Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرمعيار اختبار الاختراق

​​​​​معيار اختبار الاختراق :

​المعيار الأول:​ المتطلبات العامة :

الهدف : تحديد المتطلبات العامة والنطاق لاختبار الاختراق (Penetration Testing) التي يجب أن يتبعها فريق اختبار الاختراق الداخلي أو الخارجي قبل بدء عملية اختبار الاختراق.

المخاطر المحتملة : مكن أن يؤدي اختبار الاختراق غير المخطط له بشكل صحيح إلى مخرجات غير كافية أو غير دقيقة، أو قد يؤثر على كفاءة الأنظمة.

الإجراءات المطلوبة :

    • يجب تطوير واعتماد خطة لاختبار الاختراق يوضح فيها نطاق العمل للتطبيقات والأنظمة وتاريخ البدء والانتهاء وآلية وسيناريوهات تنفيذ عمل محاكاة لتقنيات وأساليب الهجوم السيبراني الفعلية.
    • يجب التأكد من أن خطة العمل لاختبار الاختراق متوافقة مع المتطلبات التشريعية والتنظيمية ذات العلاقة.
    • يجب التأكد من أن اختبار الاختراق يسير وفقًا لمنهجية محددة ومعتمدة ووفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة.
    • يجب صياغة وثيقة قواعد التنفيذ قبل بدء عملية اختبار الاختراق (Penetration Testing) وتتضمن هذه الوثيقة مالك النظام، مسؤول النظام، ضوابط الاتصال الرئيسية خلال الاختبار، الصلاحيات المعطاة لمسؤول الاختبار، نطاق الاختبار، الأجهزة النشطة والمنافذ والخدمات التابعة لها، نوع الاختبار، مدة الاختبار، عدد أعضاء فريق الاختبار، آلية اختبار الاختراق والأدوات والتقنيات المستخدمة التي يجب أن يتبعها فريق اختبار الاختراق الداخلي أو الخارجي، المتطلبات العامة وغيرها.
    • جب إعداد تقرير لنتائج مفصلة لاختبار الاختراق يتضمن لأقسام التالية على الأقل:             
      • الملخص التنفيذي
      • مقدمة لإعداد التقارير
      • الأصول المستهدفة
      • المنهجية المتبعة في تصنيف الثغرات
      • مسار الهجوم
      • الجدول الزمني لأعمال التقييم
      • الاختبارات التي تم إجراؤها
      • التحديات
      • تفاصيل الملاحظات المكتشفة والتوصيات
    • بعد الانتهاء من تقرير اختبار الاختراق، يجب إعداد خطة عمل لتنفيذ التوصيات، على أن يتضمن التقرير ما يلي على الأقل:
      • المسؤول التقني عن الأصل (Technical Owner).
      • مالك الأصل (Business Owner).
      • الإجراءات المطلوبة لتنفيذ التوصيات.
      • الفترة الزمنية اللازمة لتنفيذ التوصيات.
    • يجب التأكد من أن تقنيات المستخدمين وأدواتهم وحساباتهم، وكذلك الأجهزة المستخدمة في اختبار الاختراق أو كانت جزءًا منه، خاضعة للتحكم والمراقبة وذلك لضمان استخدامها لغرض اختبار الاختراق فقط.
    • إزالة أو/و استعادة الأوضاع الطبيعية للتقنيات والأدوات وحسابات المستخدمين وكذلك الأجهزة المستخدمة في اختبار الاختراق أو كانت جزءًا منه، بعد الانتهاء من عملية اختبار الاختراق.
    • يجب إعداد تقرير لكل اختبار اختراق غير ناجح أو غير مكتمل توضح فيه تحديات التي واجهت فريق الاختبار لدراسة العوائق وحلها وإعادة الاختبار مرة أخرى.

المعيار الثاني:​ ​آلية اختبار الاختراق :

الهدف : تحديد آلية اختبار الاختراق والأدوات والتقنيات المستخدمة التي يجب أن يتبعها فريق اختبار الاختراق الداخلي أو الخارجي قبل بدء عملية اختبار الاختراق.

المخاطر المحتملة : يمكن أن يؤدي اختبار الاختراق غير المدروس إلى حصول ثغرات جديدة أو وصول غير مصرح به أو استمرار وجود نقاط ضعف أمنية في البيئة لا يتم اكتشافها مما يؤدي إلى نتائج غير دقيقة، كما يمكن أن يؤدي إلى تسرب البيانات أو كشفها أو إلحاق الضرر بالأنظمة والخدمات والمكونات التقنية.

الإجراءات المطلوبة :

    • يجب إجراء اختبار الاختراق دوريًا وفقًا لسياسة اختبار الاختراق المعتمدة لدى جامعة الإمام محمد بن سعود الإسلامية.
    • يجب إجراء اختبار الاختراق لجميع الخدمات المقدمة خارجيًا ومكوناتها التقنية دوريًا وحسب جدول محدد، ووفقًا لمنهجية وإجراءات محددة ومعتمدة.
    • يجب إجراء اختبار الاختراق لجميع المكونات التقنية للأنظمة الحساسة، وجميع الخدمات المقدمة داخلياً وخارجياً بانتظام وبحسب جدول محدد (كل 6 أشهر) وفقًا لمنهجية وإجراءات محددة ومعتمدة.
    • يجب إجراء اختبار الاختراق لأنظمة العمل عن بعد مرة واحدة كل سنة على الأقل وفقًا لمنهجية وإجراءات محددة ومعتمدة.
    • يجب التأكد من تنفيذ اختبار الاختراق وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة، مع الأخذ بالاعتبار الإرشادات التالية:
      • لاتوفير المتطلبات الخاصة ببدء اختبار الاختراق الواردة في إجراءات اختبار الاختراق.
      • الاطلاع على تقارير اختبارات الاختراق السابقة والمستندات المساعدة (إن وجدت) مثل مخططات الشبكة والمعايير التقنية الأمنية واستخدامها كمدخلات لعملية اختبار الاختراق لفهم طبيعة الأعمال للنظام أو التطبيق أو المكون التقني.
      • تحديد آلية الاختبار والتي تتضمن اختبار الصندوق الأسود (اختبار اختراق دون توفير معلومات للجهة التي تجري الاختبار)، واختبار الصندوق الأبيض (اختبار اختراق مع توفير جميع المعلومات للجهة التي تجري الاختبار)، واختبار الصندوق الرمادي (اختبار اختراق مع توفير بعض المعلومات للجهة التي تجري الاختبار).
      • تحديد الأنظمة أو الخدمات أو المكونات التقنية المستهدفة بالاختبار وأي معلومات أو صلاحيات يجب توفيرها قبل بدء اختبار الاختراق.
      • إجراء تقييمات غير مباشرة (Passive Assessment) لمراجعة وفحص الأنظمة والتطبيقات والشبكات والسياسات والإجراءات واكتشاف الثغرات الأمنية من خلال مراجعة الوثائق (Documentation Review)، مراجعة السجلات (Log Review)، مراجعة القواعد (Ruleset Review)، مراجعة إعدادات الأنظمة (System Configuration Review)، التنصت الشبكي على المعلومات (Network Sniffing)، أو فحص سلامة الملفات (File Integrity Checking).
      • يجب أن يتضمن اختبار الاختراق إنشاء منصة أو بيئة تحاكي الأنظمة أو الخدمات المستهدفة باختبار الاختراق لعمل الاختبار عليها بدلًا من الأنظمة والخدمات الإنتاجية الفعلية وتشمل بحد أدنى ما يلي:
      • الهندسة الاجتماعية.
      • اختبار الاختراق على مستوى الشبكة.
      • اختبار الاختراق على مستوى التطبيق.
      • اختبار الاختراق للشبكة اللاسلكية.
      • توثيق النتائج لكل خطوة من خطوات اختبار الاختراق.
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م