متاح

البيانات قواعد أمن معيار نموذج

التصنيف اختر

نص االتاريخ: لإضافة هنا ضغطنص الإصدار: لإضافة هنا اضغطنص المرجع: لإضافة هنا اضغط

<استبدل الجهة> مجمل اسم في الجهة باسم . الخطوات اتبع بذلك، وللقيام الوثيقة صفحات

التالية:مفتاحي ".1 على "Ctrlاضغط في" Hو"

نفسه .الوقت2. "> <" مربع في الجهة اسم أضف

النص عن .البحثمربع .3 في لجهتك الكامل الاسم أدخل

. " النص" استبدال4. " اختيار " من وتأكد المزيد على اضغط

"Match case".5." الكل " استبدل على .اضغط6.. الحوار مربع أغلق

الصورة على بالضغط الجهة شعار أدخلالموضحة.

. جميع احذف توجيهية لأغراض مخصص المربع هذا . تحرير يجب النموذج تعبئة بعد التوجيهية البنودالمربعات

الأزرق باللون . الملونة التظليل إزالة ويجب مناسبة بصورة. التعديلات إجراء بعد الملون

البيانات قواعد أمن معيار نموذج

متاح

الوثيقة اعتماد

التوقيع التاريخ الاسم الدور

> التوقيع> أدخل لإضافة ا هنا ضغطنص > للشخص> الكامل الاسم أدخل الدور اختر

الوثيقة نسخ

التعديل أسباب بواسطة عدل التاريخ النسخة

> التعديل> وصف أدخل الكامل> الاسم أدخلللشخص< نص ا لإضافة هنا ضغط رقم> أدخل

النسخة<

اختر التصنيف

1.0الإصدار

1

البيانات قواعد أمن معيار نموذج

متاح

المحتويات قائمة3.........................................................................................................................الأهداف

التطبيق وقابلية العمل 3............................................................................................نطاق

3.........................................................................................................................المعايير

والمسؤوليات 17.....................................................................................................الأدوار

بالمعيار 18............................................................................................................الالتزام

اختر التصنيف

1.0الإصدار

2

البيانات قواعد أمن معيار نموذج

متاح

الأهدافأفضل على المبنية السيبراني الأمن متطلبات توفير هو المعيار هذا من الغرض

البيانات ) قواعد إدارة بأنظمة المتعلقة والمعايير Database ManagementالممارساتSystem “DBMS )”بـ <الخاصة الجهة> من اسم وحمايتها السيبرانية المخاطر لتقليل

: وهي للحماية، الأساسية الأهداف على التركيز خلال من والخارجية الداخلية التهديدات. وتوافرها وسلامتها، المعلومات، سرية

التشريعية والمتطلبات السيبراني الأمن بمتطلبات الالتزام إلى المعيار هذا يهدفرقم الضابط في تشريعي مطلب وهو العلاقة، ذات الضوابط ١-٣-٢والتنظيمية من

( السيبراني للأمن للأمن( ECC-1:2018الأساسية الوطنية الهيئة من الصادرةالسيبراني.

التطبيق وقابلية العمل نطاق( البيانات قواعد إدارة أنظمة جميع المعيار هذا بـ( DBMSيغطي اسم>الخاصة

في الجهة< العاملين جميع على وينطبق ،> الجهة> .اسم

المعايير

والتحصين )1 الإعدادات (Secure Hardening Configurationمراجعة

الهدفالبيانات ) قواعد إدارة نظام حماية متطلبات الأساسية( DBMSتحديد

البيانات ) قواعد إدارة نظام تصميم وتشغيله( DBMSلضمان وإعداده . آمنة بطريقة

المخاطرالمحتملة

( البيانات قواعد إدارة نظام إعداد في الأخطاء (DBMSتعتبرثغرات وجود إلى تؤدي التي الأسباب أبرز من الضعيفة والتصاميم

بيانات سرية لتهديد استغلالها يمكن <أمنية الجهة> وسلامتها اسموتوافرها.

المطلوبة الإجراءاتالبيانات )1-1 قواعد إدارة نظام تقنيات لتصميم الأمنية الجوانب مراجعة

DBMS )قبل له المصرح المعني الطرف قبل من واعتمادها الجديدةالتثبيت.

The security aspects of the design of new DBMS technologies shall be reviewed and approved by the

اختر التصنيف

1.0الإصدار

3

البيانات قواعد أمن معيار نموذج

متاح

respective authorized party prior to deployment.

1-2

إلى الوصول يمكنها التي والأدوات والتطبيقات الخدمات كافة توثيق موجزا وصفا الوثائق تشمل أن على وحفظها، البيانات قواعد

. العمل لاحتياجاتAll services, applications and tools that access databases shall be documented and maintained, and the documents shall include a brief description of business needs.

1-3

قواعد إدارة نظام تستضيف التي للخوادم المادية المكونات وضع.DBMSالبيانات ) ومراقبة( ومغلقة آمنة بيئة في

Physical components of the servers that host the DBMS shall be located in a secure, locked and monitored environment.

1-4

( البيانات قواعد إدارة نظام خوادم حماية( DBMSوضع جدار وراء. البيانات قاعدة خادم وإلى من الحركة لمراقبة

DBMS servers shall be located behind a firewall to control traffic to and from the database server.

1-5

خوادم أو تطبيقات الى بالوصول الحماية جدار قواعد تسمح أن يجب . المباشر الوصول منع يجب كما ذلك دون ما وتمنع فقط محددة ويب

( البيانات قواعد إدارة أنظمة خوادم على( DBMSإلى الموجودةبـ الخاصة الداخلية <الشبكات الجهة> الاتصال اسم أنواع كافة ومنع ،

الأخرى. Firewall rules shall allow access only to specific applications or web servers. Direct connection to the DBMS servers on >entity name<’s internal networks shall not be allowed, and all other traffic shall be denied.

1-6

قواعد إدارة نظام خوادم إلى الشبكة طريق عن الوصول تقييد( خوادم( DBMSالبيانات مثل محدودة شبكة مصادر على وحصره

. التخزين منطقة وشبكات التطبيقات وخوادم الويبNetwork access to DBMS servers shall be restricted to strictly defined network resources such as web servers, application servers and storage area networks.

قواعد 1-7 عن الإنتاج بيئة في البيانات لقواعد المنطقي أو المادي العزل

اختر التصنيف

1.0الإصدار

4

البيانات قواعد أمن معيار نموذج

متاح

. التطوير وبيئة الاختبار بيئة مثل الأخرى البيئات في البياناتProduction databases shall be physically or logically isolated from other environments such as development or test environments.

1-8

اختبار عند الإنتاج بيانات قواعد في الموجودة البيانات استخدام عدمأمن ضوابط تطبيق على التأكيد مع البيانات، قواعد بيئات تطوير أو

التعتيم ) مثل مزج( )maskسيبراني الحساسة( scrambleأو البيانات. التطوير أو الاختبار بيئتي في استخدامها قبل

Data in production databases shall not be used when testing or developing databases environments, emphasis on applying cybersecurity controls such as masking or scrambling sensitive data before being used in the testing or development environments.

1-9

البيانات ) قواعد إدارة نظام خوادم بين التسمية طريقة (DBMSتمييز. الإنتاجية وغير الإنتاجية

Naming conventions shall be distinguished between production and non-production servers.

1-10

البيانات ) قواعد إدارة نظام خوادم استضافة( DBMSتخصيص وعدم( " " التطبيق أو الويب مستوى مثل أخرى وظائف Webأي or

Application Tier( " النطاق( " خدمات (.Domain Servicesأو

DBMS servers shall be dedicated and shall not host any other functionality such as “Web or Application Tier” or “Domain Services”.

1-11. الافتراضية البيانات قواعد جداول تسمية إعادة يجب

Default database table names shall be changed.

1-12

) ( قواعد أو قاعدة تستضيف التي التشغيل أنظمة كافة تحصين. الخوادم أمن لمعيار وفقا وذلك البيانات،

All operating systems that host the database)s( shall be hardened in accordance with the Server Security Standard.

لإجراء 1-13 فقط للتطبيق المتوفرة المخزنة الإجراءات استخدام. البيانات قواعد من الاستفسارات أو التعاملات

اختر التصنيف

1.0الإصدار

5

البيانات قواعد أمن معيار نموذج

متاح

Only stored and available procedures for the application shall be used to make transactions or queries from the database.

1-14

البيانات ) قواعد إدارة نظام خوادم روابط تحديد مثل( )DBMSعدم( ) البيانات قواعد إدارة أنظمة بين واجهات أو اتصالات (DBMSإنشاء

. الإنتاجية وغير الإنتاجيةDBMS servers links )such as creating connections or interfaces( shall not be defined between production and non-production DBMS)s(.

1-15

البيانات سلامة لضمان البيانات من التحقق خاصية استخدامالمخزنة.

Data validation shall be used to ensure the integrity of stored data.

1-16

واستخدام المدخلات من محددة بمجالات البيانات قاعدة حقول تقييدمثل المدخلات، من الأخرى التحقق طرق أو الثنائية المدخلات

الحدود من المحتوىBoundary( Checking )التحقق من التحقق أو ، الإنترنت مواقع روابط )Contentوتصفية Inspection/URL

Filtering: التالية( العمليات من الحد أو لمنع ، كلاهما أو المكتملة غير أو المفقودة البيانات النطاق خارج القيم المتسقة غير أو بها المصرح غير البيانات البيانات حقول في الصحيحة غير والأرقام الأحرف للتاريخ الأدنى أو الأعلى الحد قيمة حدود تجاوز

Database fields shall be limited to specific ranges of input. In addition, dual input or other input checks )such as Boundary Checking and Content Inspection/URL Filtering( shall be used to limit transactions such as:

Missing and/or incomplete data Out of range values Unauthorized or inconsistent data Invalid characters in data fields Exceeding upper or lower date volume limits

1-17( البيانات قواعد إدارة نظام إعدادات ملفات إلى الوصول تقييدDBMS( المصدرية( Sourceوالشفرة Code )للتطبيقات

اختر التصنيف

1.0الإصدار

6

البيانات قواعد أمن معيار نموذج

متاح

. ومراقبتها البيانات قاعدة في المخزنة والبرمجياتAccess to all DBMS configuration files, as well as to the source code of applications/scripts stored in the database, shall be controlled and monitored.

1-18

من صحتها من التحقق تم والتي فقط المرخصة البرمجيات استخدام. البيانات قواعد خوادم في المورد

Only licensed software whose authenticity has been verified by the vendor shall be used on the database servers.

1-19

البيانات ) قواعد إدارة نظام إصدارات يدعمها( DBMSاستخدام التي. فقط المورد

DBMS versions that are supported by the vendor shall be used only.

1-20

نظام تثبيت قبل المناسبة الأمنية والإصلاحات التحديثات كافة تطبيقالبيانات ) قواعد إدارة( DBMSإدارة لسياسة وفقا وذلك الخدمة، في

. والإصلاحات التحديثاتAll appropriate security patches shall be applied prior to DBMS deployment into service and as per the Patch Management Policy.

1-21

النصية ) البرمجة تفعيل كافة( Scriptingإلغاء على الخادم طرف من. ضرورية تكن لم إن البيانات قواعد

Server-side scripting on all databases shall be disabled if unrequired.

1-22

التنفيذية والملفات البرامج إلى الوصول تقييد أو تفعيل إلغاءالخارجية.

Access to external executables shall be disabled or restricted.

1-23

تعد لم التي وغيرها الافتراضية والأوامر والملفات الرموز حذفالبيانات ) قواعد إدارة نظام تثبيت بعد (.DBMSضرورية

Default code, files, objects, etc. that are no longer required after DBMS installation shall be deleted.

اختر التصنيف

1.0الإصدار

7

البيانات قواعد أمن معيار نموذج

متاح

1-24

من حذفها أو الضرورية غير المنافذ أو الخدمات كافة تفعيل إلغاء. البيانات قواعد خوادم

All unnecessary services or ports shall be disabled or removed from the database servers.

1-25

على الشبكة اتصالات لاستقبال البيانات قواعد إعدادات ضبط.Interfacesالواجهات ) فقط( بها المصرح

Databases shall be configured to listen to network connections on authorized interfaces only.

1-26

قواعد برمجيات وإصلاحات تحديثات حزم سلامة من التأكد يجبالمعتمدة والإصلاحات التحديثات حزم إدارة لسياسة وفقا البيانات

<في الجهة> .اسم

Database software patches and updates shall be checked for integrity as per >entity name<’s Patch Management Policy.

1-27

وتحديثها ومحتوياتها البيانات قواعد لكافة دقيقة جرد قائمة حفظدوريا.

An accurate inventory of all databases and their contents shall be maintained and regularly updated.

1-28

ترميز أنواع باستخدام البيانات قواعد في المخزنة البيانات ترميزفي العلاقة ذات والإجراءات للسياسات وفقا مسبقا محددة آمنة

> الجهة> .اسم

Data stored in databases shall be labeled using predefined types of security labels as per >entity name<’s relevant policies and procedures.

الوصول )2 (Secure Accessتأمين

الهدفمنح لضمان والمحددة العلاقة ذات والتصريح التحقق ضوابط تطبيق

( البيانات قواعد إدارة نظام إلى الوصول وصلاحيات( DBMSحق. التنفيذ إلى والحاجة المعرفة إلى الحاجة على بناء استخدامه

المخاطرقواعد المحتملة إدارة نظام إلى به المصرح غير الوصول يؤدي أن يمكن

( إفصاح( DBMSالبيانات إلى الضرورية غير استخدامه صلاحيات أوبيانات على معتمدة غير تغييرات أو به مصرح <غير الجهة> اسم

اختر التصنيف

1.0الإصدار

8

البيانات قواعد أمن معيار نموذج

متاح

. العمل سير وتعطيل

المطلوبة الإجراءات

2-1

للوصول المستخدمين هويات من للتحقق فقط آمنة آليات استخدامالعناصر متعدد الهوية من التحقق مثل البيانات قواعد والذيإلى

: مثل التحقق عناصر من مجموعة يتضمن)" المرور ) " كلمة مثل فقط المستخدم يعرفه ما المعرفة " ( توليد جهاز أو برنامج مثل فقط المستخدم يملكه ما الحيازة

لتسجيل المؤقتة القصيرة الرسائل أو عشوائية أرقامالدخول"(

( فقط نفسه بالمستخدم متعلقة حيوية سمة أو صفة الملازمة)" الإصبع" بصمة مثل

Only secure authentication mechanisms, such as mutli-factor authentication, shall be used to access databases. This may include a combination of:

Knowledge )something only the user knows, such as a password(

Possession )something owned by the user only, such as a program or a device generating random numbers, or SMSs for login records(

Inherent characteristics )a characteristic of the user only, such as fingerprints(

2-2

إدارة نظام إلى الوصول لإدارة الوصول في التحكم أنظمة استخدامالبيانات ) (.DBMSقواعد

Central access control systems shall be used to manage access to DBMS.

2-3

إلى الوصول يطلب الذي التطبيق أو المستخدم هوية من التحققالبيانات ) قواعد إدارة .DBMSنظام الوصول( حق منحه قبل

User or application requesting access to DBMS shall be authenticated prior to granting the requested access.

2-4" ( مثل والخدمات للحسابات الافتراضية المرور كلمات "SAتغيير و" Listener. تثبيتها"( قبل

Default passwords for accounts and services )such as SA

اختر التصنيف

1.0الإصدار

9

البيانات قواعد أمن معيار نموذج

متاح

and Listener( shall be changed prior to being deployed.

2-5

" ( مثل الافتراضية للحسابات السماح "SAعدم بالبقاء"( PUBLICو" : التالية الإجراءات إلى الحسابات هذه تخضع أن يجب حيث نشطة،

.) الحاجة ) حسب تفعيلها إلغاء أو حذفها أو اسمها تغيير ( إلغاء أو حذفها يمكن التي الافتراضية الحسابات منح عدم

قواعد( إدارة نظام لاستخدام وصلاحيات امتيازات تفعيلها.DBMSالبيانات ) مباشرة( ذلك المورد اشترط إذا إلا

أو الافتراضي الحساب اسم تغيير من التمكن عدم حال فيلسياسة وفقا له الوصول تقييد يجب تفعيله، إلغاء أو حذفه

. الوصول إدارة ( / لا التي الوظائف الحسابات هذه إلى المباشر الوصول منع

) من والطلب تفعيلها إلغاء أو حذفها أو اسمها تغيير يمكنذي الخاص حسابه خلال من الدخول تسجيل المستخدم

. الإدارية والصلاحيات الامتيازاتDefault accounts )such as SA and PUBLIC( shall not be permitted to remain active.

The following MUST be maintained with regards to these accounts:

Rename, delete or disable default accounts )as appropriate(.

Do not grant DBMS/object privileges to default accounts which cannot be removed )or otherwise disabled( unless there is an explicit vendor requirement to do so.

In case default accounts cannot be renamed, deleted or disabled, restrict and control access to them as per the Access Management Policy.

Prevent direct access to such accounts/functions )which cannot be renamed, deleted or disabled( and require the user to logon with their individual account with administration privileges.

2-6( التقديرية الوصول في التحكم سياسات DiscretionaryتطبيقAccess Control )على البيانات، مالك حدده الذي النحو على ،

المحددة ) والأوامر (.Subjects and Objectsالمستخدمين

Discretionary Access Control policies, as defined by the data

اختر التصنيف

1.0الإصدار

10

البيانات قواعد أمن معيار نموذج

متاح

owner, shall be enforced over specified subjects and objects.

2-7

قواعد إدارة أنظمة جميع في المهام بين الفصل على الحفاظ( )DBMSالبيانات البيانات( قواعد مشرفي استخدام وعدم ،DBA)

( / الامتيازات عالية المستخدمين حسابات المديرين حساباتAdmins/Super User Accounts. اليومية( الأنشطة في

Segregation of duties shall be maintained across all DBMS. Admins/Super User accounts shall not be used by DBA for day-to-day activities.

2-8

على وحصره الإدارية الإمكانات ذات الحسابات إلى الوصول تقييدنظام لإدارة مطلوب هو حسبما لهم المصرح الأفراد من قليل عدد

البيانات ) قواعد .DBMSإدارة والتطبيقات( Access to accounts with administration capabilities shall be limited to a few authorized individuals as needed to manage the DBMS and applications.

2-9

إدارة نظام إلى الوصول على الصلاحيات من الأدنى الحد مبدأ تطبيق( البيانات في( DBMSقواعد الوظائف لأداء اللازمة التصاريح وتقييد

وإدارة الوظيفية، والمسؤوليات الأدوار على بناء البيانات قاعدةالتصاريح خلال من وليس المجموعات أو الأدوار خلال من التصاريح

. المستخدم هويات إلى الممنوحة المباشرةLeast privilege principle shall be applied on DBMS access, and the permissions required for performing the job function in the database shall be limited based on the job role and responsibilities. In addition, permissions shall be managed through roles or groups and not by direct grants to user IDs.

2-10

محتويات إلى الوصول على البيانات قواعد مستخدمي قدرة تقييدفي مهامهم على بناء حذفها أو تعديلها أو إدراجها أو البيانات قواعد

العمل.Database users’ ability to access, insert, modify or remove content in databases shall be restricted based on their work duties.

البيانات )2-11 قواعد إدارة نظام خدمات تشغيل نظام( DBMSتجنب علىامتيازات ذات حسابات خلال من بالمستضيف الخاص التشغيل

اختر التصنيف

1.0الإصدار

11

البيانات قواعد أمن معيار نموذج

متاح

وصلاحيات.Running DBMS services on the underlying host operating system through privileged accounts shall be avoided.

2-12

( البيانات قواعد مديري على فردية( DBAيجب حسابات استخدام. جماعي أو مشترك حساب استخدام وعدم الإدارية المهام لأداء

Database administrators )DBAs( shall use individual accounts to perform administrative duties. Shared individual/group accounts shall not be used.

2-13

( الافتراضية الجداول على الوصول أدوار وقواعد( Viewsتطبيقمنفصلة بيانات تجميع أو بمجموع المتعلقة المخاوف لتجنب البيانات،

تحديد للمستخدم تتيح أن يمكن والتي البيانات قواعد ضمن . المصنفة أو الحساسة المعلومات

Access roles shall be applied on views and databases to avoid concerns related to the sum or aggregation of separate pieces of data within the databases, which could allow users to determine more sensitive or classified information.

2-14. فارغة مرور بكلمات البيانات قواعد إعداد عدم

Databases shall not be configured with blank passwords.

2-15

قاعدة وحسابات التشغيل أنظمة لكافة قوية مرور كلمات استخدامالمشرفين ترك عند وتغييرها البيانات قاعدة بمدير الخاصة البيانات

هويات إدارة سياسة عليه تنص ما حسب مناصبهم المتعاقدين أو. والصلاحيات الدخول

Strong passwords for all DBA operating system and database accounts shall be used. In addition, passwords shall be changed when administrators/contractors leave their positions as per the statements of the Identity and Access Management Policy.

2-16

) ( تحتوي أن يمكن والتي التثبيت عملية من المؤقتة الملفات حذف. مرور كلمات على

Temporary files )from the installation process( that may contain passwords shall be removed.

اختر التصنيف

1.0الإصدار

12

البيانات قواعد أمن معيار نموذج

متاح

2-17

ذات العمليات على وحصره البيانات قواعد ملفات إلى الوصول تقييد. لهم المصرح الإداريين والمستخدمين العلاقة

Access to database files shall be restricted to the relevant processes and the authorized administrative users.

2-18

انتهاء مثل المحددة الشروط تلبية بعد تلقائيا المستخدم جلسة إغلاق. الجلسة مهلة

User session shall be terminated automatically after meeting defined conditions, such as session timeout.

التدقيق )3 (Audit Logsسجلات

الهدف( البيانات قواعد إدارة نظام سجلات الأمنية( DBMSإصدار للأحداث

البيانات قواعد إدارة نظام على وتأمينها وتسجيلها والحرجة الرئيسية(DBMS. المستقبل( في والتحقق والتتبع التحقيق في للمساعدة

المخاطرالمحتملة

قدرة من الوافية غير التدقيق سجلات <تحد الجهة> كشف اسم علىقواعد إدارة نظام في عها وتتب الأمنية والمسائل والحوادث الانتهاكات

( . DBMSالبيانات كما( الأمنية الانتهاكات سبب تحديد إمكانية وتقيد ، البيانات ) قواعد إدارة نظام على التدقيق سجلات تأمين عدم يؤدي

DBMS )في يؤثر مما بالسجلات العبث إلى المناسب بالشكلسلامتها.

المطلوبة الإجراءات

3-1

البيانات ) قواعد إدارة أنظمة جميع أوقات خادم( DBMSمزامنة معالشبكة ) وقت .Network Time Protocolبروتوكول المركزي(

All DBMS clocks shall be synchronized with the centralized Network Time Protocol )NTP( server.

3-2

مستقلة تكون أن أو التشغيل نظام بسجلات السجلات إرفاق يمكنالبيانات ) قواعد إدارة نظام (.DBMSضمن

Logs may be appended to the operating system logs or be self-contained within the DBMS.

هوية 3-3 لتحديد كافية معلومات على تحتوي التي التدقيق سجلات إصدار. المعني بالحدث علاقة ذات عملية أو مستخدم أي

Audit records containing sufficient information shall be

اختر التصنيف

1.0الإصدار

13

البيانات قواعد أمن معيار نموذج

متاح

generated to establish the identity of any user/subject or process associated with the event.

3-4( البيانات قواعد إدارة نظام نشاطات بحد( DBMSتسجيل التاليةأدنى:

. النظام في ظهرت التي الأخطاء أو الإنذار حالات جميع.التشغيل.الإغلاق ) ( هيكل وأي البيانات قواعد استبعاد حذف أو تعديل أو إنشاء

وفهارس البيانات لقواعد جداول وأي البيانات لقواعد تخزين. ومصادر وحسابات

. تفعيلها وإلغاء التدقيق وظيفة تفعيل إدارة نظام مستوى على وإلغائها والصلاحيات الامتيازات منح

البيانات ) (.DBMSقواعد الذي المصدر وجود لعدم خطأ رسالة ظهور ب يسب إجراء أي

. عنه البحث يتم إدارة نظام على مصدر تسمية إعادة إلى يؤدي إجراء أي

البيانات ) (.DBMSقواعد المصدر استخدام وصلاحيات امتيازات يلغي أو يمنح إجراء أي

البيانات ) قواعد إدارة نظام حساب أو دور (.DBMSمن. الأحداث وقوع عند الزمنية الأختام إدارة نظام إعدادات أو البيانات دليل على التعديلات كافة

البيانات ) (.DBMSقواعد البيانات قواعد إدارة بنظام الاتصال فشل حالات جميع تدقيق

(DBMS )تدقيق البيانات قاعدة مدير ويضمن أمكن، حيثما. الناجحة وغير الناجحة الاتصال محاولات

. المرور كلمات وأقفال الناجحة، غير الدخول تسجيل محاولات أو والصلاحيات الامتيازات حذف أو تعديل أو إضافة محاولات

التصاريح. ( أو التصنيف مستويات مثل المعلومات من فئات حذف

.) الأمن مستويات.) وهكذا ) آخر أمرا يطلب أمر عادي غير أمر( البيانات قواعد إدارة نظام سجلات تفعيل أو( DBMSإلغاء

تعديلها. The following DBMS activities shall be recorded and logged at minimum:

اختر التصنيف

1.0الإصدار

14

البيانات قواعد أمن معيار نموذج

متاح

All raised system alarms or errors Start up Shutdown The creation, alteration, or deletion )drop( of databases,

and any database storage structures, tables, indexes, accounts and objects

Enabling and disabling of audit functionality Granting and revoking of DBMS system level privileges Any action that returns an error message because the

object referenced does not exist Any action that renames a DBMS object Any action that grants or revokes object privileges from

a DBMS role or account Time stamps when the events occurred All modifications to the data dictionary or DBMS system

configuration Audits of all DBMS connection failures where possible.

DBA shall ensure that both successful and unsuccessful connection attempts are audited

Failed logon attempts, and password locks Attempts to add, modify or delete privileges/permissions Deletion of categories of information )such as

classification levels/security levels( Abnormal command )command calling another

command, etc.( Disabling or modifying DBMS's logs

3-5

للأشخاص المناسب الدعم تقديم أجل من ومباشر فوري تنبيه توفير. مباشرة إجراءات تتطلب التي التدقيق فشل أحداث جميع في

An immediate real-time alert shall be raised to appropriately support individuals with all audit failure events requiring real-time action)s(.

3-6

البيانات ) قواعد إدارة نظام في التدقيق خصائص من( DBMSحماية. بها المصرح غير الحذف عمليات

Audit features in the DBMS shall be protected against unauthorized removal.

اختر التصنيف

1.0الإصدار

15

البيانات قواعد أمن معيار نموذج

متاح

4( الاحتياطية والنسخ الكوارث من Disaster Recovery andالتعافي

Backup)

الهدفمثل ) واختبارها البيانات لقواعد احتياطية نسح عمل متطلبات تحديد

) قاعدة في المخزنة البيانات توافر لضمان والنوع والوتيرة النموذجلدى مقبول بمستوى <البيانات الجهة> عطل اسم حدوث حال في

كبير.

المخاطرالمحتملة

بـ الخاصة التحتية البنية في كبير عطل حدوث حال <في الجهة> ،اسم( البيانات قواعد إدارة نظام ذلك في نسح( DBMSبما تتوفر ولم ،

فإن سليمة، <احتياطية الجهة> استئناف اسم على قادرة تكون لن. المطلوبة بالصورة عملها

المطلوبة الإجراءات

4-1

العمل احتياجات على بناء دوريا البيانات لقاعدة احتياطية نسخ عملالأعمال ) استمرارية خطة لمتطلبات من( BCPووفقا التعافي وخطة

(.DRPالكوارث )

Databases shall be regularly backed up based on business needs and in line with Business Continuity Plan )BCP( and Disaster Recovery Plan )DRP( requirements.

4-2

والتحقق لها احتياطية نسخ عمل تم والتي المخزنة البيانات اختبارالتعافي خطة اختبار لإجراءات وفقا أو أشهر ثلاثة كل وتحديثها منها

الكوارث ) (. DRPمن

Archived and backed up data shall be tested, verified and updated on a quarterly basis or as per the DRP testing requirements.

4-3

( البيانات قواعد إدارة نظام من نسخ ) DBMSعمل احتياطية( نسخأو( الموقع خارج المتواجدة البيانات قواعد أنظمة لجميع تابعة

( العربية المملكة داخل السحابية الخدمات على المستضافةالسعودية(.

DBMS )slave backups( shall be replicated for all database systems off site or on cloud )within KSA(.

معتمدة 4-4 زمنية لفترات البيانات قاعدة من الاحتياطية بالنسخ الاحتفاظالضوابط ) " في ورد كما العمل استئناف متطلبات لتلبية كافية تكون

ECC-2-9-2" "CSCC-2-8-1و" لمدة"( CSCC-2-8-2و" 12وذلك شهرااختر التصنيف

1.0الإصدار

16

البيانات قواعد أمن معيار نموذج

متاح

و البيانات قواعد . 18لجميع الحساسة للأنظمة البيانات لقواعد شهراDatabase backups shall be retained for an approved intervals sufficient to meet the business resumption requirements )as stated by "ECC-2-9-2", "CSCC-2-8-1" and "CSCC-2-8-2"(. Backups of all databases shall be retained for 12 months, and 18 months for critical databases.

(Cryptographyالتشفير)5

الهدفالبيانات ) قواعد إدارة نظام تشفير متطلبات في( ) DBMSتحديد بما

) البروتوكولات متطلبات وتحديد والتخزين والتحقق الاتصالات ذلك. المعتمدة التشفير وشهادات الآمنة

المخاطرالمحتملة

البيانات ) قواعد إدارة نظام استخدام عدم يعرض لآليات( DBMSقدمحكمة <تشفير الجهة> البيانات اسم عن به مصرح غير لإفصاح

الحساسة.

المطلوبة الإجراءات

5-1

غير التعديل لمنع التشفير لسياسة وفقا البيانات قواعد تشفير. المخزنة والخاصة المصنفة البيانات على به المصرح

Databases shall be encrypted as per the Cryptography Policy to prevent unauthorized modification of classified and private data at rest.

5-2

يرجى ) العلاقة ذات والسياسات للمعايير وفقا البيانات قواعد تشفير.) المعتمد التشفير ومعيار البيانات تصنيف سياسة إلى الرجوع

Databases shall be encrypted as per the respective standards and polices )Refer to Data Classification Policy and Cryptography Standard(.

5-3

قوية تشفير آليات باستخدام الأنظمة وبين الشبكة عبر البيانات نقل. البيانات انتهاك مخاطر من للحد وكافية

Data shall be transmitted over the network and between systems using encryption mechanisms strong enough to minimize the risk of data exposure.

على 5-4 أو البيانات قاعدة مستوى على البيانات، قاعدة ملفات تشفيرفي العلاقة ذات والإجراءات للسياسات وفقا الحقول، اسم>مستوى

اختر التصنيف

1.0الإصدار

17

البيانات قواعد أمن معيار نموذج

متاح

.الجهة<

Database files, on the database-level or field-level, shall be encrypted as per >entity name<’s relevant policies and procedures.

5-5

. التشفير لسياسة وفقا التشفير مفاتيح حمايةEncryption keys shall be protected as per the Cryptography Policy.

5-6

الشهادات ) منح وهيئة المزود من التشفير شهادات من (CAالتحققالمعنية.

All encryption certificates shall be verified from the provider and the Certificate Authority )CA(.

5-7

من الاحتياطية النسخ تخزن التي الاحتياطية النسخ أشرطة تشفيرفي الأشرطة نفس على التشفير مفتاح تخزين وعدم البيانات قواعد

. مشفرة غير حالةBackup tapes that store database backups shall be encrypted, and the encryption key shall not be stored in the same tapes in plain text.

5-8

حركات ) كافة التطبيقات( Trafficتشفير أو المستخدمين أو المديرينالبيانات ) قواعد إدارة نظام .DBMSمن وإليه(

All administrator, user or application traffic to and from the DBMS shall be encrypted.

5-9

( مثل آمنة غير خدمات أو مشفرة غير بروتوكولات استخدام عدمالتشعبي النص نقل "HTTP"بروتوكول الملفات" نقل وبروتوكول ،

FTP( ) الآمن" التشعبي النص نقل بروتوكول واستخدام وغيرها ،HTTPS( )الآمن الملفات نقل . SFTPوبروتوكول منها( بدلا وغيرها

Unencrypted protocols or non-secure services )such as HTTP, FTP, etc.(, shall not be used, and HTTPS, SFTP, etc. shall be used instead.

5-10( المميزة القيمة قواعد( Hashحساب في المخزنة المرور لعبارات( فريدة بصورة وعشوائية محكمة خوارزمية باستخدام البيانات

Uniquely Salted( المميز( النص بصورة( Hash Functionلحساب

اختر التصنيف

1.0الإصدار

18

البيانات قواعد أمن معيار نموذج

متاح

فريدة.Hash passphrases stored in databases shall be calculated with a strong hashing algorithm that is uniquely salted.

والمسؤوليات الأدوار1-: المعيار وثيقة ومالك < راعي السيبراني> بالأمن المعنية الإدارة .رئيس

2-: وتحديثه المعيار < مراجعة السيبراني> بالأمن المعنية .الإدارة

3-: وتطبيقه المعيار < تنفيذ المعلومات> بتقنية المعنية .الإدارة

بالمعيار الالتزامعلى -1 <يجب السيبراني> بالأمن المعنية الإدارة التزام رئيس <ضمان الجهة> اسم

. دوريا المعيار بهذافي -2 العاملين كافة على <يجب الجهة> .اسم المعيار بهذا الالتزامحسب -3 تأديبي إجراء إلى المخالفة صاحب المعيار لهذا انتهاك أي يعرض قد

في المتبعة <الإجراءات الجهة> .اسم

اختر التصنيف

1.0الإصدار

19