سياسة الاتصالات اللاسلكية

الهدف

الغرض من هذه السياسة هو تأمين وحماية أصول المعلومات التي تملكها جامعة تبوك . تحدد هذه السياسة الشروط  التي يجب توفرها  باجهزة البنية التحتية اللاسلكية  تمهيدا لربطها بشبكة الاتصال الخاصة بجامعة تبوك.

النطاق

تشمل هذه السياسة جميع الموظفين والمقاولين والاستشاريين والعمال المؤقتين والطلاب وغيرهم من العاملين بجامعة تبوك. تنطبق هذه السياسة على جميع أجهزة البنية التحتية اللاسلكية التي تتصل مع جامعة تبوك وهذا يشمل أي شكل من أشكال الاستخدام لاجهزة اتصالات لاسلكية قادرة على نقل حزم البيانات.

الدور و المسئوليات

دور الادارة

•           دعم تنفيذ سياسات الحماية في بيئة الجامعة لحماية الأصول المعلوماتية  البرامج الحيوية للعمل.

•           ضمان توافق سياسات الحماية مع المتطلبات القانونية والتعاقدية للجامعة

•           الموافقة على استخدام كافة نظم المعلومات المستخدمة في معالجة و تخزين او طباعة المعلومات الحساسة

•           الموافقة على السياسات الجديدة أو على التعديلات التي تتم على السياسات الحالية

دور عمادة تقنية المعلومات

•           تحديد وادامة سياسات حماية المعلومات

•           توزيع وثائق حماية المعلومات ، بحيث تحصل الجهات التي تحتاج اليها على نسخ منها ، أو تمكينها من الحصول عليها عبر موقع على الشبكة الداخلية.

•           اعداد كتيبات حماية المعلومات اللازمة لتعزيز مستوي حماية المعلومات في الجامعة ، وتحديث هذه الكتيبات بشكل دوري

•           ضمان حماية نظم المعلومات / البنية التحتية وفقا للأليات التقنية التي حددها فريق تصميم النظم / التطبيقات.

•           مراقبة حماية النظم / التطبيقات /الشبكة.

•           تطبيق الضوابط الملأئمة لحماية سرية و سلامة  وأصالة المعلومات الحساسة .

دور مالك الأصل المعلوماتي

•           يتولى مسئولية توفير الحماية المناسبة ، وإدارة وتداول الأصول المعلوماتية الحيوية التي تم تكليفه بملكيتها .

•           تحديد حقوق دخول المستخدمين إلى الأصول المعلوماتية

المالك

عمادة تقنية المعلومات

محور السياسة

  • تسجيل نقاط الوصول  "Access point ":
  • جميع نقاط الوصول اللاسلكية المتصلة بالشبكة يجب ان تكون مسجلة ومعتمدة للاستخدام من قبل جامعة تبوك.
  • يجب أن يتم تثبيت جميع اجهزة الاتصالات اللاسلكية بواسطة  فريق الدعم الفني المعتمد من قبل ادارة تقانة المعلومات

 

  • اعتماد تكنلوجيا الاتصال اللاسلكي
  • جميع تطبيقات الأجهزة اللاسلكية يجب ان تستخدم تكنلوجيا واي فاي معتمدة وتم ضبطها لاستخدام احدث ميزات الامان المتاحة.

 

  • الموقع المادي
  • ينبغي وضع آليات أمنية مناسبة لتامين نقاط الوصول ومنع السرقة أو التعديل، أو إساءة استخدامها.

 

  • الضبط
  • يجب تغيير SSID الافتراضي ,اسم المستخدم / كلمة المرور المستخدمان للادارة على جميع نقاط الوصول
  • يجب ان تتم إدارة الجهاز باستخدم بروتوكولات آمنة مثل HTTPS و SSH.
  • إذا تم استخدام SNMP في بيئة ادارة نقاط الوصول فيجب تغيير كافة  سلاسل المجتمع الافتراضي ل SNMP، او استخدام اصدارة امنة منه SNMPv3  او تعطيله ا ذ ا لم تكن هنالك حوجة لاستخدامه.
  • يجب وضع استراتيجية وتكوينها بحيث يكون نطاق البث SSID لنقاط الوصول لا يتجاوز المحيط المادي للجامعة.

 

  • توثيق الدخول
  • يجب على جميع نقاط الوصول اللاسلكية التي تربط المستخدمين  إلى الشبكة الداخلية (LAN) للجامعة ان تعمل على توثيق عمليات الدخول هذه باستخدام اسماء مستخدمين\كلمات مرور فريدة من نوعها وان يتم تشفير جميع هذه البيانات ونقلها عبر قنوات آمنة.

 

  • نقاط الوصول المستخدمة لخدمة النترنت فقط
نقاط الوصول المستخدمة لتوفير خدمة إنترنت فقط يجب فصلها عن الشبكة الداخلية وحظر جميع الخدمات الداخلية عنها

الالتزام

يعتبر التنفيذ بهذه الوثيقة إلزامي ، وعلى كافة القطاعات – الإدارت -  المكلفين بجامعة تبوك متابعة مدى الالتزام بها ضمن أقسامهم . و يكون الالتزام بنص السياسة العامة خاضعا للمراجعة الدورية من قبل عمادة تقنية المعلومات ، وسوف يتمخض أي أنتهاك لهذه السياسة عن قيام لجنة أمن المعلومات بعمادة تقنية المعلومات بالتنسيق مع الجهات المعنية بالجامعة أو الجهات الأمنية  ذات الأختصاص باتخاذ اجراءات تصحيحية . ويكون مستوى الإجراءات التأديبية المطبقة متلائما مع مستوى الانتهاك الذي تحدده التحقيقات . وتتضمن هذه الإجراءات ، على سبيل المثال ، لا الحصر :

  • حجب امتيازات الدخول على الأصول المعلوماتية .
  • جزاءات قد تكون مالية أو انهاء خدمة الموظف ، او تنزيل مستواه الوظيفي إلى المستوى الذي تراه الإدارة و الموارد البشرية و القسم القانوني مناسبا

معايير الإستثناء

تهدف هذه السياسة الى معالجة موضوع متطلبات حماية المعلومات . وعند الحاجة ، يمكن التقدم بطلبات الحصول استثناءات بصورة رسمية ، إلى ادارة أمن المعلومات ، مع توضيح مسوغات الاستثناء ، والمزايا التى قد تنجم عنه . على أن يتم الموافقة عليها من لجنة أمن المعلومات بعمادة تقنية المعلومات .

تمتد فترة الأستثناء من السياسة ، لمدة عام واحد كحد اقصى ، ومن الممكن قد تتم أعادة مراجعته واعتماده مرة أخرى . و عند الضرورة يتم الموافقة على منح الاستثناء لثلاث فترات متعاقبة كحد اقصى . على ان لا  يتم منح استثناء بشأن أي سياسة لمدة تزيد عن 3 فترات متعاقبة.