citc information security policies and procedures guide ar
DESCRIPTION
یبیلیبلیلTRANSCRIPT
-
- 1432
-
9
33
57
77
89
105
119 ) (
133
-
7
)cert.gov.sa( )citc.gov.sa( )194( 1428/6/10 -
.
-
11
.
. . .
. . .
. .
.
. .
.
. .
.
-
12
. 1
81 1430/3/19 .
.
.
. 2
.
.
. 3
.
.
) ( .
.
.
.
-
13
. 4 .
:
FIPS( PUB 200(
. NIST PUB(
800-53( .
.
ISO/IEC .27001
. :
- . -
. 5
. 1. 5
.
.
.
. 2. 5
.
. 3. 5
.
-
14
. 6 :
.
. . .
. .
. . .
.
.
. 7
:
.
.
.
) ( )
( .
. .
.
-
15
) (.
. :
. . . .
) (
-
16
. 8
.
.
:
.ISO/IEC 27001 . .CoBiT . FIPS(
PUB 200( - .
NIST PUB( 53 -800( -
. -
.
. 9
) ( )ISO/ 27001( ) (. .
:
.
.
.
:
:. 1 . ) (.
-
17
. .
. .
. 2 )
(. . ) (
. . ) (. ( )
.
. 10
:
. 1 :
.
. .
. . 2
/ .
. .
. Microsoft( )UNIX( )Exchange .
. .
. . 3
.
-
18
. 11 .
:
- - .
.
.
.
. .
:
.
. . . . .
.
.
. 12
:
.. 1 .
. .
. .
. ..
.. 2 . .
. . . .
:
-
19
.. 1. 12
. .
.. 2. 12
.
-
20
) 1(
-
21
) 1(:
1
.
.
2
.
.
.
)
(.
.
.
.
.
.
.
.
-
22
.
3
.
.
.
.
4
.
.
.
.
5
.
.
.
-
23
6
/ /
.
) USB / DVD (
.
.
.
.
.
:
. ) ( .
.
.
.
-
24
. 3. 12
:
IVR E-Services
Portals
FAX Server
Supporting IT
Intrmal Organization
PBX
Switch ApplicationServer
Router
Router
VLAN X
Dept 1/User Group
Interconnection Layer / Data Communication Layer
Interconnection Layer / Data Communication Layer
Beneficiaries
Inte
rnet
Env
ironm
ent
Exte
rnal
Com
mun
icat
ion
Mec
hani
sms
Partners
VPN Concentrator
Modem
) 2(
-
25
) 2( :
. .
. :
- .
- .
. -
.
.
PDA .
) ( .
)LAN( )WAN( .
) (
.
/ .
.
) (.
) ( .
. / .
.
. .
.
)1(.
)1( . . .
.
-
) 3(26
Switches
Firewalls
VPN Concentator
/ IPS/IDS
Routers
Perimeter Network
LAN
)(
)IVP(
PBX
Voip
/
) (
-
27
)3(.
) 3( :
.
. )CIA: Confidintiality Integrity and Availability( ) (
. .
.
.
. 4. 12
:
. 1 . 2 / / . 3
. 4
. 5
-
28
. 6
. 7 . 8
/ . 9
10
. . 11
. 12
. 13
14 ) ( .
15 ) ( .
) USB / ( . 16
.
.
-
29
. 5. 12
. .
.
. . ) ( .
.
.
/
.
) (.
) (.
.
. 1. 12
. ""
.
.
-
30
. .
.
.
. 1. 12
. .
.
.
. .
.
) . 1. 12 (
.
.
.
.
.
.
-
31
. 1. 12
:
. . .
.
. .
.
.
-
35
. 1 .
.
.
) ( " " ) (
.
.
.
.
. 2
.
. 3
.
.
-
36
4
*: .
.
-
37
. 4
. 1. 4
.
.
.
. 2. 4
.
:
: .
: . - . - -
. . - . - . -
: . ) ( . .
: - - - - -
. :
. :
- .
. - -
. . - . - . - . - . - . -
-
38
-
. :
:
. - . - . - -
. . -
. 3. 4
. )2(
:
.
:
- .
. - . - / -
.. -
.
. .
. 4. 4
) 5(.
/
.
.
.
-
39
)(
) 5(
-
40
. 1. 4. 4 .
.
1. ) (
.
:
. . . . . . . .
2.
.
:
1.
. :
. . . . .
2. . /
.
.
-
41
. 4. 4. 4 .
)1( .
1. : / .
.
)4(.
: )1( )2( )1(.
)1(
-
42
) ( .
/ 1- . / 2- . / 3- . / 4- . / 5- .
-
43
. 4. 4. 4
1. . .
. .
: . - . - . - . - . - . - . - . -
. / ) (.
.
2.
:
(.
.
.
:
.
) -1(. )-2(. )-3(.
)-4(.
)-5(. )4(.
-
44
3. .
:
) (. . .
. 4. 4. 4 .
. .
) ( . .
1. . ) ( .
)2(.
)2(
-
45
/
.
.
) (. )3( :
)3(
= 3 =2
= 1
= 3 = 2
= 1
= 3 = 2
= 1
2136 33327
-
46
2. .
.
.
:
) (
. :
. . . . . . .
)(. .
-
47
3.
:
. .
.
. ) (.
)4( .
4. .
.
: .
.
: .
.
- : .
: - .
: . - . -
: . -. -
. . :
. - . - . -. - . -
.
-
48
5. .
:
. . . . . . .
. 5. 4
.
. 4. 4. 4 ) (
.
:
.. 1 .. 2 . 3
.
.. 4 ) (.
:
.
. 4. 4. 4
. ) (
.
) ( ) (.
-
49
. :
. . . .
.
. 4. 4. 4
) ( .
.
- - :
FIPS( PUB 200( -
. NIST PUB 800(
53 -( - .
- .
ISO/IEC( .)27001
: . - . -
) ( . )29( . /
.
1. .
:
. . . . . .
.
-
50
2.
) (.
.
. 1. 4
.
.
: . : . :
.
: .
. :
.
: .
: / .
: .
:
:
:
) (.
: ) (
:
:
:
-
51
) ( - -
...
.
: ) (
.
)3( .
. 1. 4
.
.
.
: .
: .
: .
: ) ( .
: .
: .:
- -
: .. 1 . 2
6 . . 3
. . 4
. . 5
.
: .
)3( .
-
52
. 1. 4
. .
.
. 1. 4
.
.
:
: .
: .
: . .
.
: .
:
:
) (. . :
.
. : . :
. /
. ) (
:
-.
- .
-
53
. .1. 4
. .
.
. 11. 4
. 4. 44. 4 :
. .
. 4. 44. 4 ) (
.
)2( 3-5 .
-
54
. 12. 4
)6(
)1(
Triggers
-
55
. 4. 44. 4 ) (
.
) (
.
. 4. 44. 4
. .
.
:
.. -. -. -. - . - . -
. . - . -. - . -
. 1. 2. 12. 4
.
1. )( )( .
.
-
56
2. . . )(.
. 2. 2. 12. 4
.
1. . . .
.
2.
.
. 4. 44. 4 .
-
59
. 1
. 1. 1
) (.
.
.
.
.
. ) (
.
/
.
. 2. 1
) ( )/ / / / (
.
. 2
. .
:
) ( .
.
.
5.1.
-
60
. 3
8.1.
.
. 4 .
.
. 1. 4
) ( ) ( ) (
.
. 2. 4
.
/ . " " .
.
) ( ) ( . . . .
.
. 3. 4
. .
.
-
61
. 4. 4
. . . .
.
. 5 .
.
:
. 1. 5
. .
. 4. 4. 4
.
:
. .
. . . .
. ) (.
.
. 4. 4. 4 . .
. :
-
62
.
. . . . /
.
. . .
. 1. 2. 1. 5 .
.
:
) (. . . .
. . . .
:
. .
.
.
.
.
. 4. 4. 4 .
. :
.
-
63
.
.
. )
( .
. . . .
. . . . .
. :
.
:
-
64
) (. 2. 5
.
.
) (.
.
. 4. 4. 4 ) (. .
:
. . . . .
.
. 4. 4. 4 . .
.
. 4. 4. 4 . .
.
. 3. 5
.
. .
.
-
65
/ . / /
.
.
. .
.
.
. 4. 5
.
.
.
:
.
.
.
. 5. 5
) ( . )5(. .
.
-
66
. 1. 5
.
.
. .
.
.
.
. .
.
.
) (.
. 1. 5
. :
. 4. 5. 4 .
.
. 4. 5. 4 . . .
-
67
.
. :
. . . . . .
.
. 4. 5. 4 . . .
7.1 .
. 4. 5. 4 .
.
. 4. 5. 4 . .
.
-
68
. 6 .
. . . .
. 1. 1
.
. 4. 4. 6 . . .
.
. 4. 4. 6 )Gantt( . )Contingency buffers(
.
. 1. 2. 1. 6 /
. :
/ /
-
69
. 2. 2. 1. 6 .
/ . :
. 3. 2. 1. 6 . .
. :
. 4. 2. 1. 6 .
:
-
70
. 5. 2. 1. 6
. . :
. 4. 4. 6 . .
/ .
. 4. 4. 6 ) ( . . / .
.
. 4. 4. 6 .
.
-
71
. 1. 5. 1. 6 ) (
. 3.2.3.
.
. 2. 5. 1. 6 .
.
. 3. 5. 1. 6 . . . .
.
. 6. 4. 6 . . . . ) (
.
.
.
. 5. 4. 6 . . .
.
-
72
:
. / . - . - . - . -. -. -
/ . . - . - . -
. . - . - . -
. . . .
. 6. 4. 6 . " "
.
) (.
.
.
.
:
. .
. .
.
-
73
.
.
.
.
. 6. 4. 6
) (.
. .4. 4. 6
.
. 2. 1
. 4. 4. 6 .
.
. 4. 4. 6 . .
.
.
.
-
74
. 4. 4. 6 . . .
.
.
.
. 4. 4. 6 . . . / .
.
)8.2.8( :
. . . . .
:
.Gantt . . .
. 4. 4. 6 ) ( . .
.
.
.
-
75
. 3. 1
. .
.
) (.
) (.
) . 4. 4. 6(
.
:
.
.
. .
:
. . . .
. 4. 4. 6
.
.
.
. 4. 4. 6 .
.
-
76
. 7 . .
:
.
.
.
: . - . - . -
. 4. 4. 5 .
.
. 4. 4. 5 .
. :
. . . / . .
.
. 1. 1
. .
:
. . . . . . .
-
79
. 1 ) (.
:
. . . . .
:
. . . . . . . .
.
. 2 .
.
) (
.
. 1. 2
.
.
.
:
. .
. . .
-
80
) (
.
. 2. 2
. / ) (.
.
.
:
. . . .
. .
. . .
) ( (.
.
/
.
. .
.
.
.
.
.
-
81
) (
.
. 3. 2
. . /
) (.
/
.
:
. ) (. .
. 4. 2
.
. . )SWOT( ) ( / ) ( .
.
:
.
. .
:
.
-
82
. ) (. . / . .
) (. 5. 2
. . :
. . . . / . . . .
-
83
. 3
6.
7.
8.
1.
2.
3.
4.
*
5.
*: ) ( .
-
84
. . ) (
.
. 1. 3
. .
:
. )
(. .
. 2. 3
:
. . .
.
. .
.
. .
.
.
.
) -2 (.
. 3. 3
) (.
:
.
.
.
.
-
85
.
)( /
.
. 4. 3
.
.
:
. . . .
. 5. 3
) ( . ) ( . . .
.
.
.
.
) ( .
.
.
.
.
.
-
86
. 1. 3
. . . .
.
. 1. 3
.
.
.
. 1. 3
:
.
.
.
.
.
.
. 4
. / .
)ADKAR( . )( .
-
87
.
. )( :
. .
. .
)( .
. 1. 4
.
.
. 2. 4
.
. 3. 4
.
.
. 4. 4
.
.
. 5. 4
"" .
.
. . )(
.
-
91
. 1
.
) ( . .
. 2 .
) ( . :
. . . . .
) ( .
-
92
. 3
.
12 / .
)1(
-
93
. 1. 3
. " " .
. 4. 4. 4 . 1 .
. 4. 4. 4 . .
.
. 4. 4. 4 :
. 1. 3. 1. 3 .
.
) ( . / .
- - :
-
94
1
)(
/
. 2. 3. 1. 3 ) ( : . / .
/ .
2 .
.
. 4. 4. 4 ) ( . ) (
. .
: 70% " ".
. 4. 4. 4 .
-
95
. 1. 5. 1. 3 .
. ) ( .
2
.
.
) ( .
.
. /
.
/ .
-
96
. 2. 5. 1. 3 3.
.
.
3
:
: ) ( . : ) (. : ) (
.
: . .
) ( .
:
: .
. : ) (
. :
. : / ) (.
-
97
/
.
.
( ) . :
: ) ( .
: ) ( .
: . .
.
) ( :
: . :
) (. : ) ( .
.
-
98
4
.
.
.
/
) (.
) (. ) (
) (
.
.
) ( . / /
/
.
.
-
99
. 2. 3
.
. 4. 4. 4
.
.
5
/
.
. /
) (
.
) .(
. 1. 1. 2. 3 .
70% .
-
100
) (. 2. 1. 2. 3 / ) ( .
.
1
. 3. 1. 2. 3 .
6 ) (
6
99999 999 99 99999 999 99
99999 999 99 - 4 99999 99
99 99 99999 999 99 .
)SANS(0
99999 999 99
99999 9999 )(99999
99999
-
101
. 4. 1. 2. 3 .
. 3. 3
. :
. . . . . . .
-
102
. 4. 3
. .
:
. . / . .
. 5. 3
. .
-
103
. 4. 4. 4 7
15 - 20% .
.
.
.
.
.
.
)Social Engineering(
.
. 4. 4. 4 .
-
107
. 1 . .
. 2 ) (
:
. .
. .
. . . .
.
. 3
. .
.
-
108
. 1. 3
) (
/
....
....
) (
....
-
109
. . .
. .
4.1.1. :
: . 4. 4. 4 ) (
/
. . . ) (
.
:. 4. 4. 4 .
-
110
. 2. 3
) .. (
) (
/
) (
....
....
....
-
111
. .
. .
.
4.1.1. .
. 4. 4. 4
/
. . . . ) (
/ .
. 4. 4. 4 .
-
112
. 3. 3
) .. (
) (
/
) (
....
....
....
-
113
. .
.
.
.
4.1.1. :
. 4. 4. 4
. .
.
. 4. 4. 4 .
-
114
. 4. 3
. .
:
. 4 . .
.
.. 5
. 1. 5
) ( .
. ) (
.
-
115
.
.
. . .
.
. 4. 4. 4
. 1. 1. 1. 5 . . .
.
. 2. 1. 1. 5 . )( .
.
. 3. 1. 1. 5 . / . . .
.
-
116
. 4. 1. 1. 5 . . .
.
. 5. 1. 1. 5 . . .
.
. 6. 1. 1. 5 . . / )tokens( / .
.
-
117
. 2. 5
. ) ( :
) ( :
CISMCISSPCISACCSPCPPCEHGIACISO 27001
. . . . .
-
118
. 3. 5
) ( .
) (. ) ( .
. 4. 5
) ( :
. . . . : . ) (. ) (. /
. ) ( .
-
) (
-
121
. 1 ) (.
.
. 2
:
.. 1 / .. 2
/ :
: . 1 .
: .. 2 : . 3
.
. 3 .
:
-
122
. 1. 3
. 4. 4. 4 ) (.
. 4. 4. 4 .
. 4. 4. 4
-
123
. 2. 3. 1. 3
. 1 ( )
. . 2 ( )
:
/ .
/ .
/ .
. 3. 3. 1. 3 . 1 ( )
:
.
.
.
. 1. 3. 1. 3
. 1 ( ) ( ) . ( )
. ) ( :. 2 /
) ( .
) ( .
) ( )
( .
-
124
. 2 ( ) :
. . . . . .
. 4. 3. 1. 3
) ( . 1 :
.
. ) ( . 2
( )
.
( . 3 ) ) (
.
. 5. 3. 1. 3 . 1 ( )
) ( .
) ( . 2 ( )
.) . 3 ( )
( : )
(.
.
. 4. 4. 4 .
-
125
. 2. 3
. 4. 4. 4
.
. 4. 4. 4 .
-
126
. 4. 4. 4
. 1. 3. 2. 3 . 1 ( )
: )
( ) (
.
) (
. ) ( . 2
:
. . .
. 2. 3. 2. 3 . 1
.
.
. 2 :
) (.
) (
.
.
. . 3
.
. 3. 3. 2. 3 . 1
.
:. 2
.
.
-
127
.
. . 3
.
:
.
.
. . 4
.
. 4. 3. 2. 3 . 1
. . 2
:
: .
: )
(. :
.
/ . 3
.
. 5. 3. 2. 3 . 1
. .
. . 2
. . 3
) /
( .( . 4 )
.
-
128
. 6. 3. 2. 3 / . 1
/ . ) ( / ) . 2
( . . 3
) (. ) ( . 4
.
:. 4. 4. 4 .. 1 .. 2
-
129
. 4
. 1. 4
/
)/
/(
/
1
2
3
N
/
)/
/(
/
1
2
3
N
-
130
. 2. 4
.
/ : ) / (
/ : ) / ) ((.
/
/
) (
) (
1
2
3
4
. 3. 4
)1(: ) (.
)2(: ) (.
)3(:
-
131
) (.
)4(: ) .
.
1) (
1:
:) - - (
:
:
:) (
:)(:
) (
-
135
. 1 :)1(
. 1. 1
)MS-Access( .
.
. 2. 1 .
.
. 3. 1
:
MS-( Access( .
.
MS-( Access(
.
4 .4 .4 .MS-( Access(
)MS-Access( :
: . :
.
: .
. :
.
: .
: / .
: .
: .
-
136
. 4. 4. 4 :
: .
: . :
. :
.
. 4. 4. 4
:
: .
: .
: .
. 4. 1
. 4. 4. 4 ) ( )MS-Access(
:
)1(: .
) ( - )MS-Access(
. ) -
(
. -
MS-( Access( .
- )2(
.)MS-Access(
-
137
)2(: .
- )MS-Access(
. ) ( -
)MS-Access( .
) - (
. -
)MS-Access(
. -
)2( .
- .
)3(: .
/ - )MS-Access(
. ) ( -
)MS-Access(
. ) -
(
. / -
)MS-Access(
. -
)2( )3.2.3( .
/ -.
-
138
. 4. 4. 4 /
:
. 3 )2(
. . 4 ( )
.
. 5 ) ( / /
.
. 4. 4. 4
)MS-Access(
:
. 1 ) ) ( (
.) . 2
( .
. 3 ( )
. . 4 ( )
.
. 5 .
. 6 )2(
. . 7
.
-
139
. 5. 1
.
.
/ /
.
.
.
)2(: . 2
.
. 1. 2
) ( : -
. . - . - . -
) ( : -
. . - -
. . - . -
) ( : . - . -
) ( : . -
) ( : . -
) ( : -
.
-
140
. 2. 2
) (
. ) ( )
(
. ) ( )
( ) ( .
. ) (
/ / .
) ( ) ( / ) (:
)ISMS( .
. )ISMS(
. .
. . . .
. 4. 4. 4 ) (
) ( ". "
) ( ) ( .
) (.
.
. 4. 4. 4 ) (
. ) ( . ) (
) ( ) ( .
/ . 4. 4. 4 ) ( " /
" :
-
141
) -(
. -
) ( ) (
. ) ( /
) ( .
. 4. 4. 4 ) (
/ .
- ) (
) ( . -
) ( .
) ( ) ( )
(. ) ( ) (
/ .
) ( ) (.
. 4. 4. 4 ) ( )
( .
. 6. 4. 4 ) (
.
) (
" ".
) ( ) (. ) ( ) ( " "
"".
. 5. 4. 4 ) (
/ .
. 6. 4. 4 ) ( ) (
.
) ( .ISMS
-
142
. 6. 4. 4 ) ( )PDF( .
)ISMS( .
) ( ) ( "" ) ( .
) ( ) ( "" ) (.
. .4. 4. 4 ) ( ) ( / .
) ( ) ( .
. 44. 4. 4 .
) ( " " ) ( . ) (
. ) (
. ) ( ) (
.
/ . ) ( .
-
143
) ( .
:
)( .
:
) ( . .
. .
. .
128 128 192 256 .
)( .
. ) (
.
-
144
.
.
.
/ .
/ . .
. .
.
.
) (
.
.
.
.
/ .
. .
-
145
/ .
.
.
.
.
. .
.
:
. .
. 13292 /
. )/(
.
-
146
.
/ .
.
. .
.
. .
. :
) ( . ) ( .
. . . . . .
. .
-
147
. . . . . . . )FIPS 140-1(. .
.
.
.
. .
. . .
. .
(. . )
. . ..
.
.
.
. /
.
-
148
- . .
.
.
. .
.
. :
) ( . ) ( .
.
.
. )
( .
.
.
.
.
-
149
. ( ) .
.
.
.
.
.
.
.
:
.
.
.) (
-
150
.
:
. .
) ( .
.
.
. .
/ . /
.
.
. .
-
151
)IPsec(
)2411( . .
.
:
. . /
: .
.
.
) (
.
:
.
. .
.
.
-
152
.
.
.
) (.
. - -
/ . /
.
.
. ) (
) (.
. / . . ) (
.
.
-
153
.
)
(.
) (.
.
. .
.
.
.
.
) ( .
. .
. .
-
154
) (
.
) ( .
.
. .
.
( / )
. .
. .
.
.
( ) .
.
. ) (
-
155
:
. .
.
SQL . .
.
SSID.
SSL .
.https .
. - - /
Stateful . .
.
.
.
.
.
-
156
. //
) ( / .
.
/ ) (
.
.
.
.
: ' ' ' '.
. )( ) (
.
) (.
.
.
.
.
-
157
.
.
.
VLAN
.
.
.
)Pagers( .
.
X.509 - X.509 X.509 X.509 .
X.509 X.509 .
XSS
XSS . XSS
.
:Sources: Publicly available information in published material from
KSU
)PMBOK )PMI
27001 ISO
.US Govt. agencies etc
-
158
-
159
-
. 75606 11588 +966 1 4618190 +966 1 4618000 P.O. Box 75606 Riyadh 11588 Saudi ArabiaTel.: +966 1 4618000 Fax: +966 1 4618190w w w . c i t c . g o v . s ai n f o @ c i t c . g o v . s a