أهم إجراءات لأمن تكنولوجيا المعلومات لحماية المعلومات والشبكات المتصلة بالإنترنت
أهم 10 إجراءات لأمن تكنولوجيا المعلومات لحماية الشبكات والمعلومات المتصلة بالإنترنت هي نشرة غير سرية صادرة تحت سلطة رئيس المركز الكندي للأمن السيبراني.
يحل هذا المستند محل ITSM.10.189 أهم 10 إجراءات لأمن تكنولوجيا المعلومات لحماية الشبكات والمعلومات المتصلة بالإنترنت و ITSB-89 v3 أهم 10 إجراءات لأمن تكنولوجيا المعلومات لحماية المعلومات والشبكات المتصلة بالإنترنت للحكومة الكندية.
ملخص
يسرد هذا المستند أهم 10 إجراءات مخففة يجب أن تتخذها مؤسستك لحماية شبكاتها المتصلة بالإنترنت والمعلومات الحساسة من تهديدات الأمن السيبراني.
يتضمن هذا الإصدار من المستند اعتبارات لعملاء الخدمات السحابية والخدمات المدارة. يحل هذا المستند محل الإصدارات السابقة من ITSM.10.189 أهم 10 إجراءات لأمن تكنولوجيا المعلومات لحماية الشبكات والمعلومات المتصلة بالإنترنت و ITSB-89 v3 أهم 10 إجراءات لأمن تكنولوجيا المعلومات لحماية المعلومات والشبكات المتصلة بالإنترنت للحكومة الكندية.
1 المقدمة
يسرد هذا المستند أهم 10 إجراءات مخففة يجب أن تتخذها مؤسستك لحماية شبكاتها المتصلة بالإنترنت والمعلومات الحساسة من تهديدات الأمن السيبراني. أثناء قيامك بكل من هذه الإجراءات العشرة ، فإنك تضيف طبقات دفاعية إلى بيئتك ، مما يجعل الأمر أكثر صعوبة على الجهات الفاعلة في التهديد لاستغلال نقاط الضعف وتعريض شبكاتك وأنظمتك ومعلوماتك للخطر.
بينما نوصي بالإجراءات العشرة جميعها ، فإننا ندرك أن مؤسستك قد لا تتمكن من اتخاذ جميع الإجراءات. يجب على مؤسستك إجراء تقييم للمخاطر لتحديد متطلباتها الأمنية وأولوياتها. عند اتخاذ هذه الإجراءات ، يجب عليك تخصيصها وفقًا لبيئة مؤسستك وتطبيق أي إجراءات أمنية إضافية لازمة لحماية الأنظمة والمعلومات الأكثر حساسية لديك.
بالنسبة لإدارات ووكالات الحكومة (GC) ، راجع متطلبات الأمن السيبراني التي تم تناولها في توجيهات GC حول الخدمة و DigitalFootnote1. إذا لم تكن مؤسستك جزءًا من GC ، فيمكنك الرجوع إلى هذه السياسة عند إنشاء برنامج وسياسات الأمان الخاصة بك. لمزيد من المعلومات حول تنفيذ ضوابط الأمن السيبراني الأساسية ، راجع ضوابط الأمن السيبراني الأساسية الخاصة بنا للمؤسسات الصغيرة والمتوسطة.
2 أعلى 10
تتضمن أفضل 10 لدينا إجراءات أمنية ذات أولوية والتي يجب على مؤسستك اتخاذها كخط أساس لتقوية البنية التحتية لتكنولوجيا المعلومات لديها وحماية شبكاتها. على الرغم من أننا نوصي باتباع الترتيب العددي لهذه الإجراءات (بدءًا من رقم 1) لزيادة جهود الحماية ضد التهديدات الإلكترونية ، يمكنك تغيير تسلسل الإجراءات لتلبية احتياجات ومتطلبات مؤسستك. عند إضافة إجراءات الأمان إلى بيئتك ، يتناقص سطح التهديد الخاص بك (أي جميع نقاط النهاية المتاحة التي قد يحاول أحد الفاعلين استغلالها) ويزداد وضعك الأمني.
ضع في اعتبارك أن هذه الإجراءات هي مجرد نقطة انطلاق ، ولا توجد استراتيجية واحدة مضمونة لمنع الحوادث السيبرانية. يستمر مشهد التهديدات الإلكترونية في التطور ، ويجب عليك التأكد من إعادة تقييم المخاطر الخاصة بك ومراجعة جهودك الأمنية الحالية حتى تتمكن من معالجة أي ثغرات أو نقاط ضعف.
عند تحديد احتياجات الأمان الخاصة بك ، يجب عليك أيضًا مراعاة ما إذا كانت مؤسستك تستخدم الخدمات السحابية أو الخدمات المُدارة. يجب عليك تقييم التهديدات ونقاط الضعف والمسؤوليات المشتركة وقدرات النظام الأساسي السحابي حتى تتمكن من تنفيذ ضوابط الأمان المناسبة. قد تختلف الطرق التي تتبع بها أعلى 10 إجراءات أمنية وفقًا لأنواع الخدمات التي تستخدمها. على سبيل المثال ، ستختلف الأدوار والمسؤوليات المنوطة بمؤسستك ومزود الخدمة السحابية (CSP) أو مزود الخدمة المُدارة (MSP) اعتمادًا على الخدمات التي تستهلكها ونموذج الخدمة ونموذج النشر. ومع ذلك ، حتى عند استخدام الخدمات السحابية أو المدارة ، تظل مؤسستك مسؤولة قانونًا وخاضعة للمساءلة عن تأمين بياناتها. لمزيد من المعلومات حول الأمان والسحابة أو الخدمات المدارة ، راجع ITSM.50.062 Cloud Security Risk Managementootnote3 و ITSM.50.030 اعتبارات الأمن السيبراني لمستهلكي الخدمات المدارة
2.1 توحيد ومراقبة والدفاع عن بوابات الإنترنت
الإجراء رقم 1 هو توحيد ومراقبة والدفاع عن بوابات الإنترنت الخاصة بك. بوابات الإنترنت الخاصة بك هي نقاط تفتيش مثبتة على حافة شبكتك. تراقب البوابات جميع حركات المرور الواردة والصادرة لحماية مؤسستك. يجب على إدارات ووكالات GC تقليل عدد الاتصالات الخارجية المنفصلة لشبكات الإدارات الخاصة بهم باستخدام بوابات الإنترنت الموحدة للخدمات المشتركة في كندا.
يجب على مؤسستك أيضًا مراقبة خادم نظام أسماء المجالات (DNS) الخاص بها. تقدم هيئة تسجيل الإنترنت الكندية (CIRA) خدمة DNS محمية مجانية ، Canadian Shield ، تمنعك من الاتصال بمواقع الويب الضارة التي قد تصيب الأجهزة أو تسرق المعلومات الشخصية.
تتحمل مؤسستك مسؤولية مراقبة جميع حركة المرور الواردة والصادرة على هذه البوابات ، حتى إذا كنت تستخدم الخدمات السحابية. لتبسيط هذه المهمة ، قم بتقليل عدد الاتصالات الخارجية بشبكتك. يجب عليك إنشاء خط أساس لأنماط الزيارات العادية أولاً ، مما يمكّنك من اكتشاف التغييرات في هذه الأنماط والتفاعل معها.
عند استخدام الخدمات السحابية ، يجب أيضًا مراعاة تدفق البيانات من مؤسستك إلى أي أنظمة أو خدمات سحابية. اعتمادًا على حساسية البيانات التي يتم إرسالها إلى هذه الخدمات وإصدار بروتوكول أمان طبقة النقل (TLS) الذي يستخدمه الموفر ، قد ترغب في استخدام شبكة افتراضية خاصة (VPN). تنشئ VPN اتصالاً آمنًا بين نقطتين ويمكن استخدامها لحماية البيانات الحساسة أثناء انتقالها بين تلك النقاط. اعتمادًا على حساسية بياناتك ، قد ترغب في التفكير في شراء أنماط اتصال مخصصة (أي كيفية اتصال مؤسستك بالخدمات السحابية). في هذه الحالة ، سوف تحتاج إلى التفاوض مع موفر الخدمة الخاص بك ، وقد تحتاج إلى تكوين وتنفيذ إجراءات مثل أمان بروتوكول الإنترنت (IPsec) أو أمان التحكم في الوصول إلى الوسائط (MACsec).
يمكنك أيضًا الاستعانة بمصادر خارجية لأنشطة المراقبة لمزود خدمة أمان مُدار (MSSP). إذا كنت تعمل مع موفر خدمة يقدم خدمات بوابة آمنة ، فيجب أن تحدد بوضوح الأدوار والمسؤوليات التي تقع على عاتق مؤسستك ومزود الخدمة لمراقبة حركة المرور والإبلاغ عن الحالات الشاذة أو الأنشطة الضارة.
يمكنك تنفيذ دفاعات إلكترونية إضافية تراقب وتستجيب للإدخال غير المصرح به أو سرقة البيانات أو أي أنشطة ضارة أخرى. إذا تم الكشف عن نشاط ضار ، فيجب أن تكون هذه الدفاعات الإلكترونية قادرة على إغلاق نقاط الوصول لوقف سرقة البيانات أو منع الهجمات غير المرغوب فيها.
المنشورات ذات الصلة:
ITSM.50.030 اعتبارات الأمن السيبراني لمستهلكي الخدمات المدارة
ITSAP.80.101 الشبكات الخاصة الافتراضية
2.2 تصحيح أنظمة التشغيل والتطبيقات
الإجراء رقم 2 هو تصحيح أنظمة تشغيل مؤسستك وتطبيقاتها بانتظام. التحديثات والتصحيحات لا تعمل فقط على إصلاح الخلل أو تحسين قابلية الاستخدام أو الأداء ؛ يعالجون الثغرات الأمنية المعروفة.
تنفيذ سياسة إدارة التصحيح لأنظمة التشغيل وتطبيقات الجهات الخارجية لتقليل تعرض مؤسستك للثغرات الأمنية المعروفة. عندما يُصدر البائع تصحيحًا أمنيًا ، يجب عليك اتباع عملية إدارة التصحيح لتطبيق التصحيح في أسرع وقت ممكن. يمكنك استخدام نظام إدارة التصحيح التلقائي لتطبيق التصحيحات في الوقت المناسب.
استخدم الإصدارات المدعومة والمحدثة والمُختبرة لأنظمة التشغيل والتطبيقات. يؤدي استخدام أنظمة تشغيل أو تطبيقات غير مدعومة ، والتي لا يتم توفير تحديثات لها ، إلى زيادة مخاطر التعرض للاستغلال لأنه لا توجد آلية متاحة للتخفيف من الثغرات الأمنية.
إذا كنت قد استعانت بمصادر خارجية لخدمات تكنولوجيا المعلومات الخاصة بك إلى CSP أو MSP ، فيجب عليك مراجعة عقد الخدمة الخاص بك لتحديد الأدوار والمسؤوليات المتعلقة بإدارة التصحيح ؛ ستختلف الأدوار والمسؤوليات وفقًا لنموذج الخدمة السحابية الخاص بك. على سبيل المثال ، في حالة البنية التحتية كخدمة (IaaS) أو نموذج النظام الأساسي كخدمة (PaaS) ، فأنت مسؤول عن تحديث وتصحيح الأنظمة والتطبيقات الخاصة بك. في نموذج البرنامج كخدمة (SaaS) ، يكون CSP مسؤولاً عن التحديث والترقيع. ومع ذلك ، حتى إذا كنت تستخدم مزود خدمة ، فأنت لا تزال مسؤولاً عن تحديث وإصلاح الأجهزة الطرفية وأي أنظمة وأجهزة تقع خارج نطاق العقد.
المنشورات ذات الصلة:
ITSAP.10.096 كيف تقوم التحديثات بتأمين جهازك
أعلى الصفحة
2.3 فرض إدارة الامتيازات الإدارية
الإجراء رقم 3 هو فرض إدارة الامتيازات الإدارية. طبق مبدأ الامتياز الأقل لضمان حصول المستخدمين على حق الوصول والامتيازات التي يحتاجون إليها فقط لأداء وظائفهم الوظيفية. يجب تحديد عدد المستخدمين الإداريين أو ذوي الامتياز لأنظمة التشغيل والتطبيقات.
إنشاء مستويات مختلفة من الحسابات الإدارية بحيث ، إذا كان الحساب الإداري هو compro
خافت ، مستوى التعرض محدود. لمنع التعرض لهجمات التصيد الاحتيالي أو البرامج الضارة ، يجب على المسؤولين أداء وظائف إدارية على محطات عمل مخصصة ليس لديها إنترنت أو وصول مفتوح للبريد الإلكتروني ، أو التي تم تعطيل الإنترنت والبريد الإلكتروني من الحسابات الإدارية. يجب أن يكون لدى المسؤولين حسابات إدارية منفصلة وحسابات مستخدمين عامة ؛ يجب على المسؤولين استخدام حسابات المسؤولين الخاصة بهم فقط للمهام الإدارية واستخدام حسابات المستخدمين العامة الخاصة بهم لمهام أخرى (مثل التحقق من رسائل البريد الإلكتروني). إذا تم استخدام نفس المضيف لإجراء أنشطة مستخدم إدارية وعامة ، فهناك خطر يتمثل في تعرض المضيف للخطر عند تنفيذ أنشطة عامة (مثل فتح بريد إلكتروني ضار أو التفاعل معه ، والنقر فوق الروابط الضارة). إذا تم اختراق المضيف ، فقد يتم أيضًا اختراق بيانات الاعتماد الإدارية للمستخدم. بشكل عام ، من الأسهل الرد على حساب المستخدم المخترق مقارنةً بالحساب الإداري المخترق.
يجب على مؤسستك تنفيذ حل كلمات المرور الإدارية لحماية كلمات المرور. لتحسين ضمان بيانات اعتماد المستخدم ، نوصي بشدة باستخدام المصادقة متعددة العوامل (MFA) ، حيثما أمكن ذلك ، لجميع المستخدمين والتطبيقات.
مراجعة وإعادة التحقق من قائمة المستخدمين الإداريين لمؤسستك بشكل متكرر ؛ يجب عليك التأكد من إلغاء الامتيازات عندما لا يطلبها المستخدمون (مثل تغيير الموظفين والدور).
إذا كنت تستخدم الخدمات السحابية ، فأنت لا تزال مسؤولاً عن إدارة التحكم في الوصول. إذا كنت قد استعانت بمصادر خارجية لخدمات تكنولوجيا المعلومات الخاصة بك إلى MSP ، فيجب أن تكون على دراية بمن يحتاج إلى أن يكون مستخدمًا متميزًا.
المنشورات ذات الصلة:
ITSAP.10.094 إدارة الامتيازات الإدارية والتحكم فيها
ITSAP.30.030 قم بتأمين حساباتك وأجهزتك باستخدام المصادقة متعددة العوامل
2.4 صلابة أنظمة التشغيل والتطبيقات
الإجراء رقم 4 هو تقوية أنظمة تشغيل وتطبيقات مؤسستك. يجب أن تكون مؤسستك على دراية بجميع التطبيقات المستخدمة. يمكن أن تؤدي التكوينات والتكوينات الخاطئة الافتراضية إلى تعرض الشبكات والأنظمة والأجهزة الخاصة بك للخطر. يجب عليك تطبيق ضوابط أمان إضافية لتقوية أنظمة التشغيل. لمزيد من المعلومات حول تحديد وتطبيق ضوابط الأمان ، راجع ITSG-33 إدارة مخاطر أمن تكنولوجيا المعلومات: نهج دورة الحياة.
لمنع اختراق الأصول والبنى التحتية المتصلة بالإنترنت ، يجب على مؤسستك تعطيل جميع المنافذ والخدمات غير الأساسية وإزالة جميع الحسابات غير الضرورية. قم بتقييم جميع تطبيقات الجهات الخارجية للمكونات أو الوظائف غير المطلوبة ويجب تعطيلها أو تتطلب تدخلًا بشريًا قبل تمكينها (أي وحدات الماكرو). يجب أن يكون لديك أيضًا تدقيق على مستوى المؤسسة وحل لمكافحة البرامج الضارة كجزء من التكوين الآمن الخاص بك.
في حالة استخدام الخدمات السحابية أو المدارة ، قد يكون موفر الخدمة لديك مسؤولاً عن تقوية أنظمة التشغيل والتطبيقات ، وفقًا لنماذج الخدمة والنشر لديك. على سبيل المثال ، في نموذج IaaS أو PaaS ، تكون مؤسستك مسؤولة عن تقوية أنظمة التشغيل والتطبيقات ؛ في نموذج SaaS ، يكون مزود الخدمة مسؤولاً عن تقوية أنظمة التشغيل والتطبيقات. تكون مؤسستك مسؤولة عن جميع معداتها المحلية عند دمج أي مكونات أو حلول هجينة.
المنشورات ذات الصلة:
إرشادات ITSP.70.012 لتقوية نظام التشغيل Microsoft Windows 10 Enterprise
أعلى الصفحة
2.5 القطاعية والمعلومات المنفصلة
الإجراء رقم 5 هو تقسيم المعلومات وفصلها. يجب أن يكون لدى مؤسستك جرد لمعلومات الأعمال الأساسية الخاصة بها والتي يتم تصنيفها وتصنيفها بناءً على مستوى حساسيتها أو تأثيرها على الخصوصية.
يجب أن تكون شبكاتك مقسمة إلى مناطق عن طريق تقسيم وتجميع خدمات البنية التحتية التي لها نفس متطلبات حماية المعلومات أو التي يجب أن تلتزم بنفس سياسات أمان الاتصالات. يتحكم نهج التصميم المنطقي هذا ويقيد تدفقات اتصالات البيانات والوصول إليها. يجب عليك أيضًا مراقبة وفرض الضوابط باستمرار للحفاظ على حماية المنطقة وسلامتها.
لا تزال مبادئ تقسيم المناطق سارية إذا كانت مؤسستك تستخدم الخدمات السحابية أو المدارة. في حالة استخدام نموذج نشر سحابي مشترك ، على سبيل المثال ، يجب عليك التأكد من فصل بياناتك عن بيانات المستأجرين الآخرين.
المنشورات ذات الصلة:
متطلبات أمان خط الأساس لمناطق أمان الشبكة ITSP.80.022
تقسيم مناطق أمان الشبكة ITSG-38 – اعتبارات التصميم لوضع الخدمات داخل المناطق
2.6 تقديم تدريب مخصص
الإجراء رقم 6 هو تزويد موظفيك بتدريب مخصص للأمن السيبراني. على الرغم من أنه من المتوقع أن تمنع إجراءات حماية النظام النشاط الضار على الشبكات ، إلا أن هناك العديد من العوامل التي يجب مراعاتها عند إدارة المخاطر. يمكنك خفض مستوى مخاطر مؤسستك من خلال تدريب الموظفين على قضايا الأمن السيبراني وأدوارهم ومسؤولياتهم في حماية الشبكات والأنظمة وأصول تكنولوجيا المعلومات.
يجب أن تبدأ منظمتك عمليات التوعية
وأنشطة التدريب للتعامل مع التهديدات السيبرانية ونقاط الضعف ومتطلبات السياسة (مثل سلوكيات المستخدم المتوقعة). يجب عليك مراجعة برامج وأنشطة التوعية بأمن تكنولوجيا المعلومات بشكل متكرر ، كما يجب عليك التأكد من أنها متاحة لجميع المستخدمين الذين لديهم حق الوصول إلى الأنظمة التنظيمية.
يحتوي موقع الويب الخاص بنا (cyber.gc.ca) على كتالوج بالمنشورات حول مختلف موضوعات الأمن السيبراني. يمكنك استخدام هذه المنشورات لزيادة وعي الموظف بالتهديدات الإلكترونية وأفضل الممارسات. يمكنك أيضًا الرجوع إلى Get Cyber Safe ، وهي حملة توعية عامة وطنية تم إنشاؤها لإعلام الكنديين بالأمن السيبراني.
المنشورات ذات الصلة:
ITSM.10.093 أهم 10 إجراءات لأمن تكنولوجيا المعلومات: # 6 توفير تدريب مخصص للأمن السيبراني
يقدم ITSAP.10.093 تدريبًا مخصصًا على الأمن السيبراني لموظفيك
أعلى الصفحة
2.7 حماية المعلومات على مستوى المؤسسة
الإجراء رقم 7 هو حماية المعلومات على مستوى المؤسسة. تُعد معلومات مؤسستك ذات قيمة لاستمرار عمليتك ، ولكنها أيضًا هدف قيم للجهات الفاعلة في التهديد. يجب أن تتأكد من أنك تدير المعلومات بشكل مناسب خلال دورة حياتها (مثل وسم البيانات والتعامل معها والاحتفاظ بها وإتلافها).
عند نشر الأجهزة المحمولة في مؤسستك ، يجب مراعاة مخاطر وفوائد نماذج النشر المختلفة. إذا كان ذلك منطقيًا من الناحية التجارية ، يجب على مؤسستك توفير المعدات (مثل الخوادم وأجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة) للموظفين ، وذلك باستخدام إطار عمل لإدارة الجهاز وعملية إدارة تغيير التكوين. إذا اختارت مؤسستك السماح للموظفين باستخدام أجهزتهم الشخصية للعمل ، فيجب عليك تنفيذ سياسة رقابة صارمة ومراجعة التقنيات والمتطلبات القانونية للفصل بين المعلومات التجارية والشخصية. يمكن لمؤسستك استخدام إدارة نقطة النهاية الموحدة (UEM) للحفاظ على أمان الأجهزة المحمولة. يجمع UEM بين ميزات من إدارة الأجهزة المحمولة وعمليات إدارة التنقل المؤسسي.
يجوز لك استخدام الأنظمة والخدمات المقدمة من CSPs أو MSPs أو MSSPs. بغض النظر ، تتحمل مؤسستك دائمًا المسؤولية القانونية والمساءلة عن حماية بياناتها. عندما يتم تخزين البيانات خارج البنية التحتية لمؤسستك ، فأنت بحاجة إلى معرفة مكان تخزينها (أي الموقع الجغرافي). تخضع البيانات المخزنة خارج كندا لقوانين ولوائح مختلفة تتعلق بالخصوصية والأمان وملكية البيانات. إذا كنت تستخدم الخدمات السحابية أو الخدمات المُدارة التي تخزن البيانات خارج كندا ، فراجع القوانين المعمول بها في الموقع الجغرافي حيث ستوجد البيانات والتأثيرات المحتملة على الخصوصية.
ملاحظة: إدارات ووكالات GC مسؤولة عن ضمان أن مرافق الحوسبة الموجودة داخل الحدود الجغرافية لكندا أو داخل مباني قسم GC الموجود في الخارج (مثل القنصلية الكندية) يتم تحديدها وتقييمها كخيار تسليم رئيسي لجميع المعلومات الإلكترونية الحساسة و البيانات (مثل المحمية B ، والمحمية C ، والمصنفة) تحت سيطرة GC. ويفضل أن تحتفظ إدارات ووكالات GC بالمعلومات الحساسة داخل كندا ؛ ومع ذلك ، فإن الإدارات مسؤولة عن إجراء تقييمات المخاطر الخاصة بها ، بناءً على طبيعة وحساسية البيانات ، وتحديد متطلبات توفرها. راجع التوجيه الخاص بالخدمة و DigitalFootnote16 لمزيد من المعلومات.
المنشورات ذات الصلة:
ITSAP.10.016 نصائح أمنية للمنظمات التي تعمل عن بعد
ITSAP.70.002 اعتبارات الأمان لعمليات نشر الأجهزة المحمولة
ITSAP.50.112 خطوات لمعالجة انسكاب البيانات في CloudFootnote19
2.8 تطبيق الحماية على مستوى المضيف
الإجراء رقم 8 هو تطبيق الحماية على مستوى المضيف. يجب عليك نشر نظام منع التطفل المستند إلى المضيف (HIPS) لحماية أنظمة مؤسستك من الهجمات الضارة المعروفة وغير المعروفة ، مثل الفيروسات والبرامج الضارة. يوجد العديد من البائعين التجاريين الذين يقدمون خدمات HIPS.
تتخذ HIPS تدابير فعالة لحماية أنظمة الكمبيوتر من محاولات التسلل باستخدام مجموعات محددة مسبقًا من القواعد للتعرف على السلوك المشبوه. عندما يتم تحديد هذا السلوك ، فإن آلية HIPS تمنع البرنامج أو العملية المخالفة من تنفيذ نشاط ضار محتمل. يجب عليك الاستمرار في مراقبة تنبيهات HIPS ومعلومات التسجيل لتحديد مؤشرات الاقتحام.
عند استخدام الخدمات السحابية ، لا تزال بحاجة إلى تطبيق الحماية على مستوى المضيف ويجب أن تضع في اعتبارك نقاط النهاية السحابية ونقل البيانات والإيجار (على سبيل المثال الحافة والمحيط). نوصي باستخدام مجموعات الأدوات المحددة التي يوفرها CSP المحدد وأي أدوات خارجية محتملة يمكنك تطبيقها أيضًا.
2.9 عزل تطبيقات الويب
الإجراء رقم 9 هو عزل جميع التطبيقات التي تواجه الويب. يجب أن تستخدم مؤسستك المحاكاة الافتراضية لإنشاء بيئة حيث يمكن تشغيل التطبيقات التي تواجه الويب بمعزل عن غيرها (أي في وضع الحماية). من خلال عزل هذه التطبيقات ، تقتصر البرامج الضارة ، على سبيل المثال ، على بيئتك الافتراضية
ولا يمكن أن تنتشر وتصيب المضيف أو المؤسسة.
المنشورات ذات الصلة:
ITSAP.70.011 إضفاء الطابع الافتراضي على البنية التحتية الخاصة بك
2.10 تطبيق قوائم السماح للتطبيق
الإجراء رقم 10 هو تنفيذ قوائم السماح للتطبيق. تحدد قائمة السماح التطبيقات ومكونات التطبيق (مثل البرامج القابلة للتنفيذ ومكتبات البرامج وملفات التكوين) المعتمدة للتشغيل على الأنظمة التنظيمية. من خلال تنفيذ قوائم السماح بالتطبيقات ، يمكنك منع تنزيل التطبيقات الضارة وإصابة الخوادم والأنظمة الخاصة بك.
يجب على مؤسستك إنشاء قائمة التطبيقات المرخصة للاستخدام في مكان العمل والمعروف أنها من بائعين جديرين بالثقة. يجب رفض جميع التطبيقات ومكونات التطبيق الأخرى بشكل افتراضي. يمكنك تحديد قائمة السماح الخاصة بك باستخدام سمات الملفات والمجلدات (مثل مسار الملف أو اسم الملف أو حجم الملف أو التوقيع الرقمي أو الناشر أو تجزئة التشفير). يجب عليك تحديد ونشر السياسات على قوائم السماح عبر المؤسسة. تذكر تحديث قائمة السماح الخاصة بك عند تصحيح أو تثبيت تحديث لأحد التطبيقات أو عند بدء استخدام البرنامج أو التوقف عنه.
إذا كنت تعمل مع CSP أو MSP لإعداد قوائم السماح للتطبيق الخاص بك ، فيجب عليك مراعاة حساسية بياناتك وتحديد سياسات الوصول إلى البيانات والتحكم فيها. قم بتنفيذ ضوابط أمان البيانات الإضافية لتقييد الوصول إلى بياناتك ، وفقًا لسياسات حساسية البيانات الخاصة بك.
المنشورات ذات الصلة:
قوائم السماح لتطبيق ITSB-95 الموضحة
أعلى الصفحة
3 ملخص
يسرد هذا المستند أهم 10 إجراءات لأمن تكنولوجيا المعلومات لدينا ، والتي يمكن لمؤسستك تطبيقها كأساس لتدابير الأمان. من خلال اتخاذ كل هذه الإجراءات ، يمكنك تقليل سطح التهديد لمؤسستك وتحسين وضعك الأمني. ومع ذلك ، فإن هذه الإجراءات هي مجرد نقطة انطلاق. يجب أن تستمر مؤسستك في تقييم التهديدات والمخاطر الخاصة بها للتأكد من أنك تقوم بتنفيذ ضوابط الأمان التي تلبي احتياجاتك الأمنية. إذا كنت تستخدم خدمات سحابية أو خدمات مُدارة ، فيجب عليك مراعاة التهديدات والمخاطر الإضافية وتحديد الأدوار والمسؤوليات المتعلقة بإجراءات الأمان هذه.
3.1 معلومات الاتصال
إذا كنت ترغب في الحصول على مزيد من المعلومات حول كيفية تنفيذ أهم 10 إجراءات لأمن تكنولوجيا المعلومات ، فتفضل بزيارتنا على cyber.gc.ca أو اتصل بمركز الاتصال الخاص بنا.