سياسة أمن التطبيقات

Control 16

الإجراءات الوقائية المعنية: 16.1 16.5 16.6 16.8 16.10 16.11 16.12

1. الغرض

وضع متطلبات لتأمين تطبيقات الويب وواجهات برمجة التطبيقات والبنية التحتية للتطبيقات الخاصة بـ [ORGANIZATION] ضد هجمات طبقة التطبيقات.

2. النطاق

تنطبق هذه السياسة على جميع تطبيقات الويب وواجهات برمجة التطبيقات والواجهات الخلفية لتطبيقات الأجهزة المحمولة والبنية التحتية للتطبيقات المُشغلة من قبل أو نيابة عن [ORGANIZATION].

3. السياسة

3.1 تقوية التطبيقات

3.1.1

يجب نشر جميع تطبيقات الويب خلف جدار حماية تطبيقات الويب (WAF) المُكوّن لاكتشاف وحظر هجمات الويب الشائعة (قائمة OWASP العشر الأولى).

3.1.2

يجب تقوية خوادم التطبيقات وفقاً لإرشادات المورّدين والمعايير الصناعية، مع إزالة الميزات غير الضرورية والمحتوى النموذجي والتكوينات الافتراضية.

3.1.3

يجب ألا تكشف معالجة الأخطاء عن تفاصيل النظام الداخلية أو تتبع المكدس أو معلومات التصحيح للمستخدمين النهائيين.

3.1.4

يجب تطبيق رؤوس أمان HTTP: Content-Security-Policy وX-Content-Type-Options وX-Frame-Options وStrict-Transport-Security وReferrer-Policy وPermissions-Policy.

3.2 المصادقة وإدارة الجلسات

3.2.1

يجب أن تطبق التطبيقات آليات مصادقة مناسبة لحساسية البيانات: البيانات العادية (اسم مستخدم + كلمة مرور تستوفي متطلبات التعقيد)، والبيانات السرية (MFA مطلوبة)، والبيانات المقيدة (MFA مع رمز مادي أو FIDO2).

3.2.2

يجب أن تكون رموز الجلسة عشوائية تشفيرياً وتُنقل فقط عبر اتصالات مشفرة وتُبطل عند تسجيل الخروج.

3.2.3

يجب إنفاذ مهلات الجلسة: انتهاء الجلسات غير النشطة بعد [CUSTOMIZE: 15/30/60] دقيقة، ومهلة الجلسة المطلقة بعد [CUSTOMIZE: 8/12] ساعة.

3.2.4

يجب تفعيل قفل الحساب بعد [CUSTOMIZE: 5/10] محاولات مصادقة فاشلة خلال [CUSTOMIZE: 15/30] دقيقة.

3.3 أمان واجهة برمجة التطبيقات

3.3.1

يجب أن تتطلب جميع واجهات برمجة التطبيقات المصادقة والتصريح لكل طلب.

3.3.2

يجب تطبيق تحديد معدل طلبات واجهة برمجة التطبيقات لمنع الإساءة، مع تحديد الحدود بناءً على أنماط الاستخدام المتوقعة.

3.3.3

يجب التحقق من صحة مدخلات واجهة برمجة التطبيقات وترميز مخرجاتها لمنع الحقن وكشف البيانات.

3.3.4

لا يجوز كشف وثائق واجهة برمجة التطبيقات علنياً لواجهات برمجة التطبيقات الداخلية.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية