سياسة الحماية من البرمجيات الضارة
الأهداف:
الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بحماية الأصول المعلوماتية والتقنية من البرمجيات الضارة في جامعة الملك سعود لتقليل المخاطر السيبرانية الناتجة عن التهديدات الداخلية والخارجية وذلك لتحقيق الأهداف الرئيسية للحماية وهي: سرية المعلومات، وسلامة أنظمة المعلومات، وتوافرها.
نطاق العمل وقابلية التطبيق:
تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية والأنظمة الحساسة مثل أجهزة المستخدمين والأجهزة المحمولة والخوادم الخاصة بـجامعة الملك سعود، وتنطبق على جميع العاملين في جامعة الملك سعود
بنود السياسة:
المتطلبات العامة:
- لحماية سلامة البرامج والمعلومات، يجب تحديد مستوى مناسب من الضوابط وتنفيذه لرصد الأكواد البرمجية الضارة ومنعها والتعافي منها.
- يجب اتخاذ جميع الإجراءات الممكنة والعملية لمنع إدخال الفيروسات والبرامج الضارة في أنظمة المعلومات الخاصة بجامعة الملك سعود.
- يجب تنفيذ نظام مكافحة الفيروسات المركزي على مختلف المستويات (أجهزة الحاسوب المكتبية، أجهزة الحاسوب المحمولة، بوابات البريد الإلكتروني في الشبكة المحيطة) في البنية التحتية للشبكة والنظام كجزءٍ من نهجي طبقات (منهجيه طبقيه) للحد من دخول الشفرة البرمجية الضارة / البرمجيات الخبيثة إلى بيئة جامعة الملك سعود.
- يجب تثبيت برنامج مكافحة الفيروسات القياسي في جامعة الملك سعود على كافة أجهزة الحاسوب المكتبية وأجهزة الحاسوب المحمولة والخوادم قبل السماح لهم بالوصول إلى شبكات جامعة الملك سعود.
- يجب فحص أجهزة UNIX للتحقق من المجموعات الرئيسية (root kits).
- يجب على جامعة الملك سعود استخدام برنامج مكافحة الفيروسات بحيث لا يمكن تعطيله أو تغيير إعداداته.
- يجب اتخاذ الحماية الإجرائية اللازمة للحماية من إدخال شفرة برمجية خبيثة أثناء إجراءات الصيانة والطوارئ، والتي قد تتجاوز ضوابط الحماية من الشفرة البرمجية الخبيثة والبرمجيات الضارة المعتادة.
- يجب تحديث برامج مكافحة الفيروسات والتوقيعات المكافحة للفيروسات تلقائيًا على أساس منتظم.
- يجب على فريق مكافحة الفيروسات المراجعة والتأكد من تمكين برامج مكافحة الفيروسات المحدثة ومعها أحدث التوقيعات على جميع أجهزة الحاسب المكتبية وأجهزة الحاسب المحمولة والخوادم.
- يجب على جامعة الملك سعود استخدام برامج مكافحة الفيروسات لإجراء المسح في الوقت الفعلي لجميع الملفات عند فتحها، مما يضمن رصد أي برامج ضارة قبل تفعيلها.
- يجب على جامعة الملك سعود استخدام برامج مكافحة الفيروسات على بوابات البريد الإلكتروني لمسح جميع مرفقات البريد الإلكتروني الواردة ويتم فيه مسح النص ومرفقات البريد الإلكتروني الذي يحتوي على شفرة برمجية خبيثة / برمجيات ضارة، وإرسال إشعار بالبريد الإلكتروني إلى المستلم.
- يجب على جامعة الملك سعود استخدام برامج مكافحة الفيروسات على بوابة الإنترنت / موزع اتصالات الإنترنت لمسح حركة المرور الواردة والصادرة مما يمنع المستخدمين من تنزيل/ تحميل أي محتوى ضار.
- يجب على جامعة الملك سعود استخدام برامج مكافحة الفيروسات للقيام بمسح في الوقت الفعلي لأي وسائط قابلة للإزالة يتم الوصول إليها (على سبيل المثال الأقراص المرنة والأقراص المدمجة وأقراص الفيديو الرقمية وال USB والأقراص الصلبة المحمولة). وسوف يضمن هذا رصد أي برامج ضارة قبل تفعيلها أو انتقالها إلى النظام.
- يجب على جامعة الملك سعود استخدام برامج مكافحة الفيروسات وعزل الملفات المصابة بالفيروسات إذا لم تتمكن من إزالة هذه الفيروسات.
- يجب جدولة برامج مكافحة الفيروسات لتشغيل عمليات المسح مرة كل أسبوع على الأقل، ويفضل القيام بذلك أثناء الساعات خارج الذروة.
- يجب الإبلاغ عن أي محاولة فاشلة للتخلص من الفيروسات وفق سياسة إدارة الحوادث.
- يجب على فريق مكافحة الفيروسات إجراء تحليل السبب الرئيسي واتخاذ الخطوات اللازمة لاحتواء والتخلص من الفيروس.
- يجب على فريق مكافحة الفيروسات اتباع سياسة إدارة حوادث الأمن السيبراني والالتزام بإجراءاتها أثناء العملية.
- يجب إجراء عمليات مسح الفيروسات لجميع مكونات البنية التحتية لنظم المعلومات للكشف عن أي حالات أخرى من الإصابة.
- قد تشتمل الشفرة البرمجية المحمولة، على سبيل المثال لا الحصر (Java، ActiveX) على شفرة برمجية خبيثة / برمجيات ضارة؛ وبالتالي يجب تفعيل التدابير التقنية المناسبة لضمان إدارتها.
- يجب على جامعة الملك سعود تطبيق الضوابط المناسبة لمنع نقل الشفرة البرمجية الخبيثة/ البرمجيات الضارة والمحمولة إلى المستخدمين المتصلين بالبنية التحتية لشبكة جامعة الملك سعود.
- عند استخدام الشفرة البرمجية المحمولة المعتمدة، يجب على إدارة التقنيات الرقمية التأكد من عمل الشفرة البرمجية المحمولة وفقًا للإجراءات المناسبة كما يجب منع تنفيذ أي شفرة برمجية محمولة غير معتمدة.
- يجب على فريق مكافحة الفيروسات مراجعة سجلات برامج مكافحة الفيروسات سنويا للتحقق من أي نمط/اتجاه للإصابة بالفيروس، وضمان التشغيل العادي.
- يجب تأمين خوادم مكافحة الفيروسات وفقًا للوثائق الأساسية الأمنية المطبقة وفقاُ لإجراء إدارة مكافحة الفيروسات.
- يجب إجراء النسخ الاحتياطي لخوادم مكافحة الفيروسات بشكل سنوي وفقًا لإجراء إدارة مكافحة الفيروسات وإجراء النسخ الاحتياطي والاستعادة.
- يجب على فريق مكافحة الفيروسات مراقبة أداء خادم مكافحة الفيروسات بشكل دائم.
إعدادات تقنيات وآليات الحماية من البرمجيات الضارة:
- يجب ضبط إعدادات تقنيات الحماية وآلياتها وفقًا للمعايير التقنية الأمنية المعتمدة لدى جامعة الملك سعود، مع الأخذ بالاعتبار إرشادات المورد وتوصياته.
- يجب ضبط إعدادات برامج مكافحة الفيروسات على خوادم البريد الإلكتروني لفحص جميع رسائل البريد الإلكتروني الواردة والصادرة.
- يجب ضبط إعدادات برامج مكافحة الفيروسات على خوادم البريد الإلكتروني لتقييد استقبال أو إرسال مرفقات البريد الإلكتروني وفقًا لنوع الملف، ولمحتوى الملف.
- يجب تحديث برامج مكافحة الفيروسات سنويا وفقًا لسياسة إدارة حزم التحديثات والإصلاحات المعتمدة لدى جامعة الملك سعود.
- يجب أن يكون التحديث أحد متطلبات عمل الأجهزة الطرفية.
- يجب ضمان توافر خوادم برامج الحماية من البرمجيات الضارة، كما يجب أن تكون برامج الحماية من البرمجيات الضارة متوافقة مع البيئة الاحتياطية المخصصة للمهام والأعمال غير الحساسة.
- يجب تصفية رسائل البريد الإلكتروني (Filtering) وذلك باستخدام تقنيات الحماية الحديثة.
- يجب منع الوصول إلى المواقع الإلكترونية والمصادر الأخرى على الإنترنت المعروفة باستضافتها لبرمجيات ضارة وذلك باستخدام آلية تصفية محتوى الويب (Web Content Filtering).
- يجب مزامنة التوقيت (Clock Synchronization) مركزيًا ومن مصدر دقيق وموثوق لجميع تقنيات وآليات الحماية من البرمجيات الضارة.
- يجب ضبط إعدادات تقنيات الحماية من البرمجيات الضارة للقيام بعمليات التحقق من المحتوى المشبوه في مصادر معزولة مثل صندوق الفحص (Sandbox).
- يجب القيام بعمليات مسح سنوية لأجهزة المستخدمين والخوادم والتأكد من سلامتها من البرمجيات الضارة.
- يجب إجراء عمليات المسح لوسائط التخزين في بيئة مخصصة لهذا الغرض قبل استخدامها من خارج جامعة الملك سعود أو استخدام وسائط التخزين الخاصة بجامعة الملك سعود على أنظمة لا تتبع لجامعة الملك سعود أو باستخدام خدمة فحص الملفات والروابط، ضمن البوابة الوطنية لخدمات الأمن السيبراني "حصين".
- يجب تقييد استخدام وسائط التخزين الخارجية في بيئة الإنتاج، مالم يتم تطوير آليات آمنة وتطبيقها لنقل البيانات لبيئة الانتاج.
- يجب تقييد استخدام تقنيات وسائط التخزين القابلة للإزالة وأخذ الموافقات اللازمة للاستخدام.
- يجب التقييد والتقسيم والفصل المادي والمنطقي عند ربط أنظمة أو أجهزة جامعة الملك سعود مع شبكات خارجية، مثل: الإنترنت أو الدخول عن بعد أو الاتصال اللاسلكي.
- يجب تحديث تقنيات الحماية من البرمجيات الضارة تلقائيًا عند توفر إصدارات جديدة من المورد، مع الأخذ بالاعتبار سياسة إدارة التحديثات والإصلاحات.
- يجب توفير تقنيات حماية البريد الإلكتروني وتصفح الإنترنت من التهديدات المتقدمة المستمرة (APT Protection)، والتي تستخدم عادةً الفيروسات والبرمجيات الضارة غير المعروفة مسبقًا (Zero-Day Malware)، وتطبيقها وإداراتها بشكل آمن.
- يجب توفير تقنيات لاكتشاف الأوامر المنفذة (Command Execution) وفحصها.
- يجب توفير تقنيات لاكتشاف وفحص جلسات الاتصالات الحديثة (New Communication Sessions).
- يجب ضبط إعدادات تقنيات الحماية بالسماح لقائمة محددة فقط (Whitelisting) من ملفات التشغيل للتطبيقات والبرامج للعمل على الخوادم وجميع الأجهزة (بما فيها الخوادم والنهايات الطرفية) الخاصة بجميع الأنظمة.
- يجب حماية جميع أجهزة المستخدمين والخوادم عن طريق تقنيات حماية الأجهزة الطرفية (End-point Protection) المعتمدة لدى جامعة الملك سعود.
- يجب إعداد تقارير سنوية حول حالة الحماية من البرمجيات الضارة يوضح فيها عدد الأجهزة والخوادم المرتبطة بتقنيات الحماية وحالتها (مثل: محدثة، أو غير محدثة، أو غير متصلة، إلخ)، ورفعها إلى رئيس إدارة الأمن السيبراني بجامعة الملك سعود.
تنفيذ السياسة والالتزام بها:
- يُعد الالتزام بهذه السياسات إلزاميًا، ويجب على مديري إدارات جامعة الملك سعود التأكد من الالتزام المستمر لتلك السياسات داخل إداراتهم. يخضع الالتزام لبيانات هذه السياسات لمراجعة سنوية.
- يُعد انتهاك هذه السياسات بمثابة مخالفة أمنية تعطي جامعة الملك سعود الحق في اتخاذ الاجراءات التأديبية والقانونية اللازمة والتي قد تصل إلى إنهاء الخدمة أو علاقة العمل.
معيار الاستثناءات:
- الغرض من هذه السياسات هو تلبية متطلبات الأمن السيبراني. لذا فعند الحاجة، يجب تقديم الاستثناءات المتعلقة بهذه السياسة رسميًا إلى اللجنة الاشرافية للأمن السيبراني، مع إدراج السبب وراء هذه الاستثناءات والمزايا المترتبة عليها.
- تبلغ فترة الاستثناءات المتعلقة بهذه عن السياسة 4 أشهر كحد أقصى، ويجب إعادة تقييمها والموافقة عليها، إذا لزم الأمر، لمدة أقصاها ثلاث فترات متتالية. لا يجوز تقديم الاستثناءات لأكثر من ثلاث فترات متتالية.
مراجع إطار جامعة الملك سعود للأمن السيبراني:
الضوابط الأساسية للأمن السيبراني.