سياسة الجدار الناري

Control 4

الإجراءات الوقائية المعنية: 4.4 4.5 4.6

1. الغرض

وضع متطلبات لتكوين وإدارة ضوابط الجدار الناري لحماية البنية التحتية لشبكة [ORGANIZATION] وأصولها.

2. النطاق

تنطبق هذه السياسة على جميع الجدران النارية للشبكة (المادية والبرمجية) والجدران النارية المستندة إلى المضيف ومجموعات الأمان السحابية وقوائم التحكم في الوصول إلى الشبكة المُدارة من قبل [ORGANIZATION].

3. السياسة

3.1 تكوين الجدار الناري

3.1.1

يجب تكوين جميع الجدران النارية بسياسة الرفض الافتراضي، مع السماح فقط بحركة المرور المصرح بها صراحةً.

3.1.2

يجب أن تحدد قواعد الجدار الناري: عنوان/شبكة المصدر، وعنوان/شبكة الوجهة، والمنفذ/البروتوكول، والاتجاه (وارد/صادر)، والإجراء (سماح/رفض)، والمبرر التجاري، ومالك القاعدة، وتاريخ المراجعة.

3.1.3

تُحظر قواعد السماح المفتوحة (أي-أي-سماح). يجب أن تكون جميع القواعد محددة قدر الإمكان.

3.1.4

يجب تفعيل وتكوين الجدران النارية المستندة إلى المضيف على جميع أصول المؤسسة، بما في ذلك الخوادم وأجهزة المستخدم النهائي.

3.2 إدارة قواعد الجدار الناري

3.2.1

يجب أن تتبع جميع تغييرات قواعد الجدار الناري عملية إدارة التغيير الخاصة بـ [ORGANIZATION] وتتطلب موافقة من [CUSTOMIZE: Network Security Team/CISO].

3.2.2

يجب مراجعة قواعد الجدار الناري على الأقل [CUSTOMIZE: quarterly/bi-annually] لتحديد وإزالة القواعد التي لم تعد مطلوبة.

3.2.3

يجب أن تتضمن قواعد الجدار الناري المؤقتة تاريخ انتهاء لا يتجاوز [CUSTOMIZE: 30/90] يوماً ويجب تعطيلها تلقائياً أو إزالتها يدوياً عند انتهاء الصلاحية.

3.2.4

يجب تفعيل سجلات الجدار الناري لجميع حركة المرور المرفوضة ولحركة المرور المسموح بها إلى شرائح الشبكة الحساسة، مع إعادة توجيه السجلات إلى نظام التسجيل المركزي لـ [ORGANIZATION].

3.3 تقسيم الشبكة

3.3.1

يجب أن تُنفذ الجدران النارية تقسيم الشبكة بين: بيئات الإنتاج وغير الإنتاج، وشبكات المستخدمين وشبكات الخوادم، والمنطقة منزوعة السلاح والشبكات الداخلية، ومناطق بيانات PCI/المنظمة والشبكات العامة، وشبكات الضيوف/الزوار والشبكات المؤسسية.

3.3.2

يجب تصفية حركة المرور بين شرائح الشبكة للسماح فقط بالاتصالات التجارية المطلوبة.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية