ﻦﻴﻣﺄﺗ ﺐﻴﺘﻜﺑ ﺔﺻﺎﺨﻟا تادﺎﺷرﻹا [IAP-GOV-GFGM] Manual... · ‐ 5 ‐ "أ" ﻞﺼﻔﻟا ﺔﻣﺎﻋ ةﺮﻈﻧ ﺐﻴﺘآ ﺬﻴﻔﻨﺗو

‐1‐

المجلس األعلى لالتصاالت وتكنولوجيا المعلومات بقطر

1,0

)رسمية غير سرية(معلومات غير مصنفة

01 -50-2011

:المؤلف

:النسخة

:التصنيف

:تاريخ اإلصدار

سياسات تأمين المعلومات الحكومية

اإلرشادات الخاصة بكتيب تأمين المعلومات الحكومية ]IAP-GOV-GFGM[

‐2‐

جدول المحتويات

2 .................................................................................................................. جدول المحتويات

5 ......................................................................................................................... "أ"الفصل

5 .............................................................................................................. نظرة عامة -1

5 ...................................................................................................... الملكية والمحافظة -2

5 ................................................................................................................. المراجع -3

7 ........................................................................................................................ "ب"الفصل

IG[ ......................................................................................... 7[إرشادات حول هيكل الحوآمة -1

7 ........................................................................... إرشادات حول السياسة والضوابط الرئيسية 1-1

RM[ ....................................................................................... 9[إرشادات حول إدارة المخاطر -2

9 ........................................................................... إرشادات حول السياسة والضوابط الرئيسية 2-1

TM[ ...................................................................... 11[إرشادات حول إدارة أمن األطراف األخرى -3

11 ......................................................................... إرشادات حول السياسة والضوابط الرئيسية 3-1

DL[ ................................................................. 12[إرشادات حول وضع البطاقات التعريفية للبيانات -4


CM[ ....................................................................................... 13[إرشادات حول إدارة التغيير -5


PS[ ........................................................................................ 15[إرشادات حول أمن العاملين -6


SA[ ...................................................................................... 18[إرشادات حول التوعية األمنية -7


IM[ ....................................................................................... 21[إرشادات حول إدارة الحوادث -8


BC[ ................................................................ 24[إرشادات حول إدارة استمرارية تصريف األعمال -9


SM[ .................................................................. 28[إرشادات حول تسجيل األداء والمتابعة األمنية -10

28 ....................................................................... إرشادات حول السياسة والضوابط الرئيسية 10-1

DR[ ............................................................................ 30[إرشادات حول حفظ وأرشفة البيانات -11


DC[ ............................................................................................ 32[إرشادات حول التوثيق -12


AC[ ........................................................................................... 33[إرشادات حول االعتماد -13


35 ...................................................................................................................... "ج"الفصل

‐3‐

CS [ .................................................................................... 35[ٍٍإرشادات حول أمن االتصاالت -1

35 ........................................................................................................ أهداف السياسة 1-1

35 ..................................................... تمديد الكابالت –إرشادات حول السياسة والضوابط الرئيسية 1-2

36 ................................................ الهواتف والفاآسات –إرشادات حول السياسة والضوابط الرئيسية 1-3

NS[ ........................................................................................ 37[إرشادات حول أمن الشبكات -2

37 ........................................................................................................ أهداف السياسة 2-1

37 ..................................................... إدارة الشبكات –إرشادات حول السياسة والضوابط الرئيسية 2-2

VLAN .................................. 38الشبكات المحلية االفتراضية –إرشادات السياسة والضوابط الرئيسية 2-3

MFDs( ............................ 39(األجهزة متعددة الوظائف –وابط الرئيسية إرشادات حول السياسة والض 2-4

DNS( ................................. 41(خوادم أسماء النطاقات –إرشادات حول السياسة والضوابط الرئيسية 2-5

41 ................................................ أمن شبكة اإلنترنت –إرشادات حول السياسة والضوابط الرئيسية 2-6

42 ............................................. أمن البريد اإللكتروني –إرشادات حول السياسة والضوابط الرئيسية 2-7

43 .................................................... األمن الالسلكي –إرشادات حول السياسة والضوابط الرئيسية 2-8

44 ............................................................. التزامن –إرشادات حول السياسة والضوابط الرئيسية 2-9

VPNs( ...................... 45(الشبكات االفتراضية الخاصة –إرشادات حول السياسة والضوابط الرئيسية 2-10

VoIP( ................ 46(األمن الصوتي لبروتوآول اإلنترنت –إرشادات حول السياسة والضوابط الرئيسية 2-11

48 .......................... لبروتوآول اإلنترنت 6اإلصدار رقم –إرشادات حول السياسة والضوابط الرئيسية 2-12

IE[ ..................................................................................... 50[إرشادات حول تبادل المعلومات -3

50 ........................................................................................................ أهداف السياسة 3-1


GS[ .......................................................................................... 54[إرشادات حول أمن البوابة -4

54 ........................................................................................................ أهداف السياسة 4-1

54 ................................................................. عام –إرشادات حول السياسة والضوابط الرئيسية 4-2

56 ..................................................................... تصدير البيانات –السياسة والضوابط الرئيسية 4-3

57 ..................................................................... استيراد البيانات –السياسة والضوابط الرئيسية 4-4

PR[ ....................................................................................... 58[إرشادات حول أمن المنتجات -5

58 ........................................................................................................ أهداف السياسة 5-1


SS[ ..................................................................................... 60[إرشادات حول أمن البرمجيات -6

60 ........................................................................................................ أهداف السياسة 6-1

60 ........................................ تطوير وحيازة البرمجيات –إرشادات حول السياسة والضوابط الرئيسية 6-2

63 ................................................................ تطبيقات البرمجيات –السياسة والضوابط الرئيسية 6-3

65 ......................................................................تطبيقات الويب –السياسة والضوابط الرئيسية 6-4

66 ...................................................................... قواعد البيانات –السياسة والضوابط الرئيسية 6-5

SU[ ................................................................................. 68[إرشادات حول أمن استخدام النظام -7

68 ........................................................................................................ أهداف السياسة 7-1

‐4‐


MS[ ........................................................................................ 71[إرشادات حول أمن الوسائط -8

71 ........................................................................................................ أهداف السياسة 8-1

71 ............................................ تصنيف ووسم الوسائط –إرشادات حول السياسة والضوابط الرئيسية 8-2

72 ..................................................................... تطهير الوسائط –السياسة والضوابط الرئيسية 8-3

73 ........................................................... إصالح وصيانة الوسائط –السياسة والضوابط الرئيسية 8-4

74 ..................................................... تدمير الوسائط والتخلص منها –السياسة والضوابط الرئيسية 8-5

AM[ ......................................................................... 75[إرشادات حول أمن الرقابة على الوصول -9

75 ........................................................................................................ أهداف السياسة 9-1

75 ................................................................. عام –إرشادات حول السياسة والضوابط الرئيسية 9-2

78 ............................................. تحديد الهوية والتوثيق –إرشادات حول السياسة والضوابط الرئيسية 9-3

81 ................................................................ وصول إلى النظامال –السياسة والضوابط الرئيسية 9-4

81 ........................................................ الوصول المتميز إلى النظام –السياسة والضوابط الرئيسية 9-5

82 ....................................................... الوصول إلى النظام عن بعد –السياسة والضوابط الرئيسية 9-6

CY[ ....................................................................................... 84[إرشادات حول أمن التشفير -10

84 ...................................................................................................... أهداف السياسة 10-1

84 ........................................................................................ والضوابط الرئيسيةالسياسة 10-2

OS[ ................................................... 88[إرشادات حول أمن األجهزة المحمولة والعمل خارج الموقع -11

88 ...................................................................................................... أهداف السياسة 11-1

88 ................................................................................ عام –السياسة والضوابط الرئيسية 11-2

PH[ ...................................................................................... 90[إرشادات حول األمن المادي -12

90 ...................................................................................................... أهداف السياسة 12-1


‐5‐

"أ"الفصل

عامةنظرة

تنفيذ آتيب تمثل هذه الوثيقة مجموعة من سياسات تأمين المعلومات الحكومية وقد تم إعدادها بهدف توفير اإلرشادات إلى القراء آي يتمكنوا من فهم و .تأمين المعلومات الحكومية

.كتيب تأمين المعلومات الحكوميةوترآز الوثيقة على توفير تقييم موضوعي وعرض التوقعات الناجمة عن الضوابط المتعددة المحددة ب

.يتم قراءة الوثيقة إلى جانب آتيب تأمين المعلومات الحكومية لتكون بمثابة مرجع وال يتم قراءتها بصورة مستقلة

الملكية والمحافظة

. ويتولى المجلس المسؤولية عن الحفاظ على هذه الوثيقة. يمتلك المجلس األعلى لالتصاالت و تكنولوجيا المعلومات بقطر هذه الوثيقة

المراجع

[IAP-GOV-INFA] ، سياسة تأمين المعلومات الحكومية، المجلس األعلى لالتصاالت و تكنولوجيا المعلومات بقطر )غير مصنف( 2008

[IAP-GOV-DCLS] ، سياسة تصنيف المعلومات الحكومية، المجلس األعلى لالتصاالت و تكنولوجيا المعلومات بقطر2008

[IAP-NAT-IAFW] ،دولة قطر2008إطار تأمين المعلومات ،

[IAP-NAT-DPRP] ،دولة قطر2008سياسة حماية البيانات والخصوصية ،

[AES] NIST FIPS PUB 197 "مواصفات التشفير المتقدمة) "AES( 2001، نوفمبر

[CC3-1] المعايير العامة لتقييم أمن تكنولوجيا المعلومات)CC( 2,0، النسخة رقم )2006(

[CWA14167-1] الجزء األول –المتطلبات األمنية لألنظمة الجديرة بالثقة إلدارة شهادات التوقيعات اإللكترونية : 2003، يونيو CEN ،CWA 14167-1، اتفاقية ورشة عمل متطلبات أمن األنظمة

[FIP186-2] NIST FIPS PUB 186-2 " مواصفات التوقيع الرقمي)DSS"( 1، 1، مع إخطار التغيير رقم . 2001أآتوبر

[FIPS-140-2] ،المعهد القومي للمعايير والتكنولوجياFIPS 140-2 ،ير ينا 24، المتطلبات األمنية لوحدات التشفير2007

[Mitre] Mitre ،2009 CWE/SANS Top 25 ،أخطاء البرمجة األآثر خطورةhttp://cwe.mitre.org/top25/ 2009، يناير

[RFC 4301] سيو & آينتKent & Seoأسلوب بناء األمن لـ ،IP ،RFC 4301 2005، ديسمبر

[RFC3851] رامسدل. س /MIME 3.1 ،مواصفات الرسالةRFC 3851 2004، يوليو

[RFC4346] ريسكورال، بروتوآول & ديرآسTLS ،RFC 4301 2006، أبريل

‐6‐

[RSA] معاملRSA ،"PKCS#1 مواصفات التشفير : 2,1إصدارRSA" 2002، يونيو.

[SFTP] سارينما، بروتوآول نقل الملفات & جالبريثSSH ،draft-ietf-secsh-filexfer 2005، يونيو

[SHA] NIST FIPS PUB 180-2 ،"المعهد القومي للمعايير والتكنولوجيا، "مواصفات المزج اآلمن ، 2001وزارة التجارة األمريكية، أغسطس

[SP800-67] NIST SP 800-67 " التوصية الخاصة بلوغاريثم التشفير الثالثي للبيانات)TDEA"( مايو ،2004

[ISO11770-1] تقنيات األمن، اإلدارة الرئيسية، –تكنولوجيا المعلوماتISO/IEC 11770-1:2006 (E) الجزء 2006اإلطار الرئيسي لإلدارة، المنظمة الدولية للتوحيد القياسي واللجنة الدولية الكهروتقنية، : 1رقم

[RFC4408] شليت، حول إطار سياسة المرسل . ونج، و. م)SPF ( باستخدام النطاقات في البريد للتفويض، أبريل IETF( ،RFC 4408(، فريق العمل الهندسي للشبكة الدولية 1اإللكتروني، النسخة رقم

2006 .

: ويتم استخدام المصطلحات المعرفة التالية ضمن هذه الوثيقة]. IAP-NAT-IAFW[يتم اإلشارة إلى المصطلحات المعرفة بإطار تأمين المعلومات ، المجلس األعلى )Q-CERT(الباردة، فريق االستجابة لطوارئ الحاسبات بقطر / الدافئة/ دولة، المعلومات الشخصية، المواقع الساخنةأجهزة ال

.، عالمات التصنيف القومي)(ictQATARلالتصاالت و تكنولوجيا المعلومات بقطر

‐7‐

"ب"الفصل

]IG[إرشادات حول هيكل الحوآمة - 1

السياسة والضوابط الرئيسيةإرشادات حول 1- 1

IG 1 تخصيص الموازنة المالئمة للعاملين وإدارة برنامج أمن المعلومات.

ي ذلك ينص آتيب تأمين المعلومات الحكومية على أن تثبت أجهزة الدولة التزامها بأمن المعلومات من خالل ضمان تخصيص الموارد المالئمة، بما ف .برنامج أمن المعلوماتالموازنة والعاملين، إلدارة

وفيما يتعلق بالموارد، سوف يخفق أفضل . قد تؤدي ندرة التمويل إلى الحيلولة دون تطبيق الضوابط األمنية المناسبة أو تنفيذ برامج أمن المعلومات .األنظمة في حالة عدم توافر الموارد الكافية إلدارة عملياته

IG 2 مدير "وسوف يتم اإلشارة إلى ذلك الشخص باعتباره . ج أمن المعلوماتتعيين شخص يتولى مسؤولية وإدارة برنام .في إطار آتيب تأمين المعلومات الحكومية هذا" أمن المعلومات

.معلوماتينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتعيين مدير ألمن المعلومات يصبح مالكا لجميع البرامج ذات الصلة بأمن ال

ويضطلع . لبرنامج أمن المعلومات التابع ألجهزة الدولة) المالية والقوى العاملة(سوف يتولى مدير أمن المعلومات المسؤولية عن وضع الموازنات . مدير أمن المعلومات أيضا بالمسؤولية عن تخطيط وتنفيذ األهداف لصالح إدارة أمن المعلومات

IG 3 ات بتقديم التقارير إلى إدارة المخاطر أو المراجعة الداخلية بأجهزة الدولةالتأآد من قيام مدير أمن المعلوم.

أو المراجعة لضمان استقاللية وعدالة ممارسات مدير أمن المعلومات، فإنه من الحكمة أن يتولى تقديم التقارير بصورة مباشرة إلى مدير إدارة المخاطر .الدولة ذاتهمالداخلية بأجهزة الدولة أو إلى رؤساء أجهزة

.سوف يؤدي قيام مدير أمن المعلومات بتقديم التقارير إلى مدير إدارة تكنولوجيا المعلومات إلى تعارض المسؤوليات والتعرض للمساءلة

IG 4 ضمان قيام رؤساء أجهزة الدولة بتقديم الدعم من أجل تطوير وتنفيذ عمليات األمن والبنية األساسية لتكنولوجيا .االتصاالت وصيانتها بصفة دائمة داخل أجهزة الدولةالمعلومات و

.يعد البرنامج الذي يحظى بتمويل ضعيف أسوأ من عدم وجود برنامج في األساس، حيث يبث شعور بالرضا الزائف بين األطراف الرئيسية

جهزة الدولة من أجل تحقيق األهداف المرجوة من يتمثل العنصر الرئيسي لنجاح أي من برامج أمن المعلومات في الدعم الدائم الذي يقدمه رؤساء أ .خالل توفير الموارد الكافية والتمويل للبرنامج

IG 5 حيثما يقوم رؤساء أجهزة الدولة بتفويض سلطاتهم العتماد التعديالت على متطلبات هذا الكتيب، ينبغي أن يحظى . المفوض بسلطات أعلى من سلطات مدير أمن المعلومات

وفي الحاالت التي يستحيل معها القيام بذلك، يجوز أن . تم اعتماد أي تعديالت أو عدم تطابق مع هذا الكتيب من قبل رؤساء أجهزة الدولةينبغي أن يويهدف ذلك إلى منع . يقوم رؤساء أجهزة الدولة بتفويض هذه المسؤولية إلى شخص أو مسؤول يحظى بسلطة أعلى من سلطة مدير أمن المعلومات

.غالل السلطةسوء است

IG 6 تحديد مسؤوليات أمن المعلومات لمدير أمن المعلومات واإلدارة والعاملين بأجهزة الدولة.

..لنشر ثقافة فعالة إلدارة أمن المعلومات، يتحتم غرس مسؤوليات أمن المعلومات والتوعية بها داخل جميع العاملين والمتعاقدين وغيرهم

وقد يختلف مستوى المسؤولية وفقا للدور المحدد . البشرية تعريف مسؤوليات أمن المعلومات ضمن آل توصيف وظيفيينبغي أن تكفل إدارة الموارد .وأنشطة العمل

‐8‐

IG 7 ضمان أن يحظى مدير أمن المعلومات بما يلي :

.إمكانية الوصول إلى اإلدارة التنفيذية والحصول على الدعم الكامل من قبلها .أ .أو أمن تكنولوجيا االتصاالت والمعلومات/المعلومات ودراية آافية بأمن .ب مرافق / معرفة عامة وخبرة آافية باألنظمة التي تستخدمها أجهزة الدولة، وخاصة أنظمة التشغيل وأنظمة .ج

. مراقبة الوصول والتفويض ومرافق المراجعة والتدقيق . قدرة مناسبة لدعم دور مدير أمن المعلومات .د

المعلومات الحكومية على الحد األدنى من الشروط الواجب توافرها بالمرشحين المحتملين لضمان أن يحظى مدير أمن المعلومات ينص آتيب تأمين

.بالمهارات المناسبة الالزمة للوظيفة

IG 8 إدراج المسؤوليات التالية ضمن دور مدير أمن المعلومات:

.االت والمعلومات على األنظمةتحديد والتوصية بإدخال تحسينات أمن تكنولوجيا االتص .أ .ضمان دراسة جوانب أمن تكنولوجيا االتصاالت والمعلومات آجزء من عملية إدارة التغيير .ب ضمان تنسيق عمليات صياغة وصيانة وتنفيذ جميع وثائق أمن تكنولوجيا االتصاالت والمعلومات، بالتعاون مع .ج

.مديري األنظمةميع حوادث أمن تكنولوجيا االتصاالت والمعلومات، بالتعاون مع فريق ضمان التحقيق وتقديم التقارير حول ج .د

.االستجابة لطوارئ الحاسبات بقطر

IG 9 ضمان أن يتولى مدير أمن المعلومات المسؤولية عن:

ضمان تطوير وحفظ وتحديث وتنفيذ خطط إدارة مخاطر األمن وخطط أمن األنظمة وأي إجراءات أمنية أخرى .أ .يتم تطبيقها

.تقديم المشورة األمنية التقنية حول تطوير وحيازة وتنفيذ وتعديل وإدارة ودعم وبناء األنظمة .ب .مساعدة مدير النظام في وضع وصياغة معايير وسياسات أمن األنظمة .ج .اعتماد األنظمة عند االقتضاء .د .ضمان أن ينظم الجهاز برنامج توعية وتدريب على أمن تكنولوجيا االتصاالت والمعلومات .ه .المراجعة المنتظمة ألمن األنظمة وعمليات وسجالت تدقيق األنظمة وسالمة إعدادات األنظمة .و

بكتيب تأمين المعلومات الحكومية على الحد األدنى من المسؤوليات التي ينبغي أن يكون مدير أمن المعلومات عرضة IG 9و IG 8تنص الفقرتان . ويمكن أن تتم إضافة أنشطة محددة وفقا لمتطلبات العمل بأجهزة الدولة. للمساءلة بشأنها

IG 10 ضمان أن يكون مدير أمن المعلومات على دراية بجميع إجراءات التشغيل األمنية ذات الصلة باألنظمة، بما في ذلك . اإلجراءات المتعلقة بأدوار مديري وإداريي ومستخدمي األنظمة

ملية حول اإلجراءات األمنية الخاصة يؤآد آتيب تأمين المعلومات الحكومية، بصفة محددة، على ضرورة أن يحظى مدير أمن المعلومات بمعرفة عالمعلومات وسوف تساعد . وسوف تمنح تلك المعرفة مدير أمن المعلومات فهما أفضل للنظام وتأثيره على العمليات واألنشطة. باألنظمة وأنشطة العملاجعات المنتظمة إلجراءات التشغيل األمنية جزءا من وتصبح المر. ات األمنية لألدوار المتعددة ذات الصلة باستخدام األنظمةيأيضا في تحديد المسؤول

. نظام إدارة أمن المعلومات

‐9‐

]RM[إرشادات حول إدارة المخاطر - 2

إرشادات حول السياسة والضوابط الرئيسية 1- 2

RM 1 في مستوى أمني التي تم تحديدها (تحديد إجراءات تنفيذ عملية تقييم مخاطر ونقاط ضعف األصول المعلوماتية الهامة ).متوسط أو مرتفع

.ال يوصي آتيب تأمين المعلومات الحكومية بأن تقر أجهزة الدولة منهجية محددة لتقييم المخاطر ونقاط الضعف من أجل إدارة المخاطر

والمواصفات Cobitو ) ISO 27005(تقييم المخاطر ونقاط الضعف المتاحة من خالل المنظمة الدولية لتوحيد المقاييس هناك عدد من أطر ومعايير .AS/NZS 4360:1999الحكومية المتعددة مثل

ويحدد تقبل المخاطر، من حيث الجوهر، الحد األدنى للمخاطر التي يمكن أن تتقبلها . لدى أجهزة الدولة" تقبل المخاطر"ينبغي أن تحدد اإلجراءات مدى .أجهزة الدولة

وقد تحدد أيضا أن المخاطر . لدولة مستويات المخاطر باعتبارها منخفضة ومتوسطة ومرتفعة ومرتفعة للغايةيمكن، على سبيل المثال، أن تحدد أجهزة ا .تكون مقبولة وال يوجد ضرورة التخاذ إجراء بشأن التخفيف من حدتها" المنخفض"عند المستوى

:ومن المتوقع أن يوفر التدريب ألجهزة الدولة معارف ومدرآات آافية من أجل

التأآد من المخاطر ونقاط الضعف الحقيقية التي تواجه النظام تحديد أولويات الموارد المتاحة لتنفيذ البنية التحتية اآلمنة

RM 2 تحديد الضوابط المالئمة للتخفيف من حدة المخاطر ونقاط الضعف المحددة، بناًء على عملية التقييم.

أو ضوابط أمنية محددة من أجل التخفيف من حدة المخاطر، بخالف تحديد الضوابط إستراتيجيةيوصي آتيب تأمين المعلومات الحكومية بأي ال :وقد تكون الضوابط التي تختارها أجهزة الدولة تقنية أو إدارية وقد تؤآد على إحدى االستراتيجيات التالية. الرئيسية

وعلى سبيل المثال، تعديل أو إنهاء العملية التي تشجع . تماما" المخاطر"تجنب نتيجة للطبيعة المتأصلة للمخاطر، قد يكون من الحكمة: تجنب المخاطر .تلك المخاطر

وعلى سبيل المثال، يتم مواجهة بعض مخاطر التشغيل عن طريق . قد يوصى في بعض الحاالت بتحويل المخاطر إلى آيان آخر: نقل وتحويل المخاطرومع ذلك، تظل المجاالت أو الخدمات التي يتم . ير تغطية تأمينية للتخفيف من حدة الخسائر الماليةوقد يكون المثال اآلخر عن طريق توف. التعهيد

بإدارة أمن األطراف األخرى للتعرف على TM1يرجى النظر إلى . تعهيدها تتمثل في الحوآمة وااللتزام ومسؤولية أجهزة الدولة عن إدارة المخاطر .ت الصلة بالتعهيدالمزيد من المعلومات حول الضوابط ذا

قد يكون من المستحيل في معظم األوقات تجنب أو تحويل المخاطر؛ وقد يكون هناك سيناريوهات تحتاج إلى إدارة : التخفيف من حدة المخاطرذلك تطبيق ويتضمن . ومن الضروري في تلك السيناريوهات الحد من المخاطر إلى مستوى مقبول. العمليات الحرجة رغم المخاطر المرتبطة بها

وعلى سبيل المثال، يمكن أن يؤدي ترآيب نظام إنذار فعال للكشف عن . أو من احتمالية وقوع المخاطر) التأثير(ضوابط محددة للحد من العواقب .الحرائق، باإلضافة إلى نظام إخماد الحرائق، إلى الحد بفاعلية من العواقب ومن احتمالية نشوب الحرائق

إحدى قواعد تصميم وتنفيذ الضوابط من أجل التخفيف من حدة المخاطر في ضمان أال تتجاوز تكلفة التخفيف من حدة المخاطر تتمثل : قبول المخاطروقد ال تنخفض حدة المخاطر إلى ). إذا وضعنا االلتزامات القانونية والتعاقدية في االعتبار(أو الخدمات التي يتم تقديمها /تكلفة األصول المعلوماتية و

حتى بعد تطبيق الضوابط؛ وفي تلك الحاالت، ينبغي أن تقرر السلطات المعنية بأجهزة الدولة ما إذا آانت مستعدة ) تقبل المخاطر(الت المقبولة المعد .لقبول المخاطر

RM 3 ضمان الفحص الدقيق للضوابط المختارة لألصول المعلوماتية المصنفة بمستوى أمني مرتفع، من قبل اإلدارة العليا . جهزة الدولةأل

وسوف تكفل السياسة أن تشارك اإلدارة العليا ألجهزة . يضمن آتيب تأمين المعلومات الحكومية اختيار الضوابط الفعالة أثناء فحص األصول الهامة .الدولة بفاعلية في عملية صنع القرارات ذات الصلة بأمن البنية األساسية الحرجة

‐10‐

.ومدير إدارة المراجعة الداخلية تتضمن اإلدارة العليا رئيس الجهاز

RM 4 ضمان المتابعة المنتظمة لفاعلية الضوابط المختارة بالفقرتينRM 1 وRM 2 .

ويتم متابعة الضوابط المنفذة لضمان تحقيق . تأمين المعلومات الحكومية على وجود إجراءات فعالة لضمان فاعلية الضوابط التي يتم تنفيذهاينص آتيب .المرجو للتخفيف من حدة المخاطرالمستوى

ى البنية يتغير سيناريو المخاطر وآذلك نقاط الضعف ذات الصلة؛ وينبغي أن تكفل العملية الحفاظ على دائرة مغلقة وتقييم أي تعديالت وتأثيرها عل .المتغيرة وأن تتمكن من مواجهة التحديات الجديدةوتضمن العملية أن تظل الضوابط المنفذة ذات فاعلية في السيناريوهات . األساسية ودراستها بفاعلية

‐11‐

]TM[إرشادات حول إدارة أمن األطراف األخرى - 3


TM 1 أن تظل المجاالت أو الخدمات التي تم تعهيدها تتمثل في مسؤولية أجهزة الدولة عن الحوآمة وااللتزام وإدارة .المخاطر

ية إلى ينص آتيب تأمين المعلومات الحكومية على أنه في حالة قيام أجهزة الدولة بتعهيد بعض العمليات، فهي ال تنقل المسؤوليات الخاصة بالعملدعم جميع وتكفل أجهزة الدولة . وتتولى أجهزة الدولة المسؤولية عن حوآمة والتزام وإدارة مخاطر العمليات التي يتم تعهيدها. األطراف الخارجية

.العمليات التي يتم تعهيدها من قبل اتفاقيات مستوى الخدمات المناسبة

وتكون إدارة . تحظى جميع اتفاقيات مستوى الخدمات بمؤشرات أداء رئيسية محددة، تتضمن على سبيل المثال ال الحصر سرية وسالمة وإتاحة العملية .األمن متأصلة في العقد الذي يتم تعهيده

رم األجهزة بعض االتفاقيات المحددة التي يتم تخصيصها، على سبيل المثال، للوصول إلى الموارد الداخلية من خالل األطراف األخرى، ينبغي أن تب مثل اتفاقية االتصال بأي طرف آخر، والتي سوف تتضمن إشارات إلى السياسات الداخلية المعنية باستخدام موارد النظام والشبكة ومسؤوليات

.األطراف المشارآةومواصفات

TM 2 أن تتفهم وتقر المخاطر المتعلقة بتعهيد خدماتها.

. ماتينص آتيب تأمين المعلومات الحكومية على إجراء عملية تقييم المخاطر بأسلوب سليم والمقارنة بين جميع المزايا والعيوب قبل تعهيد الخدالتخفيف من حدة جميع المخاطر المحددة بهذا التدريب وإقرار المخاطر المتبقية من قبل ويتم . ويتضمن ذلك تقييم عملية تقييم مخاطر أمن المعلومات

.اإلدارة العليا

TM 3 أن يتم إدراج الضوابط األمنية والسياسة الرئيسية المحددة بكتيب تأمين المعلومات الحكومية ضمن اتفاقيات أو عقود . ضا على المتعاقدين من الباطن لدى الطرف اآلخرويسري ذلك أي. تقديم الخدمة المبرمة مع أي طرف آخر

آتيب تأمين المعلومات الحكومية على أن يحظى المتعاقد مع الطرف اآلخر أو مقدم الخدمة بإمكانية الوصول إلى سياسة تصنيف المعلومات ينص . تطلباتها ويضمن تحقيق المزيد من االلتزام بالسياساتوسوف يكفل ذلك أن يكون ضليعا في السياسة وم. الحكومية وآتيب تأمين المعلومات الحكومية

TM 4 األمنية، بما في ذلك أي حوادث) الخدمات(أن يقدم الطرف اآلخر تقارير منتظمة حول الوضع األمني للخدمة.

وتتضمن . ينص آتيب تأمين المعلومات الحكومية على وجود آلية لضمان استمرار التواصل بين أجهزة الدولة ومقدم الخدمة لدى الطرف اآلخرخر ويستوعب مقدم الخدمة لدى الطرف اآل. التقارير التي يقدمها مقدم الخدمة لدى الطرف اآلخر أحدث الحوادث األمنية ووضع البنية األساسية األمنية

ويتم إبالغ جميع التعديالت . العمليات التي ينص عليها آتيب تأمين المعلومات الحكومية، والتي تتضمن، على سبيل المثال ال الحصر، إدارة التغيير . ذات الصلة بالعملية التي يتم تعهيدها إلى أجهزة الدولة واعتمادها من قبلها

TM 5 ر والسجالت التي يوفرها الطرف اآلخر بصورة منتظمة، وأن يتم إجراء أن يتم متابعة ومراجعة الخدمات والتقاري . عمليات المراجعة والتدقيق بصورة منتظمة

وينبغي . آتيب تأمين المعلومات الحكومية على استخدام العناية الواجبة في متابعة الخدمات التي يتم تعهيدها إلى مقدم الخدمة لدى الطرف اآلخرينص . اجعة وتدقيق منتظمة لضمان االلتزام باتفاقيات مستوى الخدمات والعقدإجراء عمليات مر

‐12‐

]DL[إرشادات حول وضع البطاقات التعريفية للبيانات - 4


DL 1 بهاأن تقوم بدور سلطة وضع البطاقات التعريفية للبيانات والمعلومات التي تجمعها أو تحتفظ.

. تفظ بهاينص آتيب تأمين المعلومات الحكومية على أن تكون أجهزة الدولة هي هيئة وضع البطاقات التعريفية للبيانات والمعلومات التي تجمعها وتحمات التي تجمعها القائمون على إدارة األعمال داخل أجهزة الدولة المسؤولية عن تحديد وتصنيف المعلو ويعني ذلك أن يحظى المرشحون المحددون أو

.أو تحتفظ بها

DL 2 أن تصنف جميع األصول المعلوماتية وفقا لسياسة تصنيف المعلومات الحكومية]IAP-GOV-DCLS .[ ويتم وضععلى التوالي على جميع األصول المصنفة وفقا " مقيد"أو " تداول محدود"أو " داخلي"عالمة البيانات المالئمة

. C3أو C2أو C1لتصنيف السرية

ويتضمن ذلك المعلومات بجميع أنماطها، أي الرقمية . ينص آتيب تأمين المعلومات الحكومية على أن تكفل األجهزة الحكومية تصنيف جميع المعلومات .والورقية والمسموعة والمرئية وغير ذلك

ويتم أيضا وضع العالمات . ريف جميع المعلومات المصنفةويتم وضع العالمات المالئمة لتع. يستند التصنيف على سياسة تصنيف المعلومات الحكوميةصنيفات المالئمة على البيانات الرقمية؛ وتكفل األجهزة الحكومية أن ينطوي النظام على الضوابط المالئمة لضمان أن يتماشى نشر المعلومات مع ت

. C-I-Aالمعلومات

DL 3 ما لم تكن أصوال "داخلية"افتراضية، باعتبارها أصول أن تتولى تصنيف األصول المعلوماتية الحكومية، بصورة ، .متاحة للعامة أو لالستهالك

طر ذات ينص آتيب تأمين المعلومات الحكومية على توفير الحد األدنى للحماية األساسية لجميع األصول المعلوماتية من أجل التخفيف من حدة المخامرحلة المسودة وقد يكون هناك حاالت ال يتم بها وضع البطاقات التعريفية على الوثيقة، نظرا لكونها ال تزال في . الصلة بالرقابة على تصنيف الوثيقة

أن تحظى أو لعدم االنتهاء منها بعد أو ربما تكون البطاقة التعريفية قد تعرضت للتلف أو العبث؛ وفي آل تلك الحاالت، سوف تضمن الضوابط أعاله .، أي داخليC1جميع األصول المعلوماتية، التي لم يتم وضع العالمات عليها أو تصنيفها، بتصنيف افتراضي

DL 4 حتى يتم حماية المعلومات "الحاجة إلى المعرفة"نظام وضع البطاقات التعريفية للبيانات من أجل دعم شرط أن تقر ، . من اإلفصاح أو االستخدام غير المصرح به

وسوف يكفل ". فةالحاجة إلى المعر"يهدف آتيب تأمين المعلومات الحكومية إلى التأآيد على أن نظام وضع البطاقات التعريفية للبيانات يكمل شرط . تصنيف ووضع البطاقات التعريفية للمعلومات تبسيط عملية تحديد ومنح الحق في تداول المعلومات

DL 5 أن تتولى تعليم وتوعية العاملين والموظفين والمتعاقدين بنظام وضع البطاقات التعريفية للبيانات .

ملون والجمهور المستهدف على دراية ووعي بمفهوم وضع البطاقات التعريفية للبيانات وآثاره ينص آتيب تأمين المعلومات الحكومية على أن يكون العا .على أمن المعلومات

‐13‐

]CM[إرشادات حول إدارة التغيير - 5


CM 1 التالية أو المماثلة تحديد وااللتزام بعملية إدارة التغيير الموثقة التي تتضمن فئات التغيير:

:وتتضمن أمثلة التغيير الرئيسي المخطط له ما يلي. التغيير الرئيسي المخطط له - أ التغيير الذي يؤدي إلى توقف العمل أثناء ساعات العمل الرسمية التغيير الذي يؤدي إلى تغيير في ممارسات العمل أو التشغيل ى العمل بعد الكوارث واستمرارية تصريف األعمالالتغيير في أي نظام يؤثر على استعادة القدرة عل استحداث أو قطع خدمة تكنولوجيا المعلومات

:وتتضمن أمثلة هذا النمط من التغيير ما يلي. الصيانة والتغييرات الصغرى - ب التعديالت األمنية على مستوى التطبيقات/ التغييرات الخدمات الهامة، اإلصالحات العاجلة، حزم(تعديالت نظام التشغيل( الصيانة الدورية المنتظمة التغييرات التي من غير المحتمل أن تسبب انقطاع في الخدمة

:وتتضمن أمثلة هذا النمط من التغيير ما يلي. التغيير في حاالت الطوارئ أو انقطاع الخدمات غير المخطط لها .ج تدهور شديد في الخدمة يتطلب اتخاذ إجراء فوري المكون بما يؤدي إلى إحداث تأثير سلبي على أنشطة العمليات/ التطبيق/ إخفاق النظام استجابة ألي آارثة طبيعية استجابة الحتياجات حاالت الطوارئ التغيير بناًء على طلب العاملين المسؤولين عن مواجهة والتصدي لحاالت الطوارئ

ويهدف ذلك إلى ضمان توثيق ومداولة جميع . إلدارة التغيير داخل أجهزة الدولةينص آتيب تأمين المعلومات الحكومية على وجود إجراءات محددة وتكفل عملية إدارة التغيير أن تكون اإلدارة والجمهور على دراية . التغييرات حول النطاق واآلثار والمزايا والعيوب في إطار نشاط أجهزة الدولة

أن يتم االحتفاظ بسجالت إدارة التغيير في قاعدة البيانات الخاصة بإدارة التغيير ومراجعتها وينبغي. بالتغييرات الوشيكة وآثارها على أسلوب العمل .بصفة منتظمة

ويمكن أن تحظى أجهزة الدولة . ينص آتيب تأمين المعلومات الحكومية أيضا على تصنيف جميع التغييرات ضمن فئات، مثل الفئة المحددة أعاله .ي قد يكون مشتقا من األسلوب المذآور أعالهبأسلوبها الخاص في التصنيف الذ

. يرآز التصنيف المالئم للتغيير على الموارد المناسبة التي قد تكون الزمة إلجراء مثل هذا التغيير

CM 2 تأسيس لجنة إلدارة التغيير.

الوظائف المتعددة / تتألف من ممثلين عن وحدات العمل آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتشكيل لجنة إدارة التغيير، التيينص . القائمين على إدارة العمل وغيرهمو

المالية والتأثير على تتولى لجنة إدارة التغيير المسؤولية عن تقييم طلبات التغيير المقدمة إليها وتقييم أثر التغيير على إدارة األعمال وجدواه التقنية و . ةالوضع األمني ألجهزة الدول

.ضمان أن تتوافق الخطة مع إجراءات التشغيل النموذجية ألجهزة الدولة

CM 3 التصديق على التغييرات المقترحة من خالل لجنة إدارة التغيير المعنية.

رات المقترحة وينبغي أن تتم مناقشة التغيي. العمل/ آتيب تأمين المعلومات الحكومية على عدم استحداث التغييرات المخصصة ضمن النظامينص وإتباعوتتولى لجنة إدارة التغيير المسؤولية عن ضمان استحداث جميع التغييرات بأسلوب منهجي . والتصديق عليها من قبل لجنة إدارة التغيير

.إجراءات التشغيل النموذجية ودعمها من خالل آليات احتياطية

‐14‐

CM 4 تنفيذ أي تعديل مقترح قد يؤثر على أمن نظام تكنولوجيا التأآد من تقييم حاجة النظام إلى إعادة االعتماد فور .االتصاالت والمعلومات

على الوضع األمني ألجهزة ) سواء آان آبيرا أو صغيرا(آتيب تأمين المعلومات الحكومية على أنه في حالة وجود تأثير آبير للتغيير المستحدث ينص .ا آان النظام يتطلب إعادة اعتماد؛ وفي تلك الحالة بدء وتنفيذ خطة من أجل إجراء ذلك االعتمادالدولة، يتعين على لجنة إدارة التغيير تقييم ما إذ

CM 5 يتم تحديث جميع الوثائق المتعلقة بالنظام آي تعكس عملية التغيير.

ويتم االحتفاظ . لومات ذات الصلة بالنظامينبغي أن تكفل لجنة إدارة التغيير تحديث عمليات ما بعد تنفيذ التغيير وجميع العمليات ذات الصلة والمع . بسجالت إدارة التغيير في قاعدة بيانات خاصة بإدارة التغيير

CM 6 وينبغي أن تحدد عملية إدارة التغيير اإلجراءات . ضمان تطبيق هذه المعايير على حد السواء على التغييرات العاجلة .قبل تنفيذ التغييرات العاجلة وبعدها إتباعهاالمالئمة الواجب

وينبغي أن تضع . من الممكن أن يكون هناك وقت أو حاالت يكون بها حاجة إلى إجراء تغيير عاجل دون اللجوء إلى إجراءات إدارة التغيير الواجبة .فية القيام بذلكلجنة إدارة التغيير معيارا لهذه الحاالت يحدد الشروط التي يتم في ظلها إجراء التغييرات وآي

ير، ببذل العناية ينبغي أن تضمن لجنة إدارة التغيير أيضا أن يلتزم القائمون على تنفيذ التغيير، في مرحلة ما بعد حاالت الطوارئ واستكمال إدارة التغي .الواجبة وإعادة عمل التغيرات المقترحة من خالل إجراءات وعمليات قياسية وموحدة

.استيفاء جميع أعمال التوثيق ذات الصلةينبغي أن يتم

‐15‐

]PS[إرشادات حول أمن العاملين - 6


PS 1 ضمان أن تتفق عمليات إدارة الموارد البشرية مع سياسات ومبادرات أمن المعلومات بالمنظمة.

. وضع أمني فعال، يتحتم ضمان وجود الضوابط المناسبة من أجل التخفيف من المخاطر البشريةوإلقامة . يعد اإلنسان أضعف حلقة ضمن سلسلة األمن .ويوطد آتيب تأمين المعلومات الحكومية أساس تلك الضوابط من خالل ضمان دمج أفضل الممارسات األمنية ضمن جميع عمليات الموارد البشرية

PS 2 موارد بشرية يكون متاحا لجميع العاملين لضمان وعيهم بالتزاماتهم ضمان أن تحتفظ إدارة الموارد البشرية بكتيب .تجاه أمن المعلومات

ويكفل دمج مسؤوليات أمن . ينص آتيب تأمين المعلومات الحكومية على توثيق مسؤوليات أمن المعلومات وإتاحتها للعاملين في جميع األوقاتالقواعد ومدونة السلوك واإلجراءات التأديبية (معلومات التي يحتاج إليها العاملون المعلومات ضمن آتيب الموارد البشرية إتاحة جميع ال

ال يوجد مصادر متعددة يتم (ويضمن ذلك سهولة تحديث المعلومات والمحافظة عليها وتوزيعها . من خالل مصدر معلومات واحد) الخ...والمسؤوليات ).تعديلها وتحديثها وتوزيعها

PS 3 علومات ذات الصلة بالعاملين من خالل العناية الواجبة بما يتفق مع متطلبات التعامل مع المعلومات تخزين وإدارة الم ].IAP-GOV-DPRP[الشخصية وفقا لما هو محدد بسياسة حماية البيانات والخصوصية

لومات الشخصية التي تجمعها عن طريق العاملين آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بصياغة إجراءات داخلية لمعالجة المعينص ويمكن أن تكون هذه العناصر داخلية أو خارجية بالنسبة ألجهزة . أو آجزء من أنشطة العمل لمنع إساءة استخدامها من قبل عناصر المتعاملين معها/و

وقد . ت الصلة أثناء إجراءات التعامل مع المعلومات الشخصيةوعالوة على ذلك، ينبغي أن تكفل أجهزة الدولة التزام اإلجراءات باللوائح ذا. الدولة، التي يتم حاليا ]IAP-NAT-DPRP[والخصوصية اقترح المجلس األعلى لالتصاالت وتكنولوجيا المعلومات بقطر وضع سياسة حماية البيانات

.إساءة استخدامهاصياغتها، آي تنص على آيفية جمع تلك المعلومات ومعالجتها واالحتفاظ بها لتجنب

PS 4 ضمان إدراج مسؤوليات أمن المعلومات آجزء من المسؤوليات والتوصيفات الوظيفية للعاملين وتطبيقها على عملية .توظيف األفراد داخل المنظمة

يات العاملين وجزء من آتيب تأمين المعلومات الحكومية على تعريف مسؤوليات أمن المعلومات باعتبارها جزء من مسؤولعالوة على ذلك، ينص ويكفل ذلك . ويهدف ذلك إلى ضمان فهم العاملين لمسؤوليات أمن المعلومات المنوطة بهم منذ يوم تقدمهم لشغل الوظيفة. التوصيفات الوظيفية القياسية

.الترآيز بالصورة الواجبة على أمن المعلومات

.ه المسؤوليات ومتابعتها طيلة فترة عمل العاملين بأجهزة الدولةوينص آتيب تأمين المعلومات الحكومية أيضا على االلتزام بهذ

وينبغي أن يتم تحديد معايير األداء ذات الصلة بأمن . وهناك مثال بسيط على التنفيذ من خالل ضمان أن يكون ذلك جزءا من منهجية تقييم أداء العاملين .SMARTالمعلومات وربطها إذا أمكن بتقييم طبقًا لنظام

PS 5 بما في ذلك العاملين المتعاقدين (إجراء الفحص المالئم للتأآد من نزاهة المرشحين المحتملين للتوظيف والمتعاقدينويمكن أن تتوسع أجهزة الدولة في تطبيق هذه الممارسة لتشمل العاملين الحاليين وفقا للضرورة من ). من الباطن

أو " تغيير مسؤوليات العاملين"سبيل المثال ال الحصر، على أجل الوفاء بالشروط الناجمة عن عوامل تشتمل، على ".الشبهة الناجمة عن سلوآيات أي عامل"

ي آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بإجراء الفحص المالئم للمعلومات األساسية من أجل إقرار سالمة المعلومات التينص وقد يختلف مستوى فحص المعلومات األساسية بناًء على . وص المعلومات األساسية على مالءمة العامل للوظيفةوتؤآد فح. يقدمها العامل المحتمل :ويمكن أن تتضمن فحوص المعلومات األساسية بعض من أو آل ما يلي. طبيعة وحساسية العمل

المؤهالت العلمية والتاريخ الوظيفي : يتضمن ذلك فحص السجالت التي يقدمها العامل المحتمل، وعلى سبيل المثال: فحص الوثائق والسجالتويمكن أن توفر . أداة فعالة للغاية في هذا الصدد) اإلنترنت(ويمكن أن تكون الشبكة الدولية . وعضوية المنظمات والفحوص المرجعية وغير ذلك

والمدونات والمنتديات بعض المعلومات حول ) LinkedINو Facebookتتضمن األمثلة مواقع (االجتماعية عمليات فحص مواقع الشبكات

‐16‐

ومع ذلك، ينبغي أن يتم استخدام آل هذه المعلومات بحذر شديد، نظرا ألن هناك حاالت يتم بها الكشف عن الهوية الفعلية لألشخاص أو . المرشح . ق بقطر من قبل األشخاص المخولين بذلك ألسباب قوية ومبررةالخضوع لرقابة جهاز المراجعة والتدقي

ومع ذلك، تحظى أجهزة الدولة بالحق في اتخاذ . يتضمن ذلك عملية فحص لضمان أال يكون للعامل أي تاريخ جنائي أو خلفية جنائية: الفحص الجنائي . ة بقيادة السياراتالقرار بشأن المرشحين ذوي سجل جنائي غير خطير، مثل المخالفات ذات الصل

. يتم تمديد عمليات الفحص لتشمل المتعاقدين والمتعاقدين من الباطن اعتمادا على طبيعة وحساسية العمل الذي يشارآون به

ول سلوك سوف تحظى أجهزة الدولة بالحق في تمديد هذا الفحص ليشمل العاملين الحاليين في حالة إثارة مواقف مثل تغيير المسؤوليات أو الشبهات ح .ومع ذلك، تعتمد أجهزة الدولة على العناية الواجبة لضمان أال تكون تلك الشبهات جزءا من الكشف عن المخالفات أو نتيجة له. أحد العاملين

PS 6 ضمان أن يوقع العاملون على اتفاقية لالنضمام إلى أجهزة الدولة تنص على االلتزامات والمسؤوليات األمنية المنوطة :تضمن ما يليوت. بهم

التزامات السرية وعدم اإلفصاح - أويتضمن ذلك، على سبيل المثال . ينبغي أن تتولى أجهزة الدولة إخطار المرشحين المحتملين فيما يتعلق بالتزامهم باإلطار األمني المقرر ألجهزة الدولة

:ال الحصر، ما يلي

اتفاقية السرية وعدم اإلفصاح - 1 المعلوماتفهم وقبول سياسة تأمين - 2

. تعد الوثيقة الموقعة بمثابة دليل قانوني يضمن موافقة العامل على االلتزام بلوائح أجهزة الدولة

ويمكن أن تتم تلك المراجعة سنويا أو أثناء . ينبغي أن تفحص أجهزة الدولة الخيارات الخاصة بمراجعة االلتزامات واللوائح األمنية على فترات منتظمة . تجديد العقد

PS 7 من اإلفصاح عن المعلومات ) الموظفين والموردين والمتعاقدين والزوار(ضمان وجود ضوابط مالئمة لمنع العاملين .دون تصريح أو سوء استعمالها أو إفسادها بمقتضى السياسات األمنية الخاصة بأجهزة الدولة

وتوقيع اتفاقية عدم اإلفصاح وغيرها تمثل ضوابط إدارية قد تمنع العامل من ينبغي أن تدرك أجهزة الدولة أن التوعية حول مسؤوليات أمن المعلومات ومع ذلك، غني عن القول أنه يمكن دائما أن تكون تلك الضوابط فعالة؛ ومن ثم، فمن الضروري أن تستعين أجهزة الدولة بأنماط أخرى . خرق األمن

. أمن المعلومات للرقابة التقنية من أجل التعامل مع المخاطر الناجمة عن خرق

المتحدثين "يمكن أن تتضمن الضوابط على المستوى التقني تقنيات إدارة المضمون، وتتضمن على المستوى اإلداري منع أي عاملين باستثناء .حينذاك من اإلدالء بتصريحات إلى جمهور العامة" الرسميين

PS 8 على تلك المعلومات التي يحتاجون إليها من أجل ضمان أن تقتصر حقوق المستخدمين في الوصول إلى المعلومات .االلتزام بمتطلباتهم الوظيفية وفقا للمبادئ األقل امتيازا

في السيناريوهات التي يحظى من خاللها العامل أو المتعاقد بإمكانية ) بصورة متعمدة أو غير متعمدة(ينشأ أحد األسباب المحتملة لخرق المعلومات ".إذا حظيت بالوصول إلى المعلومات، يمكنني استخدامها"وهناك أسطورة عامة تنص على أنه . دون وجه حق الوصول إلى المعلومات

الفعال ينص آتيب تأمين المعلومات الحكومية على اقتصار المعلومات التي يتم تقديمها إلى العاملين أو المتعاقدين بأجهزة الدولة على التفويض ".الحاجة إلى المعرفة"ة إلى قاعدة لمسؤولياتهم وتستند بصورة مشدد

PS 9 توزيع المسؤوليات على عمليات ومهام األمن الحساسة، باستخدام مبادئ الرقابة من قبل شخصين لضمان .الكاملة على العمليات أو المهام الرئيسية السيطرةتبادل المعلومات وتجنب وجود شخص واحد يتولى

وينبغي أن يكفل القائمون على العملية عدم قيام نفس . لضمان عدم هيمنة شخص واحد بمفرده على العملية بالكاملتتولى أجهزة الدولة تنفيذ الضوابط وسوف يضمن ذلك ضرورة أن يتواطئ أآثر من شخص حتى يتم . الشخص باالضطالع بأنشطة المعالجة والتفويض أو المعالجة وتدقيق الحسابات

.االختراق

‐17‐

وعلى سبيل . علق باألنظمة والتطبيقات بالغة األهمية والسرية، ينبغي اقتسام آلمات المرور أو الوصول بين آيانين آحد أدنىوعالوة على ذلك، فيما يتذلك، يتم المثال، قد يتطلب الوصول إلى النظام مستوى ثنائي من الرقابة على الوصول؛ ويتم توزيع هذه الرقابة بين شخصين؛ وفي حالة عدم إمكانية

.مة المرور إلى النظام إلى قسمين، دون أن يحظى أي شخص بمفرده بإمكانية الوصول إلى هذين الجزأينتقسيم آل

يكون في ومع ذلك، ينبغي أن تتوخي أجهزة الدولة الحذر الواجب لضمان تطبيق تلك الضوابط على العمليات األآثر حساسية، نظرا ألن هذا التوجه قد .وقات الحرجةحد ذاته سببا لرفض الخدمة في األ

PS 10 وينبغي أن يتم توثيق العملية التأديبية ضمن آتيب . وضع عملية تأديبية وضمان توعية العاملين بتلك العملية .الموظفين أو آتيب الموارد البشرية

ويمكن أن يتم توثيق تلك العملية . تحدد أجهزة الدولة العملية التأديبية وتكفل توعية العاملين بتلك العملية من خالل جلسات التوعية األمنية المناسبةالنسخ المطبوعة أو المكتبة التأديبية ضمن آتيب الموظفين أو آتيب الموارد البشرية وإتاحتها للعاملين المعنيين من خالل وسائل مثل الشبكة الداخلية أو

. أو غير ذلك

PS 11 ضمان أن يكون الموردون أو المتعاقدون أو الممثلون أو زوار مقار أجهزة الدولة:

مسجلون وفقا لبيانات تعريفية -أ يحصلون على شارة الزوار -ب يرتدون الفتة ملحوظة توضح وضعهم آزوار -ج ت األمن الخاصة بأجهزة الدولةعلى دراية بالتزاماتهم المتعلقة باالمتثال لسياسا -د يرافقهم موظفو أجهزة الدولة أثناء دخول المناطق المؤمنة -ه

ممثلين أو الضيوف بزيارة ن الموردين أو المتعاقدين أو القد تقتضى طبيعة العمل الذي تضطلع به أجهزة الدولة أو متطلبات ذلك العمل قيام الزوار مالتعرف على دوافع آل شخص، فمن الحكمة أن تتوخى أجهزة الدولة الحذر وأن تطبق تلك الضوابط من أجل ورغم أنه من الصعب . مقر أجهزة الدولة

.تنظيم دخول هؤالء الزوار

طق ينص آتيب تأمين المعلومات الحكومية على أن يكون هناك من يرافق آل هؤالء الزوار والموردين والمتعاقدين والممثلين وغيرهم داخل المناوعادة ما يمكن القيام بذلك من خالل التأآد من أن شارة الزائر مرفقة . وينبغي أن يتم تعريف الزوار بإيجاز بالوضع األمني والضوابط القائمة. اإلدارية

.بكتيب أو منشور يوفر المعلومات األساسية للزوار ويحذرهم من آونهم مراقبين ويتولى توعيتهم بشأن المسؤوليات المنوطة بهم

تم توعية العاملين وتشجيعهم على توقيف واعتراض واإلبالغ عن األغراب الذين يتجولون بمقر أجهزة الدولة دون وضوح هوياتهم، أي ينبغي أن ي . دون بطاقة الموظف أو شارة الزائر

PS 12 أي ضمان صدور طلب التغيير من قبل إدارة الموارد البشرية عند تغيير مهام أو فسح عقد أي موظف أو متعاقد أوإلغاء / ويكفل ذلك أن يعيد العاملون أو المتعاقدون أو األطراف األخرى أصول أجهزة الدولة وأن يتم تعديل. طرف آخر

. الوصول المادي واالفتراضي حسب االقتضاء

على الدمج الفعال للموارد البشرية وإدارة المرافق وتكنولوجيا المعلومات ضمن العمليات ذات الصلة بالقوى آتيب تأمين المعلومات الحكوميةينص .ويتم متابعة عمليات تعيين الموظفين الجدد أو أي عمليات فسخ تعاقد أو تغيير مسؤوليات باستخدام األسلوب المالئم إلدارة التغيير. العاملة

جميع األطراف الرئيسية المعنية، أي الموارد البشرية وإدارة المرافق وتكنولوجيا المعلومات على أحدث التطورات عندما يهدف ذلك إلى ضمان إطالع وحينما يغادر ذلك الشخص المنظمة بسبب التقاعد أو فسخ التعاقد ) سواء آان دخوالًً ماديا أو افتراضيا(يطلب شخص جديد دخول مرافق أجهزة الدولة

.أو انتهاء الخدمة أو االستقالة

. بصورة مالئمة بما يضمن عدم دخول أطراف سابقة إلى النظام) المادي واالفتراضي(سوف يكفل ذلك تعديل جميع قواعد الرقابة على الدخول . وينبغي أن يتم إتباع عملية مماثلة عندما يتم تغيير المسؤوليات عن طريق النقل أو الترقية أو تخفيض الدرجة الوظيفية

‐18‐

]SA[إرشادات حول التوعية األمنية - 7


SA 1 تنظيم برنامج توعية أمنية وتخصيص الموازنات الالزمة لتنفيذه.

ويمكن أن يوفر التدريب والتوعية . تعد التوعية األمنية هامة لضمان فهم جميع األطراف ذات الصلة للمخاطر وقبول وإقرار الممارسات األمنية الجيدة .للمستخدمين والمطورين وإداريي النظام وإداريي األمن وأي أطراف ذا صلة المهارات والمعارف الالزمة لتنفيذ التدابير األمنية

نامج التوعية األمنية داخل ينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتخصيص الموازنات الالزمة لبدء وتنفيذ والحفاظ على بر .أجهزة الدولة

SA 2 يتضمن هذا التدريب آحد أدنى:

.المتطلبات الرئيسية المحددة بكتيب تأمين المعلومات الحكومية هذا .أ .المتطلبات األمنية ألجهزة الدولة .ب .المسؤوليات القانونية .ج .ضوابط العمل .د إجراءات الدخول واستخدام حزم البرمجيات : مثالعلى سبيل ال(االستخدام الصحيح لمرافق معالجة البيانات .ه

).إلخ... .معلومات حول عملية التنفيذ .و معلومات حول من ينبغي االتصال به للحصول على المزيد من النصائح األمنية والقنوات المناسبة لإلبالغ عن .ز

.حوادث أمن المعلومات

. ينص آتيب تأمين المعلومات الحكومية على تصميم التوعية األمنية لتغطية الموضوعات ذات الصلة بنشاط أجهزة الدولة بالصورة المالئمة

:تتضمن مواد التدريب، آحد أدنى، مضمون من شأنه أن - 1عن األمن، باإلضافة إلى أهمية يساعد الفرد على فهم معنى أمن تكنولوجيا المعلومات وسبب الحاجة إليه ومسؤوليته الشخصية .أ

وحيثما تكون متطلبات أمن تكنولوجيا المعلومات بأجهزة الدولة أآثر . االلتزام بالسياسات والمعايير األمنية المحددة ألجهزة الدولة .تشددا من السياسات والمعايير الحكومية ألمن تكنولوجيا المعلومات، ينبغي توضيح هذه العناصر

.لى القوانين واللوائح الحكوميةيتضمن أو يشير إ .ب يساعد الفرد على تحقيق فهم أفضل لتقنيات أسلوب الهندسة االجتماعية التي يمكن استخدامها في خداع شخص من أجل الكشف عن .ج

معلومات سرية أو خاصة أو متميزة بهدف تعريض سرية وسالمة وتوافر بيانات ومعلومات أجهزة الدولة وموارد تكنولوجيا .مات للمخاطرالمعلو

:يشتمل على سبيل المثال ال الحصر على .د .مسؤولية األفراد عن اإلبالغ عن القضايا ذات الصلة بأمن تكنولوجيا المعلومات وآلية القيام بذلك - 1 .حقيقة إمكانية خضوع أنشطة الفرد للمراجعة والتدقيق - 2 ).وحماية البيانات القانون المقترح لسرية(*المتطلبات القانونية لسرية وحماية البيانات - 3 .ملكية البيانات ووضع العالمات على البيانات - 4 .قضايا االستخدام في غير نطاق العمل - 5 .متطلبات آلمة المرور الخاصة بوحدة الموازنة من أجل االستخدام واإلدارة - 6 .الحماية من الفيروسات والبرامج المضرة والمدمرة -7 ).اإلنترنت(والبريد اإللكتروني واستخدام الشبكة الدولية سياسة االستخدام المقبول لألصول المعلوماتية - 8 .ترخيص البرمجيات - 9

.حساسية األنظمة التابعة ألجهزة الدولة للتهديدات ومخاطر ونقط الضعف -10تقنيات الهندسة االجتماعية الشائع استخدامها في خداع المستخدمين إلقناعهم بالتخلي عن إمكانية الوصول للمعلومات أو -11

.ن المعلومات السرية أو المتميزةالكشف ع .األمن المادي -12إمكانية تطبيق المتطلبات األمنية على جميع موارد تكنولوجيا المعلومات، بما في ذلك أجهزة تكنولوجيا المعلومات -13

.المحمولة، مثل الحاسبات المحمولة وغير ذلك

‐19‐

، باإلضافة إلى سياسات ومعايير وإجراءات أمن )الوثائق وغير ذلكالكتيبات و(ينبغي أن يتم توفير مواد التدريب على التوعية األمنية - 2لة، تكنولوجيا المعلومات، سواء بصورة إلكترونية أو عن طريق النسخ الورقية إلى جميع العاملين والمتعاقدين والعمال المؤقتين بأجهزة الدو

.حسب االقتضاء

SA 3 يحصل جميع موظفي أجهزة الدولة، باإلضافة إلى المتعاقدين والمستخدمين لدى األطراف األخرى حيثما آان ذلكمناسبا، على التدريب والتوعية المالئمين فيما يتعلق بسياسات وإجراءات أجهزة الدولة حسب االقتضاء بشأن مهامهم

. الوظيفية وأدوارهم ومسؤولياتهم ومهاراتهم

يكون مستوى التوعية األمنية والتدريب متناسبا مع مستوى الوصول والخبرات الالزمة فيما يتعلق بمكونات النظام وموارد المعلومات التي ينبغي أن .يتولى الموظف بأجهزة الدولة أو المتعاقد معها أو المستخدم لدى أي طرف آخر المسؤولية عنها

قد معها أو المستخدم لدى أي طرف آخر على تدريب أمني قبل أن يحظى بإمكانية ينبغي أن يحصل الموظف بأجهزة الدولة أو المتعا - 1وقبل الوصول إلى تطبيقات البرمجيات المحددة الخاصة بأجهزة الدولة، يحصل العاملون . الوصول إلى أنظمة وموارد تكنولوجيا المعلومات

.ياتهم ذات الصلة بنظام تطبيقات البرمجياتعلى أي تدريب أمني متخصص يرآز، حسب االقتضاء، على أدوارهم ومسؤولوينبغي أن يتم تحديث التدريب على التوعية األمنية الذي يحصل عليه العاملون بأجهزة الدولة . يتم تعزيز التوعية األمنية بصفة مستمرة - 2

.ذلك بصورة سنوية أو بمجرد وقوع حدث محدد، مثل تغير المسؤوليات الوظيفية أو الحالة الوظيفية أو غير

SA 4 ال يفصح العاملون بالحكومة، أثناء التدريب مع العاملين غير الحكوميين، عن أي معلومات أو تفاصيل يمكن أن .تعرض أمن أجهزة الدولة للمخاطر

وغالبا ما تتمثل تلك . يهدف آتيب تأمين المعلومات الحكومية إلى التأآيد على مخاطر الهندسة االجتماعية التي قد تؤدي إلى اإلفصاح عن المعلوماتفمن الممكن أن يخوض العاملون الحكوميون أثناء التدريب مناقشات . المخاطر في السلوك البشري للمناقشات القائمة على الخبرات الشخصية

. ت حساسةوقد يؤدي ذلك إلى اإلفصاح غير المتعمد عن معلوما). عملية أو تقنية(ومداوالت حول المعلومات الداخلية ألجهزة الدولة

SA 5 يتم مراجعة وتحديث مضمون التدريب والتوعية األمنية بصورة منتظمة آي يعكس التوجهات والمخاطر والتغييرات .الجديدة بالبنية األساسية لتكنولوجيا المعلومات في أجهزة الدولة

ومراجعة وتحديث محتوى التدريب بصورة منتظمة لضمان ينص آتيب تأمين المعلومات الحكومية على تقديم دورات تدريبية على التوعية األمنية .تناوله ألهداف وثقافة ونشاط وتكنولوجيا وأنظمة أجهزة الدولة ومتطلبات البيانات والمعلومات الخاصة بها

SA 6 يحصل العاملون الجدد على التدريب والتوعية بأمن المعلومات آجزء من عملية تحفيز العاملين.

ويساعد دمج برنامج التدريب على . معلومات الحكومية على دمج أمن المعلومات ضمن أنشطة العمل المختلفة ألجهزة الدولةينص آتيب تأمين ال .التوعية األمنية وبرنامج التدريب التوجيهي على خلق التعاون بين الموارد البشرية وإدارة أمن المعلومات

. لى أهمية أمن المعلوماتوعالوة على ذلك، تؤآد عملية الدمج للموظف الجديد ع

SA 7 يتم تقييم التدريب للتأآد من فاعلية البرنامج، بما في ذلك الحفاظ على سجالت حضور برامج التوعية األمنية.

.والتدريبينبغي أن تدرج أجهزة الدولة آليات التقييم والنتائج الرسمية لقياس مدى مالءمة وفاعلية برامج وتقنيات ومواد التوعية األمنية

ويجب أن يتم توثيق حضور برامج التدريب على التوعية األمنية ضمن . ينبغي أن تحتفظ أجهزة الدولة بسجالت حول جهود التوعية بأمن المعلومات .ملف الموظف بشؤون العاملين، مع إقرار الموظف بالحصول على التدريب وفهمه له

. ينبغي أن تحدد أجهزة الدولة معايير األداء الرئيسية التي تساعد على توضيح فاعلية جهود التوعية األمنية

SA 8 الخ بصورة فعالة من أجل ...يتم استخدام الوسائط غير المباشرة مثل الملصقات والشبكات الداخلية والبريد اإللكتروني . دعم برنامج التوعية

:ألساليب المالئمة المستخدمة في التوعية والتعليم، والتي قد تتضمن على سبيل المثال ال الحصر ما يليتحدد أجهزة الدولة ا

الملصقات التدريب القائم على الحاسوب

‐20‐

مواد وموارد الشبكة الداخلية أفالم الفيديو الرسائل اإلخبارية النشرات

البيانات الموجزة التعليمات الرسمية بالفصل الدراسي التدريب أثناء العمل المؤتمرات

‐21‐

]IM[إرشادات حول إدارة الحوادث - 8


IM 1 تعيين شخص لتولى المسؤولية وإدارة برنامج إدارة الحوادث، بما في ذلك نقطة اتصال لجميع اتصاالت األمن .المعلوماتية

وينبغي أن يتولى ذلك الشخص المسؤولية الكاملة عن . الحكومية على أن تحدد أجهزة الدولة المسؤول عن إدارة الحوادثينص آتيب تأمين المعلومات .إدارة برنامج إدارة الحوادث، الذي يتضمن إدارة الموازنات وتعريف البرنامج وتنفيذه وغير ذلك

IM 2 ى سياسة تصنيف المعلومات الحكومية القادرة على بناء القدرة على التصدي لحوادث أمن المعلومات، اعتمادا علالبيانات والعمليات واألنظمة والشبكات ) من خالل المخاطر ونقاط الضعف وقيمة األصول(إجراء تقييم دوري لمخاطر

. وفقا لكتيب تأمين المعلومات هذا

الخاصة بالقدرة على االستجابة للحوادث في إطار متطلبات عمل تقييم المتطلبات) مدير إدارة الحوادث(يتولى المسؤول عن عملية إدارة الحوادث .ويقوم مدير إدارة الحوادث بمراجعة هذه المتطلبات بصفة دورية استنادا إلى تحليل المخاطر ونقاط الضعف. أجهزة الدولة

IM 3 تحديد إجراءات الكشف عن الحوادث وتقييمها والتصدي لها.

:وتتضمن اإلجراءات، آحد أدنى، ما يلي. جراءات الخاصة بالكشف عن الحوادث وتقييمها والتصدي لهاتتولى أجهزة الدولة تحديد اإل

.الكشف عن الحوادث )1 .تتضمن إجراءات الكشف متابعة الحوادث واإلبالغ عنها .أ ويمكن أن ويتضمن ذلك أي أخطاء عرضية تحدث. يتم تشجيع جميع المستخدمين على اإلبالغ عن حوادث األمن التي يرصدونها .ب

.تتسبب في تعريض األمن للمخاطريمكن ضبط أدوات متابعة نظام المعلومات، مثل متابعة الشبكات ونظام الكشف عن التدخل ومنعه وغير ذلك، بحيث تنذر أو تبلغ .ج

.ث مريبةادأي أحداث أو وأح بصورة أوتوماتيكية عن .والحوادث غير المتعلقة بتكنولوجيا المعلومات تتألف الحوادث األمنية من آل من حوادث تكنولوجيا المعلومات .د

اإلصابة بالفيروسات أثناء االنتقال داخل المقر) من غير العاملين(عدم مصاحبة األشخاص أو التعرف عليهم. بوابات المداخل(المشكالت الخاصة بأقفال األبواب(

تقييم الحوادث )2 .ب أو خدعةتقييم ما إذا آان التقرير يمثل حادثا أو إنذار آاذ .أ .تقييم نوع وحجم المشكلة .ب .تحديد مستوى األولوية وبالتالي خطة العمل .ج .تحديد ما إذا آان نشاط الحادث ال يزال قائما أو قد توقف؛ وفي حالة توقفه، تحديد ما إذا آان من المحتمل أن يبدأ نشاطه من جديد .د بالفعل وعددها؛ وأيضا تقييم ما إذا آان نشاط الحادث قد وقع داخل تحديد األنظمة والبيانات التي تأثرت أو من المحتمل أن تتأثر .ه

).آمصدر أو هدف نهائي(نطاقك فقط أو أن هناك نشاط خارجي أيضا .تقييم الخسائر في حالة حدوث خرق فعلي - 1 .وضع جدول تقديري الستعادة قدرة النظام أو إجراءات السيطرة على الموقف - 2

التصدي للحوادث )3 إخطار السلطات المعنية .أ

إخطار اإلدارة والرؤساء حول الحادث والطريق إلى المستقبل. التأآد من إخطار اإلدارة في المراحل الحرجة. ويمكن أن يتضمن ذلك استعادة قدرة النظام أو تقليل زمن التعطل أو محاولة تعقب المتعدين . تحديد األهداف الفورية وفقا لموافقة اإلدارة

.كوغير ذل

‐22‐

إخطار فريق االستجابة لطوارئ الحاسبات بقطر وأجهزة تطبيق القانون وطلب المساعدة إذا لزم األمر.

.جمع األدلة .ب توثيق الخسائر الناتجة. عمل نسخة اختياطية آاملة لجميع السجالت والنظام برمته. ن التدخل واألجهزة األمنية األخرى التي قد تساعد في عمل نسخة احتياطية للسجالت من الجدار الناري وأجهزة الراوتر وأنظمة الكشف ع

.تشخيص الخرق األمني توثيق اإلجراءات التي يتم إجراؤها لمراقبة واحتواء والقضاء على الحادث.

إلغاء الخسائر/ احتواء/ مراقبة .ج التهديد أو الخطر(تحديد مصدر المشكلة.( نقطة ضعف(للمخاطر تحديد نقطة الضعف التي تسببت في تعرض النظام( التأآد من التخلص من نقطة الضعف والتخفيف من حدتها والسيطرة على الخرق األمني. إدراك أن الدخالء ربما قاموا بتنصيب فيروس طروادة أو التجسس على لوحة المفاتيح أو تنصيب مثل تلك البرامج على األنظمة المعرضة

.للمخاطر

استعادة الخدمات .د تشغيل النظام بعد التخلص من نقاط الضعف بالنظام والتأآيد على فرض الرقابة على النظامالتأآد من. فحص جميع الخدمات المباشرة التي يوفرها النظام. متابعة النظام للتعرف على أي مشكالت أخرى أو على تدهور الخدمات. االقتضاء لضمان أداء النظام حسب) مسح االختراق/ اختبار(إجراء اختبارات أمنية. إصدار النظام الستخدامه من قبل جمهور العامة.

IM 4 تحديد إجراءات اإلبالغ عن حوادث أمن المعلومات وإدارتها واستعادة القدرة على العمل داخليا بالتعاون مع فريق .االستجابة لطوارئ الحاسبات بقطر وأجهزة الدولة األخرى

وفي هذه الحالة، يلعب فريق االستجابة لطوارئ الحاسبات في قطر . يتولى مدير إدارة الحوادث بناء القدرة على التصدي للحوادث داخل أجهزة الدولة . دور المكتب الحكومي للتصدي للحوادث ويوفر التنسيق المرآزي والدعم لعملية قدرة التصدي للحوادث في أجهزة الدولة

ت المعلومات تتولى إدارات القدرة على التصدي للحوادث المعنية بأجهزة الدولة المسؤولية عن عمليات التعامل مع الحوادث التي تقع في أنظمة أو شبكا .خدمات الحاسبات أو المجاالت الوظيفية داخل نطاق أجهزة الدولة التي تعمل بهاالمحددة أو

إذا (ل المعلومات مع فريق االستجابة لطوارئ الحاسبات بقطر وأجهزة تطبيق القانون وأجهزة الدولة األخرى يتم وضع خطط وقنوات االتصاالت لتباد .أثناء األوضاع العادية واألزمات) لزم األمر

IM 5 خلق الوعي بين العاملين من أجل اإلبالغ عن الحوادث.

وينبغي أن يتم توعية جميع المستخدمين . ث جزء من التدريب على الوعي األمنيينص آتيب تأمين المعلومات الحكومية على أن تكون إدارة الحواد . ويمكن أيضا توعية المستخدمين حول آيفية االستجابة لحوادث محددة، مثل الحرائق والكوارث الطبيعية وغير ذلك. بكيفية اإلبالغ عن الحوادث

. عن الحوادثتنشئ أجهزة الدولة قنوات صديقة للمستخدم من أجل اإلبالغ

IM 6 ج"تصنيف جميع الحوادث وفقا لتصنيف خطورة الحادث المنصوص عليه بالملحق."

ليه لضمان االتساق والتوافق بين موارد الدولة، فمن الحكمة أن يتم تصنيف الحوادث األمنية وفقا لجدول تصنيف مدى خطورة الحادث، المنصوص ع .لحكوميةبالملحق المرفق بكتيب تأمين المعلومات ا

‐23‐

IM 7 التنسيق مع فريق االستجابة لطوارئ الحاسبات بقطر لوضع سجل حوادث في أجهزة الدولة.

وعقب التأآد من استعادة النظام، تسعى إدارة القدرة على التصدي للحوادث . آتيب تأمين المعلومات الحكومية على توثيق جميع الحوادث األمنيةينص :إلى تسجيل المعلومات التالية

توثيق وجمع جميع المعلومات المتعلقة بالحادث بأآمله. فتح القضية مع الجهاز المعني بتطبيق القانون، اعتمادا على نوع الحادث وحجم الخسائر ومدى حدتها. صورة أفضلوتقييم ما إذا آان من الممكن تحسين أسلوب العمليات من أجل التعامل مع الموقف ب. تحديد الدروس المستفادة أثناء الحادث .

.وتبادل الدروس مع أجهزة الدولة األخرى من خالل فريق االستجابة لطوارئ الحاسبات في قطر من أجل منع أي هجمات مماثلة

IM 8 إبالغ فريق االستجابة لطوارئ الحاسبات بقطر عن جميع حوادث المستوى األول من الخطورة خالل ساعة واحدة من .اآتشاف وقوع الحادث

ويتم . مةينص آتيب تأمين المعلومات الحكومية على توافر الموارد الحكومية المثلى من أجل تسوية الحوادث التي قد تحظى باهتمام هائل من جانب األ . تعريف حوادث المستوى األول لألهمية باعتبارها تلك الحوادث التي قد تتضمن جزءا من البنية األساسية الحرجة لألمة

‐24‐

]BC[إرشادات حول إدارة استمرارية تصريف األعمال - 9


BC 1 يتم تعيين شخص يتولى مسؤولية وإدارة برنامج استمرارية تصريف األعمال.

وينبغي أن تضمن . صريف األعمالإلدارة برنامج استمرارية ت) يعرف باسم مدير استمرارية تصريف األعمال(تولى أجهزة الدولة تعيين شخص ات أجهزة الدولة أيضا التزام مدير برنامج استمرارية تصريف األعمال وحصوله على الدعم من قبل اإلدارة، باإلضافة إلى الحصول على الموازن

ل بدوره تشكيل فريق يتضمن ويمكن أن يتولى مدير برنامج استمرارية تصريف األعما. المعتمدة والمخصصة إلدارة استمرارية تصريف األعمال .محترفين من شعب العمل الفردية إلدارة برنامج استمرارية تصريف األعمال

:يضطلع مدير أو فريق استمرارية تصريف األعمال بالمسؤوليات التالية

بالتشاور مع إدارة أجهزة الدولة(تنظيم واعتماد برنامج إدارة استمرارية تصريف األعمال.( استمرارية تصريف األعمال المالئمة داخل أجهزة الدولةإدارة أنشطة. دعم استمرارية تصريف األعمال في أنحاء أجهزة الدولة وخارجيا متى أمكن ذلك. إدارة موازنة إدارة استمرارية تصريف األعمال. المحافظة على توثيق برنامج إدارة استمرارية تصريف األعمال. الحالي ألجهزة الدولة والمستوى الذي يتطلبه التشريع واللوائحإجراء البحوث حول وضع االستعداد. تقديم التقارير حول وضع االستعداد الحالي إلدارة أجهزة الدولة بصفة منتظمة وتحديد موضع الفجوات المحددة. عمال بإدارات العمليات أو ممثلي استمرارية تصريف األ) بالتشاور مع مديري األعمال(قد يحدد فريق إدارة استمرارية تصريف األعمال

:بالمواقع األخرى ويتولى تدريبهم من أجل القيام بدور نقطة اتصال في قضايا استمرارية تصريف األعمال التي تؤثر على اإلدارة أو الموقع. مساعدة اإلدارة في تحديد آثار التغيير في العمليات على استمرارية تصريف األعمال. ية تصريف األعمال بالتغيير في العملياتإخطار فريق إدارة استمرار. المساعدة في أو قيادة عملية استعادة القدرة على العمل باإلدارة أو الموقع في حالة توقف العمل.

BC 2 يتم إعداد خطة استمرارية تصريف األعمال لضمان استمرارية العمليات الرئيسية وتقديم الخدمات بالمستوى المقبول .وتعتمد على الوقت المستهدف الستعادة القدرة على العمل فيما يتعلق بكل عملية من عمليات وتتضمن هذه الخطة

.أجهزة الدولة

وتتمثل الخطوة الرئيسية إلعداد خطة استمرارية تصريف . ينبغي أن تتبع أجهزة الدولة إجراًء محددا عند إعداد خطة استمرارية تصريف األعمالويعد التدريب امتدادا لتدريب تصنيف المعلومات الذي . لنشاط من أجل تحديد العمليات والوظائف الهامة ألجهزة الدولةاألعمال في إجراء تحليل أثر ا

.تجريه أجهزة الدولة

.تحديد العمليات الرئيسية والقائمين على إدارتها داخل أجهزة الدولة - 1 .وغيرهاالمعلومات والتطبيقات واألنظمة والشبكات : تحديد تبعيات العمليات - 2 ).التوافر/ السالمة / السرية ( C-I-Aمن الثالثي " A"ويمثل هذا المرحلة . تحديد متطلبات التوافر - 3يعد شرط التوافر لتطبيق جدول الرواتب مرتفعا للغاية في نهاية الشهر، أثناء : وعلى سبيل المثال. حساسية زمن توثيق العمليات الرئيسية - 4

.إعداد الرواتب .وغير الملموسة الناجمة عن تعذر تشغيل آل وظيفة أو خدمة هامة) المالية وغير المالية(ملموسة تقييم اآلثار ال - 5 *.تحديد الحد األقصى المسموح به لتعطل العملية - 6 **.تحديد المرحلة المستهدفة الستعادة القدرة على العمل - 7 . حساب الوقت المستهدف الستعادة القدرة على العمل بناًء على ما سبق - 8

جيا ي أن تستفيد أجهزة الدولة من نتائج تحليل أثر العمل وتقييم المخاطر ونقاط الضعف في صياغة وتنفيذ خطة استمرارية تصريف أعمال تكنولوينبغ .لالمعلومات التي سوف تساعد على استمرار عمليات تكنولوجيا المعلومات الهامة وتقديم الخدمات الضرورية بمستوى مقبول في حالة تعطل العم

. وينبغي أن تهتم الخطة أيضا باستعادة مرافق وقدرات تكنولوجيا المعلومات لدى أجهزة الدولة في حالة إخفاق تلك العمليات أو الخدمات

‐25‐

افر ، أجهزة الدولة في تطبيق الضوابط لضمان تو)تقييم المخاطر(تساعد نتائج تحليل أثر العمل، باإلضافة إلى نتائج تقييم المخاطر ونقاط الضعف . العملية من خالل التخفيف من حدة المخاطر، وبالتالي، وضع خطة مناسبة الستمرارية العمل

سواء المالية أو من خالل فقدان (يتم تعريفه باعتباره المدة الزمنية التي تتعرض بعدها جدوى المنظمة : الحد األقصى المسموح به لتعطل العمل* .في حالة عدم القدرة على تسليم منتج محدد أو خدمة محددةللمخاطر دون رجعة، ) السمعة الطيبة

يتم تعريفه باعتباره اإلطار الزمني الستعادة القدرة على العمل أو تقديم الخدمة عقب حدوث تعطل في : الوقت المستهدف الستعادة القدرة على العمل** .قل من الحد األقصى المسموح به لتعطل العملوينبغي أن يكون الوقت المستهدف الستعادة القدرة على العمل أ. العمل

يتم تعريفها باعتبارها المرحلة التي ينبغي عندها استعادة المعلومات للمساعدة على إدارة النشاط : المرحلة المستهدفة الستعادة القدرة على العمل** .بمجرد استئناف العمل

BC 3 الكوارث وتتضمن أحكام استعادة القدرة على العمل في حاالت تشمل خطة استمرارية تصريف األعمال سيناريوهات .الكوارث

لتعطل ينص آتيب تأمين المعلومات الحكومية على ضرورة أن تضع أجهزة الدولة في االعتبار أثناء إجراء تحليل أثر العمل السيناريوهات المختلفةة وينبغي أن تتوقع خطة استمرارية تصريف األعمال مجموعة متنوعة من الكوارث وأن تضع سبل حماية مشترآ. العمل، سواء آانت طفيفة أو حادة . ألآبر عدد ممكن من السيناريوهات

BC 4 يتم الحفاظ على خطة استمرارية تصريف األعمال وتحديثها لتعكس الوضع الحالي والمتطلبات الحالية وإتاحتها لجميع .أعضاء الفريق

ضمن خطة استمرارية تصريف األعمال ينبغي أن تضمن أجهزة الدولة انعكاس وتحديث أي تغيير أو تحسين رئيسي في عملياتها أو بنيتها األساسية .وينبغي أن تكفل أيضا اختبار جميع تلك التغييرات خالل االختبار التالي المزمع إجراؤه بصفة منتظمة. ألجهزة الدولة

BC 5 يتم تخزين نسخة من الخطة المستحدثة الستمرارية تصريف األعمال باإلضافة إلى شرائط بيانات الدعم الالزمة .بخزينة مقاومة للحرائق والعبث إلى جانب تخزين نسخة إضافية خارج موقع العملوالمعلومات

.تضمن أجهزة الدولة تأمين وتوزيع خطط استمرارية تصريف األعمال بالصورة المالئمة

صلة في مكان آمن ومحدد تحتفظ أجهزة الدولة بنسخ من خطة استمرارية تصريف األعمال الخاصة بأجهزة الدولة وأي وثائق ومواد أخرى هامة ذات .وينبغي أن يحصل فريق العمل المحدد بقائمة مسؤولي االتصال على معلومات حول ذلك المكان وأسلوب الوصول إليه. سلفا بعيدا عن موقع العمل

.ى أجهزة الدولة األخرىينبغي أن تضمن أجهزة الدولة، حيثما يكون ذلك مناسبا، نقل مضمون خطة استمرارية تصريف األعمال بأجهزة الدولة إل

وفقا لسياسة أجهزة الدولة وبموجب الوقت المستهدف الستعادة القدرة على (ينبغي أن تضع أجهزة الدولة إجراءات لضمان توافر أحدث وسائل الدعم .بأحد األماآن البعيدة عن موقع العمل) العمل والمرحلة المستهدفة الستعادة القدرة على العمل

BC 6 قع بديلة الستعادة القدرة على العمل في حاالت الكوارث، ويتم تحديد مدى جاهزيتها وفقا لمتطلبات الوقت تحديد موا .باردة وفقا لمتطلبات أجهزة الدولة/ دافئة/ وقد تكون هذه المواقع ساخنة. المستهدف الستعادة القدرة على العمل

وينبغي أن يخضع اختيار . بناًء على نتائج تحليل أثر العمل وعلى المتطلبات التنظيمية األخرى، ينبغي أن تحدد أجهزة الدولة حاجتها إلى موقع بديل .الوقت المستهدف الستعادة القدرة على العمل والمرحلة المستهدفة الستعادة القدرة على العملموقع بديل لعوامل

:الموقع الساخن

يعد الموقع الساخن نسخة طبق األصل من الموقع األصلي للمنظمة يتضمن أنظمة حاسبات آاملة باإلضافة إلى دعم شبه آامل لبيانات ويمكن استخدام التزامن في الوقت الفعلي بين الموقعين آي يعكس بيئة بيانات الموقع األصلي بالكامل باستخدام روابط شبكية . المستخدمين

وعقب توقف العمل بالموقع األصلي، يتواجد الموقع الساخن آي تستطيع المنظمة االنتقال إلى تنفيذ . وبرمجيات متخصصةواسعة النطاق وربما ينبغي انتقال . ويتم تشغيل الموقع الساخن، من الناحية المثالية، خالل ساعات أو أقل. العمليات الطبيعية دون تكبد أدنى خسائر

وقد تكون . ن؛ ومن ثم، فمن الممكن تشغيل الموقع الساخن من منظور معالجة البيانات قبل انتقال العاملين إليهالعاملين إلى الموقع الساخويعد تشغيل هذا النمط من مواقع . قدرة الموقع الساخن متطابقة أو غير متطابقة مع قدرة الموقع األصلي اعتمادا على متطلبات المنظمة

‐26‐

لمواقع الساخنة شائعة بين المنظمات التي تدير العمليات في الزمن الفعلي، مثل المؤسسات المالية واألجهزة وتعتبر ا. الدعم هو األآثر تكلفة . الحكومية ومقدمي خدمات التجارة اإللكترونية

:الموقع الدافئ

فعل بأجهزة حاسابات مماثلة يعد الموقع الدافئ بمثابة موقع تستطيع المنظمة االنتقال إليه عقب توقف أو تعطل العمل ويكون مزودا بالوقد يحظى أو ال يحظى بنفس قدرات الموقع األصلي . ألجهزة حاسبات الموقع األصلي ولكنه ال يتضمن نسخ دعم للبيانات والمعلومات

.وينبغي أن يتم استعادة البيانات على األجهزة في ذلك الموقع قبل إمكانية بدء األنشطة. اعتمادا على متطلبات المنظمة

:موقع الباردال

وال يتضمن نسخا احتياطية من البيانات والمعلومات . يعد الوقع البارد أقل أنماط مواقع الدعم التي تتولى المنظمات تشغيلها من حيث التكلفةشغيل ويساهم االفتقار إلى البرمجيات في خفض تكاليف بدء ت. الخاصة بالموقع األصلي للمنظمة، آما ال يتضمن أجهزة منصبة بالفعل

وقوع الموقع البارد إلى حدها األدنى، ولكنه يتطلب وقتا إضافيا عقب وقوع الكارثة إلدارة العمليات بقدرة تقترب بقدرة إدارة العمليات قبل . الكارثة

BC 7 لجزء من أنشطتها أو مهام تكنولوجيا المعلومات أو خدمات ًاالنص على ضوابط قوية بالعقود تتضمن تعهيد .صريف األعمال الخاصة بهااستمرارية ت

مات ينبغي أن تضع أجهزة الدولة ضوابط قوية بعقود تكنولوجيا المعلومات تتضمن تعهيدا لجزء من أنشطتها أو مهام تكنولوجيا المعلومات أو خدجهزة تحول دون االستعانة بأحد ويجب أن تدرس أجهزة الدولة ما إذا آانت المخاطر المتعلقة بالحفاظ على بيانات األ. استمرارية تصريف األعمال

.وينبغي أن تشارك إدارة استمرارية تصريف األعمال في توفير العاملين لتنفيذ عقود التعهيد. المتعاقدين في تنفيذ المهام التي يتم تعهيدها

:عمالينبغي أن تتولى أجهزة الدولة تقييم ما إذا آان لدى المتعاقدين الضوابط التالية الستمرارية تصريف األ

.خطة استمرارية تصريف األعمال استنادا إلى تحليل أثر العمل وتقييم المخاطر .أ .اختبار خطة استمرارية تصريف األعمال التي يتم ممارستها بصفة منتظمة .ب .التأآيد على تقديم إخطار بانقطاع الخدمة بموجب اتفاقيات مستوى الخدمة .ج

BC 8 يتم اختبار خطة استمرارية تصريف األعمالBusiness Continuity Plan) ( بانتظام لمرة واحدة سنويا على .األقل

وآحد أدنى، ينبغي أن يكون االختبار للسيناريو األآثر . ينبغي أن تختبر أجهزة الدولة خطة استمرارية تصريف األعمال لمرة واحدة سنويا على األقلوسوف يعتمد نمط وحجم االختبار على مدى أهمية النشاط بدعم من . ماال حسب االقتضاءاحتماال، بينما يتم إجراء اختبارات السيناريوهات األقل احت

.تكنولوجيا وتعقد عملياته ومكوناته

:قد تتضمن اختبارات استمرارية تصريف األعمال أي من أو جميع ما يلي

ويتولى . ال التي ال تؤثر تأثيرا آبيرا على العمليات اليوميةتدريبات المحاآاة هي أحد أساليب اختبار خطة استمرارية تصريف األعم: تدريبات المحاآاةحدد ضمن أفراد فريق استمرارية تصريف األعمال مراجعة ومناقشة اإلجراءات التي يتخذونها حيال السيناريوهات المحددة لتوقف العمل وفقا لما هو م

ويمكن إجراء التدريب من خالل فريق واحد أو مجموعة من الفرق حسب . اتالخطط الخاصة بهم، ولكنهم ال يقومون بالفعل بأداء أي من هذه اإلجراء . االقتضاء

. الموقع والمخاطر المحتملة/ يتم إعداد سيناريو االختبار اعتمادا على الظروف الواقعية التي تضع في االعتبار النشاط: ورش العمل/ عمليات المحاآاةوأداء أدوارهم من أجل استعادة القدرة على ) بموجب خطة استمرارية تصريف األعمال(عن الخطط ويتم بعد ذلك مطالبة أعضاء الفريق بالتحدث

.العمل من خالل السيناريو

. في هذا السيناريو، يتم دراسة سيناريو تعطل العمل وإجراء محاولة مباشرة الستعادة القدرة على العمل: اختبارات استعادة القدرة الجزئية على العملوفي بعض البدائل، قد يتضمن ذلك استعادة مهام وبنية رئيسية محددة . يتم اختبار جزء واحد فقط من العملية أو المهمة أو البنية األساسية ومع ذلك،

.وغير ذلك، وعادة ما يكون ذلك بعيدا عن موقع العمل دون التأثير على العمليات الفعلية

‐27‐

هذا السيناريو، يتم دراسة توقف العمل؛ وعادة ما يتم استعادة النظام أو العملية أو البنية األساسية في: اختبارات استعادة القدرة الكاملة على العملوعادة ما يتضمن ذلك تعبئة آاملة للقوى العاملة وتفويضات من اإلدارة . بالكامل في موقع بديل بموجب الخطة المحددة الستمرارية تصريف األعمال

ومع ذلك، يعد نجاح هذا االختبار بمثابة دليل حقيقي على فاعلية خطة استمرارية تصريف . ثر العمليات المعتادةآما يتضمن مخاطر آبيرة مما يؤ .األعمال التي وضعها الفريق

BC 9 يتم توعية العاملين بخطة استمرارية تصريف األعمال.

وآحد أدنى، ينبغي أن يتناول برنامج . برنامج التوعية األمنية بأجهزة الدولةتبذل أجهزة الدولة جهودا للتوعية باستمرارية تصريف األعمال آجزء من :التوعية ما يلي

.تعريف جميع العاملين بأسباب وأهمية خطة استمرارية تصريف األعمال .أ .تعريف العاملين بأدوارهم ومسؤوليات وتوقعات أجهزة الدولة في حالة حدوث أزمة أو تعطل العمل .ب : وعلى سبيل المثال. توعية العاملين حول قنوات وعمليات االتصال المختلفة التي سوف يتم استخدامها في حالة وقوع أزمة أو تعطل العمل .ج

في التواصل مع الزمالء والوسائل البديلة لالتصال، مثل الهواتف التي تتصل باألقمار " شجرة االتصاالت"توضيح آيفية استخدام . صاالت الالسلكية وغير ذلك، حسبما يكون متاحا داخل أجهزة الدولةاالصطناعية واالت

‐28‐

]SM[إرشادات حول تسجيل األداء والمتابعة األمنية - 10

إرشادات حول السياسة والضوابط الرئيسية 10-1

SM 1 وضع مجموعة من اإلجراءات والضوابط لضمان متابعة الوصول إلى المعلومات وحمايتها.

وينبغي أن تحدد اإلجراءات األصول والعمليات التي ينبغي أن . الدولة وجود إجراءات تنص على متابعة الوصول إلى المعلومات وحمايتهاتكفل أجهزة .تتم متابعتها

SM 2 ساعة يوميا على مدار 24وينصح بتوفير متابعة لمدة . إقرار ممارسات المتابعة وفقا لمدى أهمية البنية األساسيةوضمان تخصيص مسؤوليات المتابعة وفقا لما تحدده الفقرة A3و I3و C3نيات األساسية المصنفة األسبوع للب

PS9 الفصلB-6 أمن العاملين"بعنوان] "PS.[

موارد مالئمة ويهدف ذلك إلى ضمان استهالك . ينبغي أن تكفل أجهزة الدولة إقرار ممارسات المتابعة وفقا ألهمية المعلومات والعملية والبنية األساسية .في عملية متابعة الموارد والرقابة عليها

ل عملية ويؤآد آتيب تأمين المعلومات الحكومية أيضا على حقيقة أن تقسيم المسؤوليات أو مبدأ الرقابة من قبل شخصين ينبغي أن يكون قائما من أج . المتابعة أيضا

SM 3 نية مثل سياسة حماية البيانات والخصوصية أن يتماشى نشاط المتابعة مع األطر الرقابية والقانو]IAP-NAT-DPRP [ويشمل استخدام األنظمة أو الوصول إليها.

وينبغي أن تشمل المتابعة وتسجيل . ينبغي أن تكفل أجهزة الدولة أن تتماشى جميع أنشطة المتابعة وتسجيل األداء مع األطر الرقابية والقانونية المتعددة .والوصول إليه األداء استخدام النظام

SM 4 تمكين الدخول على جميع أجهزة معالجة البيانات أو حماية المعلومات المصنفة وفقا لمستوى السريةC2 أو أآثر.

ل وأآثر بإمكانية تسجي C2ينبغي أن تكفل أجهزة الدولة أن يتم تزويد جميع أجهزة البيانات التي تحمي أو تعالج المعلومات المصنفة بمستوى السرية .األداء

SM 5 تصنيف جميع السجالت األمنية بمستوى سريةC3 بينما يتم تصنيف سجالت التطبيقات واألنظمة وفقا لتصنيف ، .السرية الخاص بالنظام

مة ، بينما ينبغي أن تحظى سجالت التطبيقات واألنظC3ينبغي أن تكفل أجهزة الدولة تصنيف السجالت األمنية الخاصة بالنظام بمستوى سرية ويجب أن يتم تعريف ضوابط الوصول إلى النظام لضمان حماية السجالت األمنية من إمكانية الوصول . بتصنيفات وفقا لمستوى السرية الخاص بالنظام

.غير المصرح به أو العبث

SM 6 البيانات أن تحظى السجالت التي تتضمن معلومات شخصية بالتدابير المالئمة لحماية الخصوصية وفقا لسياسة حماية ]IAP-NAT-DPRP[والخصوصية

. يةينبغي أن تكفل أجهزة الدولة حماية السجالت التي تتضمن معلومات شخصية بالصورة المالئمة بما يتماشى مع سياسة حماية البيانات والخصوص

SM 7 أن يتم االحتفاظ بهذه السجالت لمدة تسعين يوما آحد أدنى.

وليس ضروريا أن تكون السجالت متاحة عبر اإلنترنت من خالل النظام ويمكن االحتفاظ بذات السجالت . عين يومايتم االحتفاظ بالسجالت لمدة تسومع ذلك، في حالة االحتفاظ بالسجالت باألرشيف أو دون االتصال بشبكة اإلنترنت، فالبد من . باألرشيف أو إتاحتها دون االتصال بشبكة اإلنترنت

.ك السجالت بسهولة نسبيةوجود وسيلة للوصول إلى تل

SM 8 أن يتم تسجيل األحداث ذات الصلة لتوفير معلومات آافية تسمح بإعادة محاآاة الحوادث.

ويكون ذلك هو . ينبغي أن تكفل أجهزة الدولة االحتفاظ بالسجالت المناسبة والمالئمة داخل النظام للمساعدة على إعادة محاآاة الحوادث إذا لزم األمر .نما يرى اإلداريون ضرورة تعديل آمية السجالت الناجمة من خالل تسجيل أحداث أو إنذارات محددة فقطالحال حي

‐29‐

SM 9 أن يتم زيادة تقارير االستثناء وفقا لسياسة التعامل مع الحوادث، آما هو محدد بالفصلB-8 إدارة الحوادث"بعنوان "]IM.[

ويجب أن يتم تسجيل . وفي هذه الحالة، ينبغي دمج متابعة النظام مع التعامل مع الحوادث. شكل جيدينبغي أن تكفل أجهزة الدولة تكامل العمليات بوقد يكون . االستثناءات التي يتم رصدها بالنظام من خالل سجالت نظام المتابعة واإلنذارات وغيرها واتخاذ اإلجراءات من خالل عملية إدارة الحوادث

. ياويد التكامل أو الدمج أتوماتيكيا أو

‐30‐

]DR[إرشادات حول حفظ وأرشفة البيانات - 11


DR 1 وتخضع فترات االحتفاظ بالبيانات آحد . أن تحدد وتوثق فترات االحتفاظ باألصول المعلوماتية الهامة التي في حوزتها :أدنى لما يلي

سياسات واحتياجات أجهزة الدولة - أ المتطلبات الرقابية والتنظيمية - ب المتطلبات القانونية -ج

وينص آتيب تأمين المعلومات الحكومية على صياغة سياسة تحدد فترة . يتمثل أحد التحديات الكبرى اليوم في تخزين البيانات والمدة الزمنية لتخزينهاالعوامل المذآورة ويجب أن تقرر أجهزة الدولة فترة االحتفاظ بالبيانات اعتمادا على . االحتفاظ بالمعلومات التي يتم جمعها أو إصدارها أو حيازتها

. وقد يكون هناك عوامل أخرى يمكن دراستها استنادا إلى المتطلبات الخاصة بأجهزة الدولة. أعاله بصفة رئيسية

.البد من وجود إجراءات لتدمير المعلومات وفقا لسياسة تطهير الوسائط بأجهزة الدولة بمجرد االنتهاء من إمكانية استخدامها

DR 2 انات الواجب االحتفاظ بها بما يضمن سريتها وسالمتها وإتاحتها وإمكانية الوصول إليها ألغراض أن يتم تخزين البي .مستقبلية محددة

. يف البياناتينبغي أن تكفل أجهزة الدولة التزام البيانات، التي يتم االحتفاظ بها ألغراض العمل، بمتطلبات السرية والسالمة والتوافر الخاصة بتصنتطبيق الضوابط على البيانات المتوفرة عبر شبكة اإلنترنت فحسب، بل على البيانات التي يتم أرشفتها أو تخزينها دون االتصال بشبكة ويجب أال يتم

. اإلنترنت بما يتماشى مع سياسة األرشفة الخاصة بأجهزة الدولة

DR 3 اسة حماية البيانات والخصوصية أال يتم االحتفاظ بالمعلومات الشخصية لفترة أطول مما هو ضروري بمقتضى سي]IAP-NAT-DPRP.[

ي حوزة أجهزة يود آتيب تأمين المعلومات الحكومية إعادة التأآيد على أهمية االلتزام بالقوانين والحكومية التي قد تسري على المعلومات التي تكون ف-IAP-NAT[الدولة، بمقتضى سياسة حماية البيانات والخصوصية وينبغي أن يتم االحتفاظ بالمعلومات الشخصية، التي تحتفظ بها أجهزة . الدولة

DPRP.[

سياسة حماية البيانات والخصوصية البد من وجود إجراءات لتدمير المعلومات الشخصية بعدما ال يكون هناك أي ضرورة لالحتفاظ بها بما يتماشى مع ]IAP-NAT-DPRP.[

DR 4 واستعادة القدرة على العمل إجراءات مقابلة تضمن الحفاظ على سالمة وسرية أن يكون لدى عمليات الدعم واألرشفة .البيانات

ويتم توخي الحذر لضمان عدم تعريض سرية وسالمة . تحدد أجهزة الدولة إجراءات العمل القياسية الخاصة بالدعم واألرشفة واستعادة المعلومات . ل الضوابط وفقا ألعلى تصنيف للبيانات المختزنة أو المعالجة أو المستعادةويتم تفعي. البيانات ألي أخطار أثناء هذه العمليات

DR 5 أن تحتفظ البيانات األرشيفية بعالمات التصنيف الخاصة بها وأن يتم تأمينها وفقا لذلك.

التكنولوجيا خبراء يميل أن المعتاد ومن. البشري العقل تفكير طريقة ما حد إلى يبرز قوال مأثورا، ولكنه" البعيد عن العين بعيد عن القلب"تعد عبارة وجود الدولة أجهزة تكفل أن ينبغي ذلك، ومع. دائمة بصفة استخدامها يتم التي والبيانات اإلنترنت شبكة على الموجودة البيانات على الترآيز إلى

أو الكوارث عقب العمل على القدرة استعادة أومواقع المباشرة غير ئطالوسا على منها احتياطية نسخة وإعداد أرشفتها يتم التي للبيانات أمنية ضوابط. لذلك وفقا وتأمينها الوسائط تلك آل على المناسبة العالمات وضع وينبغي. حوزتها في التي المعلومات لتصنيف وفقا العمل موقع عن البعيدة المناطق .معها التعامل سيتم وآيف الوسائط هذه على عالمات وضع آيفية تحدد إجراءات وجود من والبد

DR 6 أن يتم مراجعة أرشيف التكنولوجيا المطبقة لضمان أال يكون قد عفا عليه الزمن والحفاظ على البيانات األرشيفية في .حالة تسمح باستعادتها بنجاح

‐31‐

فقد خطت تكنولوجيا تخزين والوصول إلى البيانات . نولوجيايتمثل أحد االهتمامات الرئيسية أثناء أرشفة البيانات في الحفاظ على وثاقة الصلة بالتكوغير DVDو CDو DLTو DATوأفسحت شرائط البيانات الممغنطة الكبيرة المجال أمام وسائط . خطوات هائلة على مدار العقود القليلة الماضية

الوصول إليها؛ وفي حالة السيناريوهات التي تغير بها أجهزة ومن الضروري أن يتم ضمان االحتفاظ بالبيانات أثناء دورة حياتها حتى يمكن. ذلك . الدولة التكنولوجيا المستخدمة، فالبد أن تضمن انتقال جميع البيانات ذات الصلة باألرشيف بالصورة المالئمة إلى التكنولوجيا الجديدة

‐32‐

]DC[إرشادات حول التوثيق - 12

الرئيسيةإرشادات حول السياسة والضوابط 12-1

DC 1 إصدار سياسة أمنية ألجهزة الدولة تتضمن متطلبات آتيب تأمين المعلومات الحكومية هذا.

مين المعلومات تتولى أجهزة الدولة إعداد سياسة ألمن المعلومات يتم تعديلها وفقا الحتياجات ومتطلبات وأهداف أجهزة الدولة وبما يتماشى مع سياسة تأ . الحكومية

.تأمين األجهزة الحكومية األساس الرئيسي لتنفيذ نظام إدارة أمن المعلومات داخل أجهزة الدولة تمثل سياسة

DC 2 ويجب أن تكفل أجهزة الدولة صياغة . مواصفات أمنية/ضمان أن يحظى آل نظام تتقرر أهميته ألجهزة الدولة بخطة .وتوثيق إجراءات اإلدارة األمنية حسب االقتضاء

وعلى مستوى أدنى، يتم . المعلومات الحكومية على أن تبذل أجهزة الدولة العناية الواجبة في المحافظة على توثيق نظام المعلوماتينص آتيب تأمين .تقييم آل نظام يحظى بأهمية لدى أجهزة الدولة وتضمينه ضمن خطة أمنية

ويجب أن تتضمن إجراءات . ت العمل القياسية للحفاظ على تلك العملياتتكفل أجهزة الدولة، آحد أدنى، أن يتم تحديد العمليات الهامة وصياغة إجراءا .العمل القياسية ضوابط أمن المعلومات المتفق عليها

ملمين ) ذوي الصلة بالعملية(ال يهدف آتيب تأمين المعلومات الحكومية إلى توثيق آل عملية في صيغة آتابية شريطة أن يكون جميع العاملين .كون هناك آلية لضمان تدفق ووصول المعارف إلى العاملين الجددباإلجراءات وأن ت

.ومع ذلك، ينبغي أن تشير أجهزة الدولة إلى أن اإلجراءات الكتابية توفر قيمة آبيرة خالل حاالت الطوارئ والكوارث

DC 3 ضمان أن تتوافق معايير وإجراءات أمن النظام مع السياسات واألهداف األمنية ألجهزة الدولة.

سات يهدف آتيب تأمين المعلومات الحكومية إلى إعادة التأآيد على ضرورة أن تتماشى معايير وإجراءات أمن المعلومات بأجهزة الدولة مع السيا .واألهداف األمنية ألجهزة الدولة، التي يتعين بدورها أن تتفق مع آتيب تأمين المعلومات الحكومية

.السابق توافق جميع العمليات مع سياسات وإجراءات أجهزة الدولة وآتيب تأمين المعلومات الحكوميةسوف يكفل االلتزام باتباع اإلعالن

DC 4 تصنيف الوثائق األمنية لتكنولوجيا االتصاالت والمعلومات بصورة افتراضية آحد أدنىC3 /محظور.

ويتم تطبيق الضوابط األمنية ذات الصلة وفقا لهذا . محظور/ C3يتم تصنيف جميع الوثائق األمنية لتكنولوجيا االتصاالت والمعلومات آحد أدنى .التصنيف

DC 5 فحص الوثائق بصورة دورية للتأآد من تحديثها وآونها موجودة وفي حالة جيدة.

منهجية إدارة الوثائق الخاصة بها من أجل إجراء فحص دوري لضمان تحديث وثائق تكنولوجيا تحظى أجهزة الدولة بإجراءات محددة آجزء من .االتصاالت والمعلومات وآونها في حالة جيدة

. تكفل أجهزة الدولة أن تتضمن إجراءات إدارة التغيير أحكاما لتحديث وثائق النظام ذات الصلة آجزء من العملية

.حددة ينبغي المحافظة عليها آجزء من سمات إدارة الوثائقتحظى الوثائق بدورة مراجعة م

‐33‐

]AC[إرشادات حول االعتماد - 13


AC 1 ضمان وضع برنامج للحوآمة وتحسين األمن بما يتفق مع سياسة تصنيف المعلومات الحكومية]IAP-GOV-DCLS [ الحكومية هذاوآتيب تأمين المعلومات.

.قتكفل أجهزة الدولة وضع نظام إلدارة أمن المعلومات يتوافق مع سياسة تصنيف المعلومات الحكومية وآتيب تأمين المعلومات الحكومية المرف

هناك أصول معلوماتية تتولى أجهزة الدولة تعيين مدير أمن المعلومات؛ وحيثما تكون أجهزة الدولة منتشرة في العديد من المواقع الجغرافية وتكون .هامة بمواقع نائية، يجوز أن يتم تعيين مدير محلي ألمن معلومات الموقع

.ومع ذلك، سوف يحتفظ مدير أمن المعلومات بأجهزة الدولة بجميع مسؤوليات أمن المعلومات

:تكفل أجهزة الدولة ما يلي

.بالخبرة المطلوبة والمتخصصةأن يكون مدير أمن المعلومات مؤهال بالصورة المناسبة وأن يحظى - 1 .يحظى مدير أمن المعلومات بتصريح أمني من أجل الوصول إلى أعلى تصنيف للمعلومات المعالجة من قبل أجهزة الدولة - 2 .يحظى مدير أمن المعلومات بدعم وثقة وإمكانية الوصول إلى اإلدارة العليا ألجهزة الدولة - 3 .مسؤوليات أخرى متعارضة ال يتولى مدير أمن المعلومات أي أدوار أو - 4 .يقدم مدير أمن المعلومات التقارير، بصورة مباشرة، إلى رئيس أجهزة الدولة أو مدير إدارة تدقيق الحسابات الداخلية - 5 .في حالة تعهيد مهام أمن المعلومات، يظل مدير أمن المعلومات مستقال عن الجهة التي تتولى تعهيد المهام - 6

AC 2 أو /ين ولوائح الدولة ذات الصلة المعمول بها حاليا وتلك القوانين واللوائح التي يمكن تعديلها وااللتزام بأحكام قوان .إضافتها في مرحلة زمنية الحقة

.ة الحقةتلتزم أجهزة الدولة باألحكام المعنية من قوانين ولوائح الدولة المعمول بها حاليا وتلك التي يمكن تعديلها أو إضافتها في مرحلة زمني

)الحالية والجديدة المقترحة(* تكفل أجهزة الدولة، بصفة خاصة، االلتزام بالقوانين التالية

.سياسة البنية األساسية للمعلومات الهامة - 1 .سياسة حماية البيانات والخصوصية - 2 .قانون التجارة اإللكترونية -3 .قانون جرائم اإلنترنت - 4

AC 3 المراجعة والتدقيق بالدولة أو أي هيئة مستقلة يحددها جهاز المراجعة أن تخضع للمراجعة والتدقيق من قبل جهاز .والتدقيق بالدولة

مين يتولى جهاز المراجعة والتدقيق بقطر المسؤولية عن مراجعة وتدقيق مدى التزام أجهزة الدولة بسياسة تصنيف المعلومات الحكومية وآتيب تأقوم جهاز المراجعة والتدقيق بقطر بتعيين مدققين آخرين مستقلين ومعتمدين لدى أجهزة الدولة إلجراء وبدال من ذلك، يجوز أن ي. المعلومات الحكومية

.عمليات المراجعة والتدقيق

AC 4 مرة واحدة سنويا ) البنية األساسية واألشخاص والعمليات(ضمان إجراء مراجعة وتدقيق لنظام المعلومات الخاص بها .غيير قد يؤثر على أمن أجهزة الدولةعلى األقل أو متى يتم إجراء ت

وتتولى أجهزة الدولة المسؤولية عن ضمان أن . تسري عملية المراجعة والتدقيق التي يجريها جهاز المراجعة والتدقيق بقطر أو الهيئة لمدة عام واحد .بأجهزة الدولةوهكذا يتم إجراء تدريب سنوي لمراجعة وتدقيق الوضع األمني . تكون معتمدة في جميع األوقات

اجعة في حالة حدوث تغيير آبير يؤثر على البنية األساسية أو األشخاص أو العمليات، يتعين إعادة إجراء المراجعة والتدقيق من قبل جهاز المر .والتدقيق بقطر أو الهيئة

‐34‐

AC 5 والعملياتضمان أن يشتمل نطاق عملية المراجعة والتدقيق على جميع األصول المعلوماتية واألشخاص.

.ينبغي أن يكفل جهاز المراجعة والتدقيق بقطر أن يتضمن نطاق عملية المراجعة والتدقيق جميع األصول المعلوماتية واألشخاص والعمليات

ومع ذلك، ينص آتيب تأمين المعلومات الحكومية على أن تدرج أجهزة الدولة جميع عناصر بنيتها األساسية وعملياتها وأشخاصها آجزء من نطاقها؛ .ورغم ذلك، البد من تحريك العجلة لتحقيق الهدف النهائي. قد ال يكون من الحكمة أو الممكن إجراء االعتماد الكامل من خالل محاولة واحدة

تقدم . لزمنيةيقدم جهاز المراجعة والتدقيق بقطر المشورة ألجهزة الدولة حول آيفية وضع هدف محدد وقابل للقياس ويمكن تحقيقه ومحدد المدة ا .أجهزة الدولة، من جانبها، خارطة طريق إلى جهاز المراجعة والتدقيق بقطر من أجل تحقيق االلتزام الكامل

AC 6 ضمان إعادة االعتماد حينما يؤدي أي تغيير أو أي نتائج جديدة إلى إثبات عدم صحة االعتماد الحالي أو التشكك فيتغييرات الرئيسية التي تؤثر على التصميم األمني األساسي ألي نظام وهناك وهناك حاجة إلى اعتماد آامل لل. صحته

.حاجة أيضا إلى اعتماد جزئي حينما يكون التغيير متوسطا أو يؤثر على اثنين أو أآثر من المتطلبات األمنية

و يبطل أو يتشكك في االعتماد الحالي، فمن الضروري في حالة حدوث تغيير آبير أو حادث أمني يؤثر على البنية األساسية أو األشخاص أو العمليات أ .الهيئة التي يحددها خالل الفترة الزمنية المحددةأن تتم مراجعة االعتماد من قبل جهاز المراجعة والتدقيق بقطر أو

الدولة التعاون مع جهاز المراجعة ويجب أن تكفل أجهزة. يتم تحديد زمن المراجعة من قبل جهاز المراجعة والتدقيق بقطر بمجرد إخطاره بالتغيير .إخطاره على الفور في حالة التغيير غير المخطط له أو الحادث األمني أو/و له المخطط التغيير حالة والتدقيق بقطر في

AC 7 ضمان إصالح أي تباينات خالل فترة زمنية محددة.

ويتولى جهاز المراجعة والتدقيق بقطر أو . والتدقيق وفقا لجدول زمني محددتكفل أجهزة الدولة إصالح أي تباينات تظهر خالل عمليات المراجعة . الهيئة التي يحددها المسؤولية عن ضمان إجراء المراجعة من قبل أجهزة الدولة خالل الفترة الزمنية المحددة

.من خالل التشاور مع أجهزة الدولةالهيئة التي يحددها يتم تحديد المهلة الزمنية من قبل جهاز المراجعة والتدقيق بالدولة أو

AC 8 ضمان إبالغ جهاز المراجعة والتدقيق بالدولة أو أي هيئة رقابية مختصة بأي إعفاءات.

وفي حالة الرغبة في الحصول على إعفاء، يتم . تكفل أجهزة الدولة أن تكون البنية األساسية واألشخاص والعمليات جزءا من عملية المراجعة والتدقيقبه وتحديد مخاطر االستثناء والحصول على موافقة رئيس أجهزة الدولة أو الدولة مع تحديد نطاق اإلعفاء وسبإحالة األمر إلى جهاز المراجعة والتدقيق ب

. مدير إدارة المخاطر الداخلية

.اإلعفاء حالةل األحقيةمدى على بناًء عليه ويوافق اإلعفاء بشأن القرار بقطر والتدقيق المراجعة جهاز يتخذ

‐35‐

"ج"الفصل

] CS[ٍٍإرشادات حول أمن االتصاالت - 1

أهداف السياسة 1- 1

تمديد الكابالت –إرشادات حول السياسة والضوابط الرئيسية 2- 1

: القيام بما يلي أجهزة الدولةللوفاء بمتطلبات هذه السياسة، يتعين على

CS 1 لحماية الكابالت من العبث أو التخريب أو األضرار العرضية ) قنوات أو مواسير أو مجارى(أن يتم استخدام أنابيبوينصح بهذه الضوابط فيما يتعلق بالبيانات المصنفة عند . أو أآثر C4عند نقل البيانات المصنفة عند المستوى

.أو أآثر C2المستوى

وتصبح المهمة أيسر في حالة ترك الكابالت دون حماية أو . شيوعا لسرقة المعلومات األآثرفية من بين الوسائل التصنت على المكالمات الهاتيعد لمتدفقة ويمكن أن تؤدي الضوابط األساسية مثل تمديد الكابالت خالل القنوات أو المواسير أو المجاري إلى توفير الحماية للكابالت والمعلومات ا. تغطية

وينبغي أن تعتمد وسيلة الحماية المختارة على . والخضوع لرقابة جهاز المراجعة والتدقيق بقطر) المتعمد أو العرضي(أو اإلضرار داخلها ضد العبث . تصنيف المعلومات والتقييم المناسب للمخاطر

وينصح بها للمعلومات المصنفة عن C4ينص آتيب تأمين المعلومات الحكومية على فرض هذه الضوابط على المعلومات المصنفة عند المستوى .C2المستوى

CS 2 أن يتم استخدام شبكة تمديد آابالت مستقلة لألنظمة التي تتعامل مع المعلومات المصنفة عن المستوىC4 أو أآثر.

للحد من مخاطر التصنت على المكالمات الهاتفية، ينبغي أن تكفل أجهزة الدولة وجود شبكة آابالت متخصصة لتوزيع المعلومات المصنفة عند ).العمل فريقوصول و ي المادالوصول ( المناسبة الوصول ضوابط خالل من ذلك إجراء ويتم. أآثرأو C4المستوى

CS 3 أال يتم وضع عالمات على األنابيب المنصبة باألماآن العامة أو أماآن الزوار بأسلوب يجتذب اهتمام ال داعي له من .أمنية مناسبة أو ال ينبغي أن يعرفوا بوجود مثل هذه الكابالت قبل أشخاص قد ال يكون لديهم تصريحات

ومن الحكمة أن تكفل . ، ولو آان ذلك على نطاق ضيق"تحقيق األمن من خالل الغموض"يهدف آتيب تأمين المعلومات الحكومية إلى دعم مفهوم عة أجهزة الدولة قدرا من الغموض أثناء وضع العالمات على الكابالت واألنابيب، وخاصة في المناطق العامة أو مناطق الزوار، ما لم تكن خاض

. ابة واإلشرافللرق

CS 4 وينبغي أن ينطوي السجل على األقل على ما يلي. أن تحتفظ بسجل للكابالت:

رقم تعريف الكابل .أ التصنيف .ب المصدر .ج المقصد .د الرسم التخطيطي للموقع .ه

وتساعد . في حوزتها) والصوتالبيانات (ينص آتيب تأمين المعلومات الحكومية على احتفاظ أجهزة الدولة بالوثائق المناسبة الخاصة بنقاط الشبكة .القدرة الوثائق التفصيلية لنقاط الشبكة فريق الدعم على استكشاف مشكالت الشبكة وتحديد األجهزة التالفة المتصلة بشبكات أجهزة الدولة وتخطيط

CS 5 فحص الكابالت للتعرف على أي تباين مع سجل الكابالت بصفة منتظمة.

الفحص المنتظم أجهزة / ويساعد التدقيق. تتولى أجهزة الدولة صياغة اإلجراءات لضمان اتساق الكابالت والنقاط المتصلة مع الوثائق الخاصة بها . الدولة على تحديد األجهزة التالفة المتصلة بشبكات أجهزة الدولة والتلفيات التي قد تسبب تدهور خدمات الشبكة، ضمن أمور أخرى

‐36‐

الهواتف والفاآسات –رشادات حول السياسة والضوابط الرئيسية إ 3- 1


CS 6 إخطار المستخدمين بالحد األقصى لمستوى التصنيف المسموح به فيما يتعلق بالمحادثات باستخدام آل من خطوطوفقا لما يحدده اختبار نظام الهاتف الداخلي ومستوى التشفير، إن وجد، بالخطوط الهاتف الداخلية والخارجية،

.الخارجية

وتعد . ويتحدث األشخاص معا آوسيلة رئيسية للتواصل وتبادل األفكار. يعد التحدث بمثابة أحد السبل المحددة بالهندسة االجتماعية لتسريب المعلوماتأآثر الوسائط التكنولوجية التي يستخدمها اإلنسان شيوعا للتغلب على ) الهاتف المتصل باألقمار االصطناعية /الخط األرضي/ المحمول(أنظمة الهاتف ) األرقام الخاطئة(ورغم آونها وسيط فعال، إال أنها تكون عرضة للمخاطر مثل التصنت على المكالمات الهاتفية وسوء االتصاالت . عقبة المسافاتومن ثم، فمن الضروري أن تتولى أجهزة الدولة تنفيذ ). التعرف على شخص على الجانب اآلخر بأسلوب يمنع الخداعال يمكنك (وإدارة الهوية

. الضوابط التي تتضمن توعية المستخدمين بالمستويات المصرح بها من المحادثات المصنفة واستخدام القنوات المشفرة وغير ذلك

CS 7 المرئية، حيث من المحتمل أن يتم مناقشة / ضمان تعطيل خاصية مكبر الصوت خالل المحادثات الهاتفية المسموعة .واالستماع إليها خلسة C3المعلومات المصنفة عند المستوى

وقد يؤدي . اقشة المعلومات المصنفةالتأآد من أن العاملين على دراية بمخاطر استخدام أنظمة مكبر الصوت أو خاصية المحادثات الجماعية أثناء منوإذا ما سمح موقف ما باستخدام تلك الوسائط، فالبد من وجود ضوابط لكتم الصوت من خالل . ذلك إلى تسريب المعلومات نتيجة لالستماع إليها خلسة

.المكاتب المانعة لتسريب الصوت

CS 8 حيثما يتم تنصيبها في أحد المواقع الحساسةضمان تعطيل خاصية تشغيل أجهزة المحادثات الجماعية عن بعد.

وسوف يؤدي ذلك إلى التخفيف من حدة . ينص آتيب تأمين المعلومات الحكومية على استحالة سرقة أو تخريب أجهزة المحادثات الجماعية عن بعد . مخاطر القدرة على التجسس على المحادثات من خالل تشغيل أجهزة المحادثات الجماعية عن بعد

.ةنبغي أن تدرس أجهزة الدولة خيارات حظر استخدام الهواتف المحمولة في مثل تلك المواقع الحساسة، وخاصة حينما يتم مناقشة معلومات حساسي

CS 9 ضمان عزل الغرف المخصصة لتبادل المواد الحساسة بالصورة المالئمة من أجل منع تسرب الصوت.

عدم الكشف عن المعلومات أثناء مناقشتها في الغرف المخصصة نتيجة لتسرب الصوت أو اختالس السمع ينص آتيب تأمين المعلومات الحكومية علىويمكن التخفيف من حدة تلك المخاطر إلى مستوى مقبول من خالل التأآد من تنفيذ ضوابط مالئمة، . بصورة متعمدة أو غير متعمدة من قبل العاملين

.مثل استخدام المواد الكاتمة للصوت

CS 10 ضمان تأمين أجهزة الفاآس لدى آال الطرفين باستخدام أجهزة التشفير أثناء إرسال المعلومات المصنفة عند المستوىC2 أو أآثر.

صنفة ينص آتيب تأمين المعلومات الحكومية على ضرورة استخدام أجهزة التشفير لدى آال الطرفين أثناء استعمال الفاآس في إرسال المعلومات الم .ويهدف ذلك إلى التخفيف من حدة مخاطر التجسس عن طريق تشفير قنوات اإلرسال. أو أآثر C2مستوى السرية عند

CS 11 ضمان الوفاء بجميع معايير استخدام أجهزة الفاآس لدى آال الطرفين عند مستوى التصنيف الواجب إرساله؛ ويجري :المرسل الترتيبات للمستقبل آي

.الفاآس بأسرع ما يمكن عقب استالمه يجمع المعلومات من جهاز .أ .دقائق 10: يخطر المرسل في حالة عدم وصول الفاآس خالل الفترة الزمنية المتفق عليها، على سبيل المثال .ب

ع الضوابط ينص آتيب تأمين المعلومات الحكومية على أن يتولى العاملون بأجهزة الدولة المنوط بهم إرسال الفاآسات المسؤولية عن ضمان تطبيق جميويشمل ذلك ضمان الوفاء بجميع المعايير المعمول بها لدى آال الطرفين، بما في ذلك استخدام أجهزة التشفير في . الرئيسية للتأآد من سرية اإلرسال

جراءات استالم الفاآس وينبغي أن يقوم المرسل بإخطار المستقبل قبل إرسال الفاآس وترتيب إ. أو أآثر C2إرسال المعلومات المصنفة عند المستوى . دقائق 10: وينبغي أن يقوم المستقبل بدوره بإخطار المرسل في حالة عدم تسلم الفاآس في الوقت المحدد، على سبيل المثال. بأسرع ما يمكن

‐37‐

]NS[إرشادات حول أمن الشبكات - 2


اتإدارة الشبك –إرشادات حول السياسة والضوابط الرئيسية 2- 2

: أن تكفل ما يلي أجهزة الدولةللوفاء بمتطلبات هذه السياسة، يتعين على

NS 1 ن واألجهزة ووسائل خدمات الدليل ذات الصلة بالعامليال يتم اإلفصاح عن تفاصيل الشبكة الداخلية وإعدادات النظام و .مصرح لهم التكنولوجيا الحساسة األخرى أو إحصاؤها أمام جمهور العامة من قبل أشخاص غير

الوصول "آحد أدنى، أي C2تتولى أجهزة الدولة تصنيف اإلعدادات ذات الصلة بالشبكة الداخلية والنظام وخدمات الدليل وغير ذلك، عند المستوى ".المحدود

ابط لحماية محيط الشبكة، وقد يتضمن ذلك ضو. وتقوم بتطبيق الضوابط الكافية لضمان عدم الوصول إلى المعلومات من قبل أشخاص غير مصرح لهمويتم تدمير النسخ الورقية والوثائق اإللكترونية إلعدادات أجهزة الشبكة والرسم التخطيطي للشبكة وغير ذلك، عند استبدالها أو . مثل الجدران الناريةعليها بكتيب تأمين المعلومات الحكومية أثناء الوسائط المنصوص / وينبغي أن تلتزم أجهزة الدولة بسياسة التخلص من البيانات. عدم وجود حاجة إليها

.التخلص من تلك المستندات

. العاملين لدى الموردين بسياسات أجهزة الدولة من خالل دورات التوعية األمنية المالئمة/ فريق العمل الذي يتم تعهيد األعمال إليه/ يتم توعية العاملين

NS 2 ة مثل أن تلغي أو تعطل جميع الحسابات االفتراضي(root) أو(admin) ... الخ أو أن تغير آلمة المرور وفقا لما هو ]. SS" [أمن البرمجيات"بعنوان B-6-2محدد بالفصل

وعلى . ويوفر اسم المستخدم الهوية وتوثق آلمة المرور الهوية المزعومة. يتضمن النظام األساسي لمراقبة الوصول ضوابط لتحديد وتوثيق المستخدمومن خالل ضمان تعطيل . الكشف عن إمكانية الدخول على النظام، يحتاج المستخدم الخبيث أيضا إلى معرفة اسم المستخدم وآلمة المرورالعكس من

.أو إلغاء أسماء المستخدم االفتراضية من النظام، يصبح من الصعب للغاية اختراق النظام من قبل المستخدم الخبيث

".أمن البرمجيات" B-62جة للقيود التقنية، يتم تأمين حساب المستخدم من خالل آلمة مرور وفقا لما هو محدد بالفصل في حالة استحالة القيام بذلك نتي

.يتم مراجعة وتدقيق جميع أنشطة المستخدم من أجل تتبع األنشطة المريبة والمشبوهة

NS 3 ه وتخضع جميع التغييرات باإلعدادات إلىيتم االحتفاظ بإعدادات الشبكة تحت رقابة وسيطرة مدير الشبكة أو ما شاب:

] .CM" [إدارة التغيير" B-5التصديق من خالل عملية رسمية لمراقبة التغيير وفقا لما هو محدد بالفصل .أ " التوثيق"بعنوان B-12التوثيق وااللتزام بسياسة أمن الشبكات والخطة األمنية وفقا لما هو محدد بالفصل .ب

]DC.[ يتم االحتفاظ باإلعدادات القديمة المتبعة وفقا إلجراءات أجهزة الدولة آجزء من مراجعة .المراجعة المنتظمة .ج

.التغيير

ويتم تعيين شخص آمدير للشبكة أو ما شابه بحيث يحظى بالمسؤولية عن تشغيل إدارة . تحدد أجهزة الدولة المسؤولية عن تشغيل وصيانة الشبكات .الشبكة

وينبغي أن يتولى المسؤولية . ويحتفظ بمستندات مستحدثة حول الشبكة بالكامل. لى جميع اإلعدادات ذات الصلة بالشبكةيتولى مدير الشبكة الوصاية عثل التاريخ أو أيضا عن اإلدارة الداخلية التي تتضمن تدمير النسخ القديمة إلعدادات الشبكة بخالف تلك النسخ التي يتم االحتفاظ بها ألسباب محددة، م

.تقني أو النسخ االحتياطيةالتحليل ال

".إدارة التغيير" B-5يتم اعتماد جميع التعديالت بإعدادات الشبكة من خالل عملية رسمية لمراقبة التغيير وفقا لما هو محدد بالفصل

B-12وفقا لما هو محدد بالفصل يتولى مدير الشبكة المسؤولية عن ضمان التزام التغيير المقترح بسياسة أمن الشبكات والخطة األمنية ألجهزة الدولة ".التوثيق"

‐38‐

.يتولى مدير الشبكة مراجعة إعدادات الشبكة على فترات منتظمة

NS 4 لكل شبكة خاضعة لإلدارة، تحتفظ أجهزة الدولة بما يلي:

.رسم تخطيطي رفيع المستوى يوضح جميع توصيالت الشبكة .أ .رسم تخطيطي للشبكة المنطقية يوضح جميع أجهزة الشبكة .ب .، مع حدوث تغييرات بالشبكة)ب(و) أ( NS4عمليات تحديث .ج .على آل صفحة">بتاريخ<حالي "وضع ملصق .د

وينص الكتيب على أن تحظى أجهزة الدولة بالعمليات . يهدف آتيب تأمين المعلومات الحكومية إلى إعادة التأآيد على أهمية الوثائق الكاملة والمستحدثة .وتوفر المشورة حول الوثائق التي ينبغي الحفاظ عليهاالالزمة للحفاظ على الوثائق

NS 5 يتم تصميم وتهيئة الشبكات بحيث تحد من فرص الوصول غير المصرح إلى المعلومات التي تنتقل عبر البنية :وينبغي أن تستخدم أجهزة الدولة التكنولوجيات التالية للوفاء بهذا الشرط. األساسية للشبكة

.بداالت بدًال من التوصيل المباشر .أ أمن منافذ قنوات سير البيانات على أجهزة التحويل للحد من إمكانية الوصول إلى المعلومات وتعطيل جميع .ب

.المنافذ غير المستخدمة .أجهزة الراوتر والجدران النارية التي تعزل أجزاء الشبكة على أساس الحاجة إلى المعرفة .ج . ول اإلنترنتمن بروتوآ 6اإلصدار / أمن بروتوآول اإلنترنت .د .التشفير على مستوى التطبيقات .ه أداة آلية تقارن اإلعدادات الحالية ألجهزة الشبكة باإلعدادات الموثقة .و

وينبغي توخي العناية الواجبة من أجل ضمان . يوفر آتيب تأمين المعلومات الحكومية ضوابط أمنية أساسية يتم تطبيقها على هيكل شبكات أجهزة الدولةويحد التصميم والتطبيق من فرص . ئة الشبكات بحيث تحد من فرص الوصول غير المصرح إلى المعلومات أثناء انتقالها داخل الشبكةتصميم وتهي

.اختالس الحزم أو سرقة الجلسات أو التجسس على الشبكات أو غير ذلك

NS 6 تتبنى شبكات اإلدارة تدابير الحماية التالية:

مستقلة لإلدارة أو VLANيتم استخدام الشبكة المخصصة ألجهزة اإلدارة، أي تنفيذ شبكة محلية افتراضية .أ بنية أساسية مادية مستقلة

.الخ... SSHو VPNsعن طريق استخدام الشبكات االفتراضية الخاصة : قنوات آمنة، على سبيل المثال .ب

ويتم إدارة األجهزة من خالل قنوات داخل النطاق وخارج . ط المحددة من أجل تأمين شبكات اإلدارةتكفل أجهزة الدولة تطبيق الحد األدنى من الضوابويتم تشفير جميع تلك القنوات . وفي حالة القنوات داخل النطاق، تحدد تلك القنوات الفصل المنطقي من خالل الشبكات المحلية االفتراضية. النطاق

سرية مثل اسم المستخدم وآلمات المرور التي تحظى بامتيازات إدارية ومعلومات تخضع للمراقبة والمعاينة بالصورة المناسبة، حيث تحمل معلومات . من قبل المنافذ األخرى وغير ذلك

VLANالشبكات المحلية االفتراضية –إرشادات السياسة والضوابط الرئيسية 3- 2

: تكفل ما يلي أن أجهزة الدولةللوفاء بمتطلبات هذه السياسة، يتعين على

NS 7 مرور هواتف بروتوآول وتحديد يتم استخدام الشبكات المحلية االفتراضية لفصل في الشبكات الهامة واألساسية .اإلنترنت

ت وغير يوصي آتيب تأمين المعلومات الحكومية بتطبيق الضوابط األساسية، مثل استخدام الشبكات المحلية االفتراضية، في الفصل بين مرور البياناويتطلب مرور الصوت جودة محددة للخدمة من أجل تأمين مرور الصوت من سلسلة مرور . داخل شبكة أجهزة الدولة) الصوت، الصورة(البيانات

ويؤدي الفصل في المرور أيضا إلى الحفاظ . لبيانات التي ينبغي إعدادها للتشغيل في الشبكة المحلية االفتراضية المستقلة من خالل جودة محددة للخدمةا . عليه من الهجمات المحتملة على الشبكة المحلية

NS 8 خالل الشبكة المحلية االفتراضية ذات التصنيف األعلى إلى شبكة أخرى تحظى بنفس أن ُيمنح حق الدخول اإلداري .مستوى التصنيف أو تصنيف أقل

‐39‐

إلدارة وينص آتيب تأمين المعلومات الحكومية على ضرورة أن يتم الوصول . C2يتم تهيئة إعدادات الشبكة آحد أدنى لمستوى تصنيف المعلومات من خالل الشبكة المحلية االفتراضية التي تحظى بنفس مستوى التصنيف أو ) ا يعني بالفعل الوصول إلى إعدادات الشبكةمم( البداالتإلى البداالت

. وسوف يضمن ذلك وجود الضوابط المناسبة للوصول إلى هذه المعلومات. مستوى أعلى

NS 9 أن يتم تقييم األمن المادي لجهاز التحويل بمقتضى الفصلC-12 األمن المادي إرشادات حول"، بعنوان] "PH.[

ا ماديا بالصورة ال تحظى أي أجهزة شبكية يتم إعدادها وتزويدها بأفضل الضوابط األمنية وأعلى مستويات التشفير الممكنة بأدنى فائدة إذا لم يتم تأمينهويمكن أن يتمثل أبسط . لمطبقة على الجهازويمكن أن تسمح نقاط الضعف باألمن المادي ألي مستخدم خبيث محتمل بتجاوز جميع الضوابط ا. المالئمة

وينص آتيب تأمين المعلومات الحكومية على قيام مديري أمن . أفعال التخريب في قطع الطاقة عن الجهاز بما يؤدي في النهاية إلى رفض الخدمة . مديري الشبكة بمنح االهتمام الواجب باألمن المادي ألجهزة الشبكة/ المعلومات

NS 10 الصادرة عن التأمينتي تنصح بها عملية تقييم المخاطر في أجهزة الدولة وإرشادات تنفيذ جميع التدابير األمنية ال .أجهزة البداالتمورد

وفقا ألفضل ) عملية تأمين نظام التشغيل وإعدادات جهاز التحويل(ينص آتيب تأمين المعلومات الحكومية على تقوية أجهزة التحويل بالشبكات .وعالوة على ذلك، يتم تطبيق الضوابط األمنية اإلضافية التي تنصح بها عملية تقييم المخاطر بأجهزة الدولة. سات التي يوصي بها الموردالممار

NS 11 أن يتم تعطيل المنافذ غير المستخدمة لسير البيانات بأجهزة التحويل.

األساسية، مثل تعطيل المنافذ غير المستخدمة ألجهزة التحويل من أجل منع أي آشف ينص آتيب تأمين المعلومات الحكومية على تطبيق الضوابط .محتمل عن معلومات الشبكة

NS 12 أال يتم استخدام مراآز تحويل البيانات بأجهزة التحويل التي تدير الشبكات المحلية االفتراضية للتصنيفات المختلفة.

م استخدام مراآز تحويل البيانات بأجهزة التحويل التي تدير الشبكات المحلية االفتراضية للتصنيفات ينص آتيب تأمين المعلومات الحكومية على عد . المختلفة من أجل منع الكشف المحتمل عن المعلومات

)MFDs(األجهزة متعددة الوظائف –إرشادات حول السياسة والضوابط الرئيسية 4- 2


NS 13 أال يتم استخدام األجهزة متعددة الوظائف المتصلة بالشبكة لنسخ الوثائق المصنفة أعلى من مستوى الشبكة المتصلة.

ف ينص آتيب تأمين المعلومات الحكومية على أن تقوم األجهزة متعددة الوظائف المتصلة بالشبكة بمعالجة المعلومات المصنفة عند مستوى تصنيتقوم ، فال يمكن أن C2وعلى سبيل المثال، إذا تم تصنيف أي شبكة تحمل المعلومات المصنفة عند المستوى . اتصالها بالشبكة أو أقل من ذلك المستوى

. C3األجهزة متعددة الوظائف المتصلة بتلك الشبكة بمعالجة أي معلومات مصنفة عند المستوى

NS 14 ،حيثما يكون لدى األجهزة متعددة الوظائف المتصلة بالشبكة القدرة على نقل المعلومات عبر بوابة ما إلى شبكة أخرى :يتعين على أجهزة الدولة أن تكفل ما يلي

األجهزة متعددة الوظائف مهام تعريف المستخدم والتوثيق والتدقيق على جميع المعلومات التي أن يطبق آل من .أ .ينقلها المستخدمون من خالل تلك األجهزة متعددة الوظائف

.أن تكون هذه اآلليات تماثل من حيث القوة تلك اآلليات الالزمة لمحطات العمل بتلك الشبكة .ب .تتولى تنقيتها وفقا للمتطلبات الخاصة بتصدير البياناتيمكن أن تحدد البوابة المعلومات و .ج

ينص آتيب تأمين المعلومات الحكومية على وجوب أن تطبق جميع األجهزة متعددة الوظائف المتصلة بالشبكة، والتي تحظى بالقدرة على نقل . أمين المعلومات الحكوميةالمعلومات عبر بوابة ما إلى شبكة أخرى، الحد األدنى للضوابط المنصوص عليها بكتيب ت

تعد الضوابط المنصوص عليها مماثلة لتلك الضوابط المطبقة على محطة عمل المستخدم وتتضمن هوية المستخدم والتوثيق وأسلوب المراجعة بكتيب تأمين " اتإدارة الوصول إلى المعلوم"بعنوان 3-9وينبغي أن تحظى آلمات المرور المستخدمة بقوة آافية بمقتضى الفصل . والتدقيق

وتعد األجهزة متعددة الوظائف، بصفة رئيسية، بمثابة أجهزة مشترآة بالشبكة؛ ومن ثم، فمن الضروري تحديد القائمين على إدارة . المعلومات الحكوميةوري أن يتم نسب الخرق إلى وفي حالة وقوع أي حادث، فمن الضر. المهام فيما يتعلق بالمعلومات التي تتولى األجهزة متعددة الوظائف معالجتها

.وسوف توفر مهام التوثيق والتدقيق األدوات الالزمة لتسوية مثل هذا الخرق. شخص ما

‐40‐

وينبغي أن يتم وضع العالمات على البيانات وفقا لتصنيف . ينبغي أن يتم تنقية المضمون لتحديد وترشيح البيانات وفقا لمتطلبات تبادل المعلومات .الوثائق الخاصة بها

NS 15 ال يوجد اتصال مباشر من أي من األجهزة متعددة الوظائف بشبكة هاتف ذات تصنيف أقل ما لم يتم تقييم الجهاز متعدد :الوظائف ويتضمن نطاق التقييم ما يلي

.مهام التحكم في تدفق المعلومات لمنع تدفق البيانات غير المتعمد وغير المصرح به .أ .على حصر المعلومات بناًء على تصنيف المعلوماتضوابط تصدير البيانات القادرة .ب .التوثيق وإصدار وحماية بيانات التدقيق .ج

اتصال األجهزة متعددة الوظائف بشبكات الهاتف المصنفة بمستوى سرية أقل من تصنيف المعلومات ينص آتيب تأمين المعلومات الحكومية على عدم ويهدف ذلك إلى منع تسرب المعلومات الذي قد يحدث عن طريق نقل المعلومات المصنفة على . ائفالتي يتم معالجتها من قبل األجهزة متعددة الوظ

.شبكة ال تحظى بضوابط آافية

دا على يمكن توفير التوصيالت بموجب عملية تقييم تكفل وجود ضوابط آافية داخل األجهزة متعددة الوظائف من أجل التحكم في تدفق البيانات اعتما .ماتتصنيف المعلو

NS 16 أن تتولى نشر األجهزة متعددة الوظائف عقب وضع مجموعة من السياسات والخطط واإلجراءات التي تحكم استخدام .األجهزة

. أو شبكاتها/ينبغي أن تضع أجهزة الدولة مجموعة محددة من السياسات واإلجراءات التي تحكم استخدام األجهزة متعددة الوظائف داخل أجهزة الدولة و .يجب أن تحدد السياسات الضوابط التقنية واإلدارية والتشغيليةو

:وفيما يلي نستعرض بعض الضوابط األمنية اإلدارية والتقنية من أجل وضعها في االعتبار

الضوابط اإلدارية والتشغيلية

.توعية المستخدمين بشأن استخدام وحماية األجهزة متعددة الوظائف بالصورة المالئمة - 1 .الضوابط الكافية لألمن المادي ضد السرقاتتنفيذ - 2 . إجراء عملية تقييم دوري لمخاطر أمن تكنولوجيا المعلومات تشمل استخدام األجهزة متعددة الوظائف في بيئة حاسبات أجهزة الدولة - 3

الضوابط التقنية

.حماية من االستخدام غير المصرح بهحماية آلمة المرور باألجهزة متعددة الوظائف من أجل ال/ تشغيل خاصية توثيق المستخدم - 1 .تشفير البيانات المصنفة قبل نقلها - 2 .تعطيل خدمات الشبكة غير الضرورية، مثل منافذ األشعة تحت الحمراء والبلوتوث من أجل تجنب الكشف عنها باعتبارها نقاط هجوم - 3

NS 17 أال يتم االحتفاظ بالمعلومات المصنفة عند المستوىC1 حيثما تحظى . ائمة باألجهزة متعددة الوظائفأو أآثر بصفة داألوتوماتيكية الكافية قائمة / األجهزة متعددة الوظائف بخصائص لجدولة المهام، تبقى الضوابط أو اإلعدادات اليدوية

. إللغاء المعلومات من ذاآرتها بمجرد انتهاء المهمة

أو أآثر بصفة C1س، ينبغي أال يتم االحتفاظ بأي معلومات مصنفة عند المستوى نظرا ألن األجهزة متعددة الوظائف هي أجهزة مشترآة في األساويجب أن تتوافر الضوابط إلخالء الذاآرة من المهام المكتملة وأي معلومات متصلة بها قد تساعد في إعادة . دائمة بتلك األجهزة متعددة الوظائف

.ويهدف ذلك، في األساس، إلى ضمان الحيلولة دون سرقة البيانات. معالجة أو عرض المعلومات

NS 18 تلتزم األجهزة متعددة الوظائف باإلجراءات المحددة بالفصلC 8-3 تطهير –السياسة والضوابط الرئيسية "بعنوان ".الوسائط

خارج (وفي حالة حاجة األجهزة متعددة الوظائف لإلصالح . يتم حذف جميع البيانات المختزنة باألجهزة متعددة الوظائف عقب استكمال المهمةويمكن أن تضع أجهزة الدولة . لة إخراجها من الخدمة، يتم التعامل مع وسائط التخزين وفقا إلجراءات تطهير الوسائط الموصى بهاأو في حا) المكتب

. اإلجراءات، مثل ضمان مصاحبة الفنيين العاملين لدى المورد أثناء إصالح األجهزة بموقع العمل/ في االعتبار الضوابط

‐41‐

)DNS(خوادم أسماء النطاقات –ابط الرئيسية إرشادات حول السياسة والضو 5- 2


NS 19 أن يتم تأسيس خادم داخلي مستقل ألسماء النطاقات داخل الشبكة الداخلية من أجل معلومات النطاق الداخلي التي ال .اإلنترنتيتم اإلفصاح عنها على شبكة

ويكفل فصل . ينص آتيب تأمين المعلومات الحكومية على عدم اإلفصاح عن معلومات بروتوآول اإلنترنت الداخلية الخاصة بالشبكات لجمهور العامةشبكات الداخلية أو خادم أسماء النطاقات لتسوية بروتوآول اإلنترنت الداخلي والخارجي عدم اإلفصاح عن معلومات بروتوآول اإلنترنت ذات الصلة بال

.الوصول إليها من خالل الشبكات الخارجية

NS 20 أو أن ) خادم حصين(أن يكون لمعلومات خادم أسماء النطاقات التي يتعين اإلعالن عنها خادم محلي مضيف وآمنماء تستخدم تلك المعلومات خادم أسماء النطاقات الحكومي الذي يمثل جزءا من الشبكة الحكومية مثل خادم أس

. النطاقات الرئيسي

وينص آتيب تأمين . يعد خادم أسماء النطاقات مكونا أساسيا بالشبكة ويتولى المسؤولية عن رسم تفاصيل أسماء المضيف بعناوين بروتوآول اإلنترنتإدارة واستضافة الخدمات محليا في خادم ويؤآد الكتيب على الحاجة على . المعلومات الحكومية على تأمين ومراقبة هذا المكون الهام بالصورة المالئمة

وبدال من ذلك، يمكن أيضا أن يتم إعداد خادم أسماء النطاقات الحكومي آخادم . أو استخدام خادم أسماء النطاقات الحكومي) حصين/ متصلب(آمن . احتياطي ألسماء النطاقات

NS 21 أثناء الخدمة وأن تكون مدعمة أمنيا وأن يتم أن يتم نشر خوادم أسماء النطاقات لضمان عدم وجود نقاط إخفاق .الحفاظ على األمن بصورة استباقية

وينبغي أن . ينص آتيب تأمين المعلومات الحكومية على دراسة عوامل تصميم األمن الكافي والتوافر الهائل أثناء تصميم خدمات خوادم أسماء النطاقات . تتم متابعة الخدمات الهامة، مثل خادم أسماء النطاقات، بصورة استباقية وتأمينها بموجب أفضل ممارسات الصناعة الموصى بها

NS 22 والتحديثات النطاقات بين التحويل بيانات وسالمة المتبادلالتشفير توثيق وتوفيررقميا النطاقأن يتم توقيع ملفات .الديناميكية

، من أجل ضمان سالمة وسرية النطاقيوصي آتيب تأمين المعلومات الحكومية بتطبيق الضوابط األمنية، مثل التوقيع الرقمي وتوثيق التشفير لملفات .البيانات الموجودة بأي من خوادم أسماء النطاقات

NS 23 أن يتم تأمين توثيق وسالمة أصل التشفير لبيانات خادم أسماء النطاقات.

ات يوصي آتيب تأمين المعلومات الحكومية بتطبيق الضوابط األمنية، مثل تأمين توثيق وسالمة أصل التشفير، من أجل ضمان سالمة وسرية البيان .جودة بأي من خوادم أسماء النطاقاتالمو

NS 24 أن يتم توفير خدمات خادم أسماء النطاقات، بما في ذلك تحويل المناطق، إلى األشخاص المصرح لهم فقط.

يوصي آتيب تأمين المعلومات الحكومية بتطبيق الضوابط األمنية، مثل قصر تحويل المناطق على األشخاص المصرح لهم فقط،، من أجل ضمان .سالمة وسرية البيانات الموجودة بأي من خوادم أسماء النطاقات

NS 25 مهام التشفير ذات الصلة بـNS 20 وNS 21 أعاله، واستخدام وحدة أمن األجهزة لكل من اإلدارة الرئيسية ].CY" [أمن التشفير"، بعنوان B-10والمعالجة التشفيرية وفقا لما هو محدد بالفصل

أمن "، بعنوان B-10بالمتطلبات المحددة بالفصل NS 21و NS 20بـينص آتيب تأمين المعلومات الحكومية على التزام مهام التشفير ذات الصلة ". التشفير

أمن شبكة اإلنترنت –إرشادات حول السياسة والضوابط الرئيسية 6- 2

: تكفل ما يليأن أجهزة الدولةللوفاء بمتطلبات هذه السياسة، يتعين على

‐42‐

NS 26 أن يتم فحص والتحقق من جميع البرامج والملفات التي يتم تنزيلها من شبكة اإلنترنت للتحقق من خلوها من البرامج .HTTPالضارة، بما في ذلك آليات مسح حرآة مرور

ويجب أن يتم مسح جميع البرامج والملفات للتأآد . ينبغي أن تكفل أجهزة الدولة وجود ضوابط أمنية لمسح البيانات التي يتم تنزيلها من شبكة اإلنترنتابات تنقية وينبغي أن يكون هناك آليات، مثل بو. من خلوها من البرامج الضارة، وعلى سبيل المثال الفيروسات وبرامج التجسس وطروادة وغيرها

وينبغي أن يتم النظر في الحد من التنزيالت اليومية أو الحظر المشدد . وغيرها FTPو HTTPالمضمون، من أجل مسح حرآة مرور الويب، مثل . على التنزيالت الخاصة باألدوار واألنظمة المحددة

NS 27 صفة خاصةأن ترفض بوابة شبكة اإلنترنت جميع خدمات اإلنترنت ما لم تكن مفعلة ب.

المسموح ينبغي أن تكفل أجهزة الدولة دعم وتأمين بوابات شبكة اإلنترنت من خالل رفض جميع الخدمات بصفة ضمنية باستثناء تلك الخدمات المفعلة و .بها

NS 28 وينبغي أن تراجع أجهزة. أن يتم تهيئة وتحديث برامج تصفح الويب العاملة على محطة عمل المستخدم بصورة سليمة :الدولة اإلرشادات التالية عند تهيئة برامج تصفح الويب

متصفح / ضمن تطبيق ActiveXو JavaScriptو Javaتعطيل أي من خيارات المحتوي النشط، مثل .أ .البريد اإللكتروني، باستثناء حالة التواصل مع مصدر موثوق

.استخدام إصدارات حديثة للمتصفح وتطبيق أحدث اإلجراءات األمنية .ب .تذآر آلمة المرور/ تعطيل خصائص االستكمال التلقائي .ج .تفعيل خصائص منع البرامج التي تنشأ فجأة، باستثناء حالة التواصل مع المواقع الموثوقة .د .إلغاء الملفات المخفية أو الملفات المؤقتة لبرامج التصفح من أجل حماية خصوصية البيانات .ه .أو اإلضافات أو البرامجتعطيل التنصيب التلقائي لبرامج التوصيل .و

ستخدمة مع تزايد االعتماد على برامج الويب بشبكة اإلنترنت ووالتطبيقات القائمة على الويب، تعتبر برامج تصفح الويب أحد أآثر التطبيقات المب من أجل التخفيف من حدة المخاطر ويوفر آتيب تأمين المعلومات الحكومية إرشادات إلى أجهزة الدولة حول آيفية تأمين برامج تصفح الوي. شيوعا

. ذات الصلة بنقاط الضعف في برامج تصفح الويب

NS 29 انظر . أن يكون لديها القدرة الالزمة لمتابعة حرآة مرور البيانات واستنتاج أنماط حرآة البيانات واالستخدام وغير ذلك . على المزيد من المعلوماتللتعرف ] SM" [تسجيل األداء والمتابعة األمنية"بعنوان B-10الفصل

بعنوان B-10ينبغي أن تكفل أجهزة الدولة وجود ضوابط مناسبة لمتابعة حرآة المرور واستنتاج األنماط واالستخدام وغير ذلك بما يتفق مع الفصل وال يتم . ومع ذلك، تخضع تلك الضوابط لسياسات وإجراءات أجهزة الدولة لضمان االستخدام العادل للتكنولوجيا". تسجيل األداء والمتابعة األمنية"

. لمحددةاستخدام الضوابط األمنية في التطفل على خصوصية المستخدم، بل في ضمان التزام استخدامات المستخدم بالسياسات واإلجراءات ا

أمن البريد اإللكتروني –إرشادات حول السياسة والضوابط الرئيسية 7- 2


NS 30 وينبغي أن يتم تجنب . أن يتم دعم خوادم البريد اإللكتروني وفقا ألفضل الممارسات وتهيئتها لتكون خوادم حصينةالمعلومات التي تكشف عن التفاصيل المحددة لألنظمة الداخلية أو اإلعدادات ضمن عناوين البريد اإللكتروني، إذا آان

أجل تجنب اإلفصاح عن المعلومات الخاصة بالنظام إلى األطراف ذلك مجديا من الناحيتين التقنية والتشغيلية، من . الخارجية

ي بها ينبغي أن تكفل أجهزة الدولة دعم وتهيئة خوادم البريد اإللكتروني الخاصة بها لتكون خوادم حصينة وااللتزام بأفضل الممارسات التي توصشادات لضمان حماية حوادم البريد اإللكتروني من الهجمات االستطالعية من خالل ويوفر آتيب تأمين المعلومات الحكومية إر. الصناعة والمورد

.حول الخادم) تكنولوجيا، إصدار ، غير ذلك(ضمان أال تكشف عناوين البريد اإللكتروني عن معلومات تقنية

‐43‐

NS 31 أن يتم استخدام حمايةTLS مع خادم البريدSMTP بما يتماشى مع الفصلC-10 ن التشفيرأم"بعنوان] "CY.[

".أمن التشفير"بعنوان B-10بالمتطلبات المحددة بالفصل TLSينص آتيب تأمين المعلومات الحكومية على التزام مهام التشفير ذات الصلة بحماية

NS 32 أن تقوم بتنفيذ إطار سياسة مرسل البريد اإللكتروني)SPF] (RFC4408 .[ وينبغي على أجهزة الدولة أن ترسلتعيد رسائل البريد اإللكتروني المرتدة أو التي لم يتم تسلمها إلى المرسلين الذين يمكن التحقق منهم عن طريق أو

.إطار سياسة مرسل البريد اإللكتروني

اإللكتروني غير لمكافحة تهديد رسائل البريد ] SPF] (RFC4408(ينصح آتيب تأمين المعلومات الحكومية بااللتزام بإطار سياسة المرسل .المرغوب فيها

NS 33 أن يتم تأمين قوائم توزيع البريد اإللكتروني الداخلية لمنع وصول األطراف الخارجية إلى المعلومات من أجل الحد من .مخاطر رسائل البريد اإللكتروني غير المرغوب فيها

. هاينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتطبيق ضوابط فعالة لتجنب مخاطر رسائل البريد اإللكتروني غير المرغوب فيلكيانات وينبغي أال تستطيع ا. ويجب أن تكفل سياسة البريد اإللكتروني خضوع وقصر استخدام قائمة توزيع البريد اإللكتروني على االستخدام الداخلي

. األخرى الخارجية التعامل مع قائمة التوزيع تلك

على أدوار محددة فقط من أجل ") خاصية التواجد خارج المكتب"مثل (وباإلضافة إلى ذلك، ينبغي أن تقتصر أنماط الرد التلقائي على البريد اإللكتروني .اإللكتروني غير المرغوب فيها واالحتيالية وغير ذلكالحد من انتشار رسائل البريد اإللكتروني الضارة، مثل رسائل البريد

NS 34 أن يتم استخدام بوابات البريد اإللكتروني لمسح جميع رسائل البريد اإللكتروني الواردة والصادرة لضمان التزامها .بالسياسة األمنية ألجهزة الدولة وخلوها من أي برمجيات ضارة

ويجب مسح جميع البيانات للتحقق . بط أمنية لمسح حرآة مرور رسائل البريد اإللكتروني الواردة والصادرةينبغي أن تكفل أجهزة الدولة وجود ضواوينبغي أن يكون هناك آليات، مثل بوابات تنقية . من خلوها من البرامج الضارة، مثل الفيروسات وبرامج التجسس وفيروس طروادة وغيرها

. السياسة األمنية ألجهزة الدولةب SMTPالمضمون، لضمان التزام حرآة مرور

األمن الالسلكي –إرشادات حول السياسة والضوابط الرئيسية 8- 2


NS 35 المعلومات وتشفير حيثما يتم استخدام الشبكات المحلية الالسلكية، ينبغي استخدامها من خالل تدابير آافية لتوثيق .نقلها، إضافة إلى االستعانة بعمليات وممارسات سليمة إلدارة األمن

ومن .بين األجهزةتعد الشبكة المحلية الالسلكية أحد أنماط الشبكات المحلية التي تستخدم الموجات الالسلكية عالية التردد بدال من األسالك في االتصال .المستخدمون الخبيثون على مثل تلك الشبكات ثم، يصبح من السهل للغاية أن يتجسس

للمهام األمنية الالسلكية الخاصة التي IEEE 802.11مواصفات وقد تم وضع . IEEE 802.11تعتمد الشبكات المحلية الالسلكية على مواصفات .IEEE 802.1Xتعمل من خالل

. د استخدام الشبكات المحلية الالسلكية من أجل تأمين الوصول إلى المعلوماتينبغي أن تكفل أاجهزة الدولة وجود آليات آافية للرقابة األمنية عن .وتتضمن الضوابط األمنية السياسات واإلجراءات الموثقة التي تحكم ذلك االتصال وتقدم المشورة بشأنه

.ن أمور أخرىوينبغي أن يتم استخدام الضوابط التقنية، مثل تحديد الهوية والتوثيق القوي واستخدام التشفير، ضم

NS 36 أن يتم دراسة بروتوآوالت األمن الالسلكية األآثر قوة، مثلWPA2 وEAP-TLS ؛ ومع ذلك، ينبغي أال يتموتتولى أجهزة الدولة نشر . االعتماد على تلك البروتوآوالت األمنية الالسلكية وحدها لحماية سرية وسالمة البيانات

أو أآثر عبر الشبكات C3الالسلكية في حالة تبادل البيانات المصنفة شبكة افتراضية خاصة آمنة على الشبكات .باعتبارها تكنولوجيا أمنية ثبت ضعفها داخل أي شبكة حكومية WEPوال يتم تنفيذ . الالسلكية

‐44‐

ويوصى حاليا . ويجب أن تتولى تطبيق البروتوآوالت التي تم اختبارها وثبتت سالمتها. ينبغي أن تكفل أجهزة الدولة مراجعة التكنولوجيا بصفة مستمرةومع ذلك، ينبغي أال تعتمد أجهزة الدولة بصفة أساسية على البروتوآول لحماية سرية وسالمة . EAP-TLSو WPA2بتطبيق بروتوآوالت

. وينبغي أن يتم نشر ضوابط أمنية إضافية، مثل الشبكات االفتراضية الخاصة اآلمنة. بياناتال

NS 37 وبمجرد اإلبالغ عن فقدان جهاز، ينبغي دراسة . أن يتم االحتفاظ بقائمة سليمة لجميع األجهزة ذات الواجهة الالسلكية .SSIDتعديل مفاتيح التشفير ومحدد هوية مجموعة الخدمة

ويساعد ذلك مدير الشبكة في الكشف عن األجهزة الالسلكية . ي أن تحتفظ أجهزة الدولة بقائمة تتضمن جميع األجهزة ذات الواجهة الالسلكيةينبغأمني ويتم التعامل مع فقدان أو سرقة األجهزة الالسلكية باعتباره حادث . ويجب أن يكون هناك إجراءات للحفاظ على هذه القائمة ومتابعتها. الضارة

ويتم بدء اتخاذ الضوابط التصحيحية والتي قد تتضمن ضوابط مثل تغيير محدد هوية . وفقا إلجراءات إدارة الحوادث التي تحددها أجهزة الدولة . أو مفاتيح التشفير/و SSIDمجموعة الخدمة

NS 38 غير "أو " الضارة"لومات أن يتولى مديرو الشبكة إجراء عملية مسح منتظمة لنقاط الوصول الالسلكية إلى المع ".المصرح بها

ويمكن أن تستحدث نقاط ضعف بالشبكة عن طريق . توفر نقاط الوصول الالسلكية إلى المعلومات الضارة أو غير المصرح بها مدخال خلفيا للشبكةن الحكمة أن تكفل أجهزة الدولة وجود ومن ثم، فم. نظام تشغيل مخترق يتم استخدامه من قبل األجهزة أو نقاط ضعف ضمنية بأجهزة غير معتمدة

. غير المصرح بها/ إجراءات وإسناد مسؤوليات لمسح الشبكة على فترات منتظمة من أجل الكشف عن األجهزة الالسلكية الضارة

NS 39 أن يتم تحديد مواقع نقاط الوصول إلى المعلومات من أجل الحد من التصنت على الشبكات من خالل المنطقة المتاحة .للجمهور

وينبغي أن تكفل أجهزة الدولة وجود نقاط الوصول إلى . تعتزم أجهزة الدولة توفير إرشادات حول موقع نقاط الوصول الالسلكية إلى المعلوماتتوجه إتباعولة ويمكن أن تختار أجهزة الد. المعلومات في مواقع تعوق أو تحد من محاوالت التصنت على الشبكات من خالل المنطقة المتاحة للجمهور

.أو مراقبة جميع نقاط الوصول إلى المعلومات ورصدها" تحقيق األمن من خالل الغموض"

NS 40 أن يتم تغيير االسم االفتراضي للشبكة ومفاتيح التشفير وبروتوآول إدارة الشبكة البسيط)SNMP ( والسالسلكس محدد هوية مجموعة الخدمة اسم أي من إدارات وينبغي أال يع. عند التنصيب) وأي إعدادات غير آمنة(المجتمعية

.أجهزة الدولة أو اسم النظام أو اسم المنتج

طة وأي تكفل أجهزة الدولة تغيير آلمات المرور االفتراضية وأسماء محدد هوية مجموعة الخدمة ومفاتيح التشفير وبروتوآوالت إدارة الشبكة البسيذه الخصائص االفتراضية إدخال نقاط الضعف إلى النظام من خالل تيسير عملية اختراق النظام على وتتولى ه. خصائص مماثلة في وقت التنصيب

وقد وجد أن شبكة اإلنترنت تتضمن موارد وفيرة حول تلك الخصائص، بما في ذلك أسماء المستخدم االفتراضية وآلمات . مستخدم البرامج الضارةوينبغي أال يتم تسمية الخصائص اإلضافية على أسماء المنظمة . كات المختلفة واألجهزة والبرمجيات األمنيةالمرور والمفاتيح التي تستخدمها أنواع الشب

. أو اإلدارة، حيث تستحدث نقاط ضعف إضافية من خالل السماح بتحديد الهوية بسهولة واالستعراض بوصفها أهداف سهلة المنال

NS 41 لعامة، ينبغي أن يتم تغيير مفاتيح التشفير بصفة منتظمة وتعطيل بث محدد فيما يتعلق بنقاط الوصول الالسلكية غير ا .حسب االقتضاء MACوينبغي أيضا النظر في تنقية عنوان . SSIDهوية مجموعة الخدمة

نبغي أن يتم تطبيق ينص آتيب تأمين المعلومات الحكومية على أنه في حالة وجوب استخدام األجهزة الالسلكية وفقا لمتطلبات أنشطة الشرآات، يبمثابة أحد الضوابط MACوتعد تنقية عنوان . ضوابط إضافية، مثل تغيير مفاتيح التشفير بصفة منتظمة وتعطيل بث محدد هوية مجموعة الخدمة .األمنية الفعالة، ولكن المضنية، التي قد تعزز الوضع األمني، رغم آونها غير مقاومة للغش والخداع

NS 42 جدار ناري أو راوتر بين نقطة الوصول إلى المعلومات وشبكة أجهزة الدولة من أجل تنقية االتصاالتأن يكون هناك . .وينبغي تطبيق قواعد الجدار الناري المحظورة آي تسمح للمنافذ الالزمة فقط بالمرور من خالل القسم الالسلكي

وعالوة على ذلك، . البوابات/ في شبكة أجهزة الدولة باستخدام الجدران النارية) يةالشبكات الالسلك(ينبغي أن يتم تأمين نقاط الوصول إلى المعلومات . البوابات من خالل قواعد مقيدة من أجل التحكم في تدفق البيانات بين الشبكتين/ يتم تهيئة الجدران النارية

التزامن –إرشادات حول السياسة والضوابط الرئيسية 9- 2


‐45‐

NS 43 حيثما يكون لدى جهاز الحاسوب أو االتصاالت القدرة على تشغيل ساعة الوقت الفعلي، يتم ضبطها على معيار متفقن بعض الساعات تخالف ونظرا أل. أو التوقيت المحلي) UTC(التوقيت العالمي المنسق : عليه، على سبيل المثال

.التوقيت بمرور الوقت، فالبد من وجود إجراء يتولى فحص وتصحيح أي تباين في التوقيت

فلم نعد نعمل في صوامع منعزلة وقد قامت الشرآات بتنفيذ حلول المشروعات . في عالم اليوم، ترتبط أجهزة المعالجة الخاصة بنا ببعضها البعض .المتعددةودمج العمليات والحلول

د من ومع ذلك، فعلى الجانب اآلخر، حينما تواجه تلك األنظمة مشكلة ما أو تتعرض لخطر ما، تصبح بمثابة مهمة آبيرة ينبغي دراستها على العدي .األنظمة

.يل األداء وفقا لزمن النظامويتم وضع خاتم التوقيت على ملفات تسج. وتتمثل أهم أداة يتم استخدامها خالل ذلك السيناريو في ملفات تسجيل األداء

وفي حالة . ومع ذلك، ففي حالة عدم تزامن التوقيت باألنظمة المختلفة، يكون من الصعب للغاية الربط بين سجالت األداء الخاصة باألنظمة المختلفة .وقوع حادث، قد ال يكون لألدلة أي وضع قانوني

وينبغي أن تضع أجهزة . على جميع أجهزة الحاسبات واالتصاالت وفقا للتوقيت المحليينص آتيب تأمين المعلومات الحكومية على ضبط التوقيت الدولة إجراءات أو تطبق ضوابط من أجل ضمان قدرة الساعة على تصحيح ذاتها، بصورة يدوية أو من خالل إجراءات آلية، في حالة وجود أي

. اختالف في التوقيت

NS 44 باعتباره خادم بروتوآول ) جزء من الشبكة الحكومية(كومي القطري المصرح به أن يتم استخدام خادم التوقيت الح . NTPزمن الشبكة الرئيسي

زمن ينص آتيب تأمين المعلومات الحكومية على قيام جميع األجهزة الحكومية باستخدام خادم التوقيت الحكومي القطري باعتباره خادم بروتوآول ومع ذلك، لحين توافر هذه الخدمة، يمكن أن تستخدم أجهزة الدولة أحد خوادم . ذا الخادم آجزء من الشبكة الحكوميةويتم اقتراح ه. الشبكة المصرح به

. بروتوآول زمن الشبكة األآثر مصداقية والمتاحة لجمهور العامة

NS 45 أن يتم تحقيق التزامن بين جميع الخوادم وأجهزة الشبكة مع خادم بروتوآول زمن الشبكة الرئيسيNTP المتزامن .NS44و NS43وفقا لما هو محدد في

ن شبكتها للحد من تدفق حرآة مرور معلومات الشبكة إلى خادم بروتوآول زمن الشبكة الحكومي، من الحكمة أن تتولى أجهزة الدولة تهيئة خادم ضموسوف يكون هذا الخادم بمثابة خادم ثانوي لخادم بروتوآول زمن الشبكة الحكومي ويتم ضبط توقيته . المحلية باعتباره خادم بروتوآول زمن الشبكة

. مع توقيت خادم بروتوآول زمن الشبكة الحكومي

)VPNs(الشبكات االفتراضية الخاصة –إرشادات حول السياسة والضوابط الرئيسية 10- 2


NS 46 أن تتولى الشبكات االفتراضية الخاصة التي تحمل البيانات المصنفة عند المستوىC3 عملية التوثيق أو أآثرالخاص الذي يتضمن عبارة / باستخدام توثيق آلمة المرور لمرة واحدة، مثل جهاز التوثيق أو نظام المفتاح العام

.مرور قوية

ويوصي باستخدام . ة توثيق قوية وآمنة للتحكم في الوصول إلى الشبكات االفتراضية الخاصةينص آتيب تأمين المعلومات الحكومية على استخدام آلي .توثيق آلمة المرور لمرة واحدة، مثل جهاز التوثيق، أو نظام المفتاح العام الخاص الذي يتضمن عبارة مرور قوية

NS 47 ويتم مطالبة . بعد فترة توقف محددة مسبقاأن تنفصل الشبكات االفتراضية الخاصة تلقائيا عن شبكة أجهزة الدولة .المستخدم بالدخول مرة أخرى إلعادة االتصال بالشبكة

وتمثل تلك الوصالت، إذا ما تم ترآها دون مراقبة، . الشبكة/ الشبكة الكثير من الموارد وتقوض قدرة النظام/ تستنفد الوصالت غير المستخدمة بالنظام .د توفر لمستخدم البرامج الضارة إمكانية الوصول غير المصرح بهمخاطر فادحة على النظام، حيث ق

‐46‐

تصال ينبغي أن تكفل أجهزة الدولة وجود ضوابط للمحافظة على الموارد المتاحة بالشبكة وتأمين نوافذ الوصول المتاحة للعاملين بها من أجل االويضطر . لخدمة عن أي مستخدم بعد فترة محددة مسبقا من التوقف عن العملوينبغي أن يتم تطبيق الضوابط التقنية لفصل ا. بمواردها بصورة طبيعية

.ويضمن ذلك عدم إخفاء بيانات تسجيل الدخول، بما يمثل أحد المخاطر األمنية. المستخدم إلى الدخول مرة أخرى إلعادة االتصال بالشبكة

مع ذلك، فقد تمتد إلى االتصاالت بين مواقع الشبكات االفتراضية الخاصةـ وعالوة على ذلك، تستهدف هذه الضوابط بصفة رئيسية المستخدم النهائي؛ و . بمقتضى الوفاء بمتطلبات الشبكة

NS 48 وينبغي على أجهزة الدولة أن تسمح . أال يتم السماح بوجود قناة مشفرة ثنائية ما لم يكن هناك ضوابط مناسبة .باالتصال بشبكة واحدة فقط في المرة

كي بين أجهزة الحاسوب يسمح لمستخدم الشبكة االفتراضية الخاصة بالوصول إلى أي شبكة عامة شبالمشفرة الثنائية بمثابة مفهوم للربط التعد القنوات . وأي شبكة محلية أو شبكة السلكية في نفس الوقت باستخدام نفس االتصال بالشبكة المادية) شبكة اإلنترنت: على سبيل المثال(

هذه الطريقة في أنها تجعل الشبكة االفتراضية الخاصة عرضة للهجوم، حيث يمكن الوصول إليها من خالل الشبكة العامة غير ويتمثل أحد عيوب وعلى سبيل . وعند تشغيل القنوات المشفرة الثنائية، يتجاوز المستخدمون أمن مستوى البوابة الذي قد يكون قائما داخل البنية األساسية للشرآة. اآلمنة . ، في حالة وجود عملية تنقية الويب أو المضمون، فإنه عادة ما يخضع للرقابة على مستوى البوابة، وليس على مستوى جهاز حاسوب العميلالمثال

وفي حالة التفويض بذلك بموجب متطلبات العمل، تكفل أجهزة. يوصي آتيب تأمين المعلومات الحكومية بضرورة عدم تشغيل القنوات المشفرة الثنائية . الدولة وجود ضوابط أمنية مناسبة للتخفيف من حدة نقاط الضعف ذات الصلة

NS 49 أن يتم تزويد جميع أجهزة الحاسوب المتصلة بشبكات أجهزة الدولة عن طريق شبكة افتراضية خاصة ببرامج أمنويتم . ة وإصالحهاشخصي وأحدث البرامج األمنية وبرامج مقاومة الفيروسات وبرامج الكشف عن البرمجيات الضار

.تفعيل برامج األمن هذه في جميع األوقات ومن خالل أحدث التوقيعات الفيروسية وتعريفات البرامج الضارة

وينبغي أن تكفل أجهزة الدولة تزويد أجهزة . تحدد أجهزة الدولة السياسات واإلجراءات الخاصة باالستخدام المقبول للشبكات االفتراضية الخاصةالمتصلة بشبكات أجهزة الدولة عن طريق الشبكات االفتراضية الخاصة ببرامج أمن شخصي وأحدث البرامج األمنية وبرامج الكشف عن الحاسوب

ويتم تفعيل جميع هذه البرامج األمنية في جميع األوقات وتحديثها بأحدث التوقيعات الفيروسية وتعريفات البرامج . البرمجيات الضارة وإصالحها .الضارة

ويوصي آتيب تأمين المعلومات الحكومية . كفل أجهزة الدولة وجود ضوابط تقنية لضمان التزام جميع الحاسبات المتصلة بالسياسة المذآورة أعالهت . باستخدام أجهزة التحكم في الوصول إلى الشبكة لضمان االلتزام بالسياسة

NS 50 ل االتصال بالشبكة، وخاصة محاوالت الوصول غير المصرح أن يتم توفير مهام تسجيل األداء والتدقيق من أجل تسجيتسجيل األداء ومتابعة "بعنوان 10ويوفر الفصل رقم . وينبغي أن تتم مراجعة سجل األداء بانتظام. إلى المعلومات

.المزيد من التفاصيل حول ذلك] SM" [األمن

جيل األداء والتدقيق من أجل رصد التطفل األمني، وخاصة الحوادث، مثل ينص آتيب تأمين المعلومات الحكومية على توفير وتمكين عمليات تس . الوصول غير المصرح به

. من هذا الكتيب B-10ينبغي أن تكفل أجهزة الدولة تعريف اإلجراءات بما يتماشى مع الفصل

NS 51 بالشبكة من عمالء الشبكة أن يتم تنصيب الجدران النارية على مستوى المنافذ من أجل التحكم في حرآة المرور .االفتراضية الخاصة إلى أنظمة وخوادم المعلومات المصرح بها

آة ينص آتيب تأمين المعلومات الحكومية على تطبيق الضوابط األساسية، مثل الجدران النارية على مستوى البوابة، من أجل التحكم في تدفق حر . اصة إلى أنظمة أو خوادم المعلومات المصرح بهامرور المعلومات من عمالء الشبكات االفتراضية الخ

)VoIP(األمن الصوتي لبروتوآول اإلنترنت –إرشادات حول السياسة والضوابط الرئيسية 11- 2


‐47‐

NS 52 الفصل بينهما ماديا؛ ومع ذلك، يتم السماح بالشبكات وينبغي أن يكون. يعد الصوت والبيانات شبكتين منفصلتينأو بروتوآوالت SIPأو H.323آل من PSTNوتفصل بوابة الصوت، التي تتداخل مع . المحلية االفتراضية

VoIP األخرى عن شبكة البيانات.

التي ينبغي إعدادها للتشغيل في ت البيانات، تتطلب حرآة مرور الصوت جودة محددة للخدمة من أجل تأمين حرآة مرور الصوت من خالل مجموعاويؤدي الفصل في المرور أيضا إلى الحفاظ عليه من الهجمات المحتملة على الشبكة . الشبكة المحلية االفتراضية المستقلة من خالل جودة محددة للخدمة

.المحلية

المحلية ينبغي أن تكفل أجهزة الدولة الفصل بين شبكات الصوت والبيانات؛ ورغم أن الفصل المادي قد يكون مثاليا، إال أنه يتم السماح بالشبكات ن قادرة وعالوة على ذلك، ينبغي أن تكون البوابة المستخدمة في الفصل بين حرآة مرور الصوت والبيانات متوافقة مع الصوت وأن تكو. االفتراضية

. أو غيرها SIPأو H.323على التعامل بفاعلية مع البروتوآوالت ذات الصلة بالصوت، مثل

NS 53 أن يتم استخدام بوابات األمن الصوتي لبروتوآول اإلنترنت وآليات األمن المالئمة األخرى.

مها للتعامل ينص آتيب تأمين المعلومات الحكومية على أن تكون البوابات المنتشرة لديها قدرة صوتية وأن يتم تزويدها بآليات أمنية مالئمة يتم تصمي . مع حرآة مرور الصوت

NS 54 أن تتولى تقييم واستخدام البروتوآوالت المفعلة أمنيا مثل بروتوآول الزمن الفعلي اآلمن)SRTP.(

نبذة عن بروتوآول النقل في الزمن الفعلي، الذي يستهدف توفير التشفير وتوثيق وسالمة ) SRTPأو (يوضح بروتوآول النقل اآلمن في الزمن الفعلي .الرسائل وإعادة حماية بيانات بروتوآول النقل في الزمن الفعلي في آل من التطبيقات األحادية والمتعددة

من الفعلي أيضا ببروتوآول شقيق يدعى البروتوآول اآلمن للرقابة على النقل في الزمن الفعلي؛ ويوفر البروتوآول يحظى بروتوآول النقل في الزاآلمن في اآلمن للرقابة على النقل في الزمن الفعلي نفس الخصائص األمنية لبروتوآول النقل اآلمن في الزمن الفعلي التي يوفرها بروتوآول النقل

. روتوآول النقل في الزمن الفعليالزمن الفعلي إلى ب

توآول النقل في ويعد استخدام بروتوآول النقل اآلمن في الزمن الفعلي أو البروتوآول اآلمن للرقابة على النقل في الزمن الفعلي اختياريا الستخدام بروم بروتوآول النقل اآلمن في الزمن الفعلي أو البروتوآول الزمن الفعلي أو بروتوآول الرقابة على النقل في الزمن الفعلي؛ ومع ذلك، ففي حالة استخدا

اختيارية ويمكن تشغيلها أو تعطيلها بصورة ) مثل التشفير والتوثيق(اآلمن للرقابة على النقل في الزمن الفعلي، تكون جميع الخصائص المتوفرة تغناء عنه عند استخدام البروتوآول اآلمن للرقابة على النقل في الزمن ويتمثل االستثناء الوحيد في خاصية توثيق الرسائل الذي ال يمكن االس. مستقلة .الفعلي

انات ينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتقييم واستخدام البروتوآوالت المفعلة أمنيا من أجل ضمان سرية وسالمة بيالنقل اآلمن في الزمن الفعلي؛ ومع ذلك، يمكن أن تختار أجهزة الدولة بروتوآوالت وينصح الكتيب باستخدام بروتوآوالت مثل بروتوآول. الصوت

. أخرى قد تكون متاحة وتتالءم بصورة أفضل مع متطلبات أجهزة الدولة

NS 55 أن يتم وضع تدابير مكافحة مادية سليمة لحماية البنية األساسية لألمن الصوتي لبروتوآول اإلنترنت.

ألي مهاجم بإجراء تحليل ) VoIP(استخدام التشفير، قد يسمح الوصول المادي إلى خوادم وبوابات األمن الصوتي لبروتوآول اإلنترنت حتى إذا ما تم . ومن ثم، ينبغي أن يكون هناك أمن مادي مناسب للحد من إمكانية الوصول إلى مكونات شبكة األمن الصوتي لبروتوآول اإلنترنت. لحرآة المرور .تأمين المعلومات الحكومية على وجود ضوابط األمن المادي المالئمة لتأمين البنية األساسية لألمن الصوتي لبروتوآول اإلنترنت وينص آتيب

NS 56 أن يتم تنفيذ المتابعة المالئمة لسجل المكالمات.

ورغم أنه يوفر العديد من المزايا، إال أنه يعاني من . على الجمع بين حرآة مرور الصوت والبيانات) VoIP(اإلنترنت نقل الصوت عن طريقساعد وتتضمن بعض المخاطر . ، فإنه يتعرض حاليا لمخاوف أمنية تتصل بحرآة مرور البياناتهو الموضوع الرئيسياألمن ألن ونظرا . عيوب متعددة

.راض والتعديلاالحتيال في سداد الرسوم والتجسس واالعت

.الدولة تقييما للمخاطر وأن تتوصل إلى وسيلة رقابة مالئمة لتأمين البنية األساسية لألمن الصوتي لبروتوآول اإلنترنتينبغي أن تجري أجهزة

تعرض ينص آتيب تامين المعلومات الحكومية على أن يكون تنفيذ ومتابعة سجالت المكالمات بمثابة وسيلة رقابية أساسية على العمليات لضمان عدموتتمكن أجهزة الدولة، من خالل متابعة سجالت المكالمات، من التأآد مما إذا . ة لألمن الصوتي لبروتوآول اإلنترنت بالمنظمة للمخاطرالبنية األساسي

‐48‐

ما إذا آانت البنية األساسية لألمن الصوتي لبروتوآول اإلنترنت قد تعرضت للمخاطر من أجل إجراء مكالمات غير مصرح بها أو تحويل المكالمات أو . آان قد تم إنشاء خطوط داخلية غير مصرح بها أو غير ذلك

NS 57 أن تكون برامج المحادثات الهاتفية عن طريق الحاسوب، إذا تم السماح بها، من خالل اتصال آمن، مثل الشبكة .االفتراضية الخاصة اآلمنة

السياسات واإلجراءات فيما يتعلق باستخدام برامج المحادثات الهاتفية عن ينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بتأمين وتحديد ففي حالة التفويض باستخدام برامج المحادثات الهاتفية عن طريق الحاسوب وفقا لمتطلبات العمل، ينبغي أن تكفل أجهزة الدولة تطبيق . طريق الحاسوب

.ضوابط أمنية آافية لتأمين االتصاالت الخاصة بها

NS 58 أن يتم توفير طاقة احتياطية ألجهزة هاتف األمن الصوتي لبروتوآول اإلنترنتVoIP في حالة انقطاع الطاقة.

طاع ينص آتيب تأمين المعلومات الحكومية على توفير طاقة احتياطية آافية لضمان إتاحة خدمات األمن الصوتي لبروتوآول اإلنترنت في حالة انق .الطاقة بصفة عامة

NS 59 يتم تنفيذ ضوابط قوية للتوثيق والوصول إلى المعلومات من أجل حماية نظام بوابة الصوتأن.

.ينص آتيب تأمين المعلومات الحكومية على تطبيق ضوابط قوية للتوثيق والوصول إلى المعلومات من أجل حماية أنظمة بوابة الصوت

NS 60 أن يتم استخدامIPSEC أو بروتوآول نقل الملفاتSSH ي جميع عمليات اإلدارة أو الوصول إلى المعلومات عن ف .بعد

أو أي بروتوآول آمن ومماثل آخر من أجل اإلدارة SSHأو بروتوآول نقل الملفات IPSECينص آتيب تأمين المعلومات الحكومية على استخدام .عن بعد أو الوصول إلى البنية األساسية لألمن الصوتي لبروتوآول اإلنترنت

NS 61 أن يتم وضع خطط طوارئ إلجراء مكالمات صوتية في حالة عدم إتاحة أنظمة األمن الصوتي لبروتوآول اإلنترنت.

بنية أساسية ينبغي أن تقوم أجهزة الدولة بتعريف العاملين وإبالغهم بخطة الطوارئ الخاصة بها من أجل إجراء المكالمات الهاتفية في حالة عدم تواجد .توآول اإلنترنتلألمن الصوتي لبرو

ويمكن أن يوجه تقييم أثر العمل . يمكن أن تتخذ أجهزة الدولة القرار بذلك الشأن آجزء من تدريب تخطيط استمرارية تصريف األعمال الخاص بهاوالهواتف PSTNت العامة وتتضمن األمثلة استخدام الهواتف المحمولة واستخدام شبكة االتصاال. المنظمة في تحديد التكنولوجيا االحتياطية المناسبة

.المتصلة باألقمار االصطناعية وغير ذلك

NS 62 أن يتم تفعيل خصائص أمن المنافذ بأجهزة التحويل بالشبكة المحلية التي تربط بين أجهزة األمن الصوتي لبروتوآول .اإلنترنت

التحويل بالشبكة المحلية من أجل توفير األمن اإلضافي ألجهزة األمن ينص آتيب تأمين المعلومات الحكومية على تفعيل الخصائص األمنية بأجهزة .الصوتي لبروتوآول اإلنترنت

لبروتوآول اإلنترنت 6اإلصدار رقم –إرشادات حول السياسة والضوابط الرئيسية 12- 2


NS 63 ء عملية تقييم مخاطر من قبل أجهزة الدولة من أجل تقييم مزايا وعيوب األمن الخاصة بتكنولوجيا أن يتم إجراIPv4 .IPv6وينبغي أن تبدأ أجهزة الدولة في دراسة نشر . IPv6و

عملية تقييم المخاطر من أجل تقييم وتجري أجهزة الدولة. يتم تنفيذ أي تعديل تكنولوجي عقب التقييم الواجب للمخاطر التي يمثلها ذلك التعديل للمنظمةويوصي آتيب تأمين المعلومات الحكومية بضرورة أن يكون لدى أجهزة الدولة خارطة طريق محددة للتحول إلى . للمنظمة IPv6مدى مالءمة

IPv6 .

NS 64 أن يتم إجراء عملية تقييم مخاطر إذا ما قررت أجهزة الدولة تطبيق مناخ الحزمة المزدوجة.

‐49‐

إدارة آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بإجراء تقييم للمخاطر من أجل تقييم المخاطر ونقاط الضعف المحددة الناجمة عن ينص .وقد ينشأ هذا السيناريو بعد وضع حقائق مثل التحول الجزئي وأجهزة التراث وغيرها في االعتبار. مناخ الحزمة المزدوجة

NS 65 المطالبة بإعادة االعتماد حيث تتولى أجهزة الدولة نشر أن يتمIPv6 داخل الشبكات الخاصة بها.

ولوجيا على غرار أي تعديل رئيسي آخر يؤثر على الوضع األمني للمنظمة، يتعين على أجهزة الدولة إعادة اعتماد ذاتها عقب تحول شبكاتها إلى تكنIPv6 .ول جزئيا، آما هو الحال في بعض القطاعات المختارة من الشبكةويصبح ذلك هو الحال حتى إذا آان التح .

‐50‐

]IE[إرشادات حول تبادل المعلومات - 3




IE 1 النطاقات بعضها البعض، تتفهم أجهزة الدولة وتوافق على هيكل وأمن ومخاطر النطاقات األخرىقبل القيام بتوصيل . .ويتم توثيق مراجعة المخاطر من أجل التأآد من مدى االلتزام

ويتم توثيق . ينص آتيب تأمين المعلومات الحكومية على توخي العناية الواجبة عند تقييم هيكل وأمن ومخاطر النطاق المستهدف توصيل النطاقات به . تقييم المخاطر واالحتفاظ بالسجالت وفقا لمتطلبات المراجعة والتدقيق

.لمستهدفتكفل أجهزة الدولة الحفاظ على تصنيف المعلومات عبر النطاق ا

IE 2 عند اعتزام ربط شبكة أي من أجهزة الدولة بشبكة أخرى آمنة، ينبغي أن يتم:

.الحصول على قائمة بالشبكات التي تتصل بها الشبكة األخرى عن طريق مدير االعتماد والنظام بالشبكة األخرى .أ .غير متعمدة على التواليفحص المعلومات الصادرة عن آال المصدرين لتحديد ما إذا آان هناك أي توصيالت .ب دراسة المخاطر المتعلقة بالتوصيالت المحددة على التوالي قبل ربط شبكة أجهزة الدولة بالشبكة األخرى، .ج

.وخاصة حينما يكون هناك اتصال بإحدى الشبكات غير الموثوقة مثل شبكة اإلنترنت

لق بتوخي العناية الواجبة أثناء تقييم مدى مالءمة توصيل شبكة أجهزة الدولة ينص آتيب تأمين المعلومات الحكومية على إرشادات إضافية فيما يتعوينبغي تفهم أنه من خالل الربط بأي شبكة خارجية، تتضاعف ). أحد أجهزة الدولة األخرى أو أي شريك استراتيجي غير حكومي(بشبكة أخرى آمنة

.البوابات التي تربط بين آلتا الشبكتينالمخاطر عدة مرات ما لم يتم تطبيق ضوابط محددة ومشددة عند

IE 3 بين الكيانات التي تتبادل المعلومات قبل القيام بتبادل تلك ) وخاصة اتفاقيات السرية(ضمان إقرار االتفاقيات الالزمة وتنص االتفاقيات على معلومات حول المسؤوليات وإجراءات إخطار تبادل المعلومات والمعايير التقنية. المعلومات

وفي حالة الموردين واألطراف األخرى، يتم . لنقل المعلومات وتحديد شرآات النقل والمسؤوليات والملكية والضوابطعلى نموذج التفاقية اإلفصاح عن " د"وينص الملحق . استخدام اتفاقيات رسمية لعدم اإلفصاح عن المعلومات

.المعلومات

الكيانين اللذين يتبادالن المعلومات بصياغة االتفاقيات المالئمة واالتفاق عليها وتوقيعها من قبل ينص آتيب تأمين المعلومات الحكومية على قيام .الموقعين المعتمدين لدى آل آيان

ة من لمختارتتضمن االتفاقيات تفاصيل حول الموافقة على تبادل المعلومات وتفاصيل تقنية حول آيفية إجراء التبادل والمسؤوليات المحددة والوظائف ا . آل جهاز لمراقبة ومتابعة وإدارة عملية تبادل هذه المعلومات

. التي يتم تطبيقها لتيسير هذه الرقابة) التقنية واإلدارية(يتفق آال طرفي أجهزة الدولة على الضوابط

IE 4 االستخدام داخل ضمان حماية الوسائط المستخدمة في تبادل المعلومات من الوصول غير المصرح أو التالعب أو سوء .وخارج أجهزة الدولة

من أجل حماية الوسائط من الوصول غير المصرح أو التالعب أو سوء ) استنادا إلى تصنيف المعلومات(تكفل أجهزة الدولة وجود ضوابط مناسبة .االستخدام داخل وخارج أجهزة الدولة

دا واستخدام الوسائط التي توفرها وتعتمدها أجهزة الدولة وتشفير الوسائط ينبغي أن تدرس أجهزة الدولة ضوابط مثل ضوابط الجرد األآثر تشد . والخزائن المؤمنة ماديا

IE 5 الحفاظ على التصنيف وحماية المعلومات التي يتم الحصول عليها من أجهزة الدولة األخرى.

‐51‐

ويتم إدراج مثل هذا النص باالتفاقيات . ا من أجهزة الدولة األخرىتكفل أجهزة الدولة الحفاظ على التصنيف وحماية المعلومات التي يتم الحصول عليهوتحظى أجهزة الدولة بالحق في رفض نقل المعلومات إذا لم يكن الجهاز المنقول إليه يحظى . الموقعة بين أجهزة الدولة قبل بدء تبادل البيانات فيما بينها

.بوسيلة الوفاء بهذه المتطلبات

IE 6 مناسبة من الحماية المادية للوسائط التي يتم نقلها وتخزينها في عبوات تحميها ضد أي مخاطر االحتفاظ بمستويات .تجعل المضمون غير مقروء

.من ضوابط األمن المادي من أجل الحفاظ على الوسائط أثناء تخزينها أو نقلها) بناًء على تصنيف المعلومات(تكفل أجهزة الدولة وجود مستوى مالئم

: وتتضمن أمثلة تلك الضوابط ما يلي. وتعبئة الوسائطوترتيب ينبغي أن تدرس أجهزة الدولة الضوابط المناسبة لتخزين

.درجة الحرارة والرطوبة وغيرها: ضمان الحفاظ على الظروف المناخية المحددة للوسائط، وعلى سبيل المثال - 1 .ومغلقة وتحمل العنوان الصحيح مظاريف غير شفافة وغير قابلة إلعادة االستعمال/ استخدام أغلفة - 2 .ضمان أن ينطوي العنوان على اسم وعنوان المرسل إليه، باإلضافة إلى عنوان المرتجع في حالة عدم االستدالل على العنوان - 3، )ذلك مساعد أو سكرتير أو غير(إذا آنت تعتبر المعلومات حساسة أو سرية للغاية وال تريد أن يتم فتح الرسالة من قبل أي طرف آخر - 4

".ال يفتحه سوى الشخص المرسل إليه فقط"ينبغي أال يحمل المظروف عالمة السرية فحسب، بل يحمل أيضا رسالة

IE 7 ضمان االستعانة بشرآات وخدمات النقل الموثوقة ذات المصداقية فقط اعتمادا على قائمة من شرآات النقل المعروفة .والمصرح لها

وينبغي أن يتضمن ذلك ضوابط مثل االستعانة بشرآات النقل الخاضعة للفحص األمني والخزانات . لمناسبة لنقل الوسائطتدرس أجهزة الدولة الضوابط ا . اآلمنة الخاضعة للفحص األمني والتابعة ألي طرف آخر

".ات األطراف األخرىإدارة خدم"، بعنوان B3سوف تخضع االستعانة بمقدمي الخدمات التابعين ألي طرف آخر للضوابط المحددة بالفصل

IE 8 حماية المعلومات التي يتم تبادلها عن طريق الرسائل اإللكترونية من الوصول غير المصرح له أو التغيير أو انقطاع .الخدمة

ورغم أن ذلك يشير بصفة رئيسية إلى . تتولى أجهزة الدولة تطبيق ضوابط لضمان سرية وسالمة المعلومات التي يتم تبادلها عبر الرسائل اإللكترونية .رسائل البريد اإللكتروني، فإنه يتضمن الرسائل المرسلة عبر الهواتف المحمولة، مثل رسائل بالآبيري وخدمة الرسائل القصيرة وغيرها

خادم البريد : على سبيل المثال(تعتمد الضوابط المختارة على تصنيف المعلومات، بينما يعتمد اختيار الضوابط الخاصة بالبرنامج أو البنية األساسية . البنية األساسية معالجتها أو نقلها/ على أعلى تصنيف للمعلومات التي يتولى البرنامج) اإللكتروني

. لخطوط اإلرشادية الختيار الضوابط الخاصة باإلرسال اإللكترونيويتم فيما يلي استعراض ا

.التأآد من دقة العنوان أو قائمة األشخاص المرسل إليهم قبل إرسال المعلومات عن طريق البريد اإللكتروني .أ والتأآد من . التأآد من صحة عناوين البريد اإللكتروني عند إرسال معلومات محظورة أو ذات وصول محدود عن طريق البريد اإللكتروني .ب

وطلب تقديم دليل على . أن جميع األشخاص المدرجين بالقوائم يحظون بتصريح الستالم المعلومات عند استخدام قوائم عناوين محددة مسبقا . لماإلرسال والتس

قبل التحقق مما إذا آان هناك حاجة إلى حماية إضافية فيما يتعلق بالمرفقات التي تحظى بحماية آلمة المرور أو التشفير أو التوقيع الرقمي .ج . إرسال البريد اإللكتروني

ل المعلومات ضمن مرفقات ويتم إرسا. بكلمات مرور توفر الحد األدنى من الحماية C2أن تحظى جميع المعلومات المصنفة عند المستوى .د ويتم إرسال آلمات المرور إلى المستقبل من خالل وسيلة اتصال مستقلة، مثل . تحظى بحماية آلمات مرور من خالل البريد اإللكتروني .الصوت أو خدمة الرسائل القصيرة أو الفاآس أو غير ذلك

IE 9 في نقل جميع المعلومات المصنفة عند ) أو تشفير المعلومات رقميا/يتم توقيع و(ضمان استخدام الرسائل اآلمنةوينبغي على أجهزة الدولة استخدام البروتوآول اآلمن متعدد األغراض للتوسع في البريد . أو أآثر C3المستوى

]. CY[أمن التشفير "وان بعن C-10، الفصل CY6اإللكتروني وفقا لما هو محدد بالفقرة

‐52‐

باستخدام األدوات التي تعتمدها C3أو التوقيع الرقمي لجميع المعلومات المصنفة عند المستوى /ينص آتيب تأمين المعلومات الحكومية على التشفير والبروتوآول اآلمن متعدد األغراض ام ويوصي آتيب تأمين المعلومات الحكومية باستخد. أجهزة الدولة عند إرسالها من خالل الرسائل اإللكترونية

].CY[أمن التشفير "بعنوان C-10، الفصل CY6من أجل تأمين الرسائل وفقا لما هو محدد بالفقرة S/MIMEللتوسع في البريد اإللكتروني

IE 10 إرفاق إخالء المسؤولية عن البريد اإللكتروني أو ما شابه بجميع رسائل البريد اإللكتروني الصادرة:

قد تتضمن المعلومات التي يشتمل عليها هذا البريد اإللكتروني، بما في ذلك المرفقات، معلومات سرية تحظى بحماية ". ويتم إرسال هذا البريد اإللكتروني إلى األشخاص المستهدفين. حقوق الملكية الفكرية أو تكون ذات امتيازات قانونية

ويحظر أي استخدام أو اإلفصاح عن . قبل أي شخص آخر غير مصرح بهويعد الوصول إلى هذا البريد اإللكتروني من فإذا لم تكن الشخص . أو نسخ أو توزيع هذا البريد اإللكتروني من قبل أشخاص آخرين بخالف الشخص المرسل إليه

وإذا آنت تعتقد أنك قد تسلمت هذا البريد. المرسل إليه، ينبغي أن تحذف هذه الرسالة على الفور من نظامكوتعد اآلراء التي يتم . >أجهزة الدولة وبيانات االتصال<اإللكتروني عن طريق الخطأ، يرجى االتصال بالمرسل أو اسم

التعبير عنها بهذا البريد اإللكتروني أو مرفقاته خاصة بالمرسل فقط ما لم ينص المرسل صراحة على آونها آراء . خاصة بأجهزة الدولة

ومع ذلك، فمن المؤآد أن يساعد إخالء . ليس مؤآدا ما إذا آان إخالء المسؤولية عن البريد اإللكتروني سوف يوفر الحماية من المسؤولية في المحاآمن ذلك، قد واألهم م. المسؤولية المصاغ بصياغة جيدة في الدعوى المقامة ضد أجهزة الدولة وقد يؤدي إلى إعفائها من المسؤولية في بعض الحاالت

مطالبة يحول اإلخالء من المسؤولية دون إقامة الدعوى الفعلية ضد أجهزة الدولة، نظرا ألن مجرد وجود تلك العبارة قد يمنع معظم األشخاص من ال . بتعويض قانوني من أجهزة الدولة

مسؤولية المشار إليها أعاله هو األسلوب الموصى به والذي ويعد إخالء ال. ومن ثم، يوصي آتيب تأمين المعلومات الحكومية باستخدام إخالء المسؤولية . يمكن استخدامه من قبل أجهزة الدولة

IE 11 ممارسة العناية الواجبة لضمان خلو أي معلومات يتم نقلها من الفيروسات وفيروس طروادة والبرمجيات الضارة .األخرى

من أجل التأآد من أن المعلومات التي يتم ) رسائل البريد اإللكتروني أو تبادل البيانات(المعلومات تمارس أجهزة الدولة العناية الواجبة أثناء إرسال ومع ذلك، يتحمل المستقبل المسؤولية بالمناصفة ويتم نصحه باتخاذ . إرسالها خالية من الفيروسات وفيروس طروادة والبرمجيات الضارة األخرى

.اسية للمعلومات الخاصة بهأقصى االحتياطيات لحماية البنية األس

قلها من يوصي آتيب تأمين المعلومات الحكومية باستخدام الضوابط المناسبة عند البوابات من أجل متابعة وفحص وضمان التزام البيانات التي يتم ن . خاللها

IE 12 لمصرح به إلى المعلومات ضمان حماية المعلومات التي يتم تبادلها بين األنظمة ضد سوء االستخدام أو الوصول غير اأو أآثر، يتم استخدام القنوات الموثقة C2أو C1ولنقل المعلومات المصنفة عند المستوى . أو فساد البيانات

].CY" [إرشادات حول أمن التشفير"بعنوان C-10، الفصل CY4والمشفرة وفقا لما هو محدد في

. تلفةينبغي أن تكفل أجهزة الدولة وجود الضوابط األمنية المناسبة من أجل حماية سالمة وسرية المعلومات التي يتم تبادلها بين األنظمة المخ

بالتأآيد ومع ذلك، يمكن التوسع بها لتشمل األنظمة الداخلية للجهاز وسوف تدعم . تهدف الضوابط في األساس إلى حماية نقل البيانات بين األجهزة . الوضع األمني ألجهزة الدولة

. أو أآثر باستخدام قنوات البيانات الموثقة والمشفرة C2أو C1ينص آتيب تأمين المعلومات الحكومية على نقل المعلومات المصنفة عند المستوى ".فصل التشفير"بعنوان C-10ويلتزم التشفير بالفصل

:تيب تأمين المعلومات الحكومية باستخدام الضوابط التاليةآيوصي

ويجب أال يتم استخدام البروتوآوالت غير . عند إرسال أو استقبال المعلومات SSHأو S-FTPينبغي استخدام البروتوآوالت اآلمنة مثل - أ . SNMPواألصدار األول والثاني من بروتوآول Telnetاآلمنة، مثل

. ISPيتم الربط بين أجهزة الدولة من خالل وصالت مادية مستقلة أو وصلة آمنة، مثل الشبكة االفتراضية الخاصة عن طريق سحابة - ب . وينبغي أن تكون الشبكة الحكومية بمثابة أسلوب الربط المفضل

‐53‐

IE 13 ت الموثقة والمعتمدة من خالل على المعلوما) عن طريق وسائل اإلعالم(قصر المعلومات المتاحة إلى جمهور العامة .متحدث إعالمي محدد ومدرب

.فريق إعالمي محدد ومدرب/ ينص آتيب تأمين المعلومات الحكومية على ضرورة أن يكون لدى أجهزة الدولة متحدث إعالمي

األطراف الرئيسية / الفريق اإلعالمي المحدد بمثابة نقطة االتصال الوحيدة المسؤولة عن نشر المعلومات بين جمهور العامة/ يكون المتحدث اإلعالمي، إال "عام" ويتعين أال يتم الكشف عن أي معلومات ينبغي اإلفصاح عنها إلى وسائل اإلعالم، حتى إذا آانت تحظى بتصنيف. خارج نطاق أجهزة الدولة

. الفريق اإلعالمي المحدد بعد التشاور مع إدارة العالقات العامة بأجهزة الدولة/ من خالل المتحدث اإلعالمي

على " (داخلي"أو " عام"الفريق اإلعالمي المحدد المسؤولية عن ضمان أن تكون المعلومات الصادرة تحظى بتصنيف / يتولى المتحدث اإلعالمي .عند إصدار المعلومات) وسائل اإلعم المصرح لها/ حدة عند إصدارها إلى مجموعة محدودة من األشخاص المصرح لهمأساس آل حالة على

‐54‐

]GS[إرشادات حول أمن البوابة - 4


ة باإلضافة الهدف الرئيسي من هذه السياسة هو توفير الحد األدنى لمتطلبات األمن من أجل حماية البوابات المستخدمة في االتصاالت بين أجهزة الدول . إلى االتصاالت بالروابط الخارجية

ام ذلك ويمكن استخد. لضمان انتقال المعلومات المسموح بها فقط بين البوابة والشبكات المتصلة بهاللسيطرة يمكن استخدام عملية نشر البوابة الخاضعة وتتضمن البوابات أجهزة الراوتر والجدران النارية . للحفاظ على متطلبات الحاجة إلى المعرفة ومنع األنشطة الضارة من االنتشار من شبكة إلى أخرى

. البديلةوحلول تنقية المضمون والخوادم

عام –بط الرئيسية إرشادات حول السياسة والضوا 2- 4


GS 1 أن يتم حماية الشبكات من الشبكات األخرى من خالل بوابات والتحكم في تدفق البيانات بصورة سليمة.

ويوصي آتيب تأمين المعلومات الحكومية . الدولة حماية الشبكات المادية من بعضها البعض باستخدام البوابات، آحد أدنى أجهزةينبغي أن تكفل .باستخدام البوابات لحماية الشبكات المنطقية داخل أجهزة الدولة

وقد وجد في آثير من األحيان . بدور رقابي فعال وعالوة على ذلك، ينبغي أن تكفل أجهزة الدولة تهيئة وإعداد البوابات بصورة صحيحة آي تضطلعوال يؤدي ذلك إلى إيجاد نقاط ضعف داخل الشبكة فحسب، بل إلى غرس مستوى زائف من . أنه يتم تهيئة وإعداد البوابات من خالل قواعد متراخية

. الثقة

GS 2 األخرى أو بالشبكات العامة غير الخاضعة أن يتم تنفيذ البوابات التي تربط شبكات أجهزة الدولة بشبكات أجهزة الدولة :للرقابة

.من خالل جهاز الشبكة المالئم للتحكم في تدفق البيانات .أ .من خالل التحكم في تدفق البيانات بالصورة المالئمة .ب .داخل غرفة الخادم المؤمنة بالصورة المالئمةللبوابة اإللكترونية ماديةالمكونات المن خالل وضع .ج

، ينص آتيب تأمين المعلومات الحكومية على قيام أجهة الدولة بممارسة العناية الواجبة أثناء اختيار GS1باإلضافة إلى الضوابط المذآورة في البند .جهاز البوابة لضمان أن يفي بالمتطلبات التقنية والوظيفية ألجهزة الدولة

ويجب أن يتم توثيق . البيانات؛ وينبغي أن يتم فحص أي تغيير في تدفق البيانات من خالل عملية إدارة التغيير) قواعد(ضمان التحكم في تدفقات . ومراجعة آل تلك التغييرات بصفة منتظمة

.ينبغي أن يتم تأمين جهاز البوابة بصورة مادية

GS 3 ب إدارة البوابات والحفاظ عليهاأن يتولى فريق العمل المصرح له والمدر.

وينص آتيب تامين . تعد البوابات بمثابة حلول أمنية متخصصة؛ وبالتالي، ينبغي أن يتم إدارتها والمحافظة عليها من قبل فريق العمل المدربل المصرح له ويكون ذلك الفريق المعلومات الحكومية على وجود ضوابط مناسبة للوصول إلى المعلومات تقصر إمكانية الوصول على فريق العم

. وسوف يضمن ذلك تهيئة وإعداد البوابة والمحافظة عليها بالصورة المناسبة. مدربا بالصورة المالئمة

GS 4 أن يتم توفير إمكانية الوصول اإلداري إلى البوابات التي تتولى معالجة أو نقل المعلومات المصنفة عند المستوىC3 .لرقابة المزدوجة ومبادئ الرقابة من قبل شخصينأو أآثر اعتمادا على ا

، ينبغي أن تكفل أجهزة الدولة مستوى إضافي من الضوابط للبوابات التي تتولى معالجة أو نقل GS3باإلضافة إلى الضوابط المذآورة بالبند .أآثرأو C3المعلومات المصنفة عند المستوى

سوف يضمن ذلك عدم قدرة أي شخص على حدة أن . الرقابة المزدوجة ومبدأ الرقابة من قبل شخصين يتم توفير إمكانية الوصول اإلداري بناًء على .وسوف يستحدث إجراء عملية فحص وتوازن لإلعدادات الخاصة بالنظام. يقوم بتعريض النظام للمخاطر

‐55‐

GS 5 ت أن يتم وسم المعلومات التي يتم تبادلها عبر البوابات وفقا لسياسة تصنيف البيانا]IAP-GOV-DCLS [ . وينبغي أن يتم تصنيف البوابات بما يتماشى مع المعلومات التي تنقلها. وحمايتها وفقا لما تنص عليه هذه الوثيقة

. المةأو الستعد البوابات أو أي صناديق أخرى خاصة بالشبكة في حد ذاتها مجرد أصول معلوماتية ليس لها قيمة أو متطلبات فعلية فيما يتعلق بالسرية لربط بين اثنين من وعلى سبيل المثال، يمكن أن تتم تهيئة جهاز البوابة للربط بين منزلين يتبادالن الملفات الشخصية أو أن تتم تهيئة نفس جهاز البوابة ل

ومن ثم، يتم تصنيف . تتولى معالجتها وفي آال السيناريوهين، تتغير بيانات البوابة بناًء على المعلومات التي. أجهزة الدولة يتبادالن المعلومات السرية . البوابات بما يتماشى مع المعلومات التي تعالجها أو تنقلها ويتم اختيار الضوابط األمنية وفقا لذلك

وحمايتها وفقا لما ] IAP-GOV-DCLS[ينبغي أن تكفل أجهزة الدولة وسم المعلومات التي يتم تبادلها عبر البوابات وفقا لسياسة تصنيف البيانات . تنص عليه هذه الوثيقة

يث ينص آتيب تأمين المعلومات الحكومية على ضرورة أن تكفل أجهزة الدولة، متى أمكن، قدرة البوابات على تنقية وإدارة مضمون المعلومات بح .يلتزم ذلك المضمون بالسياسات

GS 6 أن يتم استخدام المناطق منزوعة السالحDMZ لفصل األنظمة التي يمكن الوصول إليها من الخارج عن الشبكات .العامة غير الخاضعة للرقابة والشبكات الداخلية عن طريق استخدام جدران نارية وأجهزة أمن الشبكات األخرى

عن الشبكات العامة غير الخاضعة ينص آتيب تأمين المعلومات الحكومية على تصميم الشبكات لفصل األنظمة التي يمكن الوصول إليها من الخارج .ويوصي الكتيب باستخدام جدران نارية أو أي أجهزة أخرى ألمن الشبكات مثل أجهزة الراوتر وغيرها. للرقابة والشبكات الداخلية بصورة فعالة

.مراقبة البيانات/ ينبغي أن يتم تهيئة األجهزة من خالل القواعد المناسبة لتدفق

GS 7 البوابات:

.ل االتصال الوحيدة من وإلى الشبكات الداخليةهي سب .أ .ترفض بصورة افتراضية جميع التوصيالت من وإلى الشبكة .ب .تسمح بالتوصيالت المصرح بها فقط .ج .تخضع لإلدارة عن طريق مسار آمن يتم عزله عن جميع الشبكات المتصلة .د .القتحام الشبكات توفر قدرة تدقيق آافية للكشف عن أي اختراق أمني للبوابات وأي محاولة .ه .توفر إنذار في الزمن الفعلي .و

وتعتمد القواعد على أفضل الممارسات األمنية التي توصي بها . ينص آتيب تأمين المعلومات الحكومية على قواعد إلعداد وإدارة أجهزة البوابات .الصناعة

GS 8 أن يتم دعم البوابات قبل التطبيق على أي موقع إنتاج وحمايتها من:

.البرمجيات الضارة ونقاط الضعف .أ .اإلعدادات الخاطئة أو السيئة .ب .تسوية الحسابات وزيادة االمتيازات .ج .متابعة الشبكات الضارة .د .رفض االعتداءات على الخدمة .ه .البيانات/ تسرب المعلومات .و

ومع ذلك، يؤدي ذلك إلى ظهور . وسهولة االستعمالنظام بصورة افتراضية من أجل تعظيم المهام الوظيفية / حل/ خادم/ يتم إعداد وتهيئة أي جهازورغم ذلك، يمكن التخفيف من حدة العديد من نقاط الضعف بالنظام أو التخلص منها من . نقاط ضعف آثيرة بالنظام، مما قد يعرض النظام للمخاطر

.ه العملية باعتبارها عملية دعمويتم اإلشارة إلى هذ. خالل ضمان إعداد النظام بالصورة السليمة القائمة على االحتياجات

ويوفر الكتيب . ينص آتيب تأمين المعلومات الحكومية على ضرورة دعم البوابات قبل أي عملية تنفيذ أو انتشار في أي موقع من مواقع اإلنتاج . دعم جهاز البوابة/ اإلرشادات أيضا حول المخاطر الرئيسية التي ينبغي وضعها في االعتبار أثناء تأمين

GS 9 أن تكون هناك متابعة وإشراف على البوابات وتتضمن تلك المتابعة واإلشراف آليات درء المخاطر وتسجيل األداء ].SM" [إرشادات حول تسجيل األداء ومتابعة األمن"بعنوان B-10الفصل . واإلنذار ومراقبة المعدات

‐56‐

تسجيل "بعنوان B-10أجهزة البوابة وتسجيل اإلنذار واألداء بمقتضى الفصل ينبغي أن تكفل أجهزة الدولة وجود إجراءات محددة لضمان متابعة ".األداء ومتابعة األمن

وينبغي أن تتم متابعة أنظمة البوابة التي تتولى معالجة أو نقل المعلومات . ينبغي أن تكفل أجهزة الدولة تخصيص الموارد المالئمة لمتابعة أنظمة البوابة .ساعة يوميا خالل سبعة أيام أسبوعيا 24أو أآثر على مدار C3المصنفة عند المستوى

ينبغي أن يتم تحليل سجالت األداء وربطها، إن أمكن، بسجالت أداء األنظمة األخرى من أجل الكشف عن أنماط المخاطر والهجمات والشذوذ في . النظام

GS 10مريبة، بما في ذلك على األقل ما يلي أن تمنع البوابات أو تستبعد أي بيانات يعتبرها مرشح المضمون:

.اللغة أو المرفقات البذيئة أو العدائية .أ .المضمون المفعم بالبرامج الخبيثة .ب .االعتداءات على الخدمة .ج غير مالئمة، بما في ذلك المواقع ] IAP-NAT-CRIM[المضمون التي تعتبرها / فئات المواقع اإللكترونية .د

. الخ...اإلباحية ومواقع المقامرةاإللكترونية التي تستضيف المواد

وينص الكتيب على الحد . ينص آتيب تأمين المعلومات الحكومية على ضرورة أن تكون البوابات قادرة على تحليل حرآة المرور عند طبقة التطبيق

. األدنى لمتطلبات تنقية المضمون التي يتم الوفاء بها من قبل البوابات

الواحد قادرا على الوفاء بهذا الشرط؛ ومن ثم، يمكن أن تستخدم أجهزة الدولة مجموعة من األجهزة التي قد تحقق النتيجة من الممكن أال يكون الجهاز . المرجوة

.ومع ذلك، ينبغي أن تكفل أجهزة الدولة التزام جميع األجهزة ضمن هذه المجموعة بالضوابط المذآورة أعاله

البيانات تصدير –السياسة والضوابط الرئيسية 3- 4


GS 11 مستخدمو النظام:

.يكونون عرضة للمساءلة عن البيانات التي يقومون بتصديرها .أ تصدر إليهم التعليمات بإجراء فحص الوسم الوقائي والفحص العيني وفحص البيانات الوصفية ذات الصلة حول .ب

.إمكانية تصدير البيانات

وينبغي أن يكفل مستخدمو النظام . يهدف آتيب تأمين المعلومات الحكومية إلى تقييد المساءلة عن تصدير البيانات التي تضطلع بها أجهزة الدولةوينبغي أن يكفل . المعلومات الحكومية المسؤولون عن تصدير البيانات إلى أجهزة الدولة الخارجية التزامهم باألحكام ذات الصلة بسياسة وآتيب تأمين

هؤالء، بصفة رئيسية، تصنيف تلك المعلومات التي يتم تصديرها ووضع العالمات عليها وفقا للتصنيف والضوابط الضرورية الموجودة من أجل . C-I-Aااللتزام بمتطلبات تصنيف المعلومات

GS 12 صادرات البيانات إما أن:

.أو اإلجراءات التي تصدق عليها أجهزة الدولة/للعمليات ويتم تنفيذها وفقا .أ .يتم اعتمادها بصفة فردية من قبل مدير أمن المعلومات .ب

ويتولى مدير أمن المعلومات . المعايير المقررة التي تعتمدها أجهزة الدولة/ يكفل مستخدمو النظام المسؤولون عن تصدير البيانات التزامهم بالعملية . اإلجراءات المقررة بصورة واضحة وفقا لكل حالة على حدة/ أي استثناء من العملية اعتماد وإقرار

GS 13 أن يتم حظر تصدير البيانات إلى نظام يحظى بتصنيف أقل من خالل ترشيح البيانات باستخدام فحوص عالمات .التصنيف على األقل

لى معالجة التصنيفات المتعددة للمعلومات وفقا ألعلى مستويات المعلومات التي تقوم ينبغي أن تكفل أجهزة الدولة تصنيف أنظمة المعلومات التي تتووقد تتصل األنظمة التي تعالج التصنيف المتعدد للمعلومات باألنظمة األخرى في األجهزة الخارجية التي يمكن تصنيفها عند . بمعالجتها أو تخزينها

. مستوى أدنى

‐57‐

. ضوابط أمنية لضمان عدم تصدير المعلومات المصنفة عند مستوى مرتفع إلى نظام يحظى بمستوى تصنيف أدنى ومع ذلك، تكفل أجهزة الدولة وجود . وتطبق األنظمة حلول التنقية التي سوف تتمكن، آحد أدنى، من اتخاذ إجراء بشأن عالمة تصنيف المعلومات

ويتصل هذا . C2، باعتباره المستوى C2المصنفة عند مستوى يصل إلى وعلى سبيل المثال، يتم تصنيف النظام، الذي يتولى معالجة المعلومات . C2؛ ومع ذلك، تتوافر الضوابط لمنع تصدير المعلومات المصنفة عند المستوى C1النظام بنظام خارجي مصنف عند المستوى

GS 14 أن يتم فحص صادرات البيانات بما يكفل:

.البيانات النصيةالبحث عن الكلمات الرئيسية في جميع .أ حظر أي بيانات محددة لحين مراجعتها والموافقة على إصدارها من قبل أي مصدر موثوق بخالف جهة إصدار .ب

.البيانات

لبيانات ينبغي أن تكفل أجهزة الدولة استخدام آليات تنقية المضمون عند البوابات التي تحظى بالقدرة على البحث عن الكلمات الرئيسية في جميع اوينبغي أن يكون نظام تنقية المضمون قادرا على إجراء مسح للكلمات الرئيسية المحددة، بما في . نصية التي يتم تصديرها إلى أجهزة الدولة الخارجيةال

. ذلك عالمات التصنيف

. يتم حظر أي انتهاك وخضوعه للمراجعة واالعتماد من قبل أي مصدر موثوق بخالف جهة إصدار البيانات

وقد يوفر التعديل اليدوي . شارة إلى أن محرك البحث اآللي قد ال يكون قادرا على مسح الملفات المشفرة أو التي تخضع لحماية آلمات المروريجدر اإلالبوابات ومع ذلك، يتم تقييم مخاطر فك تشفير البيانات وإعادة تشفيرها عند. أو تبادل مفتاح التشفير من خالل محرك البحث اآللي بعض المساعدة هنا

. بالصورة المالئمة

استيراد البيانات –السياسة والضوابط الرئيسية 4- 4


GS 15 مستخدمو النظام:

.يكونون عرضة للمساءلة عن البيانات التي يقومون باستيرادها - أ .فحص الوسم الوقائي والفحص العيني وفحص البيانات الوصفية ذات الصلةتصدر إليهم التعليمات بإجراء - ب

وينبغي أن يكفل مستخدمو النظام . يهدف آتيب تأمين المعلومات الحكومية إلى تقييد المساءلة عن استيراد البيانات التي تضطلع بها أجهزة الدولةوينبغي أن يكفل . لتزامهم باألحكام ذات الصلة بسياسة وآتيب تأمين المعلومات الحكوميةالمسؤولون عن استيراد البيانات إلى أجهزة الدولة الخارجية ا

هؤالء، بصفة رئيسية، تصنيف تلك المعلومات التي يتم استيرادها ووضع العالمات عليها وفقا للتصنيف والضوابط الضرورية الموجودة من أجل . C-I-Aااللتزام بمتطلبات تصنيف المعلومات

GS 16 اردات البيانات إما أنو:

.أو اإلجراءات التي تصدق عليها أجهزة الدولة/يتم تنفيذها وفقا للعمليات و - أ .يتم اعتمادها بصفة فردية من قبل مدير أمن المعلومات - ب

ويتولى مدير أمن المعلومات . المعايير المقررة التي تعتمدها أجهزة الدولة/ يكفل مستخدمو النظام المسؤولون عن استيراد البيانات التزامهم بالعملية . اإلجراءات المقررة بصورة واضحة وفقا لكل حالة على حدة/ اعتماد وإقرار أي استثناء من العملية

GS 17 الواردة إلى نظام أجهزة الدولة من أجل الكشف عن المضمون الضار والنشطأن يتم مسح البيانات.

. وجود ضوابط من أجل مسح البيانات التي يتم استيرادها إلى أنظمتهم للتحقق من خلوها من مضمون البرامج الخبيثة ينبغي أن تكفل أجهزة الدولة

‐58‐

]PR[إرشادات حول أمن المنتجات - 5


أجهزة وينبغي أن تكفل . تقر هذه السياسة الحد األدنى من األمن الالزم النتقاء وحيازة منتجات المعلومات من خالل عملية سليمة لالنتقاء واالستحواذ . اختيار المنتجات المنتقاة بعد إجراء عملية تقييم مستقلة تفي بالمتطلبات األمنية المدرجة بهذه السياسة الدولة

حول السياسة والضوابط الرئيسية إرشادات 2- 5


PR 1 أن يتم إجراء عملية انتقاء المنتجات بعناية واجبة وأن تكفل استقاللية المنتجات والموردين.

. أو الموردين/ينبغي أن تكفل أجهزة الدولة أن تحظى عملية شراء خدمات وحلول تكنولوجيا المعلومات بالعدالة واالستقاللية عن تأثيرات المنتجات و . وتدعو أجهزة الدولة إلى تقديم عدد آاف من المقترحات وأن يتم تقييم آل منها بالصورة المالئمة

PR 2 ت وفقا لسياسة تصنيف البيانات الحكومية أن يتم تصنيف ووسم المنتجا]IAP-GOV-DCLS.[

ويتم تصنيف أجهزة نظام ]. IAP-GOV-DCLS[يتم وسم جميع المنتجات التي يتم شراؤها أو تصنيعها وفقا لسياسة تصنيف البيانات الحكومية . المعلومات بناًء على المعلومات التي تتولى معالجتها أو تخزينها

مة أن تجري أجهزة الدولة تحليال لعملية التصنيف أثناء مرحلة التحليل والتصميم من أجل تقييم التصنيف المحتمل للمنتجات التي يتم قد يكون من الحك .أو تصنيعها/شراؤها و

.ذاتهالتصميم، قد تؤثر مرحلة الشراء على اختيار الموردين والمنتج / من خالل التفكير في التصنيف المحتمل خالل مرحلة التحليل

. من مورد ما ليس لديه سجل إيجابي حافل" C3"وعلى سبيل المثال، قد تحتاج إلى شراء منتج يمكن تصنيفه عند المستوى

PR 3 أن تتضمن عملية االنتقاء تحديد الموردين بالصورة المالئمة وفحص الموردين وتحديد معايير التقييم التي ينبغي أن :تتضمن آحد أدنى ما يلي

.وهوية المورد، بما في ذلك الموقع والملكيةوضع .أ .الموقف المالي .ب .المراجع حول المشارآات السابقة الناجحة .ج

. وتشتمل عملية الشراء، آحد أدنى، على تحديد وفحص الموردين. تحدد أجهزة الدولة إجراًء لشراء السلع والخدمات ذات الصلة بتكنولوجيا المعلومات :الذي يتضمن آحد أدنى ما يليويتم تحديد معيار التقييم

وقد يكون من الحكمة، أثناء . تكفل العملية ممارسة العناية الواجبة في تحديد المورد: وضع وهوية المورد، بما في ذلك الموقع والملكية - أ أن يتم التأآد من أن المورد أو المنتج ال ينتمي إلى دراسة الحلول الخاصة باألمن القومي أو الحلول التي تستهدف حماية السالمة الوطنية،

وقد يكون من الضروري في بعض القطاعات أو في بعض الظروف الحرجة أن يكون . دولة عدو أو دولة ذات عالقات متوترة أو غير ذلكالدعم المناسب والتغطية القانونية من أجل ضمان توفير) يتمتع الشريك المحلي باألغلبية(المورد أو الحل محليا أو يحظى بشراآة محلية منتج / وعالوة على ذلك، ينبغي التأآد أيضا من عدم المبالغة في االعتماد على مورد. والحد من خطر سوء استخدام السلطة األجنبية

. الخ...واحد

وتشكل الشرآات المؤقتة خطرا على . المحتمل تكفل أجهزة الدولة ممارسة العناية الواجبة في تقييم اإلمكانات المالية للمورد: الموقف المالي - ب الخدمات / وعالوة على ذلك، يننبغي توخي الحذر أثناء شراء الحلول. التنظيم بما يعرض االستثمارات والثقة في سالمة األنظمة للمخاطر

.فسية عليهامن الشرآات الصغيرة التي قد ال تستمر في العمل لفترة طويلة أو تتعرض لمخاطر استيالء القوى التنا

. ينبغي أن تكفل أجهزة الدولة أن يوفر الموردون مراجع حول المشارآات السابقة الناجحة: المراجع حول المشارآات السابقة الناجحة - ج د وبناًء على هذه المراجع، ينبغي أن تتولى أجهزة الدولة تقييم قدرات المور. وتتولى أجهزة الدولة فحص المراجع التي يقدمها الموردون

.قوة المنتج والقدرات وغير ذلكتوفير الحل و/ فيما يتعلق بمدى قدرته على تسليم المشروع

‐59‐

PR 4 أن يتم إجراء االختبار السليم والمضاهاة الفعالة بين طلب الموردين وأسلوب العمل من أجل تجنب فقدان سرية .أو إتاحة المعلومات/وسالمة و

وينبغي أن تكون اختبارات القبول . اإلجراءات للتأآد من أن اختبارات القبول تمثل جزءا من عملية إغالق المشروعينبغي أن تكفل أجهزة الدولة تحديد :شاملة وأن تكفل اشتمالها على ما يلي

وطلب ويمكن أن يتم تحديد المتطلبات بوثيقة طلب تقديم العروض. يفي الحل بالمتطلبات التقنية والوظيفية التي تحددها أجهزة الدولة - أ .عروض األسعار ووثائق التصميمات المتفق عليها بعد انتهاء العقد وغير ذلك

.أو عقب تلك المرحلة) الشراء(يتوافق الحل مع المطالبات التي يقدمها المورد أثناء مرحلة تقديم العطاءات - ب ..ما تنص عليه النشرات والبيانات المتوفرة مع النظام يتوافق الحل مع - ت

PR 5 أن يتم إجراء تقييم أمني للمنتج على أساس اإلعدادات األمنية المخصصة، بما في ذلك اختبارات أسلوب العمل .واختبارات األمن من أجل الحماية من المخاطر المحتملة ونقاط الضعف

ضمن ذلك أال يشكل اختبار وتقييم المنتج أي مخاطر على بيئة وي. ينبغي أن تكفل أجهزة الدولة تقييم المنتجات الجديدة على منصة اختبار خاصة .اإلنتاج

. اتوعالوة على ذلك، تتضمن تلك اإلجراءات اختبارات وظيفية واختبارات أمنية ودعم المنتج من خالل تطبيق التعديالت المناسبة وضبط اإلعداداإلعدادات المرجوة، بما يؤدي إلى الحد من المخاطر الناجمة عن أداء االختبارات وفقا وسوف يكفل ذلك أن يكون أداء المنتج وفقا لما هو متوقع ضمن

.إعدادات افتراضية

PR 6 أن يتفق تقديم المنتجات مع الممارسات األمنية ألجهزة الدولة من أجل تقديمها بصورة آمنة.

ويجب أن تضمن التزام جميع المنتجات، التي . ممارسات أمن المعلومات/ ادئينبغي أن تكفل أجهزة الدولة أن تستوعب عملياتها وإجراءاتها المحددة مب .يتم تقدمها، بهذه المنهجية اآلمنة للتقديم

سياسات تأمين : وعلى سبيل المثال(ينبغي أن يكفل الموردون التزام المنتجات، التي يتم تقديمها، بمعايير أمن المعلومات التي توصي بها أجهزة الدولة ويتضمن ذلك على سبيل . وتلتزم جميع العمليات التي تندرج ضمن تقديم الخدمة بأفضل ممارسات أمن المعلومات الموصى بها). ات الحكوميةالمعلوم

. المثال اتفاقيات مستوى الخدمات والمستندات المناسبة وتنفيذ الضوابط األمنية المتفق عليها وغير ذلك

PR 7 بصورة آمنة تدابير للكشف عن أعمال العبث أو التخفي أن تتضمن إجراءات تقديم المنتجات.

اءها، مثل تدابير للكشف عن أعمال العبث بالمنتجات أو إخف نقل وتسليم المنتج ، تكفل أجهزة الدولة أن تتضمن إجراءات PR 6وعالوة على البند .التحقق من وجود أختام المنتجات وغير ذلك

برامج الضارة يساعد ذلك أجهزة الدولة في الكشف عن المنتجات المادية الزائفة أو المجددة أو التي يتم العبث المادي بها من أجل السماح لمستخدمي ال . وتساعد الضوابط اإلضافية، مثل مراجعات األآواد، أجهزة الدولة في الكشف عن البرمجيات الضارة. بالتجسس عليها

PR 8 راء المنتجات من الجهات المطورة التي تلتزم بإجراء عمليات صيانة مستمرة لمنتجاتهاأن يتم ش.

دى الطويل المطورين الذين يبدون التزامهم على الم/ ، ينبغي أن تتأآد أجهزة الدولة من قيامها باختيار الموردينPR3و PR1باإلضافة إلى البندين . على منتجاتهم وتطويرها واستمرارهم في الحفاظ

رائدة إنتاج أجهزة المعالجة الدقيقة Intelوعلى سبيل المثال، تعد شرآة إنتل . األنشطة األساسية ألي مطور/ ويوصى بصفة عامة بااللتزام بالمنتجاتغدا في بيع أجهزة الحاسوب الشخصي أو الخوادم، قد ال يكون شراء أجهزة الحاسوب Intelومع ذلك، فإذا شرعت شرآة . على مستوى العالم

. الشخصي أو الخوادم منها بمثابة فكرة جيدة بالضرورة، نظرا ألنها ال تمثل مجال نشاطها الرئيسي

PR 9 وينبغي أن تلتزم التحديثات بسياسات إدارة التغيير المحددة بالفصل . ن تكون هناك عمليات لتطوير وتحديث المنتجاتأB-5 إرشادات حول إدارة التغيير"بعنوان] "CM.[

ويتم إجراء . منية ألجهزة الدولةينبغي أن تكفل أجهزة الدولة تحديث وتطوير جميع المنتجات التي يتم شراؤها بانتظام وفقا لما تحدده السياسة األ ". إدارة التغيير"بعنوان B-5عمليات التحديث والتطوير بعد تقييم المخاطر بالصورة الواجبة وبما يتماشى مع سياسات إدارة التغيير المحددة بالفصل

‐60‐

]SS[إرشادات حول أمن البرمجيات - 6


تطوير وحيازة البرمجيات –الرئيسية إرشادات حول السياسة والضوابط 2- 6

SS 1 النظام وأن يكون جزءا ال يتجزأ من / أن يتم دراسة تضمين األمن في جميع مراحل دورة حياة تطوير البرمجيات .مشروع تطوير وتنفيذ البرمجيات

وال تحظى أقوى البرمجيات بفائدة مجدية دون . وماتأساس أي نظام معل) الخ...نظام التشغيل، التطبيقات، قاعدة البيانات (تعد تطبيقات البرمجيات .نظام تشغيل مناسب وتطبيق متصل به يطلق العنان لقدراته

ال تمكن في قدرتها على توفير مجموعة متنوعة من الحلول ) الخ...نظام التشغيل، التطبيقات (ومع ذلك، يجدر اإلشارة إلى أن مالءمة البرمجيات .الها من خالل بيئة آمنة أيضاالعملية فحسب، بل في استكم

وتتألف دورة حياة تطوير البرمجيات من . ينبغي أن تكفل أجهزة الدولة وضع األمن في االعتبار خالل جميع مراحل دورة حياة تطوير البرمجيات :المراحل التالية

االستهالل - أ التطوير/ الحيازة - ب التنفيذ - ت الصيانة/ التشغيل - ث التخلص - ج

SS 2 باستخدام سياسة تصنيف المعلومات الحكومية ) بما في ذلك الجديدة والمطورة(التطبيقات أن يتم تصنيف جميع]IA-GOV-CLAS [وأن تحظى بالحماية األمنية المالئمة لتصنيفات سرية وسالمة وإتاحة المعلومات.

الخسائر المحتملة، القوانين واللوائح، المخاطر، المعلومات، (بناًء على سياسة تصنيف المعلومات الحكومية، تجري أجهزة الدولة تقييم الحساسية .للتأآد من سرية وسالمة وإتاحة التصنيفات) الخ...المخاوف البيئية، الخصائص األمنية

.وعالوة على ذلك، تجري أجهزة الدولة عملية تقييم المخاطر األولية للتأآد من بيئة المخاطر التي سوف يعمل بها النظام

. حيازة النظام/ ب تقييم المخاطر ضمن عملية صنع القرار فيما يتعلق بتطويريتم دمج نتائج تدري

SS 3 آجزء من متطلبات النظام) المتطلبات الوظيفية والتقنية ومتطلبات التأمين(أن يتم تطوير وتنفيذ المتطلبات األمنية.

للتطبيقات وتضع ) المتطلبات الوظيفية والتقنية ومتطلبات التأمين(ت األمنية بناًء على نتائج تدريب تقييم المخاطر، تقوم أجهزة الدولة بتحليل المتطلبا . وتعد تلك الضوابط بمثابة جزء أساسي من تصميم وتنفيذ النظام. ضوابط للتخفيف من حدة المخاطر

:ينبغي أن تكفل أجهزة الدولة تطبيق المتطلبات التالية على مرحلة التصميم ثم تطبيقها على النظام

االحتياطي وسائط فاصيلوت البيانات من احتياطية نسخ عمل تكرار مدى المتطلبات تتضمن: البيانات احتياطية نسخ عمل استراتيجيات -1 متطلبات من تحد بينما مدخالت، المتطلبات هذه وتوفر. مشفرة االحتياطية النسخ آانت إذا وما اإلحتياطية النسخ إلى الوصول وامتيازات .C‐I‐A المعلومات متطلبات الوفاء تكفل ذلك، على وعالوة. بالنظام الخاصة التخزين

وينبغي أن تدرس أجهزة . النظام/ تبادل المعلومات، بناًء على تصنيف المعلومات/ يتم اختيار أسلوب مناسب لنقل: استراتيجيات نقل البيانات - 2 .الدولة متطلبات مثل تشفير البيانات أثناء النقل والتشفير النهائي وأي ضوابط أمنية أخرى وغير ذلك

ويتم الترآيز بصورة أآبر على البيانات . تخضع المتطلبات األمنية للبيانات المختزنة لتصنيف البيانات: اتالمتطلبات األمنية لتخزين البيان - 3 .الالزمة للتوثيق، مثل تطبيق التشفير من جانب واحد

، حيث تكون هذه التوثيق المناسبة التي تعتمد على تصنيف النظام إستراتيجيةينبغي أن تكفل أجهزة الدولة تنفيذ : التوثيق إستراتيجية - 4 .بمثابة نقطة الدخول إلى النظام اإلستراتيجية

‐61‐

تتمثل بعض األمور التي يمكن دراستها في سياسة آلمة المرور القوية وتوثيق العاملين للتطبيقات الهامة واستراتيجيات التحقق من .آلمة المرور/ تخزين اسم المستخدم وإستراتيجيةالمدخالت وفترة توقف عمل الحساب وإغالق الحساب وآلية استرجاع آلمة المرور

تتولى أجهزة الدولة تحليل وتحديد مستويات الثقة وحدود الثقة في : وضع حدود الثقة ومستويات الثقة واالستحقاقات ومتطلبات التشفير - 5، بما في ذلك االتصال باألنظمة الخارجية السياق الكلي لكيفية تدفق المعلومات داخل النظام وآيفية تدفق المعلومات داخل البنية األساسية

.وسوف تفي المتطلبات بشرط أمني واسع النطاق في إطار السياق الكلي). فيما بين األجهزة وداخل الجهاز الواحد(وينبغي .ويساعد تصنيف البيانات على تحديد متطلبات التشفير. تدرس أجهزة الدولة الضوابط األمنية اإلضافية حيث ينخفض مستوى الثقة

وبالمثل، . أيضا أن يتم تحديد وتوثيق تفاصيل التشفير، مثل لوغاريتم التشفير ولوغاريتم االختزال والطول األساسي، في وثيقة التصميموينبغي أن تحدد أيضا مستوى . ويجب أن تحدد وثيقة التصميم الكيانات والموارد .ينبغي أن يتم تحديد متطلبات الوصول إلى المعلومات

.ل أي آيان إلى الموارد داخل النظاموصو

ينبغي أن تحدد أجهزة الدولة متطلبات تسجيل األداء من أجل تحقيق متابعة وإدارة واستكشاف النظام : تصميم سجالت المراجعة والتدقيق - 6لنظام أال تساعد سجالت وينبغي أن يكفل مصممو ا. إدارة السجالت واالحتفاظ بها إستراتيجيةويجب أن يتم االتفاق على . بصورة فعالة

المراجعة والتدقيق في التعرف على أخطاء النظام فحسب، بل في الربط بالسجالت األخرى المتعددة من أجل تحديد أنماط الكشف عن .أو الهجمات التي يتعرض لها/أخطاء النظام و

جة نظام التشغيل وخادم الويب وخادم التطبيقات وقاعدة لمعال) دعم النظام(إعداد وتنفيذ وثيقة أفضل الممارسات األمنية للبنية األساسية - 7سوف تساعد هذه الوثيقة على دعم تأمين البنية األساسية وينبغي أن يتم إعدادها خالل مرحلة : والبريد اإللكتروني FTPالبيانات و .التصميم

SS 4 وأن تكون منفصلة عن أنظمة اإلنتاج) األنظمة والبيانات(البنية األساسية المخصصة لالختبار والتطوير أن يتم إتاحة . يحظى بحيث، وة على ذلك، يكون تدفق المعلومات بين الكيانات محدودا للغاية وفقا لسياسة محددة وموثقةوعال

الوصول إمكانية تعطيل ويتم المعلومات إلى الوصول بإمكانية ذلك عملهم مسئوليات تتطلب الذين النظام مستخدمو .البرمجيات عن المسؤول المصدر على الكتابة إلى

ويهدف ذلك إلى ضمان أال . البنية األساسية المخصصة لالختبار والتطوير وأن تكون منفصلة عن أنظمة اإلنتاجينبغي أن تكفل أجهزة الدولة توافر علومات وعدم ويتعين على أجهزة الدولة أيضا أن تكفل حماية بيانات الم. يعاني اإلنتاج من أي خرق أو توقف نتيجة ألعمال التطوير التي يتم تنفيذها

ويجب على شرآات التطوير أن تتولى تطوير بيانات االختبار الخاصة بها لمنع تسرب أي . استخدام بيانات اإلنتاج المباشر في أعمال التطوير .معلومات

ومات بين أنظمة المعلومات ويتم تحديد الضوابط الالزمة لتدفق المعل. وتحدد أجهزة الدولة السياسات واإلجراءات التي تنظم وتحمي عملية التطوير .وسوف تخضع إمكانية الوصول إلى األنظمة إلى الحاجة إلى المعرفة أو الحاجة إلى الحيازة. واالختبار واإلنتاج

يتم و. ويتم تفعيل الضوابط اإلضافية للوصول إلى المعلومات، بما في ذلك تسجيل األداء والتدقيق من أجل ضمان حماية المصدر الموثوق للبرمجيات .تحديد اإلجراءات آي تتحكم في إدارة مراجعة البرمجيات، بما في ذلك النشر

SS 5 الستغاللها في اإلنتاج فقط بعد إجراء االختبارات والفحوص ) أو المطورة/المكتسبة و(أن يتم إتاحة جميع التطبيقات .لمستهدفةالمالئمة لتوآيد الجودة واألمن لضمان التزام النظام بالمتطلبات األمنية ا

ويتضمن معيار القبول التوافق مع اختبارات توآيد الجودة . مع معيار القبول المحدد) أو المطورة/المكتسبة و(تكفل أجهزة الدولة توافق جميع التطبيقات .واألمن المالئمة

.ت المناسبة لتوآيد الجودة واألمناإلنتاج، ما لم تجتاز االختبارا نظام ينبغي أن تضع أجهزة الدولة إجراءات لضمان عدم نشر أي تطبيقات في

SS 6 أن تستخدم شرآات تطوير البرمجيات ممارسات البرمجة اآلمنة عند آتابة البرمجيات، بما في ذلك :

].Mitre[خطأ برمجي 25االلتزام بأفضل الممارسات، وعلى سبيل المثال أخطر -أ .جل تحقيق مهمتهاتصميم البرمجيات آي تستخدم أدنى مستويات التميز من أ -ب .رفض الوصول إلى المعلومات افتراضيا -ج .مستوى االستجابة الستدعاءات البرنامج فحص -د .لتحقق من سالمة جميع المدخالتا -ه

ويوفر آتيب تأمين المعلومات . ينبغي أن تكفل أجهزة الدولة تدريب شرآات التطوير على استخدام ممارسات البرمجة اآلمنة عند آتابة البرمجيات .الحكومية إرشادات حول بعض العوامل التي يتم دراستها لضمان أن يعكس أسلوب البرمجة أسلوب ترميز آمن

‐62‐

).OWASP(ينبغي االلتزام بإرشادات الترميز اآلمنة، مثل الخطوط اإلرشادية لمشروع أمن تطبيقات الويب المفتوحة

SS 7 والبد أن تتم مراجعة . الضعف قبل استخدامها في بيئة اإلنتاجأو اختبار البرمجيات للكشف عن نقاط /أن تتم مراجعة و .أو اختبار البرمجيات من قبل طرف مستقل وليس من قبل شرآة التطوير/و

. للكشف عن نقاط الضعف قبل استخدامها في بيئة اإلنتاج) أو المطورة/المكتسبة و(ينص آتيب تأمين المعلومات الحكومية على اختبار البرمجيات

المراجعات من قبل طرف آخر أو إدارة / ومع ذلك، يوصى بتنفيذ مثل هذه االختبارات. مكن استخدام اآلليات التالية لتحليل مدى قوة أمن البرمجياتوي .مستقلة لتوآيد الجودة داخل المنظمة

جرثومات الحاسوب أو ممارسات تساعد مراجعة البرمجيات في تحديد: مراجعة البرمجيات الخاصة بالخطوط اإلرشادية للترميز اآلمن - 1 .ويمكن أن يساعد ذلك في التخفيف من حدة نقاط الضعف في البرمجيات التي يمكن أن يستغلها المهاجمون. البرمجيات السيئة

.هناك بعض األدوات اآللية المتاحة بالسوق إلجراء مراجعة البرمجيات األمنية

تساعد مثل هذه االختبارات على تحديد نقاط الضعف األمنية في أي تطبيق : خالقيةالقرصنة األ/ اختبار االختراق/ تقييم نقاط الضعف - 2 .بالسياق العام للبنية األساسية

.يمكن أن تستفيد الشرآات من هذا االختبار في دعم تطبيقاتها والبنية األساسية ذات الصلة

فمن خالل أدوات مثل جداول قوس قزح، يكون من األسهل . ة الكافيةال فائدة من استخدام التشفير إذا لم يكن آمنا بالصور: اختبار التشفير - 3 .نسبيا فك التشفير

.على نفس القدر من األهمية التشفيرلمفتاح وتعد اإلدارة اآلمنة . ومن ثم، ينبغي أن تختبر الشرآات قوة التشفير المستخدم

SS 8 ذلك التراخيص وحقوق الطبع والنشر بجميع المتطلبات القانونية، بما في ) أو المطور/المكتسب و(أن يلتزم النظام .الخ...وحقوق الملكية الفكرية

.كينبغي أن تكفل أجهزة الدولة التزام جميع األنظمة بكل المتطلبات القانونية، مثل الترخيص وحقوق النشر وحقوق الملكية الفكرية وغير ذل

األجهزة في جميع / ة الدولة التزامها بمتطلبات ترخيص البرمجياتوتكفل أجهز. يتم ترخيص جميع البرمجيات واألجهزة على مدار دورة حياتها . وينبغي أن تكفل أجهزة الدولة عدم انتهاك حقوق الملكية الفكرية. األوقات

ة التي يمكن صياغتها السارية في ذلك الوقت وااللتزام أيضا بللوائح القانوني) القوانين واللوائح(تكفل أجهزة الدولة التزامها بجميع المتطلبات القانونية .في المستقبل

SS 9 بالصورة المالئمة) أو المطورة/المكتسبة و(أن يتم توثيق جميع األنظمة.

. باألسلوب المناسب) المطورة/ المكتسبة(األنظمة / ويجب أن تكفل أجهزة الدولة توثيق جميع البرمجيات. يعد التوثيق عملية رئيسية في أي نظام :يليويتضمن التوثيق ما

ويتم استخدامه على مدار عملية التطوير للتعرف . يعد توثيق المتطلبات وصفا لما تقوم به البرمجيات المحددة أو تحققه: وثيقة المتطلبات - 1 .ويتم استخدامه أيضا آاتفاق أو أساس لالتفاق على ما تحققه البرمجيات. على ما تقوم به البرمجيات

/ طلب تقديم العروض: وعلى سبيل المثال. أو المطور/التطبيق المكتسب و/ ات األولية لتصميم النظامسوف تنطوي هذه الوثيقة على المتطلب . طلب عروض األسعار أو أي وثيقة أخرى مماثلة

البرمجيات وتمثل الوثائق الهندسية المشتق الثالث من . يعد التوثيق الهندسي بمثابة وثيقة تصميم رفيعة المستوى: التصميم/ وثيقة الهندسة - 2وال تتضمن الوثائق الهندسية أي شيء محدد ). حيث تكون وثيقة التصميم هي المشتق الثاني، ووثائق البرمجيات هي المشتق األول(

وال تصف هذه الوثائق آيفية برمجة نظام محدد أو حتى سبب وجود ذلك النظام المحدد في شكله الحالي، بل تحدد . للبرمجيات ذاتها .وقد تقترح توجهات لتصميم المستوى األدنى. امة التي تشجع على وجود ذلك النظام فقطالمتطلبات الع

وتحدد تفاصيل العالقات وتدفق . ومنطقية ومادية نظريةتعد وثيقة التصميم وثيقة تفصيلية منخفضة المستوى تتضمن عناصر تصميم .ات الصلة بكيفية تنفيذ المتطلبات المحددة والتوافق معهاوتتولى توثيق االستراتيجيات ذ. البيانات بين الكيانات المتعددة

فالبد أن يكون هناك نص ما يصف الجوانب المتعددة لألسلوب المستهدف . عند إنشاء برمجيات، ال يكون الكود وحده آافيا: التوثيق التقني - 3ويمكن أن يتم استخدام هذا التوثيق، الذي يتضمن نظرة عامة حول توثيق تطبيقات البرمجيات أو منتجات البرمجيات المزمع . إلدارتها

‐63‐

وقد أصبح . قبل شرآات التطوير ومسؤولي االختبار والمستهلكين أو العمالء النهائيين أيضا باستخدام تطبيق البرمجيات هذاتوثيقها، من لة التوثيق التقني هاما، حيث يتزايد عدد العمليات الهامة التي تعمل بصورة آلية وقد يتغير المستوى األساسي والمتقدم للمعلومات ذات الص

. نية مع حدوث التغيرات الهندسيةعلى مدار فترة زم

ويمكن . يصف توثيق المستخدم آل ملمح من مالمح البرنامج ويساعد المستخدم في تحقيق هذه المالمح: توثيق المستخدم/ التوثيق الوظيفي - 4ون وثائق المستخدم محيرة ومن المهم للغاية أال تك. أن توفر وثيقة المستخدم الجيد مساعدات شاملة في عملية استكشاف األخطاء وتعديلها

وليس هناك حاجة ألن تكون وثائق المستخدم منظمة بصورة محددة؛ ولكن من المهم للغاية أن يتم فهرستها بصورة . وأن تكون مستحدثة . ويعد التوافق والبساطة ذات قيمة آبيرة للغاية أيضا. شاملة

تطوير البرمجيات في اختبار البرمجيات لضمان حسن تشغيلها / ن حيازةتتمثل الخطوة األخيرة في االنتهاء م: تقارير اختبار القبول - 5. ويمكن أن تجري أجهزة الدولة أنماطا مختلفة من االختبارات لضمان الموافقة النهائية. الخ...والتزامها بالتصميمات والمعايير المتفق عليه

ن التشغيل ومراجعات البرمجيات واختبارات االختراق من أجل ويمكن أن تتضمن هذه االختبارات اختبارات قبول المستخدمين لضمان حسويتم توثيق جميع هذه . اختبار االلتزام األمني وإجراء مراجعة وتدقيق لضمان االلتزام بسياسات تأمين المعلومات الحكومية وغير ذلك

.التقارير وتنفيذ بنود العمل التي تبرزها التقارير

ويتم توقيع . دد هذه الوثيقة وتوثق المخاطر أو نقاط الضعف القائمة بالنظام في وقت نشره في بيئة اإلنتاجتح: وثيقة المخاطر ونقاط الضعف - 6 .الوثيقة من قبل القائم على إدارة األعمال

SS 10 التي تخدم (صيصا، وفي حالة التطبيقات التجارية التطبيقات الحساسة المطورة خ اتبرمجيمصدر أن تتم إتاحة .، يتعين على أجهزة الدولة النظر في خيارات توفير ضمان لمصدر البرمجية)العمليات الحساسة/ التطبيقات

من أجل إجراء داخل المؤسسة أو من خالل أي طرف آخر التطبيقات الحساسة المطورة خصيصا برمجياتمصدر ينبغي أن تكفل أجهزة الدولة إتاحة .مراجعات البرمجيات وتأمين ذلك المصدر بالصورة المالئمة لحماية سريته وسالمته وإتاحته

مع التطبيقات والعمليات الحساسية، يتعين على أجهزة الدولة النظر ) التي يتم تعديلها وفقا للمتطلبات(وفي حالة التطبيقات التجارية الجاهزة لالستخدام إبرامها بين أجهزة الدولة ومطور البرمجيات، حيث يوافق المطور وتعد اتفاقية الضمان بمثابة اتفاقية يتم . في خيارات توفير ضمان لمصدر البرمجية

.على إيداع مصدر البرمجية المستحدث لدى طرف آخر يقوم بدور الوصي

الشراء / في أسوأ السيناريوهات، حيث ال يكون مطور البرمجيات في وضع يسمح له باالحتفاظ بالبرمجيات ألسباب مثل اإلفالس أو عمليات االندماجرطة الطريق أو غير ذلك، يحق ألجهزة الدولة شراء مصدر البرمجية من الوصي حتى تتمكن من مواصلة الحفاظ اقبل شرآات أخرى أو تغيير خمن

. على تطبيقاتها الحساسة

SS 11 أن يتم اعتماد التطبيقات قبل تنفيذها وفقا لما محدد بالفصلB-13 االعتماد"بعنوان] "AC.[

ومع ذلك، يمكن أن تؤجل أجهزة الدولة . ينبغي أن تكفل أجهزة الدولة اعتماد جميع تطبيقات البرمجيات الجديدة قبل تنفيذها باعتبارها برمجيات إنتاجتولى أيضا إخطار وت. مدير إدارة المراجعة والتدقيق الداخلي/ عملية االعتماد لضمان أن تتماشى مع خارطة طريقها بموجب موافقة رئيس أجهزة الدولة

. جهاز المراجعة والتدقيق بقطر بذلك

تطبيقات البرمجيات –السياسة والضوابط الرئيسية 3- 6


SS 12 المعنيةأن يتم توثيق جميع أهداف وآليات أمن الخوادم ومحطات العمل ضمن خطة أمن النظام.

. وتحديد وتوثيق الضوابط األمنية ذات الصلة) الخوادم، محطة العمل، البرمجيات ذات الصلة(تصنيف نظام المعلومات ينبغي أن تكفل أجهزة الدولة . ويتم دعم جميع األجهزة وفقا لتصنيفها وبمقتضى الضوابط األمنية المتفق عليها والمذآورة ضن خطة أمن النظام المعنية

SS 13 تغطي ما يلي مؤمنة وموحدة العمل لبيئة عمل حاسبات نقاطأن تخضع:

.إلغاء البرمجيات غير الالزمة .أ .تعطيل أسلوب العمل غير المستغل أو غير المستحب في البرمجيات وأنظمة التشغيل التي تم ترآيبها .ب مستخدمي النظام والبرامج تطبيق ضوابط الوصول إلى المعلومات على البنود ذات الصلة لقصر إمكانية وصول .ج

.على الحد األدنى الالزم ألداء المهام والواجبات

‐64‐

.تنصيب الجدران النارية القائمة على البرمجيات والتي تحد من االتصاالت الصادرة والواردة من وإلى الشبكة .د .تهيئة تسجيل األداء عن بعد أو نقل سجالت األداء المحلية إلى خادم مرآزي .ه

.المعلومات الحكومية على الضوابط األساسية التي يتم وضعها في االعتبار أثناء دعم بيئة العمل القياسية ينص آتيب تأمين

SS 14 أن يتم الحد من نقاط الضعف المحتملة في بيئة العمل القياسية المدعمة وفي األنظمة عن طريق:

.إلغاء عملية تبادل الملفات غير الالزمة .أ .البرمجياتضمان تحديث عملية تعديل .ب .المخرجات غير الضرورية/ تعطيل إمكانية الوصول إلى أسلوب عمل المدخالت .ج .إلغاء الحسابات غير المستخدمة .د .إعادة تسمية الحسابات االفتراضية .ه .استبدال آلمات المرور االفتراضية .و

ويتم . ينص آتيب تأمين المعلومات الحكومية على الضوابط األساسية التي يتم وضعها في االعتبار لضمان التخفيف من حدة نقاط الضعف في النظام . دمج هذه الضوابط ضمن بيئة العمل القياسية المنتشرة بأجهزة الدولة لتحقيق الحد األدنى من الحماية األمنية

SS 15 المخاطر المرتفعة، مثل الويب والبريد اإللكتروني والملفات وخوادم االتصاالت الهاتفية الخاضعة الخوادم ذات :لبروتوآول اإلنترنت وغيرها، التي تتصل بالشبكات العامة غير الخاضعة للرقابة

.بصورة مستقلة عملتالفصل الوظيفي الفعال بين الخوادم بما يسمح لتلك الخوادم بأن .أ .الت بين الخوادم بكل من الشبكة ومستوى نظام الملفات، حسب االقتضاءالحد من االتصا .ب .قصر وصول مستخدمي النظام والبرامج على الحد األدنى الالزم ألداء المهام والواجبات .ج

وعلى (فعة في األساس أو تخضع لنطاقات المخاطر المرت/ينص آتيب تأمين المعلومات الحكومية على أن تحظى الخوادم التي تدير الخدمات الهامة وللضوابط األمنية اإلضافية القائمة من أجل التخفيف من مخاطر اإلضرار ) خوادم الويب والبريد اإللكتروني في المناطق منزوعة السالح: سبيل المثال

. بالخوادم األخرى عند تعرضها لتلك المخاطر

SS 16 جهزة الدولة وتلك الخوادم التي تتعرض لمخاطر آبيرةفحص سالمة جميع الخوادم التي تحظى وظائفها بأهمية لدى أ . .وينبغي متى أمكن أن يتم إجراء هذه الفحوص من قبل بيئة موثوقة بدال من النظام ذاته

أو تلك /ينص آتيب تأمين المعلومات الحكومية على تنفيذ الضوابط من أجل متابعة سالمة الخوادم التي تحظى وظائفها بأهمية لدى أجهزة الدولة و . الخوادم التي تتعرض لمخاطر آبيرة

ل للخوادم التي يتم متابعة سالمتها أو ، ويفضل أن يكون نطاق آمن يحظى بمستوى أمني مماثهذه الفحوص من قبل بيئة موثوق بهاويوصى بإجراء ويوصى أن تخضع عملية المتابعة إلدارة مرآزية لضمان فاعلية التدقيق والمتابعة بدال من خضوعها لوآالء مستقلين مسؤولين . مستوى أمني أعلى

. عن آل خادم

SS 17 السالمةتخزين معلومات السالمة بصورة آمنة بعيدا عن الخادم بأسلوب يحافظ على.

) قواعد االختزال وغيرها: على سبيل المثال(تخزين معلومات السالمة ، ينص آتيب تأمين المعلومات الحكومية على SS17باإلضافة إلى البند السالمة عند ويتم تصنيف معلومات. ويوصى بتخزين معلومات السالمة في خادم اإلدارة الكائن في بيئة آمنة وموثوقة. بصورة آمنة بعيدا عن الخادم

.ويتم تأمينها وفقا لذلك I3المستوى

SS 18 تحديث معلومات السالمة عقب آل تغيير قانوني في النظام.

، ينبغي أن يكفل مديرو أمن النظام تحديث المعلومات في جميع األوقات من أجل فحص ومتابعة السالمة SS18و SS17باإلضافة إلى البندين .بفاعلية

إدارة "بعنوان " ب"بالفصل CM5دير أمن المعلومات أن يتضمن توثيق النظام المستحدث تحديث معلومات السالمة آجزء من البند ينبغي أن يكفل م . وسوف يؤدي ذلك إلى منع ظهور إيجابيات زائفة حينما يخضع النظام لتغيير قانوني". التغيير

‐65‐

SS 19 مقارنة معلومات السالمة المختزنة بمعلومات السالمة الحالية لتحديد ما إذا آان قد حدث تسوية أو تعديل قانوني . ولكنه غير مكتمل بالصورة الصحيحة، آجزء من جدول التدقيق المستمر بأجهزة الدولة

. دول التدقيق بأجهزة الدولة فحص سالمة الخوادم ضمن نطاقه، ينص آتيب تأمين المعلومات الحكومية على أن يتضمن جSS17باإلضافة إلى البند

لتحديد ما إذا آان قد حدث تسوية أو تعديل قانوني ولكنه غير مكتمل بالنظام يقارن المدقق معلومات السالمة الحالية بمعلومات السالمة المختزنة .بصورة صحيحة

. ة بمثابة ضوابط وأدوات أمنية فعالةيتم إجراء الفحص على فترات منتظمة حتى تصبح فحوص السالم

SS 20 تسوية أي تعديالت يتم الكشف عنها وفقا إلجراءات إدارة الحوادث األمنية لتكنولوجيا االتصاالت والمعلومات بأجهزة .الدولة

وينبغي أن تكفل أجهزة الدولة التعامل مع الكشف عن أي تعديل وفقا إلجراءات . يشير الكشف عن أي تعديل إلى ارتفاع إمكانية تعرض النظام للمخاطر . إدارة الحوادث الخاصة بها

SS 21 إمكانية تفعيل خاصية وفي حالة . االتصال بأية أجهزة أخرىأن تتم مراجعة جميع التطبيقات لتحديد ما إذا آانت تحاولبتفعيل ة اتخاذ قرار عملي لتحديد ما إذا آان ينبغي السماح ، يتعين على أجهزة الدوللبعض البرمجيات اآلليتصال اإل

.، بما في ذلك تقييم المخاطر التي ينطوي عليها ذلك القرارهذه الخاصية

وينبغي أن يراجع مديرو أمن المعلومات . ونقاط الضعف، تحليل سلوك التطبيقيتولى مديرو أمن المعلومات، آجزء من اختبارات مراجعة البرمجيات . تصميم تدفق المعلومات بالتطبيق والمكونات المتعددة ألي بنية أساسية يتصل بها ونمط تلك الوصالت

شى الوصالت الخاصة بالتطبيقات بالضوابط ويكفل هؤالء أن تتما. ينبغي أن يكفل مديرو أمن المعلومات التزام المنتجات النهائية بوثيقة التصميم .C3استخدام القنوات اآلمنة للمعلومات المصنفة عند المستوى : وعلى سبيل المثال. المحددة لتصنيفها

. وعالوة على ذلك، يكفل مديرو أمن المعلومات أن تتماشى منافذ االتصاالت التي يستخدمها التطبيق مع سياسة شبكة أجهزة الدولة

ير أمن المعلومات عملية تقييم المخاطر من أجل تقييم التهديدات والمخاطر الناجمة عن السماح بتلك الوصالت؛ ويمثل ذلك أساسا لقيام يجري مد . المسؤولين عن إدارة العمل بتأييد هذه الوصلة أو إلغائها

تطبيقات الويب –السياسة والضوابط الرئيسية 4- 6

: أن تكفل ما يلي أجهزة الدولةعين على للوفاء بمتطلبات هذه السياسة، يت

SS 22 وينبغي أن تلتزم أجهزة الدولة بالوثائق . الفعال بخوادم الويب الخاصة بها ألسباب أمنيةأن تتم مراجعة آل المحتوى .المنصوص عليها بدليل مشروع أمن تطبيقات الويب المفتوحة من أجل بناء تطبيقات وخدمات ويب آمنة

وتيسر من نشر ) thin client(التطوير التطبيقات القائمة على الويب إلى حد آبير، حيث تسمح باستخدام برامج الحاسوب المعيلة تفضل شرآات التطبيقات بين عدد آبير من المستخدمين دون الحاجة إلى تنصيب برامج مستقلة على آل جهاز حاسوب وتحظى بمرونة تسمح بوجود أجهزة حاسوب

. د أنظمة معالجة داخلية متنوعةمتسقة وحرية وجو

وقد أثبتت سنوات طويلة من البحوث وجود العديد من نقاط الضعف بخوادم وبروتوآوالت . ومع ذلك، تثير هذه السهولة الكثير من المخاوف األمنية .الويب، وبالتالي، تطبيقات الويب

وينص . سة العناية الواجبة في فحص ومراجعة المحتوى الفعال بخوادم الويبينص آتيب تأمين المعلومات الحكومية على أن تكفل أجهزة الدولة ممارويوصي الكتيب باستخدام دليل مشروع أمن تطبيقات الويب . آتيب تأمين المعلومات الحكومية على التزام أجهزة الدولة بممارسات البرمجة اآلمنة

.المفتوحة من أجل بناء تطبيقات وخدمات ويب آمنة

SS 23 خفض االتصال والوصول بين آل من مكونات تطبيقات الويب إلى الحد األدنى أن يتم.

ينص آتيب تأمين المعلومات الحكومية على خفض االتصال والوصول بين آل من مكونات تطبيقات الويب واألطراف الرئيسية المتعددة إلى الحد .لمخاطر ذات الصلة بالوصالت المفتوحةويؤدي ذلك إلى الحد من ا". الحاجة إلى المعرفة"األدنى على أساس

‐66‐

SS 24 أن تتم حماية المعلومات الشخصية والبيانات الحساسة أثناء التخزين والنقل باستخدام ضوابط التشفير المالئمة.

سة التي يتم جمعها من ينص آتيب تأمين المعلومات الحكومية على أن تضع أجهزة الدولة ضوابط آافية لتأمين المعلومات الشخصية والبيانات الحسا .وينبغي أن تتم حماية البيانات أثناء النقل والتخزين. خالل بوابات الويب

SS 25 أن تستخدم المواقع الحكومية اإللكترونية التي ينبغي توثيقها شهاداتSSL التي يوفرها مقدم خدمة الشهادات الذي .يحظى بترخيص داخل دولة قطر

التي يوفرها مقدم خدمة SSLشهادات الحكومية اإللكترونية التي ينبغي توثيقها بواباتأن تستخدم الينص آتيب تأمين المعلومات الحكومية على

.هذه الشهادات ، تصدر وزارة الداخلية مثلG‐PKIولحين وجود .الشهادات الذي يحظى بترخيص داخل دولة قطر

قواعد البيانات –السياسة والضوابط الرئيسية 5- 6


SS 26 أن ترتبط جميع المعلومات التي يتم تخزينها داخل أي قاعدة بيانات بتصنيف مالئم إذا آانت تلك المعلومات:

يمكن تصديرها إلى نظام مختلف أو - أ .معالجة مختلفةأو متطلبات /تتضمن تصنيفات مختلفة و - ب

ى نظام آخر ينبغي أن تكفل أجهزة الدولة تصنيف جميع المعلومات داخل قاعدة البيانات ووسمها بالصورة المالئمة، وخاصة إذا أمكن تصدير البيانات إل .أو آانت تلك البيانات تتضمن تصنيفات متعددة

SS 27 وتداول يكفي لتحديد متطلبات معالجة والوضوح تطبيق التصنيفات بمستوى من التفاصيلينبغي أن تكفل أجهزة الدولة .ة بياناتأي معلومات يتم استرجاعها أو تصديرها من أي قاعد

ى من التفاصيل، يكفي أن يتم ينص آتيب تأمين المعلومات الحكومية على أنه عند تطبيق تصنيف قاعدة البيانات بمستو، SS26باإلضافة إلى البند .تحديد متطلبات معالجة أي معلومات يتم استرجاعها أو تصديرها من أي قاعدة بيانات

وال . ، حيث يتم تخزين آميات آبيرة من المعلومات والربط بينها)وغيرها ERPو RDBMS(يسري ذلك بصفة خاصة على قواعد البيانات الكبرى ومن الضروري أن يتم تصنيف المعلومات بصورة عملية بمستوى من التفاصيل يكفل ضوابط أمنية . C-I-Aصنيف تحظى جميع المعلومات بنفس الت

. مناسبة

SS 28 أن يتم حماية ملفات قواعد البيانات من الوصول إليها بما يتجاوز ضوابط الوصول الطبيعية لقاعدة البيانات.

ويجب أن تكفل أجهزة . وتحظى أي قاعدة بيانات بصفة عامة بضوابط الوصول الخاصة بها. ينبغي أن تكفل أجهزة الدولة تأمينا مالئما لقواعد البيانات . الدولة عدم إمكانية تجاوز هذه الضوابط

ويتم تدقيق الوصول إلى قواعد البيانات . ظام التشغيلن) جوهر(ويتم تحقيق ذلك من خالل منع الوصول إلى ملفات قاعدة البيانات باستخدام وظائف .ومراجعة السجالت على فترات منتظمة

SS 29 أن توفر قواعد البيانات أسلوب العمل بما يسمح بتدقيق إجراءات مستخدمي النظام.

ويتضمن . مستخدمي النظامتحرآات ويمكن أن يتم تدقيق . التدقيق التفصيلية أعمالالبيانات ومات الحكومية على أن تدعم قواعد ينص آتيب تأمين المعل .ذلك الوظائف اإلدارة، مثل تأسيس قاعدة البيانات وحذفها وتعديل الجداول وتعديل حقوق المستخدمين وغير ذلك

SS 30 ال يستطيع مستخدمو النظام، ممن ليس لديهم امتياز آافي لالطالع على مضمون قاعدة البيانات، رؤية البيانات وفي حالة عدم القدرة على تنقية نتائج . الوصفية ذات الصلة ضمن قائمة نتائج البحث الصادرة عن محرك البحث

البحث في قاعدة البيانات بالصورة المالئمة، يتعين على أجهزة الدولة ضمان سالمة جميع نتائج البحث من أجل .الوفاء بالحد األدنى لمتطلبات األمن لدى مستخدمي النظام

.ينبغي أن تكفل أجهزة الدولة عدم إمكانية التالعب بتصنيف المعلومات وضوابط الوصول داخل نظام قاعدة البيانات

‐67‐

وإذا ما تضمنت قاعدة البيانات معلومات مصنفة ". الحاجة إلى الحيازة"أو " الحاجة إلى المعرفة"ويخضع الوصول إلى المعلومات، في األساس، لقاعدة . ة، يتم تصنيف البيانات على مستويات تفصيلية ويتم مراقبة الوصول إلى المعلومات على مستوى تفصيليعند مستويات مختلف

.يكفل ذلك عدم وصول المستخدمين إلى المعلومات التي ال يتم السماح لهم باالطالع عليها

يرها، حيث يمكن تنفيذ هذه العملية من خالل مستوى ومع ذلك، يمكن تجاوز هذه الضوابط من خالل استخدام أنظمة البحث والمحرآات المؤقتة وغ .ويجب أن تكفل أجهزة الدولة وجود ضوابط لمنع سوء االستخدام، وخاصة من قبل مستخدمي النظام. امتياز مختلف

يود على مستوى البيانات ينبغي أن تكفل أجهزة الدولة أيضا أن يحظى مديرو قواعد البيانات بحقوق آافية لتنفيذ هذه المسؤوليات، وأن يتم فرض ق .الوصفية في ذات الوقت

ويجب أن تخضع امتيازات اإلدارة . أو أآثر، بعناية خاصة C3سوف تحظى قواعد البيانات الحساسة، أي التي تتضمن بيانات مصنفة عند المستوى . لتقسيم آلمات المرور ومبدأ الرقابة من قبل شخصين

‐68‐

]SU[النظام إرشادات حول أمن استخدام - 7




SU 1 التي يتم تزويدهم بها ) البنية األساسية/ األنظمة(أن يتولى مستخدمو األنظمة المسؤولية عن األصول المعلوماتيةويقوم مستخدمو النظام بمعالجة األصول المعلوماتية من خالل العناية الواجبة وإدارتها . لتنفيذ مسؤولياتهم الرسمية

.أجهزة الدولة/ بما يتماشى مع سياسة االستخدام المقبول لدى المورد

باإلضافة إلى ) البنية األساسية/ األنظمة(المعلوماتية ينص آتيب تأمين المعلومات الحكومية على أن يتولى مستخدمو األنظمة المسؤولية عن األصول وينبغي على مستخدمي األنظمة ممارسة العناية الواجبة لضمان أال يكونوا . إمكانية الوصول الالزم التي يتم تزويدهم بها لتنفيذ مسؤولياتهم الرسمية

يبذلوا العناية الواجبة من أجل معالجة األصول وإدارتها وفقا للخطوط ويجب أن . سببا مباشرا أو غير مباشر في إخفاق النظام أو تعرضه للمخاطر .سياسات االستخدام المقبول/ اإلرشادية المحددة

SU 2 أن يمارس مستخدمو النظام العناية الواجبة عند الدخول إلى الويب وتصفحه ويلتزم هؤالء بمبادئ وإرشادات أجهزةوينبغي أن تنظر أجهزة الدولة في ما إذا آان استخدام المنتديات والشبكات . الدولة بشأن الوصول إلى شبكة اإلنترنت

.االجتماعية وغيرها مسموحا أو غير مسموح به

ويمكن السماح . يتم توعية مستخدمي النظام باقتصار الموارد التي توفرها أجهزة الدولة، بما في ذلك الوصول إلى شبكة اإلنترنت، على أغراض العمل . الشخصي، ولكنه يخضع لسياسات أجهزة الدولة باالستخدام

وبناًء على تدريب . تحدد أجهزة الدولة، من جانبها، السياسات واإلرشادات الخاصة باالستخدام المقبول للويب وموارده بما يتماشى مع متطلبات عملهاائمة على الويب، مثل البريد اإللكتروني القائم على الويب والدردشة تقييم المخاطر، تحدد أجهزة الدولة مدى مالءمة استخدام أساليب العمل المتعددة الق

. والشبكات االجتماعية وغيرها

SU 3 أن تتم حماية أصول تكنولوجيا االتصاالت والمعلومات من المخاطر القائمة على الويب عن طريق تنفيذ التدابير التي .ع اإللكترونية غير ذات الصلة بالنشاطسوف تحول دون تنزيل البرمجيات والمضمون الفعال والمواق

.ينبغي أن تكفل أجهزة الدولة وجود ضوابط أمنية لحماية أصول تكنولوجيا االتصاالت والمعلومات من المخاطر القائمة على الويب

دون تنزيل البرامج من الويب ويوصي آتيب تأمين المعلومات الحكومية بإمكانية التخفيف من حدة المخاطر من خالل ضمان الضوابط التي تحول وقد وجد أن المواقع ذات الصلة بالشبكات االجتماعية والتنزيالت المجانية والموسيقى . والمضمون الفعال والمواقع اإللكترونية غير ذات الصلة بالنشاط

.والوصالت اإللكترونية هي المصدر األآبر النتشار المحتوى الضار

.أعاله SU1التوصيات السابقة بما يتماشى مع الضوابط المحددة بالبند سوف تتولى أجهزة الدولة تنفيذ

SU 4 وبوابات التنقية اآلمنة وفقا لما هو محدد بالفصل البديلةالخوادم أن يتم توفير إمكانية الوصول إلى الويب من خاللB-4 بةأمن البوا"بعنوان] "GS.[

B-4وبوابات التنقية اآلمنة وفقا لما هو محدد بالفصل البديلةالخوادم ينص آتيب تأمين المعلومات الحكومية على إمكانية الوصول إلى الويب من خالل أن تتم متابعتها ومراقبتها ويكفل ذلك أن تتم إدارة سياسة الوصول إلى الويب الخاص بأجهزة الدولة بصورة مرآزية و ].GS" [أمن البوابة"بعنوان

.بصورة فعالة

SU 5 أن يكون العاملون على دراية بأنماط المضمون المصرح به والمحظور داخل أجهزة الدولة وفقا لما هو محدد بالفصلB-4 إرشادات حول أمن البوابة"بعنوان] "GS .[ وينبغي أن تنظر أجهزة الدولة في إيجاد حل فعال لمتابعة مضمون

.القنوات المشفرة

وينبغي أن تتأآد أجهزة الدولة من أن دورات التوعية األمنية . تكفل أجهزة الدولة توعية العاملين باالستخدام المقبول لموارد الويب التي يتم توفيرها لهم . التي تنظمها ترآز على االستخدام الفعال للويب وموارده

‐69‐

وينبغي أن تنظر أجهزة الدولة في إيجاد حل فعال . التزام العاملين بسياسة الويبوعالوة على ذلك، يتم متابعة الوصول إلى موارد الويب لضمان . ويتم إجراء تقييم شامل للمخاطر من أجل المقارنة بين مزايا وعيوب وفاعلية مثل هذا الحل. اآلمنة/ لمتابعة مواقع الويب المشفرة

SU 6 وإدراج عالمات التصنيف الالزمة اعتمادا بالحيطة والحذر المطلوبين أن يقوم العاملون باستخدام البريد اإللكتروني ].IAP‐GOV‐DCLS[المرفقات وفقا لسياسة تصنيف المعلومات الحكومية / على المضمون

ممارسة بون، من جانبهم، العامليقوم وينبغي أن . ينبغي أن تتولى أجهزة الدولة توعية العاملين بها حول االستخدام المقبول لخدمات البريد اإللكترونيويمكن السماح باالستخدام الشخصي بما يتماشى مع سياسة االستخدام . العناية الواجبة أثناء استخدام خدمات البريد اإللكتروني المتاحة ألغراض العمل

. المقبول بأجهزة الدولة

ذات ينبغي أن تنظر أجهزة الدولة في فرض قيود على استخدام هوية البريد اإللكتروني الحكومي الرسمي في المنتديات العامة ومواقع الويب غير .الصلة بالعمل

.مرفقات البريد اإللكتروني/ تصنيف ووسم البريد اإللكتروني بالصورة المالئمة بناًء على مضمونبالعاملون يقوم ينبغي أن

SU 7 أن يتم اتخاذ التدابير المالئمة لحماية البريد اإللكتروني من المخاطر المحتملة آالفيروسات وفيروس طروادة والرسائل . (Social Engineering)التطفلية والتزوير والهندسة االجتماعية

قيام أجهزة الدولة بتطبيق الضوابط األمنية المناسبة لحماية البريد اإللكتروني من المخاطر المحتملة ينص آتيب تأمين المعلومات الحكومية على .وغير ذلك (Social Engineering)آالفيروسات وفيروس طروادة والرسائل التطفلية والتزوير والهندسة االجتماعية

.ية للعاملين بها حول المخاطر المحتملة لخدمات البريد اإللكترونيعالتي تنظمها التوينبغي أن تكفل أجهزة الدولة أن توفر دورات التوعية األمنية

. يوصي آتيب تأمين المعلومات الحكومية باستخدام بوابات البريد اإللكتروني في تنقية وإدارة البريد اإللكتروني ومضمونه

SU 8 البريد اإللكتروني العامة القائمة على الويب في إرسال أن يكون العاملون على دراية بعدم السماح باستخدام خدمات .واستقبال البريد اإللكتروني من أنظمة أجهزة الدولة

إن . أو أي خدمات بريد إلكتروني أخرى ال ترتبط بأجهزة الدولة/جهزة الدولة حظر استخدام البريد اإللكتروني القائم على الويب وينبغي أن تكفل أ .آقناة الختالس المعلوماتالختراق النظام بوابة خلفية إلى النظام ال يمكن متابعتها بفاعلية ويمكن استخدامها قد توفر خدمات البريد اإللكتروني

وينبغي أن تتم توعية العاملين بذلك من خالل دورات التوعية األمنية . تكفل أجهزة الدولة تحقيق ذلك من خالل سياسة االستخدام المقبول الخاصة بها .الفعالة

. ذلك، ينبغي أن تدرس أجهزة الدولة الضوابط التقنية الفعالة التي تساعد في تطبيق هذه السياسةوباإلضافة إلى

SU 9 أن يكون العاملون على وعي بضرورة إرسال رسائل البريد اإللكتروني المستخدمة في تبادل المعلومات السرية إلى .المستلمين المذآورين وليس إلى مجموعة أو قائمة توزيع

وقد يكون من الممكن أن تتضمن . آتيب تأمين المعلومات الحكومية إرشادات لمنع إرسال رسائل البريد اإللكتروني السرية إلى عناوين خاطئةيوفر ون مستقبلين آخرين بخالف المستقبلين المستهدف إرسال البريد اإللكتروني إليهم؛ ومن ثم، يك) شخصية أو خاصة بأجهزة الدولة(قائمة توزيع محددة

.من األفضل إرسال رسائل البريد اإللكتروني السرية إلى أشخاص بعينهم فقط

. تقوم أجهزة الدولة بتوعية المستخدمين بذلك من خالل برامج التوعية األمنية الخاصة بها

SU 10 ى حساسية أن يكون العاملون على وعي بأن استخدام إعادة التوجيه التلقائية لرسائل البريد اإللكتروني تعتمد علوينبغي أال يتم إعادة توجيه رسائل البريد اإللكتروني التي تحمل . رسائل البريد اإللكتروني العادية الخاصة بهم

.أو أآثر بصورة تلقائية إلى خارج أنظمة أجهزة الدولة C2معلومات مصنفة عند المستوى

. بريد اإللكتروني السرية باستخدام إعادة التوجيه التلقائييوفر آتيب تأمين المعلومات الحكومية إرشادات لمنع تسرب رسائل ال

‐70‐

ومع ذلك، . مليمكن السماح بإعادة التوجيه التلقائي داخل أجهزة الدولة آما هو الحال عند قيام سكرتير بفرز البريد اإللكتروني الخاص برئيسه في العلكتروني إلى بدالء مؤقتين أو زمالء يقومون بالعمل باإلنابة خالل فترة التغيب عن ينصح بتوخي قدر من الحذر عند إعادة التوجيه التلقائي للبريد اإل

. العمل

. أو أآثر بصورة تلقائية إلى عنوان بريد إلكتروني خارج نطاق أجهزة الدولة C2ال يتم إعادة توجيه رسائل البريد اإللكتروني المصنفة عند المستوى مدير أمن / تصريح باستخدام الحسابات الشخصية من قبل المسؤول المعني عن إدارة العمل(ية وموافقات ويكفل المستخدم وجود ضوابط أمنية آاف

. أو أآثر خارج نظام البريد اإللكتروني الخاص بأجهزة الدولة C2قبل إعادة توجيه أي بريد إلكتروني مصنف عند المستوى ) المعلومات

.من خالل برامج التوعية األمنية الخاصة بهاتقوم أجهزة الدولة بتوعية المستخدمين بذلك

SU 11 أن تكفل أجهزة الدولة عند التعامل مع األطراف الخارجية أن يتفهم المستقبلون أو المصدرون الخارجيون ويوافقون ].IE" [تبادل المعلومات"بعنوان B-3على استخدام البيانات المصنفة وفقا لما هو محدد بالفصل

. المعلومات الحكومية إرشادات تكفل وجود الضوابط األمنية وإجراءات معالجة المعلومات ذات الصلة لدى الطرف الخارجي يوفر آتيب تأمينلالزمة ويوصي آتيب تأمين المعلومات الحكومية بوجود اتفاقيات السرية وعدم اإلفصاح ذات الصلة لدى األطراف الخارجية وبإجراء تقييم المخاطر ا

. نات مع األطراف الخارجيةقبل تبادل البيا

‐71‐

]MS[إرشادات حول أمن الوسائط - 8


تصنيف ووسم الوسائط –إرشادات حول السياسة والضوابط الرئيسية 2- 8


MS 1 الوسائط عند مستوى تصنيف المعلومات التي تشتمل عليها الوسائط أو أن يتم تصنيف األجهزة التي تحتوي على .أعلى من هذا المستوى

وتعد الوسائط التي تحتوي على خطط . وتستمد قيمتها من خالل المعلومات المختزنة عليها. ال تحظى األجهزة أو الوسائط بأي قيمة بصفة عامة .وأهمية من الوسائط المماثلة التي تحتوي على نسخ من األلعاب وتوقعات مالية رئيسية ألي شرآة وسائط أآثر قيمة

. ىينبغي أن تكفل أجهزة الدولة تصنيف الوسائط عند مستوى تصنيف المعلومات التي تشتمل أو قد تشتمل عليها الوسائط أو أعلى من هذا المستو .ويهدف ذلك إلى ضمان تخصيص الضوابط المناسبة من أجل الحفاظ على الوسائط

MS 2 أن يتم تصنيف الوسائط غير المعرضة للتأثر وفقا ألعلى مستوى تصنيف تحظى به المعلومات المختزنة بها.

.، إذا آانت الوسائط تتضمن معلومات مصنفة عند مستويات متعددة، ينبغي أن يتم تصنيف الوسائط عند أعلى مستوىMS1باإلضافة إلى البند،

والثالثة عند C2والثانية عند المستوى C1يمكن تصنيف الوثيقة األولى عند المستوى . ثالثة وثائق USBل وعلى سبيل المثال، قد يتضمن مشغ، الذي يعد أعلى تصنيف للمعلومات C2عند المستوى ) USBمشغل (وفي هذا السيناريو، سوف يكون التصنيف الفعال للوسائط . Coالمستوى .المختزنة به

MS 3 على مصدر طاقة مستمرة ضمن أعلى مستوى لتصنيف المعلومات تعتمدأن يتم تصنيف الوسائط سريعة التأثر التيويمكن التعامل مع الوسائط سريعة التأثر باعتبارها معلومات مصنفة عند . ية توصيل الطاقةالمختزنة بها أثناء عمل

.بمجرد فصل الطاقة عن الوسائط C1المستوى

، يهدف آتيب تأمين المعلومات الحكومية إلى توضيح أنه في حالة الوسائط سريعة التأثر، قد تفقد الوسائط MS2و MS1البندين باإلضافة إلى .تصنيفها عقب فقدان الطاقة، حيث أنها لم تعد تحتفظ بأي معلومات

.C1ها مصنفة عند المستوى ينبغي أن يتم التعامل مع الوسائط سريعة التأثر في حالة عدم االتصال بالطاقة باعتبار

يتضمن هذا . C2وعلى سبيل المثال، افترض أن هناك جهاز حاسوب محمول يتم استخدامه في تخزين ومعالجة المعلومات المصنفة عند المستوى .للتأثرالحاسوب المحمول نمطين من أنماط الوسائط، هما ذاآرة الوصول العشوائية سريعة التأثر واألقراص الصلبة غير المعرضة

وبمجرد فصل . C2طالما أن الحاسوب المحمول متصل بالطاقة، سوف يتم تصنيف القرص الصلب وذاآرة الوصول العشوائية عند المستوى ، بينما يتم تصنيف ذلكرة الوصول العشوائية عند C2الحاسوب المحمول عن الطاقة، سوف يحتفظ محرك األقراص الصلبة بمستوى التصنيف

. C1المستوى

MS 4 أن يتم إعادة تصنيف وسائط التخزين إذا:

.آانت المعلومات المنقولة إلى تلك الوسائط تحظى بمستوى تصنيف مرتفع .أ .آانت المعلومات التي تتضمنها تلك الوسائط تخضع إلمكانية تطوير مستوى التصنيف .ب

وعية المستخدمين بأهمية وإجراءات تصنيف المعلومات والوسائط ويتم ت. ينبغي أن تضع أجهزة الدولة إجراءات لضمان الحفاظ على تحديث التصنيف . ذات الصلة

.ينص آتيب تأمين المعلومات الحكومية على اإلرشادات التي يتم استخدامها لتحديد ما إذا آانت الوسائط بحاجة إلى إعادة التصنيف

‐72‐

MS 5 يمكن إلغاء تصنيف الوسائط التي تحمل معلومات مصنفة عقب:

تصنيف المعلومات المختزنة على الوسائط من قبل المنشئإلغاء .أ ".تطهير الوسائط –السياسة والضوابط الرئيسية "بعنوان C-8-3تطهير الوسائط وفقا للفصل رقم .ب

ارتفاع أو وتكفل أجهزة الدولة االلتزام باإلجراءات بمجرد . ينبغي أن تضع أجهزة الدولة إجراءات لضمان الحفاظ على تحديث تصنيف الوسائط .انخفاض التصنيف أيضا

كاليف رغم أن الحفاظ على مستوى تصنيف أعلى للوسائط قد ال يستتبع وجود نقاط ضعف أمنية من وجهة النظر األمنية، إال أنه قد يستتبع ارتفاع ت .الصيانة

.يتم توعية المستخدمين بأهمية وإجراءات إلغاء تصنيف المعلومات والوسائط ذات الصلة

.يب تأمين المعلومات الحكومية على اإلرشادات التي يتم استخدامها لتحديد ما إذا آانت الوسائط بحاجة إلى إلغاء التصنيفينص آت

MS 6 في حالة عدم إمكانية تطهير وسائط التخزين، ال يمكن إلغاء تصنيفها ويتعين تدميرها.

السياسة والضوابط الرئيسية "بعنوان C8-3ينبغي أن تكفل أجهزة الدولة تطهير وسائط التخزين التي تتضمن معلومات مصنفة بما يتماشى مع الفصل . معلوماتوفي حالة عدم إمكانية تطهير المعلومات، ينبغي أن يتم تدمير الوسائط خشية أن تؤدي إلى تسرب ال. قبل إلغاء تصنيفها" تطهير الوسائط –

MS 7 وينبغي أن تحقق أجهزة الدولة ذلك عن طريق وسم الوسائط . يمكن التعرف على تصنيف جميع الوسائط بوضوحوسم "، بعنوان B-4بعالمة وقائية تنص على الحد األقصى لمستوى التصنيف وفقا لما هو محدد بالفصل رقم

].DL" [البيانات

وينبغي أن تضع أجهزة الدولة اإلجراءات وتحدد الضوابط . على إمكانية التعرف على تصنيف الوسائط بوضوحينص آتيب تأمين المعلومات الحكومية التي تكفل وسم الوسائط بالصورة المناسبة وفقا لمستوى التصنيف

.ينبغي أن تحدد العالمات الحد األقصى للتصنيف وأن يتم حمايتا ضد العبث

MS 8 وعند استخدام الضمانات غير النصية لعالمات التصنيف نتيجة . وسائط بوضوحيمكن التعرف على تصنيف جميع ال .ألمن التشغيل، يتعين على أجهزة الدولة توثيق خطة التوسيم وتدريب أعضاء فريق العمل بالصورة المالئمة

من أجل تعزيز األمن؛ ) الشفرة العمودية: مثالعلى سبيل ال(يقر آتيب تأمين المعلومات الحكومية استخدام الضمانات غير النصية لعالمات التصنيف . ومع ذلك، تكفل أجهزة الدولة توثيق خطة التوسيم وتطبيقها بصورة متسقة بجميع أنحاء المنظمة وتدريب العاملين على استخدامها بفاعلية

تطهير الوسائط –السياسة والضوابط الرئيسية 3- 8


MS 9 أن تتولى توثيق اإلجراءات الخاصة بتطهير الوسائط، التي يتم اختبارها بانتظام

وتحدد األجهزة وتقر األدوات المالئمة للوفاء بمتطلبات تطهير الوسائط بأجهزة . ينبغي أن تحدد أجهزة الدولة اإلجراءات الخاصة بتطهير الوسائط .تخضع لالختبارات بنجاحالدولة والتي

.يتم إجراء تلك االختبارات على فترات منتظمة لضمان فاعلية األدوات

MS 10 أن يتم تدمير أنماط الوسائط التالية التي تتضمن معلومات مصنفة عن المستوىC1 أو أآثر قبل التخلص منها:

.الميكروفيش والميكروفيلم -أ .األقراص الضوئية -ب .التأثير المواجه لالسطوانةشرائط الطابعات وسطح -ج .الذاآرة القراءة فقط القابلة للبرمجة -د .ذاآرة القراءة فقط -ه

‐73‐

.الوسائط الخاطئة التي ال يمكن تطهيرها بنجاح -و

ويوفر أمثلة حول أنماط . ينص آتيب تأمين المعلومات الحكومية على تدمير الذاآرة غير المعرضة للتأثر، والتي ال يمكن تطهيرها، قبل التخلص منا . منهاأو أآثر، قبل التخلص C1ويتم تدمير جميع هذه الوسائط والوسائط المماثلة، التي قد تتضمن معلومات مصنفة عند المستوى . هذه الوسائط

MS 11 أن يتم تطهير الوسائط سريعة التأثر عن طريق:

دقائق على األقل أو 10فصل الطاقة عن الوسائط لمدة -أ .إحالل جميع مواقع الوسائط من خالل نمط عشوائي يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل -ب

.ل تطهير الوسائط سريعة التأثريهدف آتيب تأمين المعلومات الحكومية إلى تقديم إرشادات حو

MS 12 أن يتم تطهير الوسائط المغناطيسية غير المعرضة للتأثر عن طريق:

جيجابايت بأسلوب عشوائي 15أو آانت أقل من 2001إحالل الوسائط بالكامل، إذا ما آانت صادرة قبل عام -أ .يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل لثالثة مرات

جيجابايت بأسلوب عشوائي 15أو آانت أآبر من 2001إحالل الوسائط بالكامل، إذا ما آانت صادرة بعد عام -ب يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل لمرة واحدة

.استخدام جهاز نزع المغناطيسية بمجال قوة يكفي لمسح الوسائط -ج

.ديم إرشادات حول تطهير الوسائط غير المعرضة للتأثريهدف آتيب تأمين المعلومات الحكومية إلى تق

MS 13 أن يتم تطهير وسائطEPROM ذات ذاآرة القراءة القابلة للبرمجة والمسح عن طريق المسح وفقا لمواصفاتالشرآة المصنعة، بما يزيد من الزمن المحدد للمسح باألشعة فوق البنفسجية إلى ثالثة أضعاف، ثم إحالل الوسائط

.كامل من خالل نمط شبه عشوائيبال

ذات ذاآرة القراءة القابلة للبرمجة وغير المعرضة EPROMيهدف آتيب تأمين المعلومات الحكومية إلى تقديم إرشادات محددة حول تطهير وسائط .للتأثر

MS 14 شبه عشوائي يليه أن يتم تطهير وسائط الذاآرة السريعة عن طريق إحالل الوسائط مرتين بالكامل باستخدام نمط .إعادة قراءة الوسائط للتحقق من عملية اإلحالل

.يهدف آتيب تأمين المعلومات الحكومية إلى تقديم إرشادات حول تطهير وسائط الذاآرة السريعة

إصالح وصيانة الوسائط –السياسة والضوابط الرئيسية 4- 8

: تكفل ما يليأن أجهزة الدولةللوفاء بمتطلبات هذه السياسة، يتعين على

MS 15 أن يقوم العاملون المطلعون الخاضعون للفحص المالئم بتنفيذ عمليات إصالح وصيانة األجهزة التي تتضمن معلومات .مصنفة

ويلتزم العاملون المفوضون . ينبغي أن تكفل أجهزة الدولة أن يقوم األشخاص المفوضون فقط بإجراء أعمال اإلصالح والصيانة لألجهزة المصنفةادات ويتم إطالع هؤالء العاملين المفوضين على اإلجراءات والسياسات واإلرش. B6بالضوابط الالزمة المحددة بالفصل ) أو المتعاقدون/العاملون و(

.األمنية ذات الصلة بأجهزة الدولة

MS 16 أن يتم إجراء عمليات إصالح األنظمة التي تشتمل على معلومات مصنفة عند المستوىC3 أو أآثر في ظل اإلشراف.

ورغم أن الكتيب ال . أو أآثر لإلشراف C3ينبغي أن تكفل أجهزة الدولة خضوع عمليات اإلصالح بأي نظام يتضمن معلومات مصنفة عند المستوى ؛ ومع ذلك، عند تنفيذ )تحت رقابة الكاميرات ومراقبة الوصول: وعلى سبيل المثال(يحدد نمطا معينا لإلشراف، إال أنه يمكن استخدام الوسائل اآللية

.تلك العمليات خارج موقع العمل، فالبد أن تخضع إشراف بشري مشدد

.ن مخاطر العبث بنية سرقة المعلومات أو تدمير سالمتها واختالسهاويهدف ذلك إلى التخفيف م

‐74‐

تدمير الوسائط والتخلص منها –السياسة والضوابط الرئيسية 5- 8


MS 17 أن تتولى توثيق اإلجراءات الخاصة بتدمير الوسائط والتخلص منها

.وتتماشى اإلجراءات مع الضوابط المحددة في آتيب تأمين المعلومات الحكومية. تتولى أجهزة الدولة توثيق إجراءات تدمير الوسائط والتخلص منها

MS 18 أن يتم تدمير الوسائط عن طريق:

.تفكيك الوسائط -أ .تسخين الوسائط لحين حرقها وتحولها إلى رماد أو انصهارها -ب

وعند تفكيك الوسائط، فالبد من القيام بذلك بطريقة يستحيل معها إعادة . يوفر آتيب تأمين المعلومات الحكومية إرشادات حول آيفية تدمير الوسائط . ترآيبها أو إصالحها

MS 19 أن يتولى أعضاء فريق العمل اإلشراف على تدمير الوسائط:

.معالجة الوسائط إلى حد التدمير -أ .تدمير الوسائط بالكاملضمان نجاح -ب

وينبغي أن تكفل أجهزة الدولة ممارسة العناية الواجبة عند . يوفر آتيب تأمين المعلومات الحكومية إرشادات تكفل تنفيذ إجراءات تدمير الوسائط بنجاح . تدمير البيانات

MS 20 ت مصنفة قبل التخلص منهاأن يتم تطهير الوسائط، بما في ذلك الوسائط الخاطئة، التي تشتمل على معلوما.

.ينص آتيب تأمين المعلومات الحكومية على تطهير جميع الوسائط، بما في ذلك الوسائط الخاطئة، قبل التخلص منها، آإجراء أمني إضافي

MS 21 أال تجتذب عملية التخلص من الوسائط ومخلفات الوسائط اهتماما غير مستحق.

أال تجتذب مرافق وعمليات التخلص من الوسائطلضمان " تحقيق األمن من خالل الغموض"يهدف آتيب تأمين المعلومات الحكومية إلى االلتزام بمبدأ وقد يؤدي ذلك إلى محاوالت من قبل مستخدمي البرامج الضارة إلى البحث في المخلفات من أجل الوصول إلى . ومخلفات الوسائط اهتماما غير مستحق

. المعلومات واختالسها أو فرض السيطرة عليها

‐75‐

]AM[ السيطرة على صالحيات االستخدامإرشادات حول أمن - 9


عام –إرشادات حول السياسة والضوابط الرئيسية 2- 9


AM 1 إلى الحاجة "على أساس " االمتياز األقل"أن يحظى المستخدمون بإمكانية الوصول إلى المعلومات استنادا إلى مفهوم ".الحاجة إلى الحيازة"و" المعرفة

بأقل امتيازات بما يتفق مع ) األشخاص والعمليات واألجهزة(يعد مفهوم االمتياز األقل مبدًأ أساسيا من مبادئ أمن المعلومات يؤيد أن تحظى الكيانات . الواجبات والوظائف المنوطة بها

وتعد . عدم إمكانية الوصول بصورة افتراضية ثم يتيح تطبيق الوضع األمني وفقا للحاجة "المعرفةللحاجة إلى "وعلى سبيل المثال، يحدد التوجه المقيد جميع المعلومات بأي شبكة مؤسسية محظورة على الجميع باستثناء أشخاص محددين أو مجموعات محددة تحتاج إلى الوصول إلى هذه البيانات

.ألغراض نشاطها الرسمي

الحاجة إلى "على أساس " االمتياز األقل"لة توفير إمكانية الوصول إلى المعلومات إلى المستخدمين استنادا إلى مفهوم ينبغي أن تكفل أجهزة الدووسوف يضمن ذلك أن يكون الكيان قادرا على تنفيذ العمل المنوط به دون أن يتسبب في وقوع أي حوادث، ما لم ". الحاجة إلى الحيازة"و" المعرفة

. اسات المحددةيعتزم مخالفة السي

AM 2 أن تخضع إمكانية الوصول إلى المعلومات لإلدارة والرقابة من خالل ضوابط الوصول إلى النظام والهوية والتوثيقوينبغي أن تتم الموافقة على طلب الوصول إلى . وعمليات المراجعة والتدقيق التي تستند إلى حساسية المعلومات

.ر الذي يرأس أحد أعضاء فريق العملالمعلومات من قبل المشرف أو المدي

وتضع أجهزة الدولة . ينص آتيب تأمين المعلومات الحكومية على خضوع اختيار ضوابط الوصول لحساسية المعلومات التي تتولى الرقابة عليها . الضوابط المناسبة التي تقوم بتحديد وتوثيق المستخدم وتدقيق عملية المراجعة

:تخدم على ما يليتعتمد هوية وتوثيق المس

رقم التعريف الشخصي/ ما الذي يعرفه أي مستخدم؟ آلمة المرور: عامل المعرفة

بطاقات الوصول/ ما الذي يمتلكه أي مستخدم؟ التوثيق األمني: عامل الملكية

ما هي هوية أي مستخدم وما الذي يمتلكه؟ علم اإلحصاء الحيوي: عامل الوراثة

بطاقة ماآينة الصرف اآللي : وعلى سبيل المثال. يتولى القائمون على إدارة النظام تنفيذ خطة توثيق العوامل المتعددة بناًء على حساسية النظام، قد ).عامل المعرفة(ورقم التعريف الشخصي ) عامل الملكية(

ر أنظمة الرقابة على الوصول والتعرف على ينبغي أن تكفل أجهزة الدولة إقرار عملية فعالة للمراجعة والتدقيق من أجل تحديد سوء استخدام أو مخاط .المرتكبين في حالة وقوع أي حوادث

). التعديل/ الحذف/ اإلنشاء(وعالوة على ذلك، يحظى مدير أو مشرف العمل بالحق في الموافقة على جميع طلبات الوصول الخاصة بالمستخدمين . هميين أو زيادة االمتيازات التي يحظى بها المستخدمونويكفل ذلك وجود ضوابط لحماية النظام من خطر إنشاء مستخدمين و

AM 3 أن تستند حقوق أي مستخدم أو آيان في الوصول إلى المعلومات من أجل إنشاء أو قراءة أو تحديث أو حذف أو نقلأصحاب تلك األصول المعلوماتية ألجهزة الدولة على نموذج هرمي للحقوق التي تحددها قواعد العمل المقررة من قبل

.المعلومات

.AM1 يهدف آتيب تأمين المعلومات الحكومية إلى توضيح عملية إسناد حقوق الوصول إلى النظام، اعتمادا على المبادئ األساسية المذآورة بالبند

‐76‐

وعالوة على ذلك، يحدد . اتيضع آتيب تأمين المعلومات الحكومية عبء تحديد قواعد حقوق الوصول إلى النظام بفاعلية على عاتق أصحاب المعلوم .أصحاب المعلومات ذلك العبء بناًء على متطلبات العمل

AM 4 أن يتم إقرار عملية تكفل تحديث الوصول إلى نظام المعلومات آي يعكس الدور الجديد المنوط بالموظف، فور إجراء .أي تغيير في دور أو وضع الموظف

وينبغي أن تكفل أجهزة الدولة وجود عملية لتنسيق تدفق . قيق تكامل دقيق بين عمليات أجهزة الدولةينص آتيب تأمين المعلومات الحكومية على تح . المعلومات بين إدارتي الموارد البشرية وتكنولوجيا المعلومات وبين إدارة العمليات

موظف، ينبغي أن تكفل اإلدارة نقل تلك المعلومات إلى خفض رتبة أو إنهاء تعاقد أي / نظرا لمشارآة إدارة الموارد البشرية في عملية توظيف وترقيةالعمليات التي قد تضمن تحديث نظام الرقابة على الوصول إلى المعلومات داخل أجهزة الدولة بفاعلية آي يعكس تلك / إدارة تكنولوجيا المعلومات

أيضا، حيث تكون الرقابة على الوصول إلى المعلومات في العديد من وينبغي أن تكفل أجهزة الدولة تمديد تلك الرقابة إلى األمن المادي . التعديالت . العمليات/ المنظمات منفصلة عن إدارة تكنولوجيا المعلومات

AM 5 أن يسعى مستخدمو النظام الذين يحتاجون إلى قدرة إضافية للوصول إلى المعلومات لتجاوز اآلليات األمنية ألي سبب .من قبل مدير أمن المعلوماتوراء الحصول على تفويض رسمي

مخاطر نظام الرقابة على الوصول إلى النظام من أجل / ينص آتيب تأمين المعلومات الحكومية على وجود ضوابط فعالة للتخفيف من حدة تجاوزنفيذ الضوابط المالئمة، بما في ويتم ت. ويكون مديرو النظام في وضع قد يسمح لهم بالوصول إلى نظام المعلومات دون قيود. الوصول إلى المعلومات

وء ذلك عمليات المراجعة والتدقيق وتناوب المهام الوظيفية والتدقيق المنتظم من قبل آيان مستقل، من أجل إجراء عمليات الفحص بهدف تجنب س . االستخدام

ويستطيع . الحوادث واستكشاف القضايا وغير ذلكومع ذلك، فهناك حاالت قد يحتاج مديرو النظام من خاللها الوصول إلى المعلومات من أجل تحري ويكفل مدير األمن، بدوره، استخدام . مديرو النظام االستفادة من تلك االمتيازات، رغم ضرورة الحصول على موافقة رسمية من قبل مدير األمن

.ويتم تسجيل أداء مثل هذه األنشطة بالصورة المالئمة. طالتحايل على رقابة الوصول إلى النظام بفاعلية في األنشطة المستهدفة والتوقيت المستهدف فق

AM 6 أن يتم اعتبار أي محاولة غير مفوضة للتحايل على رقابة الوصول إلى معلومات أجهزة الدولة بمثابة حادث أمني .المالئمةأو سياسات وإجراءات الموارد البشرية /ويتم التعامل معه وفقا لإلجراءات المقررة لإلبالغ عن الحوادث و

ويتم . ينص آتيب تأمين المعلومات الحكومية على اعتبار أي محاوالت للتحايل على رقابة الوصول إلى معلومات أجهزة الدولة بمثابة حادث أمني . رد البشرية المالئمةأو سياسات وإجراءات الموا/المخفقة وفقا لإلجراءات المقررة لإلبالغ عن الحوادث و/ التعامل مع أي من تلك المحاوالت الناجحة

. الموارد البشرية بأجهزة الدولة/ ويتم التعامل مع الحوادث وفقا لإلجراءات التأديبية المقررة الخاصة بإدارة الحوادث

AM 7 أن يتم تفعيل والحفاظ على سجالت التدقيق بأسلوب يسمح بمتابعة االلتزام بالسياسة الحكومية ويساعد في إدارة .الحوادث

وتساعد سجالت التدقيق في . وتهيئة العملية باألسلوب المناسبرقابة على الوصول إلى المعلومات أجهزة الدولة تفعيل عملية التدقيق بنظام التكفل .وتساعد سجالت التدقيق أيضا في فحص والتحقيق في الحوادث األمنية. متابعة االلتزام بالسياسات واإلجراءات األمنية الخاصة بأجهزة الدولة

".متطلبات تسجيل األداء والمتابعة األمنية"، بعنوان B10تلتزم سجالت التدقيق بالضوابط المنصوص عليها بالفصل

AM 8 أجهزة الرقابة / وقد يكون ذلك باستخدام خدمات. أن يخضع الوصول المنطقي لشبكات أجهزة الدولة للرقابة التقنية .على الوصول إلى الشبكات

وباإلضافة إلى تحديد وتوثيق . ينص آتيب تأمين المعلومات الحكومية على قيام أجهزة الدولة بنشر ضوابط إضافية لضمان تأمين أصولها المعلوماتية . المستخدم، البد من وجود ضوابط تكفل عدم قيام المستخدم الموثق بإدخال نقاط ضعف إلى النظام من خالل النظام الذي يستخدمه

يل المثال، قد يقوم المستخدم الذي يعمل عن بعد بتوصيل جهاز حاسوبه الشخصي المنكوب بالفيروسات بشبكة أجهزة الدولة، مما يتسبب في وعلى سب . انتشار الفيروس وإصابة شبكات أجهزة الدولة

وهناك خط دقيق يفصل بين التوثيق . يتعين وجود ضوابط أخرى لضمان تفويض المستخدم الموثق من قبل النظام أيضا بتنفيذ العمل المستهدف .والتفويض

‐77‐

بذلك وعلى سبيل المثال، قد يحظى المستخدم بوثائق تفويض للوصول إلى النظام، ولكنه قد ال يكون مفوضا بالوصول إلى جميع المعلومات الكائنة . النظام

AM 9 أن يتم الحفاظ على سجالت آمنة لما يلي:

.جميع مستخدمي النظام المفوضين -أ .وية المستخدم الخاصة بهمه -ب .األشخاص الذين منحوهم الموافقة على الوصول إلى النظام -ج .موعد منح الموافقة والتفويض -د .الحفاظ على السجل على مدار فترة تواجد النظام الذي تم منح إمكانية الوصول إليه -ه

ويوفر آتيب تأمين المعلومات الحكومية . الرقابة على الوصول إلى المعلوماتينبغي أن تكفل أجهزة الدولة الحفاظ على سجالت سليمة فيما يتعلق بنظام .ذلكإرشادات حول بعض السجالت اإللزامية التي ينبغي االحتفاظ بها للمساعدة في إجراء تدريب التدقيق الفعال والتحريات بشأن الحوادث وغير

. ينص آتيب تأمين المعلومات الحكومية أيضا على فترة االحتفاظ بالسجالت، والتي ترتبط في األساس بفترة تواجد النظام

AM 10 وينبغي أن تشمل هذه الشعارات ما يلي. أن يتم عرض شعار تسجيل الدخول قبل منح إمكانية الوصول إلى النظام:

.صول إلى النظامالسماح لمستخدمي النظام المفوضين فقط بالو -أ .موافقة مستخدم النظام على االلتزام بسياسات األمن ذات الصلة -ب .دراية مستخدم النظام بإمكانية متابعة استخدام النظام -ج .تعريف االستخدام المقبول للنظام -د .التبعات القانونية النتهاك السياسات ذات الصلة -ه .اإلقرارطلب استجابة مستخدم النظام، متى أمكن، على سبيل -و

. لنظامينبغي أن تكفل أجهزة الدولة، متى أمكن، االستخدام الفعال للموارد واألدوات لتوعية المستخدم بمسؤولياته األمنية وردع الدخالء على ا

لتزام المستخدم ينبغي أن تتولى أجهزة الدولة تنفيذ الشعارات التي تنادي بالسماح للمستخدمين المفوضين فقط بالوصول إلى النظام وضرورة ا . بالسياسات األمنية ذات الصلة ومتابعة النظام وتحديد االستخدام المقبول للنظام والتبعات القانونية النتهاك وسوء استعمال النظام

لحصول على الحصول على إقرار المستخدم للشعار وموافقته على االلتزام بشروطه وأحكامه قبل ا) إن أمكن(ينبغي أن تكفل أجهزة الدولة أيضا . إمكانية الوصول إلى النظام

AM 11 أن تتم حماية هيئات التوثيق المرآزية(Active Directory) مثل ،LDAP وقواعد بيانات التوثيق وغيرها منوتتولى مثل تلك الهيئات تسجيل . االعتداءات على الخدمة واستخدام قنوات آمنة وموثقة السترجاع بيانات التوثيق

:ليةاألحداث التا

.الوصول إلى المعلومات دون تفويض/ تحديث المعلومات -أ .تاريخ البدء واالنتهاء وزمن النشاط باإلضافة إلى محدد النظام -ب ).لتسجيل الدخول غير القانوني(هوية المستخدم -ج ).لتسجيل الدخول غير القانوني(نشاط تسجيل الدخول والخروج -د .المحطة الطرفية أو االتصال عن بعد/ الجلسة -ه

وقد يساعد تعرض تلك األنظمة . ، بمثابة أهداف رئيسية غير محصنة لمستخدمي البرمجيات الضارةLPADتعد هيئات التوثيق المرآزية، مثل وعالوة على ذلك، قد يؤدي االعتداء على الخدمة إلى عدم إمكانية وصول . للمخاطر مستخدم البرمجيات الضارة على اختراق النظام دون سابق إنذار

. يع المستخدمين إلى الخدمات المتكاملةجم

وتكون االتصاالت بين الكيانات المشارآة من خالل . ينبغي أن تكفل أجهزة الدولة حماية تلك األنظمة بفاعلية من مخاطر االعتداءات على الخدمة .قنوات آمنة وموثقة، مثل القنوات المشفرة

وتساعد تلك السجالت في فحص والتحري عن الحوادث ). تلك األنشطة المذآورة أعاله على األقل(تكفل أجهزة الدولة تسجيل أداء األنشطة الرئيسية . األمنية

‐78‐

تحديد الهوية والتوثيق –إرشادات حول السياسة والضوابط الرئيسية 3- 9

: للوفاء بمتطلبات هذه السياسة، يتعين على أجهزة الدولة أن تكفل ما يلي

AM 12 بمجموعة من السياسات والخطط واإلجراءات المشتقة من سياسة التصنيف الحكومي أن تضع وتحتفظ]IA-GOV-DCLS [تشمل مستخدمي النظام فيما يتعلق بما يلي:

.تحديد الهوية -أ .التوثيق -ب .التفويض -ج

وآتيب تأمين المعلومات ] IA-GOV-DCLS[تحدد أجهزة الدولة السياسات واإلجراءات ذات الصلة بما يتماشى مع سياسة التصنيف الحكومي .وتشمل السياسات واإلجراءات مجاالت تحديد الهوية والتوثيق والتفويض. الحكومية

. AM1وفقا لما تم مناقشته بالبند " الحاجة إلى الحيازة"و" الحاجة إلى المعرفة"تستند السياسات إلى مفهوم االمتياز األقل وتخضع لمبادئ

AM 13 النظام لديها بسياسات وإجراءات أجهزة الدولةأن تتولى توعية مستخدمي.

. ينبغي أن تكفل أجهزة الدولة توعية مستخدمي النظام بسياسات وإجراءات أجهزة الدولة

ظمة ويتم تنظيم دورات توعية أمنية منت. يتضمن التدريب التوجيهي المقدم للعاملين الجدد التوعية بسياسات وإجراءات إدارة الوصول إلى المعلومات . تتضمن التوعية فيما يتعلق بإدارة الوصول إلى النظام

AM 14 جميع مستخدمي النظام:

.يمكن تحديد هويتهم بصورة فريدة - أ .يتم توثيقهم في آل مناسبة يتم خاللها منح إمكانية الوصول إلى النظام - ب

تفوض أجهزة الدولة بإنشاء الحسابات التي يمكن استخدامها من قبل وينبغي أال . تعد المساءلة الفردية ضرورية ألمن أنظمة تكنولوجيا المعلوماتويساعد حساب الضيف على تفعيل إمكانية الوصول إلى نظام تكنولوجيا المعلومات من قبل مجهولين، بينما . مجهولين أو من قبل أآثر من شخص واحد

ويتم حظر آال نمطي الحساب والمشارآة في آلمات . ن مجموعة من األفرادالمساءلة الفردية بي) أو آلمة المرور المشترآة(يخفي الحساب المشترك .المرور أو أساليب الوصول المنطقية األخرى

رور من أجل ينبغي أن تكفل أجهزة الدولة أن يستخدم جميع العاملين والمتعاقدين واالستشاريين والعمالة المؤقتة هوية المستخدم الفريدة وآلمات الم . صة بأجهزة الدولةايح بالوصول إلى أي من األصول المعلوماتية الخالحصول إلى تصر

.يتم مساءلة المستخدمين المفوضين ويتحمل هؤالء المسؤولية عن استخدام أي نشاط خاص بهوية المستخدم الفريدة التي يتم إسنادها إليهم

ويتم توثيق المستخدمين آلما تم منح إمكانية الوصول إلى . المؤقتةيتم تطبيق ضوابط إضافية لضمان عدم إخفاء وثائق تفويض المستخدم بالذاآرة . ومع ذلك، يمكن أن يتم السماح ألجهزة الدولة بنشر تطبيقات الدخول الفردية طالما تستطيع ضمان الحفاظ على آلمة المرور بأسلوب آمن. المعلومات

AM 15 االستشاريين حساب مستخدم أو امتيازات الستخدام الموارد أال يتم منح األفراد من غير العاملين أو المتعاقدين أوالمعلوماتية أو أنظمة االتصاالت الخاصة بأجهزة الدولة دون موافقة صريحة من مدير أمن المعلومات الذي يتحقق من

.إبرام االتفاقيات المناسبة واستيفاء نماذج التراخيص والوصول إلى النظام

. حكومية على ضوابط تكفل عدم تعرض نظام الرقابة على الوصول إلى معلومات المنظمة للمخاطر أو خرق ذلك النظامينص آتيب تأمين المعلومات الالمتعاقدون واالستشاريون الذين تتم إقامة شراآة عمل (ومن الناحية االفتراضية، ال يتم منح األفراد من غير العاملين أو المتعاقدين أو االستشاريين

..إمكانية الوصول إلى أنظمة المعلومات الخاصة بأجهزة الدولة) لون على تصريح أمنيمحددة معهم ويحص

من القاعدة السابقة بصورة واضحة من قبل مدير ) خدمة/ الموردون الجدد الذين قد يرغبون في عرض منتج: على سبيل المثال(يتم اعتماد أي استثناء . ل توفير إمكانية الوصول إلى المعلوماتاألمن الذي يكفل وجود التصريح األمني الالزم قب

‐79‐

AM 16 غير محددة/ أن تكون هناك وسائل بديلة لتحديد هوية مستخدم النظام عند استخدام حسابات مشترآة.

تقنية أو غير (يود ومع ذلك، فحينما يكون هناك ق. ينبغي أن تكفل أجهزة الدولة تحقيق المساءلة الفردية من خالل إسناد هوية مستخدم فريدة لكل مستخدم . غير المحددة/ على تنفيذ تلك الحلول، ينبغي أن تحدد أجهزة الدولة أساليب بديلة لتحديد مستخدم النظام أثناء استخدام الحسابات المشترآة) ذلك

محطات العمل : على سبيل المثال(والموقع ) تغيير المستخدمين: على سبيل المثال(يمكن أن تتضمن الضوابط المشارآة في الحسابات بناًء على الوقت ). والمناطق المكتبية وغير ذلك

AM 17 أن تكون معلومات التوثيق غير المحمية التي تسمح بالوصول إلى النظام أو تتولى فك تشفير أي جهاز مشفر قائمة .داخل النظام الذي تمنح معلومات التشفير إمكانية الوصول إليه

وفي أسوأ . ينبغي أن تكفل أجهزة الدولة حماية معلومات التوثيق التي تسمح بالوصول إلى النظام أو تتولى فك تشفير أي جهاز مشفر بالصورة المناسبة. مكانية الوصول إليهاألحوال، حيثما ال يكون ذلك ممكنا ألسباب مثل أنظمة التراث وأنظمة الملكية، ينبغي أال تترك هذه المعلومات النظام الذي تمنح إ

. وسوف يكفل ذلك أن تتم حماية المعلومات، آحد أدنى، باستخدام الضوابط المادية المالئمة التي يمكن أن تسري على هذا النظام

AM 18 أال تكون بيانات توثيق النظام المستخدمة عرضة لالعتداءات ويشتمل ذلك، على سبيل المثال ال الحصر، على تخزين .وإعادة استخدامها واعتراض نقل المعلومات بين طرفين والتحكم في الجلساتالمعلومات

الدولة وجود ضوابط مالئمة لحماية بيانات التوثيق ضد مخاطر مثل إعادة استخدام المعلومات واعتراض نقل المعلومات بين أجهزةينبغي أن تكفل أجهزة الدولة التكنولوجيات التي تشفر بيانات التوثيق أثناء االنتقال والمعالجة وينبغي أن تختار . طرفين والتحكم في الجلسات ضمن أمور أخرى

. والتخزين

AM 19 رمز دون أي شروط معقدة أو حد أدنى يصل 12سياسة آلمة المرور التي تفرض حد أدنى لكلمة المرور يصل إلى :إلى سبعة رموز تتألف من ثالثة على األقل من مجموعات الرموز التالية

).a-z(حروف صغيرة -أ ).A-Z(حروف آبيرة -ب ).9-0(أرقام -ج .عالمات الترقيم والرموز الخاصة -د

وينص آتيب تأمين المعلومات الحكومية على المتطلبات الخاصة بكيفية . ينبغي أن تحدد أجهزة الدولة سياسة آلمة المرور وإجراءاتها ذات الصلة .عبارات المرور التي يسهل تذآرها نسبيا ويصعب حل رموزهاويشجع الكتيب على استخدام . صياغة آلمات المرور

AM 20 يوما 90أن يتم تغيير آلمات المرور مرة واحدة على األقل آل.

.يوما 90ينص آتيب تأمين المعلومات الحكومية على تغيير آلمات المرور آل

AM 21 ويجبر النظام المستخدم على تغيير آلمة المرور أال يستطيع مستخدمو النظام تغيير آلمة المرور ألآثر من مرة يوميا .المنتهية الصالحية عند تسجيل الدخول المبدئي أو عند إعادة التشغيل

اإلداري من خالل ضمان أال يتمكن / وعالوة على ذلك، ينص آتيب تأمين المعلومات الحكومية على ضوابط للحد من النفقات العامة للنظاموينص أيضا على ضرورة أن يجبر النظام المستخدمين على تغيير آلمات المرور . المستخدمون من تغيير آلمات المرور أآثر من مرة واحدة يوميا

. يل الدخول بعد انتهاء صالحياتها أو إعادة تشغيلهاعند تسج

AM 22 أن يتم فحص آلمات المرور المختارة لمنع ما يلي:

.آلمات المرور التي يمكن التنبؤ بها عند إعادة التشغيل -أ .إعادة استخدام آلمات المرور عند إعادة تشغيل الحسابات المتعددة -ب .بعد إجراء ثمانية تغييرات لهاآلمات المرور التي يتم إعادة استخدامها -ج . استخدام المستخدمين لكلمات المرور التسلسلية أو المتعاقبة -د

وعالوة . ينبغي أن تكفل أجهزة الدولة ضرورة تطبيق الضوابط، متى آان ذلك مجديا من الناحية التقنية، لضمان التزام النظام بسياسة آلمات المرور .ن إعادة استخدام آلمات المرور ومدى قوة آلمات المرور وغير ذلكعلى ذلك، ينبغي أن تحول الضوابط دو

‐80‐

. يتم توعية المستخدمين والمديرين لضمان االلتزام بسياسات آلمات المرور

AM 23 الجلسة على/ ضبط إعدادات قفل الشاشة:

.دقيقة آحد أقصى من توقف مستخدم النظام عن العمل 15التشغيل بعد -أ .مستخدم النظام عند الرغبة في ذلكالتشغيل يدويا من قبل -ب .اإلقفال إلخفاء جميع المعلومات الظاهرة على الشاشة تماما -ج .ضمان عدم ظهور الشاشة آما لو آانت مغلقة في حالة اإلقفال -د .قيام مستخدم النظام بإعادة التوثيق من أجل فتح النظام -ه .عدم السماح لمستخدم النظام بتعطيل آلية اإلقفال -و

/ ويتم تهيئة وإعداد األنظمة من أجل تشغيل إعدادات قفل الشاشة. أمين المعلومات الحكومية على وجود ضوابط لتأمين الجلسات العاملةينص آتيب ت .دقيقة آحد أقصى من توقف مستخدم النظام عن العمل 15الجلسة بعد بعد

.النظام يدويا/ يتمكن المستخدم أيضا من تشغيل قفل الشاشة

لمنع أي شخص من فصل (ومع ذلك، ينبغي أال تبدو مغلقة . اد األنظمة لضمان أن تخفي الشاشة جميع المعلومات تماما بمجرد إقفالهايتم تهيئة وإعد ).الطاقة الكهربائية

أي هوية المستخدم وآلمة (تظل األنظمة مقفلة حتى يقوم المستخدم بإعادة إقرار الوصول باستخدام اإلجراءات المالئمة لتحديد الهوية والتوثيق ). المرور

AM 24 أن يتم تعليق الوصول إلى النظام بعد عدد محدد من محاوالت تسجيل الدخول المخفقة أو بمجرد عدم حاجة أي من .ق العمل إلى الدخول على النظام نتيجة لتغيير األدوار أو ترك العمل بأجهزة الدولةأعضاء فري

. آلمات المرور/ ينص آتيب تأمين المعلومات الحكومية على وجود ضوابط الجلسات لمنع سوء استخدام الحسابات

دقيقة 30جيل الدخول وتعطيل تسجيل الدخول لفترة ال تقل عن يتم تهيئة النظام لضمان إغالق حساب المستخدم بعد ثالث محاوالت متتالية فاشلة لتس .أو اشتراط وجود مدير للنظام إلعادة تشغيل الحساب قبل السماح بتسجيل الدخول

هوية أو يتقاعد أو يحصل على إجراء تأديبي أو غير ذلك، حذف ) إلى خارج أجهزة الدولة(تكفل أجهزة الدولة أن يطلب مدير المستخدم، الذي ينتقل . تسجيل الدخول على الحاسوب وإلغاء حقوق الوصول إلى جميع األصول المعلوماتية المخصصة

اد حقوق تكفل أجهزة الدولة أن يطلب مدير المستخدم، الذي يتم إعادة إسناد مهامه داخل أجهزة الدولة بمقتضى ترقية أو انتقال داخلي، إعادة إسن .يا المعلومات بما يتماشى مع المسؤوليات الجديدةالوصول إلى الموارد المتعددة لتكنولوج

AM 25 آلمات المرور المفقودة أو المسروقة أو المعرضة لخطر الكشف عنها:

.يتم إبالغ مدير أمن المعلومات عنها آي يكفل تعليق العمل بالحساب الخاص بها - أ .يتم تغييرها بمجرد التحقق من هوية المستخدم - ب

وآحد أدنى، . الدولة اإلجراءات الخاصة بالتعامل مع آلمات المرور المفقودة أو المسروقة أو المعرضة لخطر الكشف عنهاينبغي أن توثق أجهزة :تتطلب هذه اإلجراءات من المستخدمين ما يلي

.أن يتم إبالغ مدير أمن المعلومات على الفور عن فقدان أو سرقة أو تعرض آلمات المرور للمخاطر - أ .ة المرور الخاصة بهم، إذا ما تعرضت للمخاطرأن يتم تغيير آلم - ب .ينبغي أن تضع األجهزة العمليات المتسقة واآلمنة وتلتزم بها من أجل التحقق من هوية المستخدم قبل تقديم آلمة مرور بديلة - ت

AM 26 شهور) 3(أن يتم تعليق العمل بالحسابات التي تكون غير عاملة لمدة تتجاوز ثالثة.

يتم تعليق العمل بالحسابات التي تكون غير عاملة لمدة تتجاوز ثالثة و. تحدد أجهزة الدولة إجراءات متابعة نشاط وصول المستخدم إلى النظامينبغي أن تم اتخاذ وفي حالة عدم الحاجة إلى الحساب، ي. بموجب المزيد من الفحص والدراسة) اإلجازة الطبية/ اإلجازة الطويلة: وعلى سبيل المثال(شهور ) 3(

. اإلجراءات المناسبة لحذف الحساب

‐81‐

AM 27 أن يتم تدقيق الحسابات الخاصة بمعلومات معالجة األنظمة المصنفة عند المستوىC2 أوI2 أوA2 أو أي مستوى .شهور) 6(أعلى من أجل التحقق من حداثتها آل ستة

أو أي مستوى A2أو I2أو C2تدقيق الحسابات الخاصة بمعلومات معالجة األنظمة المصنفة عند المستوى تحدد أجهزة الدولة اإلجراءات التي تكفل .شهور من أجل التحقق من حداثتها) 6(أعلى آل ستة

نتقال أو فسخ التعاقد أو يؤآد التدقيق على ذلك في حالة العاملين الذين تغيرت مراآزهم أو أدوارهم أو مسؤولياتهم بسبب الترقية أو خفض الرتبة أو اال .غير ذلك

النظام صالحيات استخدام –السياسة والضوابط الرئيسية 4- 9


AM 28 صول أن تتولى سياسات األمن توثيق شروط الوصول إلى النظام والتراخيص األمنية والتعليمات الالزمة من أجل الو .إلى النظام

والتوعية ينبغي أن تكفل أجهزة الدولة أن تنص سياساتها األمنية على شرط توثيق نموذج متطلبات الوصول إلى النظام والتراخيص األمنية والتعليمات .األمنية التي قد تكون ضرورية قبل منح إمكانية الوصول إلى النظام

AM 29 هو محدد بالفصل أن يتم فحص مستخدمي النظام وفقا لماB-6 إرشادات حول األمن الشخصي"بعنوان] "PS [ قبل .منح أي منهم تصريح بالدخول على النظام

". األمن الشخصي"بعنوان B-6فحص مستخدمي النظام وفقا للمتطلبات المحددة بالفصل ، ينبغي أن تكفل أجهزة الدولة AM29باإلضافة إلى البند ويتم تحديد المتطلبات، مثل فحص العاملين، آجزء من اإلجراءات الخاصة بمنح تصريح . ويتضمن مستخدمو النظام العاملين واالستشاريين والمتعاقدين

.الدخول على النظام

AM 30 النظام أن يتلقى مستخدمو النظام أي تعليمات الزمة قبل منح أي منهم تصريح بالدخول على.

، ينص آتيب تأمين المعلومات الحكومية على وجود ضوابط لتوعية المستخدم بمسؤولياته والتوعية األمنية واالستخدام AM29باإلضافة إلى البند .المقبول قبل منحه تصريح بالدخول على النظام

بامتيازات خاصة النظام إلى الوصول –السياسة والضوابط الرئيسية 5- 9


AM 31 وينبغي أن يتم استخدام الحسابات المتميزة . أن يتم توثيق ومراقبة ومساءلة والحد من استخدام الحسابات المتميزة .في العمل اإلداري فقط

ويتم أيضا تدقيق . ويتم توثيق ومتابعة ومساءلة أي من تلك الحسابات. ام الحسابات المتميزةينبغي أن تكفل أجهزة الدولة وجود إجراءات للحد من استخد .جميع األنشطة التي تم تنفيذها من خالل حساب متميز

.يتم الحد من استخدام مثل هذه الحسابات واستخدامها في العمل اإلداري فقط

AM 32 ل االضطالع بمهامهم اإلداريةأن يتم إسناد حساب فردي إلى مديري النظام من أج.

.، يحظى مستخدمو النظام ذوو إمكانية الوصول المتميز إلى النظام بحساب مختلف لممارسة أنشطتهم اليومية العاديةAM33باإلضافة إلى البند

AM 33 أن يحظى المواطنون القطريون وحدهم دون غيرهم بإمكانية الوصول المتميز إلى معلومات معالجة األنظمة المصنفة .أو أي مستوى أعلى ما لم يتم منح موافقة صريحة الستثناء هذه السياسة C4عند المستوى

B-6ممن لديهم التصريح األمني المطلوب بما يتماشى مع متطلبات الفصل (في ضوء األمن القومي، يحظى المواطنون القطريون وحدهم دون غيرهم . أو أي مستوى أعلى C4بإمكانية الوصول المتميز إلى معلومات معالجة األنظمة المصنفة عند المستوى ") أمن العاملين"بعنوان

‐82‐

.على أي استثناء من هذه القاعدة من قبل مدير أمن المعلومات ورئيس جهاز الدولةيتم الموافقة

AM 34 أن يتم تحديث سجل إدارة النظام من أجل تدوين المعلومات التالية:

.أنشطة التطهير -أ .بدء تشغيل النظام وإغالقه -ب .إخفاق المكونات أو األنظمة -ج .أنشطة الصيانة -د .أنشطة الدعم واألرشفة -ه .تعادة قدرة النظام على العملأنشطة اس -و .األنشطة الخاصة أو األنشطة خارج ساعات العمل -ز

ويتم االحتفاظ بسجالت تلك األنشطة بما يتماشى مع . ينبغي أن تحدد أجهزة الدولة اإلجراءات الخاصة بتسجيل أداء األنشطة الرئيسية إلدارة النظام ".األداء والمتابعةتسجيل "، بعنوان B10المتطلبات المحددة بالفصل

. وصيانته ودعمه واستعادته وغير ذلك) البدء واإلغالق واستعادة المعلومات(تتضمن األنشطة الرئيسية إتاحة النظام

ن بعدع النظام على دخولال –ئيسية السياسة والضوابط الر 6- 9


AM 35 أال يتم السماح بالدخول على النظام عن بعد ما لم تكن هناك موافقة صريحة من قبل مدير اإلدارة وما لم تكن مبررةبمقتضى متطلبات العمل وبعد ممارسة العناية الواجبة لتحليل المخاطر المتعلقة وتنفيذ الضوابط المناسبة للتخفيف من

.حدة المخاطر المحددة

لة لمستخدميها إمكانية الدخول على النظام عن بعد ما لم يكن مبررا بمقتضى متطلبات العمل وما لم تكن هناك موافقة من قبل مدير ال توفر أجهزة الدو . أو مدير أمن المعلومات/اإلدارة و

أو مدير أمن المعلومات على تدريب العناية الواجبة الذي يتم تنفيذه من أجل تحليل المخاطر ذات الصلة بتوفير مرافق /تستند موافقات مدير اإلدارة و . الخدمةويكفل هؤالء أيضا وجود الضوابط الكافية للتخفيف من حدة أي مخاطر محددة قبل تقديم . الوصول إلى النظام عن بعد إلى المستخدمين

AM 36 أن يتم استخدام توثيق العامل المزدوج من خالل استخدام رمز أو إشارة أوالضوابط الخاصة بالسمات البيولوجية وما .أو أي مستوى أعلى C3شابه عند الدخول إلى بيانات معالجة األنظمة المصنفة عند المستوى

إلى ينبغي أن تكفل أجهزة الدولة استخدام الضوابط اإلضافية، بما في ذلك توثيق العامل المزدوج، من أجل توثيق المستخدمين والوصول عن بعد . أو أي مستوى أعلى C3األنظمة المصنفة عند المستوى

AM 37 ى النهاية وفقا لما هو محدد بالفصل أن يتم تأمين جلسات الدخول عن بعد باستخدام التشفير المالئم من البداية إلC- ].CY" [أمن التشفير"بعنوان 10

أمن "بعنوان C-10وفقا لما هو محدد بالفصل على تنفيذ الضوابط األمنية، مثل التشفير من البداية إلى النهاية ينص آتيب تأمين المعلومات الحكومية .من أجل حماية المعلومات أثناء انتقالها" التشفير

. ي أن يبدأ التشفير مع بدء الجلسة ويتضمن هوية وتوثيق جميع المستخدمين وال ينتهي حتى انتهاء الجلسةينبغ

AM 38 أن يتم تزويد أجهزة الحاسوب المتصلة بالنظام عن بعد بجدار ناري شخصي وبرنامج لمكافحة الفيروسات الضارة .قاتويتم تفعيل هذه الضوابط األمنية في جميع األو. على األقل

تكفل أجهزة الدولة تنصيب جدار ناري شخصي وبرنامج لمكافحة الفيروسات الضارة والكشف عنها وبرنامج لإلصالح على أجهزة الحاسوب المتصلة .وينبغي أن يتم تفعيل جميع هذه البرامج األمنية في جميع األوقات. بالنظام عن بعد

‐83‐

وينبغي أن تتواجد ضوابط إضافية لضمان خلو أجهزة . يتم تطبيق الضوابط بما يكفل عدم قدرة المستخدمين على تعطيل أو وقف تشغيل هذه األنشطة وينبغي أن تدرس أجهزة الدولة. الحاسوب المتصلة بالنظام عن بعد من فيروسات الحاسوب والبرمجيات الضارة قبل االتصال بشبكة أجهزة الدولة

. خيارات استخدام حلول رقابة الوصول إلى الشبكة أو االلتزام بنقطة النهاية

AM 39 أن يتم إصالح البرمجيات، بما في ذلك برامج األمن المنصبة على أجهزة الحاسوب، وتحديثها بصفة دائمة.

برامج ينبغي أن تحدد أجهزة الدولة اإلجراءات التي تكفل تحديث أجهزة الحاسوب المتصلة بالنظام عن بعد بأحدث توقيعات الفيروسات وتعريفات ال . وباإلضافة إلى ذلك، يتم تطبيق أحدث الحزم األمنية على أجهزة الحاسوب المتصلة بالنظام عن بعد. الضارة

. خيارات، مثل توفير أجهزة الحاسوب المتصلة بالنظام عن بعديمكن أن تدرس أجهزة الدولة

AM 40 أال يقوم المستخدمون بالدخول على األنظمة الداخلية ألجهزة الدولة من خالل أجهزة الحاسوب العامة، على سبيل .أجهزة الحاسوب بمقاهي اإلنترنت وغير ذلك أو طباعة المواد من خالل أي أجهزة حاسوب عامة: المثال

أجهزة ينبغي أن تحدد أجهزة الدولة اإلجراءات وأن تتولى توعية المستخدمين لديها بعدم الدخول على األنظمة الداخلية ألنظمة الدولة من خالل . أجهزة الحاسوب بمقاهي اإلنترنت واستخدام الطابعات العامة في طباعة المعلومات المصنفة: الحاسوب العامة، على سبيل المثال

AM 41 وفي هذه الحالة، . أن يقتصر دخول الموردين عند بعد إلى األنظمة على الحاالت التي ال تنطوي على أي بدائل أخرىويكون دخول الموردين عن بعد إلى األنظمة لفترة زمنية محددة . يخضع بدء االتصال لرقابة ومتابعة أجهزة الدولة

.فقط ترتبط بفترة تنفيذ المهمة المراد تنفيذها

. نغي أن تحدد أجهزة الدولة السياسات واإلجراءات التي تكفل عدم توفير إمكانية الوصول إلى النظام عن بعد، بصورة افتراضية، إلى المورديينب

. يوافق مدير أمن المعلومات على أي استثناءات، آما هو حال متطلبات األعمال، حيث ال يكون هناك بدائل مجدية أخرى متاحة

وعالوة . بدء التشغيل والتنفيذ واالنتهاء: يكفل مدير أمن المعلومات وجود ضوابط مالئمة لمراقبة ومتابعة الوصالت عبر مراحلها، وعلى سبيل المثال . على ذلك، يتم توفير الوصالت لفترة زمنية محددة تخضع للمهام المزمع تنفيذها

‐84‐

]CY[إرشادات حول أمن التشفير - 10

السياسة أهداف 10-1

السياسة والضوابط الرئيسية 10-2


CY 1 والتوقيعات الرقمية بالمتطلبات إدارة مفاتيح التشفيربرامج التشفير وأنظمة / أن يفي لوغاريتم التشفير وأجهزة .من هذا الكتيب حول لوغاريتم وأنظمة التشفير Bالمحددة بالملحق

حول لوغاريتم Bبرامج التشفير وأنظمة اإلدارة الرئيسية بالمتطلبات المحددة بالملحق / أن يفي لوغاريتم التشفير وأجهزةينبغي أن تكفل أجهزة الدولة .وأنظمة التشفير المعتمدة

. التوصية باالستخدام المحدد لهيحظى لوغاريتم التشفير المختار بقوة مناسبة ويتم

أو تحديثات للوغاريتم التشفير، متى /ويوصي آتيب تأمين المعلومات الحكومية ببدائل و. سوف يتم تقييم صحة اللوغاريتم المحدد على فترات منتظمة . لتكنولوجي ووضع المخاطر األمنيةمن آتيب تأمين المعلومات الحكومية آي يعكس بانتظام التغير ا Bوسوف يتم تحديث الملحق . لزم األمر

CY 2 أن يتم تحديد عمر المفتاح بصفة رئيسية من خالل التطبيقات والبنية األساسية للمعلومات التي يتم استخدامه بها . . ويتم على الفور إلغاء المفاتيح واستبدالها في حالة الكشف عنها أو االشتباه في ذلك

ويتضمن ذلك عوامل . تحديد عمر المفاتيح بناًء على متطلبات التطبيقات والبنية األساسية للمعلومات التي يتم استخدامه بهاينبغي أن تكفل أجهزة الدولة وباإلضافة إلى ذلك، ففي حالة تعرض المفاتيح للخطر . مثل المتطلبات التشغيلية وسهولة تغيير المفاتيح والسرية ومتطلبات سالمة التطبيقات وغير ذلك

.شتباه في تعرضها للخطر، يتم تغييرها على الفور وتسجيل الحادث وإدارته وفقا إلجراءات التعامل مع الحوادثأو اال

CY 3 أن يتم تشفير األصول المعلوماتية المصنفة عند المستوىC3 من سياسة تصنيف المعلومات الحكومية]IAP-GOV-DCLS [أو نقلها بغض النظر عن أسلوب أو /ينها ووحمايتها من اإلفصاح عنها دون موافقة أثناء تخزويمكن أن تطبق أجهزة الدولة ضوابط التشفير هذه على األصول ذات متطلبات السرية األدنى، إذا ما . وسائط التخزين

.تقرر ضرورة ذلك من خالل عملية تقييم المخاطر

وحمايتها من اإلفصاح عنها دون موافقة أثناء C3فة عند المستوى ينص آتيب تأمين المعلومات الحكومية على تشفير األصول المعلوماتية المصن . أو نقلها بغض النظر عن أسلوب أو وسائط التخزين/تخزينها و

، إذا ما تقرر ضرورة ذلك من خالل عملية من خالل ضوابط التشفير C3ويمكن تأمين األصول المعلوماتية المصنفة عند مستوى أدنى من المستوى .رتقييم المخاط

CY 4 أن يتم تأمين سالمة األصول المعلوماتية المصنفة عند المستوىI3 من سياسة تصنيف المعلومات الحكومية]IAP-GOV-DCLS [ويمكن أن تطبق أجهزة الدولة ضوابط التشفير هذه على األصول . من خالل استخدام تجزئة التشفير

من هذا " أ"ويحدد الملحق . ن خالل عملية تقييم المخاطرذات متطلبات السالمة األدنى، إذا ما تقرر ضرورة ذلك م .الفصل لوغاريتم التجزئة المعتمدة

. من خالل استخدام تجزئة التشفير I3ينص آتيب تأمين المعلومات الحكومية على تأمين سالمة األصول المعلوماتية المصنفة عند المستوى

، إذا ما تقرر ضرورة ذلك من خالل عملية من خالل ضوابط التشفير I3وى أدنى من المستوى ويمكن تأمين األصول المعلوماتية المصنفة عند مست .تقييم المخاطر

CY 5 لتأمين البيانات المصنفة عند " أ"أن يتم استخدام بروتوآوالت النقل التالية ذات اللوغاريتم المعتمد المحدد بالملحق :أثناء عملية النقل C3المستوى

]TLS )128 + bits] (RFC4346: لتأمين حرآة مرور البيانات عبر الويب .أ ]SFTP ]SFTP: لتأمين نقل الملفات .ب

‐85‐

]RFC 4301[ IPSECأو ] SSH v2 ]RFC4253: لتأمين الوصول إلى المعلومات عن بعد .ج

وينص الكتيب أيضا على . بيانات أثناء عملية النقللتأمين ال" ب"ينص آتيب تأمين المعلومات الحكومية على اللوغاريتم المعتمد المحدد بالملحق .ضوابط لتأمين األنماط المحددة للتطبيقات التي تتعامل مع البيانات أثناء انتقالها

CY 6 بغض نقلها أو/و تخزينها أثناء غير المصرح به اإلفصاح من دائمة بصفة المرور آلمات وحماية تجزئة/ تشفير يتم أن بعيدا وتخزينها للحسابات ذات االمتيازات الخاصة المرور آلمات تشفير ويتم. التخزين وسائط أو أسلوب عن النظر .بالكامل استعادتها إمكانية لضمان المرور آلمة تغيير تم آلما الدعم ملفات جانب إلى لموقعا عن

.أو نقلها/أثناء تخزينها و ينص آتيب تأمين المعلومات الحكومية على ضوابط تشفير من أجل حماية آلمات المرور من اإلفصاح عنها دون موافقة

CY 7 أن يتم استخدامS/MIME v3 ]RFC3851 [انظر . أو ما هو أفضل لتأمين سالمة رسائل البريد اإللكترونيCY11 للتعرف على المتطلبات ذات الصلة.

وينص الكتيب أيضا على . لتأمين البيانات أثناء عملية النقل" ب"ينص آتيب تأمين المعلومات الحكومية على اللوغاريتم المعتمد المحدد بالملحق .أو ما هو أفضل لتأمين حرآة مرور البريد اإللكتروني S/MIME v3استخدام

CY 8 من مستويات المعهد القومي للمعايير 2، وفقا للمستوى رقم أن يتم توثيق وحدات أمن األجهزة، حيثما يتم استخدامها .CC3-1 [EAL4[أو للمعايير العامة ] FIPS 140-2 ]FIPS 140-2والتكنولوجيا

على األقل من مستويات 2ينص آتيب تأمين المعلومات الحكومية على أنه في حالة استخدام نماذج أمن األجهزة، يتم اعتمادها وفقا للمستوى رقم .CC3-1 [EAL4[أو للمعايير العامة ] FIPS 140-2 ]FIPS 140-2المعهد القومي للمعايير والتكنولوجيا

ويوفر األساس لالختبار والتحقق وفي النهاية . بمثابة متطلبات أمنية لوحدات تشفير، ينشرها المعهد القومي للمعايير والتكنولوجيا FIPS 140-2يعد . توثيق وحدات التشفير

FIPS PUBومن المزمع أن يتم نشر . ويتم حاليا مراجعة المواصفات من قبل المعهد القومي للمعايير والتكنولوجيا من خالل إصدار جديد للوثيقة . 2009عام 140-3

.وتوفر المستويات المخحتلفة للمواصفات مستويات مختلفة لألمن وتحظى، عند المستويات األعلى، بمتطلبات توثيق مختلفة

.اإلنتاج الُمصنفة في فئة جهزةاألب المتعلقة طوشرال بخالف بالوحدةليس هناك حاجة إلى آليات أمن مادية . أدنى مستويات األمن: 1المستوى

نظمة األويسمح بتشفير البرمجيات ب. على التوثيق القائم على األدوار 2ينص المستوى . فال مقاومة للسرقةأمن مادي آاشف للعبث أو أق: 2المستوى .أو أي نظام تشغيل موثوق ومعادل C2مع مستوى التصنيف استخدامها عند في مختلف األوقات المستخدمين متعددة

.على التوثيق القائم على الهوية 3ينص المستوى . أمن مادي آاشف للعبث: 3المستوى

. ويحمي أيضا من التقلبات في بيئة اإلنتاج. يوفر األمن المادي غطاء حماية حول وحدة التشفير: 4المستوى

لتوثيق واعتماد ) ISO/IEC 15408(هي مواصفات دولية ) المشار إليها اختصارا بالمعايير العامة(لمعايير العامة لتقييم أمن تكنولوجيا المعلومات ا ].1[ 1-3وتندرج حاليا ضمن اإلصدار . أمن الحاسوب

أو تقديم المطالبات /تهم األمنية؛ ويستطيع الموردون بعد ذلك تنفيذ وتعد المعايير العامة إطارا يمكن أن يحدد مستخدمو نظام الحاسوب من خالله متطلباوبمعنى آخر، تؤآد المعايير . بشأن السمات األمنية لمنتجاتهم؛ ويمكن أن تتولى معامل االختبار تقييم المنتجات لتحديد ما إذا آانت تفي بالفعل بالمطالبات

. ييم المنتج األمني للحاسوب بأسلوب صارم وقياسيالعامة على إجراء عملية تحديد مواصفات وتنفيذ وتق

ويتوافق آل مستوى من مستويات توآيد التقييم مع حزمة من حزم . التصنيف الرقمي الذي يصف عمق وقوة عملية التقييم –مستوى توآيد التقييم وتتضمن المعايير المشترآة سبعة مستويات، حيث يكون . التي تشمل التطور الكامل للمنتج مع مستوى الدقة المحدد) أنظر أعاله(متطلبات توآيد األمن

). واألعلى تكلفة(والمستوى السابع االآثر صرامة وتشددا ) وبالتالي األرخص من حيث التنفيذ والتقييم(لتوآيد التقييم بمثابة األساس المستوى األول

CY 9 أن يتم نقل مفاتيح التشفير بصورة مادية فقط فيHSMs للوفاء بالبندCY7.

‐86‐

نمطا من أنماط معالجات التشفير اآلمنة التي تستهدف إدارة المفاتيح ) HSMوالتي غالبا ما يشار إليها اختصارا بمصطلح (تعد وحدة تأمين البرمجيات بصورة مباشرة وتعتبر أجهزة مادية تأتي في المعتاد في صورة بطاقة برنامج تكميلي أو جهاز أمني خارجي يمكن توصيله . الرقمية لتطبيقات الخوادم

. بالخادم أو حاسوب األغراض العامة

وتوفر . استخدام مواد بيانات التشفير والبيانات الحساسة) ج(التخزين اآلمن و) ب(اإلصدار اآلمن و) أ: (تتمثل أهداف وحدة تأمين البرمجيات فيما يليوبإيجاز، فهي تحمي مفاتيح التشفير ذات . لمصرح به والخصوم المحتملينوحدة تأمين البرمجيات حماية منطقية ومادية لهذه المواد من االستخدام غير ا

. القيمة العالية

. فقط، في تخزين مفاتيح التشفير CY7ينبغي أن تكفل أجهزة الدولة استخدام وحدات تأمين البرمجيات، التي تلتزم بالبند

CY 10 أن يتم تحديد عمليات إدارة المفاتيح وفقا لـ]ISO11770-1 [استخدامها في إدارة دورة حياة مفاتيح التشفير، بما و : يشمل المهام التالية

أدوار ومسؤوليات الجهات المسئولة عن حفظ المفاتيح. إصدار المفاتيح. الرقابة المزدوجة والمعارف الُمقسمة. تخزين المفاتيح بصورة آمنة. استخدام المفاتيح. التوزيع والنقل اآلمن للمفاتيح. واستعادة المفاتيحدعم. الفحص الدوري لحالة المفاتيح. الكشف عن المفاتيح. إلغاء وتدمير المفاتيح. عمليات المراجعة والتدقيق والتوثيق.

. وتشمل اإلجراءات، آحد أدنى، المهام المذآورة أعاله. تحدد أجهزة الدولة السياسات واإلجراءات الخاصة بإدارة دورة حياة مفاتيح التشفير

CY 11 أن يفي مقدمو خدمة الشهادات المعتمدة من قبل الحكومة ممن يصدرون شهادات الهوية الرقمية بمعايير هيئاتوفيما يتعلق بالشهادات غير ذات ]. CWA14167-1[التوثيق التي تصدر الشهادات المؤهلة وفقا لما هو محدد في

لبات الشهادات غير المؤهلة وفقا لما هو محدد في الهوية، يفي مقدمو خدمة الشهادات المعتمدة آحد أدنى بمتط]CWA14167-1 .[ وينصح بأن يستخدم مقدمو خدمة الشهادات المعتمدة وأجهزة الدولة أنظمة اإللغاء اإللكتروني

.للحد من مخاطر التحايل في استخدام الشهادات الرقمية

.CY10ينص آتيب تأمين المعلومات الحكومية على التزام مقدمي خدمة الشهادات المعتمدة من قبل الحكومة بالمتطلبات المذآورة بالبند

للحد من يوصي آتيب تأمين المعلومات الحكومية بأن تتولى أجهزة الدولة ومقدمو خدمة الشهادات المعتمدة تقييم ونشر أنظمة اإللغاء اإللكترونية تصحيح المسار المفوض واآتشاف المسار وتتضمن مثل هذه األنظمة بروتوآول الشهادات اإللكترونية و. خاطر التحايل في استخدام الشهادات الرقميةم

. المفوض وغير ذلك

CY 12 توفير أن تفي أنظمة مقدمي خدمات الشهادات المعتمدة التي توفر البطاقات األمنية الذآية بالمتطلبات الخاصة بخدمات ].CWA14167-1[األجهزة وفقا لما هو محدد في

مقدمي خدمات الشهادات المعتمدة التي توفر البطاقات األمنية الذآية بالمتطلبات الخاصة بخدمات توفير األجهزة وفقا لما هو / تفي أنظمة التوثيق األمني ].CWA14167-1[محدد في

ألمنية للمنتجات ومكونات التكنولوجيا التي يستخدمها مقدمو خدمات الشهادات المعتمدة من أجل المتطلبات ا) CEN )CWAتحدد اتفاقية ورشة عمل ويتم استخدام هذه الشهادات باإلضافة إلى التوقيعات اإللكترونية والتوقيعات اإللكترونية المتقدمة وفقا للقرار . إصدار شهادات مؤهلة وغير مؤهلة

1999/93/EC بشأن اإلطار المجتمعي للتوقيعات اإللكترونية 1999ديسمبر 13وروبي والمجلس بتاريخ الصادر عن البرلمان األ]Dir.1999/93/EC.[

‐87‐

وتوفر نظرة عامة حول نظام مقدمي خدمات . بأهمية خاصة لمصنعي األنظمة الجديرة بالثقة المستخدمة في إدارة الشهادات CWAتحظى اتفاقية ، بينما تكون األخرى "الخدمات الرئيسية"وتعد بعض هذه الخدمات إلزامية ويطلق عليها مصطلح . الشهادات المعتمدة المقسم إلى عدد من الخدمات

". الخدمات التكميلية"يها مصطلح اختيارية ويطلق عل

:تشمل الخدمات الرئيسية خدمات مقدمي خدمات الشهادات المعتمدة التالية

.التحقق من الهوية وأي خصائص محددة للخاضعين للدراسة، إن أمكن ذلك –خدمة التسجيل - أ .إصدار الشهادات –خدمة إصدار الشهادات - ب .تقديم الشهادات ومعلومات السياسة إلى الخاضعين للدراسة واألطراف الموثوقة –خدمة النشر - ت .الجة طلبات اإللغاءالسماح بمع –إدارة اإللغاء خدمة - ث .إلغاء الشهادات إلى األطراف الموثوقةحالة توفير معلومات حول –اإللغاء حالة خدمة - ج

:تشمل الخدمات التكميلية خدمتين اختياريتين من خدمات مقدمي خدمات الشهادات المعتمدة

ويتضمن ذلك توفير جهاز إنشاء . إعداد وتقديم جهاز إنشاء التوقيعات إلى الخاضعين للخدمة –خدمة توفير األجهزة للخاضعين للخدمة - أ . التوقيعات اآلمن

. االلكترونية تاتقديم خدمة الخاتم الزمني الذي قد يكون مطلوبا ألغراض التحقق من التوقيع –خدمة الخاتم الزمني - ب

. ت الشهادات المعتمدة بتطبيق األنظمة التي توفر جميع الخدمات الرئيسيةينبغي أن يقوم مقدمو خدما

عنيوي. هلةتوفر هذه المواصفات معايير لألنظمة الجديرة بالثقة التي تقدم الخدمات الرئيسية والتكميلية وتصدر آل من الشهادات المؤهلة وغير المؤ .المؤهلة غير الشهادات إصدار شروطب أنه قد تم بطبيعة الحال الوفاء المؤهلة الشهادات إصدار شروطب الوفاء

CY 13 أن يتم إصدار أي شهادات رقمية مستخدمة بنظام اإلنتاج من قبل مقدمي خدمة الشهادات المعتمدة من قبل الحكومة.

أن يتم إصدار الشهادات المستخدمة في أي نظام إنتاج من قبل مقدمي خدمة الشهادات المعتمدة من قبل ينص آتيب تأمين المعلومات الحكومية على . وتعد وزارة الداخلية هي الجهة الحكومية الوحيدة المنوطة حاليا بإصدار الشهادات. الحكومة

‐88‐

]OS[إرشادات حول أمن األجهزة المحمولة والعمل خارج الموقع - 11

السياسةأهداف 11-1

عام –السياسة والضوابط الرئيسية 11-2


OS 1 أن تتولى وضع السياسات التي تحكم ما إذا آان يمكن استخدام أجهزة الهواتف المحمولة والحاسوب المحمول في .منظماتهم وآيفية استخدامها

ويجب أن تشمل . ينبغي أن تحدد أجهزة الدولة السياسات واإلجراءات التي تحكم استخدام أجهزة الهواتف المحمولة والحاسوب المحمول في منظماتهم . السياسات، ضمن أمور أخرى، ملكية تلك األجهزة والضوابط األمنية التي تتماشى مع تصنيف األصول وتتبعها وااللتزام بها

OS 2 بإجراء محادثات مصنفة باستخدام أجهزة الهواتف المحمولة وأجهزة الحاسوب المحمول المزودة بإمكانية أال تقوم .إجراء المحادثات الهاتفية من خالل استخدام الملحقات التي تعمل من خالل البلوتوث

، ينبغي أن يكفل المستخدمون عدم استخدامه في في وفي حالة استخدامه. ال يوصي آتيب تأمين المعلومات الحكومية باستخدام بروتوآول البلوتوث .إجراء المحادثات المصنفة ويتضمن ذلك استخدام سماعات الرأس التي تعمل من خالل البلوتوث

OS 3 أال يتم تفعيل منافذ أجهزة الهواتف المحمولة والحاسوب المحمول ذات وصالت منافذ البلوتوث التسلسلية إذا آان . ت مصنفةالجهاز يحمل معلوما

، يتم تعطيل وصالت البلوتوث التسلسلية بأجهزة الهواتف المحمولة والحاسوب المحمول التي تحمل معلومات مصنفة من أجل OS2باإلضافة إلى البند .تجنب الكشف عنها باعتبارها نقاط هوم

OS 4 الخاضعة للرقابة دون موافقة مسبقة أال يتم السماح بدخول الهواتف المحمولة المزودة بأجهزة تسجيل إلى المناطق .من قبل مدير أمن المعلومات

السماح بدخول الهواتف المحمولة المزودة بأجهزة تسجيل إلى المناطق الخاضعة للرقابة دون تحدد أجهزة الدولة اإلجراءات والضوابط بما يكفل عدم .موافقة مسبقة من قبل مدير أمن المعلومات

OS 5 متى أمكن(ة الهواتف المحمولة والحاسوب المحمول بتشفير المعلومات التي تحملها أن تقوم جميع أجهز.(

ويحظى التشفير بقوة مالئمة ). متى أمكن(ينبغي أن تكفل أجهزة الدولة أن تقوم جميع أجهزة الهواتف المحمولة والحاسوب المحمول بتشفير المعلومات ". التشفير"، بعنوان C10ويتماشى مع المتطلبات المحددة بالفصل

OS 6 أن يتم وضع جميع أجهزة الهواتف المحمولة والحاسوب المحمول تحت اإلشراف المباشر والمستمر أثناء االستخدام .أو المحافظة عليها في مأمن في حالة عدم االستخدام

ومن ثم، ينبغي أن . لة والحاسوب المحمول للسرقة بسهولةينبغي أن تتولى أجهزة الدولة توعية المستخدمين بإمكانية تعرض أجهزة الهواتف المحموويجب الحفاظ على أجهزة الهواتف المحمولة . يقوم المستخدمون بحماية أجهزة الهواتف المحمولة والحاسوب المحمول وعدم ترآها دون رقابة

.والحاسوب المحمول في مكان آمن عند عدم استخدامها

المستخدمون خالل السفر في استخدام أقفال آابالت أجهزة الحاسوب المحمول من أجل توفير الحماية المادية وعلى سبيل المثال، ينبغي أن ينظر . ألجهزة الحاسوب المحمول

OS 7 أال يتم استخدام أجهزة الهواتف المحمولة والحاسوب المحمول غير المملوآة بصورة مباشرة ألجهزة الدولة أووينبغي أن تتم إدارة ومساءلة وتوثيق أجهزة الهواتف . خل أنظمة أجهزة الدولةالخاضعة لرقابة أجهزة الدولة دا

المحمولة والحاسوب المحمول غير المملوآة ألجهزة الدولة أو الخاضعة لرقابة أجهزة الدولة بنفس األسلوب الذي سوب المحمول المملوآة ويمكن أن تكون أجهزة الهواتف المحمولة والحا. تخضع له األجهزة المملوآة ألجهزة الدولة

ألجهزة الدولة متصلة بصورة مؤقتة بإحدى الشبكات غير المملوآة ألجهزة الدولة، بشرط استخدام جدار ناري مناسب

‐89‐

.لحماية الجهاز من أي مخاطر محتملة تنشأ عن الشبكة غير الخاضعة لرقابة أجهزة الدولة

ق الضوابط بما يكفل عدم استخدام أجهزة الهواتف المحمولة والحاسوب المحمول غير المملوآة تتولى أجهزة الدولة تحديد السياسات واإلجراءات وتطبي .بصورة مباشرة ألجهزة الدولة أو غير الخاضعة لرقابتها داخل أنظمة أجهزة الدولة

. بتلك األنظمةيهدف ذلك إلى ضمان وجود بيئة عمل قياسية خاضعة للرقابة بتلك األجهزة والحد من نقاط الضعف ذات الصلة

برنامج لمكافحة الفيروسات الضارة والكشف عنها وبرنامج لإلصالح على جميع أجهزة الهواتف المحمولة والحاسوب المحمول المملوآة يتم تنصيب ألجهزة الدولة والخاضعة لرقابتها وتزويدها بأحدث ملفات توقيعات الفيروسات وتعريفات البرمجيات الضارة من أجل تجنب فيروسات الحاسوب

. ضارةوالبرمجيات ال

مباشرة ألجهزة الدولة أو غير الخاضعة لرقابتها، ولكن مسموح لها وفي حالة أجهزة الهواتف المحمولة والحاسوب المحمول غير المملوآة بصورة .لدولةبالدخول على أنظمة أجهزة الدولة، فإنها تخضع لإلدارة والرقابة والتوثيق بنفس األسلوب الذي تخضع له األجهزة المملوآة ألجهزة ا

هزة ويمكن أن تكون أجهزة الهواتف المحمولة والحاسوب المحمول المملوآة ألجهزة الدولة متصلة بصورة مؤقتة بإحدى الشبكات غير المملوآة ألج .الدولة، بشرط استخدام جدار ناري مناسب لحماية الجهاز من أي مخاطر محتملة تنشأ عن الشبكة غير الخاضعة لرقابة أجهزة الدولة

. لةينبغي أن يكفل المستخدمون مسح أجهزة الهاتف المحمول والحاسوب المحمول للكشف عن البرامج الضارة قبل إعادة توصيلها بشبكة أجهزة الدو

OS 8 أال تتصل أجهزة الهواتف المحمولة والحاسوب المحمول غير الموثقة بأنظمة أجهزة الدولة أو تتولى تخزينومع ذلك، يتم السماح ألجهزة الهواتف المحمولة والحاسوب المحمول المتصلة . لدولةالمعلومات الخاصة بأجهزة ا

.بصفة مؤقتة بشرط أن يتم فصلها عن الشبكات الرئيسية عن طريق جدار ناري

أنظمة أجهزة الدولة أو ينبغي أن تحدد أجهزة الدولة اإلجراءات التي تكفل عدم توصيل أجهزة الهواتف المحمولة والحاسوب المحمول غير الموثقة ب . تتولى تخزين المعلومات المصنفة الخاصة بأجهزة الدولة

خول ومع ذلك، يمكن توصيل أجهزة الهواتف المحمولة والحاسوب المحمول غير الموثقة بصفة مؤقتة بالشبكة الضيف بأجهزة الدولة ألغراض مثل الد .ك الشبكات عن الشبكة الرئيسية عن طريق جدار ناريويتم فصل تل. على شبكة اإلنترنت أو الطباعة أو غير ذلك

OS 9 مكتب أمن / في حالة فقدان أو سرقة أجهزة الهواتف المحمولة والحاسوب المحمول، ينبغي أن يتم إبالغ مديرالسرقة بمقتضى اإلرشادات / ويتم التعامل مع حاالت الفقدان. المعلومات وأجهزة تطبيق القانون المعنية على الفور

].IM[لخاصة بإدارة الحوادث ا

مكتب أمن المعلومات وأجهزة تطبيق القانون المعنية على الفور عن فقدان أو سرقة أجهزة الهواتف المحمولة / يتم توعية العاملين بضرورة إبالغ مدير .المحددة إلدارة الحوادث وتتعامل أجهزة الدولة مع جميع هذه الحوادث بما يتماشى مع السياسات واإلجراءات. والحاسوب المحمول

OS 10 اإلغالق في حاالت الطوارئ فيما يتعلق بأي أجهزة هواتف محمولة وحاسوب محمول / أن يكون هناك خطة لإلتالفوينبغي أن تتم هذه القدرة عن بعد فيما يتعلق . يتم استخدامها في المواقف التي ترتفع بها احتمالية الفقدان أو الخسائر

.لمحمولةأجهزة الهواتف ا

ي ترتفع ينبغي أن تقوم أجهزة الدولة بتوعية المستخدمين لديها حول آيفية تدمير أو إغالق أي أجهزة هواتف محمولة وحاسوب محمول في المواقف التة والحاسوب المحمول وأن وينبغي أن تحدد أجهزة الدولة اإلجراءات الخاصة بتدمير وإغالق أجهزة الهواتف المحمول. بها احتمالية الفقدان أو الخسائر

.تكفل تدريب المستخدمين لديها على استخدامها

ويجب أن تسمح أجهزة الهواتف المحمولة بتشغيل هذه . ينبغي أن تنظر أجهزة الدولة في الضوابط التي تيسر الوفاء بالمتطلبات المذآورة أعاله . الخاصية عن بعد

‐90‐

]PH[إرشادات حول األمن المادي - 12

أهداف السياسة 12-1



PH 1 وينبغي أن تتم عملية التقييم خالل . أن يتم إقرار الحماية المناسبة لألماآن المادية بناًء على عملية تقييم المخاطر .بناء الجديد أو، فيما يتعلق بأماآن العمل القائمة، آجزء من عملية إدارة المخاطر المستمرةمرحلة تصميم ال

وتتم عمليات تقييم . ينص آتيب تأمين المعلومات الحكومية على أن تقر أجهزة الدولة توجها قائما على المخاطر لتحديد وتعريف متطلبات األمن الماديوفي حالة الهياآل المادية التي تم بناؤها بالفعل، يتولى تقييم المخاطر تقييم مدى مالءمة الهيكل وتحديد . بناء جديدالمخاطر تلك خالل مرحلة تصميم أي

.الضوابط المالئمة للتخفيف من حدة المخاطر

. قد تتضمن الضوابط إجراءات عمل قياسية محددة وأجهزة المتابعة والرقابة

.مستمرة إلدارة المخاطر يتم تقييم األمن المادي آجزء من عملية

PH 2 ويحدد . ويتم تخصيص مستوى أمن مادي لكل منطقة. أن يتم تقسيم األماآن المادية اعتمادا على متطلباتها األمنية : الجدول أدناه المستويات

الحد األدنى للحماية: على سبيل المثال(يوفر مستوى الحماية المصمم للرقابة على األصول غير المصنفة

CoIoAo .( ويعتبر غير مالئم بصفة عامة للعمليات الحكومية)غير العامة.(

الحماية األوليةيوفر مستوى الحماية المصمم للرقابة على األصول ذات القيمة المعتدلة أو األصول المصنفة عند

.وعادة ما يتم استخدامها آأساس للعمليات الحكومية". منخفض"مستوى

الحماية المتوسطةيوفر مستوى الحماية المصمم للرقابة على األصول ذات القيمة المتوسطة أو األصول المصنفة

".متوسط"عند مستوى

الحماية المرتفعةيوفر مستوى الحماية المصمم للرقابة على األصول ذات القيمة المرتفعة أو األصول المصنفة

".مرتفع"عند مستوى

وسوف يؤدي . تصنيفها/ ينص آتيب تأمين المعلومات الحكومية على أن تتماشى الضوابط التي يتم تطبيقها من أجل الرقابة األمنية مع أسلوب تقسيمها . ليةتقسيم أي منطقة مادية إلى نطاقات إلى مساعدة أجهزة الدولة على تحديد الضوابط المناسبة واستخدام الموارد المتاحة تحت تصرفها بفاع

PH 3تفاصيل ضوابط الحماية الدنيا واألولية، " أ"ويوفر الملحق . أن يتم تنفيذ ضوابط األمن المادي المالئمة في آل منطقةوتتطلب الحماية المتوسطة فئة إضافية من الضوابط، بينما . باإلضافة إلى التوصيات الخاصة بالضوابط اإلضافية

ويمكن أن تدمج أجهزة الدولة ضوابط إضافية إلى جانب تلك . ين من الضوابطتتطلب الحماية المرتفعة فئتين إضافيت .الضوابط التي تقرها هذه السياسة

" أ"ويوفر الملحق . ، ينص آتيب تأمين المعلومات الحكومية على تصنيف آل منطقة مادية وتطبيق الضوابط األمنية الالزمةPH2باإلضافة إلى البند ويمكن أن . ويوصي أيضا بضوابط إضافية لمستوى الحماية المتوسطة والعليا. من آتيب تأمين المعلومات الحكومية تفاصيل الضوابط الدنيا واألولية

. ولة بين هذه الضوابط وتلك الضوابط التي تنص عليها هذه السياسةتجمع أجهزة الد

PH 4 الشاشة النظيفة"و" المكتب النظيف"تنفيذ سياسة."

‐91‐

في جميع األوقات، بما يكفل عدم ترك المواد المحظورة دون مراقبة أو دون " الشاشة النظيفة"و" المكتب النظيف"تتولى أجهزة الدولة تنفيذ سياسة إلى غرس أهمية األمن بين المستخدمين والتخفيف من حدة " الشاشة النظيفة"و" المكتب النظيف"وتؤدي سياسة . ى مكاتبها أو غير ذلكحماية عل

".تحقيق األمن من خالل الغموض"المخاطر المتعلقة بسرقة المعلومات من خالل التوسع في مفاهيم

: وقد يتضمن ذلك. للمستخدمين لديها من أجل االلتزام بفاعلية بهذه السياسةينبغي أن تكفل أجهزة الدولة توفير األدوات الالزمة

وينبغي . ويعتمد اختيار الصناديق على مستوى المخاطر. استخدام الخزانات والصناديق المغلقة لحماية الوثائق الحساسة أثناء ساعات العمل .أ .مبنى دون رقابة عقب انتهاء ساعات العمل الرسميةوضع عوامل المخاطر في االعتبار، مثل الوصول إلى عمال صيانة ال

.ينبغي أن يتم إغالق مكاتب العاملين التي يتم تخزين المعلومات أو األصول الحساسة بها عند ترآها دون رقابة .ب . تدريب العاملين على مراقبة واإلبالغ عن المكاتب التي يتم ترآها مفتوحة دون قصد أو األصول المعلوماتية التي يتم ترآها دون حماية .ج .الشاشات ولوحات المفاتيح التي يتم وضعها بأسلوب ال يمكن لألشخاص غير المصرح لهم رؤيتها .د . لى النوافذ من الداخل والحواجز الزجاجية لمنع إمكانية الرؤية من الخارجاستخدام الزجاج غير الشفاف أو الستائر المثبتة ع .ه

PH 5البيانات بمتطلبات الحماية المتوسطة/ أن تفي غرف الخوادم.

تخزين المعلومات المماثلة تفي، آحد أدنى، بمتطلبات / البيانات أو غرف معالجة/ ينص آتيب تأمين المعلومات الحكومية على أن تكون غرف الخوادم . الحماية المتوسطة

PH 6 أن تكون الكابالت التي تحمل المعلومات المصنفة عند المستوياتC1-C3 لياف بما في ذلك آابالت األ(منفصلة ماديا .وأن تمر في أنابيب منفصلة عن الكابالت التي تحمل المعلومات المصنفة على المستوى القومي) الضوئية

أو أآثر منفصلة ماديا عن الكابالت التي تحمل المعلومات المصنفة عند المستوى C4يتم فصل الكابالت التي تحمل المعلومات المصنفة عند المستوي C3 ويهدف ذلك إلى توفير الحماية المناسبة من االعتراض والخسائر. مواسير مستقلة ماديالكابالت من خالل ويتم حماية ا. أو أقل.

:وقد يتضمن ذلك. أو أآثر C4وعالوة على ذلك، يتم تطبيق ضوابط إضافية لحماية الكابالت التي تحمل المعلومات المصنفة عند المستوى

.الصناديق المغلقة عند نقاط التفتيش والنهايةترآيب المواسير المصفحة والغرف أو .أ .أو ووسائط النقل التي توفر الحماية المناسبة/استخدام المسارات البديلة و .ب .استخدام الدروع الكهرومغناطيسية لحماية الكابالت .ج . مراقبة الوصول إلى لوحات التحكم وغرف الكابالت .د

PH 7وتشتمل . ت تشغيل قياسية لجميع المناطق اآلمنة، حسب االقتضاءأن يتم وضع وتنفيذ خطة أمن للمواقع وإجراءا :المعلومات التي يتم تغطيتها، على سبيل المثال ال الحصر، على

.ملخص لعملية تقييم مخاطر األمن الوقائي .أ أدوار ومسؤوليات مسؤول وأعضاء فريق عمل المرفق أو مسؤول وأعضاء فريق عمل أمن تكنولوجيا .ب

.والمعلوماتاالتصاالت .أو نظام اإلنذار األمني/إدارة وتشغيل وصيانة نظام مراقبة الوصول اإللكتروني إلى المعلومات و .ج .اإلدارة الرئيسية وانضمام وإلغاء مستخدمي النظام وإصدار الهوية الشخصية .د .تراخيص أعضاء فريق العمل وتدريب التوعية األمنية وإصدار التعليمات المنتظمة .ه .المراجعة والتدقيق والسجالت الصادرة فحص عمليات .و .عمليات الفحص والمتابعة في نهاية اليوم .ز .اإلبالغ عن حوادث وخرق أمن تكنولوجيا االتصاالت والمعلومات .ح

منية، آحد أدنى، وتتناول الخطة األ. تضع أجهزة الدولة خطة أمنية شاملة يتم استكمالها من خالل إجراءات تشغيل قياسية للمنطقة اآلمنة داخل المنظمة . تفاصيل النقاط المحددة أعاله

Documents

ﻦﻴﻣﺄﺗ ﺐﻴﺘﻜﺑ ﺔﺻﺎﺨﻟا تادﺎﺷرﻹا [IAP-GOV-GFGM] Manual... · ‐ 5 ‐ "أ" ﻞﺼﻔﻟا ﺔﻣﺎﻋ ةﺮﻈﻧ ﺐﻴﺘآ ﺬﻴﻔﻨﺗو