1. الغرض
تحديد الخوارزميات التشفيرية المقبولة وأطوال المفاتيح والبروتوكولات المعتمدة للاستخدام في [ORGANIZATION] لضمان حماية بيانات متسقة وكافية.
2. النطاق
تنطبق هذه السياسة على جميع التطبيقات التشفيرية المستخدمة لحماية بيانات [ORGANIZATION]، سواء تم تطويرها داخلياً أو اقتناؤها تجارياً أو توفيرها من خلال خدمات أطراف ثالثة.
3. السياسة
3.1 الخوارزميات المعتمدة
الخوارزميات التشفيرية والحد الأدنى لأطوال المفاتيح التالية معتمدة للاستخدام:
| الغرض | الخوارزميات المعتمدة | الحد الأدنى لطول المفتاح | ملاحظات |
|---|---|---|---|
| التشفير المتماثل | AES | 256 بت | AES-128 مقبول للبيانات غير الحساسة. أنماط CBC أو GCM أو CCM. |
| التشفير غير المتماثل | RSA، ECDSA، Ed25519 | RSA-2048، ECDSA P-256، Ed25519 | يُوصى بـ RSA-4096 للمفاتيح طويلة الأمد |
| تبادل المفاتيح | ECDH، DH | ECDH P-256، DH 2048-bit | يُفضل ECDH للأداء |
| التجزئة | SHA-256، SHA-384، SHA-512، SHA-3 | 256 بت | يُحظر SHA-1 للتطبيقات الجديدة |
| مصادقة الرسائل | HMAC-SHA256، AES-CMAC | 256 بت | يُحظر HMAC-MD5 |
| تجزئة كلمات المرور | bcrypt، scrypt، Argon2id، PBKDF2 | غير متاح | يُفضل Argon2id. PBKDF2 بحد أدنى 600,000 تكرار مع SHA-256 |
| TLS | TLS 1.2، TLS 1.3 | غير متاح | يُفضل TLS 1.3. يُحظر TLS 1.0 و1.1 |
3.2 الخوارزميات المحظورة
يُحظر استخدام الخوارزميات التالية لجميع التطبيقات الجديدة ويجب إزالتها تدريجياً من التطبيقات القائمة خلال [CUSTOMIZE: 6/12] شهراً: DES و3DES (باستثناء بيئات PCI القديمة مع استثناء موثق) وRC4 وMD5 (لأي غرض أمني) وSHA-1 (للتوقيعات الرقمية أو التحقق من صحة الشهادات) وSSL 2.0 و3.0 وTLS 1.0 و1.1 وأطوال مفاتيح RSA أقل من 2048 بت وأي خوارزميات تشفيرية خاصة أو غير قياسية.
3.3 معايير التطبيق
يجب أن تستخدم التطبيقات التشفيرية مكتبات معتمدة ومراجعة (OpenSSL أو BoringSSL أو libsodium أو مكتبات التشفير الأصلية للمنصة). يُحظر التطبيقات التشفيرية المخصصة.
يجب أن يستخدم توليد الأرقام العشوائية مولدات أرقام عشوائية زائفة آمنة تشفيرياً (CSPRNG) مقدمة من نظام التشغيل أو المكتبات المعتمدة.
يجب أن يُنفذ التحقق من صحة الشهادات: التحقق من سلسلة الشهادات والتحقق من اسم المضيف والتحقق من انتهاء صلاحية الشهادة والتحقق من الإلغاء (OCSP أو CRL).
4. الامتثال
الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.
يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.
5. الإنفاذ
قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.
تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.
6. المراجعة والتنقيح
تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد السياسة
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند