سياسة إدارة واستخدام الأنظمة Systems Use Policy

السياسة: 

 

  • على جميع الأنظمة في جامعة القصيم إتباع سياسة الاستخدام المقبول لأنظمة المعلومات.
  • All systems in Qassim University must follow the policy of acceptable use of assets.

 

  • أي تغيير يطرأ على الأنظمة يجب عليه إتباع إجراء إدارة التغيير.
  • Any change to systems shall follow change management procedure.

 

  • على جميع الأنظمة في جامعة القصيم إتباع سياسة النسخ الاحتياطي.
  • All systems in Qassim University must follow the information backup policy.

 

  • على مالك النظام أن يكون مسؤول عن تحديد ما يلي، لكن غير محصور عليه:
  • مجموعات دخول المستخدم.
  • حقوق دخول للمستخدم.
  • System owner shall be responsible for defining the following, but not limited to:
    • User access groups.
    •  User access rights.

 

  • طلب سجل الدخول يجب أن يكون مصدق عليه من مالك النظام ومدير قسم الطلبات قبل تعيين الصلاحيات لمستخدمي المعلومات.
  • User access request shall be duly approved by the System owner and requester department manager before assigning privileges to the information users.

 

  • يجب توفير تسجيل الدخول إلى النظام لمستخدمي المعلومات لتأدية أنشطتهم المتعلقة بالعمل، بالإضافة إلى أنه يجب توفير تسجيل الدخول على أساس الحاجة إلى المعرفة\قاعدة الصلاحيات الأقل.
  • Access to System shall be provided to information users to perform their business related activities. Furthermore, access shall be provided on a need-to-know /least privilege basis.

 

  • يجب تسجيل صلاحيات الدخول في قائمة خاصة بالتحكم بتسجيل الدخول. هذا النوع من السجلات يجب أن يصنف كملفات سرية ويتم حمايتها وفقا لذلك.
  • Access rights (privileges) shall be recorded in an access control list. Such records shall be regarded as confidential documents and safeguarded accordingly.

 

 

  • يجب تجنب معرفات المستخدمين التي قد توضح مستوى صلاحية المستخدم (مسؤول مثلا).
  • Information users IDs that indicate the privileges level of the users, (e.g. user ID of ‘root or admin’), shall be avoided.

 

  • يجب التحكم بصلاحية الدخول إلى أنظمة جامعة القصيم بواسطة آليات أمان مناسبة بناء على التالي:
  • مستوى الثقة (موثوق وشبه موثوق وغير موثوق).
  • مستوى الدخول (بسيط أو دخول ذو صلاحيات).
  • نوع الدخول (داخلي أو عن بعد أو الدخول إلى أنظمة طرف ثالث).
  • Access to Qassim University System shall be controlled by appropriate security mechanisms in relation to the following:
  • Level of Trust (trusted, semi-trusted and un-trusted).
  • Access Level (simple or privileged access).
  • Access Type (internal, remote or access to third party systems).

 

  • يجب مراجعة دخول المستخدم وصلاحياته سنويا على الأقل بواسطة مالك النظام بالتعاون مع عمادة تقنية المعلومات.
  • User access and privileges shall be reviewed at least once a year by the System owner in cooperation with IT Deanship.

 

  • يجب أن تكون مراجعة دخول المستخدمين وصلاحياتهم مرتبط بالتغيرات التي تطرأ على النظام المستخدم وتغير في الموقع ومتطلبات الامتثال التنظيمي.
  • Reviewing users’ access and privileges shall be in relation with the changes to the system involved, changes to location and regulatory compliance requirements.

 

  • يجب على جامعة القصيم إدارة الأحداث التالية ووضع بنود لتحليل الخبراء للبيانات لإيجاد الاختلافات أو الثغرات المحتملة أو الحوادث الأمنية:
  • Qassim University shall monitor the following events and make provision for expert analysis of this data to discover anomalies, potential vulnerabilities or security incidents:

 

  • يجب على مدير إدارة النظام مراقبة التالي:
  • سجلات الدخول والخروج الناجحة والفاشلة.
  • إعادة تشغيل وإيقاف تشغيل النظام الناجح والفاشل.
  • تغيرات سياسات الأمان الناجحة والفاشلة.
  • إدارة المستخدم والمجموعة الناجحة والفاشلة.
  • الدخول إلى الملفات الناجح والفاشل.
  • استخدام حقوق المستخدم الناجح والفاشل.
  • System owner shall monitor the following:
  • Logon and logoff success and failure
  • Restart, shutdown, system success and failure
  • Security policy changes success and failure
  • User and group management success and failure
  • File and object access success and failure
  • Use of user rights success and failure

 

  • يجب على عمادة تقنية المعلومات مراقبة التالي:
  • نتائج أنماط الاستخدام "الطبيعي" مثل:
  • حمل النظام في أوقات مختلفة من اليوم.
  • عدد العمليات قيد التشغيل.
  • استخدام وحدة المعالجة المركزية.
  • نجاحات غير عادية \رفض الاتصالات.
  • نجاحات ورسائل الأخطاء الخاصة بالجدران النارية.
  • محاولات الدخول المتكررة.
  • الدخول لمنافذ غير اعتيادية.
  • Deanship Management of IT shall monitor the following:
    • Departures from 'normal' usage patterns, such as:
      • System load at different times of the day
      • Number of processes running
      • CPU utilization
      • Unusual successes/denials of connections
      • Success and error messages from firewalls
      • Multiple access attempts
      • Access to unusual ports

 

  • على جامعة القصيم التأكد أن ضوابط أمن المعلومات المطبقة مفعلة ولا يتم تجنبها. يجب أن تشمل المراقبة النشاطات التالية ولكن غير محصورة عليها:
  • سجلات كشف التسلل إلى النظام.
  • سجلات الجدار الناري.
  • سجلات حساب المستخدم.
  • سجلات مسح الشبكة.
  • سجلات أمان التطبيق.
  • سجلات الأمان.
  • Qassim University shall ensure that information security controls in place, are affective, and not being bypassed. Monitoring shall consist of activities such as, but not limited, the review of:
  • Intrusion detection system logs
  • Firewall logs o User account logs
  • Network scanning logs
  • Application security logs
  • Security logs

 

  • يجب على جامعة القصيم مراجعة نتائج مراقبة النشاطات بناء على المخاطر المحتملة. يجب وضع بعين الاعتبار عوامل الخطر التالية (لكن غير محصور عليها):
  • نسبة اهمية الاصول المعنية.
  • تجربة مسبقة لاختراق أو سوء استخدام النظام بالإضافة إلى التكرار في استغلال الثغرات.
  • مدى ترابط النظام (خاصة الشبكات العامة).
  • إلغاء تنشيط منشأة التسجيل.
  • Qassim University shall review the results of monitoring activities according to the risks involved. The following risk factors, but not limited to, shall be considered:
  • Criticality of the assets involved.
  • Past experience of system penetration and misuse, and the frequency of vulnerabilities being exploited.
  • Extent of system interconnection (particularly public networks).
  • Logging facility being de-activated.

 

  • يجب على جامعة القصيم ضمان صلاحية ونزاهة البيانات المدخلة إلى التطبيقات عن طريق:
  • تحديد الحقول لتسمح بنطاق معين من البيانات (تحديد القيم خارج النطاق أو تحديد نطاق قيم البيانات العليا أو السفلى).
  • التحقق من وجود حروف غير صالحة في حقل البيانات.
  • وضع الحقول المهمة إلزامية.
  • التحقق من قابلية البيانات المدخلة بالاعتماد على قوانين العمل.
  • الحماية ضد الهجمات الشائعة (تجاوز سعة المخزن المؤقت وهجمات الحرمان من الخدمات).
  • استخدام أرصدة التحكم للتأكد من استكمال المدخلات والمعالجة.
  • Qassim University shall ensure the validity and integrity of data input to application by:
  • Limiting fields to accept specific ranges of data (e.g., defining out of range values or upper and lower data volume limits).
  • Checking for invalid characters in data fields.
  • Making key fields mandatory.
  • Verifying the acceptability of input data using business rules.
  • Protecting against common attacks (e.g., buffer overflows, DOS, DDoS).
  • Using control balances to verify complete input and processing.

 

  • يجب أن يتم التحقق من نتائج معالجة البيانات للتأكد من صحتها. يجب تطبيق التالي:
  • التحقق من النتائج لتحديد القيم الغير صالحة لمنع الهجمات مثل هجوم حقن الشيفرة المصدرية.
  • التحقق من تصنيف النتائج للتأكد من تعيين التصنيف الصحيح (يجب أن لا يمكن الدخول إلى البيانات السرية بواسطة مستخدم غير موثوق).
  • يجب وضع إجراءات معالجة الاخطاء لتجنب عرض تفاصيل رسالة الخطأ للمستخدمين.
  • The results of the data processing shall be checked to verify their accuracy. The following shall be applied as a minimum:
    • Check on results to identify invalid values (e.g. control characters) and to prevent attacks such as Cross Site Scripting.
    • Check on the results classification to verify correct classification assignment (e.g. confidential data shall not be accessible by Un-Trusted Users).
    • Error handling procedures shall be in place to avoid presenting detailed error messages to users.

 

04/07/2018
09:11 AM