سياسة ضبط الدخول

الهدف

تهدف سياسة ضبط الدخول بجامعة تبوك الي ادارة الدخول المنطقي والمادي بحيث تقتصر عملية الدخول على الأشخاص المفوضين والاجهزة المصرح لها داخل الجامعة 

النطاق

تنطبق هذه السياسة على جامعة تبوك  ، وعلى كأفة الأطراف المعنية بما في ذلك الشركاء ، أو الشركات التابعة لها ، والمتصفحين للموقع سواء من داخل الجامعة او خارجها وعى نظم معالجة البيانات ونظم ضبط البيانات و نظم ضبط العمليات التي تحتوي على ، أو تستخدم معلومات و /أو تسهيلات تعود ملكيتها للجامعة.

الدور و المسئوليات

1-         دور الادارة

•           دعم تنفيذ سياسات الحماية في بيئة الجامعة لحماية الأصول المعلوماتية  البرامج الحيوية للعمل.

•           ضمان توافق سياسات الحماية مع المتطلبات القانونية والتعاقدية للجامعة ولقوانين وانظمة الدولة

•           الموافقة على استخدام كافة نظم المعلومات المستخدمة في معالجة و تخزين او طباعة المعلومات الحساسة

•           الموافقة على السياسات الجديدة أو على التعديلات التي تتم على السياسات الحالية

 

2-         دور عمادة تقنية المعلومات

•           تحديد وادامة سياسات حماية المعلومات

•           توزيع وثائق حماية المعلومات ، بحيث تحصل الجهات التي تحتاج اليها على نسخ منها ، أو تمكينها من الحصول عليها عبر موقع على الشبكة الداخلية.

•           اعداد كتيبات حماية المعلومات اللازمة لتعزيز مستوي حماية المعلومات في الجامعة ، وتحديث هذه الكتيبات بشكل دوري

•           ضمان حماية نظم المعلومات / البنية التحتية وفقا للأليات التقنية التي حددها فريق تصميم النظم / التطبيقات.

•           مراقبة حماية النظم / التطبيقات /الشبكة.

•           تطبيق الضوابط الملأئمة لحماية سرية و سلامة  وأصالة المعلومات الحساسة .

 

3-         دور مالك الأصل المعلوماتي

•           يتولى مسئولية توفير الحماية المناسبة ، وإدارة وتداول الأصول المعلوماتية الحيوية التي تم تكليفه بملكيتها .

•           تحديد حقوق دخول المستخدمين إلى الأصول المعلوماتية

4-         دور المستخدم

الألتزام بسياسات الحماية وإرشادات وإجراءات حماية البيانات الحساسة
إبلاغ مدير أمن المعلومات عن نقاط الضعف التي تؤثر بالفعل ، او هناك شكوك بانها قد توثر على سرية وسلامة وتوافر البيانات والمعلومات الحساسة.
استخدام وتوظيف المعلومات في الأغراض التي تنسجم مع أهداف الجامعة 

الالتزام

يعتبر التنفيذ بهذه الوثيقة إلزامي ، وعلى كافة القطاعات – الإدارت -  المكلفين بجامعة تبوك متابعة مدى الالتزام بها ضمن أقسامهم . و يكون الالتزام بنص السياسة العامة خاضعا للمراجعة الدورية من قبل عمادة تقنية المعلومات ، وسوف يتمخض أي أنتهاك لهذه السياسة عن قيام لجنة أمن المعلومات بعمادة تقنية المعلومات بالتنسيق مع الجهات المعنية بالجامعة أو الجهات الأمنية  ذات الأختصاص باتخاذ اجراءات تصحيحية . ويكون مستوى الإجراءات التأديبية المطبقة متلائما مع مستوى الانتهاك الذي تحدده التحقيقات . وتتضمن هذه الإجراءات ، على سبيل المثال ، لا الحصر :

•           حجب امتيازات الدخول على الأصول المعلوماتية .

•           جزاءات قد تكون مالية أو انهاء خدمة الموظف ، او تنزيل مستواه الوظيفي إلى المستوى الذي تراه الإدارة و الموارد البشرية و القسم القانوني مناسبا

المالك

عمادة تقنية المعلومات

محور السياسة

يجب ، ومن خلال اعتماد سياسة خاصة بضبط الدخول ، تحديد وتوضيح قواعد صلاحيات الدخول الي جامعة تبوك لكل مستخدم أو مجموعة من المستخدمين وسعيا للوصول إلي أعلي مستويات الحماية ، ينبغي أن يتم التعامل مع كل عمليات ضبط الدخول المنطقي والدخول المادي معا.

سياسة ضبط الدخول إلى المعلومات

  • يجب أن تكون عملية الدخول إلي المعلومات محددة ومحكمة بحيث تراعي متطلبات العمل والحماية وقواعد الدخول الخاصة بكل نظام من نظم المعلومات او تطبيقات الجامعة ، وينبغي لهذه القواعد ان تاخد ما يلي بعين الأعتبار :
  1. المتطلبات ذات الصلة بالحماية لتطبيق / تطبيقات العمل
  2. وجود حاجة محددة ، ذات صلة بالعمل ، لدي المستخدم للدخول إلي المعلومات أو عمليات العمل ( وفقا لمبدأ الحاجة للمعرفة )
  3. يتم حجب كافة أنواع الدخول ما لم يتم الموافقة علية بموجب أحكام هذه السياسة
  4. الالتزامات القانونية و/ أو التعاقدية لتققيد او حماية الدخول إلي نظم المعلومات
  5. تعريف ملفات دخول المستخدمين ، وادارة حقوق دخول المستخدمين على امتداد البنية التحتيه لتقنية المعلومات بالجامعة
  • -  لا يسمح بدخول الموظفين التابعين للمقاولين والأستشاريين والمورين الي الأصول المعلوماتية الهامه بالجامعة الأ بموجب اتفاقية عمل / دعم فني .ويراعي في هذه الأتفاقية ما يلي :
  1. الشروط والأحكام التي يتم بمقتضاها السماح بالدخول
  2. مسئوليات موظفي المقاولين والاستشاريين والمورديين
  3. موافقة موظفي المقاولين والاستشاريين والمورديين على الالتزام بسياسة حماية المعلومات.

- يجب تطبيق ضوابط الدخول عبر تحديد اعدادات لمجموعات المستخدمين زترتبط بامتيازات دخول محددة . وينبغي أن لا يتم منح المستخدمين الفرددين دخول مخصص ، حيث يتم عوضا عن ذلك تمكينهم من الدخول من خلال العضوية ضمن مجموعات محددة مسبقآ .

- يجب سحب حقوق دخول الموظفين والمقاولين والاستشاريين الي انظمة الجامعة / الخدمات فور حدوث اي تغيير على الدور المناط بهم ، او في حاله الاستقالة أو انهاء الخدمة

  • ينبغي توثيق وتطبيق تسجيل دخول وإجراءات المستخدم حسب الأصول
  • لا يجب أن يتم منح أي مستخدم رسميا من حق الدخول قبل الأنتهاء بالكامل من إجراءات التفويض.
  • يخصص لكل مستخدم من مستخدمي نظم المعلومات / الشبكة هوية مستخدم فريدة ، ويفوض من قبل مالك الأصل او الأدارة بالدخول الي الأصول المعلوماتية للجامعة
  • لا يسمح للمتخدمين ، وتحت أي ظرف من الظروف بتبادل اسماء المستخدمين وكلمات المرور فيما بينهم ، وفي مثل هذه الحاله يتحمل المستخدمون المسئولية المباشرة عن كافة انشطة النظام التي تمت من خلال حقوق المستخدم المخصص لهم
  • ينبغي للجامعة عدم تخصص هويات المستخدمين ، التي سبق وان كانت مخصصة لمستخدمين اخرين ، لمستخدمين جدد
  • لا ينبغي منح موظفي الطرف الثالث حق الدخول الي الأصول المعلوماتية قبل منح التفويض وتحديد مدة الدخول الي الاصول المعلوماتية الضرورية من قبل مدير الأدارة
  • تكون هويات المستخدمين الخاصة بموظفي المقاولين والاستشاريين وجميع موظفي الطرف الثالث مزودة بتاريخ انتهاء تلقائي لا يتجاوز تاريخ انتهاء المشروع المتعاقد عليه
  • على الجامعة مراعاة تنفيذ عملية فصل بين الواجبات عند منح امتيازات دخول النظام للموظفين
  • على مالك الأصل مراجعة كافة حقوق دخول المستخدمين كل 6 اشهر
  • تخضع حقوق الدخول ذات الامتازات الخاصة للمراجعة على فترات 3 اشهر
  • على مدير امن المعلومات القيام بعمليات تدقيق منتظمة على النظام للكشف عن الحسابات الغير مستخدمة . وينبغي تعطيل مثل هذه الحسابات ومن ثم ازالتها .
  • يجب الحفاظ على خصوصية وسرية اسم المستخدم وكلمة المرورالي النظم وان يتم تخصيصها واستخدامها بصورة امنه
عند اقتناء النظم . يجب تغيير كافة اسماء المستخدمين وكلمات السر الأفتراضية وذلك قبل ربطها بالبنية التحتية للجامعة 

مسئوليات المستخدم منع دخول المستخدمين غير المصرح لهم او تعريض المعلومات او عملية معالجة المعلومات للخطر

  • على كافة المستخدمين وعند الانتهاء من أداء اعمالهم انهاء كافة فترات الأتصال النشط بالشبكة
  • بهدف الحد من خطر الدخول غير المصرح به او فقدان / اتلاف المعلومات خلال وبعد ساعات الدوام الرسمي ، يتوجب على كافة المستخدمين انتهاج سياسة المكتب النظيف فيما يختص بالاوراق ووسائط التخزين القابلة للنقل وسياسة اغلاق سطح المكتب المستخدم داخل شبكة الجامعة
  • ينبغي حفظ الوثائق الحساسة او الحيوية المرتبطة بالعمل في مكان بعيد ومقفل عند عدم الحاجة اليها ( ويفضل ان يكون ذلك ضمن خزنة او كابينة مقاومة للحريق )
  • يجب إزلة الأوراق والتي تحتوي علي معلومات حساسة او سرية من الطابعات فور طباعتها 

الدخول الي الشبكة الحيلولة دون الدخول غير المصرح به الى خدمات الشبكة

-  قبل ربط اي نظام ، ينبغي التحقق من عدم وجود فيروسات وبرامج ضارة وان يتم تحيثها باحدث برامج أصلاح النظم  Patches

- يجب إدارة تهيئة الشبكة بحيث يتم تقييد دخول المستخدمين للأصول المعلوماتية المصرح لهم فقط

- يقتصر استخدام ادوات تشخيص وحماية الشبكة على الموظفين المعنيين لهذه المهمه فقط وبما يتماشي مع المسوليات المناطه بهم .

- يتوجب توفير رسم حديث للشبكة ، وان يقوم قسم امن المعلومات باجراء مراجعة  دوريه له . وينبغي تحديث رسومات الشبكة عندما يتم اجراء اي تغييرات على بنية الشبكة

- يسمح للمستخدمين بالدخول مباشرة على الخدمات التي حصلوا على تفويض باستخدامها فقط

يحظر على المستخدمين استخدام مودمات الأتصال العادي في حاله الربط الخارجي اثناء الربط مع الشبكة الداخلية للجامعة

- يجب ان لا يتم السماح بالدخول عن بعد الي شبكات الجامعة الابعد القيام بعملية تحقق ومصادقة حسب الأصول وان تكون حسب الانظمة والادوات المسموح بها داخل الشبكة .

الدخول إلي التطبيق الحيلولة دون الدخول غير المصرح له الى المعلومات المتواجدة في نظم التطبيقات

  • -يجب ان تعمل الجامعة على تقييد دخول المستخدمين وموظفي الدعم الفني الي وظائف نظم المعلومات والتطبيقات
  • -يجب وضع ضوابط بهدف ضبط المخرجات من نظم التطبيقات التي تتعامل مع المعلومات الحساسة
  • -يجب تنفيذ عملية عزل مادية / فعلية للنظم الحساسة
  • -يجب تشغيل التطبيقات الحساسة التي تتعامل مع البيانات المهمه على انظمة تشغيل مخصصة 

الدخول من الاجهزة النقالة ضمان حماية المعلومات عند استخدام الحواسب النقالة ومرافق العمل عن بعد

  • -يجب ان تقوم الجامعة بوع وتطبيق الضوابط اللازمة  ، بهدف الوقاية من مخاطر استخدام الحواسيب المتنقله
  • -يجب على الجامعة تبني اجراءات رسمية وموثقة ضد الرامج الضارة
  • -يجب ان لا يتم السماح بالدخول عن بعد الي المعلومات الخاصة بالعمل عبر الشبكات العامة الا بعد القيام بعملية تحقق ومصادقة ناجحة  مع توفر الية مناسبة لضبط الدخول
  • -عند انتهاء انشطة العمل عن بعد يجب وعلى الفور الغاء التففويض وصلاحيات الدخول
  • -يجب حفظ سجل دقيق وحديث بكافة الأنشطة المتعلقة بالدخول عن بعد
  • -ينبغي عدم استخدام الحواسيب المتنقله او الحواسيب الشخصية في انشظة العمل دون الحصول علة التفويض المناسب مع تطبيق الحماية اللازمة مع اشعار قسم امن المعلومات بالحاجة للاستخدام وتحديد المدة منه
-ينبغي للمستخدمين ان يكونوا على دراية بمسئوليتهم الشخصية عن الأجهزة  وكافة البيانات والمعلومات الموجودة او المخزنة على الاجهزة