أمن البرمجيات التطبيقية

إدارة دورة حياة أمن البرمجيات المطورة داخلياً أو المستضافة أو المكتسبة لمنع واكتشاف ومعالجة نقاط الضعف الأمنية قبل أن تؤثر على المؤسسة.

لماذا هذا الضابط مهم؟

غالباً ما تستغل الهجمات الثغرات الموجودة في البرمجيات القائمة على الويب وبرمجيات التطبيقات الأخرى. يمكن أن تنتج الثغرات عن أخطاء في البرمجة وأخطاء منطقية ومتطلبات غير مكتملة والفشل في اختبار الظروف غير العادية أو غير المتوقعة. يمكن للمهاجمين المتطورين العثور على هذه الثغرات واستغلالها. يشمل أمن التطبيقات تقنيات مثل متطلبات الأمان والتصميم الآمن والبرمجة الآمنة والنشر الآمن وفحص الثغرات وجدار حماية تطبيقات الويب.

قوالب السياسات ذات الصلة

سياسة دورة حياة تطوير البرمجيات الآمنة سياسة أمن التطبيقات

الإجراءات الوقائية (14)

المعرف	العنوان	الوظيفة	مجموعات التطبيق	عناصر التدقيق	الأدلة
16.1	إنشاء وصيانة عملية تطوير تطبيقات آمنة	حماية	IG2 IG3	2	1
16.2	إنشاء وصيانة عملية لقبول ومعالجة ثغرات البرمجيات	حماية	IG2 IG3	2	1
16.3	إجراء تحليل السبب الجذري للثغرات الأمنية	حماية	IG2 IG3	2	1
16.4	إنشاء وإدارة جرد مكونات برمجيات الأطراف الثالثة	حماية	IG2 IG3	2	1
16.5	استخدام مكونات برمجيات الأطراف الثالثة المحدثة والموثوقة	حماية	IG2 IG3	2	1
16.6	إنشاء وصيانة نظام وعملية تصنيف الخطورة لثغرات التطبيقات	حماية	IG2 IG3	2	1
16.7	استخدام قوالب تكوين التقوية المعيارية للبنية التحتية للتطبيقات	حماية	IG2 IG3	2	1
16.8	فصل أنظمة الإنتاج عن أنظمة غير الإنتاج	حماية	IG2 IG3	2	1
16.9	تدريب المطورين على مفاهيم أمان التطبيقات والبرمجة الآمنة	حماية	IG2 IG3	2	1
16.10	تطبيق مبادئ التصميم الآمن في هياكل التطبيقات	حماية	IG2 IG3	2	1
16.11	الاستفادة من الوحدات أو الخدمات المُدققة لمكونات أمان التطبيقات	حماية	IG2 IG3	2	1
16.12	تنفيذ فحوصات الأمان على مستوى الكود	حماية	IG3	2	1
16.13	إجراء اختبار اختراق التطبيقات	حماية	IG3	2	1
16.14	إجراء نمذجة التهديدات	حماية	IG3	2	1

تفاصيل التحقق من التدقيق

16.1 إنشاء وصيانة عملية تطوير تطبيقات آمنة

IG2 IG3

2 عنصر

إنشاء وصيانة عملية تطوير تطبيقات آمنة. في العملية، معالجة أشياء مثل: معايير التصميم الآمن ومعايير البرمجة الآمنة ومعالجة المطورين لانتهاكات الأمان ومراجعة الكود و/أو إدارة التغيير.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.2 إنشاء وصيانة عملية لقبول ومعالجة ثغرات البرمجيات

IG2 IG3

2 عنصر

إنشاء وصيانة عملية لقبول ومعالجة تقارير ثغرات البرمجيات، بما في ذلك توفير وسيلة للأطراف الخارجية للإبلاغ عنها.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.3 إجراء تحليل السبب الجذري للثغرات الأمنية

IG2 IG3

2 عنصر

إجراء تحليل السبب الجذري على الثغرات الأمنية. يجب أن يراعي تحليل السبب الجذري عند الإمكان عمليات التطوير المسببة وليس فقط الثغرة الفردية.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.4 إنشاء وإدارة جرد مكونات برمجيات الأطراف الثالثة

IG2 IG3

2 عنصر

إنشاء وإدارة جرد محدث لمكونات برمجيات الأطراف الثالثة المستخدمة ضمن بيئات التطوير في المؤسسة. تتضمن مكونات الأطراف الثالثة المكتبات والحزم والأطر وغيرها. مراجعة هذا الجرد للاطلاع على أي تحديثات معروفة أو ثغرات أمنية معروفة على أساس متكرر.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.5 استخدام مكونات برمجيات الأطراف الثالثة المحدثة والموثوقة

IG2 IG3

2 عنصر

استخدام مكونات برمجيات الأطراف الثالثة المحدثة والموثوقة. عند الإمكان، اختيار المكتبات والأطر المُعتمدة التي يتم صيانتها بشكل نشط. يجب إنشاء قائمة معتمدة من الأطر والمكتبات التي يُسمح باستخدامها في عمليات تطوير البرمجيات في المؤسسة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.6 إنشاء وصيانة نظام وعملية تصنيف الخطورة لثغرات التطبيقات

IG2 IG3

2 عنصر

إنشاء وصيانة نظام تصنيف الخطورة والعملية الخاصة بثغرات التطبيقات التي تسهل تحديد أولويات ترتيب معالجة الثغرات المكتشفة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.7 استخدام قوالب تكوين التقوية المعيارية للبنية التحتية للتطبيقات

IG2 IG3

2 عنصر

استخدام قوالب تكوين التقوية المعيارية للبنية التحتية للتطبيقات. تتضمن تطبيقات المثال خوادم البنية التحتية الأساسية مثل الشبكة وقاعدة البيانات والويب.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.8 فصل أنظمة الإنتاج عن أنظمة غير الإنتاج

IG2 IG3

2 عنصر

فصل أنظمة الإنتاج عن أنظمة غير الإنتاج.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.9 تدريب المطورين على مفاهيم أمان التطبيقات والبرمجة الآمنة

IG2 IG3

2 عنصر

تدريب المطورين على مفاهيم أمان التطبيقات وممارسات البرمجة الآمنة. يمكن أن يشمل التدريب تعليمًا عامًا لأمان التطبيقات وأفضل ممارسات البرمجة الآمنة والمواضيع الخاصة بالتقنية.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.10 تطبيق مبادئ التصميم الآمن في هياكل التطبيقات

IG2 IG3

2 عنصر

تطبيق مبادئ التصميم الآمن في هياكل التطبيقات. تتضمن مبادئ التصميم الآمن مفهوم الحد الأدنى من الامتيازات والعمق في الدفاع والفشل الآمن.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.11 الاستفادة من الوحدات أو الخدمات المُدققة لمكونات أمان التطبيقات

IG2 IG3

2 عنصر

الاستفادة من الوحدات أو الخدمات المُدققة لمكونات أمان التطبيقات مثل إدارة الهوية والتشفير والتدقيق والتسجيل.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.12 تنفيذ فحوصات الأمان على مستوى الكود

IG3

2 عنصر

تطبيق أدوات التحليل الثابت والديناميكي ضمن دورة حياة التطبيق للتحقق من اتباع ممارسات البرمجة الآمنة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.13 إجراء اختبار اختراق التطبيقات

IG3

2 عنصر

إجراء اختبار اختراق التطبيقات. بالنسبة للتطبيقات الحرجة، يجب إجراء اختبار الاختراق المصادق بالإضافة إلى الاختبار غير المصادق. إذا كان لا يمكن إجراء اختبار اختراق كامل، يمكن إجراء تحليل للثغرات لتحديد المخاطر المحتملة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

16.14 إجراء نمذجة التهديدات

IG3

2 عنصر

إجراء نمذجة التهديدات. نمذجة التهديدات هي عملية تحديد وفهم المخاطر الأمنية المحتملة وتأثيرها على التطبيق وكيفية التخفيف منها.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

الضابط 15 الضابط 17