سياسة أمن متصفح الويب

Control 9

الإجراءات الوقائية المعنية: 9.1 9.3 9.5 9.6 9.7

1. الغرض

وضع متطلبات لتأمين تكوينات واستخدام متصفح الويب لحماية أصول المؤسسة الخاصة بـ [ORGANIZATION] من التهديدات المستندة إلى الويب.

2. النطاق

تنطبق هذه السياسة على جميع متصفحات الويب المثبتة على أصول المؤسسة المُدارة من [ORGANIZATION] وأي متصفح يُستخدم للوصول إلى تطبيقات الويب الخاصة بـ [ORGANIZATION].

3. السياسة

3.1 المتصفحات المعتمدة

3.1.1

لا يُصرح باستخدام سوى متصفحات الويب المعتمدة التي تتلقى تحديثات أمنية منتظمة من مورّديها على أصول المؤسسة. المتصفحات المعتمدة: [CUSTOMIZE: list browsers, e.g., Chrome, Firefox, Edge].

3.1.2

يجب الحفاظ على المتصفحات بأحدث إصدار مستقر، مع نشر التحديثات خلال [CUSTOMIZE: 14/30] يوماً من الإصدار.

3.1.3

يُحظر استخدام المتصفحات التي وصلت لنهاية عمرها على جميع أصول المؤسسة.

3.2 تكوين المتصفح

3.2.1

يجب إدارة تكوينات المتصفح مركزياً من خلال سياسة المجموعة أو MDM أو أدوات إدارة التكوين لإنفاذ: حظر المواقع الضارة المعروفة عبر تصفية عناوين URL، وتقييد إضافات المتصفح على قائمة بيضاء معتمدة، وتعطيل الإضافات غير الضرورية (Flash وتطبيقات Java الصغيرة)، وتفعيل ميزات التصفح الآمن/حماية التصيد، وحظر النوافذ المنبثقة من المواقع غير الموثوقة.

3.2.2

لا يجوز للمستخدمين تعديل إعدادات المتصفح المُدارة ذات الصلة بالأمان.

3.2.3

لا يجوز مزامنة بيانات المتصفح (بيانات الاعتماد المخزنة مؤقتاً وبيانات الملء التلقائي) لأنظمة [ORGANIZATION] مع ملفات تعريف المتصفح الشخصية.

3.3 تصفية DNS

3.3.1

يجب تطبيق تصفية DNS لحظر الوصول إلى النطاقات الضارة المعروفة ومواقع التصيد وفئات المحتوى غير المناسب كما حددتها [ORGANIZATION].

3.3.2

يجب أن تنطبق تصفية DNS على جميع أصول المؤسسة، بما في ذلك المستخدمة عن بُعد، من خلال وكلاء حماية على مستوى DNS أو خدمات DNS الآمنة.

3.3.3

تُحظر محاولات تجاوز ضوابط تصفية DNS ويجب مراقبتها.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية