إدارة المخاطر السيبرانية
قائمة المصطلحات
إن هذا القسم متوفر حالياً باللغة الإنجليزية فقط, الرجاء الضغط هنا لقراءة المحتوى.المرونة السيبرانية
المتطلبات الأساسية للمرونة السيبرانية (CRFR)
الرقم: NA التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1. المقدمة
ترتفع توقعات المجتمع الحديث بخصوص إتاحة تجربة عملاء خالية من العيوب وتوافر الخدمات بشكل مستمر، والحماية الفعالة للبيانات الحساسة. وتُعد أصول المعلومات والخدمات المالية عبر الإنترنت الآن ذات أهمية بالغة لجميع المؤسسات العامة والخاصة والمجتمع الأوسع نطاقاً. حيث إن هذه الخدمات أساسية للاقتصاد العالمي والوطني، وحيوية للابتكار الرقمي ومهمة للأمن القومي الأوسع. وتؤكد هذه الأهمية على ضرورة حماية البيانات الحساسة والمعاملات وتوافر الخدمات وبالتالي ضمان الثقة في القطاع المالي السعودي.
ولم تشهد العديد من الصناعات مثل هذه الزيادة الكبيرة في الابتكار مثل التقنية المالية. وعلى مدار العقد الماضي، كانت هناك زيادة في عدد المنتجات والخدمات التي وصلت إلى السوق خلال العقد الماضي والتي تقدم بالفعل فوائد كبيرة للمستهلكين والمؤسسات المالية. ومع ذلك، فإن الاستخدام المتزايد للتقنيات الناشئة يجلب معه أيضًا مخاطر المرونة السيبرانية والتي قد تؤثر على الاستقرار المالي لمنظومة القطاع المالي.
في نوفمبر 2019، وضع البنك المركزي الإطار التنظيمي للبيئة التجريبية التشريعية من أجل فهم وتقييم تأثير التقنيات الجديدة في سوق الخدمات المالية في المملكة العربية السعودية، وكذلك للمساعدة في تحويل السوق السعودية إلى مركز مالي ذكي. حيث صمم البنك المركزي بيئة تجريبية تشريعية ترحب بالشركات المحلية والدولية الراغبة في اختبار حلول رقمية جديدة في بيئة "حية" بهدف نشرها في المملكة العربية السعودية في المستقبل.
وضع البنك المركزي المتطلبات الأساسية للصمود السيبراني (يشار إليها هنا باسم "المتطلبات الأساسية")، وهي مخصصة تحديدًا للكيانات التي تم تأسيسها حديثاً والتي لا تزال في المراحل الأولى من عملياتها في القطاع المالي في المملكة العربية السعودية.
1.1 الهدف
نظرًا للقيود المفروضة على الموارد التي تواجهها هذه الأنواع من الكيانات في كثير من الأحيان، يتمثل الهدف من المتطلبات الأساسية في مساعدة الكيانات فيما يلي:
- إدارة وتخفيف مجموعة كبيرة من مخاطر الأمن السيبراني والمرونة ذات الصلة بالقطاع المالي في المملكة العربية السعودية؛
- تركيز الموارد على مجموعة أساسية من الضوابط التي تهدف إلى توفير الحماية الفعالة لأصول المعلومات.
ولتحقيق هذا الهدف، توفر المتطلبات الأساسية ما يلي:
- مجموعة ذات أولوية من متطلبات التحكم الخاصة بالأمن السيبراني والمرونة؛
- هيكل ومحتوى يتماشى مع الأطر التنظيمية الأخرى الخاصة بالبنك المركزي، مثل الدليل التنظيمي لأمن المعلومات (يُشار إليه هنا بـاسم "الدليل التنظيمي لأمن المعلومات في القطاع المالي") والدليل التنظيمي لإدارة استمرارية الأعمال (يُشار إليه هنا بـاسم "الدليل التنظيمي لإدارة استمرارية الأعمال)"، والتي ستطبق على المؤسسات في المستقبل.
2.1 التطبيق
ينطبق إطار عمل "المتطلبات الأساسية" على الكيانات التي تنوي التأهل للبيئة التجريبية التشريعية الخاصة بالبنك المركزي و/أو الكيانات التي تسعى للحصول على ترخيص للعمل في المملكة العربية السعودية. تُعد "المتطلبات الأساسية" بمثابة حافز لتمكين الكيانات من الامتثال للحد الأدنى من متطلبات البنك المركزي المعنية بالمرونة السيبرانية. لا يجب التعامل مع "المتطلبات الأساسية" على أنها بديل عن أطر العمل التنظيمية الخاصة بالبنك المركزي فيما يخص الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال حيث يتعين على الكيانات الامتثال للمتطلبات التنظيمية الأخرى الخاصة بالبنك المركزي بعد قرار الترخيص. إضافة إلى ذلك، ويجب أن يُقرأ هذا الإطار أيضاً بالإقتران مع المتطلبات المنصوص عليها في الإطار التنظيمي للبيئة التجريبية التشريعية الخاص بالبنك المركزي.
3.1 المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
4.1 الامتثال
في حالة عدم قدرة الكيان على إثبات امتثاله للمتطلبات الأساسية، يحتفظ البنك المركزي بالحق في حظر طلب الخروج من البيئة التجريبية/التراخيص من صندوق الحماية من المخاطر للكيان.
5.1 التفسير
يكون البنك المركزي، بصفته الجهة المالكة للمتطلبات الأساسية، مسؤول وحده عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.
6.1 الجمهور المستهدف
إن المتطلبات الأساسية مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ورؤساء الأمن السيبراني والمسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني والمرونة داخل الكيانات.
7.1 المراجعة والتحديثات والمحافظة
سيقوم البنك المركزي بمراجعة المتطلبات الأساسية بشكل دوري لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والكيانات المقصودة. وإذا لزم الأمر، سيقوم البنك المركزي بتحديث المتطلبات الأساسية بناءً على نتائج المراجعة.
سيقوم البنك المركزي بتنفيذ ضبط الإصدارات للحفاظ على المتطلبات الأساسية. وعند إجراء أي تغييرات، يقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغ جميع الكيانات به. ولتسهيل الأمر على الكيانات، سيشير البنك المركزي بوضوح إلى أي تغييرات في المتطلبات الأساسية المعدلة.
8.1 دليل القراءة
يتم تنظيم المتطلبات الأساسية على النحو التالي:
- يشرح الفصل الثاني هيكل المتطلبات الأساسية ويقدم إرشادات حول كيفية تطبيق المتطلبات الأساسية؛ و
- يعرض الفصل الثالث مجالات الأمن السيبراني والمرونة بما في ذلك متطلبات التحكم.
2 هيكل المتطلبات الأساسية والمميزات
2.1 الهيكل
تتمحور المتطلبات الأساسية حول أربعة مجالات تشمل ما يلي:
تم ترقيم متطلبات التحكم ترقيمًا فريدًا في جميع أنحاء المتطلبات الأساسية. يتم ترقيم متطلبات التحكم وفق نظام الترقيم التالي:
الشكل 1. نظام ترقيم متطلبات التحكم
يوضح الشكل أدناه الهيكل العام للمتطلبات الأساسية ويشير إلى مجالات الأمن السيبراني والمرونة:
المتطلبات الأساسية للصمود السيبراني قيادة وحوكمة الأمن السيبراني عمليات تقنية الأمن السيبراني المرونة
الشكل 3. مجالات المتطلبات الأساسية
2.2 النهج القائم على المخاطر
تستند المجالات ومتطلبات الرقابة المدرجة في المتطلبات الأساسية إلى المخاطر وتهدف إلى تزويد المشاركين بالتوجيهات الأساسية حول كيفية التخفيف من المخاطر الأكثر شيوعًا التي يواجهونها، دون وضع أعباء لا داعي لها قد يعوق الابتكار ونمو الأعمال.
ومن هذا المنظور، فإن المتطلبات الأساسية تحدد المتطلبات الإلزامية الضرورية للأمن السيبراني والمرونة بالنسبة للكيانات التي تقع ضمن نطاق التطبيق. إضافة إلى ذلك، يتوقع البنك المركزي من الكيانات إجراء تقييمات داخلية للمخاطر الخاصة بها لمراقبة تطور مشهد التهديدات الأمنية والمرونة السيبرانية، وتحديد المخاطر الجديدة والمتطورة، وتقييم الأثر المحتمل لهذه المخاطر، وتنفيذ متطلبات إضافية أو معززة لضوابط الأمن والمرونة تتجاوز المتطلبات الأساسية للتخفيف من هذه المخاطر بما يتماشى مع رغبة الكيانات في مواجهتها.
3.2 التقييم الذاتي للكيانات والتدقيق من جانب البنك المركزي
سيخضع تنفيذ المتطلبات الأساسية لدى المشاركين للتقييم الذاتي الدوري. وسيتم إجراء التقييم الذاتي من قبل الجهات بناءً على استبيان. وسوف ترسل الكيانات نسخة من تقييمها الذاتي إلى البنك المركزي، ويحتفظ البنك المركزي بالحق في مراجعة التقييم الذاتي لإثبات الامتثال للمتطلبات الأساسية حسب تقديره. كما يحتفظ البنك المركزي بالحق في مراجعة مدى الالتزام بالمتطلبات الأساسية من جانب الكيانات في أي وقت.
3 متطلبات التحكم
1.3 قيادة وحوكمة الأمن السيبراني
معرّف التحكم وصف متطلبات التحكم 1.1.3. يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.
2.1.3 يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية).
3.1.3. يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية.
4.1.3 يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو الحالي، بما في ذلك على الأقل:
أ.
تقييم مخاطر الأمن السيبراني والاحتيال التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و
ب.
اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسمم).
5.1.3 يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل:
أ.
تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛
ب.
إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و
ج.
استخدام تقنيات عدم التخزين المؤقت.
6.1.3
يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.
راجع إطار (أطر) عمل البنك المركزي الأخرى
2.3 عمليات وتقنية الأمن السيبراني
معرّف التحكم
وصف متطلبات التحكم 1.2.3
يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها.
2.2.3
يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات.
3.2.3.
يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي:
أ.
تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛
ب.
التوفر.
4.2.3
يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.
5.2.3
يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات.
6.2.3
يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد تغيير رئيسي/ حَرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني.
7.2.3
يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية.
8.2.3
إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة")، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق.
9.2.3
يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.
10.2.3
يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر:
أ. الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛
ب. تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛
ج. التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و
د. في حالة الأجهزة المحمولة: 1. فصل بيانات الكيانات وتشفيرها؛ و 2. المسح الآمن لبيانات الكيانات المخزنة في حالات فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع عملية التخلص الآمن من أصول المعلومات. 11.2.3
يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى.
12.2.3
يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث.
13.2.3
يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.
14.2.3
يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب.
15.2.3
يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية.
16.2.3
يجب على الكيانات إبلاغ البنك المركزي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك:
أ.
الأمن السيبراني؛
ب.
الاحتيال؛
ج.
جميع الأحداث الفوضوية.
راجع إطار (أطر) عمل البنك المركزي الأخرى
- 3.3.14 إدارة أحداث الأمن السيبراني
3.3 المرونة
معرّف التحكم
وصف متطلبات التحكم 1.3.3
يجب أن يتم تحديد خطة استمرارية الأعمال (BCP)وخطة التعافي من الكوارث(DRP) والموافقة عليها والإبلاغ بها وتنفيذها ومراجعتها بشكل دوري لتمكين الكيانات من الاستمرار في تقديم خدماتها الحيوية بمستوى مقبول ومحدد مسبقًا.
3.3.2.
يجب على الكيانات تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ.
المتطلبات القانونية والتنظيمية؛
ب.
البيانات الحرجة وبيانات العملاء؛
ج.
متطلبات العمل؛
د.
الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛
هـ.
حماية البيانات السرية المخزنة في الوسائط الاحتياطية من خلال تطبيق تقنيات التشفير؛
و.
تخزين وسائط النسخ الاحتياطي دون الاتصال بالإنترنت أو في موقع خارج الموقع؛ و
ز.
التدمير الآمن للبيانات الاحتياطية.
ح.
اختبارات الاستعادة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
إطار عمل إدارة استمرارية الأعمال
4 الملاحق
الملحق أ: قائمة المصطلحات
المدة
الوصف إدارة الوصول
إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
التدقيق
المراجعة والفحص المستقل للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، لضمان الامتثال للسياسات والإجراءات التشغيلية المعمول بها.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
التوفر
ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق.
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
النسخة الاحتياطية
الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.
استمرارية الأعمال
قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي.
المصدر: ISO 22301:2012 الأمن المجتمعي - أنظمة إدارة استمرارية الأعمال
إدارة استمرارية الأعمال
عملية الإدارة الشاملة التي تحدد التهديدات المحتملة للمؤسسة والتأثيرات التي قد تسببها تلك التهديدات على العمليات التجارية، في حال تحققها، والتي توفر المتطلبات الأساسية لبناء الصمود المؤسسي مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين وسمعتها وعلامتها التجارية وأنشطتها التي تخلق القيمة.
المصدر: ISO 22301:2012 – أنظمة إدارة استمرارية الأعمال – المتطلبات
إدارة التغيير
التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
التشفير
مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
المخاطر السيبرانية
خطر الخسارة المالية أو التعطل التشغيلي أو الضرر الناتج عن فشل التقنيات الرقمية المستخدمة للوظائف المعلوماتية و/أو التشغيلية والتي يتم إدخالها إلى نظام التصنيع عبر وسائل إلكترونية نتيجة الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير لنظام التصنيع.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية.
الأمن السيبراني
يُعرّف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب والممارسات الفضلى والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات من التهديدات الداخلية والخارجية.
حدث الأمن السيبراني
أي حدث يمكن ملاحظته في نظام أو شبكة معلومات يؤدي أو قد يؤدي إلى وصول غير مصرح به أو معالجة أو إفساد أو تعديل أو نقل أو إفشاء للبيانات و/أو المعلومات أو (ب) انتهاك لسياسة أمنية صريحة أو مطبقة للمؤسسة.
حوكمة الأمن السيبراني
مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة بشكل مسؤول.
حادث الأمن السيبراني
أي حدث (1) يعرض للخطر الفعلي أو الوشيك سلامة أو سرية أو توافر المعلومات أو نظام المعلومات للخطر دون سلطة قانونية؛ أو (2) يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك القانون أو السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة حوادث الأمن السيبراني
رصد واكتشاف الأحداث الأمنية على نظام المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني
مجموعة من القواعد التي تحكم جميع جوانب سلوك النظام وعناصر النظام ذات الصلة بالأمان. ملاحظة 1: تشمل عناصر النظام العناصر التقنية والآلية والبشرية. ملاحظة 2: يمكن ذكر القواعد على مستويات عالية جدًا (على سبيل المثال، سياسة مؤسسية تحدد السلوك المقبول للموظفين في أداء مهامهم/وظائف العمل) أو على مستويات منخفضة جدًا (على سبيل المثال، سياسة نظام التشغيل التي تحدد السلوك المقبول للعمليات التنفيذية واستخدام الموارد من قبل تلك العمليات)
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
تقييم مخاطر الأمن السيبراني
عملية تحديد المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة، الناتجة عن تشغيل نظام المعلومات. ويتضمن جزء من إدارة المخاطر تحليلات للتهديدات والثغرات الأمنية، ويأخذ في الاعتبار وسائل التخفيف التي توفرها الضوابط الأمنية المخطط لها أو الموجودة بالفعل
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
إدارة مخاطر الأمن السيبراني
عملية إدارة المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد الناتجة عن تشغيل نظام المعلومات، وتشمل: (1) إجراء تقييم المخاطر؛ (2) تطبيق استراتيجية تخفيف المخاطر؛ و (3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
استراتيجية الأمن السيبراني
خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
خطة التعافي من الكوارث
البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.
رئيس الأمن السيبراني
يمكن أن يشير رئيس الأمن السيبراني إلى رئيس أمن المعلومات أو الرئيس التنفيذي لأمن المعلومات أو أي لقب آخر يُطلق على المدير الأعلى المسؤول عن وظيفة وعمليات الأمن السيبراني.
خطة بديلة
إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
موثقة رسميا
الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
إدارة الهوية
عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وتتضمن المؤسسات المدارة عادةً المستخدمين وموارد الأجهزة والشبكة وحتى التطبيقات.
خطة التعافي من الكوارث
يعد التعافي من الكوارث جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بمرونة أو تعافي أو استمرار البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية.
تغيير كبير
أي تغيير في تكوين النظام أو البيئة أو محتوى المعلومات أو الوظيفة أو المستخدمين الذين لديه القدرة على تغيير المخاطر المفروضة على عملياته المستمرة.
المصدر: NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الأساسية يتم أيضًا تضمين التغييرات الحيوية في مفهوم التغييرات الكبيرة.
البرمجيات الخبيثة
البرمجيات أو البرامج الثابتة التي تهدف إلى تنفيذ عملية غير مصرح بها من شأنها أن تؤثر سلباً على سرية نظام المعلومات أو سلامته أو توافره. فيروس أو فيروس متنقل أو حصان طروادة أو أي كيان آخر قائم على التعليمات البرمجية يصيب المضيف. تعد برامج التجسس وبعض أشكال برامج الإعلانات المتسللة أيضًا أمثلة على التعليمات البرمجية الضارة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
اختبار الاختراق
منهجية اختبار يحاول فيها المقيّمون، باستخدام جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، التعليمات البرمجية المصدرية، الكتيبات الإرشادية) والعمل تحت قيود محددة، التحايل على ميزات الأمان في نظام المعلومات.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دوريا
بهذا المصطلح، لا ينوي البنك المركزي تحديد فترة زمنية افتراضية. وتتحمل كل جهة مسؤولية تحديد هذه الفترة بناءً على نهجها القائم على المخاطر. ويمكن ترجمة نفس المصطلح المعتمد في متطلبات التحكم المختلفة إلى فترات زمنية مختلفة بواسطة المؤسسة المالية.
التعافي
إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.
المرونة
القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة
مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
سجل المخاطر
سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تقنية التدريع
التدريع" عملية تشويش على التعليمات البرمجية الثنائية للتطبيق، مما يجعل من الصعب على المخترقين أن يقوموا بهندسة عكسية.
إستراتيجية
راجع "استراتيجية الأمن السيبراني".
إدارة المعلومات الأمنية والأحداث
أداة إدارة المعلومات الأمنية والأحداث تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دورة حياة تطوير النظام
تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
تهديد
راجع "تهديد الأمن السيبراني".
مشهد التهديد
مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA
الثغرة الأمنية
نقطة الضعف في نظام المعلومات أو إجراءات أمن النظام أو الضوابط الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها من قبل مصدر تهديد.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة الثغرات الأمنية
إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "الثغرات الأمنية".
الدليل التنظيمي لأمن المعلومات في القطاع المالي
الرقم: 381000091275 التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
تمهيد
في ظل التصاعد غير المسبوق للهجمات السيبرانية، أدركنا ضرورة استباق حدوث هذه الهجمات. ويتمثل الهدف من إصدار الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") في دعم المؤسسات الخاضعة لرقابتنا في جهودها التي تبذلها لوضع دليل مناسب لحوكمة الأمن السيبراني وإنشاء بنية تحتية قوية مع وضع الضوابط اللازمة لكشف هذه الهجمات والوقاية منها. ويشتمل الدليل التنظيمي الماثل على الضوابط المناسبة ويتيح توجيهات لطريقة تقييم مستوى النضج.
ويمثل اعتماد الدليل التنظيمي وتنفيذه إحدى الخطوات الهامة التي تضمن قدرة القطاع المصرفي بالمملكة العربية السعودية، وقطاعات شركات التأمين والتمويل على التصدي للهجمات السيرانية ومنع حدوثها. وعند تصميم الدليل التنظيمي، أخذنا في الاعتبار الطرق التي تستفيد بها المؤسسات الخاضعة لرقابتنا من التقنية وشعورنا أن كل مؤسسة ستكون قادرةً على تبني نهج مشترك لمعالجة الأمن السيبراني. وسوف يضمن الدليل التنظيمي الماثل إدارة مخاطر الأمن السيبراني على النحو الصحيح في جميع القطاعات.
ولتحقيق الهدف سالف الذكر، فمن الضروري توفير الدعم الكامل والإشراف من مجلس الإدارة والإدارة العليا لتنفيذ الدليل التنظيمي.
وسوف يساعدكم الفريق المعني بمخاطر تقنية المعلومات التابع لإدارة الرقابة في الحصول على أي توضيحات في هذا الشأن، وسوف نظل ملتزمين بتقديم التوجيهات للجهات الخاضعة لرقابتنا لإنشاء بيئة سيبرانية آمنة.
1 المقدمة
1.1 مقدمة للدليل التنظيمي
ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات، والحماية الفعالة للبيانات الحساسة. وأصبحت أصول المعلومات والخدمات المتاحة على الإنترنت حاليا تحظى بأهمية استراتيجية لدى جميع المؤسسات العامة والخاصة، ولدى المجتمع على نطاق أوسع. كما تؤدي هذه الخدمات دورا هامًا في إنشاء اقتصاد رقمي نابض بالحياة. وأصبحت تلك الخدمات ذات أهمية نظامية للاقتصاد والأمن القومي على نطاق أوسع. وكل ذلك يؤكد الحاجة إلى حماية البيانات والمعاملات الحساسة، بما يضمن الثقة في القطاع المالي السعودي بشكل عام.
تزداد المخاطر عندما يتعلق الأمر بسرية أصول المعلومات وسلامتها وتوافرها، وعند تطبيق خدمات جديدة عبر الإنترنت وتطورات جديدة (مثل التقنية المالية، وسلسلة الكتل)؛ على الرغم من تحسين القدرة على مواجهة التهديدات السيبرانية. ولا يتزايد الاعتماد على هذه الخدمات فحسب، بل إن مشهد التهديدات سريع التغير. ويدرك القطاع المالي الوتيرة الذي تتطور بها تلك التهديدات والمخاطر السيبرانية، فضلاً عن تغير مشهد التقنية والأعمال.
من هنا وضع البنك المركزي الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي ("المنظمات الأعضاء") من تحديد المخاطر المتعلقة بالأمن السيبراني ومعالجتها بشكل فعال. وللحفاظ على حماية أصول المعلومات والخدمات المتاحة على الإنترنت، يجب على المؤسسات المالية اعتماد الدليل التنظيمي.
يتمثل الهدف من الدليل التنظيمي في الآتي:
- إنشاء نهج مشترك لمعالجة الأمن السيبراني داخل المؤسسات المالية.
- تحقيق مستوى مناسب من النضج لضوابط الأمن السيبراني داخل المؤسسات المالية.
- ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح في جميع المؤسسات المالية.
وسوف يُستخدم الدليل التنظيمي لتقييم مستوى النضج بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني في المؤسسات المالية، ومقارنتها مع المؤسسات المالية الأخرى.
ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير الأمن السيبراني الصناعية، مثل (PCI, BASEL, ISO, ISF, NIST).
ويحل الدليل التنظيمي الماثل محل كافة التعاميم السابقة الصادرة عن البنك المركزي فيما يتعلق بالأمن السيبراني. يرجى الرجوع إلى "الملحق أ - نظرة عامة على تعميمات البنك المركزي الصادرة سابقًا" للحصول على مزيد من التفاصيل.
2.1 تعريف الأمن السيبراني
يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات الماليةضد التهديدات الداخلية والخارجية.
تشمل الأهداف الأمنية العامة ما يلي:
- السرية - لا يمكن الوصول إلى أصول المعلومات إلا للمصرح لهم بالوصول إليها (أي أنها محمية من الإفصاح غير المصرح به أو التسريب المقصود (غير المقصود) للبيانات الحساسة).
- النزاهة - أصول المعلومات دقيقة وكاملة ومعالجة بنحو صحيح (أي محمية من التعديل غير المصرح به، وقد تشمل صحة المعلومات وعدم القدرة على إنكارها).
- التوفر - تتميز أصول المعلومات بأنها مرنة ويمكن الوصول إليها عند الحاجة (أي محمية من الخلل غير المصرح به).
3.1 النطاق
يحدد الدليل التنظيمي المبادئ والأهداف لبدء وتنفيذ وصون ومراقبة وتحسين ضوابط الأمن السيبراني في المؤسسات المالية.
يوفر الدليل التنظيمي ضوابط الأمن السيبراني التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية، بما في ذلك:
- المعلومات الإلكترونية.
- المعلومات المادية (نسخ ورقية).
- التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات.
- أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
- أجهزة تخزين المعلومات (على سبيل المثال، القرص الصلب، وجهاز تخزين USB).
- المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).
يوفر الدليل التنظيمي توجيهات بشأن متطلبات الأمن السيبراني للمؤسسات المالية وفروعها وموظفيها وأطرافها الخارجية وعملائها.
للإطلاع على المتطلبات المتعلقة باستمرارية الأعمال، يرجى الرجوع إلى الحد الأدنى لمتطلبات البنك المركزي المعنية باستمرارية الأعمال.
ويرتبط الدليل التنظيمي بعلاقة متشابكة مع سياسات الشركات الأخرى في المجالات ذات الصلة، مثل الأمن المادي وإدارة الاحتيال. ولا يتناول الدليل التنظيمي الماثل متطلبات الأمن غير السيبراني لتلك المجالات.
4.1 نطاق التطبيق
ينطبق الدليل التنظيمي على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي، والتي تشمل ما يلي:
- جميع البنوك العاملة في المملكة العربية السعودية؛
- جميع شركات التأمين و/أو إعادة التأمين العاملة في المملكة العربية السعودية؛
- جميع شركات التمويل العاملة في المملكة العربية السعودية؛
- جميع شركات المعلومات الائتمانية العاملة في المملكة العربية السعودية؛
- البنية التحتية للسوق المالية
تنطبق جميع المجالات على القطاع المصرفي. ومع ذلك، تنطبق الاستثناءات التالية على المؤسسات المالية الأخرى:
- المجال الفرعي (2.1.3) تكون المواءمة مع استراتيجية الأمن السيبراني للقطاع المصرفي إلزامية عند الاقتضاء.
- استبعاد المجال الفرعي (3.2.3). ومع ذلك، إذا قامت المؤسسة بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها أو التعامل مع خدمات السويفت، فيجب تطبيق معيار صناعة بطاقات الدفع (PCI) و/أو إطار عمل ضوابط أمان عميل السويفت.
- استبعاد المجال الفرعي (12.3.3).
- استبعاد المجال الفرعي (13.3.3). ومع ذلك، إذا كانت المؤسسة توفر خدمات عبر الإنترنت للعملاء، فيجب تنفيذ إمكانية المصادقة متعددة العوامل.
5.1 المسؤوليات
اعتمد البنك المركزي الدليل التنظيمي المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
وتتحمل المؤسسات المالية مسؤولية الالتزام بالدليل التنظيمي وتنفيذه.
6.1 التفسير
يعتبر البنك المركزي، بصفته مالك الدليل التنظيمي، المسؤول وحده عن تقديم تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.
7.1 الجمهور المستهدف
يستهدف الدليل التنظيمي الماثل الإدارة العليا والتنفيذية، ومالكي الأعمال ومالكي أصول المعلومات، ورؤساء أمن المعلومات، وكذلك المسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل المؤسسات المالية والمشاركين فيها.
8.1 المراجعة والتحديثات والصيانة
وسوف يتولى البنك المركزي مراجعة الدليل التنظيمي وصونه.
سوف يراجع البنك المركزي الدليل التنظيمي بشكل دوري لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل التنظيمي في معالجة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
وإذا رأت إحدى المؤسسات المالية ضرورة تحديث الدليل التنظيمي، فعلى المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسوف يراجع البنك المركزي التحديث المطلوب، وعند اعتماده، سوف يجري تعديل الدليل التنظيمي.
وسوف تظل المؤسسة المالية مسؤولة عن الالتزام بالدليل التنظيمي ريثما يتم التحديث المطلوب.
يرجى الرجوع إلى "الملحق ب - كيفية طلب تحديث الدليل التنظيمي" للتعرف على إجراء طلب تحديث الدليل التنظيمي.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل التنظيمي.
9.1 دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل التنظيمي، ويسرد تعليمات حول كيفية تطبيق الدليل التنظيمي. ويعرض الفصل الثالث الدليل التنظيمي الفعلي، بما في ذلك مجالات الأمن السيبراني والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.
2 هيكل الدليل التنظيمي ومميزاته
1.2 الهيكل
يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
- قيادة وحوكمة الأمن السيبراني.
- إدارة مخاطر الأمن السيبراني والامتثال.
- عمليات وتقنية الأمن السيبراني.
- الأمن السيبراني للأطراف الخارجية.
ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. ويركز المجال الفرعي على موضوع محدد للأمن السيبراني. وينص الدليل التنظيمي على مبدأ وهدف واعتبارات تحكم لكل نطاق فرعي.
- يلخص المبدأ المجموعة الرئيسية من ضوابط الأمن السيبراني المطلوبة المتعلقة بالمجال الفرعي.
- يصف الهدف الغرض من المبدأ وما يُتوقع أن تحققه مجموعة ضوابط الأمن السيبراني المطلوبة.
- تعكس اعتبارات التحكم ضوابط الأمن السيبراني المقررة والتي يجب أخذها في الاعتبار.
تم ترقيم اعتبارات التحكم ترقيمًا فريدًا في الدليل التنظيمي بأكمله. ومتى اقتضى الأمر، يمكن أن يتكون اعتبار التحكم ممّا يصل إلى 4 مستويات.
ويتم ترقيم اعتبارات التحكم وفق نظام الترقيم التالي:
الشكل 1 - نظام ترقيم اعتبارات التحكم
يوضح الشكل الوارد أدناه الهيكل العام للدليل التنظيمي ويشير إلى مجالات الأمن السيبراني ومجالاته الفرعية، بما في ذلك الإشارة إلى القسم الذي تنطبق عليه من الدليل التنظيمي.
الشكل 2 – الدليل التنظيمي لأمن المعلومات2.2 الدليل التنظيمي القائم على المبادئ
الدليل التنظيمي القائم على المبادئ، ويشار إليه أيضًا بالقائم على المخاطر. وهذا يعني أنه يحدد المبادئ والأهداف الرئيسية للأمن السيبراني التي يتعين على المؤسسة المالية دمجها وتحقيقها. وتسرد قائمة اعتبارات التحكم المقررة توجيهات إضافية ويجب على المؤسسة المالية أن تأخذها في الاعتبار عند تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ أحد اعتبارات التحكم، يجب على المؤسسة المالية أن تنظر في تطبيق ضوابط بديلة، ومتابعة قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي.
برجاء الرجوع إلى الملحق "د" للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل التنظيمي.
3.2 التقييم الذاتي والمراجعة والتدقيق
سوف يخضع تنفيذ الدليل التنظيمي في المؤسسة المالية لتقييم ذاتي دوري. وسوف تجرِي المؤسسة المالية التقييم الذاتي بناءً على استبيان. وسوف يراجع البنك المركزي التقييمات الذاتية ويدققها لتحديد مستوى الالتزام بالدليل التنظيمي ومستوى نضج الأمن السيبراني للمؤسسة المالية.
يرجى الرجوع إلى "2.4 نموذج نضج الأمن السيبراني" للحصول على مزيد من التفاصيل حول نموذج نضج الأمن السيبراني.
4.2 نموذج نضج الأمن السيبراني
سوف يتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. ويميز نموذج نضج الأمن السيبراني بين 6 مستويات نضج (0 و1 و2 و3 و4 و5)، والتي تم تلخيصها في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة المالية أن تستوفي أولاً جميع معايير مستويات النضج السابقة.
مستوى النضج
التعريف والمعايير
إيضاح
0
غير موجود
لا توجد وثائق.
لا يوجد وعي أو اهتمام ببعض ضوابط الأمن السيبراني.
ضوابط الأمن السيبراني ليست مطبقة. قد لا يكون هناك وعي بمجال الخطر المحدد أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.
1
مخصصة
ضوابط الأمن السيبراني غير محددة أو محددة تحديدا جزئيًا.
يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة.
ضوابط الأمن السيبراني غير محددة تحديدًا كاملا.
يختلف تصميم وتنفيذ ضابط الأمن السيبراني حسب القسم أو المالك.
قد يقتصر تصميم ضابط الأمن السيبراني على التخفيف الجزئي من المخاطر المحددة وقد يكون التنفيذ غير متسق.
2
متكررة، ولكن غير رسمية
يعتمد تنفيذ ضابط الأمن السيبراني على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.
توجد ضوابط متكررة للأمن السيبراني مطبقة. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.
هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3
منظم وذو طابع رسمي
يتم تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها بطريقة منظمة ورسمية.
يمكن إثبات تنفيذ ضوابط الأمن السيبراني.
يتم وضع سياسات ومعايير وإجراءات الأمن السيبراني.
تتم مراقبة الامتثال لوثائق الأمن السيبراني، أي السياسات والمعايير والإجراءات، ويفضل استخدام أداة الحوكمة والمخاطر والامتثال.
يتم تحديد مؤشرات الأداء الرئيسية ومراقبتها والإبلاغ عنها لتقييم التنفيذ.
4
مُدار وقابل للقياس
يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
يتم قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري.
يتم استخدام مؤشرات المخاطر الرئيسية والإبلاغ عن الاتجاهات لتحديد مدى فعالية ضوابط الأمن السيبراني.
يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط الأمن السيبراني.
5
متكيّف
تخضع ضوابط الأمن السيبراني لخطة التحسين المستمر.
يركز برنامج الأمن السيبراني المتبع في المؤسسة بأكملها على الامتثال المستمر وفعالية ضوابط الأمن السيبراني وتحسينها
يتم دمج ضوابط الأمن السيبراني مع إطار وممارسات إدارة المخاطر في المؤسسة.
يتم تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.
الجدول 1 – نموذج نضج الأمن السيبراني
يتمثل الهدف من الدليل التنظيمي في إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. ولتحقيق مستوى مناسب من النضج في مجال الأمن السيبراني، يجب على المؤسسات المالية أن تصل على الأقل إلى مستوى النضج 3 أو إلى مستوى أعلى على النحو الموضح أدناه.
1.4.2 مستوى النضج 3
لتحقيق مستوى النضج 3، يجب على أي من المؤسسات المالية تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.
ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني.
الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني
يجب على مجلس إدارة المؤسسة المالية التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة المالية. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.
ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.
تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة المالية وفقًا لسياسة ومعايير الأمن السيبراني.
يتم تعريف العملية في سياق الدليل التنظيمي الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.
وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.
2.4.2 مستوى النضج 4
لتحقيق مستوى النضج 4، يجب على المؤسسة المالية قياس فعالية ضوابط الأمن السيبراني المنفذة وتقييمها بشكل دوري. من أجل قياس وتقييم مدى فعالية ضوابط الأمن السيبراني ، يجب تحديد مؤشرات المخاطر الرئيسية. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.
3.4.2 مستوى النضج 5
يركز مستوى النضج 5 على التحسين المستمر لضوابط الأمن السيبراني. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف الأمن السيبراني وإنجازاته وتحديد التحسينات الهيكلية. ويجب دمج ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر المؤسسية ودعمها بالمراقبة الآلية في الوقت الفعلي. ويقع على عاتق مالكي العمليات التجارية المسؤولية عن مراقبة الامتثال لضوابط الأمن السيبراني، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني ضمن الدليل التنظيمي إدارة مخاطر المؤسسة. إضافة إلى ذلك، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.
3 مجالات التحكم
1.3 قيادة وحوكمة الأمن السيبراني
تقع المسؤولية النهائية عن الأمن السيبراني على عاتق مجلس إدارة المؤسسة المالية. ويجوز لمجلس إدارة المؤسسة المالية تفويض مسؤولياته المتعلقة بالأمن السيبراني إلى لجنة الأمن السيبراني (أو إلى أحد كبار المديرين بإحدى وظائف التحكم). وقد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد حوكمة الأمن السيبراني ووضع استراتيجية الأمن السيبراني للمؤسسة المالية. كما قد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد سياسة الأمن السيبراني وضمان الفعالية التشغيلية لسياسة الأمن السيبراني المحددة.
ويجب إنشاء وظيفة مستقلة للأمن السيبراني لوضع سياسة الأمن السيبراني وصونها وتنفيذ أنشطة الأمن السيبراني داخل المؤسسة المالية.
1.1.3 حوكمة الأمن السيبراني
المبدأ
يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.
الهدف
توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة المالية.
اعتبارات التحكم
1. يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2. يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3. يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
أ. كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
ب. الرئيس التنفيذي لأمن المعلومات؛
ج. ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4. تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
أ. أهداف اللجنة؛
ب. الأدوار والمسؤوليات؛
ج. الحد الأدنى لعدد المشاركين في الاجتماع؛
د. تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5. يجب إنشاء وظيفة للأمن السيبراني.
6. يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7. ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة المالية أو إلى المدير العام لإحدى وظائف التحكم.
8. يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9. يجب على المؤسسة المالية:
أ. التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
ب. التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
ج. الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10. يجب على مجلس إدارة المؤسسة المالية تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.
2.1.3 استراتيجية الأمن السيبراني
المبدأ
يجب تحديد استراتيجية الأمن السيبراني ومواءمتها مع الأهداف الاستراتيجية للمؤسسة المالية، وكذلك مع استراتيجية الأمن السيبراني للقطاع المصرفي.
الهدف
ضمان أن مبادرات ومشاريع الأمن السيبراني داخل المؤسسة المالية تساهم في الأهداف الإستراتيجية للمؤسسة المالية وتتوافق مع استراتيجية الأمن السيبراني للقطاع المصرفي.
اعتبارات التحكم
1. يجب تحديد استراتيجية الأمن السيبراني واعتمادها وصونها وتنفيذها.
2. يجب أن تتماشى استراتيجية الأمن السيبراني مع يلي :
أ. الأهداف العامة للمؤسسة المالية؛
ب. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية؛
ج. استراتيجية الأمن السيبراني للقطاع المصرفي.
3. يجب أن تتناول استراتيجية الأمن السيبراني ما يلي:
أ. أهمية الأمن السيبراني وفوائده للمؤسسة المالية؛
ب. الحالة المستقبلية المتوقعة للأمن السيبراني للمؤسسة المالية لكي تصبح وتظل مرنة في مواجهة تهديدات الأمن السيبراني (الناشئة)؛
ج. ما هي مبادرات ومشاريع الأمن السيبراني الواجب تنفيذها لتحقيق الحالة المستقبلية المتوقعة ومتى يجب تنفيذها.
3.1.3 سياسة الأمن السيبراني
المبدأ
يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
الهدف
توثيق التزام المؤسسة المالية وأهدافها المتعلقة بالأمن السيبراني، وإبلاغ أصحاب المصلحة المعنيين بذلك.
اعتبارات التحكم
1. يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
2. يجب مراجعة سياسة الأمن السيبراني بشكل دوري وفقًا لعملية مراجعة منظمة ومحددة مسبقًا.
3. يجب أن تكون سياسة الأمن السيبراني:
أ. بمثابة مدخلات للسياسات المؤسسية الأخرى للمؤسسة المالية (على سبيل المثال، سياسة الموارد البشرية، والسياسة المالية، وسياسة تقنية المعلومات)؛
ب. مدعومة بمعايير أمنية مفصلة (على سبيل المثال، معيار كلمة المرور، ومعيار جدار الحماية) والإجراءات؛
ج. قائمة على أفضل الممارسات والمعايير الوطنية (الدولية)؛
د. تم تبليغها إلى أصحاب المصلحة المعنيين.
4. يجب أن تتضمن سياسة الأمن السيبراني ما يلي:
أ. تعريف الأمن السيبراني؛
ب. أهداف ونطاق الأمن السيبراني بوجه عام للمؤسسة المالية؛
ج. بيان مقصد مجلس الإدارة بما يدعم أهداف الأمن السيبراني؛
د. تعريف المسؤوليات العامة والخاصة للأمن السيبراني؛
هـ. الإشارة إلى دعم معايير وإجراءات الأمن السيبراني؛
و. تضمن متطلبات الأمن السيبراني الآتي:
1. تصنيف المعلومات بطريقة تشير إلى أهميتها بالنسبة للمؤسسة المالية؛
2. حماية المعلومات فيما يتعلق بمتطلبات الأمن السيبراني، بما يتماشى مع قابلية المخاطر؛
3. تعيين مالكي جميع أصول المعلومات؛
4. إجراء تقييمات مخاطر الأمن السيبراني لأصول المعلومات؛
5. توعية أصحاب المصلحة المعنيين بالأمن السيبراني وسلوكهم المتوقع (برنامج التوعية بالأمن السيبراني)؛
6. الوفاء بالالتزامات التنظيمية والتعاقدية؛
7. الإبلاغ عن انتهاكات الأمن السيبراني ونقاط ضعف الأمن السيبراني المشكوك فيها؛
8. انعكاس الأمن السيبراني على إدارة استمرارية الأعمال.
4.1.3 أدوار ومسؤوليات الأمن السيبراني
المبدأ
يجب تحديد مسؤوليات تنفيذ وصون ودعم وتعزيز الأمن السيبراني في المؤسسة المالية بأكملها. إضافة إلى ذلك، يجب على جميع الأطراف المشاركة في الأمن السيبراني أن تفهم الأدوار والمسؤوليات المنوطة بها.
الهدف
التأكد من أن أصحاب المصلحة المعنيين على دراية بالمسؤوليات المتعلقة بالأمن السيبراني وتطبيق ضوابط الأمن السيبراني في المؤسسة المالية بأكملها.
اعتبارات التحكم
1. يتحمل مجلس الإدارة المسؤولية النهائية عن الأمن السيبراني، بما في ذلك:
أ. ضمان تخصيص ميزانية كافية للأمن السيبراني؛
ب. اعتماد ميثاق لجنة الأمن السيبراني؛
ج. المصادقة (بعد اعتماده من لجنة الأمن السيبراني):
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني.
2. تتولى لجنة الأمن السيبراني المسؤولية عن:
أ. مراقبة ومراجعة وإبلاغ مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني بشكل دوري أو عند حدوث تغيير جوهري في مقدار قابلية المخاطر؛
ب. مراجعة استراتيجية الأمن السيبراني للتأكد من أنها تدعم أهداف المؤسسة المالية؛
ج. الاعتماد، والتبليغ، والدعم، والمراقبة:
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني؛
4. برامج الأمن السيبراني (على سبيل المثال، برنامج التوعية، برنامج تصنيف البيانات، خصوصية البيانات، منع تسريب البيانات، تحسينات الأمن السيبراني الرئيسية)؛
5. عملية إدارة مخاطر الأمن السيبراني؛
6. مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية للأمن السيبراني.
3. تتولى الإدارة العليا المسؤولية عن:
أ. التأكد من أن المعايير والعمليات والإجراءات تفي بالمتطلبات الأمنية (إن وجدت)؛
ب. التأكد من قبول الأفراد لسياسة الأمن السيبراني والامتثال لها، ودعم المعايير والإجراءات عند إصدارها وتحديثها؛
ج. التأكد من تضمين مسؤوليات الأمن السيبراني في التوصيفات الوظيفية للمناصب الرئيسية ولموظفي الأمن السيبراني.
4. يتولى الرئيس التنفيذي لأمن المعلومات المسؤولية عن:
أ. صياغة وصون:
1. استراتيجية الأمن السيبراني؛
2. سياسة الأمن السيبراني؛
3. هيكلية الأمن السيبراني؛
4. عملية إدارة مخاطر الأمن السيبراني؛
ب. التأكد من وضع المعايير والإجراءات الأمنية التفصيلية واعتمادها وتنفيذها؛
ج. تقديم حلول الأمن السيبراني القائمة على المخاطر والتي تتناول الأشخاص والعمليات والتقنية؛
د. تطوير مهارات موظفي الأمن السيبراني لتقديم حلول الأمن السيبراني في سياق الأعمال؛
هـ. مباشرة أنشطة الأمن السيبراني في المؤسسة المالية بأكملها، بما في ذلك:
1. مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)؛
2. مراقبة الامتثال للوائح وسياسات ومعايير وإجراءات الأمن السيبراني؛
3. الإشراف على التحقيق في حوادث الأمن السيبراني؛
4. جمع وتحليل استخبارات التهديدات من المصادر الداخلية والخارجية؛
5. إجراء مراجعات الأمن السيبراني؛
و. إجراء تقييمات لمخاطر الأمن السيبراني على أصول المعلومات الخاصة بالمؤسسات المالية؛
ز. الدعم الاستباقي للوظائف الأخرى المعنية بالأمن السيبراني، بما في ذلك:
1. إجراء تصنيفات للمعلومات وللأنظمة؛
2. تحديد متطلبات الأمن السيبراني للمشاريع المهمة؛
3. إجراء مراجعات الأمن السيبراني.
ح. تحديد برامج التوعية بالأمن السيبراني وتنفيذها؛
ط. قياس مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية والإبلاغ عنها بشأن:
1. استراتيجية الأمن السيبراني؛
2. الامتثال لسياسة الأمن السيبراني؛
3. معايير الأمن السيبراني وإجراءاته؛
4. برامج الأمن السيبراني (مثل برنامج التوعية، برنامج تصنيف البيانات، تحسينات الأمن السيبراني الرئيسية).
5. تتولى وظيفة التدقيق الداخلي المسؤولية عن:
أ. إجراء عمليات تدقيق الأمن السيبراني.
6. يتولى جميع موظفي المؤسسة المالية المسؤولية عن:
أ. الامتثال لسياسة ومعايير وإجراءات الأمن السيبراني.
5.1.3 الأمن السيبراني في إدارة المشاريع
المبدأ
يجب تناول موضوع الأمن السيبراني في مجالي إدارة المشاريع وحوكمة المشاريع.
الهدف
التأكد من أن جميع مشاريع المؤسسة المالية تلبي متطلبات الأمن السيبراني.
اعتبارات التحكم
1. يجب دمج الأمن السيبراني في منهجية إدارة مشاريع المؤسسة المالية لضمان تحديد مخاطر الأمن السيبراني ومعالجتها باعتبارها جزء من المشروع.
2. يجب أن تضمن منهجية إدارة المشاريع في المؤسسة المالية تحقيق الآتي:
أ. تضمين أهداف الأمن السيبراني في أهداف المشروع؛
ب. اعتبار وظيفة الأمن السيبراني جزءًا من جميع مراحل المشروع؛
ج. إجراء تقييم للمخاطر في بداية المشروع لتحديد مخاطر الأمن السيبراني والتأكد من تلبية متطلبات الأمن السيبراني إما من خلال ضوابط الأمن السيبراني الحالية (استنادًا إلى معايير الأمن السيبراني) أو من خلال الضوابط التي سيتم وضعها؛
د. تسجيل مخاطر الأمن السيبراني في سجل مخاطر المشروع ومتابعة سيرها؛
هـ. تحديد مسؤوليات الأمن السيبراني وتوزيعها؛
و. إجراء مراجعة الأمن السيبراني على يد طرف داخلي أو خارجي مستقل.
6.1.3 التوعية بالأمن السيبراني
المبدأ
يجب تحديد وتنفيذ برنامج للتوعية بالأمن السيبراني لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها.
الهدف
تكوين ثقافة واعية بمخاطر الأمن السيبراني بما يتيح لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها اتخاذ قرارات فعالة قائمة على تحليل المخاطر والتي تحمي معلومات المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد برامج التوعية بالأمن السيبراني واعتمادها وتنفيذها لتعزيز الوعي بالأمن السيبراني وخلق ثقافة إيجابية للأمن السيبراني.
2. يجب تحديد برنامج للتوعية بالأمن السيبراني وتنفيذه لصالح:
أ. موظفي المؤسسة المالية؛ ب. الأطراف الخارجية للمؤسسة المالية؛ ج. عملاء المؤسسة المالية. 3. يجب أن يستهدف برنامج التوعية بالأمن السيبراني سلوكيات الأمن السيبراني من خلال تصميم البرنامج لمعالجة المجموعات المستهدفة المختلفة من خلال قنوات متعددة.
4. يجب تنفيذ أنشطة برنامج التوعية بالأمن السيبراني بشكل دوري وعلى مدار العام.
5. يجب أن يتضمن برنامج التوعية بالأمن السيبراني المتطلبات التالية كحد أدنى:
أ. توفير شرح لتدابير الأمن السيبراني؛
ب. الأدوار والمسؤوليات المتعلقة بالأمن السيبراني؛
ج. معلومات عن أحداث الأمن السيبراني الناشئة ذات الصلة والتهديدات السيبرانية (مثل التصيد الالتكروني الموجه، والاحتيال على كبار المسؤولين).
6. يجب تقييم برنامج التوعية بالأمن السيبراني بهدف:
أ. قياس فعالية أنشطة التوعية؛ ب. صياغة توصيات لتحسين برنامج التوعية بالأمن السيبراني. 7. يجب أن تتناول توعية العملاء عملاء التجزئة، والعملاء التجاريين على حد سواء، وأن تتضمن على أقل تقدير قائمة بآليات الأمن السيبراني المقترحة التي قد يفكر العملاء في تنفيذها للتخفيف من الخطر (المخاطر) الخاصة بهم.
7.1.3 التدريب على الأمن السيبراني
المبدأ
يجب تزويد موظفي المؤسسة المالية بالتدريب على طريقة تشغيل أنظمة المؤسسة المالية بشكل آمن والتعامل مع ضوابط الأمن السيبراني وتطبيقها.
الهدف
التأكد من أن موظفي المؤسسة المالية لديهم المهارات والمعرفة اللازمة لحماية أصول معلومات المؤسسة المالية والوفاء بمسؤولياتهم في مجال الأمن السيبراني.
اعتبارات التحكم
1. يجب توفير التدريب على المهارات المتخصصة أو المتعلقة بالأمن للموظفين بالمؤسسة المالية حسب فئات مجالات عملهم ذات الصلة بما يتماشى مع توصيفاتهم الوظيفية، بما في ذلك:
أ. الأدوار الرئيسية داخل المؤسسة؛
ب. موظفو وظيفة الأمن السيبراني؛
ج. الموظفون المشاركون في تطوير أصول المعلومات وصونها (تقنيًا)؛
د. الموظفون المشاركون في تقييم المخاطر.
2. يجب توفير التثقيف لتزويد الموظفين بالمهارات والمعرفة المطلوبة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بشكل آمن.
2.3 إدارة مخاطر الأمن السيبراني والامتثال
إدارة المخاطر هي العملية المستمرة لتحديد المخاطر وتحليلها والاستجابة لها ومراقبتها ومراجعتها. وتركز عملية إدارة مخاطر الأمن السيبراني بشكل خاص على إدارة المخاطر المتعلقة بالأمن السيبراني. وليتسنى للمؤسسات المالية إدارة مخاطر الأمن السيبراني، يجب عليها القيام بالآتي:
- تحديد مخاطر الأمن السيبراني الخاصة بها - تحديد مخاطر الأمن السيبراني؛
- تحديد احتمالية حدوث مخاطر الأمن السيبراني والتأثير الناتج عنها - تحليل مخاطر الأمن السيبراني؛
- تحديد الاستجابة المناسبة لمخاطر الأمن السيبراني واختيار الضوابط ذات الصلة - الاستجابة لمخاطر الأمن السيبراني؛
- مراقبة التعامل مع مخاطر الأمن السيبراني ومراجعة فعالية التحكم - مراقبة ومراجعة مخاطر الأمن السيبراني.
يجب أن يخضع الامتثال لضوابط الأمن السيبراني للمراجعة والتدقيق الدوري.
1.2.3 إدارة مخاطر الأمن السيبراني
المبدأ
يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
الهدف
ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة المالية، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها.
2. يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات.
3. يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية.
4. يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل:
أ. تحديد المخاطر؛
ب. تحليل المخاطر؛
ج. الاستجابة للمخاطر؛
د. مراقبة المخاطر ومراجعتها.
5. يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة المالية، بما في ذلك (على سبيل المثال لا الحصر):
أ. العمليات التجارية؛
ب. تطبيقات الأعمال؛
ج. مكونات البنية التحتية.
6. يجب البدء في عملية إدارة مخاطر الأمن السيبراني:
أ. في مرحلة مبكرة من المشروع؛
ب. قبل التغيير الحرج؛
ج. عند النظر في اسناد المهام إلى طرف ثالث؛
د. عند إطلاق منتجات وتقنيات جديدة.
7. يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها.
8. يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي:
أ. مالكي الأعمال؛
ب. متخصصي تقنية المعلومات؛
ج. متخصصي الأمن السيبراني؛
د. ممثلي المستخدمين الرئيسيين.
9. يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة المالية؛
10. يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة المالية قبول نتائج تقييم المخاطر واعتمادها.
11. يجب تحديد مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا.
1.1.2.3 تحديد مخاطر الأمن السيبراني
المبدأ
يجب تحديد مخاطر الأمن السيبراني وأن يشمل التحديد الأصول والتهديدات والضوابط الحالية والثغرات الأمنية الخاصة بالمؤسسة المالية.
الهدف
العثور على مخاطر الأمن السيبراني التي تواجهها المؤسسة المالية والتعرف عليها ووصفها.
اعتبارات التحكم
- يجب تحديد مخاطر الأمن السيبراني.
- يجب توثيق مخاطر الأمن السيبراني المحددة (في سجل مركزي).
- يجب أن يتناول تحديد مخاطر الأمن السيبراني أصول المعلومات ذات الصلة، والتهديدات، والثغرات الأمنية، وضوابط الأمن السيبراني الرئيسية الحالية.
2.1.2.3 تحليل مخاطر الأمن السيبراني
المبدأ
يجب إجراء تحليل لمخاطر الأمن السيبراني بناءً على احتمالية حدوث مخاطر الأمن السيبراني المحددة والتأثير الناتج عنها.
الهدف
تحليل وتحديد طبيعة ومستوى مخاطر الأمن السيبراني المحددة.
اعتبارات التحكم
- يجب إجراء تحليل لمخاطر الأمن السيبراني.
- يجب أن يتناول تحليل مخاطر الأمن السيبراني مستوى التأثير المحتمل على الأعمال واحتمالية وقوع أحداث تهديد للأمن السيبراني.
3.1.2.3 الاستجابة لمخاطر الأمن السيبراني
المبدأ
تجب معالجة مخاطر الأمن السيبراني لأي من المؤسسات المالية.
الهدف
ضمان معالجة مخاطر الأمن السيبراني (أي قبولها، أو تجنبها، أو نقلها، أو تخفيفها).
اعتبارات التحكم
1. تجب معالجة مخاطر الأمن السيبراني المحددة ذات الصلة حسب قابلية المؤسسة المالية للمخاطر وحسب متطلبات الأمن السيبراني.
2. يجب أن تضمن الاستجابة لمخاطر الأمن السيبراني توثيق قائمة خيارات معالجة المخاطر (أي قبول المخاطر، أو تجنبها، أو نقلها، أو تخفيفها من خلال تطبيق ضوابط الأمن السيبراني).
3. يجب أن يشمل قبول مخاطر الأمن السيبراني ما يلي:
أ. النظر في الحدود المحددة مسبقًا لمستويات مخاطر الأمن السيبراني؛
ب. اعتماد مالك العمل وتوقيعه مما يضمن ما يلي:
1. أن يكون خطر الأمن السيبراني المقبول ضمن حدود القدرة على تحمل المخاطر ويتم إبلاغه إلى لجنة الأمن السيبراني؛
2. ألا يتعارض خطر الأمن السيبراني المقبول مع لوائح البنك المركزي.
4. يجب أن يتضمن تجنب مخاطر الأمن السيبراني قرارًا من مالك العمل بإلغاء أو تأجيل نشاط أو مشروع معين يمثل خطرًا غير مقبول على الأمن السيبراني.
5. لنقل مخاطر الأمن السيبراني أو مشاركتها يجب أن:
أ. تشتمل على مشاركة مخاطر الأمن السيبراني مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛
ب. يقبلها مقدم (مقدمو) الخدمات (الداخليون أو الخارجيون) المتلقون لها؛
ج. تؤدي في نهاية المطاف إلى النقل الفعلي أو المشاركة لمخاطر الأمن السيبراني.
6. يجب أن يشمل تطبيق ضوابط الأمن السيبراني للتخفيف من مخاطر الأمن السيبراني ما يلي:
أ. تحديد ضوابط الأمن السيبراني المناسبة؛
ب. تقييم نقاط القوة والضعف في ضوابط الأمن السيبراني؛
1. تقييم تكلفة تطبيق ضوابط الأمن السيبراني؛
2. تقييم مدى جدوى تطبيق ضوابط الأمن السيبراني؛
3. مراجعة متطلبات الامتثال ذات الصلة بضوابط الأمن السيبراني؛
ج. اختيار ضوابط الأمن السيبراني؛
د. تحديد أي مخاطر متبقية وتوثيقها والحصول على توقيع مالك العمل عليها.
7. يجب توثيق إجراءات معالجة مخاطر الأمن السيبراني في خطة معالجة المخاطر.
4.1.2.3 مراقبة المخاطر السيبرانية ومراجعتها
المبدأ
تجب مراقبة التقدم المحرز في معالجة مخاطر الأمن السيبراني وتجب مراجعة فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
الهدف
التأكد من تنفيذ معالجة مخاطر الأمن السيبراني وفقًا لخطط المعالجة. التأكد من فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
اعتبارات التحكم
1. تجب مراقبة معالجة الأمن السيبراني، بما في ذلك:
أ. تتبع التقدم وفقًا لخطة المعالجة؛
ب. يجري تنفيذ ضوابط الأمن السيبراني المختارة والمتفق عليها.
2. تجب مراجعة تصميم وفعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
2.2.3 الامتثال التنظيمي
المبدأ
يجب أن تضع المؤسسة المالية عملية لتحديد تداعيات الأمن السيبراني على اللوائح ذات الصلة وتبليغها والامتثال لها.
الهدف
الامتثال للوائح التي تؤثر على الأمن السيبراني للمؤسسة المالية.
اعتبارات التحكم
1. يجب إنشاء عملية لضمان الامتثال للمتطلبات التنظيمية ذات الصلة التي تؤثر على الأمن السيبراني في المؤسسة المالية بأكملها. يجب أن تستوفي عملية ضمان الامتثال الآتي:
أ. يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
ب. يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
ج. تؤدي إلى تحديث سياسة ومعايير وإجراءات الأمن السيبراني لاستيعاب أي تغييرات ضرورية (إن اقتضى الأمر).
3.2.3 الامتثال لمعايير الصناعة الوطنية (الدولية)
المبدأ
يجب على المؤسسة المالية الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).
الهدف
الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).
اعتبارات التحكم
1. يجب على المؤسسة المالية الامتثال للآتي:
أ. معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)؛
ب. المعيار الفني لنظام الدفع الموحد ببطاقات (يورو باي، وماستر كارد، وفيزا)؛
ج. إطار عمل ضوابط أمن عملاء السويفت - مارس 2017.
4.2.3 مراجعة الأمن السيبراني
المبدأ
يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لمراجعة دورية للأمن السيبراني.
الهدف
التأكد مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وتجري مراقبة فعالية هذه الضوابط.
اعتبارات التحكم
1. يجب إجراء مراجعات الأمن السيبراني بشكل دوري لأصول المعلومات الهامة.
2. يجب أن تخضع خدمات العملاء والإنترنت للمراجعة السنوية واختبارات الاختراق.
3. يجب تسجيل تفاصيل مراجعة الأمن السيبراني التي تم إجراؤها، بما في ذلك نتائج المراجعة والمشكلات المحددة والإجراءات الموصى بها.
4. يجب إبلاغ مالك العمل بنتائج مراجعة الأمن السيبراني.
5. يجب أن تخضع مراجعة الأمن السيبراني لمراجعات متابعة للتحقق مما يلي:
أ. تمت معالجة كافة المشاكل التي تم تحديدها؛
ب. تمت معالجة المخاطر الحرجة بشكل فعال؛
ج. تتم إدارة جميع الإجراءات المتفق عليها بشكل مستمر.
5.2.3 عمليات تدقيق الأمن السيبراني
المبدأ
يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لعمليات تدقيق شاملة ومستقلة ومنتظمة للأمن السيبراني يتم إجراؤها وفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
الهدف
التأكد بدرجة معقولة مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وما إذا كانت فعالية هذه الضوابط خاضعة للمراقبة.
اعتبارات التحكم
1. يجب إجراء عمليات تدقيق الأمن السيبراني بشكل مستقل ووفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
2. يجب إجراء عمليات تدقيق الأمن السيبراني وفقًا لدليل التدقيق وخطة التدقيق الخاصة بالمؤسسة المالية.
3.3 عمليات وتقنيات الأمن السيبراني
من أجل الحفاظ على حماية العمليات والتقنيات الخاصة بأصول المعلومات لدى المؤسسة المالية وموظفيها والأطراف الخارجية وعملائها، يجب على المؤسسات المالية التأكد من تحديد المتطلبات الأمنية لأصول المعلومات الخاصة بها والعمليات الداعمة واعتمادها وتنفيذها.
وتجب مراقبة الامتثال لمتطلبات الأمن السيبراني هذه، ويجب قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري من أجل تحديد التنقيحات المحتملة للضوابط أو القياسات.
1.3.3 الموارد البشرية
المبدأ
يجب على المؤسسة المالية دمج متطلبات الأمن السيبراني في عمليات الموارد البشرية.
الهدف
التأكد من أن مسؤوليات الأمن السيبراني لموظفي المؤسسة المالية تم تضمينها في اتفاقيات الموظفين ويتم فحص الموظفين قبل وأثناء دورة حياتهم الوظيفية.
اعتبارات التحكم
1. يجب أن تحدد عملية الموارد البشرية متطلبات الأمن السيبراني وتعتمدها وتنفذها.
2. تجب مراقبة فعالية عملية الموارد البشرية وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الموارد البشرية ما يلي:
أ. مسؤوليات الأمن السيبراني وبنود عدم الإفصاح ضمن اتفاقيات الموظفين (أثناء وبعد التوظيف)؛
ب. يجب أن يتلقى الموظفون الوعي بالأمن السيبراني في بداية وأثناء عملهم؛
ج. توقيت تطبيق الإجراءات التأديبية؛
د. الفحص والتحقق من سيرهم الذاتية؛
هـ. أنشطة الأمن السيبراني بعد التوظيف، مثل:
1. إلغاء حقوق الوصول؛
2. إعادة أصول المعلومات المخصصة (على سبيل المثال، شارة الوصول، ورموز الأمان، والأجهزة المحمولة، وجميع المعلومات الإلكترونية والمادية).
2.3.3 الأمن المادي
المبدأ
يجب على المؤسسة المالية التأكد من أن جميع المرافق التي تستضيف أصول المعلومات محمية فعليًا ضد الأحداث الأمنية المقصودة وغير المقصودة.
الهدف
منع الوصول المادي غير المصرح به إلى أصول معلومات المؤسسة المالية وضمان حمايتها.
اعتبارات التحكم
1. يجب تحديد عملية الأمن المادي واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية الأمن المادي وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الأمن المادي (على سبيل المثال لا الحصر):
أ. ضوابط الدخول المادي (بما في ذلك أمن الزائرين)؛
ب. الرصد والمراقبة (على سبيل المثال، الدوائر التلفزيونية المغلقة، وأجهزة الصراف الآلي، وتتبع نظام تحديد المواقع العالمي (GPS)، وأجهزة الاستشعار الحساسة)؛
ج. حماية مراكز البيانات وغرف البيانات؛
د. الحماية البيئية؛
هـ. حماية أصول المعلومات خلال دورة حياتها (بما في ذلك النقل والتخلص الآمن، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود).
3.3.3 إدارة الأصول
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ وتبليغ ومراقبة عملية إدارة الأصول، مما يساعد في إعداد سجل أصول دقيق وحديث وموحد.
الهدف
دعم المؤسسة المالية في إنشاء سجل دقيق وحديث ورؤية مركزية في الموقع الفعلي/الافتراضي والتفاصيل ذات الصلة لجميع أصول المعلومات المتاحة، من أجل دعم عملياتها، مثل العمليات المالية، والعمليات المتعلقة بالمشتريات وتقنية المعلومات والإنترنت والأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأصول واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الأصول ما يلي:
أ. سجل موحد؛
ب. ملكية ورعاية أصول المعلومات؛
ج. الإشارة إلى العمليات الأخرى ذات الصلة، اعتمادًا على إدارة الأصول؛
د. تصنيف أصول المعلومات، وتمييزها والتعامل معها؛
هـ. اكتشاف أصول المعلومات الجديدة.
4.3.3 هيكلية الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد ومتابعة ومراجعة هيكلية الأمن السيبراني، والتي تحدد متطلبات الأمن السيبراني في الهيكلية المؤسسية وأن تتناول مبادئ التصميم لتطوير قدرات الأمن السيبراني.
الهدف
دعم المؤسسة المالية في إنجاز هيكلية استراتيجية ومتسقة وفعالة من حيث التكلفة وشاملة للأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد هيكلية الأمن السيبراني واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لهيكلية الأمن السيبراني.
3. يجب أن تتضمن هيكلية الأمن السيبراني ما يلي:
أ. مخطط استراتيجي لقدرات وضوابط الأمن السيبراني بناءً على متطلبات العمل؛
ب. اعتماد هيكلية الأمن السيبراني المحددة؛
ج. ضرورة وجود مهندسين مؤهلين للأمن السيبراني؛
د. مبادئ التصميم لتطوير ضوابط الأمن السيبراني وتطبيق متطلبات الأمن السيبراني (أي: مبدأ الأمن حسب التصميم)؛
هـ. المراجعة الدورية لهيكلية لأمن السيبراني.
5.3.3 إدارة الهوية والوصول
المبدأ
يجب على المؤسسة المالية تقييد الوصول إلى أصول المعلومات الخاصة بها بما يتماشى مع متطلبات أعمالها بناءً على مبدأيّ الحاجة إلى الحصول على المعلومات أو الحاجة إلى المعرفة.
الهدف
التأكد من أن المؤسسة المالية لا تمنح امتيازات الوصول المصرح به والكافي إلا للمستخدمين المعتمدين.
اعتبارات التحكم
1. يجب تحديد سياسة لإدارة الهوية والوصول، بما في ذلك المسؤوليات والمساءلات، واعتمادها وتنفيذها.
2. يجب مراقبة الامتثال لسياسة الهوية والوصول.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن سياسة إدارة الهوية والوصول وتقييمها بشكل دوري.
4. يجب أن تتضمن سياسة إدارة الهوية والوصول ما يلي:
أ. متطلبات العمل للتحكم في الوصول (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة)؛
ب. إدارة وصول المستخدمين (على سبيل المثال، الموظفين الجدد، والمنتقلين، المغادرين):
1. يجب تغطية جميع الأنواع المحددة للمستخدمين (أي: الموظفين الداخليين، والأطراف الخارجية)؛
2. يجب على قسم الموارد البشرية إجراء تغييرات في الحالة الوظيفية أو المناصب الوظيفية للموظفين الداخليين (مثل الموظفين الجدد، والمنتقلين، والمغادرين)؛
3. يجب على الطرف المسؤول المعين إجراء التغييرات على الموظفين الخارجيين أو الأطراف الخارجية؛
4. تُمنح الموافقة رسميًا على طلبات وصول المستخدم وفقًا لمتطلبات العمل والامتثال (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة لتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
5. تجب معالجة التغييرات في حقوق الوصول في الوقت المناسب؛
6. تجب مراجعة حقوق وصول المستخدم وملفاته الشخصية بشكل دوري؛
7. يجب إنشاء سجل تدقيق لطلبات وصول المستخدم وطلبات الإلغاء المقدمة والمعتمدة والمعالجة؛
ج. يجب دعم إدارة وصول المستخدم بالأتمتة؛
د. مركزية وظيفة إدارة الهوية والوصول؛
هـ. المصادقة متعددة العوامل للأنظمة والملفات الشخصية الحساسة والمهمة؛
و. إدارة الوصول المميز والوصول عن بعد، والتي يجب أن تتناول ما يلي:
1. تخصيص الوصول المميز والوصول عن بعد وتقييد استخدامهما، مع تحديد الآتي:
أ. المصادقة متعددة العوامل الواجب استخدامها لجميع عمليات الوصول عن بعد؛
ب. المصادقة متعددة العوامل الواجب استخدامها للوصول إلى الامتيازات على الأنظمة المهمة بناءً على تقييم المخاطر؛
2. المراجعة الدورية للمستخدمين أصحاب الحسابات المميزة والمستخدمة عن بعد؛
3. المساءلة الفردية؛
4. استخدام الحسابات المميزة غير الشخصية، بما في ذلك:
أ. التقييد والمراقبة؛
ب. سرية كلمات المرور؛
ج. تغيير كلمات المرور بشكل متكرر وفي نهاية كل جلسة.
6.3.3 أمن التطبيقات
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.
الهدف
ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن التطبيقات.
3. يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري.
4. يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC).
5. يجب أن يتضمن معيار أمان التطبيق ما يلي:
أ. المعايير الآمنة للتشفير؛
ب. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛
ج. الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛
د. حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
هـ. إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛
و. إجراءات النسخ الاحتياطي والاسترداد؛
ز. المراجعة الدورية للامتثال للأمن السيبراني.
7.3.3 إدارة التغيير
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.
الهدف
التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة المالية تجري وفق عملية صارمة للتحكم في التغييرات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لعملية إدارة التغيير.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري.
4. يجب أن تتضمن عملية إدارة التغيير ما يلي:
أ. متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛
ب. الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء):
1. اختبار الاختراق؛
2. مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛
3. مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا
4. تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛
ج. موافقة مالك العمل على التغييرات؛
د. الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛
هـ. موافقة المجلس؛
و. مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛
ز. يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛
ح. إجراءات التغييرات والإصلاحات الطارئة؛
ط. الإجراءات الاحتياطية وإجراءات التراجع.
8.3.3 أمن البنية التحتية
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لمكونات البنية التحتية الخاصة بها واعتماد هذه المعايير وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعاليتها وتقييمها بشكل دوري.
الهدف
دعم توثيق جميع ضوابط الأمن السيبراني داخل البنية التحتية رسميًا ومراقبة الامتثال وتقييم فعالية هذه الضوابط بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير أمن البنية التحتية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن البنية التحتية.
3. يجب قياس فعالية ضوابط الأمن السيبراني للبنية التحتية وتقييمها بشكل دوري.
4. يجب أن تشمل معايير أمن البنية التحتية جميع حالات البنية التحتية المتاحة في مركز (مراكز) البيانات الرئيسية وموقع (مواقع) بيانات التعافي من الكوارث والمساحات المكتبية.
5. يجب أن تشمل معايير أمان البنية التحتية جميع حالات البنية التحتية (على سبيل المثال، أنظمة التشغيل، والخوادم، والأجهزة الافتراضية، وجدران الحماية، وأجهزة الشبكة، ونظام كشف التسلل، ونظام منع التسلل، والشبكة اللاسلكية، وخوادم البوابة، والخوادم الوكيلة، وبوابات البريد الإلكتروني، والاتصالات الخارجية، وقواعد البيانات، ومشاركات الملفات، ومحطات العمل، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والأجهزة المحمولة، ونظام السنترال الداخلي PBX).
6. يجب أن يشمل معيار أمان البنية التحتية ما يلي:
أ. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، والأحداث التي تجب مراقبتها والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، ومنع تسريب البيانات[DLP]، وإدارة الهوية والوصول، والصيانة عن بعد)؛
ب. الفصل بين المهام داخل مكون البنية التحتية (مدعوم بمصفوفة تفويض موثقة)؛
ج. حماية البيانات المتوافقة مع مخطط التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
د. استخدام البرامج المعتمدة والبروتوكولات الآمنة؛
هـ. تجزئة الشبكات؛
و. الحماية من الأكواد/البرامج الضارة والفيروسات (واستخدام قائمة تطبيقات مصرح بها والحماية من التهديدات المستعصية المتقدمة)؛
ز. إدارة الثغرات الأمنية والتصحيحات؛
ح. الحماية من هجمات حجب الخدمة الموزعة (إن اقتضى الأمر)؛ ويجب أن يشمل ذلك:
1. استخدام خدمات التنقية؛
2. مواصفات عرض النطاق المتفق عليه؛
3. المراقبة على مدار اليوم طوال أيام الأسبوع بواسطة مركز التشغيل الأمني، ومقدم الخدمة، ومقدم خدمة التنقية؛
4. اختبار تنظيف هجمات حجب الخدمة الموزعة(DDOS) (مرتين في السنة على الأقل)؛
5. يجب تنفيذ خدمات الحماية من هجوم حجب الخدمة (DDOS) لمركز (مراكز) البيانات الرئيسية بالإضافة إلى موقع (مواقع) التعافي من الكوارث؛
ط. إجراءات النسخ الاحتياطي والاسترداد؛
ي. المراجعة الدورية للامتثال للأمن السيبراني.
9.3.3 التشفير
المبدأ
يجب تحديد واعتماد وتنفيذ استخدام حلول التشفير داخل المؤسسات المالية.
الهدف
ضمان الحماية من الوصول إلى المعلومات الحساسة وسلامتها وإمكانية التأكد من منشئ الاتصال أو المعاملات.
اعتبارات التحكم
1. يجب تحديد معيار أمان التشفير واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعايير أمان التشفير.
3. يجب قياس فعالية ضوابط أمن التشفير وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار أمان التشفير ما يلي:
أ. نظرة عامة على حلول التشفير المعتمدة والقيود ذات الصلة (على سبيل المثال، الجوانب الفنية والقانونية)؛
ب. الظروف التي يجب فيها تطبيق حلول التشفير المعتمدة؛
ج. إدارة مفاتيح التشفير، بما في ذلك إدارة دورة الحياة والأرشفة والاسترداد.
10.3.3 أحضر جهازك الخاص (BYOD)
المبدأ
عندما تسمح المؤسسة المالية باستخدام الأجهزة الشخصية (مثل الهواتف الذكية، والأجهزة اللوحية، والحواسيب المحمولة) لأغراض العمل، يجب أن يكون الاستخدام مدعومًا بمعايير الأمن السيبراني المحددة والمعتمدة والمنفذة، واتفاقيات الموظفين الإضافية والتدريب على التوعية بالأمن السيبراني.
الهدف
التأكد من تعامل الموظفين مع المعلومات المتعلقة بالأعمال وذات الطبيعة الحساسة الخاصة بالمؤسسة المالية بطريقة آمنة مع حمايتها أثناء النقل والتخزين، عند استخدام الأجهزة الشخصية.
اعتبارات التحكم
1. يجب تحديد معيار الأمن السيبراني "أحضر جهازك الخاص" واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعيار الأمن السيبراني "أحضر جهازك الخاص" .
3. يجب قياس فعالية ضوابط الأمن السيبراني المعنية بمعيار "أحضر جهازك الخاص" وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار "أحضر جهازك الخاص" ما يلي:
أ. مسؤوليات المستخدم (بما في ذلك التدريب التوعوي)؛
ب. المعلومات المتعلقة بالقيود والعواقب المترتبة على الموظفين عندما تنفذ المؤسسة المالية ضوابط الأمن السيبراني على أجهزتهم الشخصية؛ على سبيل المثال، عند استخدام الأجهزة المعدلة (تجاوز قيود الأجهزة)، أو عند إنهاء توظيفهم، أو في حالة فقدان أو سرقة الجهاز الشخصي؛
ج. فصل المعلومات المتعلقة بالأعمال عن المعلومات الشخصية (على سبيل المثال، التعبئة في الحاويات)؛
د. تنظيم تطبيقات الهاتف المحمول الخاصة بالشركات أو تطبيقات الهاتف المحمول "العامة" المعتمدة؛
هـ. استخدام إدارة الأجهزة المحمولة؛ تطبيق ضوابط الوصول إلى الجهاز وحاوية الأعمال وآليات التشفير على الجهاز الشخصي (لضمان النقل والتخزين الآمن).
11.3.3 التخلص الآمن من أصول المعلومات
المبدأ
يجب التخلص من أصول المعلومات الخاصة بالمؤسسة المالية بطريقة آمنة عندما تنتهي الحاجة إلى أصول المعلومات.
الهدف
ضمان حماية أعمال المؤسسة المالية وعملائها والمعلومات الحساسة الأخرى من التسريب أو الكشف غير المصرح به عند التخلص منها.
اعتبارات التحكم
- يجب تحديد معيار وإجراء التخلص الآمن واعتماده وتنفيذه.
- تجب مراقبة الامتثال لمعيار وإجراء التخلص الآمن.
- يجب قياس فعالية ضوابط الأمن السيبراني للتخلص الآمن وتقييمها بشكل دوري.
- يجب التخلص من أصول المعلومات وفقًا للمتطلبات القانونية والتنظيمية، عندما تنتهي الحاجة إليها (أي الالتزام بلوائح خصوصية البيانات لتجنب الوصول غير المصرح به وتجنب تسريب البيانات المقصود (وغير المقصود)).
- يجب إتلاف المعلومات الحساسة باستخدام تقنيات تجعل المعلومات غير قابلة للاسترجاع (على سبيل المثال، الحذف الآمن، المحو الآمن، والحرق، والتقطيع المزدوج، والتمزيق)
- يجب على المؤسسة المالية التأكد من أن مقدمي الخدمات الخارجيين المستخدَمين للتخلص الآمن والنقل والتخزين يلتزمون بمعايير وإجراءات التخلص الآمن ويتم قياس وتقييم الفعالية بشكل دوري.
12.3.3 أنظمة الدفع
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة معيار الأمن السيبراني المتبع في أنظمة الدفع. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحمي سرية وسلامة الأنظمة المصرفية المشتركة.
اعتبارات التحكم
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات ساما المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
13.3.3 الخدمات المصرفية الإلكترونية
المبدأ
يجب على المؤسسة المالية تحديد معيار الأمن السيبراني للخدمات المصرفية الإلكترونية واعتماده وتنفيذه ومراقبته. ويجب قياس فعالية هذا المعيار وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحافظ على سرية وسلامة معلومات العملاء ومعاملاتهم.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للخدمات المصرفية الإلكترونية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير الأمن السيبراني المتعبة في الخدمات المصرفية الإلكترونية.
3. يجب قياس مدى فعالية معيار الأمن السيبراني المتبع في الخدمات المصرفية الإلكترونية وتقييمها بشكل دوري.
4. يجب أن يشمل معيار أمن الخدمات المصرفية الإلكترونية ما يلي:
أ. استخدام تدابير حماية العلامة التجارية لحماية الخدمات المتوفرة على الإنترنت بما في ذلك وسائل التواصل الاجتماعي.
ب. الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول والهاتف الأرضي:
1. استخدام متاجر التطبيقات والمواقع الرسمية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
2. استخدام تدابير الكشف وإزالة التطبيقات والمواقع الضارة (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
3. استخدام تقنية البيئة التجريبية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
4. استخدام تقنيات عدم التخزين المؤقت (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
5. استخدام تقنيات الاتصال لتجنب وقوع "الهجوم الوسيط" (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
6. استخدام آليات المصادقة متعددة العوامل:
أ. يجب استخدام المصادقة متعددة العوامل أثناء عملية التسجيل للعميل من أجل استخدام الخدمات المصرفية الإلكترونية؛
ب. يجب تنفيذ المصادقة متعددة العوامل لجميع الخدمات المصرفية الإلكترونية المتاحة للعملاء؛
ج. يجب أن يكون استخدام أجهزة وتطبيقات رموز الأمان محميًا بكلمة مرور؛
د. إلغاء وصول العملاء بعد إدخال كلمات مرور غير صحيحة أو أرقام تعريف شخصي غير صالحة لثلاث مرات متتالية؛
هـ. يجب ألا تتم عملية تغيير رقم الهاتف المتحرك للعميل إلا من أحد الفروع أو أجهزة الصراف الآلي؛
و. يجب أن تتم عمليات طلب وتفعيل المصادقة متعددة العوامل من خلال قنوات التسليم المختلفة؛
ز. يجب تنفيذ المصادقة متعددة العوامل للعمليات التالية:
1. تسجيل الدخول؛
2. إضافة أو تعديل المستفيدين؛
3. إضافة خدمات الدفع للجهات الحكومية والمرافق؛
4. المعاملات عالية المخاطر (عندما تتجاوز الحدود المحددة مسبقاً)؛
5. إعادة تعيين كلمة المرور؛
7. يجب أن تتم عمليات إضافة وتفعيل المستفيدين من خلال قنوات التوصيل المختلفة (ينطبق على الخدمات المصرفية المقدمة عبر الهاتف المحمول والإنترنت)؛
8. يجب التأكد من توفر الخدمات المصرفية الإلكترونية بكثرة؛
9. يجب إبلاغ البنك المركزي والعملاء بفترة التعطيل المقررة للخدمات المصرفية الإلكترونية في الوقت المناسب؛
10. .الاتفاقيات التعاقدية بين المؤسسة المالية والعميل التي تنص على الأدوار والمسؤوليات والالتزامات لكل من المؤسسة المالية والعملاء؛
11. الحصول على موافقة البنك المركزي قبل إطلاق الخدمة المصرفية الإلكترونية الجديدة.
ج. أجهزة الصراف الآلي ونقاط البيع:
1. منع استغلال الثغرات الأمنية في تطبيقات الصرافات الآلية/نقاط البيع وفي البنية التحتية واكتشافها (على سبيل المثال، الكابلات، منافذ أجهزة (USB)، إعادة التشغيل) ؛
2. تدابير الأمن السيبراني، مثل تقوية أنظمة التشغيل، والحماية من البرامج الضارة، وشاشات حماية الخصوصية، وإخفاء كلمات المرور أو أرقام الحسابات (على سبيل المثال، من الشاشات والإيصالات)، والحظر الجغرافي (على سبيل المثال، تعطيل البطاقات افتراضيًا خارج دول مجلس التعاون الخليجي، وتعطيل المعاملات التي تتم بالشريط المغناطيسي)، والمراقبة بالفيديو (الدائرة التليفزيونية المغلقة)، وإلغاء البطاقات بعد إدخال أرقام تعريف شخصية غير صالحة لثلاث مرات متتالية، وحلول مكافحة النسخ الاحتيالي (الأجهزة/البرامج)، وحماية لوحة رقم التعريف الشخصي؛
3. إيقاف أجهزة الصراف الآلي عن بعد في حالة اكتشاف أنشطة ضارة.
د. خدمات الإشعارات الفورية عبر الرسائل النصية القصيرة:
1. يجب ألا تحتوي الرسائل النصية القصيرة على بيانات حساسة (على سبيل المثال، رصيد الحساب – باستثناء بطاقات الائتمان)؛
2. يجب إرسال تنبيه عبر الرسائل النصية القصيرة إلى رقمي الجوال (القديم والجديد) عند تغيير رقم الجوال الخاص بالعميل؛
3. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند طلب آلية مصادقة متعددة العوامل جديدة.
4. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل بجميع المعاملات المالية الخاصة ببيع التجزئة وبالأشخاص.
5. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند إضافة المستفيدين وتعديلهم وتفعيلهم.
14.3.3 إدارة أحداث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية لإدارة الأحداث الأمنية لتحليل التسجيلات التشغيلية والأمنية والاستجابة للأحداث الأمنية. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان التحديد والاستجابة في الوقت المناسب للحالات غير المألوفة أو الأحداث المشتبه فيها فيما يتعلق بأصول المعلومات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأحداث الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة الأحداث الأمنية وتقييمها بشكل دوري.
3. لدعم هذه العملية، يجب تحديد معيار مراقبة الأحداث الأمنية واعتماده وتنفيذه.
أ. يجب أن يتناول المعيار، في جميع أصول المعلومات، الأحداث الإلزامية التي تجب مراقبتها بناءً على التصنيف أو ملف المخاطر الخاص بأصل المعلومات.
4. يجب أن تتضمن عملية إدارة الأحداث الأمنية متطلبات لما يلي:
أ. تشكيل فريق معين مسؤول عن المراقبة الأمنية (أي مركز العمليات الأمنية)؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. منطقة محظورة لتسهيل أنشطة مركز العمليات الأمنية ومساحات العمل؛
د. الموارد المطلوبة لأنشطة مراقبة الأحداث الأمنية المستمرة (24 ساعة طوال أيام الأسبوع)؛
هـ. اكتشاف ومعالجة الأكواد البرمجية والبرامج الضارة؛
و. اكتشاف الأحداث الأمنية أو الأحداث المشبوهة أو غير المألوفة والتعامل معها؛
ز. نشر حل تحليل حزم الشبكة الأمنية؛
ح. سجلات محمية بشكل كاف؛
ط. مراقبة الامتثال الدورية للتطبيقات ومعايير الأمن السيبراني للبنية التحتية
ي. التحليل الآلي والمركزي لتسجيلات الأمان وارتباط الأحداث أو الأنماط (أي: إدارة المعلومات والأحداث الأمنية)؛
ك. الإبلاغ عن حوادث الأمن السيبراني؛
ل. اختبار دوري مستقل لفعالية مركز العمليات الأمنية (على سبيل المثال، فريق محاكاة الاختراق).
15.3.3 إدارة حوادث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ إدارة حوادث الأمن السيبراني بما يتماشى مع عملية إدارة حوادث المؤسسة، لتحديد حوادث الأمن السيبراني والاستجابة لها والتعافي منها. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان تحديد حوادث الأمن السيبراني والتعامل معها في الوقت المناسب من أجل الحد من التأثير التجاري (المحتمل) على المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة حوادث الأمن السيبراني واعتمادها وتنفيذها ومواءمتها مع عملية إدارة الحوادث المؤسسية.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة حوادث الأمن السيبراني وتقييمها بشكل دوري.
3. يجب أن يتناول المعيار الأحداث الأمنية المفروضة والمشبوهة التي يجب الاستجابة لها.
4. يجب أن تتضمن عملية إدارة الحوادث الأمنية متطلبات:
أ. تشكيل فريق مخصص مسؤول عن إدارة الحوادث الأمنية؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. القدرة الكافية المتاحة لطاقم التحقيق الجنائي المعتمد للتعامل مع الحوادث الكبرى (على سبيل المثال، الموظفين الداخليين أو التعاقد مع فريق تحقيق جنائي خارجي)؛
د. منطقة محظورة لإتاحة مساحات عمل لفريق الاستجابة لطوارئ الحاسوب؛
هـ. تصنيف حوادث الأمن السيبراني؛
و. التعامل مع حوادث الأمن السيبراني في الوقت المناسب، وتسجيل التقدم المحرز ومراقبته؛
ز. حماية الأدلة والتسجيلات ذات الصلة؛
ح. أنشطة ما بعد الحادث، مثل التحقيقات الجنائية، وتحليل الأسباب الجذرية للحوادث؛
ط. الإبلاغ عن التحسينات المقترحة إلى الرئيس التنفيذي لأمن المعلومات واللجنة المعنية؛
ي. إنشاء مستودع رقمي لحفظ حوادث الأمن السيبراني.
5. يجب على المؤسسة المالية إبلاغ " قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" فورًا عند وقوع حادث أمني متوسط أو عالي التصنيف وتحديده.
6. يجب على المؤسسة المالية الحصول على "عدم ممانعة" من "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" قبل أي تفاعل إعلامي يتعلق بالحادث.
7. يجب على المؤسسة المالية تقديم تقرير رسمي عن الحادث إلى "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" بعد استئناف العمليات، بما في ذلك تفاصيل الحادث التالية:
أ. عنوان الحادث؛
ب. تصنيف الحادث (متوسط أو مرتفع)؛
ج. تاريخ ووقت وقوع الحادث؛
د. تاريخ ووقت الحادث المكتشف؛
هـ. أصول المعلومات المشمولة؛
و. التفاصيل (الفنية) للحادث؛
ز. تحليل السبب الجذري؛
ح. الأنشطة التصحيحية المنفذة والمخطط لها؛
ط. وصف التأثير (على سبيل المثال، فقدان البيانات، وتعطل الخدمات، والتعديل غير المصرح به للبيانات، وتسريب البيانات المقصود (وغير المقصود)، وعدد العملاء المتأثرين بالحادث)؛
ي. إجمالي التكلفة المقدرة للحادث؛
ك. التكلفة المقدرة للإجراءات التصحيحية.
16.3.3 إدارة التهديدات
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة استخبارات التهديدات، واعتمادها، وتنفيذها لتحديد التهديدات التي تتعرض لها أصول معلومات المؤسسة المالية وتقييمها وفهمها باستخدام مصادر متعددة موثوقة. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
الحصول على فهم مناسب لوضع التهديد الناشئ في المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة استخبارات التهديدات واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة استخبارات التهديدات وتقييمها بشكل دوري.
3. يجب أن تشمل عملية إدارة استخبارات التهديدات ما يلي:
أ. الاستعانة بمصادر داخلية، مثل التحكم في الوصول، وسجلات التطبيقات والبنية التحتية، ونظام كشف التسلل، ونظام منع التسلل، وأدوات الأمان، إدارة المعلومات والأحداث الأمنية، ووظائف الدعم (مثل الشؤون القانونية، والتدقيق، ومكتب مساعدة تقنية المعلومات، والتحقيق الجنائي، وإدارة الاحتيال، وإدارة المخاطر والامتثال)؛
ب. الاستعانة بمصادر خارجية موثوقة وذات صلة، مثل البنك المركزي، والهيئات الحكومية، والمنتديات الأمنية، وبائعي (المنتجات الأمنية)، والمؤسسات الأمنية والجهات الإعلامية المتخصصة؛
ج. منهجية محددة لتحليل معلومات التهديد بشكل دوري؛
د. التفاصيل ذات الصلة بالتهديدات المحددة أو المجمعة، مثل طريقة العمل، والجهات الفاعلة، ودوافع التهديدات وأنواعها؛
هـ. الصلة بين الاستخبارات المستقاة والقدرة على المتابعة (على سبيل المثال، مركز العمليات الأمنية، وإدارة المخاطر)؛
و. تبادل الاستخبارات ذات الصلة مع أصحاب المصلحة المعنيين (مثل أعضاء البنك المركزي، واللجنة المصرفية لأمن المعلومات).
17.3.3 إدارة الثغرات الأمنية
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة الثغرات الأمنية، واعتمادها، وتنفيذها لتحديد الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية والحد من تأثيرها. ويجب قياس فعالية هذه العملية ويجب تقييم الفعالية بشكل دوري.
الهدف
ضمان التحديد في الوقت المناسب والتخفيف الفعال من الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية من أجل تقليل احتمالية التعرض لها والحد من التأثير على أعمال المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الثغرات الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة الثغرات الأمنية وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الثغرات الأمنية ما يلي:
أ. جميع أصول المعلومات؛
ب. تكرار إجراء فحص الثغرات الأمنية (القائم على المخاطر)؛
ج. تصنيف الثغرات الأمنية؛
د. جداول زمنية محددة للتخفيف المخاطر (حسب التصنيف)؛
هـ. تحديد الأولويات لأصول المعلومات المصنفة؛
و. إدارة حزم التحديثات والإصلاحات وطريقة النشر.
4.3 الأمن السيبراني للأطراف الخارجية
عندما تعتمد المؤسسات المالية على خدمات من أطراف خارجية، أو تضطر إلى التعامل معها، فمن الضروري ضمان تنفيذ نفس المستوى من الحماية الأمنية السيبرانية لدى الطرف الخارجي، كما هو الحال داخل المؤسسة المالية.
وتبين هذه الفقرة كيفية تنظيم وتنفيذ ومراقبة متطلبات الأمن السيبراني بين المؤسسة المالية والأطراف الخارجية. تعرَّف الأطراف الخارجية في الدليل التنظيمي الماثل على أنها مقدمي الخدمات المعلوماتية، ومقدمي خدمات التعهيد، ومقدمي خدمات الحوسبة السحابية، والبائعين، والموردين، والوكالات الحكومية، وما إلى ذلك.
1.4.3 إدارة العقود والبائعين
المبدأ
يجب على المؤسسة المالية تحديد ضوابط الأمن السيبراني المطلوبة واعتمادها وتنفيذها ومراقبتها ضمن عمليات إدارة العقود والبائعين.
الهدف
التأكد من استيفاء متطلبات الأمن السيبراني المعتمدة للمؤسسة المالية على النحو المناسب قبل توقيع العقد، ومراقبة وتقييم الامتثال لمتطلبات الأمن السيبراني خلال دورة حياة العقد.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني واعتمادها وتنفيذها وتبليغها ضمن عمليات إدارة العقود والبائعين.
2. تجب مراقبة الامتثال لعملية إدارة العقود والموردين.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة العقود والبائعين وتقييمها بشكل دوري.
4. يجب أن تشمل عمليات إدارة العقود والبائعين ما يلي:
أ. ما إذا كانت مشاركة وظيفة الأمن السيبراني مطلوبة بشكل فعال (على سبيل المثال، في حالة العناية الواجبة)؛
ب. متطلبات الأمن السيبراني الأساسية التي يجب تطبيقها في جميع الحالات؛
ج. الحق في إجراء مراجعات وتدقيقات للأمن السيبراني بشكل دوري.
5. يجب أن تشمل عملية إدارة العقد متطلبات:
أ. تنفيذ تقييم مخاطر الأمن السيبراني باعتباره جزء من عملية الشراء؛
ب. تحديد متطلبات الأمن السيبراني المحددة باعتبارها جزء من عملية المناقصة؛
ج. تقييم ردود البائعين المحتملين بشأن متطلبات الأمن السيبراني المحددة؛
د. اختبار متطلبات الأمن السيبراني المتفق عليها (القائم على المخاطر)؛
هـ. تحديد عملية الاتصال أو التصعيد في حالة وقوع حوادث الأمن السيبراني؛
و. التأكد من تحديد متطلبات الأمن السيبراني للخروج من العقد، أو إنهائه، أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
ز. تحديد اتفاقية السرية المتبادلة.
6. يجب أن تشمل عملية إدارة البائعين (أي: إدارة مستوى الخدمة) متطلبات:
أ. إعداد التقارير الدورية ومراجعة وتقييم متطلبات الأمن السيبراني المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة).
2.4.3 إسناد المهام إلى طرف ثالث
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة إسناد المهام وعملية إسناد المهام. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
الهدف
التأكد من معالجة متطلبات الأمن السيبراني للمؤسسة المالية بشكل مناسب قبل وأثناء وعند الخروج من عقود إسناد المهام إلى طرف ثالث.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني ضمن سياسة وعملية إسناد المهام واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. يجب قياس متطلبات الأمن السيبراني فيما يتعلق بسياسة وعملية إسناد المهام وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إسناد المهام ما يلي:
أ. الاعتماد من البنك المركزي قبل إسناد الأعمال الجوهرية؛
ب. مشاركة وظيفة الأمن السيبراني؛
ج. الالتزام بتعميم البنك المركزي بشأن إسناد المهام إلى طرف ثالث.
3.4.3 الحوسبة السحابية
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة وعملية الحوسبة السحابية للخدمات السحابية الهجينة والعامة. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
ترجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (= السحابة الداخلية).
الهدف
التأكد من أن جميع الوظائف والعاملين داخل المؤسسة المالية على دراية بالاتجاه والموقف المتفق عليهما بشأن الخدمات السحابية المختلطة والعامة، والعملية المطلوبة لطلب الحصول على الخدمات السحابية المختلطة والعامة، والقدرة على تحمل المخاطر بشأن الخدمات السحابية المختلطة والعامة، ومتطلبات الأمن السيبراني المحددة للخدمات السحابية المختلطة والعامة.
اعتبارات التحكم
1. يجب تحديد ضوابط الأمن السيبراني ضمن سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. تجب مراقبة الامتثال لسياسة الحوسبة السحابية.
3. يجب قياس وتقييم ضوابط الأمن السيبراني المتعلقة بسياسة الحوسبة السحابية وعملية الخدمات السحابية المختلطة والعامة بشكل دوري.
4. يجب أن تتناول سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة متطلبات ما يلي:
أ. عملية اعتماد الخدمات السحابية، بما في ذلك:
1. يجب إجراء تقييم لمخاطر الأمن السيبراني والعناية الواجبة على مقدم الخدمة السحابية وخدماته السحابية؛
2. يجب على المؤسسة المالية الحصول على اعتماد ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مقدم الخدمة السحابية؛
3. يجب إبرام عقد ينص متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية؛
ب. موقع البيانات، بما في ذلك ما:
1. من حيث المبدأ، يجب استخدام الخدمات السحابية الموجودة في المملكة العربية السعودية فقط، أو عند استخدام الخدمات السحابية خارج المملكة العربية السعودية، يجب على المؤسسة المالية الحصول على موافقة صريحة من ساما؛
ج. قيود استخدام البيانات، بما في ذلك ما يلي:
1. لا يجوز لمقدم الخدمة السحابية استخدام بيانات المؤسسة المالية لأغراض ثانوية؛
د. الأمن، بما في ذلك:
1. يجب على مقدم الخدمة السحابية تنفيذ ومراقبة ضوابط الأمن السيبراني على النحو المحدد في تقييم المخاطر لحماية سرية وسلامة وتوافر بيانات المؤسسة المالية؛
هـ. فصل البيانات، بما في ذلك ما يلي:
1. يتم فصل بيانات المؤسسة المالية بشكل منطقي عن البيانات الأخرى التي يحتفظ بها مقدم الخدمة السحابية، بما في ذلك وجوب أن يكون مقدم الخدمة السحابية قادرًا على تحديد بيانات المؤسسة المالية وأن يكون قادرًا في جميع الأوقات على تمييزها عن البيانات الأخرى.
و. استمرارية الأعمال، بما في ذلك:
1. استيفاء متطلبات استمرارية الأعمال وفقًا لسياسة استمرارية الأعمال الخاصة بالمؤسسة المالية؛
ز. التدقيق والمراجعة والمراقبة، بما في ذلك:
1. يحق للمؤسسة المالية إجراء مراجعة للأمن السيبراني لدى مقدم الخدمة السحابية؛
2. يحق للمؤسسة المالية إجراء تدقيق للأمن السيبراني لدى مقدم الخدمة السحابية؛
3. يحق للمؤسسة المالية إجراء فحص الأمن السيبراني لدى مقدم الخدمة السحابية؛
ح. الخروج، بما في ذلك ما يلي:
1. تتمتع المؤسسة المالية بحقوق الإنهاء؛
2. يجب على مقدم الخدمة السحابية إعادة بيانات المؤسسة المالية عند الإنهاء؛
3. يجب على مقدم الخدمة السحابية حذف بيانات المؤسسة المالية حذفا لا رجعة فيه عند الإنهاء.
الملاحق
الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا
يحل الدليل التنظيمي لأمن المعلومات الماثل محل تعاميم البنك المركزي الصادرة مسبقًا التالية:
- تقييم أنظمة الحماية وأمن المعلومات لجميع البنوك، 53331-م أ -25514 , 2012/10/25؛
- ضوابط تعزيز المراقبة على أجهزة الصراف الآلي، 49616-م أ ت-24388 , 2012/9/8؛
- متطلبات الحد من هجمات حجب الخدمات/الهجمات الموزعة لحجب الخدمة، 361000033746، 2014/12/24؛
- استنساخ البطاقات، 361000078157، 2015/3/19؛
- استقلالية أمن المعلومات، 361000036797، 2014/12/30؛
- التحذير من الاحتيال الإلكتروني، م أ ت/ 17722 ، 2011/6/29؛
- سرية المعلومات المصرفية، 341000065707، 2013/4/6؛
- ضوابط البنك المركزي بشأن الخدمات المصرفية عبر الهاتف المحمول، 341000096665، 2013/6/16؛
- استخدام بطاقات الصراف الآلي المزورة في السحب من حسابات العملاء، 33043/م أ ت/644 , 2009/6/24؛
- رمز التحقق من الهوية (Token)، 2013/4/18 ،341000071570؛
- تعليمات الخدمات المصرفية الإلكترونية (E-Banking Rules), 23612/م أ ق/11231, 2010/4/9؛
- المصادقة متعددة العوامل، 40690/م أ ت/789, 2009/8/6.
يشير الدليل التنظيمي الماثل إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بأنظمة الدفع:
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات البنك المركزي المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
يشير الدليل التنظيمي إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بإسناد المهام وإدارة استمرارية الأعمال:
الملحق "ب" - كيفية طلب تحديث الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه خطوات عملية طلب تحديث الدليل التنظيمي.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أولاً اعتماد الطلب من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد الطلب من قبل اللجنة الإشرافية للأمن السيبراني بالمؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب العام للمؤسسة المالية إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم قسم "الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" الطلب ويبلغ المؤسسة المالية بالنتيجة.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.
الملحق "ج" - نموذج طلب تحديث الدليل التنظيمي
طلب تحديث الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي
تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات
سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية لتحديث الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
قسم الإطار*:
الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:
المقترح*:
الموافقات
1.اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*
التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
* تشير إلى الحقول الإلزامية
الملحق "د" - كيفية طلب الإعفاء من الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه عملية طلب الإعفاء من الدليل التنظيمي.
- وصف تفصيلي لأسباب عدم قدرة البنك على الوفاء بالضابط المطلوب.
- بيان تفاصيل الضوابط البديلة المتاحة أو المقترحة.
- يجب أولاً اعتماد طلب الإعفاء من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد طلب الأعفاء من قبل أعضاء لجنة الأمن السيبراني التابعة للمؤسسة المالية.
- يجب أن يوقع الرئيس التنفيذي لأمن المعلومات ومالك (العمل) المعني على طلب الإعفاء.
- يجب رسميًا إصدار طلب الإعفاء كتابيًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب للمؤسسة المالية أو إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" طلب الإعفاء ويبلّغ المؤسسة المالية بالنتيجة.
- يظل الدليل التنظيمي الحالي سارياً أثناء تقييم ومعالجة الأعفاء المطلوب، حتى لحظة منح الإعفاء.
الملحق "هـ" - نموذج طلب الإعفاء من الدليل التنظيمي
طلب الإعفاء من الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي
تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات
سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية للإعفاء من الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
مراقبة الإطار*:
وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:
وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:
الموافقات
1. اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*
التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
* تشير إلى الحقول الإلزامية
الملحق "و" – قائمة المصطلحات
المصطلح
الوصف
إدارة الوصول
إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
حل عدم نسخ البطاقات
حل يراقب بيئة جهاز الصراف الآلي أو نقطة البيع بحثًا عن آليات التسلل المثبتة بشكل غير قانوني (سواء كانت في صورة أجهزة أو برمجيات).
القائمة البيضاء للتطبيقات
قائمة بالتطبيقات ومكوناتها (المكتبات، وملفات التكوين، وما إلى ذلك) المصرح بوجودها أو تنشيطها على المضيف وفقًا لخط أساس محدد جيدًا. وتهدف تقنيات القائمة البيضاء للتطبيقات إلى إيقاف تنفيذ البرمجيات الخبيثة والبرامج الأخرى غير المصرح بها. وعلى عكس تقنيات الأمان، مثل برامج مكافحة الفيروسات، التي تستخدم القوائم السوداء لحظر الأنشطة السيئة المعروفة والسماح بجميع الأنشطة الأخرى، تم تصميم تقنيات القائمة البيضاء للتطبيقات للسماح بالأنشطة المعروفة وحظر جميع الأنشطة الأخرى. (دليل القوائم البيضاء للتطبيقات الواردة في المنشور رقم 800-167 الصادر من المعهد الوطني للمعايير والتقنية)
التهديد المستمر المتقدم
التهديد المستمر المتقدم عدو يمتلك مستويات متطورة من الخبرة والموارد الكبيرة التي تسمح له بخلق فرص لتحقيق أهدافه باستخدام ناقلات هجوم متعددة (على سبيل المثال، بالأساليب السيبرانية والمادية، وبالخداع). وتتضمن هذه الأهداف عادةً ترسيخ وضع التهديد وتوسعه داخل البنية التحتية لتقنية المعلومات للمؤسسات المستهدفة لأغراض إخراج المعلومات، أو تقويض الجوانب الحساسة أوعرقلتها لإحدى المهام أو البرامج أو المؤسسات؛ أو الاستعداد لتنفيذ هذه الأهداف في المستقبل. التهديد المستمر المتقدم: (1) يسعى لتحقيق أهدافه بشكل متكرر على مدى فترة طويلة من الزمن؛ (2) يتكيف مع جهود المدافعين لمقاومتها؛ (3) لديه إصرار على الحفاظ على مستوى التفاعل اللازم لتنفيذ أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأصول
العملية المنهجية لنشر الأصول وتشغيلها وصونها وتحديثها والتخلص منها بطريقة آمنة ومأمونة وفعالة من حيث التكلفة.
الثقة
أسباب الثقة في أن الأهداف الأمنية الأربعة الأخرى (النزاهة والتوافر والسرية والمساءلة) قد تم استيفائها على النحو المناسب من خلال تنفيذ محدد. تتضمن عبارة "تم استيفائها بشكل مناسب" (1) الوظيفة التي تعمل بشكل صحيح، (2) الحماية الكافية ضد الأخطاء غير المقصودة (من قبل المستخدمين أو البرامج)، و(3) المقاومة الكافية للاختراق المتعمد أو التجاوز. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
سجل تدقيق
سجل يوضح من قام بالوصول إلى نظام تقنية المعلومات وماهي العمليات التي نفذها المستخدم خلال فترة معينة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مصفوفة التفويض
مصفوفة تحدد الحقوق والتصاريح التي يحتاجها دور وظيفي محدد للحصول على المعلومات. وتسرد المصفوفة كل مستخدم، ومهام العملية التجارية التي يقوم بها، والأنظمة المتأثرة بها.
التوفر
ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تطبيقات الأعمال
أي برنامج أو مجموعة من البرامج الحاسوبية التي يستخدمها مستخدمو الأعمال لأداء وظائف الأعمال المختلفة.
استمرارية الأعمال
قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي. (معيار ISO 22301:2012 للأمن المجتمعي -- أنظمة إدارة استمرارية الأعمال)
أحضر جهازك الخاص
يشير مصطلح "أحضر جهازك الخاص" إلى الأجهزة التي يملكها الأشخاص (الحواسيب المحمولة، والأجهزة اللوحية، والهواتف الذكية) والتي يُسمح للموظفين والمقاولين باستخدامها لتنفيذ وظائف العمل.
دائرة تلفزيونية مغلقة
الدائرة التلفزيونية المغلقة هو استخدام كاميرات الفيديو لنقل إشارة إلى مكان معين، على مجموعة محدودة من الشاشات.
الرئيس التنفيذي
الرئيس التنفيذي هو المسؤول التنفيذي الذي يتمتع بسلطة اتخاذ القرارات الرئيسية في المؤسسة.
فريق الاستجابة لطوارئ الحاسوب
فريق الاستجابة لطوارئ الحاسوب هو مجموعة من الخبراء الذين يتعاملون مع حوادث أمان الحاسوب.
إدارة التغيير
التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
الرئيس التنفيذي للمعلومات
الرئيس التنفيذي للمعلومات. مسؤول تنفيذي رفيع المستوى مسؤول عن تقنية المعلومات وأنظمة الحاسوب التي تدعم أهداف المؤسسة.
الرئيس التنفيذي لأمن المعلومات
الرئيس التنفيذي لأمن المعلومات مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف.
مخطط تصنيف
راجع "تصنيف البيانات".
حوسبة سحابية
نموذج يُستخدم لإتاحة وصول الشبكة عند الطلب إلى مجموعة مشتركة من إمكانات/موارد تقنية المعلومات القابلة للتكوين (مثل الشبكات، والخوادم، والتخزين، والتطبيقات، والخدمات) والتي يمكن توفيرها وإصدارها بسرعة بأقل جهد إداري أو تفاعل مع مقدم الخدمة. وبذلك يسمح للمستخدمين بالوصول إلى الخدمات القائمة على تقنية المعلومات من خلال سحابة الشبكة دون الحاجة إلى اكتساب معرفة أو خبرة في البنية التحتية لتقنية المعلومات التي تدعم هذه الخدمات أو إلى التحكم فيها. ويتألف هذا النموذج السحابي من خمس خصائص أساسية (الخدمة الذاتية عند الطلب، والوصول إلى الشبكة في كل مكان، وتجميع الموارد ذات الموقع المستقل، والمرونة مع السرعة، والخدمة المقاسة)؛ ويشمل ثلاثة نماذج لتقديم الخدمات: (البرمجيات السحابية كخدمة، والمنصة السحابية كخدمة، والبنية التحتية السحابية كخدمة)؛ وأربعة نماذج للوصول المؤسسي (السحابة الخاصة، والسحابة المجتمعية، والسحابة العامة، والسحابة الهجينة). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
ضابط أمني بديل
ضابط إداري، و/أو تشغيلي، و/أو فني (مثل الإجراءات الوقائية أو التدابير المضادة) التي تستخدمها مؤسسة بدلاً من الضوابط الأمنية الموصى بها في خطوط الأساس الدنيا أو المتوسطة أو المرتفعة بما يوفر حماية مكافئة أو قابلة للمقارنة لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
السرية
الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات و الإفصاح عنها ، بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
التعبئة في الحاويات
طريقة افتراضية لنشر وتشغيل التطبيقات الموزعة دون تشغيل جهاز افتراضي لكل تطبيق. وبدلاً من ذلك، تعمل أنظمة معزولة متعددة على مضيف تحكم واحد وتصل إلى نواة واحدة.
فعالية التحكم
قياس صحة التنفيذ (أي مدى توافق تنفيذ التحكم مع الخطة الأمنية) ومدى تلبية الخطة الأمنية لاحتياجات المؤسسة حسب القدرة على تحمل المخاطر في الوقت الحالي. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الرئيس التنفيذي للعمليات
الرئيس التنفيذي للعمليات. مسؤول تنفيذي رفيع المستوى مسؤول عن التشغيل اليومي للمؤسسة.
حلول التشفير
الحلول المتعلقة بالتشفير. الرجوع إلى "التشفير".
التشفير
مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الإشراف
المسؤولية عن التحكم في الوصول إلى المعلومات وإجراء المحاسبة وحمايتها وإتلافها وفقًا للسياسة الأمنية المتبعة في المؤسسة.
المخاطر السيبرانية
الخطر الذي يهدد عمليات المؤسسة (بما في ذلك رسالتها، ووظائفها، وصورتها، وسمعتها) وأصول المؤسسة، والأفراد، والمؤسسات الأخرى والوطن، بسبب احتمالية الوصول غير المصرح به إلى المعلومات و/أو إلى أنظمة المعلومات، و/أو استخدامها، أو الكشف عنها، أو تعطيلها، أو تعديلها، أو إتلافها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الأمن السيبراني
يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسة المالية ضد التهديدات الداخلية والخارجية.
هيكلية الأمن السيبراني
جزء لا يتجزأ من هيكلية المؤسسة ويصف هيكل وسلوك العمليات الأمنية للمؤسسة، وأنظمة الأمن السيبراني والموظفين والوحدات الفرعية المؤسسية، مما يوضح توافقها مع رسالة المؤسسة وخططها الإستراتيجية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تدقيق الأمن السيبراني
المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان إلى حد معقول بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الوعي بالأمن السيبراني
الأنشطة التي تسعى إلى تركيز انتباه الفرد على قضايا الأمن السيبراني.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)برنامج التوعية بالأمن السيبراني
برنامج يشرح قواعد السلوك المناسبة للاستخدام الآمن لأنظمة ومعلومات تقنية المعلومات. ويقوم البرنامج بتبليغ سياسات وإجراءات الأمن السيبراني التي يجب اتباعها.
ضوابط الأمن سيبراني
الضوابط الإدارية و/أو التشغيلية و/أو الفنية (مثل الإجراءات الوقائية أو التدابير المضادة) المقررة لنظام المعلومات لحماية سرية وسلامة وتوافر النظام ومعلوماته.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)فحص الأمن السيبراني
مراجعة السجلات والأنشطة المتعلقة بالأمن للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، ولضمان الامتثال للسياسات المعمول بها والإجراءات التشغيلية. لا يوفر الفحص بمفرده الضمان الكامل.
وظيفة الأمن السيبراني
وظيفة مستقلة عن وظيفة تقنية المعلومات، يرأسها الرئيس التنفيذي لأمن المعلومات وترفع تقاريرها مباشرة إلى الرئيس التنفيذي / العضو المنتدب للمؤسسة المالية أو المدير العام لإحدى وظائف التحكم.
تتولى وظيفة أمن المعلومات المسؤولية عن:
–
دعم سياسات أمن المعلومات، وتحديد أدوار أمن المعلومات ومسؤولياته، وتحديد أهداف أمن المعلومات للتنفيذ؛ –
توفير أطر عمل أمن المعلومات وإدارة مخاطر المعلومات؛ –
تحديد مشاكل أمن المعلومات المعروفة والناشئة؛ –
تحديد التحولات في مدى قدرة تحمل المؤسسات لمخاطر المعلومات ضمنيا؛ –
مساعدة الإدارة في تطوير عمليات وضوابط أمن المعلومات لإدارة مخاطر أمن المعلومات ومشاكل أمن المعلومات؛ –
توفير التوجيه والتدريب بشأن عمليات أمن المعلومات وإدارة مخاطر المعلومات؛ –
تسهيل ومراقبة تنفيذ الممارسات الفعالة لأمن المعلومات وإدارة مخاطر المعلومات من خلال الإدارة التشغيلية؛ –
تنبيه الإدارة التشغيلية إلى قضايا أمن المعلومات الناشئة وسيناريوهات المخاطر التنظيمية والمعلوماتية المتغيرة؛ –
مراقبة مدى كفاية وفعالية الرقابة الداخلية، ودقة واكتمال التقارير، والامتثال للقوانين واللوائح المتعلقة بأمن المعلومات، ومعالجة أوجه القصور في الوقت المناسب. حوكمة الأمن السيبراني
مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة والإدارة التنفيذية بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة على نحو مسؤول.
حادث الأمن السيبراني
حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حوادث الأمن السيبراني
مراقبة واكتشاف الأحداث الأمنية على أنظمة المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني
مجموعة معايير لتقديم الخدمات الأمنية. وتحدد هذه السياسة أنشطة مرفق معالجة البيانات وتقيدها من أجل الحفاظ على الحالة الأمنية للأنظمة والبيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
برنامج الأمن السيبراني
هيكل إداري تنازلي وآلية لتنسيق الأنشطة الأمنية في المؤسسة بأكملها.
مراجعة الأمن السيبراني
المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان محدود بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تقييم مخاطر الأمن السيبراني
عملية تحديد المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية ، والأفراد، المؤسسات الأخرى، والوطن، والتي تنشأ من خلال تشغيل نظام المعلومات. وهي جزء من إدارة المخاطر، وتتضمن تحليلات التهديدات والثغرات الأمنية وتأخذ في الاعتبار عمليات التخفيف من المخاطر التي توفرها الضوابط الأمنية المخطط لها أو المعمول بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة مخاطر الأمن السيبراني
عملية إدارة المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية، والأفراد، والمؤسسات الأخرى، والوطن، الناتجة عن تشغيل نظام المعلومات، وتتكون من (1) تقييم المخاطر؛ (2) تنفيذ استراتيجية تخفيف المخاطر؛ و(3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
استراتيجية الأمن السيبراني
خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تصنيف البيانات
القرار الواعي بتحديد مستوى من الحساسية للبيانات أثناء إنشائها، أو تعديلها، أو تحسينها، أو تخزينها، أو نقلها. ويجب أن يحدد تصنيف البيانات بعد ذلك مدى احتياج البيانات إلى التحكم/الأمن، كما يشير أيضًا إلى قيمتها من حيث أصول الأعمال.
تقطيع مزدوج
تقنية تستخدم أدوات التقطيع أو الشفرات لتقطيع الوسائط إلى قطع بحجم قصاصات الورق.
هيكلية المؤسسة
وصف مجموعة أنظمة المعلومات الكاملة للمؤسسة: كيفية تكوينها، وكيفية تكاملها، وكيفية تفاعلها مع البيئة الخارجية على حدود المؤسسة، وكيفية تشغيلها لدعم رسالة المؤسسة، وكيفية مساهمتها في الوضع الأمني العام للمؤسسة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المخاطر المؤسسية
الأساليب والعمليات التي تستخدمها المؤسسة لإدارة المخاطر التي تهدد رسالتها وإنشاء الثقة اللازمة للمؤسسة لدعم المهام المشتركة. وتشتمل على تحديد اعتمادية الرسالة في تحقيق أهدافها على قدرات المؤسسة، وتحديد المخاطر وترتيب أولوياتها بسبب التهديدات المحددة، وتنفيذ التدابير المضادة لتوفير وضع خطر ثابت واستجابة ديناميكية فعالة للتهديدات النشطة؛ وتقوم بتقييم أداء المؤسسة ضد التهديدات وتعديل الإجراءات المضادة حسب الضرورة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خطة بديلة
إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
التحقيقات الجنائية
ممارسة جمع البيانات المتعلقة بالحاسوب، والاحتفاظ بها، وتحليلها لأغراض التحقيق بطريقة تحافظ على سلامة البيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
موثقة رسمياً
الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
خادم البوابة
واجهة توفر التوافق بين الشبكات عن طريق تحويل سرعات النقل، أو البروتوكولات، أو الأكواد، أو التدابير الأمنية. ويقوم بتوجيه الاتصالات بين الشبكات، لكنه لا يقوم بتصفيتها. انظر أيضًا "الخادم الوكيل".
دول مجلس التعاون الخليجي
أعضاء مجلس التعاون الخليجي، وهو تحالف سياسي واقتصادي يضم مملكة البحرين، ودولة الكويت، وسلطنة عمان، ودولة قطر، والمملكة العربية السعودية، ودولة الإمارات العربية المتحدة.
الحجب الجغرافي
شكل من أشكال الرقابة على الإنترنت حيث يتم تقييد الوصول إلى المحتوى بناءً على الموقع الجغرافي للمستخدم.
جهاز التحقق من الهوية
جهاز التحقق من الهوية (المعروف أيضًا باسم "جهاز المصادقة") هو جهاز أمان للأجهزة يُستخدم للتصريح للمستخدم باستخدام النظام. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). انظر أيضًا "برنامج التحقق من الهوية".
الخدمات السحابية الهجينة
خدمة حوسبة سحابية تتكون من مجموعة من الخدمات السحابية الخاصة، والعامة، والمجتمعية، من مقدمي خدمات مختلفين. (غارتنر-Gartner)
إدارة الهوية
عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وعادة ما تتضمن الكيانات المُدارة المستخدمين، والأجهزة وموارد الشبكة، وحتى التطبيقات.
نظام كشف التسلل
نظام كشف التسلل أحد منتجات الأجهزة أو البرامج التي تقوم بجمع وتحليل المعلومات من مناطق مختلفة داخل الحاسوب أو الشبكة لتحديد الخروقات الأمنية المحتملة، والتي تشمل كلاً من عمليات التسلل (الهجمات من خارج المؤسسات) وإساءة الاستخدام (الهجمات من داخل المؤسسات). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الحوادث
راجع "إدارة حوادث الأمن السيبراني".
خطة إدارة الحوادث
توثيق مجموعة محددة مسبقًا من التعليمات أو الإجراءات للكشف عن عواقب الهجوم السيبراني الضار على نظام (أنظمة) معلومات المؤسسة والاستجابة لها والحد منها. راجع أيضًا "إدارة حوادث الأمن السيبراني". (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حرق
طريقة لإتلاف الوسائط والأجهزة باستخدام الحرارة العالية.
مؤشر الاختراق
أحد العناصر أو البقايا الجنائية الدالة على التسلل التي يمكن التعرف عليها على مضيف أو شبكة. مؤتمر (RSA)
السلامة
الحماية من التعديل، أو الإتلاف غير الصحيح للمعلومات، وتتضمن ضمان عدم إنكار المعلومات وصحتها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام منع التسلل
يمكن لنظام منع التسلل اكتشاف نشاط متسلل ويمكنه أيضًا محاولة إيقاف النشاط، وحبذا لو كان قبل وصول هذا النشاط إلى أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حذف لا رجعة فيه
راجع "المسح الآمن"
تجاوز القيود
أحد أشكال تصعيد الامتيازات الذي يزيل قيود البرامج التي تفرضها الشركة المصنعة للبرنامج، وغالبًا ما يؤدي إلى الحصول على امتيازات غير محدودة على الجهاز.
مؤشر الأداء الرئيسي
نوع من أنواع قياس الأداء الذي يقيم نجاح مؤسسة ما أو نشاط معين تشارك فيه. ويستخدم الحد العددي عادةً لتصنيف الأداء.
مؤشر المخاطر الرئيسي
مقياس يستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لمدى قدرتها على تحمل المخاطر المحددة. وتستخدم المؤسسات مؤشرات المخاطر الرئيسية لتعطيها إشارة مبكرة لزيادة التعرض للمخاطر في المجالات الوظيفية المختلفة للمؤسسة.
احتمالية
عامل مرجح يعتمد على تحليل احتمالية قدرة تهديد معين على استغلال ثغرة أمنية معينة.
البرمجيات الخبيثة
برنامج يتم إدراجه في النظام، بشكل سري عادةً، بهدف انتهاك سرية أو سلامة أو توفر بيانات الضحية أو تطبيقاتها أو نظام التشغيل أو إزعاج الضحية أو تعطيل عملها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأجهزة المحمولة
إدارة الأجهزة المحمولة هو مصطلح من مصطلحات الصناعة لإدارة الأجهزة المحمولة.
مؤسسة مالية
المؤسسات المالية التابعة للبنك المركزي.
جهاز محمول
وسائط تخزين محمولة قابلة للإزالة تعتمد على خراطيش الأقراص/الأقراص (مثل الأقراص المرنة، والأقراص المدمجة، وأجهزة تتخزين USB، ومحركات الأقراص الصلبة الخارجية، وبطاقات الذاكرة الوميضية الأخرى أو المحركات التي تحتوي على ذاكرة غير متطايرة).
جهاز حوسبة واتصالات محمول مزود بقدرة تخزين المعلومات (مثل أجهزة الحاسوب (الدفترية/بوك)/أجهزة الحاسوب المحمولة، وأجهزة المساعدة الرقمية الشخصية، والجوالات، والكاميرات الرقمية، وأجهزة تسجيل الصوت). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المصادقة متعددة العوامل
المصادقة باستخدام عاملين أو أكثر لتحقيق المصادقة. تشمل العوامل ما يلي: (1) شيء تعرفه (مثل كلمة المرور/رقم التعريف الشخصي)؛ (2) أو شيء تملكه (على سبيل المثال، جهاز تعريف التشفير، جهاز رمز الأمان)؛ أو (3) شيء تتميز به (على سبيل المثال، القياسات الحيوية). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نيست (NIST)
المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (nist.gov)
عدم التنصل
الحماية ضد أي فرد ينكر زوراً أنه قام بعمل معين. يوفر القدرة على تحديد ما إذا كان فرد معين قد اتخذ إجراءً معينًا مثل إنشاء معلومات، وإرسال الرسائل، والموافقة على المعلومات، وتلقي الرسائل. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حزمة تحديث إصلاح
تحديث لنظام التشغيل، أو التطبيق، أو أي برنامج آخر تم إصداره خصيصًا لتصحيح مشكلات معينة في البرنامج. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حزم التحديثات والإصلاحات
الإعلان عن تنقيحات نظام التشغيل والأكواد البرمجية، وتحديدها، ونشرها، وتثبيتها، والتحقق منها بطريقة منتظمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام سنترال داخلي
نظام السنترال الداخلي هو بدالة هاتفية أو نظام تحويل يخدم مؤسسة خاصة ويكثف عمله في خطوط المكتب المركزي ويتيح الاتصال الداخلي بين عدد كبير من المحطات الهاتفية داخل المؤسسة.
معيار أمان بيانات صناعة بطاقات الدفع
يعد معيار أمان بيانات صناعة بطاقات الدفع معيارًا خاصًا للأمن السيبراني للمؤسسات التي تتعامل مع بطاقات الائتمان ذات العلامات التجارية المتوفرة من منظومات البطاقات الرئيسية بما في ذلك بطاقات فيزا، وماستر كارد، وأمريكان اكسبريس، وديسكفر، وجي سي بي.
اختبار الاختراق
منهجية اختبار يحاول من خلالها المقيِّمون، الذين يعملون في ظل قيود محددة ويستخدمون بشكل اختياري جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، وكود المصدر، والأدلة التشغيلية)، التحايل على الخصائص الأمنية لنظام المعلومات.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)الأجهزة الشخصية
الأجهزة التي لا تملكها أو تصدرها المؤسسة مثل الهواتف الذكية.
الأمن المادي
الحماية المادية للمنشآت التي تستضيف أصول المعلومات ضد الأحداث الأمنية المقصودة وغير المقصودة.
رقم التعريف الشخصي
كلمة مرور مكونة من أرقام عشرية فقط. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حساب / وصول مميز
حساب نظام معلومات يتمتع بصلاحيات معتمدة لأداء المهام المتعلقة بالأمن والتي لا يجوز للمستخدمين العاديين القيام بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خادم وكيل
خادم يخدم طلبات عملائه عن طريق إعادة توجيه تلك الطلبات إلى خوادم أخرى. ويقوم بتوجيه وتصفية الاتصالات بين الشبكات. انظر أيضًا "خادم البوابة".
الخدمة السحابية العامة
الخدمات التي يتم تقديمها عبر شبكة مفتوحة للجمهور. يمتلك مقدمو الخدمات السحابية العامة البنية التحتية في مركز البيانات الخاص بهم ويقومون بتشغيلها ويتم الوصول إليها بشكل عام عبر الإنترنت.
محاكاة الهجمات السيبرانية
تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المرونة
القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة
مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
القدرة على تحمل المخاطر
مقدار ونوع المخاطر التي ترغب المؤسسة في تحملها من أجل تحقيق أهدافها الإستراتيجية. راجع أيضًا "تحمل المخاطر". (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ملف المخاطر
وصف لأي مجموعة من المخاطر التي تتعلق بالمؤسسة بأكملها، أو جزء منها، أو كما تم تعريفه بطريقة أخرى. وسوف يحدد ملف تعريف المخاطر عدد المخاطر، ونوع المخاطر، والآثار المحتملة للمخاطر. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
سجل المخاطر
سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تحمل المخاطر
التباين المقبول بين الأداء وتحقيق الأهداف. يشار اليه أيضًا "القدرة على تحمل المخاطر". (الإطار المتكامل للرقابة الداخلية الصادر عن لجنة المنظمات الراعية)
علاج المخاطر
عملية تعديل المخاطر التي يمكن أن تتضمن تجنب المخاطر من خلال اتخاذ قرار بعدم البدء أو الاستمرار في النشاط الذي يؤدي إلى المخاطرة؛ أو المخاطرة أو زيادة المخاطرة من أجل متابعة فرصة ما؛ أو إزالة مصدر المخاطرة؛ أو تغيير الاحتمالية؛ أو تغيير العواقب؛ أو مشاركة المخاطرة مع طرف أو أطراف أخرى؛ أو الاحتفاظ بالمخاطرة بقرار مستنير. يُشار أحيانًا إلى علاجات المخاطر التي تتعامل مع العواقب السلبية باسم "تخفيف المخاطر" و"القضاء على المخاطر" و"منع المخاطر" و"تقليل المخاطر". يمكن أن تؤدي معالجات المخاطر إلى خلق مخاطر جديدة أو تعديل المخاطر الحالية. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ثقافة الوعي بالمخاطر
القيم المشتركة، والمعتقدات، والمعرفة، والمواقف، والفهم، فيما يتعلق بالمخاطر داخل المؤسسة. في ثقافة المخاطر القوية، يقوم الأشخاص بتحديد المخاطر ومناقشتها وتحمل المسؤولية عنها بشكل استباقي. (معهد إدارة المخاطر)
تحليل السبب الجذري
نهج خاص بالأنظمة قائم على المبادئ لتحديد الأسباب الأساسية المرتبطة بمجموعة معينة من المخاطر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
البيئة التجريبية
بيئة تنفيذ مقيدة وخاضعة للتحكم تمنع البرامج الضارة المحتملة، مثل رمز الهاتف المحمول، من الوصول إلى أي موارد خاصة بالأنظمة باستثناء تلك التي تم ترخيص البرنامج لها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خدمات التنقية
خدمة تحلل حركة مرور شبكة المؤسسة وتزيل حركة المرور الضارة (هجمات حجب الخدمات، والثغرات الأمنية وعمليات الاستغلال).
دورة حياة تطوير النظام
تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معيار التطوير الآمن للبرامج
وثيقة تصف مجموعة موحدة من القواعد والإرشادات لتطوير البرامج الحاسوبية التي تحمي من إدخال الثغرات الأمنية بلا قصد. وتتضمن الأمثلة ممارسات التطوير الآمن للبرامج الخاصة بمشروع أمان تطبيقات الويب المفتوح ومعايير الترميز الآمنة الخاصة بمعهد هندسة البرمجيات.
التخلص الآمن
التخلص من المعدات والوسائط مما يقلل من مخاطر الكشف غير المرغوب فيه.
الحذف الآمن
تقنية الكتابة الفوقية باستخدام عملية قائمة على البرامج الثابتة للكتابة فوق محرك الأقراص الثابتة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المحو الآمن
راجع "الحذف الآمن".
هيكلية الأمن
راجع "هيكلية الأمن السيبراني".
ضابط أمني
راجع "ضوابط الأمن السيبراني"
اختبار أمني
فحص وتحليل التدابير الوقائية المطلوبة لحماية نظام المعلومات، تطبيقها في بيئة تشغيلية، لتحديد الوضع الأمني لذلك النظام. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معلومات حساسة
المعلومات أو فقدانها أو إساءة استخدامها أو الوصول إليها أو تعديلها بشكل غير مصرح به، مما قد يؤثر سلبًا على الشؤون المؤسسية، أو الخصوصية التي يحق للأفراد التمتع بها. إضافة إلى ذلك، المعلومات الحساسة هي المعلومات التي تعتبر حساسة وفقًا لسياسة تصنيف البيانات المؤسسية (راجع "تصنيف البيانات"). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المعلومات الأمنية والأحداث
أداة إدارة المعلومات الأمنية والأحداث هي نظام يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات ويقدم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
اتفاقية مستوى الخدمة
تحدد اتفاقية مستوى الخدمة المسؤوليات المحددة لمقدم الخدمة وتحدد توقعات العملاء. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مركز العمليات الأمنية
مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة.
برنامج رمز التحقق من الهوية
برنامج رمز التحقق من الهوية (المعروف أيضًا باسم برنامج رمز الأمان الافتراضي) هو النسخة البرمجية من جهاز رمز التحقق من الهوية. وعادةً ما يتم إنشاء برامج رمز التحقق من الهوية بواسطة خادم مركزي يقوم بتشغيل برامج الأمان وإرسالها إلى أجهزة المستخدمين. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). راجع أيضًا "جهاز رمز التحقق من الهوية".
إستراتيجية
راجع "استراتيجية الأمن السيبراني".
تهديد
راجع "تهديد الأمن السيبراني"
استخبارات التهديدات
استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-Gartner)
مشهد التهديد
1. نظرة عامة حول التهديدات، بالإضافة إلى الاتجاهات الحالية والناشئة. 2. مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. (وكالة الاتحاد الأوروبي للأمن السيبراني)
رمز التحقق من الهوية (Token)
شيء يمتلكه المستخدم ويتحكم فيه (عادةً ما يكون مفتاحًا أو كلمة مرور) يُستخدم للتحقق من هوية المستخدم. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة البائعين
ممارسة التأكد من التزام مقدمي الخدمات الخارجيين بنفس معايير أمن المعلومات التي يجب على المؤسسة الالتزام بها وتتضمن تقييمات أمنية دورية.
الثغرة الأمنية
ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الثغرات الأمنية
إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "ثغرة أمنية".
مبادئ تحليل التهديدات السيبرانية للقطاع المالي
الرقم: 43065348 التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 الحالة:نافذ أشير إلى استراتيجية الأمن السيبراني للقطاع المالي الهادفة إلى خلق قطاع مالي آمن وموثوق يُمكّن من النمو والازدهار، ومن خلال متابعة التغير في نماذج الأعمال للمؤسسات المالية، والاعتماد على التقنية في المعاملات المالية، واستقطاب تقنيات ناشئة وحديثة.
عليه؛ فقد لوحظ تغير في مستوى التهديدات السيبرانية (Threat Landscape) للقطاع المالي والذي نتج عنه تطور سريع وملحوظ من قبل مجموعات الاختراق المتقدمة ("Advance Persistence Threats "APT) التي تستهدف القطاع المالي لأغراض مختلفة وذلك على عدة أصعدة وأساليب وأدوات وإجراءات مستخدمة من قبلهم، مما يُحتم تطوير قدرات الرصد والتقصي للمؤسسات المالية للعمل بشكل استباقي يواكب تطور مجموعات الاختراق،
بناءً عليه، وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم باعتماد (Financial Sector Cyber Threat Intelligence Principles) مبادئ تحليل التهديدات السيبرانية للقطاع المالي والتي تهدف إلى وضع أسس علمية وعملية للرصد والتقصي عن التهديدات السيبرانية وتعزيز ممارسات المؤسسات المالية في استقصاء التهديدات السيبرانية (Threat Landscape) لأخذ الإجراءات الاحترازية وتغذية مختلف الإدارات التقنية والتشغيلية وإدارات الأعمال بمعلومات استباقية (Threat Intelligence) تلائم عمل هذه الإدارات، حيث تم تقسيم المبادئ على عدة مستويات كالآتي:- مبادئ أساسية - والتي يتطلب العمل بها كأساس لجميع عمليات الرصد والتقصي عن التهديدات السيبرانية.
- مبادئ استراتيجية - تركز على الجوانب الإستراتيجية للمعلومة المتقصَّى عنها مثل أهداف ودوافع مجموعات الاختراق وتحديد سيناريوهات الاختراق والهجوم المتوقعة حسب مستوى التهديدات السيبرانية للجهة والقيام بالتقييمات اللازمة،
- مبادئ تشغيلية - تستهدف تحليل الأنماط والأساليب التشغيلية لمجموعات الاختراق مثل البرامج الخبيئة والإجراءات المتبعة وتصنيف المراحل المختلفة للهجمات (Taxonomization).
- مبادئ تقنية - وهي المبادئ المتعارف عليها في تحليل الهديدات السيبرانية للخروج بمؤشرات الاختراق وضوابط الكشف والتصدي عن الهجمات السيبرانية.
عليه، ولتعزيز المرونة السيبرانية للقطاع المالي ورفع مستوى النضج للرصد والتصدي الاستباقي للتهديدات السيبرانية؛ فقد تقرر الآتي:
- عمل تقييم دقيق للوضع الحالي لإدارة التهديدات الأمنية (Threat Intelligence) في المؤسسة المالية مقارنة بما ورد في المبادئ (Gap Assessment) بمختلف تصنيفاتها لتحديد الفجوات.
- وضع خطة عمل (Roadmap) للالتزام التام بالمبادئ اعتباراً من تاريخه، وذلك حسب المدد التالية:
أ. ستة أشهر للمبادئ الأساسية والتشغيلية والتقنية.
ب. اثنا عشر شهراً للمبادئ الإستراتيجية. - يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم لتطبيقها.
- على لجنة الأمن السيبراني في المؤسسة المالية متابعة تطبيق المبادئ ومدى الالتزام بالخطة المعتمدة وتقديم الدعم الكامل لحل العقبات والتحديات التي تواجه الفرق المختصة في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه أن يؤثر أو يعيق تطبيق المبادئ.
يتعين على المؤسسة المالية تقديم الدعم اللازم لإدارة الأمن السيبراني لتطبيق كل ما ورد في الدليل وتعزيز دور تحليل التهديدات السيبرانية والتأكيد على تزويدهم بالكفاءات والكوادر الوطنية المدربة والأدوات التقنية والتدريب الملائم للقيام بمهامهم على أكمل وجه.
كما نود الإحاطة بأن البنك المركزي سيقوم بعمل زيارات إشرافية للتحقق من الالتزام التام بهذه المبادئ، وفي حال وجود استفسارات بهذا الخصوص يمكن التواصل مع الإدارة العامة للرقابة على المخاطر السيبرانية ممثلةً بالمركز الاستشرافي للأمن السيبراني على البريد الإلكتروني: (CFC@SAMA.GOV.SA).
مقدمة
مع الرقمنة التدريجية للخدمات المالية، أصبحت حماية البيانات الحساسة والمعاملات وإتاحة الخدمات من أولويات القطاع المالي في المملكة العربية السعودية. ولا تعد هذه الخدمات أساسية للاقتصاد العالمي والوطني فحسب، بل إنها حيوية أيضًا للابتكار الرقمي والأمن القومي.
وتشكل الهجمات السيبرانية تحدياً كبيراً للمؤسسات بشكل متزايد، حيث أصبحت الجهات الفاعلة في مجال التهديد أكثر تقدماً وتطور باستمرار أساليب عملها ونواقل الهجوم. وتُمكِّن استخبارات التهديدات السيبرانية المؤسسات من جمع وتحليل ومشاركة البيانات المتعلقة بالتهديدات السيبرانية. إن الفهم الأفضل لهذه التهديدات السيبرانية، الحالية والناشئة على حد سواء، يمكّن المؤسسات من استباق الهجمات السيبرانية وحماية أصول المعلومات الهامة.
تعد الوثيقة امتدادًا للدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي، وتحديدًا في المجال الفرعي "إدارة التهديدات" المرتبط به. ووضع البنك المركزي مبادئ استخبارات التهديدات السيبرانية بهدف توسيع نطاق ممارسات استخبارات التهديدات السيبرانية في القطاع المالي الذي ينظمه البنك المركزي.
نطاق التطبيق
هذه الوثيقة إلزامية لجميع المؤسسات المالية الخاضعة لرقابة البنك المركزي.
وهي مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات والرؤساء التنفيذيين لأمن المعلومات والأفراد المسؤولين عن تحديد وتنفيذ ومراجعة معلومات التهديدات السيبرانية داخل المؤسسات المالية.
المسؤوليات
تم إصدار هذه الوثيقة بتكليف من البنك المركزي، وهو الجهة المالكة للوثيقة والمسؤولة عن تحديثاتها الدورية. تتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المبادئ الواردة في هذه الوثيقة.
المراجعة والتحديثات والحفظ
سيقوم البنك المركزي بمراجعة الوثيقة دوريًا لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والمؤسسات المالية. إذا لزم الأمر، سيقوم البنك المركزي بتحديث الوثيقة بناءً على نتائج المراجعة. بمجرد تطبيق التغييرات، سيقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغه إلى جميع المؤسسات المالية.
مبادئ استخبارات التهديدات السيبرانية
تصف مبادئ استخبارات التهديدات السيبرانية أفضل الممارسات التي تركز على إنتاج ومعالجة ونشر استخبارات التهديدات لتعزيز تحديد التهديدات السيبرانية ذات الصلة بالقطاع المالي في المملكة العربية السعودية والتخفيف من حدتها من خلال استخبارات التهديدات القابلة للتنفيذ.
تم وضع هيكل الوثيقة بناءً على أنواع مختلفة من استخبارات التهديدات السيبرانية. إن المبادئ الواردة في كل قسم من الأقسام (الأساسية والاستراتيجية والتشغيلية والتقنية والتكتيكية) لها أغراض مختلفة تهدف إلى ممارسة شاملة لاستخبارات التهديدات السيبرانية. على وجه التحديد:
تُعد مبادئ استخبارات التهديدات السيبرانية الأساسية شرطًا أساسيًا لممارسة استخبارات التهديدات السيبرانية والإبلاغ بالأنواع الأخرى من استخبارات التهديدات السيبرانية. وهي تتضمن الأنشطة المطلوب تنفيذها لتخطيط وإنتاج ونشر استخبارات التهديدات السيبرانية.
تشتمل مبادئ استخبارات التهديدات السيبرانية الإستراتيجية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد الهدف والدوافع والنوايا للجهات الفاعلة في مجال التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية التشغيلية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد طريقة العمل والسلوك والتقنيات المستخدمة من قبل جهات التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية الفنية والتكتيكية على ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد المكونات والمؤشرات الفنية للهجمات السيبرانية.
يجب أن تطبق المؤسسات المالية جميع المبادئ. إن اعتماد نهج تدريجي للتنفيذ الكامل للمبادئ أمر متروك لتقدير المؤسسات المالية. تنطبق المبادئ الواردة في هذه الوثيقة أيضًا على المؤسسات المالية التي تستعين بمصادر خارجية من أجل قدرات استخبارات التهديدات السيبرانية الخاصة بها.
تم تنظيم هذه الوثيقة في أربعة مجالات بما في ذلك استخبارات التهديدات السيبرانية الأساسية، واستخبارات التهديدات السيبرانية الإستراتيجية، واستخبارات التهديدات السيبرانية التشغيلية، واستخبارات التهديدات السيبرانية الفنية والتكتيكية كما هو مفصل في الرسم البياني أدناه:
شكل 1. مبادئ استخبارات التهديدات السيبرانية
المجال 1: مبادئ استخبارات التهديدات السيبرانية الأساسية
تضع مبادئ استخبارات التهديدات السيبرانية الأساسية خط أساس لتخطيط وجمع ومعالجة وتحليل ونشر استخبارات التهديدات السيبرانية استناداً إلى إطار عمل دورة حياة المعلومات الاستخباراتية.
يستند قسم مبادئ استخبارات التهديدات الأساسية إلى المراحل الرئيسية لدورة حياة المعلومات الاستخباراتية، بما في ذلك نشر استخبارات التهديدات والتحسين المستمر لقدرات وأداء المؤسسات المالية في مجال استخبارات التهديدات.
تسمح دورة حياة الاستخبارات لفرق الأمن بتحليل المعلومات وفهمها ومنعها والدفاع عن شبكاتهم من الهجمات السيبرانية. وهي العملية التي يتم من خلالها تحديد البيانات والمعلومات الأولية وجمعها وتحليلها. بعد ذلك، يتم تحويل البيانات والمعلومات الأولية إلى استخبارات لاستخدامها واتخاذ إجراءات بشأنها من قبل المؤسسات المالية. تتمثل دورة حياة الاستخبارات بشكل كامل في المبادئ الأساسية التالية.
المبدأ 1: تحديد الأدوار والمسؤوليات
يجب على المؤسسات المالية تحديد الأدوار والمسؤوليات داخل المؤسسة لإنتاج استخبارات التهديدات مع توقع إنشاء قدرة خاصة بها في مجال استخبارات التهديدات السيبرانية. ويجب أن يشمل ذلك فريقاً مخصصاً مسؤولاً عن إنتاج ونشر استخبارات التهديدات السيبرانية. إضافة إلى ذلك، يجب أن يكون فريق استخبارات التهديدات السيبرانية مدعوماً بموارد ماهرة مزودة بأدوات متطورة محددة الغرض وميزانية محددة. يجب على المؤسسات المالية تحديد قنوات الاتصال داخل المؤسسة بين فريق استخبارات التهديدات السيبرانية والفرق الأخرى، بما في ذلك مع أصحاب المصلحة (مثل فرق الأمن السيبراني وقادة الأعمال وفريق المخاطر، إلخ) ومع المؤسسات الخارجية.
المبدأ 2: تحديد متطلبات تخطيط وجمع استخبارات التهديدات
يجب على المؤسسات المالية وضع مجموعة من متطلبات استخبارات التهديدات لتوجيه جهود إنتاج الاستخبارات بكفاءة وتحديد ماهية الاستخبارات التي ينبغي إنتاجها لتلبية أهدافها الأمنية والتجارية. ولتحديد هذه المتطلبات، يجب على المؤسسات المالية تحديد نطاق التحليل (على سبيل المثال، التنظيمي والقطاعي والوطني، وما إلى ذلك) والنظر في مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها (مثل التقنية، وجهات التهديد، وما إلى ذلك). إضافة إلى ذلك، يجب على المؤسسات المالية ضمان المراجعة الدورية للمتطلبات المحددة. ويتوفر المزيد من الشرح لمجالات التحليل في "الملحق ب. مجالات التحليل".
المبدأ 3: تحديد المصادر ذات الصلة والتحقق من صحتها
يجب على المؤسسات المالية اختيار المصادر بما يتماشى مع متطلبات استخبارات التهديدات المحددة. علاوة على ذلك، يجب على المؤسسات المالية تحديد نوع المصادر التي يجب استخدامها، وفهم المصادر التي من المحتمل أن تنتج المعلومات المطلوبة، والنظر في مجموعة كبيرة من المصادر المختلفة لتمكينها من بناء فهم شامل للتهديدات ذات الصلة بالقطاع المالي. إضافة إلى ذلك، يجب على المؤسسات المالية تقييم موثوقية وسمعة كل مصدر مع مراعاة معايير محددة. وتشمل هذه المعايير جودة المعلومات ودقتها، والتوقيت المناسب فيما يتعلق بالإبلاغ، والمعلومات التقنية المتضمنة، وشمولية تغذية التهديدات، ونوع المعلومات التي تتماشى مع متطلبات استخبارات التهديدات المحددة.
ويجب على المؤسسات المالية اختيار المصادر التي توفر معلومات ذات صلة بأعمالها وتتماشى مع متطلبات استخبارات التهديدات المحددة. ويمكن أن تكون هذه المصادر خارجية أو داخلية للمؤسسة. تتوفر أمثلة للمصادر الداخلية والخارجية في "الملحق ج. أنواع المصادر".
المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات
يجب على المؤسسات المالية جمع البيانات من خلال مصادر استخباراتية مختلفة (مثل استخبارات المصادر المفتوحة والاستخبارات الفنية واستخبارات وسائل التواصل الاجتماعي والاستخبارات البشرية واستخبارات شبكة الإنترنت العميق وشبكة الإنترنت المظلم). وسيؤدي جمع المعلومات من مجموعة متنوعة من المصادر إلى إجراء تقييمات شاملة للتهديدات التي تواجهها المؤسسة. وتتوفر أمثلة على أنواع الاستخبارات في "الملحق د. أنواع الاستخبارات". ويجب اتباع إجراءات التشغيل القياسية المحددة لإجراء الاستخبارات على النحو المحدد في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 5: تحديد إجراءات التشغيل القياسية المحددة
يجب على المؤسسات المالية تحديد إجراءات تشغيل قياسية محددة عند إجراء أنواع محددة من الاستخبارات على النحو المفصل في "المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات". ويجب على المؤسسات المالية وضع مجموعة من التعليمات للأفراد داخل المؤسسات لأداء استخبارات التهديدات السيبرانية لضمان الإجراءات الوظيفية، مع تقليل سوء الفهم والغموض في نفس الوقت. ويجب أن تكون إجراءات التشغيل الموحدة موجهة نحو التفاصيل وتوفر تعليمات خطوة بخطوة حول كيفية قيام المحللين داخل المؤسسات المالية باستكمال المهام والعمليات المتعلقة بـ استخبارات التهديدات السيبرانية. وتتوفر أمثلة على إجراءات التشغيل القياسية في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 6: معالجة المعلومات وتصنيفها
يجب على المؤسسات المالية معالجة وتصنيف الاستخبارات التي تم جمعها - إما يدوياً أو آلياً أو مزيجاً من الاثنين - من المصادر المختارة وتخزينها بشكل آمن. علاوة على ذلك، يجب على المؤسسات المالية الرجوع إلى "بروتوكولات اتصالات الأمن السيبراني الخاصة بالبنك المركزي" عند استخدام مخطط التصنيف حسب بروتوكول الإشارات الضوئية لجمع المعلومات ومعالجتها.
المبدأ 7: تحليل المعلومات
يجب على المؤسسات المالية تطبيق مجموعة متنوعة من الأساليب التحليلية الكمية والنوعية لتحليل أهمية المعلومات المعالجة وآثارها، وبالتالي إنتاج استخبارات قابلة للتنفيذ. وعلاوة على ذلك، ستقوم المؤسسات المالية بدمج وتحليل مختلف المعلومات التي يتم جمعها من مصادر متنوعة لتحديد الأنماط والاتجاهات والتطورات الجديدة ذات الصلة بالمؤسسة المالية.
ويجب على المؤسسات المالية اعتماد مناهج تحليلية ملائمة (على سبيل المثال: النهج التحليلي القائم على الفرضيات، و/أو التحليل، و/أو التحليلات المتناقضة) للتأكد من أن الاستخبارات المنتجة تلبي متطلبات الاستخبارات على النحو المحدد في "المبدأ 2: تحديد متطلبات استخبارات التهديد". وترد أمثلة على أنواع مختلفة من الأساليب التحليلية في "الملحق ز. النهج التحليلي".
المبدأ 8: مشاركة الاستخبارات
يجب على المؤسسات المالية وضع معايير مشاركة محددة لنشر استخبارات التهديدات. وتتوفر أمثلة على طرق تسليم استخبارات التهديدات في "الملحق هـ، طرق تسليم استخبارات التهديدات".
ويجب على المؤسسات المالية إرساء ممارسة لغوية متسقة ودقيقة في جميع أنحاء المؤسسة لضمان إمكانية تطبيق استخبارات التهديدات على نطاق واسع. ولإيصال استخبارات التهديدات بشكل واضح، ينبغي على المؤسسات المالية أن تعتمد على سبيل المثال على دليل الكتابة (مثل دليل أسلوب الإيكونوميست). كما يجب عليهم استخدام نظام "الاحتمالات التقديرية" أثناء الانخراط في التحليل على النحو المحدد في "نموذج استشارات التهديدات الصادر عن البنك المركزي".
ويجب على المؤسسات المالية نشر استخبارات التهديدات بطريقة فعالة ودقيقة وفي الوقت المناسب. ويجب تقديمها بطريقة واضحة وموجزة ومتسقة عند مشاركتها مع أصحاب المصلحة الداخليين المعنيين. وعند مشاركة الاستخبارات مع البنك المركزي، يجب على المؤسسات المالية تحديد الإجراءات التي تساعد على التحكم في نشر وتوزيع المعلومات المتعلقة بالتهديدات.
ويجب أن يتم تصنيف جميع المعلومات التي تنتجها المؤسسات المالية وفقًا لمخطط تصنيف بروتوكول الإشارات الضوئية وفقًا لـ "بروتوكولات اتصالات الأمن السيبراني الصادرة عن البنك المركزي".
المبدأ 9: تقديم استخبارات التهديدات القابلة للتنفيذ
يجب على المؤسسات المالية تنفيذ القرارات والإجراءات ذات الصلة بناءً على الاستخبارات التي تم إنتاجها للمساعدة في بناء مرونة القطاع المالي في المملكة العربية السعودية. ويجب على المؤسسات المالية أن تأخذ بعين الاعتبار ماهية الإجراءات اللازمة، ومن سيتخذ هذه الإجراءات، والإطار الزمني لتوقع الهجوم أو الرد عليه. واستنادًا إلى استخبارات التهديدات المتحصل عليها، يحب على المؤسسات المالية اتخاذ إجراءات أو تدابير التخفيف ذات الصلة من أجل تحسين البنية التحتية الدفاعية والقدرة على المرونة اعتمادًا على معرفتها بالتهديدات ذات الصلة (على سبيل المثال، معرفة التقنيات التي تعتمدها جهات التهديد على الشبكة يمكن أن تساعد المؤسسات المالية على تحديد أولويات ضوابط التخفيف).
ويجب أن يقوم فريق استخبارات التهديدات في المؤسسة المالية بمشاركة الاستخبارات ذات الصلة مع الإدارات الأخرى ذات الصلة مثل مركز العمليات الأمنية وتقنية المعلومات وما إلى ذلك، وينبغي أن تتم مشاركة هذه المعلومات وفقًا لـ "المبدأ 8: مشاركة الاستخبارات". ويجب على هذه الإدارات أيضًا مشاركة المعلومات التي تعتبر ذات صلة بقدرة استخبارات التهديدات السيبرانية حتى يتسنى تغذية تقييمات استخبارات التهديدات واستكمالها.
المبدأ 10: التحسين المستمر لأساليب الاستخبارات
يجب على المؤسسات المالية المحافظة باستمرار على إنتاج ومعالجة وتحليل ونشر استخبارات التهديدات وتحديثها وتحسينها بهدف زيادة نضج القطاع المالي في المملكة العربية السعودية بشكل مستمر. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضًا تحديث متطلبات استخبارات التهديدات الحالية بانتظام استنادًا إلى الملاحظات الواردة من أصحاب المصلحة الداخليين والخارجيين، ومستخدمي استخبارات التهديدات، والتغيرات في الصناعة، والتطورات في مشهد التهديد السيبراني العالمي.
ويجب على المؤسسات المالية إجراء تحليل دوري للمعلومات المتعلقة بالتهديدات التي يتم جمعها والتحقق من ملاءمتها (على سبيل المثال من حيث الدافع والهدف وطريقة العمل والقدرة وما إلى ذلك) وفقًا للأصول والبيانات التي تتم معالجتها من قبلها. كما يجب على المؤسسات المالية النظر في الاستعانة بخدمات مزود متخصص في مجال استخبارات التهديدات، والذي يمكنه تقديم رؤى ذات صلة لاستكمال فهم المؤسسة الحالي للتهديدات.
يجب أن تنظر المؤسسات المالية في استخدام مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية والأهداف والنتائج الرئيسية لقياس التقدم المحرز وتحديث ممارسات وبروتوكولات الاستخبارات بما يتماشى مع إجراءاتها الداخلية.
المبدأ 11: دمج استخبارات التهديدات السيبرانية
يجب على المؤسسات المالية النظر في دمج استخبارات تقنية المعلومات في تقييمات الوعي الظرفي واختبارات فريق محاكاة الاختراق بما يتماشى مع "إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية".
وسيساعد الدمج ضمن أنشطة الوعي الظرفي في بناء فهمًا استراتيجيًا للحوادث السيبرانية، على سبيل المثال، تحديد جهات التهديد، والاتجاهات في أنشطتها، وأهدافها. إضافةً إلى ذلك، سيوفر فهمًا تكتيكيًا للأحداث أو المواقف في الفضاء السيبراني وسيسهل اتخاذ القرارات الفعالة والكفؤة في أوقات الأزمات.
يجب على المؤسسات المالية أيضًا أن تأخذ في الاعتبار أن دمج استخبارات التهديدات السيبرانية في أنشطة تقييمات فريق محاكاة الاختراق من شأنه أن يساعد في الحصول على فهم أفضل لكيفية وصول المهاجمين السيبرانيين إلى الشبكات والبيانات الحساسة. ويمكن أن يساعد ذلك في التحقق من صحة الوضع الأمني للمؤسسة والمساعدة وفي وضع تحسينات العمليات في سياقها عبر تسليم المزيد من الاستخبارات حول المخاطر السيبرانية وتأثيرها المحتمل وخيارات المعالجة.
المجال 2: استخبارات التهديدات السيبرانية الاستراتيجية
بالنظر إلى الطبيعة المتغيرة لبيئة مشهد التهديدات، تسمح استخبارات التهديدات السيبرانية الاستراتيجية بمراقبة النظام البيئي السيبراني باستمرار ومنع التهديدات.
وتساعد استخبارات التهديدات السيبرانية الاستراتيجية على وجه التحديد في تحديد وفهم التهديدات التي يتعرض لها القطاع المالي. فهي توفر مستوى معلومات التهديد التي تركز على أهداف ودوافع ونوايا جهات التهديد السيبرانية، وتهدف استخبارات التهديدات السيبرانية الاستراتيجية إلى فحص الإسناد، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم النظام البيئي للقطاع المالي.
وتضمن مشهد التهديد معلومات عن جهات التهديد الأكثر صلة بالمؤسسات المالية، وخصائصها الرئيسية، والاتجاهات السيبرانية الرئيسية في القطاع المالي في جميع أنحاء العالم.
وتم توجيه هذه المعلومات إلى الإدارة التنفيذية ذات الصلة (مثل الرئيس التنفيذي لأمن المعلومات) الذي سيقوم بنقل المعلومات إلى الأطراف الأخرى ذات الصلة (مثل إدارة تقنية المعلومات وقادة الأعمال، وما إلى ذلك). تساعد تقنية استخبارات التهديدات السيبرانية الإستراتيجية في فهم المؤسسة للتهديدات السيبرانية الحالية، والتهديدات المستقبلية غير المعروفة، وجهات التهديد، وإسناد الهجمات. وهذا الفهم أمرًا أساسيًا لاتباع نهج استباقي للأمن السيبراني من أجل بناء مرونة القطاع المالي في المملكة العربية السعودية.
المبدأ 12: تحديد مشهد التهديدات السيبرانية
يجب على المؤسسات المالية أن تحدد مشهد التهديدات السيبرانية ذات الصلة بمؤسساتها وعملياتها، مع معلومات عن الأصول والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. ويشمل ذلك تحديد الأحداث التي يمكن أن تؤثر على مشهد التهديدات في القطاع المالي.
وعلاوة على ذلك، يجب على المؤسسات المالية تحديد جهات التهديد التي قد تنوي استهدافها، وخصائصها الرئيسية بما في ذلك مصدرها ونواياها ودوافعها وقدراتها. ويجب على المؤسسات المالية، بعد تحديد مشهد التهديدات التي تواجهها، إجراء تقييم للتهديدات التي تم تحديدها لتحديد الأولويات الأكثر صلة. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضاً تحديد الاتجاهات السيبرانية الرئيسية التي من المرجح أن تؤثر على التطورات المستقبلية لمشهد التهديدات السيبرانية.
المبدأ 13: تحديد سيناريوهات الهجوم السيبراني الاستراتيجي
يجب أن تحدد المؤسسات المالية سيناريوهات الهجمات السيبرانية الاستراتيجية التي توفر تمثيلاً واقعياً للهجمات السيبرانية المحتملة ضدها. ويجب أن تشتمل هذه السيناريوهات على جهة تهديد أو أكثر، وتتناول هدفًا واحدًا أو أكثر، والتأثيرات المحتملة للسيناريوهات.
ولوضع سيناريوهات الهجمات السيبرانية الاستراتيجية، يجب على المؤسسات المالية تحديد أوجه التشابه في سمات جهات التهديد أو الحملات المهددة ضمن مشهد التهديدات المبين في "المبدأ 12: تحديد مشهد تهديد سيبراني" (على سبيل المثال، أسلوب مماثل، نوع هجوم مماثل، وما إلى ذلك). إضافةً إلى ذلك، يجب على المؤسسات المالية إجراء تقييمًا للسيناريوهات المحددة من أجل تحديد أولويات السيناريوهات الأكثر احتمالاً وتأثيراً، ويجب أن تتخذ الإجراءات التصحيحية ذات الصلة بناءً على التهديدات والسيناريوهات المحددة. ويجب تحديد دورية تقييم السيناريوهات المحددة من قبل المؤسسات المالية بناءً على عملياتها الداخلية الخاصة بها.
المبدأ 14: تفصيل طلبات الحصول على المعلومات وتقييمات التهديدات المخصصة
يجب أن تكون المؤسسات المالية قادرة على توفير، عند الطلب، معلومات مفصلة (مثل التهديدات السيبرانية والاتجاهات والأحداث والبرمجيات الخبيثة أو الأدوات) المتعلقة بالهجمات السيبرانية المحتملة التي يمكن أن تستهدفها. ويمكن أن تكون تلك المعلومات، على سبيل المثال، في صورة ملفات تعريفية عن جهات التهديد، أو ملفات تعريفية عن البلدان، أو تحليلات للبرمجيات الخبيثة أو الأدوات، أو دراسات الاتجاهات السيبرانية.
ويجب أن تكون المؤسسات المالية، استناداً إلى الاستخبارات التي يتم إنتاجها، قادرة على إجراء تقييمات مخصصة للتهديدات لتحديد مدى صلة التهديدات المحتملة ومستواها، فضلاً عن احتمالية وقوع هجمات.
ويتحمل الرئيس التنفيذي لأمن المعلومات مسؤولية التحقق من جودة المعلومات ومدى ملاءمتها. ويمكن أن تكون هذه المعلومات ذات أهمية خاصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات وغيرهم. وتتمتع هذه المعلومات بقيمة خاصة على سبيل المثال عند تحديد استراتيجيات العمل، أو التخطيط للتدخلات الأمنية، أو في أعقاب الحوادث السيبرانية الكبيرة في القطاع أو في الدولة.
المجال 3: استخبارات التهديدات السيبرانية التشغيلية
تساعد استخبارات التهديدات السيبرانية التشغيلية المؤسسات المالية على فهم طبيعة ونية وتوقيت هجوم معين، وتوفر نظرة ثاقبة لسلوك جهة التهديد على الشبكة.
كما أنه توفر معلومات مفصّلة حول سلوك وطريقة عمل جهات التهديد المستخدمة لتنفيذ الهجمات السيبرانية. وبشكل عام، يتم تصنيف هذه المعلومات عادةً في التكتيكات والتقنيات والإجراءات.
المبدأ 15: تحديد سلسلة الهجوم
يجب على المؤسسات المالية تحديد وتصنيف المراحل المختلفة للهجوم الذي تنفذه جهات التهديد استنادًا إلى المعايير أو الأطر الصناعية (مثل سلسلة القتل، وسلسلة القتل الموحدة، وما إلى ذلك). علاوة على ذلك، يجب على المؤسسات المالية تحليل المعلومات وطريقة عمل جهات التهديد بناءً على نهج منظم للهجمات (على سبيل المثال، يعتمد إطار عمل MITRE نسخة معدلة من سلسلة القتل الموحدة).
المبدأ 16: تحديد التكتيكات والتقنيات والإجراءات
يجب على المؤسسات المالية تحليل المعلومات التي تم جمعها من المصادر المتعلقة بجهات التهديد أو الأدوات أو البرمجيات الخبيثة ذات الصلة لتحديد التقنيات والتكتيكات والإجراءات ذات الصلة. إضافة إلى ذلك، ينبغي أن تعتمد المؤسسات المالية تصنيفاً للهجمات وتصنيفاً لهذه التكتيكات والتقنيات والإجراءات (مثل MITRE ATT&CK). واستناداً إلى التصنيف المحدد، يجب أن يقوموا بوضع ملفات تعريف لسلوكيات جهات التهديد وتحديد الأساليب التي تستخدمها جهات التهديد. كما يجب أن تعتمد المؤسسات المالية أيضاً على مؤشرات الاختراق لتحديد هذه التكتيكات والتقنيات والإجراءات.
المبدأ 17: تحديد البرمجيات الخبيثة والأدوات
يجب على المؤسسات المالية تحديد البرمجيات الخبيثة والأدوات أثناء الهجوم، بالإضافة إلى إجراء تصنيف عام لها لاستخدامها على المستوى المؤسسي (مثل حصان طروادة المصرفي، برمجيات الفدية، إلخ). ويمكن للمؤسسات المالية الحصول على معلومات بشأن الأنواع المختلفة من البرمجيات الخبيثة والأدوات التي تستخدمها جهات التهديد باستخدام مصادر مختلفة، مثل مؤشرات الاختراق وشبكة الإنترنت المظلمة، وشبكة الإنترنت العميقة، والاستخبارات مفتوحة المصدر، ومستودعات الشيفرات البرمجية، ومنصات مشاركة المعلومات، وما إلى ذلك.
المجال 4: استخبارات التهديدات السيبرانية الفنية والتكتيكية
توفر استخبارات التهديدات الفنية والتكتيكية معلومات فنية وتكتيكية عن هجمات محددة تنفذها جهات تهديد مثل مؤشرات الاختراق وقواعد يارا وغيرها.
ويتم جمع مؤشرات معلومات استخبارات التهديدات الفنية من الحملات النشطة والسابقة التي تم الحصول عليها من مصادر عامة و/أو المؤشرات الفنية التي تم جمعها داخل المؤسسة و/أو موجزات البيانات المقدمة من أطراف خارجية.
المبدأ 18: جمع مؤشرات الاختراق
يجب على المؤسسات المالية تحديد وجمع وتجميع مؤشرات الاختراق وتنفيذها في بنيتها التحتية الدفاعية. ويجب أن تكون المؤسسات المالية قادرة على جمع تفاصيل حول التنفيذ المحدد للبرمجيات الخبيثة والأدوات من أجل فهم كيفية احتمال تعرض المؤسسة للهجوم وتحديد ما إذا كانت آليات الكشف والتخفيف المناسبة موجودة أو ما إذا كانت هناك حاجة إلى تنفيذها. إضافةً إلى ذلك، ينبغي على المؤسسات المالية أن تأخذ بعين الاعتبار مختلف منصات ومصادر استخبارات التهديدات للحصول على هذه المعلومات الفنية.
المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
يجب على المؤسسات المالية أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم - صفر التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات المالية (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة المالية اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة المالية استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.
الملاحق
الملحق أ. قائمة المصطلحات
تحتوي القائمة التالية على تعريف للمصطلحات الرئيسية المستخدمة في هذه الوثيقة.
قائمة المصطلحات المصطلح الوصف التطبيق
برنامج يستضيفه نظام المعلومات.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
أصل
البيانات والموظفين والأجهزة والأنظمة والمرافق التي تمكّن المؤسسة من تحقيق أغراض العمل.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة الهجوم
راجع "جهة التهديد". قدرة (جهة التهديد)
موارد ومهارات جهة التهديد. المخاطر السيبرانية
المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة بسبب احتمال الوصول غير المصرح به إلى المعلومات و/أو نظم المعلومات أو استخدامها أو الكشف عنها أو تعطيلها أو تعديلها أو تدميرها.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الأمن السيبراني
يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية. استخبارات التهديدات السيبرانية
المعلومات المتعلقة بالتهديدات التي تم تجميعها أو تحويلها أو تحليلها أو تفسيرها أو إثراؤها لتوفير السياق اللازم لعمليات صنع القرار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
حادث (الأمن السيبراني)
حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مؤشرات الاختراق
تُستخدم مؤشرات الاختراق كدليل جنائي على الاختراقات المحتملة للنظام المضيف أو الشبكة. النية (جهة التهديد)
رغبة جهة التهديد في استهداف مؤسسة معينة. عادةً ما تكون جهات التهديد جهات عقلانية تعمل لغرض واضح (مثل التجسس، وسرقة البيانات/التسلل، والابتزاز، والتدمير، والتعطيل، واختراق سلسلة التوريد). سلسة القتل
طورت شركة لوكهيد مارتن سلسلة القتل واعتمدها الجيش الأمريكي لتحديد وتصنيف المراحل المختلفة للهجوم السيبراني (الاستطلاع، التسليح، التسليم، الاستغلال، التثبيت، القيادة والسيطرة، الإجراءات عند الأهداف). البرمجيات الخبيثة
الأجهزة أو البرامج الثابتة أو البرامج التي يتم تضمينها أو إدخالها عمداً في النظام لغرض ضار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
إطار عمل MITRE ATT&CK
إطار عمل مفتوح المصدر تم تطويره بواسطة MITRE لتصنيف التكتيكات والأساليب والإجراءات التي تستخدمها جهات التهديد عند شن هجمات سيبرانية. المؤسسة المالية
أي جهة خاضعة لإشراف البنك المركزي ورقابته. طريقة العمل
طريقة إجراء، تشير بشكل خاص إلى نمط أو طريقة عمل متميزة تشير أو توحي بعمل مجرم واحد في أكثر من جريمة. دافع
نوع المنفعة أو الضرر الذي تريد جهة التهديد تحقيقه في النهاية من خلال أفعالها. شبكة
نظام (نظم) المعلومات المنفذة بمجموعة من المكونات المترابطة. قد تشمل هذه المكونات أجهزة التوجيه والمحاور والكابلات وأجهزة التحكم في الاتصالات السلكية واللاسلكية ومراكز التوزيع الرئيسية وأجهزة التحكم الفني.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الاستخبارات مفتوحة المصدر
المعلومات ذات الصلة المستمدة من الجمع المنهجي للمعلومات المتاحة للجمهور ومعالجتها وتحليلها استجابة لمتطلبات استخباراتية معروفة أو متوقعة. مؤسسة
شركة أو كيان أو مجموعة من الأشخاص الذين يعملون معًا لغرض معين. منشأ (جهة التهديد)
البلد الذي تشن منه جهة التهديد هجماتها. لا يمكن دائمًا تحديد منشأ جهة التهديد بدقة كافية لأنها تميل إلى إخفاء آثارها. إجراء
الإجراءات هي التنفيذ المحدد الذي تستخدمه جهة التهديد للأساليب.
المصدر: إطار عمل MITRE ATT&CK
عملية
مجموعة من الأنشطة المترابطة أو المتفاعلة التي تحول المدخلات إلى مخرجات. برمجيات الفدية الخبيثة
أحد أشكال البرمجيات الخبيثة المصممة لمنع الوصول إلى نظام الكمبيوتر أو البيانات حتى يتم دفع فدية. وعادة ما يواجه مستخدم النظام المصاب ببرمجيات الفدية الخبيثة برسالة ابتزاز (في كثير من الحالات تكون عبارة عن نافذة منبثقة) تطلب من الضحية دفع فدية لجهة التهديد (عادةً ما تكون بالعملة الرقمية) من أجل استعادة الوصول إلى النظام والبيانات. محاكاة الاختراق (تمرين)
تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المصدر: NIST SP 1800 21B قائمة مصطلحات أمن المعلومات الرئيسية
موارد (جهة التهديد)
تقيس الموارد نطاق وكثافة واستدامة وتنوع المجموعة الإجمالية للإجراءات التي يمكن أن تتخذها جهة التهديد. قطاع
أحد المجالات التي ينقسم فيها النشاط الاقتصادي لبلد ما. خدمة
القدرة أو الوظيفة التي توفرها المؤسسة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مهارة (جهة التهديد)
مدى قدرة جهة التهديد على الاستفادة من الوسائل التقنية (مثل إنشاء برمجيات خبيثة مخصصة) والعمل بوعي وذكاء وإمكانات التعلم وحل المشكلات وتماسك عملية صنع القرار والخبرة التشغيلية. أصحاب المصلحة
الشخص الذي يشارك في مسار العمل أو يتأثر به. استخبارات التهديدات الاستراتيجية
مستوى استخبارات التهديدات التي تركز على أهداف ودوافع ونوايا جهات التهديديات السيبرانية. وتهدف إلى دراسة الإسنادات إلى جهات التهديد السيبرانية، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم ديناميكيات الأنظمة المعقدة واتجاهاتها. ويُعد التحليل الجيوسياسي والقطاعي والسياق أداة أساسية. تكتيك
الهدف التكتيكي لجهة التهديد: سبب القيام بعمل ما.
المصدر: إطار عمل MITRE ATT&CK
هدف (جهة التهديد)
الخيارات التي تتخذها جهات التهديدات فيما يتعلق بهدف (أهداف) هجماتها. حيث تختار جهة التهديد هدفًا بناءً على الموقع والقطاع وأنواع المعلومات المعالجة وسطح الهجوم المتاح. ويلعب المشهد الجيوسياسي دورًا رئيسيًا في نمط استهداف جهات التهديد في الدولة القومية. التصنيف
تصنيف العناصر المترابطة. الأساليب
تمثل الأساليب "كيفية" تحقيق جهة التهديد لهدف تكتيكي من خلال تنفيذ إجراء ما.
المصدر: إطار عمل MITRE ATT&CK
تهديد (الأمن السيبراني)
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة التهديد
الأفراد أو الجماعات أو المؤسسات أو الدول التي تسعى لاستغلال اعتماد المؤسسة على الموارد السيبرانية (أي المعلومات في شكل إلكتروني، وتقنيات المعلومات والاتصالات، وقدرات الاتصالات ومعالجة المعلومات التي توفرها تلك التقنيات) (NIST 2012) أو بشكل أعم "فرد أو مجموعة تشكل تهديدًا" (NIST 2016). مشهد التهديد
مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة.
المصدر: ENISA
متطلبات استخبارات التهديد
توجه متطلبات استخبارات التهديدات جهود إنتاج المعلومات الاستخباراتية بكفاءة وتحدد ماهية المعلومات الاستخباراتية التي ينبغي إنتاجها لتلبية الأهداف الأمنية للمؤسسة نوع (جهة التهديد)
تجميع جهات التهديد التي تشترك في خصائص متشابهة، مثل النوايا والدوافع المتشابهة، وتعمل بطرق متشابهة. سلسلة القتل الموحدة
تطور لإطار عمل سلسلة القتل يوضح بالتفصيل مراحل الهجوم. ناقل (الهجوم)
النهج العام لتحقيق تأثير معين، من خلال الاستفادة من تعرض نوع معين من سطح الهجوم أو منطقة محددة فيه. الملحق ب. مجالات التحليل
يجب على المؤسسات المالية أن تضع متطلبات استخبارات التهديدات بناءً على مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها. وقد تختلف مجالات التحليل هذه باختلاف المؤسسات المالية ، بما في ذلك على سبيل المثال لا الحصر:
- الجغرافيا السياسية: يشمل ذلك متطلبات تحديد الأحداث الجيوسياسية التي قد تحدد هجومًا أمنيًا سيبرانيًا ضمن نطاق التحليل، مثل الحملات العالمية الكبيرة التي تنفذها الجهات الفاعلة في مجال التهديد، وحوادث الأمن السيبراني السابقة الهامة ذات الصلة، وما إلى ذلك.
- جهة التهديد: يتضمن ذلك متطلبات تحديد جهات التهديد الرئيسية التي يجب أن تركز عليها المؤسسة بشكل خاص.
- ناقلات التهديد: يتضمن ذلك متطلبات تحديد أساليب الهجوم ذات الصلة (مثل ناقلات الوصول الأولية، وما إلى ذلك).
- التقنية: يتضمن ذلك متطلبات تقييم الهجمات المحتملة ضد التقنيات التي تعتمد عليها المؤسسة.
- الصناعة: يشمل ذلك متطلبات تحديد الهجمات المحتملة ضد الصناعات ذات الصلة بالمؤسسة (مثل الأطراف الخارجية في سلسلة التوريد أو البنية التحتية الحيوية الوطنية).
الملحق ج. أنواع المصادر
تحتوي الجداول التالية على أمثلة للمصادر الداخلية والخارجية.
المصادر نوع المصادر القطاع العام استخبارات التهديدات المقدمة من البنك المركزي والهيئة الوطنية للأمن السيبراني الهيئات المدنية أو الحكومية الوطنية (مثل سلطات إنفاذ القانون) التقارير أو المعلومات الواردة من السلطات القطاعية أو الوطنية الأخرى (مثل هيئة السوق المالية أو مركز تبادل وتحليل معلومات الخدمات المالية أو المركز الوطني الإرشادي للأمن السيبراني) الأطر العامة (على سبيل المثال. ENISA, EUROPOL, MITRE) المصادر الخارجية القطاع الخاص استخبارات التهديدات من الموردين المتخصصين والمنصات المتاحة عند الاشتراك أو التعاقد تقارير استخبارات التهديدات والأخبار والموجزات والتحليلات المتاحة للعامة القطاع الأكاديمي الأوراق البيضاء المنشورات والمؤتمرات الأكاديمية المجلات الأكاديمية الجدول 1. المصادر الخارجية
المصادر نوع المصادر المصادر الداخلية - سجلات التطبيقات والبنية التحتية
نظام كشف التسلل(IDS)
نظام منع التسلل(IPS)
أنظمة الدفاع الأمني السيبراني
الجدول 2: المصادر الداخلية
الملحق د. أنواع الاستخبارات
يوجد في الوقت الراهن مجموعة كبيرة من أنواع الاستخبارات المختلفة التي يمكن استخدامها للحصول على فهم شامل للتهديدات التي تواجهها المؤسسة.
وتشمل هذه الأنواع من الاستخبارات ما يلي:
- الاستخبارات مفتوحة المصدر (OSINT): معلومات استخباراتية مفتوحة المصدر يتم الحصول عليها من مصادر متاحة للعامة (مثل تقرير التهديد، والمدونة، وما إلى ذلك)
- الاستخبارات الفنية (TECHINT): الاستخبارات الفنية المستمدة من الإشارات التي تولدها الأجهزة أو التطبيقات البرمجية المتصلة بشبكة المؤسسة بشكل روتيني (مثل مؤشرات الاختراق، وتحليل البرمجيات الخبيثة، وتقارير الشفرات، وما إلى ذلك)
- استخبارات وسائل التواصل الاجتماعي (SOCMINT): عملية تحديد البيانات وجمعها والتحقق من صحتها وتحليلها من مواقع وحسابات وسائل التواصل الاجتماعي (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية وغيرها)
- الاستخبارات البشرية (HUINT): الاستخبارات البشرية المستمدة بشكل علني أو خفي من مصادر بشرية استنادًا إلى علاقة بين محلل استخباراتي ومدير المحلل (مثل المراقبة النشطة على المنتديات)
- استخبارات شبكات الإنترنت العميقة والمظلمة: المعلومات الاستخباراتية المجمعة على شبكة الإنترنت العميقة والمظلمة (مثل الأسواق والمنتديات وما إلى ذلك)
الملحق هـ. طرق تسليم استخبارات التهديدات
يجب على المؤسسات المالية إنشاء آلية تسليم استخبارات التهديدات التي يتم إنتاجها والتي تشمل، على سبيل المثال لا الحصر:
- نشرات التهديدات السيبرانية التي تتضمن معلومات عن التهديدات السيبرانية التي قد تكون مفيدة للمؤسسات
- تنبيهات بسيطة يتم إرسالها عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني
- تقارير مفصلة غنية بالتحليلات والجداول والأرقام والرسومات والوسائط المتعددة
- موجزات البيانات التي يمكن قراءتها آليًا استنادًا إلى تدوين استخبارات التهديدات المنظمة المعيارية المملوكة أو المفتوحة، وذلك لإدارة المعلومات الأمنية والأحداث، وبرامج مكافحة الفيروسات، وجدران الحماية، وأنظمة منع التسلل، وأنظمة كشف التسلل، وأدوات التحليل الجنائي
- مخرجات مصممة خصيصًا للأنظمة الداخلية
- واجهات برمجة التطبيقات التي تتيح الاتصال المباشر بالنظام لأغراض الاستعلام أو الاسترجاع
- بوابات إلكترونية آمنة على الإنترنت توفر إمكانية الوصول عند الطلب إلى قاعدة بيانات محدثة لمعلومات التهديدات ومجموعة من الوظائف التحليلية التي يمكن أن تكون أساسية بدءًا من الاستعلامات البسيطة إلى التنقيب عن البيانات الأكثر تعقيدًا
الملحق و. إجراءات التشغيل القياسية للاستخبارات
فيما يلي بعض الأمثلة على كيفية مساعدة إجراءات التشغيل القياسية للمستخدمين عند إجراء نوع معين من استخبارات التهديدات.
عند إجراء استخبارات شبكات الإنترنت العميقة والمظلمة، يجب أن تساعد الإرشادات خطوة بخطوة المستخدمين في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- استخدام بيئة معزولة ومحكومة وغير قابلة للتتبع مثل الجهاز الافتراضي
- تحديث وجمع قائمة بمنتديات وأسواق شبكات الإنترنت العميقة والمظلمة
- إنشاء صور رمزية مختلفة للوصول إليها
وبالمثل، عند إجراء استخبارات وسائل التواصل الاجتماعي، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، على سبيل المثال:
- تزويد المستخدمين بقائمة بأنواع مختلفة من المصادر وتحديث هذه القائمة باستمرار (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية والصور والفيديو ومنتديات النقاش)
- إجراء تدريب على الشبكات الاجتماعية ومنصة استضافة ومشاركة الفيديو عبر الإنترنت (مثل تويتر، فيسبوك، يوتيوب، إلخ.)
- استخدام أدوات التواصل الاجتماعي عند الإمكان (التجارية والمفتوحة المصدر)
وبنفس الطريقة، عند تنفيذ الاستخبارات البشرية، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- إجراء تدريب على الأخلاقيات للمحللين الذين يؤدون ارتباطات نشطة عبر الإنترنت
- تنفيذ إجراءات التشغيل القياسية المتعلقة بالوصول إلى المنتدى والسوق
- إنشاء صورة رمزية لكل وصول لتجنب التتبع
- فهم الفرق بين المراقبة الإيجابية والسلبية
الملحق ز. النهج التحليلي
يجب أن تعتمد المؤسسات المالية نهجاً تحليلياً بحيث تلبي الاستخبارات المنتجة متطلبات الاستخبارات.
واستناداً إلى ما هو الأنسب للمؤسسات المالية، يمكن أن يكون النهج التحليلي:
- قائم على الفرضيات: يتضمن هذا النهج تعريف الفرضية وتقييمها من خلال تحليل المعلومات المتاحة
- قائم على المحلل: يعتمد هذا النهج على التفكير النقدي والتحليلي للمحلل
- مضاد: يهدف هذا النهج إلى تحدي الاستنتاجات أو النقاط الرئيسية التي قدمها المصدر لطرح نهج جدلي مضاد
الملحق ح. الرسم البياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية
فيما يلي رسم بياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل البنية عالية المستوى للوثيقة.
الملحق ي. الخريطة الذهنية لمبادئ استخبارات التهديدات السيبرانية
فيما يلي تمثيل لخريطة ذهنية لهيكل مبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل المجالات المختلفة للوثيقة بوضوح وكيفية ارتباط المبادئ ببعضها البعض.
الحد الأدنى من ضوابط التحقق
الرقم: 202200000245 التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1. مقدمة
يشكل الابتكار الرقمي فرصًا كبيرة للشركات والمستهلكين، وفي الوقت ذاته، يقدم أيضًا بُعدًا جديدًا للتهديدات الناشئة ويغير النظرة التقليدية للمخاطر السيبرانية. لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي من تحديد ومعالجة المخاطر السيبرانية بشكل فعال، بالإضافة إلى لوائح البنك المركزي السعودي، حدد البنك مجموعة من الضوابط التي يجب اعتمادها وتنفيذها من جانب المؤسسة المالية من أجل الحفاظ على الحماية الملائمة لأصول المعلومات والخدمات الرقمية.
2. نطاق التطبيق
تنطبق الضوابط الواردة في هذه الوثيقة على أي مؤسسة مالية تقدم المحفظة الإلكترونية أو منتجات التمويل أو التمويل الجماعي أو أي نموذج أعمال آخر في مجال التقنية المالية تحت إشراف البنك المركزي السعودي، مع الأخذ في الاعتبار إمكانية تطبيق المتطلبات التي تحقق الأهداف المطلوبة.
3. ضوابط التسجيل/التأهيل
1.3. يجب على المؤسسة المالية التأكد من تسجيل كل رقم هاتف (أو) هوية وطنية/إقامة، مرتبط بطلب واحد فقط.
2.3. يجب على المؤسسة المالية إعداد عملية آمنة للتحقق من المستخدمين.
3.3. يجب أن تتضمن عملية التسجيل ما يلي:
أ. بالنسبة لمنصات الإقراض: نموذج قوي من المصادقة من طرف مستقل موثوق به.
ب. بالنسبة لمنصات المحفظة الإلكترونية: نموذج قوي من المصادقة من طرف مستقل موثوق به، أي، (الدخول الوطني الموحد (NSSO)) باستخدام اسم المستخدم وكلمة المرور، وكلمة المرور لمرة واحدة (OTP).
ج. بالنسبة لنماذج الأعمال الأخرى، يجب تنفيذ ضوابط قوية في عملية التسجيل/التأهيل، مع الأخذ في الاعتبار المفهوم الوارد في النقاط (3.3.أ-ب).
4.3. يجب على المؤسسة المالية التحقق أن ملكية رقم الهاتف مسجلة لنفس المستخدم (أي الاسم المطابق والهوية الوطنية) من خلال جهة موثوقة فقط (أي تحقق).
5.3. يجب على المؤسسة المالية التأكد أن عملية التسجيل تتضمن آلية كلمة المرور لمرة واحدة (OTP) كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم هاتف تم التحقق منه حسب النقطة (4.3).
6.3. يجب على المؤسسات المالية تنفيذ ضوابط مهلة الجلسة لجميع كلمات المرور لمرة واحدة الصادرة.
7.3. يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين للتسجيل أو إعادة تسجيل الجهاز أو تغيير حالة الحساب، مثل إلغاء التنشيط وإعادة التنشيط وعدم النشاط.
8.3. يجب تعيين تطبيق المؤسسة المالية لجهاز واحد فقط. بخلاف ذلك، يجب تطبيق كلمة المرور لمرة واحدة لكل تسجيل دخول، بالإضافة إلى تعطيل تسجيل الدخول المتزامن.
9.3. يجب على المؤسسة المالية إعداد عملية فعالة وآمنة لإلغاء تنشيط الحساب وإعادة تنشيطه وإعادة تسجيل الجهاز لمصادقة المستخدم.
1طرف موثوق به: أي طرف مرخص له بمزاولة النشاط ذي الصلة
4. الضوابط العامة
1.4. يجب على المؤسسة المالية تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي.
2.4. يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية.
3.4. يجب على المؤسسة المالية تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية.
4.4. يجب أن تضع المؤسسة المالية تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة.
5.4. يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب.
6.4. يجب على المؤسسة المالية إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة).
7.4. يجب على المؤسسة المالية إعداد سياسة الحسابات غير النشطة.
8.4. يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول.
9.4. ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية:
أ. التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)2؛ ب. إجراء أي معاملة في سوق التطبيقات؛
ج. سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛
د. إعادة تعيين كلمة المرور؛
هـ. إعادة تنشيط المحافظ؛
و. المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام.
10.4. يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية:
أ. أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد)
ب. التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد)
ج. التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد)
د. المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام
11.4. يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم.
12.4. يجب على المؤسسة المالية أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر:
أ. مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛
ب. إدارة سلوك استخدام الجهاز؛
13.4. يجب على المؤسسة المالية إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات.
14.4. يجب على المؤسسة المالية إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب".
15.4. يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة وإسم المؤسسة المالية
16.4. يجب أن تعكس المؤسسات المالية جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إداراة المؤسسات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات.
2 سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.
5. ضوابط خاصة بطلب الإقراض
يجب على الشركات المُقرضة تطبيق الضوابط الواردة أدناه، بالإضافة إلى الضوابط المذكورة أعلاه.
1.5. يجب أن يكون لدى المؤسسة المالية عملية يتم تنفيذها للتأكد من أن رقم الحساب المصرفي الدولي (IBAN) الخاص بالمستلم خاص بطالب القرض.
2.5. يجب على المؤسسة المالية استخدام مزود توقيع رقمي موثوق به ومُعتمد. (انظر الملحق «أ» للحصول على تفاصيل إضافية)
3.5. التأكد من تنفيذ عملية لإنشاء وحفظ وإدارة السند الإذني بشكل آمن باستخدام جهة وطنية موثوقة (مثل نافذ)
4.5. يجب على المؤسسة المالية تنفيذ عملية للاتصال بالعميل لتأكيد طلب القرض.
5.5. ينبغي إرسال إشعار عبر الرسائل القصيرة مع العميل عندما:
أ. قدَّم المستخدم الطلب.
ب. عند الموافقة على طلب القرض أو رفضه.
6. الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا
تحل هذه الوثيقة محل تعميمات البنك المركزي السعودي الصادرة مسبقًا التالية:
• الضوابط الأمنية للمحفظة الإلكترونية، الإصدار 0.1
تشير هذه الوثيقة إلى تعميمات أو مستندات البنك المركزي السعودي التالية والتي تم التكليف بها بموجب المذكرة الصادرة:
• بخصوص التصديق الرقمي للمنتجات لعملاء شركات التمويل، 42011675، 1442/02/27؛
الدليل التنظيمي لإدارة استمرارية الأعمال
الرقم: 381000058504 التاريخ (م): 2017/2/27 | التاريخ (هـ): 1438/6/1 الحالة:نافذ انطلاقا من حرص البنك المركزي في تحسين مستوى الممارسات فيما يتعلق بموضوع استمرارية الأعمال عند وقوع الحوادث أو الكوارث-لا سمح الله- من خلال وجود آلية فعالة ومطبقة ومختبرة في البنك المصرف مستندة على أفضل الحلول والممارسات التي توفر بيئة ناضجة لضمان استمرارية الاعمال دون حدوث انقطاع للخدمات الهامه وتعطل الاعمال، نفيدكم قيام البنك المركزي بتطوير وإصدار دليل تنظيمي لإدارة استمرارية الاعمال للقطاع المصرفي( مرفق) والذي يتعين على البنك/ المصرف الالتزام الكامل بما ورد في هذا الدليل من خلال إتباع الإجراءات الآتية:
أولاً: عمل تقييم الوضع الحالي لاستمرارية الاعمال في البنك مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap Assessment) لتحديد مواطن الضعف في البنك على أن يتم وضع خطه عمل (Roadmap) للالتزام بمتطلبات البنك المركزي بعد تقييم الوضع الحالي وإرسالها للبنك المركزي وذلك في موعد أقصاه نهاية شهر مايو ۲۰۱۷م.
ثانياً: تزويد البنك المركزي بتقارير ربع سنوية اعتباراً من نهاية الربع الثاني وحتى التزام البنك بمتطلبات البنك المركزي.
ثالثاً: الالتزام التام بتطبيق جميع المتطلبات الواردة في الدليل وذلك بنهاية شهر يناير لعام ٢٠١٨م.
و في حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع مدير شعبة مخاطر تقنية المعلومات البنكية في البنك المركزي.
1. مقدمة
1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال
نظرًا لحاجة المؤسسات المالية في المملكة العربية السعودية إلى توافر العمليات التجارية على مدار الساعة طوال أيام الأسبوع، وضع البنك المركزي الدليل التنظيمي لإدارة استمرارية الأعمال للمؤسسات المالية من شأنه تعزيز قدرة المؤسسات على المرونة المؤسسية لضمان استمرارية وتوافر عملياتها وخدماتها. وتستند المتطلبات المتضمنة إلى متطلبات البنك المركزي وممارسات الصناعة والمعايير الدولية، مثل ISO 22301 وISO 27001 وإرشادات الممارسات الجيدة الصادرة عن معهد استمرارية الأعمال وإرشادات الممارسة المهنية الصادرة عن المعهد الدولي للتعافي من الكوارث. يتعين على جميع المؤسسات المالية الالتزام بهذه المتطلبات ودمجها رسميًا في برنامج إدارة استمرارية الأعمال الخاص بها.
2.1 التعريفات
- إدارة استمرارية الأعمال عملية إدارية شاملة تحدد التهديدات المحتملة للمؤسسة وما قد تسببه تلك التهديدات، في حال تحققها، تأثيرات على العمليات التجارية. فهي توفر دليلًا لبناء المرونة المؤسسية مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين والسمعة والعلامة التجارية وأنشطة خلق القيمة.
- تعد استمرارية الأعمال جزءًا من نظام الإدارة الشامل، والذي يتضمن الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والإجراءات والعمليات والموارد التي تقوم بإنشاء استمرارية الأعمال وتنفيذها وتشغيلها ومراقبتها ومراجعتها وصيانتها وتحسينها.
- يعد التعافي من كوارث تقنية المعلومات (IT DR) جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بصمود البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية أو استعادتها أو استمرارها.
- الحد الأقصى للانقطاع المقبول (MAO) يُعرف بأنه الوقــت المســتغرق حتــى تصبــح الآثار الســلبية، الناشــئة نتيجــة عــدم تقديــم منتــج / خدمــة أو أداء نشــاط، غيــر مقبولــة.
- وقت التعافي المستهدف(RTO)يُعرف بأنه الفترة التي تلي وقوع الحادث والتي يجب أن يتم خلالها استئناف المنتجات أو الخدمات أو استئناف النشاط أو استعادة الموارد.
- نقطة التعافي المستهدفة (RPO) تُعرف على أنها النقطـــة التـــي يجـــب عندهـــا اســـتعادة المعلومـــات المســـتخدمة فـــي النشـــاط لتمكيـــن النشـــاط مـــن العمـــل عنـــد الاستئناف. ويمكن أن يُطلق عليها أيضًا "الحد الأقصى المسموح لخسارة البيانات".
3.1 النطاق
تحدد وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال المبادئ والأهداف واعتبارات الرقابة لبدء ضوابط استمرارية الأعمال في المنظمات الأعضاء وتنفيذها وصيانتها ورصدها وتحسينها.
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على النطاق الكامل للمنظمة العضو، بما في ذلك الشركات التابعة والموظفين والمقاولين من الباطن والأطراف الثالثة والعملاء.
وترتبط بعلاقة متبادلة مع السياسات المؤسسية الأخرى الخاصة بالمجالات ذات الصلة، مثل إدارة المخاطر المؤسسية، والصحة والسلامة والبيئة، والأمن المادي، والأمن السيبراني (بما في ذلك المرونة السيبرانية وإدارة الحوادث).
4.1 نطاق التطبيق
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على ما يلي:
- جميع المؤسسات الخاضعة لإشراف البنك المركزي ("المؤسسات المالية")
- جميع البنوك العاملة في المملكة العربية السعودية
- كافة الشركات التابعة للبنوك السعودية
- الشركات التابعة للبنوك الأجنبية الموجودة في المملكة العربية السعودية
5.1 المسؤوليات
يفرض البنك المركزي وثيقة متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال على المؤسسات المالية. وتوجز هذه الوثيقة متطلبات إدارة استمرارية الأعمال التي يتعين على المؤسسات المالية تنفيذها. وعليه، فإن البنك المركزي الجهة المالكة لهذا الدليل والمسؤول عن تحديثه دوريًا. وتتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المتطلبات المنصوص عليها في هذه الوثيقة.
6.1 التفسير
سيقدم البنك المركزي، بصفته الجهة المالكة لهذه الوثيقة تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.
7.1 الجمهور المستهدف
هذه الوثيقة مخصصة لمجالس الإدارة والرؤساء التنفيذيين وكبار مسؤولي المخاطر والإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ومدراء تقنية المعلومات ومدراء أمن المعلومات ومدراء استمرارية الأعمال والمدققين الداخليين وأولئك المسؤولين والمشاركين في تحديد وتنفيذ ومراجعة ضوابط استمرارية الأعمال وأهدافها واعتبارات التحكم إذا لزم الأمر.
8.1 المراجعة والتغييرات والمحافظة
سيقوم البنك المركزي بمراجعة هذه الوثيقة والحفاظ عليها. حيث سيراجع هذه الوثيقة بشكل دوري لتحديد مدى فعاليتها، بما في ذلك فعالية الدليل في مواجهة التهديدات والمخاطر الناشئة في مجال استمرارية الأعمال. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث هذه الوثيقة بناءً على نتائج المراجعة.
إذا ارتأت إحدى المؤسسات المالية أن هناك حاجة لتحديث هذه الوثيقة، يجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي بعد الحصول على موافقة مدير استمرارية الأعمال واللجنة التوجيهية لاستمرارية الأعمال داخل المؤسسة المالية. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الموافقة عليه، سيتم تحديث هذه الوثيقة.
سيتم تنفيذ إجراء ضبط الإصدارات للحفاظ على الوثيقة. بحيث أنه كلما يتم إجراء أي تغييرات، سيتم سحب الإصدار السابق ونشر الإصدار الجديد وإبلاغ جميع المؤسسات المالية بها.
9.1 دليل القراءة
يمثل الدليل التنظيمي لإدارة استمرارية الأعمال المجالات الفعلية لإدارة استمرارية الأعمال والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.
2. متطلبات استمرارية الأعمال
1.2 حوكمة إدارة استمرارية الأعمال
المبدأ
يجب تحديد الدليل التنظيمي لحوكمة استمرارية الأعمال والموافقة عليه وتنفيذه والمحافظة عليه وأن يخضع لرقابة الإدارة العليا. يجب تحديد هيكل استمرارية الأعمال وإبلاغه لجميع الموظفين المعنيين والأطراف الخارجية.
الهدف
توجيه النهج العام لاستمرارية الأعمال داخل المؤسسة المالية ومراقبته وتقييمه
اعتبارات التحكم:
1. يجب أن يتحمل مجلس الإدارة أو عضو تنفيذي مفوض المسؤولية النهائية عن برنامج إدارة استمرارية الأعمال.
2. يجب أن يقوم مجلس إدارة المؤسسة المالية أو أحد أعضاء الإدارة العليا المفوضين بتخصيص ميزانية كافية لتنفيذ أنشطة إدارة استمرارية الأعمال المطلوبة،
3. يجب تشكيل لجنة لاستمرارية الأعمال وتكليفها من قبل مجلس الإدارة.
4. يجب أن تكون الإدارة العليا، مثل الرئيس التنفيذي للمخاطر ورئيس العمليات والرئيس التنفيذي للمعلومات والرئيس التنفيذي لأمن المعلومات ومدير إدارة استمرارية الأعمال وغيرها من الأقسام ذات الصلة ممثلة في لجنة استمرارية الأعمال.
5. يجب وضع ميثاق لجنة استمرارية الأعمال، ويجب أن يعكس ما يلي:
أ. أهداف اللجنة
ب. الأدوار والمسؤوليات
ج. الحد الأدنى لعدد المشاركين في الاجتماع
د. تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)
6. ينبغي إنشاء وظيفة إدارة استمرارية الأعمال.
7. يجب أن يكون مدير/رئيس إدارة استمرارية الأعمال:
أ. أن يتم تعيينه
ب. يتمتع بالسلطة المناسبة لإدارة برنامج إدارة استمرارية الأعمال
ج. مؤهلاً ويتمتع بالخبرة والمهارات والكفاءات المناسبة لتنفيذ برنامج إدارة استمرارية الأعمال والحفاظ عليه داخل المؤسسة المالية
8. يجب أن تكون وظيفة استمرارية الأعمال مزودة بعدد كافٍ من أعضاء الفريق المؤهلين
9. يجب أن تساهم الفرق متعددة الوظائف، التي تتألف من أعضاء الفريق الاستراتيجي والتكتيكي وفريق العمليات في تنفيذ وصون خطط استمرارية الأعمال والتعافي من الكوارث.
2.2 استراتيجية إدارة استمرارية الأعمال
المبدأ
يجب تحديد استراتيجية استمرارية الأعمال ومواءمتها مع أهداف العمل الاستراتيجية الشاملة للمؤسسة المالية.
الهدف
التأكد من أن مبادرات استمرارية الأعمال تتماشى مع الأهداف الاستراتيجية للأعمال وتدرج إدارة استمرارية الأعمال كجزء من الممارسات الإدارية الجيدة داخل المؤسسة المالية، من أجل التحسين المستمر في مرحلة النضج.
اعتبارات التحكم
1. يجب تحديد استراتيجية استمرارية الأعمال والموافقة عليها وتنفيذها والحفاظ عليها.
2. يجب أن تحدد الإستراتيجية على الأقل ما يلي:
أ. الأهداف الإستراتيجية طويلة المدى لتطبيق ونضج برنامج إدارة استمرارية الأعمال
ب. خريطة طريق مع جداول زمنية لتحقيق الأهداف الاستراتيجية
ج. متطلبات المراجعة المستمرة والتحقق من مواءمة برنامج إدارة استمرارية الأعمال مع الأهداف الاستراتيجية
3.2 سياسة استمرارية الأعمال
المبدأ
يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وإبلاغها لأصحاب المصلحة المعنيين.
الهدف
توثيق التزام المؤسسة المالية وهدفها من برنامج استمرارية الأعمال، وإيصال ذلك إلى أصحاب المصلحة المعنيين.
اعتبارات التحكم
1. يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وتنفيذها والإبلاغ بها
2. يجب أن تحدد سياسة استمرارية الأعمال على الأقل ما يلي:
أ. الأهداف
ب. النطاق
ج. المسؤوليات
3. يجب مراقبة الامتثال لسياسة استمرارية الأعمال.
4. يجب قياس مدى فعالية تنفيذ السياسات وتقييمها بشكل دوري.
5. يجب توثيق الاستثناءات من نطاق إدارة استمرارية الأعمال وتقييمها بشكل دوري. يجب توثيق مبررات استثناءات النطاق والموافقة عليها من قبل لجنة إدارة استمرارية الأعمال والإدارة العليا.
4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر
المبدأ
يجب على المؤسسة المالية إجراء تحليل لأثر انقطاع الأعمال وتقييم المخاطر لجميع الأنشطة ذات الصلة لتحديد استمرارية الأعمال ومتطلبات التعافي من الكوارث والتحسينات.
الهدف
التأكد من قيام كل مؤسسة المالية بتحديد عملياتها التجارية وترتيب أولوياتها إلى جانب التبعيات الرئيسية، وتحديد الضوابط الكافية من أجل الوفاء بمتطلبات الأعمال والمتطلبات التنظيمية والقانونية والامتثال فيما يتعلق باستمرارية الأعمال
اعتبارات التحكم
1. يجب تحديد منهجية تحليل أثر انقطاع الأعمال وتقييم المخاطر والموافقة عليها وتنفيذها والمحافظة عليها.
2. يجب على المؤسسة المالية إجراء تقييم دوري لمخاطر استمرارية الأعمال. ويجب أن تشمل، على سبيل المثال لا الحصر ما يلي:
أ. تحديد التهديدات الداخلية والخارجية المحتملة، بما في ذلك نقطة الفشل الوحيدة التي قد تتسبب في تعطيل الأنشطة الحرجة على النحو المحدد في تقييم أثر انقطاع الأعمال مع الأخذ بعين الاعتبار الأشخاص والعمليات والتقنية والمرافق.
ب. تقييم المخاطر المحتملة وتحديد أولوياتها من خلال تقييم التهديدات المحتملة بناءً على تأثيرها التشغيلي واحتمالية حدوثها
ج. تحديد الضوابط المطلوبة لإدارة المخاطر المحددة
د. تحديد خطة العلاج وتنفيذ ضوابط إدارة استمرارية الأعمال
3. يجب على المؤسسة المالية تحديد الأنشطة وترتيب أولوياتها (مثل المنتجات والخدمات ووظائف وعمليات الأعمال) من خلال إجراء تقييم أثر انقطاع الأعمال لتحديد ما يلي على سبيل المثال لا الحصر:
أ. الأثر المحتمل لانقطاع الأعمال لكل وظيفة من وظائف الأعمال والعمليات ذات الأولوية، بما في ذلك على سبيل المثال لا الحصر الآثار المالية والتشغيلية والعملاء والآثار القانونية والتنظيمية
ب. أوقات التعافي المستهدفة، ونقاط التعافي المستهدفة والحد الأقصى للانقطاع المقبول
ج. الاعتمادات المتبادلة الداخلية والخارجية
د. مواد التعافي الداعمة
4. يجب أن تصادق لجنة إدارة استمرارية الأعمال على قائمة الأولويات ونتائج أثر انقطاع الأعمال وتقييم المخاطر وأوقات التعافي المستهدفة ونقاط التعافي المستهدفة والحدود القصوى للانقطاع المقبول.
5. يجب إرسال نتائج تقييم المخاطر إلى لجنة إدارة استمرارية الأعمال
6. يجب تحديث تحليل أثر انقطاع الأعمال وتقييم المخاطر سنويًا وعند حدوث تغييرات كبيرة (مثل التغيير في هيكل وتنظيم الأشخاص والعمليات والتقنية والموردين والمواقع).
7. تقييم المخاطر يجب أن يشمل المخاطر المرتبطة بالمؤسسة ككل وكذلك مراكز البيانات (الأساسية والبديلة)، التي لا تملكها المؤسسة المالية (على سبيل المثال، النظر في الإطار الزمني اللازم للانتقال إلى موقع جديد وبناءً على ذلك، يجب أن يتضمن إطارًا زمنيًا كافيًا في الاتفاقية التعاقدية)
8. ينبغي تقييم قدرة البائعين والموردين ومقدمي الخدمات على دعم والحفاظ على مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطّلة على الأقل على أساس سنوي.
9. يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة محددة بشكل كافٍ لأنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك مع مراعاة التوافر العالي لهذه العمليات والحد الأدنى من التعطل في حالة وقوع كارثة.
5.2 خطة استمرارية الأعمال (BCP)
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة استمرارية الأعمال لأنشطتها الحيوية. يجب مراقبة الامتثال لخطة استمرارية الأعمال وقياس مدى فعاليتها وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية لديها القدرة على تعيين وتحديد بوضوح الإجراءات التي يجب اتخاذها، والموارد اللازمة لتمكين المؤسسة من إدارة الانقطاع المعطل والعودة إلى وضع يمكن فيه استئناف العمليات التجارية العادية
اعتبارات التحكم
1. يجب تحديد خطة استمرارية الأعمال واعتمادها وتنفيذها والحفاظ عليها في حالة جاهزية للاستخدام أثناء الحوادث المعطلة، لتمكين المؤسسة المالية من مواصلة تنفيذ أنشطتها المهمة والعاجلة بمستوى مقبول ومحدد مسبقًا.
2. يجب على المؤسسة المالية تحديد إجراءات الاستجابة للحوادث المعطلة واعتمادها وتنفيذها. ويجب أن تشمل الإجراءات مجتمعة ما يلي:
أ. الموارد الرئيسية (مثل الأشخاص والمعدات والمرافق والتقنيات)
ب. تحديد الأدوار والمسؤوليات والسلطات لأصحاب المصلحة
ج. عملية لإدارة العواقب المباشرة لحادث معطل وإجراءات التصعيد
د. عملية لمواصلة الأنشطة الحيوية ضمن أهداف التعافي المحددة مسبقًا (وقت التعافي المستهدف ونقطة التعافي المستهدفة والحد الأقصى للانقطاع المقبول)
هـ. عملية لاستئناف عمليات المؤسسة المالية إلى العمل كالمعتاد بمجرد حل الحادث
و. إرشادات للتواصل مع الموظفين والأطراف الخارجية ذات الصلة وجهات الاتصال في حالات الطوارئ
ز. عملية إدراج متطلبات الأمن السيبراني ذات الصلة، إن وجدت، ضمن تخطيط استمرارية الأعمال
3. يجب رصد الامتثال لخطة استمرارية الأعمال.
4. يجب قياس مدى فعالية خطط استمرارية الأعمال وتقييمها بشكل دوري.
5. يتحمل مدير إدارة استمرارية الأعمال ومنسقو إدارة استمرارية الأعمال مسؤولية الحفاظ على خطط استمرارية الأعمال والترتيبات وإبقائها محدثة.
6. يجب أن يتوفر لدى المؤسسة المالية مساحة (مساحات) عمل بديلة كافية للأعمال حيث يمكنها نقل الموارد المطلوبة لتقديم العمليات الحيوية المطلوبة وفقًا لأهداف الاسترداد المحددة مسبقًا في تحليل أثر انقطاع الأعمال.
7. يجب أن تحتوي مساحة (مساحات) العمل البديلة على ترسيم واضح لترتيبات الجلوس لوحدات العمل المختلفة.
8. يجب على المؤسسة المالية تنفيذ ضوابط أمنية منطقية ومادية وبيئية كافية من أجل دعم نفس المستوى من الوصول والأمن في حالة الحاجة إلى تفعيل الموقع البديل.
10. بالنسبة لجميع الأنشطة الحيوية، على النحو الذي يحدده تحليل أثر انقطاع الأعمال، يجب على المؤسسة المالية التأكد من أن مزودي الخدمة الرئيسيين (إن وجدوا) لديهم خطة استمرارية الأعمال وأن خططهم يتم اختبارها على الأقل على أساس سنوي.
6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ والمحافظة على خطة التعافي من كوارث تقنية المعلومات بالنسبة لأنشطتها الحيوية والبنية التحتية التقنية ذات الصلة.
الهدف
التأكد من أن المؤسسة المالية لديها خطة التعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحيوية في حالة وقوع حادث معطّل
اعتبارات التحكم
1. يجب تحديد خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات والأنظمة والشبكة والخدمات والتطبيقات) والموافقة عليها وتنفيذها وصيانتها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2. يجب على المؤسسة المالية إنشاء مركز بيانات بديل في موقع مناسب. ويجب تحديد الموقع بناءً على ما يلي:
أ. تقييم المخاطر للتأكد من أن الموقع لا يشترك في نفس مخاطر مركز البيانات الرئيسي (على سبيل المثال، التهديد الجغرافي)
ب. بعد الحصول على موافقة البنك المركزي
3. يجب أن تكون تكوينات البيانات والنظام والشبكة والتطبيقات والقدرات في مركز البيانات البديل متناسبة مع تلك التكوينات والقدرات الموجودة في مركز البيانات الرئيسي.
4. يجب على المؤسسة المالية تطبيق نفس الضوابط الأمنية المنطقية والمادية والبيئية والسيبرانية لمركز البيانات البديل كما هو الحال بالنسبة لمركز البيانات الرئيسي.
5. يجب على المؤسسة المالية تحديد وتنفيذ عملية النسخ الاحتياطي والاسترداد.
6. يجب أن يكون لدى المؤسسة المالية مكان خارج الموقع لتخزين النسخ الاحتياطية.
7. يجب توقيع عقود رسمية مع أطراف خارجية لضمان استمرارية خدمات التعهيد أو تسليم أجهزة أو برمجيات بديلة ضمن الجداول الزمنية المتفق عليها في حالة وقوع كارثة. تضمين مبادئ توجيهية للتأكد من أن العقود الموقعة مع مقدمي الخدمات الخارجيين تتماشى مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8. يجب أن يكون مدير تقنية المعلومات مسؤولاً عن الحفاظ على خطط وترتيبات التعافي من الكوارث وإبقائها محدثة مع تحميل مدير إدارة استمرارية الأعمال للمساءلة الشاملة عن التكامل ضمن برنامج إدارة استمرارية الأعمال.
9. يجب مراقبة الامتثال لخطة التعافي من الكوارث.
10. يجب قياس مدى فعالية خطة التعافي من كوارث تقنية المعلومات وتقييمها على أساس سنوي كحد أدنى.
7.2 المرونة السيبرانية
المبدأ
يجب أن تضمن المؤسسة المالية تشغيل الخدمات ووظائف الأعمال والعمليات الحيوية على بنية تحتية وبرمجيات موثوقة وقوية.
الهدف
التأكد من توفر كل من الخدمات ووظائف الأعمال والعمليات الحيوية للمؤسسة المالية عند الحاجة ومقاومتها للأعطال.
اعتبارات التحكم
1. جميع التغييرات المدخلة على البنية التحتية والبرمجيات التي تدعم بشكل مباشر الخدمات ووظائف الأعمال والعمليات الهامة المحددة يجب أن:
أ. تخضع لتقييمات متعمقة للمخاطر لضمان تلبية متطلبات العمل المتفق عليها فيما يتعلق بالتوافر والتعافي.
ب. تتبع إجراءات صارمة للتطوير والاختبار وإدارة التغيير لتجنب حدوث عطل أو خلل في نقطة واحدة.
2. يجب تحديد مراجعة معمارية دورية والموافقة عليها لضمان معالجة متطلبات العمل المتعلقة بالتوافر واستمرارية الأعمال وتنفيذها بشكل صحيح.
ملاحظة. لمزيد من اعتبارات التحكم لتحسين المرونة الشاملة، على سبيل المثال، إدارة التهديدات، وإدارة الثغرات الأمنية، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
8.2 خطة إدارة الأزمات
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة لإدارة الأزمات من شأنها أن تسهل الاستجابة الجيدة للحوادث الكبرى، بما في ذلك التواصل السريع لضمان السلامة العامة لأصحاب المصلحة الداخليين والخارجيين على حد سواء.
الهدف
التأكد من أن المؤسسة المالية لديها خطة فعالة لإدارة الأزمات مطبقة ومحدّثة للمنتجات والخدمات ووظائف الأعمال والعمليات الهامة للمؤسسة المالية، في حالة وقوع حادث معطّل.
اعتبارات التحكم
1. يجب تحديد خطة لإدارة الأزمات والموافقة عليها وتنفيذها.
2. يجب مراقبة الامتثال لخطة إدارة الأزمات.
3. يجب قياس مدى فعالية برنامج استمرارية الأعمال ضمن خطة إدارة الأزمات وتقييمها بشكل دوري.
4. يجب أن توثق المؤسسة المالية خطة (خطط) إدارة الأزمات التي تحدد كيفية معالجة وإدارة الأزمات الناتجة عن حادث (حوادث) كبيرة ويجب أن تتضمن على الأقل ما يلي:
أ. معايير إعلان الأزمة.
ب. يجب على المؤسسة المالية إنشاء مركز قيادة للإدارة المركزية ومركز قيادة للطوارئ.
ج. أعضاء فريق إدارة الأزمات. مع أخذ في الاعتبار ممثلي المنتجات والخدمات والوظائف والعمليات الحيوية للمؤسسة المالية (بما في ذلك قسم الاتصالات)
د. تفاصيل الاتصال بأعضاء فريق إدارة الأزمات (بما في ذلك الأطراف الخارجية)
هـ. تحديد الخطوات الواجب اتخاذها أثناء الأزمة أو الكارثة وبعدها (بما في ذلك التفويضات المطلوبة)
و. خطة التواصل بما في ذلك خطة الاستجابة الإعلامية، لمعالجة التواصل مع أصحاب المصلحة الداخليين والخارجيين أثناء الأزمات.
ز. تواتر اختبارات إدارة الأزمات
9.2 الاختبارات
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة اختبارات منتظمة لخطة استمرارية الأعمال وخطة التعافي من الكوارث لتدريب موظفيها والأطراف الخارجية واختبار فعالية خطط استمرارية الأعمال والتعافي من الكوارث.
الهدف
التأكد من أن خطة استمرارية الأعمال وخطة التعافي من الكوارث الحالية للمؤسسة المالية تعمل على النحو المحدد، وأن الموظفين والأطراف الخارجية مدربون على تنفيذ هذه الخطط.
1.9.2 اختبار خطة استمرارية الأعمال
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء تمارين اختبار محاكاة لخطة استمرارية الأعمال بشكل دوري ("مرة واحدة على الأقل في السنة")
- يجب أن تراعي الاختبارات السيناريوهات المناسبة المخططة بشكل جيد ومزودة بأهداف محددة بوضوح (على سبيل المثال، لكل وظيفة، لكل خدمة، لكل عملية، لكل موقع، لكل سيناريوهات أسوأ الحالات). ويجب أن تأخذ المؤسسة المالية في الاعتبار تضمين سيناريوهات الأمن السيبراني.
- يجب أن تغطي سيناريوهات الاختبار المحددة التنشيط والمشاركة لفريق إدارة الأزمات.
- بعد الانتهاء من الاختبارات الفردية المذكورة أعلاه، يجب على كل مؤسسة مالية النظر في إجراء اختبار متكامل لإدارة استمرارية الأعمال لجميع الخدمات والعمليات والوظائف الحيوية.
2.9.2 اختبار خطة التعافي من الكوارث
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء اختبار التعافي من الكوارث بشكل دوري مع خطة استمرارية الأعمال ("مرة واحدة على الأقل في السنة").
- يجب أن تجري المؤسسة المالية تقييماً لاختبار التعافي من الكوارث المنفذ للبنية التحتية لتقنية المعلومات التي تدعم الأنظمة الحيوية للمؤسسة المالية من أجل ضمان جاهزية التعافي من الكوارث وقدرتها على استئناف عمليات الأعمال الحيوية لفترة من الوقت في حالة وقوع كارثة كبرى.
- يجب أن توفر نتائج اختبار التعافي من الكوارث تقييمًا واقتراحات للتحسينات اللازم إدخالها لإدارة الأحداث المعطّلة التي من شأنه أن تؤثر على استمرارية أعمال المؤسسة المالية.
- يجب أن يغطي تفعيل ومشاركة فريق إدارة الأزمات.
3.9.2 الاختبارات المنفذة
1. يجب توثيق النتائج التفصيلية لجميع التدريبات والاختبارات للرجوع إليها في المستقبل. يجب أن تتضمن نتائج التدريبات/الاختبارات، على سبيل المثال لا الحصر، الاعتبارات التالية:
أ. تأكيد تحقيق أهداف الخطة التي تم تنفيذها
ب. تأكيد قدرات وجاهزية موارد التعافي
ج. توثيق الدروس المستفادة والتحسينات المطلوبة
د. في حالة حدوث فشل، يجب تتبع السبب الجذري للفشل وإجراءات المعالجة حتى الوصول إلى نتيجة ناجحة
2. إعادة اختبار الخطة في غضون الجداول الزمنية المحددة في حالة حدوث فشل، ويجب ألا تتجاوز الجداول الزمنية حد الثلاثة (3) أشهر.
3. يجب أن يراقب المدقق الداخلي للمؤسسة المالية، أو مدقق خارجي مؤهل، أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث كمشارك مستقل من أجل تقديم تأكيد معقول على الأنشطة المنفذة ونتائج الاختبار ومراقبة ما إذا كانت الاختبارات المنفذة تفي بأهداف برنامج استمرارية الأعمال العام للمؤسسة المالية.
4. يجب إبلاغ لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة بنتائج جميع اختبارات استمرارية الأعمال واختبارات التعافي من الكوارث.
10.2 التوعية والتدريب
المبدأ
يجب أن تقوم المؤسسة المالية بوضع وتنفيذ والمحافظة على برنامج تدريب وتوعية يدعم أهداف إدارة استمرارية الأعمال بفعالية من خلال تطوير الكفاءة المطلوبة بين الموظفين.
الهدف
يجب على المؤسسة المالية ضمان إدماج إدارة استمرارية الأعمال في أنشطتها اليومية، من خلال خطة توعية مستمرة ينبغي توثيقها.
اعتبارات التحكم
1. يجب أن تكون المؤسسة المالية والأطراف الخارجية ذات الصلة، مثل مقدمي الخدمات والموردين:
أ. - على دراية بالأجزاء ذات الصلة من سياسة وخطط استمرارية الأعمال
ب. ملزمون تعاقديًا بتقديم خدماتهم أو منتجاتهم في غضون الوقت المتفق عليه، في حالة وقوع حدث معطّل
ج. على دراية بنقطة الاتصال الخاصة بهم أو منسق إدارة استمرارية الأعمال المحلي الخاص بهم في المؤسسة المالية
د. - على دراية بأدوارهم ومسؤولياتهم أثناء الحوادث المعطّلة
2. يجب تقديم برنامج تدريبي مرة واحدة سنويًا للموظفين المشاركين في إدارة استمرارية الأعمال لتحقيق المستوى المطلوب من الخبرة والمهارات والكفاءات.
3. يجب على المؤسسة المالية قياس فعالية برنامج التدريب والتوعية بشكل دوري.
11.2 التواصل
المبدأ
يجب على المؤسسة المالية تحديد وإنشاء والحفاظ على عملية تواصل للاتصالات الدورية مع البنك المركزي بشأن المسائل المتعلقة ببرنامجها الخاص باستمرارية الأعمال.
الهدف
التأكد من الحفاظ على التواصل المستمر مع البنك المركزي من خلال تحديد بروتوكول الاتصال والتواتر والأدوار والمسؤوليات الخاصة بالاتصالات والاتفاق عليها والالتزام بها
اعتبارات التحكم
- يجب على المؤسسة المالية الإبلاغ عن جميع الحوادث المعطلة المصنفة على أنها "متوسطة" أو "عالية" إلى "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي على الفور. يجب إرسال تقرير ما بعد الحادث إلى البنك المركزي بعد استئناف المؤسسة المالية لعملياتها العادية.
- يجب على المؤسسة المالية التنسيق مع قسم الإشراف بالبنك المركزي عند التواصل مع وسائل الإعلام في حالة وقوع حوادث.
- يجب على المؤسسات المالية الحصول على موافقة البنك المركزي عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل الخاص بها، أو عند نقل مركز البيانات الرئيسي أو البديل الحالي.
- يجب على المؤسسة المالية إبلاغ "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي بالبرنامج المعتمد لتنفيذ اختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة بحلول نهاية شهر يناير من كل عام.
- يجب مشاركة نتائج اختبار استمرارية الأعمال والتعافي من الكوارث مع البنك المركزي في غضون أربعة أسابيع بعد الاختبار ويجب على المؤسسة المالية تحديد التحسينات بناءً على الاختبار الذي تم إجراؤه وتقديم خطة عمل إلى البنك المركزي في غضون شهرين بعد تقديم نتائج الاختبار.
12.2 المراجعة الدورية للوثائق
المبدأ
يجب مراجعة وتحديث برنامج استمرارية الأعمال والتعافي من الكوارث والسياسات والخطط والإجراءات بشكل دوري، وفي حالة حدوث تغيير (كبير) في المنتجات والخدمات و/أو وظائف الأعمال و/أو العمليات الحيوية للمؤسسة المالية.
الهدف
التأكد من أن جميع وثائق استمرارية الأعمال محدّثة ويمكن استخدامها أثناء وقوع حادث معطّل لاستعادة العمليات التجارية.
اعتبارات التحكم
- يجب على المؤسسات المالية إنشاء عملية لمراجعة/تحديث الوثائق لضمان تحديث وثائق استمرارية الأعمال ومراجعتها والموافقة عليها.
- يجب أن تحدد جميع الوثائق بوضوح آخر تاريخ تمت فيه مراجعة الوثيقة والموافقة عليها.
13.2 الضمان
المبدأ
يجب أن تخضع آلية استمرارية الأعمال في المؤسسات المالية إلى مراجعات وتدقيقات دورية من قبل طرف داخلي أو خارجي مؤهل ومستقل لضمان فعاليتها، وللحصول على ضمانات فيما يتعلق بالامتثال لإدارة استمرارية الأعمال التابعة للبنك المركزي.
الهدف
التأكد من قيام طرف مستقل بمراجعة أنشطة الدليل التنظيمي لإدارة استمرارية الأعمال وإبلاغ الإدارة العليا بشكل مستقل عن المشكلات التي تم تحديدها.
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء مراجعة/تدقيق لإدارة استمرارية الأعمال من قبل جهة داخلية/خارجية مستقلة مؤهلة.
- يجب على المؤسسة المالية تحديد الثغرات وتوفير خارطة طريق لتعزيز إدارة استمرارية الأعمال داخل المؤسسة.
- يجب إبلاغ الإدارة العليا ولجنة إدارة استمرارية الأعمال بالثغرات التي تم تحديدها إلى جانب خارطة الطريق.
محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية
الرقم: 562240000067 التاريخ (م): 2019/5/13 | التاريخ (هـ): 1440/9/9 الحالة:نافذ إشارة إلى استراتيجية البنك المركزي* للأمن السيبراني والتي تهدف لرفع جاهزية وأمان القطاع المالي ضد الهجمات السيبرانية، واستمراراً لحرص البنك المركزي على حوكمة الإجراءات من خلال الأدلة التنظيمية الخاصة بالأمن السيبراني. نحيطكم باعتماد البنك المركزي للإطار التنظيمي لمحاكاة سيناريوهات الهجمات السيبرانية (Financial Entities Ethical Red Teaming Framework) والذي تم إعداده بناء على أفضل الممارسات والتجارب الدولية. حيث يهدف الإطار إلى تحسين قدرة المؤسسات المالية على التصدي والاستجابة للهجمات من خلال خلق سيناريوهات واقعية لاختبار مرونة البنية الأساسية للأنظمة وتعزيز المرونة السيبرانية للقطاعات المالية في المملكة، وسيتم مشاركة الإطار التنظيمي من خلال البريد الإلكتروني مع إدارات الالتزام للمؤسسات المالية.
وبناء على ذلك وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم أن البنك المركزي سيقوم بإجراء اختبارات دورية لتطبيق الإطار المذكور أعلاه على المؤسسات المالية لاختبار مدى جاهزية أنظمتها. كما يهيب البنك المركزي الجهات المالية على ضرورة عمل اختبارات بشكل مستقل ودوري واختبار جاهزية أنظمتها والعمل على تطويرها وفق متطلبات الدليل التنظيمي لأمن المعلومات (Cyber Security Framework).
وفي حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي أو شعبة أمن معلومات القطاع المالي في البنك المركزي.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
1. إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية
1.1. مقدمة
من الضروري أن تتحلى المؤسسات المالية في القطاع المالي بالقدرة على الصمود في مواجهة أحدث الهجمات السيبرانية وأكثرها تطوراً.
ويأتي إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية (F.E.E.R.) بمثابة دليل للمؤسسات المالية العاملة داخل المملكة العربية السعودية لمساعدتها على إعداد وتنفيذ محاكاة خاضعة للرقابة للهجمات (أي اختبارات محاكاة الهجمات السيبرانية المستندة إلى استخبارات التهديدات) ضد بيئة الإنتاج (أثناء العمل الاعتيادي للمؤسسة) مع ضمان عدم الكشف عن معلومات حساسة وذلك بمساعدة من مزود أعمال محاكاة الهجمات السيبرانية المعتمدين وذوي الخبرة.
ويضطلع البنك المركزي بدور رائد في تنفيذ الإطار المذكور. ويخضع هذا الإطار والعمليات المرتبطة به باستمرار إلى عمليات تحسين باستخدام التغذية الراجعة والدروس المستفادة من كل تمرين من تمارين محاكاة الهجمات السيبرانية. ويهدف هذا الإطار إلى تبادل البيانات الاستخباراتية والمعلومات التي تم الحصول عليها أثناء هذا الاختبار من أجل زيادة تحسين الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ولا تعتبر محاكاة الهجمات السيبرانية تدقيقًا. فهي عبارة عن اختبار محاكاة بهدف تقديم نظرة دقيقة عن مستوى صمود وفعالية ضوابط الأمن السيبراني المعمول بها والعمليات ذات الصلة (وهي أعمال الكشف والاستجابة).
كما أنها لا تعتبر اختبار اختراق. فعلى العكس من اختبارات الاختراق (التي يتم فيها اختبار وتقييم أصل أو أكثر من أصول معلومات محددة)، تركز محاكاة الهجمات السيبرانية على تكرار هجوم موجه وواقعي ضد المؤسسة المالية بأكملها، ولكن يتم تنفيذ الهجوم بطريقة مخطط لها.ويستخدم مزود أعمال محاكاة الهجمات السيبرانية أحدث تاكتيكات وأساليب وإجراءات تنفيذ الهجمات محاولاً اختراق المؤسسات المالية بهدف الوصول إلى أهم أصول المعلومات وأكثرها قيمة داخل تلك المؤسسات واختبار قدرات الكشف والاستجابة لديها. ويتضمن الفريق الأحمر المعني بمحاكاة الهجمات من قراصنة أخلاقيين معتمدين يتمتعون بخبرات واسعة ولديهم معرفة متعمقة بجميع مجالات الأمان.
2.1. الغرض من إطار العمل
يهدف إطار العمل بشكل أساسي إلى توفير التوجيه بشأن كيفية إجراء أنشطة محاكاة الهجمات السيبرانية وكيفية اختبار قدرات الكشف والاستجابة للمؤسسات المالية ضد الهجمات الحقيقية التي تتميز بتطورها وتقدمها وتعزيز معرفة أصحاب المصلحة المعنيين.
وبالمثل، يهدف إطار العمل إلى دعم تبادل المعلومات حول التهديدات والدروس المستفادة مع المؤسسات المالية بصورة تُسهم في تحقيق الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ويضمن إطار العمل تنفيذ تمرين محاكاة الهجمات السيبرانية بطريقة خاضعة للرقابة. وتأتي أهمية ذلك نظراً لطبيعة الأهداف أثناء إجراء الاختبار، وهي أنظمة الإنتاج الهامة للأعمال (أثناء سير العمل) (أي أصول المعلومات الهامة).
3.1. نطاق التطبيق
يسري إطار العمل المذكور على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي. ويتمتع البنك المركزي بسلطة اختيار أي من المؤسسات المالية ويُطلب من المؤسسة التي يقع عليها الاختيار إجراء اختبار محاكاة الهجمات السيبرانية وفقاً لمشهد التهديدات الناشئة أو بناء على أحدث استخبارات التهديدات المتوفرة لدى المؤسسة. إضافة إلى ذلك، يمكن للمؤسسات المالية إجراء اختبارات محاكاة الهجمات السيبرانية بصورة صحيحة من أجل ضمان الصمود الأمني.
4.1. المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
5.1. التفسير
بصفته مالك إطار العمل، يُعتبر البنك المركزي هو وحده المسؤول عن تقديم المشورة بشأن تفسير المبادئ والأهداف والاعتبارات، عند الاقتضاء.
6.1 دورية اختبارات محاكاة الهجمات السيبرانية
يجب أن تخضع كل مؤسسة من المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي في المملكة العربية السعودية للاختبارات المذكورة وذلك مرة واحدة على الأقل كل ثلاث (3) سنوات وذلك وفقاً لهذا الإطار.
7.1. الجمهور المستهدف
يستهدف هذا الإطار الإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي الأصول المعلوماتية، والمدراء التنفيذيين لأمن المعلومات (CISOs) والمسؤولين عن (أو المشاركين في) تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل القطاع المالي والمكلفين بتحسين الصمود السيبراني للمؤسسات المالية.
8.1. المراجعة والتحديثات والحفظ
يسعى البنك المركزي إلى الحفاظ على الإطار ومراجعته بشكل دوري لتحديد فعاليته، بما في ذلك مدى قدرته على مواجهة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. كما يعمل البنك المركزي، عند الاقتضاء، على تحديث الإطار استناداً إلى نتائج المراجعة والدروس المستفادة من تطبيقه.
9.1. معلومات إضافية
يرجى الاتصال بإدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي للحصول على مزيد من المعلومات أو لطرح الاستفسارات حول إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية.
2 معلومات أساسية
أصبحت الكثير من الحكومات والوكالات الوطنية والهيئات التنظيمية تنظر إلى حماية بنيتها التحتية الحيوية على المستوى الوطني أو على مستوى القطاع كإحدى الأولويات القصوى، حيث تضعها على أجندتها الوطنية للأمن السيبراني. ولاختبار المرونة السيبرانية للبنية التحتية الحيوية، تتبنى الحكومات والوكالات والهيئات التنظيمية بشكل متزايد أسلوب محاكاة الاختراق. وتستند أساليب محاكاة الهجمات السيبرانية بشكل عام إلى إطار يحدد كيفية إجراء اختبارات محاكاة الهجمات السيبرانية وسُبل تحديد المؤسسات التي يمكن أن تكون جزءاً من البنية التحتية الرئيسية أو الأساسية، ودورية هذه الاختبارات وتكرار تنفيذها داخل المؤسسة.
وتقوم المؤسسة في اختبار محاكاة الهجمات السيبرانية بإجراء 'محاكاة' لهجوم سيبراني حقيقي. ويقوم مزود أعمال محاكاة الهجمات السيبرانية، الذي يتكون من قراصنة أخلاقيين معتمدين وذوي خبرة، بتنفيذ/محاكاة الهجمات السيبرانية بناءً على استخبارات التهديدات المتاحة وسيناريوهات الهجوم، والتي تهدف إلى اختبار المرونة السيبرانية للمؤسسة.
ويتم تصميم الهجمات السيبرانية واختبارها بشكل حذر، بحيث تحاكي ما يقوم به المهاجم الحقيقي باستخدام أسلوبهم في تنفيذ الهجمات، بدءاً من أنشطة الاستطلاع حتى الاختراق الفعلي للأصل (للأصول) المعلوماتية الحرجة. ويتم تنفيذ واختبار محاكاة هذه الخطوات (عملية الهجوم) أثناء اختبار محاكاة الهجمات السيبرانية وهو ما يعطي المؤسسة رؤى حيوية معمقة حول مرونة المؤسسة ضد الهجمات السيبرانية.
1.2. أصحاب المصلحة
يضطلع أصحاب المصلحة في عمليات محاكاة الهجمات السيبرانية بأدوار مختلفة ومسؤوليات مقابلة لتلك الأدوار. وبغض النظر عن دور كل منهم، من المهم أن يعلم المشاركين أن جميع الاختبارات تتم في بيئة خاضعة للرقابة وأن هناك بروتوكول اتصال متفق عليه لتبادل المعلومات بين أصحاب المصلحة. أصحاب المصلحة المعنيين هم:
- إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي – هي السلطة التي أُسندت إليها المسؤولية الرئيسية للإشراف على ممارسة محاكاة الهجمات السيبرانية.
- المؤسسة المالية - كل مؤسسة مالية عاملة ضمن القطاع المالي في المملكة العربية السعودية وتخضع لرقابة البنك المركزي.
- مركز العمليات الأمنية - المركز الموجود في المؤسسة المالية، والذي سيخضع لاختبار محاكاة الهجمات السيبرانية.
- مزود أعمال محاكاة الهجمات السيبرانية - طرف خارجي معتمد، يتم اختياره لأداء تمرين محاكاة الهجمات السيبرانية وتوفير استخبارات التهديدات المطلوبة على المستوى الوطني و على مستوى القطاع لتحديد السيناريوهات.
- اللجان المتاحة التابعة للمؤسسات المالية (مثل: اللجنة المصرفية لأمن المعلومات) - يمكن في هذه اللجنة مشاركة النتائج ذات الصلة لاختبارات محاكاة الاختراق المنفذة والدروس المستفادة واستخبارات التهديدات، بصورة منقحة باستخدام بروتوكول الاتصال المتفق عليه وذلك لدعم زيادة المرونة السيبرانية الشاملة للقطاع (المالي).
2.2 الفرق المطلوبة
لتنفيذ تمرين محاكاة الهجمات السيبرانية، يجب إنشاء الفرق التالية:
الفريق الأخضر
توفر إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي الفريق الأخضر. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويكون مدير الاختبار مسؤولا عن توجيه ودعم الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. ويوافق الفريق الأخضر على اختيار مزود أعمال محاكاة الهجمات السيبرانية ويوفر - عند الحاجة - معلومات استخباراتية إضافية أو محددة عن التهديدات التي تواجه القطاع المالي.
الفريق الأبيض
يتم تعيين الفريق الأبيض (بما في ذلك قائد الفريق الأبيض) من المؤسسة المالية، ليكون مسؤولاً عن تنفيذ محاكاة الهجمات السيبرانية في ظروف خاضعة للرقابة. ويتألف الفريق الأبيض من مجموعة مختارة من خبراء الأمن والأعمال، بحيث يكونوا دون غيرهم داخل المؤسسة على علم باختبار محاكاة الهجمات السيبرانية، ويكونوا بمثابة نقاط الاتصال الرئيسية؛ مثال على أحد أعضاء الفريق: الرئيس التنفيذي لأمن المعلومات. ويقوم أعضاء الفريق بمراقبة الاختبار ويتدخلون عند الضرورة؛ على سبيل المثال عندما يكون من المحتمل أن يتسبب أو تسبب بالفعل الاختبار أو نتائجه في تداعيات كبيرة أو اختراق فعلي أو انقطاع للخدمة.
ويجب ألا يزيد إجمالي عدد الموظفين المشاركين في الاختبار عن خمسة (5) أشخاص لتجنب انتشار خبر إجراء محاكاة الهجوم السيبراني المزمع تنفيذه، ومن ثم تقل فعالية التمرين أو يصبح معيباً.الفريق الأزرق
فريق مراقبة الأمن السيبراني التابع للمؤسسة المالية (مثل مركز العمليات الأمنية)، ويتولى مراقبة وتحليل التنبيهات والأحداث الأمنية لتحديد الخروقات أو العيوب الأمنية. وتتضمن مهمة الفريق الأزرق اكتشاف الأنشطة الخبيثة (للفريق الأحمر) واتباع إجراءات الاستجابة للحوادث المتفق عليها لحظة اكتشاف الحادث. ويجب إخفاء الاختبار عن الفريق الأزرق الذي يتوقع منه اتباع إجراءاته التشغيلية القياسية من أجل محاكاة الهجوم الفعلي.
الفريق الأحمر
الفريق الأحمر، هو الطرف الثالث الذي يتم اختياره لتنفيذ سيناريوهات الهجوم؛ ويتكون الفريق الأحمر من متخصصين معتمدين وذوي خبرة. ويعمل الفريق الأحمر مع الفريق الأخضر والفريق الأبيض لوضع التهديدات المحتملة وسيناريوهات الهجوم. ويكون مزود أعمال محاكاة الهجمات السيبرانية مسؤول أيضاً عن توفير أحدث استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).
يرجى الرجوع إلى الملحق (أ): متطلبات مزود أعمال محاكاة الهجمات السيبرانية، لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية.
3.2. اختبار الاختراق مقابل محاكاة الهجمات السيبرانية
يوجد فرق كبير بين تمرين محاكاة الهجمات السيبرانية واختبار الاختراق. حيث يركز تمرين محاكاة الهجمات السيبرانية على اختبار المرونة السيبرانية للمؤسسة، أما اختبار الاختراق، فغالبا ما يقتصر نطاق الاختبار على أحد التطبيقات أو النظام، بقصد الاختبار الشامل لأمان هذا التطبيق أو النظام.
ويختلف الهدف العام لتمرين محاكاة الهجمات السيبرانية عن أهداف اختبار الاختراق. حيث يتمثل الهدف من تمرين محاكاة الهجمات السيبرانية في الاختبار (بشكل مستقل) المرونة السيبرانية الشاملة للمؤسسة المالية. ويتم تحقيق ذلك من خلال اختبار ضوابط الأمن السيبراني المنفذة، إلى جانب قدرات الكشف والاستجابة.
أما الهدف الثانوي فيتمثل في مشاركة الدروس المستفادة مع المؤسسات المالية في القطاع المالي، لتعزيز المرونة السيبرانية الشاملة على مستوى القطاع.
اختبار الاختراق مقابل محاكاة الهجمات السيبرانية التعرف على الثغرات الأمنية الهدف اختبار المرونة أمام الهجمات الحقيقية مجموعة فرعية محددة مسبقاً النطاق مسارات وصول واقعية التركيز على الضوابط الوقائية الضوابط المختبرة التركيز على الكشف والاستجابة التركيز على الكفاءة طريقة الاختبار التركيز على المحاكاة الواقعية تحديد الأهداف والتعرف على الثغرات الأمنية واستغلال الثغرات الأمنية تقنيات الاختبار التكتيكات والأساليب والإجراءات محدودة جدا ما بعد استغلال الثغرات الأمنية التركيز المكثف على الأصول أو الوظائف الحيوية أجزاء من دورة حياة التطوير تكرار تمرين دوري الشكل (1) الفرق بين اختبار الاختراق ومحاكاة الهجمات السيبرانية
4.2. منهجية تسلسل الهجوم السيبراني
يقدم تسلسل الهجوم السيبراني1 نموذجاً تصورياً لوصف الهجوم. ويشير مصطلح "تسلسل" إلى العملية الشاملة التي يتبناها المهاجم.
ويوفر تسلسل الهجوم السيبراني رؤية معمقة حول كيفية تنفيذ الهجوم والأدوات والأساليب المختلفة المستخدمة في كل مرحلة. ولتقليل خطر وقوع الهجوم بنجاح، يجب النظر في اتخاذ تدابير دفاعية (ومنها، التدابير الوقائية والكشفية وتدابير الاستجابة والتدابير التصحيحية) لكل خطوة من خطوات تسلسل الهجوم لتقليل احتمالية الاختراق وتحسين مرونة المؤسسة المالية.
وتوضح المراحل السبع (7) التالية خطوات الهجوم السيبراني المتقدم في تسلسل الهجوم السيبراني:
يشير الشكل (2) إلى سبع مراحل من الهجوم السيبراني، ويوضح المهام الرئيسية للفريق الأحمر والفريق الأزرق
1. الاستطلاع:
المرحلة الأولى هي مرحلة اختيار الهدف وجمع المعلومات عنه لتحديد أساليب الهجوم. وتحدث هذه المرحلة قبل تنفيذ الهجوم. ومن أمثلة المعلومات المفيدة: الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني والوظائف والموضوعات الخاصة أو المهنية التي تهم الموظفين على الإنترنت والمعلومات المنشورة حول البرنامج الذي تستخدمه المؤسسة.
2. التسلح:
يقوم المهاجم بإنشاء الحمولة الخبيثة/الملف الضار لهدف معين بناءً على المعلومات التي حصل عليها أثناء مرحلة الاستطلاع. وقد يأتي الهجوم بأشكال مختلفة بحسب قدرات المهاجم الإبداعية ومجموعة الدفاعات المتاحة ونقاط الضعف المحتملة.
3. التوصيل:
يتم إرسال الهجوم المصمم إلى الضحايا باستخدام وسائل مختلفة، ومنها: البريد الإلكتروني (المرفقات) أو التصيد الإلكتروني أو مواقع الإنترنت أو الأجهزة المادية أو الهندسة الاجتماعية.
4. الاستغلال:
ينتج عن تفعيل أو تنشيط الحمولة الخبيثة/الملف الضار (أي البرامج الضارة) اختراق نظام الهدف وشبكته بنجاح. ويحد هجوم البرمجيات الخبيثة الذي يتم بشكل تدريجي من إمكانية كشفه. وتتواصل البرمجيات الخبيثة مرة أخرى مع المهاجم عبر قناة آمنة، مما يحد من فرصة الاكتشاف. وعادة ما يستخدم المهاجمون الأساليب الشائعة وتنسيقات الملفات لتسليم الملفات التنفيذية للبرمجيات الخبيثة (مثل ملفات ميكروسوفت أوفيس وملفات بي دي إف ومواقع الإنترنت الضارة ورسائل التصيد الإلكتروني والوسائط القابلة للإزالة).
5. التثبيت:
التثبيت الفعلي للحمولة الخبيثة/الملف الضار أو البرنامج الذي يدعم المهاجم. لضمان استمرار البرمجيات الخبيثة والباب الخلفي (الأبواب الخلفية) في عملها، يمكن للمهاجمين تثبيت برمجيات خبيثة إضافية أو أدوات برامج ضارة لضمان استمرار الهجوم إذا تم تعطيل النظام الذي تم اختراقه في البداية أو البرامج الضارة النشطة.
6. القيادة والسيطرة:
عادة ما يتصل النظام المخترق بالمهاجم، لإنشاء ما يسمى بقناة القيادة والتحكم، والتي تسمح بالتحكم عن بعد في البرمجيات الخبيثة. وخصوصا في البرمجيات الخبيثة المستخدمة في التهديد المستمر المتقدم، سيتحكم المهاجم في البرامج الضارة ويستكشف الشبكة باستخدام هذا النوع من الوصول عن بُعد.
7. الإجراءات المتعلقة بالهدف:
بعد إنجاز المهاجم لمهام الاختراق أو تحقيق أهدافه، سيحاول المهاجم إخفاء الأدلة والآثار الرقمية باستخدام أساليب مختلفة، مثل تسرب البيانات، أو يقوم باستخدام النظام المخترق كنقطة انطلاق للانتقال إلى أنظمة أخرى في الشبكة (من خلال التحرك الجانبي)، للبحث عن أصول أو أهداف أخرى عالية القيمة.
1 قام علماء الحاسب الآلي في شركة لوكهيد مارتن بتطوير ووصف إطار عمل "سلسلة منع التسلل" للدفاع عن شبكات الكمبيوتر في عام 2011.
5.2 استخبارات التهديدات
سيقوم مزود (مزودو) أعمال محاكاة الهجمات السيبرانية بتوفير بيئة استخبارات التهديدات التي تناسب القطاع المالي السعودي أو إحدى المؤسسات المالية. ويمكن إثراء هذه البيئة بالاستفادة من المدخلات المقدمة من البنك المركزي (ومنها إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي، أو الفريق الأخضر)، والفريق الأبيض، والهيئات الحكومية المختلفة. ويجب على مزودي محاكاة الهجمات السيبرانية تقديم آخر ما لديهم من استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).
6.2 نظرة عامة على المراحل
يتكون إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية من أربع مراحل. وتقدم الفصول ذات الصلة من هذا الإطار وصفاً مفصلاً لكل مرحلة.
لمزيد من التفاصيل والتعاريف المتعلقة بهذا الإطار يرجى الرجوع إلى الملحق (ج) قائمة المصطلحات.
3 مرحلة التحضير
1.3. نظرة عامة
يبدأ الفريق الأخضر مرحلة التحضير لتمرين محاكاة الهجمات السيبرانية من خلال تعيين مدير اختبار. ويجب كذلك ترشيح مدير اختبار احتياطي نظرا لأهمية هذا الدور.
ويتولى مدير الاختبار مسؤولية الاتصال بالمؤسسة المالية لشرح مفهوم وعمليات محاكاة الهجمات السيبرانية. ويقوم مدير الاختبار بدعوة المؤسسة المالية لتعيين فريقهم الأبيض بشكل رسمي والبدء في التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
ويعلن قائد الفريق الأبيض بدء جلسة انطلاق العمل، ويدعو جميع أصحاب المصلحة المعنيين (أي الفرق الخضراء والبيضاء والحمراء) إلى التوافق على أغراض وأهداف تمرين محاكاة الهجمات السيبرانية.
2.3. الفريق الأخضر: اختيار مدير الاختبار
يعد مدير الاختبار من الأشخاص الأساسيين في تمرين محاكاة الهجمات السيبرانية. لذلك، يجب أن يتمتع هذا الشخص بخبرة كبيرة في إدارة المشاريع ودراية واسعة بقطاع الخدمات المصرفية والأمن السيبراني.
ويجب على مدير الاختبار بالفريق الأخضر دعوة المؤسسة المالية لتعيين أعضاء الفريق الأبيض. وطوال مدة تمرين محاكاة الهجمات السيبرانية، يظل الفريق الأبيض على اتصال وثيق بمدير الاختبار.
ويقوم مدير الاختبار بالإشراف على تمرين محاكاة الهجمات السيبرانية ويقدم الدعم والتوجيه والأفكار لضمان توافق تمرين محاكاة الهجمات السيبرانية بأكمله الذي يقوم به الفريق الأبيض ومزود أعمال محاكاة الهجمات السيبرانية مع إطار العمل. ولا يعد مدير الاختبار عضواً رسمياً في الفريق الأبيض، لذلك لا يمكن محاسبته على أي إجراءات أو نتائج.
3.3 اختيار مزود أعمال محاكاة الهجمات السيبرانية
يقوم الفريق الأخضر بتعيين مزود أعمال محاكاة الهجمات السيبرانية (الفريق الأحمر)، الذي تم اختياره مسبقاً لتنفيذ محاكاة الهجمات السيبرانية، بناءً على خبرات ومهارات موظفيه. ونظراً لتنفيذ اختبارات القرصنة الأخلاقية على أنظمة الإنتاج في بيئة العمل الفعلية، فمن الأهمية أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية خبرات سابقة موثقة والمهارات والخبرات والشهادات اللازمة والموظفين ذوي الخبرة المطلوبة لإجراء اختبار محاكاة الهجمات السيبرانية.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية
4.3 اختيار الفريق الأبيض
يجب على المؤسسة المالية تشكيل الفريق الأبيض بعناية وترشيح قائد الفريق الأبيض من أجل تسهيل تمارين محاكاة الهجمات السيبرانية والإشراف عليها وقيادتها خلال جميع المراحل. ويتمثل دور قائد الفريق الأبيض في التأكد من إجراء تمرين محاكاة الهجمات السيبرانية بالكامل بطريقة خاضعة للرقابة، نيابة عن المؤسسة المالية. وبمجرد تشكيل الفريق الأبيض، يجب على قائد الفريق الأبيض التنسيق مع مزود أعمال محاكاة الهجمات السيبرانية المعين لوضع اللمسات الأخيرة على العقد ودعوتهم إلى الاجتماع الافتتاحي.
5.3 التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية
بمجرد موافقة الفريق الأخضر على مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية البدء في إجراءات التعاقد مع المزود المذكور. وأثناء عملية التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية القيام بالأنشطة التالية:
- الاتفاق على الاعتبارات التعاقدية، مثل بنود اتفاقية عدم الإفصاح، والمسؤولية عن أي عواقب تنتج عن الاختبار، وخطاب التفويض؛
- تقديم أعضاء الفريق الأحمر إلى الفريق الأبيض والأخضر.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية
عقب التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يبدأ الفريق الأبيض في إشراك مزود أعمال محاكاة الهجمات السيبرانية وموظفيه المحددين لضمان الاستفادة الكاملة من خبراتهم وآرائهم، وتعريف موظفي مزود أعمال محاكاة الهجمات السيبرانية بنموذج أعمال وخدمات المؤسسة المالية.
6.3 تحديد النطاق
خلال جلسة انطلاق العمل وبحضور جميع أصحاب المصلحة المعنيين (الفريق الأخضر والأبيض والأحمر)، يجب تحديد نطاق التمرين والأصول المعلوماتية الهامة المستهدفة (أي "الأهداف الهامة") لسيناريوهات الهجوم. علاوة على ذلك، تتم مناقشة تخطيط المشروع بالتفصيل مع مسؤوليات كل فريق. كما تناقش الجلسة النتائج المتوقعة والاعتبارات التعاقدية. ويجب على الفريق الأبيض تحديد الأهداف الهامة التي سيتم استهدافها أو مهاجمتها.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بمشاركة نصائحه وتوصياته إلى الفريق الأبيض والأخضر بناءً على خبرته (السابقة) لإثراء النقاش حول نطاق الهجوم.
ويجب على الفريق الأبيض والفريق الأخضر مناقشة ووضع المعايير والقيود وبروتوكول التصعيد بشكل تعاوني لاختبار محاكاة الهجمات السيبرانية لضمان التفاهم المتبادل أثناء التنفيذ. ومن النقاط الهامة الأخرى هي الاتفاق على المسؤولية عن إجراءات مزود أعمال محاكاة الهجمات السيبرانية (انظر أيضا 5.3).
ويجب على الفريق الأبيض إنشاء مستند تحديد النطاق. ويحتوي هذا المستند على تفاصيل الاتصال بأعضاء الفريق الأبيض والأهداف التي تم رصدها (وهي الأهداف المحددة أو الأنظمة المستهدفة) أثناء تمرين محاكاة الهجمات السيبرانية. ويتضمن المستند كذلك الخطة العامة للتمرين وإجراءات التصعيد المحددة مسبقاً وبروتوكولات الاتصال (بما في ذلك اسم الكود للاختبار).
وبمجرد تحديد النطاق من قبل الفريق الأبيض، يجب تقديم مستند نطاق العمل إلى الفريق الأخضر لاعتماده.
4 مرحلة السيناريو
1.4 نظرة عامة
يجب على الفريق الأخضر والأبيض في بداية هذه المرحلة تقديم استخبارات التهديدات المتاحة بشكل مستقل إلى الفريق الأحمر. ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج استخبارات التهديدات المستلمة مع استخبارات التهديدات الخاصة به (والتي يجب أن تستند إلى مصادره الخاصة وخبراته السابقة والاختبارات التي تم تنفيذها قبل ذلك). وبناء على استخبارات التهديدات المجمعة، يحدد الفريق الأحمر سيناريوهات واستراتيجيات الهجوم. وتتم مناقشة سيناريوهات واستراتيجيات الهجوم مع الفريق الأخضر قبل تحديد تكتيكات وأساليب وإجراءات الهجوم التفصيلية. وإذا لزم الأمر، يجب على الفريق الأبيض بدء مناقشات مع كل من الفريقين الأحمر والأخضر لمواصلة المناقشة والاتفاق بشأن سيناريوهات الهجوم النهائية، في ضوء الملاحظات الواردة من الفريق الأخضر.
وتستغرق مرحلة السيناريو عادة عدة أسابيع (بحد أقصى خمسة (5) أسابيع). وفيما يلي لمحة عامة عن العملية:
2.4 جمع استخبارات التهديدات
يقدم كل فريق استخبارات التهديدات المجمعة بشكل مستقل. ويقدم الفريق الأخضر (عند توفره) ما لديه من استخبارات التهديدات على مستوى القطاع والتي تكون معروفة ومتاحة من خلال المؤسسات المالية أو الحوادث الأخرى. وقد يشمل ذلك استخبارات التهديدات الواردة من الجهات الحكومية، والتي قد تكون ذات صلة بالمؤسسة المالية. ويجب على الفريق الأبيض تقديم رؤية المؤسسة المالية، بما في ذلك استخبارات التهديدات الدقيقة المتعلقة بعملها ومرتبطة بالاتجاهات أو الحوادث السابقة، سواء كانت داخلية أو خارجية، وفقاً لما تحدده المؤسسة.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج معلومات التهديد المستلمة مع معلومات التهديدات الخارجية الخاصة به (بما في ذلك استخدام مصادره 'المفتوحة')، علاوة على المعلومات الاستخباراتية التي تم جمعها خلال مختلف أعمال الفريق الأحمر.
3.4 تحديد واعتماد سيناريوهات الهجوم عالي المستوى
وفقاً لجميع استخبارات التهديدات التي تم جمعها، يجب على الفريق الأحمر تحليل سيناريوهات الهجوم الواقعية وتحديدها وصياغتها، ومن ثم القيام بإعداد وثيقة استراتيجية شاملة للاختبار. وبمجرد تحديد السيناريوهات، يجب الاتفاق على سيناريوهات الهجوم واستراتيجية الاختبار قبل بدء مزود أعمال محاكاة الهجمات السيبرانية بإنشاء سيناريوهات هجوم محددة.
4.4 إعداد واعتماد سيناريوهات الهجوم التفصيلية
تحدد سيناريوهات الهجوم التفصيلية واحداً أو أكثر من الأصول المعلوماتية الحيوية التي تجمع بين المعلومات الخارجية والداخلية (أي الخاصة بالمؤسسة المالية) واستخبارات التهديدات على مستوى القطاع. ويجب أن يتضمن كل سيناريو للهجوم وصفاً كتابياً لتسلسل الهجوم من وجهة نظر المهاجم. ويتعين على مزود أعمال محاكاة الهجمات السيبرانية استعراض خيارات الهجوم المختلفة، بناءً على التكتيكات والأساليب والإجراءات المختلفة التي يستخدمها مسؤولو الاختبار والمهاجمون ذوو الخبرة. وكما هو الحال في سيناريوهات الهجوم عالي المستوى واستراتيجية الاختبار، يجب الاتفاق على السيناريوهات التفصيلية مع الفريق الأخضر.
5.4 الانتهاء من خطة محاكاة الهجمات السيبرانية
يجب ألا تتكون خطة الهجمات السيبرانية النهائية من سيناريوهات الهجوم المختلفة التي سيؤديها مزود أعمال محاكاة الهجمات السيبرانية فحسب، بل يجب أن تحدد أيضا إجراءات التصعيد وبروتوكولات الاتصال المتفق عليها. ونظراً لوجود أنظمة الإنتاج الحرجة ضمن نطاق اختبار الهجمات السيبرانية، فمن الضروري أن يكون مزود أعمال محاكاة الهجمات السيبرانية على دراية بهذا الأمر وأن يفكر في كيفية الاستجابة في حالة حدوث أي مشكلات أو تعطل غير متوقع. وعقب الانتهاء من خطة محاكاة الهجمات السيبرانية، يلزم الحصول على الموافقة النهائية من قبل الفريق الأبيض والأخضر قبل أن يتمكن مزود أعمال محاكاة الهجمات السيبرانية من المضي قدما في تنفيذ سيناريوهات الهجوم.
5 مرحلة التنفيذ
1.5 نظرة عامة
تبدأ المرحلة بقيام مزود أعمال محاكاة الهجمات السيبرانية بتنفيذ سيناريوهات الهجوم. ويجب إطلاع الفريق الأبيض والأخضر على آخر المستجدات أثناء تنفيذ العملية. ويجب تسجيل كافة الإجراءات للاحتفاظ بها لأغراض الإثبات وتسهيل الإعادة عند الحاجة، بالتعاون مع الفريق الأزرق.
وفيما يلي لمحة عامة عن العملية:
2.5 تنفيذ خطة محاكاة الهجمات السيبرانية
يجب أن يبدأ مزود أعمال محاكاة الهجمات السيبرانية في تنفيذ تمرين محاكاة الهجمات السيبرانية باتباع السيناريوهات المتفق عليها وضد الأصول أو الوظائف الحرجة (المعلومات) التي تم اختيارها مسبقاً. ويُذكر أن السيناريوهات المتفق عليها ليست ملزمة بشكل صارم، فهي مجرد مخطط عام، وقد لا تتوافق بشكل كامل مع البيئة التشغيلية الفعلية التي تتم مواجهتها أثناء مرحلة التنفيذ. ومع ذلك، يجب على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض والفريق الأخضر بالتعديلات المقترحة في السيناريوهات. ويجب السماح بالانحراف عن السيناريوهات الأولية ويكون ذلك مرغوباً فيه في حالة مواجهة العقبات.
ويجب على مزود أعمال محاكاة الهجمات السيبرانية تطبيق خبراتهم وإبداعهم لتطوير طرق أو حلول بديلة من أجل الوصول إلى الأصول أو الوظائف الحرجة (المعلومات) المحددة. ومن الأهمية أن يظل مزود أعمال محاكاة الهجمات السيبرانية على اتصال وثيق مع كل من الفريقين الأخضر والأبيض ويطلعهم باستمرار على التقدم المحرز أثناء اختبار محاكاة الهجمات السيبرانية – وذلك وفقاً لعدد مرات التحديث التي تم الاتفاق عليه أثناء جلسة انطلاق العمل، أو يتم إخطارهم على الفور في حالة التصعيد أو الأحداث أو الحوادث الخطيرة.
3.5 تنفيذ السيناريوهات المحددة والمتفق عليها
وفي حالة اكتشاف الفريق الأزرق لأي أحداث يكون الفريق الأحمر قد تسبب فيها أثناء عمله، يجب على مزود أعمال محاكاة الهجمات السيبرانية، بالتعاون مع قائد الفريق الأبيض، تقييم إمكانية المضي قدماً في اختبار محاكاة الهجمات السيبرانية وفقا للخطة الأصلية أو تعديل استراتيجية الهجوم الأولية.
ويجب على قائد الفريق الأبيض مراعاة الخيارات التالية عند اكتشاف إجراءات مزود أعمال محاكاة الهجمات السيبرانية:
- وقف أو تأجيل الاختبار في حالة وجود خطر كبير يهدد بتعطل العمل؛
- الإشراف على الفريق الأزرق وتوجيهه بحرص شديد أثناء أنشطة الاستجابة، خاصة إذا طرحت إمكانية اتخاذ تدابير متطرفة (والتي من بينها إبلاغ سلطات إنفاذ القانون بالحادث أو إغلاق الخدمات الحيوية للتخفيف من أي تأثيرات إضافية ..إلخ)؛
- إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بالاستمرار في سيناريوهات الهجوم الأولية؛
- إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بضرورة مراجعة الهجوم (الذي تم اكتشافه) أو البحث عن حل بديل للأصل المعلوماتي الحرج ومتابعة سيناريو الهجوم المعدل بعد موافقة قائد الفريق الأبيض؛
- إبلاغ الفريق الأخضر بشأن الكشف عن الأحداث واتخاذ قرار بشأن التمرين.
- الطلب من مزود أعمال محاكاة الهجمات السيبرانية وضع سيناريو هجوم بديل مصمم خصيصاً للأصول المعلوماتية الحرجة المعدلة (مثل أي تغييرات في النطاق).
4.5 الإبلاغ
بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، أو وقف الاختبار بناءً على طلب قائد الفريق الأبيض، يجب على مزود أعمال محاكاة الهجمات السيبرانية إعداد ملاحظاتهم ونتائجهم الأولية، ويفضل أن يتم ذلك وفقاً للترتيب الزمني. ويجب مناقشة هذه الملاحظات والنتائج مع الفريق الأخضر والأبيض. وتوفر هذه الملاحظات والنتائج الأساس لتقييم قدرات الكشف والاستجابة لدى الفريق الأزرق. وبعد إجراء التقييم الأولي، يجب على الفريق الأبيض مشاركة ملاحظاته، بحسب الأدوار المنوطة به ورؤيته.
ملاحظة: بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، يتعين على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض على الفور بالنصوص الكتابية أو التعليمات البرمجية أو البرمجيات الخبيثة التي ثبتها الفريق الأحمر، إلخ.، بما في ذلك تقديم لمحة عامة عن معرفات المستخدم التي تم إنشاؤها أو اختراقها أو (إعادة) استخدامها أثناء الاختبار. ويتعين على قائد الفريق الأبيض أن يثبت للفريق الأخضر أن "مؤشرات الاختراق' قد أزيلت بالفعل أو تمت إعادة الضبط مرة أخرى. يجب أن يذكر الفريق الأبيض كافة المعلومات التي تم اكتشافها أو ملاحظتها من قبل الفريق الأزرق. ويجب على مزود أعمال محاكاة الهجمات السيبرانية استخدام هذه المعلومات لتقييم قدرات الكشف والاستجابة للفريق الأزرق بشكل عام في مسودة التقرير. ويجب أن يشير مزود أعمال محاكاة الهجمات السيبرانية إلى جميع الملاحظات والنتائج والتوصيات والتقييمات ذات الصلة، والتي تمت ملاحظتها أو تجربتها أثناء مرحلة الإعداد ومرحلة وضع السيناريو والتنفيذ، بما في ذلك الملاحظات والنتائج والتوصيات والتقييمات الواردة من الفريقين الأبيض والأخضر. وبالنسبة للتوصية المقدمة، فيجب أن تأخذ في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي والممارسات الجيدة الأخرى المعمول بها في هذا المجال.
ومن الضروري أن يتضمن التقرير النهائي تسلسلات الهجوم السيبراني التي تم استغلالها، وتلخيصها في شكل مخططات لمتجهات الهجوم. ويجب أن توفر مخططات متجهات الهجوم رؤى معمقة حول كيفية تنفيذ سيناريوهات الهجوم والأجزاء التي تحتاج إلى مزيد من التركيز عند تنفيذ إجراءات التخفيف. ويجب أن تتوافق كافة الفرق المعنية على التقرير النهائي ويلتزم المزود بتقديم نسخة من التقرير إلى البنك المركزي.
يرجى الاطلاع على الملحق (ب) متطلبات الإبلاغ، لمزيد من التفاصيل حول المتطلبات الواجب اتباعها من قبل مزود أعمال محاكاة الهجمات السيبرانية.
6 مرحلة الدروس المستفادة
1.6 نظرة عامة
يجب على مزود أعمال محاكاة الهجمات السيبرانية في هذه المرحلة تقديم تقرير الفريق الأحمر النهائي، بحيث يشتمل على التقييم العام لمرونة المؤسسة المالية ضد الهجمات السيبرانية المستهدفة.
ويتعين على الفريق الأزرق تقديم تقرير الفريق الأزرق مع ملاحظاتهم ونتائجهم وتوصياتهم مع التركيز على التنبيهات والإجراءات المتخذة كجزء من قدرات المؤسسة المالية في مجال الكشف والاستجابة.
وبمجرد توزيع تقارير الفريق الأحمر والأزرق النهائية على جميع الفرق. يجب على الفريق الأبيض دعوة الفرق الحمراء والزرقاء والخضراء للمشاركة في جلسة تقييم الأداء الشاملة، يشاركون فيها ملاحظاتهم وخبراتهم لأغراض التعلم (للموظفين والإدارة المعنيين)، ولفهم القدرات التي يجب تحسينها (مثل الوقاية والكشف والاستجابة) و(تعزيز) التمرينات المستقبلية.
وبعد إتمام جلسة تقييم الأداء، يتم تنظيم تمرين إعادة، بقيادة الفريق الأزرق والأحمر. ويتمثل الهدف من تمرين الإعادة المشترك في إعادة خطوات تمرين الفريق الأحمر، ومناقشة جميع الإجراءات والملاحظات ذات الصلة، والتي تم إبرازها من كلا الزاويتين، أي الفريق الأزرق والفريق الأحمر.
وتتم الخطوة التالية بإجراء تقييم شامل لإجراءات تمرين محاكاة الهجمات السيبرانية نفسه. وقد تساهم نتيجة التقييم في استنباط المعلومات الحيوية لتعزيز إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية للعمليات المستقبلية.
أما الفريق الأبيض، فيجب عليه وضع خطة علاجية بناءً على الملاحظات والتوصيات التفصيلية.
ولضمان استفادة جميع المؤسسات المالية في القطاع المالي من تمارين محاكاة الهجمات السيبرانية المشار إليها، يجب إعداد تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، وعرضه إذا لزم الأمر. وينبغي أن يقتصر توزيع هذا التقرير على المجتمع المغلق المحدد (أي العناوين المحددة) والالتزام ببروتوكول الاتصال المعمول به.
وتبلغ مدة هذه المرحلة حوالي أربعة (4) أسابيع.
ويجب على البنك المركزي وفقاً للتقييمات مراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي، إذا لزم الأمر.
ويمكن الاطلاع أدناه على إجراءات استخلاص الدروس المستفادة:
2.6 استخلاص المعلومات
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بوضع اللمسات الأخيرة على تقرير الفريق الأحمر ويعرض مخرجات التقرير للفريقين الأبيض والأزرق. وفي الوقت نفسه، يجب على الفريق الأزرق إعداد تقرير الفريق الأزرق. ويجب أن يستعرض تقرير الفريق الأزرق الملاحظات من منظور الفريق الأزرق وأن يتضمن التنبيه والأحداث التي تم رصدها أثناء التمرين، وكذلك الإجراءات التي تم البدء فيها ونتائج هذه الإجراءات. كما تقدم تقارير الفريق الأزرق أيضا توصيات الفريق الأزرق للتحسينات.
ويجب على جميع الفرق (أي الأخضر والأبيض والأحمر) التي شاركت بشكل مباشر في اختبار محاكاة الهجمات السيبرانية تقديم التقييمات الشاملة على اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه. أما بالنسبة للفريق الأبيض، فيتعين عليه بدء وجدولة جلسة إعادة مشتركة مع جميع الفرق.
3.6 تمرين الإعادة مع الفريقين الأحمر والأزرق
بعد تسليم تقارير الفريق الأحمر والأزرق، يجب على الفريق الأبيض تنظيم تمرين الإعادة. ويقوم الفريقان الأزرق والأحمر بشكل مشترك خلال تمرين الإعادة باستعادة خطوات تمرين محاكاة الهجمات السيبرانية حسب تسلسله الزمني وكذلك التنبيهات والأحداث وخطوات الهجوم ذات الصلة.
ويهدف تمرين الإعادة إلى شرح ومناقشة كل خطوة وإجراء على حدة لتقييم ما إذا كان التنبيه أو الحدث الذي تم رصده يؤدي إلى الإجراءات المتوقعة. من المهم تحديد ما إذا كانت الإجراءات التي تم اتخاذها أدت إلى النتائج المتوقعة وما إذا كانت الإجراءات قد نُفذت بشكل صحيح أو تستلزم مزيداً من التحسين.
ويجب أن يوفر إعادة تمرين محاكاة الهجمات السيبرانية فهماً عميقاً أكثر شمولاً لأنماط الهجوم المستخدمة، والنضج الحالي الذي وصلت إليه قدرات الكشف والاستجابة، وفعالية الدفاعات أو الضوابط متعددة الطبقات داخل المؤسسة المالية التي خضعت للاختبار.
إضافة إلى ذلك، يمكن للفريق الأبيض تكرار تمرين الإعادة لجماهير مستهدفة محددة داخل المؤسسة المالية. وعليه، يُنصح بشدة بإعادة إجراء تمرين الإعادة لـ:
أ. الموظفون ذوو الصلة في قسم تقنية المعلومات – ويكون نطاق الجلسة متعمق وتقني للغاية من أجل تقديم الأفكار ذات الصلة في الجوانب التقنية والإجرائية.
ملاحظة. في الحالات التي يكون فيها مستوى التفاصيل غير كاف أو لا يمكن عرض خطوات الهجوم، فقد يميل أعضاء قسم تقنية المعلومات إلى التقليل من شأن الهجمات أو الادعاء بأن التمرين نظري بحت.
ب.الإدارة العليا-يجب عقد جلسة إعادة عالية المستوى مع الإدارة العليا بهدف زيادة الوعي وتثقيف الإدارة العليا. ويجب أن تتضمن جلسة الإعادة إعطاء نظرة عامة عن تمرين محاكاة الهجمات السيبرانية وأهدافه، وملخصاً للهجمات والاستجابة التي تمت، وتقييماً لقدرات الكشف الحالية، وتوصيات لزيادة تعزيز الصمود السيبراني.
4.6 وضع خطة التصحيح
يجب على الفريق الأبيض وضع خطة تصحيح بناءً على التوصيات المقدمة من الفريق الأحمر والفريق الأزرق. يجب على الفريق الأبيض:
وضع الملاحظات والتوصيات؛
تحديد التحسينات المتعلقة بقدرات الكشف والاستجابة؛
تحديد المخاطر والأولويات المرتبطة بها.
يشارك الفريق الأبيض خطة التصحيح المتفق عليها والمعتمدة داخلياً مع الفريق الأخضر ويرصد بشكل دوري التقدم المحرز في عملية التصحيح لضمان مراقبة الثغرات المحددة والتخفيف من أثرها.
ملاحظة: يجب على الفريق الأخضر عدم مشاركة أو توزيع تقارير الفريقين الأحمر والأزرق أو تقارير التقييم أو خطة التصحيح ما لم تقدم المؤسسة المالية له إذناً كتابياً بذلك.
وكما ذكرنا آنفاً، فإن الهدف الأساسي لهذا الإطار هو التدريب والتعلم والمشاركة. 5.6 تصحيح الثغرات الأمنية المحددة
عقب الانتهاء من تمرين محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية، (أي من خلال الفريق الأبيض) البدء في تنفيذ أنشطة التصحيح المتفق عليها ومعالجة الثغرات الأمنية المحددة.
ويجب على للمؤسسة المالية أن ترصد التقدم المحرز في الإصلاح الفعلي لضمان تفعيل القدرات المحسنة واستغلالها في الوقت المناسب. ويتعين كذلك على المؤسسة المالية ضمان إطلاع لجنة الأمن السيبراني (وإذا لزم الأمر الإدارة العليا) بشكل دوري بشأن التقدم المحرز في إجراءات التصحيح المخطط لها، وأن تطلب الدعم اللازم إذا ارتأت عدم سير أنشطة التصحيح كما هو متوقع.
6.6 مشاركة الدروس المستفادة
يتمثل أحد الأنشطة المهمة في مرحلة الدروس المستفادة في تقديم تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، والذي يمكن مشاركته مع لجان المؤسسات المالية مثل نظام معلومات استمرارية الأعمال.
كما تسهم مشاركة التقرير الموجز والدروس المستفادة في مساعدة المؤسسات المالية الأخرى على بناء المعرفة والخبرة التي تحتاجها لتحسين صمودها السيبراني.
ملاحظة. وينبغي أن تقتصر مشاركة التقرير والدروس المستفادة على ما يتفق عليه مع المجتمع المغلق (أي العناوين المحددة) وضمن حدود بروتوكول الاتصال المتفق عليه. ومن خلال تنفيذ الدروس المستفادة داخل المؤسسات المالية ذاتها على مستوى القطاع، سوف يتحسن الصمود السيبراني للقطاع المالي في المملكة العربية السعودية بشكل عام، بغض النظر عما إذا كانت هذه المؤسسات المالية أساسية في القطاع أم لا.
7.6 تعزيز إطار عمل محاكاة الهجمات السيبرانية
يقوم البنك المركزي وفقاً للتقييمات بمراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي لتمارين محاكاة الهجمات السيبرانية في المستقبل.
الملحق (أ)-متطلبات مزود أعمال محاكاة الهجمات السيبرانية
يجب مراعاة المتطلبات التالية عند اختيار والتعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
خبرات سابقة في مجال محاكاة الهجمات السيبرانية 1. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات سمعته الراسخة وتاريخه في مجال وأخلاقيات العمل/المهنة (على سبيل المثال، أن يكون لديه تاريخ عمل جيد، وحصوله على تقييم أداء جيد من كل من العملاء ومقدمي الخدمات، وسجل مالي موثوق به وتاريخ أداء مميز)؛
2. عدد أوراق الاعتماد والمراجع (من مؤسسات كبرى) لاختبارات محاكاة الهجمات السيبرانية المنفذة بنجاح؛
3. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على الاستشهاد بملاحظات مستقلة حول جودة العمل المنجز وسلوك الموظفين المعنيين (الاعتماد الداخلي)؛
4. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تقارير (مع إخفاء الأسماء حفاظاً على الخصوصية) عن الاختبارات السابقة، ويفضل أن يكون ذلك في نفس مجال العمل أو مجال مشابه والاختبارات المماثلة؛
5. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات نقاط الضعف أو الثغرات الموجودة في بيئات أخرى مماثلة؛
6. يجب على مزود أعمال محاكاة الهجمات السيبرانية إثبات شهادات وخبرات الموظفين المشاركين في اختبار (اختبارات) محاكاة الهجمات السيبرانية -انظر الجدول أدناه لمزيد من التفاصيل؛
7. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قد شارك في فعاليات متخصصة في هذا القطاع (كتلك التي تقيمها مؤتمرات بلاك هات(Blackhat) أو مؤتمر آر إس إيه(RSA) وغيرهما). يرجى العلم بأن هذا الشرط اختياري ولكن، حال استيفاءه، سيتم اعتباره مرجعاً وخبرة إضافية. لديه أسلوب ومنهجية محددة وواضحة، ويسري ذلك على العمليات، والحوكمة، وضمان الجودة وإدارة المخاطر 1. أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية إجراءات محددة بوضوح لاختبارات محاكاة الهجمات السيبرانية والعمليات ذات الصلة؛ ويتم في هذه النقطة توضيح الأنشطة والمتطلبات المتعلقة بمرحلة الإعداد ووضع السيناريو ومراحل التنفيذ والدروس المستفادة؛
2. أن يكون العنصر الرئيسي في منهج مزود أعمال محاكاة الهجمات السيبرانية هو توفير تجربة التعلم للفريق الأزرق والحرص على عقد جلسة تقييم أداء لتحسين معرفة الموظفين والإدارات المعنية وإنضاج قدرات الرصد والاستجابة لدى الأمن السيبراني واستعادة العمليات وتدابير التحكم وعند الاقتضاء تدابير الوقاية (مثل تقوية إجراءات الأمان)؛
3. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على المساعدة في إنشاء قاعدة معرفية والحفاظ عليها بحيث يمكن مشاركة نقاط الضعف المعروفة والدروس المستفادة وتحسينها داخل القطاع المالي؛
4. أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية هيكل واضح لضمان الجودة والتصعيد لعمليات محاكاة الهجمات السيبرانية التي يقوم بها؛
5. أن تكون جميع الأنشطة التي يقوم بها مزود أعمال محاكاة الهجمات السيبرانية قابلة للنسخ (بما في ذلك تسجيل كافة الأنشطة)؛
6. يجب أن يلتزم مزود أعمال محاكاة الهجمات السيبرانية بمدونة سلوك رسمية يشرف عليها طرف داخلي/ خارجي؛
7. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أنه يقدم خدمات عالية الجودة، بما في ذلك منهجيات العمل والأدوات والتقنيات ومصادر المعلومات التي سيتم استخدامها كجزء من عملية محاكاة الهجمات السيبرانية والاختبار؛
8. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أن نتائج الاختبارات التي يقوم بها والإبلاغ عنها وتخزينها والتخلص منها بطريقة لا تعرض المؤسسة المالية للخطر؛
9. على مزود أعمال محاكاة الهجمات السيبرانية التأكد من عدم حدوث تسرب للبيانات من أجهزة الحاسوب المحمولة والأنظمة التي تخضع للاختبار وأن جميع البيانات التي تم الحصول عليها يتم تخزينها بشكل آمن أثناء التمرين ومن ثم يتم التخلص منها بشكل آمن بعد انتهاءه؛
10. يجب تقييد أي تسرب للبيانات (متفق عليه) من قبل مزود أعمال محاكاة الهجمات السيبرانية بالقدر المطلوب فقط لتجريب سيناريو الهجوم. يجب تخزين هذه البيانات داخلياً وبتنسيق مشفر حصراً (وليس لدى أي من خدمات التخزين السحابي).
11. يجب على مزود أعمال محاكاة الهجمات السيبرانية ضمان خصوصية الموظفين داخل المؤسسة المالية؛
12. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تأكيد مكتوب بأن الأنشطة والمخاطر المرتبطة باختبار محاكاة الهجمات السيبرانية وأن المعلومات السرية ستتم معالجتها وتنفيذها بشكل مناسب بما يتماشى مع متطلبات الأمان والامتثال لدى المؤسسة المالية؛
13. يجب الاتفاق بشكل متبادل بين مزود أعمال محاكاة الهجمات السيبرانية والفريق الأبيض على خطاب التفويض بما في ذلك شروط عدم الإفصاح لضمان تغطية المسؤولية المحتملة أو المشكلات القانونية. ويمكن لمزود أعمال محاكاة الهجمات السيبرانية العمل على منح واحد أو أكثر من الاعتمادات المقترحة التالية لمديريه ومختبريه المشاركين في تمرين محاكاة الهجمات السيبرانية. ويعد التحقق من اعتمادات الموظفين ومستوى الخبرة العملية أمراً أساسياً عند اختيار أو التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
الاعتماد(ات) الموصى بها لموظفي مزود أعمال محاكاة الهجمات السيبرانية
الدور
المعهد
الاعتماد
المدراء
جمعية تدقيق ومراقبة نظم المعلومات (ISACA)
مدقق نظم معلومات معتمد
مدير أمن معلومات معتمد
الأمن السيبراني نيكسس (CSX)
أي إس سي سكويرد (ISC)2
محترف أمن نظم المعلومات المعتمد
ممارس معتمد لأمن النظم
مجلس مختبري الأمن الأخلاقي المسجلين (CREST)
مدير هجوم محاكاة معتمد من مجلس مختبري الأمن الأخلاقي المسجلين
مدير استخبارات تهديد معتمد من مجلس مختبري الأمن الأخلاقي المسجلين - اختياري
المختبرون
معهد سان - شهادة ضمان المعلومات العالمية (GIAC)
مختبر حاصل على شهادة ضمان المعلومات العالمية
مختبر اختراق تطبيقات الإنترنت حاصل على شهادة ضمان المعلومات العالمية
باحث في الثغرات ومسؤول اختبار اختراق متقدم حاصل على شهادة ضمان المعلومات العالمية
الأمن الهجومي
محترف معتمد في الأمن الهجومي
محترف في الأمن الهجومي للشبكات اللاسلكية
خبير معتمد في مجال الأمن الهجومي
خبير الأمني الهجومي في استغلال الثغرات
خبير الأمني الهجومي للمواقع
مجلس مختبري الأمن الأخلاقي المسجلين (CREST)
متخصص معتمد من مجلس مختبري الأمن الأخلاقي المسجلين في محاكاة الهجوم
محلل مسجل لدى مجلس مختبري الأمن الأخلاقي المسجلين لاستخبارات التهديدات – اختياري
الملحق (ب)-متطلبات الإبلاغ
يجب مراعاة المحتوى التالي عند صياغة التقارير وتقديم النتائج.
ملاحظة. لا يجب تقديم جميع التقارير إلا عبر قنوات اتصال آمنة ومشاركتها بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري). تقرير تقييم الفريق الأحمر (RTER)
في نهاية تمرين محاكاة الهجمات السيبرانية، سيقوم مزود أعمال محاكاة الهجمات السيبرانية بصياغة تقرير اختبار التقييم، والذي يشتمل على تقييم مرونة الأمن السيبراني للمؤسسة المالية ضد هجمات الأمن السيبراني المنفذة. ويتضمن التقرير مخططاً لكيفية تنفيذ سيناريوهات الهجوم. ويتم إصدار هذا التقرير للفريق الأبيض والفريق الأزرق والفريق الأخضر.
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير تقييم الفريق الأحمر (RTER) - مقدمة
- ملخص تنفيذي
- النطاق
- نطاق اختبار محاكاة الهجمات السيبرانية المتفق عليه
- معلومات أساسية عن الأصول (المعلوماتية) والوظائف الحرجة المستهدفة المتفق عليها
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- البنود الخارجة عن النطاق بشكل واضح
- الإطار الرقابي - المراجع
- إطار عمل محاكاة الهجمات السيبرانية الأخلاقية بالمؤسسات المالية
- مشروع أمن تطبيقات الويب المفتوحة (أفضل 10)
- أخرى
- منهجية التنفيذ
- إدراج جميع مراحل الهجوم والإجراءات التي يقوم بها الفريق الأحمر خلال اختبار محاكاة الهجمات السيبرانية
- سيناريو تنفيذ كل هجوم، وكيف ومتى وأين (أي تسلسلات الهجوم السيبراني التي تم استغلالها، والتي تم تلخيصها في شكل مخططات متجهات الهجوم)
- شرح منهجية سلسلة الهجوم السيبراني والتكتيكات والأساليب والإجراءات التي تم التخطيط لها وتنفيذها أخيراً
- الجدول الزمني للأنشطة المنجزة (التواريخ والوقت)
- الأدوات أو البرامج والأساليب المحددة التي تم استخدامها أثناء سيناريوهات الهجوم
- منهجية تقييم المخاطر بالنسبة للملاحظات
- ملاحظات
- إدراج الثغرات التي تم رصدها ونقاط الضعف في الأحداث التي وقعت
- الملاحظات التي تركز على الأفراد والعمليات والتكنولوجيا
- الملاحظات التي تركز على الرصد والاستجابة والتعافي
- وصف المخاطر المقترحة وتقييم المخاطر لكل الملاحظات
- توصيات بشأن التحسينات المقترحة
الاستنتاجات
- استنتاج شامل للمرونة السيبرانية للمؤسسة المالية
- استنتاجات مفصلة لكل سيناريو هجوم يتم تنفيذه
- استنتاج لكل أصول معلوماتية أو وظيفة حرجة متفق عليها
الملاحق
- قائمة الفرق المشاركة وأعضاء الفريق
- لقطات تسجيل الشاشة مع الأدلة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري
تقرير الفريق الأزرق
بعد توزيع تقرير تقييم الفريق الأحمر، يقوم الفريق الأزرق بإعداد تقريره الخاص. ويجب أن يستند هذا التقرير إلى تنبيهات المراقبة والرصد والاستجابة وأنشطة الاستعادة وخطوات العملية التي اتخذها الفريق الأزرق أثناء التمرين. ويجب أن يتضمن التقرير أساليب وقدرات الدفاع والمراقبة التي يستخدمها الفريق الأزرق في الوقت الحالي لرصد هجمات الأمن السيبراني (مثل الأحداث والتنبيهات والحوادث). ويجب أن يتضمن التقرير كذلك ملاحظات الفريق الأزرق فيما يتعلق بالقيود أو نقاط الضعف التي تم رصدها.
ويمكن الاطلاع أدناه على مخطط التقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير الفريق الأزرق - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن التقرير
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- مقدمة عن وضع التهديد الحالي في القطاع المالي وتوجهات الهجمات السيبرانية
- شرح أساليب التعامل مع الحوادث الحالية والاستجابة للحوادث وإدارة الأزمات فيما يتعلق بالحوادث السيبرانية داخل المؤسسة المالية
- تدفق العمليات
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة
- الخط الزمني للأنشطة التي تم رصدها أو التنبيهات الصادرة (مقابل تمرين وأنشطة محاكاة الهجمات السيبرانية المنجزة)
- ملاحظات لكل سيناريو هجوم تم تنفيذه (وفقاً للترتيب لزمني)
- الإخطار (الإخطارات) الأول(ى)
- أدوات وأساليب المراقبة والدفاع المستخدمة
- خطة الاستجابة للحوادث والخطوات التي تم تنفيذها (على سبيل المثال: هل تم إشراك قسم إدارة الأزمات وما هي الملاحظات؟)
- إشراك الإدارات الأخرى (مثل مكتب المساعدة، الرئيس التنفيذي لأمن المعلومات، مدير المعلومات، الموارد البشرية، القانونية، العلاقات العامة)
- ما هي النتائج التي أبلغ عنها الفريق الأحمر
- ما هي الخطوات التي سارت بشكل جيد أو الخطوات التي تحتاج إلى تحسين
- نتائج تحليل السبب الجذري الذي تم تنفيذه
- التوصيات أو مجالات التحسين
- توصيات تركز على الأشخاص والعمليات والتقنية،
- توصيات تركز على الرصد والاستجابة والتعافي
- تصنيف الأولوية المقترح لكل توصية
- خارطة طريق للتحسينات المقترحة
- المدخلات المقترحة لحملات التوعية الأمنية السيبرانية القادمة
- الاستنتاجات
- استنتاج شامل لحالة المرونة السيبرانية الحالية للمؤسسة المالية
- الاستنتاجات المتعلقة بالتحسينات المطلوبة والمقترحة (من كل من الفريق الأزرق والأحمر)
- استنتاجات مفصلة عن كل سيناريو هجوم منفذ وحالة القدرات الحالية للفريق الأزرق
الملاحق
- قائمة الفرق المشاركة وأعضاء الفريق
- لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري
خطة التصحيح
يجب على الفريق الأبيض صياغة خطة تصحيح تستند إلى تقرير تقييم الفريق الأحمر وتقرير الفريق الأزرق. يجب أن توفر خطة التصحيح جوانب واضحة للتحسينات والأولويات وخارطة طريق لكيفية ووقت تحسين الجانب الوقائي (تقوية الأنظمة) والرصد والاستجابة واستعادة القدرات داخل المؤسسة المالية. ويتمثل الجانب الأهم في هذا الشأن في رصد حالة وتقدم خطة التصحيح والإبلاغ عنها بشكل دوري إلى لجنة الأمن السيبراني التابعة للمؤسسة المالية وكذلك الفريق الأخضر.
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
خطة التصحيح - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن خطة التصحيح
- هدف وغايات خطة التصحيح
- الجمهور المستهدف وأصحاب المصلحة
- التوصيات المتفق عليها ومجالات التحسين المقدمة من الفريقين الأحمر والأزرق
- توصيات متفق عليها تركز على الأشخاص والعمليات والتقنية
- توصيات متفق عليها تركز على (الوقاية) والرصد والاستجابة والتعافي
- تصنيف الأولوية المتفق عليه لكل توصية
- قائمة أولويات مجالات التحسين المتفق عليها
- خطة التصحيح المتفق عليها
- ماذا ومتى وأين وكيف
- نظرة عامة على صناع القرار (على سبيل المثال، إشراك إدارة العمل)
- تواريخ الاستحقاق المتفق عليها
- خارطة طريق للتحسينات المتفق عليها ذات الأولوية
- دورية إطلاع لجنة الأمن السيبراني للمؤسسة المالية والفريق الأخضر
- تنظيم إدارة المشاريع
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة
الملاحق
- قائمة الإدارات المعنية والفرق وأعضاء الفريق
- لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف خطة التصحيح على النحو التالي: سرية / للاستخدام الداخلي فقط
تقرير موجز عن اختبار محاكاة الهجمات السيبرانية
عند الانتهاء من خطة التصحيح، يقوم الفريق الأبيض بإعداد تقرير اختبار موجز (مع إخفاء التفاصيل حفاظاً على السرية) ومشاركته من خلال البنك المركزي(أي مدير اختبار الفريق الأخضر) مع جميع لجان المؤسسات المالية ذات الصلة (مثل اللجنة المصرفية لأمن المعلومات). يجب أن يغطي تقرير الاختبار الموجز وضع التهديد الحالي للقطاع المالي ونتائج اختبار محاكاة الهجمات السيبرانية ونقاط الضعف أو الثغرات التي تم رصدها أثناء اختبار محاكاة الهجمات السيبرانية، علاوة على الدروس المستفادة.
يجب تقديم هذا التقرير فقط عبر قنوات اتصال آمنة ومشاركته بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري).
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير موجز عن اختبار محاكاة الهجمات السيبرانية - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن خطة التصحيح
- معلومات أساسية عن اختبار محاكاة الهجمات السيبرانية المنفذ
- وضع التهديد الحالي للقطاع المالي وتوجهات الهجمات السيبرانية الأخيرة
- الخطوط العريضة لكل سيناريو هجوم منفذ
- إدراج أهم نقاط الضعف والثغرات المحددة ذات الصلة
- تركز معظم الملاحظات ذات الصلة على الأشخاص والعمليات والتقنية
- تركز معظم الملاحظات ذات الصلة على الرصد والاستجابة والتعافي
- الدروس المستفادة
- اقتراحات للقطاع المالي
توصيات لتعديل إطار عمل محاكاة الهجمات السيبرانية في المؤسسات المالية السعودية
يجب تصنيف خطة ملخص اختبار محاكاة الهجمات السيبرانية على النحو التالي: سرية للغاية (أي على أساس الحاجة فقط وبشكل سري)
الملحق (ج)- قائمة المصطلحات
المدة الوصف المرونة القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة. الهجمات السيبرانية هجوم، عبر الفضاء السيبراني، يستهدف استخدام المؤسسة للفضاء السيبراني لغرض تعطيل أو إعطاب أو تدمير أو التحكم بشكل ضار في بيئة/البنية التحتية لنظام الحوسبة؛ أو تدمير سلامة البيانات أو سرقة المعلومات الخاضعة للرقابة. المرجع (NIST SP 800-39 (CNSSI 4009) ) المؤسسة المالية المؤسسة -المؤسسات المالية التابعة للبنك المركزي. F.E.E.R. إطار عمل محاكاة الهجمات السيبرانية للمؤسسات المالية المملكة المملكة العربية السعودية محاكاة الهجمات السيبرانية تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام. البنك المركزي البنك المركزي العربي السعودي* اختبار الاختراق اختبار الأمان الذي يحاكي فيه المقيمون هجمات العالم الحقيقي في محاولة لتحديد طرق التحايل على ميزات الأمان لتطبيق أو نظام أو شبكة ما. غالبا ما يتضمن اختبار الاختراق إطلاق هجمات حقيقية على أنظمة وبيانات فعلية، باستخدام نفس الأدوات والتقنيات المستخدمة من قبل المهاجمين الفعليين. تتضمن معظم اختبارات الاختراق البحث عن مجموعات من الثغرات الأمنية في نظام واحد أو أنظمة متعددة، بحيث يتم استغلالها للوصول إلى قدر أكبر مما يمكن تحقيقه من خلال ثغرة أمنية واحدة.
المرجع (NIST SP 800-115)
التكتيكات والأساليب والإجراءات التكتيكات والأساليب والإجراءات القراصنة الأخلاقيون خبير يقوم بتنفيذ اختبار الاختراق. راجع 'اختبار الاختراق'. خطاب التفويض خطاب التفويض اللجنة المصرفية لأمن المعلومات اللجنة المصرفية لأمن المعلومات الرئيس التنفيذي لأمن المعلومات الرئيس التنفيذي لأمن المعلومات .مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف. الهندسة الاجتماعية مصطلح عام للمهاجمين الذين يحاولون خداع الأشخاص للكشف عن معلومات حساسة أو تنفيذ إجراءات بعينها، مثل تحميل وتنفيذ الملفات التي تبدو وكأنها ملفات عادية ولكنها في الواقع ضارة.
المرجع: (NIST SP 800-114 )
الفريق الأزرق مجموعة من الأفراد يقومون بتنفيذ تقييمات لثغرات الشبكة التشغيلية ويقدمون وسائل لتخفيف آثار الثغرات للعملاء الراغبين في إجراء مراجعة فنية مستقلة لوضع أمن الشبكة الخاصة بهم. ويحدد الفريق الأزرق التهديدات والمخاطر الأمنية في بيئة التشغيل ويحلل بالتعاون مع العميل بيئة الشبكة وحالة الاستعداد الأمني الحالية. وبناء على نتائج الفريق الأزرق وخبرته، يقدم الفريق توصيات يمكن دمجها في الحلول الشاملة لأمن المؤسسة وتحسين استعداد العميل في جانب الأمن السيبراني. في كثير من الأحيان تتم الاستعانة بالفريق الأزرق بشكل تلقائي أو قبل الاستعانة بالفريق الأحمر للتأكد من أن شبكات العميل آمنة قدر الإمكان قبل أن يقوم الفريق الأحمر باختبار الأنظمة.
المرجع: (CNSSI 4009-2015 )
مركز العمليات الأمنية مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة. تسلسل الهجوم السيبراني مفهوم تصوري يستخدم لهيكلة هجوم سيبراني. الفريق الأبيض المجموعة المسؤولة عن ترتيب الاشتباك بين فريق أحمر من المهاجمين الوهميين وفريق أزرق من المدافعين الفعليين عن استخدام مؤسستهم لأنظمة المعلومات. ويعمل الفريق الأبيض كقاضي أثناء التمرين، ويفرض قواعد التمرين ويراقبه، ويسجل نقاط كل فريق، ويحل أي مشاكل قد تنشأ، ويتعامل مع جميع طلبات أو استفسارات المعلومات، ويضمن سير المنافسة بشكل عادل دون التسبب في مشاكل تشغيلية لمهمة المدافع. ويساعد الفريق الأبيض في وضع قواعد الاشتباك ومقاييس تقييم النتائج وإجراءات توفير الأمان التشغيلي للاشتباك. وعادة ما يتحمل الفريق الأبيض مسؤولية استخلاص الدروس المستفادة، وإجراء تقييم ما بعد الاختبار وإصدار النتائج.
المرجع: (CNSSI 4009-2015 )
الفريق الأخضر يتم توفير الفريق الأخضر من قبل الفريق السيبراني بالقطاع المالي في البنك المركزي. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويحتفظ الفريق الأخضر كذلك بقائمة قصيرة من مزودي خدمات محاكاة الهجمات السيبرانية المحتملين ويوفر استخبارات التهديدات التي تواجه القطاع المالي. مدير الاختبار مدير الاختبار هو المسؤول عن توجيه الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. المخاطرة مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) برمجية الاستغلال جزء من التعليمات البرمجية أو أمر يهدف إلى تنفيذ أنشطة ضارة على النظام، من خلال الاستفادة من الثغرة الأمنية. الثغرة الأمنية ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) اتفاقية عدم الإفصاح اتفاقية عدم الإفصاح استخبارات التهديدات استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-GARTNER) مزود أعمال محاكاة الهجمات السيبرانية مزود أعمال محاكاة الهجمات السيبرانية التوفر ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) نيست (NIST) المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (www.nist.gov) حادثة حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) * حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
حوكمة تقنية المعلومات
الدليل التنظيمي لحوكمة تقنية المعلومات في القطاع المالي
الرقم: 43028139 التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1. مقدمة
1.1 مقدمة للدليل التنظيمي
ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات. حيث أدى التقدم في تقنية المعلومات ("تقنية المعلومات") إلى إحداث تغييرات سريعة في الطريقة التي تتم بها الأعمال والعمليات في القطاع المالي. ورغم أن تقنية المعلومات تلعب دورًا أساسيًا جنبًا إلى جنب البيئة المحيطة اليوم، إلا أنها تُعرّض أيضًا المؤسسات المالية لمخاطر تقنية المعلومات التي تتطور بفاعلية.
وفي هذا الصدد، وضع البنك المركزي الدليل التنظيمي لحوكمة تقنية المعلومات ("الدليل") لتمكين المؤسسات الخاضعة لرقابته ("المؤسسات المالية") من تحديد المخاطر المتعلقة بتقنية المعلومات ومعالجتها بشكل فعال. يتمثل الهدف من الدليل التنظيمي في الآتي:
- وضع نهج مشترك لمعالجة مخاطر تقنية المعلومات داخل المؤسسات المالية.
- تحقيق مستوى نضج مناسب لضوابط تقنية المعلومات داخل المؤسسات المالية.
- ضمان إدارة مخاطر تقنية المعلومات بشكل صحيح في جميع أنحاء المؤسسات المالية.
وسيتم استخدام الدليل التنظيمي لإجراء تقييم دوري لمستوى النضج وتقييم مدى فعالية ضوابط تقنية المعلومات في المؤسسات المالية. ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير تقنية المعلومات الخاصة بالمجال.
2.1.تعريف حوكمة تقنية المعلومات
تضمن حوكمة تقنية المعلومات (IT) الاستخدام الفعال والكفؤ لتقنية المعلومات لتمكين المؤسسات المالية من تحقيق أهدافها وغاياتها. فهي تمكّن المؤسسات المالية من صياغة القيمة المثلى من تقنية المعلومات من خلال الحفاظ على التوازن بين تحقيق الفوائد وتحسين مستويات المخاطر واستخدام الموارد.
3.1 النطاق
يحدد الدليل المبادئ والأهداف لبدء ضوابط حوكمة تقنية المعلومات وتطبيقها وصيانتها ومراقبتها وتحسينها داخل المؤسسات المالية الخاضعة لرقابة البنك المركزي. ويتضمن الدليل متطلبات ضوابط حوكمة تقنية المعلومات التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية. إضافة إلى ذلك، يوفر الدليل التوجيه بخصوص متطلبات حوكمة تقنية المعلومات للمؤسسات المالية والمؤسسات التابعة لها وموظفيها والجهات الخارجية والعملاء. وينبغي تنفيذ الدليل بالتزامن مع الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال الصادرين عن البنك المركزي على التوالي (الشكل 1). وللإطلاع على المتطلبات المحددة المتعلقة بالأمن السيبراني واستمرارية الأعمال، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال الصادرين عن البنك المركزي.
الشكل 1 – العلاقة بين أطر العمل الصادرة عن البنك المركزي
يرتبط الدليل بعلاقة متبادلة مع السياسات المؤسسية الأخرى في المجالات ذات الصلة، مثل إدارة التغيير وتدريب الموظفين. ولا يتناول الدليل الماثل المتطلبات غير المتعلقة بتقنية المعلومات في تلك المجالات.
4.1 صلاحية التطبيق
ينطبق الدليل على المؤسسات المالية الخاضعة لرقابة البنك المركزي.
5.1 المسؤوليات
اعتمد البنك المركزي الدليل الماثل وسيتم تعميمه على المؤسسات المالية لتنفيذه. ويعد البنك المركزي هو الجهة المالكة للدليل الماثل والمسؤول عن تحديثه بشكل دوري. وتتولى المؤسسات المالية تنفيذه والامتثال له.
6.1 التفسير
يتحمل البنك المركزي وحده، بصفته مالك الدليل، مسؤولية تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.
7.1 الجمهور المستهدف
هذا الدليل مخصص للإدارة العليا والتنفيذية، وأصحاب الأعمال، ومالكي أصول المعلومات، ومديري تقنية المعلومات(CIOs) وأولئك المسؤولين عن ضوابط تقنية المعلومات والمنخرطين في تحديدها وتنفيذها ومراجعتها داخل المؤسسات المالية.
8.1 المراجعة والتحديثات والصيانة
سيراجع البنك المركزي الدليل دوريًا من أجل الوقوف على مدى فعاليته من حيث مواجهة التهديدات والمخاطر الناشئة في مجال تقنية المعلومات. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
وإذا ارتأت إحدى المؤسسات المالية أن هناك حاجة إلى تحديث الدليل، فيتعين على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الاقتضاء، سيتم تعديل الدليل في النسخة المحدثة التالية.
وستظل المؤسسة المالية مسؤولة عن الامتثال للدليل في انتظار تحديث الإصدار التالي.
يرجى الرجوع إلى "الملحق أ - كيفية طلب تحديث الدليل" للاطلاع على عملية طلب تحديث الدليل.
وسيتم تنفيذ عملية ضبط الإصدارات للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات التي تطرأ على الدليل.
9.1 دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل، ويسرد تعليمات حول كيفية تطبيق الدليل. ويعرض الفصل الثالث الدليل الفعلي، بما في ذلك مجالات تقنية المعلومات والمجالات الفرعية والمبادئ والأهداف ومتطلبات الرقابة.
2. هيكل الدليل والميزات
1.2 الهيكل
يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
- إدارة تقنية المعلومات والقيادة.
- إدارة مخاطر تقنية المعلومات.
- إدارة عمليات تقنية المعلومات.
- إدارة تغيير النظام.
ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. حيث يركز المجال الفرعي على موضوع محدد بخصوص حوكمة تقنية المعلومات. وينص الدليل بكل مجال فرعي على المبدأ ومتطلبات التحكم.
- مبدأ يلخص المجموعة الرئيسية لضوابط تقنية المعلومات المطلوبة المتعلقة بالمجال الفرعي.
- متطلبات تحكم تعكس ضوابط تقنية المعلومات الإلزامية التي يجب مراعاتها.
يجب تطبيق الدليل في ضوء المبادئ المذكورة في كل مجال فرعي مع متطلبات الرقابة المرتبطة به.
تم ترقيم متطلبات المراقبة بشكل فريد وفقًا لنظام الترقيم التالي في جميع أنحاء الدليل:
الشكل 2 - نظام ترقيم متطلبات التحكم
يوضح الشكل أدناه الهيكل العام للدليل ويبين المجالات الرئيسية والفرعية بدليل حوكمة تقنية المعلومات، بما في ذلك الإشارة إلى القسم ذي الصلة من الدليل.
الشكل 3 - الدليل التنظيمي لحوكمة تقنية المعلومات2.2 الدليل القائم على المبادئ
يستند الدليل إلى المبادئ، ويشار إليه أيضاً بأنه "قائم على المخاطر". ويعني ذلك أنه ينص على المبادئ والأهداف الرئيسية لحوكمة تقنية المعلومات التي يجب على المؤسسات المالية تضمينها وتحقيقها. وتوفر قائمة متطلبات التحكم الإلزامية توجيهاً إضافياً ويتعين أن تأخذها المؤسسات المالية بعين الاعتبار في تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ متطلبات تحكم معينة، يجب على المؤسسات المالية دراسة تطبيق ضوابط تعويضية والسعي إلى قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي. يُرجى الرجوع إلى الملحق "د" للاطلاع على تفاصيل - كيفية طلب الإعفاء من الدليل - العملية.
3.2 التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الدليل في المؤسسات المالية لتقييم ذاتي دوري. وستجري المؤسسات المالية التقييم الذاتي من خلال استبيان. وسيقوم البنك المركزي بدروه بمراجعة التقييمات الذاتية وتدقيقها للوقوف على مستوى الامتثال للدليل ومستوى نضج تقنية المعلومات لدى المؤسسات المالية. يرجى الرجوع إلى "4.2 نموذج نضج حوكمة تقنية المعلومات" لمزيد من التفاصيل حول نموذج نضج حوكمة تقنية المعلومات.
4.2 نموذج نضج حوكمة تقنية المعلومات
سيتم قياس مستوى نضج حوكمة تقنية المعلومات بمساعدة نموذج نضج محدد مسبقاً. ويميز نموذج نضج حوكمة تقنية المعلومات 6 مستويات للنضج (0 و1 و 2 و 3 و 4 و 5)، وهي ملخصة في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو4 أو 5، يجب على المؤسسات المالية أولاً استيفاء جميع معايير مستويات النضج السابقة.
مستوى النضج التعريف والمعايير إيضاح 0
غير موجود
لا توجد وثائق.
لا يوجد وعي أو اهتمام ببعض ضوابط تقنية المعلومات.
لا توجد ضوابط تقنية المعلومات مطبقة. لا يوجد وعي بمجال المخاطر المحدد أو خطط حالية لتنفيذ ضوابط تقنية المعلومات هذه.
1
مخصصة
ضوابط تقنية المعلومات غير محددة أو محددة جزئيا.
يتم تنفيذ ضوابط تقنية المعلومات بطريقة غير متناسقة.
لم يتم تحديد ضوابط تقنية المعلومات بشكل كامل.
يختلف تصميم وتنفيذ الرقابة على تقنية المعلومات باختلاف الإدارة أو المالك.
قد لا يخفف تصميم ضوابط تقنية المعلومات من المخاطر المحددة إلا جزئياً، وقد يكون التنفيذ غير متسق.
2
متكررة، ولكن غير رسمية
يعتمد تنفيذ ضوابط التحكم في تقنية المعلومات على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.
توجد ضوابط لتقنية المعلومات قابلة للتكرار. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.
هناك اعتبار محدود للمراجعة المنظمة أو اختبار التحكم.
3
منظم وذو طابع رسمي
ضوابط تقنية المعلومات محددة ومعتمدة ويتم تنفيذها بطريقة منظمة ورسمية.
يمكن إثبات تنفيذ ضوابط تقنية المعلومات.
وضع سياسات ومعايير وإجراءات تقنية المعلومات.
يتم مراقبة الامتثال لوثائق تقنية المعلومات، أي السياسات والمعايير والإجراءات، ويفضل باستخدام أداة الحوكمة والمخاطر والامتثال (GRC).
يتم تحديد مؤشرات الأداء الرئيسية ورصدها والإبلاغ عنها لتقييم التنفيذ.
4
مُدار وقابل للقياس
يتم تقييم فعالية ضوابط تقنية المعلومات دوريًا وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
يتم قياس فعالية ضوابط تقنية المعلومات وتقييمها دوريًا.
يتم استخدام مؤشرات المخاطر الرئيسية وتقارير الاتجاهات لتحديد مدى فعالية ضوابط تقنية المعلومات.
يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط تقنية المعلومات.
5
متكيّف
تخضع ضوابط تقنية المعلومات لخطة تحسين مستمر.
يركز برنامج حوكمة تقنية المعلومات على مستوى المؤسسة على الامتثال المستمر لضوابط تقنية المعلومات وفاعليتها وتحسينها.
يتم دمج ضوابط تقنية المعلومات مع إطار عمل وممارسات إدارة المخاطر المؤسسية.
يتم تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.
الجدول 1 - نموذج نضج حوكمة تقنية المعلومات
1.4.2 مستوى النضج 3
يجب على المؤسسة المالية، من أجل تحقيق مستوى النضح الثالث، تحديد ضوابط تقنية المعلومات والموافقة عليها وتنفيذها. كما ينبغي لها مراقبة الامتثال لوثائق تقنية المعلومات. ويجب أن تشير وثائق تقنية المعلومات بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط تقنية المعلومات. وتتكون وثائق تقنية المعلومات من سياسات ومعايير وإجراءات تقنية المعلومات.
الشكل 4 - هرم مستندات تقنية المعلوماتيجب أن تكون سياسة تقنية المعلومات معتمدة ومفوضة من قبل مجلس إدارة المؤسسة المالية وتوضح "سبب" أهمية تقنية المعلومات بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على أصول المعلومات التي ينبغي حمايتها و"ماهية" مبادئ وأهداف تقنية المعلومات التي ينبغي تحديدها.
وبناءً على سياسة تقنية المعلومات، ينبغي وضع معايير تقنية المعلومات. وتحدد هذه المعايير "ماهية" ضوابط تقنية المعلومات التي يجب تنفيذها، مثل الفصل بين الواجبات وقواعد النسخ الاحتياطي والاسترداد وما إلى ذلك. تدعم المعايير سياسة تقنية المعلومات وتعززها وتعتبر بمثابة خطوط أساس لتقنية المعلومات.
ويتم تفصيل المهام والأنشطة التي يجب أن يقوم بها موظفو المؤسسة المالية خطوة بخطوة في إجراءات تقنية المعلومات. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة تقنية المعلومات في بيئة التشغيل.
يتم تعريف العملية في سياق الدليل الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.
يجب مراقبة التقدم الفعلي في التنفيذ والأداء والامتثال لضوابط تقنية المعلومات وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية (KPIs).
2.4.2 مستوى النضج 4
يجب على المؤسسات المالية، من أجل تحقيق مستوى النضج الرابع، قياس وتقييم فعالية ضوابط تقنية المعلومات المطبقة دوريًا. ويجب تحديد مؤشرات المخاطر الرئيسية (KRIs) من أجل قياس وتقييم ما إذا كانت ضوابط حوكمة تقنية المعلومات فعالة. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.
3.4.2 مستوى النضج 5
يركز مستوى النضج الخامس على التحسين المستمر لضوابط تقنية المعلومات. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة تقنية المعلومات وتحديد التحسينات الهيكلية. وينبغي دمج ضوابط تقنية المعلومات مع ممارسات إدارة المخاطر في المؤسسة ودعمها بالمراقبة الآلية في الوقت الفعلي. يجب أن يكون مالكو العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط تقنية المعلومات وقياس فعاليتها ودمجها ضمن إطار عمل إدارة المخاطر المؤسسية. إضافة إلى ذلك، ينبغي تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.
3. مجالات التحكم
1.3 حوكمة تقنية المعلومات والقيادة
يكون مجلس إدارة المؤسسات المالية مسؤول في نهاية المطاف عن وضع حوكمة تقنية المعلومات (IT) وضمان إدارة مخاطر تقنية المعلومات بفعالية داخل المؤسسة المالية. ويمكن لمجلس إدارة المؤسسة المالية تفويض مسؤوليات حوكمة تقنية المعلومات إلى الإدارة العليا أو اللجنة التوجيهية لتقنية المعلومات (اللجنة التوجيهية). وقد تتحمل اللجنة التوجيهية مسؤولية تحديد حوكمة تقنية المعلومات ووضع استراتيجية تقنية المعلومات في المؤسسة المالية.
1.1.3 حوكمة تقنية المعلومات
المبدأ
يجب تحديد هيكل حوكمة تقنية المعلومات وإقراره ودعمه بالموارد المناسبة للإشراف على النهج العام للمؤسسة المالية في مجال تقنية المعلومات ومراقبته.
متطلبات الرقابة
1. يجب على المؤسسات المالية تشكيل لجنة توجيهية لتقنية المعلومات وأن يتم تكليفها من قبل مجلس الإدارة.
2. وينبغي أن يرأس اللجنة التوجيهية مدير أول مسؤول عن عمليات المؤسسات المالية.
3. يجب أن تكون المناصب التالية ممثلة في اللجنة التوجيهية:
أ. كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، رئيس قسم المخاطر، والرئيس التنفيذي لأمن المعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
ب. الرئيس التنفيذي للمعلومات؛ و
ج. يجوز لمسؤول التدقيق الداخلي الحضور بصفته "مراقب".
4. يجب وضع ميثاق اللجنة التوجيهية والموافقة عليه وأن يتضمن ما يلي:
أ. أهداف اللجنة؛
ب. الأدوار والمسؤوليات؛
ج. الحد الأدنى لعدد المشاركين في الاجتماع؛
د. تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)؛ و
ه. توثيق محاضر الاجتماعات والقرارات والاحتفاظ بها.
5. يجب تعيين مدير أول بدوام كامل لوظيفة تقنية المعلومات، يُشار إليه باسم الرئيس التنفيذي للمعلومات، على مستوى الإدارة العليا.
6. يجب على المؤسسات المالية القيام بما يلي:
أ. التأكد من أن الرئيس التنفيذي للمعلومات سعودي الجنسية؛
ب. التأكد من أن الرئيس التنفيذي للمعلومات مؤهل بشكل كافٍ؛ و
ج. الحصول على خطاب عدم ممانعة كتابي من البنك المركزي قبل تعيين الرئيس التنفيذي للمعلومات.
7. يجب على المؤسسات المالية أن تضع ممارسات رسمية للأنشطة المالية المتعلقة بتقنية المعلومات تغطي الميزانية والتكلفة وتحديد أولويات الإنفاق بما يتماشى مع الأهداف الاستراتيجية لتقنية المعلومات.
8. يجب مراقبة الميزانية الإجمالية لتقنية المعلومات ومراجعتها بشكل دوري وتعديلها وفقًا لذلك لتلبية احتياجات تقنية المعلومات والأعمال.
9. يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي تقنية المعلومات باستخدام مصفوفة إسناد المسؤولية، والمعروفة أيضًا باسم مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ. ويجب أن تحدد مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ الأشخاص المسؤولين والخاضعين للمساءلة عن الوظائف، وكذلك الأشخاص الذين يجب استشارتهم أو وتبليغهم.
10. يجب على المؤسسات المالية تحديد البنية المؤسسية التي تعكس المكونات الأساسية للعمليات التجارية والطبقات التقنية الداعمة لها لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية.
11. يجب على المؤسسات المالية تحديد دور مهندس تطبيقات المؤسسة ضمن وظيفة تقنية المعلومات لتحديد التغييرات المطلوبة في مجموعة التطبيقات عبر النظام البيئي للمؤسسات المالية.
12. يجب أن تكون الأدوار والمسؤوليات داخل وظيفة تقنية المعلومات على النحو التالي:
أ. موثقة ومعتمدة من قبل الإدارة؛ و
ب. منفصلة لتجنب تضارب المصالح.
13. يجب على المؤسسات المالية وضع خطة تعاقب رسمية لتقنية المعلومات بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على موظفي تقنية المعلومات الرئيسيين الذين يضطلعون بأدوار ومسؤوليات حرجة.
2.1.3 استراتيجية تقنية المعلومات
المبدأ
ينبغي تحديد استراتيجية تقنية المعلومات بما يتماشى مع الأهداف الاستراتيجية للمؤسسة المالية وبما يتوافق مع المتطلبات القانونية والتنظيمية.
متطلبات الرقابة
1. يجب تحديد استراتيجية تقنية المعلومات والموافقة عليها وصيانتها وتنفيذها.
2. ينبغي ترجمة المبادرات الإستراتيجية لتقنية المعلومات إلى خارطة طريق محددة مع الأخذ في الاعتبار ما يلي:
أ. يجب أن تتطلب المبادرات سد الفجوات بين البيئات الحالية والبيئات المستهدفة؛
ب. يجب دمج المبادرات في استراتيجية متسقة لتقنية المعلومات تتوافق مع استراتيجية العمل؛
ج. يجب أن تعالج المبادرات النظام البيئي الخارجي (شركاء المؤسسة، والموردين، والشركات الناشئة، وما إلى ذلك)؛ و
د. يجب أن تشمل تحديد التبعيات والتداخلات وأوجه التآزر والآثار بين المشاريع، وتحديد الأولويات.
3. يجب أن تتماشى استراتيجية تقنية المعلومات مع ما يلي:
أ. أهداف العمل الشاملة للمؤسسة المالية؛ و
ب. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية.
4. يجب أن تتناول استراتيجية تقنية المعلومات على الأقل ما يلي:
أ. أهمية تقنية المعلومات وفوائدها بالنسبة للمؤسسة المالية؛
ب. بيئة الأعمال وتقنية المعلومات الحالية، والتوجه المستقبلي، والمبادرات المطلوبة للانتقال إلى بيئة الدولة المستقبلية؛ و
ج. الاعتمادات المتبادلة بين الأصول المعلوماتية الهامة.
5. يجب على المؤسسة المالية تحديد مخاطر تقنية المعلومات الاستراتيجية والناشئة في مجال تقنية المعلومات التي قد تؤثر على تحقيق الأهداف الاستراتيجية الشاملة على مستوى المؤسسة.
6. يجب على المؤسسات المالية تعزيز مجموعات المهارات والخبرات (التشغيلية والتقنية) للموارد الحالية من خلال توفير التدريب الدوري على التقنيات الناشئة، وإذا لزم الأمر توفير الموارد ذات الصلة بما يتماشى مع توجه المؤسسات المالية نحو الرقمنة.
7. يجب مراجعة استراتيجية تقنية المعلومات وتحديثها بشكل دوري أو عند حدوث تغيير جوهري في البيئة التشغيلية للمؤسسات المالية أو عند حدوث تغيير في استراتيجية العمل أو الأهداف أو عند تعديل القوانين واللوائح.
3.1.3 إدارة البنية المؤسسية
المبدأ
يجب تحديد البنية المؤسسية التي توضّح المكونات الأساسية لإجراءات الأعمال والبيانات وطبقات التقنية الداعمة لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية لتقنية المعلومات في المؤسسات المالية.
متطلبات الرقابة
1. يجب تحديد هيكلية المؤسسة والموافقة عليها وتنفيذها.
2. يجب مراقبة الامتثال لهيكلية المؤسسة.
3. يجب أن تتناول هيكلية المؤسسة ما يلي، على سبيل المثال لا الحصر:
أ. مخطط استراتيجي للقدرات التقنية للمؤسسات؛
ب. تحديد الفجوات بين البنى الأساسية والبنى المستهدفة، مع الأخذ في الاعتبار كلاً من المنظورين التجاري والتقني؛ و
ج. القدرة على تلبية احتياجات العمل المتغيرة بطريقة كفوءة وفعالة.
4.1.3 سياسة وإجراءات تقنية المعلومات
المبدأ
يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها لتحديد التزام المؤسسات المالية وأهدافها في مجال تقنية المعلومات وإبلاغها إلى أصحاب المصلحة المعنيين.
متطلبات الرقابة
1. يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها.
2. يجب مراجعة سياسة وإجراءات تقنية المعلومات دوريًا مع مراعاة تطور المشهد التقني.
3. يجب وضع سياسة تقنية المعلومات مع الأخذ في الاعتبار المدخلات من سياسات المؤسسات المالية ذات الصلة (مثال - الأمن السيبراني، والمالية، والموارد البشرية).
4. يجب أن تتضمن سياسة تقنية المعلومات ما يلي:
أ. الأهداف والنطاق العام لتقنية المعلومات في المؤسسة المالية؛
ب. بيان نوايا المجلس، بما يدعم أهداف تقنية المعلومات؛
ج. تعريف المسؤوليات العامة والخاصة لتقنية المعلومات؛ و
د. الإشارة إلى المعايير والعمليات الوطنية /الدولية الداعمة لتقنية المعلومات (عند الاقتضاء).
5.1.3 الأدوار والمسؤوليات
المبدأ
يجب تحديد أدوار ومسؤوليات تقنية المعلومات وأن يتمتع جميع الأطراف المشاركة في عمليات تقنية المعلومات في المؤسسة المالية بمستوى كافٍ من الفهم للتوقعات المتعلقة بدورها.
متطلبات الرقابة
1. يكون المجلس مسؤولا عما يلي:
أ. المسؤولية النهائية عن وضع ممارسة حوكمة تقنية المعلومات؛
ب. ضمان وضع دليل قوي معني بإدارة مخاطر تقنية المعلومات والحفاظ عليه حتى يتسنى إدارة مخاطر تقنية المعلومات؛
ج. ضمان تخصيص ميزانية كافية لتقنية المعلومات؛
د. اعتماد ميثاق اللجنة التوجيهية لتقنية المعلومات؛ و
هـ. المصادقة (بعد الحصول على موافقة اللجنة التوجيهية لتقنية المعلومات) على ما يلي:
1. الأدوار والمسؤوليات بممارسات الحوكمة والإدارة؛
2. استراتيجية تقنية المعلومات؛
3. سياسة تقنية المعلومات.
2. يجب أن تكون اللجنة التوجيهية مسؤولة على الأقل عما يلي:
أ. رصد مخاطر تقنية المعلومات بالمؤسسة المالية ومراجعته والإبلاغ بها دوريًا؛
ب. الموافقة والإبلاغ ودعم ورصد ما يلي:
1. استراتيجية تقنية المعلومات؛
2. سياسات تقنية المعلومات؛
3. عمليات إدارة مخاطر تقنية المعلومات؛ و
4. مؤشرات الأداء الرئيسية (KPIs) ومؤشرات المخاطر الرئيسية (KRIs) لتقنية المعلومات.
3. يكون الرئيس التنفيذي للمعلومات مسؤولا، على الأقل، عما يلي:
أ. وضع وتنفيذ وصيانة:
1. استراتيجية تقنية المعلومات؛
2. سياسة تقنية المعلومات؛ و
3. ميزانية تقنية المعلومات.
ب. ضمان وضع معايير وإجراءات مفصلة لتقنية المعلومات والموافقة عليها وتنفيذها؛
ج. تقديم حلول تقنية المعلومات القائمة على المخاطر التي تتناول الأفراد والعمليات والتكنولوجيا؛
د. تحديد مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية الخاصة بعملية تقنية المعلومات والحفاظ عليها؛
هـ. إطلاع اللجنة التوجيهية على آخر المستجدات بشأن المبادرات الاستراتيجية لتقنية المعلومات وحالة تنفيذها؛
و. تنفيذ تقنية مناسبة لتبسيط جميع العمليات الداخلية والمساعدة في تحسين فوائدها الاستراتيجية؛
ز. أنشطة تقنية المعلومات في جميع أنحاء المؤسسة المالية، بما في ذلك:
1. مراقبة سير عمل تقنية المعلومات؛
2. مراقبة الامتثال للوائح تقنية المعلومات وسياساتها ومعاييرها وإجراءاتها؛ و
3. الإشراف على التحقيق في الحوادث المتعلقة بتقنية المعلومات.
ح. تحليل تكاليف تقنية المعلومات وقيمتها ومخاطرها لتقديم المشورة لرئيس العمليات/المدير الإداري؛ و
ط. تحديد خطة التدريب على تقنية المعلومات بالتنسيق مع الموارد البشرية.
4. تتولى وظيفة التدقيق الداخلي المسؤولية عن:
أ. تحديد مجموعة شاملة من المجالات القابلة للتدقيق لمخاطر تقنية المعلومات وإجراء تقييم فعال لمخاطر تقنية المعلومات أثناء التخطيط للتدقيق؛
ب. إجراء عمليات تدقيق تقنية المعلومات.
5. يجب أن يكون مهندس تطبيقات المؤسسة مسؤولاً على الأقل عما يلي:
أ. وضع نماذج وعمليات ووثائق بنية تطبيقات النظام البيئي لتقنية المعلومات؛
ب. وضع التطبيقات وحلول التكامل المخصصة على مستوى المؤسسة بما في ذلك التحسينات الرئيسية والواجهات والوظائف والميزات؛ و
ج. ضمان التحسين المستمر للانتقال بين الحالتين الحالية والمستقبلية لهيكلية التطبيقات.
6. يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن الامتثال لسياسة ومعايير وإجراءات تقنية المعلومات المعمول بها.
6.1.3 الامتثال التنظيمي
المبدأ
يجب تحديد اللوائح ذات الصلة بما في ذلك خصوصية البيانات والإبلاغ عنها والامتثال لها والتي تؤثر على عمليات تقنية المعلومات في المؤسسات المالية.
متطلبات الرقابة
1. يجب على المؤسسات المالية إنشاء عملية تضمن الامتثال للمتطلبات التنظيمية المتعلقة بتقنية المعلومات. يجب أن تستوفي عملية ضمان الامتثال الآتي:
أ. يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
ب. يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
ج. تؤدي إلى تحديث سياسة ومعايير وإجراءات تقنية المعلومات لاستيعاب أي تغييرات ضرورية (إن أمكن)؛ و
د. تحتفظ بسجل مُحدَّث لجميع المتطلبات القانونية والتنظيمية والتعاقدية ذات الصلة؛ وتأثيرها والإجراءات المطلوبة.
7.1.3 التدقيق الداخلي لتقنية المعلومات
المبدأ
يجب إجراء تدقيق تقنية المعلومات وفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة للتحقق من أن تصميم ضوابط التحكم في تقنية المعلومات يتم تنفيذها بشكل مناسب وتعمل على النحو المنشود.
متطلبات الرقابة
1. يجب أن تتم عمليات تدقيق تقنية المعلومات بشكل مستقل ووفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة.
2. يجب على المؤسسات المالية إنشاء دورة تدقيق تحدد تواتر عمليات تدقيق تقنية المعلومات.
3. يجب على المؤسسات المالية وضع خطة رسمية لتدقيق تقنية المعلومات تتناول الأشخاص والعمليات والمكونات التكنولوجية.
4. يجب أن تتم الموافقة على خطة تدقيق تقنية المعلومات من قبل لجنة التدقيق في المؤسسة المالية.
5. يجب أن يتماشى تواتر تدقيق تقنية المعلومات مع أهمية ومخاطر نظام أو عملية تقنية المعلومات.
6. ينبغي إنشاء عملية متابعة لملاحظات تدقيق تقنية المعلومات من أجل تتبع ملاحظات تدقيق تقنية المعلومات ورصدها.
7. يجب على المؤسسات المالية التأكد من أن مدققي تقنية المعلومات يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات تقنية المعلومات والإجراءات والعمليات والضوابط المطبقة.
8. يجب أن يتوفر ما يلي في تقرير تدقيق تقنية المعلومات:
أ. تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات تدقيق تقنية المعلومات؛
ب. أن يكون موقعًا ومؤرخًا وموزعًا وفقاً للصيغة المحددة؛ و
ج. أن يتم تقديمه إلى لجنة التدقيق بشكل دوري.
8.1.3 كفاءة الموظفين وتدريبهم
المبدأ
يجب أن يتمتع موظفو المؤسسات المالية بما يلزم من المهارات والمعرفة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بطريقة محكمة، وأن يتم تدريبهم على كيفية تشغيل ومعالجة وتطبيق الضوابط ذات الصلة بتقنية المعلومات على أصول المعلومات الخاصة بالمؤسسة المالية.
متطلبات الرقابة
1. يجب على المؤسسات المالية تحديد وتعريف الأدوار الحرجة داخل قسم تقنية المعلومات (مثل مدير قاعدة البيانات، ومسؤول النظام، وما إلى ذلك)
2. يجب أن تضمن المؤسسات المالية توفير عدد كافٍ من الموظفين لأدوار تقنية المعلومات الحرجة، بحيث لا يتولى أدوار تقنية المعلومات الحرجة موظف واحد فقط.
3. يجب على المؤسسات المالية تحديد الشهادات المهنية المطلوبة للموظفين المسؤولين عن الأدوار الحرجة في مجال تقنية المعلومات.
4. يجب على المؤسسات المالية تقييم متطلبات التوظيف على أساس دوري أو عند حدوث تغييرات كبيرة في بيئات العمل أو التشغيل أو تقنية المعلومات لضمان أن وظيفة تقنية المعلومات لديها موارد كافية.
5. يجب على المؤسسات المالية وضع خطة تدريب سنوية على تقنية المعلومات.
6. إجراء تدريب رسمي، كحد أدنى لما يلي:
أ. موظفو تقنية المعلومات (الحاليون والجدد)؛ و
ب. المقاولون (حيثما ينطبق ذلك).
7. يجب مراجعة خطة التدريب على تقنية المعلومات بشكل دوري.
8. يجب توفير التدريب المتخصص للموظفين في فئات المجالات الوظيفية ذات الصلة في المؤسسة المالية بما يتماشى مع توصيفات وظائفهم، بما في ذلك:
أ. الموظفون المشاركون في أداء أدوار تقنية المعلومات الحرجة؛
ب. الموظفون المشاركون في تطوير أصول المعلومات وصيانتها (من الناحية التقنية)؛
ج. الموظفون المشاركون في تقييم المخاطر.
9.1.3 إدارة الأداء
المبدأ
يجب قياس كفاءة وفعالية عمليات وخدمات تقنية المعلومات في المؤسسات المالية بشكل مستمر من خلال مؤشرات الأداء الرئيسية (KPIs).
متطلبات الرقابة
1. يجب تحديد مؤشرات الأداء الرئيسية واعتمادها وتنفيذها لقياس تنفيذ عمليات تقنية المعلومات وأداء النظام.
2. يجب تحديد مؤشرات الأداء الرئيسية مع مراعاة ما يلي على سبيل المثال لا الحصر:
أ. وظيفة تقنية المعلومات والعمليات ذات الصلة؛
ب. كفاءة القوى العاملة وتطورها؛ و ج. الامتثال للوائح التنظيمية.
3. مؤشرات الأداء الرئيسية يجب أن يتم:
أ. إبلاغها إلى أقسام/وحدات تقنية المعلومات المعنية في المؤسسات المالية من أجل التنفيذ؛
ب. دعمها بالقيمة المستهدفة والعتبات؛
ج. تحليلها لتحديد أوجه الانحراف عن الأهداف والبدء في اتخاذ إجراءات علاجية؛
د. تحليلها لتحديد الاتجاهات في الأداء والامتثال واتخاذ الإجراءات المناسبة؛ و
هـ. مراقبتها وتقديم تقارير دورية بشأنها إلى الإدارة العليا واللجنة التوجيهية.
2.3 إدارة مخاطر تقنية المعلومات
إدارة مخاطر تقنية المعلومات عملية مستمرة لتحديد المخاطر المتعلقة بتقنية المعلومات وتحليلها والاستجابة لها ومراقبتها ومراجعتها من منظور العمليات والتكنولوجيا والأفراد. ويجب على المؤسسات المالية، من أجل إدارة مخاطر تقنية المعلومات، أن تقوم باستمرار بتحديد وتقييم وتقليل مخاطر تقنية المعلومات ضمن مستويات التسامح التي تحددها الإدارة العليا للمؤسسة المالية.
1.2.3 إدارة مخاطر تقنية المعلومات
المبدأ
ينبغي تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها وإبلاغها ومواءمتها مع عملية إدارة مخاطر تقنية المعلومات في المؤسسة المالية، بما في ذلك تحديد مخاطر تقنية المعلومات وتحليلها ومعالجتها ومراقبتها ومراجعتها على فترات زمنية مناسبة.
متطلبات الرقابة
1. يجب تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
2. ينبغي قياس فعالية عملية إدارة مخاطر تقنية المعلومات وتقييمها دوريًا.
3. يجب أن تتماشى عملية إدارة مخاطر تقنية المعلومات مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
4. يجب أن تتناول عملية إدارة مخاطر تقنية المعلومات العمليات الفرعية التالية بوضوح، بما في ذلك على سبيل المثال لا الحصر:
أ. تحديد المخاطر وتحليلها وتصنيفها؛
ب. معالجة المخاطر؛
ج. الإبلاغ عن المخاطر؛ و
د. مراقبة المخاطر وتوصيفها.
5. يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الأصول المعلوماتية للمؤسسة المالية، بما في ذلك على سبيل المثال لا الحصر:
أ. العمليات التجارية والبيانات ذات الصلة؛
ب. تطبيقات الأعمال؛
ج. مكونات البنية التحتية؛ و
د. علاقات الأطراف الخارجية والمخاطر المرتبطة بها.
6. يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الجانب البشري في المؤسسة المالية (أي الموظفين الدائمين، والموظفين المتعاقدين، والأطراف الخارجية).
7. يجب أن تبدأ عملية إدارة مخاطر تقنية المعلومات ، على سبيل المثال لا الحصر، في:
أ. مرحلة مبكرة من تنفيذ البرنامج والمشروع؛
ب. قبل الشروع في إجراء تغييرات حرجة وكبيرة على أصول المعلومات؛
ج. وقت الاستعانة بمصادر خارجية للخدمات؛ و
د. قبل شراء الأنظمة والأدوات والتقنيات الناشئة الجديدة (مثل تقنية دفتر الأستاذ الموزع
((DTL، وضمان العمليات الآلية (RPA) وما إلى ذلك)
8. يجب أن تخضع أصول المعلومات الحالية لتقييم دوري لمخاطر تقنية المعلومات بناءً على مدى أهميتها، على سبيل المثال:
أ. يجب تقييم جميع أصول المعلومات الحرجة والحساسة للمهام مرة واحدة على الأقل في السنة؛ و
ب. يجب تقييم أصول المعلومات غير الحرجة بناء على أهميتها للأعمال.
9. يجب أن تشتمل أنشطة إدارة مخاطر تقنية المعلومات أصحاب المصلحة التاليين، على سبيل المثال لا الحصر:
أ. أصحاب الأعمال والمستخدمون؛
ب. رؤساء أقسام/وظائف تقنية المعلومات؛
ج. الإداريون الفنيون؛ و
د. المتخصصون في الأمن السيبراني.
10. يجب على المؤسسات المالية وضع وتنفيذ الاستجابة لمخاطر تقنية المعلومات (أي التجنب والتخفيف والنقل والقبول) وكذلك استراتيجيات التحكم التي تتوافق مع قيمة أصول المعلومات ورغبة المؤسسات المالية في المخاطرة.
11. يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.
2.2.3 تحديد المخاطر وتحليلها
المبدأ
يجب تحديد أصول المعلومات وتسجيلها والحفاظ عليها حتى يتسنى جمع المعلومات حول التهديدات ذات الصلة، ويجب تحليل الضوابط الحالية والمخاطر المرتبطة بها بناءً على احتمالية حدوثها والتأثير الناتج.
متطلبات الرقابة
1. يجب أن يتم تحديد مخاطر تقنية المعلومات وتوثيقها وتحديثها بشكل دوري في سجل المخاطر المركزي الرسمي.
2. يجب تحديث سجل مخاطر تقنية المعلومات بانتظام.
3. يجب أن يتناول تحليل مخاطر تقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
أ. وصف أصول المعلومات وتصنيفها؛
ب. التهديد (التهديدات) المحتملة لأصول المعلومات؛
ج. التأثير والاحتمالية؛
د. ضوابط تقنية المعلومات الحالية؛
هـ. مالك المخاطر (صاحب العمل أو العملية)؛
و. مالك التنفيذ (جهة التحكم)؛ و
ز. المخاطر الكامنة والمتبقية المتعلقة بأصول المعلومات.
3.2.3 معالجة المخاطر
المبدأ
ينبغي معالجة مخاطر تقنية المعلومات المرتبطة بأصول المعلومات الخاصة بالمؤسسة المالية بشكل مناسب بناءً على المعايير المعمول بها (أي قبولها أو تجنبها أو نقلها أو تخفيفها).
متطلبات الرقابة
1. يجب تحديد خطة معالجة مخاطر تقنية المعلومات والموافقة عليها والإبلاغ بها.
2. يجب تنفيذ خطة معالجة مخاطر تقنية المعلومات وتقييمها دوريًا.
3. يجب التعامل مع مخاطر تقنية المعلومات وفقًا لرغبة المؤسسة المالية في المخاطرة والتي حددها صاحب وظيفة الحوكمة ذات الصلة ووافقت عليها اللجنة التوجيهية.
4. يجب أن تتضمن خطة معالجة مخاطر تقنية المعلومات التصميم والتنفيذ التفصيلي للضوابط اللازمة للتخفيف من المخاطر المحددة.
5. يجب أن تضمن خطة معالجة مخاطر تقنية المعلومات أن قائمة خيارات معالجة المخاطر موثقة رسميًا (أي قبول المخاطر أو تجنبها أو نقلها أو تخفيفها من خلال تطبيق ضوابط تقنية المعلومات).
6. يجب أن يكون قبول المخاطر هو الأقل تفضيلاً على تخفيف المخاطر من خلال تنفيذ الضوابط الأولية.
7. يجب أن يتم توثيق قبول مخاطر تقنية المعلومات رسميًا واعتماده وتوقيعه من قبل صاحب العمل وإبلاغه إلى لجنة المخاطر، مما يضمن ما يلي:
أ. تقديم مبرر تفصيلي لقبول المخاطر، بما في ذلك على سبيل المثال لا الحصر ما يلي:
1. أثر عدم تطبيق الضوابط الرئيسية (أي من الناحية التشغيلية والمالية والمتعلق بالسمعة)؛ و
2. الضوابط التعويضية بدلاً من الضوابط الأولية لتخفيف المخاطر.
ب. مخاطر تقنية المعلومات مقبولة ضمن حدود رغبة المؤسسة المالية في المخاطرة؛
ج. عدم تعارض مخاطر تقنية المعلومات المقبولة مع لوائح البنك المركزي؛
د. توثيق استثناء منفصل لكل خطر فريد؛
هـ. تجديد قبول المخاطر بشكل دوري؛ و
و. عرض قبول المخاطر على لجنة المخاطر وإبلاغها به.
8. يجب أن يتضمن تجنب مخاطر تقنية المعلومات قرارًا من صاحب العمل ولجنة المخاطر بإلغاء أو تأجيل نشاط أو مشروع معين يؤدي إلى مخاطر غير مقبولة في مجال تقنية المعلومات على الشركة.
9. يجب أن يتوفر في نقل أو مشاركة مخاطر تقنية المعلومات ما يلي:
أ. مشاركة مخاطر تقنية المعلومات مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛ و
ب. الموافقة عليه من قبل مقدمي الخدمات المتلقيين (الداخليين أو الخارجيين).
10. يجب أن يتضمن تطبيق ضوابط تقنية المعلومات بغرض التخفيف من مخاطر تقنية المعلومات ما يلي:
أ. تحديد الضوابط المناسبة لتقنية المعلومات؛
ب. تقييم نقاط القوة والضعف في ضوابط تقنية المعلومات؛
ج. اختيار الضوابط المناسبة لتقنية المعلومات؛ و
د. توثيق أي مخاطر متبقية والحصول على الموافقة على صاحب العمل ولجنة المخاطر عليها.
11. يجب توثيق إجراءات معالجة مخاطر تقنية المعلومات في خطة معالجة المخاطر.
4.2.3 الإبلاغ عن المخاطر/مراقبتها وتوصيفها
المبدأ
يجب التعامل مع مخاطر تقنية المعلومات وفقًا لخطط العلاج المحددة ويجب مراجعتها ومراقبتها والإبلاغ عنها بشكل فعال.
متطلبات الرقابة
1. يجب توثيق نتائج تقييم مخاطر تقنية المعلومات رسميًا وإبلاغها إلى أصحاب الأعمال المعنيين والإدارة العليا.
2. يجب أن تتضمن نتائج تقييم مخاطر تقنية المعلومات المخاطر والتأثير والاحتمالية والتخفيف من المخاطر وحالة المعالجة.
3. يجب مراقبة مخاطر تقنية المعلومات من حيث، على سبيل المثال لا الحصر:
أ. تتبع التقدم وفقًا لخطة معالجة المخاطر؛ و
ب. يتم تنفيذ ضوابط تقنية المعلومات المختارة والمتفق عليها.
4. يجب مراقبة التصميم والفعالية التشغيلية لضوابط تقنية المعلومات المنقحة أو المطبقة حديثًا ومراجعتها بشكل دوري.
5. يجب على أصحاب الأعمال المعنيين قبول نتائج تقييم مخاطر تقنية المعلومات.
6. يجب المصادقة على نتائج تقييم مخاطر تقنية المعلومات من قبل لجنة المخاطر.
7. يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.
8. يجب تقديم ملف تعريف مخاطر تقنية المعلومات والبيانات ذات الصلة كمدخل إلى قسم المخاطر التشغيلية لصياغة ملف تعريف المخاطر على مستوى المؤسسة.
9. ينبغي صياغة ملف تعريف مخاطر تقنية المعلومات وتقديمه إلى الإدارة العليا واللجنة التوجيهية ومجلس الإدارة دوريًا.
3.3 إدارة العمليات
يمكن تعريف إدارة عمليات تقنية المعلومات على أنها الوظيفة المسؤولة عن الإدارة والصيانة المستمرة للتطبيقات والبنى التحتية لتقنية المعلومات بالمؤسسة المالية لضمان تقديم المستوى المتفق عليه من خدمات تقنية المعلومات إلى الأعمال. ومن ثم، يجب أن تعالج المؤسسات المالية عوامل مخاطر تقنية المعلومات من خلال الإدارة والرقابة الفعالة.
1.3.3 إدارة الأصول
المبدأ
يجب إنشاء عملية إدارة الأصول لتوفير رؤية واضحة حول أصول المعلومات الخاصة بالمؤسسة المالية من خلال الحفاظ على قائمة جرد دقيقة وحديثة.
متطلبات الرقابة
1. يجب تحديد عملية إدارة الأصول والموافقة عليها وتنفيذها والإبلاغ عنها.
2. تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الأصول، على سبيل المثال لا الحصر، ما يلي:
أ. تأهيل الأصول؛
ب. تحديد الأصول وتصنيفها ووسمها والتعامل معها؛
ج. التخلص من الأصول؛ و
د. وقف تشغيل الأصول.
4. يجب أن يوفر سجل الأصول مستوى من التفاصيل، بما في ذلك (على سبيل المثال لا الحصر):
أ. اسم الأصل؛
ب. مالك الأصل؛
ج. أمين الأصل؛ أهمية الأصل؛
د. الموقع الفعلي للأصل ؛
هـ. الموقع المنطقي للأصل (منطقة الشبكة)؛
و. الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع؛
ز. الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع ؛
ح. معلومات التوفر أو النسخ الاحتياطي؛
ط. معلومات عقد الخدمة أو الترخيص؛
ي. الاتصالات التقنية (نظام التشغيل، والتطبيقات، وقاعدة البيانات، والشبكة)؛
ك. العمليات الأولية والثانوية التي يدعمها الأصل؛
ل. وقت التوقف المقبول عن العمل المتوافق مع إدارة استمرارية الأعمال - تحليل أثر أنقطاع الأعمال حيثما ينطبق ذلك؛
م. التأثير المالي لكل ساعة في حالة التوقف؛
ن. رقم عقد تكليف المورد؛
س. تفاصيل جهة التواصل مع المورد؛
ص. تفاصيل اتفاقية مستوى الخدمة الخاصة بالمورد؛ و
ض. تفاصيل تصنيف المورد.
5. يجب الاحتفاظ بسجل الأصول وتحديثه على أساس سنوي، أو كلما تم إدخال أي أصل أو إزالته من المخزون.
6. يجب على المؤسسات المالية:
أ. تعيين معايير تحديد الأصول الحيوية؛
ب. تحديد وصيانة وتحديث دوريًا القائمة الشاملة للأصول الحيوية؛
ج. مراقبة أداء الأصول الحيوية بشكل استباقي؛ و
د. ضمان وجود تدابير مرونة كافية للأصول الحيوية للحفاظ على توافر الخدمات الحيوية المطلوبة.
7. يجب أن يكون مالك الأصل مسؤولاً ، على سبيل المثال لا الحصر، عما يلي:
أ. تصنيف ووسم الأصل؛
ب. تحديد ومراجعة حقوق الوصول والقيود، ومراعاة سياسات التحكم في الوصول المعمول بها في المؤسسات المالية؛
ج. التفويض بالتغييرات المتعلقة بالأصول؛ و
د. ضمان التوافق مع ضوابط الأمن السيبراني.
8. يجب التخلص من الأصول بطريقة محكمة وآمنة عند انتهاء عمرها الإنتاجي وعند الوفاء بالالتزامات الأخرى ذات الصلة.
2.3.3 الاعتمادات المتبادلة
المبدأ
يجب تحديد الاعتمادات المتبادلة بين أصول المعلومات الحيوية وإدارتها من خلال نموذج الحوكمة لضمان توافر عمليات الأعمال.
متطلبات الرقابة
- يجب على المؤسسات المالية تحديد وتنفيذ نموذج حوكمة قوي في ضوء ترابطها مع أصحاب المصلحة المعنيين (مثل مقدمي الخدمات والمؤسسات الحكومية وغيرها)
- يجب على المؤسسات المالية تحديد الاعتمادات المتبادلة بين أصول المعلومات الهامة الخاصة بها.
- وكجزء من الاختبارات التسعة والثمانون، يجب على المؤسسات أن تأخذ بعين الاعتبار الترابط بين سيناريوهات أصول المعلومات الحيوية ضمن بنيتها التحتية.
ملحوظة: لمزيد من متطلبات التحكم من أجل تحسين الصمود الشامل، يرجى الرجوع إلى الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
3.3.3 إدارة اتفاقيات مستوى الخدمة
المبدأ
يجب الاتفاق رسميًا على الشروط والأحكام التعاقدية التي تحكم الأدوار والعلاقات والالتزامات والمسؤوليات الخاصة بأصحاب المصلحة الداخليين والأطراف الخارجية، وتطويرها وضبطها بشكل كافٍ.
متطلبات الرقابة
1. يجب تحديد اتفاقية مستوى خدمة تقنية المعلومات الداخلية رسميًا والموافقة عليها وإبلاغها إلى إدارة الأعمال ذات الصلة في المؤسسات المالية.
2. يجب مراقبة وقياس وتقييم مدى فعالية اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات.
3. يجب أن تتضمن اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
أ. مستوى الخدمة المتفق عليه بين وظائف الأعمال وقسم تقنية المعلومات؛
ب. أهداف محددة وقابلة للقياس لخدمات تقنية المعلومات مقابل مؤشرات الأداء الرئيسية المحددة؛ و
ج. أدوار ومسؤوليات أصحاب المصلحة في قطاع الأعمال وتقنية المعلومات.
4. يجب تحديد عملية العلاقة مع الطرف الخارجي والموافقة عليها وتنفيذها والإبلاغ عنها.
5. يجب مراقبة فعالية عملية العلاقة مع الطرف الخارجي وقياسها وتقييمها بشكل دوري.
6. يجب تحديد اتفاقية مستوى الخدمة الرسمية وتوقيعها مع الطرف الخارجي.
7. يجب أن تغطي عملية العلاقة مع الطرف الخارجي المتطلبات التالية، على سبيل المثال لا الحصر:
أ. يجب أن يكون لدى مقدمي الخدمات المعنيين بالاستعانة بمصادر خارجية عملية مناسبة لضمان توافر وحماية البيانات والتطبيقات التي يتم الاستعانة بمصادر خارجية لها؛
ب. إعداد التقارير الدورية ومراجعة وتقييم المتطلبات المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة)؛
ج. التغييرات في تقديم الخدمات المقدمة؛
د. تنفيذ تقييم المخاطر كجزء من عملية الشراء؛
هـ. عملية التصعيد في حالة انتهاك اتفاقية مستوى الخدمة؛
و. الضمانات الإدارية والمادية والفنية التي تحمي بشكل معقول ومناسب سرية المعلومات وسلامتها وتوافرها؛
ز. ضمان قانوني من الطرف الخارجي لتقديم الدعم في الموقع الذي يفرض وجود مهندس دعم معتمد وذو خبرة في الموقع ضمن جدول زمني محدد لدعم المؤسسات المالية في المواقف السلبية؛
ح. الخروج من العقد أو إنهائه أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
ط. الامتثال لأطر العمل المعمول بها بما في ذلك على سبيل المثال لا الحصر الدليل االتنظيمي لأمن المعلومات للبنك المركزي والدليل التنظيمي لإدارة استمرارية الأعمال والدليل التنظيمي لحوكمة تقنية المعلومات - والقوانين واللوائح المعمول بها؛
ي. الحق في التدقيق (المؤسسات المالية أو جهة مستقلة)؛ و
ك. اتفاقية عدم الإفصاح ("NDA").
4.3.3 إدارة توافر وسعة تقنية المعلومات
المبدأ
يجب الحفاظ على توافر الخدمة لدعم وظائف أعمال المؤسسات المالية وتجنب تعطل وبطء أداء الأنظمة من خلال مراقبة عتبات النظام الحالية والتنبؤ بمتطلبات الأداء والسعة المستقبلية.
متطلبات الرقابة
1. ينبغي تحديد عملية إدارة توافر وسعة تقنية المعلومات والموافقة عليها وتنفيذها.
2. يجب مراقبة فعالية عملية إدارة توافر وسعة تقنية المعلومات وقياسها وتقييمها بشكل دوري.
3. يجب وضع خطة توافر وسعة تقنية المعلومات واعتمادها وتقييمها دورياً.
4. يجب تحديد خطة توافر وسعة تقنية المعلومات لمعالجة ما يلي، على سبيل المثال لا الحصر:
أ. السعة الحالية للأنظمة والموارد؛
ب. المواءمة مع احتياجات العمل الحالية والمستقبلية؛
ج. متطلبات التوافر العالية (بما في ذلك تعطل وبطء قنوات العملاء)؛
د. الأدوار والمسؤوليات اللازمة للحفاظ على الخطة؛ و
هـ. تحديد التبعيات على مقدمي الخدمات كجزء من تخطيط السعات لمعالجة متطلبات إدارة استمرارية الأعمال.
5. يجب تحديد عتبات أداء النظام وتنفيذها.
6. يجب مراقبة أداء النظام مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. متطلبات العمل الحالية والمستقبلية؛
ب. اتفاقية مستوى الخدمة المتفق عليها مع الشركة؛
ج. البنى التحتية الحيوية لتقنية المعلومات؛
د. تعطل وبطء في النظام (النظم) الأساسية التي تدعم قنوات العملاء؛ و
هـ. الدروس المستفادة من مشكلات أداء النظام السابقة.
7. يجب تحديد الانحرافات عن خطوط الأساس/عتبات السعة والأداء المحددة وتوثيقها ومتابعتها وإبلاغ الإدارة ولجنة خدمات تقنية المعلومات.
5.3.3 إدارة مركز البيانات
المبدأ
يتم تصميم وتنفيذ ضوابط مادية كافية لحماية مرافق ومعدات تقنية المعلومات من التلف والوصول غير المصرح به.
متطلبات الرقابة
1. يجب تحديد الضوابط المادية والبيئية لإدارة مركز البيانات والموافقة عليها وتنفيذها.
2. يجب رصد الضوابط المادية والبيئية وتقييمها بشكل دوري.
3. يجب تنفيذ الضوابط المادية والبيئية اللازمة مثل على سبيل المثال لا الحصر:
أ. يجب أن يكون الوصول إلى مركز البيانات خاضعًا لرقابة صارمة ومتاحًا على أساس الحاجة إلى المعرفة؛
ب. يجب تسجيل دخول الزائرين إلى مركز البيانات ومرافقتهم من قبل شخص مخول؛
ج. أجهزة كشف الدخان؛
د. الحريق؛
هـ. طفايات الحريق؛
و. مراقبة الرطوبة؛
ز. مراقبة درجة الحرارة. و
ح. الدوائر التلفزيونية المغلقة.
4. يجب أن يتوافق إسناد المهام لمركز البيانات مع المتطلبات المنشورة في تعاميم البنك المركزي بشأن تعليمات إسناد المهام إلى طرف ثالث والدليل التنظيمي لأمن المعلومات.
5. يجب على المؤسسات المالية التأكد من تضمين تدابير الرقابة المناسبة في العقود المبرمة مع مقدمي الخدمات الذين يخططون لإسناد مهام مركز البيانات والتي تشمل على سبيل المثال لا الحصر:
أ. وجود حالة عمل موثقة لإسناد مهام خدمات مركز البيانات؛ و
ب. طبيعة ونوعية الوصول إلى مركز البيانات من قبل مزود الخدمة.
6.3.3 بنية الشبكة ومراقبتها
المبدأ
يجب تصميم ضوابط إدارة أحداث تقنية المعلومات وبنية الشبكة وتنفيذها لمراقبة عمليات تقنية المعلومات بشكل مستمر من أجل حماية شبكة المؤسسات المالية من الوصول غير المصرح به.
متطلبات الرقابة
1. يجب على المؤسسات المالية تحديد سياسة هيكلية الشبكة والموافقة عليها وتنفيذها مع مراعاة ما يلي:
أ. موقف المؤسسة فيما يتعلق بالاستخدام المقبول للشبكة؛
ب. قواعد صريحة للاستخدام الآمن لموارد وخدمات وتطبيقات محددة للشبكة؛
ج. عواقب عدم الامتثال للقواعد الأمنية؛
د. موقف المؤسسة من إساءة استخدام الشبكة؛ و
هـ. الأساس (الأسس) المنطقية للسياسة ولأي قواعد أمنية محددة.
2. يجب على المؤسسات المالية التأكد من تنفيذ ضوابط هيكلية الشبكة التالية، والتي تشمل على سبيل المثال لا الحصر:
أ. رسم تخطيطي للشبكة يوضح البنية التحتية الحالية الكاملة؛
ب. تجزئة الشبكة إلى نطاقات شبكية متعددة منفصلة بناءً على مستويات الثقة المطلوبة (8.6 النطاق العام، ونطاق سطح المكتب، ونطاق الخادم) وبما يتماشى مع المبادئ التصميمية ذات الصلة؛
ج. يجب أن يكون محيط كل نطاق من نطاقات الشبكة محميًا بشكل جيد بواسطة بوابة أمان (مثل جدار الحماية، موجه التصفية). وبالنسبة لكل بوابة أمنية، يجب وضع وتنفيذ قواعد منفصلة للوصول إلى الخدمة (الأمان) لضمان عدم السماح بمرور سوي حركة المرور المصرح بها؛
د. كافة حركات المرور الداخلية (مستخدمو المكتب الرئيسي، ومستخدمو الفرع، ومستخدمو الطرف الخارجي، إلخ) المارة إلى الشبكة الفرعية المراقبة أو الخوادم الداخلية يجب أن تمر عبر بوابتين أمنيتين (جدار الحماية)؛
هـ. يتم توجيه جميع عمليات الوصول إلى الإنترنت الصادرة من الشبكات الداخلية عبر خادم وكيل بحيث لا يُسمح بالوصول إلا للمستخدمين المعتمدين المصادق عليهم؛
و. يجب عزل شبكة الزائرين (الشبكة السلكية/اللاسلكية) وفصلها عن الشبكة الداخلية؛
ز. يجب أن يقوم جدار الحماية المحيط بالشبكة الفرعية المراقبة بإطلاق تنبيه وحظر المسح النشط ؛
ح. يجب تنفيذ جدار حماية تطبيقات الويب (WAF) ضد التطبيقات التي تواجه العملاء؛
ط. ضمان عدم وجود نقطة فشل مفردة تؤثر على توافر الخدمة الحرجة؛
ي. يجب نشر خادم مصادقة مركزي (AAA أو TACACS أو RADIUS، إلخ) لإدارة المصادقة والترخيص لأجهزة الشبكة؛
ك. يجب نشر خادم السجل المركزي (على سبيل المثال، خادم سجل النظام) لجمع السجلات وتخزينها من جميع أجهزة الشبكة؛
ل. يجب أن تبلغ فترة الاحتفاظ بالسجلات 12 شهرًا كحد أدنى؛
م. يجب على جميع أجهزة الشبكة مزامنة توقيتات الساعة الخاصة بها من خادم بروتوكول وقت الشبكة مركزي؛
ن. يجب أن تكون جميع اتصالات الشبكة عبر الشبكة الخارجية (WLAN) والإنترنت من خلال قناة مشفرة؛
س. يجب أن يقتصر الوصول عن بعد على مجموعة معينة من عناوين بروتوكول الإنترنت؛
ص. يجب أن تكون الإدارة عن بعد عبر قناة مشفرة (مثل SSL VPN وSSH)؛
ش. يجب أن يكون الوصول إلى الإدارة عن بعد للموردين محددًا بفترة زمنية ويتم منحه على أساس الحاجة إلى جانب أخذ الموافقة؛
ض. فحص أجهزة المؤسسة المالية قبل الدخول إلى الشبكة لضمان تطبيق السياسات الأمنية على الأجهزة قبل دخولها إلى شبكة المؤسسة؛ و
ظ. الفصل بين الواجبات داخل مكون البنية التحتية (مدعومًا بمصفوفة موثقة لملف التفويض).
3. يجب على المؤسسات المالية التأكد من مراقبة الشبكة مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. المسارات الإدارية بما في ذلك مسارات تسجيل الدخول والنشاط (مثل تغيير التكوين، وتغيير القاعدة، وما إلى ذلك)؛
ب. استخدام الموارد (المعالج والذاكرة)؛ و
ج. ربط الشبكة بجميع الفروع وأجهزة الصراف الآلي.
7.3.3 المعالجة الدفعية
المبدأ
يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها من أجل إدارة المعالجة المجمعة للمهام المؤتمتة بطريقة فعالة ومضبوطة.
متطلبات الرقابة
1. يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس فعالية عملية الإدارة الدفعية وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الإدارة الدفعية ما يلي، على سبيل المثال لا الحصر:
أ. جداول بداية ونهاية اليوم؛
ب. الأدوار والمسؤوليات؛
ج. مراقبة الدفعات؛ و
د. معالجة الخطأ أو الاستثناء.
4. يجب أن تتم الموافقة على التغييرات في جداول الدفعات من قبل أصحاب المصلحة المعنيين.
5. يجب على المؤسسات المالية الاحتفاظ بسجل يحتوي على معلومات حول العمليات المجمعة لبداية ونهاية اليوم بالإضافة إلى حالته 8.6. (ناجحة أو فاشلة).
8.3.3 إدارة حوادث تقنية المعلومات
المبدأ
ينبغي إنشاء عملية إدارة حوادث تقنية المعلومات حتى يتسنى تحديد حوادث تقنية المعلومات التي تؤثر على أصول المعلومات الخاصة بالمؤسسة المالية والاستجابة لها والتعامل معها في الوقت المناسب، والإبلاغ عن الحوادث ذات الصلة إلى البنك المركزي، وفقًا لبروتوكول اتصال محدد.
متطلبات الرقابة
1. يجب تحديد عملية إدارة حوادث تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس فعالية عملية إدارة حوادث تقنية المعلومات وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة حوادث تقنية المعلومات المتطلبات التالية، على سبيل المثال لا الحصر:
أ. تشكيل فريق معين مسؤول عن إدارة الحوادث؛
ب. خطة تواصل؛
ج. تفاصيل الموظفين الرئيسيين الذين يتعين إخطارهم؛
د. الموظفون المهرة والمدربون (باستمرار)؛
هـ. تحديد أولويات الحوادث وتصنيفها؛
و. التعامل مع الحوادث في الوقت المناسب، وتسجيل ورصد التقدم المحرز؛
ز. حماية الأدلة والتسجيلات ذات الصلة؛
ح. أنشطة ما بعد وقوع الحوادث مثل تحليل الأسباب الجذرية للحوادث؛ و
ط. الدروس المستفادة.
4. يجب أتمتة عملية إدارة حوادث تقنية المعلومات من خلال مكتب خدمة تقنية المعلومات مثلاً.
5. يجب إنشاء عملية لتوثيق تفاصيل الحادث، ويجب إبلاغ موظفي تقنية المعلومات المعنيين بالخطوات المتخذة المثمرة وغير والمثمرة على حد سواء من أجل اكتساب الخبرة العملية وكذلك للرجوع إليها في المستقبل لتعزيز الكفاءة.
6. يجب تسجيل جميع طلبات المستخدم وحوادث تقنية المعلومات بالمعلومات التالية على سبيل المثال لا الحصر:
أ. رقم مرجعي فريد؛
ب. التاريخ والوقت؛
ج. اسم الخدمات والأنظمة المتأثرة؛
د. تحديث المالك المعني؛ و
هـ. التصنيف وترتيب الأولويات بناءً على مدى إلحاحها وتأثيرها.
7. يجب تتبع جميع حوادث تقنية المعلومات وحلها وفقًا لمستوى الخدمة المتفق عليه.
8. يجب إشراك فرق المؤسسات المالية ذات الصلة (عند الاقتضاء) لضمان التعامل المناسب مع الحادث.
9. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمراقبة المخاطر السيبرانية" فور تحديد حادثة مصنفة على أنها "متوسطة" أو أعلى من ذلك والتي لها تأثير على العملاء، وفقًا الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
10. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" فور تحديد تعطيل وبطء في تطبيق و/أو تطبيقات مهمة من شأنها التأثير على العملاء.
11. يجب على المؤسسات المالية إخطار "الإدارة العامة لمكافحة المخاطر السيبرانية" قبل الكشف عن أي معلومات حول الحادث لوسائل الإعلام.
12. يجب على المؤسسات المالية تقديم تقرير تفصيلي عن الحادث خلال خمسة (5) أيام إلى "الإدارة العامة لمكافحة المخاطر السيبرانية"، بما في ذلك التفاصيل التالية كحد أدنى:
أ. عنوان الحادث؛
ب. تحديد وتصنيف وتحديد أولويات الحادث؛
ج. تسجيل ومراقبة الحادث؛
د. حل وإغلاق الحادث؛
هـ. تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
و. تاريخ ووقت الحادث؛
ز. اسم الخدمات والأنظمة المتأثرة؛
ح. تحليل السبب الجذري؛ و
ط. الإجراءات التصحيحية مع التواريخ المستهدفة.
9.3.3 إدارة المشكلات
المبدأ
يجب تحديد معايير وإجراءات الإبلاغ عن المشكلات للحد من الحوادث المتكررة وتقليل تأثير الحوادث على المؤسسات المالية.
متطلبات الرقابة
1. يجب تحديد عملية إدارة المشكلات والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس مدى فعالية عملية إدارة المشكلات وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة المشكلات المتطلبات التالية على سبيل المثال لا الحصر:
أ. تحديد المشكلة وتصنيفها وتحديد أولوياتها؛
ب. تسجيل المشكلة ورصدها؛
ج. حل المشكلة وإغلاقها؛
د. حماية الأدلة والسجلات ذات الصلة؛
هـ. تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
و. تاريخ ووقت المشكلة؛
ز. اسم الخدمات والأنظمة المتأثرة؛
ح. تحليل السبب الجذري؛ و
ط. الإجراءات التصحيحية.
4. يجب أن تحتفظ المؤسسات المالية بقاعدة بيانات لسجلات الأخطاء المعروفة.
10.3.3 النسخ الاحتياطي للبيانات وإمكانية استعادتها
المبدأ
يجب تحديد واعتماد وتنفيذ استراتيجية إدارة النسخ الاحتياطي للبيانات إلى جانب إجراءات النسخ الاحتياطي والاستعادة لضمان موثوقية بيانات المؤسسات المالية وتوافرها وإمكانية استعادتها.
متطلبات الرقابة
1. يجب تحديد استراتيجية إدارة النسخ الاحتياطي للبيانات والموافقة عليها وتنفيذها.
2. يجب أن تراعي سياسة إدارة النسخ الاحتياطي للبيانات ما يلي، على سبيل المثال لا الحصر:
أ. التوافق مع الدليل التنظيمي لإدارة استمرارية الأعمال الخاص بالبنك المركزي؛
ب. تنفيذ قدرات النسخ المتماثل والنسخ الاحتياطي والاسترداد؛
ج. مخزن البيانات؛
د. استرجاع البيانات؛ و
هـ. الاحتفاظ بالبيانات وفقًا للمتطلبات القانونية والتنظيمية والتجارية.
3. يجب تحديد إجراءات النسخ الاحتياطي والاستعادة والموافقة عليها وتنفيذها.
4. يجب قياس فعالية إجراء النسخ الاحتياطي والاستعادة وتقييمها بشكل دوري.
5. يجب على المؤسسات المالية تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. المتطلبات القانونية والتنظيمية؛
ب. متطلبات العمل بما يتماشى مع نقطة التعافي المستهدفة (RPO) المتفق عليها؛
ج. نوع النسخ الاحتياطية (دون اتصال بالإنترنت، عبر الإنترنت، كامل، تزايدي، وما إلى ذلك)؛ و
د. جدول النسخ الاحتياطي (يومي، أسبوعي، شهري، الخ).
6. يجب على المؤسسات المالية التأكد من عمل نسخة احتياطية من المعلومات التالية على الأقل:
أ. التطبيقات؛
ب. برامج أنظمة التشغيل؛
ج. قواعد بيانات؛ و
د. تكوينات الجهاز.
7. في حالة نسخ البيانات بين الموقع الرئيسي وموقع استرداد البيانات بعد الكوارث، يجب على المؤسسات المالية التأكد من حل جميع مشكلات النسخ في الوقت المناسب بحيث تكون البيانات الموجودة في موقع استرداد البيانات بعد الكوارث متزامنة مع الموقع الرئيسي وفقًا لنقطة التعافي المستهدفة (RPO) ووقت التعافي المستهدف (RTO). 8. يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة للخدمات الحيوية مثل أنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك محددة بشكل مناسب مع مراعاة التوافرية العالية للعمليات الداعمة والحد الأدنى من التعطيل في حالة وقوع كارثة.
9. يجب على المؤسسة المالية التأكد من وجود استثمارات كافية من منظور الأشخاص والعمليات والتقنية لتحقيق أوقات التعافي المستهدفة.
10. يجب على المؤسسات المالية تنفيذ آلية بديلة للنسخ الاحتياطي والتكرار (مثل تفريغ المعاملات بالإضافة إلى النسخ الاحتياطي الكامل لقاعدة البيانات).
11. يجب على المؤسسات المالية إجراء اختبارات دورية والتحقق من قدرة وسائط النسخ الاحتياطي على التعافي.
12. يجب أن يتم تصنيف وسائط النسخ الاحتياطي بشكل مناسب.
13. يجب تشفير وسائط النسخ الاحتياطي، بما في ذلك أقراص التخزين الخارجية (USB)، التي تحتوي على معلومات حساسة أو سرية قبل نقلها إلى خارج الموقع لتخزينها.
11.3.3 المحاكاة الافتراضية
المبدأ
يجب تحديد عملية رسمية لإنشاء الصور الافتراضية أو اللقطات أو الحاويات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإدارتها بطريقة خاضعة للرقابة وآمنة.
متطلبات الرقابة
- يجب تحديد عملية لإعداد بيئة افتراضية ونشرها وتهيئتها والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
- ويجب أن تخضع العملية لسياسات وإجراءات ومعايير محددة جيدا.
- يجب قياس مدى فعالية عملية المحاكاة الافتراضية أو عملية التعئبة بالحاويات وتقييمها بشكل دوري.
- يجب تزويد جميع المكونات الافتراضية المنشورة في المؤسسات المالية بنفس مستوى الأمان الذي تتمتع به البيئة غير الافتراضية.
- يجب تكوين جميع المكونات الافتراضية بشكل ملائم باستخدام معايير الأمان الأساسية الدنيا المحددة والمعتمدة (MBSS) الخاصة بالمحاكاة الافتراضية أو التعبئة بالحاويات.
- يجب تنفيذ آلية مصادقة قوية ومنح حق الوصول على أساس الحاجة إلى المعرفة أو على أساس أقل امتيازات لجميع البيئات الافتراضية بما في ذلك نظام التشغيل المضيف، ومراقب الأجهزة الافتراضية، وأنظمة تشغيل الضيف وأي مكونات أخرى ذات صلة.
- يجب التعامل مع إنشاء الصور واللقطات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإتلافها بطريقة خاضعة للرقابة وآمنة.
- يجب مراعاة ما يلي كجزء من المحاكاة الافتراضية/التعبئة بالحاويات، على سبيل المثال لا الحصر:
أ. يجب التحكم في الوصول الإداري بإحكام حيث يجب تقييد الوصول عبر المسؤول المحلي؛ ب. يجب أن تقتصر إدارة برامج مراقبة الأجهزة الافتراضية على المسؤولين فقط؛
ج. يجب أن تكون بيئة الاختبار الافتراضية منفصلة ماديًا و/أو منطقيًا عن بيئة الإنتاج، بل ويجب ألا تعمل على نفس المضيف؛
د. يجب تعطيل البرامج والخدمات غير الضرورية على الأجهزة الافتراضية ما لم تسمح الشركة بذلك؛
هـ. يجب تمكين تسجيل التدقيق ومراقبته لجميع الأجهزة الافتراضية التي يجب أن تتضمن على سبيل المثال لا الحصر:
1. الإنشاء والنشر والإزالة؛
2. الأنشطة الجذرية والإدارية؛ و
3. إنشاء كائنات على مستوى النظام وتعديلها وحذفها.
و. يجب وضع الضوابط المناسبة لحماية البيانات الحساسة والحيوية التي يتم استخدامها وإدارتها من خلال الصور الافتراضية أو اللقطات؛ و
ز. يجب عمل نسخة احتياطية لجميع محركات الأقراص الافتراضية التي تستخدمها أنظمة تشغيل الضيف واختبارها بشكل منتظم، باستخدام نفس سياسة إدارة النسخ الاحتياطي المستخدمة في الأنظمة غير الافتراضية.
4.3 إدارة تغيير النظام
إدارة تغيير النظام عبارة عن عملية تحديد وتصميم واختبار وتنفيذ التغييرات المتعلقة بأصول المعلومات بما في ذلك على سبيل المثال لا الحصر التطبيق والبرمجيات والأجهزة والبيانات. وبالتالي، يجب معالجة عوامل المخاطر المتعلقة بإدارة تغيير النظام من قبل المؤسسات المالية من خلال التنفيذ المناسب لضوابط تقنية المعلومات المطلوبة.
1.4.3 حوكمة تغيير النظام
المبدأ
ينبغي إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات في أصول المعلومات الخاصة بالمؤسسة المالية واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج
متطلبات الرقابة
1. يجب تحديد عملية إدارة تغيير النظام والموافقة عليها وتنفيذها والإبلاغ عنها داخل المؤسسات المالية.
2. يجب قياس فعالية عملية إدارة تغيير النظام وتقييمها بشكل دوري.
3. يجب أن تخضع عملية إدارة تغيير النظام لسياسة وإجراءات إدارة التغيير التي يجب الموافقة عليها ومراقبتها ومراجعتها وتحديثها على أساس دوري و/أو عند حدوث تغييرات كبيرة في بيئة تقنية المعلومات أو تغييرات في القوانين والمتطلبات التنظيمية.
4. يجب أن تعالج عملية إدارة تغيير النظام ما يلي، على سبيل المثال لا الحصر:
أ. تحديد متطلبات التغيير والموافقة عليها؛
ب. خطور التغيير وأولويته؛
ج. تقييم خطورة التغيير وتأثيره؛
د. تطوير التغيير؛
هـ. اختبار التغيير؛
و. طرح التغيير واسترجاعه؛
ز. الأدوار والمسؤوليات بالتغيير؛
ح. مستندات التغيير؛
ط. الوعي بالتغيير و/أو التدريب المقدم للمستخدمين؛ و
ي. مدخلات المجلس الاستشاري للتغيير ((CAB، إن وجدت.
5. يجب تنفيذ نظام لسير العمل لأتمتة عملية إدارة التغيير من جانب المؤسسات المالية إلى أقصى حد ممكن.
6. يجب تسجيل أي تغييرات في أصول المعلومات ومراقبتها وتوثيقها.
7. يجب أن تكون بيئات النظام (أي التطوير والاختبار والإنتاج وما إلى ذلك) منفصلة تقنيًا ومنطقيًا.
8. يجب التحكم في الوصول إلى بيئات النظام المختلفة ومراقبته بشكل صارم. من أجل القيام بذلك، يجب ضمان الفصل بين الواجبات ("SoD") بحيث لا يتحمل أي فرد مسؤوليتين متعارضتين مثل (التطوير والتجميع والاختبار والترحيل والنشر) في نفس الوقت.
9. يجب إجراء التغييرات الطارئة في أصول المعلومات بطريقة خاضعة لرقابة صارمة ويجب أن تراعي ما يلي:
أ. يجب أن يكون عدد التغييرات الطارئة أقل تفضيلاً من التغييرات المخطط لها من أجل إبقاء هذه التغييرات في أدنى حد ممكن؛
ب. ينبغي تقييم التغييرات الطارئة من حيث تأثيرها على الأنظمة؛
ج. يجب الموافقة على التغييرات الطارئة من قبل المجلس الاستشاري للتغييرات الطارئة ("ECAB")؛
د. يجب أن يكون الحد الأدنى من الاختبار مقبولاً لتنفيذ التغييرات الطارئة؛
هـ. يجب استكمال التوثيق الرسمي للتغييرات الطارئة بعد التنفيذ؛
و. ينبغي إجراء مراجعة ما بعد التنفيذ لجميع التغييرات الطارئة؛ و
ز. يجب إجراء تحليل السبب الجذري لتحديد السبب الذي أدى إلى الحاجة إلى تغيير طارئ، بالإضافة إلى الاحتفاظ بسجل يعكس الدروس المستفادة ويقدم تقريرًا إلى جميع الموظفين المعنيين والإدارة واللجنة التوجيهية.
10. يجب تمكين التدقيق الكافي لتسجيل التغييرات الطارئة المتعلقة بأصول المعلومات لأغراض الرجوع إليها أو التحقيق في المستقبل.
2.4.3 تحديد متطلبات التغيير والموافقة عليها
المبدأ
يجب تحديد التغييرات على أصول المعلومات بشكل رسمي وتوثيقها والموافقة عليها من قبل مالك الأصل المعني قبل تنفيذ التغيير في أصول المعلومات.
متطلبات الرقابة
- يجب أن يبدأ طالب التغيير رسميًا بمتطلبات التغيير.
- يجب أن تحدد متطلبات التغيير المتطلبات الوظيفية وغير الوظيفية، حيثما ينطبق ذلك.
- يجب مراجعة متطلبات التغيير رسميًا والموافقة عليها من قبل مالك الأصل المعني.
- يجب تقييم أي تغييرات في أصول المعلومات لمعرفة تأثيرها على الأنظمة قبل تنفيذ التغيير.
- يجب أن تتم المصادقة على أي تغيير في أصول المعلومات من قبل المجلس الاستشاري للتغيير (48") قبل النشر في بيئة الإنتاج.
- يجب مراجعة أي تغييرات في أصول المعلومات والموافقة عليها من قبل وظيفة الأمن السيبراني قبل تقديمها إلى "المجلس الاستشاري للتغيير" (مطلوب وفقًا للدليل التنظيمي لأمن المعلومات الخاص بالبنك المركزي، .7.3.3 إدارة التغيير، متطلبات التحكم، 4 - د).
3.4.3 اقتناء النظام
المبدأ
يجب إنشاء عملية اقتناء النظام لضمان تقييم المخاطر المرتبطة باقتناء النظام ومستوى خدمة البائعين ذات الصلة والتخفيف من حدتها بشكل كافٍ قبل اقتناء النظام.
متطلبات الرقابة
1. يجب تحديد عملية اقتناء النظام والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2. يجب قياس مدى فعالية عملية اقتناء النظام وتقييمها بشكل دوري.
3. يجب تحديد متطلبات النظام (أي الوظيفية وغير الوظيفية) رسميًا والموافقة عليها كجزء من عملية اقتناء النظام.
4. ينبغي إجراء دراسة جدوى لتقييم المتطلبات الوظيفية وغير الوظيفية للنظام الجديد وخاصة بما يتوافق مع المتطلبات التنظيمية الخاصة بالبنك المركزي، والمتطلبات التنظيمية الأخرى المعمول بها.
5. يجب إدراج تقييم البائعين في عملية اقتناء النظام لتقييم البائعين فيما يتعلق بعروضهم وقدراتهم على دعم النظام أثناء التنفيذ وبعده.
6. يجب دعم عملية اقتناء النظام بخطة تنفيذ مفصلة تصف ما يلي على سبيل المثال لا الحصر:
أ. الأحداث الرئيسية لتنفيذ النظام (بما في ذلك جمع المتطلبات، والتطوير أو التخصيص، والاختبار، وبدء التشغيل وما إلى ذلك)؛
ب. الجدول الزمني لكل حدث رئيسي وتوابعه؛ و
ج. الموارد المخصصة للأحداث الرئيسية.
7. يجب تقييم النظام الجاهز أو الحزمة الجاهزة على أساس ما يلي، على سبيل المثال لا الحصر:
أ. توافق النظام مع متطلبات المؤسسة المالية؛
ب. مصداقية النظام والوجود في السوق، إذا لزم الأمر؛ و
ج. تقييم البائع ومستوى الخدمة.
4.4.3 تطوير النظام
المبدأ
يجب توثيق منهجية تطوير النظام والموافقة عليها وتنفيذها لضمان تنفيذ تطوير نظام المؤسسة المالية بطريقة خاضعة للرقابة الصارمة.
متطلبات الرقابة
1. يجب تحديد منهجية تطوير النظام والموافقة عليها وتنفيذها ونشرها.
2. يجب مراقبة مدى فعالية منهجية تطوير النظام وتقييمها بشكل دوري.
3. يجب أن تتناول منهجية تطوير النظام ما يلي، على سبيل المثال لا الحصر:
أ. نهج تطوير النظام مثل التطوير التقليدي والسريع وما إلى ذلك؛
ب. معايير الترميز الآمنة؛
ج. أنواع الاختبارات وأساليبها مثل اختبار الوحدة، واختبار الانحدار، واختبار الضغط، وما إلى ذلك؛
د. ضبط الإصدارات؛
هـ. التحكم بالجودة؛
و. ترحيل البيانات؛
ز. التوثيق؛ و
ح. تدريب المستخدم النهائي.
4. يجب تحديد وثيقة تصميم النظام وتوثيقها والموافقة عليها.
5. يجب أن تتناول وثيقة تصميم النظام متطلبات التصميم منخفضة المستوى للنظام المقصود، والتي تشمل على سبيل المثال لا الحصر ما يلي:
أ. متطلبات التكوين؛
ب. متطلبات التكامل؛
ج. متطلبات الأداء؛
د. متطلبات الأمن السيبراني؛ و
هـ. متطلبات تعريف البيانات.
6. يجب أن تقوم وظيفة تقنية المعلومات أو فريق التطوير المعني في المؤسسات المالية بإجراء مراجعة آمنة للأكواد البرمجية من أجل:
أ. التطبيقات المطورة داخليًا؛ و
ب. التطبيقات المطورة خارجيًا إذا كان كود المصدر متاحًا.
7. يجب على المؤسسات المالية التأكد من صياغة تقرير مراجعة الكود الآمن (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم توفر كود المصدر لدى المؤسسة المالية.
8. يجب تضمين ضوابط الأمن السيبراني في عملية تطوير النظام بما يتماشى مع الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
9. يجب استخدام نظام ضبط الإصدارات لتتبع التعليمات البرمجية المصدرية أو إصدارات الإنشاء بين بيئات النظام المختلفة (أي التطوير والاختبار والإنتاج وغيرها).
5.4.3 الاختبار
المبدأ
يجب اختبار جميع التغييرات على نظم المعلومات بشكل شامل على بيئة الاختبار استناداً إلى حالات الاختبار المحددة والمعتمدة لضمان تلبية التغييرات لمتطلبات العمل وكذلك لتحديد العيوب أو نقاط الضعف قبل إطلاق التغييرات في بيئة الإنتاج.
متطلبات الرقابة
1. يجب تحديد خطة الاختبار والموافقة عليها وتوثيقها رسميًا لإجراء التغييرات.
2. يجب تحديد حالة الاختبار والموافقة عليها وتوثيقها للتغييرات. إضافة إلى ذلك، يجب أن تتناول حالة الاختبار ما يلي، على سبيل المثال لا الحصر:
أ. اسم حالة الاختبار والمعرف الفريد؛
ب. حالة الاختبار المصممة والمختبرة؛
ج. وصف حالة الاختبار مع التحديد الواضح لحالات الاختبار السلبية والإيجابية؛
د. أولوية الاختبار؛
هـ. تاريخ تنفيذ الاختبار؛
و. استخدام البيانات لاختبار الحالات؛
ز. حالة الاختبار (أي ناجح أم فاشل)؛
ح. النتيجة المتوقعة لحالة الاختبار؛ و
ط. متطلبات شهادة اختبار الطرف الثالث، إن وجدت، مثل مدى، تنفيذ، إلخ.
3. كحد أدنى، ينبغي اعتبار أنواع الاختبارات التالية جزءًا من إدارة تغيير النظام.
أ. اختبار الوحدة؛
ب. اختبار تكامل النظام (SIT)؛
ج. اختبار التحمل (إن أمكن)؛
د. الاختبار الأمني؛ و
هـ. اختبار قبول المستخدم (UAT).
4. يجب اختبار جميع التغييرات على نظام المعلومات بدقة في بيئة اختبار منفصلة وفقاً لحالات الاختبار المعتمدة.
5. يجب اختبار جميع التغييرات وقبولها رسميًا من قبل مستخدمي الأعمال المعنيين.
6. يجب أن يشمل الاختبار سيناريوهات حالات الاختبار الإيجابية والسلبية.
7. يجب توثيق نتائج اختبار قبول المستخدم والاحتفاظ بها لأغراض مرجعية مستقبلية.
8. يجب عدم استخدام بيانات الإنتاج لاختبار النظام في بيئة الاختبار. لا يجب استخدام لأغراض الاختبار سوى البيانات المطهرة.
6.4.3 متطلبات أمان التغيير
المبدأ
يجب تحديد متطلبات الأمن السيبراني واختبارها بدقة لجميع التغييرات في نظام المعلومات في بيئة اختبار من أجل تحديد الثغرات الأمنية فيها والتخفيف من حدتها قبل إدخالها في بيئة الإنتاج.
متطلبات الرقابة
1. يجب أن تأخذ عملية إدارة تغيير النظام في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي لتحديد واختبار وتنفيذ المتطلبات الأمنية لأي تغييرات في أصول المعلومات.
7.4.3 إدارة إصدار التغيير
المبدأ
يجب تحديد عملية إدارة إصدار التغييرات لضمان تخطيط تغييرات النظام بشكل ملائم وإصدارها إلى بيئة الإنتاج بطريقة خاضعة لرقابة صارمة.
متطلبات الرقابة
1. يجب تحديد عملية إدارة الإصدار والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب مراقبة عملية إدارة الإصدار وتقييمها بشكل دوري.
3. يجب أن تتناول عملية إدارة الإصدار ما يلي، على سبيل المثال لا الحصر:
أ. استراتيجية ونهج إصدار التغيير؛
ب. الأدوار والمسؤوليات لتنفيذ إصدارات التغيير؛
ج. الجدول الزمني لإصدار التغيير واللوجستيات الخاصة به؛
د. إجراءات طرح التغيير واسترجاعه؛ و
ه. ترحيل البيانات، عند الاقتضاء.
4. يجب أن يتم إصدار التغييرات في النظام المناظر في موقع التعافي من الكوارث عند نجاح تنفيذ التغييرات في بيئة الإنتاج في الموقع الرئيسي.
5. يجب إدخال التغيير كجزء من نافذة تغيير متفق عليها، ويجب أن يكون للاستثناءات عملية موافقة خاصة بها ونادراً ما يُسمح بها دون أسباب مقنعة.
8.4.3 إدارة تكوين النظام
المبدأ
يجب تحديد عملية إدارة تهيئة النظام والموافقة عليها وإبلاغها وتنفيذها للحفاظ على معلومات موثوقة ودقيقة حول عناصر التكوين ("CIs") لأصول المعلومات الخاصة بالمؤسسة المالية.
متطلبات الرقابة
1. يجب تحديد عملية إدارة التكوين والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2. يجب مراقبة عملية إدارة التكوين وتقييمها بشكل دوري.
3. يجب أن تتناول عملية إدارة التكوين ما يلي، على سبيل المثال لا الحصر:
أ. الأدوار والمسؤوليات لتنفيذ إدارة التكوين؛
ب. تحديد وتسجيل عناصر التكوين وأهميتها فيما يتعلق بعمليات الأعمال الداعمة لها؛
ج. العلاقات المتبادلة بين عناصر التكوين فيما بين أصول المعلومات المختلفة؛ و
د. التحقق الدوري من عناصر التكوين.
4. يجب على المؤسسات المالية تنفيذ قاعدة بيانات إدارة التكوين ("CMCB") لتحديد المعلومات المتعلقة بأصول المعلومات الخاصة بالمؤسسة المالية والحفاظ عليها والتحقق منها.
9.4.3 إدارة حزم التحديثات والإصلاحات
المبدأ
يجب تحديد عملية إدارة حزم التحديثات والإصلاحات وتنفيذها لضمان تثبيت أحدث حزم التحديثات والإصلاحات القابلة للتطبيق وذات الصلة (أي الوظيفية أو غير الوظيفية) في الوقت المناسب لتجنب المشاكل التقنية بما في ذلك الاختراقات الأمنية بسبب الثغرات الموجودة في النظام.
متطلبات الرقابة
1. يجب تحديد عملية إدارة التحديثات والإصلاحات والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2. يجب مراقبة مدى فعالية عملية إدارة حزم التحديثات والإصلاحات وقياسها وتقييمها بشكل دوري.
3. يجب تقييم جميع حزم التحديثات والإصلاحات بدقة للتأكد من مدى تأثيرها من قبل أصحاب المصلحة المعنيين بما في ذلك الأمن السيبراني قبل تنفيذها في بيئة الإنتاج.
4. يجب الكشف على جميع الأنظمة أو فحصها بشكل دوري لتحديد أي حزم تحديثات أو تصحيحات أو ثغرات أمنية قديمة في الأنظمة.
5. يجب أن يتبع نشر حزم التحديثات والإصلاحات عملية إدارة تغيير رسمية.
6. يجب اختبار جميع حزم التحديثات والإصلاحات بدقة في بيئة اختبار منفصلة قبل إدخالها إلى بيئة الإنتاج لتجنب أي مشكلة في التوافق مع النظام والمكونات ذات الصلة.
7. وينبغي نشر حزمة التحديثات والإصلاحات على الأنظمة والمكونات ذات الصلة بشكل منهجي.
8. بعد نشر حزم التحديثات والإصلاحات في بيئة الإنتاج، يجب مراقبة الأنظمة بحثًا عن أي سلوك غير طبيعي، وإذا تم تحديد مثل هذا السلوك، يجب التحقيق بدقة لتحديد السبب الجذري وإصلاحه بشكل صحيح.
9. يجب إرسال نافذة نشر حزم التحديثات والإصلاحات (أي الجدول) إلى الأعمال وأصحاب المصلحة المعنيين مسبقًا ويفضل أن يتم ذلك خلال ساعات غير الذروة والفترات غير المتجمدة لتجنب أي تعطيل للأعمال.
10. يجب مراقبة المواجز الخارجية من بائعي البرمجيات أو المصادر الأخرى المعترف بها لتحديد أي ثغرات جديدة في النظام وتحديثها وتصحيحها وفقاً لذلك.
10.4.3 إدارة مشاريع تقنية المعلومات
المبدأ
يجب تحديد عملية رسمية والموافقة عليها وتنفيذها لإدارة مشروع تقنية المعلومات والمخاطر ذات الصلة بفعالية طوال دورة حياة المشروع.
متطلبات الرقابة
1. يجب تحديد عملية إدارة مشروع تقنية المعلومات والموافقة عليها من قبل المؤسسات المالية.
2. يجب أن تخضع عملية إدارة مشاريع تقنية المعلومات لدليل وسياسة وإجراءات إدارة مشاريع تقنية المعلومات المحددة والمعتمدة رسميًا لإدارة دورة حياة مشروع تقنية المعلومات من البداية حتى الإغلاق.
3. يجب مراقبة مدى فعالية عملية إدارة مشروع تقنية المعلومات وقياسها وتقييمها بشكل دوري.
4. يجب تزويد جميع مشاريع تقنية المعلومات بخطة المشروع التفصيلية، والتي تشمل على سبيل المثال لا الحصر ما يلي:
أ. تفاصيل نطاق العمل بما في ذلك أنشطة المشروع أو كل مرحلة من مراحل المشروع؛
ب. الأولويات والأحداث الرئيسية والجداول الزمنية المرتبطة بالمشروع أو كل مرحلة من مراحل المشروع؛
ج. المخرجات؛
د. الأدوار والمسؤوليات؛ و
هـ. المخاطر المرتبطة بأي مشاريع تقنية المعلومات.
5. يجب تحديد الوثائق اللازمة لمشروع تقنية المعلومات والموافقة عليها والاحتفاظ بها للأغراض المرجعية المستقبلية بما في ذلك على سبيل المثال لا الحصر ما يلي:
أ. ميثاق المشروع؛
ب. تحليل المتطلبات وتدفق المعلومات التجارية وتدفق المعلومات التقنية؛
ج. تحليل الجدوى وكذلك تحليل التكاليف والفوائد؛ و
د. خطة المشروع التفصيلية.
6. يجب إنشاء لجنة توجيهية لمشروع تقنية المعلومات تضم ممثلين من الفرق التجارية والفنية ذات الصلة للإشراف على الخطة والتقدم المحرز والمخاطر المرتبطة بمشاريع تقنية المعلومات.
7. يجب تقييم جميع مشاريع تقنية المعلومات لمعرفة المخاطر التي قد تؤثر على نطاق المشاريع وجدولها الزمني وجودتها. يجب تخفيف أي مخاطر محددة ومراقبتها طوال دورة حياة المشروع.
8. يجب الإبلاغ عن أي مخاطر كبيرة مرتبطة بمشروع تقنية المعلومات إلى اللجنة التوجيهية لمشروع تقنية المعلومات وإلى الإدارة العليا أو مجلس إدارة المؤسسة المالية في الوقت المناسب.
9. يجب مراجعة جميع مخرجات المشروع بواسطة وظيفة مستقلة لضمان الجودة أو شخص مستقل يتم تزويده بمثل هذه المسؤولية قبل بدء المشروع في بيئة الإنتاج.
10. يجب التخطيط لمراجعات ما بعد التنفيذ وتنفيذها لتحديد ما إذا كانت مشاريع تقنية المعلومات قد حققت الفوائد المتوقعة واستوفت متطلبات العمل/المستخدمين وامتثلت لدليل إدارة مشاريع تقنية المعلومات.
11. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" بأي مشاريع كبرى لتحويل تقنية المعلومات، مثل تنفيذ النظام الأساسي، بعد الحصول على موافقة الإدارة العليا.
12. يجب أن يشارك الأمن السيبراني خلال المراحل المختلفة من دورة حياة إدارة مشروع تقنية المعلومات بما يتماشى مع اعتبارات التحكم المنصوص عليها في الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
11.4.3 ضمان الجودة
المبدأ
يجب تحديد عملية ضمان الجودة والموافقة عليها والإبلاغ عنها وتنفيذها للتأكد بشكل مستقل من جودة التغييرات أو التطوير في أصول المعلومات بما يتماشى مع متطلبات العمل/المستخدم قبل نقلها إلى بيئة الإنتاج.
متطلبات الرقابة
1. ينبغي تحديد عملية ضمان الجودة والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2. يجب مراقبة عملية ضمان الجودة وتقييمها بشكل دوري.
3. يجب أن تتناول عملية ضمان الجودة ما يلي، على سبيل المثال لا الحصر:
أ. أدوار ومسؤوليات واضحة للموظفين الذين يقومون بأنشطة ضمان الجودة؛
ب. الحد الأدنى من متطلبات الجودة التي تحددها المؤسسات المالية بما في ذلك الأعمال وأي متطلبات تنظيمية أخرى معمول بها؛ و
ج. عملية تحديد السجلات المتعلقة بالجودة وصيانتها وسحبها.
4. يجب أن يكون لوظيفة/إدارة ضمان الجودة وجود وتقارير مستقلة مع سلطة تقديم تقييم موضوعي.
5. يجب تقييم جميع التغييرات أو التطوير في نظام المعلومات من قبل فريق ضمان الجودة قبل إطلاقه في بيئة الإنتاج.
6. يجب لوظيفة ضمان الجودة تقديم تقرير بالنتائج التي تمت مراجعتها إلى أصحاب المصلحة المعنيين داخل المؤسسات المالية والبدء في التحسينات حيثما كان ذلك مناسبًا.
الملاحق
الملحق أ - كيفية طلب تحديث الدليل
يبين الرسم التوضيحي الوارد أدناه خطوات عملية طلب تحديث الدليل.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أولاً الموافقة على الطلب من قبل الرئيس التنفيذي للمعلومات قبل تقديمه إلى اللجنة التوجيهية لتقنية المعلومات.
- يجب أن تتم الموافقة على الطلب من قبل اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية.
- يجب إرسال الطلب رسميًا كتابيًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عن طريق الرئيس التنفيذي للمؤسسة المالية أو المدير الإداري.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم الطلب وإبلاغ المؤسسة المالية.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.
الملحق ب - نموذج طلب تحديث الدليل
طلب تحديث الدليل التنظيمي لحوكمة تقنية المعلومات
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية بالبنك المركزي.
وسينظر البنك المركزي في الطلبات المقدمة من المؤسسات المالية لتحديث الدليل التنظيمي لحوكمة تقنية المعلومات الخاص به بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
قسم الدليل*:
الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:
المقترح*:
الموافقات
1. اعتماد الرئيس التنفيذي للمعلومات بالمؤسسة المالية*
التاريخ*
2. اعتماد اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية*
منصب المعتمد*
التاريخ*
3 . قرار البنك المركزي
موافقة البنك المركزي السعودي
التاريخ*
* تشير إلى الحقول الإلزامية
الملحق ج - كيفية طلب الإعفاء من الدليل
يبين الرسم التوضيحي الوارد أدناه عملية طلب الإعفاء من الدليل.
- وصف تفصيلي حول أسباب عدم تمكن المؤسسة المالية من الوفاء بإجراء التحكم المطلوب.
- بيان تفاصيل الضوابط البديلة المتاحة أو المقترحة.
- يجب أولاً الموافقة على طلب الإعفاء من قبل الرئيس التنفيذي للمعلومات قبل تقديمه إلى اللجنة التوجيهية لتقنية المعلومات.
- يجب أن تتم الموافقة على طلب الإعفاء من قبل أعضاء اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية.
- يجب أن يتم توقيع طلب الإعفاء من قبل مدير تقنية المعلومات ومالك (الشركة) ذي الصلة.
- يجب أن يتم إصدار طلب الإعفاء كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو المدير العام.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم طلب الإعفاء وإبلاغ المؤسسة المالية بذلك.
يظل الدليل الحالي قابلاً للتطبيق أثناء تقييم الإعفاء المطلوب ومعالجته، حتى لحظة منح الإعفاء.
الملحق د - نموذج طلب الأعفاء من الدليل
طلب الإعفاء من الدليل التنظيمي لحوكمة تقنية المعلومات الخاص بالبنك المركزي
تقديم إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية
سينظر البنك المركزي في طلبات الإعفاء المقدمة من المؤسسات المالية من الدليل التنظيمي لحوكمة تقنية المعلومات الخاص به بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
مراقبة الدليل*:
وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:
وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:
الموافقات
1. موافقة مدير تقنية المعلومات في المؤسسة المالية
التاريخ*
2. اعتماد اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية*
منصب المعتمد*
التاريخ*
3. قرار البنك المركزي
موافقة البنك المركزي
التاريخ*
* تشير إلى الحقول الإلزامية
** صلاحية هذا الإعفاء سنة واحدة. تقع على عاتق المؤسسات المالية مسؤولية ضمان تجديد هذا الإعفاء.
الملحق هـ - قائمة المصطلحات
المدة الوصف التحكم في الوصول
وسائل التأكد من أن الوصول إلى الأصول مصرح به ومقيد بناءً على متطلبات العمل والأمن.
مهندسو التطبيقات
يحدد مهندسو التطبيقات التغييرات اللازمة بمجموعة التطبيقات عبر النظام البيئي. فهم يطورون ويديرون معايير خاصة بالتطبيقات مثل تصميم واجهة المستخدم، والعولمة، وخدمات الويب، وواجهات برمجة تطبيقات البوابة، و XML، والمحتوى. ويقدمون توصيات التصميم بناءً على إستراتيجية منظمة التطوير طويلة المدى ويطورون التطبيقات على مستوى المؤسسة وحلول التكامل المخصصة بما في ذلك التحسينات الرئيسية والواجهات والوظائف والميزات.
إدارة الأصول
العملية المنهجية لنشر الأصول وتشغيلها وصيانتها وتحديثها والتخلص منها بطريقة آمنة وفعالة من حيث التكلفة
مالك الأصل
يشير مصطلح "مالك الأصول" إلى الفرد أو المؤسسة الذي لديه مسؤولية إدارية معتمدة للتحكم في إنتاج وتطوير وصيانة واستخدام أصول المعلومات.
مصفوفة التفويض
مصفوفة تحدد الحقوق والأذونات الخاصة بدور محدد يحتاج إلى معلومات. وتسرد المصفوفة كل مستخدم، ومهام العملية التجارية التي يقوم بها، والأنظمة المتأثرة بها.
التدقيق
المراجعة والفحص المستقل للسجلات والأنشطة لتقييم فعالية ضوابط حوكمة تقنية المعلومات وضمان الامتثال للسياسات المعمول بها والإجراءات التشغيلية والمتطلبات القياسية والقانونية والتنظيمية ذات الصلة.
المصادقة
التحقق من هوية المستخدم أو العملية أو الجهاز، وغالباً ما يكون ذلك شرطاً أساسياً للسماح بالوصول إلى الموارد في النظام.
النسخة الاحتياطية
الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.
تطبيقات إدارة الأعمال
أي برنامج أو مجموعة من البرامج الحاسوبية التي يستخدمها مستخدمو الأعمال لأداء وظائف الأعمال المختلفة.
المعالجة الدفعية
المعالجة الدفعية هي معالجة المعاملات في مجموعة أو دفعة بدون تفاعل بشري أو بالحد الأدنى من التفاعل البشري.
عنصر التكوين (CI)
مكوّن بنية تحتية - أو عنصر، مثل طلب التغيير، مرتبط ببنية تحتية - يخضع (أو سيخضع) لسيطرة دارة التكوين
إدارة التغيير
التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
الرئيس التنفيذي للمعلومات
مسؤول تنفيذي رفيع المستوى يُشار إليه على أنه الرئيس التنفيذي للمعلومات أو كبير مسؤولي التقنية (10) / رئيس تقنية المعلومات أو صاحب المصلحة المعني الذي يكون مسؤولاً عن دعم تقنية المعلومات ومواءمة استراتيجيات تقنية المعلومات والأعمال، وتخطيط وتوفير الموارد وإدارة تقديم خدمات تقنية المعلومات والمعلومات ونشر الموارد البشرية المرتبطة بها.
التصنيف
تحديد مستوى الحساسية للبيانات والمعلومات التي ينتج عنها ضوابط أمنية لكل مستوى من مستويات التصنيف. يتم تعيين مستويات حساسية البيانات والمعلومات وفقًا لفئات محددة مسبقًا حيث يتم إنشاء البيانات والمعلومات أو تعديلها أو تحسينها أو تخزينها أو نقلها. ومستوى التصنيف هو مؤشر على قيمة أو أهمية البيانات والمعلومات الخاصة بالمؤسسة.
رئيس العمليات (COO)
مسؤول تنفيذي رفيع المستوى مسؤول عن التشغيل اليومي للمؤسسة.
البنى التحتية الحيوية لتقنية المعلومات
تشير إلى أصول المعلومات (أي المرافق والأنظمة والشبكات والعمليات والمشغلين الرئيسيين الذين يقومون بتشغيلها ومعالجتها)، والتي قد يؤدي فقدانها أو تعرضها للاختراقات الأمنية إلى تأثير سلبي كبير على توافر الخدمات الأساسية أو تكاملها أو تقديمها، بما في ذلك الخدمات التي قد تؤدي إلى خسائر جسيمة في الممتلكات، إلى جانب ملاحظة الآثار الاقتصادية و/أو الاجتماعية الكبيرة.
الضوابط التعويضية
ضوابط إدارية و/أو تشغيلية و/أو فنية (أي إجراءات وقائية أو تدابير مضادة) تستخدمها منظمة بدلاً من الضوابط الموصى بها في خطوط الأساس المنخفضة أو المتوسطة أو العالية التي توفر حماية مكافئة أو قابلة للمقارنة لنظام المعلومات.
التعبئة في الحاويات
وحدة البرمجيات التي تحزم التعليمات البرمجية وجميع تبعياتها.
إخفاء البيانات
تقنية محوسبة لحجب عرض المعلومات الحساسة أو معلومات تحديد الهوية الشخصية.
مسؤول قاعدة البيانات
مسؤول قاعدة البيانات، المعروف في كثير من الأحيان في اللغة الإنجليزية بالاختصار DBA، وهو دور عادةً ما يكون ضمن قسم تقنية المعلومات، وهو مسؤول عن إنشاء قاعدة بيانات المؤسسة وصيانتها والنسخ الاحتياطية والاستعلام عنها وضبطها وتعيين حقوق المستخدم وأمنها.
التعافي من الكوارث
البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.
الهيكلية المؤسسية
وصف التصميم الجوهري الأساسي لمكونات نظام العمل، أو لعنصر واحد من عناصر نظام العمل (مثل التقنية)، والعلاقات فيما بينها، والطريقة التي تدعم بها أهداف المؤسسة.
دراسة الجدوى
مرحلة من مراحل منهجية دورة حياة تطوير النظام (SDLC) التي تبحث في جدوى وكفاية الموارد اللازمة لتطوير أو اقتناء حل نظام ما لتلبية حاجة المستخدم.
موثقة رسميا
الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
فترة التجميد
على سبيل المثال أيام إيداع الرواتب وأيام العطلات الرسمية أو الوطنية.
مراقب الأجهزة الافتراضية
يسمح مراقب الأجهزة الافتراضية لحاسوب مضيف واحد بدعم العديد من الآلات الافتراضية الضيفة (VMs) من خلال مشاركة موارده افتراضياً، مثل الذاكرة والمعالجة.
حادثة
حدث يعرض أو يحتمل أن يعرض سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
إدارة الحوادث
مراقبة وكشف الأحداث على نظم المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
أصول المعلومات
جزء من المعلومات المخزنة بأي شكل من الأشكال، والتي تعتبر "ذات قيمة" للمؤسسة.
الاعتمادات المتبادلة
مجموعة التفاعل مع اعتماد أصول المعلومات على بعضها البعض من أجل تقديم مجموعة من الأعمال أو المهام.
إدارة التغيير والإصدار في مجال تقنية المعلومات
نهج شامل واستباقي لإدارة الانتقال من الحالة التنظيمية الحالية إلى الحالة التنظيمية المرغوبة، مع التركيز بشكل خاص على العناصر البشرية أو "غير الملموسة" الحاسمة للتغيير
مرافق تقنية المعلومات
البيئة المادية التي توجد فيها البنية التحتية لتقنية المعلومات.
مخاطر تقنية المعلومات
مخاطر الأعمال المرتبطة باستخدام تقنية المعلومات وملكيتها وتشغيلها ومشاركتها والتأثير عليها واعتمادها داخل المؤسسة.
اللجنة التوجيهية لتقنية المعلومات
لجنة على مستوى الإدارة التنفيذية تساعد في تنفيذ استراتيجية تقنية المعلومات وتشرف على الإدارة اليومية لتقديم خدمات تقنية المعلومات ومشاريع تقنية المعلومات، وتركز على جوانب التنفيذ.
مؤشر الأداء الرئيسي (KPI)
مؤشرات الأداء الرئيسية نوع من قياس الأداء الذي يقيم نجاح منظمة أو نشاط معين تشارك فيه لتحقيق أهداف وغايات معينة.
مؤشر المخاطر الرئيسية (KRI)
مقياس يستخدم للإشارة إلى احتمالية تجاوز نشاط أو مؤسسة ما لمدى تقبلها للمخاطر المحددة. وتستخدم المؤسسات مؤشرات المخاطر الرئيسية لتعطيها إشارة مبكرة لزيادة التعرض للمخاطر في المجالات الوظيفية المختلفة للمؤسسة.
احتمالية
عامل مرجح يعتمد على تحليل احتمالية قدرة تهديد معين على استغلال ثغرة أمنية معينة.
المؤسسة المالية
المؤسسات المالية التابعة للبنك المركزي.
الحاجة إلى المعرفة
تقييد البيانات، والتي تعتبر حساسة ما لم يكن لدى الشخص حاجة محددة لمعرفتها؛ لواجبات العمل الرسمية.
نظام معد مسبقًا
البرامج الموجودة بالفعل والمتاحة من مصادر تجارية.
التعهيد
الحصول على السلع أو الخدمات عن طريق التعاقد مع مورد أو مقدم خدمة.
حزمة تحديث إصلاح
تحديث لنظام التشغيل، أو التطبيق، أو أي برنامج آخر تم إصداره خصيصًا لتصحيح مشكلات معينة في البرنامج.
إدارة حزم التحديثات والإصلاحات
الإعلان عن تنقيحات نظام التشغيل والأكواد البرمجية، وتحديدها، ونشرها، وتثبيتها، والتحقق منها بطريقة منتظمة.
التعافي
إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.
نقطة التعافي المستهدفة
النقطة الزمنية التي يجب استعادة البيانات إليها بعد التعطل. ويتم تحديد نقطة التعافي المستهدفة على أساس فقدان البيانات المقبول في حالة تعطل العمليات. فهو يشير إلى أقرب نقطة زمنية مقبولة لاستعادة البيانات. وتحدد نقطة التعافي المستهدفة بشكل فعال مقدار فقدان البيانات المسموح به في حالة التعطل.
وقت التعافي المستهدف
مقدار الوقت المسموح به لاستعادة وظيفة العمل أو المورد بعد وقوع الكارثة.
اختبار الانحدار
اختبار برنامج تم اختباره مسبقاً بعد التعديل للتأكد من عدم إدخال أو اكتشاف عيوب في مناطق غير متغيرة من البرنامج، نتيجة للتغييرات التي تم إجراؤها.
المخاطر المتبقية
المخاطر المتبقية بعد قيام الإدارة بتنفيذ الاستجابة للمخاطر.
الاحتفاظ
طول الفترة الزمنية التي يجب الاحتفاظ فيها بالمعلومات أو البيانات أو سجلات الأحداث أو النسخ الاحتياطية، بغض النظر عن الشكل (أي الورقي والإلكتروني).
المخاطرة
مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث.
سجل المخاطر
سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تحمل المخاطر
التباين المقبول بين الأداء وتحقيق الأهداف. راجع أيضًا "الرغبة في المخاطرة".
معالجة المخاطر
عملية تعديل المخاطر التي يمكن أن تتضمن تجنب المخاطر من خلال اتخاذ قرار بعدم البدء أو الاستمرار في النشاط الذي يؤدي إلى المخاطرة؛ أو المخاطرة أو زيادة المخاطرة من أجل متابعة فرصة ما؛ أو إزالة مصدر المخاطرة؛ أو تغيير الاحتمالية؛ أو تغيير العواقب؛ أو مشاركة المخاطرة مع طرف أو أطراف أخرى؛ أو الاحتفاظ بالمخاطرة بقرار مستنير.
يُشار أحيانًا إلى علاجات المخاطر التي تتعامل مع العواقب السلبية باسم "تخفيف المخاطر" و"القضاء على المخاطر" و"منع المخاطر" و"تقليل المخاطر". يمكن أن تؤدي معالجات المخاطر إلى خلق مخاطر جديدة أو تعديل المخاطر الحالية.
تحليل السبب الجذري
نهج خاص بالأنظمة قائم على المبادئ لتحديد الأسباب الأساسية المرتبطة بمجموعة معينة من المخاطر.
مخطط مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ
يوضح من هو المسؤول والخاضع للمساءلة والمستشار والمطلع ضمن الدليل التنظيمي.
اختبار الأمان
عملية تهدف إلى ضمان اشتمال الأنظمة والتطبيقات المعدلة أو الجديدة على ضوابط أمنية وحماية مناسبة وعدم إدخال أي ثغرات أو نقاط ضعف أمنية قد تعرض الأنظمة أو التطبيقات الأخرى للخطر أو إساءة استخدام النظام أو التطبيق أو معلوماته، والحفاظ على الوظائف على النحو المنشود.
التصميم حسب الأمان
منهجية لتطوير الأنظمة والبرمجيات وتصميم الشبكات تسعى إلى جعل الأنظمة والبرمجيات والشبكات خالية من نقاط الضعف/الثغرات في الأمن السيبراني ومحصّنة ضد الهجمات الإلكترونية قدر الإمكان من خلال تدابير مثل: الاختبار المستمر، وضمانات المصادقة والالتزام بأفضل ممارسات البرمجة والتصميم.
الفصل بين الواجبات
المبدأ الأساسي الذي يهدف إلى تقليل الأخطاء والاحتيال عند معالجة مهام محددة. يتم تحقيق ذلك من خلال وجود العديد من الأشخاص ذوي الامتيازات المختلفة المطلوبة لإكمال المهمة.
اتفاقية مستوى الخدمة (SLA)
تحدد المسؤوليات المعينة لمقدم الخدمة وتضع توقعات العميل.
اختبار التحمل
نوع من اختبارات الأداء التي يتم إجراؤها لتقييم نظام أو مكوّن في حدود أعباء العمل المتوقعة أو المحددة أو خارجها، أو مع انخفاض توافر الموارد مثل الوصول إلى الذاكرة أو الخوادم.
اقتناء النظام
الإجراءات الموضوعة لشراء برمجيات التطبيق، أو الترقية، بما في ذلك تقييم الاستقرار المالي للمورد وسجله وموارده ومراجعه من العملاء الحاليين
إدارة تكوين النظام
التحكم في التغييرات التي تطرأ على مجموعة من عناصر التكوين خلال دورة حياة النظام.
الطرف الخارجي
أي منظمة تعمل كطرف في علاقة تعاقدية لتوفير السلع أو الخدمات (وهذا يشمل الموردين ومقدمي الخدمات).
تهديد
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد من خلال نظام معلومات عن طريق الوصول غير المصرح به أو التدمير أو الإفصاح أو تعديل المعلومات و/أو الحرمان من الخدمة.
اختبار الوحدة
أسلوب اختبار يستخدم لاختبار منطق البرنامج داخل برنامج أو وحدة نمطية معينة.
اختبار قبول المستخدم (UAT)
الاعتماد على حالات الاستخدام أو الإجراءات الخاصة بكيفية تصميم النظام للأداء والتأكد من أن الشخص الذي يتبع الإجراء يحصل على النتيجة المرجوة.
الثغرة الأمنية
ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد.
المالك
فرد أو مجموعة تمتلك أو تحوز الحقوق والمسؤوليات الخاصة بمؤسسة أو كيان أو أصل.
مكافحة الاحتيال
دليل مكافحة الإحتيال المالي
الرقم: 44021528 التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16 الحالة:نافذ انطلاقاً من دور البنك المركزي الإشرافي والرقابي، وحرصاً منه على تعزيز حماية القطاع المصرفي والمتعاملين معه من التعرض لعمليات الاحتيال المالي والأساليب الاحتيالية، واستناداً الى الصلاحيات المنوطة به بموجب نظامه الصادر بالمرسوم الملكي رقم (م/36) وتاريخ 1442/4/11هـ، والأنظمة الأخرى ذات العلاقة.
مرافق الإصدار المحدث لدليل مكافحة الاحتيال المالي (Counter Fraud Framework)، والذي يهدف إلى تحسين مستوى الممارسات في مكافحة الاحتيال وذلك من خلال تطبيق مجموعة من الضوابط التي تساهم في رفع مستوى النضج لمكافحة الاحتيال بشكل استباقي وأكثر فاعلية للحد من مخاطر الاحتيال، ويتعين على البنوك والمصارف العاملة في المملكة الالتزام بما ورد فيه وفق الإجراءات الأتية:- عمل تقييم دقيق للوضع الحالي لإجراءات مكافحة الاحتيال مقارنةً بما ورد في دليل مكافحة الاحتيال المالي (Gap Assessment)؛ لتحديد مواطن الضعف في البنك/ المصرف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ(Maturity Level) ، وتزويد البنك المركزي بتقارير شهرية حيالها اعتباراً من تاريخ 30 نوفمبر 2022م.
- وضع خطة عمل (Roadmap)؛ لتحقيق درجة النضج الثالث كحد أدنى للضوابط الواردة في دليل مكافحة الاحتيال خلال (9) أشهر من تاريخه، بعد تقييم الوضع الحالي في بيئة البنك/ المصرف بشكل دقيق وتزويد البنك المركزي بها في موعد أقصاه تاريخ 30 نوفمبر 2022م.
- استيفاء موافقة مجلس إدارة البنك/ المصرف على خطة العمل (Roadmap) وسبل الدعم
اللازمة لإنفاذها. - يتعين على البنك/ المصرف الالتزام التام بمتطلبات دليل مكافحة الاحتيال المالي في موعد أقصاه تاريخ 29 يونيو 2023م.
- إعداد تقرير سنوي مفصل من إدارة المراجعة الداخلية - ولها الاستعانة ببيوت الخبرة - يوضح مدى الالتزام بمتطلبات دليل مكافحة الاحتيال المالي ابتداءً من نهاية الربع الرابع من عام
2023م. - يتم تزويد البنك المركزي بخطة العمل المشار إليها في البند (2)، وكذلك التقارير المشار في البند (1)و (5) إلى البريد الإلكتروني: CRC.compliance@SAMA.GOV.sa
- يحلّ دليل مكافحة الاحتيال المالي المرافق محلّ دليل مكافحة الاحتيال المالي الصادر بموجب التعميم رقم (41071315) وتاريخ 1441/12/27هـ ، وذلك ابتداءً من تاريخ 29 يونيو 2023م.
للإحاطة، والعمل بموجبه اعتباراً من تاريخه.
1. مقدمة
1.1. مقدمة إلى الدليل
أدى التقدم التقني إلى تغييرات سريعة في القطاع المالي. ومع السماح للعملاء بالوصول الفوري إلى المنتجات والخدمات، أدى هذا التحول الرقمي إلى زيادة تعرضهم للاحتيال. وبعد مرحلة الحوادث الصغيرة التي تؤثر على الأفراد، أصبحنا نشهد هجمات احتيال واسعة النطاق عبر الإنترنت نظمتها مجموعات مُنظمة دولية. تعرّض هذه الهجمات العملاء لتهديدات أكثر تعقيدًا من أي وقت مضى، ومن الضروري أن تحمي المؤسسات المالية الأصول بشكل صحيح والتخفيف من حدة مخاطر استغلال العملاء. لا يتسبب الاحتيال في ضرر عاطفي وخسائر مالية للعملاء فحسب، بل يمكن أن يضر أيضًا بسمعة المؤسسات وسلامتها المالية، مما يقلل الثقة في القطاع المالي بشكل عام في المملكة العربية السعودية.
يدرك القطاع المالي معدل تطور مخاطر الاحتيال وأهمية الضوابط للحيلولة دون الاحتيال المشتبه فيه وكشفه والاستجابة له. إن تقديم نهج فعال لإدارة مخاطر الاحتيال سيساعد المملكة العربية السعودية على تحقيق رؤية 2030 التي تهدف إلى بناء بيئة أعمال مستقرة ومزدهرة ومتنوعة مع حماية أفراد المجتمع وجعل المملكة وجهة غير جذابة للمحتالين.
وضع البنك المركزي السعودي* دليلاً لمكافحة الاحتيال المالي ("الدليل") لتمكين المؤسسات التي تخضع للوائح التنظيمية ("المؤسسات المالية") من تحديد المخاطر المتعلقة بالاحتيال ومعالجتها بشكل فعال. فيما يلي أهداف هذا الدليل:
1. إعداد نهج مشترك لمعالجة مخاطر الاحتيال داخل المؤسسات المالية.
2. تحقيق مستوى مناسب من النضج لضوابط الاحتيال داخل المؤسسات المالية.
3. ضمان إدارة مخاطر الاحتيال بشكل صحيح في جميع المؤسسات المالية.
سيتم استخدام الدليل لإجراء تقييم دوري لمستوى النضج ومراجعة فعالية ضوابط مكافحة الاحتيال في المؤسسات المالية. يعتمد هذا الدليل على متطلبات البنك المركزي ومعايير الاحتيال في القطاع.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
2.1. تعريف الاحتيال
يتم تعريف الاحتيال على أنه أي فعل مقصود يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر.
لدعم تعريف الاحتيال، ينبغي على المؤسسات المالية أن تحيط علمًا بالقائمة غير الشاملة لأنواع الاحتيال المُدرجة في الملحق.
3.1. النطاق
يحدد الدليل المبادئ ومتطلبات الرقابة لبدء وتنفيذ وحفظ ومراقبة وتحسين ضوابط مكافحة الاحتيال داخل المؤسسات المالية التي تخضع لرقابة البنك المركزي. تشمل المبادئ ومتطلبات الرقابة منع الاحتيال واكتشافه والاستجابة له، بالإضافة إلى حوكمة برنامج مكافحة الاحتيال في المؤسسة. ويجب تنفيذ الدليل بالتزامن مع أطر البنك المركزي الأخرى، ولا سيما الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لأمن المعلومات")، الذي يجب الرجوع إليه لمعرفة أي متطلبات محددة تتعلق بالأمن السيبراني.
4.1. نطاق التطبيق
ينطبق الدليل على جميع المؤسسات المالية العاملة في المملكة العربية السعودية بناءً على تقدير البنك المركزي. يتولى البنك المركزي إخطار المؤسسات المالية التي يجب عليها لتنفيذ الدليل والامتثال له.
5.1. المسؤوليات
تم تفويض الدليل من البنك المركزي، وسيتم تعميمه على المؤسسات المالية لتنفيذه. البنك المركزي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية. تتولى المؤسسات المالية مسؤولية تنفيذ الدليل والامتثال له.
6.1. التفسير
يتولى البنك المركزي، باعتباره مالك الدليل، وحدة المسؤولية عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.
7.1. الجمهور المستهدف
هذا الدليل مُعد للإدارة العليا والإدارة التنفيذية وأصحاب الأعمال وأعضاء إدارة مكافحة الاحتيال المالي في المؤسسة المالية والمسؤولين عن تخطيط وتحديد وتنفيذ ومراجعة ضوابط مكافحة الاحتيال المالي عبر خطوط الدفاع الثلاثة.
8.1. المراجعة والتحديثات والحفظ
يراجع البنك المركزي الدليل دوريًا لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل في التصدي لتهديدات ومخاطر الاحتيال الناشئة. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
إذا رأت إحدى المؤسسات المالية أن تحديث الدليل مطلوب، فيجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. يراجع البنك المركزي التحديث المطلوب، وإذا أمكن، سيتم تعديل الدليل في الإصدار المُحدَث التالي. ستظل المؤسسة المالية مسؤولة عن الالتزام بالدليل حتى تحديث الإصدار.
يُرجى الرجوع إلى "الملحق ج - كيفية طلب تحديث الدليل» للتعرف على عملية طلب تحديث بالدليل.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. عند إجراء أي تغييرات، سيتم إيقاف الإصدار السابق، وسيتم نشر الإصدار الجديد وتعميمه في جميع المؤسسات المالية. ولتيسير الأمور على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل.
9.1. دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني هيكل الدليل، ويقدم تعليمات عن كيفية تطبيق الدليل. تعرض الفصول من الثالث إلى السادس الدليل الفعلي، بما في ذلك مجالات مكافحة الاحتيال المالي والمجالات الفرعية والمبادئ ومتطلبات الرقابة.
2. هيكل الدليل والميزات
1.2. الهيكل
يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
• الحوكمة
• المنع
• الكشف
• الاستجابة
ينطوي كل مجال على عدة مجالات فرعية. يركز المجال الفرعي على موضوع محدد يتعلق بمكافحة الاحتيال المالي. عندما يكون من المفيد تحديد متطلبات الرقابة بشكل أكبر، يتم تقسيم المجال الفرعي إلى قطاعات فرعية. لكل مجال فرعي (أو قسم فرعي)، ينص الدليل على المبدأ ومتطلبات الرقابة ذات الصلة.
• يلخص المبدأ المجموعة الرئيسية من ضوابط مكافحة الاحتيال المالي المتعلقة بالمجال الفرعي (أو القسم الفرعي).
• تعكس متطلبات المراقبة ضوابط مكافحة الاحتيال المقررة التي يجب أن تأخذها المؤسسات المالية في الاعتبار عند تصميم وتنفيذ برنامج مكافحة الاحتيال.
ويجب تنفيذ الدليل في ضوء مبادئ المجالات الفرعية إلى جانب متطلبات المراقبة المرتبطة بها.
تم ترقيم متطلبات المراقبة بشكل فريد وفقًا لنظام الترقيم التالي في جميع أنحاء الدليل:
الشكل 1 - نظام ترقيم متطلبات المراقبة
يوضح الشكل أدناه الهيكل العام للدليل، ويشير إلى مجالات دليل مكافحة الاحتيال المالي والمجالات الفرعية والقطاعات الفرعية، بما في ذلك الإشارة إلى القسم المعمول به من الدليل.
الشكل 2 - هيكل دليل مكافحة الاحتيال المالي
للمساعدة في اتساق التنفيذ في المؤسسات المالية، يحتوي الملحق (أ) على قائمة بمصطلحات محددة. عند استخدام مصطلح محدد في المجالات والمجالات الفرعية في الفصول من الثالث إلى السادس، يتم إدراجه بنص مائل (على سبيل المثال، الاحتيال الداخلي، وتقييم مخاطر الاحتيال، والمراقبة الاستخبارية، وما إلى ذلك).
2.2. استناد الدليل إلى المبادئ
يستند الدليل إلى المبادئ، وتدعمه مجموعة محددة من متطلبات المراقبة، مما يتيح للمؤسسات المالية تبنّي نهج قائم على المخاطر ضمن الأنظمة المعمول بها في المملكة العربية السعودية. هذا يعني أنها تنص على المبادئ الرئيسية لمكافحة الاحتيال المالي التي يتعين على المؤسسات المالية ترسيخها وتحقيقها. وتوفر قائمة متطلبات الرقابة المقررة توجيهات إضافية، ويجب على المؤسسات المالية أن تضعها بعين الاعتبار. عند عدم التمكن من تنفيذ متطلبات رقابة معينة، يجب على المؤسسة المالية اتباع عملية استثناء تتضمن النظر في ضوابط تعويضية متناسبة مع العمليات التجارية، ومتابعة قبول المخاطر الداخلية، وأخيرًا طلب إعفاء رسمي من البنك المركزي. ستكون الموافقة على طلبات الإعفاء وفقًا لتقدير البنك المركزي. الرجاء الإطلاع على الملحق (هـ) للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل.
3.2. التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الدليل في المؤسسات المالية لتقييم ذاتي دوري. تجري المؤسسات المالية التقييم الذاتي بناءً على استبيان. ستتم مراجعة التقييمات الذاتية وتدقيقها من جانب البنك المركزي لتحديد مستوى الامتثال للدليل ومستوى نضج مكافحة الاحتيال بالمؤسسات المالية. الرجاء الإطلاع على "4.2 نموذج نضج مكافحة الاحتيال" لمزيد من التفاصيل حول نموذج نضج مكافحة الاحتيال.
4.2. نموذج نضج مكافحة الاحتيال
سيتم قياس مستوى نضج مكافحة الاحتيال المالي بمساعدة نموذج نضج مُحدد مسبقًا. يميز نموذج نضج مكافحة الاحتيال المالي بين 6 مستويات للنضج (0، 1، 2، 3، 4 و5)، التي تم تلخيصها في الجدول أدناه. من أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسات المالية أولاً أن تستوفي جميع معايير مستويات النضج السابقة.
مستوى النضج التعريف والمعايير إيضاح 0
غير موجود
لا توجد وثائق.
لا يوجد وعي أو اهتمام ببعض ضوابط مكافحة الاحتيال المالي.
لا توجد ضوابط لمكافحة الاحتيال. قد لا يكون هناك وعي بمجال المخاطر المحدد، أو لا توجد خطط حالية لتنفيذ ضوابط مكافحة الاحتيال المالي هذه.
1
مخصصة
لم يتم تحديد ضوابط مكافحة الاحتيال المالي أو تم تعريفها جزئيًا.
يتم تنفيذ ضوابط مكافحة الاحتيال المالي بطريقة غير متسقة.
لم يتم تعريف ضوابط مكافحة الاحتيال المالي بشكل كامل.
يختلف تصميم وتنفيذ مراقبة مكافحة الاحتيال المالي حسب الإدارة أو الجهة المسؤولة.
قد يؤدي تصميم مراقبة مكافحة الاحتيال المالي إلى التخفيف جزئيًا فقط من حدة المخاطر المحددة، وقد يكون التنفيذ غير متسق.
2
متكررة، ولكن غير رسمية
يعتمد تنفيذ ضوابط مكافحة الاحتيال المالي على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.
توجد ضوابط متكررة لمكافحة الاحتيال المالي. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.
هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3
مُنظم وذو طابع رسمي
يتم تحديد ضوابط مكافحة الاحتيال المالي والموافقة عليها وتنفيذها بطريقة مُنظمة ورسمية.
تم تنفيذ ودمج قدرة نظام كشف الاحتيال المالي.
يمكن إثبات تنفيذ ضوابط مكافحة الاحتيال المالي.
يتم إعداد تقارير لمتابعة أداء الرقابة على مكافحة الاحتيال المالي.
يتم وضع سياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
يتم تنفيذ ضوابط مكافحة الاحتيال المالي ودمجها.
توجد قدرة نظام كشف الاحتيال لمنع الاحتيال واكتشافه بشكل استباقي عبر جميع المنتجات والقنوات.
تتم مراقبة الامتثال لوثائق مكافحة الاحتيال المالي (أي السياسات والمعايير والإجراءات)، ويُفضل أن يكون ذلك باستخدام أداة الحوكمة والمخاطر والامتثال (GRC).
يتم تحديد مؤشرات الأداء الرئيسية ورفع تقارير عنها لمراقبة تنفيذ الضوابط.
4
مُدار وقابل للقياس
يتم تقييم فعالية ضوابط مكافحة الاحتيال المالي دوريًا وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
يجري قياس فعالية ضوابط مكافحة الاحتيال المالي المُطبقة وتقييمها دوريًا.
يتم استخدام مؤشرات المخاطر الرئيسية وتقارير التوجهات لرصد الوضع القائم وفق القدرة في تحمل المخاطر وإعطاء تحذير مبكر بشأن المشكلات الناشئة المحتملة.
يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط مكافحة الاحتيال المالي.
5
متكيّف
تخضع ضوابط مكافحة الاحتيال المالي لخطة تحسين مستمر.
يركز برنامج مكافحة الاحتيال المالي على مستوى المؤسسة على الامتثال المستمر والفعالية وتحسين ضوابط مكافحة الاحتيال المالي.
يتم دمج ضوابط مكافحة الاحتيال المالي مع إطار وممارسات إدارة المخاطر على مستوى المؤسسة.
الجدول 1 - نموذج نضج مكافحة الاحتيال المالي
الهدف من الدليل هو إعداد نهج فعال لمعالجة وإدارة مخاطر مكافحة الاحتيال داخل القطاع المالي. ولتحقيق مستوى نضج مناسب لمكافحة الاحتيال المالي، يجب على المؤسسات المالية أن تعمل على الأقل وفق مستوى النضج الثالث أو مستوى أعلى كما هو موضح أدناه.1.4.2. مستوى النضج الثالث
لتحقيق المستوى الثالث من النضج، يجب على المؤسسة المالية أن تحدد وتوافق وتنفذ ضوابط مكافحة الاحتيال المالي بما يتماشى مع متطلبات الرقابة في هذا الدليل. يتضمن ذلك تنفيذ قدرة نظام كشف الاحتيال لمنع الاحتيال وكشفه بشكل استباقي.
وبالإضافة إلى ذلك، يجب على المؤسسة المالية أن تراقب الامتثال لوثائق مكافحة الاحتيال. يجب أن تشير وثائق مكافحة الاحتيال المالي بوضوح إلى "لماذا" و"ماذا" و"كيف" يجب تنفيذ ضوابط مكافحة الاحتيال المالي. تتألف وثائق مكافحة الاحتيال المالي من سياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
الشكل 3 - هرم توثيق مكافحة الاحتيال المالي
يجب إقرار سياسة مكافحة الاحتيال وتفويضها من مجلس إدارة المؤسسة المالية، وتوضيح "سبب" أهمية مكافحة الاحتيال وحماية العملاء بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على النطاق العام لمكافحة الاحتيال المالي
يجب إعداد البرنامج والمسؤوليات الرئيسية لمكافحة الاحتيال المالي و"ماهية" مبادئ وأهداف مكافحة الاحتيال المالي.
واستنادًا إلى سياسة مكافحة الاحتيال المالي، يجب إعداد معايير مكافحة الاحتيال المالي. تحدد هذه المعايير "ماهية" ضوابط مكافحة الاحتيال المالي التي يجب تنفيذها، مثل العناية الواجبة والمصادقة والوقاية والكشف وما إلى ذلك. تدعم المعايير وتعزز سياسة مكافحة الاحتيال المالي، ويجب اعتبارها خطوط أساس مكافحة الاحتيال المالي.
وترد تفاصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية خطوة بخطوة في إجراءات مكافحة الاحتيال المالي. تصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة مكافحة الاحتيال المالي في بيئة العمل.
يجب مراقبة التقدم المُحرز الفعلي في التنفيذ والأداء والامتثال لضوابط مكافحة الاحتيال المالي دوريًا باستخدام مؤشرات الأداء الرئيسية.
2.4.2. مستوى النضج الرابع
لتحقيق مستوى النضج الرابع، يجب على المؤسسات المالية قياس وتقييم فعالية ضوابط مكافحة الاحتيال المالي المُنفذة دوريًا لتحقيق مستوى النضج الثالث. ولقياس وتقييم ما إذا كانت ضوابط مكافحة الاحتيال المالي فعالة، يجب تحديد مؤشرات المخاطر الرئيسية(KRIs). يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية لرصد الزيادة المحتملة في التعرض لمخاطر الاحتيال والسماح باتخاذ إجراءات لتخفيف حدة المخاطر قبل حدوث زيادة في حالات الاحتيال.
3.4.2 مستوى النضج الخامس
يركز مستوى النضج الخامس على التحسين المستمر لضوابط مكافحة الاحتيال المالي. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة مكافحة الاحتيال المالي وتحديد التحسينات الهيكلية. يجب دمج ضوابط مكافحة الاحتيال المالي مع ممارسات إدارة المخاطر على مستوى المؤسسة ودعمها بمراقبة آلية في الوقت الحقيقي لتقييم فعالية الرقابة. يجب أن يكون أصحاب العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط مكافحة الاحتيال المالي، وقياس فعالية ضوابط مكافحة الاحتيال المالي، ودمج ضوابط مكافحة الاحتيال المالي ضمن إطار إدارة المخاطر على مستوى المؤسسة.
3. الحوكمة
يتحمل مجلس الإدارة والقيادة التنفيذية للمؤسسة المالية المسؤولية النهائية عن وضع برنامج لمكافحة الاحتيال المالي؛ وإتاحة القيادة والتوجيه؛ وإبراز ثقافة مكافحة الاحتيال المالي داخل المؤسسة وخارجها. يجب أن يتضمن البرنامج استراتيجية مكافحة الاحتيال المالي لتحديد الأهداف التنظيمية، وسياسة مكافحة الاحتيال المالي التي تحدد المسؤوليات والمتطلبات الإلزامية، وهيكل الحوكمة مع التقارير الداخلية والخارجية المرتبطة بها التي تتماشى مع حجم المؤسسة ومستوى التعقيد بها لرصد إدارة مخاطر الاحتيال والإشراف عليها.
الشكل 4 - مجال الحوكمة1.3. هيكل الحوكمة
المبدأ
يجب على المؤسسات المالية إعداد واستدامة هيكل حوكمة مكافحة الاحتيال المالي الخاص بالإدارة العليا مع تولي مسؤولية الإشراف والرقابة على جميع جوانب برنامج مكافحة الاحتيال المالي التنظيمي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إنشاء وضمان عمل لجنة حوكمة مخصصة لمكافحة الاحتيال (CFGC).
ب. يجب أن يرأس أحد أعضاء اللجنة التنفيذية لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC) (على سبيل المثال، الرئيس التنفيذي (CEO) أو رئيس إدارة المخاطر (CRO) أو ما يعادله).
ج. يجب تمثيل المناصب التالية كحد أدنى في لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC):
1. رئيس مكافحة الاحتيال/المدير الأول المسؤول عن برنامج مكافحة الاحتيال المالي.
2. رئيس إدارة المخاطر.
3. الرئيس التنفيذي للعمليات.
4. رئيس الأعمال الرقمية.
5. رؤساء إدارات الأعمال ذات الصلة أو أصحاب المنتجات (على سبيل المثال، مدير عام البيع لشؤون الأفراد / الشركات).
6. كبار المديرين من جميع الإدارات المشاركة في إدارة مخاطر الاحتيال (على سبيل المثال، إدارة المخاطر التشغيلية، والأمن السيبراني، وإدارة مكافحة الاحتيال المالي، والتحليلات، والامتثال).
7. يجب أن يحضر التدقيق الداخلي بصفة "مراقب".
د. يجب إعداد ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال والموافقة عليه، وأن يعكس الميثاق ما يلي:
1. أهداف اللجنة.
2. سلطة اللجنة ومساءلتها.
3. الأدوار والمسؤوليات.
4. الحد الأدنى لعدد ودور المشاركين في الاجتماع المطلوب لاستيفاء النصاب القانوني.
5. وتيرة عقد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
6. إجراء التصعيد لقضايا أو حوادث الاحتيال إلى مستوى مجلس الإدارة.
7. توثيق وحفظ محاضر الاجتماعات وقراراتها.
هـ. يجب أن تكون لجنة الحوكمة المختصة بمكافحة الاحتيال مسؤولة على الأقل عن:
1. الموافقة والدعم والتواصل والمراقبة:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. إطار عمل إدارة مخاطر الاحتيال الذي يجب أن يتضمن كحد أدنى ما يلي:
i. عملية المراقبة الاستخباراتية.
ii. تقييم مخاطر الاحتيال.
iii. قابلية مخاطر الاحتيال
iv. مؤشرات المخاطر الرئيسية للاحتيال.
د. معلومات الإدارة
2. توفير القيادة والتوجيه والإشراف على برنامج مكافحة الاحتيال المالي في المؤسسة المالية.
و. يجب على المؤسسات المالية تعيين رئيس مؤهل وذي خبرة مناسبة لمكافحة الاحتيال المالي ليكون مسؤولاً عن برنامج مكافحة الاحتيال المالي على مستوى الإدارة العليا (راجع متطلبات الرقابة 5.3.هـ).
ز. يجب على المؤسسات المالية إعداد عملية موثقة ومعتمدة لميزانية مكافحة الاحتيال المالي وتحديد أولويات الإنفاق التي يجب أن تتماشى مع الأهداف الإستراتيجية لمكافحة الاحتيال.
ح. يجب مراقبة الميزانية العامة لمكافحة الاحتيال المالي ومراجعتها دوريًا وتعديلها وفقًا لذلك من لجنة الحوكمة المختصة بمكافحة الاحتيال لتلبية احتياجات مكافحة الاحتيال المالي واحتياجات العمل.
ط. يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي إدارة مكافحة الاحتيال المالي باستخدام مصفوفة تعيين المسؤولية، المعروفة أيضًا باسم "RACI". يجب أن تحدد مصفوفة "RACI" من المسؤول والخاضع للمساءلة عن عمليات وضوابط مكافحة الاحتيال المالي، وكذلك من يجب استشارته أو إعلامه.
2.3. استراتيجية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على استراتيجية مكافحة الاحتيال المالي التي تتماشى مع الأهداف الاستراتيجية العامة للمؤسسة، حيث تحدد مبادرات مكافحة الاحتيال المالي القصيرة والطويلة الأجل وتعميم خطة عمل لتحقيقها.
متطلبات الرقابة
أ. يجب تحديد استراتيجية مكافحة الاحتيال والموافقة عليها وتنفيذها وحفظها.
ب. يجب ترجمة المبادرات الإستراتيجية لمكافحة الاحتيال المالي إلى خارطة طريق محددة، بما في ذلك على سبيل المثال لا الحصر، النظر في ما يلي:
1. الجداول الزمنية لتنفيذ المبادرات.
2. المالك المسؤول عن تنفيذ المبادرة.
3. كيف ستعمل المبادرات على سد الفجوات بين البيئات الحالية والمستهدفة.
4. دمج المبادرات في استراتيجية متماسكة لمكافحة الاحتيال المالي تتوافق مع استراتيجية العمل.
5. أوجه الاعتماد والتداخلات والتآزر والتأثيرات بين المشاريع وتحديد الأولويات.
ج. يجب أن تتماشى استراتيجية مكافحة الاحتيال المالي مع:
1. الأهداف الإستراتيجية العامة للأعمال للمؤسسة المالية.
2. الاستراتيجيات الأوسع نطاقًا التي قد تؤثر على مخاطر الاحتيال وضوابطه، على سبيل المثال، الأمن السيبراني وتكنولوجيا المعلومات والجرائم المالية (مكافحة غسيل الأموال (AML) والعناية الواجبة تجاه العملاء(CDD)).
3. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية وأي أنظمة أخرى معمول بها في المملكة العربية السعودية.
د. يجب أن تعالج استراتيجية مكافحة الاحتيال المالي على الأقل ما يلي:
1. النضج الحالي للمؤسسة المالية، بما في ذلك أهم التحديات المتعلقة بالاحتيال التي تواجهها.
2. متطلبات الأشخاص والعمليات والتكنولوجيا لتنفيذ الاستراتيجية وإدارة الاحتيال بشكل استباقي في حدود القدرة على تحمل المخاطر.
3. الاتجاه المستقبلي لبرنامج مكافحة الاحتيال المالي في المؤسسة المالية، والمبادرات المطلوبة للانتقال بنجاح إلى الحالة المستقبلية المرغوبة.
4. التغييرات المعروفة في مشهد الاحتيال (على سبيل المثال، زيادة التحول الرقمي في منتجات الخدمات المالية، أو التهديدات الخارجية الجديدة، أو اللوائح التنظيمية الجديدة، أو التوجيهات).
هـ. يجب على المؤسسة المالية مراجعة استراتيجية مكافحة الاحتيال المالي الخاصة بها وتحديثها عند الحاجة على أساس دوري أو كلما كان هناك تغيير جوهري:
1. داخليًا (على سبيل المثال، نموذج عمل المؤسسة المالية، أو البيئة التشغيلية، أو استراتيجية العمل).
2. خارجيًا (على سبيل المثال، مشهد الاحتيال أو الأنظمة واللوائح المعمول بها).
3.3. سياسة وإجراءات مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد سياسة مكافحة الاحتيال المالي والموافقة عليها وإبلاغها وتنفيذها لتحديد الالتزام والأهداف الخاصة بمكافحة الاحتيال المالي وتوفير المتطلبات لأصحاب المصلحة المعنيين؛ والإجراءات المرتبطة بها لتحديد المهام والأنشطة بالتفصيل التي يجب أن يقوم بها الموظفون.
متطلبات الرقابة
أ. ينبغي تحديد سياسة وإجراءات مكافحة الاحتيال المالي والموافقة عليها ونشرها وتنفيذها.
ب. يجب أن تراعي سياسات وإجراءات مكافحة الاحتيال المالي المخاطر المحددة في تقييم مخاطر الاحتيال، ومشهد الاحتيال المتطور ونموذج عمل المؤسسة المالية وعملياتها، ويجب مراجعتها دوريًا لضمان إدارة المخاطر المحددة بشكل فعال.
ج. يجب أن تكون سياسة مكافحة الاحتيال المالي متاحة بسهولة لجميع الموظفين والمتعاقدين والأطراف الخارجية ذات الصلة، بما في ذلك جميع الفروع والشركات التابعة المملوكة للأغلبية.
د. يجب أن تتطلب سياسة مكافحة الاحتيال المالي من المؤسسات المالية اتباع جميع أنظمة ولوائح مكافحة الاحتيال المالي المعمول بها، ومتطلبات مشغلي الدفع.
هـ. يجب أن تتضمن سياسة مكافحة الاحتيال المالي كحد أدنى ما يلي:
1. مالك محدد يتمتع بالأقدمية والدور المناسبين (على سبيل المثال، رئيس قسم مكافحة الاحتيال المالي).
2. الأهداف العامة لمكافحة الاحتيال في المؤسسة المالية ونطاقها.
3. بيان نية مجلس الإدارة الداعم لأهداف مكافحة الاحتيال.
4. المتطلبات الأساسية لتوفير نهج متسق ومتناسب وفعال لإدارة مخاطر الاحتيال.
5. مسؤوليات أصحاب المصلحة الرئيسيين والأطراف الخارجية ذات الصلة الذين يؤدون دورًا في إدارة الاحتيال أو منعه أو كشفه أو الاستجابة له عبر خطوط الدفاع الثلاثة (على سبيل المثال، الإدارة العليا، والامتثال، والتدقيق الداخلي).
6. متطلبات التصعيد والإبلاغ في حالة انتهاك السياسة.
و. يجب أن تحدد إجراءات مكافحة الاحتيال المالي المهام والأنشطة بالتفصيل التي يجب أن يؤديها الموظفون في بيئة التشغيل لعملية مكافحة الاحتيال المالي وعمليات المراقبة (على سبيل المثال، تقييم مخاطر المنتج، ومعالجة التنبيهات، والتحقيقات).
ز. بالنسبة للمؤسسات المالية التي يقع مقرها الرئيسي في المملكة العربية السعودية، يجب أن تنطبق سياسة مكافحة الاحتيال المالي على جميع الفروع الدولية والشركات التابعة. إذا كان قانون ولاية قضائية أخرى يحظر الامتثال، فيجب توثيق الإعفاء والموافقة عليه.
4.3. الأدوار والمسؤوليات
المبدأ
يجب على المؤسسات المالية تحديد أدوار ومسؤوليات مكافحة الاحتيال المالي والموافقة عليها وتنفيذها عبر خطوط الدفاع الثلاثة، ويجب أن يكون لدى جميع أصحاب المصلحة المعنيين مستوى مناسب من المعرفة لاستيعاب التوقعات المتعلقة بدورهم.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ أدوار ومسؤوليات مكافحة الاحتيال المالي لجميع أصحاب المصلحة المعنيين والتأكد من تعميمها واستيعابها.
ب. يجب أن يكون مجلس الإدارة مسؤولاً عن:
1. إعداد برنامج مكافحة الاحتيال المالي.
2. تحديد الأسلوب من الإدارة العليا لإرساء ثقافة مكافحة الاحتيال المالي من خلال مدونة قواعد السلوك (أو ما يعادلها).
3. ضمان وضع إطار عمل قوي لإدارة مخاطر الاحتيال والحفاظ عليه لإدارة مخاطر الاحتيال.
4. التأكد من تخصيص ميزانية كافية لمكافحة الاحتيال المالي واستخدامها ومراقبتها.
5. الموافقة على ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC).
6. المصادقة (بعد الاعتماد من لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC)):
أ. أدوار ومسؤوليات الإدارة العليا المسؤولة عن برنامج مكافحة الاحتيال المالي.
ب. استراتيجية مكافحة الاحتيال المالي.
ج. سياسة مكافحة الاحتيال المالي.
د. مخرجات تقييم مخاطر الاحتيال.
هـ. قابلية مخاطر الاحتيال.
ج. يجب أن يكون رئيس مكافحة الاحتيال المالي مسؤولاً عن ما يلي:
1. وضع وتنفيذ وحفظ:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. تقييم مخاطر الاحتيال.
د. قابلية مخاطر الاحتيال.
هـ. مؤشرات المخاطر الرئيسية للاحتيال.
2. تعزيز واستدامة الأسلوب المتبع من الإدارة العليا لتقديم ثقافة الامتثال لمدونة قواعد السلوك.
3. وضع برنامج مكافحة الاحتيال القائم على المخاطر الذي يتناول الأشخاص والعمليات والتكنولوجيا، بما في ذلك الأنظمة المناسبة لمنع الاحتيال وكشفه والاستجابة له.
4. ضمان وضع معايير وإجراءات مفصلة لمكافحة الاحتيال المالي والموافقة عليها وتنفيذها.
5. ضمان استمرارية فعالية نظم وضوابط مكافحة الاحتيال المالي في ضوء التهديدات المتطورة التي تم تحديدها من خلال المراقبة الاستخبارية.
6. إبلاغ لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) دوريًا بآخر التطورات بشأن المبادرات الإستراتيجية لمكافحة الاحتيال وحالة التنفيذ.
7. إنشاء إدارة لمكافحة الاحتيال المالي تتمتع بالموارد الكافية وتتحمل المسؤولية عن المتطلبات الموضحة في المجال الفرعي 5.3.
8. الجمع والإشراف على تقارير المعلومات الإدارية على مستوى المؤسسة التي يتم إعدادها فيما يتعلق بمخاطر وأداء مكافحة الاحتيال المالي.
9. إخطار البنك المركزي فورًا بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة بما يتماشى مع متطلبات الإخطار الإشرافي المدرجة في المجال الفرعي 7.3.
10. اتخاذ الإجراء اللازم عند تلقي إخطار بأي حوادث احتيال كبيرة أو تحقيقات أو انتهاكات لسياسة أو معايير مكافحة الاحتيال، وتقديم التقارير إلى مجلس الإدارة أو لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) حسب الاقتضاء.
11. تحديد برنامج التوعية المستمرة بالاحتيال في المؤسسة بالتنسيق مع الإدارات المعنية (مثل العمليات والاتصالات والموارد البشرية).
د. كحد أدنى، يجب أن تكون الإدارة العليا مسؤولة عن:
1. ضمان امتثال الموظفين لمدونة قواعد السلوك وسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. ضمان حصول الموظفين على تدريب يتماشى مع متطلبات برنامج التدريب والتوعية لمكافحة الاحتيال.
3. إعداد ومراجعة تقارير المعلومات الإدارية المنتظمة لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
4. إخطار لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) عندما يكون التصعيد مطلوبًا (على سبيل المثال، النتائج الداخلية السلبية المتعلقة بضوابط مكافحة الاحتيال المالي أو تجاوز قابلية مخاطر الاحتيال).
5. إدارة خسائر الاحتيال من خلال العمليات والضوابط في نطاق المساءلة الخاص ضمن قابلية مخاطر الاحتيال المتفق عليها في المؤسسة.
6. الحفاظ على النظم والضوابط المناسبة لمنع الاحتيال وكشفه والاستجابة له.
هـ. يجب أن يكون المدير (المديرون) المسؤولون عن عمليات الاحتيال (على سبيل المثال، إدارة تنبيهات الاحتيال والاستجابة لحالات الاحتيال المُبلغ عنها والتعامل مع حالات الاحتيال) مسؤولين عن:
1. التأكد أن جميع عمليات الاحتيال المشتبه بها، بما في ذلك تنبيهات النظام والإحالات اليدوية للموظفين والعملاء يتم تحديد أولوياتها بشكل مناسب والتحقيق فيها وتسجيل النتيجة بشكل مناسب.
2. اتخاذ خطوات فورية لمنع المزيد من المخاطر واتخاذ الإجراء /الإجراءات التصحيحية عند تحديد عملية احتيال.
3. إخطار الأطراف الخارجية المعنية (مثل سلطات إنفاذ القانون).
و. يجب أن تكون إدارة المراجعة الداخلية مسؤولة عن:
1. تحديد مجموعة شاملة من المجالات القابلة للمراجعة فيما يتعلق بمخاطر الاحتيال.
2. تقييم مخاطر الاحتيال وتحديد أولوياتها أثناء التخطيط للمراجعة.
3. إجراء عمليات مراجعة الاحتيال وإعداد تقارير موضوعية مستقلة.
ز. يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن:
1. الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي المعمول بها.
2. الإبلاغ عن أي شبهات احتيال في الوقت المناسب.
ح. يجب على المؤسسات المالية التأكد من أن حالات الاحتيال الداخلي المشتبه فيها أو الفعلية يحقق فيها أفراد ذوو أقدمية مناسبة (على سبيل المثال، إذا كان الاحتيال يتعلق بمدير، فيجب أن يتولى فرد ذو أقدمية أعلى مسؤولية الإشراف على التحقيق والموافقة عليه)؛ والاستقلالية (على سبيل المثال، يجب على إدارة المراجعة الداخلية أو إدارة رقابية مماثلة إجراء التحقيق مع المحققين للحيلولة دون حدوث أي تضارب محتمل في المصالح).
ط يجب على المؤسسات المالية إجراء مراجعة دورية لأدوار ومسؤوليات الموظفين ذوي المسؤوليات المتعلقة بالاحتيال للتأكد من أنها تعكس أفضل الممارسات، وتتناول أنماط الاحتيال الشائعة وتتوافق مع مشهد الاحتيال ونموذج العمل.
ي. يجب على المؤسسات وضع خطة تعاقب رسمية لمكافحة الاحتيال المالي بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على الموظفين الرئيسيين في مكافحة الاحتيال المالي الذين يضطلعون بأدوار ومسؤوليات مهمة للغاية.
5.3. إدارة مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال، وتشمل مهام الإدارة ما يلي بحد أدنى:
1. المراقبة والإشراف على الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. تصميم وتنفيذ ضوابط مكافحة الاحتيال المالي المطلوبة على مستوى المؤسسة التي تغطي أبعاد الموظفين والعمليات والتكنولوجيا.
3. إجراء تقييم متعمق لمخاطر الاحتيال على مستوى المؤسسة.
4. تحليل بيانات مكافحة الاحتيال والمعلومات الاستخبارية لتحديد توجهات الاحتيال بشكل استباقي.
5. مشاركة المعلومات الاستخبارية ومكافحة الاحتيال المالي مع البنك المركزي والمؤسسات الأخرى في القطاع.
6. ضبط أنظمة مكافحة الاحتيال المالي بشكل استباقي وتفاعلي.
7. مراقبة عمليات مكافحة الاحتيال المالي.
8. إجراء تحقيقات شاملة في الاحتيال وتحديد الأسباب الجذرية لحوادث الاحتيال وتوثيق الإجراءات التصحيحية.
9. مراقبة تدابير قابلية مخاطر الاحتيال والانخراط النشط في فريق عمل إدارة الأزمات إذا تم انتهاك الحد المحدد مع التأثير على العملاء (انظر متطلبات الرقابة 3.1.4.د).
10. ضمان مواءمة قدرات مكافحة الاحتيال المالي مع الأمن السيبراني والجرائم المالية.
11. تقديم تقارير دورية إلى الإدارة العليا تغطي على الأقل ما يلي:
أ. نتائج تقييم مخاطر الاحتيال.
ب. أنواع الاحتيال المُحددة.
ج. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
د. خسائر الاحتيال التشغيلي والاحتيال على للعملاء.
ب. يجب على المؤسسات المالية تقييم التسلسل الإداري الأنسب لإدارة مكافحة الاحتيال المالي استنادًا إلى الهيكل التنظيمي؛ وسلطة اتخاذ القرار؛ واطلاع اللجنة التنفيذية/المجلس؛ ومساءلة الإدارة العليا ومسؤولياتها.
ج. يجب على المؤسسات المالية تقييم متطلبات التوظيف في إدارة مكافحة الاحتيال المالي على أساس دوري واستجابة للتغييرات الجوهرية في الأعمال والمشهد التشغيلي والاحتيالي أو تقييم مخاطر الاحتيال في المؤسسات المالية.
د. يجب أن يراعي تقييم متطلبات التوظيف كلاً من القدرة الاستيعابية (عدد الموارد) والقدرات (المهارات والخبرة) المطلوبة.
هـ. يجب أن يتمتع رئيس إدارة مكافحة الاحتيال المالي بالمهارات والخبرة، التي تتألف مما يلي على الأقل:
1. فهم ومعرفة معمقة بمخاطر الاحتيال في القطاع المالي.
2. معرفة راسخة بتهديدات الاحتيال الرقمي والأنواع الشائعة، إلى جانب التوجهات الناشئة التي تؤثر على مؤسسات القطاع المالي وعملائها.
3. تصميم وتنفيذ التكنولوجيا والضوابط بناءً على حالات الاستخدام لتخفيف حدة مخاطر الاحتيال والتهديدات.
4. استخدام البيانات والتحليلات لمنع الاحتيال بشكل استباقي وحماية العملاء.
و. يجب أن تضم إدارة مكافحة الاحتيال المالي على الأقل موظفين ذوي مهارات وخبرات في:
1. مخاطر الاحتيال والأنواع المتعلقة بالمنتجات التي تقدمها المؤسسة (على سبيل المثال، الخبرة في الاحتيال في الدفع، وعمليات الاحتيال، والهندسة الاجتماعية).
2. مخاطر الاحتيال والأنواع المتعلقة بقنوات التسليم التي تقدمها المؤسسة، ولا سيما القنوات الرقمية مثل الإنترنت والهاتف المحمول.
3. تحليلات بيانات مكافحة الاحتيال المالي لتمكين تحليل كميات كبيرة من المعاملات والتحديد الاستباقي لتهديدات الاحتيال.
4. تكنولوجيا مكافحة الاحتيال لضمان عمل الأنظمة بفعالية مع السيناريوهات ذات الصلة بالمخاطر التي تواجهها المؤسسة المالية.
5. تحليل المعلومات الاستخبارية والبيانات لتحديد توجهات الاحتيال والسبب الجذري لحوادث الاحتيال.
6. تحقيقات الاحتيال، بدءًا من الإخطار الأوليّ بحادث محتمل وحتى الانتهاء والإجراءات التصحيحية.
7. إعداد التقارير وإصدار المعلومات الإدارية لمراقبة أداء الاحتيال التنظيمي.
ز. يجب على المؤسسات المالية النظر في تصعيد حالات الاحتيال للأدوار في إدارة مكافحة الاحتيال المالي.
ح. يجب على المؤسسات المالية وضع خطة تدريب وتوفير تدريب دوري لتطوير والحفاظ على كفاءة الموظفين في إدارة مكافحة الاحتيال المالي.
ط. عند استخدام خدمات أو موارد تابعة لجهات خارجية (على سبيل المثال، المتعاقدين أو الخدمات المُدارة) للوفاء بمسؤوليات إدارة مكافحة الاحتيال المالي، يجب على المؤسسات المالية التأكد من فحص الموارد ومراقبتها بشكل مناسب.
6.3. معلومات الإدارة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لتمكين الإدارة العليا من مراقبة مخاطر وأداء مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
ب. يجب إبلاغ معلومات إدارة الاحتيال إلى الإدارة العليا ولجنة الحوكمة المختصة بمكافحة الاحتيال على أساس دوري وعلى أساس مخصص حسب الاقتضاء (على سبيل المثال، إذا تم تحديد نوع جديد أو غير عادي).
ج. يجب على المؤسسات المالية تنسيق تجميع معلومات إدارة الاحتيال لضمان إمكانية الإبلاغ عن صورة شاملة لجميع عمليات الاحتيال التي تؤثر على المؤسسة أو عملائها.
د. يجب على المؤسسات المالية تحديد المعلومات الإدارية المناسبة لإبلاغ الإدارة العليا بشكل مناسب بمخاطر وأداء مكافحة الاحتيال المالي. كحد أدنى، يجب أن يشمل ذلك:
1. نتائج تقييم مخاطر الاحتيال.
2. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
3. حجم تنبيهات الاحتيال التي تم الإخطار بها بواسطة:
أ. العملاء
ب. الموظفين
ج. أنظمة الاحتيال
4. حجم وتوجهات حالات الاحتيال التي تم التعامل معها، مُقسمة حسب المنتج والنوع.
5. أنواع جديدة تم تحديدها.
6. قيمة الأخطاء الوشيكة أو عمليات الاحتيال المحتملة التي تم اكتشافها ومنعها.
7. قيمة حالة الاحتيال التي تم التعامل معها (القيمة الإجمالية لحالة الاحتيال، بما في ذلك الخسائر الفعلية والمحتملة).
8. خسائر الاحتيال، مُقسمة حسب المنتج ونوع الدفع (حيثما ينطبق ذلك) والنوع، بما في ذلك:
أ. خسائر العملاء
ب. الخسائر التشغيلية.
9. قيمة المبالغ المستردة للعملاء بعد الاحتيال.
7.3. الإخطارات الإشرافية
المبدأ
يجب على المؤسسات المالية إخطار البنك المركزي على الفور بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة للتخفيف من مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إخطار الإدارة العامة لمكافحة المخاطر الإلكترونية في البنك المركزي فورًا بما يلي:
1. أي تصنيف احتيالي جديد سواء أدى إلى خسارة مالية أم لا (على سبيل المثال، نوع الاحتيال الذي لم يتم ملاحظته مسبقًا أو اكتشاف محاولة احتيال جديدة).
2. عندما يرتكب شخص خارجي أو يحاول ارتكاب عملية احتيال كبيرة ضده.
3. عندما يرتكب أحد موظفي إحدى المؤسسات المالية عملية احتيال داخلية كبيرة ضد أحد عملائها، أو قد يكون مذنبًا بارتكاب جرم خطير فيما يتعلق بالصدق أو النزاهة فيما يتعلق بالالتزامات التنظيمية للمؤسسة.
4. عند الاشتباه في الاحتيال الأمني لنقطة النهاية للدفع بالجملة أو تحديده.
5. عند تحديد مخالفة كبيرة في السجلات المحاسبية للمؤسسة، والتي قد تكون مؤشرًا على الاحتيال المالي.
ب. عند تقييم ما إذا كان الاحتيال يعتبر كبيرًا بالنسبة للوفاء بمتطلبات الإخطار المذكورة أعلاه، يجب على المؤسسات المالية أن تراعي على الأقل ما يلي:
1. قيمة أي خسارة مالية أو خسارة مالية محتملة للمؤسسة أو عملائها (يجب أن تراعي القيمة حادث احتيال فردي أو إجمالي الخسائر الناجمة عن حوادث متصلة).
2. عدد العملاء المتأثرين.
3. الإضرار بسمعة المؤسسة والقطاع المالي الأوسع.
4. ما إذا كان قد تم انتهاك أي لائحة.
5. ما إذا كان الحادث يعكس نقاط ضعف في ضوابط مكافحة الاحتيال في المؤسسة.
6. إذا كان من المحتمل أن يؤثر الحادث على المؤسسات المالية الأخرى.
ج. يجب على المؤسسات المالية استخدام النموذج القياسي لإعداد التقارير في الملحق (ز) لإخطار البنك المركزي.
د. كحد أدنى، يجب على المؤسسات المالية أن تذكر مصدر الحادث؛ والأساليب المستخدمة؛ والأطراف ذات الصلة (الداخلية والخارجية)؛ والإجراءات التصحيحية؛ والخسائر، إن وجدت، في الإخطار الموجه إلى البنك المركزي. إذا لم تتوافر جميع المعلومات المطلوبة في وقت الإخطار، يجب عرض أي فجوات على البنك المركزي على الفور مع تقدم التحقيق.
8.3. تقنية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير وتنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي لإدارة مخاطر الاحتيال التي تتعرض لها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير أنظمة وتقنيات مكافحة الاحتيال المالي لمنع الاحتيال وكشفه والاستجابة له.
ب. يجب على المؤسسات المالية تنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي والتحقق من أنها تعمل على النحو المنشود.
ج. يجب أن تسترشد مخرجات تقييم مخاطر الاحتيال بالتقنية المطلوبة، ويجب أن تكون الأنظمة متناسبة مع مدى قدرة المؤسسة على تحمل المخاطر.
د. سواء تم الحصول على نظام الاحتيال من أحد الموردين أو تم تطويره داخليًا، يجب على المؤسسات المالية مراعاة المتطلبات التالية كحد أدنى:
1. تشارك إدارة مكافحة الاحتيال المالي في تصميم وتنفيذ النظام تحت إشراف لجنة الحوكمة المختصة بمكافحة الاحتيال.
2. توثيق الأساس المنطقي للسيناريوهات التي تم وضعها والحدود المُطبقة.
3. تصميم النظام والقواعد، أو يمكن تخصيصها لتتوافق مع المنتجات والخدمات ومخاطر الاحتيال بالمؤسسة.
4. يمكن تنفيذ القواعد الجديدة في الوقت المناسب لاستهداف الوقاية والكشف عن الأنواع الجديدة أو الناشئة التي تم تحديدها من خلال المراقبة الاستخبارية.
5. يقتصر الوعي بقواعد منع وكشف الاحتيال الداخلي المحتمل على مجموعة مقيدة وموثقة من الأدوار التي لا تشمل الموظفين أو الأطراف الخارجية المسؤولة عن تشغيل العمليات والضوابط التي تتم مراقبتها (على سبيل المثال، الفروع / الموظفين الذين يتعاملون مع العملاء أو فرق المدفوعات التشغيلية ).
6. يجب أن تتبع تغييرات التكوين مبادئ إدارة تغيير النظام ومتطلبات الرقابة في الدليل التنظيمي لحوكمة تقنية المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لحوكمة تقنية المعلومات").
7. يمكن للمؤسسة شرح وتوضيح تهديدات الاحتيال التي تم تصميم السيناريوهات لمراقبتها والتخفيف من حدتها.
8. عند استخدام التعلم الآلي أو الذكاء الاصطناعي، لا يجب أن يكون النظام "صندوقًا أسود"، ويجب أن يكون قابلاً للتدقيق (على سبيل المثال، يجب أن تتمتع المؤسسة بالقدرة على اختبار ما صُمِمت الخوارزميات للقيام به وما إذا تم تنفيذها بشكل صحيح).
9. تم وضع خطط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات بما يتماشى مع متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
9.3. المراجعة الداخلية لمكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية إجراء عمليات المراجعة وفقًا لمعايير المراجعة المقبولة عمومًا وإطار / إطارات البنك المركزي ذي الصلة للتحقق من تنفيذ تصميم مكافحة الاحتيال بشكل مناسب وتشغيله على النحو المنشود.
متطلبات الرقابة
أ. يجب على المؤسسات المالية ضمان إجراء عمليات مراجعة مكافحة الاحتيال المالي بشكل مستقل ووفقًا لمعايير المراجعة المقبولة عمومًا وأطر البنك المركزي ذات الصلة.
ب. يجب على المؤسسات المالية إعداد دورة مراجعة تحدد وتيرة عمليات مراجعة مكافحة الاحتيال المالي.
ج. يجب على المؤسسات المالية وضع خطة مراجعة رسمية لمكافحة الاحتيال المالي تتناول الموظفين والعمليات والمكونات التقنية.
د. يجب أن تتماشى وتيرة مراجعة مكافحة الاحتيال المالي مع مخرجات تقييم مخاطر الاحتيال، والنظر في مدى أهمية ومخاطر نظام مكافحة الاحتيال المالي أو الرقابة أو العملية.
هـ. يجب على إدارة المراجعة الداخلية في المؤسسات المالية إنجاز التحقق الدوري من صحة تنفيذ الإجراءات التصحيحية ذات الصلة بمكافحة الاحتيال المالي، بما في ذلك تلك الناتجة عن تعليمات البنك المركزي.
و. يجب على المؤسسات المالية التأكد من أن مدققي مكافحة الاحتيال المالي يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات وإجراءات وعمليات وضوابط مكافحة الاحتيال المالي المطبقة بشكل فعال.
ز. يجب أن تشمل تقارير مراجعة مكافحة الاحتيال المالي، على الأقل، ما يلي:
1. تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات مراجعة مكافحة الاحتيال المالي.
2. يتم توقيعها وتأريخها وتوزيعها بحسب الصيغة المحددة.
3. تقديمها إلى لجنة المراجعة على أساس دوري.
ح. يجب إعداد عملية متابعة لملاحظات المراجعة لتتبع ورصد ملاحظات المراجعة الخاصة بمكافحة الاحتيال المالي.
4. المنع
يشتمل البرنامج الفعال لمكافحة الاحتيال المالي على عمليات وضوابط لمنع الاحتيال لتسهيل تحديد التهديدات والتخفيف من حدة مخاطر حدوث الاحتيال. تعتبر هذه العمليات والضوابط استباقية، وتهدف إلى منع المحتال من التصرف قبل أن يتسبب في ضرر للمؤسسة أو عملائها.
الشكل 5 - مجال المنع
1.4 إدارة المخاطر
المبدأ
يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه، ويجب أن يتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
متطلبات الرقابة
أ. يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه.
ب. يجب قياس فعالية إطار إدارة مخاطر الاحتيال وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية، بما في ذلك على الأقل حجم وقيمة حالات الاحتيال.
ج. يجب مواءمة إطار إدارة مخاطر الاحتيال مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
د. يجب أن يتناول إطار إدارة مخاطر الاحتيال على الأقل ما يلي:
1. المراقبة الاستخباراتية.
2. تقييم مخاطر الاحتيال.
3. قابلية مخاطر الاحتيال.
4. مؤشرات المخاطر الرئيسية.
هـ. يجب أن تشمل أنشطة إدارة مخاطر الاحتيال، على سبيل المثال لا الحصر، أصحاب المصلحة التاليين:
1. أصحاب الأعمال والمستخدمين.
2. المخاطر التشغيلية.
3. إدارة مكافحة الاحتيال المالي.
4. إدارة الأمن السيبراني وإدارة تقنية المعلومات.
5. الموارد البشرية.
6. إدارة التحول الرقمي.
1.1.4 المراقبة الاستخباراتية
المبدأ
يجب على المؤسسات المالية الاعتماد على مجموعة متنوعة من مصادر البيانات الداخلية والخارجية لتحديد ومراقبة تهديدات الاحتيال الناشئة.
متطلبات الرقابة
أ. يجب تحديد عملية مراقبة استخبارات الاحتيال والموافقة عليها وتنفيذها.
ب. عند تحديد عملية المراقبة الاستخباراتية، يجب على المؤسسات المالية أن تراعي مبادئ تحليل التهديدات السيبرانية الصادرة عن البنك المركزي.
ج. يجب أن تخضع فعالية المراقبة الاستخباراتية للاحتيال لتقييم دوري لتقدير ما إذا كانت المصادر المُستخدمة شاملة وما إذا كانت المعلومات الاستخبارية المُجمعة تسهم في منع الاحتيال.
د. يجب أن تتضمن عملية المراقبة الاستخباراتية ما يلي:
1. مسح وجمع وتحليل وتقييم ونشر المعلومات حول التهديدات الحالية والناشئة.
2. تسجيل التفاصيل ذات الصلة بالتهديدات المحددة، مثل طريقة العمل والجهات الفاعلة والدوافع وأصل الهجمات (على سبيل المثال، مجموعة الجريمة المنظمة والولاية القضائية) ونوع التهديدات.
3. اتخاذ الإجراءات اللازمة لمواجهة التهديدات الحالية والناشئة.
4. تبادل المعلومات الاستخبارية ذات الصلة مع أصحاب المصلحة الداخليين والخارجيين (على سبيل المثال، إدارة الأمن السيبراني، إدارة العمليات التجارية أو البنك المركزي).
هـ. يجب أن تعتمد أنشطة المراقبة الاستخباراتية على مجموعة من مصادر المعلومات لإعداد فهم شامل لمشهد الاحتيال في المؤسسة المالية. كحد أدنى، يجب أن تشمل ما يلي:
1. تقارير المراجعة الداخلية ومخرجات التحقيق في الاحتيال وتحليل سيناريو الاحتيال الذي يغطي محاولات الاحتيال الفعلية لتحديد أساليب وتقنيات وإجراءات الاحتيال الشائعة.
2. أنواع الاحتيال الجديدة والناشئة التي تم تحديدها بواسطة أنظمة كشف الاحتيال أو محققي الاحتيال أو إدارة مكافحة الاحتيال المالي.
3. الرؤى من إدارات الدعم (مثل المراجعة الداخلية والامتثال وأحداث الأمن السيبراني وإدارة الحوادث).
4. مصادر خارجية موثوقة وذات صلة بشأن توجهات الاحتيال محليًا وعالميًا (على سبيل المثال، الوكالات الحكومية، ومنتديات وأحداث الاحتيال، وموردي أنظمة مكافحة الاحتيال المالي، والمعلومات مفتوحة المصدر، ومصادر الاشتراك).
و. يجب على المؤسسات المالية، إلى الحد الذي لا يحظره القانون أو الشروط التعاقدية، أن تتعاون في تبادل معلومات مكافحة الاحتيال المالي بما في ذلك أنواع الاحتيال الناشئة، ومعلومات تهديدات الاحتيال حول المجموعات التي قد ترتكب عمليات الاحتيال، وأساليب وتقنيات وإجراءات الاحتيال الشائعة وتوجهات السوق مع البنك المركزي والمؤسسات الأخرى في القطاع.
ز. يجب على المؤسسات المالية مشاركة معلومات تسجيل الدخول لحالات الاحتيال المؤكدة (على سبيل المثال، معرف الهاتف المحمول أو معرف الجهاز، عنوان بروتوكول الإنترنت) من خلال اللجنة القطاعية لمكافحة الاحتيال.
ح. يجب على المؤسسات المالية إجراء تحليل لمعلومات تسجيل الدخول التي تشاركها المؤسسات المالية الأخرى لتقييم مستوى التعرض لعملائها وتسجيل الإجراءات المكتملة في ورقة سجل التحليل التي قد تخضع لمراجعة مستقلة.
2.1.4 تقييم مخاطر الاحتيال
المبدأ
يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر.
متطلبات الرقابة
أ. يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال المالي.
ب. يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال.
ج. كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي:
1. تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها.
2. تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة.
3. اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها.
4. تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة.
5. وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق القدرة على تحمل المخاطر أو التي قد تؤدي إلى خرق اللوائح.
6. المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها.
د. يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي.
هـ. يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر.
و. يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ.
ز. عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي:
1. كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي).
2. مخرجات المراقبة الاستخباراتية وتقييمات التهديد.
3. حوادث الاحتيال وأحداث الخسارة.
4. نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال.
5. المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال.
6. مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال.
7. مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات.
8. مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة.
9. مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي.
10. مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها.
11. المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات.
ح. يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية.
ط. يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي.
ي. علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي:
1. تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة.
2. المتطلبات التنظيمية الجديدة.
3. المنتجات والخدمات الجديدة.
4. القنوات الجديدة للتسويق والمنصات الرقمية الجديدة.
5. عمليات الاستحواذ التجارية الجديدة.
6. بيع أو التصرف في أجزاء من أعمال المؤسسة المالية.
7. التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي).
8. الحصول على معلومات جديدة في المراقبة الاستخباراتية للاحتيال.
3.1.4 القدرة على تحمل المخاطر
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتطبيق قابلية مخاطر الاحتيال عند تصميم وتنفيذ أنظمة وضوابط مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب تحديد مدى استعداد المؤسسة المالية لقابلية مخاطر الاحتيال لتحديد مستوى مخاطر الاحتيال التي ترغب المؤسسة المالية في تحملها.
ب. يجب أن تستند قدرة المؤسسة المالية في قابلية مخاطر الاحتيال إلى نتائج تقييم مخاطر الاحتيال، وأن تتماشى مع القدرة العامة على تحمل المخاطر في المؤسسة.
ج. عند تحديد قابلية مخاطر الاحتيال، يجب على المؤسسات المالية وضع تدابير ذات عتبات وحدود مرتبطة بها تعالج التأثير على كل من:
1. المؤسسة المالية (على سبيل المثال، خسائر الاحتيال، والإضرار بالسمعة)؛
2. وعملائها (على سبيل المثال، خسائر العملاء، عدد ضحايا الاحتيال، الإزعاج).
د. في حالة انتهاك حد قابلية مخاطر الاحتيال مما يؤثر على العملاء، يجب على المؤسسة المالية التصعيد إلى الإدارة العليا والبدء في عملية إدارة الأزمات التي ينبغي أن:
1. إشراك الرئيس التنفيذي وكبار المسؤولين الآخرين في المؤسسة المالية.
2. اشتراط عقد اجتماعات أسبوعية على الأقل حتى يتم حل المشكلة ويعود الإجراء إلى مستوى مقبول.
هـ. يجب مراجعة قابلية مخاطر الاحتيال على أساس سنوي على الأقل واعتمادها رسميًا من قبل مجلس الإدارة.
و. يجب مراقبة قابلية مخاطر الاحتيال وتحديثها لإجراء تغييرات جوهرية على نموذج أعمال المؤسسة المالية.
4.1.4 مؤشرات المخاطر الرئيسية
المبدأ
يجب على المؤسسات المالية تحديد مؤشرات المخاطر الرئيسية والموافقة عليها ومراقبتها لقياس وتقييم الموقف وفق قابلية مخاطر الاحتيال المتفق عليها وتقديم إشارة مبكرة إلى زيادة التعرض لمخاطر الاحتيال.
متطلبات الرقابة
أ. يجب أن تستند مؤشرات المخاطر الرئيسية التي تحددها المؤسسة المالية إلى منهجية موثقة تتطلب ما يلي:
1. ترصد مؤشرات المخاطر الرئيسية التعرض للمخاطر المحددة في تقييم مخاطر الاحتيال.
2. تنظر مؤشرات المخاطر الرئيسية في المخاطر التي تتعرض لها المؤسسة (على سبيل المثال، خسائر الاحتيال، والتأثير على السمعة، والإدارة التشغيلية لتنبيهات الاحتيال) وعملائها (على سبيل المثال، خسائر العملاء).
3. تعتمد لجنة الحوكمة المختصة بمكافحة الاحتيال مؤشرات المخاطر الرئيسية، أو لجنة المخاطر الأوسع التي تدير برنامج مكافحة الاحتيال المالي بما يتماشى مع المتطلبات المدرجة في المجال الفرعي 1.3.
4. لكل مؤشر مخاطر رئيسي مالك معتمد يتحمل المسؤولية عن مراقبة المؤشر واتخاذ الإجراءات المبكرة إذا تجاوز التعرض للمخاطر قابلية مخاطر الاحتيال.
5. سيتم الإبلاغ بشكل دوري عن مؤشرات المخاطر الرئيسية إلى الإدارة العليا وأصحاب المصلحة المعنيين (على الأقل، كل ربع سنوي).
6. يجب مراجعة مؤشرات المخاطر الرئيسية وتحديثها على الأقل على أساس سنوي وبوتيرة أعلى استجابة للتغيرات المادية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ب. يجب أن تكون مؤشرات المخاطر الرئيسية تطلعية، وتقدم إشارة مبكرة لزيادة التعرض لمخاطر الاحتيال بدلاً من مجرد قياس حجم الاحتيال أو الخسائر (على سبيل المثال، الضوابط المصنفة على أنها غير فعالة في اختبار الرقابة؛ أو فشل الموظفين في إكمال التدريب الإلزامي على الاحتيال؛ أو تنبيهات الاحتيال التي لم تتم مراجعتها ضمن اتفاقيات مستوى الخدمة المحددة).
ج. عند إعداد مؤشرات المخاطر الرئيسية، يجب على المؤسسات المالية وضع الحدود التي تسمح لها بتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من أو عند أو أعلى من موضع القدرة على تحمل المخاطر المستهدف.
د. يجب على المؤسسات المالية التأكد من أن المقاييس المرتبطة بمؤشرات المخاطر الرئيسية كاملة ودقيقة، ويتم إعدادها في الوقت المناسب.
2.4 العناية الواجبة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ معايير لتقييم مخاطر الاحتيال المرتبطة بالموظفين والعملاء والأطراف الخارجية لمنع إنشاء علاقات خارج نطاق القدرة على تحمل مخاطر الاحتيال وإدارة مخاطر الاحتيال طوال مدة العلاقة.
متطلبات الرقابة
أ. يجب تحديد معايير العناية الواجبة وتعميمها وتنفيذها.
ب. يجب أن تتم الموافقة على معايير العناية الواجبة من جانب الأفراد ذوي المسؤولية المناسبة (على سبيل المثال، العناية الواجبة للموظفين في الموارد البشرية).
ج. يجب أن تراعي معايير العناية الواجبة الموظفين والعملاء والأطراف الخارجية.
د. يجب أن تتماشى معايير العناية الواجبة مع المخاطر المحددة في تقييم مخاطر الاحتيال.
هـ. يجب على المؤسسات المالية مراجعة وتحديث معايير العناية الواجبة على أساس دوري واستجابة للتغيرات المادية في مشهد الاحتيال، أو تقييم مخاطر الاحتيال في المؤسسة المالية، أو مجموعات العملاء التي تخدمها المؤسسة المالية، أو التغييرات في المنتجات أو الخدمات التي تقدمها.
و. يجب قياس مدى فعالية معايير العناية الواجبة الخاصة بالاحتيال وتقييمها بشكل دوري.
ز. يجب أن تشمل معايير العناية الواجبة ما يلي:
1. فحوصات ومتطلبات العناية الواجبة التي يجب إجراؤها لتقديم فهم مستنير لمخاطر الاحتيال.
2. عندما يجب إجراء العناية الواجبة.
3. الدور (الأدوار) الوظيفي المسؤول عن إجراء العناية الواجبة والموافقة عليها.
4. العلامات الحمراء أو العلامات التحذيرية التي قد تشير إلى زيادة خطر الاحتيال وتؤدي إلى ضرورة التصعيد أو استكمال عمليات التحقق الإضافية.
5. العلامات الحمراء أو العلامات التحذيرية التي تشير إلى أن الموظف أو العميل أو الطرف الخارجي خارج نطاق القدرة على تحمل المخاطر، ويجب رفض العلاقة أو إنهاؤها.
6. الخطوات الواجب اتخاذها لإنهاء العلاقات خارج نطاق القدرة على تحمل المخاطر.
1.2.4 العناية الواجبة للموظفين
المبدأ
يجب على المؤسسات المالية التأكد من إجراء فحوصات خلفية للموظفين، بما في ذلك المتعاقدين، لتقليل التعرض لمخاطر الاحتيال الداخلي والإضرار بالسمعة الناتج عن تصرفات موظفي المؤسسة المالية.
متطلبات الرقابة
أ. يجب أن تعكس إجراءات العناية الواجبة للموظفين مخاطر الاحتيال الداخلي الذي يؤثر على المؤسسة المالية.
ب. يجب أن تهدف العناية الواجبة للموظفين إلى تحديد هوية الموظف ونزاهته والتحقق من أوراق اعتماده، مما يمكّن المؤسسة المالية من تحديد ما إذا كان مناسبًا للمنصب.
ج. يجب أن تتكون العناية الواجبة للموظفين من التحقق والفحوصات الخلفية للموظف، بما في ذلك على سبيل المثال لا الحصر:
1. تأكيد الهوية.
2. فحص الخلفية الجنائية.
3. فحص تضارب المصالح.
4. التحقق من صحة المؤهلات المزعومة.
5. فحوصات التوظيف السابقة.
د. يجب أن تكون العناية الواجبة للموظفين:
1. يجب إجراؤها كجزء من عملية التوظيف.
2. يجب إعادة التقييم عندما ينتقل موظف حالي إلى دور جديد.
3. يتم إعادة تنفيذها بشكل دوري وفقًا لنهج قائم على المخاطر (على سبيل المثال، إعادة إجراء فحص السلوك الإجرامي أو الاحتيالي للتحقق من أن الموظفين ما زالوا مناسبين للمنصب).
هـ. يجب على المؤسسات المالية تقييم الأدوار التي تمثل خطرًا كبيرًا للاحتيال وتوثيق أي فحوصات معززة مطلوبة.
و. يجب الاحتفاظ بنتائج فحوصات العناية الواجبة للموظفين بما يتماشى مع سياسات إدارة سجلات المؤسسة المالية فيما يتعلق بالمعلومات الشخصية.
2.2.4 العناية الواجبة تجاه العملاء
المبدأ
يجب على المؤسسات المالية وضع ضوابط لتسجيل هويات العملاء والتحقق من صحتها لتقليل التعرض لخسائر الاحتيال الخارجي.
متطلبات الرقابة
أ. عند إنشاء علاقة جديدة مع العميل، يجب على المؤسسات المالية التأكد من هوية العميل والتحقق منها للتأكد بشكل معقول من عدم تعرضه لمخاطر الاحتيال.
ب. يجب أن تتماشى العناية الواجبة تجاه العملاء مع سياسات المؤسسة المالية بشأن مكافحة غسل الأموال ومكافحة تمويل الإرهاب.
ج. يجب إجراء العناية الواجبة تجاه العملاء كجزء من عملية الإلحاق وفي الأوقات المناسبة في العلاقة المستمرة مع العميل (على سبيل المثال، إضافة منتج ائتماني جديد).
د. يجب تعزيز العناية الواجبة تجاه العملاء من خلال فحوصات إضافية للعملاء ذوي المخاطر العالية أو استجابة لتهديد الاحتيال المتزايد (على سبيل المثال، في حالة الاشتباه في انتحال الشخصية أو كان هناك قلق بشأن صحة أو شرعية المستندات المقدمة لإثبات الهوية أو إثبات التاريخ المالي) .
هـ. عندما تبدأ علاقة مع العملاء عن بُعد (على سبيل المثال، عبر الإنترنت)، يجب على المؤسسات المالية تقييم مخاطر انتحال الشخصية وإنشاء حسابات وهمية، وتنفيذ الضوابط المناسبة للتخفيف من المخاطر، بما في ذلك على سبيل المثال لا الحصر:
1. التأكد من ربط رقم الهاتف أو الهوية الوطنية/الإقامة بتطبيق عميل واحد فقط. في حالة تحديد استثناء (على سبيل المثال، أحد أفراد الأسرة المُعالين)، يجب إجراء فحوصات العناية الواجبة الإضافية للتحقق من صحة التطبيق ويجب إعداد حالات استخدام المراقبة.
2. المصادقة على طلب فتح الحساب عبر البوابة الوطنية لتسجيل الدخول الموحد باستخدام المصادقة البيومترية (على سبيل المثال، التعرف على الوجه من جهة وطنية موثوقة).
3. التحقق من أن ملكية رقم الهاتف مسجلة لنفس المستخدم من خلال جهة موثوقة (أي مطابقة اسم صاحب الحساب وبطاقة الهوية الوطنية).
4. بما في ذلك آلية كلمة المرور لمرة واحدة التي توضح أنه يتم فتح حساب جديد كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم الهاتف الذي تم التحقق منه.
5. يجب إرسال إشعار استكمال فتح الحساب إلى رقم الهاتف الذي تم التحقق منه والمسجل للحساب وكذلك إلى رقم الهاتف المسجل في البوابة الوطنية لتسجيل الدخول الموحد.
6. يتطلب استخدام العنوان الوطني المسجل.
7. عندما يتم توفير البطاقة المادية، يجب أن تكون:
أ. يتم إرسالها إلى العنوان الوطني المسجل للعميل فقط؛
ب. أو يتم استلامها من جهاز الصّراف الآلي مع التحقق من العميل باستخدام المصادقة البيومترية.
8. بعد الإعداد الأولي، يجب وضع قيود على الحساب (على سبيل المثال، الحد المخفض لقيمة المعاملة) حتى الوقت الذي تتحقق فيه المؤسسة المالية من أن العميل حقيقي (على سبيل المثال، استخدام آلية المصادقة البيومترية من خلال التعرف على الوجه من طرف وطني موثوق به بشكل دوري، التواجد الفعلي في فرع أو كشك مدعوم بالقياسات البيومترية، ونمط منتظم لنشاط الحساب على مدى فترة من الزمن).
9. إعداد حالات استخدام شاملة لتحديد الحسابات الوهمية المحتملة بشكل استباقي وتنفيذ مراقبة حالات الاستخدام من خلال برامج الكشف (على سبيل المثال، قيمة الأموال الواردة، وارتفاع وتيرة المعاملات، وأنماط المعاملات التي لا تتناسب مع السلوكيات المتوقعة، والزيادة المفاجئة في النشاط بعد السكون).
10. القياس والتقييم الدوري لفعالية الضوابط للتخفيف من حدة مخاطر انتحال الشخصية وإنشاء حسابات وهمية.
3.2.4 العناية الواجبة تجاه الأطراف الخارجية
المبدأ
يجب على المؤسسات المالية التأكد من إجراء العناية الواجبة المتناسبة مع الأطراف الخارجية لفهم مخاطر الاحتيال المرتبطة بالعلاقات التجارية والتأكد من إدارة الأطراف الخارجية بشكل مناسب للتخفيف من المخاطر.
متطلبات الرقابة
أ. يجب أن تتكون العناية الواجبة تجاه الأطراف الخارجية من عمليات فحص وإجراءات فحص بناءً على نهج قائم على المخاطر للسماح بتقييم مخاطر الاحتيال التي تمثلها العلاقة.
ب. يجب إجراء العناية الواجبة تجاه الأطراف الخارجية قبل الدخول في الالتزام بعلاقة جديدة
ج. يجب مراجعة العناية الواجبة تجاه الأطراف الخارجية دوريًا أو بعد وجود سبب يشير إلى زيادة خطر الاحتيال (على سبيل المثال، المخاوف بشأن سلوك طرف خارجي أو موظفيه؛ أو المقالات الإعلامية السلبية).
د. يجب تعزيز العناية الواجبة تجاه الطرف الخارجي من أجل:
1. الأطراف الخارجية ذات المخاطر العالية أو ممثليهم
2. الأطراف الخارجية التي تقدم خدمات حيوية للمؤسسة المالية.
هـ. يجب أن تتضمن عمليات التحقق من العناية الواجبة المعززة تجاه الطرف الخارجي خطوات إضافية لتقييم مخاطر الاحتيال التي تمثلها العلاقة (على سبيل المثال، الفحص الإضافي أو تقييم نهج الطرف الخارجي لإدارة مخاطر الاحتيال).
و. عندما تقوم إحدى المؤسسات المالية بالاستعانة بمصادر خارجية لتنفيذ الخدمات لصالح مؤسسة خارجية، يجب على هذا الطرف الخارجي الالتزام بسياسة مكافحة الاحتيال المالي الخاصة بالمؤسسة المالية أو تطبيق نهج مماثل.
3.4 التدريب والتوعية
المبدأ
يجب تحديد برنامج للتوعية بالاحتيال والموافقة عليه وتنفيذه للموظفين والعملاء والأطراف الخارجية في المؤسسة المالية.
متطلبات الرقابة
أ. يجب تحديد برنامج التوعية بالاحتيال والموافقة عليه وتنفيذه لتعزيز الوعي بمخاطر الاحتيال والتوعية بشأن منع الاحتيال المحتمل وكشفه والاستجابة له وإرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
ب. يجب أن يتضمن برنامج التوعية بالاحتيال تغطية ما يلي:
1. الموظفين في المؤسسة المالية.
2. عملاء المؤسسة المالية.
3. الأطراف الخارجية التي لها علاقات مع المؤسسة المالية.
ج. يجب أن يتكون برنامج التوعية بالاحتيال من مواد تدريبية وتعليمية وتوعوية ترتبط ارتباطًا مباشرًا بالمخاطر والتهديدات المحددة في تقييم مخاطر الاحتيال.
د. يجب أن يتضمن برنامج التوعية بالاحتيال ما يلي:
1. تحديد طبيعة وحجم ونطاق التدريب والتعليم الذي سيتم تقديمه.
2. أن يكون مصممًا ليناسب الفئات المستهدفة المختلفة.
3. تنفيذه عبر قنوات متعددة.
هـ. يجب أن تتم أنشطة برنامج التوعية بالاحتيال بشكل دوري وعلى مدار العام.
و. يجب على المؤسسات المالية التأكد من تحديث البرنامج سنويًا على الأقل لمراعاة التغييرات في مشهد تهديدات الاحتيال أو استجابة لتهديدات الاحتيال الجديدة المُحددة في المراقبة الاستخباراتية.
ز. عندما يؤثر نوع الاحتيال الجديد أو الناشئ على المؤسسة المالية وعملائها، يجب على المؤسسات المالية اتخاذ إجراءات فورية لتوعية الموظفين والعملاء والأطراف الخارجية ذات الصلة بالتهديد والتدابير الوقائية التي يتعين اتخاذها (حيثما ينطبق ذلك).
ح. يجب على المؤسسات المالية مراقبة وتقييم فعالية برنامج التوعية بالاحتيال وتنفيذ التحسينات عند الاقتضاء.
1.3.4 تدريب الموظفين وتوعيتهم بشأن الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج تدريب وتوعية للموظفين حول الاحتيال لتمكين الموظفين من التعرف على الاحتيال والإبلاغ عنه على الفور.
متطلبات الرقابة
أ. يجب أن يمكَّن التدريب على مكافحة الاحتيال المالي الموظفين من اكتساب فهم ومعرفة واضحة عن سياسات وإجراءات مكافحة الاحتيال المالي في المؤسسة المالية ومسؤولياتهم الشخصية فيما يتعلق بمنع الاحتيال واكتشافه.
ب. يجب تقديم التدريب لجميع الموظفين أثناء عملية الإعداد أو بعدها بفترة قصيرة وتحديثها على فترات منتظمة.
ج. يجب أن يكون برنامج التدريب والتوعية بشأن الاحتيال في المؤسسة المالية قائمًا على المخاطر، بما في ذلك متطلبات تزويد بعض الموظفين بتدريب متخصص اعتمادًا على مخاطر الاحتيال المرتبطة بدورهم الوظيفي (على سبيل المثال، المديرين الذين يشغلون مناصب السلطة، والموظفين الذين يتعاملون مع العملاء في الفروع، والموظفين الذين ينفذون ضوابط مكافحة الاحتيال المالي والمحققين في حوادث الاحتيال).
د. يجب أن يتضمن التدريب على مكافحة الاحتيال المالي اختبار معرفة لتقييم ما إذا كان الموظف قد فهم المحتوى. يجب أن يُطلب من الموظفين الذين لم يجتازوا اختبار المعرفة إعادة التدريب ويجب مراقبة معدلات النجاح، مع اتخاذ الإجراء في حالة حدوث إخفاقات متكررة (على سبيل المثال، إعادة التدريب عبر طريقة أخرى أو إلغاء سلطة الرقابة على مكافحة الاحتيال المالي حتى اجتياز التدريب).
هـ. يجب تدريب أعضاء مجلس الإدارة والإدارة العليا في المؤسسات المالية على مكافحة الاحتيال بما يتناسب مع أهمية أدوارهم الوظيفية (على سبيل المثال، الوعي بالاحتيال، ووضع الثقافة والحوكمة المناسبة).
و. يجب تعزيز التدريب المُقدم رسميًا من خلال نشاط تثقيف الموظفين المستمر للحفاظ على الوعي العام بالاحتيال لدى الموظفين (على سبيل المثال، إصدار تذكيرات وتعميمات حول المؤشرات المحتملة للاحتيال وأنواع الاحتيال الشائعة).
ز. يجب على المؤسسات المالية حفظ سجلات التدريب على مكافحة الاحتيال المُقدم للموظفين وأنشطة التوعية التي تم إجراؤها.
ح. يجب أن يكون لدى المؤسسات المالية عملية موثقة لإدارة الموظفين غير الملتزمين بمتطلبات التدريب الخاصة بأدوارهم الوظيفية.
2.3.4 توعية العملاء بعمليات الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتنفيذ برنامج نشاط لتوعية العملاء بالاحتيال لزيادة فهم العملاء لمخاطر الاحتيال؛ ومساعدة العملاء على التعرف على محاولات الاحتيال ومقاومتها؛ وإبلاغهم بكيفية الإبلاغ عن الاحتيال.
متطلبات الرقابة
أ. يجب أن يقدم نشاط التوعية بالاحتيال للعملاء التعريف المناسب بالوقت المناسب علاوة على تعزيز الوعي بالاحتيال.
ب. يجب أن يتضمن النشاط الذي يتم تقديمه من خلال برنامج التوعية بالاحتيال للعملاء على ما يلي كحد أدنى:
1. معلومات عن تهديدات الاحتيال وعمليات النصب التي قد يتعرض لها العملاء.
2. مسؤوليات العملاء حول مكافحة الاحتيال.
3. كيف يمكن للعملاء منع أنفسهم من التحول لضحايا احتيال.
4. كيفية إبلاغ المؤسسة المالية إذا كان العميل يعتقد أنه وقع ضحية للاحتيال.
ج. يجب أن يكون نشاط توعية العملاء بالاحتيال مصممًا خصيصًا لتوجهات الاحتيال الحالية التي تؤثر على المؤسسة المالية وقطاعها، بما في ذلك على سبيل المثال لا الحصر، أنواع الاحتيال التي تمت ملاحظتها ونقطة الثغرة التي أدت إلى الاحتيال (على سبيل المثال، الرسائل النصية القصيرة والبريد الإلكتروني ووسائل التواصل الاجتماعي).
د. يجب أن يغطي نشاط توعية العملاء بالاحتيال مدة دورة العمل مع العميل (على سبيل المثال، الإلحاق والتغييرات في مقتنيات المنتج والمعاملات والتسويات).
هـ. يجب على المؤسسات المالية تقديم مواد توعية للعملاء من خلال جميع قنوات التواصل المقدمة للعميل (على سبيل المثال، موقع الويب، وتطبيق الهاتف المحمول، والبريد الإلكتروني، والبريد، والرسائل النصية القصيرة).
و. يجب على المؤسسات المالية تقديم تعليم إضافي حول الحماية من الاحتيال للعملاء الذين قد يكونون عرضة لعملية احتيال أو كانوا ضحايا لها (على سبيل المثال، الدعم عبر الهاتف أو المواد الإضافية عبر البريد الإلكتروني أو البريد).
3.3.4 توعية الأطراف الخارجية بالاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج متناسب لتوعية الأطراف الخارجية بالاحتيال مع تحديد التوقعات فيما يتعلق بنشاط مكافحة الاحتيال المالي والإبلاغ الفوري عن الأنشطة المشبوهة.
متطلبات الرقابة
أ. يجب توثيق متطلبات الوعي بالاحتيال لدى الأطراف الخارجية والاتفاق عليها في الترتيبات التعاقدية حيثما ينطبق ذلك.
ب. يجب على المؤسسات المالية تقديم مواد توعية بشأن الاحتيال على أساس المخاطر إلى الأطراف الخارجية في بداية العلاقة وتحديثها دوريًا حسب الحاجة.
ج. يجب أن تتضمن متطلبات توعية الأطراف الخارجية بالاحتيال كحد أدنى ما يلي:
1. إرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
2. أدوار ومسؤوليات الطرف الخارجي فيما يتعلق بالاحتيال.
3. توافق الرسائل المخصصة مع مخاطر الاحتيال في الخدمات التي يقدمها الطرف الخارجي.
4. آليات الإبلاغ المتاحة للطرف الخارجي.
4.4. المصادقة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ. يجب على المؤسسة المالية تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال المالي وفريق الأمن السيبراني.
ب. يجب أن يراعي معيار المصادقة الخاص بالمؤسسة المالية المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج. يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المؤسسات المالية.
د. عند تحديد معيار المصادقة، يجب على المؤسسات المالية أن تراعي متطلبات الرقابة التالية الموضحة في الدليل التتنظيمي لأمن المعلومات:
1. 5.3.3 إدارة الهوية والوصول
2. 13.3.3 الخدمات المصرفية الإلكترونية
هـ. يجب أن يغطي معيار المصادقة الخاص بالمؤسسة المالية القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و. يجب على المؤسسات المالية أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز. يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المؤسسات المالية لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المؤسسات المالية تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
1. الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
2. خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
3. تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
4. السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
5. السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح. عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي.
ط. يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي. يجب على المؤسسات المالية تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
1. عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
2. تفعيل رمز مميز (token) على جهاز جديد أو إضافي.
3. إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
4. إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
5. تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
6. المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
7. المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
8. إضافة أو تعديل المستفيدين.
9. تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
10. تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
11. إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
12. إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
13. إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
14. مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك. يجب أن تطلب المؤسسات المالية عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (token) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
1. يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معايير تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
2. يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
3. تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل. يجب على المؤسسات المالية تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المؤسسة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
1. يجب أن تحدد المؤسسة المالية المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 6.4).
5.4. الاحتيال والجرائم المالية والمواءمة السيبرانية
المبدأ
يجب على المؤسسات المالية التأكد من توافق القدرات التشغيلية لفريق الأمن السيبراني ومكافحة الاحتيال المالي والجرائم المالية لردع الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد وتنفيذ عملية لمواءمة القدرات التشغيلية لفريق مكافحة الاحتيال المالي والأمن السيبراني والجرائم المالية، التي ينبغي أن تشمل على الأقل ما يلي:
1. تحديد أدوار ومسؤوليات واضحة بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
2. التدريب المتبادل بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
3. إجراء اتصالات متعددة التخصصات بين إدارات الجرائم الإلكترونية والمالية ومكافحة الاحتيال لتبادل المعرفة بانتظام.
4. تطوير فرق عمل مشتركة بين إدارات مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني لمواءمة ممارسات العمل وإشراك المؤسسة بشكل جماعي.
5. عقد ورش عمل مشتركة لتقييم التهديدات أو تحليل سيناريوهات الاحتيال مع وحدات الأعمال لتحديد التهديدات بشكل جماعي وتبادل الرؤى من المراقبة الاستخباراتية.
6. تخزين معلومات التهديدات ذات الصلة في مستودع مركزي، مع تقييد الوصول إلى أصحاب المصلحة المعنيين.
7. تحديد الفرص لتوحيد أنظمة وأدوات منع الاحتيال والكشف السيبراني (على سبيل المثال، توفير البيانات حول مراقبة المستخدم أو موقع العميل من خلال عنوان بروتوكول الإنترنت).
8. مواءمة نهج الاستجابة لحوادث الجرائم الإلكترونية والمالية والاحتيال حيث تقع الحوادث عبر القدرات.
9. تنسيق الإجراءات التصحيحية لتعطيل المجموعات المنظمة التي تنظم عمليات الاحتيال (على سبيل المثال، إزالة مواقع الويب المزيفة التي تم إعدادها للحصول على بيانات العملاء).
10. إجراء تدريبات مشتركة للدروس المستفادة بأثر رجعي في أعقاب حوادث الاحتيال المتعلقة بالبيانات والأنظمة والعمليات والضوابط التي تشمل مكافحة الاحتيال المالي والجرائم المالية والقدرات السيبرانية.
6.4. معايير منع الاحتيال
المبدأ
يجب أن تكون المؤسسات المالية قد حددت ووافقت ونفذت وحافظت على معايير منع الاحتيال التي يجب أن تتماشى مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد المعايير والموافقة عليها وتنفيذها وحفظها للمساعدة في منع الاحتيال ومعالجة مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب. يجب على المؤسسات المالية مراجعة وتحديث معايير منع الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج. يجب مراقبة الامتثال لمعايير منع الاحتيال.
د. يجب قياس فعالية معايير منع الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ. يجب استخدام نتائج تقييم مخاطر الاحتيال لتحديد أين يتم تركيز نشاط الوقاية، ويجب أن تكون الضوابط متناسبة مع قدرة المؤسسة على تحمل المخاطر.
و. قد تكون معايير منع الاحتيال يدوية أو آلية، ويجب أن تتضمن على الأقل ما يلي:
1. الضوابط المُطبقة لمنع الاحتيال (على سبيل المثال، الفصل بين الواجبات، والموافقة والتصعيد، وتدريب الموظفين، والقيود على الوصول، والعناية الواجبة والتحقق من النزاهة، والإخطار بتغييرات الحساب، وحدود المعاملات، وشيكات الاكتتاب).
2. الأنظمة والتقنيات المُستخدمة لمنع الاحتيال (مثل إدارة الهوية والوصول، والمصادقة، وإصدار كلمات المرور لمرة واحدة، والقياسات البايومترية).
3. الأدوار والمسؤوليات المتعلقة بمنع الاحتيال (على سبيل المثال، مراجعة طلبات العملاء عند الإلحاق، وتصميم التدريب، والعناية الواجبة، واختبار النظام).
4. الأساس المنطقي الذي يوضح سبب ملاءمة ضوابط الوقاية للمخاطر التي تواجهها المؤسسة.
ز. يجب على المؤسسات المالية أن تحدد النهج المتبع في وضع حدود وعتبات للضوابط الوقائية (حيثما ينطبق ذلك) في معايير منع الاحتيال، مع مراعاة ما يلي:
1. نتائج تقييم مخاطر الاحتيال.
2. حوادث الاحتيال والخسائر الناجمة.
3. قابلية مخاطر الاحتيال.
1.6.4 الاحتيال الداخلي
المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الداخلي.
متطلبات الرقابة
أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
1. مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
2. إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
3. الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
4. الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المؤسسة المالية (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الراكدة).
5. تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
6. تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 3.5.ب).
7. متطلبات التعامل المناسب مع البيانات السرية.
8. ضوابط الوصول إلى الشيكات والنقد.
9. ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
ب. يجب على المؤسسات المالية مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في الدليل التنظيمي لأمن المعلومات.
ج. يجب على المؤسسات المالية التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
د. يجب على المؤسسات المالية وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
1. وضع سياسة تحدد بوضوح السلوك المحظور.
2. الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
3. تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
4. المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.
2.6.4 الاحتيال الخارجي
المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الخارجي.
متطلبات الرقابة
أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
1. الخط الساخن متاح على مدار 24 ساعة للإبلاغ عن حالات الاحتيال المشتبه بها واتخاذ إجراءات فورية للرد على عمليات الاحتيال (على سبيل المثال، حظر الوصول إلى الحساب أو البطاقات).
2. توفير إمكانية الخدمة الذاتية للتوقف في حالات الطوارئ للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للخطر.
3. ضوابط هوية العميل وإدارة الوصول للحسابات عبر الإنترنت / الهاتف المحمول والمنتجات الرقمية.
4. استخدام القوائم السوداء لفحص وحظر المعاملات أو توفير البطاقات أو الوصول إلى الأشخاص ذوي المخاطر العالية المحددة:
أ. الحسابات
ب. عناوين بروتوكولات الإنترنت
ج. عناوين البريد الإلكتروني
د. الأجهزة المُخترقة أو تلك التي تم استخدامها سابقًا للاحتيال (على سبيل المثال، تطبيق الهاتف المحمول المُسجل في حساب تم استخدامه لإجراء الاحتيال).
5. القدرة على حظر المعاملات بسرعة من حسابات/بطاقات العملاء، مع وجود ضمانات محددة لإلغاء الحظر.
6. مطالبة مستخدمي خدمات الإنترنت والهاتف المحمول بالموافقة على تفعيل نظام تحديد المواقع العالمي (GPS) أثناء جلسة نشطة للسماح للمؤسسة بمراقبة الموقع.
7. قدرة تطبيقات الهاتف المحمول على كشف الاستخدام على الأجهزة التي خضعت لكسر الحماية أو التجذير، ومن ثم، حظر استخدام التطبيق أو تقييد الوصول إلى البيانات أو الميزات الحساسة.
8. حظر استخدام خدمات الشبكة الخاصة الافتراضية عند الوصول إلى خدمات الإنترنت أو الهاتف المحمول.
9. تسجيل الجهاز الذي يسمح للمستخدمين بتسجيل الأجهزة الموثوقة لإدارة الوصول.
10. وضع قيود على عمليات تسجيل الدخول المتزامنة إلى تطبيق الهاتف المحمول، أو قيود على عدد الأجهزة التي يمكن تثبيت تطبيق الهاتف المحمول عليها والوصول إليها.
11. تحديد الحسابات غير المشروعة (على سبيل المثال، الحسابات التي تم إنشاؤها لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة).
12. ملفات تعريف سلوك المستخدم التي تسمح بتنفيذ القواعد لمنع الوصول إلى حسابات العملاء في حالة تحديد سلوك غير عادي.
13. مراقبة عدم نشاط المنتج وسكونه، خاصة عندما يتم إعادة تنشيط المنتجات.
14. يتم إرسال إشعار للعميل عند إجراء تغييرات على البيانات الثابتة إلى التفاصيل السابقة والجديدة.
15. الدفع عبر الإنترنت والهاتف المحمول والهاتف:
أ. إرسال كلمة مرور لمرة واحدة للتحقق من جميع المدفوعات الموجهة (المستفيدين الجدد والحاليين)، بما في ذلك المعاملات من خلال حسابات التحويلات.
ب. إشعار العميل بإضافة المستفيدين الجدد (على سبيل المثال، الرسائل النصية القصيرة، معاودة الاتصال).
ج. وضع حد افتراضي للمعاملات الفردية واليومية التي يجب مراجعتها وتحديثها دوريًا عند الحاجة (على سبيل المثال، مراجعة ملفات تعريف العملاء وسلوكياتهم، وحالات الاحتيال الفعلية / خسائر العملاء).
د. إعلام العميل في حالة زيادة حد المعاملة الافتراضية (على سبيل المثال، إذا تمت ترقية نوع حساب العميل).
هـ. الخيار أمام العملاء لتقليل الحد الافتراضي للمعاملة الواحدة.
و. خيار للعملاء لتقليل الحد الافتراضي للمعاملات اليومية.
ز. الحظر الفوري على المزيد من المعاملات إذا تم الوصول إلى حد المعاملة إما من خلال المدفوعات الفردية أو المتكررة سواء لمستفيد واحد أو عدة مستفيدين.
ح. عمليات التحقق الإضافية للمصادقة:
i. المعاملات غير العادية (على سبيل المثال، المعاملات بعد فترة من سكون الحساب، والتغييرات في سلوكيات العملاء).
ii. أنماط غير عادية من المعاملات (على سبيل المثال، دفعات متعددة لنفس المستفيد في فترة قصيرة).
iii. المعاملات التي تتجاوز حد القيمة المحددة.
iv. طلبات زيادة حد المعاملات الفردية أو اليومية.
v. المعاملات الأولية بعد التسجيل في الخدمات المصرفية عبر الإنترنت أو خدمات الهاتف المحمول، أو تسجيل جهاز جديد.
ط. يجب أن تتضمن عمليات التحقق الإضافية، على سبيل المثال لا الحصر، واحدًا أو أكثر مما يلي:
i. معاودة الاتصال الآلي.
ii. معاودة الاتصال اليدوي.
iii. الرسائل النصية القصيرة إلى رقم الهاتف المحمول المسجل.
iv. المصادقة عبر القياسات البايومترية على الجهاز المحمول المسجل.
16. بطاقات الائتمان والخصم:
أ. الالتزام بجميع قواعد نظام البطاقة (على سبيل المثال، قواعد أعمال مدى، رمز Visa CVV2، رمز Mastercard CVC2).
ب. استخدام كلمات المرور لمرة واحدة للموافقة على المعاملات عبر الإنترنت.
ج. بالنسبة للمعاملات عالية المخاطر، استخدام تدابير مصادقة إضافية بالإضافة إلى كلمات مرور لمرة واحدة أو الموافقة من تطبيقات الهاتف المحمول (على سبيل المثال، معاودة الاتصال الآلي برقم الهاتف الموجود في الحساب).
د. التحقق من العنوان/الرمز البريدي لمدفوعات البطاقة عبر الإنترنت.
هـ. تم إصدار بطاقات جديدة تتطلب التنشيط قبل الاستخدام.
17. ضوابط التحقق لضمان صحة الشيكات والأدوات المماثلة.
18. الفحص الدوري لأجهزة الصراف الآلي بحثًا عن أي نشاط مشبوه أو أجهزة يمكن أن تهدد أمن البطاقة.
19. إزالة الروابط في جميع رسائل البريد الإلكتروني والرسائل النصية القصيرة المُرسلة إلى العملاء.
ب. يجب على المؤسسات المالية أيضًا تنفيذ الضوابط الوقائية التالية بالنهج القائم على المخاطر:
1. تأخير في التنشيط عندما يطلب العميل زيادة في حدود المعاملات عبر الإنترنت/الهاتف المحمول.
2. آليات الوقاية الروبوتية قبل تعليمات الدفع لتخفيف حدة مخاطر نشاط الروبوت الآلي.
3. إتاحة وظيفة للعملاء لطلب إشعار فوري بجميع معاملات الحساب والبطاقة على أجهزتهم المحمولة المُسجلة.
4. السياج الجغرافي عندما تحدث المعاملات في موقع خارج المنطقة الرئيسية للعملاء (على سبيل المثال، استخدام بيانات الموقع الجغرافي للجهاز المحمول للمطالبة بالتحقق إذا حاول المستخدم الوصول إلى المنتجات والخدمات أثناء وجوده في بلد أجنبي، وهو ما لا يتماشى مع ملف تعريف سلوك المستخدم).
5. إجراءات احتجاز التحويلات المشبوهة إلى البلدان المصنفة على أنها عالية المخاطر في نموذج المخاطر الخاص بالولاية القضائية للمؤسسة.
6. تأخير في المدفوعات المطلوبة للمستفيدين الجدد الذين تمت إضافتهم عبر خدمات الإنترنت/الهاتف المحمول حتى الانتهاء من التحقق الإضافي.
7. التأخير قبل تفعيل رمز مميز (token) جديد على جهاز محمول.
8. إخطار العميل بتسجيل جهاز جديد وتحديد الخدمات المهمة (على سبيل المثال، توفير البطاقة، إضافة المستفيدين الجدد) التي يجب تعطيلها لفترة بعد تسجيل الجهاز الجديد.
ج. يجب على المؤسسات المالية التي تقدم منتجات الإقراض والائتمان أن تدرج في معايير منع الاحتيال، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
1. مراجعة الطلبات/المقترحات للتحقق من احتمالية الاحتيال في الطلب (على سبيل المثال، التلاعب بالتفاصيل أو تحريف الوضع المالي لمقدم الطلب).
2. التحقق من المستندات المزورة أو المزيفة المقدمة لغرض التعريف أو كضمان على الإقراض.
3. ضوابط إدارة الهيئة للوكلاء والوسطاء وجهات التقييم والأطراف الخارجية الأخرى.
5. الكشف
من الضروري لأمن وحماية العملاء التعرف بسرعة على الاحتيال الفعلي أو محاولة الاحتيال إذا كانت الضوابط الوقائية غير كافية أو غير فعالة. تُعد أنظمة وضوابط الكشف عن الاحتيال بمثابة تدابير قائمة على المخاطر لتحديد الاحتيال من خلال البحث عن مؤشرات في سلوكيات العملاء ومعلومات المعاملات وغير المعاملات. يتيح الكشف الفعال عن الاحتيال اتخاذ إجراءات متناسبة في الوقت المناسب لتقليل الخسائر التنظيمية والأثر على العملاء. يمكن أن تكون ضوابط الكشف يدوية، ولكن نظرًا لحجم النشاط في المؤسسات المالية والطبيعة الرقمية للمنتجات والخدمات، تعتمد عادةً على التقنيات لإجراء المراقبة الآلية.
الشكل 6 - مجال (الكشف)
1.5. معايير كشف الاحتيال
المبدأ
يجب أن تكون المؤسسات المالية قد حددت معايير كشف الاحتيال ووافقت عليها ونفذتها وحافظت عليها، ويجب أن تتماشى المعايير مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد معايير كشف الاحتيال والموافقة عليها وتنفيذها والحفاظ عليها، حيث تعالج المعايير مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب. يجب على المؤسسات المالية مراجعة وتحديث معايير كشف الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج. يجب مراقبة الامتثال لمعايير الكشف عن الاحتيال.
د. يجب قياس فعالية معايير كشف الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ. يجب استخدام مخرجات تقييم مخاطر الاحتيال لتحديد موضع تركيز نشاط الكشف، ويجب أن تكون الضوابط متناسبة مع مدى قددرة المؤسسة على تحمل المخاطر.
و. عند تقييم المخاطر المتأصلة للاحتيال على أنها مرتفعة يجب أن تتطلب معايير الكشف عن الاحتيال ضوابط كشف إضافية (على سبيل المثال، المراقبة في الوقت الفعلي، أو مصادر بيانات إضافية أو نماذج التعلم الآلي) أو معايير حد كشف أكثر صرامة (على سبيل المثال، حدود نقدية أقل قبل التنبيه).
ز. يجب أن تتضمن معايير كشف الاحتيال كحد أدنى على ما يلي:
1. مصادر البيانات المستخدمة لكشف الأنشطة المشبوهة والاحتيال (على سبيل المثال، سجلات العملاء الأساسية، وأنظمة المعاملات/الدفع، وإدارة الهوية والوصول، وقواعد البيانات الخارجية).
2. الضوابط المُطبقة للكشف عن الأنشطة الاحتيالية المشتبه بها (على سبيل المثال، تصعيد الأحداث والمعاملات عالية المخاطر، والفحص الثانوي، والتسويات، والإبلاغ عن الاستثناءات، والتدريب الداخلي).
3. الضوابط المُطبقة لكشف أي نشاط احتيالي مشتبه به يتعلق بأمن نقطة نهاية الدفع بالجملة (على سبيل المثال، مراقبة سلوك المدفوعات والتقارير خارج النطاق، وإعداد قائمة مسموح بها للأطراف المقابلة، وتتبع الدفعات الغريبة، وحظر المدفوعات في الوقت الفعلي) .
4. الأنظمة والتقنية المُطبقة لكشف الاحتيال المحتمل (على سبيل المثال، برمجيات كشف الاحتيال، والتنبيهات بشأن الأحداث أو المعاملات ذات القيمة العالية، ومراقبة الوصول، وتحليل الروابط).
5. الأدوار والمسؤوليات المتعلقة بكشف الاحتيال (على سبيل المثال، معايرة النظام، ومراجعة إحالات الاحتيال اليدوية، وفرز التنبيهات وإدارتها، ونقطة التصعيد للحوادث المحتملة المهمة، والإشراف والرقابة).
6. الأساس المنطقي الذي يوضح سبب ملاءمة أنظمة الكشف والضوابط للمخاطر التي تواجهها المؤسسة.
ح. يجب على المؤسسات المالية أن تراعي مجالات النشاط التالية عند توثيق متطلبات الأشخاص والعمليات والتقنية لكشف الاحتيال:
1. بيانات نشاط الموظف (مثل الوصول إلى النظام والفواتير والمدفوعات والموافقات).
2. نشاط حساب العميل (مثل المعاملات والمدفوعات والتسويات).
3. الوصول إلى حساب العميل وإدارته (على سبيل المثال، تحديد الموقع الجغرافي لتسجيل الدخول، واستخدام الجهاز، والتغييرات في البيانات الثابتة).
4. بيانات نشاط الطرف الخارجي (على سبيل المثال، الوصول إلى أنظمة أو بيانات المؤسسة المالية واستخدامها، والتعليمات نيابة عن العملاء، والإحالات من الوكلاء).
ط. عندما تقرر مؤسسة مالية أن هناك حاجة إلى مراقبة يدوية (على سبيل المثال، بسبب حجم المؤسسة المالية، أو نقص الأنظمة أو التحليلات، أو تغطية المنتجات والقنوات)، فيجب مراجعة طبيعة مخاطر الاحتيال لتقييم عدد الموظفين والمهارات المطلوبة لتوفير التغطية اليدوية الكافية.
ي. يجب أن يكون لدى المؤسسات المالية موارد كافية لإدارة مخرجات الكشف اليدوي والآلي عن الاحتيال (على سبيل المثال، عدد كافٍ من الموظفين لعمل التنبيهات، والمهارات المناسبة والتدريب للموظفين لاستكمال التحقيقات، ونظام سير العمل لتخصيص التنبيهات).
2.5. أنظمة كشف الاحتيال
المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لتحديد الحالات الشاذة في بيانات المعاملات وغير المعاملات، وسلوك العملاء أو الموظفين الذي قد يكون من مؤشرات الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لمراقبة منتجات وخدمات العملاء، والأنظمة الداخلية للمعاملات أو السلوكيات التي قد تشير إلى الاحتيال.
ب. يجب أن تعمل أنظمة كشف الاحتيال على مدار الساعة طوال أيام الأسبوع مع توفر الموارد المناسبة لإدارة المخرجات في الوقت المناسب.
ج. يجب على المؤسسات المالية تطوير مصادر شاملة وحديثة للبيانات لاستخدامها في كشف الأنشطة المشبوهة والاحتيال، بما في ذلك على الأقل:
1. منتجات وخدمات العملاء المُقدمة في جميع مجالات الأعمال.
2. جميع قنوات الاتصال (على سبيل المثال، الإنترنت، الهاتف المحمول، الهاتف).
3. المعلومات الخارجية (مثل البيانات المرجعية الائتمانية، والقوائم السوداء، ومجموعات البيانات المقدمة من المورد).
4. الرؤى التي تم جمعها من المراقبة الاستخباراتية (انظر القسم الفرعي 1.1.4).
5. بيانات المعاملات أو التسوية (على سبيل المثال، قيم الدفع داخل أو خارج الحسابات، ومستلمو الدفع المضافون، وسلطة تعليمات الدفع، والتحويل من الوصي على الأموال).
6. البيانات غير المتعلقة بالمعاملات (على سبيل المثال، سلوك الموظف، والوصول إلى الإنترنت، واستخدام الجهاز، والموقع الجغرافي، والتغييرات في البيانات الثابتة).
د. يجب على المؤسسات المالية تنفيذ الضوابط (مثل حوكمة البيانات، وإلغاء التكرار، وتنبيهات جودة البيانات، والتدقيق المنتظم، واختبار التكامل، واختبار التراجع لإدارة التغيير) للتأكد من أن البيانات الأساسية هي:
1. قد قُدِمت في الوقت المناسب لنظام الكشف بوتيرة مناسبة بناءً على معدل التغيير ومدى الأهمية الملحة للمعلومات (على سبيل المثال، يجب أن تكون بيانات الدفع في الوقت الفعلي للسماح بالتدخل قبل تحويل الأموال، في حين قد يتم تحديث المنتجات الجديدة المباعة يوميًا، ويتم تحديث المعلومات الخارجية عند تغيير القوائم).
2. كاملة - تشمل جميع البيانات المطلوبة من جميع الأنظمة ذات الصلة المحددة في معايير الكشف عن مكافحة الاحتيال المالي (على سبيل المثال، يجب التحقق من صحة تعيين البيانات من النظام المصدر إلى نظام الكشف).
3. دقيقة - ذات جودة كافية لتمكين المراقبة الفعالة (على سبيل المثال، محدثة وتم اختبارها لضمان جودة البيانات).
هـ. يجب على المؤسسات المالية التأكد من أن قدرة نظام كشف الاحتيال تشمل كحد أدنى ما يلي:
1. تحليل البيانات المُنظمة (البيانات بتنسيق موحد ومُنظم).
2. مراقبة حسابات العملاء والحسابات الداخلية.
3. تحديد أنماط سلوك المستخدم في ملفات التعريف التي تسمح بتحديد الانحرافات عن النشاط العادي (على سبيل المثال، الوتيرة المتوقعة أو قيمة المعاملات).
4. تعريف مكتبة القواعد المستندة إلى أنواع الاحتيال المعروفة لتحديد النشاط الذي يمكن أن يشير إلى الاحتيال (على سبيل المثال، أنماط وصول الموظفين، موقع العميل غير المعروف أو البعيد، زيادة وتيرة المعاملات، نوع المعاملة الجديد، المبلغ ذو القيمة العالية، المعاملات المتكررة سواء كانت مستفيدًا واحدًا أو عدة مستفيدين، مصدر تحويل واحد لعدة حسابات).
5. تقسيم مجموعات العملاء لتمكين تصميم القواعد (على سبيل المثال، تعديل القواعد والحدود بناءً على السلوكيات المتوقعة المختلفة لعميل الخدمات المصرفية الخاصة من ذوي الثروات الكبيرة مقابل العميل الفرد القياسي أو حساب جديد مفتوح عبر الإنترنت مقابل عميل مُدار بعلاقة راسخة).
6. تطبيق ترجيح للقواعد بناءً على المستوى المُقدر لمخاطر الاحتيال وتعيين درجات المخاطر لتحديد النشاط الذي قد يشير إلى الاحتيال.
7. تجميع درجات المخاطر لتقييم أنماط نشاط المعاملات وغير المعاملات عبر قنوات متعددة والتي عند دمجها قد تكون مؤشرات على الاحتيال.
8. ربط المخرجات (مثل التنبيهات والحالات لمزيد من التحقيق) بنظام إدارة الحالات.
و. يجب على المؤسسات المالية استخدام مخرجات المراقبة الاستخباراتية والمعلومات من جميع أنحاء المؤسسة في تحليلات البيانات لإجراء تحليل عميق للوضع الراهن والتنبؤ بتهديدات الاحتيال المستقبلية واتخاذ إجراءات استباقية لمنع الاحتيال. يجب أن تستخدم التحليلات مصادر بيانات متعددة، بما في ذلك على سبيل المثال لا الحصر، التوجهات السابقة والحالية وبيانات العملاء والمعاملات والأنشطة غير المتعلقة بالمعاملات.
ز. عند تحديد خطر أعلى للاحتيال في تقييم مخاطر الاحتيال أو عندما تحدث حالات احتيال أعلى، يجب على المؤسسات المالية، بالإضافة إلى ذلك، تنفيذ قدرة النظام على:
1. استخراج البيانات الضخمة لتسهيل التحليلات المتقدمة على كميات كبيرة من البيانات المُنظمة وغير المُنظمة، مع التنسيق المرتبط بها لإنشاء مستودع بيانات مركزي (على سبيل المثال، استخدام خوارزميات تحسين البيانات ومقارنتها لإجراء استعلامات على كميات كبيرة جدًا من البيانات، والتخزين في مستودع البيانات).
2. الأدوات والقدرات التحليلية لتعزيز المراقبة القائمة على القواعد (على سبيل المثال، تحليل التوجهات، وتحليل الكلمات الرئيسية، والتحليلات التنبؤية، وكشف الحالات الشاذة).
3. تراكب الذكاء الاصطناعي وخوارزميات التعلم الآلي (مثل مخطط انسيابي قراري (decision trees) أو مجموعة مخططات انسيابية قرارية(random forests) أو الشبكات العصبية(neural networks)) من أجل:
أ. تعزيز القدرة على اتخاذ القرار في النظام.
ب. التنبؤ باحتمالية الاحتيال.
ج. التعلم من الأنماط السابقة ومعرفة السلوك الاحتيالي والسلوك المشروع.
4. تصور الشبكة/تحليلات الارتباط أو تحليل الكيان للكشف عن الاتصالات المخفية أو غير المعروفة سابقًا وتحديد الشبكات عبر مصادر بيانات مختلفة (على سبيل المثال، تحديد الاتصالات من الأجهزة أو عناوين بروتوكول الإنترنت المعروفة بأنها تم استخدامها لأغراض احتيالية والربط مع نقاط بيانات أخرى لإعداد درجة تهديد مرتبطة بالشبكة، من خلال النظر في الموقع، وبطاقات الدفع المُستخدمة، والمستفيدين وما إلى ذلك).
5. تحليل البيانات الخارجية الإضافية غير المُنظمة (مثل وثائق العملاء الممسوحة ضوئيًا) لتوسيع مصادر البيانات.
ح. عند تحديد انحراف عن أنماط سلوك المستخدم الأساسية، يجب على المؤسسات المالية إما:
1. تتطلب المزيد من المصادقة للمستخدم أو تعليماتهم.
2. إنشاء تنبيه لإجراء مزيد من التحقيقات لتحديد ما إذا كان قد حدث احتيال.
ط. لضمان فعالية وتحسين أنظمة كشف الاحتيال، يجب على المؤسسات المالية:
1. معايرة واختبار سيناريوهات الكشف للتحقق من العمل وفق التصميم وتمكين المراقبة وفقًا لقدرة المؤسسات على تحمل المخاطر (على سبيل المثال، مراجعة منطق القواعد، واختبار الحد، واختبار الدقة والاستدعاء).
2. تنفيذ حلقات الملاحظات والتعقيبات لرصد وتعزيز أداء الأنظمة وفعالية السيناريوهات والمعايير من خلال مراجعة الإيجابيات والسلبيات الزائفة والتنبيهات التي حددت الاحتيال.
3. مراجعة السيناريوهات والمعايير دوريًا للتأكد من أنها تظل مناسبة في ضوء الرؤى التي تم جمعها في مراقبة الاستخبارات و/أو نتائج تقييم مخاطر الاحتيال.
4. اختبار فعالية الأنظمة دوريًا، من خلال تدابير الضبط والمعايرة المستمرة مثل تخطيط البيانات والتحقق من صحة المدخلات، والتحقق من صحة النموذج، واختبار فعالية السيناريو وإعداد التقارير.
5. تحديث أنماط وقواعد سلوك المستخدم لمراعاة أحدث التهديدات وأنواع الاحتيال.
6. الاحتفاظ بسجل موثق للتغييرات التي تم إجراؤها على التكوين أو القواعد والأساس المنطقي للقرار.
7. مراقبة التغييرات غير المصرح بها على النظام (على سبيل المثال، التلاعب بالقواعد أو تعطيل المراقبة).
ي. يجب أن تتضمن أنظمة كشف الاحتيال القدرة على مراقبة المقاييس والمعلومات الإدارية والإبلاغ عنها فيما يتعلق بما يلي:
1. سلامة البيانات.
2. فعالية القاعدة والسيناريو (على سبيل المثال، المعدل الإيجابي الزائف).
3. الأداء التشغيلي.
3.5. المراقبة لكشف الاحتيال
المبدأ
يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الأنشطة والسلوك من أجل كشف المؤشرات المحتملة للاحتيال الخارجي والاحتيال الداخلي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة منتجات وخدمات العملاء بحثاً عن السلوكيات التي قد تشير إلى الاحتيال الخارجي. كحد أدنى، يجب أن يعالج ذلك المخاطر الناجمة عن:
1. احتيال الطرف الأول - حيث يقوم أحد عملاء المؤسسة المالية بتحريف هويته أو تقديم معلومات كاذبة لارتكاب عملية احتيال باستخدام حسابه الخاص أو طلب القرض أو أي منتج آخر.
2. الاحتيال من طرف ثانٍ - حيث يقدم العميل أو الفرد معلوماته الشخصية عن عمد أو يسمح باستخدام هويته لارتكاب عمليات احتيال.
3. الاحتيال من طرف ثالث - عندما يحصل شخص ليس من عملاء المؤسسة المالية على تفاصيل العميل دون موافقته أو علمه، ثم يستخدم المعلومات لارتكاب الاحتيال.
ب. يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الموظفين في الأدوار التي تم تحديدها في تقييم مخاطر الاحتيال على أنها تمثل خطر الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
1. مسار تدقيق وصول الموظفين إلى الأنظمة الأساسية للمؤسسة المالية.
2. سجل منهجي لنشاط الموظفين لجميع أنظمة وقواعد بيانات المحاسبة المالية والعملاء (على سبيل المثال، تسجيل مسار تدقيق لموظف يقوم بإجراء تغييرات على عنوان العميل، وإضافة المستفيد، وتوجيه الدفع، والتفويض بالسحب).
3. مراقبة السلوكيات أو الأنشطة غير العادية (على سبيل المثال، المعاملات خارج ساعات العمل، أو استثناءات العمليات أو التجاوزات المكتملة دون الحصول على الموافقات المناسبة).
4. تسوية وترتيب الأنظمة المالية والحسابات المصرفية الداخلية للمؤسسة.
5. تعزيز الرقابة على المدفوعات لحسابات موظفي المؤسسة المالية.
6. المراقبة والحصول على الموافقة ذات الصلة على استخدام بطاقة الشركة ومطالبات النفقات.
7. مراقبة شكاوى الموظفين وخطوط الإبلاغ المجهولة.
4.5. الإبلاغ عن المخالفات
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتمكين الموظفين المعنيين والأطراف الخارجية من الإبلاغ عن انتهاكات الاحتيال المحتملة دون الخوف من العواقب أو التداعيات السلبية.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية الإبلاغ عن المخالفات عبر قنوات متعددة للموظفين والأطراف الخارجية للإبلاغ عن انتهاكات الاحتيال المحتملة.
ب. يجب أن تتوافق هذه العملية مع سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية (سياسة الإبلاغ عن المخالفات) الصادرة عن البنك المركزي.
ج. يجب على المؤسسات المالية عدم اتخاذ أي إجراء ضد المبلغين عن أي إفصاحات عن انتهاكات الاحتيال المحتملة التي تم الإبلاغ عنها بحسن نية.
6. الاستجابة
تُعد الاستجابة الفعالة في الوقت المناسب لحوادث الاحتيال الفعلية أو المشتبه فيها أمرًا أساسيًا لتقليل الخسائر وزيادة فرص التعافي. في حالة الاشتباه في الاحتيال أو كشفه، يلزم وجود خطة قوية للاستجابة للاحتيال تتضمن إجراءات واضحة لإدارة الاستجابة، مما يتيح إجراء تحقيق فعال؛ وتنفيذ حل سريع وعادل؛ واتخاذ الإجراءات التصحيحية عند الاقتضاء. بعد الحل، من المهم تقييم السبب الجذري للحادث وتقييم فعالية أطر التحكم لتجنب تكراره.
الشكل 7 - مجال الاستجابة
1.6. خطة الاستجابة للاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على خطة الاستجابة للاحتيال لمعرفة الاستجابة التنظيمية لحادث احتيال فعلي أو مشتبه به.
متطلبات الرقابة
أ. يجب وضع خطة الاستجابة للاحتيال والموافقة عليها وتنفيذها وحفظها ومواءمتها مع عملية إدارة حوادث المؤسسة حيثما كان ذلك مناسبًا.
ب. يجب مراقبة الامتثال لخطة الاستجابة للاحتيال.
ج. يجب قياس فعالية خطة الاستجابة للاحتيال والضوابط ذات الصلة وتقييمها بشكل دوري.
د. يجب أن تتطلب خطة الاستجابة للاحتيال تقييمًا سريعًا ومختصًا، والتحقيق، وحل جميع حالات الاحتيال المشتبه فيها أو التي تم تحديدها.
هـ. يجب أن تتضمن خطة الاستجابة للاحتيال كحد أدنى ما يلي:
1. الطرق التي يتم من خلالها تنبيه المؤسسة المالية إلى حالات الاحتيال المشتبه فيها أو المحددة، بما في ذلك قنوات الإبلاغ المتاحة للعملاء والموظفين والأطراف الخارجية.
2. الأدوار والمسؤوليات للأفراد والفرق المطلوبة للرد على الاحتيال المحتمل.
3. سلطة اتخاذ القرار وإجراءات الإحالة للتصعيد داخل وخارج المؤسسة المالية (على سبيل المثال، الإحالة إلى المتخصصين في الحالات المعقدة، والإدارة العليا في حالات الاحتيال المادي المحتملة، والاستشارة الخارجية إذا كانت هناك مخاوف قانونية).
4. اتفاقيات مستوى الخدمة للرد على تقارير الاحتيال الأولية.
5. إجراءات الاستجابة السريعة لحالات الاحتيال المحتملة التي تحددها المؤسسة المالية، والتي أبلغها العميل أو أبلغتها المؤسسات الأخرى. ويجب أن يشمل ذلك تدابير احترازية لتجميد الأموال الواردة حتى يتم التحقق من سلامة المصدر إذا كان هناك شك في أن المعاملات الواردة هي نتيجة للاحتيال.
6. الإجراءات التي ستتخذها المؤسسة المالية عند الاشتباه في الاحتيال أو تحديده، بما في ذلك على سبيل المثال لا الحصر:
أ. تنسيق الموارد المناسبة لإدارة حجم التنبيهات والحالات.
ب. تسجيل وإجراء تقييم أولي لجميع التنبيهات أو التقارير المُقدمة رسميًا عن الاحتيال.
ج. عند تقييم التنبيه أو الإحالة على أنها لا تتطلب مزيدًا من التحقيق، يجب تسجيل الأساس المنطقي الذي يشرح القرار.
د. التحقيق في جميع الحالات التي يشتبه في ارتكاب عمليات احتيال فيها أو تم تحديدها.
هـ. الاحتفاظ بسجل شامل لجميع الأدلة والتحقيقات المتعلقة بالاحتيال المحتمل والفعلي لفترة محددة في جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية وبما يتوافق مع المادة 12 من نظام مكافحة غسل الأموال.
7. العملية الواجب اتباعها في حالة اكتشاف حادث احتيال محتمل خارج ساعات العمل العادية للمؤسسة المالية.
8. شرط الشروع في استجابة فورية عند تحديد عملية احتيال محتملة لأمن نقاط النهاية للدفع بالجملة.
9. عندما يتعلق الاحتيال الفعلي أو المحتمل بالخدمات المُقدمة للعميل أو الدفع إلى/من مؤسسة مالية أو عميل، يجب أن تتطلب خطة الاستجابة للاحتيال من المؤسسات المالية ما يلي:
أ. تحديد ما إذا كانت المعاملة الاحتيالية المحتملة قد اكتملت أو أنها في طور الاكتمال.
ب. إذا لم تكتمل المعاملة: اتخاذ إجراء فوري لمنع المعاملة أو تعليقها والتنسيق بشكل استباقي مع أي من المؤسسات المالية المعنية لاتخاذ الإجراءات المطلوبة مع الأخذ في الاعتبار دور غرفة المشاركة - مركز العمليات.
ج. الاستجابة الاستباقية للطلبات المتعلقة بالمعاملات الاحتيالية المشتبه بها عند تلقي إخطار من مؤسسة مالية أخرى بناءً على البروتوكولات المتفق عليها لغرفة المشاركة - مركز العمليات.
د. حظر المنتج أو تجميده (أو أي خدمات مرتبطة به مثل بطاقات الائتمان أو بطاقات الخصم المُخترقة) لمنع المزيد من المعاملات حتى اكتمال التحقيق، وعند الضرورة تتم إعادة تعيين بيانات اعتماد الأمان أو إصدار بطاقة جديدة.
هـ. منع أي معاملات أخرى من أو إلى أي أرقام حسابات مصرفية دولية خارج المؤسسة المالية والتي تم استخدامها لارتكاب عملية الاحتيال ومشاركة رقم الحساب المصرفي الدولي مع المؤسسة الخارجية لتجميد الحساب.
و. التعاون مع المؤسسات الأخرى في حال تلقي طلب تجميد منتج، وكانت هناك مبررات للاشتباه.
ز. إذا اكتملت المعاملة وأثبت التحقيق أن المعاملة احتيالية: إلغاء المعاملة أو طلب استرداد الأموال حيثما أمكن ذلك.
ح. الاتصال بالعميل أو الطرف الخارجي لإبلاغه بالإجراءات المُتخذة والخطوات التالية.
ط. التحقق من هوية العميل قبل إعادة تفعيل الخدمات بعد تجميد الحساب بسبب تعرضه لعملية احتيال.
2.6. التنبيه وإدارة الحالات
المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة نظام إدارة الحالات لإدارة الاستجابة للاحتيال. من شأن ذلك أن يسهّل تسجيل ورصد وتخزين البيانات المتعلقة بالتقييم والتحقيق وتسوية حالات الاحتيال المشتبه فيها والمحددة.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تنفيذ وحفظ نظام إدارة الحالات لإدارة الاستجابة للاحتيال والعمل كقاعدة بيانات لبيانات حالات الاحتيال.
ب. يجب استخدام نظام إدارة الحالات لتسجيل ومراقبة تنبيهات الاحتيال المشتبه بها والتقارير الداخلية والخارجية والتحقيقات في الحالات بدءًا من التقييم الأوليّ وحتى الحل.
ج. يجب أن يتمتع نظام إدارة الحالات بالقدرة على:
1. تقييد وصول المستخدم إلى الأفراد والأدوار المصرح لهم.
2. إعداد مسار عمل يتماشى مع النموذج التشغيلي الخاص بالمؤسسة المالية.
3. قابلية التهيئة للتكيف مع التغييرات في النموذج التشغيلي للمؤسسة المالية أو خطة الاستجابة للاحتيال.
4. إسناد الحالات إلى المسؤولين عنها.
5. تصنيف حالات الاشتباه بالاحتيال للاسترشاد بذلك في إعداد التقارير وتحليل التوجهات.
6. تتبع الحالة من التنبيه الأوليّ أو الإبلاغ إلى الحل.
7. تسجيل خطوات التحقيق المتبعة.
8. العمل كمستودع لجميع المعلومات المطلوبة للتحقيق في قضية الاحتيال وحلها (على سبيل المثال، معلومات الأطراف ذات الصلة، ومذكرات الحالات، والأدلة الوثائقية، واتصالات العملاء، والأساس المنطقي لاتخاذ القرار).
9. تسجيل النتيجة عند حل القضية، بما في ذلك أي خسائر وإجراءات تصحيحية.
10. حفظ السجلات بما يتماشى مع جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية.
د. يجب أن يتطلب نظام إدارة الحالات تسجيل المعلومات الإدارية والسماح باستخراجها للإبلاغ عن حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. تنبيه المعرَّف الفريد (حيثما ينطبق ذلك).
2. المعرَّف الفريد لمعاملة الاحتيال.
3. تاريخ التنبيه أو الإخطار الأوليّ.
4. تاريخ ووقت المعاملات الاحتيالية.
5. اسم العميل ورقم الحساب.
6. وضع الحالة.
7. مصدر الحادث (على سبيل المثال، الموقع الإلكتروني أو حساب على وسائل التواصل الاجتماعي أو رقم الهاتف الذي يستخدمه المحتال).
8. القناة المُستخدمة في المعاملات الاحتيالية.
9. الأطراف ذات الصلة.
10. معلومات عن المحتال (على سبيل المثال، عنوان بروتوكول الإنترنت، ومعرف الجهاز، وتحديد الموقع الجغرافي).
11. نتيجة التحقيق.
12. الإجراءات التصحيحية.
13. قيمة الاحتيال.
14. الخسائر (التجارية وغير التجارية).
15. الأساليب المُستخدمة لمعرفة الاحتيال/نوع الاحتيال (على سبيل المثال، كيفية ارتكاب الاحتيال، وأين تم تحويل الأموال في حالة فقدانها).
3.6. التحقيق في الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه لتوجيه نهج ثابت للتحقيق في الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه.
ب. يجب مراقبة الامتثال لمعايير التحقيق في الاحتيال.
ج. يجب قياس فعالية معيار التحقيق في الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
د. يجب أن يوجه معيار التحقيق في الاحتيال نهجًا متسقًا للتحقيق في الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. إسناد الحالة لفرد أو فريق يتمتع بالمهارات والخبرة المطلوبة.
2. تقييم حساسية الوقت فيما يتعلق بعملية الاحتيال أو الاحتيال المحتمل (على سبيل المثال، هل ستزداد الخسائر إذا لم يتم حل القضية، أو هل تُرِك العميل دون إمكانية الحصول على أمواله).
3. تقييم الأهمية الجوهرية للاحتيال أو الاحتيال المحتمل (على سبيل المثال، عدد العملاء المتأثرين، والخسائر المحتملة، والتهديد النظامي).
4. جمع وتحليل المعلومات لمراجعة الاشتباه في الاحتيال (على سبيل المثال، معلومات المعاملة، وعناوين بروتوكولات الإنترنت المُستخدمة، وتسجيلات الهاتف، ولقطات الدوائر التلفزيونية المغلقة).
5. التعاون مع الخبراء المتخصصين الداخليين المعنيين وأصحاب المصلحة (مثل الشؤون القانونية والسيبرانية والموارد البشرية والجرائم المالية) وتشكيل فريق تحقيق متعدد التخصصات عند الاقتضاء.
6. تقييم المهارات المطلوبة لإجراء التحقيق في الحالات الأكثر تعقيدًا (مثل المحاسبة الجنائية، وتحليل البيانات).
7. التواصل مع العميل أو الأطراف الخارجية للحصول على مزيد من المعلومات.
8. التنسيق مع المؤسسات المالية الأخرى لتبادل المعلومات.
9. توثيق خطوات التحقيق المُتخذة.
10. إدارة وحفظ المعلومات التي تم جمعها.
11. تقييم ما إذا كان قد حدث احتيال وانتهاء التحقيق أو إغلاقه.
12. تسجيل نتيجة التحقيق.
13. إعداد تقرير حالة والإبلاغ داخليًا عن نتائج التحقيق عند الاقتضاء.
14. اتخاذ الإجراءات التصحيحية عند انتهاء التحقيق.
15. تحديد الإخطارات الخارجية المطلوبة (على سبيل المثال، الاتصال بسلطات إنفاذ القانون، وإخطار وكالات الائتمان المرجعية، وإبلاغ البنك المركزي، وإبلاغ الإدارة العامة للاستخبارات المالية إذا كان لدى المؤسسة المالية أي شك يصل إلى المستوى المنصوص عليه في المادة 15 من نظام مكافحة غسل الأموال والمادة 17 من نظام مكافحة جرائم الإرهاب وتمويله).
16. تحديد السبب الجذري لحوادث الاحتيال والأخطاء الوشيكة.
17. استخلاص الدروس المستفادة وتقديم التعقيبات إلى:
أ. إدارة مكافحة الاحتيال.
ب. الفريق المسؤول عن تطوير وصيانة أنظمة مكافحة الاحتيال.
ج. مسؤولو الأعمال بشأن المعايير والعمليات والضوابط التي يتم فيها تحديد الثغرة الأمنية.
د. المراقبة الاستخباراتية.
هـ. يجب أن يتطلب معيار التحقيق في الاحتيال اتخاذ الإجراءات التصحيحية عند الاقتضاء عند إنجاز التحقيق في الاحتيال.
4.6. معالجة الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال، وتحديد أي دروس مستفادة واتخاذ الإجراءات التصحيحية لمنع تكرار الحوادث.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال في نهاية التحقيق. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. فهم نقطة الثغرة (على سبيل المثال، القناة التي تم استخدامها لارتكاب عملية الاحتيال أو السيطرة على الحساب).
2. تحديد ما إذا كان من الممكن أن تكون أطراف أخرى متورطة في عملية الاحتيال (على سبيل المثال، موظفين إضافيين من خلال التواطؤ أو أشخاص معروفين للعميل).
3. مراجعة ما إذا كانت المراقبة الوقائية قد فشلت أو قد تجاوزها الموظف.
4. تقييم ما إذا كان الاحتيال قد تم تحديده بشكل استباقي من خلال مراقبة المباحث أو الاعتماد على إشعار العميل التفاعلي.
ب. بعد تحديد السبب الجذري، يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لتحديد الدروس المستفادة وتوجيه الإجراءات التصحيحية لمنع تكرارها. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. تجميع البيانات التي قد تدعم تحليل الأنماط في حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر، عناوين بروتوكولات الإنترنت المُستخدمة وحسابات المستفيدين ومعرفات الأجهزة ذات الصلة.
2. تقييم ما إذا كانت هناك فجوة في إطار الرقابة الحالي.
3. تحديد ما إذا كانت الإدارات الأخرى في المؤسسة المالية تعاني من نفس الثغرة الأمنية.
4. تقييم ما إذا كانت المشكلة يمكن أن تؤثر على المؤسسات المالية الأخرى ومشاركة المعلومات ذات الصلة التي قد تمنع تكرارها (على سبيل المثال، المواقع المزيفة التي تنتحل صفة جهات حكومية أو حسابات وسائل التواصل الاجتماعي).
5. توثيق الإجراءات التصحيحية لمعالجة السبب الجذري ومنع تكراره.
ج. يجب على المؤسسات المالية اتخاذ إجراءات تصحيحية لمعالجة السبب الجذري و/أو تأثير حادث الاحتيال، وقد تشمل تلك الإجراءات على سبيل المثال لا الحصر:
1. تنفيذ عنصر رقابة جديد أو تحسين عنصر رقابة قائم.
2. توفير التدريب أو تقديم مواد توعوية جديدة لتعزيز وعي الموظفين أو العملاء أو الطرف الخارجي.
3. إعادة ضحية الاحتيال إلى الوضع الذي كانت عليه قبل وقوع الحادث (على سبيل المثال، تعويض الأموال المسروقة، رد المبالغ المدفوعة، استرداد دفعة احتيال، سداد المدفوعات للطرف الخارجي).
4. تقديم الدعم لضحية الاحتيال (على سبيل المثال، إبلاغه بالخطوات التالية، وتوفير بطاقة جديدة، وتوعية الضحية).
5. محاولة استرداد الأموال أو الأصول.
6. إنهاء العلاقة مع العميل أو الطرف الخارجي إذا تبين أنه مرتكب عملية الاحتيال.
7. الإجراءات التأديبية الداخلية حيث يتم تحديد الاحتيال الداخلي.
8. التواصل مع سلطات إنفاذ القانون.
د. يجب أن يتم تتبع قبول الإجراءات التصحيحية وتنفيذها من قبل إدارة مكافحة الاحتيال، مع التصعيد إلى لجنة الحوكمة المختصة بمكافحة الاحتيال حيث يتم رفض الإجراءات من الشركة أو تأخير الإجراء الإصلاحي.
الملاحق
الملحق أ - المصطلحات المُحددة
فيما يلي مصطلحات مُحددة لغرض هذا الدليل.
المصطلح المُحدد التعريف إدارة الوصول عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول إلى المستخدمين غير المصرح لهم. جلسة شاذة جلسات تسجيل الدخول إلى خدمات الهاتف المحمول أو عبر الإنترنت التي تحتوي على معايير تسجيل دخول مختلفة عن تلك التي استخدمها العميل مسبقًا، على سبيل المثال، معرف الجهاز أو الموقع؛ أو عندما يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا. كشف الحالات الشاذة اكتشاف أنماط في البيانات تختلف بشكل كبير عن السلوك المتوقع. يمكن تنفيذ اكتشاف حالات الاحتيال الشاذة كأداة استخباراتية باستخدام خوارزميات التعلم الآلي غير الخاضعة للرقابة. الذكاء الاصطناعي استخدام أنظمة الكمبيوتر لأداء المهام التي تتطلب عادةً المعرفة البشرية والقدرات المنطقية، وغالبًا ما تكون في سيناريوهات حل المشكلات. نظام الصندوق الأسود نظام معقد حيث تكون القواعد والآليات الداخلية غير مرئية أو مفهومة من جانب مالك النظام. القائمة السوداء قائمة بالأفراد أو الكيانات غير الجديرة بالثقة أو ذات المخاطر العالية والتي يجب استبعادها وتجنب التعامل معها. تُعرف أيضًا باسم قائمة الحظر. نظام إدارة الحالات نظام يُستخدم لإدارة التنبيهات وحوادث الاحتيال بدءًا من التقرير الأولي وحتى التحقيق والحل والمعالجة عند الاقتضاء. مدونة قواعد السلوك مجموعة محددة من التوقعات التي تحدد المبادئ والقيم والسلوكيات التي تعتبرها المؤسسة مهمة لعملياتها ونجاحها. المتعاقد فرد أو مؤسسة متعاقدة بموجب عقد لتقديم الخدمات إلى مؤسسة ما. ثقافة مكافحة الاحتيال القيم والمعتقدات والمعرفة والمواقف والفهم المشترك بشأن مخاطر الاحتيال داخل المؤسسة. في ظل ثقافة مكافحة الاحتيال القوية، يقوم الأشخاص بتحديد مخاطر الاحتيال ومناقشتها وتحمل المسؤولية عنها بشكل استباقي. حوكمة مكافحة الاحتيال مجموعة من المسؤوليات والممارسات التي ينفذها مجلس الإدارة والإدارة التنفيذية والإدارة العليا بهدف توفير التوجيه الاستراتيجي لمكافحة الاحتيال، وضمان تحقيق أهداف مكافحة الاحتيال، والتأكد من إدارة مخاطر الاحتيال بشكل مناسب والتحقق من استخدام موارد المؤسسة بمسؤولية. لجنة الحوكمة المختصة بمكافحة الاحتيال مجموعة تضم الأفراد المكلفين بتوفير الإشراف والتوجيه، والتأكد من أن قدرات المؤسسة المشتركة لمكافحة الاحتيال تسير بشكل مناسب وفعال. نضج مكافحة الاحتيال مدى استغلال موارد المؤسسة بشكل فعال لغرض مكافحة الاحتيال مقارنة بالمعايير المقبولة عالميًا وأفضل الممارسات. سياسة مكافحة الاحتيال مجموعة معايير لتنفيذ أنشطة مكافحة الاحتيال. وتحدد الالتزام والأهداف لمكافحة الاحتيال، وتوثق المسؤوليات. برنامج مكافحة الاحتيال مجموعة من السياسات والعمليات والمبادئ التوجيهية ونُهُج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات المستخدمة لحماية المؤسسة المالية وعملائها من تهديدات الاحتيال الداخلية والخارجية. استراتيجية مكافحة الاحتيال خطة عامة، تتألف من مشاريع ومبادرات، لتخفيف حدة مخاطر الاحتيال مع الالتزام بالمتطلبات القانونية والتشريعية والتعاقدية والمقررة داخليًا. إدارة مكافحة الاحتيال إدارة أو فريق مخصص تم تشكيله لغرض إدارة تنفيذ أهداف مكافحة الاحتيال في المؤسسة. الخدمات الحيوية الخدمات التي يقدمها طرف خارجي وقد يؤدي الإخفاق بها أو تعطلها إلى عدم تمكن المؤسسة المالية من خدمة عملائها أو الوفاء بالتزاماتها التنظيمية. الأمن السيبراني يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية. العناية الواجبة التحقيق مع موظف أو عميل أو طرف خارجي للتأكد من الحقائق وأنها كما قُدِمت. التوقف في حالات الطوارئ إمكانية الخدمة الذاتية للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للاختراق. الموظف يشمل الموظفون أعضاء مجلس الإدارة ولجانه والمسؤولين التنفيذيين والموظفين الدائمين والموظفين بعقود والاستشاريين والموظفين العاملين من خلال طرف خارجي. قرار الجهة عملية لتحديد سجلات البيانات في مصدر بيانات واحد أو عبر مصادر بيانات متعددة تشير إلى نفس الجهة الفعلية وربط السجلات معًا. الاحتيال الخارجي حدث احتيالي يقوم به أي أشخاص من "خارج" المؤسسة، أي لا يعملون لدى المؤسسة. الجريمة المالية الأنشطة الإجرامية لتوفير منفعة اقتصادية، بما في ذلك غسل الأموال؛ وتمويل الإرهاب؛ والرشوة والفساد؛ وإساءة استخدام السوق والتداول من الداخل. الاحتيال أي فعل يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر. قضية احتيال حدث فردي للاحتيال تقر به المؤسسة. مشهد الاحتيال/مشهد التهديد تهديدات الاحتيال والتوجهات والتطورات في المنظومة السياسية أو الاقتصادية أو الاجتماعية أو التقنية أو القانونية. خطة الاستجابة للاحتيال خطة توضح بالتفصيل الإجراءات التي يجب اتخاذها عند الاشتباه في حدوث عملية احتيال أو اكتشافها. وسيشمل ذلك بروتوكولات إعداد التقارير ومسؤوليات الفريق وتسجيل المعلومات. قابلية مخاطر الاحتيال مستوى مخاطر الاحتيال الذي تكون المؤسسة على استعداد لقبوله أو تحمله في إطار سعيها لتحقيق أهدافها. تقييم مخاطر الاحتيال عملية تهدف إلى معالجة تعرض المؤسسة للاحتيال. وسيتضمن ذلك تحديد مخاطر الاحتيال، وتقييم احتمالية حدوث مخاطر الاحتيال والتأثير الناتج، وتحديد الاستجابة المناسبة، ومراجعة إطار الرقابة. إدارة مخاطر الاحتيال العملية المستمرة لتحديد وتحليل ومراقبة والاستجابة لمخاطر الاحتيال التي تتعرض لها المؤسسة وعملائها. تحليل سيناريو الاحتيال اختبار سيناريوهات الاحتيال المُصممة بغرض تقييم القدرة الحالية لأنظمة الاحتيال داخل المؤسسة. تهديد الاحتيال أي ظرف أو حدث من المحتمل أن يتسبب في حدث احتيال. نوع الاحتيال تصنيف حدث الاحتيال بناءً على منهجيته والمواضيع المشتركة مع أحداث الاحتيال الأخرى. تحديد السياج الجغرافي تقييد الوصول إلى الخدمات عبر الإنترنت أو الهاتف المحمول بناءً على الموقع الجغرافي للمستخدم. حادثة حالة احتيال أو سلسلة من الحالات المرتبطة بها. خطر كامن مخاطر الاحتيال التي تتعرض لها العمليات التجارية المؤسسة أو عملائها في حالة عدم وجود ضوابط. المراقبة الاستخباراتية عملية المراجعة المستمرة وجمع المعلومات الاستخبارية حول تهديدات وأنواع الاحتيال الجديدة والناشئة من مجموعة شاملة من المصادر. الاحتيال الداخلي الاحتيال المُنفذ من خلال أو بمساعدة الأشخاص العاملين في المؤسسة. مؤشرات المخاطر الرئيسية مقياس يُستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لقدرتها على تحمل المخاطر. تستخدم المؤسسات مؤشرات المخاطر الرئيسية لتقديم إشارة مبكرة عن زيادة التعرض للمخاطر في مجالات مختلفة من المؤسسة. تحليل الكلمات الرئيسية تدوين القواعد لمطابقة الكلمات الرئيسية في جدول البحث مع تلك الموجودة في الحقول الرئيسية لسجل حالة الاحتيال. يمكن إضافة التعقيد إلى القواعد مثل اشتراط أن تكون الكلمات بترتيب معين أو المصطلحات عالية المخاطر التي غالبًا ما تشير إلى الاحتيال. التعلم الآلي استخدام أنظمة الكمبيوتر التي لديها القدرة على التعلم والتكيف دون تعليمات صريحة من خلال استخدام الخوارزميات أو النماذج للتحليل وبناء الأنماط والتوجهات في البيانات. معلومات الإدارة المعلومات التي يتم جمعها ثم تقديمها، غالبًا في شكل تقرير أو بيان، إلى الإدارة أو صناع القرار بغرض تحديد التوجهات وحل المشكلات و/أو التنبؤ بالمستقبل. المؤسسة المالية جميع المؤسسات المالية أو مقدمي الخدمات المالية الخاضعين لرقابة البنك المركزي. التحقق من صحة النموذج تحليل لتقييم ما إذا كانت مخرجات النظام تعمل كما هو متوقع. حسابات الاحتيال إنشاء حسابات (غالبًا عبر قنوات عن بُعد أو عبر الإنترنت) لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة. مصادقة متعددة العوامل التحقق باستخدام وسيلتين أو أكثر لتحقيق المصادقة. تتضمن العوامل شيئًا تعرفه (على سبيل المثال، كلمة المرور/رقم التعريف الشخصي)، أو شيئًا تملكه (على سبيل المثال، جهاز تعريف التشفير، الرمز المميز «توكين»)، أو شيئًا ما (على سبيل المثال، القياسات البايومترية). الأخطاء الوشيكة حوادث الاحتيال المحتملة التي يتم كشفها ومعالجتها قبل وقوع حادث الاحتيال مما يتسبب في خسارة مالية. خرق السياسة عدم الامتثال لمتطلبات السياسة أو تجاهلها. اختبار الدقة والاسترجاع مقاييس لتقييم فعالية النماذج.
الدقة: قدرة نموذج التصنيف على تحديد نقاط البيانات ذات الصلة فقط.
الاسترجاع: قدرة النموذج على إيجاد جميع الحالات ذات الصلة ضمن مجموعة بيانات.
التحليلات التنبؤية استخدام الإحصائيات وطرق نمذجة لتحديد النتائج أو الأداء المستقبلي. مصفوفة توزيع الصلاحيات والمسؤوليات مصفوفة توضح المنفذ والمسؤول والمستشار والمطلع ضمن الإطار التنظيمي. المخاطر المتبقية المخاطر المتبقية بعد قيام الإدارة بتنفيذ الاستجابة للمخاطر. المخاطرة مقياس لمدى تعرض lلمؤسسة لتهديد من خلال ظرف أو حدث محتمل، وعادة ما تكون في صورة: (i) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (ii) احتمالية الحدوث. عوامل الخطر فئات مختلفة من المخاطر التي يجب على المؤسسات مراعاتها عند إجراء تقييم مخاطر الاحتيال القواعد تستخدم القواعد المُطبقة في أنظمة منع الاحتيال وكشفه الارتباط والإحصائيات والمقارنة المنطقية للبيانات لتحديد النمط بناءً على الرؤى المكتسبة من حوادث الاحتيال المعروفة السابقة. عمليات الخداع عند خداع فرد لإجراء عملية دفع أو السماح بالدفع إلى حساب مجرم. عادةً ما يستخدم المحتالون الهندسة الاجتماعية، ويمكنهم انتحال صفة البنوك وفرص الاستثمار وشركات المرافق والهيئات الحكومية باستخدام رسائل البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة التي تبدو حقيقية. اللجنة القطاعية لمكافحة الاحتيال لجنة يديرها البنك المركزي لمكافحة الاحتيال الذي يشمل المؤسسات المالية العاملة في المملكة (مثل لجنة مكافحة الاحتيال المصرفي). الإدارة العليا أعلى مستوى للإدارة في المؤسسة (المستوى التالي لمجلس الإدارة) ومرؤوسيه المباشرين. اتفاقية مستوى الخدمة المسؤوليات المحددة للتنفيذ، عادةً ما تكون اتفاقًا بشأن التوقيت المناسب أو الجودة، على سبيل المثال فيما يتعلق بإدارة تنبيهات الاحتيال. البيانات الثابتة البيانات ذات معدل التغيير المنخفض (مثل الاسم وعنوان البريد الإلكتروني ورقم الهاتف المحمول وحقوق التوقيع وعينة التوقيعات والتوكيل). الدليل التنظيمي لأمن المعلومات الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي. الطرف الخارجي كيان منفصل وغير مرتبط يقدم خدمة للمؤسسة. وقد يشمل ذلك الموردين ومقدمي الخدمات التقنية (مثل أبشر ونفاذ) والمتعاقدين الخارجيين والوسطاء والسماسرة والمقدمين والوكلاء. استخبارات التهديدات الاستخبارات المتعلقة بالتهديدات هي معرفة قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول التهديد أو الخطر الحالي أو الناشئ على الأصول التي يمكن استخدامها لإبلاغ القرارات المتعلقة باستجابة الشخص لذلك التهديد أو الخطر. تحليل التوجهات عملية جمع ومراجعة المعلومات لتحديد الأنماط والتنبؤ بالتوجهات المستقبلية. جهاز موثوق به الجهاز الموثوق به هو جهاز يمتلكه العميل ويتحكم في الوصول إليه ويستخدمه كثيرًا. المخالفة أي فعل أو إخفاء لأعمال الاحتيال أو الفساد أو التواطؤ أو الإكراه أو السلوك غير القانوني أو سوء السلوك أو سوء الإدارة المالية أو المخالفات المحاسبية أو تضارب المصالح أو السلوك غير المشروع أو الممارسات غير القانونية أو غير الأخلاقية أو غيرها من الانتهاكات لأي قوانين وتعليمات معمول بها. سياسة الإبلاغ عن المخالفات سياسة البنك المركزي بشأن الإبلاغ عن المخالفات للمؤسسات المالية. أمن نقطة النهاية للدفع بالجملة التدابير المتخذة فيما يتعلق بأجهزة نقطة النهاية والبرمجيات والوصول المادي والوصول المنطقي والتنظيم والعمليات في نقطة مكانية وزمنية محددة حيث يتم تبادل معلومات تعليمات الدفع بين طرفين في المنظومة. الملحق ب - أنواع الاحتيال التي قد تؤثر على المؤسسة المالية وعملائها
فيما يلي قائمة غير شاملة لأنواع الاحتيال التي يجب على المؤسسة المالية مراعاتها عندما يتعلق الأمر بمنتجاتها.
- الهندسة الاجتماعية (على سبيل المثال، الحصول على بيانات اعتماد العميل، وعمليات الاحتيال الاستثمارية، وعمليات الاحتيال في الشراء، وعمليات الاحتيال في الفواتير، وعمليات الاحتيال في الرسوم المسبقة).
- الاستيلاء على الحساب (على سبيل المثال، الوصول إلى منتج العميل أو جهازه للتحكم في الأصول أو المعاملات).
- انتحال الشخصية (على سبيل المثال، الحصول على معلومات شخصية لاستخدامها لمصلحة المنتحل الخاصة؛ وانتحال هوية شخص آخر للوصول إلى المنتجات؛ وانتحال شخصية هيئة حكومية للحصول على معلومات العملاء).
- الاحتيال الداخلي (على سبيل المثال، اختلاس الأصول؛ والاحتيال في مجال المشتريات؛ وسرقة الأصول أو النقد؛ وسرقة الملكية الفكرية؛ وتزوير المعلومات؛ ونقل المعلومات بشكل غير مصرح به إلى أطراف خارجية؛ ومطالبات بنفقات مزيفة؛ وإساءة استخدام السلطة؛ والتواطؤ؛ واستخدام أصول المؤسسة لتحقيق مكاسب خاصة؛ تحويل الأموال).
- الاحتيال المحاسبي (على سبيل المثال، الإخفاء؛ إصدار فواتير مزيفة؛ الاحتيال في كشوف المرتبات؛ الاعتراف غير المناسب بالإيرادات؛ المبالغة في تقدير الأصول؛ التقليل من الالتزامات؛ المبالغة في فواتير العملاء؛ الاحتيال في الخزانة والاستثمار).
- الاحتيال في التطبيقات (على سبيل المثال، عدم الكشف عن المعلومات؛ تزوير المعلومات؛ تقديم وثائق مزورة).
- الاحتيال الأمني لنقطة النهاية للدفع بالجملة.
- المنتجات المصرفية والدفع: الاحتيال على بطاقات الائتمان/الخصم؛ الاحتيال في الدفع عبر الإنترنت أو عبر تطبيق الهاتف المحمول؛ الاحتيال في استخدام الشيكات؛ الاحتيال في أجهزة الصراف الآلي؛ الاحتيال بالحسابات المزيفة.
- منتجات الائتمان والإقراض: الاحتيال في الرهن العقاري؛ الاحتيال في القروض.
الملحق ج - كيفية طلب تحديث على الدليل
فيما يلي رسم توضيحي لعملية طلب تحديث على الدليل.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أن تتم الموافقة على الطلب أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على الطلب من لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو المدير العام.
- تتولى "الإدارة العامة لمكافحة المخاطر السيبرانية" تقييم الطلب وإبلاغ المؤسسة المالية.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.
الملحق د - نموذج طلب تحديث الدليل
طلب تحديث دليل مكافحة الاحتيال المالي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية في البنك المركزي.
سينظر البنك المركزي في الطلبات المُقدمة من المؤسسة المالية لتحديث دليل مكافحة الاحتيال المالي الخاص بها بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التابع لها مقدم الطلب*
قسم الدليل*:
الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:
المقترح*:
الموافقات
1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*
التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
3. قرار البنك المركزي
موافقة البنك المركزي
التاريخ
* تشير إلى الحقول الإلزامية
الملحق هـ – كيفية طلب الإعفاء من الدليل
فيما يلي رسم توضيحي لعملية طلب الإعفاء من الدليل.
- وصف تفصيلي حول أسباب عدم تمكن المؤسسة المالية من الوفاء بإجراء الرقابة المطلوب.
- وصف تفصيلي حول الضوابط التعويضية المتاحة أو المقترحة.
- يجب أن تتم الموافقة على طلب الإعفاء أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على طلب الإعفاء من أعضاء لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب أن يتم توقيع طلب الإعفاء من رئيس مكافحة الاحتيال ومسؤول (الأعمال) ذي الصلة.
- يجب إصدار طلب الإعفاء كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو العضو المنتدب.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم طلب الإعفاء وإبلاغ المؤسسة المالية.
يظل الدليل الحالي قابلاً للتطبيق أثناء تقييم الإعفاء المطلوب ومعالجته، حتى لحظة منح الإعفاء.
الملحق و - نموذج طلب الإعفاء من الدليل
طلب الإعفاء من دليل مكافحة الاحتيال المالي الصادر عن البنك المركزي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية
سينظر البنك المركزي في طلبات الإعفاء المُقدمة من المؤسسة المالية من دليل مكافحة الاحتيال الخاص به بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التابع لها مقدم الطلب*
مراقبة الدليل*:
وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:
وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:
الموافقات
1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*
التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
3.قرار البنك المركزي
موافقة البنك المركزي
التاريخ**
* تشير إلى الحقول الإلزامية
** مدة صلاحية هذا الإعفاء سنة واحدة. وتقع على عاتق المؤسسات المالية مسؤولية ضمان تجديد هذا الإعفاء.
الملحق ز - نموذج الإخطار الإشرافي
الإخطارات الإشرافية المتعلقة بالاحتيال المالي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية بالبنك المركزي.
يشترط البنك المركزي الإخطار الفوري بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة لتخفيف حدة مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية. يجب استخدام هذا النموذج لتقديم الإخطار. يُرجى ملاحظة أنه يجب تقديم جميع المعلومات المطلوبة، ولكن من المفهوم أنه قد لا تكون جميع المعلومات متاحة في وقت الإخطار. عندما لا تكون المعلومات متاحة في وقت الإخطار، يجب تقديم أي فجوات إلى البنك المركزي على الفور مع تقدم التحقيق.
معلومات مُقدم الإخطار
توقيع مُقدم الإخطار*
منصب مُقدم الإخطار*
التاريخ*
اسم مُقدم الإخطار*
المؤسسة المالية التابع لها مُقدم الإخطار*
نوع إخطار الاحتيال*
تاريخ الحادث*
☐ نوع جديد ☐ مخالفات محاسبية كبيرة ☐ عمليات احتيال داخلية كبيرة ☐ الاحتيال الأمني لنقطة نهاية الدفع بالجملة ☐ عمليات احتيال خارجية كبيرة أصل الحادثة*:
الطرق المُستخدمة*:
الأطراف ذات العلاقة (الداخلية والخارجية)*:
النتيجة (بما في ذلك الخسائر حيثما ينطبق ذلك)*:
الإجراءات التصحيحية*:
معلومات إضافية:
* تشير إلى الحقول الإلزامية
حماية البيانات الشخصية
الالتزام بنظام حماية البيانات الشخصية والسياسات والضوابط والقواعد الصادرة لحوكمة البيانات
اشارة إلى نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 1443/02/09هـ*، وإلى السياسات والضوابط والقواعد الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي ومكتب إدارة البيانات الوطنية في شأن حوكمة البيانات، وذلك استناداً إلى الصلاحيات الممنوحة لها بموجب قرار مجلس الوزراء رقم (292) وتاريخ 1441/04/27هـ. ونظراً إلى أن النظام والسياسات والضوابط والقواعد المشار إليها أعلاه تساهم في حماية وبناء الثقة في قطاع البيانات في المملكة، كما أن نطاق الإلزام في تطبيق بعض منها يشمل المؤسسات المالية الخاضعة لإشراف البنك المركزي، يودّ البنك المركزي التأكيد على الآتي:
أولاً: مراجعة السياسات والإجراءات ذات العلاقة الداخلية المعتمدة والتأكد من توافقها و/أو تعديلها بما يتّسق مع الآتي:
نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي* المشار إليه أعلاه، خلال الفترة المحددة نظاماً للالتزام. السياسات والضوابط والقواعد الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي التي يمكن الوصول إليها عبر الرابط الإلكتروني الآتي: (sdaia.gov.sa/ndmo). ثانياً: تقييم الفجوات التنظيمية (Gap Analysis) مع النظام والسياسات والضوابط والقواعد المشار إليها أعلاه ووضع الخطة الزمنية لتصحيحها وعرضها على مجلس الإدارة لاعتمادها.
وبموجب التعميم رقم (44043873) وتاريخ 1444/5/24هـ واستناداً إلى الصلاحيات المنوطة بالبنك المركزي السعودي بموجب الأنظمة واللوائح ذات العلاقة، ونظراً لما تم رصده من وجود بعض الممارسات التي تشترط الإفصاح من قبل العملاء الأفراد عن بعض بياناتهم الشخصية قبل تقديم الخدمة أو المنتج دون أن تكون ضرورية سواء كان ذلك بشكل مباشر أو من خلال طرف ثالث، يؤكد البنك المركزي على كافة المؤسسات المالية التقيد التام بحماية البيانات الشخصية للعملاء وفق ما تقضي به الأنظمة والتعليمات المشار اليها أعلاه، وما يصدره البنك المركزي في هذا الشأن، ومراجعة الإجراءات ذات الصلة بممارسات الإفصاح عن البيانات الشخصية للعملاء واتخاذ ما يلزم للحفاظ عليها، ووضع الإجراءات والضوابط اللازمة لضمان أمنها وسلامتها واستخدامها للأغراض التي جُمعت لأجلها، وتزويد البنك المركزي بتقرير يوضح الإجراءات المتخذة حيال ذلك.يكون التواصل في هذا الشأن مع البنك المركزي وذلك عبر البريد الإلكتروني الآتي: (CRC.Compliance@SAMA.GOV.SA).
*عدل هذا النظام بموجب المرسوم الملكي رقم م/148 و تاريخ 1444/09/05هـ.