التكوين الآمن لأصول المؤسسة والبرمجيات

إنشاء وصيانة التكوين الآمن لأصول المؤسسة (أجهزة المستخدمين النهائيين بما في ذلك الأجهزة المحمولة والنقالة، وأجهزة الشبكة، والأجهزة غير الحاسوبية/IoT، والخوادم) والبرمجيات (أنظمة التشغيل والتطبيقات).

لماذا هذا الضابط مهم؟

كما يتم تسليمها من المصنعين والموزعين، عادةً ما تكون التكوينات الافتراضية لأصول المؤسسة والبرمجيات موجهة نحو سهولة النشر وسهولة الاستخدام بدلاً من الأمان القوي. يمكن استغلال الضوابط الأساسية والخدمات والمنافذ المفتوحة والحسابات أو كلمات المرور الافتراضية وإعدادات نظام أسماء النطاقات (DNS) المُعدة مسبقاً والبروتوكولات القديمة (الضعيفة) والبرمجيات غير الضرورية المثبتة مسبقاً في حالتها الافتراضية. يُعد تطوير إعدادات التكوين ذات خصائص أمنية جيدة مهمة معقدة تفوق قدرة المستخدمين الأفراد، وتتطلب تحليل مئات أو آلاف الخيارات لاتخاذ قرارات صحيحة. حتى لو تم تطوير وتثبيت تكوين أولي قوي، يجب إدارته باستمرار لتجنب 'تراجع' الأمان مع تحديث البرمجيات أو تصحيحها والإبلاغ عن ثغرات أمنية جديدة و'تعديل' التكوينات للسماح بتثبيت برمجيات جديدة أو لدعم متطلبات تشغيلية جديدة.

قوالب السياسات ذات الصلة

سياسة إدارة التكوين الآمن سياسة إدارة الأجهزة المحمولة سياسة الجدار الناري

الإجراءات الوقائية (12)

المعرف	العنوان	الوظيفة	مجموعات التطبيق	عناصر التدقيق	الأدلة
4.1	إنشاء وصيانة عملية التكوين الآمن	حماية	IG1 IG2 IG3	2	1
4.2	إنشاء وصيانة عملية التكوين الآمن للبنية التحتية للشبكة	حماية	IG1 IG2 IG3	2	1
4.3	تكوين قفل الجلسة التلقائي على أصول المؤسسة	حماية	IG1 IG2 IG3	2	1
4.4	تنفيذ وإدارة جدار حماية على الخوادم	حماية	IG1 IG2 IG3	2	1
4.5	تنفيذ وإدارة جدار حماية على أجهزة المستخدم النهائي	حماية	IG1 IG2 IG3	2	1
4.6	الإدارة الآمنة لأصول المؤسسة والبرمجيات	حماية	IG1 IG2 IG3	2	1
4.7	إدارة الحسابات الافتراضية على أصول المؤسسة والبرمجيات	حماية	IG1 IG2 IG3	2	1
4.8	إلغاء تثبيت أو تعطيل الخدمات غير الضرورية على أصول المؤسسة والبرمجيات	حماية	IG2 IG3	2	1
4.9	تكوين خوادم DNS موثوقة على أصول المؤسسة	حماية	IG2 IG3	3	2
4.10	فرض قفل الجهاز التلقائي على أجهزة المستخدم النهائي المحمولة	استجابة	IG2 IG3	2	1
4.11	فرض قدرة المسح عن بُعد على أجهزة المستخدم النهائي المحمولة	حماية	IG2 IG3	2	1
4.12	فصل مساحات عمل المؤسسة على أجهزة المستخدم النهائي المحمولة	حماية	IG3	2	1

تفاصيل التحقق من التدقيق

4.1 إنشاء وصيانة عملية التكوين الآمن

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية التكوين الآمن لأصول المؤسسة (أجهزة المستخدم النهائي بما في ذلك المحمولة والمتنقلة والأجهزة غير الحاسوبية/إنترنت الأشياء والخوادم) والبرمجيات (أنظمة التشغيل والتطبيقات). مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.2 إنشاء وصيانة عملية التكوين الآمن للبنية التحتية للشبكة

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية (عمليات) التكوين الآمن لأجهزة البنية التحتية للشبكة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.3 تكوين قفل الجلسة التلقائي على أصول المؤسسة

IG1 IG2 IG3

2 عنصر

تكوين قفل الجلسة التلقائي على أصول المؤسسة بعد فترة محددة من عدم النشاط. بالنسبة لأنظمة التشغيل العامة، يجب ألا تتجاوز الفترة 15 دقيقة. بالنسبة لأنظمة التشغيل المحمولة للمستخدم النهائي، يجب ألا تتجاوز الفترة دقيقتين.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.4 تنفيذ وإدارة جدار حماية على الخوادم

IG1 IG2 IG3

2 عنصر

تنفيذ وإدارة جدار حماية على الخوادم حيثما كان ذلك مدعومًا. تتضمن تطبيقات المثال جدار حماية افتراضي أو جدار حماية لنظام التشغيل أو عميل جدار حماية تابع لطرف ثالث.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.5 تنفيذ وإدارة جدار حماية على أجهزة المستخدم النهائي

IG1 IG2 IG3

2 عنصر

تنفيذ وإدارة جدار حماية مبني على المضيف أو أداة تصفية المنافذ على أجهزة المستخدم النهائي مع مجموعة قواعد افتراضية ترفض جميع الاتصالات باستثناء تلك الخدمات والمنافذ المسموح بها صراحة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.6 الإدارة الآمنة لأصول المؤسسة والبرمجيات

IG1 IG2 IG3

2 عنصر

الإدارة الآمنة لأصول المؤسسة والبرمجيات. تتضمن تطبيقات المثال إدارة التكوين من خلال البنية التحتية المُدارة كرمز والوصول إلى الواجهات الإدارية عبر بروتوكولات الشبكة الآمنة مثل SSH و HTTPS. لا تستخدم بروتوكولات الإدارة غير الآمنة مثل Telnet و HTTP لإدارة أصول المؤسسة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.7 إدارة الحسابات الافتراضية على أصول المؤسسة والبرمجيات

IG1 IG2 IG3

2 عنصر

إدارة الحسابات الافتراضية على أصول المؤسسة والبرمجيات مثل الجذر والمسؤول وحسابات المورد الافتراضية المكونة مسبقًا. تتضمن تطبيقات المثال تعطيل الحسابات الافتراضية أو جعلها غير قابلة للاستخدام.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.8 إلغاء تثبيت أو تعطيل الخدمات غير الضرورية على أصول المؤسسة والبرمجيات

IG2 IG3

2 عنصر

إلغاء تثبيت أو تعطيل الخدمات غير الضرورية على أصول المؤسسة والبرمجيات مثل خدمة FTP غير المستخدمة أو خادم ويب أو وحدة تحكم إدارة المطور.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.9 تكوين خوادم DNS موثوقة على أصول المؤسسة

IG2 IG3

3 عنصر

تكوين خوادم DNS موثوقة على أصول المؤسسة. تتضمن تطبيقات المثال تكوين الأصول لاستخدام خوادم DNS التي تتحكم فيها المؤسسة و/أو خوادم DNS موثوقة يمكن الوصول إليها خارجيًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

تقني

تصفية DNS نشطة وتحظر النطاقات الخبيثة المعروفة.

تهيئة تصفية DNS، إحصائيات الحظر

النوع	عنصر الدليل	التكرار
تقني	تهيئة تصفية DNS وإحصائيات الحظر	شهرياً
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.10 فرض قفل الجهاز التلقائي على أجهزة المستخدم النهائي المحمولة

IG2 IG3

2 عنصر

فرض قفل الجهاز التلقائي بعد عدد محدد مسبقًا من محاولات المصادقة الفاشلة على أجهزة المستخدم النهائي المحمولة حيثما كان ذلك مدعومًا. بالنسبة لأجهزة الكمبيوتر المحمولة، لا تسمح بأكثر من 20 محاولة فاشلة؛ وبالنسبة للأجهزة اللوحية والهواتف الذكية، لا أكثر من 10 محاولات فاشلة. تتضمن تطبيقات المثال تكوين Microsoft InTune Device Lock وأقصى عدد لمحاولات Apple iOS الفاشلة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.11 فرض قدرة المسح عن بُعد على أجهزة المستخدم النهائي المحمولة

IG2 IG3

2 عنصر

فرض قدرة المسح عن بُعد على أجهزة المستخدم النهائي المحمولة. مسح الأجهزة يمكن أن يتم عن بُعد أو محليًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

4.12 فصل مساحات عمل المؤسسة على أجهزة المستخدم النهائي المحمولة

IG3

2 عنصر

ضمان وجود فصل على مستوى المؤسسة بين مساحات عمل المؤسسة وتطبيقاتها ومساحات عمل المستخدم الشخصية وتطبيقاته على أجهزة المستخدم النهائي المحمولة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

الضابط 3 الضابط 5