IG1 IG2 IG3

إنشاء وصيانة جرد البرمجيات

مجموعة الضابط: 2. جرد أصول البرمجيات والتحكم فيها

نوع الأصل: التطبيقات

وظيفة الأمان: تحديد

الوصف

إنشاء وصيانة جرد تفصيلي لجميع البرمجيات المرخصة المثبتة على أصول المؤسسة. يجب أن يوثق جرد البرمجيات العنوان والناشر وتاريخ التثبيت/الاستخدام الأولي والغرض التجاري لكل إدخال؛ وعند الاقتضاء، يتضمن معرف المورد الموحد، ومتجر التطبيقات، والإصدار(الإصدارات)، وآلية النشر، وتاريخ إيقاف التشغيل.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Microsoft Intune Gartner MQ Leader, UEM 2024

منصة إدارة نقاط النهاية الموحدة لتسجيل الأجهزة ونشر البرمجيات والتكوين والامتثال عبر أنظمة التشغيل المختلفة

Microsoft · اشتراك لكل مستخدم أو لكل جهاز

VMware Workspace ONE Gartner MQ Leader, UEM 2024

منصة مساحة العمل الرقمية تجمع بين إدارة نقاط النهاية الموحدة وتسليم التطبيقات الافتراضية والوصول بنموذج انعدام الثقة لإدارة نقاط النهاية

Broadcom (VMware) · اشتراك لكل جهاز

Flexera One Gartner MQ Leader, SAM 2024

منصة إدارة أصول تقنية المعلومات وإدارة أصول البرمجيات مع تحسين التراخيص وإدارة البرمجيات كخدمة

Flexera · اشتراك مؤسسي

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

اختراق سلسلة التوريد عبر برمجيات غير مُتتبعة

السلامة

تتهرب البرمجيات الخبيثة أو المزودة بأبواب خلفية المثبتة دون تتبع المخزون من المراجعة الأمنية، مما يمكّن هجمات سلسلة التوريد مثل تلك التي شوهدت في اختراقات من نوع SolarWinds.

استغلال الامتثال للتراخيص

السرية

تُدخل البرمجيات غير المرخصة أو المقرصنة المثبتة خارج ضوابط المخزون نسخاً محصنة بأحصنة طروادة أو أدوات كسر تحتوي على برمجيات خبيثة مضمنة وسارقات بيانات اعتماد.

البرمجيات المهجورة كسطح هجوم

السلامة

تبقى التطبيقات المثبتة لمشاريع سابقة ولم يتم جردها على الأنظمة بثغرات معروفة، مما يوفر أهدافاً سهلة للاستغلال من قبل المهاجمين.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود سجل برمجيات مركزي

بدون سجل برمجيات محدث، لا تستطيع المؤسسة تحديد التطبيقات المثبتة عبر نقاط النهاية، مما يترك البرمجيات غير المعروفة بدون تصحيحات وبدون مراقبة.

عدم القدرة على التحقق من شرعية البرمجيات

بدون سجلات الناشر والإصدار والغرض التجاري، لا تستطيع المؤسسة التمييز بين البرمجيات المصرح بها والتثبيتات غير المصرح بها أو الخبيثة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة أصول البرمجيات

Control 2

الإجراءات الوقائية ذات الصلة في الضابط 2

2.2 ضمان أن البرمجيات المصرح بها مدعومة حاليًا

2.3 معالجة البرمجيات غير المصرح بها

2.4 استخدام أدوات جرد البرمجيات الآلية

2.5 إدراج البرمجيات المصرح بها في القائمة المسموحة

2.6 إدراج المكتبات المصرح بها في القائمة المسموحة

2.7 إدراج السكريبتات المصرح بها في القائمة المسموحة