6.3.3 أمن التطبيقات
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.
الهدف
ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
| 1. | يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها. | |
| 2. | تجب مراقبة الامتثال لمعايير أمن التطبيقات. | |
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري. | |
| 4. | يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC). | |
| 5. | يجب أن يتضمن معيار أمان التطبيق ما يلي: | |
| أ. | المعايير الآمنة للتشفير؛ | |
| ب. | ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛ | |
| ج. | الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛ | |
| د. | حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛ | |
| هـ. | إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛ | |
| و. | إجراءات النسخ الاحتياطي والاسترداد؛ | |
| ز. | المراجعة الدورية للامتثال للأمن السيبراني. | |