تامولعلما نيمأت ةسايس ةينطولا - q-cert · 2018-05-08 · ˜˚˛˝ ˙ ˇ...

سياسة تأمين املعلومات الوطنية »الطبعة الثانية«

2 كتيب ت�أمني املعلومات الوطنية

إخالء مسؤليية و حقوق قانونيةعدت من قبل وزارة املواصالت و االتصاالت بدولة قطر. تحمل هذه الوثيقة عنوان »سياسة تأمين

هذه الوثيقة صممت و ا

بكلمة )»العمل«( ، تعد هذه الوثيقة في املقام االول وثيقة استرشادية املعلومات الوطنية - الطبعة الثانية« و يشار اليها الحقا

للعاملين باإلدارة العليا، وإدارة املخاطر و إدارة تقنية املعلومات العاملين في أمن تقنية املعلومات. وزارة املواصالت واالتصاالت بدولة

او قطر هي صاحبة الحق الوحيد في في مراجعة و تحديث هذه الوثيقة »العمل«، في حالة استنساخ او توزيع هذا العمل سواء جزئيا

و بغض النظر عن وسيلة االستنساخ او التوزيع يجب ذكر وزارة املواصالت و االتصاالت كمصدر و مالك ل»العمل«.كليا

يجب الحصول علي إذن كتابي مسبق من وزارة املواصالت و االتصاالت بدولة قطر في حالة الرغبة في إعادة إستنساخ او توزيع هذا

»العمل«. إن موافقة الوزارة بإعادة استنساخ او توزيع »العمل« كمنتج تجاري او إجراء خدمات من خالل اإلشارة إلي إسم او عالمة

تجارية او مقدم للخدمة او اي �شيء اخر التعني بالضرورة التوصية به او تفضيله من قبل وزارة املواصالت و االتصاالت واليجوز

للمنتج او صاحب العالمة التجارية او مقدم الخدمة ان يستخدم موافقة الوزارة للدعاية او الترويج

رت وزارة املواصالت و االتصاالت في حياة املواطنين واملقيمين مما أدى إلى تغييرات إيجابية في طريقة التعامل مع عالم االتصاالت أث

وتكنولوجيا املعلومات في شتى املجاالت. فمن خالل برامجنا املختلفة مثل »حكومي – الحكومة االلكترونية«، يسر للمواطنين واملقيمين العديد من اإلجراءات الحكومية على شبكة اإلنترنت.

وكتوجه استراتيجي، أكدت الرؤية الوطنية القطرية 2030 على الركائــز التالية باعتبارها املفاتيح األساسية الستراتيجية تنمية دولــة قطر:

التنمية البشــريـــة

التنمية االجتماعية

التنمية االقتصادية

التنميـــة الـبيئيــــة

إن مهمة وزارة املواصالت واالتصاالت هى العمل على تحقيق هذه الرؤية من خالل التطبيق الناجح والفعال لتكنولوجيا املعلومات واالتصاالت.

فى هذا العالم املترابط، أدى التوسع فى استخدام تكنولوجيا املعلومات إلى تداول كم هائل من املعلومات بحرية بين الهيئات الحكومية والجهات األخرى، مما يثير بعض التساؤالت عندما يتعلق األمر بأمن هذه املعلومات وسالمتها. إن من واجب كل من يجمع

ويستخدم ويشارك في نقل مثل هذه املعلومات، التأكد من حمايتها وسالمتها وتأمين التعامل معها.

لذا، نحن بحاجة للعمل على تحديد اإلستراتيجيات السليمة للحوكمة ومجموعة السياسات واإلجراءات الفعالة واملتممة للتكنولوجيا املستخدمة، كما أن التوعية والتعليم فيما يتعلق بحماية املعلومات أثناء استخدامها وتداولها ضرورة ذات أهمية

قصوى للمستخدمين والعاملين عليها على حد سواء.

من قبل في هذا الصدد، يسر وزارة املواصالت و االتصاالت أن يعلن عن حزمة سياسة تأمين املعلومات الوطنية التي اعتمدت مؤخرا

مجلس إدارة وزارةاملواصالت و االتصاالت.

إن سياسة تأمين املعلومات الوطنية تتضمن األساسيات واألدوات الالزمة ذات الصلة لتطبيق نظام مؤس�شي آمن وفعال إلدارة املعلومات الوطنية. ويسر الفريق القطري لإلستجابة لطوارئ الحاسب اآللي ) كيوسيرت ( التابع لوزارة املواصالت و االتصاالت أن

لتقديم املساعدة والدعم في سعيكم لتطبيق هذه السياسة. يتواصل معكم دائما

ألمن واستقرار دولة قطــــر. سعيا

للعمل معا

نتطلع دائما

خــــــــــــالد نعم هللا الهاشــــــــــمي

املـــــــــــــــدير الــتنـــــفــيــــــــــــــــذي

وكيل الوزارة املساعد

وزارة املواصالت و االتصاالت

مقدمة

4 �صي��صة ت�صنيف املعلومات الوطنية

سياسة تصنيف المعلومات

الوطنية]IAP-NAT-DCLS[

�صي��صة ت�صنيف املعلومات الوطنية5

6 1. أهداف السياسة

6 2. نطاق السياسة

6 3. السياسة

6 4. االلتزام بالسياسة

7 امللحق أ – تحليل األثر عىل العمل

8 امللحق ب – منوذج تصنيف األصول

وزارة املواصالت و االتصاالت بقطر املؤلف:

2.0 اإلصدار:

عام التصنيف:

تاريخ اإلصدار: اكتوبر 2015

جدول املحتوي�ت سياسة تصنيف المعلومات

الوطنية]IAP-NAT-DCLS[


1. اأهداف ال�صي��صةتحدد هذه السياسة منهجية رفيعة املستوى لتصنيف املعلومات لدى املؤسسات بدولة قطر. األساس املنطقي لتصنيف املعلومات إىل فئات هو

إعطاء قيم أو درجات مالمئة للمعلومات وتحديد مخاطرها وسبل الحامية املناسبة الواجب اتباعها لكل فئة.

تغطي هذه السياسة املخاطر التالية:

اإلفصاح عن املعلومات بدون تفويض

تعديل املعلومات بدون تفويض

عدم توفر املعلومات

سوف يؤدي االستخدام املتسق لنهج تصنيف املعلومات إىل تيسري أنشطة العمل، وضامن االلتزام بأفضل املامرسات املقبولة، واملساعدة عىل االحتفاظ بتكاليف أمن املعلومات عند أدىن مستوياتها. وبدون استخدام نظام تصنيف املعلومات، سوف يكون لدي جميع املؤسسات

مستويات مختلفة من حامية األصول، بدون وجود خطوط رئيسية محددة.

2. نط�ق ال�صي��صةترسي هذه السياسة عىل جميع املؤسسات وأصول املعلومات الخاصة بها، ما مل تكن تتمتع بإعفاء خاص.

يتم استخدام التعريفات التالية املحددة يف ]IAP-NAT-IAFW[]إطار تأمني املعلومات[ بهذه السياسة: املؤسسات ، أصول املعلومات واإلفصاح عن املعلومات بدون تفويض وتعديل املعلومات بدون تفويض وإتاحة املعلومات.

كام ترسي املعايري املرجعية التالية:

]IAP-NAT-IAFW[ إطار تأمني املعلومات، 2008

]IAP-NAT-INFA[ سياسة تأمني املعلومات الوطنية، 2014

]IAP-NAT-CIIP[ سياسة حامية البنية التحتية للمعلومات الحرجة، 2014

3. ال�صي��صةينبغي أن تحدد املؤسسات درجة أولوية االلتزام بهذه السياسة من خالل تحديد مدى أهمية عملياتها وفقا ملا ييل: 1-3

البنية األساسية األولوية األوىل: مدى األهمية لدولة قطر. ينبغي مقارنة العمليات بامللحق »أ«]IAP-NAT-CIIP[ ]حامية املعلوماتية الهامة[ للتأكد من مدى أهميتها عىل املستوى القومي.

األولوية الثانية: مدى األهمية للمؤسسة . ينبغي أن يتم تقييم العمليات اعتامدا عىل مدى أهميتها يف إدارة املؤسسة ، باستخدام تحليل األثر عىل العمل. ميكن استخدام امللحق »أ«.

ينبغي أن تتوىل املؤسسة وضع خطة التزام توضح أولوية التزام العمليات )وفقا ملا هو محدد بالفصل رقم 1-3( 2-3 وأصول املعلومات القامئة عليها وجدول تنفيذ عمليات التقييم والرقابة.

بالنسبة ألصول املعلومات، ينبغي عىل املؤسسة القيام مبا ييل: 3-3

تصنيفها وفقا لنظام التصنيف. ميكن استخدام امللحق »ب«.

تحديد أولويات تنفيذ الضوابط األمنية اعتامدا عىل مستوى األمان الكيل.

تطبيق الضوابط األساسية وفقا ملا هو محدد يف ]IAP-NAT-INFA[]سياسة تأمني املعلومات الوطنية[ عىل جميع األصول املصنفة. ويتم اإلشارة إىل الضوابط الرئيسية ضمن ]IAP-NAT-INFA[ ]سياسة تأمني املعلومات الوطنية[ باستخدام )*(. وعالوة

عىل ذلك، ميكن تطبيق ضوابط أكرث قوة إذا لزم األمر.

حامية أصول املعلومات الخاضعة للرقابة بانتظام عىل مدار حياتها، منذ إنشائها لحني تدمريها، مبا يتناسب مع مدى حساسيتها، بغض النظر عن مكانها أو شكلها أو التكنولوجيا املستخدمة يف التعامل معها أو الغرض منها.

]IAP-NAT-INFA[ بالعالمة املالمئة وفقا ملا هو محدد يف C3و C2 و C1 ضامن أن تحظى األصول ذات متطلبات الرسية ]سياسة تأمني املعلومات الوطنية[.

4. االلتزام ب�ل�صي��صةينبغي أن تخضع جميع املؤسسات للتدقيق واملراجعة بصفة سنوية من قبل هيئة التدقيق واملراجعة بالدولة أو 1-4

الهيئة التي تحددها للتأكد من التزامها بهذه السياسة.


امللحق »اأ« – حتليل االأثر على العمللتحديد األولويات الخاصة بتصنيف أصول املعلومات واملستوى املقابل من الحامية األمنية، ينبغي إجراء تقييم لألثر بالوسائل املقرتحة. ومع

ذلك، إذا كان لدى املؤسسات أسلوب لتقييم األثر عىل سري العمل، ميكن استخدام ذلك األسلوب بدال من األسلوب املنصوص عليه بهذا امللحق.

يتم إجراء تحليل األثر عىل العمل، الذي يويص به كتيب تأمني املعلومات الوطنية، عن طريق تقييم أثر فقدان أو تدهور العملية عىل املؤسسات من خالل عوامل التأثري التالية:

األثر عىل السمعة.

األثر الخارجي )األثر عىل الهيئات الخارجية واملؤسسات وغريها(.

األثر الداخيل )األثر عىل املوظفني والؤسسات ذاتها(.

األثر القانوين )املسؤوليات الناجمة عن عدم الوفاء بااللتزامات القانونية، وعىل سبيل املثال، عدم االلتزام لالتفاقيات واللوائح والترشيعات الخاصة مبستوى خدمة.. إلخ(.

األثر االقتصادي )خسائر اإليرادات املبارشة والفرص االقتصادية الضائعة.. إلخ(.

ينبغي اتخاذ الخطوات التالية لتقييم مدى أهمية العمليات:

تقييم مدى أهمية كل عامل من عوامل األثر لدى املؤسسات اعتامدا عىل التصنيف التايل. ويتم حساب عامل التقييم هذا )a1 to a5( مرة واحدة فقط ويتم استخدامه يف كل عملية يتم تقييمها.

0: غري هام

1: منخفض األهمية

2: متوسط األهمية

3: شديد األهمية

4: شديد األهمية للغاية

لكل عملية يجب أن يتم تحديد األثر ويرمز إليه بالرمز )I( عىل املوسسات فور تعرضها للخسائر أو التدهور من خالل استخدام املقياس التايل. و فيام يتعلق بالعمليات القامئة عىل عنرص الوقت يجب التأكد من حساب األثر يف أوقات ذروة االستخدام.

0: ال يوجد تأثري

1: تأثري ضئيل

2: تأثري متوسط

3: تأثري كبري

4: تأثري كبري للغاية

استخدام املعادلة التالية لتحديد مدى األهمية )وفقا ملقياس حتى 100( لكل عملية:

)α1I1 + α2I2+ α3I3 + α4I4 + α5I5( 1,25 = قيمة التأثري

مث�ل عمليعمليات تقييم عوامل التأثري التنظيمية:

)1α=3( تقييم األثر عىل السمعة: شديد األهمية

)2α=3( تقييم األثر الخارجي: شديد األهمية

)3α=2( تقييم األثر الداخيل: متوسط األهمية

)α 4=4( تقييم األثر القانوين: شديد األهمية للغاية

)5α=2( تقييم األثر االقتصادي: متوسط األهمية

اسم العملية: حساب رواتب العاملني واألثر يف األوقات الهامة

)1I=3( األثر عىل السمعة: تأثري كبري

)1=2I( األثر الخارجي: تأثري ضئيل

)3=3I( األثر الداخيل: تأثري كبري

)1=4 I( األثر القانوين: تأثري منخفض


)1=5I( األثر االقتصادي: ال يوجد تأثري

1,25)3x3 + 3x1 + 2x3 + 4x1 + 2x1 ( = قيمة التأثري

يؤدي ذلك إىل أن تصل قيمة األثر إىل: 30

امللحق ب – منوذج ت�صنيف االأ�صوللتحديد تصنيف أصول املعلومات ومستوى الحامية األمنية املقابل، ينبغي أن يتم اتخاذ الخطوات التالية:

تحديد العمليات الرئيسية والقامئني عليها باملنظمة.. 1

تحديد تبعيات العملية: املعلومات والتطبيقات واألنظمة والشبكات...إلخ.. 2

3 . :H :تحديد التصنيف األمني لكل من األصول املعلوماتية بناء عىل الجدول رقم 1 أدناه؛ تتمثل مستويات األمن الكلية فيام ييلمرتفع ، M: متوسط ، L: منخفض

تسجيل التصنيف الكامل )عىل سبيل املثال: C0I2A2( ومستوى األمن الكيل )عىل سبيل املثال: M( لكل من األصول . 4املعلوماتية.

الجدول رقم 1 – جدول التصنيف األمني

مدى اإت�حة البي�ن�تيقصد بإتاحة البيانات وتوافرها إمكانية الوصول إىل البيانات بسهولة ويف املواعيد املحددة خالل ساعات العمل الرضورية والالزمة املتفق عليها

مسبقا )أي يف اللحظة الرضورية والالزمة وخالل الفرتة الزمنية الرضورية والالزمة( من قبل األشخاص املرصح لهم أو الوسائل التقنية.

Ao: درجة االعتامدية وزمن اإلنتاجية/ التفاعل غري مهم.

A1: درجة االعتامدية %90 )زمن التوقف ~ 17 ساعة/ أسبوعيا( الحد األقىص لزمن االستجابة املسموح به–)1-10( ساعات.

A2: درجة االعتامدية %99 )زمن التوقف ~ 2 ساعة/ أسبوعيا( الحد األقىص لزمن االستجابة املسموح به – )1-10( دقيقة.

A3: درجة االعتامدية %99,9 )زمن التوقف ~ 10 دقيقة/ أسبوعيا( الحد األقىص لزمن االستجابة املسموح به – )1-10( ثانية

�صالمة البي�ن�تيقصد بسالمة البيانات ضامن صحة واكتامل وحداثة وموثوقية البيانات وعدم وجود تعديالت غري مرصح بها.

I0: مصدر املعلومات وتوقيت التعديالت ال يشكالن أهمية

A0 A1 A2 A3

I0

C0 L M H

C1 L L M H

C2 M M M H

C3 H H H H

11

C0 L L M H

C1 L L M H

C2 M M M H

C3 H H H H

12

C0 M M M H

C1 M M M H

C2 M M M H

C3 H H H H

13

C0 H H H H

C1 H H H H

C2 H H H H

C3 H H H H

1هذه هي العمليات الهامة للغاية إلدارة املؤسسات بفاعلية.


I1: ينبغي أن يكون تحديد مصدر املعلومات وتوقيت التعديالت ممكنا

I2: يتم تحديد مصدر املعلومات وتوقيت التعديالت والتحقق من صحته بصفة دورية

I3: ينبغي أن يكون هناك إمكانية إلثبات مصداقية وسالمة البيانات ألي طرف ثالث

ال�رسية يقصد برسية املعلومات إمكانية وصول األشخاص أو الوسائل التقنية املرصح لهم فقط إىل البيانات.

C0: معلومات عامة. عالمة التصنيف: »عام« .

C1: معلومات محظورة: لالستخدام الداخيل. املواد التي يؤدي اإلفصاح عنها إىل التسبب يف خسائر طفيفة إىل متوسطة لدى الطرف املترضر.

عالمة التصنيف« »داخيل«

C2: معلومات محظورة: يستطيع الوصول إليها مستخدمون محددون أو أدوار محددة أو مجموعات مستخدمني محددة وفقا لقواعد محددة.

املواد التي يؤدي اإلفصاح عنها إىل التسبب يف خسائر شديدة لدى الطرف املترضر )وعىل سبيل املثال: بيانات املوارد البرشية والبيانات التأسيسة الرئيسية الحساسة ...إلخ(. عالمة لتصنيف »وصول محدود«.

C3: معلومات محظورة: معلومات رسية ميكن الوصول إليها بصورة محدودة من قبل مجموعة صغرية للغاية من األشخاص. املواد التي يؤدي

اإلفصاح عنها إىل التسبب يف خسائر فادحة لدى الطرف املترضر )التعديالت والقرارات اإلدارية عىل مستوى مجالس اإلدارة/ الجهات التنفيذية/ الوزراء ...إلخ( عالمة التصنيف: »محظور«.

C4+: عالمات األمن القومي )خاص، رسي، شديد الرسية(2

اأمثلة عمليةميكن تصنيف أي موقع حكومي إلكرتوين ينرش معلومات تحمل تصنيف »معلومات عامة« وفقا للتصنيفات األمنية التالية، أي رسية املعلومات

= C0، إتاحة املعلومات = A1. ومع ذلك، نظرا لكونه موقع حكومي إلكرتوين، تكون تصنيفات سالمة املعلومات مرتفعة، أي أن سالمة . 2I= املعلومات

M يسفر ذلك عن الوصول إىل تصنيف أمني عند املستوى

ميكن تصنيف أي قاعدة بيانات حكومية تتضمن معلومات تحليلية إحصائية حول مواطنيها واملقيمني بها من خالل التصنيفات األمنية التالية، I3 = وسالمة املعلومات ،A3 = وإتاحة املعلومات ،C2 = أي أن رسية املعلومات

H يسفر ذلك عن الوصول إىل مستوى أمني مرتفع


كتيبتأمين

المعلومات الوطنية

]IAP-NIA-INFA[

كتيب ت�أمني املعلومات الوطنية11

11 جدول املحتويات

14 أ- نظرة عامة

15 1- املقدمة ونطاق العمل

15 2- طريقة استعامل هذا الكتيب

16 3- امللكية واملحافظة

16 4- املراجع

18 ب- حوكمة األمن وعمليات األمن

18 ]IG[ 1- هيكل الحوكمة

18 1-1 أهداف السياسة

18 1-2 السياسة والضوابط الرئيسية

19 ]RM[ 2- إدارة املخاطر



19 ]TM[ 3- إدارة أمن األطراف األخرى



19 ]DL[ 4- وضع البطاقات التعريفية للبيانات



20 ]CM[ 5- إدارة التغيري



21 ]PS[ 6- أمن العاملني



22 ]SA[ 7- التوعية األمنية



22 ]IM[8- إدارة الحوادث



23 ]BC[ 9- إدارة استمرارية ترصيف األعامل



23 ]SM[ 10- تسجيل األداء واملتابعة األمنية


جدول املحتوي�ت



24 ]DR[ 11- حفظ وأرشفة البيانات



24 ]DC[ 12- التوثيق



25 ]AC[ 13-التدقيق و إصدار الشهادات



25 ج- الضوابط األمنية

25 1- أمن االتصاالت


25 1-2 السياسة والضوابط الرئيسية – متديد الكابالت

26 1-3 السياسة والضوابط الرئيسية – الهواتف والفاكسات

26 2- أمن الشبكات


26 2-2 السياسة والضوابط الرئيسية – إدارة الشبكات

27 VLAN 2-3 السياسة والضوابط الرئيسية – الشبكات املحلية االفرتاضية

27 )MFDs( 2-4 السياسة والضوابط الرئيسية – األجهزة متعددة الوظائف

28 )DNS( 2-5 السياسة والضوابط الرئيسية – خوادم أسامء النطاقات

28 2-6 السياسة والضوابط الرئيسية – أمن شبكة اإلنرتنت

29 2-7 السياسة والضوابط الرئيسية – أمن الربيد اإللكرتوين

29 2-8 السياسة والضوابط الرئيسية – األمن الالسليك

30 2-9 السياسة والضوابط الرئيسية – التزامن

30 )VPNs( 2-10 السياسة والضوابط الرئيسية – الشبكات االفرتاضية الخاصة

30 )VoIP( 2-11 السياسة والضوابط الرئيسية – األمن الصويت لربوتوكول اإلنرتنت

31 2-12 السياسة والضوابط الرئيسية – اإلصدار رقم 6 لربوتوكول اإلنرتنت

31 ]IE[ 3- تبادل املعلومات



32 ]GS[ 4- أمن البوابة


32 4-2 السياسة والضوابط الرئيسية – عام

33 4-3 السياسة والضوابط الرئيسية – تصدير البيانات

34 4-4 السياسة والضوابط الرئيسية – استرياد البيانات

34 ]PR[5- أمن املنتجات




34 ]SS[ 6- أمن الربمجيات


35 6-2 السياسة والضوابط الرئيسية – تطوير وحيازة الربمجيات

35 6-3 السياسة والضوابط الرئيسية – تطبيقات الربمجيات

36 6-4 السياسة والضوابط الرئيسية – تطبيقات الويب

36 6-5 السياسة والضوابط الرئيسية – قواعد البيانات

37 ]SU[ 7- أمن استخدام النظام



38 ]MS[ 8- أمن الوسائط


38 8-2 السياسة والضوابط الرئيسية – تصنيف ووسم الوسائط

38 8-3 السياسة والضوابط الرئيسية – تطهري الوسائط

39 8-4 السياسة والضوابط الرئيسية – إصالح وصيانة الوسائط

39 8-5 السياسة والضوابط الرئيسية – تدمري الوسائط والتخلص منها

39 ]AM[ 9- أمن الرقابة عىل الوصول



40 9-3 السياسة والضوابط الرئيسية – تحديد الهوية والتوثيق

42 9-4 السياسة والضوابط الرئيسية – الوصول إىل النظام

42 9-5 السياسة والضوابط الرئيسية – الوصول املتميز إىل النظام

42 9-6 السياسة والضوابط الرئيسية – الوصول إىل النظام عن بعد

43 ]CY[ 10- أمن التشفري



44 11- أمن األجهزة املحمولة والعمل خارج املوقع



45 ]PH[ 12- األمن املادي



46 ]VL[ 13- أملحاكاة



48 امللحق »أ« )قيايس( – الضوابط املادية

52 امللحق »ب« )قيايس( – لوغاريتامت وبروتوكوالت التشفري املعتمدة

53 امللحق »ج« )قيايس( – تصنيف أهمية وحساسية إدارة الحوادث


ال يعترب أمن املعلومات قضية تقنية فحسب، بل إنه ميثل تحديا للعمل والحوكمة. ينطوي عىل إدارة املخاطر وإعداد التقارير واملساءلة. ويعترب أمن املعلومات عملية يتم إدارتها بدءا من املستويات العليا وصوال إىل املستويات الدنيا يف املنظمة وتتطلب إسرتاتيجية شاملة ألمن

املعلومات ترتبط بصورة واضحة بأنشطة وأهداف العمل باملنظمة.

يتطلب األمن الفعال مشاركة قوية من قبل اإلدارة التنفيذية من أجل تقييم املخاطر وتوفري قيادة أمنية إلكرتونية. ويتمثل املصطلح املستخدم لوصف مشاركة إدارة األمن يف مصطلح »حوكمة أمن املعلومات«. تتضمن حوكمة أمن املعلومات مجموعة من السياسات والضوابط الداخلية

التي يتم من خاللها توجيه وإدارة أنشطة أمن املعلومات داخل أي منظمة، بغض النظر عن حجمها أو شكلها. وتعد إدارة املخاطر وإعداد التقارير واملساءلة من املالمح الرئيسية لهذه السياسات والضوابط الداخلية. تعترب حوكمة أمن املعلومات مبثابة مجموعة فرعية ضمن برنامج

الحوكمة املؤسسية الشامل ألي منظمة.

وليك يتسم األمن بالفاعلية، البد أن يتناول العمليات التنظيمية من البداية إىل النهاية – املادية والتشغيلية والتقنية. وينبغي أن يتم تنفيذ إسرتاتيجية رسمية ألمن املعلومات من خالل وضع سياسات شاملة ألمن املعلومات تتفق مع أهداف ومهمة املنظمة. ولتوفري حوكمة فعالة،

البد من صياغة معايري مؤسسية لكل سياسة من أجل وضع حدود معينة للعمليات واإلجراءات املقبولة. ويجب وضع التعليم والتدريب والتوعية يف االعتبار أيضا بهدف نقل املعلومات إىل جميع العاملني كجزء من برنامج مستمر لتغيري السلوكيات غري املؤدية إىل العمليات اآلمنة

ذات املصداقية.

ومن ثم، ينبغي تنفيذ اإلسرتاتيجية من خالل برنامج شامل ألمن املعلومات يتضمن سياسات ومعايري مدروسة ومطلقة.

اأ- نظرة ع�مة


1 - املقدمة ونط�ق العمليرسي هذا الكتيب عىل جميع املؤسسات وأصولها املعلوماتية املقابلة. وحيثام تقوم املؤسسات بتعهيد أي عمليات أو أنشطة أو التعاقد مع أي

مصادر خارجية من أجل تنفيذها من الباطن، البد أن تكفل التزام تلك الجهات الخارجية بهذا الكتيب والضوابط املتعلقة به.

وبإيجاز، ينبغي أن يشمل برنامج أمن املعلومات عنارص مثل:

تخصيص األدوار واملسؤوليات.

تخصيص ملكية األصول املعلوماتية.

تصنيف األصول املعلوماتية.

عمليات التقييم الدورية للمخاطر ونقاط الضعف.

الضوابط املالمئة والفعالة واملدروسة.

دمج األمن يف جميع العمليات التنظيمية.

عمليات لرصد ومتابعة عنارص األمن.

عمليات فعالة إلدارة هوية ووصول مستخدمي وموردي املعلومات.

توعية جميع املستخدمني واملديرين وأعضاء مجلس اإلدارة مبتطلبات أمن املعلومات.

التدريب عىل إدارة عمليات األمن حسب االقتضاء.

وضع واختبار خطط الستمرارية ترصيف األعامل يف انقطاعه أو يف حاالت الكوارث.

صيانة برنامج أمن املعلومات بصفة دامئة وتغيري عمليات اإلدارة.

2 - طريقة ا�صتعم�ل هذا الكتيبيتم تصميم كتيب تأمني املعلومات الوطنية من أجل استخدامه مقرتنا مع سياسة تصنيف املعلومات الوطنية

]IAP-NAT-DCLS[. ويوفر هذا الكتيب الضوابط الرئيسية من أجل تغطية املجاالت األمنية التالية:

]AM[ أمن الرقابة عىل الوصول

]AC[ التدقيق و إصدار الشهادات

]BC[ إدارة ترصيف األعامل

]CM[ إدارة التغيري

]CS[ أمن االتصاالت

]CY[ أمن التشفري

]DL[ وضع البطاقات التعريفية للبيانات

]DR[ حفظ وأرشفة البيانات

]DC[ التوثيق

]GS[ أمن البوابة

]IG[ هيكل الحوكمة

]IM[ إدارة الحوادث

]IE[ تبادل املعلومات

]SM[ تسجيل األداء والتدقيق واملتابعة األمنية

]MS[ أمن الوسائط

]NS[ أمن الشبكات

]PS[ أمن العاملني

]PH[ األمن املادي

]OS[ أمن األجهزة املحمولة والعمل خارج املوقع

]PR[ أمن املنتجات


]RM[ إدارة املخاطر

]SA[ التوعية األمنية

]SS[ أمن الربمجيات

]SU[ أمن استخدام النظام

]TM[ إدارة أمن األطراف األخرى

]VL[ املحاكاة

يف إطار هذا الكتيب، تعد بيانات السياسة )التي تحمل عنوان: السياسة( والضوابط الرئيسية )متيز عرب عالمة * ( إلزامية وينبغي اتباعها وتنفيذها عىل التوايل. ومتثل هذه بنودا

قابلة للمراجعة والتدقيق سوف يتم السعي وراء تحقيق التوافق معها . ميكنم للمؤسسات ان تقوم بتطبيق ضوابط اضافية للضوابط الرئيسية. يف حالة تعارض كتيب تأمني

املعلومات الوطنية هذا مع قوانني أخرى، يجب عىل املؤسسة مراعاة تطبيق جميع النصوص او اتباع الساسة التي توفر فاعلية تانية بصورة اكرب.

ينبغي إتباع الخطوات التالية من أجل استخدام هذا الكتيب:

استخدام سياسة تصنيف املعلومات الوطنية ]IAP-NAT-DCLS[ لتصنيف جميع أصول املعلومات لدى املؤسسات . وتعترب هذه الخطوة أ. إلزامية قبل محاولة تطبيق السياسة والضوابط املحددة بهذه الوثيقة.

ال تتطلب السامت األمنية املخصصة لألصول I0 و A0 و C0 أي ضوابط رئيسية. وقد يتم تطبيق بعض الضوابط الصغرى.ب.

تتطلب السامت األمنية املخصصة لألصول I1 أو A1 أو C1 أو السامت املذكورة أعاله االلتزام بجميع بيانات السياسة الرئيسية ويتم اإلشارة ت. إليها بعالمة )*(. تحظى جميع فصول الكتيب بتأثري عىل سالمة وإتاحة ورسية األصول )إىل حد ما(؛ ومن ثم، ينبغي اختيار الضوابط الرئيسية

املالمئة لكل من تلك األصول.

تتطلب السامت األمنية املخصصة لألصول I2 أو A2 أو C2 ضوابط إضافية )واحدا أو أكرث( لكل نطاق معمول به اعتامدا عىل نتائج تقييم ث. املخاطر ونقاط الضعف )انظر الفصل ب2-، إدارة املخاطر ]RM[ للتعرف عىل املزيد من التفاصيل(. ويتعني إجراء عملية التقييم قبل اختيار

هذه الضوابط اإلضافية.

تتطلب السامت األمنية املخصصة لألصول I3 أو A3 أو C3 ضوابط إضافية متعددة )اثنان أو أكرث( لكل نطاق معمول به اعتامدا عىل نتائج ج. تقييم املخاطر ونقاط الضعف )انظر الفصل ب2-، إدارة املخاطر ]RM[ للتعرف عىل املزيد من التفاصيل(. ويتعني إجراء عملية التقييم قبل

اختيار هذه الضوابط اإلضافية.

ينبغي أن يتم تنفيذ الضوابط املختارة عىل كل من األصول. ويجب أن تعتمد أولوية التنفيذ عىل مستوى األمن الكيل )منخفض، متوسط، ح. مرتفع( )L,M,H(، حيث تحظى األصول ذات املستوى املرتفع )H( باألولوية القصوى للتنفيذ 3.

3 - امللكية واملح�فظةمتتلك وزارة املواصالت و االتصاالت بقطر هذه الوثيقة. وتتوىل الوزارة املسؤولية عن الحفاظ عىل هذه الوثيقة.

4 - املراجعسياسة تصنيف املعلومات الوطنية، 2014 ]IAP-NAT-DCLS[

إطار تأمني املعلومات، 2008 ]IAP-NAT-IAFW[

NIST FIPS PUB 197 »مواصفات التشفري املنتقدمة« )AES(، نوفمرب 2001 ]AES[

املعايري العامة لتقييم أمن تكنولوجيا املعلومات )CC(، النسخة رقم )2006( 2,0 ]CC3-1[

املتطلبات األمنية لألنظمة الجديرة بالثقة إلدارة شهادات التوقيعات اإللكرتونية – الجزء ]CWA14167-1[

األول: متطلبات أمن األنظمة، اتفاقية ورشة عمل CEN، CWA 14167-1، يونيو 2003

]NIST FIPS PUB 186-2 ]FIP186-2 »مواصفات التوقيع الرقمي )DSS(«، مع إخطار التغيري رقم1،

1 أكتوبر 2001.

املعهد القومي للمعايري والتكنولوجيا،،FIPS 140-2 املتطلبات األمنية لوحدات التشفري، ]FIPS-140-2[

24 يناير 2007

Mitre ،2009 CWE / SANS Top 25 أخطاء الربمجة األكرث خطورة، ]Mitre[

/http://cwe.mitre.org/top25، يناير 2009

كينت & سيو Kent & Seo، أسلوب بناء األمن لـIP، RFC 4301، ديسمرب 2005 ]RFC 4301[


س. رامسدل / MIME 3.1مواصفات الرسالة، RFC 3851، يوليو 2004 ]RFC3851[

ديركس & ريسكورال، بروتوكول TLS، RFC 4301، أبريل 2006 ]RFC4346[

معامل RSA، »PKCS#1 إصدار 2,1: مواصفات التشغري»RSA ، يونيو 2002 ]RSA[

جالربيث & سارينام، بروتوكول نقل امللفات SSH، draft-ietf-secsh-filexfer، يونيو 2005 ]SFTP[

NIST FIPS PUB 180-2، »مواصفات املزج اآلمن«، املعهد القومي للمعايري والتكنولوجيا، وزارة ]SHA[

التجارة األمريكية، أغسطس 2001

NIST SP 800-67 »التوصية الخاصة بلوغاريثم التشفري الثاليث للبيانات )TDEA(«، مايو 2004 ]SP800-67[

تكنولوجيا املعلومات – تقنيات األمن، اإلدارة الرئيسية، )ISO / IEC 11770-1:2006 )E الجزء ]ISO11770-1[

رقم 1: اإلطار الرئييس لإلدارة، املنظمة الدولية للتوحيد القيايس واللجنة الدولية الكهروتقنية، 2006

م. ونج، و. شليت، حول إطار سياسة املرسل )SPF( للتفويض باستخدام النطاقات يف الربيد اإللكرتوين، ]RFC4408[

النسخة رقم 1، فريق العمل الهنديس للشبكة الدوليةIETF(،RFC 4408(، أبريل 2006

يتم اإلشارة إىل املصطلحات املعرفة بإطار تأمني املعلومات]IAP-NAT-IAFW[ . ويتم استخدام املصطلحات املعرفة التالية ضمن هذه الوثيقة: املؤسسات، املعلومات الشخصية، املواقع الساخنة / الدافئة / الباردة، فريق االستجابة لطوارئ الحاسبات بقطر )Q-CERT(، وزارة املواصالت و

.)Business Continuity Plan(عالمات التصنيف القومي, خطة استمرارية ترصيف األعامل ،)MOTC( االتصاالت بقطر


ب- حوكمة االأمن وعملي�ت االأمنيستعرض هذا الفصل الضوابط الخاصة بكيفية إقرار حوكمة األمن داخل للمؤسسة . وتربز أيضا بعض األنشطة الرئيسية الواجب تنفيذها

لضامن الحفاظ عىل األمن وفقا لهذا املعيار الرئييس. وتتمثل األنشطة التي يتم تغطيتها يف إدارة املخاطر وإدارة أمن األطراف األخرى، ووضع البطاقات التعريفية للبيانات، وإدارة التغيري، وأمن العاملني، والتوعية األمنية، وأمن الحوادث، وإدارة استمرارية ترصيف األعامل، وتسجيل األداء

والتدقيق ومتابعة األمن، وحفظ وأرشفة البيانات، واملصادقة.

]IG[ 1- هيكل احلوكمة1-1 اأهداف ال�صي��صة

تتمثل أهداف هذه السياسة يف تعريف هيكل حوكمة أمن املعلومات الخاص باملؤسسات .

1-2 ال�صي��صة وال�صوابط الرئي�صيةلاللتزام بهذه السياسة، يتعني عىل املؤسسات القيام مبا ييل:

* تعيني شخص يتوىل مسؤولية وإدارة برنامج أمن املعلومات. وسوف يتم اإلشارة إىل ذلك الشخص IG 1 باعتباره »مدير أمن املعلومات« يف إطار كتيب تأمني املعلومات الوطنية هذا..

* تخصيص املوازنة املالمئة للعاملني وإدارة برنامج أمن املعلومات. IG 2

* التأكد من قيام مدير أمن املعلومات بتقديم التقارير إىل إدارة املخاطر أو املراجعة الداخلية باملؤسسة . IG 3

* تعهد رؤساء املؤسسات كتابيا بتقديم الدعم املوثق من أجل تطوير وتنفيذ عمليات األمن والبنية IG 4 األساسية لتكنولوجيا املعلومات واالتصاالت وصيانتها بصفة دامئة داخل املؤسسة .

حيثام يقوم رؤساء املؤسسات بتفويض سلطاتهم العتامد التعديالت عىل متطلبات هذا الكتيب، ينبغي أن IG 5 يحظى املفوض بسلطات أعىل من سلطات مدير أمن املعلومات.

تحديد مسؤوليات أمن املعلومات ملدير أمن املعلومات واإلدارة والعاملني باملؤسسة . IG 6

* ضامن أن يحظى مدير أمن املعلومات مبا ييل: IG 7

إمكانية الوصول إىل اإلدارة التنفيذية والحصول عىل الدعم الكامل من قبلها.

دراية كافية بأمن املعلومات و / أو أمن تكنولوجيا االتصاالت واملعلومات.

معرفة عامة وخربة كافية او توفر جميع املصادر الكافية املتعلقة باألنظمة التي تستخدمها املؤسسة، وخاصة أنظمة التشغيل وأنظمة/ مرافق مراقبة الوصول والتفويض ومرافق املراجعة والتدقيق.

قدرة مناسبة لدعم دور مدير أمن املعلومات.

إدراج املسؤوليات التالية ضمن دور مدير أمن املعلومات: IG 8

ا. تحديد والتوصية بإدخال تحسينات أمن تكنولوجيا االتصاالت واملعلومات عىل األنظمة.

ب. ضامن دراسة جوانب أمن تكنولوجيا االتصاالت واملعلومات كجزء من عملية إدارة التغيري.

ج. ضامن تنسيق عمليات صياغة وصيانة وتنفيذ جميع وثائق أمن تكنولوجيا االتصاالت واملعلومات، بالتعاون مع مديري الوحدات االدارية.

بالتعاون د. ضامن التحقيق وتقديم التقارير حول جميع حوادث أمن تكنولوجيا االتصاالت واملعلومات، مع فريق االستجابة لطوارئ الحاسبات بقطر.

ضامن أن يتوىل مدير أمن املعلومات املسؤولية عن: IG 9

ا. ضامن تطوير وحفظ وتحديث وتنفيذ خطط إدارة مخاطر األمن وخطط أمن األنظمة وأي إجراءات أمنية أخرى يتم تطبيقها.

تقديم املشورة األمنية الفنية حول تطوير وحيازة وتنفيذ وتعديل وإدارة ودعم وبناء األنظمة.

ب. مساعدة مدير النظام يف وضع وصياغة معايري وسياسات أمن األنظمة.

ج. اعتامد األنظمة عند االقتضاء.

د. ضامن أن ينظم الجهاز برنامج توعية وتدريب عىل أمن تكنولوجيا االتصاالت واملعلومات.

ه. املراجعة املنتظمة ألمن األنظمة وعمليات وسجالت تدقيق وسالمة إعدادات األنظمة.

ضامن أن يكون مدير أمن املعلومات عىل دراية بجميع إجراءات التشغيل األمنية ذات الصلة باألنظمة، IG 10 مبا يف ذلك اإلجراءات املتعلقة بأدوار مديري وإداريي ومستخدمي األنظمة.


]RM[ 2- اإدارة املخ�طر2-1 اأهداف ال�صي��صة

تحدد هذه السياسة رشوط إجراء عملية تقييم املخاطر من أجل التعرف عىل الضوابط املالمئة ألصول املعلومات، التي تم تصنيفها باعتبارها

تحظى مبستوى أمن كيل متوسط أو مرتفع ]IAP-NAT-DCLS[ والحفاظ عىل املخاطر املتبقية إىل املستوى األمثل اعتامدا عىل معدالت تقبل املخاطر العتمده من قبل املؤسسة.

2-2 ال�صي��صة وال�صوابط الرئي�صيةلاللتزام مبتطلبات هذه السياسة، يتعني عىل املؤسسات القيام مبا ييل:

* تحديد إجراءات تنفيذ عملية تقييم مخاطر ونقاط ضعف األصول املعلوماتية الهامة )التي تم تحديدها RM 1 يف مستوى أمني متوسط أو مرتفع(.

* بناء عىل عملية التقييم يجب وضع خطة مجابهة املخاطر للتعامل مع املخاطر ونقاط الضعف . RM 2

ضامن الفحص الدقيق لخطة مجابهة املخاطر واملخاطر املتبقية لألصول املعلوماتية املصنفة مبستوى أمني RM 3 مرتفع، وإعتامدها من قبل اإلدارة العليا للمؤسسه.

.RM 2 و RM 1 ضامن املتابعة املنتظمة لفاعلية الضوابط املختارة بالفقرتني RM 4

RM 5 يجب اجراء عملية تقييم املخاطر كل ستة شهور او عند حدوث تغيريات مؤثرة بوحدة العمل او تغيريات يف بيئة العمل قد تدعو إىل الحاجة بإجراء عملية تقييم البيانات.

]TM[ 3- اإدارة اأمن االأطراف االأخرى3-1 اأهداف ال�صي��صة

الغرض من هذه السياسة هو ضامن الحفاظ عىل السياسة الرئيسية والضوابط املحددة بكتيب تأمني املعلومات الوطنية ضمن الخدمة )الخدمات( التي تم تعهيدها إىل أي طرف آخر.

3-2 ال�صي��صة وال�صوابط الرئي�صيةللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات القيام مبا ييل:

* أن تظل املجاالت أو الخدمات التي تم تعهيدها تتمثل يف مسؤولية املؤسسة عن الحوكمة وااللتزام TM 1 وإدارة املخاطر.

* أن تتفهم وتقر املخاطر املتعلقة بتعهيد خدماتها. TM 2

أن يتم إدراج الضوابط األمنية والسياسة الرئيسية املحددة بكتيب تأمني املعلومات الوطنية ضمن TM 3 اتفاقيات أو عقود تقديم الخدمة املربمة مع أي طرف آخر. ويرسي ذلك أيضا عىل املتعاقدين من الباطن

لدى الطرف اآلخر.

أن يتعهد الطرف اآلخركتابيا بتقديم تقارير منتظمة حول الوضع األمني للخدمة (الخدمات) األمنية، مبا TM 4 يف ذلك أي حوادث.

أن يتم متابعة ومراجعة الخدمات والتقارير والسجالت التي يوفرها الطرف اآلخر بصورة منتظمة، وأن TM 5 يتم إجراء عمليات املراجعة والتدقيق بصورة منتظمة.

]DL[ 4- و�صع البط�ق�ت التعريفية للبي�ن�ت4-1 اأهداف ال�صي��صة

توفر هذه السياسة منهجية وضع بطاقات تعريفية للبيانات بجميع املؤسسات بغرض فهم وإدارة البيانات واألصول املعلوماتية فيام يتعلق مبستوى الرسية. وتوضح هذه السياسة املنهجية والعمليات املتعلقة بوضع البطاقات التعريفية بصورة فعالة.

يتمثل األساس املنطقي لتصنيف املعلومات إىل فئات حسب الرسية يف ضامن أن تتمكن املؤسسة واملستخدمون املحددون لألصول املعلوماتية من تحديد وتخصيص املوارد بصورة صحيحة ومالمئة من أجل حامية رسية األصول املعلوماتية.

4-2 ال�صي��صة وال�صوابط الرئي�صيةرغم أن هذه الوثيقة توفر سياسة شاملة لتحقيق التصنيف املتسق للبيانات، قد يكون من املتوقع أن تتوىل املؤسسة التوسع يف هذه املفاهيم

يك تالئم احتياجات عالمات التصنيف القومي.

لاللتزام مبتطلبات هذه السياسة، يتعني عىل املؤسسات القيام مبا ييل:

* أن تقوم بدور هيئة وضع البطاقات التعريفية للبيانات واملعلومات التي تجمعها أو تحتفظ بها. DL 1

* أن تصنف جميع األصول املعلوماتية وفقا لسياسة تصنيف املعلومات الوطنية DL 2


]IAP-NAT-DCLS[. ويتم وضع عالمة البيانات املالمئة "داخيل" أو "وصول محدود" أو "محظور" عىل .C3 أو C2 أو C1 التوايل عىل جميع األصول املصنفة وفقا لتصنيف الرسية

* أن تتوىل تصنيف األصول املعلوماتية، بصورة افرتاضية، باعتبارها أصول "داخلية"، ما مل تكن أصوال DL 3 متاحة للعامة أو لالستهالك.

أن تقر نظام وضع البطاقات التعريفية للبيانات من أجل دعم رشط "الحاجة إىل املعرفة"، حتى يتم DL 4 حامية املعلومات من اإلفصاح أو االستخدام غري املرصح به.

أن تتوىل تعليم وتوعية العاملني واملوظفني واملتعاقدين بنظام وضع البطاقات التعريفية للبيانات. DL 5

]CM[ 5- اإدارة التغيري5-1 اأهداف ال�صي��صة

الهدف من سياسة إدارة التغيري هو إدارة عمليات التغيري يف نظم العمل بأسلوب رشيد ميكن التنبؤ به حتى ميكن التقليل من املخاطر األمنية. ويتطلب التغيري الدراسة الجادة والرصد املتأين وتقييم املتابعة من أجل الحد من التأثري السلبي عىل مجتمع املستخدمني وزيادة قيمة املوارد

املعلوماتية.


* تحديد وااللتزام بعملية إدارة التغيري املوثقة التي تتضمن فئات التغيري التالية أو املامثلة: CM 1

التغيري الرئييس املخطط له. وتتضمن أمثلة التغيري الرئييس املخطط له ما ييل:

التغيري الذي يؤدي إىل توقف العمل أثناء ساعات العمل الرسمية

التغيري الذي يؤدي إىل تغيري يف مامرسات العمل أو التشغيل

التغيري يف أي نظام يؤثر عىل استعادة القدرة عىل العمل بعد الكوارث واستمرارية ترصيف األعامل

استحداث أو قطع خدمة تكنولوجيا املعلومات

الصيانة والتغيريات الصغرى. وتتضمن أمثلة هذا النمط من التغيري ما ييل:

التغيريات / التعديالت األمنية عىل مستوى التطبيقات

تعديالت نظام التشغيل )الهامة، اإلصالحات العاجلة، حزم الخدمات(

الصيانة الدورية املنتظمة

التغيريات التي من غري املحتمل أن تسبب انقطاع يف الخدمة

النمط من التغيري يف حاالت الطوارئ أو انقطاع الخدمات غري املخطط لها. وتتضمن أمثلة هذا التغيري ما ييل:

تدهور شديد يف الخدمة يتطلب اتخاذ إجراء فوري

العمليات إخفاق النظام / التطبيق / املكون مبا يؤدي إىل إحداث تأثري سلبي عىل أنشطة

استجابة ألي كارثة طبيعية

استجابة الحتياجات حاالت الطوارئ

التغيري بناء عىل طلب العاملني املسؤولني عن مواجهة والتصدي لحاالت الطوارئ

تأسيس لجنة إلدارة التغيري. CM 2

التصديق عىل التغيريات املقرتحة من خالل لجنة إدارة التغيري. CM 3

التأكد من تقييم حاجة النظام إىل إعادة املصادقة فور تنفيذ أي تعديل مقرتح قد يؤثر عىل أمن نظام CM 4 تكنولوجيا االتصاالت واملعلومات.

يتم تحديث جميع الوثائق املتعلقة بالنظام يك تعكس عملية التغيري. CM 5

ضامن تطبيق هذه املعايري عىل حد السواء عىل التغيريات العاجلة. وينبغي أن تحدد عملية إدارة التغيري CM 6 اإلجراءات املالمئة الواجب اتباعها قبل تنفيذ التغيريات العاجلة وبعدها.

]PS[ 6- اأمن الع�ملني6-1 اأهداف ال�صي��صة

االهدف من هذه السياسة هو ضامن أن جميع املوظفني لدى املؤسسة واملتعاقدين لديها ملمني مبسؤلياتهم االمنية و تطبيق االوامر بالشكل االمثل لتخفيف املخاطر الناتجة عن العمليات التي يتداخل فيها العنرص البرشي.



ضامن أن تتفق عمليات إدارة املوارد البرشية مع سياسات ومبادرات أمن املعلومات باملنظمة. PS 1

* ضامن أن تحتفظ إدارة املوارد البرشية بكتيب موارد برشية يكون متاحالجميع العاملني لضامن وعيهم PS 2 بالتزاماتهم تجاه أمن املعلومات.

* تخزين وإدارة املعلومات ذات الصلة بالعاملني من خالل العناية الواجبة مبا يتفق مع متطلبات التعامل PS 3 مع املعلومات الشخصية وفقا ملا هو محدد بسياسة حامية البيانات والخصوصية املقرتح.

ضامن إدراج مسؤوليات أمن املعلومات كجزء من املسؤوليات والتوصيفات الوظيفية للعاملني وتطبيقها PS 4 عىل عملية توظيف األفراد داخل املنظمة.

* إجراء الفحص املالئم للتأكد من نزاهة املرشحني املحتملني للتوظيف واملتعاقدين )مبا يف ذلك العاملني PS 5 املتعاقدين من الباطن(. وميكن أن تتوسع املؤسسات يف تطبيق هذه املامرسة لتشمل العاملني الحاليني

وفقا للرضورة من أجل الوفاء بالرشوط الناجمة عن عوامل تشتمل، عىل سبيل املثال ال الحرص، عىل"تغيري مسؤوليات العاملني" أو "الشبهة الناجمة عن سلوكيات أي عامل".

ضامن أن يوقع العاملون عىل اتفاقية لالنضامم إىل املؤسسة تنص عىل االلتزامات واملسؤوليات األمنية PS 6 املنوطة بهم. وتتضمن ما ييل:

* التزامات الرسية وعدم اإلفصاح

ضامن وجود ضوابط مالمئة ملنع العاملني )املوظفني واملوردين واملتعاقدين والزوار( من اإلفصاح عن PS 7 املعلومات بدون ترصيح أو سوء استعاملها أو إفسادها مبقتىض السياسات األمنية الخاصة باملؤسسة .

ضامن أن تقترص حقوق املستخدمني يف الوصول إىل املعلومات عىل تلك املعلومات التي يحتاجون إليها PS 8 من أجل االلتزام مبتطلباتهم الوظيفية وفقا للمبادئ األقل امتيازا.

توزيع املسؤوليات عىل عمليات ومهام األمن الحساسة، باستخدام مبادئ الرقابة من قبل شخصني لضامن PS 9 تبادل املعلومات وتجنب وجود شخص واحد يتوىل الرقابة الكاملة عىل العمليات أو املهام الرئيسية.

* وضع عملية تأديبية وضامن توعية العاملني بتلك العملية. وينبغي أن يتم توثيق العملية التأديبية PS 10 ضمن كتيب املوظفني أو كتيب املوارد البرشية.

* ضامن أن يكون املوردون أو املتعاقدون أو املمثلون أو زوار مقار املؤسسة : PS 11

مسجلون وفقا لبيانات تعريفية

يحصلون عىل شارة الزوار

يرتدون الفتة ملحوظة توضح وضعهم كزوار

عىل دراية بالتزاماتهم املتعلقة باالمتثال لسياسات األمن الخاصة باملؤسسة

يصاحبهم موظفو املؤسسة أثناء دخول املناطق اآلمنة

ضامن صدور طلب التغيري من قبل إدارة املوارد البرشية عند تغيري مهام أو فسح عقد أي موظف PS 12 أو متعاقد أو أي طرف آخر. ويكفل ذلك أن يعيد العاملون أو املتعاقدون أو األطراف األخرى أصول

املؤسسة وأن يتم تعديل / إلغاء الوصول املادي واالفرتايض حسب االقتضاء.

]SA[ 7- التوعية االأمنية7-1 اأهداف ال�صي��صة

الغرض من هذه السياسة هو تحديد املعايري الخاصة بربنامج التدريب األمني والتوعية، الذي تنظمه املؤسسة للعاملني واملتعاقدين والعاملة املؤقتة والهيئات األخرى التي قد تستخدم أو تتوىل إدارة أصول نظام املعلومات الخاصة باملؤسسة .


* تنظيم برنامج توعية أمنية وتخصيص املوازنات الالزمة لتنفيذه. SA 1

يتضمن هذا التدريب كحد أدىن: SA 2

* املتطلبات الرئيسية املحددة بكتيب تأمني املعلومات الوطنية هذا.

* املتطلبات األمنية للمؤسسة .


* املسؤوليات القانونية.

* ضوابط العمل.

* االستخدام الصحيح ملرافق معالجة البيانات )عىل سبيل املثال: إجراءات الدخول واستخدام حزم الربمجيات.. إلخ(.

* معلومات حول عملية التنفيذ.

* معلومات حول من ينبغي االتصال به للحصول عىل املزيد من النصائح األمنية والقنوات املناسبة لإلبالغ عن حوادث أمن املعلومات.

يحصل جميع موظفي املؤسسة ، باإلضافة إىل املتعاقدين واملستخدمني لدى األطراف األخرى حيثام كان SA 3 ذلك مناسبا، عىل التدريب والتوعية املالمئني فيام يتعلق بسياسات وإجراءات املؤسسة حسب االقتضاء

بشأن مهامهم الوظيفية وأدوارهم ومسؤولياتهم ومهاراتهم.

يجب تدريب املوظفني عىل متييز طرق و محاوالت الهندسة االجتامعية أو ما يعرف بفن اخرتاق العقول SA 4 و عدم كشف اي معلومات قد تعرض امن املؤسسة للمخاطر اثناء التدريبات او التجمعات االجتامعية.

يتم مراجعة وتحديث مضمون التدريب والتوعية األمنية بصورة منتظمة يك يعكس التوجهات واملخاطر SA 5 والتغيريات الجديدة بالبنية األساسية لتكنولوجيا املعلومات يف املؤسسة .

يحصل العاملون الجدد عىل التدريب والتوعية بأمن املعلومات كجزء من عملية تحفيز العاملني. SA 6

يتم تقييم التدريب للتأكد من فاعلية الربنامج، مبا يف ذلك الحفاظ عىل سجالت حضور برامج التوعية األمنية. SA 7

يتم استخدام الوسائط غري املبارشة مثل امللصقات والشبكات الداخلية والربيد اإللكرتوين.. الخ بصورة SA 8 فعالة من أجل دعم برنامج التوعية.

]IM[ 8- اإدارة احلوادث8-1 اأهداف ال�صي��صة

الحادث املتعلق بأمن املعلومات هو حادث يؤثر عىل رسية أو سالمة أو توافر أي نظام أو شبكة معلومات من خالل إجراء يخالف سياسة األمن املنصوص عليها. وألغراض هذه السياسة، يتم تعريف الحادث بأنه انتهاك أو تهديد وشيك بانتهاك سياسات أمن الحاسب اآليل أو

سياسات االستخدام املقبولة أو املامرسات النموذجية لألمن.

تعتزم هذه السياسة توفري مرجع إلدارة املؤسسات والعاملني الفنيني والتشغيليني اآلخرين من أجل تيسري عملية تخطيط التعامل مع حوادث أمن املعلومات واستخدامه يف االستعداد ملواجهة حوادث أمن املعلومات والكشف عنها والتصدي لها.


* تعيني شخص لتوىل املسؤولية وإدارة برنامج إدارة الحوادث، مبا يف ذلك نقطة اتصال لجميع اتصاالت IM 1 األمن املعلوماتية.

بناء القدرة عىل التصدي لحوادث أمن املعلومات، اعتامدا عىل سياسة تصنيف املعلومات الوطنية القادرة IM 2 عىل إجراء تقييم دوري ملخاطر )من خالل املخاطر ونقاط الضعف وقيمة األصول( البيانات والعمليات

واألنظمة والشبكات وفقا لكتيب تأمني املعلومات هذا.

* تحديد إجراءات الكشف عن الحوادث وتقييمها والتصدي لها. IM 3

تحديد إجراءات اإلبالغ عن حوادث أمن املعلومات وإدارتها واستعادة القدرة عىل العمل داخليا بالتعاون IM 4 مع فريق االستجابة لطوارئ الحاسبات بقطر و املؤسسات األخرى.

* خلق الوعي بني العاملني من أجل اإلبالغ عن الحوادث. IM 5

تصنيف جميع الحوادث وفقا لتصنيف خطورة الحادث املنصوص عليه بامللحق "ج". IM 6

التنسيق مع فريق االستجابة لطوارئ الحاسبات بقطر لوضع سجل حوادث يف املؤسسة . IM 7

* إبالغ فريق االستجابة لطوارئ الحاسبات بقطر عن جميع حوادث املستوى األول من الخطورة خالل IM 8 ساعة واحدة من اكتشاف وقوع الحادث.

IM 9 منسق إدارة الحوادث هو املسئول عن تطوير و تطبيق خطة تأمني البيانات السنوية. هذه املسئولية قد تتضمن اجراء بعض العمليات مثل إختبار اإلخرتاق, مراجعة العمليات االمنية و إختبار محاكاة الحادثة.

]BC[ 9- اإدارة ا�صتمرارية ت�رسيف االأعم�ل9-1 اأهداف ال�صي��صة

تقوم هذه الوثيقة بتحديد معايري وضع وتنفيذ خطة شاملة الستمرارية ترصيف األعامل تساعد يف حالة توقف العمل عىل استمرارية العمليات


القامئة عىل تكنولوجيا املعلومات وتقديم الخدمات الرضورية باملستوى املقبول.


* يتم تعيني شخص يتوىل مسؤولية وإدارة برنامج استمرارية ترصيف األعامل. BC 1

* يتم إعداد خطة استمرارية ترصيف األعامل لضامن استمرارية العمليات الرئيسية وتقديم الخدمات BC 2 باملستوى املقبول. وتتضمن هذه الخطة وتعتمد عىل الوقت املستهدف ونقطة اإلسرتجاع املستهدفة

الستعادة القدرة عىل العمل فيام يتعلق بكل عملية من عمليات املؤسسة.

تشمل خطة استمرارية ترصيف األعامل سيناريوهات الكوارث وتتضمن أحكام استعادة القدرة عىل BC 3 العمل يف حاالت الكوارث.

* يتم الحفاظ عىل خطة استمرارية ترصيف األعامل وتحديثها لتعكس الوضع الحايل واملتطلبات الحالية BC 4 وإتاحتها لجميع أعضاء الفريق.

يتم تخزين نسخة من الخطة املستحدثة الستمرارية ترصيف األعامل باإلضافة إىل وسائط تخزين النسخ BC 5 اإلحتياطية للبيانات الالزمة واملعلومات بخزينة مقاومة للحرائق والعبث إىل جانب تخزين نسخة إضافية

خارج موقع العمل. بحسب افضل املامرسات يجب ان يبعد مركز البيانات الخارجي 22 كلم يف منطقة مختلفة جغرافيا عن مركز البيانات الرئييس.

تحديد مواقع بديلة الستعادة القدرة عىل العمل يف حاالت الكوارث، ويتم تحديد مدى جاهزيتها وفقا BC 6 ملتطلبات الوقت املستهدف الستعادة القدرة عىل العمل. وقد تكون هذه املواقع ساخنة / دافئة / باردة

وفقا ملتطلبات املؤسسة .

النص عىل ضوابط قوية بالعقود عىل تتضمن تعهيدا لجزء من أنشطتها أو مهام تكنولوجيا املعلومات أو BC 7 خدمات استمرارية ترصيف األعامل الخاصة بها.

يتم اختبار خطة استمرارية ترصيف األعامل )Business Continuity Plan( بانتظام ملرة واحدة سنويا BC 8 عىل األقل.

* يتم توعية العاملني بخطة استمرارية ترصيف األعامل. BC 9

]SM[ 10- ت�صجيل االأداء واملت�بعة االأمنية10-1 اأهداف ال�صي��صة

يتناول هذا الباب التعريف بسياسة تنفيذ املتابعة الدقيقة لنشاط تكنولوجيا املعلومات وسط مناخ عمل املؤسسة. وتهدف هذه السياسة إىل توفري متطلبات تسجيل األداء واملتابعة من أجل تعقب البيانات والتطبيقات والتغيريات غري املرصح بها إضافة إىل تعقب الوصول إىل املصادر

بدون ترصيح وإساءة استخدام امتيازات الوصول للمصادر.


* وضع مجموعة من اإلجراءات والضوابط لضامن متابعة الوصول إىل املعلومات وحاميتها. SM 1

* إقرار مامرسات املتابعة وفقا ملدى أهمية البنية األساسية. وينصح بتوفري متابعة ملدة 42 ساعة يوميا SM 2 عىل مدار األسبوع للبيانات, التطبيقات والبنيات األساسية املصنفة C3 و I3 و A3 وضامن تخصيص

]PS[ »بعنوان »أمن العاملني B-6 الفصل PS9 مسؤوليات املتابعة وفقا ملا تحدده الفقرة

أن يتامىش نشاط املتابعة مع األطر الرقابية والقانونية مثل سياسة حامية البيانات والخصوصية ويشمل SM 3 استخدام األنظمة أو الوصول إليها.

* متكني الدخول عىل جميع البنية التحتة لالمن والبنية التحتية الشبكية و أجهزة معالجة البيانات و SM 4 التطبيقات التي تتيح الوصول غىل او تعالج أو تحمي املعلومات املصنفة وفقا ملستوى الرسية C2 أو

أكرث.

تصنيف جميع السجالت األمنية مبستوى رسية C3، بينام يتم تصنيف سجالت التطبيقات واألنظمة وفقا SM 5 لتصنيف الرسية الخاص بالنظام.

أن تحظى السجالت التي تتضمن معلومات شخصية بالتدابري املالمئة لحامية الخصوصية وفقا لسياسة SM 6 حامية البيانات والخصوصية.

* أن يتم االحتفاظ بهذه السجالت ملدة تسعني يوما كحد أدىن, وكحد أقىص اعتامدا عىل القوانني واللوائح SM 7


الخاصة بالقطاع ومدى اهمية تلك السجالت.

أن يتم تسجيل األحداث ذات الصلة لتوفري معلومات كافية تسمح بإعادة محاكاة الحوادث. SM 8

أن يتم زيادة تقارير االستثناء وفقا لسياسة التعامل مع الحوادث، كام هو محدد بالفصل B-8 بعنوان SM 9 .]IM[ »إدارة الحوادث«

]DR[ 11- حفظ واأر�صفة البي�ن�ت11-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو توفري الحد األدىن من املتطلبات األمنية للمؤسسات إلقرار عمليات حفظ وأرشفة البيانات.


* أن تحدد وتوثق فرتات االحتفاظ باألصول املعلوماتية الهامة التي يف حوزتها. وتخضع فرتات االحتفاظ DR 1 بالبيانات كحد أدىن ملا ييل:

سياسات واحتياجات املؤسسة

املتطلبات الرقابية والتنظيمية

املتطلبات القانونية

* أن يتم تخزين البيانات الواجب االحتفاظ بها مبا يضمن رسيتها وسالمتها وإتاحتها وإمكانية الوصول DR 2 إليها ألغراض مستقبلية محددة.

أال يتم االحتفاظ باملعلومات الشخصية لفرتة أطول مام هو رضوري مبقتىض سياسة حامية البيانات DR 3 والخصوصية.

أن يكون لدى عمليات الدعم واألرشفة واستعادة القدرة عىل العمل إجراءات مقابلة تضمن الحفاظ DR 4 علىسالمة ورسية البيانات.

* أن تحتفظ البيانات األرشيفية بعالمات التصنيف الخاصة بها وأن يتم تأمينها وفقا لذلك. DR 5

أن يتم مراجعة أرشيف التكنولوجيا املطبقة لضامن أال يكون قد عفا عليه الزمن والحفاظ عىل البيانات DR 6 األرشيفية يف حالة تسمح باستعادتها بنجاح.

]DC[ 12- التوثيق12-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو وضع الحد األدىن ملجموعة الوثائق األمنية التي يتعني عىل املؤسسات إصدارها، باإلضافة إىل كيفية حامية والحفاظ عىل هذه الوثائق.


* إصدار سياسة أمنية للمؤسسة تتضمن متطلبات كتيب تأمني املعلومات الوطنية هذا. DC 1

ضامن أن يحظى كل نظام تتقرر أهميته للمؤسسة بخطة / مواصفات أمنية. ويجب أن تكفل املؤسسة DC 2 صياغة وتوثيق إجراءات اإلدارة األمنية حسب االقتضاء.

ضامن أن تتوافق معايري وإجراءات أمن النظام مع السياسات واألهداف األمنية للمؤسسة . DC 3

* تصنيف الوثائق األمنية لتكنولوجيا االتصاالت واملعلومات بصورة افرتاضية كحد أدىن C3 / محظور. DC 4

* فحص الوثائق بصورة دورية للتأكد من تحديثها وكونها موجودة ويف حالة جيدة. DC 5

]AC[ 13- التدقيق واإ�صدار ال�صه�دات13-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو ضامن وضع وإدارة برنامج مالئم للحوكمة وتحسني األمن من قبل املؤسسة ، مبا يتفق مع سياسة تصنيف املعلومات الوطنية ]IAP-NAT-DCLS[ وكتيب تأمني املعلومات الوطنية هذا.


]IAP-ضامن وضع برنامج للحوكمة وتحسني األمن مبا يتفق مع سياسة تصنيف املعلومات الوطنية * AC 1


]NAT-DCLSوكتيب تأمني املعلومات الوطنية هذا.

* االلتزام بأحكام قوانني ولوائح الدولة ذات الصلة املعمول بها حاليا وتلك القوانني واللوائح التي ميكن AC 2 تعديلها و / أو إضافتها يف مرحلة زمنية الحقة.

* أن تخضع للمراجعة والتدقيق من قبل جهة املصادقة أو أي هيئة مستقلة تحددها وزارة املواصالت و AC 3 االتصاالت.

* ضامن إجراء مراجعة وتدقيق لنظام املعلومات الخاص بها )البنية األساسية واألشخاص والعمليات( مرة AC 4 واحدة سنويا عىل األقل أو متى يتم إجراء تغيري قد يؤثر عىل أمن املؤسسة .

* ضامن أن يشتمل نطاق عملية املراجعة والتدقيق عىل جميع األصول املعلوماتية واألشخاص والعمليات. AC 5

* ضامن إعادة املصادقة حينام يؤدي أي تغيري أو أي نتائج جديدة إىل إثبات عدم صحة االعتامد الحايل AC 6 أو التشكك يف صحته. وهناك حاجة إىل الحصول عىل مصادقة كاملة للتغيريات الرئيسية التي تؤثر عىل التصميم األمني األسايس ألي نظام وهناك حاجة أيضا إىل اعتامد جزيئ حينام يكون التغيري متوسطا أو

يؤثر عىل اثنني أو أكرث من املتطلبات األمنية.

* ضامن إصالح أي تباينات خالل فرتة زمنية محددة. AC 7

* ضامن حصول املؤسسه عىل موافقة جهة املصادقة عىل أي إعفاء تود القيام به. AC 8

ج- ال�صوابط االأمنيةيغطي هذا الفصل من كتيب تأمني املعلومات الوطنية، بصفة رئيسية، مجاالت الضوابط التقنية التي ينبغي أن تتوىل املؤسسات تنفيذها كنقاط

أمن رئيسية يك تتوافق مع كتيب تأمني املعلومات الوطنية هذا. وتتمثل املجاالت التي يتم تغطيتها أمن االتصاالت وتبادل املعلومات وأمن املنفذ / البوابة وأمن املنتجات وأمن الربمجيات وأمن استخدام النظام وأمن الوسائط والرقابة عىل الوصول إىل املعلومات وأمن التشفري، و أمن األجهزة

املحمولة والعمل خارج املوقع و املحاكاة.

]CS[ 1- اأمن االت�ص�الت1-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو ضامن أن تتخذ املؤسسات التدابري الالزمة التي تكفل أمن تدفق املعلومات والحد من نقاط ضعف األمن املادي املتعلقة بتمديد الكابالت.

1-2 ال�صي��صة وال�صوابط الرئي�صية – متديد الك�بالتللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم استخدام أنابيب )قنوات أو مواسري أو مجارى( لحامية الكابالت من العبث أو التخريب أو األرضار CS 1 العرضية عند نقل البيانات املصنفة عند املستوى C4 أو أكرث. وينصح بهذه الضوابط فيام يتعلق بالبيانات

املصنفة عند املستوى C2 أو أكرث.

* أن يتم استخدام شبكة متديد كابالت مستقلة لألنظمة التي تتعامل مع املعلومات املصنفة عن املستوى CS 2 C4 أو أكرث.

أال يتم وضع عالمات عىل األنابيب املنصبة باألماكن العامة أو أماكن الزوار بأسلوب يجتذب اهتامم ال CS 3 داعي له من قبل أشخاص قد ال يكون لديهم ترصيحات أمنية مناسبة أو ال ينبغي أن يعرفوا بوجود مثل

هذه الكابالت.

* أن تحتفظ بسجل للكابالت. وينبغي أن ينطوي السجل عىل األقل عىل ما ييل: CS 4

رقم تعريف الكابل

التصنيف

املصدر

املقصد

الرسم التخطيطي للموقع

* فحص الكابالت للتعرف عىل أي تباين مع سجل الكابالت بصفة منتظمة. CS 5

ان تقوم املؤسسة توفري اكرث من مسار لإلتصالت لضامن استمرار االتصال. CS 6

1-3 ال�صي��صة وال�صوابط الرئي�صية – الهواتف والف�ك�ص�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات القيام مبا ييل:


إخطار املستخدمني بالحد األقىص ملستوى التصنيف املسموح به فيام يتعلق باملحادثات باستخدام كل CS 7 من خطوط الهاتف الداخلية والخارجية، وفقا ملا يحدده اختبار نظام الهاتف الداخيل ومستوى التشفري،

إن وجد، بالخطوط الخارجية.

* ضامن تعطيل خاصية مكرب الصوت خالل املحادثات الهاتفية املسموعة / املرئية، حيث من املحتمل أن CS 8 يتم مناقشة املعلومات املصنفة عند املستوى C3 واالستامع إليها خلسة.

* ضامن تعطيل خاصية تشغيل أجهزة املحادثات الجامعية عن بعد حيثام يتم تنصيبها يف أحد املواقع CS 9 الحساسة.

* ضامن عزل الغرف املخصصة لتبادل املواد الحساسة بالصورة املالمئة من أجل منع ترسب الصوت. CS 10

* ضامن تأمني أجهزة الفاكس لدى كال الطرفني باستخدام أجهزة التشفري أثناء إرسال املعلومات املصنفة CS 11 عند املستوى C2 أو أكرث.

ضامن الوفاء بجميع معايري استخدام أجهزة الفاكس لدى كال الطرفني عند مستوى التصنيف الواجب CS 12 إرساله؛ ويجري املرسل الرتتيبات للمستقبل يك:

يجمع املعلومات من جهاز الفاكس بأرسع ما ميكن عقب استالمه.

يخطر املرسل يف حالة عدم وصول الفاكس خالل الفرتة الزمنية املتفق عليها، عىل سبيل املثال: 10 دقائق.

]NS[ 2- اأمن ال�صبك�ت2-1 اأهداف ال�صي��صة

تقر هذه السياسة أساس االستخدام العام واالتصال بني شبكات تكنولوجيا املعلومات. فقد فتحت الشبكات الباب أمام املعالجة غري املحدودة من خالل املشاركة واالتصال بني األجهزة واستحداث مفاهيم مثل التطبيقات املوزعة وأنظمة الشبكات...إلخ. ومع ذلك، فقد أدى استحداث الشبكات إىل مجموعة من املخاوف؛ ويحظى أمن العديد من األنظمة وأمن شبكة الربط بذات األهمية، وخاصة يف حالة استخدام شبكات

الوصول العام.

البد من إجراء مقارنة بني مخاطر ومزايا الربط بالشبكات الخارجية. وقد يكون من املستحب أن يتم قرص الربط بالشبكات الخارجية عىل تلك األجهزة املضيفة التي ال تقوم بتخزين مواد حساسة وتحتفظ باألجهزة الهامة يف معزل.

2-2 ال�صي��صة وال�صوابط الرئي�صية – اإدارة ال�صبك�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* ال يتم اإلفصاح عن تفاصيل الشبكة الداخلية وإعدادات النظام وخدمات الدليل ذات الصلة بالعاملينب NS 1 واألجهزة ووسائل التكنولوجيا الحساسة األخرى أو إحصاؤها أمام جمهور العامة من قبل أشخاص

غريمرصح لهم.

أن تلغي أو تعطل جميع الحسابات االفرتاضية مثل )root( أو )admin( ...الخ أو أن تغري كلمة املرور NS 2 ]SS[ »بعنوان »أمن الربمجيات C-6 وفقا ملا هو محدد بالفصل

يتم االحتفاظ بإعدادات الشبكة تحت رقابة وسيطرة مدير الشبكة أو ما شابه وتخضع جميع التغيريات NS 3 باإلعدادات إىل:

. ]CM[ "إدارة التغيري" B-5 التصديق من خالل عملية رسمية ملراقبة التغيري وفقا ملا هو محدد بالفصل

التوثيق وااللتزام بسياسة أمن الشبكات والخطة األمنية وفقا ملا هو محدد بالفصل B-12 بعنوان .]DC[ "التوثيق"

املراجعة املنتظمة. يتم االحتفاظ باإلعدادات القدمية املتبعة وفقا إلجراءات املؤسسة كجزء من مراجعة التغيري. معدل تكرار املراجعة يعتمد عىل مخاطر و عمليات املؤسسة.

* لكل شبكة خاضعة لإلدارة، تحتفظ املؤسسة مبا ييل: NS 4

رسم تخطيطي رفيع املستوى يوضح جميع توصيالت الشبكة.

رسم تخطيطي للشبكة املنطقية يوضح جميع أجهزة الشبكة.

عمليات تحديث NS4 )أ( و)ب(، مع حدوث تغيريات بالشبكة.

وضع ملصق "حايل >بتاريخ<"عىل كل صفحة.

* يتم تصميم وتهيئة الشبكات بحيث تحد من فرص الوصول غري املرصح إىل املعلومات التي تنتقل عرب NS 5 البنية األساسية للشبكة. وينبغي أن تستخدم املؤسسة التكنولوجيات التالية للوفاء بهذا الرشط:

أ. أجهزة تحويل بدال من املحاور.

ب. أمن منافذ قنوات سري البيانات عىل أجهزة التحويل للحد من إمكانية الوصول إىل املعلومات وتعطيل جميع املنافذ غري املستخدمة.


ج. أجهزة الراوتر والجدران النارية التي تعزل أجزاء الشبكة عىل أساس الحاجة إىل املعرفة.

د. أمن بروتوكول اإلنرتنت/ اإلصدار 2 من بروتوكول اإلنرتنت.

ه. التشفري عىل مستوى التطبيقات.

و. أداة آلية تقارن اإلعدادات الحالية ألجهزة الشبكة باإلعدادات املوثقة

ز. توثيق حدود الشبكة

ح. تقييد و إدارة إتصال مستخدمي النظام بشبكة املؤسسة من خالل عدة تقنيات متوفرة, مثال تصفية MAC address Filtering( MAC( عناوين

ط. تفعيل انظمة منع اإلخرتاق و انظمة كشف اإلخرتاق بالشبكة.

ي. تقييد الدخول اىل الشبكة عن طريق السامح فقط بأيام واوقات محدده

* تتبنى شبكات اإلدارة تدابري الحامية التالية: NS 6

VLAN يتم استخدام الشبكة املخصصة ألجهزة اإلدارة، أي تنفيذ شبكة محلية افرتاضية مستقلة لإلدارة أو بنية أساسية مادية مستقلة.

VPNs و قنوات آمنة، عىل سبيل املثال: عن طريق استخدام الشبكات االفرتاضية الخاصة SSH.. الخ.

2-3 ال�صي��صة وال�صوابط الرئي�صية – ال�صبك�ت املحلية االفرتا�صية ––––للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم استخدام الشبكات املحلية االفرتاضية لفصل مرور هواتف بروتوكول اإلنرتنت يف الشبكات الهامة NS 7 واألساسية للعمل.

* أال يتم السامح بالوصول اإلداري للمعلومات إال من خالل الشبكة املحلية االفرتاضية ذات التصنيف NS 8 األعىل إىل شبكة أخرى تحظى بنفس مستوى التصنيف أو تصنيف أقل.

* تنفيذ جميع التدابري األمنية التي تنصح بها عملية تقييم املخاطر يف املؤسسة واإلرشادات املتصلبة NS 9 الصادرة عن مورد جهاز التحويل.

* أال يتم استخدام مراكز تحويل البيانات أو تقنية نسخ املنافذ بأجهزة التحويل التي تدير الشبكات NS 10 املحلية االفرتاضية للتصنيفات املختلفة.

2-4 ال�صي��صة وال�صوابط الرئي�صية – االأجهزة متعددة الوظ�ئف )––––(للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* أال يتم استخدام األجهزة متعددة الوظائف املتصلة بالشبكة لنسخ الوثائق املصنفة أعىل من مستوى NS 11الشبكة املتصلة.

حيثام يكون لدى األجهزة متعددة الوظائف املتصلة بالشبكة القدرة عىل نقل املعلومات عرب بوابة ما إىل NS 12 شبكة أخرى، يتعني عىل املؤسسات أن تكفل ما ييل:

عىل أن يطبق كل من األجهزة متعددة الوظائف مهام تعريف املستخدم والتوثيق والتدقيق جميع املعلومات التي ينقلها املستخدمون من خالل تلك األجهزة متعددة الوظائف.

أن تكون هذه اآلليات متاثل من حيث القوة تلك اآلليات الالزمة ملحطات العمل بتلك الشبكة.

البيانات. * ميكن أن تحدد البوابة املعلومات وتتوىل تنقيتها وفقا للمتطلبات الخاصة بتصدير

* ال يوجد اتصال مبارش من أي من األجهزة متعددة الوظائف بشبكة هاتف ذات تصنيف أقل ما مل يتم NS 13 تقييم الجهاز متعدد الوظائف ويتضمن نطاق التقييم ما ييل:

مهام التحكم يف تدفق املعلومات ملنع تدفق البيانات غري املتعمد وغري املرصح به.

ضوابط تصدير البيانات القادرة عىل حرص املعلومات بناء عىل تصنيف املعلومات.

التوثيق وإصدار وحامية بيانات التدقيق.

أن تتوىل نرش األجهزة متعددة الوظائف عقب وضع مجموعة من السياسات والخطط واإلجراءات التي NS 14 تحكم استخدام األجهزة.

أال يتم االحتفاظ باملعلومات املصنفة عند املستوى C1 أو أكرث بصفة دامئة باألجهزة متعددة الوظائف. NS 15 حيثام تحظى األجهزة متعددة الوظائف بخصائص لجدولة املهام، تبقى الضوابط أو اإلعدادات اليدوية /

األوتوماتيكية الكافية قامئة إللغاء املعلومات من ذاكرتها مبجرد انتهاء املهمة.

تلتزم األجهزة متعددة الوظائف باإلجراءات املحددة بالفصل C 8-3 بعنوان " تطهري الوسائط". NS 16

2-5 ال�صي��صة وال�صوابط الرئي�صية – خوادم اأ�صم�ء النط�ق�ت )–––(


للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم تأسيس خادم داخيل مستقل ألسامء النطاقات داخل الشبكة الداخلية من أجل معلومات النطاق NS 17 الداخيل التي ال يتم اإلفصاح عنها عىل شبكة اإلنرتنت.

أن يكون ملعلومات خادم أسامء النطاقات التي يتعني اإلعالن عنها خادم محيل مضيف وآمن )خادم NS 18 حصني( أو أن تستخدم تلك املعلومات خادم أسامء النطاقات الحكومي الذي ميثل جزءا من الشبكة

الحكومية مثل خادم أسامء النطاقات الرئييس.

أن يتم نرش خوادم أسامء النطاقات لضامن عدم وجود نقاط إخفاق أثناء الخدمة وأن تكون مدعمة أمنيا NS 19 وأن يتم الحفاظ عىل األمن بصورة استباقية.

* أن يتم توقيع ملفات املناطق رقميا وتوفري توثيق التشفري املتبادل وسالمة بيانات التحويل بني املناطق NS 20 والتحديثات الديناميكية.

* أن يتم تأمني توثيق وسالمة أصل التشفري لبيانات خادم أسامء النطاقات. NS 21

أن يتم توفري خدمات خادم أسامء النطاقات، مبا يف ذلك تحويل املناطق، إىل األشخاص املرصح لهم فقط. NS 22

* مهام التشفري ذات الصلة ب NS20 و NS21 أعاله، واستخدام وحدة أمن األجهزة لكل من اإلدارة NS 23 . ]CY[ »بعنوان »أمن التشفري ، C-10 الرئيسية واملعالجة التشفريية وفقا ملا هو محدد بالفصل

2-6 ال�صي��صة وال�صوابط الرئي�صية – اأمن �صبكة االإنرتنتللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم فحص والتحقق من جميع الربامج وامللفات التي يتم تنزيلها من شبكة اإلنرتنت للتحقق من NS 24 .HTTP خلوها من الربامج الضارة، مبا يف ذلك آليات مسح حركة مرور

* أن ترفض بوابة شبكة اإلنرتنت جميع خدمات اإلنرتنت ما مل تكن مفعلة بصفة خاصة. NS 25

أن يتم تهيئة وتحديث برامج تصفح الويب العاملة عىل محطة عمل املستخدم بصورة سليمة. وينبغي NS 26 أن تراجع املؤسسة اإلرشادات التالية عند تهيئة برامج تصفح الويب:

تعطيل أي من خيارات املحتوي النشط، مثل Java و JavaScript و ActiveX ضمن تطبيق / متصفح الربيد اإللكرتوين، باستثناء حالة التواصل مع مصدر موثوق.

استخدام إصدارات حديثة للمتصفح وتطبيق أحدث اإلجراءات األمنية.

تعطيل خصائص االستكامل التلقايئ / تذكر كلمة املرور.

تفعيل خصائص منع الربامج التي تنشأ فجأة، باستثناء حالة التواصل مع املواقع املوثوقة.

إلغاء امللفات املخفية أو امللفات املؤقتة لربامج التصفح من أجل حامية خصوصية البيانات.

تعطيل التنصيب التلقايئ لربامج التوصيل أو اإلضافات أو الربامج.

* أن يكون لديها القدرة الالزمة ملتابعة حركة مرور البيانات واستنتاج أمناط حركة البيانات واالستخدام NS 27 وغري ذلك. انظر الفصل B-10 بعنوان "تسجيل األداء واملتابعة األمنية" ]SM[للتعرف عىل املزيد من

املعلومات.

2-7 ال�صي��صة وال�صوابط الرئي�صية – اأمن الربيد االإلكرتوينللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم دعم خوادم الربيد اإللكرتوين وفقا ألفضل املامرسات وتهيئتها لتكون خوادم حصينة. وينبغي أن NS 28يتم تجنب املعلومات التي تكشف عن التفاصيل املحددة لألنظمة الداخلية أو اإلعدادات ضمن عناوين

الربيد اإللكرتوين، إذا كان ذلك مجديا من الناحيتني التقنية والتشغيلية، من أجل تجنب اإلفصاح عن املعلومات الخاصة بالنظام إىل األطراف الخارجية.

أن يتم استخدام حامية TLS مع خادم الربيد SMTP مبا يتامىش مع الفصل C-10 بعنوان "أمن التشفري" NS 29 .]CY[

* أن تقوم بتنفيذ إطار سياسة مرسل الربيد اإللكرتوين .]SPF( ]RFC4408( وينبغي عىل املؤسسة أن NS 30 ترسل أو تعيد رسائل الربيد اإللكرتوين املرتدة أو التي مل يتم تسلمها إىل املرسلني الذين ميكن التحقق

منهم عن طريق إطار سياسة مرسل الربيد اإللكرتوين.

* أن يتم تأمني قوائم توزيع الربيد اإللكرتوين الداخلية ملنع وصول األطراف الخارجية إىل املعلومات من NS 31 أجل الحد من مخاطر رسائل الربيد اإللكرتوين غري املرغوب فيها.

أن يتم استخدام بوابات الربيد اإللكرتوين ملسح جميع رسائل الربيد اإللكرتوين الواردة والصادرة لضامن NS 32 التزامها بالسياسة األمنية للمؤسسة وخلوها من أي برمجيات ضارة.

2-8 ال�صي��صة وال�صوابط الرئي�صية – االأمن الال�صلكي


للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* حيثام يتم استخدام الشبكات املحلية الالسلكية، ينبغي استخدامها من خالل تدابري كافية لتوثيق NS 33 املعلومات وتشفري نقلها، إضافة إىل االستعانة بعمليات ومامرسات سليمة إلدارة األمن.

* أن يتم إستخدام بروتوكوالت األمن الالسلكية األكرث قوة، مثل WPA2 وEAP-TLS؛ ومع ذلك، ينبغي NS 34 أال يتم االعتامد عىل تلك الربوتوكوالت األمنية الالسلكية وحدها لحامية رسية وسالمة البيانات. وتتوىل

املؤسسة نرش شبكة افرتاضية خاصة آمنة عىل الشبكات الالسلكية يف حالة تبادل البيانات املصنفة C3 أو أكرث عرب الشبكات الالسلكية. وال يتم تنفيذ WEP باعتبارها تكنولوجيا أمنية ثبت ضعفها داخل أي شبكة

حكومية.

* أن يتم االحتفاظ بقامئة سليمة لجميع األجهزة ذات الواجهة الالسلكية. ومبجرد اإلبالغ عن فقدان جهاز، NS 35 .SSID ينبغي دراسة تعديل مفاتيح التشفري ومحدد هوية مجموعة الخدمة

* أن يتوىل مديرو الشبكة إجراء عملية مسح منتظمة لنقاط الوصول الالسلكية إىل املعلومات "الضارة" أو NS 36 "غري املرصح بها".

أن يتم تحديد مواقع نقاط الوصول إىل املعلومات من أجل الحد من التصنت عىل الشبكات من خالل NS 37 املنطقة املتاحة للجمهور.

إعدادات العميل لل 802.1x يجب ان تكون أمنة. بعض التقنيات املتاحة: التحقق من صحة شهادة NS 38الخادم من خالل تحديد شهادة املصادقة، تحديد عنوان الخادم ومنعه من دفع املستخدمني لقبول الثقة

بشهادات أو خادمات جديدة.

)SNMP( أن يتم تغيري االسم االفرتايض للشبكة ومفاتيح التشفري وبروتوكول إدارة الشبكة البسيط * NS 39 والسالسل املجتمعية )وأي إعدادات غري آمنة( عند التنصيب. وينبغي أال يعكس محدد هوية مجموعة

الخدمة اسم أي من إدارات املؤسسة أو اسم النظام أو اسم املنتج.

فيام يتعلق بنقاط الوصول الالسلكية غري العامة، ينبغي أن يتم تغيري مفاتيح التشفري بصفة منتظمة NS 40 وتعطيل بث محدد هوية مجموعة الخدمة SSID. وينبغي أيضا النظر يف تنقية عنوان MAC حسب

االقتضاء.

* أن يكون هناك جدار ناري أو راوتر بني نقطة الوصول إىل املعلومات وشبكة املؤسسة من أجل تنقية NS 41 االتصاالت. وينبغي تطبيق قواعد الجدار الناري املحظورة يك تسمح للمنافذ الالزمة فقط باملرور من

خالل القسم الالسليك.

تفعيل انظمة منع و رصد إخرتاق الشبكات الالسلكية ذات التصنيف C3 وما فوق ملراقبة التهديدات NS 42التي تنشأ من االجهزة املتواجدة داخل نطاق الشبكة الالسلكية و ليست لديها صالحية اإلتصال بالشبكة

rogue Aps و هجامت الحرمان من الخدمة DOS attacks و غريهام.

إستخدام اكرث من معرف ملجموعة خدمات الشبكة الالسلكية SSID مبكونات مختلفة ملختلف الشبكات NS 43املحلية الظاهرية VLANS وأساليب إثبات هوية العميل, إلخ. مثال: املوظفني و الضيوف ميكن ان

يرتبطوا بشبكات السلكية مختلفة. الشبكة الالسلكية للضيوق يكمن ان تحتوي عىل خصائص امنية أقل و تسمح فقط باإلتصال عىل شبكة اإلنرتنت.

2-9 ال�صي��صة وال�صوابط الرئي�صية – التزامنللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

يجب تأمني خوادم بروتوكول وقت الشبكة NTP servers وفقا ألفضل املامرسات. NS 44

* حيثام يكون لدى جهاز الحاسوب أو االتصاالت القدرة عىل تشغيل ساعة الوقت الفعيل، يتم ضبطها NS 45 عىل معيار متفق عليه، عىل سبيل املثال: التوقيت العاملي املنسق )UTC( أو التوقيت املحيل. ونظرا ألن بعض الساعات تخالف التوقيت مبرور الوقت، فالبد من وجود إجراء يتوىل فحص وتصحيح أي تباين يف

التوقيت.

أن يتم استخدام خادم التوقيت الحكومي القطري املرصح به )جزء من الشبكة الحكومية( باعتباره خادم NS 46 .NTP بروتوكول زمن الشبكة الرئييس

NTP أن يتم تحقيق التزامن بني جميع الخوادم وأجهزة الشبكة مع خادم بروتوكول زمن الشبكة الرئييس NS 47 .NS44و NS43 املتزامن وفقا ملا هو محدد يف

2-10 ال�صي��صة وال�صوابط الرئي�صية – ال�صبك�ت االفرتا�صية اخل��صة )––––(للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن تتوىل الشبكات االفرتاضية الخاصة التي تحمل البيانات املصنفة عند املستوى C3 أو أكرث حيثام يتم NS 48 استخدام الشبكات املحلية الالسلكية، ينبغي استخدامها من خالل تدابري كافية لتوثيق املعلومات وتشفري


نقلها، إضافة إىل االستعانة بعمليات ومامرسات سليمة إلدارة األمنعملية التوثيق باستخدام توثيق كلمة املرور ملرة واحدة، مثل جهاز التوثيق أو نظام املفتاح العام / الخاص الذي يتضمن عبارة مرور قوية.

أن تنفصل الشبكات االفرتاضية الخاصة تلقائيا عن شبكة املؤسسة بعد فرتة توقف محددة مسبقا. ويتم NS 49 مطالبة املستخدم بالدخول مرة أخرى إلعادة االتصال بالشبكة.

* أال يتم السامح بوجود قناة مشفرة ثنائية ما مل يكن هناك ضوابط مناسبة. وينبغي عىل املؤسسة أن NS 50 تسمح باالتصال بشبكة واحدة فقط يف املرة.

أن يتم تزويد جميع أجهزة الحاسوب املتصلة بشبكات املؤسسة عن طريق شبكة افرتاضية خاصة بربامج NS 51 أمن شخيص وأحدث الربامج األمنية وبرامج مقاومة الفريوسات وبرامج الكشف عن الربمجيات الضارة

وإصالحها. ويتم تفعيل برامج األمن هذه يف جميع األوقات ومن خالل أحدث التوقيعات الفريوسية وتعريفات الربامج الضارة.

أن يتم تنصيب الجدران النارية عىل مستوى املنافذ من أجل التحكم يف حركة املرور بالشبكة من عمالء NS 52 الشبكة االفرتاضية الخاصة إىل أنظمة وخوادم املعلومات املرصح بها.

2-11 ال�صي��صة وال�صوابط الرئي�صية – االأمن ال�صوتي لربوتوكول االإنرتنت )––––(للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

يعد الصوت والبيانات شبكتني منفصلتني. وينبغي أن يكون الفصل بينهام ماديا؛ ومع ذلك، يتم السامح NS 53 SIP أو H.323 كل من PSTN بالشبكات املحلية االفرتاضية. وتفصل بوابة الصوت، التي تتداخل مع

أو بروتوكوالت VoIP األخرى عن شبكة البيانات.

أن يتم استخدام بوابات األمن الصويت لربوتوكول اإلنرتنت وآليات األمن املالمئة األخرى. NS 54

.)SRTP( أن تتوىل تقييم واستخدام الربوتوكوالت املفعلة أمنيا مثل بروتوكول الزمن الفعيل اآلمن* NS 55

* أن يتم وضع تدابري مكافحة مادية سليمة لحامية البنية األساسية لألمن الصويت لربوتوكول اإلنرتنت. NS 56

* أن يتم تنفيذ املتابعة املالمئة لسجل املكاملات. NS 57

* أن تكون برامج املحادثات الهاتفية عن طريق الحاسوب، إذا تم السامح بها، من خالل اتصال آمن، مثل NS 58 الشبكة االفرتاضية الخاصة اآلمنة.

* أن يتم توفري طاقة احتياطية ألجهزة هاتف األمن الصويت لربوتوكول اإلنرتنت VoIP يف حالة انقطاع Ns 59 الطاقة.

أن يتم تنفيذ ضوابط قوية للتوثيق والوصول إىل املعلومات من أجل حامية نظام بوابة الصوت. NS 60

أن يتم استخدام IPSEC أو بروتوكول نقل امللفات SSH يف جميع عمليات اإلدارة أو الوصول إىل NS 61 املعلومات عن بعد.

أن يتم وضع خطط طوارئ إلجراء مكاملات صوتية يف حالة عدم إتاحة أنظمة األمن الصويت لربوتوكول NS 62 اإلنرتنت.

* أن يتم تفعيل خصائص أمن املنافذ بأجهزة التحويل بالشبكة املحلية التي تربط بني أجهزة األمن NS 63 الصويت لربوتوكول اإلنرتنت.

2-12 ال�صي��صة وال�صوابط الرئي�صية – االإ�صدار رقم 6 لربوتوكول االإنرتنت للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* أن يتم إجراء عملية تقييم مخاطر من قبل املؤسسة من أجل تقييم مزايا وعيوب األمن الخاصة NS 64 .IPv6 وينبغي أن تبدأ املؤسسة يف دراسة نرش .IPv6 و IPv4 بتكنولوجيا

أن يتم إجراء عملية تقييم مخاطر إذا ما قررت املؤسسة تطبيق مناخ الحزمة املزدوجة. NS 65

أن يتم املطالبة بإعادة املصادقة حيث تتوىل املؤسسة نرش IPv6 داخل الشبكات الخاصة بها. NS 66

]IE[ 3- تب�دل املعلوم�ت3-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو توفري املتطلبات األمنية الرئيسية حينام تقوم املؤسسة بتبادل املعلومات الرسية مع األجهزة الوطنية األخرى أو مع األطراف األخرى.


قبل القيام بتوصيل النطاقات بعضها البعض، تتفهم املؤسسة وتوافق عىل هيكل وأمن ومخاطر IE 1النطاقات األخرى. ويتم توثيق مراجعة املخاطر من أجل التأكد من مدى االلتزام.


IE 2 *عند اعتزام ربط شبكة أي من املؤسسة بشبكة أخرى آمنة، ينبغي أن يتم:

الحصول عىل قامئة بالشبكات التي تتصل بها الشبكة األخرى عن طريق مدير االعتامد والنظام بالشبكة األخرى.

فحص املعلومات الصادرة عن كال املصدرين لتحديد ما إذا كان هناك أي توصيالت غري متعمدة عىل التوايل.

دراسة املخاطر املتعلقة بالتوصيالت املحددة عىل التوايل قبل ربط شبكة املؤسسة بالشبكة األخرى، وخاصة حينام يكون هناك اتصال بأحد الشبكات غري املوثوقة مثل شبكة اإلنرتنت.

ضامن إقرار االتفاقيات الالزمة )وخاصة اتفاقيات الرسية( بني الكيانات التي تتبادل املعلومات قبل IE 3 القيام بتبادل تلك املعلومات. وتنص االتفاقيات عىل معلومات حول املسؤوليات وإجراءات إخطار تبادل املعلومات واملعايري التقنية لنقل املعلومات وتحديد رشكات النقل واملسؤوليات وامللكية والضوابط. ويف

حالة املوردين واألطراف األخرى، يتم استخدام اتفاقيات رسمية لعدم اإلفصاح عن املعلومات. وينص امللحق "د" عىل منوذج التفاقية اإلفصاح عن املعلومات.

ضامن حامية الوسائط املستخدمة يف تبادل املعلومات من الوصول غري املرصح أو التالعب أو سوء IE 4 االستخدام داخل وخارج املؤسسة .

الحفاظ عىل التصنيف وحامية املعلومات التي يتم الحصول عليها من املؤسسات األخرى. IE 5

االحتفاظ مبستويات مناسبة الحامية املادية للوسائط التي يتم نقلها وتخزينها يف عبوات تحميها ضد أي IE 6 مخاطر تجعل املضمون غري مقروء.

* ضامن االستعانة برشكات وخدمات النقل املوثوقة ذات املصداقية فقط اعتامدا عىل قامئة من رشكات IE 7 النقل املعروفة واملرصح لها.

* حامية املعلومات التي يتم تبادلها عن طريق الرسائل اإللكرتونية من الوصول غري املرصح له أو التغيري IE 8 أو انقطاع الخدمة.

ضامن استخدام الرسائل اآلمنة )يتم توقيع و /أو تشفري املعلومات رقميا( يف نقل جميع املعلومات IE 9 املصنفة عند املستوى C3 أو أكرث. وينبغي عىل املؤسسة استخدام بروتوكول افضل من او مكافئ اىل

الربوتوكول اآلمن متعدد األغراض للتوسع يف الربيد اإللكرتوين وفقا ملا هو محدد بالفقرة CY7 ، الفصل .]CY[ »بعنوان »أمن التشفري C-10

* إرفاق إخالء املسؤولية عن الربيد اإللكرتوين أو ما شابه بجميع رسائل الربيد اإللكرتوين الصادرة: "قد IE 10 تتضمن املعلومات التي يشتمل عليها هذا الربيد اإللكرتوين، مبا يف ذلك املرفقات، معلومات رسية تحظى

بحامية حقوق امللكية الفكرية أو تكون ذات امتيازات قانونية. ويتم إرسال هذا الربيد اإللكرتوين إىل األشخاص املستهدفني. ويعد الوصول إىل هذا الربيد اإللكرتوين من قبل أي شخص آخر غري مرصح به. ويحظر أي استخدام أو اإلفصاح عن أو نسخ أو توزيع هذا الربيد اإللكرتوين من قبل أشخاص آخرين

بخالف الشخص املرسل إليه. فإذا مل تكن الشخص املرسل إليه، ينبغي أن تحذف هذه الرسالة عىل الفور من نظامك. وإذا كنت تعتقد أنك قد تسلمت هذا الربيد اإللكرتوين عن طريق الخطأ، يرجى االتصال

باملرسل أو اسم >املؤسسة وبيانات االتصال<. وتعد اآلراء التي يتم التعبري عنها بهذا الربيد اإللكرتوين أو مرفقاته خاصة باملرسل فقط ما مل ينص املرسل رصاحة عىل كونها آراء خاصة باملؤسسة .

مامرسة العناية الواجبة لضامن خلو أي معلومات يتم إرسالها أوإستقبالها من الفريوسات وفريوس IE 11 طروادة والربمجيات الضارة األخرى.

ضامن حامية املعلومات التي يتم تبادلها بني األنظمة ضد سوء االستخدام أو الوصول غري املرصح به إىل IE 12 املعلومات أو فساد البيانات. ولنقل املعلومات املصنفة عند املستوى C1 أو C2 أو أكرث، يتم استخدام

.]CY[ "بعنوان "أمن التشفري C-10 الفصل ،CY4 القنوات املوثقة واملشفرة وفقا ملا هو محدد يف

* قرص املعلومات املتاحة إىل جمهور العامة )عن طريق وسائل اإلعالم( عىل املعلومات املوثقة واملعتمدة IE 13 من خالل متحدث إعالمي محدد ومدرب.

]GS[ 4- اأمن البوابة4-1 اأهداف ال�صي��صة

الهدف الرئييس من هذه السياسة هو توفري الحد األدىن ملتطلبات األمن من أجل حامية البوابات املستخدمة يف االتصاالت بني املؤسسات باإلضافة إىل االتصاالت بالروابط الخارجية.

ميكن استخدام عملية نرش البوابة الخاضعة للرقابة لضامن انتقال املعلومات املسموح بها فقط بني البوابة والشبكات املتصلة بها. وميكن استخدام ذلك للحفاظ عىل متطلبات الحاجة إىل املعرفة ومنع األنشطة الضارة من االنتشار من شبكة إىل أخرى. وتتضمن البوابات أجهزة

الراوتر والجدران النارية وحلول تنقية املضمون والخوادم الوكيلة.


4-2 ال�صي��صة وال�صوابط الرئي�صية – ع�مللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم حامية الشبكات من الشبكات األخرى من خالل بوابات والتحكم يف تدفق البيانات بصورة سليمة. GS 1

أن يتم تنفيذ البوابات التي تربط شبكات املؤسسة بشبكات املؤسسات األخرى أو بالشبكات العامة GS 2 غري الخاضعة للرقابة:

من خالل جهاز الشبكة املالئم للتحكم يف تدفق البيانات.

من خالل التحكم يف تدفق البيانات بالصورة املالمئة.

من خالل وضع مكونات البوابة بصورة مادية داخل غرفة الخادم املؤمنة بالصورة املالمئة.

أن يتوىل فريق العمل املرصح له واملدرب إدارة البوابات والحفاظ عليها. GS 3

* أن يتم توفري إمكانية الوصول اإلداري إىل البوابات التي تتوىل معالجة أو نقل املعلومات املصنفة عند GS 4 املستوى C3 أو أكرث اعتامدا عىل الرقابة املزدوجة ومبادئ الرقابة من قبل شخصني.

أن يتم وسم املعلومات التي يتم تبادلها عرب البوابات وفقا لسياسة تصنيف البيانات GS 5 ]IAP-NAT-DCLS[ وحاميتها وفقا ملا تنص عليه هذه الوثيقة. وينبغي أن يتم تصنيف البوابات مبا

يتامىش مع املعلومات التي تنقلها.

أن يتم استخدام منطقة DMZ لفصل األنظمة التي ميكن الوصول إليها من الخارج عن الشبكات العامة GS 6 غري الخاضعة للرقابة والشبكات الداخلية عن طريق استخدام جدران نارية وأجهزة أمن الشبكات

األخرى.

البوابات: GS 7

هي سبل االتصال الوحيدة من وإىل الشبكات الداخلية.

ترفض بصورة افرتاضية جميع التوصيالت من وإىل الشبكة.

تسمح بالتوصيالت املرصح بها فقط.

تخضع لإلدارة عن طريق مسار آمن يتم عزله عن جميع الشبكات املتصلة.

توفر قدرة تدقيق كافية للكشف عن أي اخرتاق أمني للبوابات وأي محاولة القتحام الشبكات.

توفر إنذار يف الزمن الفعيل.

* أن يتم دعم البوابات قبل التطبيق عىل أي موقع إنتاج وحاميتها من: GS 8

الربمجيات الضارة ونقاط الضعف.

اإلعدادات الخاطئة أو السيئة.

تسوية الحسابات وزيادة االمتيازات.

متابعة الشبكات الضارة.

رفض االعتداءات عىل الخدمة.

ترسب املعلومات / البيانات.

* أن تكون هناك متابعة وإرشاف عىل البوابات وتتضمن تلك املتابعة واإلرشاف آليات درء املخاطر GS 9 .]SM[ "بعنوان "تسجيل األداء ومتابعة األمن B-10 وتسجيل األداء واإلنذار ومراقبة املعدات. الفصل

أن متنع البوابات أو تستبعد أي بيانات يعتربها مرشح املضمون مريبة، مبا يف ذلك عىل األقل ما ييل: GS 10

* اللغة أو املرفقات البذيئة أو العدائية.

املضمون املفعم بالربامج الخبيثة.

االعتداءات عىل الخدمة.

مبا يف *فئات املواقع اإللكرتونية / املضمون التي تعتربها ]IAP-NAT-CRIM[ غري مالمئة، ذلك املواقع اإللكرتونية التي تستضيف املواد اإلباحية ومواقع املقامرة...الخ.

4-3 ال�صي��صة وال�صوابط الرئي�صية – ت�صدير البي�ن�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

مستخدمو النظام: GS 11

يكونون عرضة للمساءلة عن البيانات التي يقومون بتصديرها.

تصدر إليهم التعليامت بإجراء فحص الوسم الوقايئ والفحص العيني وفحص البيانات الوصفية ذات الصلة حول إمكانية تصدير البيانات.


صادرات البيانات إما أن: GS 12

يتم تنفيذها وفقا للعمليات و /أو اإلجراءات التي تصدق عليها املؤسسة .

يتم اعتامدها بصفة فردية من قبل مدير أمن املعلومات.

* أن يتم حظر تصدير البيانات إىل نظام يحظى بتصنيف أقل من خالل ترشيح البيانات باستخدام فحوص GS 13 عالمات التصنيف عىل األقل.

* أن يتم فحص صادرات البيانات مبا يكفل: GS 14

البحث عن الكلامت الرئيسية يف جميع البيانات النصية.

حظر أي بيانات محددة لحني مراجعتها واملوافقة عىل إصدارها من قبل أي مصدر موثوق بخالف جهة إصدار البيانات.

4-4 ال�صي��صة وال�صوابط الرئي�صية – ا�صترياد البي�ن�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

مستخدمو النظام: GS 15

يكونون عرضة للمساءلة عن البيانات التي يقومون بتصديرها.

تصدر إليهم التعليامت بإجراء فحص الوسم الوقايئ والفحص العيني وفحص البيانات الوصفية ذات الصلة.

واردات البيانات إما أن: GS 16

يتم تنفيذها وفقا للعمليات و /أو اإلجراءات التي تصدق عليها املؤسسة .

يتم اعتامدها بصفة فردية من قبل مدير أمن املعلومات.

* أن يتم مسح البيانات الواردة إىل نظام املؤسسة من أجل الكشف عن املضمون الضار والنشط. GS 17

]PR[ 5- اأمن املنتج�ت5-1 اأهداف ال�صي��صة

تقر هذه السياسة الحد األدىن من األمن الالزم النتقاء وحيازة منتجات املعلومات من خالل عملية سليمة لالنتقاء واالستحواذ. وينبغي أن تكفل املؤسسات اختيار املنتجات املنتقاة بعد إجراء عملية تقييم مستقلة تفي باملتطلبات األمنية املدرجة بهذه السياسة.

5-2 ال�صي��صة وال�صوابط الرئي�صيةللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم إجراء عملية انتقاء املنتجات بعناية واجبة وأن تكفل استقاللية املنتجات واملوردين. PR 1

أن يتم تصنيف ووسم املنتجات وفقا لسياسة تصنيف البيانات الوطنية PR 2 .]IAP-NAT-DCLS[

* أن تتضمن عملية االنتقاء تحديد املوردين بالصورة املالمئة وفحص املوردين وتحديد معايري التقييم التي PR 3 ينبغي أن تتضمن كحد أدىن ما ييل:

وضع وهوية املورد، مبا يف ذلك املوقع وامللكية.

املوقف املايل.

املراجع حول املشاركات السابقة الناجحة.

د. قدرة املورد عىل تطبيق و/أو الحفاظ عىل االوامر التي حددها تقرير تقييم املخاطر.

أن يتم إجراء االختبار السليم واملضاهاة الفعالة بني طلب املوردين وأسلوب العمل من أجل تجنب PR 4 فقدان رسية وسالمة و /أو إتاحة املعلومات.

* أن يتم إجراء تقييم أمني للمنتج عىل أساس اإلعدادات األمنية املخصصة، مبا يف ذلك اختبارات أسلوب PR 5 العمل واختبارات األمن من أجل الحامية من املخاطر املحتملة ونقاط الضعف.

أن يتفق تقديم املنتجات مع املامرسات األمنية للمؤسسة من أجل تقدميها بصورة آمنة. PR 6

أن تتضمن إجراءات تقديم املنتجات بصورة آمنة تدابري للكشف عن أعامل العبث أو التخفي. PR 7

* أن يتم رشاء املنتجات من الجهات املطورة التي تلتزم بإجراء عمليات صيانة مستمرة ملنتجاتها. PR 8

أن تكون هناك عمليات لتطوير وتحديث املنتجات. وينبغي أن تلتزم التحديثات بسياسات إدارة التغيري PR 9 .]CM[ "بعنوان "إدارة التغيري B-5 املحددة بالفصل


]SS[ 6- اأمن الربجمي�ت6-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو تحديد أهمية تضمني األمن داخل عملية تطوير وحيازة الربمجيات، بدال من إضافتها يف صورة برنامج إضايف. وتتوىل هذه السياسة تعريف األمن باعتباره يرسي عىل املراحل املتعددة لدورة حياة تطوير الربمجيات / النظام. وتغطي هذه السياسة أيضا

الضوابط األمنية للتطبيقات التجارية املنترشة داخل أي من املؤسسة .

6-2 ال�صي��صة وال�صوابط الرئي�صية – تطوير وحي�زة الربجمي�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم دراسة تضمني األمن يف جميع مراحل دورة حياة تطوير الربمجيات / النظام وأن يكون جزءا ال SS 1 يتجزأ من مرشوع تطوير وتنفيذ الربمجيات.

* أن يتم تصنيف جميع التطبيقات )مبا يف ذلك الجديدة واملطورة( باستخدام سياسة تصنيف املعلومات SS 2 الوطنية ]IAP-NAT-DCLS[ وأن تحظى بالحامية األمنية املالمئة لتصنيفات رسية وسالمة وإتاحة

املعلومات.

أن يتم تطوير وتنفيذ املتطلبات األمنية )املتطلبات الوظيفية والتقنية ومتطلبات التأمني( كجزء من SS 3 متطلبات النظام.

* أن يتم إتاحة البنية األساسية املخصصة لالختبار والتطوير )األنظمة والبيانات( وأن تكون منفصلة SS 4 عن أنظمة اإلنتاج. وعالوة عىل ذلك، يكون تدفق املعلومات بني الكيانات محدودا للغاية وفقا لسياسة

محددة وموثقة، بحيث يحظى مستخدمو النظام فقط بإمكانية الوصول إىل املعلومات ويتم تعطيل إمكانية الوصول إىل املصدر اإلداري للربمجيات.

أن يتم إتاحة جميع التطبيقات )املكتسبة و /أو املطورة( الستغاللها يف اإلنتاج فقط بعد إجراء االختبارات SS 5 والفحوص املالمئة لتوكيد الجودة واألمن لضامن التزام النظام باملتطلبات األمنية املستهدفة.

* أن تستخدم رشكات تطوير الربمجيات مامرسات الربمجة اآلمنة عند كتابة الربمجيات، مبا يف ذلك: SS 6

.]Mitre[ االلتزام بأفضل املامرسات، وعىل سبيل املثال أخطر 25 خطأ برمجي

تصميم الربمجيات يك تستخدم أدىن مستويات التميز من أجل تحقيق مهمتها.

رفض الوصول إىل املعلومات افرتاضيا.

فحص قيمة عائدات جميع مكاملات النظام.

التحقق من سالمة جميع املدخالت.

أن تتم مراجعة و /أو اختبار الربمجيات للكشف عن نقاط الضعف قبل استخدامها يف بيئة اإلنتاج. والبد SS 7 أن تتم مراجعة و /أو اختبار الربمجيات من قبل طرف مستقل وليس من قبل رشكة التطوير.

أن يلتزم النظام )املكتسب و /أو املطور( بجميع املتطلبات القانونية، مبا يف ذلك الرتاخيص وحقوق الطبع SS 8 والنرش وحقوق امللكية الفكرية...الخ.

أن يتم توثيق جميع األنظمة )املكتسبة و /أو املطورة( بالصورة املالمئة. SS 9

* أن تتم إتاحة مصدر برمجية التطبيقات الحساسة املطورة خصيصا، ويف حالة التطبيقات التجارية )التي SS 10 تخدم التطبيقات / العمليات الحساسة(، يتعني عىل املؤسسات النظر يف خيارات توفري ضامن ملصدر

الربمجية.

.]AC[ "بعنوان "االعتامد B-13 أن يتم اعتامد التطبيقات قبل تنفيذها وفقا ملا محدد بالفصل SS 11

6-3 ال�صي��صة وال�صوابط الرئي�صية – تطبيق�ت الربجمي�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم توثيق جميع أهداف وآليات أمن الخوادم ومحطات العمل ضمن خطة أمن النظام املعنية. SS 12

* أن تخضع محطات العمل لبيئة عمل قياسية مدعمة تغطي ما ييل: SS 13

إلغاء الربمجيات غري الالزمة.

تعطيل أسلوب العمل غري املستغل أو غري املستحب يف الربمجيات وأنظمة التشغيل التي تم تركيبها.

تطبيق ضوابط الوصول إىل املعلومات عىل البنود ذات الصلة لقرص إمكانية وصول مستخدمي النظام والربامج عىل الحد األدىن الالزم ألداء املهام والواجبات.

تنصيب الجدران النارية القامئة عىل الربمجيات والتي تحد من االتصاالت الصادرة والواردة من وإىل الشبكة.

تهيئة تسجيل األداء عن بعد أو نقل سجالت األداء املحلية إىل خادم مركزي.


* أن يتم الحد من نقاط الضعف املحتملة يف بيئة العمل القياسية املدعمة ويف األنظمة عن طريق: SS 14

إلغاء عملية تبادل امللفات غري الالزمة.

ضامن تحديث عملية تعديل الربمجيات.

تعطيل إمكانية الوصول إىل أسلوب عمل املدخالت / املخرجات غري الرضورية.

إلغاء الحسابات غري املستخدمة.

إعادة تسمية الحسابات االفرتاضية.

استبدال كلامت املرور االفرتاضية.

الخوادم ذات املخاطر املرتفعة، مثل الويب والربيد اإللكرتوين وامللفات وخوادم االتصاالت الهاتفية SS 15 الخاضعة لربوتوكول اإلنرتنت وغريها، التي تتصل بالشبكات العامة غري الخاضعة للرقابة:

الفصل الوظيفي الفعال بني الخوادم مبا يسمح لتلك الخوادم بأن نعمل بصورة مستقلة.

الحد من االتصاالت بني الخوادم بكل من الشبكة ومستوى نظام امللفات، حسب االقتضاء.

قرص وصول مستخدمي النظام والربامج عىل الحد األدىن الالزم ألداء املهام والواجبات.

فحص سالمة جميع الخوادم التي تحظى وظائفها بأهمية لدى املؤسسة وتلك الخوادم التي تتعرض SS 16 ملخاطر كبرية. وينبغي متى أمكن أن يتم إجراء هذه الفحوص من قبل بيئة موثوقة بدال من النظام ذاته.

تخزين معلومات السالمة بصورة آمنة بعيدا عن الخادم بأسلوب يحافظ عىل السالمة. SS 17

تحديث معلومات السالمة عقب كل تغيري قانوين يف النظام. SS 18

* مقارنة معلومات السالمة املختزنة مبعلومات السالمة الحالية لتحديد ما إذا كان قد حدث تسوية أو SS 19 تعديل قانوين ولكنه غري مكتمل بالصورة الصحيحة، كجزء من جدول التدقيق املستمر باملؤسسة .

تسوية أي تعديالت يتم الكشف عنها وفقا إلجراءات إدارة الحوادث األمنية لتكنولوجيا االتصاالت SS 20 واملعلومات باملؤسسة .

* أن تتم مراجعة جميع التطبيقات الربمجية لتحديد ما إذا كانت تحاول تأسيس أي وصالت خارجية. ويف SS 21 حالة إدراج أسلوب العمل اآليل للوصالت الصادرة، يتعني عىل املؤسسات اتخاذ قرار عميل لتحديد ما إذا

كان ينبغي السامح بهذه الوصالت أو رفضها، مبا يف ذلك تقييم املخاطر التي ينطوي عليها ذلك القرار.

6-4 ال�صي��صة وال�صوابط الرئي�صية – تطبيق�ت الويبللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* أن تتم مراجعة كل املحتوى الفعال بخوادم الويب الخاصة بها ألسباب أمنية. وينبغي أن تلتزم املؤسسة SS 22 بالوثائق املنصوص عليها بدليل مرشوع أمن تطبيقات الويب املفتوحة من أجل بناء تطبيقات وخدمات

ويب آمنة.

أن يتم خفض االتصال والوصول بني كل من مكونات تطبيقات الويب إىل الحد األدىن. SS 23

أن تتم حامية املعلومات الشخصية والبيانات الحساسة أثناء التخزين والنقل باستخدام ضوابط التشفري SS 24 املالمئة.

أن تستخدم املواقع الوطنية اإللكرتونية التي ينبغي توثيقها شهادات SSH التي يوفرها مقدم خدمة SS 25 الشهادات الذي يحظى برتخيص داخل دولة قطر.

يجب إستخدام الجدار الناري لتطبيقات الويب للتطبيقات ذات معدل املخاطرة العايل او املتوسط. SS 26

6-5 ال�صي��صة وال�صوابط الرئي�صية – قواعد البي�ن�تللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن ترتبط جميع املعلومات التي يتم تخزينها داخل أي قاعدة بيانات بتصنيف مالئم إذا كانت تلك SS 27 املعلومات:

ميكن تصديرها إىل نظام مختلف أو

تتضمن تصنيفات مختلفة و /أو متطلبات معالجة مختلفة.

ينبغي أن تكفل املؤسسة تطبيق التصنيفات مبستوى من التفاصيل يكفي لتحديد متطلبات معالجة أي SS 28 معلومات يتم اسرتجاعها أو تصديرها من أي قاعدة بيانات بوضوح.

* أن يتم حامية ملفات قواعد البيانات من الوصول إليها مبا يتجاوز ضوابط الوصول الطبيعية لقاعدة SS 29 البيانات.

أن توفر قواعد البيانات أسلوب العمل مبا يسمح بتدقيق إجراءات مستخدمي النظام. SS 30

* ال يستطيع مستخدمو النظام، ممن ليس لديهم امتياز كايف لالطالع عىل مضمون قاعدة البيانات، رؤية SS 31


البيانات الوصفية ذات الصلة ضمن قامئة نتائج البحث الصادرة عن محرك البحث. ويف حالة عدم القدرة عىل تنقية نتائج البحث يف قاعدة البيانات بالصورة املالمئة، يتعني عىل املؤسسات ضامن سالمة جميع

نتائج البحث من أجل الوفاء بالحد األدىن ملتطلبات األمن لدى مستخدمي النظام.

يجب استخدام تقنية قناع البيانات للبيانات الحساسة ذات التصنيف C3 أو اكرث. SS 32

]SU[ 7- اأمن ا�صتخدام النظ�م7-1 اأهداف ال�صي��صة

تقر هذه السياسة الحاجة إىل أن تحدد املؤسسات بوضوح السلوكيات واإلجراءات املسموح بها وغري املسموح بها داخل أنظمتها. وينبغي أن تكفل املؤسسة أن يحظى مستخدمو النظام بالتدريب عىل التوعية لضامن تفهمهم اللتزاماتهم.

7-2 ال�صي��صة وال�صوابط الرئي�صية للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتوىل مستخدمو األنظمة املسؤولية عن األصول املعلوماتية )األنظمة / البنية األساسية( التي يتم SU 1 تزويدهم بها لتنفيذ مسؤولياتهم الرسمية. ويقوم مستخدمو النظام مبعالجة األصول املعلوماتية من خالل

العناية الواجبة وإدارتها مبا يتامىش مع سياسة االستخدام املقبول لدى املورد / املؤسسة .

أن ميارس مستخدمو النظام العناية الواجبة عند الدخول إىل الويب وتصفحه ويلتزم هؤالء مببادئ SU 2 وإرشادات املؤسسة بشأن الوصول إىل شبكة اإلنرتنت. وينبغي أن تنظر املؤسسة يف ما إذا كان استخدام

املنتديات والشبكات االجتامعية وغريها مسموحا أو غري مسموح به.

أن تتم حامية أصول تكنولوجيا االتصاالت واملعلومات من املخاطر القامئة عىل الويب عن طريق تنفيذ SU 3 التدابري التي سوف تحول دون تنزيل الربمجيات واملضمون الفعال واملواقع اإللكرتونية غري ذات الصلة

بالنشاط.

أن يتم توفري إمكانية الوصول إىل الويب من خالل الخوادم الوكيلة وبوابات التنقية وفقا ملا هو محدد SU 4 .]GS[ "بعنوان "أمن البوابة C-4 بالفصل

* أن يكون العاملون عىل دراية بأمناط املضمون املرصح به واملحظور داخل املؤسسة وفقا ملا هو محدد SU 5 بالفصل B-4 بعنوان "أمن البوابة" ]GS[. وينبغي أن تنظر املؤسسة يف إيجاد حل فعال ملتابعة مضمون

القنوات املشفرة.

أن يقوم العاملون باستخدام الربيد اإللكرتوين بهمة ونشاط وإدراج عالمات التصنيف الالزمة اعتامدا عىل SU 6 .]IAP-NAT-DCLS[ املضمون / املرفقات وفقا لسياسة تصنيف املعلومات الوطنية

أن يتم اتخاذ التدابري املالمئة لحامية الربيد اإللكرتوين من املخاطر املحتملة كالفريوسات وفريوس طروادة SU 7 والرسائل التطفلية والتزوير والهندسة االجتامعية

. )Social Engineering(

* أن يكون العاملون عىل دراية بعدم السامح باستخدام خدمات الربيد اإللكرتوين العامة القامئة عىل SU 8 الويب يف إرسال واستقبال الربيد اإللكرتوين من أنظمة املؤسسة .

أن يكون العاملون عىل وعي برضورة إرسال رسائل الربيد اإللكرتوين املستخدمة يف تبادل املعلومات SU 9 الرسية إىل املستلمني املذكورين وليس إىل مجموعة أو قامئة توزيع.

أن يكون العاملون عىل وعي بأن استخدام إعادة التوجيه التلقائية لرسائل الربيد اإللكرتوين تعتمد SU 10 عىل حساسية رسائل الربيد اإللكرتوين العادية الخاصة بهم. وينبغي أال يتم إعادة توجيه رسائل الربيد

اإللكرتوين التي تحمل معلومات مصنفة عند املستوى C2 أو أكرث بصورة تلقائية إىل خارج أنظمة املؤسسة .

* أن تكفل املؤسسة عند التعامل مع األطراف الخارجية أن يتفهم املستقبلون أو املصدرون الخارجيون SU 11 .]IE[ "بعنوان"تبادل املعلومات C-3 ويوافقون عىل استخدام البيانات املصنفة وفقا ملا هو محدد بالفصل

]MS[ 8- اأمن الو�ص�ئط8-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو مساعدة املؤسسات عىل تعريف كيفية تصنيف الوسائط ووسمها وتسجيلها من أجل تقديم العون يف تحديدها وتفسريها بالصورة املالمئة. وتدرس السياسة دورة الحياة الكاملة للوسائط بدءا باالستخدام واإلصالح والتطهري والتدمري إىل التخلص منها.

8-2 ال�صي��صة وال�صوابط الرئي�صية – ت�صنيف وو�صم الو�ص�ئطللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:


أن يتم تصنيف األجهزة التي تحتوي عىل الوسائط عند مستوى تصنيف املعلومات التي تشتمل عليها MS 1 الوسائط أو أعىل من هذا املستوى.

أن يتم تصنيف الوسائط غري املعرضة للتأثر وفقا ألعىل مستوى تصنيف تحظى به املعلومات املختزنة MS 2 بها.

* أن يتم تصنيف الوسائط رسيعة التأثر التي تشتمل عىل مصدر طاقة مستمرة ضمن أعىل مستوى MS 3 لتصنيف املعلومات املختزنة بها أثناء عملية توصيل الطاقة. وميكن التعامل مع الوسائط رسيعة التأثر

باعتبارها معلومات مصنفة عند املستوى C1 مبجرد فصل الطاقة عن الوسائط.

أن يتم إعادة تصنيف وسائط التخزين إذا: MS 4

كانت املعلومات املنقولة إىل تلك الوسائط تحظى مبستوى تصنيف مرتفع.

كانت املعلومات التي تتضمنها تلك الوسائط تخضع إلمكانية تطوير مستوى التصنيف.

ميكن إلغاء تصنيف الوسائط التي تحمل معلومات مصنفة عقب: MS 5

إلغاء تصنيف املعلومات املختزنة عىل الوسائط من قبل املنشئ

تطهري الوسائط وفقا للفصل رقم C-8-3 بعنوان "السياسة والضوابط الرئيسية – تطهري الوسائط".

يف حالة عدم إمكانية تطهري وسائط التخزين، ال ميكن إلغاء تصنيفها ويتعني تدمريها. MS 6

* ميكن التعرف عىل تصنيف جميع الوسائط بوضوح. وينبغي أن تحقق املؤسسة ذلك عن طريق وسم MS 7 ،B-4 الوسائط بعالمة وقائية تنص عىل الحد األقىص ملستوى التصنيف وفقا ملا هو محدد بالفصل رقم

. ]DL[ "بعنوان "وسم البيانات

ميكن التعرف عىل تصنيف جميع الوسائط بوضوح. وعند استخدام الضامنات غري النصية لعالمات MS 8 التصنيف نتيجة ألمن التشغيل، يتعني عىل املؤسسات توثيق خطة التوسيم وتدريب أعضاء فريق العمل

بالصورة املالمئة.

8-3 ال�صي��صة وال�صوابط الرئي�صية – تطهري الو�ص�ئطللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* أن تتوىل توثيق اإلجراءات الخاصة بتطهري الوسائط، التي يتم اختبارها بانتظام MS 9

أن يتم تدمري جميع أمناط الوسائط التالية التي تتضمن معلومات مصنفة عن املستوى C1 أو أكرث قبل MS 10 التخلص منها، امثلة لذلك:

امليكروفيش وامليكروفيلم.

األقراص الضوئية.

رشائط الطابعات وسطح التأثري املواجه لالسطوانة.

الذاكرة القراءة فقط القابلة للربمجة.

ذاكرة القراءة فقط.

الوسائط الخاطئة التي ال ميكن تطهريها بنجاح.

أن يتم تطهري الوسائط رسيعة التأثر عن طريق: MS 11

فصل الطاقة عن الوسائط ملدة 10 دقائق عىل األقل أو

إحالل جميع مواقع الوسائط من خالل منط عشوايئ يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل.

* أن يتم تطهري الوسائط املغناطيسية غري املعرضة للتأثر عن طريق: MS 12

أ. إحالل الوسائط بالكامل، إذا ما كانت صادرة قبل عام 2002 أو كانت أقل من 22 جيجابايت بأسلوب عشوايئ يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل لثالثة مرات.

ب. إحالل الوسائط بالكامل، إذا ما كانت صادرة بعد عام 2002 أو كانت أكرب من 22 جيجابايت بأسلوب عشوايئ يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل ملرة واحدة

ج. استخدام جهاز نزع املغناطيسية مبجال قوة يكفي ملسح الوسائط )مالحظة: إزالة املغنطيسية قد تجعل بعض الوسائط الحديثة غري صالحة لإلستعامل(.

أن يتم تطهري وسائط EPROM ذات ذاكرة القراءة القابلة للربمجة واملسح عن طريق املسح وفقا MS 13 ملواصفات الرشكة املصنعة، مبا يزيد من الزمن املحدد للمسح باألشعة فوق البنفسجية إىل ثالثة أضعاف،

ثم إحالل الوسائط بالكامل من خالل منط شبه عشوايئ.

يجب توثيق تطهري الوسائط ذات التصنيف C3 او اكرث.


أن يتم تطهري وسائط الذاكرة الرسيعة عن طريق إحالل الوسائط مرتني بالكامل باستخدام منط شبه MS 14 عشوايئ يليه إعادة قراءة الوسائط للتحقق من عملية اإلحالل.

8-4 ال�صي��صة وال�صوابط الرئي�صية – اإ�صالح و�صي�نة الو�ص�ئطللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

* أن يقوم العاملون املطلعون الخاضعون للفحص املالئم بتنفيذ عمليات إصالح وصيانة األجهزة التي MS 15تتضمن معلومات مصنفة.

أن يتم إجراء عمليات إصالح األنظمة التي تشتمل عىل معلومات مصنفة عند املستوى C3 أو أكرث يف ظل MS 16 اإلرشاف.

8-5 ال�صي��صة وال�صوابط الرئي�صية – تدمري الو�ص�ئط والتخل�ص منه�للوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن تتوىل توثيق اإلجراءات الخاصة بتدمري الوسائط والتخلص منها MS 17

* أن يتم تدمري الوسائط عن طريق: MS 18

أ. نزع مغناطيسية وسائط EPROM ذات ذاكرة القراءة القابلة للربمجة واملسح.

ب. تفكيك الوسائط.

ج. تسخني الوسائط لحني حرقها وتحولها إىل رماد أو انصهارها.

* أن يتوىل أعضاء فريق العمل اإلرشاف عىل تدمري الوسائط: MS 19

أ. معالجة الوسائط إىل حد التدمري.

ب. ضامن نجاح تدمري الوسائط بالكامل.

ج. يجب توثيق تطهري الوسائط ذات التصنيف C3 او اكرث.

أن يتم تطهري الوسائط ألقىص درجة ممكنة، مبا يف ذلك الوسائط الخاطئة، التي تشتمل عىل معلومات MS 20 مصنفة قبل التخلص منها.

* أال تجتذب عملية التخلص من الوسائط ومخلفات الوسائط اهتامما غري مستحق. MS 21

]AM[ 9- اأمن الرق�بة على الو�صول9-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو إقرار استخدام ونرش مجموعة متنوعة من حلول الرقابة عىل الوصول إىل املعلومات لضامن رسية وسالمة وإتاحة األصول املعلوماتية للمؤسسة . وتحدد هذه السياسة القواعد الالزمة لتحقيق هذه الحامية وضامن إدارة أنظمة معلومات األجهزة الوطنية

بصورة آمنة وفعالة.


أن يحظى املستخدمون بإمكانية الوصول إىل املعلومات استنادا إىل مفهوم "االمتياز األقل" عىل أساس AM 1 "الحاجة إىل املعرفة" و"الحاجة إىل الحيازة".

أن تخضع إمكانية الوصول إىل املعلومات لإلدارة والرقابة من خالل ضوابط الوصول إىل النظام والهوية AM 2 والتوثيق وعمليات املراجعة والتدقيق التي تستند إىل حساسية املعلومات. وينبغي أن تتم املوافقة عىل

طلب الوصول إىل املعلومات من قبل املرشف أو املدير الذي يرأس أحد أعضاء فريق العمل.

* أن تستند حقوق أي مستخدم أو كيان يف الوصول إىل املعلومات من أجل إنشاء أو قراءة أو تحديث AM 3 أو حذف أو نقل األصول املعلوماتية للمؤسسة عىل منوذج هرمي للحقوق التي تحددها قواعد العمل

املقررة من قبل أصحاب تلك املعلومات.

أن يتم إقرار عملية تكفل تحديث الوصول إىل نظام املعلومات يك يعكس الدور الجديد املنوط باملوظف، AM 4 فور إجراء أي تغيري يف دور أو وضع املوظف.

أن يسعى مستخدمو النظام الذين يحتاجون إىل قدرة إضافية للوصول إىل املعلومات لتجاوز اآلليات AM 5 األمنية ألي سبب وراء الحصول عىل تفويض رسمي من قبل مدير أمن املعلومات.

* أن يتم اعتبار أي محاولة غري مفوضة للتحايل عىل رقابة الوصول إىل معلومات املؤسسة مبثابة حادث AM 6 أمني ويتم التعامل معه وفقا لإلجراءات املقررة للتعامل عن الحوادث و /أو سياسات وإجراءات املوارد

البرشية املالمئة.

أن يتم تفعيل والحفاظ عىل سجالت التدقيق بأسلوب يسمح مبتابعة االلتزام بالسياسة الوطنية ويساعد AM 7


يف إدارة الحوادث.

* أن يخضع الوصول املنطقي لشبكات املؤسسة للرقابة التقنية. وقد يكون ذلك باستخدام خدمات / AM 8 أجهزة الرقابة عىل الوصول إىل الشبكات.

* أن يتم الحفاظ عىل سجالت آمنة ملا ييل: AM 9

جميع مستخدمي النظام املفوضني.

هوية املستخدم الخاصة بهم.

األشخاص الذين منحوهم املوافقة عىل الوصول إىل النظام.

موعد منح املوافقة والتفويض.

الحفاظ عىل السجل عىل مدار فرتة تواجد النظام الذي تم منح إمكانية الوصول إليه.

* أن يتم عرض شعار تسجيل الدخول قبل منح إمكانية الوصول إىل النظام. وينبغي أن تشمل هذه AM 10 الشعارات ما ييل:

السامح ملستخدمي النظام املفوضني فقط بالوصول إىل النظام.

موافقة مستخدم النظام عىل االلتزام بسياسات األمن ذات الصلة.

دراية مستخدم النظام بإمكانية متابعة استخدام النظام.

تعريف االستخدام املقبول للنظام.

التبعات القانونية النتهاك السياسات ذات الصلة.

طلب استجابة مستخدم النظام، متى أمكن، عىل سبيل اإلقرار.

* أن تتم حامية هيئات التوثيق املركزية )Active Directory(، مثل LDAP وقواعد بيانات التوثيق وغريها AM 11 من االعتداءات عىل الخدمة واستخدام قنوات آمنة وموثقة السرتجاع بيانات التوثيق. وتتوىل مثل تلك

الهيئات تسجيل األحداث التالية:

تحديث املعلومات / الوصول إىل املعلومات دون تفويض.

تاريخ البدء واالنتهاء وزمن النشاط باإلضافة إىل محدد النظام.

هوية املستخدم )لتسجيل الدخول غري القانوين(.

نشاط تسجيل الدخول والخروج )لتسجيل الدخول غري القانوين(.

الجلسة / املحطة الطرفية أو االتصال عن بعد.

9-3 ال�صي��صة وال�صوابط الرئي�صية – حتديد الهوية والتوثيقللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن تضع وتحتفظ مبجموعة من السياسات والخطط واإلجراءات املشتقة من سياسة التصنيف الوطنية AM 12 ]IAP-NAT-DCLS[تشمل مستخدمي النظام فيام يتعلق مبا ييل:

تحديد الهوية.

التوثيق.

التفويض.

أن تتوىل توعية مستخدمي النظام لديها بسياسات وإجراءات املؤسسة . AM 13

جميع مستخدمي النظام: AM 14

ميكن تحديد هويتهم بصورة فريدة.

يتم توثيقهم يف كل مناسبة يتم خاللها منح إمكانية الوصول إىل النظام.

* أال يتم منح األفراد من غري العاملني أو املتعاقدين أو االستشاريني حساب مستخدم أو امتيازات AM 15 الستخدام املوارد املعلوماتية أو أنظمة االتصاالت الخاصة باملؤسسة دون موافقة رصيحة من مدير أمن

املعلومات الذي يتحقق من إبرام االتفاقيات املناسبة واستيفاء مناذج الرتاخيص والوصول إىل النظام.

* أن تكون هناك وسائل بديلة لتحديد هوية مستخدم النظام عند استخدام حسابات مشرتكة / غري AM 16 محددة.

* أن تكون معلومات التوثيق غري املحمية التي تسمح بالوصول إىل النظام أو تتوىل فك تشفري أي جهاز AM 17 مشفر قامئة داخل النظام الذي متنح معلومات التشفري إمكانية الوصول إليه.

* أال تكون بيانات توثيق النظام املستخدمة عرضة لالعتداءات ويشتمل ذلك، عىل سبيل املثال ال الحرص، AM 18 عىل تخزين املعلومات وإعادة استخدامها واعرتاض نقل املعلومات بني طرفني والتحكم يف الجلسات.


* سياسة كلمة املرور التي تفرض حد أدىن لكلمة املرور يصل إىل 12 رمز بدون أي رشوط معقدة أو حد AM 19 أدىن يصل إىل سبعة رموز تتألف من ثالثة عىل األقل من مجموعات الرموز التالية:

.)a-z( حروف صغرية

.)A-Z( حروف كبرية

أرقام)0-9( .

عالمات الرتقيم والرموز الخاصة.

* أن يتم تغيري كلامت املرور مرة واحدة عىل األقل كل 90 يوما. AM 20

* أال يستطيع مستخدمو النظام تغيري كلمة املرور ألكرث من مرة يوميا ويجرب النظام املستخدم عىل تغيري AM 21 كلمة املرور املنتهية الصالحية عند تسجيل الدخول املبديئ أو عند إعادة التشغيل.

* أن يتم فحص كلامت املرور املختارة ملنع ما ييل: AM 22

كلامت املرور التي ميكن التنبؤ بها عند إعادة التشغيل.

إعادة استخدام كلامت املرور عند إعادففة تشغيل الحسابات املتعددة.

كلامت املرور التي يتم إعادة استخدامها بعد إجراء مثانية تغيريات لها.

استخدام املستخدمني لكلامت املرور التسلسلية أو املتعاقبة.

* ضبط إعدادات قفل الشاشة / الجلسة عىل: AM 23

التشغيل بعد 15 دقيقة كحد أقىص من توقف مستخدم النظام عن العمل.

التشغيل يدويا من قبل مستخدم النظام عند الرغبة يف ذلك.

اإلقفال إلخفاء جميع املعلومات الظاهرة عىل الشاشة متاما.

ضامن عدم ظهور الشاشة كام لو كانت مغلقة يف حالة اإلقفال.

قيام مستخدم النظام بإعادة التوثيق من أجل فتح النظام.

عدم السامح ملستخدم النظام بتعطيل آلية اإلقفال.

* أن يتم تعليق الوصول إىل النظام بعد عدد محدد من محاوالت تسجيل الدخول أو مبجرد عدم حاجة AM 24 أي من أعضاء فريق العمل إىل الدخول عىل النظام نتيجة لتغيري األدوار أو ترك العمل باملؤسسة .

* كلامت املرور املفقودة أو املرسوقة أو املعرضة لخطر الكشف عنها: AM 25

يتم إبالغ مدير أمن املعلومات عنها يك يكفل تعليق العمل بالحساب الخاص بها.

يتم تغيريها مبجرد التحقق من هوية املستخدم.

* أن يتم تعليق العمل بالحسابات التي تكون غري عاملة ملدة تتجاوز ثالثة )3( شهور. AM 26

* أن يتم تدقيق الحسابات الخاصة مبعلومات معالجة األنظمة املصنفة عند املستوى C2 أو I2 أو A2 أو AM 27 أي مستوى أعىل من أجل التحقق من العملة كل ستة )6( شهور.

9-4 ال�صي��صة وال�صوابط الرئي�صية – الو�صول اإىل النظ�مللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن تتوىل سياسات األمن توثيق رشوط الوصول إىل النظام والرتاخيص األمنية والتعليامت الالزمة من أجل AM 28 الوصول إىل النظام.

* أن يتم فحص مستخدمي النظام وفقا ملا هو محدد بالفصل B-6 بعنوان "األمن الشخيص" ]PS[ قبل AM 29 منح أي منهم ترصيح بالدخول عىل النظام.

* أن يتلقى مستخدمو النظام أي تعليامت الزمة قبل منح أي منهم ترصيح بالدخول عىل النظام. AM 30

9-5 ال�صي��صة وال�صوابط الرئي�صية – الو�صول املتميز اإىل النظ�مللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أن يتم توثيق ومراقبة ومساءلة والحد من استخدام الحسابات املتميزة. وينبغي أن يتم استخدام AM 31 الحسابات املتميزة يف العمل اإلداري فقط.

أن يتم إسناد حساب فردي إىل مديري النظام من أجل االضطالع مبهامهم اإلدارية. AM 32

* أن يحظى املواطنون القطريون وحدهم دون غريهم بإمكانية الوصول املتميز إىل معلومات معالجة AM 33 األنظمة املصنفة عند املستوى C4 أو أي مستوى أعىل ما مل يتم منح موافقة رصيحة إلستثناء هذه

السياسة.


* أن يتم تحديث سجل إدارة النظام من أجل تدوين املعلومات التالية: AM 34

أنشطة التطهري.

بدء تشغيل النظام وإغالقه.

إخفاق املكونات أو األنظمة.

أنشطة الصيانة.

أنشطة الدعم واألرشفة.

أنشطة استعادة قدرة النظام عىل العمل.

األنشطة الخاصة أو األنشطة خارج ساعات العمل.

9-6 ال�صي��صة وال�صوابط الرئي�صية – الو�صول اإىل النظ�م عن بعدللوفاء مبتطلبات هذه السياسة، يتعني عىل املؤسسات أن تكفل ما ييل:

أال يتم السامح بالدخول عىل النظام عن بعد ما مل تكن هناك موافقة رصيحة من قبل مدير اإلدارة وما AM 35 مل تكن مربرة مبقتىض متطلبات العمل وبعد مامرسة العناية الواجبة لتحليل املخاطر املتعلقة وتنفيذ

الضوابط املناسبة للتخفيف من حدة املخاطر املحددة.

* أن يتم استخدام توثيق العامل املزدوج من خالل استخدام رمز أو إشارة أوالضوابط الخاصة بالسامت AM 36 البيولوجية وما شابه عند الدخول إىل بيانات معالجة األنظمة املصنفة عند املستوى C3 أو أي مستوى

أعىل.

* أن يتم تأمني جلسات الدخول عن بعد باستخدام التشفري املالئم من البداية إىل النهاية وفقا ملا هو AM 37 .]CY[ "بعنوان "أمن التشفري C-10 محدد بالفصل

أن يتم تزويد أجهزة الحاسوب املتصلة بالنظام عن بعد بجدار ناري شخيص وبرنامج ملكافحة الفريوسات AM 38 الخبيثة عىل األقل. ويتم تفعيل هذه الضوابط األمنية يف جميع األوقات.

أن يتم إصالح الربمجيات، مبا يف ذلك برامج األمن املنصبة عىل أجهزة الحاسوب، وتحديثها بصفة دامئة. AM 39

* أال يقوم املستخدمون بالدخول عىل األنظمة الداخلية للمؤسسة من خالل أجهزة الحاسوب العامة، AM 40 عىل سبيل املثال: أجهزة الحاسوب مبقاهي اإلنرتنت وغري ذلك أو طباعة املواد من خالل أي أجهزة

حاسوب عامة.

أن يقترص دخول املوردين عند بعد إىل األنظمة عىل الحاالت التي ال تنطوي عىل أي بدائل أخرى. ويف AM 41 هذه الحالة، يخضع بدء االتصال لرقابة ومتابعة املؤسسة . ويكون دخول املوردين عن بعد إىل األنظمة

لفرتة زمنية محددة فقط ترتبط بفرتة تنفيذ املهمة املراد تنفيذها.

]CY[ 10- اأمن الت�صفري10-1 اأهداف ال�صي��صة

تقر هذه السياسة أسس استخدام تكنولوجيات التشفري من أجل الحفاظ عىل رسية و /أو سالمة األصول املعلوماتية. ويتعني عىل املؤسسة ، باعتبارها أمينا عىل املعلومات العامة والرسية، حامية البيانات / املعلومات الخاصة والحساسة أيضا من جميع املخاطر ونقاط الضعف الداخلية

والخارجية التي تتهدد املؤسسة .


أن يفي لوغاريتم التشفري وأجهزة / برامج التشفري وأنظمة اإلدارة الرئيسية والتوقيعات الرقمية CY 1 باملتطلبات املحددة بامللحق B من هذا الكتيب حول لوغاريتم وأنظمة التشفري.

أن يتم تحديد عمر املفتاح بصفة رئيسية من خالل التطبيقات والبنية األساسية للمعلومات التي يتم CY 2 استخدامه بها. ويتم عىل الفور إلغاء املفاتيح واستبدالها يف حالة الكشف عنها أو االشتباه يف ذلك.

* أن يتم تشفري األصول املعلوماتية املصنفة عند املستوى C3 من سياسة تصنيف املعلومات الوطنية CY 3 ]IAP-NAT-DCLS[وحاميتها من اإلفصاح عنها دون موافقة أثناء تخزينها و /أو نقلها بغض النظر عن

أسلوب أو وسائط التخزين. وميكن أن تطبق املؤسسة ضوابط التشفري هذه عىل األصول ذات متطلبات الرسية األدىن، إذا ما تقرر رضورة ذلك من خالل عملية تقييم املخاطر.

أن يتم تأمني سالمة األصول املعلوماتية املصنفة عند املستوى I3 من سياسة تصنيف املعلومات الوطنية CY 4 ]IAP-NAT-DCLS[من خالل استخدام تجزئة التشفري. وميكن أن تطبق املؤسسة ضوابط التشفري هذه


عىل األصول ذات متطلبات السالمة األدىن، إذا ما تقرر رضورة ذلك من خالل عملية تقييم املخاطر. ويحدد امللحق "ب" من هذا الفصل لوغاريتم التجزئة املعتمدة.

* أن يتم استخدام الربوتوكوالت التالية ذات اللوغاريتم املعتمد املحدد بامللحق "ب" لتأمني البيانات CY 5 املصنفة عند املستوى C3 أثناء عملية النقل:

TLS )128 + bits( ]RFC4346[ : لتأمني حركة مرور البيانات عرب الويب

SFTP ]SFTP[ :لتأمني نقل امللفات

SSH v2 ]RFC4253[ وأ IPSEC ]RFC 4301[ :لتأمني الوصول إىل املعلومات عن بعد

يجب إستخدام بروتوكول التوقيع و تشفري الرسائل : ]S\MIME vs ]RFC 3851أو أفضل ، انظر CY11 ملعرفة املتطلبات ملرتبطة

* أن يتم تشفري / تجزئة وحامية كلامت املرور بصفة دامئة من اإلفصاح عنها دون موافقة أثناء تخزينها و CY 6 /أو نقلها بغض النظر عن أسلوب أو وسائط التخزين. ويتم تشفري كلامت املرور املتميزة وتخزينها بعيدا

عن املوقع إىل جانب ملفات الدعم كلام تم تغيري كلمة املرور لضامن إمكانية استعادتها بالكامل.

* أن يتم توثيق وحدات أمن األجهزة، حيثام يتم استخدامها، وفقا للمستوى رقم 2 من مستويات املعهد CY 7 .]CC3-1[ EAL4أو للمعايري العامة FIPS 140-2 ]FIPS 140-2[ القومي للمعايري والتكنولوجيا

.HSMs أن يتم نقل مفاتيح التشفري بصورة مادية فقط يف CY8

أن يتم تحديد عمليات إدارة املفاتيح وفقا لـ ]ISO11770-1[ واستخدامها يف إدارة دورة حياة مفاتيح CY 9 التشفري، مبا يشمل املهام التالية:

أدوار ومسؤوليات الجهات املسئولة عن حفظ املفاتيح.

إصدار املفاتيح.

الرقابة املزدوجة واملعارف املقسمة.

تخزين املفاتيح بصورة آمنة.

استخدام املفاتيح.

التوزيع والنقل اآلمن للمفاتيح.

دعم واستعادة املفاتيح.

الفحص الدوري لحالة املفاتيح.

الكشف عن املفاتيح.

إلغاء وتدمري املفاتيح.

عمليات املراجعة والتدقيق والتوثيق.

عىل املؤسسات القيام بضامن توافق الشهادات الرقمية مع املعايري املحددة من قبل إدارة البنية التحتية CY 10 للمفاتيح العامة و مقدمي خدمة الشهادات CSP-PMA بوزارة املواصالت و االتصاالت. ويجب عىل املؤسسات ضامن استخدام أنظمة إبطال الشهادات الرقمية عىل االنرتنت لتقليل مخاطر االحتيال يف

استخدام الشهادات الرقمية

أن تفي أنظمة مقدمي خدمات الشهادات املعتمدة التي توفر البطاقات األمنية الذكية باملتطلبات CY 11 .]CWA14167-1[ الخاصة بخدمات توفري األجهزة وفقا ملا هو محدد يف

* أن يتم إصدار أي شهادات رقمية مستخدمة بنظام اإلنتاج من قبل مقدمي خدمة الشهادات املعتمدين CY 12 بدولة قطر.

]OS[ 11- اأمن االأجهزة املحمولة والعمل خ�رج املوقع11-1 اأهداف ال�صي��صة

الهدف الرئييس من هذه السياسة هو وضع الحد األدىن ملتطلبات األجهزة املحمولة ]أجهزة الهاتف املحمول والحاسوب املحمول[ عند استخدامها داخل املؤسسة أو يف أي أماكن أخرى غري خاضعة للرقابة.


* أن تتوىل وضع السياسات التي تحكم ما إذا كان ميكن استخدام أجهزة الهواتف املحمولة والحاسوب OS 1 املحمول يف منظامتهم وكيفية استخدامها.


أال تقوم بإجراء محادثات مصنفة باستخدام أجهزة الهواتف املحمولة وأجهزة الحاسوب املحمول املزودة OS 2 بإمكانية إجراء املحادثات الهاتفية من خالل استخدام امللحقات التي تعمل من خالل البلوتوث.

أال يتم تفعيل منافذ أجهزة الهواتف املحمولة والحاسوب املحمول ذات وصالت منافذ البلوتوث OS 3 التسلسلية إذا كان الجهاز يحمل معلومات مصنفة.

أال يتم السامح بدخول الهواتف املحمولة املزودة بأجهزة تسجيل إىل املناطق ذات الخطورة العاليةدون OS 4 موافقة مسبقة من قبل مدير أمن املعلومات.

* يجب أن تقوم جميع أجهزة الهواتف املحمولة والحاسوب املحمول بتشفري املعلومات التي تحملها ، و OS 5 حاميتها بكلمة مرور.

* يجب أن يتم وضع جميع أجهزة الهواتف املحمولة والحاسوب املحمول تحت اإلرشاف املبارش واملستمر OS 6 أثناء االستخدام أو املحافظة عليها يف مأمن يف حالة عدم االستخدام.

* أال يتم استخدام أجهزة الهواتف املحمولة والحاسوب املحمول غري اململوكة بصورة مبارشة للمؤسسة OS 7 أو الخاضعة لرقابة املؤسسة داخل أنظمة املؤسسة . وينبغي أن تتم إدارة ومساءلة وتوثيق أجهزة الهواتف املحمولة والحاسوب املحمول غري اململوكة للمؤسسة أو الخاضعة لرقابة املؤسسة بنفس

األسلوب الذي تخضع له األجهزة اململوكة للمؤسسة . وميكن أن تكون أجهزة الهواتف املحمولة والحاسوب املحمول اململوكة للمؤسسة متصلة بصورة مؤقتة بإحدى شبكات املؤسسة ، برشط استخدام جدار ناري مناسب لحامية الجهاز من أي مخاطر محتملة تنشأ عن الشبكة غري الخاضعة لرقابة املؤسسة

.

أال تتصل أجهزة الهواتف املحمولة والحاسوب املحمول غري املوثقة بأنظمة املؤسسة أو تتوىل تخزين OS 8 املعلومات الخاصة باملؤسسة . ومع ذلك، يتم السامح ألجهزة الهواتف املحمولة والحاسوب املحمول

املتصلة بصفة مؤقتة برشط أن يتم فصلها عن الشبكات الرئيسية عن طريق جدار ناري.

* يف حالة فقدان أو رسقة أجهزة الهواتف املحمولة والحاسوب املحمول، ينبغي أن يتم إبالغ مدير / OS 9 مكتب أمن املعلومات وأجهزة تطبيق القانون املعنية عىل الفور. ويتم التعامل مع حاالت الفقدان /

.]IM[ الرسقة مبقتىض اإلرشادات الخاصة بإدارة الحوادث

*أن يكون هناك خطة لإلتالف/ اإلغالق / املسح عن بعد / التدمري التلقايئ يف حاالت الطوارئ فيام يتعلق OS 10 بجميع أجهزة الهواتف والحواسيب املحمولة.

]PH[ 12- االأمن امل�دي12-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو ضامن منع الوصول املادي غري املرصح أو إلحاق الخسائر املادية مبقار ومعلومات املؤسسة . وينبغي عىل للمؤسسة أن تكفل تبني تدابري وضوابط األمن املادي من أجل الوفاء باملتطلبات الرئيسية لهذه السياسة.


أن يتم إقرار الحامية املناسبة لألماكن املادية بناء عىل عملية تقييم املخاطر. وينبغي أن تتم عملية PH 1 التقييم خالل مرحلة تصميم البناء الجديد أو، فيام يتعلق بأماكن العمل القامئة، كجزء من عملية إدارة

املخاطر املستمرة.

أن يتم تقسيم األماكن املادية اعتامدا عىل متطلباتها األمنية. ويتم تخصيص مستوى أمن مادي لكل PH 2 منطقة. ويحدد الجدول أدناه املستويات:

يوفر مستوى الحامية املصمم للرقابة عىل األصول غري املصنفة )عىل سبيل الحد األدىن للحاميةاملثال: CoIoAo(. ويعترب غري مالئم بصفة عامة للعمليات الحكومية )غري

العامة(.

يوفر مستوى الحامية املصمم للرقابة عىل األصول ذات القيمة املعتدلة أو الحامية األوليةاألصول املصنفة عند مستوى »منخفض«. وعادة ما يتم استخدامها كأساس

للعمليات الحكومية.

يوفر مستوى الحامية املصمم للرقابة عىل األصول ذات القيمة املتوسطة أو الحامية املتوسطةاألصول املصنفة عند مستوى »متوسط«.


يوفر مستوى الحامية املصمم للرقابة عىل األصول ذات القيمة املرتفعة أو الحامية املرتفعةاألصول املصنفة عند مستوى »مرتفع«.

أن يتم تنفيذ ضوابط األمن املادي املالمئة يف كل منطقة. ويوفر امللحق "أ" تفاصيل ضوابط الحامية الدنيا PH 3واألولية، باإلضافة إىل التوصيات الخاصة بالضوابط اإلضافية. وتتطلب الحامية املتوسطة فئة إضافية من

الضوابط، بينام تتطلب الحامية املرتفعة فئتني إضافيتني من الضوابط. وميكن أن تضيف املؤسسة ضوابط إضافية إىل جانب تلك الضوابط التي تقرها هذه السياسة.

تنفيذ سياسة "املكتب النظيف" و"الشاشة النظيفة". PH 4

أن تفي غرف الخوادم / البيانات مبتطلبات الحامية املتوسطة. PH 5

* أن تكون الكابالت التي تحمل املعلومات املصنفة عند املستويات C1-C3 منفصلة ماديا )مبا يف ذلك PH 6كابالت األلياف الضوئية( وأن متر يف أنابيب منفصلة عن الكابالت التي تحمل املعلومات املصنفة عىل

.)C4(املستوى القومي القومي

أن يتم وضع وتنفيذ خطة أمن للمواقع وإجراءات تشغيل قياسية لجميع املناطق اآلمنة، حسب االقتضاء. PH 7وتشتمل املعلومات التي يتم تغطيتها، عىل سبيل املثال ال الحرص، عىل:

ملخص لعملية تقييم مخاطر األمن الوقايئ.

أدوار ومسؤوليات مسؤول وأعضاء فريق عمل املرفق أو مسؤول وأعضاء فريق عمل أمن تكنولوجيا االتصاالت واملعلومات.

إدارة وتشغيل وصيانة نظام مراقبة الوصول اإللكرتوين إىل املعلومات و /أو نظام اإلنذار األمني.

اإلدارة الرئيسية وانضامم وإلغاء مستخدمي النظام وإصدار الهوية الشخصية.

تراخيص أعضاء فريق العمل وتدريب التوعية األمنية وإصدار التعليامت املنتظمة.

فحص عمليات املراجعة والتدقيق والسجالت الصادرة.

عمليات الفحص واملتابعة يف نهاية اليوم.

اإلبالغ عن حوادث وخرق أمن تكنولوجيا االتصاالت واملعلومات.

]VL[ اأملح�ك�ة -13-1 اأهداف ال�صي��صة

الهدف من هذه السياسة هو توفري ضوابط لتأمني البيئة التقنية اإلفرتاضية للمؤسسة. يتعني عىل املؤسسات ان تتأكد بأن تلك البيئات اإلفرتاضية مومنة عىل نحو كاف.

يف حالة أن البيئة اإلفرتاضية خدمة مقدمة من طرف ثالث خارج املؤسسة، عىل املؤسسة ان تستعني بسياسة تأمني الحوسبة السحابية )مقرتح(.


* تقييم املخاطرة املتعلقة بالتكنولوجيا االفرتاضية VL1

تقييم املخاطر يف سياق السياسات القانونية والتنظيمية والترشيعات ذات الصلة

تقييم تأثري إدخال التكنولوجيا اإلفرتاضية عىل بنيتك املعلوماتية التحتية املوجودة و املوقف االمني املرتبط.

* تقوية الطبقة الوسيطة الربمجية التي تقوم بإدارة االنظمة اإلفرتاضية و جميع االنظمة واالجهزة VL2املرتبطة بها بناء عىل افضل املامرسات و التوجهات االمنية املتبعة إضافة إىل توصيات العميل.

فرض االمتيازات األقل وفصل الواجبات ) ارجع إىل القسم C-9 إدارة الوصول ( إلدارة بيئة افرتاضية VL3

تحديد أدوار معينة واالمتيازات املطلوبة لكل مسؤول يف إدارة الربامج االفرتاضية املركزية.

تقييد الوصول اإلداري املبارش إىل طبقة إدارة االنظمة اإلفرتاضية إىل أقىص حد ممكن.

اعتامدا عىل املخاطر وتصنيف املعلومات التي يتم التعامل معها، يجب عىل املؤسسات

النظر يف إمكانية استخدام عوامل التوثيق املتعددة أو تقسيم التحكم يف إدارة كلامت الرس عىل إثنني او اكرث من املسئولني.


* ضامن األمن املادي النايف ملنع الوصول غي املا ح قه إىل البيئة التطنية االفت اضية VL4

بيئة تكنولوجيا االفرتاضية يجب ان تعدل بحيث يضاف إليها طرق امنية أخري لتوفري التحكم االمن عىل VL5طبقات )نهج الدفاع من العمق( الستكامل الضوابط املقدمة من املوردين والتكنولوجيا.

فصل األجهزة اإلفرتاضية بناء عىل تصنيف البيانات التي يتم معالجتها و / أو مواقع تخزينها. VL6

* إدارة التغيري )أنظر القسم B-6 إدارة التغيري( عملية تشمل بيئة التكنولوجيا االفرتاضية. VL7

تتأكد من تحديث بيانات الجهاز االفرتايض والحفاظ عىل اكتامل صورة الجهاز االفرتايض

يف جميع األوقات.

ينبغي الحرص عىل صيانة وتحديث لالجهزة االفرتاضية التي ليست يف حالة نشطة )نامئة أو مل تعد تستخدم(.

* يجب أن يتم تسجيل ومتابعة سجالت من بيئة التكنولوجيا االفرتاضية جنبا إىل جنب مع البنية التحتية VL8لتقنية أخرى)أنظر القسم B-10 تسجيل األداء واملتابعة األمنية(.


امللحق –اأ– )قي��صي( – ال�صوابط امل�دية

م�صتوى احلم�ية

احلم�ية الدني� )اإلزامي ب�لك�مل( احلم�ية االأولية )اإلزامي ب�لك�مل( ال�صوابط املتو�صطة واملرتفعة

حميط االأمن امل�دي تركيب أجهزة إنذار عىل األبواب املقاومة للحرائق ومتابعتها واختبارها.

ينبغي بناء جدران وأرضية وأسقف املكان املحيط بصفة دامئة وربطها ببعضها البعض.

ينبغي الحد من عدد مداخل ومخارج املرفق

جميع الضوابط الدنيا

جدران سليمة من الناحية املادية دون وجود فجوات يف املحيط الخاص بها.

منطقة استقبال مزودة بأفراد أمن أو وسائل أخرى للرقابة عىل الدخول.

فصل مرافق معالجة املعلومات عن تلك املرافق الخاضعة إلدارة أي طرف آخر.

جميع الضوابط األساسية أو األولية.

بناء جدران متامسكة لفصل املناطق؛ مصنوعة من املعدن أو الخشب املصمت، بسمك ال يقل عن 44,45 مم.

أدلة مرئية لالخرتاق غري املرصح به.

بناء جدران من األرضية إىل األسقف.

حامية خارجية للنوافذ.

تنصيب نظام الكشف عن الدخالء لتغطية جميع األبواب الخارجية والنوافذ التي ميكن الوصول إليها.

�صوابط الدخول امل�دي األقفال. جميع الضوابط الدنيا.

األقفال اإللكرتونية عىل مداخل املناطق )بطاقة/ رمز فقط(.

سجالت املراجعة والتدقيق )التاريخ والتوقيت( لنقاط الوصول فقط.

األبواب املحيطة املقاومة لالقتحام.

اإلرشاف عىل جميع الزوار، الدخول لغرض محدد.

تعريف مريئ واضح لجميع العاملني واملتعاقدين واألطراف األخرى مبا يف ذلك الزوار.

منح األطراف األخرى/ املتعاقدين إمكانية الدخول املقيد لتأمني املناطق أو مرافق املعالجة الحساسة.

أقفال تقاوم سهولة اقتحام األماكن.


PIN األقفال اإللكرتونية عىل مداخل املناطق )رمز أو إشارة ورقم تعريفوالسامت البيولوجية( .

سجالت املراجعة والتدقيق )التاريخ والتوقيت( لجميع نقاط الوصول )مبا يف ذلك الوصول إىل الخزانات وغري ذلك( .

ينبغي أن يتم تجهيز املدخل الرئييس واألبواب الداخلية الخاضعة للرقابة بجهاز إغالق تلقايئ.

أجهزة الكشف عن املعادن.

.X-Ray الفحص بأشعة إكس

حواجز إضافية خاضعة للرقابة املادية.

حواجز ملنع الدخول إذا كانت فتحات األنابيب وفتحات التهوية واملواسري وغريها أكرب من 619 سم مربع .

استخدام الخزائن/ القباء.

ت�أمني املك�تب والغرف واملرافق

ينبغي أال يتم السامح لجمهور العامة بالوصول إىل دليل الهاتف العام وسجالت الهواتف الداخلية.

جميع الضوابط الدنيا.

ينبغي تحديد موقع املرافق لتجنب الوصول إليها.

ينبغي أال تحمل املباين الفتات واضحة توضح الغرض منها أو تبني وجود مرافق ملعالجة املعلومات بها.

سياسة املكاتب النظيفة.

جميع الضوابط ا األساسية أو األولية.

ينبغي أن تكون النوافذ التي تساعد عىل الرقابة البرصية غري شفافة أو مزودة بستائر.

ينبغي أال يسهل اقتحام املرافق من قبل الجمهور.

احلم�ية من املخ�طر اخل�رجية والبيئية

توفري أجهزة إطفاء الحرائق ووضعها يف األماكن املناسبة. جميع الضوابط الدنيا.

وضع األجهزة وبيانات الدعم خارج املناطق.

تخزين املواد الخطرة أو القابلة لالحرتاق عىل بعد آمن من املناطق.


يبلغ تصنيف فئة انتقال الصوت 45 أو أكرث بني املناطق.

العمل يف من�طق اآمنة ينبغي أن يتم تجنب العمل غري الخاضع لإلرشاف. جميع الضوابط األساسية أو األولية.

إغالق املناطق اآلمنة الخالية وفحصها بصفة دورية.

حظر دخول أجهزة ومعدات التصوير والفيديو واألجهزة السمعية أو أجهزة التسجيل األخرى، ما مل يتم املوافقة عىل ذلك بصورة رصيحة.

اإلشارة املرئية إىل تواجد الزوار يف أي منطقة آمنة.


امللحق –اأ– )قي��صي( – ال�صوابط امل�دية



حميط االأمن امل�دي تركيب أجهزة إنذار عىل األبواب املقاومة للحرائق ومتابعتها واختبارها.

ينبغي بناء جدران وأرضية وأسقف املكان املحيط بصفة دامئة وربطها ببعضها البعض.

ينبغي الحد من عدد مداخل ومخارج املرفق


جدران سليمة من الناحية املادية دون وجود فجوات يف املحيط الخاص بها.

منطقة استقبال مزودة بأفراد أمن أو وسائل أخرى للرقابة عىل الدخول.

فصل مرافق معالجة املعلومات عن تلك املرافق الخاضعة إلدارة أي طرف آخر.


بناء جدران متامسكة لفصل املناطق؛ مصنوعة من املعدن أو الخشب املصمت، بسمك ال يقل عن 44,45 مم.

أدلة مرئية لالخرتاق غري املرصح به.

بناء جدران من األرضية إىل األسقف.

حامية خارجية للنوافذ.

تنصيب نظام الكشف عن الدخالء لتغطية جميع األبواب الخارجية والنوافذ التي ميكن الوصول إليها.

�صوابط الدخول امل�دي األقفال. جميع الضوابط الدنيا.

األقفال اإللكرتونية عىل مداخل املناطق )بطاقة/ رمز فقط(.

سجالت املراجعة والتدقيق )التاريخ والتوقيت( لنقاط الوصول فقط.

األبواب املحيطة املقاومة لالقتحام.

اإلرشاف عىل جميع الزوار، الدخول لغرض محدد.

تعريف مريئ واضح لجميع العاملني واملتعاقدين واألطراف األخرى مبا يف ذلك الزوار.

منح األطراف األخرى/ املتعاقدين إمكانية الدخول املقيد لتأمني املناطق أو مرافق املعالجة الحساسة.

أقفال تقاوم سهولة اقتحام األماكن.


PIN األقفال اإللكرتونية عىل مداخل املناطق )رمز أو إشارة ورقم تعريفوالسامت البيولوجية( .

سجالت املراجعة والتدقيق )التاريخ والتوقيت( لجميع نقاط الوصول )مبا يف ذلك الوصول إىل الخزانات وغري ذلك( .

ينبغي أن يتم تجهيز املدخل الرئييس واألبواب الداخلية الخاضعة للرقابة بجهاز إغالق تلقايئ.

أجهزة الكشف عن املعادن.

.X-Ray الفحص بأشعة إكس

حواجز إضافية خاضعة للرقابة املادية.

حواجز ملنع الدخول إذا كانت فتحات األنابيب وفتحات التهوية واملواسري وغريها أكرب من 619 سم مربع .

استخدام الخزائن/ القباء.

ت�أمني املك�تب والغرف واملرافق

ينبغي أال يتم السامح لجمهور العامة بالوصول إىل دليل الهاتف العام وسجالت الهواتف الداخلية.


ينبغي تحديد موقع املرافق لتجنب الوصول إليها.

ينبغي أال تحمل املباين الفتات واضحة توضح الغرض منها أو تبني وجود مرافق ملعالجة املعلومات بها.

سياسة املكاتب النظيفة.

جميع الضوابط ا األساسية أو األولية.

ينبغي أن تكون النوافذ التي تساعد عىل الرقابة البرصية غري شفافة أو مزودة بستائر.

ينبغي أال يسهل اقتحام املرافق من قبل الجمهور.

احلم�ية من املخ�طر اخل�رجية والبيئية

توفري أجهزة إطفاء الحرائق ووضعها يف األماكن املناسبة. جميع الضوابط الدنيا.

وضع األجهزة وبيانات الدعم خارج املناطق.

تخزين املواد الخطرة أو القابلة لالحرتاق عىل بعد آمن من املناطق.


يبلغ تصنيف فئة انتقال الصوت 45 أو أكرث بني املناطق.

العمل يف من�طق اآمنة ينبغي أن يتم تجنب العمل غري الخاضع لإلرشاف. جميع الضوابط األساسية أو األولية.

إغالق املناطق اآلمنة الخالية وفحصها بصفة دورية.

حظر دخول أجهزة ومعدات التصوير والفيديو واألجهزة السمعية أو أجهزة التسجيل األخرى، ما مل يتم املوافقة عىل ذلك بصورة رصيحة.

اإلشارة املرئية إىل تواجد الزوار يف أي منطقة آمنة.

ــةــــ

ــــبــ

رق� ال

ــةــــ

ئــف


امللحق –اأ– )قي��صي( – ال�صوابط امل�دية – تكملة



الو�صول الع�م والت�صليم ومن�طق التحميل

يقترص الوصول إىل منطقة التسليم والتحميل من خارج النطاق عىل فريق العمل املرصح له واملحدد

تأمني األبواب الخارجية املؤدية إىل منطقة التسليم/ التحميل حينام يكون أي باب داخيل مفتوح

تسجيل املواد الواردة وفحصها للتأكد من خلوها من أي أخطار محتملة


الفصل بني الشحنات الواردة والصادرة بصورة مادية

جميع الضوابط األساسية أو األولية

قرص الدخول عىل األشخاص/ السيارات التي يتم التحقق من صحة أوراقها

قرص الدخول عىل األشخاص/ السيارات مبوجب موعد مسبق

فحص السيارات للتحقق من خلوها من األجهزة املشبوهة

حتديد مواقع االأجهزة واملعدات وحم�يته�

ينبغي وضع إرشادات خاصة بتناول األطعمة والرشاب والتدخني بالقرب من مرافق معالجة املعلومات

ينبغي وضع أنوار وحامية باألسالك الشائكة عىل جميع املباين وجميع خطوط الطاقة واالتصاالت الواردة


ضوابط للحد من مخاطر التهديدات املحتملة واملادية، مثل الرسقة والحرائق واملتفجرات والدخان واملياه واألتربة

والرتددات والتأثري الكيميايئ وتعطيل الطاقة الكهربائية وتعطيل االتصاالت واإلشعاع الكهرومغناطييس والتخزيب

املتعمد

ينبغي أن تتم متابعة درجات الحرارة والرطوبة يف جميع مرافق معالجة املعلومات )عىل سبيل املثال: غرف الخوادم..

إلخ(


ينبغي أن يتم عزل البنود التي تتطلب حامية خاصة وحمياتها بالصورة املالمئة

ينبغي أن تتم حامية األجهزة املسؤولة عن معالجة املعلومات الحساسة للحد من مخاطر ترسب املعلومات

مرافق الدعم ينبغي أن تكون إمدادات الكهرباء واملياه وتكييف الهواء والرصف والتدفئة / التهوية مالمئة لألنظمة التي تتوىل دعمها

ينبغي أن يتم تركيب أنوار الطوارئ


ينبغي أن يتم توصيل إمدادات الطاقة املتواصلة بال انقطاع بجميع األنظمة الحساسة واختبارها بصفة منتظمة

ينبغي صدور إنذار يف حالة إخفاق إمدادات املياه


ينبغي أن يتم تركيب مولد احتياطي لجميع األنظمة الحساسة واختباره بصفة منتظمة

ينبغي أن يتم توصيل أجهزة االتصاالت من خالل مسارين مختلفني ملنع حدوث أي إخفاق يف الخدمة

ت�أمني الك�بالت ينبغي أن تكون خطوط الطاقة واالتصاالت املتصلة مبرافق معالجة املعلومات تحت األرض أو أن تخضع للحامية البديلة املالمئة

ينبغي أن تتم حامية كابالت الشبكة من أي اعرتاض غري مرصح به أو أي خسائر وتلفيات


ينبغي أن يتم فصل كابالت الطاقة عن كابالت االتصاالت

ينبغي استخدام عالمات الكابالت واألجهزة املحددة بوضوح

ينبغي االحتفاظ بقامئة إصالحات موثقة

ينبغي قرص الدخول إىل غرف اإلصالحات والكابالت عىل فريق العمل املرصح له


األنابيب املدرعة والغرف والصناديق املغلقة عند نقاط الفحص/ انتهاء األعامل

استخدام الدروع الكهرومغناطيسية لحامية الكابالت

بدء عمليات املسح التقني لفحص املادي للكشف عن أي أجهزة غري مرصح بها

�صي�نة االأجهزة واملعدات

يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل فريق العمل املرصح له فقط

ينبغي أن يتم حفظ السجالت الخاصة بجميع األخطاء املشتبهه والفعلية وجميع عمليات الصيانة الوقائية/ التصحيحية


يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل فريق العمل املعتمد واملرصح له فقط

ينبغي أن يتم مسح املعلومات من األجهزة عند إرسالها إىل أي طرف آخر من أجل اإلصالح/ الصيانة


ينبغي أن يتم تنفيذ عمليات الصيانة داخل مقر املؤسسة أو يف مكان يخضع للرقابة األمنية

يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل أفراد فريق العمل املعتمد واملرصح له والذين تتوىل املؤسسة التحقق من أوراق الهوية الخاصة بهم





الو�صول الع�م والت�صليم ومن�طق التحميل

يقترص الوصول إىل منطقة التسليم والتحميل من خارج النطاق عىل فريق العمل املرصح له واملحدد

تأمني األبواب الخارجية املؤدية إىل منطقة التسليم/ التحميل حينام يكون أي باب داخيل مفتوح

تسجيل املواد الواردة وفحصها للتأكد من خلوها من أي أخطار محتملة


الفصل بني الشحنات الواردة والصادرة بصورة مادية


قرص الدخول عىل األشخاص/ السيارات التي يتم التحقق من صحة أوراقها

قرص الدخول عىل األشخاص/ السيارات مبوجب موعد مسبق

فحص السيارات للتحقق من خلوها من األجهزة املشبوهة

حتديد مواقع االأجهزة واملعدات وحم�يته�

ينبغي وضع إرشادات خاصة بتناول األطعمة والرشاب والتدخني بالقرب من مرافق معالجة املعلومات

ينبغي وضع أنوار وحامية باألسالك الشائكة عىل جميع املباين وجميع خطوط الطاقة واالتصاالت الواردة


ضوابط للحد من مخاطر التهديدات املحتملة واملادية، مثل الرسقة والحرائق واملتفجرات والدخان واملياه واألتربة

والرتددات والتأثري الكيميايئ وتعطيل الطاقة الكهربائية وتعطيل االتصاالت واإلشعاع الكهرومغناطييس والتخزيب

املتعمد

ينبغي أن تتم متابعة درجات الحرارة والرطوبة يف جميع مرافق معالجة املعلومات )عىل سبيل املثال: غرف الخوادم..

إلخ(


ينبغي أن يتم عزل البنود التي تتطلب حامية خاصة وحمياتها بالصورة املالمئة

ينبغي أن تتم حامية األجهزة املسؤولة عن معالجة املعلومات الحساسة للحد من مخاطر ترسب املعلومات

مرافق الدعم ينبغي أن تكون إمدادات الكهرباء واملياه وتكييف الهواء والرصف والتدفئة / التهوية مالمئة لألنظمة التي تتوىل دعمها

ينبغي أن يتم تركيب أنوار الطوارئ










ينبغي أن يتم فصل كابالت الطاقة عن كابالت االتصاالت

ينبغي استخدام عالمات الكابالت واألجهزة املحددة بوضوح

ينبغي االحتفاظ بقامئة إصالحات موثقة

ينبغي قرص الدخول إىل غرف اإلصالحات والكابالت عىل فريق العمل املرصح له


األنابيب املدرعة والغرف والصناديق املغلقة عند نقاط الفحص/ انتهاء األعامل

استخدام الدروع الكهرومغناطيسية لحامية الكابالت

بدء عمليات املسح التقني لفحص املادي للكشف عن أي أجهزة غري مرصح بها

�صي�نة االأجهزة واملعدات

يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل فريق العمل املرصح له فقط

ينبغي أن يتم حفظ السجالت الخاصة بجميع األخطاء املشتبهه والفعلية وجميع عمليات الصيانة الوقائية/ التصحيحية


يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل فريق العمل املعتمد واملرصح له فقط

ينبغي أن يتم مسح املعلومات من األجهزة عند إرسالها إىل أي طرف آخر من أجل اإلصالح/ الصيانة


ينبغي أن يتم تنفيذ عمليات الصيانة داخل مقر املؤسسة أو يف مكان يخضع للرقابة األمنية

يتم إجراء عمليات اإلصالح وصيانة األجهزة من قبل أفراد فريق العمل املعتمد واملرصح له والذين تتوىل املؤسسة التحقق من أوراق الهوية الخاصة بهم

ــةــــ

ــــبــ

رق� ال

ــةــــ

ئــف




اأمن االأجهزة واملعدات خ�رج املقر

ينبغي عدم ترك األجهزة/ الوسائط التي يتم نقلها إىل خارج املوقع دون رقابة

ينبغي أن يتم حمل أجهزة الحاسوب املحمولة يف صورة حقيبة يد

ينبغي إجراء تغطية تأمينية مناسبة


ينبغي أن يتم تحديد ضوابط العمل املنزيل )عىل سبيل املثال: استخدام الخزائن القابلة لإلقفال واالتصاالت اآلمنة

وغري ذلك(

ينبغي أن تستخدم أجهزة الحاسوب املحمولة ذات البيانات الحساسة عملية تشفري الوسائط


ينبغي عدم إخراج أجهزة الحاسوب املحمولة ذات البيانات الحساسة بعيدا عن املوقع

التخل�ص االآمن من االأجهزة واملعدات اأو

اإع�دة ا�صتخدامه�

ينبغي أن يتم تدمري األجهزة التي تحتوي عىل معلومات حساسة )مبا يف ذلك الوسائط وكلامت املرور الثابتة.. الخ(

أو تدمري املعلومات أو حذفها أو إحاللها باستخدام تقنيات تساعد عىل عدم اسرتجاع املعلومات األصلية


ينبغي أن يتم تدمري األجهزة التالفة التي تتضمن معلومات حساسة

ينبغي أن يتم تدمري الوسائط التي تشتمل عىل معلومات حساسة

�رسف وا�صتبع�د املمتلك�ت

ينبغي أال يتم نقل األجهزة أو املعلومات أو الربامج إىل خارج املوقع دون ترصيح مسبق

ينبغي أن يتم تسجيل املعدات عند نقلها إىل خارج املوقع وتسجيلها ثانية عند إعادتها










ينبغي أن يتم تحديد العاملني واملتعاقدين واملستخدمني التابعني لألطراف األخرى ممن لديهم سلطة املوافقة عىل

نقل األصول إىل خارج املوقع


ينبغي وضع الحدود الزمنية لرصف األجهزة واملعدات من املوقع وفحصها عند إعادتها إىل املوقع للتأكد من مدى التزامها

يتطلب إخراج املعلومات املصنفة عن املستوى »C3« الحصول عىل موافقة مدير أمن املعلومات

املت�بعة حراسة فعلية عند املداخل خالل ساعات العمل حراسة عند املداخل عىل مدار 24 ساعة يوميا طيلة األسبوع

متابعة مرئية لألماكن املحيطة

متابعة مرئية عند مداخل املنطقة األمنية

االحتفاظ بالتسجيالت ملدة 30 يوما

منطقة دوريات الحراسة، باإلضافة إىل حراسة املداخل.

مركز املراقبة األمنية

الكشف عن الدخالء واملتطفلني )عىل سبيل املثال: الكشف عن طريق التصوير واإلنذارات( داخل املوقع





اأمن االأجهزة واملعدات خ�رج املقر

ينبغي عدم ترك األجهزة/ الوسائط التي يتم نقلها إىل خارج املوقع دون رقابة

ينبغي أن يتم حمل أجهزة الحاسوب املحمولة يف صورة حقيبة يد

ينبغي إجراء تغطية تأمينية مناسبة


ينبغي أن يتم تحديد ضوابط العمل املنزيل )عىل سبيل املثال: استخدام الخزائن القابلة لإلقفال واالتصاالت اآلمنة

وغري ذلك(

ينبغي أن تستخدم أجهزة الحاسوب املحمولة ذات البيانات الحساسة عملية تشفري الوسائط


ينبغي عدم إخراج أجهزة الحاسوب املحمولة ذات البيانات الحساسة بعيدا عن املوقع

التخل�ص االآمن من االأجهزة واملعدات اأو

اإع�دة ا�صتخدامه�

ينبغي أن يتم تدمري األجهزة التي تحتوي عىل معلومات حساسة )مبا يف ذلك الوسائط وكلامت املرور الثابتة.. الخ(

أو تدمري املعلومات أو حذفها أو إحاللها باستخدام تقنيات تساعد عىل عدم اسرتجاع املعلومات األصلية


ينبغي أن يتم تدمري األجهزة التالفة التي تتضمن معلومات حساسة

ينبغي أن يتم تدمري الوسائط التي تشتمل عىل معلومات حساسة

�رسف وا�صتبع�د املمتلك�ت

ينبغي أال يتم نقل األجهزة أو املعلومات أو الربامج إىل خارج املوقع دون ترصيح مسبق

ينبغي أن يتم تسجيل املعدات عند نقلها إىل خارج املوقع وتسجيلها ثانية عند إعادتها










ينبغي أن يتم تحديد العاملني واملتعاقدين واملستخدمني التابعني لألطراف األخرى ممن لديهم سلطة املوافقة عىل

نقل األصول إىل خارج املوقع


ينبغي وضع الحدود الزمنية لرصف األجهزة واملعدات من املوقع وفحصها عند إعادتها إىل املوقع للتأكد من مدى التزامها

يتطلب إخراج املعلومات املصنفة عن املستوى »C3« الحصول عىل موافقة مدير أمن املعلومات

املت�بعة حراسة فعلية عند املداخل خالل ساعات العمل حراسة عند املداخل عىل مدار 24 ساعة يوميا طيلة األسبوع

متابعة مرئية لألماكن املحيطة

متابعة مرئية عند مداخل املنطقة األمنية

االحتفاظ بالتسجيالت ملدة 30 يوما

منطقة دوريات الحراسة، باإلضافة إىل حراسة املداخل.

مركز املراقبة األمنية

الكشف عن الدخالء واملتطفلني )عىل سبيل املثال: الكشف عن طريق التصوير واإلنذارات( داخل املوقع

ــةــــ

ــــبــ

رق� ال

ــةــــ

ئــف



الطول الالزم للمفت�حاال�صتخدام املعتمداملراجعا�صم اللوغ�ريتممعيار التشفري

AES املتقدمشفرة مجموعة معايري التشفري املتقدم بناء عىل لوغاريتم

»Rijndael« ]AES[

مفاتيح 256 بايتتشفري البيانات العامة

معيار التشفري الثاليث للبيانات TDES/3DES

]SP800-67[ ثالثة مفاتيح فريدة 56 تشفري البيانات العامةشفرة مجموعة معايري التشفري الثاليث للبياناتبايت

مالحظة: ينبغي أن يتم استخدام معيار التشفري املتقدم AES ما مل ذلك غري ممكن من الناحية التقنية. وينبغي أن يقترص استخدام معيار .AES عىل األنظمة التي ال تدعم معيار التشفري املتقدم TDES التشفري الثاليث للبيانات

الطول الالزم للمفت�حاال�صتخدام املعتمداملراجعا�صم اللوغ�ريتمRSA لتشفري املفتاح العام»Rivest-Shamir-Adleman« لوغاريتم

]RSA[

التوقيعات الرقمية، نقل التشفري.

مفاتيح 1024بايت

لوغاريتم التوقيعات ]DSA[ الرقمية

]FIP186-2[ مفاتيح 1024بايتالتوقيعات الرقميةلوغاريتم التوقيعات الرقمية

الطول الالزم للمفت�حاال�صتخدام املعتمداملراجعا�صم اللوغ�ريتمSHA-n وعىل ،»n« لوغاريتامت اختزال آمنة توفر حجم اختزال

سبيل املثال: )SHA 224, 256, 384, 512( ]SHA[

n ≥ 256جميع أغراض االختزال.

أإلصدار الخامس من دورية الرسائل

MD 5

]RFC 1321[ الحالة النمطيةجميع أغراض االختزالاإلصدار الخامس من دورية الرسائل

128 بايت

مالحظة: ينبغي أن يتم استخدام SHA-n ما مل ذلك غري ممكن من الناحية التقنية. وينبغي أن يقترص استخدام اإلصدار الخامس من دورية SHA الرسائل عىل األنظمة التي ال تدعم عائلة

امللحق –ب– )قي��صي( –لوغ�ريتم�ت وبروتوكوالت الت�صفري املعتمدة

ترسي جميع لوغاريتامت التشفري املوىص بها يف هذا امللحق »B« ملدة عام واحد من تاريخ إصدار هذا الكتيب. وينصح كتيب تأمني املعلومات الوطنية بإجراء تحديث أو وضع بدائل لهذه اللوغاريتامت حسب االقتضاء.

هذه الخوارزميات و الربوتوكوالت تستخدم للتشفري ,التوقيع الرقمي ,توليد االرقام العشوائية ,اتفاق املفتاح, نقل املفتاح, إلتفاف املفتاح, اشتقاق مفاتيح إضافية من مفتاح التشفري , االرقام املمزوجة ,التحكم بالوصول إىل الوسائط.

املفت�ح املتم�ثل/ املفت�ح اخل��ص:

املفت�ح غري املتم�ثل/ املفت�ح الع�م:ينبغي أن تلتزم املهام التشفريية التي تستخدم شفرات املفاتيح غري املتامثلة )واملعروف أيضا باسم »تشفري املفتاح العام«( من خالل مفاتيح

تشفري مزدوجة تتألف من مفتاح عام ومفتاح خاص املواصفات التالية:

لوغ�ريتم�ت االختزالميكن استخدام لوغاريتامت االختزال يف دعم تنفيذ عملية توثيق رسائل االختزال ذات املفاتيح. وبصفة عامة، يتم استخدام وظائف االختزال

يف التعجيل بتنفيذ مهام املقارنة بني البيانات – مثل العثور عىل البنود يف أي قاعدة بيانات والكشف عن تكرار السجالت أو السجالت املامثلة ضمن ملف أو نظام كبري.


فئ�ت الت�صنيف القي��صيةالت�صنيف

C1 رفض الخدمة

األصول املعرضة للمخاطر

القرصنة الداخلية )فعالة(

القرصنة الخارجية )فعالة(

الفريوس/ الدودة )انتشار(

تدمري املمتلكات )حساسة(

C2 )القرصنة الداخلية )فعالة

القرصنة الخارجية )فعالة(

الوصول إىل املعلومات دون ترصيح

انتهاكات السياسة

النشاط غري القانوين

املعلومات املعرضة للمخاطر

األصول املعرضة للمخاطر )غري حساسة(

تدمري املمتلكات )غري حساسة(

C3 الربيد اإللكرتوين

طلب الطب الرشعي

االستخدام غري املالئم للممتلكات

انتهاكات السياسة

* زمن االستجابة املبديئ – يحدد ذلك الحد األقىص من الزمن الذي يتعني مروره قبل أن تقوم اإلدارة بإخطار فريق االستجابة لطوارئ الحاسبات يف قطر.

امللحق –ج– )قي��صي( –ت�صنيف اأهمية وح�ص��صية اإدارة احلوادث


C1 C2 C3م�صفوفة احلوادث

CSO+CIICL1 CL1 CL3

CSO+ Non CIICL1 CL2CL3

Non CSO + CIICL1 CL2CL3

Non CSO + Non CIICL3CL3CL3

CSO االقسام الحرجة باملؤسسة كام تم تعريفها بسياسة معلومات البنية التحتية الحرجة

CII معلومات البنية التحتية الحرجة كام تم تعريفها بسياسة معلومات البنية التحتية الحرجة


مالحظات زمن االستجابة االبتدايئ م�صفوفة اال�صتج�بة

مستوي االهمية

CL1

60 دقيقة


CL2

التحقيقات حول املوظفني املرتبطة بجدول زمني حساس تنتمي التقارير غري مطلوبةلهذا املستوى


CL3

امثلة:التقارير غري مطلوبة

الحوادث او التحقيقات حول املوظفني الغري مرتبطة بجدول زمني حساس

التحقيقات طويلة املدى ذات البحث املكثف

زمن االستجابة االبتدايئ : اقىص مدة ميكن ان تنقيض قبل ان تقوم املؤسسة بتبليغ فريق االستجابة لطوارئ الحاسب اآليل بدلة قطر ـ كيوسريت


امللحق –د– )قي��صي( –عينة اتف�قية عدم االإف�ص�ح عن املعلوم�ت

تم إبرام هذه االتفاقية بتاريخ >اذكر التاريخ< بني >منظمة العمل< )ويشار إليها فيام ييل مبصطلح »املالك«( واملؤسسة .

حيث يحظى املالك مبلكية وحيازة معلومات رسية محددة )يشار إليها فيام ييل مبصطلح »املعلومات الرسية«(.

وحيث تطلب املؤسسة من املالك توفري املعلومات الرسية املذكورة من أجل تقديم خدمات أو تنفيذ مرشوعات محددة قد تتضمن التزامات قانونية.

اآلن، وبالتايل، تشهد هذه االتفاقية أنه بالنظر إىل قيام املالك باإلفصاح عن املعلومات الرسية إىل املؤسسة وبالنظر إىل االتفاقيات الثنائية واالعتبارات األخرى الجيدة القيمة أو االسمية التي يتم إقرار استالمها وكفايتها مبوجب ذلك، تتعهد املؤسسة وتتفق مع املالك وفقا ملا ييل:

1- التعريفاأ- اتف�قية

أي إشارة ضمن هذا الكتيب إىل أي اتفاقية يقصد بها هذه االتفاقية التي متثل التفاهم الكامل بني األطراف وتحل محل جميع االتفاقيات األخرى الرصيحة أو الضمنية بني األطراف فيام يتعلق باإلفصاح عن املعلومات الرسية.

ب- املعلوم�ت ال�رسية يف هذه االتفاقية، يقصد بـ»املعلومات الرسية« تلك املعلومات ذات الصلة باملنتجات أو الخدمات أو األفكار أو األعامل أو العاملني أو العالمات

التجارية أو حقوق الطبع والنرش أو امللكية الفكرية أو األنشطة التجارية الخاصة باملالك؛ ويشتمل ذلك، عىل سبيل املثال ال الحرص، عىل املعادالت واألنظمة والعروض واملؤلفات واألجهزة واملفاهيم والتقنيات واالسرتاتيجيات التسويقية والتجارية والعمليات والبيانات واملعلومات

التي قد تكون أو ال تكون رسية والتي ال تكون معروفة بصفة عامة لدى جمهور العامة وتستمد القيمة االقتصادية الفعلية أو املحتملة من كونها غري معلومة بصفة عامة أو تحظى مبيزة تجعل املالك يهتم بصورة قانونية بالحفاظ عىل رسيتها. وعالوة عىل ذلك، سوف يتم اعتبار جميع الوثائق التي يقدمها املالك إىل املؤسسة معلومات رسية، سواء كانت تحمل أو ال تحمل أي عالمة ملكية حينام يتم اإلفصاح عنها.

وال تتضمن املعلومات الرسية أي ملكية فكرية موجودة مسبقا ومملوكة للمؤسسة وأي معارف أو خربات تكتسبها املؤسسة خالل تقديم الخدمات أو تنفيذ األنشطة بصالح املالك.

2- االأطراف االأخرى ال تتوىل املؤسسة اإلفصاح عن أي معلومات رسية إىل األطراف األخرى. ويف حالة وجود رضورة ملحة لإلفصاح عن أي معلومات رسية إىل

األطراف األخرى أو اإلفصاح عنها ألي سبب من األسباب، تسعى املؤسسة وراء الحصول عىل ترصيح كتايب مسبق من قبل املالك ومتنح املالك فرصة إبرام اتفاقية عدم إفصاح مع األطراف األخرى بحيث تكون مطابقة متاما لهذه االتفاقية.

ال تقوم املؤسسة باإلفصاح عن املعلومات الرسية، إال يف الحاالت التالية:

أن يوافق املالك كتابيا عىل اإلفصاح عن املعلومات الرسية.

أن يكون اإلفصاح مطلوبا مبوجب إجراء قانوين أو قضايئ.

أن اإلفصاح مطلوبا مبوجب القانون.

أن تكون املعلومات معروفة لدى الجمهور.

3- اإقرار امللكية وال�رسيةتقر املؤسسة وتوافق عىل أن تكون املعلومات الرسية، التي يتم اإلفصاح عنها من قبل املالك أو التي تتطلبها املؤسسة أو ترى أو تعلم بكونها

نتيجة مبارشة أو غري مبارشة للمناقشات الدائرة وجميع املعامالت والصفقات التي تستتبع تلك املناقشات أو تنتج عنها، ملكا مطلقا للاملك وسوف تحتفظ املؤسسة برسية تلك املعلومات.

4- عدم نقل ملكية احلقوقتقر املؤسسة وتوافق عىل عدم اكتساب أي حق أو مصلحة باملعلومات الرسية وعىل أن يظل املالك هو صاحب الحق املطلق يف تلك

املعلومات الرسية، ويشتمل ذلك، عىل سبيل املثال ال الحرص، عىل جميع براءات االخرتاع وحقوق الطبع والنرش والعالمات التجارية واألرسار املهنية واألسامء التجارية وحقوق امللكية األخرى املتعلقة بها يف أي مكان يف العامل. وال يقوم متلقي هذه املعلومات الرسية بتصنيع أو استخدام أو

بيع أو توزيع تلك املعلومات الرسية دون موافقة كتابية مسبقة من قبل املالك.


5- عدم الطرح للبيعتقر وتوافق األطراف عىل أال يكون إفصاح املالك عن املعلومات الرسية إىل املؤسسة مبثابة عرض من قبل املالك ببيع أو ترخيص أو نقل ملكية

هذه املعلومات الرسية. وبخالف ما يتم النص عليه رصاحة بهذا الكتيب، ال يلتزم أي من األطراف تجاه األطراف األخرى بأي التزامات مالية تتعلق باملعلومات الرسية. ويتم أي عرض ببيع أو ترخيص أو نقل ملكية تلك املعلومات الرسية مبقتىض اتفاقية مستقلة ومنفصلة.

6- التعوي�ص�تيوافق كل طرف عىل أنه يف حالة قيامه بخرق هذه االتفاقية، يحق للطرف اآلخر، باإلضافة إىل جميع التعويضات األخرى التي يخولها له القانون، أن يتقدم إىل أي محكمة ذات اختصاص من أجل مساعدته عن طريق النظر يف شكواه وتسويتها مبقتىض أحكام هذه االتفاقية.

7- التعديلال يستطيع أي طرف تعديل أي من رشوط وأحكام هذه االتفاقية إال من خالل موافقة كتابية عىل تلك التعديالت يوقع عليها كال الطرفني.

8- االأطراف املتع�قبةتكون هذه االتفاقية ملزمة وسارية لصالح كال الطرفني وكل ورثة وخلفاء وممثيل هذين الطرفني وكل من يتم إسناد حقوق هذه االتفاقية

إليهم.

9- التن�زلال تؤثر أي تنازالت أو تأخريات أو تسهيالت أو إخفاقات من قبل أي طرف فيام يتعلق بأي إهامل أو تقصري من الطرف اآلخر عىل أي حقوق أو

تعويضات تتعلق بذلك اإلهامل أو التقصري أو أي إهامل أو تقصري يتم التنازل عنه رصاحة وبصورة كتابية.

10- الق�نون احل�كميتم تفسري وتأويل هذه االتفاقية وفقا لقوانني دولة قطر. وتخضع النزاعات التي تنشأ عن عدم االلتزام بأي من رشوط وأحكام هذه االتفاقية

الختصاص محاكم دولة قطر.

11- بدء اإجراءات التق��صييوافق أطراف هذه االتفاقية إمكانية بدء رفع الدعوى أو التقايض أو اتخاذ اإلجراءات القانونية أمام أي محكمة بدولة قطر عن طريق تسليم

إخطار شخيص إىل الطرف املعارض بهذه االتفاقية أو إىل وكيل ذلك الطرف.

12- ا�صتمرارية االلتزامتظل أي حقوق والتزامات تنشأ مبوجب هذه االتفاقية وتكون من طبيعتها أن ترسي إىل ما بعد انتهاء الفرتة الزمنية لهذه االتفاقية قامئة بعد

فسخ أو انتهاء هذه االتفاقية وتظل تلك الحقوق وااللتزامات سارية ملدة عامني عقب عملية فسخ أو انتهاء االتفاقية. ومع ذلك، يجوز أن يطلب أي من الطرفني تطبيق فرتة رسية أطول عىل معلومات محددة وإبالغ الطرف اآلخر بها.

13- اأتع�ب املح�م�ةيف حالة رفع أي دعوى قضائية من جراء هذه االتفاقية، يحق للطرف املتغلب الحصول عىل أتعاب وتكاليف ونفقات املحاماة، باإلضافة إىل أي

تعويضات أخرى قد تستحق لذلك الطرف.

14- العن�وينيتم وضع جميع الفهارس والعناوين ورؤوس املوضوعات وعناوين الفصول واملصطلحات املامثلة ألغراض مرجعية وأغراض املالءمة وال تهدف

إىل أن تكون شاملة أو حاسمة أو أن تؤثر عىل مغزى أو نطاق هذه االتفاقية.

15- �صلطة التنفيذيشهد األشخاص املوقعون أدناه أنهم مفوضون يف تحرير هذه االتفاقية نيابة عن الطرف الذي يوقعون عنه.


واإ�صه�دا على ذلك، يقوم الطرف�ن بتحرير هذه االتف�قية.

املؤسسة: املالك )>منظمة العميل<(

توقيع: توقيع:

االسم: االسم:

الوظيفة الوظيفة:

التاريخ التاريخ:

تامولعلما نيمأت ةسايس ةينطولا - q-cert · 2018-05-08 · ˜˚˛˝ ˙ ˇ...

Documents