سياسة التشفير

Control 3

الإجراءات الوقائية المعنية: 3.6 3.9 3.10 3.11

1. الغرض

تحديد متطلبات استخدام ضوابط التشفير لحماية سرية وسلامة أصول بيانات [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع البيانات المصنفة كسرية أو مقيدة، وجميع البيانات المنقولة عبر شبكات غير موثوقة، وجميع أجهزة التخزين المحمولة ونقاط النهاية المحمولة المستخدمة من قبل [ORGANIZATION].

3. السياسة

3.1 معايير التشفير

3.1.1

يجب أن يستخدم كل التشفير خوارزميات وأطوال مفاتيح متوافقة مع المعايير الصناعية. تنطبق الحدود الدنيا التالية:

3.1.2

التشفير المتماثل: AES-256 للبيانات المخزنة والمنقولة.

3.1.3

التشفير غير المتماثل: RSA-2048 أو ECDSA P-256 كحد أدنى لتبادل المفاتيح والتوقيعات الرقمية.

3.1.4

التجزئة: SHA-256 أو أقوى للتحقق من السلامة.

3.1.5

TLS 1.2 أو أعلى لجميع الاتصالات الشبكية المشفرة. يُحظر استخدام TLS 1.0 و1.1.

3.1.6

يُحظر استخدام الخوارزميات المهملة أو المعروفة بضعفها (DES، 3DES، RC4، MD5، SHA-1 للتوقيعات) في التطبيقات الجديدة ويجب إزالتها تدريجياً من الأنظمة القائمة خلال [CUSTOMIZE: 6/12] شهراً.

3.2 التشفير أثناء التخزين

3.2.1

يجب تشفير جميع البيانات السرية والمقيدة المخزنة على الخوادم وقواعد البيانات وأنظمة التخزين أثناء التخزين باستخدام AES-256 أو ما يعادله.

3.2.2

يجب تفعيل تشفير القرص الكامل على جميع أجهزة الكمبيوتر المحمولة والأجهزة المحمولة ووسائط التخزين القابلة للإزالة المستخدمة لأعمال [ORGANIZATION].

3.2.3

يجب تفعيل التشفير على مستوى قاعدة البيانات (TDE أو ما يعادله) لقواعد البيانات التي تحتوي على بيانات سرية أو مقيدة.

3.2.4

يجب تشفير وسائط النسخ الاحتياطي التي تحتوي على بيانات سرية أو مقيدة.

3.3 التشفير أثناء النقل

3.3.1

يجب تشفير جميع البيانات المنقولة عبر شبكات غير موثوقة (بما في ذلك الإنترنت) باستخدام TLS 1.2 أو أعلى.

3.3.2

يجب تشفير النقل الداخلي للبيانات السرية والمقيدة، حتى داخل الشبكة الداخلية لـ [ORGANIZATION].

3.3.3

يجب تشفير البريد الإلكتروني الذي يحتوي على بيانات سرية أو مقيدة باستخدام S/MIME أو PGP أو بوابة تشفير بريد إلكتروني معتمدة.

3.3.4

يجب أن تستخدم عمليات نقل الملفات التي تحتوي على بيانات حساسة SFTP أو SCP أو HTTPS. يُحظر استخدام FTP للبيانات السرية أو المقيدة.

3.4 إدارة المفاتيح

3.4.1

يجب توليد مفاتيح التشفير وتخزينها وتوزيعها وإتلافها باستخدام إجراءات موثقة معتمدة من [CUSTOMIZE: CISO/Security Team].

3.4.2

يجب تخزين المفاتيح الخاصة والمفاتيح المتماثلة في وحدات أمان الأجهزة (HSMs) أو خزائن المفاتيح الآمنة أو ما يعادلها من وسائل التخزين المقاومة للعبث.

3.4.3

يجب تدوير المفاتيح على الأقل [CUSTOMIZE: annually/bi-annually] أو فوراً عند الاشتباه في اختراقها.

3.4.4

يجب أن يتبع الوصول إلى المفاتيح مبدأ الحد الأدنى من الصلاحيات مع فصل المهام (لا يجوز لفرد واحد الوصول إلى كل من البيانات المشفرة ومفاتيح فك التشفير لأعلى مستويات التصنيف).

3.4.5

يجب توثيق عملية استرداد المفاتيح واختبارها [CUSTOMIZE: annually/bi-annually] لضمان استمرارية الأعمال.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية