3.3 إدارة العمليات
يمكن تعريف إدارة عمليات تقنية المعلومات على أنها الوظيفة المسؤولة عن الإدارة والصيانة المستمرة للتطبيقات والبنى التحتية لتقنية المعلومات بالمؤسسة المالية لضمان تقديم المستوى المتفق عليه من خدمات تقنية المعلومات إلى الأعمال. ومن ثم، يجب أن تعالج المؤسسات المالية عوامل مخاطر تقنية المعلومات من خلال الإدارة والرقابة الفعالة.
1.3.3 إدارة الأصول
المبدأ
يجب إنشاء عملية إدارة الأصول لتوفير رؤية واضحة حول أصول المعلومات الخاصة بالمؤسسة المالية من خلال الحفاظ على قائمة جرد دقيقة وحديثة.
متطلبات الرقابة
1. يجب تحديد عملية إدارة الأصول والموافقة عليها وتنفيذها والإبلاغ عنها.
2. تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الأصول، على سبيل المثال لا الحصر، ما يلي:
أ. تأهيل الأصول؛
ب. تحديد الأصول وتصنيفها ووسمها والتعامل معها؛
ج. التخلص من الأصول؛ و
د. وقف تشغيل الأصول.
4. يجب أن يوفر سجل الأصول مستوى من التفاصيل، بما في ذلك (على سبيل المثال لا الحصر):
أ. اسم الأصل؛
ب. مالك الأصل؛
ج. أمين الأصل؛ أهمية الأصل؛
د. الموقع الفعلي للأصل ؛
هـ. الموقع المنطقي للأصل (منطقة الشبكة)؛
و. الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع؛
ز. الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع ؛
ح. معلومات التوفر أو النسخ الاحتياطي؛
ط. معلومات عقد الخدمة أو الترخيص؛
ي. الاتصالات التقنية (نظام التشغيل، والتطبيقات، وقاعدة البيانات، والشبكة)؛
ك. العمليات الأولية والثانوية التي يدعمها الأصل؛
ل. وقت التوقف المقبول عن العمل المتوافق مع إدارة استمرارية الأعمال - تحليل أثر أنقطاع الأعمال حيثما ينطبق ذلك؛
م. التأثير المالي لكل ساعة في حالة التوقف؛
ن. رقم عقد تكليف المورد؛
س. تفاصيل جهة التواصل مع المورد؛
ص. تفاصيل اتفاقية مستوى الخدمة الخاصة بالمورد؛ و
ض. تفاصيل تصنيف المورد.
5. يجب الاحتفاظ بسجل الأصول وتحديثه على أساس سنوي، أو كلما تم إدخال أي أصل أو إزالته من المخزون.
6. يجب على المؤسسات المالية:
أ. تعيين معايير تحديد الأصول الحيوية؛
ب. تحديد وصيانة وتحديث دوريًا القائمة الشاملة للأصول الحيوية؛
ج. مراقبة أداء الأصول الحيوية بشكل استباقي؛ و
د. ضمان وجود تدابير مرونة كافية للأصول الحيوية للحفاظ على توافر الخدمات الحيوية المطلوبة.
7. يجب أن يكون مالك الأصل مسؤولاً ، على سبيل المثال لا الحصر، عما يلي:
أ. تصنيف ووسم الأصل؛
ب. تحديد ومراجعة حقوق الوصول والقيود، ومراعاة سياسات التحكم في الوصول المعمول بها في المؤسسات المالية؛
ج. التفويض بالتغييرات المتعلقة بالأصول؛ و
د. ضمان التوافق مع ضوابط الأمن السيبراني.
8. يجب التخلص من الأصول بطريقة محكمة وآمنة عند انتهاء عمرها الإنتاجي وعند الوفاء بالالتزامات الأخرى ذات الصلة.
2.3.3 الاعتمادات المتبادلة
المبدأ
يجب تحديد الاعتمادات المتبادلة بين أصول المعلومات الحيوية وإدارتها من خلال نموذج الحوكمة لضمان توافر عمليات الأعمال.
متطلبات الرقابة
- يجب على المؤسسات المالية تحديد وتنفيذ نموذج حوكمة قوي في ضوء ترابطها مع أصحاب المصلحة المعنيين (مثل مقدمي الخدمات والمؤسسات الحكومية وغيرها)
- يجب على المؤسسات المالية تحديد الاعتمادات المتبادلة بين أصول المعلومات الهامة الخاصة بها.
- وكجزء من الاختبارات التسعة والثمانون، يجب على المؤسسات أن تأخذ بعين الاعتبار الترابط بين سيناريوهات أصول المعلومات الحيوية ضمن بنيتها التحتية.
ملحوظة: لمزيد من متطلبات التحكم من أجل تحسين الصمود الشامل، يرجى الرجوع إلى الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
3.3.3 إدارة اتفاقيات مستوى الخدمة
المبدأ
يجب الاتفاق رسميًا على الشروط والأحكام التعاقدية التي تحكم الأدوار والعلاقات والالتزامات والمسؤوليات الخاصة بأصحاب المصلحة الداخليين والأطراف الخارجية، وتطويرها وضبطها بشكل كافٍ.
متطلبات الرقابة
1. يجب تحديد اتفاقية مستوى خدمة تقنية المعلومات الداخلية رسميًا والموافقة عليها وإبلاغها إلى إدارة الأعمال ذات الصلة في المؤسسات المالية.
2. يجب مراقبة وقياس وتقييم مدى فعالية اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات.
3. يجب أن تتضمن اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
أ. مستوى الخدمة المتفق عليه بين وظائف الأعمال وقسم تقنية المعلومات؛
ب. أهداف محددة وقابلة للقياس لخدمات تقنية المعلومات مقابل مؤشرات الأداء الرئيسية المحددة؛ و
ج. أدوار ومسؤوليات أصحاب المصلحة في قطاع الأعمال وتقنية المعلومات.
4. يجب تحديد عملية العلاقة مع الطرف الخارجي والموافقة عليها وتنفيذها والإبلاغ عنها.
5. يجب مراقبة فعالية عملية العلاقة مع الطرف الخارجي وقياسها وتقييمها بشكل دوري.
6. يجب تحديد اتفاقية مستوى الخدمة الرسمية وتوقيعها مع الطرف الخارجي.
7. يجب أن تغطي عملية العلاقة مع الطرف الخارجي المتطلبات التالية، على سبيل المثال لا الحصر:
أ. يجب أن يكون لدى مقدمي الخدمات المعنيين بالاستعانة بمصادر خارجية عملية مناسبة لضمان توافر وحماية البيانات والتطبيقات التي يتم الاستعانة بمصادر خارجية لها؛
ب. إعداد التقارير الدورية ومراجعة وتقييم المتطلبات المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة)؛
ج. التغييرات في تقديم الخدمات المقدمة؛
د. تنفيذ تقييم المخاطر كجزء من عملية الشراء؛
هـ. عملية التصعيد في حالة انتهاك اتفاقية مستوى الخدمة؛
و. الضمانات الإدارية والمادية والفنية التي تحمي بشكل معقول ومناسب سرية المعلومات وسلامتها وتوافرها؛
ز. ضمان قانوني من الطرف الخارجي لتقديم الدعم في الموقع الذي يفرض وجود مهندس دعم معتمد وذو خبرة في الموقع ضمن جدول زمني محدد لدعم المؤسسات المالية في المواقف السلبية؛
ح. الخروج من العقد أو إنهائه أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
ط. الامتثال لأطر العمل المعمول بها بما في ذلك على سبيل المثال لا الحصر الدليل االتنظيمي لأمن المعلومات للبنك المركزي والدليل التنظيمي لإدارة استمرارية الأعمال والدليل التنظيمي لحوكمة تقنية المعلومات - والقوانين واللوائح المعمول بها؛
ي. الحق في التدقيق (المؤسسات المالية أو جهة مستقلة)؛ و
ك. اتفاقية عدم الإفصاح ("NDA").
4.3.3 إدارة توافر وسعة تقنية المعلومات
المبدأ
يجب الحفاظ على توافر الخدمة لدعم وظائف أعمال المؤسسات المالية وتجنب تعطل وبطء أداء الأنظمة من خلال مراقبة عتبات النظام الحالية والتنبؤ بمتطلبات الأداء والسعة المستقبلية.
متطلبات الرقابة
1. ينبغي تحديد عملية إدارة توافر وسعة تقنية المعلومات والموافقة عليها وتنفيذها.
2. يجب مراقبة فعالية عملية إدارة توافر وسعة تقنية المعلومات وقياسها وتقييمها بشكل دوري.
3. يجب وضع خطة توافر وسعة تقنية المعلومات واعتمادها وتقييمها دورياً.
4. يجب تحديد خطة توافر وسعة تقنية المعلومات لمعالجة ما يلي، على سبيل المثال لا الحصر:
أ. السعة الحالية للأنظمة والموارد؛
ب. المواءمة مع احتياجات العمل الحالية والمستقبلية؛
ج. متطلبات التوافر العالية (بما في ذلك تعطل وبطء قنوات العملاء)؛
د. الأدوار والمسؤوليات اللازمة للحفاظ على الخطة؛ و
هـ. تحديد التبعيات على مقدمي الخدمات كجزء من تخطيط السعات لمعالجة متطلبات إدارة استمرارية الأعمال.
5. يجب تحديد عتبات أداء النظام وتنفيذها.
6. يجب مراقبة أداء النظام مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. متطلبات العمل الحالية والمستقبلية؛
ب. اتفاقية مستوى الخدمة المتفق عليها مع الشركة؛
ج. البنى التحتية الحيوية لتقنية المعلومات؛
د. تعطل وبطء في النظام (النظم) الأساسية التي تدعم قنوات العملاء؛ و
هـ. الدروس المستفادة من مشكلات أداء النظام السابقة.
7. يجب تحديد الانحرافات عن خطوط الأساس/عتبات السعة والأداء المحددة وتوثيقها ومتابعتها وإبلاغ الإدارة ولجنة خدمات تقنية المعلومات.
5.3.3 إدارة مركز البيانات
المبدأ
يتم تصميم وتنفيذ ضوابط مادية كافية لحماية مرافق ومعدات تقنية المعلومات من التلف والوصول غير المصرح به.
متطلبات الرقابة
1. يجب تحديد الضوابط المادية والبيئية لإدارة مركز البيانات والموافقة عليها وتنفيذها.
2. يجب رصد الضوابط المادية والبيئية وتقييمها بشكل دوري.
3. يجب تنفيذ الضوابط المادية والبيئية اللازمة مثل على سبيل المثال لا الحصر:
أ. يجب أن يكون الوصول إلى مركز البيانات خاضعًا لرقابة صارمة ومتاحًا على أساس الحاجة إلى المعرفة؛
ب. يجب تسجيل دخول الزائرين إلى مركز البيانات ومرافقتهم من قبل شخص مخول؛
ج. أجهزة كشف الدخان؛
د. الحريق؛
هـ. طفايات الحريق؛
و. مراقبة الرطوبة؛
ز. مراقبة درجة الحرارة. و
ح. الدوائر التلفزيونية المغلقة.
4. يجب أن يتوافق إسناد المهام لمركز البيانات مع المتطلبات المنشورة في تعاميم البنك المركزي بشأن تعليمات إسناد المهام إلى طرف ثالث والدليل التنظيمي لأمن المعلومات.
5. يجب على المؤسسات المالية التأكد من تضمين تدابير الرقابة المناسبة في العقود المبرمة مع مقدمي الخدمات الذين يخططون لإسناد مهام مركز البيانات والتي تشمل على سبيل المثال لا الحصر:
أ. وجود حالة عمل موثقة لإسناد مهام خدمات مركز البيانات؛ و
ب. طبيعة ونوعية الوصول إلى مركز البيانات من قبل مزود الخدمة.
6.3.3 بنية الشبكة ومراقبتها
المبدأ
يجب تصميم ضوابط إدارة أحداث تقنية المعلومات وبنية الشبكة وتنفيذها لمراقبة عمليات تقنية المعلومات بشكل مستمر من أجل حماية شبكة المؤسسات المالية من الوصول غير المصرح به.
متطلبات الرقابة
1. يجب على المؤسسات المالية تحديد سياسة هيكلية الشبكة والموافقة عليها وتنفيذها مع مراعاة ما يلي:
أ. موقف المؤسسة فيما يتعلق بالاستخدام المقبول للشبكة؛
ب. قواعد صريحة للاستخدام الآمن لموارد وخدمات وتطبيقات محددة للشبكة؛
ج. عواقب عدم الامتثال للقواعد الأمنية؛
د. موقف المؤسسة من إساءة استخدام الشبكة؛ و
هـ. الأساس (الأسس) المنطقية للسياسة ولأي قواعد أمنية محددة.
2. يجب على المؤسسات المالية التأكد من تنفيذ ضوابط هيكلية الشبكة التالية، والتي تشمل على سبيل المثال لا الحصر:
أ. رسم تخطيطي للشبكة يوضح البنية التحتية الحالية الكاملة؛
ب. تجزئة الشبكة إلى نطاقات شبكية متعددة منفصلة بناءً على مستويات الثقة المطلوبة (8.6 النطاق العام، ونطاق سطح المكتب، ونطاق الخادم) وبما يتماشى مع المبادئ التصميمية ذات الصلة؛
ج. يجب أن يكون محيط كل نطاق من نطاقات الشبكة محميًا بشكل جيد بواسطة بوابة أمان (مثل جدار الحماية، موجه التصفية). وبالنسبة لكل بوابة أمنية، يجب وضع وتنفيذ قواعد منفصلة للوصول إلى الخدمة (الأمان) لضمان عدم السماح بمرور سوي حركة المرور المصرح بها؛
د. كافة حركات المرور الداخلية (مستخدمو المكتب الرئيسي، ومستخدمو الفرع، ومستخدمو الطرف الخارجي، إلخ) المارة إلى الشبكة الفرعية المراقبة أو الخوادم الداخلية يجب أن تمر عبر بوابتين أمنيتين (جدار الحماية)؛
هـ. يتم توجيه جميع عمليات الوصول إلى الإنترنت الصادرة من الشبكات الداخلية عبر خادم وكيل بحيث لا يُسمح بالوصول إلا للمستخدمين المعتمدين المصادق عليهم؛
و. يجب عزل شبكة الزائرين (الشبكة السلكية/اللاسلكية) وفصلها عن الشبكة الداخلية؛
ز. يجب أن يقوم جدار الحماية المحيط بالشبكة الفرعية المراقبة بإطلاق تنبيه وحظر المسح النشط ؛
ح. يجب تنفيذ جدار حماية تطبيقات الويب (WAF) ضد التطبيقات التي تواجه العملاء؛
ط. ضمان عدم وجود نقطة فشل مفردة تؤثر على توافر الخدمة الحرجة؛
ي. يجب نشر خادم مصادقة مركزي (AAA أو TACACS أو RADIUS، إلخ) لإدارة المصادقة والترخيص لأجهزة الشبكة؛
ك. يجب نشر خادم السجل المركزي (على سبيل المثال، خادم سجل النظام) لجمع السجلات وتخزينها من جميع أجهزة الشبكة؛
ل. يجب أن تبلغ فترة الاحتفاظ بالسجلات 12 شهرًا كحد أدنى؛
م. يجب على جميع أجهزة الشبكة مزامنة توقيتات الساعة الخاصة بها من خادم بروتوكول وقت الشبكة مركزي؛
ن. يجب أن تكون جميع اتصالات الشبكة عبر الشبكة الخارجية (WLAN) والإنترنت من خلال قناة مشفرة؛
س. يجب أن يقتصر الوصول عن بعد على مجموعة معينة من عناوين بروتوكول الإنترنت؛
ص. يجب أن تكون الإدارة عن بعد عبر قناة مشفرة (مثل SSL VPN وSSH)؛
ش. يجب أن يكون الوصول إلى الإدارة عن بعد للموردين محددًا بفترة زمنية ويتم منحه على أساس الحاجة إلى جانب أخذ الموافقة؛
ض. فحص أجهزة المؤسسة المالية قبل الدخول إلى الشبكة لضمان تطبيق السياسات الأمنية على الأجهزة قبل دخولها إلى شبكة المؤسسة؛ و
ظ. الفصل بين الواجبات داخل مكون البنية التحتية (مدعومًا بمصفوفة موثقة لملف التفويض).
3. يجب على المؤسسات المالية التأكد من مراقبة الشبكة مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. المسارات الإدارية بما في ذلك مسارات تسجيل الدخول والنشاط (مثل تغيير التكوين، وتغيير القاعدة، وما إلى ذلك)؛
ب. استخدام الموارد (المعالج والذاكرة)؛ و
ج. ربط الشبكة بجميع الفروع وأجهزة الصراف الآلي.
7.3.3 المعالجة الدفعية
المبدأ
يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها من أجل إدارة المعالجة المجمعة للمهام المؤتمتة بطريقة فعالة ومضبوطة.
متطلبات الرقابة
1. يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس فعالية عملية الإدارة الدفعية وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الإدارة الدفعية ما يلي، على سبيل المثال لا الحصر:
أ. جداول بداية ونهاية اليوم؛
ب. الأدوار والمسؤوليات؛
ج. مراقبة الدفعات؛ و
د. معالجة الخطأ أو الاستثناء.
4. يجب أن تتم الموافقة على التغييرات في جداول الدفعات من قبل أصحاب المصلحة المعنيين.
5. يجب على المؤسسات المالية الاحتفاظ بسجل يحتوي على معلومات حول العمليات المجمعة لبداية ونهاية اليوم بالإضافة إلى حالته 8.6. (ناجحة أو فاشلة).
8.3.3 إدارة حوادث تقنية المعلومات
المبدأ
ينبغي إنشاء عملية إدارة حوادث تقنية المعلومات حتى يتسنى تحديد حوادث تقنية المعلومات التي تؤثر على أصول المعلومات الخاصة بالمؤسسة المالية والاستجابة لها والتعامل معها في الوقت المناسب، والإبلاغ عن الحوادث ذات الصلة إلى البنك المركزي، وفقًا لبروتوكول اتصال محدد.
متطلبات الرقابة
1. يجب تحديد عملية إدارة حوادث تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس فعالية عملية إدارة حوادث تقنية المعلومات وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة حوادث تقنية المعلومات المتطلبات التالية، على سبيل المثال لا الحصر:
أ. تشكيل فريق معين مسؤول عن إدارة الحوادث؛
ب. خطة تواصل؛
ج. تفاصيل الموظفين الرئيسيين الذين يتعين إخطارهم؛
د. الموظفون المهرة والمدربون (باستمرار)؛
هـ. تحديد أولويات الحوادث وتصنيفها؛
و. التعامل مع الحوادث في الوقت المناسب، وتسجيل ورصد التقدم المحرز؛
ز. حماية الأدلة والتسجيلات ذات الصلة؛
ح. أنشطة ما بعد وقوع الحوادث مثل تحليل الأسباب الجذرية للحوادث؛ و
ط. الدروس المستفادة.
4. يجب أتمتة عملية إدارة حوادث تقنية المعلومات من خلال مكتب خدمة تقنية المعلومات مثلاً.
5. يجب إنشاء عملية لتوثيق تفاصيل الحادث، ويجب إبلاغ موظفي تقنية المعلومات المعنيين بالخطوات المتخذة المثمرة وغير والمثمرة على حد سواء من أجل اكتساب الخبرة العملية وكذلك للرجوع إليها في المستقبل لتعزيز الكفاءة.
6. يجب تسجيل جميع طلبات المستخدم وحوادث تقنية المعلومات بالمعلومات التالية على سبيل المثال لا الحصر:
أ. رقم مرجعي فريد؛
ب. التاريخ والوقت؛
ج. اسم الخدمات والأنظمة المتأثرة؛
د. تحديث المالك المعني؛ و
هـ. التصنيف وترتيب الأولويات بناءً على مدى إلحاحها وتأثيرها.
7. يجب تتبع جميع حوادث تقنية المعلومات وحلها وفقًا لمستوى الخدمة المتفق عليه.
8. يجب إشراك فرق المؤسسات المالية ذات الصلة (عند الاقتضاء) لضمان التعامل المناسب مع الحادث.
9. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمراقبة المخاطر السيبرانية" فور تحديد حادثة مصنفة على أنها "متوسطة" أو أعلى من ذلك والتي لها تأثير على العملاء، وفقًا الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
10. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" فور تحديد تعطيل وبطء في تطبيق و/أو تطبيقات مهمة من شأنها التأثير على العملاء.
11. يجب على المؤسسات المالية إخطار "الإدارة العامة لمكافحة المخاطر السيبرانية" قبل الكشف عن أي معلومات حول الحادث لوسائل الإعلام.
12. يجب على المؤسسات المالية تقديم تقرير تفصيلي عن الحادث خلال خمسة (5) أيام إلى "الإدارة العامة لمكافحة المخاطر السيبرانية"، بما في ذلك التفاصيل التالية كحد أدنى:
أ. عنوان الحادث؛
ب. تحديد وتصنيف وتحديد أولويات الحادث؛
ج. تسجيل ومراقبة الحادث؛
د. حل وإغلاق الحادث؛
هـ. تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
و. تاريخ ووقت الحادث؛
ز. اسم الخدمات والأنظمة المتأثرة؛
ح. تحليل السبب الجذري؛ و
ط. الإجراءات التصحيحية مع التواريخ المستهدفة.
9.3.3 إدارة المشكلات
المبدأ
يجب تحديد معايير وإجراءات الإبلاغ عن المشكلات للحد من الحوادث المتكررة وتقليل تأثير الحوادث على المؤسسات المالية.
متطلبات الرقابة
1. يجب تحديد عملية إدارة المشكلات والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب قياس مدى فعالية عملية إدارة المشكلات وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة المشكلات المتطلبات التالية على سبيل المثال لا الحصر:
أ. تحديد المشكلة وتصنيفها وتحديد أولوياتها؛
ب. تسجيل المشكلة ورصدها؛
ج. حل المشكلة وإغلاقها؛
د. حماية الأدلة والسجلات ذات الصلة؛
هـ. تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
و. تاريخ ووقت المشكلة؛
ز. اسم الخدمات والأنظمة المتأثرة؛
ح. تحليل السبب الجذري؛ و
ط. الإجراءات التصحيحية.
4. يجب أن تحتفظ المؤسسات المالية بقاعدة بيانات لسجلات الأخطاء المعروفة.
10.3.3 النسخ الاحتياطي للبيانات وإمكانية استعادتها
المبدأ
يجب تحديد واعتماد وتنفيذ استراتيجية إدارة النسخ الاحتياطي للبيانات إلى جانب إجراءات النسخ الاحتياطي والاستعادة لضمان موثوقية بيانات المؤسسات المالية وتوافرها وإمكانية استعادتها.
متطلبات الرقابة
1. يجب تحديد استراتيجية إدارة النسخ الاحتياطي للبيانات والموافقة عليها وتنفيذها.
2. يجب أن تراعي سياسة إدارة النسخ الاحتياطي للبيانات ما يلي، على سبيل المثال لا الحصر:
أ. التوافق مع الدليل التنظيمي لإدارة استمرارية الأعمال الخاص بالبنك المركزي؛
ب. تنفيذ قدرات النسخ المتماثل والنسخ الاحتياطي والاسترداد؛
ج. مخزن البيانات؛
د. استرجاع البيانات؛ و
هـ. الاحتفاظ بالبيانات وفقًا للمتطلبات القانونية والتنظيمية والتجارية.
3. يجب تحديد إجراءات النسخ الاحتياطي والاستعادة والموافقة عليها وتنفيذها.
4. يجب قياس فعالية إجراء النسخ الاحتياطي والاستعادة وتقييمها بشكل دوري.
5. يجب على المؤسسات المالية تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ. المتطلبات القانونية والتنظيمية؛
ب. متطلبات العمل بما يتماشى مع نقطة التعافي المستهدفة (RPO) المتفق عليها؛
ج. نوع النسخ الاحتياطية (دون اتصال بالإنترنت، عبر الإنترنت، كامل، تزايدي، وما إلى ذلك)؛ و
د. جدول النسخ الاحتياطي (يومي، أسبوعي، شهري، الخ).
6. يجب على المؤسسات المالية التأكد من عمل نسخة احتياطية من المعلومات التالية على الأقل:
أ. التطبيقات؛
ب. برامج أنظمة التشغيل؛
ج. قواعد بيانات؛ و
د. تكوينات الجهاز.
7. في حالة نسخ البيانات بين الموقع الرئيسي وموقع استرداد البيانات بعد الكوارث، يجب على المؤسسات المالية التأكد من حل جميع مشكلات النسخ في الوقت المناسب بحيث تكون البيانات الموجودة في موقع استرداد البيانات بعد الكوارث متزامنة مع الموقع الرئيسي وفقًا لنقطة التعافي المستهدفة (RPO) ووقت التعافي المستهدف (RTO). 8. يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة للخدمات الحيوية مثل أنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك محددة بشكل مناسب مع مراعاة التوافرية العالية للعمليات الداعمة والحد الأدنى من التعطيل في حالة وقوع كارثة.
9. يجب على المؤسسة المالية التأكد من وجود استثمارات كافية من منظور الأشخاص والعمليات والتقنية لتحقيق أوقات التعافي المستهدفة.
10. يجب على المؤسسات المالية تنفيذ آلية بديلة للنسخ الاحتياطي والتكرار (مثل تفريغ المعاملات بالإضافة إلى النسخ الاحتياطي الكامل لقاعدة البيانات).
11. يجب على المؤسسات المالية إجراء اختبارات دورية والتحقق من قدرة وسائط النسخ الاحتياطي على التعافي.
12. يجب أن يتم تصنيف وسائط النسخ الاحتياطي بشكل مناسب.
13. يجب تشفير وسائط النسخ الاحتياطي، بما في ذلك أقراص التخزين الخارجية (USB)، التي تحتوي على معلومات حساسة أو سرية قبل نقلها إلى خارج الموقع لتخزينها.
11.3.3 المحاكاة الافتراضية
المبدأ
يجب تحديد عملية رسمية لإنشاء الصور الافتراضية أو اللقطات أو الحاويات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإدارتها بطريقة خاضعة للرقابة وآمنة.
متطلبات الرقابة
- يجب تحديد عملية لإعداد بيئة افتراضية ونشرها وتهيئتها والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
- ويجب أن تخضع العملية لسياسات وإجراءات ومعايير محددة جيدا.
- يجب قياس مدى فعالية عملية المحاكاة الافتراضية أو عملية التعئبة بالحاويات وتقييمها بشكل دوري.
- يجب تزويد جميع المكونات الافتراضية المنشورة في المؤسسات المالية بنفس مستوى الأمان الذي تتمتع به البيئة غير الافتراضية.
- يجب تكوين جميع المكونات الافتراضية بشكل ملائم باستخدام معايير الأمان الأساسية الدنيا المحددة والمعتمدة (MBSS) الخاصة بالمحاكاة الافتراضية أو التعبئة بالحاويات.
- يجب تنفيذ آلية مصادقة قوية ومنح حق الوصول على أساس الحاجة إلى المعرفة أو على أساس أقل امتيازات لجميع البيئات الافتراضية بما في ذلك نظام التشغيل المضيف، ومراقب الأجهزة الافتراضية، وأنظمة تشغيل الضيف وأي مكونات أخرى ذات صلة.
- يجب التعامل مع إنشاء الصور واللقطات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإتلافها بطريقة خاضعة للرقابة وآمنة.
- يجب مراعاة ما يلي كجزء من المحاكاة الافتراضية/التعبئة بالحاويات، على سبيل المثال لا الحصر:
أ. يجب التحكم في الوصول الإداري بإحكام حيث يجب تقييد الوصول عبر المسؤول المحلي؛ ب. يجب أن تقتصر إدارة برامج مراقبة الأجهزة الافتراضية على المسؤولين فقط؛
ج. يجب أن تكون بيئة الاختبار الافتراضية منفصلة ماديًا و/أو منطقيًا عن بيئة الإنتاج، بل ويجب ألا تعمل على نفس المضيف؛
د. يجب تعطيل البرامج والخدمات غير الضرورية على الأجهزة الافتراضية ما لم تسمح الشركة بذلك؛
هـ. يجب تمكين تسجيل التدقيق ومراقبته لجميع الأجهزة الافتراضية التي يجب أن تتضمن على سبيل المثال لا الحصر:
1. الإنشاء والنشر والإزالة؛
2. الأنشطة الجذرية والإدارية؛ و
3. إنشاء كائنات على مستوى النظام وتعديلها وحذفها.
و. يجب وضع الضوابط المناسبة لحماية البيانات الحساسة والحيوية التي يتم استخدامها وإدارتها من خلال الصور الافتراضية أو اللقطات؛ و
ز. يجب عمل نسخة احتياطية لجميع محركات الأقراص الافتراضية التي تستخدمها أنظمة تشغيل الضيف واختبارها بشكل منتظم، باستخدام نفس سياسة إدارة النسخ الاحتياطي المستخدمة في الأنظمة غير الافتراضية.