Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرمعيار إدارة هويات الدخول والصلاحيات

​​​

 معيار إدارة هويات الدخول والصلاحيات

-   هوية المستخدم (User identity)

الهدف  : إدارة هوية المستخدم باستخدام أنظمة تقنية المعلومات في ‏جامعة الإمام محمد بن سعود الإسلامية.

المخاطر المحتملة : قد يؤدي عدم وجود هوية مستخدم فريدة إلى عدم القدرة على مساءلة المستخدم عند الحاجة وعدم القدرة على تتبع أنشطته وضعف التحكم في حقوق وامتيازات الوصول.

الإجراءات المطلوبة:

    • على جامعة الإمام محمد بن سعود الإسلامية تعيين مسؤول لتحديد عملية إصدار هوية مستخدم فريدة لجميع موظفي جامعة الإمام محمد بن سعود الإسلامية والحفاظ عليها وتغييرها وفقًا للتوجيهات الناتجة عن متطلبات الأعمال و/أو المتطلبات القانونية.
    • تطبيق آلية لإصدار هوية مستخدم لجميع الموظفين لاستخدامها مع أنظمة تقنية المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية.
    • تحديد الحد الأدنى من متطلبات هوية المستخدم لتزويد هويات المستخدمين بسمات مناسبة ومتسقة.
    • تحديد معيار كلمة مرور آمن باتباع الحد الأدنى من المتطلبات (انظر المعيار رقم 3-5).
    • أن تتضمن عملية إصدار هويات مستخدم لجميع الموظفين الحد الأدنى من المتطلبات التالية:
    • مصفوفة أدوار ومسؤوليات يحدد من يمكنهم تقديم طلبات إصدار هوية المستخدم وتفويضها
    • كيفية تقديم طلب الحصول على هوية مستخدم جديدة
    • من يمكنهم طلب هوية مستخدم جديدة (مثل الموارد البشرية)
    • الأشخاص الذين يمكنهم إنشاء هوية مستخدم ومنح حقوق الدخول
    • الأشخاص الذين يمكنهم تفويض الطلبات (مثل: المدير المباشر)
    • كيفية ربط حقوق الدخول بمستخدم معين (مثل: بناءً على الدور أو الموقع)
    • استخدام نماذج هويات المستخدم لإنشاء بطاقة الهوية
    • كيفية إصدار هوية المستخدم وكلمة المرور
    • كيفية تعطيل هوية المستخدم
    • الحد الأقصى للوقت الذي يمكن أن يستغرقه طلب إنشاء أو تعطيل هوية مستخدم
    • الحد الأقصى للوقت الذي يجب فيه إلغاء جميع صلاحيات الدخول المرتبطة بهوية المستخدم، إذا لزم الأمر
    • الحد الأقصى للوقت بعد ذلك، والذي يجب حذف هوية المستخدم فيه
    • كيفية تسجيل إصدار هوية المستخدم وحمايتها​
    • إصدار هوية مستخدم لجميع الموظفين لاستخدامها مع أنظمة تقنية المعلومات لدى جامعة الإمام محمد بن سعود الإسلامية. وألّا تكون هذه المُعرفات عامة أو مشتركة.
    • تنفيذ عملية تضمن إمكانية تدقيق جميع التغييرات وتسجيلها، مع الاحتفاظ بالسجلات لمدة 12 شهرًا على الأقل.

-           التحقق من صلاحيات المستخدم (User authorization)

الهدف  : حصول المستخدمين على تصريح باستخدام أنظمة تقنية المعلومات الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية (بما في ذلك أنظمة الحوسبة السحابية).

المخاطر المحتملة قد يؤدي عدم حصول المستخدمين على تصريح إلى الوصول إلى الأنظمة أو البيانات والمعلومات التي لا تتناسب مع وظيفة المستخدم أو دوره أو مستواه الوظيفي أو تصريحه الأمني.

الإجراءات المطلوبة:

    • تعيين مالك للعملية (Process owner) لتحديد عملية تفويض المستخدمين قبل منحهم امتيازات الدخول إلى أنظمة تقنية المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية.
    • تحديد وتوثيق عملية تفويض المستخدمين التي يجب أن تتضمن ما يلي كحد أدنى:
    • آلية التصريح بالوصول إلى الأنظمة والمعلومات والبيانات للمستخدم وتحديد المسؤولين المتفق عليهم لاعتماد التصريح (الأدوار)
    • ربط امتيازات الوصول بمستخدمين محددين (مثل: استخدام معرفات فريدة كمعرفات المستخدمين)
    • تحديد وتعيين المستخدمين الذين لديهم إمكانية وصول افتراضية
    • موافقة المسؤولين على صلاحيات الوصول الافتراضي للأدوار الأساسية (مراقبة الوصول القائمة على مصفوفة الأدوار والمسؤوليات)
    • تعيين صلاحيات الوصول بناءً على "مبدأ الحاجة إلى المعرفة" و"الحاجة إلى الاستخدام" و"الحد الأدنى من الصلاحيات والامتيازات" (أي "لا شيء" إذا لم يكن الوصول مطلوبًا ومصرحًا به) والفصل بين المهام (انظر المعيار 4) إلى الأنظمة المختلفة بما في ذلك على سبيل المثال لا الحصر الخوادم وقواعد البيانات وتطبيقات الويب الخارجية وأنظمة التسجيل
    • ضمان عدم إصدار معرفات زائدة (مثل: هويات المستخدمين) للاستخدام
    • التحقق من قدرة وصول المستخدم في حالة الظروف الاستثنائية (على سبيل المثال، عندما لا تتوفر آليات التحكم في الوصول أو تكون غير عملية أو آمنة أو حيث لا تتوفر الوظائف الفنية) 
    • الحصول على موافقة المسؤولين ذوي العلاقة وتطبيقها على جميع المستخدمين.
    • الاحتفاظ بملف أو قاعدة بيانات تحتوي على تفاصيل جميع المستخدمين المصرح لهم من قبل الأفراد المصرح لهم.
    • يجب حماية الملف أو قاعدة البيانات التي تحتوي على تفاصيل جميع المستخدمين المصرح لهم من الوصول غير المصرح به والتغيير غير المصرح به والإفصاح غير المصرح به باتباع الضوابط المنطقية والمادية.
    • تحديد آلية مراجعة امتيازات الوصول للمستخدمين المصرح لهم:
    • للتأكد من الإبقاء على امتيازات وصول مناسبة
    • للتحقق من حذف التصاريح الزائدة وحقوق الوصول المرتبطة بها (مثل الأفراد الذين قاموا بتغيير أدوارهم أو تركوا الجهة)
    • بشكل منتظم (أي مرة واحدة سنويًا على الأقل)
    • بشكل أكثر تكرارًا للمستخدمين الذين لديهم امتيازات وصول خاصة / مرتفعة، أو عند استخدام بيانات مصنفة على أنها سرية وأعلى (أي كل ستة أشهر)
    • بشكل أكثر تكرارًا فيما يتعلق بوصول المستخدم إلى الأنظمة الحساسة (أي كل ثلاثة أشهر)
    • إنهاء جلسة المستخدم تلقائيًا بعد استيفاء الشروط المحددة، مثل انتهاء وقت الجلسة على أنظمة مختلفة بما في ذلك على سبيل المثال لا الحصر قواعد البيانات وتطبيقات الويب الخارجية ومراكز عمل المستخدمين.
    • إنشاء سجل مركزي يحتوي على تفاصيل جميع المستخدمين المصرح لهم (الحالية والسابقة)، والتي يحتفظ بها الأفراد المصرح لهم.
    • حماية السجل المركزي من الوصول والتغيير والإفصاح غير المصرح به باتباع الضوابط المنطقية والمادية.

-     التحقق من هوية المستخدم (User authentication)

الهدف:  تطبيق عملية التحقق الآمن من هوية المستخدم على أنظمة تقنية المعلومات الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية

المخاطر المحتملة:  قد يؤدي عدم التحقق من هوية المستخدم إلى تمكين المستخدمين من انتحال شخصية مستخدمين آخرين، أو تجاوز حقوق وأنظمة الوصول أو البيانات والمعلومات غير المناسبة للمسمى الوظيفي للمستخدم أو دوره أو مستواه الوظيفي أو تصريحه الأمني.

الإجراءات المطلوبة:

    • فرض عملية التحقق من هوية المستخدم عند الوصول إلى أنظمة تقنية المعلومات الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية (بما في ذلك على سبيل المثال لا الحصر الحوسبة السحابية وقواعد البيانات وأجهزة الشبكة وأجهزة الشبكة اللاسلكية) من خلال طلب استخدام معرف فريد وعامل (عوامل) داعمة (على سبيل المثال كلمات المرور/ العبارات أو الرموز المميزة أو كلمات المرور لمرة واحدة).
    • إعداد آليات التحقق من هوية المستخدم بحيث يتم:
    • إدخال جميع معلومات تسجيل الدخول قبل التحقق منها
    • تعتيم كلمات المرور ومعلومات تسجيل الدخول الأخرى أثناء عملية الإدخال
    • يقتصر عدد محاولات تسجيل الدخول غير الناجحة على ثلاث محاولات غير صحيحة، بعدها يتم إغلاق المستخدم مؤقتًا، مما يجبر على إعادة ضبط معلومات التحقق من هوية المستخدم (وليس هوية المستخدم)
    • تخزين جميع معلومات التحقق من هوية المستخدم ومعالجتها بطريقة آمنة (مثل: باستخدام التشفير)
    • تسجيل جميع محاولات تسجيل الدخول وتخزينها بطريقة آمنة
    • تطبيق الاستخدام الآمن لمعلومات التحقق من هوية المستخدم (المستخدم وكلمات المرور وعوامل التحقق الأخرى)
    • مراجعة سجلات الوصول مرة واحدة على الأقل كل ستة أشهر لمحاولات تسجيل الدخول المتعددة باستخدام نفس هوية المستخدم، وكذلك لهوية المستخدم ذاتها المستخدمة من بوابات مختلفة (إمكانية تسجيل دخول المستخدم من أجهزة حاسبات متعدّدة في نفس الوقت)
    • أن يطبق معيار كلمة المرور لمراكز عمل المستخدمين الحد الأدنى من القواعد التالية:
    • ألّا يقل طول كلمة المرور عن 8 عناصر
    • أن تتضمن كلمات المرور واحدًا على الأقل مما يلي: الحروف الصغيرة (a-z) والحروف الكبيرة (A-Z) والأرقام (0-9) والرموز الخاصة (مثل: £$*)
    • تغيير كلمات المرور بشكل منتظم، كل 90 يومًا على الأقل، عند الاستخدام (غير مطلوب في حال تطبيق عملية التحقق من هوية المستخدم متعددة العوامل)
    • لا يجوز تكرار كلمات المرور التي استخدمت خلال المرات الـ 12 الأخيرة
    • ألّا تتبع كلمات المرور التي يتم إنتاجها تلقائيًا نمطًا ثابتًا
    • تغيير جميع أسماء المستخدمين وكلمات المرور الافتراضية للأنظمة الجديدة قبل استخدامها في بيئة الإنتاج.
    • تعطيل أو إعادة تسمية الحسابات الافتراضية أو غير التفاعلية أو غير اللازمة على الأنظمة المختلفة بما في ذلك على سبيل المثال لا الحصر الخوادم وقواعد البيانات وتطبيقات الويب الخارجية وأنظمة التسجيل وأجهزة الشبكة وأجهزة الشبكة اللاسلكية ومراكز عمل المستخدمين أو إعادة تسميتها.
    • تنفيذ إجراءات التحقق متعددة العوامل المعتمدة للمستخدمين في الحالات التالية:
    • الوصول إلى النطاق
    • الأنظمة الحساسة أو الأنظمة المستخدمة في إدارة الأنظمة الحساسة
    • الخوادم الحساسة
    • المستخدمين ذوي الامتيازات والصلاحيات (بما في ذلك مستخدمي الحوسبة السحابية ذو الصلاحيات)
    • تطبيقات الويب
    • قواعد البيانات
    • أجهزة الشبكة
    • أجهزة الشبكة اللاسلكية
    • أنظمة التسجيل

-    مبدأ فصل المهام (Segregation of duties)

الهدف : تطبيق فصل المهام ومنع المستخدمين من حقوق الوصول التي تمنحهم حقوق وصول مفرطة من دون قصد.

المخاطر المحتملة : عدم تطبيق مبدأ فصل المهام للمستخدمين قد يسمح بإجراء معاملات احتيالية أو خاطئة أو تتجاوز المستوى الوظيفي للمستخدم أو صلاحياته.

الإجراءات المطلوبة:

    • تحديد أنواع الأنشطة التي تتطلب فصل المهام وحقوق الوصول.
    • تتضمن قائمة الأنشطة (على سبيل المثال لا الحصر) ما يلي، حيث قد يكون للمستخدمين مجموعة واحدة فقط من الحقوق من أي قائمة:
    • مهام إدارة تطبيقات الأعمال والأنظمة والشبكات
    • مهام المسؤولين عن تصميم وتطوير واختبار تطبيقات وأنظمة وشبكات الأعمال
    • تصميم الضوابط وتنفيذها وضمانها
    • تصميم ومراجعة وتشغيل الكود والإعدادات
    • الوصول إلى بيئات التطوير والاختبار وقبول المستخدم والإنتاج (يجب عدم توفير بيانات الإنتاج في البيئات غير الإنتاجية)
    • البدء (أو التغيير) والموافقة على الوظائف الحيوية أو الحساسة (مثل: المدفوعات والتسعير)
    • طلب حقوق الوصول والموافقة عليها وتوفيرها
    • بدء واعتماد وتنفيذ التغييرات على أنظمة تقنية المعلومات
    • توثيق ترتيبات ومعايير وإجراءات التحكم في الوصول. ويجب أن تراعي هذه الترتيبات والمعايير والإجراءات ما يلي:
    • متطلبات الأمن السيبراني وتصنيفات البيانات والاتفاقيات مع مسؤولي التطبيقات والمتطلبات التي حددها مسؤولو النظام والالتزامات القانونية والتنظيمية والتعاقدية
    • الحاجة إلى تحقيق المساءلة الفردية، وتطبيق ضوابط إضافية على المستخدمين ذوي امتيازات وصلاحيات الوصول الخاصة، وفصل المهام
    • مراجعة الأنشطة التي تتطلب فصل المهام وترتيبات التحكم في الوصول:
    • مرة واحدة سنويًا على الأقل لجميع المستخدمين
    • كل ثلاثة أشهر على الأقل للمستخدمين ذو الصلاحيات العالية
    • إلغاء حقوق الوصول التي تبين أنها تنتهك مبدأ فصل المهام أو معايير التحكم في الوصول على الفور.
    • إجراء مراجعة لتحديد كيفية انتهاك مبدأ الفصل بين المهام.
    • تحديث مبدأ الفصل بين المهام عند الحاجة وتطبيقه لتعكس التغييرات المحددة في المراجعة.

-   إدارة الوصول (Access management)

الهدف  : إدارة امتيازات الوصول للمستخدمين الافتراضيين لأنظمة جامعة الإمام محمد بن سعود الإسلامية.

المخاطر المحتملة: قد تسمح امتيازات وصلاحيات الوصول الممنوحة بشكل سيء للمستخدمين بإجراء معاملات غير مصرح بها أو إدخال أو تغيير البيانات والمعلومات، أو تغيير تشغيل النظام على نحو لا يتناسب مع وظيفة المستخدم أو دوره أو مستواه الوظيفي أو تصريحه الأمني.

الإجراءات المطلوبة:​

    • تعيين مسؤول عن العملية لتولي مسؤولية عملية توفير الوصول الافتراضي للمستخدم.
    • تحديد وتوثيق عملية توفير الوصول إلى النظام لتحديد كيفية طلب امتيازات وصلاحيات الوصول إلى التطبيق والموافقة عليها وتوفيرها وصيانتها.
    • تتضمن العملية المتطلبات التالية كحد أدنى:
    • طريقة تقديم طلب الوصول إلى النظام (أو تغيير هذا الوصول)
    • من يمكنه طلب الوصول إلى النظام للمستخدم (مثل: المستخدم، المدير المباشر، غير ذلك)
    • من يمكنه تفويض الوصول إلى النظام (مثل: مسؤول تطبيق الأعمال)
    • الأشخاص الذين يمكنهم إنشاء هوية مستخدم ومنح حقوق الوصول
    • كيف ترتبط حقوق الوصول بمستخدم النظام (أي بناءً على الدور)
    • كيفية الوصول إلى النظام
    • كيفية إصدار الوصول إلى النظام
    • كيف يمكن إلغاء الوصول إلى النظام
    • الحد الأقصى للوقت الذي يمكن أن يستغرقه طلب إنشاء أو تغيير أو إلغاء الوصول إلى النظام
    • كيفية تسجيل وحماية مشكلة الوصول إلى النظام
    • مراجعة امتيازات وصلاحيات الوصول إلى النظام مرة واحدة سنويًا على الأقل لضمان توافقها مع الأدوار والمسؤوليات الوظيفية للمستخدم.
    • على مسؤول النظام إجراء مراجعة مرة واحدة سنويًا على الأقل لضمان الوصول إلى النظام وأن يكون النشاط مناسبًا وساريًا، على سبيل المثال: استخراج البيانات من النظام. ويمكن استخدام بيانات السجل التي تم جمعها في هذه المراجعة.
    • مراجعة امتيازات وصلاحيات الوصول إلى نظام المستخدم للتأكد من أنها لا تنتهك أي قواعد للفصل بين المهام التي تحددها الجهة.
    • ضبط إعدادات الوصول إلى جميع أنظمة المستخدمين وفقًا لمبدأ الحد الأدنى من الصلاحيات والامتيازات.
    • تعطيل حسابات مستخدمي التطبيقات غير النشطة بعد 30 يومًا من عدم النشاط المستمر، بعد الحصول على ملاحظات إدارة شؤون الموارد البشرية فيما يتعلق بأسباب عدم النشاط.
    • اقتصار الوصول إلى الأنظمة على المنطقة الإدارية أو الشبكة المحلية الافتراضية الإدارية فقط.
    • يجب تنفيذ عملية (JML) لإدارة دورة حياة هوية المستخدم والسماح بالتصاريح اللازمة للأنظمة:
    • يجب منح حق الوصول تلقائيًا بناءً على تصاريح الوصول المعتمدة مسبقًا للموظفين الجدد بناءً على الأدوار الوظيفية
    • يجب مراجعة الوصول وتعديله وفقًا لذلك عند نقل الموظفين
    • يجب تعطيل الوصول إلى الأنظمة عند إنهاء خدمات الموظفين

-           إدارة وصول المستخدمين ذوي الصلاحيات والامتيازات

 (Privileged user access management)

الهدف  : إدارة وصول للمستخدمين ذوي الصلاحيات والامتيازات إلى أنظمة تقنية المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية.

المخاطر المحتملة : قد يؤدي الافتقار إلى إدارة المستخدمين ذوي الصلاحيات إلى السماح للمستخدمين بالوصول إلى البيانات والمعلومات بطريقة غير ملائمة لوظيفة المستخدم أو دوره أو مستواه الوظيفي أو تصريحه الأمني. وقد يسمح ذلك للمستخدمين أيضًا بتغيير أو تعديل أو حذف البيانات والمعلومات، أو إجراء تغييرات على التطبيقات أو أنظمة التشغيل أو البرامج الأخرى التي يمكن أن تتداخل مع التشغيل العادي أو تعطله.

الإجراءات المطلوبة:

    • تطبيق التقنيات الخاصة بحفظ وإدارة الصلاحيات المهمة والحسّاسة  (PAM)لتمكين الوصول المؤقت القائم على الجلسة إلى أنظمة مختلفة، بما في ذلك على سبيل المثال لا الحصر الخوادم وقواعد البيانات وأنظمة التسجيل.
    • تعيين مسؤول عن العملية لتحديد عملية إصدار حسابات الوصول ذات الصلاحيات المهمة والحساسة وتوفيرها.
    • تتضمن العملية المتطلبات التالية كحد أدنى:
    • كيفية تقديم طلب الوصول ذي الصلاحيات المهمة والحساسة، أو كيفية إدخال تغييرات على هذا الوصول
    • مَن يمكنه طلب هوية مستخدم ذي صلاحيات
    • مَن يمكنه الموافقة على طلب مستخدم ذو صلاحيات وامتيازات
    • من يمكنه تفويض منح الوصول ذي الصلاحيات
    • مَن يمكنه إنشاء هوية مستخدم ذي صلاحيات ومنح حقوق الوصول
    • كيفية ربط حقوق الوصول بمستخدم ذي صلاحيات عالية (مثل: بناءً على الدور)
    • كيفية إصدار الصلاحيات المهمة والحساسة
    • كيفية إلغاء الصلاحيات المهمة والحساسة
    • الوقت الأقصى لمنح أو تغيير أو إلغاء الصلاحيات المهمة والحساسة
    • كيفية تسجيل وحماية الصلاحيات المهمة والحساسة
    • وتيرة الصلاحيات المهمة والحساسة وإعادة اعتماد الحساب
    • توثيق وتنفيذ معيار تسمية منفصل ونظام مستخدم لجميع المستخدمين ذوي الصلاحيات المهمة والحساسة.
    • تحديد نموذج لهويات المستخدمين ذوي الامتيازات والصلاحيات المهمة لتعيين سمات مناسبة باستمرار للمستخدمين ذوي الامتيازات والصلاحيات المهمة.
    • تعيين هوية مستخدم ذي امتيازات وصلاحيات مهمة منفصلة لكل مستخدم ذي امتيازات وصلاحيات محددة بحيث يكون متميزًا عن هوية المستخدم العادية للموظفين.
    • تطبق كلمات المرور التي يستخدمها المستخدمون ذوو الصلاحيات المهمة والحساسة للوصول إلى الأنظمة المختلفة، بما في ذلك على سبيل المثال لا الحصر الخوادم وقواعد البيانات وتطبيقات الويب الخارجية وأنظمة التسجيل، القواعد التالية كحد أدنى:
    • ألّا يقل طول كلمة المرور عن 10 عناصر
    • أن تتضمن كلمات المرور عنصراً واحدًا على الأقل من كل مما يلي: الحروف الصغيرة (a-z) والحروف الكبيرة (A-Z) والأرقام (0-9) والرموز الخاصة (مثل: £$*)
    • تغيير كلمات المرور بشكل منتظم - كل 30 يومًا على الأقل
    • لا يجوز تكرار كلمات المرور التي اُستخدمت خلال المرات الـ12 الأخيرة
    • عدم استخدام كلمات المرور بناءً على البيانات الشخصية للمستخدم ذي الصلاحيات والامتيازات، مثل تاريخ الميلاد.
    • تحديد الأنشطة والمهام التي تتطلب الصلاحيات المهمة والحساسة.
    • تنفيذ أنشطة ومهام الصلاحيات المهمة والحساسة باستخدام هويات مستخدمين ذوي صلاحيات مهمة وحساسة محددة.
    • يجب على المستخدمين ذوي الصلاحيات المهمة والحساسة استخدام هوية المستخدم الخاص بهم للقيام بالمهام ذات الصلاحيات والامتيازات المهمة والحساسة.
    • يجب تسجيل الحسابات ذات الصلاحيات المهمة والحساسة في نظام إدارة الصلاحيات المهمة والحساسة.
    • يجب أن يقتصر وصول المستخدمين ذوي الصلاحيات والامتيازات على الأفراد المحددين والذي يحتاجون إليه لأداء دورهم الوظيفي (مثل: مشرفي قواعد البيانات وموظفي الشؤون المالية وموظفي الموارد البشرية).
    • يجب تسجيل استخدام الحسابات ذات الصلاحيات المهمة والحساسة. تسجل السجلات ما يلي كحد أدنى:
    • بيانات اعتماد المستخدم المستخدمة
    • وقت تسجيل الدخول
    • مصدر بروتوكول الإنترنت IP (حيث تم تسجيل الدخول)
    • الأنشطة المُنفّذة
    • وقت تسجيل الخروج
    • تخزين بيانات سجل حسابات المستخدمين ذوي الصلاحيات المهمة والحساسة في مكان آمن، على أن يقتصر الوصول إليها على الموظفين المصرح لهم، باستخدام ضوابط الوصول المادية والمنطقية.
    • الاحتفاظ ببيانات سجل حسابات المستخدمين ذوي الصلاحيات المهمة والحساسة وفقًا لمعايير/إجراءات الاحتفاظ.
    • مراجعة سجلات الوصول مرة واحدة شهريًا على الأقل للتحقق من استخدام بيانات اعتماد المستخدم ذي الصلاحيات المهمة والحساسة في المهام ذات الصلاحيات.
    • يجب على الإدارة التنفيذية مراجعة صلاحيات الوصول كل ستة أشهر على الأقل لضمان ملاءمة حسابات المستخدمين والأنشطة ذات الصلاحيات المهمة والحساسة وصحتها وتأكيد أو تغيير أو إلغاء الصلاحيات المهمة والحساسة التي تم تعيينها. يمكن استخدام بيانات السجل التي تم جمعها في هذه المراجعة.
    • يجب تقييد الوصول إلى قواعد البيانات بالمسؤولين عنها ومن خلال تقديم طلب بالوصول فقط (عندما يكون ذلك ممكنًا) وبناءً على مبدأ الحاجة للمعرفة والحاجة للاستخدام.

-           إدارة الوصول إلى الحساب الفني

 (Technical account access management)

الهدف : إدارة الحسابات الآلية أو الفنية أو الخدمية (المعروفة جميعها باسم "الفنية") على أنظمة تقنية المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية

المخاطر المحتملة : قد يؤدي عدم إدارة الحسابات الفنية إلى اختراق هذه الحسابات أو استخدامها بطريقة مماثلة لحسابات المستخدمين، مما يقلل من كفاءتها ويعرضها لتهديدات متزايدة.

الإجراءات المطلوبة:

    • تعيين مسؤول عن عملية إدارة الحسابات الفنية لتحديد مكوناتها والنموذج اللازم لإصدار الحسابات الفنية وتقديمها.
    • إنشاء نموذج كأساس للحسابات الفنية لضمان اتساق تكوينها وسماتها.
    • تحديد آلية تسمية الحسابات الفنية. يضمن اصطلاح التسمية إمكانية تمييز الحسابات الفنية بسهولة عن حسابات المستخدمين والمستخدمين ذوي الصلاحيات المهمة.
    • يحتوي نموذج الحسابات الفنية على الإعدادات التالية:
    • أن تكون غير تفاعلية
    • أن تكون لديها كلمة مرور غير منتهية الصلاحية
    • لا تستطيع الوصول إلى أدوات الإنتاجية أو متصفحات الويب أو أدوات التواصل أو التعاون أو الإنترنت أو الخدمات الأخرى.
    • أن يكون الوصول المطلوب منحه إلى الحساب منطويًا على الحد الأدنى من الصلاحيات والامتيازات/الحد الأدنى من القدرات لأداء المهام الموكلة إليه، على أن يتم ذلك بشكل صريح وتقييمه والموافقة عليه
    • تحديد وحدة الأعمال المسؤولة ومسؤول الحساب
    • تعيين معرفات فريدة للحسابات الفنية وفقًا لاصطلاح التسمية
    • تخصيص حساب فني لشخص مسؤول يتولى مسؤولية ما يلي:
    • طلب إنشاء الهوية والحساب
    • تسجيل الحساب وكلمة المرور في نظام إدارة الصلاحيات المهمة والحساسة
    • طلب حقوق الوصول إلى الحساب
    • مراجعة استخدام الحساب وتصحيح الوصول مرة واحدة سنويًا على الأقل
    • طلب إلغاء الحساب عند إزالة الأصل التقني من الشبكة         
    • توثيق امتيازات الوصول المخصصة للحسابات الفنية.
    • الموافقة على صلاحيات وامتيازات الوصول المخصصة من قبل مدير مناسب وقد تخضع لضوابط إضافية.
    • تسجيل استخدام الحسابات الفنية.
    • تخزين بيانات سجل حسابات المستخدمين ذوي الصلاحيات المهمة والحساسة في مكان آمن، على أن يقتصر الوصول إليها على الموظفين المصرح لهم، باستخدام ضوابط الوصول المادية والمنطقية.
    • الاحتفاظ ببيانات السجل الخاصة بالحسابات التقنية وفقًا لمعايير/إجراءات الاحتفاظ.
    • 7على وحدة الأعمال ومسؤول الحساب مراجعة الحسابات الفنية مرة واحدة سنويًا على الأقل للتأكد من أن نشاط الحساب الفني والوصول إليه (إعادة التصديق) مناسب وساري. يمكن استخدام بيانات السجل التي تم جمعها في هذه المراجعة.
    • على وحدة الأعمال ومسؤول الحساب تأكيد الحسابات الفنية أو تغييرها أو إلغائها مرة واحدة سنويًا على الأقل. يمكن استخدام بيانات السجل التي تم جمعها في هذه المراجعة.
    • أن يقتصر استخدام كلمات المرور الثابتة على المسؤولين المعنيين فقط عند الضرورة للأغراض غير التفاعلية، وكذلك لاستعادة الأنظمة المختلفة بما في ذلك على سبيل المثال لا الحصر أجهزة الشبكة وأجهزة الشبكة اللاسلكية التي تم فصلها عن الشبكة.

-  إدارة الوصول عن بُعد (Remote access management)

الهدف : توفير الوصول الآمن عن بُعد إلى شبكات جامعة الإمام محمد بن سعود الإسلامية

المخاطر المحتملة : قد يؤدي الوصول غير الآمن عن بعد إلى الإفصاح عن أنظمة وبيانات ومعلومات جامعة الإمام محمد بن سعود الإسلامية على الإنترنت وللمستخدمين غير المصرح لهم بالوصول للأنظمة والمعلومات والبيانات.

الإجراءات المطلوبة:

    • تعيين مسؤول عن العملية لتحديد عملية الوصول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية بالنسبة للموظفين والأطراف الخارجية المصرح لهم.
    • تحديد وتوثيق عملية الوصول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية.
    • يجب أن تتضمن العملية المتطلبات التالية كحد أدنى:
    • أنواع الأجهزة المسموح باستخدامها للوصول عن بعد
    • كيفية تقديم طلب الوصول عن بعد (أو تغيير هذا الوصول)
    • تقييم مخاطر الوصول المطلوبة عن بعد
    • مَن يمكنه طلب الوصول عن بعد (مثل: الموظفين، المدير المباشر)
    • مَن يمكنه الموافقة على منح حق الوصول عن بعد (مثل: المدير المباشر)
    • كيفية ربط حقوق الوصول بمستخدم الوصول عن بعد
    • كيفية إصدار حساب الوصول عن بعد والبرامج المرتبطة به
    • كيفية إلغاء حق الوصول عن بعد
    • الحد الأقصى للوقت الذي يمكن أن يستغرقه طلب إنشاء أو تغيير أو إلغاء الوصول عن بعد
    • كيفية تسجيل وحماية حق الوصول عن بعد والبرامج ذات الصلة للمستخدمين المصرح لهم
    • مراجعة صلاحيات وامتيازات الوصول عن بعد مرة واحدة سنويًا على الأقل لضمان توافقها مع الأدوار والمسؤوليات الوظيفية للمستخدم.
    • إعداد جميع عمليات الوصول عن بعد وفقًا لمبدأ الحد الأدنى من الصلاحيات والامتيازات.
    • أن تتطلب جميع عمليات الوصول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية تشفير البيانات أثناء نقلها واستخدام التحقق من الهوية متعدد العناصر.
    • تسجيل استخدام الوصول عن بعد من قبل جميع المستخدمين، ويجب الاحتفاظ ببيانات السجل هذه وفقًا لسياسة ومعيار إدارة سجلات الأحداث ومراقبة الأمن السيبراني الخاصة بجامعة الإمام محمد بن سعود الإسلامية.
    • على مسؤول العملية إجراء مراجعة مرة واحدة سنويًا على الأقل للتأكد من أن الوصول عن بعد والنشاط مناسبان وساريان. يمكن استخدام بيانات السجل التي تم جمعها في هذه المراجعة.
    • تعطيل جميع حسابات الوصول عن بعد غير النشطة كجزء من مراجعة الحساب غير المستخدمة.
    • إعداد خدمة الوصول عن بعد بحيث:
    • يتم فصل جلسات الوصول عن بعد تلقائيًا بعد فترة عدم النشاط المحددة مسبقًا البالغة 30 دقيقة
    • يكون لصلات الوصول عن بعد حد زمني مطلق للاتصال كما هو محدد من قبل جامعة الإمام محمد بن سعود الإسلامية
    • تستخدم جلسات الوصول عن بعد الاتصال بالشبكة الافتراضية الخاصة المعتمدة (VPN) لدى جامعة الإمام محمد بن سعود الإسلامية
    • يصادق المستخدمون عن بعد على الشبكة باستخدام المصادقة الثنائية المعتمدة (مثل: باستخدام هوية المستخدم الخاص بهم ورمز الأجهزة أو البرامج)
    • يجب ربط رموز الأجهزة أو البرمجيات المستخدمة في المصادقة الثنائية بشكل فريد مع الاستخدام الفردي
    • على جامعة الإمام محمد بن سعود الإسلامية تطبيق الضوابط التنظيمية والفنية لمنع الوصول عن بعد للأنظمة الحساسة من خارج المملكة العربية السعودية.
    • تقييد والتحكم بعمليات الوصول المتزامنة عن بعد (مثل: نفس المستخدم، محطات متعددة).​
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م