تهدف هذه السياسة إلى تحديد متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بإدارة حُزم التحديثات والإصلاحات للأنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات الخاصة بـجمعية إرادة للتوعية بأضرار المخدرات بالقريات لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
تتبع هذه السياسة المتطلبات التشريعية والتنظيمية الوطنية وأفضل الممارسات الدولية ذات العلاقة، وهي مطلب تشريعي كما هو مذكور في الضابط رقم ٢-٣-٣-٣ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
تغطي هذه السياسة جميع الأنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات وأجهزة وأنظمة التحكم الصناعي الخاصة بـجمعية إرادة للتوعية بأضرار المخدرات بالقريات ، وتنطبق على جميع العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
- يجب إدارة حزم التحديثات والإصلاحات (Patch Management) بشكل يضمن حماية الأنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات.
- يجب تنزيل حُزم التحديثات والإصلاحات من مصادر مرخصة وموثوقة وفقاً للإجراءات المتبعة داخل جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
- يجب استخدام أنظمة تقنية موثوقة وآمنة لإجراء مسح دوري للكشف عن الثغرات وحزم التحديثات ومتابعة تطبيقها.
- يجب على مسؤول تقنية المعلومات اختبار حزم التحديثات والإصلاحات في البيئة الاختبارية (Test Environment) قبل تثبيتها على الأنظمة والتطبيقات وأجهزة معالجة المعلومات في بيئة الإنتاج (Production Environment)، للتأكد من توافق حزم التحديثات والإصلاحات مع الأنظمة والتطبيقات.
- يجب وضع خطة للاسترجاع (Rollback Plan) وتطبيقها في حال تأثير حزم التحديثات والإصلاحات سلباً على أداء الأنظمة أو التطبيقات أو الخدمات.
- يجب على اللجنة الإشرافية للأمن السيبراني التأكد من تطبيق حزم التحديثات والإصلاحات دورياً.
- يجب منح الأولوية لحزم التحديثات والإصلاحات التي تعالج الثغرات الأمنية حسب مستوى المخاطر المرتبطة بها.
- يجب جدولة التحديثات والإصلاحات بما يتماشى مع مراحل الإصدارات البرمجية التي يطرحها المورد.
- يجب تنصيب التحديثات والإصلاحات مرّة واحدة شهرياً على الأقل للأنظمة الحسّاسة المتصلة بالإنترنت، ومرّة واحدة كل ثلاثة أشهر للأنظمة الحسّاسة الداخلية. (CSCC-2-3-1-3)
- يجب تنصيب التحديثات والإصلاحات للأصول التقنية على النحو التالي:
نوع الأصل | مدة التكرار لتنصيب التحديثات | |
الأصول المعلوماتية والتقنية | الأصول المعلوماتية والتقنية للأنظمة الحساسة | |
أنظمة التشغيل | شهرياً | شهرياً |
قواعد البيانات | ثلاثة أشهر | شهرياً |
أجهزة الشبكة | ثلاثة أشهر | شهرياً |
التطبيقات | ثلاثة أشهر | شهرياً |
- يجب أن تَتبع عملية إدارة التحديثات والإصلاحات متطلّبات عملية إدارة التغيير.
- في حال وجود ثغرات أمنية ذات مخاطر عالية، يجب تنصيب حزم التحديثات والإصلاحات الطارئة وفقاً لعملية إدارة التغيير الطارئة (Emergency Change Management).
- يجب تنزيل التحديثات والإصلاحات على خادم مركزي (Centralized Patch Management Server) قبل تنصيبها على الأنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات، ويُستثنى من ذلك حزم التحديثات والإصلاحات التي لا يتوفر لها أدوات آلية مدعومة.
- بعد تنصيب حزم التحديثات والإصلاحات، يجب استخدام أدوات مستقلة وموثوقة للتأكد من أن الثغرات تمت معالجتها بشكل فعال.
- يجب استخدام مؤشر قياس الأداء (Key Performance Indicator “KPI”) لضمان التطوير المستمر لإدارة حزم التحديثات والإصلاحات.
- يجب مراجعة سياسة إدارة حزم التحديثات والإصلاحات وإجراءاتها سنوياً، وتوثيق التغييرات واعتمادها.
- راعي ومالك وثيقة السياسة: مسؤول تقنية المعلومات.
- مراجعة السياسة وتحديثها: مسؤول تقنية المعلومات.
- تنفيذ السياسة وتطبيقها: مسؤول تقنية المعلومات.
- يجب على مسؤول تقنية المعلومات ضمان التزام جمعية إرادة للتوعية بأضرار المخدرات بالقريات بهذه السياسة بشكل مستمر.
- يجب على مسؤول تقنية المعلومات في جمعية إرادة للتوعية بأضرار المخدرات بالقريات الالتزام بهذه السياسة.
- قد يُعرض أي انتهاك لهذه السياسة صاحب المخالفة، إلى إجراء تأديبي؛ حسب الإجراءات المتبعة في جمعية إرادة للتوعية بأضرار المخدرات بالقريات.