Secure Configuration and Hardening Standard (معيار الإعدادات والتحصين الآمن)
-تحديد المعايير الأمنية الأساسية(Security baseline standards definition)
الهدف:تحديد المعايير الأمنية الأساسية (بما في ذلك الإعدادات الأساسية) للبنية التحتية للأنظمة.
المخاطر المحتملة:قد يؤدي عدم وجود معايير الإعدادات إلى حذف الإعدادات والإعدادات الأمنية المطلوبة، وقد يؤدي ذلك إلى دقة الأنظمة أو البنية التحتية ذات الثغرات والمشاكل النشطة وزيادة الصيانة والترقية بسبب عدد الإصدارات المنتشرة.
الإجراءات المطلوبة
- إعداد المعايير الأمنية الأساسية لما يلي:
- أجهزة المستخدم النهائي بما في ذلك الأجهزة اللوحية والهواتف المحمولة
- أجهزة الشبكة بما في ذلك جدران الحماية والموجهات والمبدلات
- أنظمة تشغيل الشبكة
- الخوادم
- أنظمة التشغيل
- تطبيقات الأعمال (بما في ذلك تطبيقات وسائل التواصل الاجتماعي)
- البنية التحتية للوصول عن بُعد والعمل عن بُعد، بما في ذلك الخوادم والشبكة الافتراضية الخاصة وأجهزة المستخدم النهائي
- الأنظمة الحساسة الأخرى التي حددتها الإدارة
- يجب أن تشير القواعد الأساسية الأمنية إلى ما يلي:
- الإرشادات أو التعليمات المنشورة من قبل الجهة المصنعة
- التحديثات أو التصحيحات أو حزم التحديثات أو الإعدادات الصادرة عن الجهة المصنعة
- تقييم مخاطر الأمن السيبراني الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية
- تقارير إدارة مسح الثغرات
- نتائج الاختبارات الأمنية
- معلومات حول أفضل الممارسات الأمنية الموثوقة على المستوى العالمي وعلى المستوى الوطني
- سياسات جامعة الإمام محمد بن سعود الإسلامية التي تتطلب متطلبات معينة
- تحديد وتطبيق المعايير الأساسية والإعدادات الآمنة الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية على التطبيقات والخدمات القائمة على الحوسبة السحابية والمستضافة كخدمة (البرمجيات كخدمة، المنصة كخدمة، البنية التحتية كخدمة)
-
- تغيير كلمات المرور الافتراضية لجميع الحسابات وإنشاء كلمات مرور جديدة عند تسجيل الدخول لأول مرة. وإنشاء كلمات مرور جديدة وفقًا لسياسة ومعيار إدارة الهوية والوصول الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية.
-
- إعداد البرمجيات لتعطيل الخدمات والوظائف غير المطلوبة للاستخدام من قبل عمليات جامعة الإمام محمد بن سعود الإسلامية، في الحالات التي تشكل هذه الخدمات والوظائف خطرًا على جامعة الإمام محمد بن سعود الإسلامية.
-
- الاحتفاظ بسجل للخدمات والوظائف المعطلة من قبل جامعة الإمام محمد بن سعود الإسلامية لاستخدامه في تهيئة الإعدادات والتكوينات.
-
- أن تتضمن الإعدادات والمعايير الأساسية الآمنة تزامنًا مركزيًا للوقت مع مصدر دقيق وموثوق به، على سبيل المثال الهيئة السعودية للمواصفات والمقاييس والجودة.
-
- بناء الإعدادات وفقاً للمعايير المبنية والصور وملفات الإعدادات القياسية التي تم إنشاؤها من بنية أنظمة رئيسية خاضعة للرقابة.
-
- حفظ المعايير الأمنية الأساسية والإعدادات والصور والملفات بطريقة آمنة مع تقييد الوصول إليها من الأفراد المصرح لهم وباتباع ضوابط الوصول المادي والمنطقي.
-
- حماية المعايير الأمنية والاساسية والإعدادات والصور والملفات من الوصول والتغيير والإفصاح غير المصرح بهم وذلك باتباع الضوابط المنطقية والمادية.
-
- أن يقتصر الوصول إلى المعايير الأمنية الأساسية ووثائق الإعدادات الآمنة على الأفراد المناسبين داخل جامعة الإمام محمد بن سعود الإسلامية.
تطبيق ونشر الإعدادات الآمنة (Secure configuration implementation and deployment)
الهدف:تنفيذ ونشر الإعدادات آمنة على مستوى الجهة.
المخاطر المحتملة:قد يؤدي عدم تطبيق الإعدادات القياسية إلى ترك الجهة بمزيج من الإعدادات والثغرات والمشاكل النشطة في بيئة الإنتاج، وزيادة الصيانة والنفقات العامة.
الإجراءات المطلوبة:
- بناء جميع الأنظمة والأجهزة والبرمجيات الجديدة وإعدادها وفقًا للمعايير الأساسية والإعدادات الآمنة المعتمدة، باستخدام الوحدات والصور والملفات ذات الصلة.
-
- اختبار جميع الأنظمة والأجهزة والبرمجيات الجديدة بنجاح قبل التنفيذ / إطلاق لضمان تلبيتها للمعايير الاساسية والإعدادات.
-
- إيقاف تشغيل الأنظمة أو الأجهزة أو البرمجيات التي لا تلبي المعايير الأمنية المعتمدة.
-
- نشر التطبيقات والخدمات المستندة إلى السحابة والمستضافة (بما في ذلك البرمجيات كخدمة / المنصة كخدمة/ البنية التحتية كخدمة) باتباع المعايير والاعدادات الاساسية للتطبيقات المستندة إلى السحابة والمستضافة المعتمدة لدى جامعة الإمام محمد بن سعود الإسلامية.
-
- تثبيت الإعدادات الاساسية الآمنة على الأنظمة الحالية في أقرب وقت ممكن خلال فترات الصيانة المتفق عليها.
-
- معالجة الأنظمة أو الأجهزة أو البرمجيات التي لا تلبي المعايير والإعدادات الاساسية الأمنية المعتمدة من خلال تطبيق المعايير والإعدادات الامنية الاساسية المعتمدة في أسرع وقت عملي ممكن وخلال فترات الصيانة المتفق عليها.
-تحديث الإعدادات الآمنة (Update secure configurations)
الهدف:ضمان تحديث الإعدادات الآمنة ومراجعتها بانتظام وتحديثها بطريقة خاضعة للرقابة.
المخاطر المحتملة:قد يؤدي استخدام الإعدادات غير المحدثة إلى تعريض الجهة للتهديدات الجديدة أو الحالية، وتقليل أداء الوظائف، وتقليل الأداء، ونشر الأنظمة أو البنية التحتية مع نقاط الضعف المعروفة والنشطة.
الإجراءات المطلوبة:
- مراجعة المعايير الأمنية الأساسية والإعدادات الآمنة مرة واحدة سنويًا على الأقل أو بعد أي تغيير مهم في البنية التحتية أو الأجهزة أو البرامج في جامعة الإمام محمد بن سعود الإسلامية.
-
- مراجعة الأنظمة والأجهزة والبرامج التي تم نشرها مرة واحدة على الأقل سنويًا لضمان نشر المعايير والإعدادات الآمنة المعتمدة.
-
- اتباع إجراءات إدارة التغيير لتحديث للمعايير الأمنية والإعدادات الأساسية.
-
- تقييم التطبيقات والخدمات السحابية والمستضافة مرة واحدة سنويًا على الأقل لضمان نشر التطبيقات والخدمات باستخدام المعايير الأساسية والإعدادات المعتمدة.
-
- تحديث المعايير الأساسية والإعدادات الآمنة المستخدمة إلى النسخة المعتمدة في أقرب وقت ممكن وخلال فترات الصيانة المتفق عليها.
-
- تقييم البنية التحتية وأنظمة العمل عن بُعد مرة واحدة سنويًا على الأقل لضمان توفير الوصول عن بُعد باستخدام المعايير الأساسية والإعدادات الآمنة المعتمدة
-إعداد برمجيات مكافحة البرامج الضارة (Anti-malware software configuration)
الهدف:حماية أصول تقنية المعلومات المستخدمة لدى جامعة الإمام محمد بن سعود الإسلامية من البرمجيات الضارة.
المخاطر المحتملة:قد يؤدي عدم وجود برامج مكافحة البرامج الضارة إلى تعريض أصول تقنية المعلومات في الجهة للإصابة والهجوم بسبب البرمجيات الخبيثة، مما يؤدي إلى فقدان أو تلف البيانات والمعلومات وانخفاض الإنتاجية وزيادة معدل الخطأ والإغلاق غير المتوقع.
الإجراءات المطلوبة:
- تثبيت برنامج مكافحة البرامج الضارة المعتمد لدى جامعة الإمام محمد بن سعود الإسلامية على جميع الخوادم والعملاء (أي أنظمة سطح المكتب، والحاسوب المحمول، والأجهزة اللوحية، والهواتف الجوالة).
- يجب، كحد أدنى، إعداد مكافحة البرامج الضارة بالقدرات التالية:
- الكشف عن البرمجيات الضارة المعتمدة و/أو غير الموقعة
- إعداد التنبيهات لتسجيل الدخول والمراقبة.
- يجب إعداد برنامج مكافحة البرامج الضارة كحد أدنى من أجل تحقيق ما يلي:
- الاتصال بالشبكة تلقائيًا
- التشغيل المستمر و/أو إجراء مسح منتظم للبرمجيات الضارة
- التحقق من التحديثات وتنزيلها تلقائيًا بالوتيرة المحددة
- تسجيل جميع الأنشطة التي يقوم بها البرنامج
- إصدار تنبيهات إلى المسؤول عن المستخدم وإرسال تنبيهات إلى نظام المراقبة المركزي (مثل: مركز العمليات الأمنية)
- طلب وصول مميز لإجراء تغييرات على التشغيل.
- تثبيت أنظمة منع التسلل القائمة على المضيف وأنظمة كشف التسلل القائمة على المضيف على جميع الخوادم المستخدمة وأجهزة الحاسوب المكتبية والمحمولة والأجهزة اللوحية الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية (حيث يكون النظام قادرًا على تشغيل نظام منع التسلل إلى الأجهزة المضيفة ونظام منع التطفل المستند إلى المضيف)
- يجب، كحد أدنى، إعداد نظام منع التسلل إلى الأجهزة المضيفة من أجل:
- الاتصال بالشبكة تلقائيًا
- العمل بشكل مستمر
- التحقق من التحديثات وتنزيلها تلقائيًا بالوتيرة المحددة
- تسجيل جميع التنبيهات والأنشطة المحظورة وحركة المرور التي تتم معالجتها من قبل نظام منع التسلل إلى الأجهزة المضيفة
- إصدار تنبيهات للمستخدم وإلى نظام مراقبة مركزي (مثل: مركز العمليات الأمنية)
- طلب وصول مميز لإجراء تغييرات على التشغيل
- يجب تهيئة الأصول المقدمة بموجب اتفاقيات الأطراف الخارجية لتلبية متطلبات هذا المعيار.
- يجب تحديد وتسجيل ومراجعة أصول الأطراف الخارجية التي لا تلبي متطلبات هذا المعيار.
- يجب إعداد أنظمة بوابات البريد الإلكتروني للحماية من البرامج الضارة وفقًا لسياسة ومعيار حماية البريد الإلكتروني الخاص بجامعة الإمام محمد بن سعود الإسلامية.
-إعدادات الأنظمة الحساسة (Critical systems configuration)
الهدف:تطبيق ضوابط إضافية لإعدادات آمنة على الأنظمة الحساسة.
المخاطر المحتملة:قد لا توفر الإعدادات والتكوينات وعمليات الضبط القياسية مستوى الحماية المطلوب للأنظمة الحساسة، وبالتالي قد تخضع هذه الأنظمة لمستويات أعلى من التهديدات وارتفاع وتيرة الهجمات وارتفاع مستويات التأثير على الأعمال في حال تعطل تشغيل النظام.
الإجراءات المطلوبة:
- مراجعة المعايير الأمنية الأساسية والإعدادات الآمنة للأنظمة الحساسة كل ستة أشهر على الأقل أو بعد أي تغيير كبير في البنية التحتية أو الأجهزة أو البرمجيات، بالإضافة إلى أي تغييرات في المتطلبات القانونية والتنظيمية ذات الصلة.
- مراجعة الأنظمة والأجهزة والبرمجيات الحساسة المستخدمة كل ستة أشهر على الأقل لضمان تطبيق المعايير الأساسية والإعدادات الآمنة المعتمدة.
- تحديث المعايير الأساسية والإعدادات الآمنة المستخدمة إلى النسخة المعتمدة في أقرب وقت ممكن وخلال فترات الصيانة المتفق عليها.
