3.3 عمليات وتقنيات الأمن السيبراني
من أجل الحفاظ على حماية العمليات والتقنيات الخاصة بأصول المعلومات لدى المؤسسة المالية وموظفيها والأطراف الخارجية وعملائها، يجب على المؤسسات المالية التأكد من تحديد المتطلبات الأمنية لأصول المعلومات الخاصة بها والعمليات الداعمة واعتمادها وتنفيذها.
وتجب مراقبة الامتثال لمتطلبات الأمن السيبراني هذه، ويجب قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري من أجل تحديد التنقيحات المحتملة للضوابط أو القياسات.
1.3.3 الموارد البشرية
المبدأ
يجب على المؤسسة المالية دمج متطلبات الأمن السيبراني في عمليات الموارد البشرية.
الهدف
التأكد من أن مسؤوليات الأمن السيبراني لموظفي المؤسسة المالية تم تضمينها في اتفاقيات الموظفين ويتم فحص الموظفين قبل وأثناء دورة حياتهم الوظيفية.
اعتبارات التحكم
1. يجب أن تحدد عملية الموارد البشرية متطلبات الأمن السيبراني وتعتمدها وتنفذها.
2. تجب مراقبة فعالية عملية الموارد البشرية وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الموارد البشرية ما يلي:
أ. مسؤوليات الأمن السيبراني وبنود عدم الإفصاح ضمن اتفاقيات الموظفين (أثناء وبعد التوظيف)؛
ب. يجب أن يتلقى الموظفون الوعي بالأمن السيبراني في بداية وأثناء عملهم؛
ج. توقيت تطبيق الإجراءات التأديبية؛
د. الفحص والتحقق من سيرهم الذاتية؛
هـ. أنشطة الأمن السيبراني بعد التوظيف، مثل:
1. إلغاء حقوق الوصول؛
2. إعادة أصول المعلومات المخصصة (على سبيل المثال، شارة الوصول، ورموز الأمان، والأجهزة المحمولة، وجميع المعلومات الإلكترونية والمادية).
2.3.3 الأمن المادي
المبدأ
يجب على المؤسسة المالية التأكد من أن جميع المرافق التي تستضيف أصول المعلومات محمية فعليًا ضد الأحداث الأمنية المقصودة وغير المقصودة.
الهدف
منع الوصول المادي غير المصرح به إلى أصول معلومات المؤسسة المالية وضمان حمايتها.
اعتبارات التحكم
1. يجب تحديد عملية الأمن المادي واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية الأمن المادي وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الأمن المادي (على سبيل المثال لا الحصر):
أ. ضوابط الدخول المادي (بما في ذلك أمن الزائرين)؛
ب. الرصد والمراقبة (على سبيل المثال، الدوائر التلفزيونية المغلقة، وأجهزة الصراف الآلي، وتتبع نظام تحديد المواقع العالمي (GPS)، وأجهزة الاستشعار الحساسة)؛
ج. حماية مراكز البيانات وغرف البيانات؛
د. الحماية البيئية؛
هـ. حماية أصول المعلومات خلال دورة حياتها (بما في ذلك النقل والتخلص الآمن، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود).
3.3.3 إدارة الأصول
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ وتبليغ ومراقبة عملية إدارة الأصول، مما يساعد في إعداد سجل أصول دقيق وحديث وموحد.
الهدف
دعم المؤسسة المالية في إنشاء سجل دقيق وحديث ورؤية مركزية في الموقع الفعلي/الافتراضي والتفاصيل ذات الصلة لجميع أصول المعلومات المتاحة، من أجل دعم عملياتها، مثل العمليات المالية، والعمليات المتعلقة بالمشتريات وتقنية المعلومات والإنترنت والأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأصول واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الأصول ما يلي:
أ. سجل موحد؛
ب. ملكية ورعاية أصول المعلومات؛
ج. الإشارة إلى العمليات الأخرى ذات الصلة، اعتمادًا على إدارة الأصول؛
د. تصنيف أصول المعلومات، وتمييزها والتعامل معها؛
هـ. اكتشاف أصول المعلومات الجديدة.
4.3.3 هيكلية الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد ومتابعة ومراجعة هيكلية الأمن السيبراني، والتي تحدد متطلبات الأمن السيبراني في الهيكلية المؤسسية وأن تتناول مبادئ التصميم لتطوير قدرات الأمن السيبراني.
الهدف
دعم المؤسسة المالية في إنجاز هيكلية استراتيجية ومتسقة وفعالة من حيث التكلفة وشاملة للأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد هيكلية الأمن السيبراني واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لهيكلية الأمن السيبراني.
3. يجب أن تتضمن هيكلية الأمن السيبراني ما يلي:
أ. مخطط استراتيجي لقدرات وضوابط الأمن السيبراني بناءً على متطلبات العمل؛
ب. اعتماد هيكلية الأمن السيبراني المحددة؛
ج. ضرورة وجود مهندسين مؤهلين للأمن السيبراني؛
د. مبادئ التصميم لتطوير ضوابط الأمن السيبراني وتطبيق متطلبات الأمن السيبراني (أي: مبدأ الأمن حسب التصميم)؛
هـ. المراجعة الدورية لهيكلية لأمن السيبراني.
5.3.3 إدارة الهوية والوصول
المبدأ
يجب على المؤسسة المالية تقييد الوصول إلى أصول المعلومات الخاصة بها بما يتماشى مع متطلبات أعمالها بناءً على مبدأيّ الحاجة إلى الحصول على المعلومات أو الحاجة إلى المعرفة.
الهدف
التأكد من أن المؤسسة المالية لا تمنح امتيازات الوصول المصرح به والكافي إلا للمستخدمين المعتمدين.
اعتبارات التحكم
1. يجب تحديد سياسة لإدارة الهوية والوصول، بما في ذلك المسؤوليات والمساءلات، واعتمادها وتنفيذها.
2. يجب مراقبة الامتثال لسياسة الهوية والوصول.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن سياسة إدارة الهوية والوصول وتقييمها بشكل دوري.
4. يجب أن تتضمن سياسة إدارة الهوية والوصول ما يلي:
أ. متطلبات العمل للتحكم في الوصول (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة)؛
ب. إدارة وصول المستخدمين (على سبيل المثال، الموظفين الجدد، والمنتقلين، المغادرين):
1. يجب تغطية جميع الأنواع المحددة للمستخدمين (أي: الموظفين الداخليين، والأطراف الخارجية)؛
2. يجب على قسم الموارد البشرية إجراء تغييرات في الحالة الوظيفية أو المناصب الوظيفية للموظفين الداخليين (مثل الموظفين الجدد، والمنتقلين، والمغادرين)؛
3. يجب على الطرف المسؤول المعين إجراء التغييرات على الموظفين الخارجيين أو الأطراف الخارجية؛
4. تُمنح الموافقة رسميًا على طلبات وصول المستخدم وفقًا لمتطلبات العمل والامتثال (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة لتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
5. تجب معالجة التغييرات في حقوق الوصول في الوقت المناسب؛
6. تجب مراجعة حقوق وصول المستخدم وملفاته الشخصية بشكل دوري؛
7. يجب إنشاء سجل تدقيق لطلبات وصول المستخدم وطلبات الإلغاء المقدمة والمعتمدة والمعالجة؛
ج. يجب دعم إدارة وصول المستخدم بالأتمتة؛
د. مركزية وظيفة إدارة الهوية والوصول؛
هـ. المصادقة متعددة العوامل للأنظمة والملفات الشخصية الحساسة والمهمة؛
و. إدارة الوصول المميز والوصول عن بعد، والتي يجب أن تتناول ما يلي:
1. تخصيص الوصول المميز والوصول عن بعد وتقييد استخدامهما، مع تحديد الآتي:
أ. المصادقة متعددة العوامل الواجب استخدامها لجميع عمليات الوصول عن بعد؛
ب. المصادقة متعددة العوامل الواجب استخدامها للوصول إلى الامتيازات على الأنظمة المهمة بناءً على تقييم المخاطر؛
2. المراجعة الدورية للمستخدمين أصحاب الحسابات المميزة والمستخدمة عن بعد؛
3. المساءلة الفردية؛
4. استخدام الحسابات المميزة غير الشخصية، بما في ذلك:
أ. التقييد والمراقبة؛
ب. سرية كلمات المرور؛
ج. تغيير كلمات المرور بشكل متكرر وفي نهاية كل جلسة.
6.3.3 أمن التطبيقات
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.
الهدف
ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن التطبيقات.
3. يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري.
4. يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC).
5. يجب أن يتضمن معيار أمان التطبيق ما يلي:
أ. المعايير الآمنة للتشفير؛
ب. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛
ج. الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛
د. حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
هـ. إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛
و. إجراءات النسخ الاحتياطي والاسترداد؛
ز. المراجعة الدورية للامتثال للأمن السيبراني.
7.3.3 إدارة التغيير
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.
الهدف
التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة المالية تجري وفق عملية صارمة للتحكم في التغييرات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لعملية إدارة التغيير.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري.
4. يجب أن تتضمن عملية إدارة التغيير ما يلي:
أ. متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛
ب. الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء):
1. اختبار الاختراق؛
2. مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛
3. مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا
4. تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛
ج. موافقة مالك العمل على التغييرات؛
د. الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛
هـ. موافقة المجلس؛
و. مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛
ز. يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛
ح. إجراءات التغييرات والإصلاحات الطارئة؛
ط. الإجراءات الاحتياطية وإجراءات التراجع.
8.3.3 أمن البنية التحتية
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لمكونات البنية التحتية الخاصة بها واعتماد هذه المعايير وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعاليتها وتقييمها بشكل دوري.
الهدف
دعم توثيق جميع ضوابط الأمن السيبراني داخل البنية التحتية رسميًا ومراقبة الامتثال وتقييم فعالية هذه الضوابط بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير أمن البنية التحتية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن البنية التحتية.
3. يجب قياس فعالية ضوابط الأمن السيبراني للبنية التحتية وتقييمها بشكل دوري.
4. يجب أن تشمل معايير أمن البنية التحتية جميع حالات البنية التحتية المتاحة في مركز (مراكز) البيانات الرئيسية وموقع (مواقع) بيانات التعافي من الكوارث والمساحات المكتبية.
5. يجب أن تشمل معايير أمان البنية التحتية جميع حالات البنية التحتية (على سبيل المثال، أنظمة التشغيل، والخوادم، والأجهزة الافتراضية، وجدران الحماية، وأجهزة الشبكة، ونظام كشف التسلل، ونظام منع التسلل، والشبكة اللاسلكية، وخوادم البوابة، والخوادم الوكيلة، وبوابات البريد الإلكتروني، والاتصالات الخارجية، وقواعد البيانات، ومشاركات الملفات، ومحطات العمل، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والأجهزة المحمولة، ونظام السنترال الداخلي PBX).
6. يجب أن يشمل معيار أمان البنية التحتية ما يلي:
أ. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، والأحداث التي تجب مراقبتها والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، ومنع تسريب البيانات[DLP]، وإدارة الهوية والوصول، والصيانة عن بعد)؛
ب. الفصل بين المهام داخل مكون البنية التحتية (مدعوم بمصفوفة تفويض موثقة)؛
ج. حماية البيانات المتوافقة مع مخطط التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
د. استخدام البرامج المعتمدة والبروتوكولات الآمنة؛
هـ. تجزئة الشبكات؛
و. الحماية من الأكواد/البرامج الضارة والفيروسات (واستخدام قائمة تطبيقات مصرح بها والحماية من التهديدات المستعصية المتقدمة)؛
ز. إدارة الثغرات الأمنية والتصحيحات؛
ح. الحماية من هجمات حجب الخدمة الموزعة (إن اقتضى الأمر)؛ ويجب أن يشمل ذلك:
1. استخدام خدمات التنقية؛
2. مواصفات عرض النطاق المتفق عليه؛
3. المراقبة على مدار اليوم طوال أيام الأسبوع بواسطة مركز التشغيل الأمني، ومقدم الخدمة، ومقدم خدمة التنقية؛
4. اختبار تنظيف هجمات حجب الخدمة الموزعة(DDOS) (مرتين في السنة على الأقل)؛
5. يجب تنفيذ خدمات الحماية من هجوم حجب الخدمة (DDOS) لمركز (مراكز) البيانات الرئيسية بالإضافة إلى موقع (مواقع) التعافي من الكوارث؛
ط. إجراءات النسخ الاحتياطي والاسترداد؛
ي. المراجعة الدورية للامتثال للأمن السيبراني.
9.3.3 التشفير
المبدأ
يجب تحديد واعتماد وتنفيذ استخدام حلول التشفير داخل المؤسسات المالية.
الهدف
ضمان الحماية من الوصول إلى المعلومات الحساسة وسلامتها وإمكانية التأكد من منشئ الاتصال أو المعاملات.
اعتبارات التحكم
1. يجب تحديد معيار أمان التشفير واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعايير أمان التشفير.
3. يجب قياس فعالية ضوابط أمن التشفير وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار أمان التشفير ما يلي:
أ. نظرة عامة على حلول التشفير المعتمدة والقيود ذات الصلة (على سبيل المثال، الجوانب الفنية والقانونية)؛
ب. الظروف التي يجب فيها تطبيق حلول التشفير المعتمدة؛
ج. إدارة مفاتيح التشفير، بما في ذلك إدارة دورة الحياة والأرشفة والاسترداد.
10.3.3 أحضر جهازك الخاص (BYOD)
المبدأ
عندما تسمح المؤسسة المالية باستخدام الأجهزة الشخصية (مثل الهواتف الذكية، والأجهزة اللوحية، والحواسيب المحمولة) لأغراض العمل، يجب أن يكون الاستخدام مدعومًا بمعايير الأمن السيبراني المحددة والمعتمدة والمنفذة، واتفاقيات الموظفين الإضافية والتدريب على التوعية بالأمن السيبراني.
الهدف
التأكد من تعامل الموظفين مع المعلومات المتعلقة بالأعمال وذات الطبيعة الحساسة الخاصة بالمؤسسة المالية بطريقة آمنة مع حمايتها أثناء النقل والتخزين، عند استخدام الأجهزة الشخصية.
اعتبارات التحكم
1. يجب تحديد معيار الأمن السيبراني "أحضر جهازك الخاص" واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعيار الأمن السيبراني "أحضر جهازك الخاص" .
3. يجب قياس فعالية ضوابط الأمن السيبراني المعنية بمعيار "أحضر جهازك الخاص" وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار "أحضر جهازك الخاص" ما يلي:
أ. مسؤوليات المستخدم (بما في ذلك التدريب التوعوي)؛
ب. المعلومات المتعلقة بالقيود والعواقب المترتبة على الموظفين عندما تنفذ المؤسسة المالية ضوابط الأمن السيبراني على أجهزتهم الشخصية؛ على سبيل المثال، عند استخدام الأجهزة المعدلة (تجاوز قيود الأجهزة)، أو عند إنهاء توظيفهم، أو في حالة فقدان أو سرقة الجهاز الشخصي؛
ج. فصل المعلومات المتعلقة بالأعمال عن المعلومات الشخصية (على سبيل المثال، التعبئة في الحاويات)؛
د. تنظيم تطبيقات الهاتف المحمول الخاصة بالشركات أو تطبيقات الهاتف المحمول "العامة" المعتمدة؛
هـ. استخدام إدارة الأجهزة المحمولة؛ تطبيق ضوابط الوصول إلى الجهاز وحاوية الأعمال وآليات التشفير على الجهاز الشخصي (لضمان النقل والتخزين الآمن).
11.3.3 التخلص الآمن من أصول المعلومات
المبدأ
يجب التخلص من أصول المعلومات الخاصة بالمؤسسة المالية بطريقة آمنة عندما تنتهي الحاجة إلى أصول المعلومات.
الهدف
ضمان حماية أعمال المؤسسة المالية وعملائها والمعلومات الحساسة الأخرى من التسريب أو الكشف غير المصرح به عند التخلص منها.
اعتبارات التحكم
- يجب تحديد معيار وإجراء التخلص الآمن واعتماده وتنفيذه.
- تجب مراقبة الامتثال لمعيار وإجراء التخلص الآمن.
- يجب قياس فعالية ضوابط الأمن السيبراني للتخلص الآمن وتقييمها بشكل دوري.
- يجب التخلص من أصول المعلومات وفقًا للمتطلبات القانونية والتنظيمية، عندما تنتهي الحاجة إليها (أي الالتزام بلوائح خصوصية البيانات لتجنب الوصول غير المصرح به وتجنب تسريب البيانات المقصود (وغير المقصود)).
- يجب إتلاف المعلومات الحساسة باستخدام تقنيات تجعل المعلومات غير قابلة للاسترجاع (على سبيل المثال، الحذف الآمن، المحو الآمن، والحرق، والتقطيع المزدوج، والتمزيق)
- يجب على المؤسسة المالية التأكد من أن مقدمي الخدمات الخارجيين المستخدَمين للتخلص الآمن والنقل والتخزين يلتزمون بمعايير وإجراءات التخلص الآمن ويتم قياس وتقييم الفعالية بشكل دوري.
12.3.3 أنظمة الدفع
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة معيار الأمن السيبراني المتبع في أنظمة الدفع. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحمي سرية وسلامة الأنظمة المصرفية المشتركة.
اعتبارات التحكم
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات ساما المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
13.3.3 الخدمات المصرفية الإلكترونية
المبدأ
يجب على المؤسسة المالية تحديد معيار الأمن السيبراني للخدمات المصرفية الإلكترونية واعتماده وتنفيذه ومراقبته. ويجب قياس فعالية هذا المعيار وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحافظ على سرية وسلامة معلومات العملاء ومعاملاتهم.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للخدمات المصرفية الإلكترونية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير الأمن السيبراني المتعبة في الخدمات المصرفية الإلكترونية.
3. يجب قياس مدى فعالية معيار الأمن السيبراني المتبع في الخدمات المصرفية الإلكترونية وتقييمها بشكل دوري.
4. يجب أن يشمل معيار أمن الخدمات المصرفية الإلكترونية ما يلي:
أ. استخدام تدابير حماية العلامة التجارية لحماية الخدمات المتوفرة على الإنترنت بما في ذلك وسائل التواصل الاجتماعي.
ب. الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول والهاتف الأرضي:
1. استخدام متاجر التطبيقات والمواقع الرسمية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
2. استخدام تدابير الكشف وإزالة التطبيقات والمواقع الضارة (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
3. استخدام تقنية البيئة التجريبية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
4. استخدام تقنيات عدم التخزين المؤقت (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
5. استخدام تقنيات الاتصال لتجنب وقوع "الهجوم الوسيط" (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
6. استخدام آليات المصادقة متعددة العوامل:
أ. يجب استخدام المصادقة متعددة العوامل أثناء عملية التسجيل للعميل من أجل استخدام الخدمات المصرفية الإلكترونية؛
ب. يجب تنفيذ المصادقة متعددة العوامل لجميع الخدمات المصرفية الإلكترونية المتاحة للعملاء؛
ج. يجب أن يكون استخدام أجهزة وتطبيقات رموز الأمان محميًا بكلمة مرور؛
د. إلغاء وصول العملاء بعد إدخال كلمات مرور غير صحيحة أو أرقام تعريف شخصي غير صالحة لثلاث مرات متتالية؛
هـ. يجب ألا تتم عملية تغيير رقم الهاتف المتحرك للعميل إلا من أحد الفروع أو أجهزة الصراف الآلي؛
و. يجب أن تتم عمليات طلب وتفعيل المصادقة متعددة العوامل من خلال قنوات التسليم المختلفة؛
ز. يجب تنفيذ المصادقة متعددة العوامل للعمليات التالية:
1. تسجيل الدخول؛
2. إضافة أو تعديل المستفيدين؛
3. إضافة خدمات الدفع للجهات الحكومية والمرافق؛
4. المعاملات عالية المخاطر (عندما تتجاوز الحدود المحددة مسبقاً)؛
5. إعادة تعيين كلمة المرور؛
7. يجب أن تتم عمليات إضافة وتفعيل المستفيدين من خلال قنوات التوصيل المختلفة (ينطبق على الخدمات المصرفية المقدمة عبر الهاتف المحمول والإنترنت)؛
8. يجب التأكد من توفر الخدمات المصرفية الإلكترونية بكثرة؛
9. يجب إبلاغ البنك المركزي والعملاء بفترة التعطيل المقررة للخدمات المصرفية الإلكترونية في الوقت المناسب؛
10. .الاتفاقيات التعاقدية بين المؤسسة المالية والعميل التي تنص على الأدوار والمسؤوليات والالتزامات لكل من المؤسسة المالية والعملاء؛
11. الحصول على موافقة البنك المركزي قبل إطلاق الخدمة المصرفية الإلكترونية الجديدة.
ج. أجهزة الصراف الآلي ونقاط البيع:
1. منع استغلال الثغرات الأمنية في تطبيقات الصرافات الآلية/نقاط البيع وفي البنية التحتية واكتشافها (على سبيل المثال، الكابلات، منافذ أجهزة (USB)، إعادة التشغيل) ؛
2. تدابير الأمن السيبراني، مثل تقوية أنظمة التشغيل، والحماية من البرامج الضارة، وشاشات حماية الخصوصية، وإخفاء كلمات المرور أو أرقام الحسابات (على سبيل المثال، من الشاشات والإيصالات)، والحظر الجغرافي (على سبيل المثال، تعطيل البطاقات افتراضيًا خارج دول مجلس التعاون الخليجي، وتعطيل المعاملات التي تتم بالشريط المغناطيسي)، والمراقبة بالفيديو (الدائرة التليفزيونية المغلقة)، وإلغاء البطاقات بعد إدخال أرقام تعريف شخصية غير صالحة لثلاث مرات متتالية، وحلول مكافحة النسخ الاحتيالي (الأجهزة/البرامج)، وحماية لوحة رقم التعريف الشخصي؛
3. إيقاف أجهزة الصراف الآلي عن بعد في حالة اكتشاف أنشطة ضارة.
د. خدمات الإشعارات الفورية عبر الرسائل النصية القصيرة:
1. يجب ألا تحتوي الرسائل النصية القصيرة على بيانات حساسة (على سبيل المثال، رصيد الحساب – باستثناء بطاقات الائتمان)؛
2. يجب إرسال تنبيه عبر الرسائل النصية القصيرة إلى رقمي الجوال (القديم والجديد) عند تغيير رقم الجوال الخاص بالعميل؛
3. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند طلب آلية مصادقة متعددة العوامل جديدة.
4. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل بجميع المعاملات المالية الخاصة ببيع التجزئة وبالأشخاص.
5. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند إضافة المستفيدين وتعديلهم وتفعيلهم.
14.3.3 إدارة أحداث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية لإدارة الأحداث الأمنية لتحليل التسجيلات التشغيلية والأمنية والاستجابة للأحداث الأمنية. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان التحديد والاستجابة في الوقت المناسب للحالات غير المألوفة أو الأحداث المشتبه فيها فيما يتعلق بأصول المعلومات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأحداث الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة الأحداث الأمنية وتقييمها بشكل دوري.
3. لدعم هذه العملية، يجب تحديد معيار مراقبة الأحداث الأمنية واعتماده وتنفيذه.
أ. يجب أن يتناول المعيار، في جميع أصول المعلومات، الأحداث الإلزامية التي تجب مراقبتها بناءً على التصنيف أو ملف المخاطر الخاص بأصل المعلومات.
4. يجب أن تتضمن عملية إدارة الأحداث الأمنية متطلبات لما يلي:
أ. تشكيل فريق معين مسؤول عن المراقبة الأمنية (أي مركز العمليات الأمنية)؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. منطقة محظورة لتسهيل أنشطة مركز العمليات الأمنية ومساحات العمل؛
د. الموارد المطلوبة لأنشطة مراقبة الأحداث الأمنية المستمرة (24 ساعة طوال أيام الأسبوع)؛
هـ. اكتشاف ومعالجة الأكواد البرمجية والبرامج الضارة؛
و. اكتشاف الأحداث الأمنية أو الأحداث المشبوهة أو غير المألوفة والتعامل معها؛
ز. نشر حل تحليل حزم الشبكة الأمنية؛
ح. سجلات محمية بشكل كاف؛
ط. مراقبة الامتثال الدورية للتطبيقات ومعايير الأمن السيبراني للبنية التحتية
ي. التحليل الآلي والمركزي لتسجيلات الأمان وارتباط الأحداث أو الأنماط (أي: إدارة المعلومات والأحداث الأمنية)؛
ك. الإبلاغ عن حوادث الأمن السيبراني؛
ل. اختبار دوري مستقل لفعالية مركز العمليات الأمنية (على سبيل المثال، فريق محاكاة الاختراق).
15.3.3 إدارة حوادث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ إدارة حوادث الأمن السيبراني بما يتماشى مع عملية إدارة حوادث المؤسسة، لتحديد حوادث الأمن السيبراني والاستجابة لها والتعافي منها. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان تحديد حوادث الأمن السيبراني والتعامل معها في الوقت المناسب من أجل الحد من التأثير التجاري (المحتمل) على المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة حوادث الأمن السيبراني واعتمادها وتنفيذها ومواءمتها مع عملية إدارة الحوادث المؤسسية.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة حوادث الأمن السيبراني وتقييمها بشكل دوري.
3. يجب أن يتناول المعيار الأحداث الأمنية المفروضة والمشبوهة التي يجب الاستجابة لها.
4. يجب أن تتضمن عملية إدارة الحوادث الأمنية متطلبات:
أ. تشكيل فريق مخصص مسؤول عن إدارة الحوادث الأمنية؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. القدرة الكافية المتاحة لطاقم التحقيق الجنائي المعتمد للتعامل مع الحوادث الكبرى (على سبيل المثال، الموظفين الداخليين أو التعاقد مع فريق تحقيق جنائي خارجي)؛
د. منطقة محظورة لإتاحة مساحات عمل لفريق الاستجابة لطوارئ الحاسوب؛
هـ. تصنيف حوادث الأمن السيبراني؛
و. التعامل مع حوادث الأمن السيبراني في الوقت المناسب، وتسجيل التقدم المحرز ومراقبته؛
ز. حماية الأدلة والتسجيلات ذات الصلة؛
ح. أنشطة ما بعد الحادث، مثل التحقيقات الجنائية، وتحليل الأسباب الجذرية للحوادث؛
ط. الإبلاغ عن التحسينات المقترحة إلى الرئيس التنفيذي لأمن المعلومات واللجنة المعنية؛
ي. إنشاء مستودع رقمي لحفظ حوادث الأمن السيبراني.
5. يجب على المؤسسة المالية إبلاغ " قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" فورًا عند وقوع حادث أمني متوسط أو عالي التصنيف وتحديده.
6. يجب على المؤسسة المالية الحصول على "عدم ممانعة" من "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" قبل أي تفاعل إعلامي يتعلق بالحادث.
7. يجب على المؤسسة المالية تقديم تقرير رسمي عن الحادث إلى "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" بعد استئناف العمليات، بما في ذلك تفاصيل الحادث التالية:
أ. عنوان الحادث؛
ب. تصنيف الحادث (متوسط أو مرتفع)؛
ج. تاريخ ووقت وقوع الحادث؛
د. تاريخ ووقت الحادث المكتشف؛
هـ. أصول المعلومات المشمولة؛
و. التفاصيل (الفنية) للحادث؛
ز. تحليل السبب الجذري؛
ح. الأنشطة التصحيحية المنفذة والمخطط لها؛
ط. وصف التأثير (على سبيل المثال، فقدان البيانات، وتعطل الخدمات، والتعديل غير المصرح به للبيانات، وتسريب البيانات المقصود (وغير المقصود)، وعدد العملاء المتأثرين بالحادث)؛
ي. إجمالي التكلفة المقدرة للحادث؛
ك. التكلفة المقدرة للإجراءات التصحيحية.
16.3.3 إدارة التهديدات
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة استخبارات التهديدات، واعتمادها، وتنفيذها لتحديد التهديدات التي تتعرض لها أصول معلومات المؤسسة المالية وتقييمها وفهمها باستخدام مصادر متعددة موثوقة. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
الحصول على فهم مناسب لوضع التهديد الناشئ في المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة استخبارات التهديدات واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة استخبارات التهديدات وتقييمها بشكل دوري.
3. يجب أن تشمل عملية إدارة استخبارات التهديدات ما يلي:
أ. الاستعانة بمصادر داخلية، مثل التحكم في الوصول، وسجلات التطبيقات والبنية التحتية، ونظام كشف التسلل، ونظام منع التسلل، وأدوات الأمان، إدارة المعلومات والأحداث الأمنية، ووظائف الدعم (مثل الشؤون القانونية، والتدقيق، ومكتب مساعدة تقنية المعلومات، والتحقيق الجنائي، وإدارة الاحتيال، وإدارة المخاطر والامتثال)؛
ب. الاستعانة بمصادر خارجية موثوقة وذات صلة، مثل البنك المركزي، والهيئات الحكومية، والمنتديات الأمنية، وبائعي (المنتجات الأمنية)، والمؤسسات الأمنية والجهات الإعلامية المتخصصة؛
ج. منهجية محددة لتحليل معلومات التهديد بشكل دوري؛
د. التفاصيل ذات الصلة بالتهديدات المحددة أو المجمعة، مثل طريقة العمل، والجهات الفاعلة، ودوافع التهديدات وأنواعها؛
هـ. الصلة بين الاستخبارات المستقاة والقدرة على المتابعة (على سبيل المثال، مركز العمليات الأمنية، وإدارة المخاطر)؛
و. تبادل الاستخبارات ذات الصلة مع أصحاب المصلحة المعنيين (مثل أعضاء البنك المركزي، واللجنة المصرفية لأمن المعلومات).
17.3.3 إدارة الثغرات الأمنية
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة الثغرات الأمنية، واعتمادها، وتنفيذها لتحديد الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية والحد من تأثيرها. ويجب قياس فعالية هذه العملية ويجب تقييم الفعالية بشكل دوري.
الهدف
ضمان التحديد في الوقت المناسب والتخفيف الفعال من الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية من أجل تقليل احتمالية التعرض لها والحد من التأثير على أعمال المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الثغرات الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة الثغرات الأمنية وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الثغرات الأمنية ما يلي:
أ. جميع أصول المعلومات؛
ب. تكرار إجراء فحص الثغرات الأمنية (القائم على المخاطر)؛
ج. تصنيف الثغرات الأمنية؛
د. جداول زمنية محددة للتخفيف المخاطر (حسب التصنيف)؛
هـ. تحديد الأولويات لأصول المعلومات المصنفة؛
و. إدارة حزم التحديثات والإصلاحات وطريقة النشر.