3 متطلبات التحكم
1.3 قيادة وحوكمة الأمن السيبراني
معرّف التحكم وصف متطلبات التحكم 1.1.3. يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.
2.1.3 يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية).
3.1.3. يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية.
4.1.3 يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو الحالي، بما في ذلك على الأقل:
أ.
تقييم مخاطر الأمن السيبراني والاحتيال التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و
ب.
اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسمم).
5.1.3 يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل:
أ.
تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛
ب.
إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و
ج.
استخدام تقنيات عدم التخزين المؤقت.
6.1.3
يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.
راجع إطار (أطر) عمل البنك المركزي الأخرى
2.3 عمليات وتقنية الأمن السيبراني
معرّف التحكم
وصف متطلبات التحكم 1.2.3
يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها.
2.2.3
يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات.
3.2.3.
يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي:
أ.
تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛
ب.
التوفر.
4.2.3
يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.
5.2.3
يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات.
6.2.3
يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد تغيير رئيسي/ حَرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني.
7.2.3
يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية.
8.2.3
إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة")، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق.
9.2.3
يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.
10.2.3
يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر:
أ. الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛
ب. تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛
ج. التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و
د. في حالة الأجهزة المحمولة: 1. فصل بيانات الكيانات وتشفيرها؛ و 2. المسح الآمن لبيانات الكيانات المخزنة في حالات فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع عملية التخلص الآمن من أصول المعلومات. 11.2.3
يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى.
12.2.3
يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث.
13.2.3
يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.
14.2.3
يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب.
15.2.3
يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية.
16.2.3
يجب على الكيانات إبلاغ البنك المركزي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك:
أ.
الأمن السيبراني؛
ب.
الاحتيال؛
ج.
جميع الأحداث الفوضوية.
راجع إطار (أطر) عمل البنك المركزي الأخرى
- 3.3.14 إدارة أحداث الأمن السيبراني
3.3 المرونة
معرّف التحكم
وصف متطلبات التحكم 1.3.3
يجب أن يتم تحديد خطة استمرارية الأعمال (BCP)وخطة التعافي من الكوارث(DRP) والموافقة عليها والإبلاغ بها وتنفيذها ومراجعتها بشكل دوري لتمكين الكيانات من الاستمرار في تقديم خدماتها الحيوية بمستوى مقبول ومحدد مسبقًا.
3.3.2.
يجب على الكيانات تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ.
المتطلبات القانونية والتنظيمية؛
ب.
البيانات الحرجة وبيانات العملاء؛
ج.
متطلبات العمل؛
د.
الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛
هـ.
حماية البيانات السرية المخزنة في الوسائط الاحتياطية من خلال تطبيق تقنيات التشفير؛
و.
تخزين وسائط النسخ الاحتياطي دون الاتصال بالإنترنت أو في موقع خارج الموقع؛ و
ز.
التدمير الآمن للبيانات الاحتياطية.
ح.
اختبارات الاستعادة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
إطار عمل إدارة استمرارية الأعمال