Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرمعيار إدارة مفاتيح التشفير

​​​​

  معيار إدارة مفاتيح التشفير

-المتطلبات العامة (General requirements)

الهدف: تحديد المتطلبات العامة لعملية إدارة مفاتيح التشفير لضمان الإدارة الآمنة والمناسبة لمفاتيح التشفير التي تستخدمها جامعة الإمام محمد بن سعود الإسلامية خلال دورة حياتها.

المخاطر المحتملة :في حال عدم استخدام مفاتيح التشفير بصورة صحيحة وعدم تنفيذ عملية إدارتها بما يتماشى مع معايير التشفير العامة، فسيؤثر ذلك على عمليات التواصل وتبادل البيانات، ما قد يترتب عليه سرقة المعلومات والكشف عنها والوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • أن تتوافق إدارة مفاتيح التشفير مع الضابط 2-8-3 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018).
    • إدارة المفاتيح من خلال الأنشطة التي تتضمن التعامل مع المفاتيح والمعايير الأمنية ذات الصلة مثل متجهات التهيئة خلال دورة المفتاح، بما في ذلك إنشاء المفتاح وتخزينه وإعداده وإدخاله وإخراجه واستخدامه وإتلافه.
    • تقسيم المفاتيح وفقًا لتصنيفها (عامة أو خاصة أو مشتركة أو متماثلة) وطبيعة استخدامها.
    • حماية المفاتيح وارتباطها وفقًا لنوعها والحماية المطلوبة.
    • أن تستوفي عملية استخدام وحدات تشفير الأجهزة المتطلبات التالية:
    • يجب ألا تكون المفاتيح الخاصة صالحة لأكثر من 5 سنوات (وهذا لا يحد من عمر الشهادات الصادرة عن هيئة إصدار الشهادات) لمعايير التشفير من المستوى المتوسط.
    • يجب ألا تكون المفاتيح الخاصة صالحة لأكثر من 3 سنوات (وهذا لا يحد من عمر الشهادات الصادرة عن هيئة إصدار الشهادات) لمعايير التشفير من المستوى المتقدم.
    • أن تستوفي عملية استخدام وحدات تشفير البرمجيات المتطلبات التالية:
    • يجب ألا تكون المفاتيح الخاصة صالحة لأكثر من سنتين لمعايير التشفير من المستوى المتوسط.
    • لا تكون مقبولة لمعايير التشفير من المستوى المتقدم.

 

-إنشاء المفاتيح (Key Generation)

الهدف :   تحديد متطلبات عملية إنشاء المفاتيح لضمان إنشاء المفاتيح بشكل سليم وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة : إذا لم يتم إنشاء مفاتيح التشفير بشكل صحيح بما يتماشى مع العملية المحددة، فقد يؤدي ذلك إلى إنشاء مفاتيح ضعيفة يمكن أن يكون لها تداعيات خطيرة قد يترتب عليها سرقة المعلومات والكشف عنها والوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • أن يتم إنشاء المفاتيح بناءً على:
    • إنشاء مفتاح باستخدام مُنشئ البتّات العشوائية (تم تحديد منشئات البتّات العشوائية في المنشور الخاص للمعهد الوطني للمعايير والتكنولوجيا 800-90ar1)
    • اشتقاق مفتاح من مفتاح آخر.
    • اشتقاق مفتاح من اتفاقية المفاتيح الموثقة بكلمة المرور بين طرفين باستخدام مخطط اتفاقية مفاتيح معتمد.
    • أن يتم إنشاء مفاتيح هيئة إصدار الشهادات في بيئة مؤمنة ماديًا من قبل العاملين (الموظفين والمتعاقدين) الذي يتمتعون بأدوار موثوقة خاضعة لرقابة مزدوجة، كحد أدنى، حيث تنطوي الرقابة المزدوجة على الاستعانة بشخصين أو أكثر لمراقبة عملية إنشاء المفاتيح ليكونا جزءًا من إجراء إنشاء المفاتيح الرسمي.
    • اعتماد طرق إنشاء أزواج المفاتيح غير المتماثلة وإدراجها وضمان امتثالها لوثيقة المعايير الوطنية للتشفير.
    • إنشاء زوج المفاتيح الثابت غير المتماثل من خلال:
    • الطرف الذي يملك زوج المفاتيح (أي الطرف الذي يستخدم المفتاح الخاص في حسابات التشفير).
    • منشأة تقوم بتوزيع زوج المفاتيح.
    • المالك والمنشأة في عملية تعاونية.
    • أن تكون المفاتيح المتماثلة إما:
    • مُنشأة بواسطة طريقة معتمدة ومُدرجة ومتوافقة مع وثيقة المعايير الوطنية للتشفير
    • مشتقة من مفتاح رئيسي/مفتاح اشتقاق المفاتيح باستخدام خوارزمية اشتقاق مفاتيح معتمدة ومتوافقة مع وثيقة المعايير الوطنية للتشفير - وظيفة اشتقاق المفاتيح.​
    • إنشاء المفتاح السري المتماثل المستخدم لتطبيق الحماية المشفرة على المعلومات وإزالة الحماية أو التحقق منها من خلال:
    • جهة أو أكثر من الجهات التي ستتشارك المفتاح،
    • طرف موثوق يوفر المفتاح للجهات المشاركة المقصودة بطريقة آمنة. ويجب أن يكون الطرف الموثوق محل ثقة من جميع الجهات التي ستشارك المفتاح وأن يلتزم بعدم الإفصاح عن المفتاح لأطراف غير مصرح لها أو إساءة استخدام المفتاح بأي شكل آخر.
    •  أن تتوافق أطوال المفاتيح المستخدمة في خوارزميات المفاتيح المتماثلة مع وثيقة المعايير الوطنية للتشفير.
    • إنشاء جميع المفاتيح المتماثلة والمفاتيح المشاركة ضمن وحدة تشفير منصوص عليها في وثيقة المعايير الوطنية للتشفير.
    • بالنسبة للأنظمة الحساسة، من الضروري استخدام مفاتيح متماثلة بأطوال لا تقل عن 256 بت، ومفاتيح تشفير المنحنى البيضاوي (ECC) غير المتماثل بأطوال لا تقل عن 512 بت.

 

-تسجيل/مصادقة المفاتيح (Key Registration/Certification)

الهدف :   تحديد متطلبات عملية تسجيل/مصادقة المفاتيح لضمان تنفيذ عملية تسجيل/مصادقة المفاتيح وفقًا للقواعد الأمنية.

المخاطر المحتملة : في حال عدم تسجيل مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: تسجيل المفاتيح لدى هيئة إصدار شهادات غير موثوقة وغير مصرح لها، ما قد يؤدي إلى تداعيات خطيرة قد يترتب عليها سرقة المعلومات والإفصاح عنها والوصول غير المصرح به إليها.

المعايير المطلوبة:

    • ربط المفاتيح بمالكها (مستخدمها) من خلال شهادة.
    • توزيع الشهادات الصادرة عن هيئة إصدار شهادات موثوقة على الأطراف المعتمدة والموقعين عليها.
    • الاستعانة بهيئة إصدار شهادات موثوقة.
    • أن يؤدي تسجيل المفاتيح إلى ربط مواد إنشاء المفاتيح بالمعلومات المرتبطة بجهة معينة. تشمل المفاتيح التي سيتم تسجيلها المفتاح العام لزوج مفاتيح غير متماثل والمفتاح المتماثل المستخدم لتحويل الجهة إلى نظام.
    • أن يكون الربط من قبل طرف خارجي موثوق. ومن الأمثلة على الأطراف الخارجية الموثوقة خادم كيربيروس ريلم (Kerberos realm) أو هيئة إصدار شهادات البنية التحتية للمفاتيح العامة (PKI).
    • في حال تم تنفيذ عملية الربط من خلال خادم كيربروس ريلم، يجب تخزين مفتاح متماثل على هذا الخادم مع البيانات الوصفية ذات العلاقة.
    • في حال قيام هيئة إصدار الشهادات بإجراء الربط، يجب وضع المفتاح العام والمعلومات المرتبطة به في شهادة المفتاح العام التي توقعها هيئة إصدار الشهادات رقميًا.
    • إذا قدمت هيئة إصدار الشهادات شهادة لمفتاح عام، يجب التحقق من المفتاح العام للتأكد من ارتباطه بالمفتاح الخاص المعروف من قبل المالك المفترض للمفتاح العام.

- توزيع المفاتيح وتثبيتها (Key Distribution and Installation)

الهدف   :  تحديد متطلبات عملية توزيع المفاتيح وتثبيتها لضمان توزيع المفاتيح وتثبيتها بشكل سليم وفقًا للقواعد الأمنية.

المخاطر المحتملة :   في حال عدم توزيع مفاتيح التشفير وتثبيتها بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: اختراق المفاتيح وفك تشفيرها أو توزيعها على طرف خارجي غير مصرح له، ما قد يكون لذلك تداعيات خطيرة قد يترتب عليها سرقة المعلومات والكشف عنها والوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • ضمان سلامة وموثوقية مفتاح التحقق من التواقيع الخاص بهيئة إصدار الشهادات (المفتاح العام) وأي معايير مرتبطة به أثناء توزيعه على الأطراف المعوّلة.
    • توزيع المفاتيح على مستخدميها بشكل آمن وتحت إشراف المستخدمين.
    • نقل المفاتيح بشكل آمن من خلال حماية سريتها وموثوقيتها بما يتماشى مع وثيقة المعايير الوطنية للتشفير وعلى النحو المنصوص عليه فيها.
    • عدم توزيع المفاتيح الخاصة والسرية من خلال نص عادي.
    • تثبيت جميع نسخ المفاتيح وتخزينها بشكل آمن.
    • تأمين المفاتيح العامة لمنع اعتراضها والتلاعب بها إلى حين توزيعها.
    • نقل المفاتيح العامة، ويجب حماية الموثوقية (وليس الخصوصية) باستخدام الشهادات.
    • حماية المفاتيح الخاصة والتصريح بها من قبل المالك أو الطرف الخارجي أو هيئة إصدار الشهادات.
    • نقل المفاتيح التي يتم إنشاؤها باستخدام قنوات آمنة فقط (عندما يكون النقل ضروريًا).
    • عدم مشاركة المفاتيح أو توزيعها خارج تلك الجهات أو الأجهزة المحددة التي تتطلب استخدام المفتاح للأغراض المعتمدة.
    • أن تكون المفاتيح الموزعة يدويًا إما:
    • محمية من خلال التشفير، مثل تلك المخصصة للتوزيع الإلكتروني.
    • أو حاصلة على حماية مادية وتخضع للتوزيع المُراقب باستخدام طريقة آمنة ومعتمدة بين كل من منشأة معالجة المفاتيح والجهة النهائية.
    • عدم توزيع المفاتيح المستخدمة فقط لتخزين المعلومات إلا لأغراض النسخ الاحتياطي أو إلى الجهات المصرح لها الأخرى التي قد تتطلب الوصول إلى المعلومات المخزنة المحمية بواسطة المفاتيح.
    • الحفاظ على سرية المفتاح الخاص لزوج المفاتيح غير المتماثل. إذا تم نقل المفتاح، فيجب إخراجه ونقله بطريقة تضمن سريته وسلامته وموثوقيته بالشكل الملائم.
    • أن تكون الطريقة المستخدمة لنقل المفاتيح المتماثلة أو تشفير المفاتيح داعمة لمنظومة الحماية الأمنية اللازمة لحماية البيانات المستهدفة.
    • عدم نقل البيانات المشفرة والمفتاح المستخدم لتشفيرها معًا ما لم يتم حماية مفتاح التشفير عبر تشفير ثانوي، على سبيل المثال: تشفير المفتاح العام.

استخدام المفاتيح (Key Use)

الهدف :   تحديد متطلبات عملية استخدام المفاتيح لضمان الاستخدام السليم للمفاتيح وفقًا للقواعد الأمنية.

المخاطر المحتملة: في حال عدم استخدام مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: سوء استخدام المفتاح أو استخدامه بشكل غير مصرح به، ما قد يترتب عليه مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • حماية المفاتيح من الاستخدام غير المصرح به خلال دورات حياتها.
    • أن تخضع المفاتيح لآليات التحقق من التفويض لمنع المالكين من إساءة استخدامها.
    • استخدام كل مفتاح لغرض واحد فقط (مثل: التشفير أو المصادقة على السلامة أو تشفير المفاتيح بمفتاح آخر أو إنشاء البتات العشوائية أو التواقيع الرقمية).
    • ربط المفاتيح وأغراض استخدامها بطريقة موثوقة (تشفير المفاتيح بمفاتيح أخرى). وتخبر معلومات استخدام المفتاح النظام على متى يمكن (ومتى لا يمكن) استخدام المفتاح.
    • يجب تحديد فترة تشفير لكل مفتاح من أزواج المفاتيح غير المتماثلة.
    • يجوز تغيير المفتاح في الحالات التالية:
    • عند اختراق المفتاح.
    • عند اقتراب انتهاء صلاحية فترة تشفير المفتاح.
    • من المستحسن الحدّ من كمية البيانات المحمية باستخدام أي مفتاح معين (إنشاء مفتاح مشفر جديد - وهي عملية يتم فيها تغيير المفتاح المستخدم في جلسة الاتصال الجارية من أجل الحد من كمية البيانات التي يتم تشفيرها باستخدام المفتاح ذاته).

-     تخزين المفاتيح (Key Storage)

الهدف : تحديد متطلبات عملية تخزين المفاتيح لضمان التخزين السليم للمفاتيح وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة : في حال عدم تخزين مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: تسرب بيانات المفتاح وفك تشفيره نتيجة لذلك، ما قد يؤدي إلى مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • على الجهة أن تفرض إعداد نسخ احتياطية آمنة للمفاتيح (للاستخدام الداخلي أو لاستخدام جهات إنفاذ القانون) عندما يكون التشفير مدعومًا.
    • يجب تحديد قواعد تخزين معلومات المفاتيح ووقت الاحتفاظ بها من قبل جامعة الإمام محمد بن سعود الإسلامية.
    • أن تخضع المفاتيح المستخدمة في ضمان عدم إنكار صحة البيانات لرقابة المستخدم وحده.
    • استخدام معرفات المفاتيح أو الأسماء المميزة لتحديد المفاتيح بشكل صحيح.
    • على جامعة الإمام محمد بن سعود الإسلامية معالجة كيفية قيام جهاز أو تطبيق التشفير بتخزين وحماية معلومات المفاتيح، بما في ذلك مدة تخزينها.
    • أن توضح جامعة الإمام محمد بن سعود الإسلامية كيفية تحديد معلومات المفتاح (مثل: معرف المفتاح، والاسم المميز، والملكية، ومستخدمي المفتاح، وتاريخ الإنشاء، وتاريخ انتهاء الصلاحية، وهيئة إصدار الشهادات المعنية) خلال فترة تخزينه (مثل: باستخدام اسم مميز أو معرف مفاتيح). كما يجب إدراج متطلبات سعة التخزين لتخزين معلومات المفتاح.
    • تخزين المفاتيح الخاصة غير المتماثلة بإحدى الطرق التالية:
    • داخل جهاز واحدة من أجهزة تأمين وإدارة المفاتيح الرقمية بصيغة نص عادي (أو مشفرة بمفتاح رئيسي).
    • خارج أجهزة تأمين وإدارة المفاتيح الرقمية مع التأكد من تشفيرها بواسطة خوارزمية تشفير المفاتيح بمفاتيح أخرى وفقًا للمعايير الوطنية للتشفير.
    • داخل عدة أجهزة من أجهزة تأمين وإدارة المفاتيح الرقمية بصيغ نص عادي متفرقة (أو مشفرة بمفتاح رئيسي).
    • يجب تخزين المفاتيح المتماثلة داخل أجهزة تأمين وإدارة المفاتيح الرقمية. وفي حال كان هناك استثناء يستدعي تخزين المفتاح خارج وحدة التشفير، يجب أن تعتمد آلية الحماية على مستوى التأثير المرتبط بالبيانات المحمية بواسطة المفتاح.
    •  تشفير قاعدة البيانات المستخدمة لتخزين المفاتيح باستخدام وحدة معتمدة تمتثل لوثيقة معايير الأمن الوطني.

-      إلغاء المفاتيح/التحقق منها (Key Revocation/Validation)

الهدف : تحديد متطلبات عملية إلغاء المفاتيح/التحقق منها لضمان الإتلاف التام للمفاتيح وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة: في حال عدم إلغاء مفاتيح التشفير والتحقق منها بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: البيانات المشفرة بسبب فك تشفير المفتاح المخترق وتسربه أو انتهاء صلاحية استخدام المفتاح، ما قد يترتب عليه مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • يجب إلغاء المفتاح في الحالات التالية:
    • يجب إنهاء الاستخدام المصرح به لمفتاح ما قبل نهاية مدة التشفير المحددة لهذا المفتاح.
    • انتهاء فترة استخدام المفتاح.
    • اختراق المفتاح.
    • يجوز إلغاء المفتاح لأسباب إدارية (مثل: مغادرة مالك المفتاح لجامعة الإمام محمد بن سعود الإسلامية أو رفع جهاز يحتوي على المفتاح من الخدمة).
    • يجب إلغاء المفتاح على أساس طارئ إذا كان هناك سبب وجيه للاعتقاد بأن المفتاح قد كُشف أو تم الوصول إليه بطريقة أخرى من قبل جهة غير مصرح لها.
    • يجب إلغاء المفتاح بأسرع وقت ممكن بعد إثبات الحاجة إلى الإلغاء.
    • تفعيل قائمة إلغاء الشهادات (CRL) وبروتوكول حالة الشهادة عبر الإنترنت (OCSP) لتجنب الاعتماد على المفاتيح التي انتهت صلاحيتها.
    • إشعار الأطراف ذات العلاقة بعملية إلغاء المفتاح باستخدام قوائم إلغاء الشهادات أو بروتوكول حالة الشهادة عبر الإنترنت، على سبيل المثال.
    • عند اختراق أو فك تشفير أحد المفاتيح، يجب إشعار جميع الجهات التي تتشارك المفتاح (مثل: باستخدام قائمة المفاتيح المخترقة).
    • على جامعة الإمام محمد بن سعود الإسلامية التحقق من المفاتيح المستخدمة من خلال التحقق من قوائم/خوادم إلغاء الشهادات أو بروتوكول حالة الشهادة عبر الإنترنت.
    • الحصول على ضمان لصلاحية المفاتيح العامة للتأكد من أن المفتاح صحيح حسابياً من خلال إحدى الطرق التالية:
    • الحصول على ضمان من مالك المفتاح أو جهة التحقق من المفتاح أو طرف خارجي موثوق.
    • التحقق الصريح من المفاتيح العامة من خلال تشفير رسالة باستخدام مفتاح واحد وفك التشفير باستخدام المفتاح الآخر.

-     أرشفة المفاتيح (Key Archive)

الهدف : تحديد متطلبات عملية أرشفة المفاتيح لضمان الأرشفة السليمة للمفاتيح وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة : في حال عدم أرشفة مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: تسرب بيانات المفتاح وتعرضه للاختراق وتسرب البيانات نتيجة لذلك، ما قد يترتب عليه مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • تأمين عملية الأرشفة وضمان السرية للحفاظ على سرية المعلومات المشفرة بالمفاتيح المؤرشفة.
    • أرشفة المفاتيح منتهية الصلاحية لضمان إمكانية الوصول إلى البيانات القديمة شريطة أن يكون التشفير الأصلي مدعومًا.
    •  أن تلتزم أنظمة الأرشفة بفترات الاحتفاظ المحددة وفقًا للوائح ذات الصلة والسياسات والمعايير الداخلية في جامعة الإمام محمد بن سعود الإسلامية.
    • يجب أن يحتوي أرشيف المفاتيح على المفاتيح والمعلومات المرتبطة بها (أي معلومات المفتاح مثل: معرف المفتاح، والاسم المميز، والملكية، ومستخدمي المفتاح، وتاريخ الإنشاء، وتاريخ انتهاء الصلاحية، وهيئة إصدار الشهادات المعنية لأغراض الاستعادة بعد مدة تشفير المفاتيح.
    • ضمان استمرار توفير تدابير الحماية المناسبة من خلال أرشيف المفاتيح بما يتماشى مع المتطلبات الواردة في وثيقة المعايير الوطنية للتشفير لكل مفتاح وأي معلومات أخرى ذات صلة في الأرشيف. يجب أن يطبق الأرشيف آلية محكمة للتحكم في الوصول لتقييد الوصول وضمان اقتصاره على الجهات المصرح لها فقط.
    •  الاحتفاظ بالأرشيف من قبل جامعة الإمام محمد بن سعود الإسلامية أو طرف خارجي موثوق.

-   إتلاف المفاتيح (Key Destruction)

الهدف : تحديد متطلبات عملية إتلاف المفاتيح لضمان إتلاف المفاتيح بشكل سليم وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة : في حال عدم إتلاف مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: احتمالية فك تشفير البيانات من خلال اختراق المفاتيح وتسرب البيانات، ما قد يترتب عليه مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • إزالة المفاتيح عند انتهاء فترة صلاحية المفتاح وعندما لا تعود هناك حاجة لأرشفته أو تخزينه من خلال عملية حذف آمنة تمتثل لوثيقة معايير الأمن الوطني للحدّ من احتمالات الاختراق. يجب إزالة المفتاح بالكامل بجميع أحداثه والتأكد من استحالة استعادة ذلك المفتاح.
    • إتلاف جميع نسخ المفاتيح السرية (المتماثلة) والمفاتيح العامة والخاصة (غير المتماثلة) بمجرد انتفاء الحاجة إليها (مثل: لأغراض الأرشفة وإعادة الإنشاء) من أجل الحدّ من احتمالية الاختراق.
    • إتلاف المفاتيح السرية (المتماثلة) والمفاتيح العامة والخاصة (غير المتماثلة) بما يضمن التخلص من جميع آثار وسجلات المفاتيح بحيث لا يمكن استردادها سواء بوسائل مادية أو إلكترونية.
    • إلغاء المفتاح المخترق بأسرع وقت ممكن.​
    • الاحتفاظ بالمفاتيح العامة أو إتلافها اعتمادًا على الاحتياجات المستقبلية، بالاقتران مع أغراض الأرشفة أو الاستعادة أو المساءلة.
    • تطهير أنظمة تخزين الوسائل التي تخزّن المفاتيح بشكل كامل قبل التخلص منها باستخدام عملية تمتثل للمنشور الخاص للمعهد الوطني للمعايير والتكنولوجيا 800-88r1 أو دليل التطهير الكامل لأجهزة التخزين الصادر عن إدارة الأمن المركزي التابعة لوكالة الأمن القومي.

 

-     المسؤولية عن المفاتيح (Key Accounting)

الهدف : تحديد متطلبات عملية تعيين نطاق المسؤولية عن المفاتيح لضمان تحديد المسؤولية عن المفاتيح بشكل صحيح وفقًا للقواعد الأمنية المعمول بها.

المخاطر المحتملة : في حال عدم تحديد نطاق المسؤولية عن مفاتيح التشفير بما يتماشى مع المتطلبات المحددة، فقد يؤدي ذلك إلى: تعذر استدعاء الشخص المسؤول عن سوء استخدام المفتاح أو اختراق المفتاح، ما قد يترتب عليه مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • مراقبة استخدام المفاتيح غير المتماثلة من قبل الإدارة العامة للأمن السيبراني التابعة لجامعة الإمام محمد بن سعود الإسلامية أو ترشيحها من قبل مالكي/مديري المفاتيح لدى الإدارة العامة للأمن السيبراني من خلال أدوات مخصصة.
    • تحديد نطاق المسؤولية عن المفاتيح، ويجب أن تتضمن عملية تحديد نطاق المسؤولية تعيين الجهات التي تمتلك صلاحيات الوصول إلى مفاتيح التشفير أو التحكم فيها طوال دورة حياتها.
    • إبلاغ كل شخص يشارك في إدارة المفاتيح لدى جامعة الإمام محمد بن سعود الإسلامية بنطاق مسؤولياتهم بشكل واضح وضمان مساءلتهم عن الالتزام بها.

 

-    معايير أخرى (Other Standard controls)

الهدف : يجب ضبط إعدادات عملية إدارة المفاتيح وتنفيذها بشكل آمن وتلبية المعايير الأخرى ذات الصلة.

المخاطر المحتملة : قد يترتب على عدم التزام جامعة الإمام محمد بن سعود الإسلامية بجميع المعايير والمتطلبات الإلزامية المطبقة ارتفاع احتمالية تعرضها للتهديدات في المجالات التي تغطيها المعايير المذكورة أدناه.

الإجراءات المطلوبة:

    • تطبيق المعايير التالية فيما يتعلق بعملية إدارة المفاتيح:
    • المعايير الوطنية للتشفير
    • معيار التشفير ​​
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م