ الأنشطة العادية باستخدام معرف مميز.

  • يجب اتباع مبادئ الفصل بين الواجبات وأقل الامتيازات عند منح حق الوصول المميز لمستخدمي أقسام جامعة الملك سعود.

 

6- مراجعة حقوق وصول المستخدم :

  • يجب على مالكي الأصول بالتعاون مع مسؤول أمن المعلومات والإدارات ذات الصلة (مثل الشبكة، ومركز البيانات، والخدمات الإلكترونية، وما إلى ذلك) مراجعة حقوق وامتيازات وصول المستخدم مرة واحدة على الأقل في السنة.

  • عند الكشف عن أي سوء سلوك في حقوق الوصول المميزة، يجب على مسؤول أمن المعلومات أن يوصي مدير القسم بتقييد هذه الامتيازات.

  • يجب تسجيل جميع محاولات الوصول الفاشلة والناجحة وتوثيقها ومراجعتها بشكل دوري.

 

7- إزالة حقوق الوصول :

  • يجب إزالة حقوق الوصول (المنطقية و / أو المادية) إلى مرافق معالجة المعلومات والمعلومات عند إنهاء التوظيف أو الاستقالة أو الاتفاق التعاقدي. قد يشمل هذا، على سبيل المثال لا الحصر:

    - إزالة جميع الحقوق المرتبطة بالأدوار والواجبات السابقة، وإنشاء حقوق مناسبة للأدوار والواجبات الجديدة.

    - إزالة أو تقليص حقوق الوصول في الوقت المناسب.

    - إزالة أو تقليل حقوق الوصول قبل الإنهاء، حيث تشير المخاطر إلى أن هذه الخطوة مناسبة (على سبيل المثال، عندما يتم الإنهاء من قبل جامعة الملك سعود، أو تتضمن حقوق الوصول معلومات أو مرافق شديدة الحساسية).

    - إلغاء جميع بطاقات الهوية (مثل البطاقات الممغنطة والبطاقات الذكية والمفاتيح).

    - تغيير رموز الوصول المشتركة (مثل مجموعات القفل والمجموعات الآمنة).

  • يجب على إدارات الموارد البشرية بالتعاون مع مدير مستخدمي المعلومات إبلاغ اللجنة التوجيهية أو إدارة المخاطر وأمن المعلومات بشأن عمليات نقل مستخدمي المعلومات أو التغييرات في مهام الوظيفة، بحيث يتم اتخاذ جميع التدابير اللازمة فيما يتعلق بإلغاء أو تغيير حقوق الوصول (المنطقية و / أو المادية) لأصول المعلومات.

 

8- استخدام معلومات المصادقة السرية :

  • لا يجوز للمستخدمين إدخال كلمة المرور في رسائل البريد الإلكتروني أو الاتصالات الإلكترونية.

  • لا يجوز للمستخدمين توزيع مصادقتهم السرية، أي أسماء المستخدمين وكلمات المرور على مستخدمين آخرين؛ وبالتالي، يكون المستخدمون مسؤولين عن أي نشاط مرتبط بحقوق الوصول الخاصة بهم.

  • لا يجوز للمستخدمين التقاط كلمات المرور أو مفاتيح فك التشفير أو أي آلية أخرى للتحكم في الوصول أو الحصول عليها بطريقة أخرى، مما قد يسمح بالوصول غير المصرح به.

 

9- التحكم في الوصول إلى أنظمة التطبيقات :

  • يجب تحديد عناصر التحكم للتحكم في المخرجات من أنظمة التطبيق التي تتعامل مع المعلومات الحساسة، ويتم إرسال هذه المخرجات فقط إلى المحطات والمواقع المعتمدة.

 

10- تسجيل دخول آمن لأنظمة التشغيل :

  • يجب على النظام تحديد عدد محاولات تسجيل الدخول غير الناجحة المسموح بها؛ كما يجب مراعاة ما يلي:

    - تسجيل كل من المحاولات الناجحة وغير الناجحة.

    - يجب ان يكون هناك فترة زمنية محددة قبل السماح بمحاولات تسجيل دخول أخرى أو رفض أي محاولات أخرى بدون إذن محدد.

    - فصل اتصالات البيانات المرتبطة.

    - إرسال رسالة إنذار إلى وحدة تحكم النظام إذا تم الوصول إلى الحد الأقصى لعدد محاولات تسجيل الدخول.

  • يجب على مسؤولي النظام مراجعة جميع محاولات التسجيل غير الناجحة بشكل شهري.

  • يجب أن يعرض النظام إشعارًا عامًا يحذر من أنه لا يمكن الوصول إلى الحاسب الآلي إلا من قبل المستخدمين المصرح لهم.

  •  يجب أن تعرض عملية تسجيل الدخول على أي نظام فقط المعلومات المحدودة حول النظام والاستخدام المقصود.

  • يجب على جميع مستخدمي نظام جامعة الملك سعود التأكد من أن برنامج الحماية (End-Point) مثبت بالفعل على أجهزة الحاسب الآلي الخاصة بهم قبل الاتصال بشبكة جامعة الملك سعود. يسمح فقط بتثبيت برنامج الترخيص بما في ذلك جميع أنظمة التشغيل من المصادر المعتمدة لدى جامعة الملك سعود.

 

11- ضوابط الوقت المستغرق للجلسة :

  •  أثناء إجراء تسجيل الدخول، يجب أن تحدد الأنظمة الحد الأقصى والحد الأدنى للوقت المسموح به. في حالة التجاوز، يتم إنهاء تسجيل الدخول بعد 10 دقائق.

 

12- التحكم في وقت الاتصال :

  • حيثما أمكن، يجب أن يكون لجميع أنظمة المعلومات الهامة نافذة زمنية محددة للوصول والتوصيل.

 

13- ضوابط برامج الخدمات :

  • يجب تقييد الوصول إلى برامج النظام واستخدامها.

  • يجب إزالة جميع أدوات وبرامج النظام غير الضرورية.

 

14- حماية (SOURCE CODE) للبرامج :

  • يجب أن تضمن جامعة الملك سعود أن جميع source codes يتم تجميعها والتحكم فيها وصيانتها مركزيًا.

  • يجب توثيق الوصول إلى source codes للبرامج والتكوينات وقصرها على شخص مرخص له.

 

15- ضوابط أمن الشبكة :

  • تعطيل المنافذ غير الآمنة، على سبيل المثال بروتوكول FTP  ، telnet.

  • تعطيل جميع حركات المرور الصادرة من KSU DC إلى الإنترنت وقبول الأنظمة المهمة فقط بناءً على طلب المسؤول.

  • فتح منافذ RDP و SSH لعناوين IP الثابتة والخوادم المحددة فقط.

  • لا يوجد اتصال RDP ، SSH بين الخوادم في VLans المختلفة.

  • لا يوجد وصول مباشر من VPN VLan إلى DC. يجب على المسؤول استخدام جهاز الحاسب الآلي الخاص به كسطح مكتب سريع بين VPN VLan وخادمه.

تاريخ آخر تحديث : مايو 21, 2024 12:46م