معرّف التحكم

1.2.3

يجب على المؤسسة المالية وضع إجراءات إدارة هويات الدخول والصلاحيات لتنظيم عمليات الوصول المنطقي إلى الأصول المعلوماتية وفق مبدئ الحاجة.

2.2.3

يجب على المؤسسة المالية وضع إجراءات إدارة التغيير لضمان تصنيف التغييرات على أصولها المعلوماتية واختبارها واعتمادها قبل تطبيقها في بيئات الإنتاج. وأن تتضمن إجراءات إدارة التغيير متطلبات الأمن السيبراني للتحكم في التغييرات على الأصول المعلوماتية.

3.2.3.

يجب على المؤسسة المالية إعداد والمحافظة على بنية شبكة آمنة مع مراعاة ما يلي:

أ. 

تجزئة الشبكات، وفقًا لوظائف الخدمات، واعتماد نظم أمن الشبكة (مثل جدران الحماية) للتحكم في حركة المرور بين أجزاءالشبكة؛و

ب. 

التوفر.

4.2.3

يجب على المؤسسات المالية اعتماد خوارزميات تشفير آمنة وقوية، والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.

5.2.3

يجب على المؤسسة المالية إجراء تقييمات دورية وشاملة للثغرات الأمنية وأن تغطي كلاً من التطبيقات والبنى التحتية في البيئة التقنية للمؤسسة المالية.

6.2.3

يجب على المؤسسة المالية إجراء اختبار الاختراق مرتين في السنة كحد أدنى أو بعد حدوث تغيير كبير/حساس لتقييم قدارتها الدفاعية في مجال الأمن السيبراني بشكل شامل.

7.2.3

يجب على المؤسسة المالية التأكد من اختبار حزم التحديثات والإصلاحات الأمنية الحديثة للتطبيقات والبنى التحتية، وتثبيتها في الوقت المناسب لتجنب مخاطر الاختراقات الأمنية بسبب الثغرات الأمنية.

8.2.3

يجب على المؤسسة المالية تطبيق تقنيات الحماية أثناء تصميم تطبيقاتها (على سبيل المثال لا الحصر تشويش الكود البرمجي، وتشفير الصندوق الأبيض، ومكافحة التلاعب بالكود البرمجي)، بالإضافة إلى إجراءات دورة حياة تطوير البرمجيات الآمنة (المشار إليها باسم "SSDLC").

9.2.3

يجب على المؤسسة المالية تطبيق ضوابط فعالة لحماية هويتها المؤسسية (Brand Protection) من خلال المراقبة والرصد المستمر للخدمات عبر الإنترنت مثل التطبيقات، وحسابات وسائل التواصل الاجتماعي، والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.

10.2.3

يجب على المؤسسة المالية ضمان أمن الأجهزة الطرفية (الشخصية في حال السماح بها، والخاصة بالمؤسسة) من خلال تطبيق الحد الأدنى من متطلبات الأمن السيبراني، على سبيل المثال لا الحصر:

الحماية في الوقت الفعلي للأجهزة الطرفية (مثل حلول مكافحة الفيروسات والبرامج الضارة)؛

تطبيق الحلول الأمنية القائمة على تقييم السلوك و/أو التواقيع؛

التأكد من تحديث تواقيع مكافحة البرمجيات الضارة وفحص الأنظمة بانتظام للبحث عن الملفات الضارة أو الأنشطة غير الاعتيادية؛ و

11.2.3

يجب على المؤسسة المالية وضع وتطبيق إجراءات لجمع سجلات المراقبة الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتمكين عملية المراقبة الأمنية المستمرة. وأن تتضمن السجلات التفاصيل الكافية والاحتفاظ بها بطريقة آمنة لمدة سنة واحدة كحد أدنى.

12.2.3

يجب على المؤسسة المالية التأكد من دمج مكونات التطبيقات والبنى التحتية مع حلول إدارة سجل الأحداث والمعلومات الأمنية (SIEM).

13.2.3

يجب على المؤسسة المالية ضمان المراقبة الأمنية والتحليل المستمرة لأحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.

14.2.3

يجب على المؤسسة المالية تطوير إجراءات إدارة حوادث الأمن السيبراني بما يمكن تحديد حوادث الأمن السيبراني التي تؤثر على أصولها المعلوماتية والاستجابة لها واحتوائها في الوقت المناسب.

15.2.3

يجب على المؤسسة المالية تطبيق إعدادات مهلة الجلسة وفق إطار زمني معقول؛ على أن لا تتجاوز الجلسات غير النشطة للتطبيقات والبنى التحتية 5 دقائق.

16.2.3

يجب على المؤسسة المالية إبلاغ البنك المركزي السعودي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) فوراً في حال وقوع أي من الحوادث التالية وبتصنيف متوسط أو أعلى:

أ. 

الأمن السيبراني؛

ب. 

الاحتيال؛

ج. 

كافة الأحداث المعطّلة.

راجع إطار (أطر) عمل البنك المركزي الأخرى

الدليل التنظيمي لأمن المعلومات في القطاع المالي

- 5.3.3 إدارة الهوية والوصول

- 6.3.3 أمن التطبيقات

- 7.3.3 إدارة التغيير

- 8.3.3 أمن البنية التحتية

- 9.3.3 التشفير

- 13.3.3 الخدمات المصرفية الإلكترونية

- 3.3.14 إدارة أحداث الأمن السيبراني

- 15.3.3 إدارة حوادث الأمن السيبراني

- 17.3.3 إدارة الثغرات الأمنية