حماية البريد الإلكتروني ومتصفح الويب
تحسين الحماية والكشف عن التهديدات من نواقل البريد الإلكتروني والويب، حيث تُعد هذه فرصاً للمهاجمين للتلاعب بالسلوك البشري من خلال التفاعل المباشر.
لماذا هذا الضابط مهم؟
تُعد متصفحات الويب وعملاء البريد الإلكتروني نقاط دخول شائعة جداً للمهاجمين بسبب تفاعلها المباشر مع المستخدمين داخل المؤسسة. يمكن صياغة المحتوى لإغراء المستخدمين أو خداعهم للكشف عن بيانات الاعتماد أو تقديم بيانات حساسة أو توفير قناة مفتوحة تسمح للمهاجمين بالحصول على الوصول، مما يزيد من المخاطر على المؤسسة. نظراً لأن البريد الإلكتروني والويب هما الوسيلتان الرئيسيتان اللتان يتفاعل بهما المستخدمون مع المستخدمين والبيئات الخارجية غير الموثوقة، فإنهما هدفان رئيسيان لكل من الشيفرات الخبيثة والهندسة الاجتماعية.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (7)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 9.1 | ضمان استخدام متصفحات وعملاء بريد إلكتروني مدعومة بالكامل فقط | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 9.2 | استخدام خدمات تصفية DNS | حماية |
IG1
IG2
IG3
|
3 | 2 |
| 9.3 | صيانة وفرض مرشحات URL القائمة على الشبكة | حماية |
IG2
IG3
|
2 | 1 |
| 9.4 | تقييد إضافات المتصفح وعميل البريد الإلكتروني غير الضرورية أو غير المصرح بها | حماية |
IG2
IG3
|
2 | 1 |
| 9.5 | تطبيق DMARC | حماية |
IG2
IG3
|
2 | 1 |
| 9.6 | حظر أنواع الملفات غير الضرورية | حماية |
IG2
IG3
|
2 | 1 |
| 9.7 | نشر وصيانة حماية مكافحة البرمجيات الخبيثة لخادم البريد الإلكتروني | حماية |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
ضمان استخدام متصفحات ويب وعملاء بريد إلكتروني مدعومة بالكامل من المورد فقط كمتصفحات وعملاء بريد إلكتروني على المؤسسة باستخدام أحدث إصدار من المتصفحات وعملاء البريد الإلكتروني المتاحة من المورد.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام خدمات تصفية DNS على جميع أصول المؤسسة لحظر الوصول إلى النطاقات الخبيثة المعروفة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
تصفية DNS نشطة وتحظر النطاقات الخبيثة المعروفة.
تهيئة تصفية DNS، إحصائيات الحظر
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | تهيئة تصفية DNS وإحصائيات الحظر | شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
فرض وتحديث مرشحات URL القائمة على الشبكة لتقييد أصول المؤسسة من الاتصال بمواقع ويب غير موثوقة أو غير معتمدة محتملة. تتضمن تطبيقات المثال تصفية القائم على الفئة وتصفية القائم على السمعة أو من خلال استخدام قوائم الحظر. فرض المرشحات على جميع أصول المؤسسة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تقييد إضافات المتصفح وعميل البريد الإلكتروني غير المصرح بها أو غير المُدارة باستثناء ما هو مسموح به. لا تسمح إلا بالإضافات والإضافات المصرح بها.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تطبيق DMARC لضمان عدم تسليم رسائل البريد الإلكتروني المزورة. تنفيذ تطبيق DMARC عن طريق تحديد سياسة DMARC لضمان عدم تسليم رسائل البريد الإلكتروني المزورة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
حظر أنواع الملفات غير الضرورية التي تحاول دخول بوابة البريد الإلكتروني للمؤسسة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
نشر وصيانة حماية مكافحة البرمجيات الخبيثة لخادم البريد الإلكتروني مثل تصفية المرفقات ونص رسائل عدم المسؤولية التلقائية.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |