جرد أصول البرمجيات والتحكم فيها
إدارة جميع البرمجيات (أنظمة التشغيل والتطبيقات) على الشبكة بشكل فعّال (الجرد والتتبع والتصحيح) بحيث يتم تثبيت البرمجيات المصرح بها فقط ويمكنها العمل، ويتم اكتشاف البرمجيات غير المصرح بها وغير المُدارة ومنع تثبيتها أو تنفيذها.
لماذا هذا الضابط مهم؟
يُعد الجرد الشامل للبرمجيات أساساً حاسماً لمنع الهجمات. يقوم المهاجمون بفحص المؤسسات المستهدفة باستمرار بحثاً عن إصدارات برمجيات ضعيفة يمكن استغلالها عن بُعد. على سبيل المثال، إذا فتح مستخدم موقعاً إلكترونياً أو مرفقاً خبيثاً باستخدام متصفح ضعيف، يمكن للمهاجم في كثير من الأحيان تثبيت برامج خلفية وروبوتات تمنحه تحكماً طويل الأمد في النظام. كما يمكن للمهاجمين استخدام هذا الوصول للتحرك أفقياً عبر الشبكة. يُعد تحديث البرمجيات وتصحيحها أحد الدفاعات الرئيسية ضد هذه الهجمات. ومع ذلك، بدون جرد شامل لأصول البرمجيات، لا تستطيع المؤسسة تحديد ما إذا كانت تمتلك برمجيات ضعيفة أو ما إذا كانت هناك انتهاكات محتملة للتراخيص.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (7)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 2.1 | إنشاء وصيانة جرد البرمجيات | تحديد |
IG1
IG2
IG3
|
2 | 1 |
| 2.2 | ضمان أن البرمجيات المصرح بها مدعومة حاليًا | تحديد |
IG1
IG2
IG3
|
2 | 1 |
| 2.3 | معالجة البرمجيات غير المصرح بها | استجابة |
IG1
IG2
IG3
|
2 | 1 |
| 2.4 | استخدام أدوات جرد البرمجيات الآلية | كشف |
IG2
IG3
|
2 | 1 |
| 2.5 | إدراج البرمجيات المصرح بها في القائمة المسموحة | حماية |
IG2
IG3
|
2 | 1 |
| 2.6 | إدراج المكتبات المصرح بها في القائمة المسموحة | حماية |
IG2
IG3
|
2 | 1 |
| 2.7 | إدراج السكريبتات المصرح بها في القائمة المسموحة | حماية |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة جرد تفصيلي لجميع البرمجيات المرخصة المثبتة على أصول المؤسسة. يجب أن يوثق جرد البرمجيات العنوان والناشر وتاريخ التثبيت/الاستخدام الأولي والغرض التجاري لكل إدخال؛ وعند الاقتضاء، يتضمن معرف المورد الموحد، ومتجر التطبيقات، والإصدار(الإصدارات)، وآلية النشر، وتاريخ إيقاف التشغيل.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
ضمان أن البرمجيات المصرح بها فقط مدعومة حاليًا من قبل المورد. البرمجيات غير المدعومة يجب وسمها كغير مدعومة في جرد البرمجيات. مراجعة جرد البرمجيات لدعم المورد مرتين سنويًا على الأقل أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
ضمان اتخاذ إجراءات بشأن البرمجيات غير المصرح بها الموجودة على أصول المؤسسة أسبوعيًا. يمكن أن يشمل الإجراء إلغاء تثبيت البرمجيات من الأصل، أو عزل الأصل، أو وضع استثناء للحالات التجارية الموثقة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام أدوات جرد البرمجيات الآلية في جميع أنحاء المؤسسة. عند الإمكان، استخدام تقنية الفحص النشط والسلبي في أصول الشبكة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام ضوابط تقنية مثل القوائم المسموحة للتطبيقات لضمان تشغيل البرمجيات المصرح بها فقط. إعادة تقييم القائمة المسموحة كل ستة أشهر أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام ضوابط تقنية لضمان تحميل المكتبات المصرح بها فقط، مثل ملفات dll. و.ocx و.so. منع تحميل المكتبات غير المصرح بها في عمليات النظام.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام ضوابط تقنية مثل التوقيعات الرقمية وتحكم الإصدارات لضمان تنفيذ السكريبتات المصرح بها فقط. منع تنفيذ السكريبتات غير المصرح بها.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |