Skip to main content
رجوع طباعة مخصصة Text Only Rich Text طباعة / حفظ بصيغةPDF
تحميل الوثيقة الأصلية

  • 2.3 إدارة مخاطر الأمن السيبراني والامتثال

    إدارة المخاطر هي العملية المستمرة لتحديد المخاطر وتحليلها والاستجابة لها ومراقبتها ومراجعتها. وتركز عملية إدارة مخاطر الأمن السيبراني بشكل خاص على إدارة المخاطر المتعلقة بالأمن السيبراني. وليتسنى للمؤسسات المالية إدارة مخاطر الأمن السيبراني، يجب عليها القيام بالآتي:

    يجب أن يخضع الامتثال لضوابط الأمن السيبراني للمراجعة والتدقيق الدوري.

    • 1.2.3 إدارة مخاطر الأمن السيبراني

      المبدأ

      يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.

      الهدف

      ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة المالية، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة المالية.

      اعتبارات التحكم

      1.يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها.
       
      2.يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات.
       
      3.يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية.
       
      4.يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل:
       
       أ. تحديد المخاطر؛
       
       ب. تحليل المخاطر؛
       
       ج. الاستجابة للمخاطر؛
       
       د. مراقبة المخاطر ومراجعتها.
       
      5. يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة المالية، بما في ذلك (على سبيل المثال لا الحصر):
       
       أ. العمليات التجارية؛
       
       ب. تطبيقات الأعمال؛
       
       ج. مكونات البنية التحتية.
       
      6.يجب البدء في عملية إدارة مخاطر الأمن السيبراني:
       
       أ. في مرحلة مبكرة من المشروع؛
       
       ب. قبل التغيير الحرج؛
       
       ج. عند النظر في اسناد المهام إلى طرف ثالث؛
       
       د. عند إطلاق منتجات وتقنيات جديدة.
       
      7.يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها.
       
      8.يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي:
       
       أ. مالكي الأعمال؛
       
       ب. متخصصي تقنية المعلومات؛
       
       ج. متخصصي الأمن السيبراني؛
       
       د. ممثلي المستخدمين الرئيسيين.
       
      9.يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة المالية؛
       
      10.يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة المالية قبول نتائج تقييم المخاطر واعتمادها.
       
      11.يجب تحديد مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا.
       

      • 1.1.2.3 تحديد مخاطر الأمن السيبراني

        المبدأ

        يجب تحديد مخاطر الأمن السيبراني وأن يشمل التحديد الأصول والتهديدات والضوابط الحالية والثغرات الأمنية الخاصة بالمؤسسة المالية.

        الهدف

        العثور على مخاطر الأمن السيبراني التي تواجهها المؤسسة المالية والتعرف عليها ووصفها.

        اعتبارات التحكم

        1. يجب تحديد مخاطر الأمن السيبراني.
        2. يجب توثيق مخاطر الأمن السيبراني المحددة (في سجل مركزي).
        3. يجب أن يتناول تحديد مخاطر الأمن السيبراني أصول المعلومات ذات الصلة، والتهديدات، والثغرات الأمنية، وضوابط الأمن السيبراني الرئيسية الحالية.

      • 2.1.2.3 تحليل مخاطر الأمن السيبراني

        المبدأ

        يجب إجراء تحليل لمخاطر الأمن السيبراني بناءً على احتمالية حدوث مخاطر الأمن السيبراني المحددة والتأثير الناتج عنها.

        الهدف

        تحليل وتحديد طبيعة ومستوى مخاطر الأمن السيبراني المحددة.

        اعتبارات التحكم

        1. يجب إجراء تحليل لمخاطر الأمن السيبراني.
        2. يجب أن يتناول تحليل مخاطر الأمن السيبراني مستوى التأثير المحتمل على الأعمال واحتمالية وقوع أحداث تهديد للأمن السيبراني.

      • 3.1.2.3 الاستجابة لمخاطر الأمن السيبراني

        المبدأ

        تجب معالجة مخاطر الأمن السيبراني لأي من المؤسسات المالية.

        الهدف

        ضمان معالجة مخاطر الأمن السيبراني (أي قبولها، أو تجنبها، أو نقلها، أو تخفيفها).

        اعتبارات التحكم

        1.تجب معالجة مخاطر الأمن السيبراني المحددة ذات الصلة حسب قابلية المؤسسة المالية للمخاطر وحسب متطلبات الأمن السيبراني.
                 		 
        2.يجب أن تضمن الاستجابة لمخاطر الأمن السيبراني توثيق قائمة خيارات معالجة المخاطر (أي قبول المخاطر، أو تجنبها، أو نقلها، أو تخفيفها من خلال تطبيق ضوابط الأمن السيبراني).
                 		 
        3.يجب أن يشمل قبول مخاطر الأمن السيبراني ما يلي:
                 		 
         أ. النظر في الحدود المحددة مسبقًا لمستويات مخاطر الأمن السيبراني؛
         
         ب. اعتماد مالك العمل وتوقيعه مما يضمن ما يلي:
         
          1.أن يكون خطر الأمن السيبراني المقبول ضمن حدود القدرة على تحمل المخاطر ويتم إبلاغه إلى لجنة الأمن السيبراني؛
                 		 
          2.ألا يتعارض خطر الأمن السيبراني المقبول مع لوائح البنك المركزي.
                 		 
        4.يجب أن يتضمن تجنب مخاطر الأمن السيبراني قرارًا من مالك العمل بإلغاء أو تأجيل نشاط أو مشروع معين يمثل خطرًا غير مقبول على الأمن السيبراني.
                 		 
        5.لنقل مخاطر الأمن السيبراني أو مشاركتها يجب أن:
                 		 
         أ. تشتمل على مشاركة مخاطر الأمن السيبراني مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛
         
         ب. يقبلها مقدم (مقدمو) الخدمات (الداخليون أو الخارجيون) المتلقون لها؛
         
         ج.تؤدي في نهاية المطاف إلى النقل الفعلي أو المشاركة لمخاطر الأمن السيبراني.
         
        6.يجب أن يشمل تطبيق ضوابط الأمن السيبراني للتخفيف من مخاطر الأمن السيبراني ما يلي:
                 		 
         أ. تحديد ضوابط الأمن السيبراني المناسبة؛
         
         ب. تقييم نقاط القوة والضعف في ضوابط الأمن السيبراني؛
         
          1.تقييم تكلفة تطبيق ضوابط الأمن السيبراني؛
                 		 
          2.تقييم مدى جدوى تطبيق ضوابط الأمن السيبراني؛
                 		 
          3.مراجعة متطلبات الامتثال ذات الصلة بضوابط الأمن السيبراني؛
                 		 
         ج.اختيار ضوابط الأمن السيبراني؛
         
         د.تحديد أي مخاطر متبقية وتوثيقها والحصول على توقيع مالك العمل عليها.
         
        7.يجب توثيق إجراءات معالجة مخاطر الأمن السيبراني في خطة معالجة المخاطر.
                 		 

      • 4.1.2.3 مراقبة المخاطر السيبرانية ومراجعتها

        المبدأ

        تجب مراقبة التقدم المحرز في معالجة مخاطر الأمن السيبراني وتجب مراجعة فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.

        الهدف

        التأكد من تنفيذ معالجة مخاطر الأمن السيبراني وفقًا لخطط المعالجة. التأكد من فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا. 

        اعتبارات التحكم

        1.تجب مراقبة معالجة الأمن السيبراني، بما في ذلك:
         
         أ. تتبع التقدم وفقًا لخطة المعالجة؛
         
         ب. يجري تنفيذ ضوابط الأمن السيبراني المختارة والمتفق عليها.
         
        2.تجب مراجعة تصميم وفعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
         

    • 2.2.3 الامتثال التنظيمي

      المبدأ 

      يجب أن تضع المؤسسة المالية عملية لتحديد تداعيات الأمن السيبراني على اللوائح ذات الصلة وتبليغها والامتثال لها.

      الهدف

      الامتثال للوائح التي تؤثر على الأمن السيبراني للمؤسسة المالية.

      اعتبارات التحكم

      1.يجب إنشاء عملية لضمان الامتثال للمتطلبات التنظيمية ذات الصلة التي تؤثر على الأمن السيبراني في المؤسسة المالية بأكملها. يجب أن تستوفي عملية ضمان الامتثال الآتي:
       
       أ. يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
       
       ب. يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
       
       ج. تؤدي إلى تحديث سياسة ومعايير وإجراءات الأمن السيبراني لاستيعاب أي تغييرات ضرورية (إن اقتضى الأمر).
       

    • 3.2.3 الامتثال لمعايير الصناعة الوطنية (الدولية)

      المبدأ

      يجب على المؤسسة المالية الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).

      الهدف

      الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).

      اعتبارات التحكم

      1.يجب على المؤسسة المالية الامتثال للآتي:
       
       أ. معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)؛
       
       ب. المعيار الفني لنظام الدفع الموحد ببطاقات (يورو باي، وماستر كارد، وفيزا)؛
       
       ج. إطار عمل ضوابط أمن عملاء السويفت - مارس 2017.
       

    • 4.2.3 مراجعة الأمن السيبراني

      المبدأ

      يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لمراجعة دورية للأمن السيبراني.

      الهدف

      التأكد مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وتجري مراقبة فعالية هذه الضوابط.

      اعتبارات التحكم

      1.يجب إجراء مراجعات الأمن السيبراني بشكل دوري لأصول المعلومات الهامة.
       
      2.يجب أن تخضع خدمات العملاء والإنترنت للمراجعة السنوية واختبارات الاختراق.
       
      3.يجب تسجيل تفاصيل مراجعة الأمن السيبراني التي تم إجراؤها، بما في ذلك نتائج المراجعة والمشكلات المحددة والإجراءات الموصى بها.
       
      4.يجب إبلاغ مالك العمل بنتائج مراجعة الأمن السيبراني.
       
      5.يجب أن تخضع مراجعة الأمن السيبراني لمراجعات متابعة للتحقق مما يلي:
       
       أ. تمت معالجة كافة المشاكل التي تم تحديدها؛
       
       ب. تمت معالجة المخاطر الحرجة بشكل فعال؛
       
       ج. تتم إدارة جميع الإجراءات المتفق عليها بشكل مستمر.
       

    • 5.2.3 عمليات تدقيق الأمن السيبراني

      المبدأ

      يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لعمليات تدقيق شاملة ومستقلة ومنتظمة للأمن السيبراني يتم إجراؤها وفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.

      الهدف

      التأكد بدرجة معقولة مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وما إذا كانت فعالية هذه الضوابط خاضعة للمراقبة.

      اعتبارات التحكم

      1. يجب إجراء عمليات تدقيق الأمن السيبراني بشكل مستقل ووفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.

      2. يجب إجراء عمليات تدقيق الأمن السيبراني وفقًا لدليل التدقيق وخطة التدقيق الخاصة بالمؤسسة المالية.