IG1 IG2 IG3

تكوين قوائم التحكم في الوصول إلى البيانات

مجموعة الضابط: 3. حماية البيانات

نوع الأصل: البيانات

وظيفة الأمان: حماية

الوصف

تكوين قوائم التحكم في الوصول إلى البيانات بناءً على مبدأ الحاجة إلى المعرفة. تطبيق قوائم التحكم في الوصول إلى البيانات المعروفة أيضًا بأذونات الوصول على أنظمة الملفات المحلية والبعيدة وقواعد البيانات والتطبيقات.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

منصة حوكمة البيانات والامتثال مع منع فقدان البيانات وحماية المعلومات وتسميات الحساسية وإدارة مخاطر التهديدات الداخلية

Microsoft · اشتراك لكل مستخدم (مستقل/E5)

Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

حل مؤسسي لمنع فقدان البيانات يغطي نقاط النهاية والشبكة والتخزين والقنوات السحابية مع فحص المحتوى القائم على السياسات

Broadcom · ترخيص مؤسسي

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

منصة سحابية أصلية لمنع فقدان البيانات ووسيط أمان الوصول السحابي توفر حماية مباشرة للبيانات عبر البرمجيات كخدمة والبنية التحتية كخدمة والويب ونقاط النهاية

Netskope · اشتراك لكل مستخدم

Forcepoint DLP Forrester Wave Strong Performer, Data Security 2023

منصة أمنية تتمحور حول البيانات مع منع فقدان البيانات عبر نقاط النهاية والشبكة والسحابة والبريد الإلكتروني مع حماية متكيفة مع المخاطر

Forcepoint · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

وصول غير مصرح به للبيانات من قبل مستخدمين ذوي صلاحيات مفرطة

السرية

يصل المستخدمون ذوو صلاحيات نظام الملفات أو قواعد البيانات أو التطبيقات المفرطة إلى بيانات حساسة تتجاوز حاجتهم للمعرفة، مما يزيد من مخاطر التهديد الداخلي ونطاق تأثير الاختراق.

التنقل الأفقي عبر مشاركات الملفات المفتوحة

السرية

يحصل المهاجمون الذين يخترقون حساب مستخدم واحد على الوصول إلى أنظمة الملفات وقواعد البيانات المشتركة على نطاق واسع والتي تفتقر إلى قوائم التحكم في الوصول، مما يمكن من جمع البيانات السريع.

العبث بالبيانات من قبل أطراف غير مصرح بها

السلامة

بدون قوائم تحكم في الوصول مناسبة، يمكن للمستخدمين غير المصرح بهم أو الحسابات المخترقة تعديل بيانات الأعمال الحرجة أو السجلات المالية أو ملفات التكوين.

الثغرات (عند غياب الإجراء الوقائي)

صلاحيات وصول بيانات متساهلة بشكل مفرط

بدون قوائم تحكم في الوصول القائمة على الحاجة للمعرفة، تعتمد مستودعات البيانات على الوصول الواسع افتراضياً، مما يمنح المستخدمين صلاحيات تتجاوز بكثير متطلبات أدوارهم.

ضوابط وصول غير متسقة عبر مخازن البيانات

بدون تكوين قوائم التحكم في الوصول المبنية على السياسات، تتفاوت صلاحيات الوصول بشكل غير متسق عبر أنظمة الملفات وقواعد البيانات والتطبيقات دون إنفاذ موحد.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة تصنيف البيانات والتعامل معها

Control 3

الإجراءات الوقائية ذات الصلة في الضابط 3

3.1 إنشاء وصيانة عملية إدارة البيانات

3.2 إنشاء وصيانة جرد البيانات

3.4 فرض الاحتفاظ بالبيانات

3.5 التخلص الآمن من البيانات

3.6 تشفير البيانات على أجهزة المستخدم النهائي

3.7 إنشاء وصيانة مخطط تصنيف البيانات

3.8 توثيق تدفقات البيانات

3.9 تشفير البيانات على الوسائط القابلة للإزالة

3.10 تشفير البيانات الحساسة أثناء النقل

3.11 تشفير البيانات الحساسة في حالة السكون

3.12 تجزئة معالجة وتخزين البيانات بناءً على الحساسية

3.13 نشر حل منع فقدان البيانات

3.14 تسجيل الوصول إلى البيانات الحساسة