3.3.8 أمن البنية التحتية
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تحديد معايير الأمن السيبراني لمكونات البنية التحتية الخاصة بها واعتماد هذه المعايير وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعاليتها وتقييمها بشكل دوري.
الهدف
دعم توثيق جميع ضوابط الأمن السيبراني داخل البنية التحتية رسميًا ومراقبة الامتثال وتقييم فعالية هذه الضوابط بشكل دوري داخل المؤسسة العضو.
اعتبارات التحكم
| 1. | يجب تحديد معايير أمن البنية التحتية واعتمادها وتنفيذها. | |||
| 2. | تجب مراقبة الامتثال لمعايير أمن البنية التحتية. | |||
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني للبنية التحتية وتقييمها بشكل دوري. | |||
| 4. | يجب أن تشمل معايير أمن البنية التحتية جميع حالات البنية التحتية المتاحة في مركز (مراكز) البيانات الرئيسية وموقع (مواقع) بيانات التعافي من الكوارث والمساحات المكتبية. | |||
| 5. | يجب أن تشمل معايير أمان البنية التحتية جميع مثيلات البنية التحتية (على سبيل المثال، أنظمة التشغيل، والخوادم، والأجهزة الافتراضية، وجدران الحماية، وأجهزة الشبكة، ونظام كشف التسلل، ونظام منع التسلل، والشبكة اللاسلكية، وخوادم البوابة، والخوادم الوكيلة، وبوابات البريد الإلكتروني، والاتصالات الخارجية، وقواعد البيانات، ومشاركات الملفات، ومحطات العمل، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والأجهزة المحمولة، ونظام السنترال الداخلي PBX). | |||
| 6. | يجب أن يشمل معيار أمان البنية التحتية ما يلي: | |||
| أ. | ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، والأحداث التي تجب مراقبتها والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، ومنع تسريب البيانات، وإدارة الهوية والوصول، والصيانة عن بعد)؛ | |||
| ب. | الفصل بين المهام داخل مكون البنية التحتية (مدعوم بمصفوفة تفويض موثقة)؛ | |||
| ج. | حماية البيانات المتوافقة مع مخطط التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛ | |||
| د. | استخدام البرامج المعتمدة والبروتوكولات الآمنة؛ | |||
| هـ. | تجزئة الشبكات؛ | |||
| و. | الحماية من الأكواد/البرامج الضارة والفيروسات (واستخدام قائمة تطبيقات مصرح بها والحماية من التهديدات المستعصية المتقدمة)؛ | |||
| ز. | إدارة الثغرات الأمنية والتصحيحات؛ | |||
| ح. | الحماية من هجمات حجب الخدمة الموزعة (إن اقتضى الأمر)؛ ويجب أن يشمل ذلك: | |||
| 1. | استخدام خدمات التنقية؛ | |||
| 2. | مواصفات عرض النطاق المتفق عليه؛ | |||
| 3. | المراقبة على مدار اليوم طوال أيام الأسبوع بواسطة مركز التشغيل الأمني، ومقدم الخدمة، ومقدم خدمة التنقية؛ | |||
| 4. | اختبار تنظيف هجمات حجب الخدمة الموزعة (مرتين في السنة على الأقل)؛ | |||
| 5. | يجب تنفيذ خدمات الحماية من هجوم حجب الخدمة لمركز (مراكز) البيانات الرئيسية بالإضافة إلى موقع (مواقع) التعافي من الكوارث؛ | |||
| ط. | إجراءات النسخ الاحتياطي والاسترداد؛ | |||
| ي. | المراجعة الدورية للامتثال للأمن السيبراني. | |||