العودة إلى المدونة
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

كيفية توثيق استخدام البروكسي للامتثال: قوالب وسياسات الأمان

دليل كامل لتوثيق استخدام خوادم البروكسي للامتثال لمتطلبات الالتزام: قوالب السياسات، سجلات الوصول، وتوصيات عملية.

📅١٤ رمضان ١٤٤٧ هـ
```html

إذا كانت شركتك تعمل مع البيانات الشخصية للعملاء، أو تستقبل المدفوعات، أو تخضع لتدقيق أمني، فإن توثيق استخدام خوادم البروكسي يصبح مطلبًا إلزاميًا. يمكن أن يؤدي عدم وجود توثيق صحيح إلى غرامات تصل إلى 20 مليون يورو بموجب GDPR أو فقدان شهادة PCI DSS.

في هذا الدليل، سنستعرض كيفية توثيق استخدام البروكسي بشكل صحيح للامتثال لمتطلبات الجهات التنظيمية، وما هي السياسات التي يجب إنشاؤها وكيفية إدارة سجلات الوصول. ستحصل على قوالب مستندات جاهزة وقوائم فحص للتنفيذ.

لماذا يعتبر توثيق البروكسي أمرًا حيويًا للامتثال

غالبًا ما تصبح خوادم البروكسي "منطقة عمياء" في الوثائق الأمنية المؤسسية. تصف الشركات بدقة العمليات المتعلقة بقواعد البيانات، لكنها تنسى توثيق كيفية وصول موظفيها أو أنظمتها إلى الموارد الخارجية عبر البروكسي.

تصبح المشكلة حرجة في عدة حالات:

  • تدقيق الأمن المعلوماتي: يطلب المدققون ISO 27001 أو SOC 2 تأكيدًا على أن جميع قنوات الوصول إلى البيانات موثقة ومراقبة. البروكسي هو قناة وصول.
  • تحقيق الحوادث: في حالة تسرب البيانات أو الشك في الاحتيال، تحتاج إلى إثبات من استخدم البروكسي ومتى ولماذا للوصول إلى موارد معينة.
  • التحقق من GDPR: إذا كنت تعالج بيانات مواطني الاتحاد الأوروبي عبر البروكسي في دول أخرى، تحتاج إلى توثيق قانونية نقل البيانات عبر الحدود.
  • شهادة PCI DSS: بالنسبة للشركات التي تقبل المدفوعات بالبطاقات، يجب توثيق جميع نقاط الوصول إلى بيانات البطاقة، بما في ذلك خوادم البروكسي.

مثال واقعي: في عام 2022، تلقت شركة فينتك أوروبية تحذيرًا من الجهة التنظيمية لعدم وجود وثائق حول كيفية استخدام نظام مراقبة المخاطر لديها للبروكسي للتحقق من المعاملات. تم تجنب الغرامة فقط بعد إنشاء حزمة كاملة من الوثائق وسجلات بأثر رجعي لمدة 12 شهرًا.

مهم: يجب إنشاء الوثائق قبل بدء استخدام البروكسي، وليس في وقت التدقيق. إن إنشاء الوثائق بأثر رجعي دائمًا ما يثير الشكوك لدى المدققين.

ما هي المتطلبات التنظيمية التي تشمل البروكسي

تفرض معايير تنظيمية مختلفة متطلبات محددة لتوثيق استخدام خوادم البروكسي. إليك الأساسيات التي تواجهها الأعمال:

GDPR (اللائحة العامة لحماية البيانات)

إذا كنت تستخدم البروكسي لمعالجة البيانات الشخصية لمواطني الاتحاد الأوروبي، يجب عليك توثيق:

  • أغراض استخدام البروكسي (المادة 5.1.b — تقييد الغرض)
  • الموقع الجغرافي لخوادم البروكسي (المادة 44 — نقل البيانات عبر الحدود)
  • تدابير الأمان لحماية البيانات أثناء النقل عبر البروكسي (المادة 32)
  • عقود مع مزود البروكسي كمعالج بيانات (المادة 28)
  • سجلات الوصول لضمان المساءلة (المادة 5.2)

مثال عملي: إذا كان قسم التسويق لديك يستخدم بروكسي سكنية لتحليل المنافسين في دول مختلفة من الاتحاد الأوروبي، وفي الوقت نفسه يجمع بيانات عن الأسعار أو التشكيلات (التي قد تحتوي بشكل غير مباشر على بيانات شخصية)، تحتاج إلى سياسة استخدام بروكسي متوافقة مع GDPR.

PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)

بالنسبة للشركات التي تعالج المدفوعات، تتضمن متطلبات PCI DSS الإصدار 4.0 ما يلي:

  • المتطلب 1.2.1: توثيق جميع الاتصالات المسموح بها بين بيئة بيانات البطاقة والشبكات الخارجية (البروكسي هو مثل هذه الاتصال)
  • المتطلب 10.2: الاحتفاظ بسجلات لجميع أنشطة المستخدمين ذوي الحقوق الإدارية، بما في ذلك إدارة البروكسي
  • المتطلب 12.3: سياسة استخدام التقنيات، بما في ذلك خوادم البروكسي

ISO 27001 (نظام إدارة أمن المعلومات)

يتطلب المعيار توثيقًا في سياق التحكم A.13.1.1 (إدارة عناصر الأمان الشبكية):

  • جرد جميع خوادم البروكسي وتكويناتها
  • إجراءات إدارة الوصول إلى البروكسي
  • مراقبة الاستخدام واكتشاف الشذوذ
  • مراجعة السياسات بانتظام (على الأقل سنويًا)

152-ФЗ "حول البيانات الشخصية" (روسيا)

يتطلب التشريع الروسي توثيق:

  • نموذج تهديدات أمن البيانات الشخصية (البروكسي كوسيلة حماية أو تهديد محتمل)
  • المواصفات الفنية لإنشاء أو تحديث نظام المعلومات (إذا كان البروكسي جزءًا منه)
  • أعمال تصنيف وتصنيف أنظمة المعلومات
المعيار المستند الرئيسي تكرار التحديث
GDPR سجل معالجة البيانات (ROPA) عند حدوث تغييرات
PCI DSS مخطط تدفق البيانات سنويًا
ISO 27001 سياسة أمن المعلومات سنويًا
152-ФЗ نموذج التهديدات كل 3 سنوات

نموذج سياسة استخدام خوادم البروكسي

سياسة استخدام البروكسي هي مستند أساسي يحدد القواعد، والمسؤوليات، والإجراءات. إليك هيكل السياسة، المعدل وفقًا لمتطلبات الامتثال:

1. الأحكام العامة

اسم الوثيقة: سياسة استخدام خوادم البروكسي

الإصدار: 1.0

تاريخ الموافقة: [التاريخ]

الشخص المعتمد: [الوظيفة والاسم الكامل، على سبيل المثال: مدير الأمن المعلوماتي]

تاريخ المراجعة التالية: [التاريخ بعد 12 شهرًا]

هدف السياسة: تحديد قواعد استخدام خوادم البروكسي لضمان الأمان، والخصوصية، والامتثال للمتطلبات التنظيمية عند الوصول إلى الموارد الخارجية ومعالجة البيانات.

نطاق التطبيق: تنطبق السياسة على جميع الموظفين، والمقاولين، والأنظمة الآلية في الشركة التي تستخدم خوادم البروكسي للوصول إلى الموارد على الإنترنت أو معالجة البيانات.

2. الأغراض المسموح بها لاستخدام البروكسي

يمكن استخدام خوادم البروكسي فقط للأغراض التجارية التالية:

  • مراقبة المنافسين: جمع المعلومات المتاحة للجمهور حول الأسعار، والتشكيلات، والأنشطة التسويقية للمنافسين لتحليل السوق (الأقسام: التسويق، المنتج).
  • اختبار خدمات الويب: التحقق من توفر وسلامة عمل الموارد الإلكترونية الخاصة من مناطق جغرافية مختلفة (الأقسام: التطوير، ضمان الجودة).
  • التحقق من الحملات الإعلانية: التحقق من عرض الإعلانات في مناطق مختلفة وعلى أجهزة مختلفة (القسم: التسويق).
  • الحماية من هجمات DDoS: إخفاء عناوين IP للأنظمة المؤسسية عند الاتصال بواجهات برمجة التطبيقات الخارجية (القسم: تكنولوجيا المعلومات).
  • ضمان الخصوصية: حماية البيانات الشخصية للموظفين أثناء إجراء الأبحاث أو العمل مع المعلومات الحساسة (الأقسام: الأمن، الامتثال).

ممنوع: استخدام البروكسي لتجاوز السياسات الأمنية المؤسسية، أو الوصول إلى الموارد المحظورة، أو إخفاء النشاط غير المصرح به، أو أي إجراءات تنتهك القانون.

3. أنواع البروكسي واستخداماتها

نوع البروكسي المهام المسموح بها متطلبات البيانات
بروكسي سكنية مراقبة المنافسين، التحقق من الإعلانات، الاختبار من مناطق مختلفة بيانات عامة فقط، بدون بيانات شخصية
بروكسي موبايل اختبار التطبيقات المحمولة، التحقق من الإعلانات المحمولة بيانات عامة فقط، بدون بيانات شخصية
بروكسي مراكز البيانات الزحف الآلي، التحقق الجماعي من توفر الموارد بيانات عامة فقط، سرعة عالية

4. إجراءات الحصول على الوصول إلى البروكسي

يجب على أي موظف يحتاج إلى الوصول إلى خوادم البروكسي اتباع الإجراء التالي:

  1. تقديم الطلب: ملء نموذج طلب الوصول مع تحديد المبررات التجارية، نوع البروكسي، وفترة الاستخدام.
  2. الموافقة من المدير: الموافقة من المدير المباشر للقسم.
  3. التحقق من الامتثال: تقييم الطلب من قبل قسم الأمن المعلوماتي أو الامتثال للتأكد من توافقه مع السياسة.
  4. توفير بيانات الاعتماد: يوفر قسم تكنولوجيا المعلومات الوصول مع بيانات اعتماد فريدة لكل مستخدم.
  5. التدريب: يخضع الموظف لجلسة تدريب قصيرة حول الاستخدام الآمن للبروكسي (يمكن أن تكون على شكل فيديو أو وثيقة).

مدة النظر في الطلب: لا تتجاوز 3 أيام عمل من تاريخ التقديم.

5. المسؤوليات والأدوار

  • مدير الأمن المعلوماتي (CISO): اعتماد السياسة، مراقبة الامتثال، تنسيق التدقيقات.
  • قسم تكنولوجيا المعلومات: التنفيذ الفني، توفير الوصول، مراقبة بنية البروكسي التحتية.
  • موظف الامتثال: التحقق من توافق استخدام البروكسي مع المتطلبات التنظيمية، إدارة الوثائق.
  • مديرو الأقسام: الموافقة على الطلبات من موظفيهم، مراقبة الاستخدام المستهدف.
  • المستخدمون النهائيون: الالتزام بالسياسة، الإبلاغ الفوري عن أي حوادث أو نشاط مشبوه.

سجلات الوصول والمراقبة: ماذا يجب توثيقه

تعتبر إدارة سجلات استخدام البروكسي ليست مجرد ضرورة فنية، بل مطلبًا إلزاميًا لمعظم معايير الامتثال. تتيح السجلات تتبع من استخدم البروكسي، ومتى، ولأي أغراض، بالإضافة إلى اكتشاف الشذوذ أو الوصول غير المصرح به.

الحقول الإلزامية في سجل الوصول

يجب أن تحتوي كل سجل في السجل على البيانات التالية:

الحقل الوصف مثال
Timestamp تاريخ ووقت الاتصال (UTC) 2024-01-15 14:23:45 UTC
User ID معرف المستخدم الفريد user_12345 أو ivanov@company.com
Proxy IP عنوان IP للبروكسي المستخدم 185.123.45.67
Proxy Location الموقع الجغرافي للبروكسي DE, Frankfurt
Target URL المورد المستهدف (النطاق، بدون URL الكامل للخصوصية) example.com
Session Duration مدة الجلسة 00:15:32
Data Volume حجم البيانات المنقولة 15.3 MB
Purpose Code رمز الغرض من السياسة COMP_MONITOR (مراقبة المنافسين)
Status حالة انتهاء الجلسة SUCCESS / ERROR / BLOCKED

أتمتة جمع السجلات

تقدم معظم مزودي البروكسي واجهة برمجة التطبيقات (API) للحصول على إحصائيات الاستخدام. قم بدمج هذه البيانات في نظام SIEM الخاص بك (إدارة معلومات وأحداث الأمان) أو تخزين السجلات المركزي.

الأدوات الموصى بها لجمع وتحليل السجلات:

  • ELK Stack (Elasticsearch, Logstash, Kibana): حل مجاني للشركات الصغيرة والمتوسطة، يسمح بتصور استخدام البروكسي في الوقت الحقيقي.
  • Splunk: منصة تجارية ذات قدرات قوية في ربط الأحداث واكتشاف الشذوذ.
  • Graylog: بديل مفتوح لـ Splunk بواجهة بسيطة.
  • Azure Monitor / AWS CloudWatch: حلول سحابية للشركات التي تستخدم المنصات المعنية.

إعداد التنبيهات

تساعد التنبيهات التلقائية في اكتشاف انتهاكات السياسة أو النشاط المشبوه:

  • حجم بيانات غير عادي: إذا قام الموظف بنقل أكثر من 1 جيجابايت عبر البروكسي في جلسة واحدة (قد يشير إلى تنزيل قواعد بيانات).
  • الوصول في غير أوقات العمل: استخدام البروكسي في ساعات الليل أو عطلات نهاية الأسبوع دون موافقة مسبقة.
  • تغيير الموقع الجغرافي: مستخدم واحد يستخدم البروكسي من 5+ دول مختلفة في فترة زمنية قصيرة.
  • الوصول إلى الموارد المحظورة: محاولة الاتصال بالنطاقات من القائمة السوداء للشركة.
  • محاولات فاشلة متعددة: أكثر من 10 محاولات فاشلة للمصادقة في ساعة واحدة (احتمال اختراق بيانات الاعتماد).

نصيحة: قم بإعداد تقارير تلقائية أسبوعية للمديرين حول استخدام البروكسي من قبل موظفيهم. هذا يعزز الوعي والانضباط.

توثيق حماية البيانات الشخصية عبر البروكسي

إذا كانت أنظمتك تعالج البيانات الشخصية عبر البروكسي (على سبيل المثال، للتحقق من المستخدمين، أو التحقق من المعاملات الاحتيالية، أو جمع التحليلات)، تحتاج إلى توثيق تدابير حماية هذه البيانات.

تقييم تأثير معالجة البيانات (DPIA) للبروكسي

يتطلب GDPR إجراء تقييم تأثير على حماية البيانات (DPIA) للعمليات التي قد تمثل خطرًا كبيرًا على حقوق وحريات الأفراد. قد يقع استخدام البروكسي تحت هذا المطلب إذا:

  • كنت تعالج بيانات شخصية حساسة (الصحة، المالية، البيومترية)
  • كنت تستخدم البروكسي في دول ذات مستوى حماية بيانات غير كافٍ (غير الاتحاد الأوروبي)
  • كنت تعالج البيانات على نطاق واسع (أكثر من 10,000 موضوع بيانات)

هيكل DPIA لاستخدام البروكسي:

  1. وصف المعالجة: ما هي البيانات التي يتم نقلها عبر البروكسي، لأية أغراض، وما هي الفئات المعنية من موضوعات البيانات.
  2. الضرورة والتناسب: تبرير لماذا يعتبر استخدام البروكسي ضروريًا ولا توجد بدائل أقل خطرًا.
  3. المخاطر على موضوعات البيانات: ما الذي يمكن أن يسوء (تسرب البيانات، الوصول غير المصرح به، فقدان السيطرة على البيانات).
  4. تدابير تقليل المخاطر: التشفير، تقييد الوصول، العقود مع مزود البروكسي، التدقيقات المنتظمة.
  5. التشاور مع DPO: إذا كان لديك مسؤول حماية البيانات، يجب توثيق رأيه.

عقد مع مزود البروكسي كمعالج بيانات

إذا كان لمزود البروكسي القدرة التقنية على الوصول إلى البيانات الشخصية التي تمر عبر خوادمه، فإنه يصبح قانونيًا "معالج بيانات" وفقًا لمصطلحات GDPR.

يجب أن يتضمن العقد مع المزود:

  • موضوع ومدة المعالجة: ما هي البيانات التي تتم معالجتها، ولفترة زمنية.
  • واجبات المعالج: ضمان الأمان، والخصوصية، المساعدة في تنفيذ حقوق موضوعات البيانات.
  • المعالجون الفرعيون: هل يمكن للمزود الاستعانة بأطراف ثالثة، وهل يتطلب ذلك موافقتك.
  • نقل البيانات عبر الحدود: في أي دول توجد خوادم البروكسي، وما هي آليات الحماية المطبقة (بنود تعاقدية قياسية، قرار ملاءمة).
  • إخطار الحوادث: واجب المزود في إبلاغك فورًا عن أي انتهاكات لأمان البيانات.
  • التدقيق والتفتيش: حقك في التحقق من امتثال المزود لشروط العقد.

مهم: يعمل العديد من مزودي البروكسي وفقًا لمبدأ "no-log" (لا يحتفظون بسجلات الحركة). احصل على تأكيد كتابي لهذه السياسة وضمّنه في وثائق الامتثال.

تشفير البيانات أثناء النقل عبر البروكسي

وثق أي طرق تشفير يتم استخدامها:

  • بروكسي HTTPS: يتم تشفير كل الحركة بين نظامك وخادم البروكسي باستخدام TLS 1.2 أو أعلى.
  • SOCKS5 مع نفق SSH: مستوى إضافي من التشفير للبيانات الحساسة بشكل خاص.
  • تشفير من النهاية إلى النهاية: يتم تشفير البيانات على جانب المرسل وفك تشفيرها فقط على جانب المستلم، حيث يرى البروكسي فقط الحركة المشفرة.

في الوثائق، حدد إصدارات البروتوكولات وخوارزميات التشفير (على سبيل المثال: "TLS 1.3 مع AES-256-GCM").

إعداد الوثائق للتدقيق

عندما يحين وقت التدقيق الخارجي أو الداخلي، تحتاج إلى تقديم حزمة كاملة من الوثائق بسرعة تؤكد الامتثال لاستخدام البروكسي. إليك ما يجب أن يكون جاهزًا مسبقًا:

حزمة الوثائق للتدقيق

  1. سياسة استخدام خوادم البروكسي (الإصدار الحالي مع توقيع الشخص المعتمد)
    • تاريخ تغييرات السياسة
    • وثائق إطلاع الموظفين (موقعة أو تأكيدات إلكترونية)
  2. جرد خوادم البروكسي
    • قائمة بجميع البروكسي المستخدمة (عناوين IP، المواقع الجغرافية، الأنواع)
    • معلومات عن المزودين (أسماء الشركات، بيانات الاتصال، تفاصيل العقود)
    • تاريخ بدء استخدام كل بروكسي
  3. سجلات الوصول
    • السجلات للـ 12 شهرًا الماضية (أو الفترة المطلوبة من معيارك)
    • تقارير عن الشذوذ المكتشفة والإجراءات المتخذة
    • إحصائيات الاستخدام حسب الأقسام
  4. عقود مع المزودين
    • العقد الرئيسي لتقديم خدمات البروكسي
    • اتفاقية معالجة البيانات (DPA) للامتثال لـ GDPR
    • بنود تعاقدية قياسية (SCC)، إذا كانت البروكسي موجودة خارج الاتحاد الأوروبي
    • اتفاقية مستوى الخدمة (SLA) مع ضمانات التوفر والأمان
  5. DPIA (تقييم تأثير حماية البيانات) — إذا كان ذلك مناسبًا
  6. إجراءات إدارة الوصول
    • نموذج الطلب للوصول إلى البروكسي
    • أمثلة على الطلبات المعتمدة والمرفوضة
    • إجراءات سحب الوصول عند إنهاء خدمة الموظف
  7. الحوادث والتحقيق فيها
    • سجل الحوادث المتعلقة بالبروكسي (إذا كانت موجودة)
    • تقارير عن التحقيقات
    • الإجراءات التصحيحية
  8. التدريب والوعي
    • مواد التدريب على الاستخدام الآمن للبروكسي
    • سجلات حول اجتياز الموظفين للتدريب

أسئلة شائعة من المدققين

استعد للإجابة على الأسئلة التالية (مع الأدلة):

  • "كيف تتحكم في أن البروكسي تُستخدم فقط للأغراض المسموح بها؟" — أظهر السجلات وإجراءات المراقبة.
  • "كيف تضمن عدم وصول البيانات الشخصية إلى مزود البروكسي؟" — أظهر DPA، سياسة التشفير، تأكيد عدم الاحتفاظ بالسجلات.
  • "كم مرة تقوم بمراجعة قائمة الموظفين الذين لديهم وصول إلى البروكسي؟" — أظهر إجراء المراجعة ربع السنوية.
  • "ماذا سيحدث إذا توقف مزود البروكسي عن العمل أو تم اختراقه؟" — أظهر خطة استمرارية الأعمال (BCP) وقائمة بمزودي البروكسي البديلين.
  • "كيف تضمن الامتثال عند نقل البيانات عبر الحدود؟" — أظهر SCC وتحليل الدول التي توجد فيها البروكسي.

أتمتة التحضير للتدقيق

أنشئ "مجلد التدقيق" (مادي أو إلكتروني) مع الإصدارات الحالية من جميع الوثائق. عيّن شخصًا مسؤولًا عن تحديثه (عادةً ما يكون موظف الامتثال أو CISO).

استخدم منصات GRC (الحوكمة، المخاطر، الامتثال) لأتمتة:

  • OneTrust: إدارة السياسات، تذكيرات تلقائية بمراجعة الوثائق.
  • ServiceNow GRC: تكامل مع العمليات التقنية، جمع الأدلة التلقائية للامتثال.
  • Vanta / Drata: أتمتة الامتثال لـ SOC 2 و ISO 27001 مع مراقبة مستمرة.

فترات الاحتفاظ بالوثائق والسجلات

تضع معايير وتشريعات مختلفة حدًا أدنى لفترات الاحتفاظ بالوثائق والسجلات. يمكن أن يؤدي عدم الامتثال لهذه الفترات إلى غرامات أو عدم القدرة على إثبات الامتثال في حالة التحقيق.

نوع الوثيقة الحد الأدنى لفترة الاحتفاظ الأساس
سياسة استخدام البروكسي بشكل دائم (مع تاريخ التغييرات) ISO 27001، سياسة داخلية
سجلات الوصول إلى البروكسي 12 شهرًا (كحد أدنى) GDPR، ISO 27001
سجلات الوصول (البيانات المالية) 7 سنوات PCI DSS، التشريع الضريبي
عقود مع المزودين مدة العقد + 5 سنوات التشريع المدني
DPIA (تقييم التأثير) طالما أن المعالجة سارية + 3 سنوات GDPR
طلبات الوصول إلى البروكسي 3 سنوات تدقيق داخلي
تقارير الحوادث 5 سنوات ISO 27001، سياسة داخلية
شهادات تدريب الموظفين مدة العمل + 1 سنة التشريع العمالي

توصية: احتفظ بسجلات الوصول إلى البروكسي لمدة لا تقل عن 24 شهرًا، حتى لو كان المعيار يتطلب 12 فقط. هذا يمنحك القدرة على إجراء تحليل بأثر رجعي واكتشاف أنماط طويلة الأجل من سوء الاستخدام.

إجراء الحذف الآمن

بعد انتهاء فترة الاحتفاظ، يجب حذف الوثائق والسجلات بشكل آمن لتقليل خطر تسرب البيانات القديمة:

  • الوثائق الإلكترونية: استخدم طرق الحذف الآمن (ليس مجرد "حذف"، بل إعادة كتابة البيانات على الأقل 3 مرات).
  • الوثائق الورقية: التدمير عبر آلة تمزيق بمستوى سرية P-4 أو أعلى (وفقًا لـ DIN 66399).
  • النسخ الاحتياطية: لا تنس حذف البيانات من جميع النسخ الاحتياطية، وليس فقط من التخزين الرئيسي.
  • توثيق الحذف: احتفظ بسجل للحذف.
```