3 متطلبات الضابط
1.3 قيادة وحوكمة الأمن السيبراني
معرّف التحكم وصف متطلبات التحكم 1.1.3. يجب على المؤسسات المالية وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.
2.1.3 يجب على المؤسسة المالية تحديد واعتماد وتطبيق ونشر سياسات وإجراءات الأمن السيبراني مدعومةً بمعايير أمنية مفصلة (مثل معايير كلمة المرور، ومعايير جدار الحماية).
3.1.3. يجب على المؤسسة المالية مراجعة وتحديث سياسات وإجراءات ومعايير الأمن السيبراني بشكل دوري مع الأخذ بعين الاعتبار التطورات في التهديدات السيبرانية.
4.1.3 يجب على المؤسسة المالية دمج متطلبات الأمن السيبراني ضمن النموذج التشغيلي لأعمالها الجديد و/أو القائم، وأن تشمل المتطلبات ما يلي:
أ.
تقييم مخاطر الأمن السيبراني والاحتيال التي قد تنطبق على النموذج التشغيلي لأعمالها؛
ب.
اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات (مثل سرقة النماذج، والمدخلات الضارة، وتسميم البيانات)
5.1.3 يجب على المؤسسة المالية وضع وتطبيق سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصولها المعلوماتية، بما يشمل:
أ.
تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها ومستوى تعقيدها؛
ب.
حجب الوصول بعد ثلاثة محاولات متتالية بكلمات مرور غير صحيحة؛ و
ج.
استخدام تقنيات منع التخزين المؤقت.
6.1.3
يجب على المؤسسة المالية إجراء تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني متضمنةً (البنى التحتية، والشبكة، والتطبيقات، والأنظمة) والضوابط المطبقة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر التي تم تحديدها في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.
راجع إطار (أطر) عمل البنك المركزي الأخرى
2.3 عمليات وتقنية الأمن السيبراني
معرّف التحكم
وصف متطلبات التحكم 1.2.3
يجب على المؤسسة المالية وضع إجراءات إدارة هويات الدخول والصلاحيات لتنظيم عمليات الوصول المنطقي إلى الأصول المعلوماتية وفق مبدئ الحاجة.
2.2.3
يجب على المؤسسة المالية وضع إجراءات إدارة التغيير لضمان تصنيف التغييرات على أصولها المعلوماتية واختبارها واعتمادها قبل تطبيقها في بيئات الإنتاج. وأن تتضمن إجراءات إدارة التغيير متطلبات الأمن السيبراني للتحكم في التغييرات على الأصول المعلوماتية.
3.2.3.
يجب على المؤسسة المالية إعداد والمحافظة على بنية شبكة آمنة مع مراعاة ما يلي:
أ.
تجزئة الشبكات، وفقًا لوظائف الخدمات، واعتماد نظم أمن الشبكة (مثل جدران الحماية) للتحكم في حركة المرور بين أجزاءالشبكة؛و
ب.
التوفر.
4.2.3
يجب على المؤسسات المالية اعتماد خوارزميات تشفير آمنة وقوية، والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.
5.2.3
يجب على المؤسسة المالية إجراء تقييمات دورية وشاملة للثغرات الأمنية وأن تغطي كلاً من التطبيقات والبنى التحتية في البيئة التقنية للمؤسسة المالية.
6.2.3
يجب على المؤسسة المالية إجراء اختبار الاختراق مرتين في السنة كحد أدنى أو بعد حدوث تغيير كبير/حساس لتقييم قدارتها الدفاعية في مجال الأمن السيبراني بشكل شامل.
7.2.3
يجب على المؤسسة المالية التأكد من اختبار حزم التحديثات والإصلاحات الأمنية الحديثة للتطبيقات والبنى التحتية، وتثبيتها في الوقت المناسب لتجنب مخاطر الاختراقات الأمنية بسبب الثغرات الأمنية.
8.2.3
يجب على المؤسسة المالية تطبيق تقنيات الحماية أثناء تصميم تطبيقاتها (على سبيل المثال لا الحصر تشويش الكود البرمجي، وتشفير الصندوق الأبيض، ومكافحة التلاعب بالكود البرمجي)، بالإضافة إلى إجراءات دورة حياة تطوير البرمجيات الآمنة (المشار إليها باسم "SSDLC").
9.2.3
يجب على المؤسسة المالية تطبيق ضوابط فعالة لحماية هويتها المؤسسية (Brand Protection) من خلال المراقبة والرصد المستمر للخدمات عبر الإنترنت مثل التطبيقات، وحسابات وسائل التواصل الاجتماعي، والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.
10.2.3
يجب على المؤسسة المالية ضمان أمن الأجهزة الطرفية (الشخصية في حال السماح بها، والخاصة بالمؤسسة) من خلال تطبيق الحد الأدنى من متطلبات الأمن السيبراني، على سبيل المثال لا الحصر:
أ. الحماية في الوقت الفعلي للأجهزة الطرفية (مثل حلول مكافحة الفيروسات والبرامج الضارة)؛
ب. تطبيق الحلول الأمنية القائمة على تقييم السلوك و/أو التواقيع؛
ج. التأكد من تحديث تواقيع مكافحة البرمجيات الضارة وفحص الأنظمة بانتظام للبحث عن الملفات الضارة أو الأنشطة غير الاعتيادية؛ و
د. في حالة الأجهزة المحمولة: 1. فصل وتشفير بيانات المؤسسة المالية؛ و 2. المسح الآمن لبيانات المؤسسة المالية المخزنة في حال فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع إجراءات التخلص الآمن من الأصول المعلوماتية. 11.2.3
يجب على المؤسسة المالية وضع وتطبيق إجراءات لجمع سجلات المراقبة الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتمكين عملية المراقبة الأمنية المستمرة. وأن تتضمن السجلات التفاصيل الكافية والاحتفاظ بها بطريقة آمنة لمدة سنة واحدة كحد أدنى.
12.2.3
يجب على المؤسسة المالية التأكد من دمج مكونات التطبيقات والبنى التحتية مع حلول إدارة سجل الأحداث والمعلومات الأمنية (SIEM).
13.2.3
يجب على المؤسسة المالية ضمان المراقبة الأمنية والتحليل المستمرة لأحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.
14.2.3
يجب على المؤسسة المالية تطوير إجراءات إدارة حوادث الأمن السيبراني بما يمكن تحديد حوادث الأمن السيبراني التي تؤثر على أصولها المعلوماتية والاستجابة لها واحتوائها في الوقت المناسب.
15.2.3
يجب على المؤسسة المالية تطبيق إعدادات مهلة الجلسة وفق إطار زمني معقول؛ على أن لا تتجاوز الجلسات غير النشطة للتطبيقات والبنى التحتية 5 دقائق.
16.2.3
يجب على المؤسسة المالية إبلاغ البنك المركزي السعودي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) فوراً في حال وقوع أي من الحوادث التالية وبتصنيف متوسط أو أعلى:
أ.
الأمن السيبراني؛
ب.
الاحتيال؛
ج.
كافة الأحداث المعطّلة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
- 3.3.14 إدارة أحداث الأمن السيبراني
3.3 المرونة
معرّف الضابط
وصف متطلبات الضابط 1.3.3
يجب على المؤسسة المالية تحديد واعتماد ونشر خطط استمرارية الأعمال (BCP) والتعافي من الكوارث (DRP) وتطبيقها، ومراجعتها بشكل دوري بما يمكنها من مواصلة تقديم خدماتها الحساسة، وفق مستوى مقبول ومحدد مسبقًا.
3.3.2.
يجب على المؤسسة المالية تحديد وتطبيق متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع مراعاة ما يلي، على سبيل المثال لا الحصر:
أ.
المتطلبات القانونية والتنظيمية؛
ب.
البيانات الحساسة وبيانات العملاء؛
ج.
متطلبات الأعمال؛
د.
الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛
هـ.
تطبيق تقنيات التشفير لحماية البيانات السرية المخزنة في وسائط النسخ الاحتياطي؛
و.
تخزين وسائط النسخ الاحتياطي دون الاتصال أو خارج الموقع الأساسي؛
ز.
الإتلاف الآمن لبيانات النسخ الاحتياطي.
ح.
اختبارات الاستعادة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
إطار عمل إدارة استمرارية الأعمال