Sorry, you need to enable JavaScript to visit this website.

سياسة حماية الأنظمة وأجهزة معالجة المعلومات

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 2-3 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- المتطلبات العامة :

  • يجب على الجامعة تحديد تقنيات وآليات الحماية الحديثة والمتقدمة وتوفيرها والتأكد من موثوقيتها.

  • يجب تطبيق تقنيات وآليات الحماية لحماية أجهزة المستخدمين والأجهزة المحمولة والخوادم من البرمجيات الضارة (Malware) وإدارتها بشكل آمن.

  • يجب التأكد من أن تقنيات وآليات الحماية قادرة على اكتشاف جميع أنواع البرمجيات الضارة المعروفة وإزالتها، مثل الفيروسات (Virus)، وأحصنة طروادة (Trojan Horse)، والديدان (Worms)، وبرمجيات التجسس (Spyware)، وبرمجيات الإعلانات المتسللة (Adware)، أدوات التأصيل (Root Kits).

  • قبل اختيار تقنيات وآليات الحماية، يجب التأكد من ملاءمتها لأنظمة التشغيل الخاصة بالجامعة مثل أنظمة ويندوز (Windows)، وأنظمة يونكس (UNIX)، وأنظمة لينكس (Linux)، ونظام ماك (Mac)، وغيرها.

  • في حال تسبب تحديث تقنيات الحماية بضرر للأنظمة أو متطلبات الأعمال، يجب التأكد من أن تقنيات الحماية قابلة للاسترجاع إلى النسخة السابقة.

  • يجب تقييد صلاحيات تعطيل التثبيت أو إلغائه أو تغيير إعدادات تقنيات الحماية من البرمجيات الضارة ومنحها لمشرفي نظام الحماية فقط.

  • يجب التقييد الحازم لاستخدام أجهزة وسائط التخزين مثل (USB, CD) لجميع أصول الجامعة المعلوماتية والتقنية.

  • يجب تطبيـق حـزم التحديثـات، والإصلاحات الأمنية لتطبيقـات التواصـل الاجتماعي في الجامعة، مـرة واحـدة شـهرياً على الأقل.

  • مراجعـة إعـدادات الحماية والتحصـين لحسـابات التواصـل الاجتماعي لجامعة الملك سعود والأصول التقنيــة الخاصــة بها (Secure Configuration and Hardening)، مـرة واحـدة كل سـنة عـلى الأقل.

  • مراجعـة وتحصـين الإعدادات المصنعية (Default Configuration) لحسـابات التواصــل الاجتماعي والأصول التقنيــة، ومنهــا وجــود كلـمات مــرور ثابتــة أو تسـجيل الدخـول المسبق، وإقفـال الأجهزة (Lockout).

  • يجب تقييـد تفعيـل الخصائـص والخدمـات في حسـابات التواصـل الاجتماعي حسـب الحاجــة، عـلى أن يتــم تحليــل المخاطر السيبرانية المحتملة في حــال الحاجــة لتفعيلهـا.

  • يجب تطبيق حزم التحديثات، والإصلاحات الأمنية من وقت إطلاقها للأنظمة المستخدمة للتعامل مع البيانات حسب المدة المحددة لكل مستوى في جامعة الملك سعود.

  • يجب مراجعة إعدادات الحماية والتحصين للأنظمة المستخدمة للتعامل مع البيانات (Security Configuration and Hardening) حسب المدة المحددة لكل مستوى في جامعة الملك سعود.

  • يجب مراجعة وتحصين الإعدادات المصنعية مثل (كلمات المرور الثابتة، والخلفية الافتراضية) للأصول التقنية المستخدمة للتعامل مع البيانات.

  • يجب على جميع مستخدمي جامعة الملك سعود استخدام التطبيقات القياسية ومنتجات البرامج المرخصة لها من قبل جامعة الملك سعود. ويجب على جميع مستخدمي الجامعة الالتزام بالقواعد التالية عند تثبيت أي تطبيق أو منتج برمجي على أجهزتهم، وخاصة الخوادم على سبيل المثال لا الحصر:

    - يمنع تثبيت أي برنامج، أو تطبيق، أو برنامج نصي، أو تعليمات برمجية قابلة للتنفيذ على الأجهزة الخاصة بهم.

    - يجب على المستخدمين فقط تثبيت البرنامج المعتمدة والمرخصة من قبل جامعة الملك سعود.

    - يمنع تثبيت برامج من مصادر خارجية إلا بعد الحصول على موافقة من الإدارة المختصة.

  • يجب تطبيق التحكم على تثبيت البرامج على أنظمة التشغيل. لتقليل مخاطر تعطل أنظمة التشغيل، يجب مراعاة الضوابط التالية:

    - يجب أن يتم تحديث مكتبات البرامج التشغيلية فقط بناءً على تصريح الإدارة المناسب.

    - يجب أن تحتوي أنظمة التشغيل فقط على تعليمات برمجية قابلة للتنفيذ (executable code).

    - لا ينبغي تشغيل التعليمات البرمجية القابلة للتنفيذ (executable code) على نظام التشغيل حتى يتم الحصول على دليل لنجاح الاختبار وقبول المستخدم وتحديث مكتبات مصدر البرنامج المقابلة.

    - يجب الاحتفاظ بسجل التدقيق لجميع التحديثات لمكتبات البرامج التشغيلية (executable code).

    - ينبغي الاحتفاظ بالإصدارات السابقة من البرامج كإجراء طوارئ.

  • يجب على صاحب الصلاحية المسؤول عن إدارة الثغرات التأكد مما يلي:

    - أدوات الفحص الأمني على أساس محدد لتحديد نقاط الضعف التي يمكن استغلالها من قبل الأشخاص الذين يقومون بإجراء فحص غير مصرح به باستخدام أدوات مماثلة؛

    - يجب استخدام أدوات متعددة بتقنيات مختلفة لتحديد أكبر عدد ممكن من نقاط الضعف.

    - يجب فحص الأصول المتصلة بالإنترنت والإنترانت؛

    - يجب إخطار مالك الأصل والتأكد من قبوله بالتأثيرات المحتملة لنشاط المسح على البيئة المستهدفة قبل بدء المسح.

    - يجب مراقبة مصادر الطرف الثالث لمعلومات الثغرات الفنية (مثل التنبيهات الأمنية، وتصحيحات النظام، والحلول البديلة، وتحديثات الفيروسات) للتأكد من صلتها بجامعة الملك سعود. نظرًا لأنه يتم الإبلاغ عن نقاط الضعف من قبل مصادر الطرف الثالث.

    - يجب أن تقارن واجبات إدارة الثغرات الأمنية كل ثغرة أمنية بمخزونها لتحديد ما إذا كانت موارد تكنولوجيا المعلومات الخاصة بها عرضة للخطر.

    - إصدار اصلاح من قبل الشركة الموردة لإصلاح عنصر تحكم متعلق بالأمان، فسيتم اعتبار إصدار التصحيح بمثابة إشعار ضمني بوجود ثغرة أمنية ويجب اتخاذ إجراءات لتخفيف المخاطر.

     - يجب صد جميع الثغرات في جميع الأجهزة المعتمدة المرتبطة بشبكة جامعة الملك سعود وأنظمة التشغيل والتطبيقات التي تحتوي على ثغرات أمنية محددة وذلك لمعالجة نقاط الضعف المعروفة.

    - إذا تعذر إصلاح الثغرة لجهاز متصل بالشبكة، فسيتم تخفيف الثغرة الأمنية باستخدام عنصر تحكم أمني بديل مقبول.

 

2- متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات الهامة والحسّاسة :

  • يجب على جامعة الملك سعود السماح فقط بقائمة محددة من ملفات التشغيل (Whitelisting) للتطبيقات والبرامج؛ للعمل على الخوادم الخاصة بالأنظمة الحساسة.

  • يجب حماية الخوادم الخاصة بالأنظمة الحساسة في جامعة الملك سعود بتقنيات حماية الأجهزة الطرفية (End-point Protection) المعتمدة لدى جامعة الملك سعود.

  • يجب تطبيق حزم التحديثات، والإصلاحات الأمنية، مرة واحدة شهرياً على الأقل، للأنظمة الحساسة الخارجية، والمتصلة بالإنترنت؛ وكل ثلاثة أشهر على الأقل، للأنظمة الحساسة الداخلية؛ مع اتباع آليات التغيير المعتمدة لدى جامعة الملك سعود.

  • يجب على جامعة الملك سعود تخصيص أجهزة حاسب (Workstations) للعاملين في الوظائف التقنية، ذات الصلاحيات الهامة والحساسة؛ على أن تكون معزولة في شبكة خاصة، لإدارة الأنظمة (Management Network) وعلى ألا ترتبط بأي شبكة، أو خدمة أخرى (مثل: خدمة البريد الإلكتروني، الإنترنت).

  • يجب على جامعة الملك سعود تشفير أي وصول إشرافي عبر الشبكة (Administrative Access Non-console) لأي من المكونات التقنية للأنظمة الحساسة، باستخدام خوارزميات، وبروتوكولات التشفير الآمنة.

  • يجب مراجعة إعدادات الأنظمة الحساسة الخاصة بجامعة الملك سعود وتحصيناتها (Secure Configuration and Hardening) كل ستة أشهر على الأقل.

  • مراجعة الإعدادات المصنعية (Default Configuration) وتعديلها والتأكد من عدم وجود كلمات مرور ثابتة، وخلفية، وافتراضية (Hard-Coded, Backdoor and Default Passwords).

  • يجب حماية السجلات، والملفات الحساسة للأنظمة الخاصة بالجامعة من الوصول غير المصرح به، أو العبث، أو التغيير، أو الحذف غير المشروع.

 

3- متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة العمل عن بعد :

  • يجب على جامعة الملك سعود تطبيق حزم التحديثات، والإصلاحات الأمنية لأنظمة العمل عن بعد، مرة واحدة شهريا على الأقل.

  • يجب مراجعة إعدادات الحماية لأنظمة العمل عن بعد والتحصين (Secure Configuration and Hardening) مرة واحدة كل سنة على الأقل.

  • يجب مراجعة وتحصين الإعدادات المصنعية (Default Configuration) للأصول التقنية لأنظمة العمل عن بعد، ومنها وجود كلمات مرور ثابتة، وخلفية افتراضية.

  • الإدارة الآمنة للجلسات (Secure Session Management) ويشمل موثوقية الجلسات (Authenticity) وإقفالها (Lockout) وإنهاء مهلتها (Timeout).

  • يجب على الإدارة العامة للأمن السيبراني في جامعة الملك سعود تقييد تفعيل الخصائص والخدمات في أنظمة العمل عن بعد حسب الحاجة، على أن يتم تحليل المخاطر السيبرانية المحتملة في حال الحاجة لتفعيلها.

 

4- إعدادات تقنيات وآليات الحماية من البرمجيات الضارة :

  • يجب ضبط إعدادات تقنيات الحماية وآلياتها وفقاً للمعايير التقنية الأمنية المعتمدة لدى الجامعة، مع الأخذ بالاعتبار إرشادات المورد وتوصياته.

  • يجب ضبط إعدادات برنامج مكافحة الفيروسات على خوادم البريد الإلكتروني لفحص جميع رسائل البريد الإلكتروني الواردة والصادرة.

  • لا يُسمح للأشخاص التابعين لأطراف خارجية بالاتصال بالشبكة أو الشبكة اللاسلكية للجامعة دون تحديث برنامج مكافحة الفيروسات وضبط الإعدادات المناسبة.

  • يجب ضمان توافر خوادم برامج الحماية من البرمجيات الضارة، كما يجب أن تكون البيئة الاحتياطية مناسبة لخوادم برامج الحماية من البرمجيات الضارة المخصصة للمهام والأعمال غير الحساسة.

  • يجب منع الوصول إلى المواقع الإلكترونية والمصادر الأخرى على الإنترنت المعروفة باستضافتها لبرمجيات ضارة وذلك باستخدام آلية تصفية محتوى الويب (Web Content Filtering).

  • يجب مزامنة التوقيت (Clock Synchronization) مركزياً ومن مصدر دقيق وموثوق لجميع تقنيات وآليات الحماية من البرمجيات الضارة.

  • يجب ضبط إعدادات تقنيات الحماية من البرمجيات الضارة للقيام بعمليات التحقق من المحتوى المشبوه في مصادر معزولة مثل صندوق الفحص (Sandbox).

  • يجب القيام بعمليات مسح دورية لأجهزة المستخدمين والخوادم والتأكد من سلامتها من البرمجيات الضارة.

  • يجب تحديث تقنيات الحماية من البرمجيات الضارة تلقائياً عند توفر إصدارات جديدة من المورد، مع الأخذ بالاعتبار سياسة إدارة التحديثات والإصلاحات.

  • يجب توفير تقنيات حماية البريد الإلكتروني وتصفح الإنترنت من التهديدات المتقدمة المستمرة (APT Protection)، والتي تستخدم عادةً الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware)، وتطبيقها وإداراتها بشكل آمن.

  • يجب ضبط إعدادات تقنيات الحماية بالسماح لقائمة محددة فقط من ملفات التشغيل (Whitelisting) للتطبيقات والبرامج للعمل على الخوادم الخاصة بالأنظمة الحساسة (CSCC-2-3-1-1).

  • يجب حماية الخوادم الخاصة بالأنظمة الحساسة عن طريق تقنيات حماية الأجهزة الطرفية المعتمدة لدى الجامعة (End-point Protection) (CSCC-2-3-1-2).

  • يجب إعداد تقارير دورية حول حالة الحماية من البرمجيات الضارة يوضح فيها عدد الأجهزة والخوادم المرتبطة بتقنيات الحماية وحالتها (مثل: محدثة، أو غير محدثة، أو غير متصلة، إلخ)، ورفعها إلى الإدارة المعنية بالأمن السيبراني.

  • يجب إدارة تقنيات الحماية من البرمجيات الضارة مركزياً ومراقبتها باستمرار.

 

4- إعدادات الحاسب الآلي الخاصة بالمعامل :

  • يجب أن تكون جميع الأجهزة المتصلة بشبكة الجامعة منضمة إلى المجال الآمن، وعلى وجه الخصوص الأجهزة المزودة بنظام تشغيل معتمد من الجامعة.

  • يجب منح الحد الأدنى من صلاحيات المسؤول لفني الدعم المسؤولين عن المعامل.

  • يجب استضافة كافة الخوادم والبرامج المستخدمة في المعامل ضمن مركز بيانات الجامعة.

  • يجب أن تكون المنافذ المطلوبة لعمل برامج المحددة بين الخوادم والأجهزة مفتوحة بشكل آمن بما يتوافق مع سياسات الجامعة الأمنية.

 

5- اعتبارات تدقيق نظم المعلومات :

  • يجب تخطيط متطلبات وأنشطة التدقيق التي تغطي عمليات التحقق من أنظمة التشغيل بعناية وتنفيذها على فترات دورية (سنويًا على الأقل) بمعرفة مالكي أصول المعلومات لتقليل مخاطر تعطل سير العمل.

  • عندما تتطلب عمليات تدقيق النظام الوصول إلى النظام أو البيانات أو تتضمن استخدام أدوات برمجية وأدوات مساعدة، يجب إجراء عمليات التدقيق هذه بمعرفة وتعاون وموافقة مالكي أصل المعلومات ويجب اتخاذ الاحتياطات ذات الصلة لحماية المعلومات النظام والبيانات من التلف أو الأعطال نتيجة التدقيق أو أدوات التدقيق.

  • بشكل دوري (سنويًا على الأقل) يجب إجراء واحدة أو أكثر من عمليات تدقيق أمن المعلومات لأنظمة المعلومات بجامعة الملك سعود من خلال الاستعانة بشركة تدقيق خارجية مستقلة مؤهلة بشكل مناسب.

تاريخ آخر تحديث : مايو 21, 2024 10:58ص