IG3

تحديد وصيانة التحكم في الوصول القائم على الأدوار

مجموعة الضابط: 6. إدارة التحكم في الوصول

نوع الأصل: البيانات

وظيفة الأمان: حماية

الوصف

تحديد وصيانة التحكم في الوصول القائم على الأدوار من خلال تحديد والمحافظة على حقوق الوصول الممنوحة لكل دور ضمن المؤسسة لدعم التحكم في الوصول. إجراء مراجعات الوصول لأصول المؤسسة لتأكيد أن جميع الامتيازات مصرح بها على أساس متكرر على الأقل بشكل سنوي أو بشكل أكثر تكرارًا.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

SailPoint Identity Security Gartner MQ Leader, IGA 2024

منصة حوكمة وإدارة الهوية مع شهادات الوصول وإدارة دورة الحياة والذكاء الاصطناعي لتحليل الوصول

SailPoint · اشتراك لكل هوية

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

إدارة الهوية والوصول السحابية مع تسجيل الدخول الموحد والمصادقة متعددة العوامل والوصول المشروط وحوكمة الهوية

Microsoft · اشتراك لكل مستخدم (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

منصة هوية سحابية توفر تسجيل الدخول الموحد والمصادقة متعددة العوامل التكيفية وإدارة دورة الحياة وإدارة الوصول عبر واجهات برمجة التطبيقات

Okta · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

زحف الصلاحيات يؤدي إلى وصول غير مصرح به للبيانات

السرية

بدون تحكم وصول قائم على الأدوار محدد، يتراكم لدى المستخدمين صلاحيات بمرور الوقت أثناء تنقلهم بين الفرق، ويحصلون في النهاية على وصول مفرط ينتهك مبادئ أقل الصلاحيات.

تهديد داخلي مضخم بحدود وصول غير محددة

السرية

يستغل مطلع خبيث حقوق وصول محددة بشكل غامض للوصول إلى البيانات والأنظمة بعيداً عن متطلبات وظيفته الفعلية، حيث لا يوجد نموذج RBAC يقيده بالوصول الضروري.

فشل الامتثال من حقوق وصول غير موثقة

السلامة

يجد المدققون التنظيميون أن حقوق الوصول غير موثقة حسب الدور، مما يجعل من المستحيل إثبات امتثال أقل الصلاحيات مع أطر مثل SOX وHIPAA أو PCI DSS.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود نموذج تحكم وصول قائم على الأدوار محدد

بدون أدوار محددة تربط وظائف العمل بحقوق الوصول المطلوبة، تُمنح الصلاحيات بشكل مخصص بناءً على طلبات فردية بدلاً من متطلبات دور موحدة.

عدم وجود عملية مراجعة متكررة لصلاحيات الوصول

بدون مراجعات وصول سنوية أو أكثر تكراراً تتحقق من الصلاحيات مقابل تعريفات الأدوار، لا يتم تحديد الصلاحيات المتراكمة أو إلغاؤها أبداً.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة الوصول ذي الامتيازات

Control 5, Control 6

الإجراءات الوقائية ذات الصلة في الضابط 6

6.1 إنشاء عملية منح الوصول

6.2 إنشاء عملية إلغاء الوصول

6.3 طلب MFA للتطبيقات المكشوفة خارجيًا

6.4 طلب MFA للوصول عن بُعد إلى الشبكة

6.5 طلب MFA للوصول الإداري

6.6 إنشاء وصيانة جرد أنظمة المصادقة والتفويض

6.7 مركزة التحكم في الوصول