سياسة إدارة التكوين الآمن

Control 4 Control 9 Control 12

الإجراءات الوقائية المعنية: 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 9.1 9.2 12.1 12.2 12.3 12.4

1. الغرض

وضع متطلبات لتكوين أصول المؤسسة والبرمجيات والبنية التحتية للشبكة بشكل آمن لتقليل سطح الهجوم ومنع الوصول غير المصرح به.

2. النطاق

تنطبق هذه السياسة على جميع أصول المؤسسة وأنظمة التشغيل والتطبيقات وأجهزة الشبكة والخدمات المُدارة من قبل [ORGANIZATION]، في جميع البيئات (الإنتاج والتجهيز والتطوير والاختبار).

3. السياسة

3.1 تكوين خط الأساس الآمن

3.1.1

يجب على [ORGANIZATION] إنشاء والحفاظ على تكوينات خط أساس آمنة موثقة لجميع أنواع أصول المؤسسة، بناءً على معايير التقوية المعترف بها صناعياً (معايير CIS أو DISA STIGs أو أدلة أمان المورّدين).

3.1.2

يجب أن تعالج خطوط الأساس الآمنة: إزالة أو تعطيل الخدمات والمنافذ والبروتوكولات غير الضرورية، وتكوين الإعدادات ذات الصلة بالأمان، وإزالة الحسابات وكلمات المرور الافتراضية، وتفعيل التسجيل والتدقيق.

3.1.3

يجب مراجعة وتحديث تكوينات خط الأساس على الأقل [CUSTOMIZE: quarterly/bi-annually] أو عند الكشف عن ثغرات أمنية جديدة مهمة.

3.1.4

يجب تكوين جميع الأصول الجديدة وفقاً لخط الأساس المعتمد قبل نشرها على شبكة الإنتاج.

3.2 إنفاذ التكوين

3.2.1

يجب استخدام أدوات إدارة التكوين الآلية لإنفاذ خطوط الأساس الآمنة عبر أصول المؤسسة حيثما كان ذلك ممكناً تقنياً.

3.2.2

يجب إجراء فحوصات امتثال التكوين على الأقل [CUSTOMIZE: monthly/weekly] لتحديد الانحرافات عن خطوط الأساس المعتمدة.

3.2.3

يجب معالجة انحرافات التكوين خلال [CUSTOMIZE: 14/30] يوماً من الاكتشاف، أو يجب اعتماد استثناء موثق من [CUSTOMIZE: CISO/IT Security].

3.2.4

يجب تقييد صلاحيات المسؤول لإجراء تغييرات التكوين على الموظفين المصرح لهم وتسجيلها.

3.3 تكوين أجهزة الشبكة

3.3.1

يجب تكوين أجهزة البنية التحتية للشبكة (الموجهات والمحولات والجدران النارية ونقاط الوصول اللاسلكية) وفقاً لخطوط أساس آمنة موثقة.

3.3.2

يجب الحفاظ على أحدث إصدار مستقر من البرنامج الثابت أو نظام التشغيل على جميع أجهزة الشبكة.

3.3.3

يجب تخزين تكوينات أجهزة الشبكة في مستودع آمن يخضع للتحكم في الإصدارات مع تقييد الوصول على مسؤولي الشبكة المصرح لهم.

3.3.4

يجب إجراء نسخ احتياطية للتكوين قبل وبعد أي تغييرات، والاحتفاظ بها لمدة لا تقل عن [CUSTOMIZE: 90 days/1 year].

3.4 تكوين المتصفح والبريد الإلكتروني

3.4.1

يجب تكوين متصفحات الويب لحظر أو تقييد: الإضافات والملحقات غير الضرورية، والتشغيل التلقائي للبرامج النصية من مصادر غير موثوقة، والوصول إلى النطاقات الضارة المعروفة.

3.4.2

لا يُصرح باستخدام سوى متصفحات الويب المعتمدة التي تتلقى تحديثات أمنية منتظمة على أصول المؤسسة.

3.4.3

يجب أن تتضمن تكوينات عميل البريد الإلكتروني: حظر المرفقات التنفيذية، وتفعيل مصادقة البريد الإلكتروني (SPF وDKIM وDMARC)، والتكامل مع بوابة تصفية أمان البريد الإلكتروني.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية