سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية المعنية: 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12

1. الغرض

وضع متطلبات لجمع وإدارة وحماية ومراجعة سجلات التدقيق لدعم المراقبة الأمنية واكتشاف الحوادث والتحقيق الجنائي في [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع أنظمة المعلومات والتطبيقات وأجهزة الشبكة والخدمات التي تُنشئ بيانات سجلات التدقيق ضمن بيئة [ORGANIZATION].

3. السياسة

3.1 متطلبات جمع السجلات

3.1.1

يجب تفعيل تسجيل التدقيق على جميع أصول المؤسسة ويجب أن يلتقط كحد أدنى: أحداث المصادقة (النجاح والفشل) وتغييرات التصريح وبدء تشغيل/إيقاف الأنظمة والتطبيقات والإجراءات الإدارية والوصول إلى البيانات السرية والمقيدة وتغييرات التكوين ذات الصلة بالأمان.

3.1.2

يجب أن تتضمن إدخالات السجل: الطابع الزمني (متزامن مع مصدر زمني موثوق) ونظام المصدر ونوع الحدث وهوية المستخدم وعنوان IP المصدر ومؤشر النجاح/الفشل والتفاصيل ذات الصلة.

3.1.3

يجب مزامنة ساعات جميع أصول المؤسسة مع مصادر NTP الموثوقة لـ [ORGANIZATION] بدقة لا تتجاوز [CUSTOMIZE: 1 second/1 minute].

3.2 إدارة السجلات المركزية

3.2.1

يجب إعادة توجيه جميع سجلات التدقيق إلى نظام إدارة السجلات المركزي (SIEM) لـ [ORGANIZATION] في شبه الوقت الفعلي، مع عدم تجاوز تأخير إعادة التوجيه [CUSTOMIZE: 5/15] دقيقة.

3.2.2

يجب أن يوفر نظام التسجيل المركزي: تجميع وربط الأحداث من مصادر متعددة وإمكانيات البحث والاستعلام والتنبيه على الأحداث الأمنية المحددة مسبقاً ولوحات المعلومات المرئية والتخزين طويل المدى.

3.2.3

يجب الحفاظ على سعة تخزين كافية للسجلات لدعم متطلبات الاحتفاظ مع احتياطي لا يقل عن [CUSTOMIZE: 20/30]%.

3.3 حماية السجلات

3.3.1

يجب حماية سجلات التدقيق من التعديل والحذف غير المصرح بهما.

3.3.2

يجب أن يكون تخزين السجلات منفصلاً عن الأنظمة التي تتم مراقبتها.

3.3.3

يجب تقييد الوصول إلى أنظمة إدارة السجلات على موظفي الأمن المصرح لهم مع تسجيل جميع الإجراءات الإدارية على البنية التحتية للسجلات ذاتها.

3.3.4

يجب تشفير بيانات السجلات أثناء النقل. يجب حماية بيانات السجلات المخزنة بضوابط الوصول والتحقق من السلامة.

3.4 مراجعة ومراقبة السجلات

3.4.1

يجب تكوين تنبيهات آلية للأحداث ذات الصلة بالأمان بما في ذلك: محاولات المصادقة الفاشلة المتعددة ([CUSTOMIZE: 5/10] فشل خلال [CUSTOMIZE: 15/30] دقيقة) واستخدام الحسابات ذات الامتيازات والنشاط الإداري خارج ساعات العمل ومؤشرات الاختراق المعروفة وأنماط تسريب البيانات.

3.4.2

يجب إجراء مراجعات سجلات الأمان على الأقل [CUSTOMIZE: daily/weekly] من قبل محللي أمن مدربين.

3.4.3

يجب توثيق نتائج مراجعة السجلات وتصعيد الحوادث المحددة وفقاً لسياسة الاستجابة للحوادث.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية