إدارة الحسابات
استخدام العمليات والأدوات لتعيين وإدارة التفويض لبيانات اعتماد حسابات المستخدمين، بما في ذلك حسابات المسؤولين وحسابات الخدمة، على أصول المؤسسة والبرمجيات.
لماذا هذا الضابط مهم؟
من الأسهل على جهة التهديد الخارجية أو الداخلية الحصول على وصول غير مصرح به إلى أصول المؤسسة أو بياناتها من خلال استخدام بيانات اعتماد مستخدم صالحة بدلاً من 'اختراق' البيئة. هناك طرق عديدة للحصول سراً على الوصول إلى حسابات المستخدمين، بما في ذلك: كلمات المرور الضعيفة، والحسابات التي تظل صالحة بعد مغادرة المستخدم للمؤسسة، وحسابات الاختبار الخاملة أو المتبقية، والحسابات المشتركة التي لم يتم تغييرها لأشهر أو سنوات، وحسابات الخدمة المضمنة في التطبيقات للنصوص البرمجية، واستخدام المستخدم لنفس كلمة المرور المستخدمة في حساب عبر الإنترنت تم اختراقه (في خرق عام)، والهندسة الاجتماعية للمستخدم للحصول على كلمة مروره، أو استخدام هجمات القوة الغاشمة لتخمين كلمة المرور. تُعد الحسابات الإدارية أو ذات الامتيازات العالية هدفاً رئيسياً، لأنها تسمح للمهاجمين بإضافة حسابات وتغيير التكوينات وقراءة وتعديل البيانات المخزنة وانتحال هوية المستخدمين العاديين وسرقة البيانات.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (6)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 5.1 | إنشاء وصيانة جرد الحسابات | تحديد |
IG1
IG2
IG3
|
2 | 1 |
| 5.2 | استخدام كلمات مرور فريدة | حماية |
IG1
IG2
IG3
|
4 | 2 |
| 5.3 | تعطيل الحسابات الخاملة | استجابة |
IG1
IG2
IG3
|
2 | 1 |
| 5.4 | تقييد امتيازات المسؤول على حسابات المسؤولين المخصصة | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 5.5 | إنشاء وصيانة جرد حسابات الخدمة | تحديد |
IG2
IG3
|
2 | 1 |
| 5.6 | مركزة إدارة الحسابات | حماية |
IG2
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة جرد لجميع الحسابات المُدارة في المؤسسة. يجب أن يتضمن الجرد حسابات المستخدمين والمسؤولين. يجب التحقق من الجرد كحد أدنى على أساس ربع سنوي لضمان دقته.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام كلمات مرور فريدة لجميع أصول المؤسسة. أفضل الممارسات هي أن يكون طول كلمة المرور 8 أحرف على الأقل للحسابات التي تستخدم MFA و14 حرفًا على الأقل للحسابات التي لا تستخدم MFA.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
يتم فرض المصادقة متعددة العوامل على جميع الأنظمة والحسابات ضمن النطاق.
تقارير حالة تسجيل MFA، تهيئة سياسة الوصول المشروط
يتم توثيق استثناءات MFA والموافقة عليها مع وجود ضوابط تعويضية.
سجلات الاستثناء مع توثيق الضوابط التعويضية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
حذف أو تعطيل أي حسابات خاملة بعد فترة عدم نشاط تبلغ 45 يومًا حيثما كان ذلك مدعومًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تقييد امتيازات المسؤول على حسابات المسؤولين المخصصة على أصول المؤسسة. إجراء الأنشطة الحوسبية العامة مثل تصفح الإنترنت والبريد الإلكتروني واستخدام مجموعة الإنتاجية من الحساب الأساسي غير ذي الامتيازات للمستخدم.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إنشاء وصيانة جرد لجميع حسابات الخدمة عبر المؤسسة. يجب أن يسرد الجرد كحد أدنى مالك القسم وتاريخ المراجعة والغرض. إجراء مراجعات حسابات الخدمة لتأكيد أن كل حساب لا يزال مطلوبًا على أساس متكرر على الأقل بشكل ربع سنوي.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
مركزة إدارة الحسابات من خلال خدمة دليل أو خدمة هوية.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |