سياسة الوصول للأطراف الثالثة
-
-
الكاتب: الهيئة الوطنية لأمن وسلامة المعلومات
-
نوع المستند: سياسات
-
نوع المورد: إجرائي
-
سياسة الوصول للأطراف الثالثة
المحتويات
مقدمة
تعمل سياسة الوصول للأطراف الثالثة على بيان الإجراءات التي تحكم وصول أطراف ثالثة إلى شبكة (جهة العمل) وتطبيقاتها. وتتمثل الأطراف الثالثة في الجهات الخارجة عن (جهة العمل) من مؤسسات أو أفراد.
تغطي السياسة الجوانب التالية للتعاملات مع الطرف الثالث:
- تقييم مخاطر الطرف الثالث.
- الاتفاقيات والعقود.
- توفير خدمات للشبكة.
- صلاحيات الوصول والاتصال للأنظمة والشبكات.
- أمن الوصول من قبل الأطراف الثالثة.
الغرض من السياسة
الغرض من هذه السياسة هو تحديد السياسات والمعايير لجميع الأطراف الثالثة التي تسعى للوصول إلى شبكة (جهة العمل) لغرض التعامل المشترك مع الأعمال المتعلقة بـ (جهة العمل)، وقد تم تصميم هذه السياسة للحد من التعرض المحتمل للمخاطر المرتبطة بوصول الطرف الثالث لـ (جهة العمل).
النطاق
تنطبق هذه السياسة على الموظفين في (جهة العمل) المختصين بتوفير وصول الأطراف الثالثة إلى شبكة (جهة العمل) أو الأجهزة الملحقة بها، وكذلك على جميع الأطراف الثالثة سواء كانوا أفراداً أو شركات أو مؤسسات أو متعاقدين أو استشاريين أو متخصصين.
السياسة
1. يجب التوقيع على اتفاقية عدم الإفصاح عند التعاقد مع الطرف الثالث، وتحديد دور ومسؤوليات الطرف الثالث بوضوح في هذه الاتفاقية.
- لن يُمنح الطرف الثالث إمكانية الوصول إلى مرافق شبكة (جهة العمل) إلا بعد توقيع عقد رسمي يحدد الشروط والضوابط التي يجب على الأطراف الثالثة الالتزام بها لضمان الوصول الأمن إلى مرافق شبكة (جهة العمل) من قبل الأطراف الثالثة.
- تتطلب جميع طلبات الاتصال الجديدة بين الأطراف الثالثة و(جهة العمل) موافقة الطرف الثالث وممثل (جهة العمل) على الاتفاقية والتوقيع عليها.
2. المتطلبات الأولية (قبل الاتفاق): ستخضع عملية منح الوصول لمعدات تقنية المعلومات للمراجعة والتصديق من القسم المختص بذلك (قسم أمن المعلومات).
تجري المراجعة الأمنية للتأكد من أن أي توصيل يتطابق مع متطلبات العمل بأفضل طريقة ممكنة، وأنه يتبع مبدأ “أقل صلاحيات وصول”.
- يجب على جميع الأطراف الثالثة الالتزام بمتطلبات أمن المعلومات والتي تضمن الحد الأدنى من مستوى الأمان الذي تتطلبه (جهة العمل) من قبل الطرف الثالث، والتي يتحدد من خلالها ما الذي يجب على (جهة العمل) تنفيذه والحفاظ عليه من تدابير أمنية تخص جميع جوانب أمن المعلومات وجميع عمليات الدعم المرتبطة بها.
- يجب على جميع الأطراف الثالثة التأكد من أنها لا تنتهك أيّاً من لوائح نظام إدارة أمن المعلومات في أي وقت أثناء تعاقدها مع (جهة العمل).
3. إنشاء الاتصال:
- يجب أن يستند كل اتصال قائم على مبدأ “أقل صلاحيات الوصول” وفقاً لمتطلبات العمل والمراجعة الأمنية المعتمدة.
4. تعديل أو تغيير الاتصال والوصول:
- يجب أن تتم التغييرات في الاتصال أو الوصول بناءً على ما تقتضيه مصلحة العمل وأن تخضع للمراجعة الأمنية، كما يجب تنفيذ التغييرات من خلال عملية إدارة التغيير بـ (جهة العمل).
5. وصول الطرف الثالث المسموح به:
- يسمح للطرف الثالث الوصول إلى أنظمة أو شبكة (جهة العمل) للأغراض المتفق عليها في العقد، ويشمل ذلك الشركاء لـ(جهة العمل) غير الموظفين مباشرة ولديهم وصول مباشر أو عن بعد إلى أنظمة وشبكة (جهة العمل).
- ﻳﺠﺐ السماح للطرف الثالث بالوصول إلى المرافق والخدمات والبيانات التي تكون مطلوبة لتنفيذ المهام المحددة في العقد فقط، وعلى النحو الذي تم توضيحه للمسؤولين على هذه المرافق والبيانات ضمن طلب الوصول الأصلي.
6. الأجهزة والمعدات (محطات العمل) الخاصة بالطرف الثالث:
عندما تستخدم الأطراف الثالثة أجهزة الكمبيوتر الشخصي / أجهزة الكمبيوتر المحمولة أو أي أجهزة غير مملوكة لـ(جهة العمل) للوصول إلى الموارد الموجودة على شبكة وأنظمة (جهة العمل)، يجب أن تضمن الأطراف الثالثة ما يلي:
- يجب أن تكون أنظمة التشغيل محدثة بشكل كامل مع أحدث التصحيحات.
- يجب تنصيب برامج مكافحة الفيروسات وبرمجيات التجسس والبرمجيات الضارة وبآخر التحديثات.
7. وصول الأطراف الثالثة عن بعد:
- يتم تحديد مسؤوليات إدارة أمن وصول الطرف الثالث بوضوح لكل من (جهة العمل) والطرف الثالث، كما يجب توفير مستوى مناسب من الإدارة والدعم الفني من قبل الطرفين لضمان تحقيق الامتثال لهذه السياسة.
- يجب تعيين المناصب التالية لكل اتصال بين الأطراف:
- مسؤول الخدمة أو من له الصلاحية ليكون مسؤولاً عن السماح بدخول الطرف الثالث من خلال تفويض الاتصال في تصريح كتابي.
- المسؤول عن النظام والذي يتحمل المسؤولية الكاملة عن كل اتصال من الأطراف الثالثة وذلك للتأكد من تطبيق الأطراف للسياسات والمعايير لهذا الاتصال. كما أنه المسؤول عن تأكيد ما إذا كان مسموحًا للطرف الثالث بالدخول إلى أنظمة المؤسسة، وكما له أن يحظر دخول الطرف الثالث إلى بعض الأنظمة الحساسة.
8. الإبلاغ عن الحوادث: يجب أن تقوم الأطراف الثالثة بإبلاغ الإدارة عن أي حادثة تؤثر على أمن المعلومات والخصوصية، وعلى جميع نقاط الضعف الأمنية المشتبه بها أو ما قد يشكل تهديداً لأصول تقنية المعلومات في (جهة العمل).
9. إنهاء الوصول:
- عندما انتهاء الحاجة إلى الوصول يجب أن يقوم المسؤول عن الاتصال داخل (جهة العمل) بإنهاء الوصول.
- يجب أن يقوم المسؤولون عن كل اتصال بمراجعة هذه الاتصالات سنوياً للتحقق من وجود حاجة لاستمرارها، وأن نوع الوصول الحالي يلبي متطلبات الاتصال المرجوة.
- يتم على الفور إنهاء جميع الاتصالات التي لم يعد لها فائدة أو حاجة في تنفيذ أعمال (جهة العمل).
- في حالة تم تعريفهم داخل نظام (جهة العمل)، يجب أن يكون لدى جميع الأطراف الثالثة والمستخدمين الخارجيين تاريخ صلاحية لحساباتهم.
القواعد الإرشادية لاتفاقية عدم الإفصاح
مقدمة
عند قيام (جهة العمل) بالدخول في عمل مشترك مع طرف ثالث يجب توقيع اتفاقية عدم الإفصاح، حيث تكون هناك الحاجة لفهم وتقييم إجراءات العمل لكل الأطراف.
الغرض
الغرض من هذه القواعد هو ضمان عملية توقيع اتفاقية عدم الإفصاح لـ (جهة العمل) من قبل جميع الأطراف الثالثة الذين لديهم إمكانية الوصول إلى البيانات السرية لـ (جهة العمل) والاحتفاظ بها بشكل ملائم وموثوق.
النطاق
تسري هذه القواعد الإرشادية على (جهة العمل) وعلى جميع الأطراف الثالثة سواء كانوا أفراد أو شركات أو مؤسسات أو متعاقدين أو استشاريين أو متخصصين.
القواعد الإرشادية
- يجب على جميع الأطراف الثالثة توقيع اتفاقية عدم الإفصاح كخطوة أولى في بداية عملهم مع (جهة العمل)، مع إقرارهم بفهم هذه السياسة والتزامهم بها.
- يجب على الطرف الثالث الممنوح له حق الوصول المباشر أو غير المباشر إلى البيانات أو المعلومات التي تملكها (جهة العمل) عدم الإفصاح عن هذه المعلومات أو نشرها.
- تلتزم (جهة العمل) بضمان الخدمات السرية لجميع الأطراف الثالثة. فالسرية هي بين الأطراف الثالثة و(جهة العمل) وليس للموظفين الذين يقدمون خدمات معينة.
- الوثائق التي تحتوي على معلومات شخصية بما في ذلك على سبيل المثال لا الحصر الأسماء أو العناوين أو أرقام الهاتف أو السجلات الطبية أو السجلات المالية لموظفي (جهة العمل) يجب أن تكون خاضعة لرقابة دقيقة ويجب عدم الإفصاح عنها أو الكشف عنها لأي أشخاص أو مصادر غير مصرح لهم بذلك.
- يجب أن تحتوي اتفاقية عدم الإفصاح على الأقل على الآتي:
- أسماء الأطراف المتعاقدة.
- أي من الأطراف المتعاقدة ملزم بحماية سرية المعلومات المكشوف عنها، سواء كان الطرف المستقبل أو الطرف المفصح عنها أو كليهما (أحادي أو ثنائي)، كما يمكن أن يكون لاتفاقية عدم الإفصاح أكثر من طرفين، وفي هذه الحالة يجب تحديد الأطراف الملزمة بذلك.
- تحديد ماهي المعلومات السرية في الاتفاقية.
- مدة الالتزام بالاتفاقية بالسنوات.
- مدة وشروط الحفاظ على سرية المعلومات بالسنوات.
- المعلومات التي سيتم استبعادها من الاتفاقية، كالمعلومات التي تم معرفتها مسبقاً أو التي تتواجد ومتاحة للعموم، أو التي يُطّلع عليها لاحقاً من أطراف أخرى.
- الشروط والقيود المتعلقة بطرق نقل المعلومات السرية.
- الإجراءات التي ينبغي اتخاذها على المعلومات السرية عند نهاية الإتفاقية.
- مسؤوليات استلام والتعامل مع المعلومات السرية:
- استخدام المعلومات للأغراض المتفق عليها فقط.
- الكشف عنها فقط للأشخاص الذين يحتاجون إلى معرفة المعلومات لأداء الأغراض المتفق عليها.
- استخدام الجهود المناسبة (بدل العناية اللازمة أو الجهود المعقولة) للحفاظ على أمان المعلومات. غالباً ما يتم تعريف الجهود المعقولة على أنها معيار لرعاية المعلومات السرية لا تقل صرامة عن تلك التي يستخدمها المستلم للحفاظ على أمان معلوماته الخاصة.
- التأكد من أن الأشخاص الذين تم الكشف لهم عن المعلومات يلتزمون بشروط تقييد الاستخدام وتقييد الإفصاح، وضمان حماية المعلومات.
- نوع الإفصاح المسموح به – المعلومات اللازمة للوصول للهدف المطلوب في إطار القانون.
- يجب أن يختار الطرفان القانون والقضاء المختص الذي يحكم تنفيذ الاتفاقية.