سياسة الوصول عن بُعد

يجب أن يتم الوصول عن بُعد إلى شبكة [ORGANIZATION] فقط من خلال الطرق المعتمدة: عميل VPN المقدم من [ORGANIZATION] مع MFA أو حل الوصول إلى الشبكة القائم على مبدأ عدم الثقة (ZTNA) المعتمد أو البنية التحتية لسطح المكتب الافتراضي (VDI) المعتمدة أو بوابات التطبيقات السحابية المعتمدة مع MFA.

يُحظر الاتصال المباشر (RDP وSSH واتصالات قواعد البيانات) بالأنظمة الداخلية من الإنترنت بدون VPN أو بوابة آمنة معتمدة.

يكون النفق المقسم على اتصالات VPN [CUSTOMIZE: prohibited / allowed only with DNS and endpoint security controls active].

يجب أن تستوفي الأجهزة المستخدمة للوصول عن بُعد الحد الأدنى من متطلبات الأمان: نظام تشغيل حالي ومدعوم مع تحديثات تلقائية مفعلة وحماية نقطة نهاية نشطة (مكافحة فيروسات/EDR) وجدار ناري مستند إلى المضيف مفعل وتشفير القرص الكامل مفعل وقفل الشاشة مُكوّن بمهلة [CUSTOMIZE: 5/10] دقائق.

يجب تسجيل الأجهزة الشخصية (BYOD) المستخدمة للوصول عن بُعد في حل إدارة الأجهزة الخاص بـ [ORGANIZATION] ويجب أن تستوفي نفس متطلبات الأمان كالأجهزة المملوكة للمؤسسة.

لا يجوز استخدام أجهزة الكمبيوتر العامة أو المشتركة للوصول إلى الأنظمة الداخلية لـ [ORGANIZATION].

يجب أن تكون لجلسات الوصول عن بُعد مهلة عدم نشاط مقدارها [CUSTOMIZE: 30/60] دقيقة ومدة جلسة قصوى مقدارها [CUSTOMIZE: 10/12/24] ساعة.

يجب على المستخدمين قفل محطة العمل عند الابتعاد أثناء جلسة عن بُعد.

يجب تسجيل ومراقبة نشاط الوصول عن بُعد. يجب أن تُطلق أنماط الوصول عن بُعد غير الطبيعية تنبيهات.

يجب أن يكون الوصول عن بُعد للأطراف الثالثة مصرحاً مسبقاً ومحدود المدة وموثقاً مع: المبرر التجاري والأنظمة المصرح بها ومدة الوصول وجهة اتصال مسؤولة في [ORGANIZATION].

يجب مراقبة الوصول عن بُعد للأطراف الثالثة في الوقت الفعلي أو تسجيله حيثما كان ذلك ممكناً تقنياً.

يُحظر اتصالات الوصول عن بُعد الدائمة (المستمرة) للأطراف الثالثة ما لم تتم الموافقة عليها تحديداً من [CUSTOMIZE: CISO] مع توثيق الضوابط التعويضية.