ما هو الأمن السيبراني؟
في عصرنا الحالي تشهد التكنولوجيا تطوراً هائلاً وتقدماً مذهلاً، حيث أصبحت الشبكة العنكبوتية تمتد إلى كل جانب من حياتنا اليومية، ومع هذا التقدم الهائل يأتي تحدي كبير يهدد أمننا وخصوصيتنا وهو ما يعرف بالتهديد السيبراني، وفي هذا السياق تأتي أهمية الأمن السيبراني لحمايتنا من هذه التهديدات الخطيرة، والجدير بالذكر أن المملكة العربية السعودية تدرك جيداً أهمية الأمن السيبراني وتأثيره على الأفراد والشركات والمؤسسات المالية، ولذلك تعمل المملكة بجدية على تعزيز الأمن السيبراني وحماية البنية التحتية الرقمية للبلاد، فقد أطلقت المملكة العديد من المبادرات والبرامج لتعزيز الوعي السيبراني وتطوير القدرات الفنية لمواجهة التهديدات السيبرانية، كما تشمل جهود المملكة في مجال الأمن السيبراني إنشاء الهيئة الوطنية للأمن السيبراني وهي هيئة حكومية تعتني بتطوير السياسات والإجراءات اللازمة لحماية البنية التحتية السيبرانية للمملكة، كما تقوم المملكة بتنفيذ برامج تدريبية وورش عمل لرفع مستوى الوعي السيبراني لدى الأفراد والشركات والمؤسسات المالية، بالإضافة إلى ذلك تعمل المملكة على تطوير التشريعات والأنظمة والضوابط المتعلقة بالأمن السيبراني وتعزيز التعاون الدولي في هذا المجال، فهي تشارك في الجهود العالمية لمكافحة الجرائم السيبرانية وتعزيز التعاون الدولي في مجال تبادل المعلومات والخبرات.
والجدير بالذكر أيضاً في إطار جهود الهيئة الوطنية للأمن السيبراني لمواجهة التهديدات السيبرانية التي تهدد أمن المملكة ومصالحها الحيوية والبنية التحتية الحساسة، تم إنشاء اللجان القطاعية بهدف تعزيز الأمن السيبراني للقطاعات المختلفة، ومنها قطاع الطاقة، وقطاع الصحة، وقطاع التجارة، وقطاع الإعلام، وقطاع المياه والبيئة والزراعة، وقطاع الاتصالات وتقنية المعلومات، وقطاع المالية، وقطاع التعليم، وقطاع النقل، بحيث يتم تبادل التحديات والخبرات والإبلاغ والتنسيق للاستجابة للحوادث السيبرانية وفق أفضل الممارسات مع كافة الجهات التابعة لكل قطاع، وبحث فرص التعاون والشراكات بين الجهات لزيادة تعزيز قدرات الأمن السيبراني على المستوى الوطني.
وباختصار يمكن القول إن الأمن السيبراني أصبح أمراً ضرورياً في عصرنا الحالي، حيث تتزايد التهديدات السيبرانية وتتطور بسرعة، لذلك حرصنا في سهل للمحاماة على توضيح المعلومات والضوابط والإرشادات والآليات المتعلقة بـ الأمن السيبراني في السعودية.
ما هو الأمن السيبرانى؟
الأمن السيبرانى هو حماية للشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من عتاد وبرمجيات، وما تقدمه من خدمات، وما تحويه من بيانات، من أي اختراق، أو تعطيل، أو تعديل، أو دخول، أو استخدام، أو استغلال غير مشروع، ويشمل مفهوم الأمن السيبراني آمن المعلومات، والأمن الإلكتروني، والأمن الرقمي ونحو ذلك.
قد يهمك أيضاً: شركات التقنية المالية وتعليمات تصريح تجربة التقنية المالية
ما هو الهجوم السيبرانى؟
الهجوم السيبرانى يعد عملية استغلال غير مشروع لأنظمة الحاسب، والشبكات، والمنظمات التي تعتمد عملها على تقنية المعلومات والاتصالات الرقمية، ويتم هذا الاستغلال بهدف إحداث أضرار، وتشمل أي نوع من الأنشطة الخبيثة التي تحاول الوصول غير المشروع أو تعطيل، أو منع، أو تدمير موارد النظم المعلوماتية، أو المعلومات نفسها، والجدير بالذكر أن من أشكال الهجوم السيبرانى، الاحتيال المالي وهو أي عمل يهدف للحصول على فائدة غير مشروعه عن طريق استغلال وسائل التقنية أو مستنديه أو علاقات أو سبل اجتماعية أو استخدام صلاحيات وظيفية أو تعمد إهمال أو اقتناص نقاط ضعف في نظم أو معايير رقابية بشكل مباشر أو غير مباشر.
ما هي الضوابط الأساسية للأمن السيبرانى؟
وضعت الهيئة الوطنية للأمن السيبراني العديد من السياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني، والتي تأتى وفق أحد اختصاصاتها ومهامها، ويعد من أهم الضوابط الاساسية للأمن السيبرانى التي وضعتها الهيئة، الآتي:
أولاً - حوكمة الأمن السيبرانى
- إستراتيجية الأمن السيبرانى
أ- الهدف منها
ضمان إسهام خطط العمل للأمن السيبرانى والأهداف والمبادرات والمشاريع داخل الجهة في تحقيق المتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد إستراتيجية الأمن السيبرانى للجهة ودعمها من قبل رئيس الجهة أو من ينيبه "صاحب الصلاحية"، وأن تتماشى الأهداف الاستراتيجية للأمن السيبرانى للجهة من المتطلبات التشريعية والتنظيمية ذات العلاقة.
كما يجب العمل على تنفيذ خطة عمل لتطبيق إستراتيجية الأمن السيبرانى من قبل الجهة، ويجب مراجعة إستراتيجية الأمن السيبرانى على فترات زمنية مخطط لها أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة.
- إدارة الأمن السيبرانى
أ- الهدف منها
ضمان إلتزام ودعم صاحب الصلاحية للجهة فيما يتعلق بإدارة وتطبيق برامج الأمن السيبراني في تلك الجهة وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب إنشاء إدارة معنية بالأمن السيبراني في الجهة مستقلة عن إدارة تقنية المعلومات والاتصالات (ICT) (IT) وفقاً للأمر السامي الكريم رقم ٣٧١٤٠ وتاريخ ١٤ / ٨ / ١٤٣٨ هـ، ويفضل ارتباطها مباشرة برئيس الجهة أو من ينيبه مع الأخذ بالاعتبار عدم تعارض المصالح.
ويجب أن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة بها مواطنون متفرغون وذو كفاءة عالية في مجال الأمن السيبراني.
كما يجب إنشاء لجنة إشرافية للأمن السيبراني بتوجيه من صاحب الصلاحية للجهة لضمان التزام ودعم ومتابعة تطبيق برامج وتشريعات الأمن السيبراني، ويتم تحديد وتوثيق واعتماد أعضاء اللجنة ومسؤولياتها وإطار حوكمة أعمالها على أن يكون رئيس الإدارة المعنية بالأمن السيبراني أحد أعضائها، ويفضل ارتباطها مباشرة، برئيس الجهة أو من ينبيه، مع الأخذ بالاعتبار عدم تعارض المصالح.
قد يهمك أيضاً: التقنية القانونية
- سياسات وإجراءات الأمن السيبراني
أ- الهدف منها
ضمان توثيق ونشر متطلبات الأمن السيبراني وإلتزام الجهة بها، وذلك وفقاً لمتطلبات الأعمال التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب على الإدارة المعنية بالأمن السيبراني في الجهة تحديد سياسات وإجراءات الأمن السيبراني وما تشمله من ضوابط ومتطلبات الأمن السيبراني، وتوثيقها واعتمادها من قبل صاحب الصلاحية في الجهة، كما يجب نشرها إلى ذوي العلاقة من العاملين في الجهة والأطراف المعنية بها.
ويجب على الإدارة المعنية بالأمن السيبراني ضمان تطبيق سياسات وإجراءات الأمن السيبراني في الجهة وما تشمله من ضوابط ومتطلبات.
كما يجب أن تكون سياسات وإجراءات الأمن السيبراني مدعومة بمعايير تقنية أمنية (على سبيل المثال: المعايير التقنية الأمنية لجدار الحماية وقواعد البيانات، وأنظمة التشغيل. إلخ).
وأيضاً يجب مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها على فترات زمنية مخطط لها أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية والمعايير ذات العلاقة، كما يجب توثيق التغييرات واعتمادها.
- أدوار ومسؤوليات الأمن السيبراني
أ- الهدف منها
ضمان تحديد أدوار ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني في الجهة.
ب- الضوابط
يجب على صاحب الصلاحية تحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني للجهة، وتكليف الأشخاص المعنيين بها، كما يجب تقديم الدعم اللازم لإنقاذ ذلك مع الأخذ بالاعتبار عدم تعارض المصالح.
ويجب مراجعة أدوار ومسؤوليات الأمن السيبراني في الجهة وتحديثها على فترات زمنية مخطط لها أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة.
- إدارة مخاطر الأمن السيبراني
أ- الهدف منها
ضمان إدارة مخاطر الأمن السيبراني على نحو ممنهج يهدف إلى حماية الأصول المعلوماتية والتقنية للجهة، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب على الإدارة المعنية بالأمن السيبراني في الجهة تحديد وتوثيق واعتماد منهجية وإجراءات إدارة مخاطر الأمن السيبراني في الجهة، وذلك وفقاً لاعتبارات السرية وتوافر وسلامة الأصول المعلوماتية والتقنية.
ويجب على الإدارة المعنية بالأمن السيبراني تطبيق منهجية وإجراءات إدارة مخاطر الأمن السيبراني في الجهة.
كما يجب تنفيذ إجراءات تقييم مخاطر الأمن السيبراني بحد أدنى في الحالات التالية:
1- في مرحلة مبكرة من المشاريع التقنية.
2- قبل إجراء تغيير جوهري في البنية التقنية.
3- عند التخطيط للحصول على خدمات طرف خارجي.
4- عند التخطيط وقبل إطلاق منتجات وخدمات تقنية جديدة.
وأيضاً يجب مراجعة منهجية وإجراءات إدارة مخاطر الأمن السيبراني وتحديثها على فترات زمنية مخطط لها أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية والمعايير ذات العلاقة، كما يجب توثيق التغييرات واعتمادها.
- الأمن السيبراني ضمن إدارة المشاريع المعلوماتية والتقنية
أ- الهدف منها
التأكد من أن متطلبات الأمن السيبراني مضمنة في منهجية وإجراءات إدارة مشاريع الجهة الحماية السرية وسلامة الأصول المعلوماتية والتقنية للجهة ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تضمين متطلبات الأمن السيبراني في منهجية وإجراءات إدارة المشاريع وفي إدارة التغيير على الأصول المعلوماتية والتقنية في الجهة لضمان تحديد مخاطر الأمن السيبراني ومعالجتها كجزء من دورة التقني، وأن تكون متطلبات الأمن السيبراني جزء أساسي من متطلبات المشاريع التقنية.
يجب أن تغطي متطلبات الأمن السيبراني لإدارة المشاريع للجهة بحد أدنى ما يلي:
1- تقييم الثغرات ومعالجتها.
2- إجراء مراجعة للإعدادات والتحصين Secure Configuration and Hardening وحزم التحديثات قبل إطلاق وتدشين المشاريع والتغييرات.
أيضاً يجب أن تغطي متطلبات الأمن السيبراني لمشاريع تطوير التطبيقات والبرمجيات الخاصة للجهة بحد أدنى ما يلي:
- استخدام معايير التطوير الأمن للتطبيقات (Secure Coding Standards)
- استخدام مصادر مرخصة وموثوقة لأدوات تطوير التطبيقات والمكتبات الخاصة بها (Libraries)
- إجراء اختبار للتحقق من مدى استيفاء التطبيقات للمتطلبات الأمنية السيبرانية للجهة.
- أمن التكامل Integration بين التطبيقات
- إجراء مراجعة للإعدادات والتحصين (Secure Configuration and Hardening) وحزم التحديثات قبل إطلاق وتدشين التطبيقات.
ويجب مراجعة متطلبات الأمن السيبراني في إدارة المشاريع في الجهة دورياً.
- الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني
أ- الهدف منها
ضمان التأكد من أن برنامج الأمن السيبراني لدى الجهة يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب على الجهة الالتزام بالمتطلبات التشريعية والتنظيمية الوطنية المتعلقة بالأمن السيبراني، وفي حال وجود اتفاقيات أو التزامات دولية معتمدة محلياً تتضمن متطلبات خاصة بالأمن السيبراني، فيجب على الجهة الالتزام بتلك المتطلبات.
- المراجعة والتدقيق الدوري للأمن السيبراني
أ- الهدف منها
ضمان التأكد من أن ضوابط الأمن السيبراني لدى الجهة مطبقة وتعمل وفقاً للسياسات والإجراءات التنظيمية للجهة والمتطلبات التشريعية والتنظيمية الوطنية ذات العلاقة، والمتطلبات الدولية المقرة تنظيمياً على الجهة.
ب- الضوابط
يجب على الإدارة المعنية بالأمن السيبراني في الجهة مراجعة تطبيق ضوابط الأمن السيبراني دورياً، ويجب مراجعة وتدقيق تطبيق ضوابط الأمن السيبراني في الجهة من قبل أطراف مستقلة عن الإدارة المعنية بالأمن السيبراني، مثل الإدارة المعنية بالمراجعة في الجهة على أن تتم المراجعة والتدقيق بشكل مستقل يراعى فيه مبدأ عدم تعارض المصالح، وذلك وفقاً للمعايير العامة المقبولة للمراجعة والتدقيق والمتطلبات التشريعية والتنظيمية ذات العلاقة.
كما يجب توثيق نتائج مراجعة وتدقيق الأمن السيبراني، وعرضها على اللجنة الإشرافية للأمن السيبراني وصاحب الصلاحية، كما يجب أن تشتمل النتائج على نطاق المراجعة والتدقيق، والملاحظات المكتشفة والتوصيات والإجراءات التصحيحية. وخطة معالجة الملاحظات.
- الأمن السيبراني المتعلق بالموارد البشرية
أ- الهدف منها
ضمان التأكد من أن مخاطر ومتطلبات الأمن السيبراني المتعلقة بالعاملين (موظفين ومتعاقدين) في الجهة تعالج بفعالية قبل وأثناء وعند انتهاء أو إنهاء عملهم، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني المتعلقة بالعاملين قبل توظيفهم وأثناء عملهم وعند انتهاء أو إنهاء عملهم في الجهة، ويجب تطبيق متطلبات الأمن السيبراني المتعلقة بالعاملين في الجهة، وأيضاً يجب أن تغطي متطلبات الأمن السيبراني قبل بدء علاقة العاملين المهنية بالجهة بحد أدنى ما يلي:
1- تضمين مسؤوليات الأمن السيبراني وبنود المحافظة على سرية المعلومات (Non-Disclosure Clauses) في عقود العاملين في الجهة (لتشمل خلال وبعد انتهاء إنهاء العلاقة الوظيفية مع الجهة).
2- إجراء المسح الأمني (Screening or Vetting) للعاملين في وظائف الأمن السيبراني والوظائف التقنية ذات الصلاحيات الهامة والحساسة.
كما يجب أن تعطي متطلبات الأمن السيبراني خلال علاقة العاملين المهنية بالجهة بحد أدنى ما يلي:
- التوعية بالأمن السيبراني (عند بداية المهنة الوظيفية وخلالها).
- تطبيق متطلبات الأمن السيبراني والالتزام بها وفقاً لسياسات وإجراءات وعمليات الأمن السيبراني للجهة
ويجب مراجعة وإلغاء الصلاحيات للعاملين مباشرة بعد انتهاء أو إنهاء الخدمة المهنية لهم بالجهة، ويجب مراجعة متطلبات الأمن السيبراني المتعلقة بالعاملين في الجهة دورياً.
قد يهمك أيضاً: ما هو العقد الالكتروني؟
- برنامج التوعية والتدريب بالأمن السيبراني
أ- الهدف منها
ضمان التأكد من أن العاملين بالجهة لديهم التوعية الأمنية اللازمة وعلى دراية بمسؤولياتهم في مجال الأمن السيبراني والتأكد من تزويد العاملين بالجهة بالمهارات والمؤهلات والدورات التدريبية المطلوبة في مجال الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة والقيام بمسؤولياتهم تجاه الأمن السيبراني.
ب- الضوابط
يجب تطوير واعتماد برنامج للتوعية بالأمن السيبراني في الجهة من خلال قنوات متعددة دورياً، وذلك التعزيز الوعي بالأمن السيبراني وتهديداته ومخاطرة، وبناء ثقافة إيجابية للأمن السيبراني، كما يجب تطبيق البرنامج المعتمد للتوعية بالأمن السيبراني في الجهة، ويجب أن يغطي برنامج التوعية بالأمن السيبراني كيفية حماية الجهة من أهم المخاطر والتهديدات السيبرانية وما يستجد منها، بما في ذلك:
- التعامل الآمن مع خدمات البريد الإلكتروني خصوصاً مع رسائل التصيد الإلكتروني.
- التعامل الآمن مع الأجهزة المحمولة ووسائط التخزين.
- التعامل الأمن مع خدمات تصفح الإنترنت.
- التعامل الأمن مع وسائل التواصل الاجتماعي.
وأيضاً يجب توفير المهارات المتخصصة والتدريب اللازم للعاملين في المجالات الوظيفية ذات العلاقة المباشرة بالأمن السيبراني في الجهة، وتصنيفها بما يتماشى مع مسؤولياتهم الوظيفية فيما يتعلق بالأمن السيبراني، بما في ذلك:
1- موظفو الإدارة المعنية بالأمن السيبراني.
2- الموظفون العاملون في تطوير البرامج والتطبيقات والموظفون المشغلون للأصول المعلوماتية والتقنية للجهة.
3- الوظائف الإشرافية والتنفيذية.
كما يجب مراجعة تطبيق برنامج التوعية بالأمن السيبراني في الجهة دورياً.
ثانياً - تعزيز الأمن السيبرانى
- إدارة الأصول
أ- الهدف منها
التأكد من أن الجهة لديها قائمة جرد دقيقة وحديثة للأصول تشمل التفاصيل ذات العلاقة لجميع الأصول المعلوماتية والتقنية المتاحة للجهة، من أجل دعم العمليات التشغيلية للجهة ومتطلبات الأمن السيبراني، لتحقيق سرية وسلامة الأصول المعلوماتية والتقنية للجهة ودقتها وتوافرها.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية للجهة، ويجب تطبيق متطلبات الأمن السيبراني الإدارة الأصول المعلوماتية والتقنية للجهة، كما يجب تحديد وتوثيق واعتماد ونشر سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية للجهة، ويجب تطبيق سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية للجهة، وأيضاً يجب تصنيف الأصول المعلوماتية والتقنية للجهة وترميزها (Labeling) والتعامل معها وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة، ويجب مراجعة متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية للجهة دورياً.
- إدارة هويات الدخول والصلاحيات
أ- الهدف منها
ضمان حماية الأمن السيبراني للوصول المنطقي (Logical Access) إلى الأصول المعلوماتية والتقنية للجهة من أجل منع الوصول غير المصرح به وتقييد الوصول إلى ما هو مطلوب لإنجاز الأعمال المتعلقة بالجهة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة، ويجب تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة، أيضا يجب أن تغطي متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول والصلاحيات في الجهة بحد أدنى ما يلي:
1- التحقق من هوية المستخدم (User Authentication) بناء على إدارة تسجيل المستخدم وإدارة كلمة المرور.
2- التحقق من الهوية متعددة العناصر (Multi-Factor Authentication) لعمليات الدخول عن بعد.
3- إدارة تصاريح وصلاحيات المستخدمين Authorization بناءً على مبادئ التحكم بالدخول والصلاحيات مبدأ الحاجة إلى المعرفة والاستخدام Need-to-know and Need-to-use، ومبدأ الحد الأدنى من الصلاحيات والامتيازات Least Privilege ومبدأ فصل المهام Segregation of Duties
4- إدارة الصلاحيات الهامة والحساسة Privileged Access Management.
5- المراجعة الدورية الهويات الدخول والصلاحيات.
وأيضاً يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة دورياً.
- حماية الأنظمة وأجهزة معالجة المعلومات
أ- الهدف منها
ضمان حماية الأنظمة وأجهزة معالجة المعلومات بما في ذلك أجهزة المستخدمين والبنى التحتية للجهة من المخاطر السيبرانية.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة، ويجب تطبيق متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة، كما يجب أن تعطي متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة بحد أدنى ما يلي:
1- الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة (Malware) على أجهزة المستخدمين والخوادم باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة، وإدارتها بشكل أمن.
2- التقييد الحازم لاستخدام أجهزة وسائط التخزين الخارجية والأمن المتعلق بها.
3- إدارة حزم التحديثات والإصلاحات للأنظمة والتطبيقات والأجهزة (Patch Management)
4- مزامنة التوقيت Clock Synchronization مركزياً ومن مصدر دقيق وموثوق، ومن هذه المصادر ما توفره الهيئة السعودية للمواصفات والمقاييس والجودة.
ويجب مراجعة متطلبات الأمن السيبراني الحماية الأنظمة وأجهزة معالجة المعلومات للجهة دورياً.
- حماية البريد الإلكتروني
أ- الهدف منها
ضمان حماية البريد الإلكتروني للجهة من المخاطر السيبرانية.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة، ويجب تطبيق متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة، كما يجب أن تعطي متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة بحد أدنى ما يلي:
- تحليل وتصفية (Filtering) رسائل البريد الإلكتروني وخصوصاً رسائل التصيد الإلكتروني Phishing Emails والرسائل الاقتحامية Spam Emails باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة للبريد الإلكتروني.
- التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) للدخول عن بعد والدخول عن طريق صفحة موقع البريد الإلكتروني (Webmail).
- النسخ الاحتياطي والأرشفة للبريد الإلكتروني.
- الحماية من التهديدات المتقدمة المستمرة APT Protection التي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware) وإدارتها بشكل آمن.
- توثيق مجال البريد الإلكتروني للجهة بالطرق التقنية، مثل طريقة إطار سياسة المرسل Sender Policy Framework.
ويجب مراجعة تطبيق متطلبات الأمن السيبراني الخاصة بحماية البريد الإلكتروني للجهة دورياً.
قد يهمك أيضاً: كيفية حماية عملاء البنوك والمؤسسات المالية
- إدارة أمن الشبكات
أ- الهدف منها
ضمان حماية شبكات الجهة من المخاطر السيبرانية.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة، ويجب تطبيق متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة، كما يجب أن تغطي متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة بحد أدنى ما يلي:
- العزل والتقسيم المادي أو المنطقي لأجزاء الشبكات بشكل آمن واللازم للسيطرة على مخاطر الأمن السيبراني ذات العلاقة باستخدام جدار الحماية (Firewall) ومبدأ الدفاع الأمني متعدد المراحل Defense-in-Depth
- عزل شبكة بيئة الإنتاج عن شبكات بيئات التطوير والاختبار.
- أمن التصفح والاتصال بالإنترنت. ويشمل ذلك التقييد الحازم للمواقع الالكترونية المشبوهة، ومواقع مشاركة وتخزين الملفات ومواقع الدخول عن بعد.
- أمن الشبكات اللاسلكية وحمايتها باستخدام وسائل آمنة للتحقق من الهوية والتشفير، وعدم ربط الشبكات اللاسلكية بشبكة الجهة الداخلية إلا بناء على دراسة متكاملة للمخاطر المترتبة على ذلك والتعامل معها بما يضمن حماية الأصول التقنية للجهة.
- قيود وإدارة منافذ وبروتوكولات وخدمات الشبكة.
- أنظمة الحماية المتقدمة لاكتشاف ومنع الاختراقات. Intrusion Prevention Systems
- أمن نظام أسماء النطاقات. (DNS)
- حماية قناة تصفح الإنترنت من التهديدات المتقدمة المستمرة (APT Protection) التي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware) وإدارتها بشكل آمن.
أيضا يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة دورياً.
- أمن الأجهزة المحمولة
أ- الهدف منها
ضمان حماية أجهزة الجهة المحمولة (بما في ذلك أجهزة الحاسب المحمول والهواتف الذكية والأجهزة الذكية اللوحية من المخاطر السيبرانية، وضمان التعامل بشكل آمن مع المعلومات الحساسة والمعلومات الخاصة بأعمال الجهة وحمايتها أثناء النقل والتخزين عند استخدام الأجهزة الشخصية للعاملين في الجهة مبدأ.«BYOD»
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة والأجهزة الشخصية للعاملين (BYOD) عند ارتباطها بشبكة الجهة، ويجب تطبيق متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة وأجهزة (BYOD) للجهة.
كما يجب أن تغطي متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة وأجهزة (BYOD) للجهة بحد أدنى ما يلي:
- فصل وتشفير البيانات والمعلومات الخاصة بالجهة المخزنة على الأجهزة المحمولة وأجهزة (BYOD)
- الاستخدام المحدد والمقيد بناءً على ما تتطلبه مصلحة أعمال الجهة.
- حذف البيانات والمعلومات الخاصة بالجهة المخزنة على الأجهزة المحمولة وأجهزة (BYOD) عند فقدان الأجهزة أو بعد انتهاء أو إنهاء العلاقة الوظيفية مع الجهة.
- التوعية الأمنية للمستخدمين.
- ويجب مراجعة تطبيق متطلبات الأمن السيبراني الخاصة لأمن الأجهزة المحمولة وأجهزة (BYOD) للجهة دوريا.
- حماية البيانات والمعلومات
أ- الهدف منها
ضمان حماية السرية وسلامة بيانات ومعلومات الجهة ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة والتعامل معها وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة، ويجب تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة، كما يجب أن تغطي متطلبات الأمن السيبراني لحماية البيانات والمعلومات بحد أدنى ما يلي:
- ملكية البيانات والمعلومات.
- تصنيف البيانات والمعلومات وآلية ترميزها Classification and Labeling Mechanisms
- خصوصية البيانات والمعلومات.
ويجب مراجعة تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة دورياً.
- التشفير
أ- الهدف منها
ضمان الاستخدام السليم والفعال للتشفير لحماية الأصول المعلوماتية الإلكترونية للجهة، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني للتشفير في الجهة، ويجب تطبيق متطلبات الأمن السيبراني للتشهير في الجهة، كما يجب أن تغطي متطلبات الأمن السيبراني للتشفير بحد أدنى ما يلي:
- معايير حلول التشفير المعتمدة والقيود المطبقة عليها (تقنياً وتنظيمياً).
- الإدارة الآمنة لمفاتيح التشفير خلال عمليات دورة حياتها.
- تشفير البيانات أثناء النقل والتخزين بناء على تصنيفها وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.
ويجب مراجعة تطبيق متطلبات الأمن السيبراني للتشفير في الجهة دورياً.
- إدارة النسخ الاحتياطية
أ- الهدف منها
ضمان حماية بيانات ومعلومات الجهة والإعدادات التقنية للأنظمة والتطبيقات الخاصة بالجهة من الأضرار الناجمة عن المخاطر السيبرانية، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة، ويجب تطبيق متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة، وأيضاً يجب أن تغطي متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية بحد أدنى ما يلي:
- نطاق النسخ الاحتياطية وشموليتها للأصول المعلوماتية والتقنية الحساسة.
- القدرة السريعة على استعادة البيانات والأنظمة بعد التعرض لحوادث الأمن السيبراني.
- إجراء فحص دوري لمدى فعالية استعادة النسخ الاحتياطية.
ويجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة.
قد يهمك أيضاً: أهمية حوكمة الشركات في تحسين أدائها
- إدارة الثغرات
أ- الهدف منها
ضمان اكتشاف الثغرات التقنية في الوقت المناسب ومعالجتها بشكل فعال، وذلك لمنع أو تقليل احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية وتقليل الآثار المترتبة على أعمال الجهة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة، ويجب تطبيق متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة، كما يجب أن تغطي متطلبات الأمن السيبراني لإدارة الثغرات بحد أدنى ما يلي:
- فحص واكتشاف الثغرات دورياً.
- تصنيف الثغرات حسب خطورتها.
- معالجة الثغرات بناءً على تصنيفها والمخاطر السيبرانية المترتبة عليها.
- إدارة حزم التحديثات والإصلاحات الأمنية لمعالجة الثغرات.
- التواصل والاشتراك مع مصادر موثوقة فيما يتعلق بالتنبيهات المتعلقة بالثغرات الجديدة والمحدثة.
ويجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة دورياً.
- اختبار الاختراق
أ- الهدف منها
تقييم واختبار مدى فعالية قدرات تعزيز الأمن السيبراني في الجهة، وذلك من خلال عمل محاكاة لتقنيات وأساليب الهجوم السيبراني الفعلية، ولاكتشاف نقاط الضعف الأمنية غير المعروفة والتي قد تؤدي إلى الاختراق السيبراني للجهة وذلك وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لعمليات اختبار الاختراق في الجهة، ويجب تنفيذ عمليات اختبار الاختراق في الجهة، وأيضاً يجب أن تغطي متطلبات الأمن السيبراني لاختبار الاختراق بحد أدنى ما يلي:
- نطاق عمل اختبار الاحتراق ليشمل جميع الخدمات المقدمة خارجياً عن طريق الإنترنت ومكوناتها التقنية، ومنها البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية البريد الإلكتروني والدخول عن بعد.
- عمل اختبار الاختراق دورياً
ويجب مراجعة تطبيق متطلبات الأمن السيبراني لعمليات اختبار الاختراق في الجهة دورياً.
قد يهمك أيضاً: التجارة الإلكترونية: أهمية وثيقة الشروط والأحكام
- إدارة سجلات الأحداث ومراقبة الأمن السيبراني
أ- الهدف منها
ضمان تجميع وتحليل ومراقبة سجلات أحداث الأمن السيبراني في الوقت المناسب من أجل الاكتشاف الاستباقي للهجمات السيبرانية وإدارة مخاطرها بفعالية لمنع أو تقليل الآثار المترتبة على أعمال الجهة.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني للجهة، ويجب تطبيق متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني للجهة، كما يجب أن تغطي متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني بحد أدنى ما يلي:
- تفعيل سجلات الأحداث Event logs الخاصة بالأمن السيبراني على الأصول المعلوماتية الحساسة لدى الجهة
- تفعيل سجلات الأحداث الخاصة بالحسابات ذات الصلاحيات الهامة والحساسة على الأصول المعلوماتية وأحداث عمليات الدخول عن بعد لدى الجهة.
- تحديد التقنيات اللازمة (SIEM) لجمع سجلات الأحداث الخاصة بالأمن السيبراني.
- المراقبة المستمرة لسجلات الأحداث الخاصة بالأمن السيبراني.
- مدة الاحتفاظ بسجلات الأحداث الخاصة بالأمن السيبراني (على ألا تقل عن ١٢ شهر)، ويجب مراجعة تطبيق متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني في الجهة دورياً.
- إدارة حوادث وتهديدات الأمن السيبراني
أ- الهدف منها
ضمان تحديد واكتشاف حوادث الأمن السيبراني في الوقت المناسب وإدارتها بشكل فعال والتعامل مع تهديدات الأمن السيبراني استباقياً من أجل منع أو تقليل الآثار المترتبة على أعمال الجهة، مع مراعاة ما ورد في الأمر السامي الكريم رقم ٢٧١٤٠ وتاريخ ١٤ / ٨ / ١٤٣٨ هـ.
ب- الضوابط
يجب تحديد وتوثيق واعتماد متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة، ويجب تطبيق متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة، كما يجب أن تغطي متطلبات إدارة حوادث وتهديدات الأمن السيبراني بحد أدنى ما يلي:
- وضع خطط الاستجابة للحوادث الأمنية وآليات التصعيد
- تصنيف حوادث الأمن السيبراني
- تبليغ الهيئة عند حدوث حادثة أمن سيبراني
- مشاركة التنبيهات والمعلومات الاستباقية ومؤشرات الاختراق وتقارير حوادث الأمن السيبراني مع الهيئة
- الحصول على المعلومات الاستباقية (Threat Intelligence) والتعامل معها.
ويجب مراجعة تطبيق متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة دورياً.
