المرونة السيبرانية
المتطلبات الأساسية للمرونة السيبرانية (CRFR)
الرقم: NA التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1. المقدمة
ترتفع توقعات المجتمع الحديث بخصوص إتاحة تجربة عملاء خالية من العيوب وتوافر الخدمات بشكل مستمر، والحماية الفعالة للبيانات الحساسة. وتُعد أصول المعلومات والخدمات المالية عبر الإنترنت الآن ذات أهمية بالغة لجميع المؤسسات العامة والخاصة والمجتمع الأوسع نطاقاً. حيث إن هذه الخدمات أساسية للاقتصاد العالمي والوطني، وحيوية للابتكار الرقمي ومهمة للأمن القومي الأوسع. وتؤكد هذه الأهمية على ضرورة حماية البيانات الحساسة والمعاملات وتوافر الخدمات وبالتالي ضمان الثقة في القطاع المالي السعودي.
ولم تشهد العديد من الصناعات مثل هذه الزيادة الكبيرة في الابتكار مثل التقنية المالية. وعلى مدار العقد الماضي، كانت هناك زيادة في عدد المنتجات والخدمات التي وصلت إلى السوق خلال العقد الماضي والتي تقدم بالفعل فوائد كبيرة للمستهلكين والمؤسسات المالية. ومع ذلك، فإن الاستخدام المتزايد للتقنيات الناشئة يجلب معه أيضًا مخاطر المرونة السيبرانية والتي قد تؤثر على الاستقرار المالي لمنظومة القطاع المالي.
في نوفمبر 2019، وضع البنك المركزي الإطار التنظيمي للبيئة التجريبية التشريعية من أجل فهم وتقييم تأثير التقنيات الجديدة في سوق الخدمات المالية في المملكة العربية السعودية، وكذلك للمساعدة في تحويل السوق السعودية إلى مركز مالي ذكي. حيث صمم البنك المركزي بيئة تجريبية تشريعية ترحب بالشركات المحلية والدولية الراغبة في اختبار حلول رقمية جديدة في بيئة "حية" بهدف نشرها في المملكة العربية السعودية في المستقبل.
وضع البنك المركزي المتطلبات الأساسية للصمود السيبراني (يشار إليها هنا باسم "المتطلبات الأساسية")، وهي مخصصة تحديدًا للكيانات التي تم تأسيسها حديثاً والتي لا تزال في المراحل الأولى من عملياتها في القطاع المالي في المملكة العربية السعودية.
1.1 الهدف
نظرًا للقيود المفروضة على الموارد التي تواجهها هذه الأنواع من الكيانات في كثير من الأحيان، يتمثل الهدف من المتطلبات الأساسية في مساعدة الكيانات فيما يلي:
- إدارة وتخفيف مجموعة كبيرة من مخاطر الأمن السيبراني والمرونة ذات الصلة بالقطاع المالي في المملكة العربية السعودية؛
- تركيز الموارد على مجموعة أساسية من الضوابط التي تهدف إلى توفير الحماية الفعالة لأصول المعلومات.
ولتحقيق هذا الهدف، توفر المتطلبات الأساسية ما يلي:
- مجموعة ذات أولوية من متطلبات التحكم الخاصة بالأمن السيبراني والمرونة؛
- هيكل ومحتوى يتماشى مع الأطر التنظيمية الأخرى الخاصة بالبنك المركزي، مثل الدليل التنظيمي لأمن المعلومات (يُشار إليه هنا بـاسم "الدليل التنظيمي لأمن المعلومات في القطاع المالي") والدليل التنظيمي لإدارة استمرارية الأعمال (يُشار إليه هنا بـاسم "الدليل التنظيمي لإدارة استمرارية الأعمال)"، والتي ستطبق على المؤسسات في المستقبل.
2.1 التطبيق
ينطبق إطار عمل "المتطلبات الأساسية" على الكيانات التي تنوي التأهل للبيئة التجريبية التشريعية الخاصة بالبنك المركزي و/أو الكيانات التي تسعى للحصول على ترخيص للعمل في المملكة العربية السعودية. تُعد "المتطلبات الأساسية" بمثابة حافز لتمكين الكيانات من الامتثال للحد الأدنى من متطلبات البنك المركزي المعنية بالمرونة السيبرانية. لا يجب التعامل مع "المتطلبات الأساسية" على أنها بديل عن أطر العمل التنظيمية الخاصة بالبنك المركزي فيما يخص الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال حيث يتعين على الكيانات الامتثال للمتطلبات التنظيمية الأخرى الخاصة بالبنك المركزي بعد قرار الترخيص. إضافة إلى ذلك، ويجب أن يُقرأ هذا الإطار أيضاً بالإقتران مع المتطلبات المنصوص عليها في الإطار التنظيمي للبيئة التجريبية التشريعية الخاص بالبنك المركزي.
3.1 المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
4.1 الامتثال
في حالة عدم قدرة الكيان على إثبات امتثاله للمتطلبات الأساسية، يحتفظ البنك المركزي بالحق في حظر طلب الخروج من البيئة التجريبية/التراخيص من صندوق الحماية من المخاطر للكيان.
5.1 التفسير
يكون البنك المركزي، بصفته الجهة المالكة للمتطلبات الأساسية، مسؤول وحده عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.
6.1 الجمهور المستهدف
إن المتطلبات الأساسية مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ورؤساء الأمن السيبراني والمسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني والمرونة داخل الكيانات.
7.1 المراجعة والتحديثات والمحافظة
سيقوم البنك المركزي بمراجعة المتطلبات الأساسية بشكل دوري لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والكيانات المقصودة. وإذا لزم الأمر، سيقوم البنك المركزي بتحديث المتطلبات الأساسية بناءً على نتائج المراجعة.
سيقوم البنك المركزي بتنفيذ ضبط الإصدارات للحفاظ على المتطلبات الأساسية. وعند إجراء أي تغييرات، يقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغ جميع الكيانات به. ولتسهيل الأمر على الكيانات، سيشير البنك المركزي بوضوح إلى أي تغييرات في المتطلبات الأساسية المعدلة.
8.1 دليل القراءة
يتم تنظيم المتطلبات الأساسية على النحو التالي:
- يشرح الفصل الثاني هيكل المتطلبات الأساسية ويقدم إرشادات حول كيفية تطبيق المتطلبات الأساسية؛ و
- يعرض الفصل الثالث مجالات الأمن السيبراني والمرونة بما في ذلك متطلبات التحكم.
2 هيكل المتطلبات الأساسية والمميزات
2.1 الهيكل
تتمحور المتطلبات الأساسية حول أربعة مجالات تشمل ما يلي:
تم ترقيم متطلبات التحكم ترقيمًا فريدًا في جميع أنحاء المتطلبات الأساسية. يتم ترقيم متطلبات التحكم وفق نظام الترقيم التالي:
الشكل 1. نظام ترقيم متطلبات التحكم
يوضح الشكل أدناه الهيكل العام للمتطلبات الأساسية ويشير إلى مجالات الأمن السيبراني والمرونة:
المتطلبات الأساسية للصمود السيبراني قيادة وحوكمة الأمن السيبراني عمليات تقنية الأمن السيبراني المرونة
الشكل 3. مجالات المتطلبات الأساسية
2.2 النهج القائم على المخاطر
تستند المجالات ومتطلبات الرقابة المدرجة في المتطلبات الأساسية إلى المخاطر وتهدف إلى تزويد المشاركين بالتوجيهات الأساسية حول كيفية التخفيف من المخاطر الأكثر شيوعًا التي يواجهونها، دون وضع أعباء لا داعي لها قد يعوق الابتكار ونمو الأعمال.
ومن هذا المنظور، فإن المتطلبات الأساسية تحدد المتطلبات الإلزامية الضرورية للأمن السيبراني والمرونة بالنسبة للكيانات التي تقع ضمن نطاق التطبيق. إضافة إلى ذلك، يتوقع البنك المركزي من الكيانات إجراء تقييمات داخلية للمخاطر الخاصة بها لمراقبة تطور مشهد التهديدات الأمنية والمرونة السيبرانية، وتحديد المخاطر الجديدة والمتطورة، وتقييم الأثر المحتمل لهذه المخاطر، وتنفيذ متطلبات إضافية أو معززة لضوابط الأمن والمرونة تتجاوز المتطلبات الأساسية للتخفيف من هذه المخاطر بما يتماشى مع رغبة الكيانات في مواجهتها.
3.2 التقييم الذاتي للكيانات والتدقيق من جانب البنك المركزي
سيخضع تنفيذ المتطلبات الأساسية لدى المشاركين للتقييم الذاتي الدوري. وسيتم إجراء التقييم الذاتي من قبل الجهات بناءً على استبيان. وسوف ترسل الكيانات نسخة من تقييمها الذاتي إلى البنك المركزي، ويحتفظ البنك المركزي بالحق في مراجعة التقييم الذاتي لإثبات الامتثال للمتطلبات الأساسية حسب تقديره. كما يحتفظ البنك المركزي بالحق في مراجعة مدى الالتزام بالمتطلبات الأساسية من جانب الكيانات في أي وقت.
3 متطلبات التحكم
1.3 قيادة وحوكمة الأمن السيبراني
معرّف التحكم وصف متطلبات التحكم 1.1.3. يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.
2.1.3 يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية).
3.1.3. يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية.
4.1.3 يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو الحالي، بما في ذلك على الأقل:
أ.
تقييم مخاطر الأمن السيبراني والاحتيال التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و
ب.
اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسمم).
5.1.3 يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل:
أ.
تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛
ب.
إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و
ج.
استخدام تقنيات عدم التخزين المؤقت.
6.1.3
يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.
راجع إطار (أطر) عمل البنك المركزي الأخرى
2.3 عمليات وتقنية الأمن السيبراني
معرّف التحكم
وصف متطلبات التحكم 1.2.3
يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها.
2.2.3
يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات.
3.2.3.
يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي:
أ.
تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛
ب.
التوفر.
4.2.3
يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.
5.2.3
يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات.
6.2.3
يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد تغيير رئيسي/ حَرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني.
7.2.3
يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية.
8.2.3
إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة")، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق.
9.2.3
يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.
10.2.3
يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر:
أ. الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛
ب. تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛
ج. التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و
د. في حالة الأجهزة المحمولة: 1. فصل بيانات الكيانات وتشفيرها؛ و 2. المسح الآمن لبيانات الكيانات المخزنة في حالات فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع عملية التخلص الآمن من أصول المعلومات. 11.2.3
يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى.
12.2.3
يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث.
13.2.3
يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.
14.2.3
يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب.
15.2.3
يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية.
16.2.3
يجب على الكيانات إبلاغ البنك المركزي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك:
أ.
الأمن السيبراني؛
ب.
الاحتيال؛
ج.
جميع الأحداث الفوضوية.
راجع إطار (أطر) عمل البنك المركزي الأخرى
- 3.3.14 إدارة أحداث الأمن السيبراني
3.3 المرونة
معرّف التحكم
وصف متطلبات التحكم 1.3.3
يجب أن يتم تحديد خطة استمرارية الأعمال (BCP)وخطة التعافي من الكوارث(DRP) والموافقة عليها والإبلاغ بها وتنفيذها ومراجعتها بشكل دوري لتمكين الكيانات من الاستمرار في تقديم خدماتها الحيوية بمستوى مقبول ومحدد مسبقًا.
3.3.2.
يجب على الكيانات تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
أ.
المتطلبات القانونية والتنظيمية؛
ب.
البيانات الحرجة وبيانات العملاء؛
ج.
متطلبات العمل؛
د.
الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛
هـ.
حماية البيانات السرية المخزنة في الوسائط الاحتياطية من خلال تطبيق تقنيات التشفير؛
و.
تخزين وسائط النسخ الاحتياطي دون الاتصال بالإنترنت أو في موقع خارج الموقع؛ و
ز.
التدمير الآمن للبيانات الاحتياطية.
ح.
اختبارات الاستعادة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
إطار عمل إدارة استمرارية الأعمال
4 الملاحق
الملحق أ: قائمة المصطلحات
المدة
الوصف إدارة الوصول
إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
التدقيق
المراجعة والفحص المستقل للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، لضمان الامتثال للسياسات والإجراءات التشغيلية المعمول بها.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
التوفر
ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق.
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
النسخة الاحتياطية
الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.
استمرارية الأعمال
قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي.
المصدر: ISO 22301:2012 الأمن المجتمعي - أنظمة إدارة استمرارية الأعمال
إدارة استمرارية الأعمال
عملية الإدارة الشاملة التي تحدد التهديدات المحتملة للمؤسسة والتأثيرات التي قد تسببها تلك التهديدات على العمليات التجارية، في حال تحققها، والتي توفر المتطلبات الأساسية لبناء الصمود المؤسسي مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين وسمعتها وعلامتها التجارية وأنشطتها التي تخلق القيمة.
المصدر: ISO 22301:2012 – أنظمة إدارة استمرارية الأعمال – المتطلبات
إدارة التغيير
التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
التشفير
مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
المخاطر السيبرانية
خطر الخسارة المالية أو التعطل التشغيلي أو الضرر الناتج عن فشل التقنيات الرقمية المستخدمة للوظائف المعلوماتية و/أو التشغيلية والتي يتم إدخالها إلى نظام التصنيع عبر وسائل إلكترونية نتيجة الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير لنظام التصنيع.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية.
الأمن السيبراني
يُعرّف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب والممارسات الفضلى والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات من التهديدات الداخلية والخارجية.
حدث الأمن السيبراني
أي حدث يمكن ملاحظته في نظام أو شبكة معلومات يؤدي أو قد يؤدي إلى وصول غير مصرح به أو معالجة أو إفساد أو تعديل أو نقل أو إفشاء للبيانات و/أو المعلومات أو (ب) انتهاك لسياسة أمنية صريحة أو مطبقة للمؤسسة.
حوكمة الأمن السيبراني
مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة بشكل مسؤول.
حادث الأمن السيبراني
أي حدث (1) يعرض للخطر الفعلي أو الوشيك سلامة أو سرية أو توافر المعلومات أو نظام المعلومات للخطر دون سلطة قانونية؛ أو (2) يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك القانون أو السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة حوادث الأمن السيبراني
رصد واكتشاف الأحداث الأمنية على نظام المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني
مجموعة من القواعد التي تحكم جميع جوانب سلوك النظام وعناصر النظام ذات الصلة بالأمان. ملاحظة 1: تشمل عناصر النظام العناصر التقنية والآلية والبشرية. ملاحظة 2: يمكن ذكر القواعد على مستويات عالية جدًا (على سبيل المثال، سياسة مؤسسية تحدد السلوك المقبول للموظفين في أداء مهامهم/وظائف العمل) أو على مستويات منخفضة جدًا (على سبيل المثال، سياسة نظام التشغيل التي تحدد السلوك المقبول للعمليات التنفيذية واستخدام الموارد من قبل تلك العمليات)
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
تقييم مخاطر الأمن السيبراني
عملية تحديد المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة، الناتجة عن تشغيل نظام المعلومات. ويتضمن جزء من إدارة المخاطر تحليلات للتهديدات والثغرات الأمنية، ويأخذ في الاعتبار وسائل التخفيف التي توفرها الضوابط الأمنية المخطط لها أو الموجودة بالفعل
المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
إدارة مخاطر الأمن السيبراني
عملية إدارة المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد الناتجة عن تشغيل نظام المعلومات، وتشمل: (1) إجراء تقييم المخاطر؛ (2) تطبيق استراتيجية تخفيف المخاطر؛ و (3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
استراتيجية الأمن السيبراني
خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
خطة التعافي من الكوارث
البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.
رئيس الأمن السيبراني
يمكن أن يشير رئيس الأمن السيبراني إلى رئيس أمن المعلومات أو الرئيس التنفيذي لأمن المعلومات أو أي لقب آخر يُطلق على المدير الأعلى المسؤول عن وظيفة وعمليات الأمن السيبراني.
خطة بديلة
إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
موثقة رسميا
الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
إدارة الهوية
عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وتتضمن المؤسسات المدارة عادةً المستخدمين وموارد الأجهزة والشبكة وحتى التطبيقات.
خطة التعافي من الكوارث
يعد التعافي من الكوارث جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بمرونة أو تعافي أو استمرار البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية.
تغيير كبير
أي تغيير في تكوين النظام أو البيئة أو محتوى المعلومات أو الوظيفة أو المستخدمين الذين لديه القدرة على تغيير المخاطر المفروضة على عملياته المستمرة.
المصدر: NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الأساسية يتم أيضًا تضمين التغييرات الحيوية في مفهوم التغييرات الكبيرة.
البرمجيات الخبيثة
البرمجيات أو البرامج الثابتة التي تهدف إلى تنفيذ عملية غير مصرح بها من شأنها أن تؤثر سلباً على سرية نظام المعلومات أو سلامته أو توافره. فيروس أو فيروس متنقل أو حصان طروادة أو أي كيان آخر قائم على التعليمات البرمجية يصيب المضيف. تعد برامج التجسس وبعض أشكال برامج الإعلانات المتسللة أيضًا أمثلة على التعليمات البرمجية الضارة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
اختبار الاختراق
منهجية اختبار يحاول فيها المقيّمون، باستخدام جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، التعليمات البرمجية المصدرية، الكتيبات الإرشادية) والعمل تحت قيود محددة، التحايل على ميزات الأمان في نظام المعلومات.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دوريا
بهذا المصطلح، لا ينوي البنك المركزي تحديد فترة زمنية افتراضية. وتتحمل كل جهة مسؤولية تحديد هذه الفترة بناءً على نهجها القائم على المخاطر. ويمكن ترجمة نفس المصطلح المعتمد في متطلبات التحكم المختلفة إلى فترات زمنية مختلفة بواسطة المؤسسة المالية.
التعافي
إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.
المرونة
القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة
مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
سجل المخاطر
سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تقنية التدريع
التدريع" عملية تشويش على التعليمات البرمجية الثنائية للتطبيق، مما يجعل من الصعب على المخترقين أن يقوموا بهندسة عكسية.
إستراتيجية
راجع "استراتيجية الأمن السيبراني".
إدارة المعلومات الأمنية والأحداث
أداة إدارة المعلومات الأمنية والأحداث تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دورة حياة تطوير النظام
تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
تهديد
راجع "تهديد الأمن السيبراني".
مشهد التهديد
مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA
الثغرة الأمنية
نقطة الضعف في نظام المعلومات أو إجراءات أمن النظام أو الضوابط الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها من قبل مصدر تهديد.
المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة الثغرات الأمنية
إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "الثغرات الأمنية".
الدليل التنظيمي لأمن المعلومات في القطاع المالي
الرقم: 381000091275 التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
تمهيد
في ظل التصاعد غير المسبوق للهجمات السيبرانية، أدركنا ضرورة استباق حدوث هذه الهجمات. ويتمثل الهدف من إصدار الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") في دعم المؤسسات الخاضعة لرقابتنا في جهودها التي تبذلها لوضع دليل مناسب لحوكمة الأمن السيبراني وإنشاء بنية تحتية قوية مع وضع الضوابط اللازمة لكشف هذه الهجمات والوقاية منها. ويشتمل الدليل التنظيمي الماثل على الضوابط المناسبة ويتيح توجيهات لطريقة تقييم مستوى النضج.
ويمثل اعتماد الدليل التنظيمي وتنفيذه إحدى الخطوات الهامة التي تضمن قدرة القطاع المصرفي بالمملكة العربية السعودية، وقطاعات شركات التأمين والتمويل على التصدي للهجمات السيرانية ومنع حدوثها. وعند تصميم الدليل التنظيمي، أخذنا في الاعتبار الطرق التي تستفيد بها المؤسسات الخاضعة لرقابتنا من التقنية وشعورنا أن كل مؤسسة ستكون قادرةً على تبني نهج مشترك لمعالجة الأمن السيبراني. وسوف يضمن الدليل التنظيمي الماثل إدارة مخاطر الأمن السيبراني على النحو الصحيح في جميع القطاعات.
ولتحقيق الهدف سالف الذكر، فمن الضروري توفير الدعم الكامل والإشراف من مجلس الإدارة والإدارة العليا لتنفيذ الدليل التنظيمي.
وسوف يساعدكم الفريق المعني بمخاطر تقنية المعلومات التابع لإدارة الرقابة في الحصول على أي توضيحات في هذا الشأن، وسوف نظل ملتزمين بتقديم التوجيهات للجهات الخاضعة لرقابتنا لإنشاء بيئة سيبرانية آمنة.
1 المقدمة
1.1 مقدمة للدليل التنظيمي
ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات، والحماية الفعالة للبيانات الحساسة. وأصبحت أصول المعلومات والخدمات المتاحة على الإنترنت حاليا تحظى بأهمية استراتيجية لدى جميع المؤسسات العامة والخاصة، ولدى المجتمع على نطاق أوسع. كما تؤدي هذه الخدمات دورا هامًا في إنشاء اقتصاد رقمي نابض بالحياة. وأصبحت تلك الخدمات ذات أهمية نظامية للاقتصاد والأمن القومي على نطاق أوسع. وكل ذلك يؤكد الحاجة إلى حماية البيانات والمعاملات الحساسة، بما يضمن الثقة في القطاع المالي السعودي بشكل عام.
تزداد المخاطر عندما يتعلق الأمر بسرية أصول المعلومات وسلامتها وتوافرها، وعند تطبيق خدمات جديدة عبر الإنترنت وتطورات جديدة (مثل التقنية المالية، وسلسلة الكتل)؛ على الرغم من تحسين القدرة على مواجهة التهديدات السيبرانية. ولا يتزايد الاعتماد على هذه الخدمات فحسب، بل إن مشهد التهديدات سريع التغير. ويدرك القطاع المالي الوتيرة الذي تتطور بها تلك التهديدات والمخاطر السيبرانية، فضلاً عن تغير مشهد التقنية والأعمال.
من هنا وضع البنك المركزي الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي ("المنظمات الأعضاء") من تحديد المخاطر المتعلقة بالأمن السيبراني ومعالجتها بشكل فعال. وللحفاظ على حماية أصول المعلومات والخدمات المتاحة على الإنترنت، يجب على المؤسسات المالية اعتماد الدليل التنظيمي.
يتمثل الهدف من الدليل التنظيمي في الآتي:
- إنشاء نهج مشترك لمعالجة الأمن السيبراني داخل المؤسسات المالية.
- تحقيق مستوى مناسب من النضج لضوابط الأمن السيبراني داخل المؤسسات المالية.
- ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح في جميع المؤسسات المالية.
وسوف يُستخدم الدليل التنظيمي لتقييم مستوى النضج بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني في المؤسسات المالية، ومقارنتها مع المؤسسات المالية الأخرى.
ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير الأمن السيبراني الصناعية، مثل (PCI, BASEL, ISO, ISF, NIST).
ويحل الدليل التنظيمي الماثل محل كافة التعاميم السابقة الصادرة عن البنك المركزي فيما يتعلق بالأمن السيبراني. يرجى الرجوع إلى "الملحق أ - نظرة عامة على تعميمات البنك المركزي الصادرة سابقًا" للحصول على مزيد من التفاصيل.
2.1 تعريف الأمن السيبراني
يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات الماليةضد التهديدات الداخلية والخارجية.
تشمل الأهداف الأمنية العامة ما يلي:
- السرية - لا يمكن الوصول إلى أصول المعلومات إلا للمصرح لهم بالوصول إليها (أي أنها محمية من الإفصاح غير المصرح به أو التسريب المقصود (غير المقصود) للبيانات الحساسة).
- النزاهة - أصول المعلومات دقيقة وكاملة ومعالجة بنحو صحيح (أي محمية من التعديل غير المصرح به، وقد تشمل صحة المعلومات وعدم القدرة على إنكارها).
- التوفر - تتميز أصول المعلومات بأنها مرنة ويمكن الوصول إليها عند الحاجة (أي محمية من الخلل غير المصرح به).
3.1 النطاق
يحدد الدليل التنظيمي المبادئ والأهداف لبدء وتنفيذ وصون ومراقبة وتحسين ضوابط الأمن السيبراني في المؤسسات المالية.
يوفر الدليل التنظيمي ضوابط الأمن السيبراني التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية، بما في ذلك:
- المعلومات الإلكترونية.
- المعلومات المادية (نسخ ورقية).
- التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات.
- أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
- أجهزة تخزين المعلومات (على سبيل المثال، القرص الصلب، وجهاز تخزين USB).
- المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).
يوفر الدليل التنظيمي توجيهات بشأن متطلبات الأمن السيبراني للمؤسسات المالية وفروعها وموظفيها وأطرافها الخارجية وعملائها.
للإطلاع على المتطلبات المتعلقة باستمرارية الأعمال، يرجى الرجوع إلى الحد الأدنى لمتطلبات البنك المركزي المعنية باستمرارية الأعمال.
ويرتبط الدليل التنظيمي بعلاقة متشابكة مع سياسات الشركات الأخرى في المجالات ذات الصلة، مثل الأمن المادي وإدارة الاحتيال. ولا يتناول الدليل التنظيمي الماثل متطلبات الأمن غير السيبراني لتلك المجالات.
4.1 نطاق التطبيق
ينطبق الدليل التنظيمي على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي، والتي تشمل ما يلي:
- جميع البنوك العاملة في المملكة العربية السعودية؛
- جميع شركات التأمين و/أو إعادة التأمين العاملة في المملكة العربية السعودية؛
- جميع شركات التمويل العاملة في المملكة العربية السعودية؛
- جميع شركات المعلومات الائتمانية العاملة في المملكة العربية السعودية؛
- البنية التحتية للسوق المالية
تنطبق جميع المجالات على القطاع المصرفي. ومع ذلك، تنطبق الاستثناءات التالية على المؤسسات المالية الأخرى:
- المجال الفرعي (2.1.3) تكون المواءمة مع استراتيجية الأمن السيبراني للقطاع المصرفي إلزامية عند الاقتضاء.
- استبعاد المجال الفرعي (3.2.3). ومع ذلك، إذا قامت المؤسسة بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها أو التعامل مع خدمات السويفت، فيجب تطبيق معيار صناعة بطاقات الدفع (PCI) و/أو إطار عمل ضوابط أمان عميل السويفت.
- استبعاد المجال الفرعي (12.3.3).
- استبعاد المجال الفرعي (13.3.3). ومع ذلك، إذا كانت المؤسسة توفر خدمات عبر الإنترنت للعملاء، فيجب تنفيذ إمكانية المصادقة متعددة العوامل.
5.1 المسؤوليات
اعتمد البنك المركزي الدليل التنظيمي المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
وتتحمل المؤسسات المالية مسؤولية الالتزام بالدليل التنظيمي وتنفيذه.
6.1 التفسير
يعتبر البنك المركزي، بصفته مالك الدليل التنظيمي، المسؤول وحده عن تقديم تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.
7.1 الجمهور المستهدف
يستهدف الدليل التنظيمي الماثل الإدارة العليا والتنفيذية، ومالكي الأعمال ومالكي أصول المعلومات، ورؤساء أمن المعلومات، وكذلك المسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل المؤسسات المالية والمشاركين فيها.
8.1 المراجعة والتحديثات والصيانة
وسوف يتولى البنك المركزي مراجعة الدليل التنظيمي وصونه.
سوف يراجع البنك المركزي الدليل التنظيمي بشكل دوري لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل التنظيمي في معالجة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
وإذا رأت إحدى المؤسسات المالية ضرورة تحديث الدليل التنظيمي، فعلى المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسوف يراجع البنك المركزي التحديث المطلوب، وعند اعتماده، سوف يجري تعديل الدليل التنظيمي.
وسوف تظل المؤسسة المالية مسؤولة عن الالتزام بالدليل التنظيمي ريثما يتم التحديث المطلوب.
يرجى الرجوع إلى "الملحق ب - كيفية طلب تحديث الدليل التنظيمي" للتعرف على إجراء طلب تحديث الدليل التنظيمي.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل التنظيمي.
9.1 دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل التنظيمي، ويسرد تعليمات حول كيفية تطبيق الدليل التنظيمي. ويعرض الفصل الثالث الدليل التنظيمي الفعلي، بما في ذلك مجالات الأمن السيبراني والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.
2 هيكل الدليل التنظيمي ومميزاته
1.2 الهيكل
يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
- قيادة وحوكمة الأمن السيبراني.
- إدارة مخاطر الأمن السيبراني والامتثال.
- عمليات وتقنية الأمن السيبراني.
- الأمن السيبراني للأطراف الخارجية.
ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. ويركز المجال الفرعي على موضوع محدد للأمن السيبراني. وينص الدليل التنظيمي على مبدأ وهدف واعتبارات تحكم لكل نطاق فرعي.
- يلخص المبدأ المجموعة الرئيسية من ضوابط الأمن السيبراني المطلوبة المتعلقة بالمجال الفرعي.
- يصف الهدف الغرض من المبدأ وما يُتوقع أن تحققه مجموعة ضوابط الأمن السيبراني المطلوبة.
- تعكس اعتبارات التحكم ضوابط الأمن السيبراني المقررة والتي يجب أخذها في الاعتبار.
تم ترقيم اعتبارات التحكم ترقيمًا فريدًا في الدليل التنظيمي بأكمله. ومتى اقتضى الأمر، يمكن أن يتكون اعتبار التحكم ممّا يصل إلى 4 مستويات.
ويتم ترقيم اعتبارات التحكم وفق نظام الترقيم التالي:
الشكل 1 - نظام ترقيم اعتبارات التحكم
يوضح الشكل الوارد أدناه الهيكل العام للدليل التنظيمي ويشير إلى مجالات الأمن السيبراني ومجالاته الفرعية، بما في ذلك الإشارة إلى القسم الذي تنطبق عليه من الدليل التنظيمي.
الشكل 2 – الدليل التنظيمي لأمن المعلومات2.2 الدليل التنظيمي القائم على المبادئ
الدليل التنظيمي القائم على المبادئ، ويشار إليه أيضًا بالقائم على المخاطر. وهذا يعني أنه يحدد المبادئ والأهداف الرئيسية للأمن السيبراني التي يتعين على المؤسسة المالية دمجها وتحقيقها. وتسرد قائمة اعتبارات التحكم المقررة توجيهات إضافية ويجب على المؤسسة المالية أن تأخذها في الاعتبار عند تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ أحد اعتبارات التحكم، يجب على المؤسسة المالية أن تنظر في تطبيق ضوابط بديلة، ومتابعة قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي.
برجاء الرجوع إلى الملحق "د" للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل التنظيمي.
3.2 التقييم الذاتي والمراجعة والتدقيق
سوف يخضع تنفيذ الدليل التنظيمي في المؤسسة المالية لتقييم ذاتي دوري. وسوف تجرِي المؤسسة المالية التقييم الذاتي بناءً على استبيان. وسوف يراجع البنك المركزي التقييمات الذاتية ويدققها لتحديد مستوى الالتزام بالدليل التنظيمي ومستوى نضج الأمن السيبراني للمؤسسة المالية.
يرجى الرجوع إلى "2.4 نموذج نضج الأمن السيبراني" للحصول على مزيد من التفاصيل حول نموذج نضج الأمن السيبراني.
4.2 نموذج نضج الأمن السيبراني
سوف يتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. ويميز نموذج نضج الأمن السيبراني بين 6 مستويات نضج (0 و1 و2 و3 و4 و5)، والتي تم تلخيصها في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة المالية أن تستوفي أولاً جميع معايير مستويات النضج السابقة.
مستوى النضج
التعريف والمعايير
إيضاح
0
غير موجود
لا توجد وثائق.
لا يوجد وعي أو اهتمام ببعض ضوابط الأمن السيبراني.
ضوابط الأمن السيبراني ليست مطبقة. قد لا يكون هناك وعي بمجال الخطر المحدد أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.
1
مخصصة
ضوابط الأمن السيبراني غير محددة أو محددة تحديدا جزئيًا.
يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة.
ضوابط الأمن السيبراني غير محددة تحديدًا كاملا.
يختلف تصميم وتنفيذ ضابط الأمن السيبراني حسب القسم أو المالك.
قد يقتصر تصميم ضابط الأمن السيبراني على التخفيف الجزئي من المخاطر المحددة وقد يكون التنفيذ غير متسق.
2
متكررة، ولكن غير رسمية
يعتمد تنفيذ ضابط الأمن السيبراني على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.
توجد ضوابط متكررة للأمن السيبراني مطبقة. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.
هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3
منظم وذو طابع رسمي
يتم تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها بطريقة منظمة ورسمية.
يمكن إثبات تنفيذ ضوابط الأمن السيبراني.
يتم وضع سياسات ومعايير وإجراءات الأمن السيبراني.
تتم مراقبة الامتثال لوثائق الأمن السيبراني، أي السياسات والمعايير والإجراءات، ويفضل استخدام أداة الحوكمة والمخاطر والامتثال.
يتم تحديد مؤشرات الأداء الرئيسية ومراقبتها والإبلاغ عنها لتقييم التنفيذ.
4
مُدار وقابل للقياس
يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
يتم قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري.
يتم استخدام مؤشرات المخاطر الرئيسية والإبلاغ عن الاتجاهات لتحديد مدى فعالية ضوابط الأمن السيبراني.
يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط الأمن السيبراني.
5
متكيّف
تخضع ضوابط الأمن السيبراني لخطة التحسين المستمر.
يركز برنامج الأمن السيبراني المتبع في المؤسسة بأكملها على الامتثال المستمر وفعالية ضوابط الأمن السيبراني وتحسينها
يتم دمج ضوابط الأمن السيبراني مع إطار وممارسات إدارة المخاطر في المؤسسة.
يتم تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.
الجدول 1 – نموذج نضج الأمن السيبراني
يتمثل الهدف من الدليل التنظيمي في إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. ولتحقيق مستوى مناسب من النضج في مجال الأمن السيبراني، يجب على المؤسسات المالية أن تصل على الأقل إلى مستوى النضج 3 أو إلى مستوى أعلى على النحو الموضح أدناه.
1.4.2 مستوى النضج 3
لتحقيق مستوى النضج 3، يجب على أي من المؤسسات المالية تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.
ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني.
الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني
يجب على مجلس إدارة المؤسسة المالية التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة المالية. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.
ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.
تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة المالية وفقًا لسياسة ومعايير الأمن السيبراني.
يتم تعريف العملية في سياق الدليل التنظيمي الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.
وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.
2.4.2 مستوى النضج 4
لتحقيق مستوى النضج 4، يجب على المؤسسة المالية قياس فعالية ضوابط الأمن السيبراني المنفذة وتقييمها بشكل دوري. من أجل قياس وتقييم مدى فعالية ضوابط الأمن السيبراني ، يجب تحديد مؤشرات المخاطر الرئيسية. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.
3.4.2 مستوى النضج 5
يركز مستوى النضج 5 على التحسين المستمر لضوابط الأمن السيبراني. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف الأمن السيبراني وإنجازاته وتحديد التحسينات الهيكلية. ويجب دمج ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر المؤسسية ودعمها بالمراقبة الآلية في الوقت الفعلي. ويقع على عاتق مالكي العمليات التجارية المسؤولية عن مراقبة الامتثال لضوابط الأمن السيبراني، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني ضمن الدليل التنظيمي إدارة مخاطر المؤسسة. إضافة إلى ذلك، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.
3 مجالات التحكم
1.3 قيادة وحوكمة الأمن السيبراني
تقع المسؤولية النهائية عن الأمن السيبراني على عاتق مجلس إدارة المؤسسة المالية. ويجوز لمجلس إدارة المؤسسة المالية تفويض مسؤولياته المتعلقة بالأمن السيبراني إلى لجنة الأمن السيبراني (أو إلى أحد كبار المديرين بإحدى وظائف التحكم). وقد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد حوكمة الأمن السيبراني ووضع استراتيجية الأمن السيبراني للمؤسسة المالية. كما قد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد سياسة الأمن السيبراني وضمان الفعالية التشغيلية لسياسة الأمن السيبراني المحددة.
ويجب إنشاء وظيفة مستقلة للأمن السيبراني لوضع سياسة الأمن السيبراني وصونها وتنفيذ أنشطة الأمن السيبراني داخل المؤسسة المالية.
1.1.3 حوكمة الأمن السيبراني
المبدأ
يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.
الهدف
توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة المالية.
اعتبارات التحكم
1. يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2. يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3. يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
أ. كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
ب. الرئيس التنفيذي لأمن المعلومات؛
ج. ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4. تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
أ. أهداف اللجنة؛
ب. الأدوار والمسؤوليات؛
ج. الحد الأدنى لعدد المشاركين في الاجتماع؛
د. تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5. يجب إنشاء وظيفة للأمن السيبراني.
6. يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7. ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة المالية أو إلى المدير العام لإحدى وظائف التحكم.
8. يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9. يجب على المؤسسة المالية:
أ. التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
ب. التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
ج. الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10. يجب على مجلس إدارة المؤسسة المالية تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.
2.1.3 استراتيجية الأمن السيبراني
المبدأ
يجب تحديد استراتيجية الأمن السيبراني ومواءمتها مع الأهداف الاستراتيجية للمؤسسة المالية، وكذلك مع استراتيجية الأمن السيبراني للقطاع المصرفي.
الهدف
ضمان أن مبادرات ومشاريع الأمن السيبراني داخل المؤسسة المالية تساهم في الأهداف الإستراتيجية للمؤسسة المالية وتتوافق مع استراتيجية الأمن السيبراني للقطاع المصرفي.
اعتبارات التحكم
1. يجب تحديد استراتيجية الأمن السيبراني واعتمادها وصونها وتنفيذها.
2. يجب أن تتماشى استراتيجية الأمن السيبراني مع يلي :
أ. الأهداف العامة للمؤسسة المالية؛
ب. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية؛
ج. استراتيجية الأمن السيبراني للقطاع المصرفي.
3. يجب أن تتناول استراتيجية الأمن السيبراني ما يلي:
أ. أهمية الأمن السيبراني وفوائده للمؤسسة المالية؛
ب. الحالة المستقبلية المتوقعة للأمن السيبراني للمؤسسة المالية لكي تصبح وتظل مرنة في مواجهة تهديدات الأمن السيبراني (الناشئة)؛
ج. ما هي مبادرات ومشاريع الأمن السيبراني الواجب تنفيذها لتحقيق الحالة المستقبلية المتوقعة ومتى يجب تنفيذها.
3.1.3 سياسة الأمن السيبراني
المبدأ
يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
الهدف
توثيق التزام المؤسسة المالية وأهدافها المتعلقة بالأمن السيبراني، وإبلاغ أصحاب المصلحة المعنيين بذلك.
اعتبارات التحكم
1. يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
2. يجب مراجعة سياسة الأمن السيبراني بشكل دوري وفقًا لعملية مراجعة منظمة ومحددة مسبقًا.
3. يجب أن تكون سياسة الأمن السيبراني:
أ. بمثابة مدخلات للسياسات المؤسسية الأخرى للمؤسسة المالية (على سبيل المثال، سياسة الموارد البشرية، والسياسة المالية، وسياسة تقنية المعلومات)؛
ب. مدعومة بمعايير أمنية مفصلة (على سبيل المثال، معيار كلمة المرور، ومعيار جدار الحماية) والإجراءات؛
ج. قائمة على أفضل الممارسات والمعايير الوطنية (الدولية)؛
د. تم تبليغها إلى أصحاب المصلحة المعنيين.
4. يجب أن تتضمن سياسة الأمن السيبراني ما يلي:
أ. تعريف الأمن السيبراني؛
ب. أهداف ونطاق الأمن السيبراني بوجه عام للمؤسسة المالية؛
ج. بيان مقصد مجلس الإدارة بما يدعم أهداف الأمن السيبراني؛
د. تعريف المسؤوليات العامة والخاصة للأمن السيبراني؛
هـ. الإشارة إلى دعم معايير وإجراءات الأمن السيبراني؛
و. تضمن متطلبات الأمن السيبراني الآتي:
1. تصنيف المعلومات بطريقة تشير إلى أهميتها بالنسبة للمؤسسة المالية؛
2. حماية المعلومات فيما يتعلق بمتطلبات الأمن السيبراني، بما يتماشى مع قابلية المخاطر؛
3. تعيين مالكي جميع أصول المعلومات؛
4. إجراء تقييمات مخاطر الأمن السيبراني لأصول المعلومات؛
5. توعية أصحاب المصلحة المعنيين بالأمن السيبراني وسلوكهم المتوقع (برنامج التوعية بالأمن السيبراني)؛
6. الوفاء بالالتزامات التنظيمية والتعاقدية؛
7. الإبلاغ عن انتهاكات الأمن السيبراني ونقاط ضعف الأمن السيبراني المشكوك فيها؛
8. انعكاس الأمن السيبراني على إدارة استمرارية الأعمال.
4.1.3 أدوار ومسؤوليات الأمن السيبراني
المبدأ
يجب تحديد مسؤوليات تنفيذ وصون ودعم وتعزيز الأمن السيبراني في المؤسسة المالية بأكملها. إضافة إلى ذلك، يجب على جميع الأطراف المشاركة في الأمن السيبراني أن تفهم الأدوار والمسؤوليات المنوطة بها.
الهدف
التأكد من أن أصحاب المصلحة المعنيين على دراية بالمسؤوليات المتعلقة بالأمن السيبراني وتطبيق ضوابط الأمن السيبراني في المؤسسة المالية بأكملها.
اعتبارات التحكم
1. يتحمل مجلس الإدارة المسؤولية النهائية عن الأمن السيبراني، بما في ذلك:
أ. ضمان تخصيص ميزانية كافية للأمن السيبراني؛
ب. اعتماد ميثاق لجنة الأمن السيبراني؛
ج. المصادقة (بعد اعتماده من لجنة الأمن السيبراني):
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني.
2. تتولى لجنة الأمن السيبراني المسؤولية عن:
أ. مراقبة ومراجعة وإبلاغ مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني بشكل دوري أو عند حدوث تغيير جوهري في مقدار قابلية المخاطر؛
ب. مراجعة استراتيجية الأمن السيبراني للتأكد من أنها تدعم أهداف المؤسسة المالية؛
ج. الاعتماد، والتبليغ، والدعم، والمراقبة:
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني؛
4. برامج الأمن السيبراني (على سبيل المثال، برنامج التوعية، برنامج تصنيف البيانات، خصوصية البيانات، منع تسريب البيانات، تحسينات الأمن السيبراني الرئيسية)؛
5. عملية إدارة مخاطر الأمن السيبراني؛
6. مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية للأمن السيبراني.
3. تتولى الإدارة العليا المسؤولية عن:
أ. التأكد من أن المعايير والعمليات والإجراءات تفي بالمتطلبات الأمنية (إن وجدت)؛
ب. التأكد من قبول الأفراد لسياسة الأمن السيبراني والامتثال لها، ودعم المعايير والإجراءات عند إصدارها وتحديثها؛
ج. التأكد من تضمين مسؤوليات الأمن السيبراني في التوصيفات الوظيفية للمناصب الرئيسية ولموظفي الأمن السيبراني.
4. يتولى الرئيس التنفيذي لأمن المعلومات المسؤولية عن:
أ. صياغة وصون:
1. استراتيجية الأمن السيبراني؛
2. سياسة الأمن السيبراني؛
3. هيكلية الأمن السيبراني؛
4. عملية إدارة مخاطر الأمن السيبراني؛
ب. التأكد من وضع المعايير والإجراءات الأمنية التفصيلية واعتمادها وتنفيذها؛
ج. تقديم حلول الأمن السيبراني القائمة على المخاطر والتي تتناول الأشخاص والعمليات والتقنية؛
د. تطوير مهارات موظفي الأمن السيبراني لتقديم حلول الأمن السيبراني في سياق الأعمال؛
هـ. مباشرة أنشطة الأمن السيبراني في المؤسسة المالية بأكملها، بما في ذلك:
1. مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)؛
2. مراقبة الامتثال للوائح وسياسات ومعايير وإجراءات الأمن السيبراني؛
3. الإشراف على التحقيق في حوادث الأمن السيبراني؛
4. جمع وتحليل استخبارات التهديدات من المصادر الداخلية والخارجية؛
5. إجراء مراجعات الأمن السيبراني؛
و. إجراء تقييمات لمخاطر الأمن السيبراني على أصول المعلومات الخاصة بالمؤسسات المالية؛
ز. الدعم الاستباقي للوظائف الأخرى المعنية بالأمن السيبراني، بما في ذلك:
1. إجراء تصنيفات للمعلومات وللأنظمة؛
2. تحديد متطلبات الأمن السيبراني للمشاريع المهمة؛
3. إجراء مراجعات الأمن السيبراني.
ح. تحديد برامج التوعية بالأمن السيبراني وتنفيذها؛
ط. قياس مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية والإبلاغ عنها بشأن:
1. استراتيجية الأمن السيبراني؛
2. الامتثال لسياسة الأمن السيبراني؛
3. معايير الأمن السيبراني وإجراءاته؛
4. برامج الأمن السيبراني (مثل برنامج التوعية، برنامج تصنيف البيانات، تحسينات الأمن السيبراني الرئيسية).
5. تتولى وظيفة التدقيق الداخلي المسؤولية عن:
أ. إجراء عمليات تدقيق الأمن السيبراني.
6. يتولى جميع موظفي المؤسسة المالية المسؤولية عن:
أ. الامتثال لسياسة ومعايير وإجراءات الأمن السيبراني.
5.1.3 الأمن السيبراني في إدارة المشاريع
المبدأ
يجب تناول موضوع الأمن السيبراني في مجالي إدارة المشاريع وحوكمة المشاريع.
الهدف
التأكد من أن جميع مشاريع المؤسسة المالية تلبي متطلبات الأمن السيبراني.
اعتبارات التحكم
1. يجب دمج الأمن السيبراني في منهجية إدارة مشاريع المؤسسة المالية لضمان تحديد مخاطر الأمن السيبراني ومعالجتها باعتبارها جزء من المشروع.
2. يجب أن تضمن منهجية إدارة المشاريع في المؤسسة المالية تحقيق الآتي:
أ. تضمين أهداف الأمن السيبراني في أهداف المشروع؛
ب. اعتبار وظيفة الأمن السيبراني جزءًا من جميع مراحل المشروع؛
ج. إجراء تقييم للمخاطر في بداية المشروع لتحديد مخاطر الأمن السيبراني والتأكد من تلبية متطلبات الأمن السيبراني إما من خلال ضوابط الأمن السيبراني الحالية (استنادًا إلى معايير الأمن السيبراني) أو من خلال الضوابط التي سيتم وضعها؛
د. تسجيل مخاطر الأمن السيبراني في سجل مخاطر المشروع ومتابعة سيرها؛
هـ. تحديد مسؤوليات الأمن السيبراني وتوزيعها؛
و. إجراء مراجعة الأمن السيبراني على يد طرف داخلي أو خارجي مستقل.
6.1.3 التوعية بالأمن السيبراني
المبدأ
يجب تحديد وتنفيذ برنامج للتوعية بالأمن السيبراني لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها.
الهدف
تكوين ثقافة واعية بمخاطر الأمن السيبراني بما يتيح لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها اتخاذ قرارات فعالة قائمة على تحليل المخاطر والتي تحمي معلومات المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد برامج التوعية بالأمن السيبراني واعتمادها وتنفيذها لتعزيز الوعي بالأمن السيبراني وخلق ثقافة إيجابية للأمن السيبراني.
2. يجب تحديد برنامج للتوعية بالأمن السيبراني وتنفيذه لصالح:
أ. موظفي المؤسسة المالية؛ ب. الأطراف الخارجية للمؤسسة المالية؛ ج. عملاء المؤسسة المالية. 3. يجب أن يستهدف برنامج التوعية بالأمن السيبراني سلوكيات الأمن السيبراني من خلال تصميم البرنامج لمعالجة المجموعات المستهدفة المختلفة من خلال قنوات متعددة.
4. يجب تنفيذ أنشطة برنامج التوعية بالأمن السيبراني بشكل دوري وعلى مدار العام.
5. يجب أن يتضمن برنامج التوعية بالأمن السيبراني المتطلبات التالية كحد أدنى:
أ. توفير شرح لتدابير الأمن السيبراني؛
ب. الأدوار والمسؤوليات المتعلقة بالأمن السيبراني؛
ج. معلومات عن أحداث الأمن السيبراني الناشئة ذات الصلة والتهديدات السيبرانية (مثل التصيد الالتكروني الموجه، والاحتيال على كبار المسؤولين).
6. يجب تقييم برنامج التوعية بالأمن السيبراني بهدف:
أ. قياس فعالية أنشطة التوعية؛ ب. صياغة توصيات لتحسين برنامج التوعية بالأمن السيبراني. 7. يجب أن تتناول توعية العملاء عملاء التجزئة، والعملاء التجاريين على حد سواء، وأن تتضمن على أقل تقدير قائمة بآليات الأمن السيبراني المقترحة التي قد يفكر العملاء في تنفيذها للتخفيف من الخطر (المخاطر) الخاصة بهم.
7.1.3 التدريب على الأمن السيبراني
المبدأ
يجب تزويد موظفي المؤسسة المالية بالتدريب على طريقة تشغيل أنظمة المؤسسة المالية بشكل آمن والتعامل مع ضوابط الأمن السيبراني وتطبيقها.
الهدف
التأكد من أن موظفي المؤسسة المالية لديهم المهارات والمعرفة اللازمة لحماية أصول معلومات المؤسسة المالية والوفاء بمسؤولياتهم في مجال الأمن السيبراني.
اعتبارات التحكم
1. يجب توفير التدريب على المهارات المتخصصة أو المتعلقة بالأمن للموظفين بالمؤسسة المالية حسب فئات مجالات عملهم ذات الصلة بما يتماشى مع توصيفاتهم الوظيفية، بما في ذلك:
أ. الأدوار الرئيسية داخل المؤسسة؛
ب. موظفو وظيفة الأمن السيبراني؛
ج. الموظفون المشاركون في تطوير أصول المعلومات وصونها (تقنيًا)؛
د. الموظفون المشاركون في تقييم المخاطر.
2. يجب توفير التثقيف لتزويد الموظفين بالمهارات والمعرفة المطلوبة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بشكل آمن.
2.3 إدارة مخاطر الأمن السيبراني والامتثال
إدارة المخاطر هي العملية المستمرة لتحديد المخاطر وتحليلها والاستجابة لها ومراقبتها ومراجعتها. وتركز عملية إدارة مخاطر الأمن السيبراني بشكل خاص على إدارة المخاطر المتعلقة بالأمن السيبراني. وليتسنى للمؤسسات المالية إدارة مخاطر الأمن السيبراني، يجب عليها القيام بالآتي:
- تحديد مخاطر الأمن السيبراني الخاصة بها - تحديد مخاطر الأمن السيبراني؛
- تحديد احتمالية حدوث مخاطر الأمن السيبراني والتأثير الناتج عنها - تحليل مخاطر الأمن السيبراني؛
- تحديد الاستجابة المناسبة لمخاطر الأمن السيبراني واختيار الضوابط ذات الصلة - الاستجابة لمخاطر الأمن السيبراني؛
- مراقبة التعامل مع مخاطر الأمن السيبراني ومراجعة فعالية التحكم - مراقبة ومراجعة مخاطر الأمن السيبراني.
يجب أن يخضع الامتثال لضوابط الأمن السيبراني للمراجعة والتدقيق الدوري.
1.2.3 إدارة مخاطر الأمن السيبراني
المبدأ
يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
الهدف
ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة المالية، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها.
2. يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات.
3. يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية.
4. يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل:
أ. تحديد المخاطر؛
ب. تحليل المخاطر؛
ج. الاستجابة للمخاطر؛
د. مراقبة المخاطر ومراجعتها.
5. يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة المالية، بما في ذلك (على سبيل المثال لا الحصر):
أ. العمليات التجارية؛
ب. تطبيقات الأعمال؛
ج. مكونات البنية التحتية.
6. يجب البدء في عملية إدارة مخاطر الأمن السيبراني:
أ. في مرحلة مبكرة من المشروع؛
ب. قبل التغيير الحرج؛
ج. عند النظر في اسناد المهام إلى طرف ثالث؛
د. عند إطلاق منتجات وتقنيات جديدة.
7. يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها.
8. يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي:
أ. مالكي الأعمال؛
ب. متخصصي تقنية المعلومات؛
ج. متخصصي الأمن السيبراني؛
د. ممثلي المستخدمين الرئيسيين.
9. يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة المالية؛
10. يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة المالية قبول نتائج تقييم المخاطر واعتمادها.
11. يجب تحديد مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا.
1.1.2.3 تحديد مخاطر الأمن السيبراني
المبدأ
يجب تحديد مخاطر الأمن السيبراني وأن يشمل التحديد الأصول والتهديدات والضوابط الحالية والثغرات الأمنية الخاصة بالمؤسسة المالية.
الهدف
العثور على مخاطر الأمن السيبراني التي تواجهها المؤسسة المالية والتعرف عليها ووصفها.
اعتبارات التحكم
- يجب تحديد مخاطر الأمن السيبراني.
- يجب توثيق مخاطر الأمن السيبراني المحددة (في سجل مركزي).
- يجب أن يتناول تحديد مخاطر الأمن السيبراني أصول المعلومات ذات الصلة، والتهديدات، والثغرات الأمنية، وضوابط الأمن السيبراني الرئيسية الحالية.
2.1.2.3 تحليل مخاطر الأمن السيبراني
المبدأ
يجب إجراء تحليل لمخاطر الأمن السيبراني بناءً على احتمالية حدوث مخاطر الأمن السيبراني المحددة والتأثير الناتج عنها.
الهدف
تحليل وتحديد طبيعة ومستوى مخاطر الأمن السيبراني المحددة.
اعتبارات التحكم
- يجب إجراء تحليل لمخاطر الأمن السيبراني.
- يجب أن يتناول تحليل مخاطر الأمن السيبراني مستوى التأثير المحتمل على الأعمال واحتمالية وقوع أحداث تهديد للأمن السيبراني.
3.1.2.3 الاستجابة لمخاطر الأمن السيبراني
المبدأ
تجب معالجة مخاطر الأمن السيبراني لأي من المؤسسات المالية.
الهدف
ضمان معالجة مخاطر الأمن السيبراني (أي قبولها، أو تجنبها، أو نقلها، أو تخفيفها).
اعتبارات التحكم
1. تجب معالجة مخاطر الأمن السيبراني المحددة ذات الصلة حسب قابلية المؤسسة المالية للمخاطر وحسب متطلبات الأمن السيبراني.
2. يجب أن تضمن الاستجابة لمخاطر الأمن السيبراني توثيق قائمة خيارات معالجة المخاطر (أي قبول المخاطر، أو تجنبها، أو نقلها، أو تخفيفها من خلال تطبيق ضوابط الأمن السيبراني).
3. يجب أن يشمل قبول مخاطر الأمن السيبراني ما يلي:
أ. النظر في الحدود المحددة مسبقًا لمستويات مخاطر الأمن السيبراني؛
ب. اعتماد مالك العمل وتوقيعه مما يضمن ما يلي:
1. أن يكون خطر الأمن السيبراني المقبول ضمن حدود القدرة على تحمل المخاطر ويتم إبلاغه إلى لجنة الأمن السيبراني؛
2. ألا يتعارض خطر الأمن السيبراني المقبول مع لوائح البنك المركزي.
4. يجب أن يتضمن تجنب مخاطر الأمن السيبراني قرارًا من مالك العمل بإلغاء أو تأجيل نشاط أو مشروع معين يمثل خطرًا غير مقبول على الأمن السيبراني.
5. لنقل مخاطر الأمن السيبراني أو مشاركتها يجب أن:
أ. تشتمل على مشاركة مخاطر الأمن السيبراني مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛
ب. يقبلها مقدم (مقدمو) الخدمات (الداخليون أو الخارجيون) المتلقون لها؛
ج. تؤدي في نهاية المطاف إلى النقل الفعلي أو المشاركة لمخاطر الأمن السيبراني.
6. يجب أن يشمل تطبيق ضوابط الأمن السيبراني للتخفيف من مخاطر الأمن السيبراني ما يلي:
أ. تحديد ضوابط الأمن السيبراني المناسبة؛
ب. تقييم نقاط القوة والضعف في ضوابط الأمن السيبراني؛
1. تقييم تكلفة تطبيق ضوابط الأمن السيبراني؛
2. تقييم مدى جدوى تطبيق ضوابط الأمن السيبراني؛
3. مراجعة متطلبات الامتثال ذات الصلة بضوابط الأمن السيبراني؛
ج. اختيار ضوابط الأمن السيبراني؛
د. تحديد أي مخاطر متبقية وتوثيقها والحصول على توقيع مالك العمل عليها.
7. يجب توثيق إجراءات معالجة مخاطر الأمن السيبراني في خطة معالجة المخاطر.
4.1.2.3 مراقبة المخاطر السيبرانية ومراجعتها
المبدأ
تجب مراقبة التقدم المحرز في معالجة مخاطر الأمن السيبراني وتجب مراجعة فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
الهدف
التأكد من تنفيذ معالجة مخاطر الأمن السيبراني وفقًا لخطط المعالجة. التأكد من فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
اعتبارات التحكم
1. تجب مراقبة معالجة الأمن السيبراني، بما في ذلك:
أ. تتبع التقدم وفقًا لخطة المعالجة؛
ب. يجري تنفيذ ضوابط الأمن السيبراني المختارة والمتفق عليها.
2. تجب مراجعة تصميم وفعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.
2.2.3 الامتثال التنظيمي
المبدأ
يجب أن تضع المؤسسة المالية عملية لتحديد تداعيات الأمن السيبراني على اللوائح ذات الصلة وتبليغها والامتثال لها.
الهدف
الامتثال للوائح التي تؤثر على الأمن السيبراني للمؤسسة المالية.
اعتبارات التحكم
1. يجب إنشاء عملية لضمان الامتثال للمتطلبات التنظيمية ذات الصلة التي تؤثر على الأمن السيبراني في المؤسسة المالية بأكملها. يجب أن تستوفي عملية ضمان الامتثال الآتي:
أ. يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
ب. يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
ج. تؤدي إلى تحديث سياسة ومعايير وإجراءات الأمن السيبراني لاستيعاب أي تغييرات ضرورية (إن اقتضى الأمر).
3.2.3 الامتثال لمعايير الصناعة الوطنية (الدولية)
المبدأ
يجب على المؤسسة المالية الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).
الهدف
الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).
اعتبارات التحكم
1. يجب على المؤسسة المالية الامتثال للآتي:
أ. معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)؛
ب. المعيار الفني لنظام الدفع الموحد ببطاقات (يورو باي، وماستر كارد، وفيزا)؛
ج. إطار عمل ضوابط أمن عملاء السويفت - مارس 2017.
4.2.3 مراجعة الأمن السيبراني
المبدأ
يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لمراجعة دورية للأمن السيبراني.
الهدف
التأكد مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وتجري مراقبة فعالية هذه الضوابط.
اعتبارات التحكم
1. يجب إجراء مراجعات الأمن السيبراني بشكل دوري لأصول المعلومات الهامة.
2. يجب أن تخضع خدمات العملاء والإنترنت للمراجعة السنوية واختبارات الاختراق.
3. يجب تسجيل تفاصيل مراجعة الأمن السيبراني التي تم إجراؤها، بما في ذلك نتائج المراجعة والمشكلات المحددة والإجراءات الموصى بها.
4. يجب إبلاغ مالك العمل بنتائج مراجعة الأمن السيبراني.
5. يجب أن تخضع مراجعة الأمن السيبراني لمراجعات متابعة للتحقق مما يلي:
أ. تمت معالجة كافة المشاكل التي تم تحديدها؛
ب. تمت معالجة المخاطر الحرجة بشكل فعال؛
ج. تتم إدارة جميع الإجراءات المتفق عليها بشكل مستمر.
5.2.3 عمليات تدقيق الأمن السيبراني
المبدأ
يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لعمليات تدقيق شاملة ومستقلة ومنتظمة للأمن السيبراني يتم إجراؤها وفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
الهدف
التأكد بدرجة معقولة مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وما إذا كانت فعالية هذه الضوابط خاضعة للمراقبة.
اعتبارات التحكم
1. يجب إجراء عمليات تدقيق الأمن السيبراني بشكل مستقل ووفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
2. يجب إجراء عمليات تدقيق الأمن السيبراني وفقًا لدليل التدقيق وخطة التدقيق الخاصة بالمؤسسة المالية.
3.3 عمليات وتقنيات الأمن السيبراني
من أجل الحفاظ على حماية العمليات والتقنيات الخاصة بأصول المعلومات لدى المؤسسة المالية وموظفيها والأطراف الخارجية وعملائها، يجب على المؤسسات المالية التأكد من تحديد المتطلبات الأمنية لأصول المعلومات الخاصة بها والعمليات الداعمة واعتمادها وتنفيذها.
وتجب مراقبة الامتثال لمتطلبات الأمن السيبراني هذه، ويجب قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري من أجل تحديد التنقيحات المحتملة للضوابط أو القياسات.
1.3.3 الموارد البشرية
المبدأ
يجب على المؤسسة المالية دمج متطلبات الأمن السيبراني في عمليات الموارد البشرية.
الهدف
التأكد من أن مسؤوليات الأمن السيبراني لموظفي المؤسسة المالية تم تضمينها في اتفاقيات الموظفين ويتم فحص الموظفين قبل وأثناء دورة حياتهم الوظيفية.
اعتبارات التحكم
1. يجب أن تحدد عملية الموارد البشرية متطلبات الأمن السيبراني وتعتمدها وتنفذها.
2. تجب مراقبة فعالية عملية الموارد البشرية وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الموارد البشرية ما يلي:
أ. مسؤوليات الأمن السيبراني وبنود عدم الإفصاح ضمن اتفاقيات الموظفين (أثناء وبعد التوظيف)؛
ب. يجب أن يتلقى الموظفون الوعي بالأمن السيبراني في بداية وأثناء عملهم؛
ج. توقيت تطبيق الإجراءات التأديبية؛
د. الفحص والتحقق من سيرهم الذاتية؛
هـ. أنشطة الأمن السيبراني بعد التوظيف، مثل:
1. إلغاء حقوق الوصول؛
2. إعادة أصول المعلومات المخصصة (على سبيل المثال، شارة الوصول، ورموز الأمان، والأجهزة المحمولة، وجميع المعلومات الإلكترونية والمادية).
2.3.3 الأمن المادي
المبدأ
يجب على المؤسسة المالية التأكد من أن جميع المرافق التي تستضيف أصول المعلومات محمية فعليًا ضد الأحداث الأمنية المقصودة وغير المقصودة.
الهدف
منع الوصول المادي غير المصرح به إلى أصول معلومات المؤسسة المالية وضمان حمايتها.
اعتبارات التحكم
1. يجب تحديد عملية الأمن المادي واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية الأمن المادي وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية الأمن المادي (على سبيل المثال لا الحصر):
أ. ضوابط الدخول المادي (بما في ذلك أمن الزائرين)؛
ب. الرصد والمراقبة (على سبيل المثال، الدوائر التلفزيونية المغلقة، وأجهزة الصراف الآلي، وتتبع نظام تحديد المواقع العالمي (GPS)، وأجهزة الاستشعار الحساسة)؛
ج. حماية مراكز البيانات وغرف البيانات؛
د. الحماية البيئية؛
هـ. حماية أصول المعلومات خلال دورة حياتها (بما في ذلك النقل والتخلص الآمن، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود).
3.3.3 إدارة الأصول
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ وتبليغ ومراقبة عملية إدارة الأصول، مما يساعد في إعداد سجل أصول دقيق وحديث وموحد.
الهدف
دعم المؤسسة المالية في إنشاء سجل دقيق وحديث ورؤية مركزية في الموقع الفعلي/الافتراضي والتفاصيل ذات الصلة لجميع أصول المعلومات المتاحة، من أجل دعم عملياتها، مثل العمليات المالية، والعمليات المتعلقة بالمشتريات وتقنية المعلومات والإنترنت والأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأصول واعتمادها وتنفيذها.
2. تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الأصول ما يلي:
أ. سجل موحد؛
ب. ملكية ورعاية أصول المعلومات؛
ج. الإشارة إلى العمليات الأخرى ذات الصلة، اعتمادًا على إدارة الأصول؛
د. تصنيف أصول المعلومات، وتمييزها والتعامل معها؛
هـ. اكتشاف أصول المعلومات الجديدة.
4.3.3 هيكلية الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد ومتابعة ومراجعة هيكلية الأمن السيبراني، والتي تحدد متطلبات الأمن السيبراني في الهيكلية المؤسسية وأن تتناول مبادئ التصميم لتطوير قدرات الأمن السيبراني.
الهدف
دعم المؤسسة المالية في إنجاز هيكلية استراتيجية ومتسقة وفعالة من حيث التكلفة وشاملة للأمن السيبراني.
اعتبارات التحكم
1. يجب تحديد هيكلية الأمن السيبراني واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لهيكلية الأمن السيبراني.
3. يجب أن تتضمن هيكلية الأمن السيبراني ما يلي:
أ. مخطط استراتيجي لقدرات وضوابط الأمن السيبراني بناءً على متطلبات العمل؛
ب. اعتماد هيكلية الأمن السيبراني المحددة؛
ج. ضرورة وجود مهندسين مؤهلين للأمن السيبراني؛
د. مبادئ التصميم لتطوير ضوابط الأمن السيبراني وتطبيق متطلبات الأمن السيبراني (أي: مبدأ الأمن حسب التصميم)؛
هـ. المراجعة الدورية لهيكلية لأمن السيبراني.
5.3.3 إدارة الهوية والوصول
المبدأ
يجب على المؤسسة المالية تقييد الوصول إلى أصول المعلومات الخاصة بها بما يتماشى مع متطلبات أعمالها بناءً على مبدأيّ الحاجة إلى الحصول على المعلومات أو الحاجة إلى المعرفة.
الهدف
التأكد من أن المؤسسة المالية لا تمنح امتيازات الوصول المصرح به والكافي إلا للمستخدمين المعتمدين.
اعتبارات التحكم
1. يجب تحديد سياسة لإدارة الهوية والوصول، بما في ذلك المسؤوليات والمساءلات، واعتمادها وتنفيذها.
2. يجب مراقبة الامتثال لسياسة الهوية والوصول.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن سياسة إدارة الهوية والوصول وتقييمها بشكل دوري.
4. يجب أن تتضمن سياسة إدارة الهوية والوصول ما يلي:
أ. متطلبات العمل للتحكم في الوصول (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة)؛
ب. إدارة وصول المستخدمين (على سبيل المثال، الموظفين الجدد، والمنتقلين، المغادرين):
1. يجب تغطية جميع الأنواع المحددة للمستخدمين (أي: الموظفين الداخليين، والأطراف الخارجية)؛
2. يجب على قسم الموارد البشرية إجراء تغييرات في الحالة الوظيفية أو المناصب الوظيفية للموظفين الداخليين (مثل الموظفين الجدد، والمنتقلين، والمغادرين)؛
3. يجب على الطرف المسؤول المعين إجراء التغييرات على الموظفين الخارجيين أو الأطراف الخارجية؛
4. تُمنح الموافقة رسميًا على طلبات وصول المستخدم وفقًا لمتطلبات العمل والامتثال (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة لتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
5. تجب معالجة التغييرات في حقوق الوصول في الوقت المناسب؛
6. تجب مراجعة حقوق وصول المستخدم وملفاته الشخصية بشكل دوري؛
7. يجب إنشاء سجل تدقيق لطلبات وصول المستخدم وطلبات الإلغاء المقدمة والمعتمدة والمعالجة؛
ج. يجب دعم إدارة وصول المستخدم بالأتمتة؛
د. مركزية وظيفة إدارة الهوية والوصول؛
هـ. المصادقة متعددة العوامل للأنظمة والملفات الشخصية الحساسة والمهمة؛
و. إدارة الوصول المميز والوصول عن بعد، والتي يجب أن تتناول ما يلي:
1. تخصيص الوصول المميز والوصول عن بعد وتقييد استخدامهما، مع تحديد الآتي:
أ. المصادقة متعددة العوامل الواجب استخدامها لجميع عمليات الوصول عن بعد؛
ب. المصادقة متعددة العوامل الواجب استخدامها للوصول إلى الامتيازات على الأنظمة المهمة بناءً على تقييم المخاطر؛
2. المراجعة الدورية للمستخدمين أصحاب الحسابات المميزة والمستخدمة عن بعد؛
3. المساءلة الفردية؛
4. استخدام الحسابات المميزة غير الشخصية، بما في ذلك:
أ. التقييد والمراقبة؛
ب. سرية كلمات المرور؛
ج. تغيير كلمات المرور بشكل متكرر وفي نهاية كل جلسة.
6.3.3 أمن التطبيقات
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.
الهدف
ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن التطبيقات.
3. يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري.
4. يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC).
5. يجب أن يتضمن معيار أمان التطبيق ما يلي:
أ. المعايير الآمنة للتشفير؛
ب. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛
ج. الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛
د. حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
هـ. إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛
و. إجراءات النسخ الاحتياطي والاسترداد؛
ز. المراجعة الدورية للامتثال للأمن السيبراني.
7.3.3 إدارة التغيير
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.
الهدف
التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة المالية تجري وفق عملية صارمة للتحكم في التغييرات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لعملية إدارة التغيير.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري.
4. يجب أن تتضمن عملية إدارة التغيير ما يلي:
أ. متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛
ب. الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء):
1. اختبار الاختراق؛
2. مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛
3. مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا
4. تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛
ج. موافقة مالك العمل على التغييرات؛
د. الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛
هـ. موافقة المجلس؛
و. مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛
ز. يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛
ح. إجراءات التغييرات والإصلاحات الطارئة؛
ط. الإجراءات الاحتياطية وإجراءات التراجع.
8.3.3 أمن البنية التحتية
المبدأ
يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لمكونات البنية التحتية الخاصة بها واعتماد هذه المعايير وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعاليتها وتقييمها بشكل دوري.
الهدف
دعم توثيق جميع ضوابط الأمن السيبراني داخل البنية التحتية رسميًا ومراقبة الامتثال وتقييم فعالية هذه الضوابط بشكل دوري داخل المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد معايير أمن البنية التحتية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير أمن البنية التحتية.
3. يجب قياس فعالية ضوابط الأمن السيبراني للبنية التحتية وتقييمها بشكل دوري.
4. يجب أن تشمل معايير أمن البنية التحتية جميع حالات البنية التحتية المتاحة في مركز (مراكز) البيانات الرئيسية وموقع (مواقع) بيانات التعافي من الكوارث والمساحات المكتبية.
5. يجب أن تشمل معايير أمان البنية التحتية جميع حالات البنية التحتية (على سبيل المثال، أنظمة التشغيل، والخوادم، والأجهزة الافتراضية، وجدران الحماية، وأجهزة الشبكة، ونظام كشف التسلل، ونظام منع التسلل، والشبكة اللاسلكية، وخوادم البوابة، والخوادم الوكيلة، وبوابات البريد الإلكتروني، والاتصالات الخارجية، وقواعد البيانات، ومشاركات الملفات، ومحطات العمل، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والأجهزة المحمولة، ونظام السنترال الداخلي PBX).
6. يجب أن يشمل معيار أمان البنية التحتية ما يلي:
أ. ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، والأحداث التي تجب مراقبتها والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، ومنع تسريب البيانات[DLP]، وإدارة الهوية والوصول، والصيانة عن بعد)؛
ب. الفصل بين المهام داخل مكون البنية التحتية (مدعوم بمصفوفة تفويض موثقة)؛
ج. حماية البيانات المتوافقة مع مخطط التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
د. استخدام البرامج المعتمدة والبروتوكولات الآمنة؛
هـ. تجزئة الشبكات؛
و. الحماية من الأكواد/البرامج الضارة والفيروسات (واستخدام قائمة تطبيقات مصرح بها والحماية من التهديدات المستعصية المتقدمة)؛
ز. إدارة الثغرات الأمنية والتصحيحات؛
ح. الحماية من هجمات حجب الخدمة الموزعة (إن اقتضى الأمر)؛ ويجب أن يشمل ذلك:
1. استخدام خدمات التنقية؛
2. مواصفات عرض النطاق المتفق عليه؛
3. المراقبة على مدار اليوم طوال أيام الأسبوع بواسطة مركز التشغيل الأمني، ومقدم الخدمة، ومقدم خدمة التنقية؛
4. اختبار تنظيف هجمات حجب الخدمة الموزعة(DDOS) (مرتين في السنة على الأقل)؛
5. يجب تنفيذ خدمات الحماية من هجوم حجب الخدمة (DDOS) لمركز (مراكز) البيانات الرئيسية بالإضافة إلى موقع (مواقع) التعافي من الكوارث؛
ط. إجراءات النسخ الاحتياطي والاسترداد؛
ي. المراجعة الدورية للامتثال للأمن السيبراني.
9.3.3 التشفير
المبدأ
يجب تحديد واعتماد وتنفيذ استخدام حلول التشفير داخل المؤسسات المالية.
الهدف
ضمان الحماية من الوصول إلى المعلومات الحساسة وسلامتها وإمكانية التأكد من منشئ الاتصال أو المعاملات.
اعتبارات التحكم
1. يجب تحديد معيار أمان التشفير واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعايير أمان التشفير.
3. يجب قياس فعالية ضوابط أمن التشفير وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار أمان التشفير ما يلي:
أ. نظرة عامة على حلول التشفير المعتمدة والقيود ذات الصلة (على سبيل المثال، الجوانب الفنية والقانونية)؛
ب. الظروف التي يجب فيها تطبيق حلول التشفير المعتمدة؛
ج. إدارة مفاتيح التشفير، بما في ذلك إدارة دورة الحياة والأرشفة والاسترداد.
10.3.3 أحضر جهازك الخاص (BYOD)
المبدأ
عندما تسمح المؤسسة المالية باستخدام الأجهزة الشخصية (مثل الهواتف الذكية، والأجهزة اللوحية، والحواسيب المحمولة) لأغراض العمل، يجب أن يكون الاستخدام مدعومًا بمعايير الأمن السيبراني المحددة والمعتمدة والمنفذة، واتفاقيات الموظفين الإضافية والتدريب على التوعية بالأمن السيبراني.
الهدف
التأكد من تعامل الموظفين مع المعلومات المتعلقة بالأعمال وذات الطبيعة الحساسة الخاصة بالمؤسسة المالية بطريقة آمنة مع حمايتها أثناء النقل والتخزين، عند استخدام الأجهزة الشخصية.
اعتبارات التحكم
1. يجب تحديد معيار الأمن السيبراني "أحضر جهازك الخاص" واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعيار الأمن السيبراني "أحضر جهازك الخاص" .
3. يجب قياس فعالية ضوابط الأمن السيبراني المعنية بمعيار "أحضر جهازك الخاص" وتقييمها بشكل دوري.
4. يجب أن يتضمن معيار "أحضر جهازك الخاص" ما يلي:
أ. مسؤوليات المستخدم (بما في ذلك التدريب التوعوي)؛
ب. المعلومات المتعلقة بالقيود والعواقب المترتبة على الموظفين عندما تنفذ المؤسسة المالية ضوابط الأمن السيبراني على أجهزتهم الشخصية؛ على سبيل المثال، عند استخدام الأجهزة المعدلة (تجاوز قيود الأجهزة)، أو عند إنهاء توظيفهم، أو في حالة فقدان أو سرقة الجهاز الشخصي؛
ج. فصل المعلومات المتعلقة بالأعمال عن المعلومات الشخصية (على سبيل المثال، التعبئة في الحاويات)؛
د. تنظيم تطبيقات الهاتف المحمول الخاصة بالشركات أو تطبيقات الهاتف المحمول "العامة" المعتمدة؛
هـ. استخدام إدارة الأجهزة المحمولة؛ تطبيق ضوابط الوصول إلى الجهاز وحاوية الأعمال وآليات التشفير على الجهاز الشخصي (لضمان النقل والتخزين الآمن).
11.3.3 التخلص الآمن من أصول المعلومات
المبدأ
يجب التخلص من أصول المعلومات الخاصة بالمؤسسة المالية بطريقة آمنة عندما تنتهي الحاجة إلى أصول المعلومات.
الهدف
ضمان حماية أعمال المؤسسة المالية وعملائها والمعلومات الحساسة الأخرى من التسريب أو الكشف غير المصرح به عند التخلص منها.
اعتبارات التحكم
- يجب تحديد معيار وإجراء التخلص الآمن واعتماده وتنفيذه.
- تجب مراقبة الامتثال لمعيار وإجراء التخلص الآمن.
- يجب قياس فعالية ضوابط الأمن السيبراني للتخلص الآمن وتقييمها بشكل دوري.
- يجب التخلص من أصول المعلومات وفقًا للمتطلبات القانونية والتنظيمية، عندما تنتهي الحاجة إليها (أي الالتزام بلوائح خصوصية البيانات لتجنب الوصول غير المصرح به وتجنب تسريب البيانات المقصود (وغير المقصود)).
- يجب إتلاف المعلومات الحساسة باستخدام تقنيات تجعل المعلومات غير قابلة للاسترجاع (على سبيل المثال، الحذف الآمن، المحو الآمن، والحرق، والتقطيع المزدوج، والتمزيق)
- يجب على المؤسسة المالية التأكد من أن مقدمي الخدمات الخارجيين المستخدَمين للتخلص الآمن والنقل والتخزين يلتزمون بمعايير وإجراءات التخلص الآمن ويتم قياس وتقييم الفعالية بشكل دوري.
12.3.3 أنظمة الدفع
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة معيار الأمن السيبراني المتبع في أنظمة الدفع. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحمي سرية وسلامة الأنظمة المصرفية المشتركة.
اعتبارات التحكم
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات ساما المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
13.3.3 الخدمات المصرفية الإلكترونية
المبدأ
يجب على المؤسسة المالية تحديد معيار الأمن السيبراني للخدمات المصرفية الإلكترونية واعتماده وتنفيذه ومراقبته. ويجب قياس فعالية هذا المعيار وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحافظ على سرية وسلامة معلومات العملاء ومعاملاتهم.
اعتبارات التحكم
1. يجب تحديد معايير الأمن السيبراني للخدمات المصرفية الإلكترونية واعتمادها وتنفيذها.
2. تجب مراقبة الامتثال لمعايير الأمن السيبراني المتعبة في الخدمات المصرفية الإلكترونية.
3. يجب قياس مدى فعالية معيار الأمن السيبراني المتبع في الخدمات المصرفية الإلكترونية وتقييمها بشكل دوري.
4. يجب أن يشمل معيار أمن الخدمات المصرفية الإلكترونية ما يلي:
أ. استخدام تدابير حماية العلامة التجارية لحماية الخدمات المتوفرة على الإنترنت بما في ذلك وسائل التواصل الاجتماعي.
ب. الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول والهاتف الأرضي:
1. استخدام متاجر التطبيقات والمواقع الرسمية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
2. استخدام تدابير الكشف وإزالة التطبيقات والمواقع الضارة (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
3. استخدام تقنية البيئة التجريبية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
4. استخدام تقنيات عدم التخزين المؤقت (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
5. استخدام تقنيات الاتصال لتجنب وقوع "الهجوم الوسيط" (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
6. استخدام آليات المصادقة متعددة العوامل:
أ. يجب استخدام المصادقة متعددة العوامل أثناء عملية التسجيل للعميل من أجل استخدام الخدمات المصرفية الإلكترونية؛
ب. يجب تنفيذ المصادقة متعددة العوامل لجميع الخدمات المصرفية الإلكترونية المتاحة للعملاء؛
ج. يجب أن يكون استخدام أجهزة وتطبيقات رموز الأمان محميًا بكلمة مرور؛
د. إلغاء وصول العملاء بعد إدخال كلمات مرور غير صحيحة أو أرقام تعريف شخصي غير صالحة لثلاث مرات متتالية؛
هـ. يجب ألا تتم عملية تغيير رقم الهاتف المتحرك للعميل إلا من أحد الفروع أو أجهزة الصراف الآلي؛
و. يجب أن تتم عمليات طلب وتفعيل المصادقة متعددة العوامل من خلال قنوات التسليم المختلفة؛
ز. يجب تنفيذ المصادقة متعددة العوامل للعمليات التالية:
1. تسجيل الدخول؛
2. إضافة أو تعديل المستفيدين؛
3. إضافة خدمات الدفع للجهات الحكومية والمرافق؛
4. المعاملات عالية المخاطر (عندما تتجاوز الحدود المحددة مسبقاً)؛
5. إعادة تعيين كلمة المرور؛
7. يجب أن تتم عمليات إضافة وتفعيل المستفيدين من خلال قنوات التوصيل المختلفة (ينطبق على الخدمات المصرفية المقدمة عبر الهاتف المحمول والإنترنت)؛
8. يجب التأكد من توفر الخدمات المصرفية الإلكترونية بكثرة؛
9. يجب إبلاغ البنك المركزي والعملاء بفترة التعطيل المقررة للخدمات المصرفية الإلكترونية في الوقت المناسب؛
10. .الاتفاقيات التعاقدية بين المؤسسة المالية والعميل التي تنص على الأدوار والمسؤوليات والالتزامات لكل من المؤسسة المالية والعملاء؛
11. الحصول على موافقة البنك المركزي قبل إطلاق الخدمة المصرفية الإلكترونية الجديدة.
ج. أجهزة الصراف الآلي ونقاط البيع:
1. منع استغلال الثغرات الأمنية في تطبيقات الصرافات الآلية/نقاط البيع وفي البنية التحتية واكتشافها (على سبيل المثال، الكابلات، منافذ أجهزة (USB)، إعادة التشغيل) ؛
2. تدابير الأمن السيبراني، مثل تقوية أنظمة التشغيل، والحماية من البرامج الضارة، وشاشات حماية الخصوصية، وإخفاء كلمات المرور أو أرقام الحسابات (على سبيل المثال، من الشاشات والإيصالات)، والحظر الجغرافي (على سبيل المثال، تعطيل البطاقات افتراضيًا خارج دول مجلس التعاون الخليجي، وتعطيل المعاملات التي تتم بالشريط المغناطيسي)، والمراقبة بالفيديو (الدائرة التليفزيونية المغلقة)، وإلغاء البطاقات بعد إدخال أرقام تعريف شخصية غير صالحة لثلاث مرات متتالية، وحلول مكافحة النسخ الاحتيالي (الأجهزة/البرامج)، وحماية لوحة رقم التعريف الشخصي؛
3. إيقاف أجهزة الصراف الآلي عن بعد في حالة اكتشاف أنشطة ضارة.
د. خدمات الإشعارات الفورية عبر الرسائل النصية القصيرة:
1. يجب ألا تحتوي الرسائل النصية القصيرة على بيانات حساسة (على سبيل المثال، رصيد الحساب – باستثناء بطاقات الائتمان)؛
2. يجب إرسال تنبيه عبر الرسائل النصية القصيرة إلى رقمي الجوال (القديم والجديد) عند تغيير رقم الجوال الخاص بالعميل؛
3. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند طلب آلية مصادقة متعددة العوامل جديدة.
4. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل بجميع المعاملات المالية الخاصة ببيع التجزئة وبالأشخاص.
5. يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند إضافة المستفيدين وتعديلهم وتفعيلهم.
14.3.3 إدارة أحداث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية لإدارة الأحداث الأمنية لتحليل التسجيلات التشغيلية والأمنية والاستجابة للأحداث الأمنية. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان التحديد والاستجابة في الوقت المناسب للحالات غير المألوفة أو الأحداث المشتبه فيها فيما يتعلق بأصول المعلومات.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الأحداث الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة الأحداث الأمنية وتقييمها بشكل دوري.
3. لدعم هذه العملية، يجب تحديد معيار مراقبة الأحداث الأمنية واعتماده وتنفيذه.
أ. يجب أن يتناول المعيار، في جميع أصول المعلومات، الأحداث الإلزامية التي تجب مراقبتها بناءً على التصنيف أو ملف المخاطر الخاص بأصل المعلومات.
4. يجب أن تتضمن عملية إدارة الأحداث الأمنية متطلبات لما يلي:
أ. تشكيل فريق معين مسؤول عن المراقبة الأمنية (أي مركز العمليات الأمنية)؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. منطقة محظورة لتسهيل أنشطة مركز العمليات الأمنية ومساحات العمل؛
د. الموارد المطلوبة لأنشطة مراقبة الأحداث الأمنية المستمرة (24 ساعة طوال أيام الأسبوع)؛
هـ. اكتشاف ومعالجة الأكواد البرمجية والبرامج الضارة؛
و. اكتشاف الأحداث الأمنية أو الأحداث المشبوهة أو غير المألوفة والتعامل معها؛
ز. نشر حل تحليل حزم الشبكة الأمنية؛
ح. سجلات محمية بشكل كاف؛
ط. مراقبة الامتثال الدورية للتطبيقات ومعايير الأمن السيبراني للبنية التحتية
ي. التحليل الآلي والمركزي لتسجيلات الأمان وارتباط الأحداث أو الأنماط (أي: إدارة المعلومات والأحداث الأمنية)؛
ك. الإبلاغ عن حوادث الأمن السيبراني؛
ل. اختبار دوري مستقل لفعالية مركز العمليات الأمنية (على سبيل المثال، فريق محاكاة الاختراق).
15.3.3 إدارة حوادث الأمن السيبراني
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ إدارة حوادث الأمن السيبراني بما يتماشى مع عملية إدارة حوادث المؤسسة، لتحديد حوادث الأمن السيبراني والاستجابة لها والتعافي منها. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
ضمان تحديد حوادث الأمن السيبراني والتعامل معها في الوقت المناسب من أجل الحد من التأثير التجاري (المحتمل) على المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة حوادث الأمن السيبراني واعتمادها وتنفيذها ومواءمتها مع عملية إدارة الحوادث المؤسسية.
2. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة حوادث الأمن السيبراني وتقييمها بشكل دوري.
3. يجب أن يتناول المعيار الأحداث الأمنية المفروضة والمشبوهة التي يجب الاستجابة لها.
4. يجب أن تتضمن عملية إدارة الحوادث الأمنية متطلبات:
أ. تشكيل فريق مخصص مسؤول عن إدارة الحوادث الأمنية؛
ب. الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
ج. القدرة الكافية المتاحة لطاقم التحقيق الجنائي المعتمد للتعامل مع الحوادث الكبرى (على سبيل المثال، الموظفين الداخليين أو التعاقد مع فريق تحقيق جنائي خارجي)؛
د. منطقة محظورة لإتاحة مساحات عمل لفريق الاستجابة لطوارئ الحاسوب؛
هـ. تصنيف حوادث الأمن السيبراني؛
و. التعامل مع حوادث الأمن السيبراني في الوقت المناسب، وتسجيل التقدم المحرز ومراقبته؛
ز. حماية الأدلة والتسجيلات ذات الصلة؛
ح. أنشطة ما بعد الحادث، مثل التحقيقات الجنائية، وتحليل الأسباب الجذرية للحوادث؛
ط. الإبلاغ عن التحسينات المقترحة إلى الرئيس التنفيذي لأمن المعلومات واللجنة المعنية؛
ي. إنشاء مستودع رقمي لحفظ حوادث الأمن السيبراني.
5. يجب على المؤسسة المالية إبلاغ " قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" فورًا عند وقوع حادث أمني متوسط أو عالي التصنيف وتحديده.
6. يجب على المؤسسة المالية الحصول على "عدم ممانعة" من "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" قبل أي تفاعل إعلامي يتعلق بالحادث.
7. يجب على المؤسسة المالية تقديم تقرير رسمي عن الحادث إلى "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" بعد استئناف العمليات، بما في ذلك تفاصيل الحادث التالية:
أ. عنوان الحادث؛
ب. تصنيف الحادث (متوسط أو مرتفع)؛
ج. تاريخ ووقت وقوع الحادث؛
د. تاريخ ووقت الحادث المكتشف؛
هـ. أصول المعلومات المشمولة؛
و. التفاصيل (الفنية) للحادث؛
ز. تحليل السبب الجذري؛
ح. الأنشطة التصحيحية المنفذة والمخطط لها؛
ط. وصف التأثير (على سبيل المثال، فقدان البيانات، وتعطل الخدمات، والتعديل غير المصرح به للبيانات، وتسريب البيانات المقصود (وغير المقصود)، وعدد العملاء المتأثرين بالحادث)؛
ي. إجمالي التكلفة المقدرة للحادث؛
ك. التكلفة المقدرة للإجراءات التصحيحية.
16.3.3 إدارة التهديدات
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة استخبارات التهديدات، واعتمادها، وتنفيذها لتحديد التهديدات التي تتعرض لها أصول معلومات المؤسسة المالية وتقييمها وفهمها باستخدام مصادر متعددة موثوقة. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
الحصول على فهم مناسب لوضع التهديد الناشئ في المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة استخبارات التهديدات واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة استخبارات التهديدات وتقييمها بشكل دوري.
3. يجب أن تشمل عملية إدارة استخبارات التهديدات ما يلي:
أ. الاستعانة بمصادر داخلية، مثل التحكم في الوصول، وسجلات التطبيقات والبنية التحتية، ونظام كشف التسلل، ونظام منع التسلل، وأدوات الأمان، إدارة المعلومات والأحداث الأمنية، ووظائف الدعم (مثل الشؤون القانونية، والتدقيق، ومكتب مساعدة تقنية المعلومات، والتحقيق الجنائي، وإدارة الاحتيال، وإدارة المخاطر والامتثال)؛
ب. الاستعانة بمصادر خارجية موثوقة وذات صلة، مثل البنك المركزي، والهيئات الحكومية، والمنتديات الأمنية، وبائعي (المنتجات الأمنية)، والمؤسسات الأمنية والجهات الإعلامية المتخصصة؛
ج. منهجية محددة لتحليل معلومات التهديد بشكل دوري؛
د. التفاصيل ذات الصلة بالتهديدات المحددة أو المجمعة، مثل طريقة العمل، والجهات الفاعلة، ودوافع التهديدات وأنواعها؛
هـ. الصلة بين الاستخبارات المستقاة والقدرة على المتابعة (على سبيل المثال، مركز العمليات الأمنية، وإدارة المخاطر)؛
و. تبادل الاستخبارات ذات الصلة مع أصحاب المصلحة المعنيين (مثل أعضاء البنك المركزي، واللجنة المصرفية لأمن المعلومات).
17.3.3 إدارة الثغرات الأمنية
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة الثغرات الأمنية، واعتمادها، وتنفيذها لتحديد الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية والحد من تأثيرها. ويجب قياس فعالية هذه العملية ويجب تقييم الفعالية بشكل دوري.
الهدف
ضمان التحديد في الوقت المناسب والتخفيف الفعال من الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية من أجل تقليل احتمالية التعرض لها والحد من التأثير على أعمال المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد عملية إدارة الثغرات الأمنية واعتمادها وتنفيذها.
2. يجب قياس فعالية عملية إدارة الثغرات الأمنية وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إدارة الثغرات الأمنية ما يلي:
أ. جميع أصول المعلومات؛
ب. تكرار إجراء فحص الثغرات الأمنية (القائم على المخاطر)؛
ج. تصنيف الثغرات الأمنية؛
د. جداول زمنية محددة للتخفيف المخاطر (حسب التصنيف)؛
هـ. تحديد الأولويات لأصول المعلومات المصنفة؛
و. إدارة حزم التحديثات والإصلاحات وطريقة النشر.
4.3 الأمن السيبراني للأطراف الخارجية
عندما تعتمد المؤسسات المالية على خدمات من أطراف خارجية، أو تضطر إلى التعامل معها، فمن الضروري ضمان تنفيذ نفس المستوى من الحماية الأمنية السيبرانية لدى الطرف الخارجي، كما هو الحال داخل المؤسسة المالية.
وتبين هذه الفقرة كيفية تنظيم وتنفيذ ومراقبة متطلبات الأمن السيبراني بين المؤسسة المالية والأطراف الخارجية. تعرَّف الأطراف الخارجية في الدليل التنظيمي الماثل على أنها مقدمي الخدمات المعلوماتية، ومقدمي خدمات التعهيد، ومقدمي خدمات الحوسبة السحابية، والبائعين، والموردين، والوكالات الحكومية، وما إلى ذلك.
1.4.3 إدارة العقود والبائعين
المبدأ
يجب على المؤسسة المالية تحديد ضوابط الأمن السيبراني المطلوبة واعتمادها وتنفيذها ومراقبتها ضمن عمليات إدارة العقود والبائعين.
الهدف
التأكد من استيفاء متطلبات الأمن السيبراني المعتمدة للمؤسسة المالية على النحو المناسب قبل توقيع العقد، ومراقبة وتقييم الامتثال لمتطلبات الأمن السيبراني خلال دورة حياة العقد.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني واعتمادها وتنفيذها وتبليغها ضمن عمليات إدارة العقود والبائعين.
2. تجب مراقبة الامتثال لعملية إدارة العقود والموردين.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة العقود والبائعين وتقييمها بشكل دوري.
4. يجب أن تشمل عمليات إدارة العقود والبائعين ما يلي:
أ. ما إذا كانت مشاركة وظيفة الأمن السيبراني مطلوبة بشكل فعال (على سبيل المثال، في حالة العناية الواجبة)؛
ب. متطلبات الأمن السيبراني الأساسية التي يجب تطبيقها في جميع الحالات؛
ج. الحق في إجراء مراجعات وتدقيقات للأمن السيبراني بشكل دوري.
5. يجب أن تشمل عملية إدارة العقد متطلبات:
أ. تنفيذ تقييم مخاطر الأمن السيبراني باعتباره جزء من عملية الشراء؛
ب. تحديد متطلبات الأمن السيبراني المحددة باعتبارها جزء من عملية المناقصة؛
ج. تقييم ردود البائعين المحتملين بشأن متطلبات الأمن السيبراني المحددة؛
د. اختبار متطلبات الأمن السيبراني المتفق عليها (القائم على المخاطر)؛
هـ. تحديد عملية الاتصال أو التصعيد في حالة وقوع حوادث الأمن السيبراني؛
و. التأكد من تحديد متطلبات الأمن السيبراني للخروج من العقد، أو إنهائه، أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
ز. تحديد اتفاقية السرية المتبادلة.
6. يجب أن تشمل عملية إدارة البائعين (أي: إدارة مستوى الخدمة) متطلبات:
أ. إعداد التقارير الدورية ومراجعة وتقييم متطلبات الأمن السيبراني المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة).
2.4.3 إسناد المهام إلى طرف ثالث
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة إسناد المهام وعملية إسناد المهام. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
الهدف
التأكد من معالجة متطلبات الأمن السيبراني للمؤسسة المالية بشكل مناسب قبل وأثناء وعند الخروج من عقود إسناد المهام إلى طرف ثالث.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني ضمن سياسة وعملية إسناد المهام واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. يجب قياس متطلبات الأمن السيبراني فيما يتعلق بسياسة وعملية إسناد المهام وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إسناد المهام ما يلي:
أ. الاعتماد من البنك المركزي قبل إسناد الأعمال الجوهرية؛
ب. مشاركة وظيفة الأمن السيبراني؛
ج. الالتزام بتعميم البنك المركزي بشأن إسناد المهام إلى طرف ثالث.
3.4.3 الحوسبة السحابية
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة وعملية الحوسبة السحابية للخدمات السحابية الهجينة والعامة. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
ترجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (= السحابة الداخلية).
الهدف
التأكد من أن جميع الوظائف والعاملين داخل المؤسسة المالية على دراية بالاتجاه والموقف المتفق عليهما بشأن الخدمات السحابية المختلطة والعامة، والعملية المطلوبة لطلب الحصول على الخدمات السحابية المختلطة والعامة، والقدرة على تحمل المخاطر بشأن الخدمات السحابية المختلطة والعامة، ومتطلبات الأمن السيبراني المحددة للخدمات السحابية المختلطة والعامة.
اعتبارات التحكم
1. يجب تحديد ضوابط الأمن السيبراني ضمن سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. تجب مراقبة الامتثال لسياسة الحوسبة السحابية.
3. يجب قياس وتقييم ضوابط الأمن السيبراني المتعلقة بسياسة الحوسبة السحابية وعملية الخدمات السحابية المختلطة والعامة بشكل دوري.
4. يجب أن تتناول سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة متطلبات ما يلي:
أ. عملية اعتماد الخدمات السحابية، بما في ذلك:
1. يجب إجراء تقييم لمخاطر الأمن السيبراني والعناية الواجبة على مقدم الخدمة السحابية وخدماته السحابية؛
2. يجب على المؤسسة المالية الحصول على اعتماد ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مقدم الخدمة السحابية؛
3. يجب إبرام عقد ينص متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية؛
ب. موقع البيانات، بما في ذلك ما:
1. من حيث المبدأ، يجب استخدام الخدمات السحابية الموجودة في المملكة العربية السعودية فقط، أو عند استخدام الخدمات السحابية خارج المملكة العربية السعودية، يجب على المؤسسة المالية الحصول على موافقة صريحة من ساما؛
ج. قيود استخدام البيانات، بما في ذلك ما يلي:
1. لا يجوز لمقدم الخدمة السحابية استخدام بيانات المؤسسة المالية لأغراض ثانوية؛
د. الأمن، بما في ذلك:
1. يجب على مقدم الخدمة السحابية تنفيذ ومراقبة ضوابط الأمن السيبراني على النحو المحدد في تقييم المخاطر لحماية سرية وسلامة وتوافر بيانات المؤسسة المالية؛
هـ. فصل البيانات، بما في ذلك ما يلي:
1. يتم فصل بيانات المؤسسة المالية بشكل منطقي عن البيانات الأخرى التي يحتفظ بها مقدم الخدمة السحابية، بما في ذلك وجوب أن يكون مقدم الخدمة السحابية قادرًا على تحديد بيانات المؤسسة المالية وأن يكون قادرًا في جميع الأوقات على تمييزها عن البيانات الأخرى.
و. استمرارية الأعمال، بما في ذلك:
1. استيفاء متطلبات استمرارية الأعمال وفقًا لسياسة استمرارية الأعمال الخاصة بالمؤسسة المالية؛
ز. التدقيق والمراجعة والمراقبة، بما في ذلك:
1. يحق للمؤسسة المالية إجراء مراجعة للأمن السيبراني لدى مقدم الخدمة السحابية؛
2. يحق للمؤسسة المالية إجراء تدقيق للأمن السيبراني لدى مقدم الخدمة السحابية؛
3. يحق للمؤسسة المالية إجراء فحص الأمن السيبراني لدى مقدم الخدمة السحابية؛
ح. الخروج، بما في ذلك ما يلي:
1. تتمتع المؤسسة المالية بحقوق الإنهاء؛
2. يجب على مقدم الخدمة السحابية إعادة بيانات المؤسسة المالية عند الإنهاء؛
3. يجب على مقدم الخدمة السحابية حذف بيانات المؤسسة المالية حذفا لا رجعة فيه عند الإنهاء.
الملاحق
الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا
يحل الدليل التنظيمي لأمن المعلومات الماثل محل تعاميم البنك المركزي الصادرة مسبقًا التالية:
- تقييم أنظمة الحماية وأمن المعلومات لجميع البنوك، 53331-م أ -25514 , 2012/10/25؛
- ضوابط تعزيز المراقبة على أجهزة الصراف الآلي، 49616-م أ ت-24388 , 2012/9/8؛
- متطلبات الحد من هجمات حجب الخدمات/الهجمات الموزعة لحجب الخدمة، 361000033746، 2014/12/24؛
- استنساخ البطاقات، 361000078157، 2015/3/19؛
- استقلالية أمن المعلومات، 361000036797، 2014/12/30؛
- التحذير من الاحتيال الإلكتروني، م أ ت/ 17722 ، 2011/6/29؛
- سرية المعلومات المصرفية، 341000065707، 2013/4/6؛
- ضوابط البنك المركزي بشأن الخدمات المصرفية عبر الهاتف المحمول، 341000096665، 2013/6/16؛
- استخدام بطاقات الصراف الآلي المزورة في السحب من حسابات العملاء، 33043/م أ ت/644 , 2009/6/24؛
- رمز التحقق من الهوية (Token)، 2013/4/18 ،341000071570؛
- تعليمات الخدمات المصرفية الإلكترونية (E-Banking Rules), 23612/م أ ق/11231, 2010/4/9؛
- المصادقة متعددة العوامل، 40690/م أ ت/789, 2009/8/6.
يشير الدليل التنظيمي الماثل إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بأنظمة الدفع:
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات البنك المركزي المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
يشير الدليل التنظيمي إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بإسناد المهام وإدارة استمرارية الأعمال:
الملحق "ب" - كيفية طلب تحديث الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه خطوات عملية طلب تحديث الدليل التنظيمي.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أولاً اعتماد الطلب من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد الطلب من قبل اللجنة الإشرافية للأمن السيبراني بالمؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب العام للمؤسسة المالية إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم قسم "الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" الطلب ويبلغ المؤسسة المالية بالنتيجة.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.
الملحق "ج" - نموذج طلب تحديث الدليل التنظيمي
طلب تحديث الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي
تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات
سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية لتحديث الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
قسم الإطار*:
الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:
المقترح*:
الموافقات
1.اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*
التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
* تشير إلى الحقول الإلزامية
الملحق "د" - كيفية طلب الإعفاء من الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه عملية طلب الإعفاء من الدليل التنظيمي.
- وصف تفصيلي لأسباب عدم قدرة البنك على الوفاء بالضابط المطلوب.
- بيان تفاصيل الضوابط البديلة المتاحة أو المقترحة.
- يجب أولاً اعتماد طلب الإعفاء من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد طلب الأعفاء من قبل أعضاء لجنة الأمن السيبراني التابعة للمؤسسة المالية.
- يجب أن يوقع الرئيس التنفيذي لأمن المعلومات ومالك (العمل) المعني على طلب الإعفاء.
- يجب رسميًا إصدار طلب الإعفاء كتابيًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب للمؤسسة المالية أو إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" طلب الإعفاء ويبلّغ المؤسسة المالية بالنتيجة.
- يظل الدليل التنظيمي الحالي سارياً أثناء تقييم ومعالجة الأعفاء المطلوب، حتى لحظة منح الإعفاء.
الملحق "هـ" - نموذج طلب الإعفاء من الدليل التنظيمي
طلب الإعفاء من الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي
تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات
سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية للإعفاء من الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التي ينتمي إليها مقدم الطلب*
مراقبة الإطار*:
وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:
وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:
الموافقات
1. اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*
التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
* تشير إلى الحقول الإلزامية
الملحق "و" – قائمة المصطلحات
المصطلح
الوصف
إدارة الوصول
إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
حل عدم نسخ البطاقات
حل يراقب بيئة جهاز الصراف الآلي أو نقطة البيع بحثًا عن آليات التسلل المثبتة بشكل غير قانوني (سواء كانت في صورة أجهزة أو برمجيات).
القائمة البيضاء للتطبيقات
قائمة بالتطبيقات ومكوناتها (المكتبات، وملفات التكوين، وما إلى ذلك) المصرح بوجودها أو تنشيطها على المضيف وفقًا لخط أساس محدد جيدًا. وتهدف تقنيات القائمة البيضاء للتطبيقات إلى إيقاف تنفيذ البرمجيات الخبيثة والبرامج الأخرى غير المصرح بها. وعلى عكس تقنيات الأمان، مثل برامج مكافحة الفيروسات، التي تستخدم القوائم السوداء لحظر الأنشطة السيئة المعروفة والسماح بجميع الأنشطة الأخرى، تم تصميم تقنيات القائمة البيضاء للتطبيقات للسماح بالأنشطة المعروفة وحظر جميع الأنشطة الأخرى. (دليل القوائم البيضاء للتطبيقات الواردة في المنشور رقم 800-167 الصادر من المعهد الوطني للمعايير والتقنية)
التهديد المستمر المتقدم
التهديد المستمر المتقدم عدو يمتلك مستويات متطورة من الخبرة والموارد الكبيرة التي تسمح له بخلق فرص لتحقيق أهدافه باستخدام ناقلات هجوم متعددة (على سبيل المثال، بالأساليب السيبرانية والمادية، وبالخداع). وتتضمن هذه الأهداف عادةً ترسيخ وضع التهديد وتوسعه داخل البنية التحتية لتقنية المعلومات للمؤسسات المستهدفة لأغراض إخراج المعلومات، أو تقويض الجوانب الحساسة أوعرقلتها لإحدى المهام أو البرامج أو المؤسسات؛ أو الاستعداد لتنفيذ هذه الأهداف في المستقبل. التهديد المستمر المتقدم: (1) يسعى لتحقيق أهدافه بشكل متكرر على مدى فترة طويلة من الزمن؛ (2) يتكيف مع جهود المدافعين لمقاومتها؛ (3) لديه إصرار على الحفاظ على مستوى التفاعل اللازم لتنفيذ أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأصول
العملية المنهجية لنشر الأصول وتشغيلها وصونها وتحديثها والتخلص منها بطريقة آمنة ومأمونة وفعالة من حيث التكلفة.
الثقة
أسباب الثقة في أن الأهداف الأمنية الأربعة الأخرى (النزاهة والتوافر والسرية والمساءلة) قد تم استيفائها على النحو المناسب من خلال تنفيذ محدد. تتضمن عبارة "تم استيفائها بشكل مناسب" (1) الوظيفة التي تعمل بشكل صحيح، (2) الحماية الكافية ضد الأخطاء غير المقصودة (من قبل المستخدمين أو البرامج)، و(3) المقاومة الكافية للاختراق المتعمد أو التجاوز. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
سجل تدقيق
سجل يوضح من قام بالوصول إلى نظام تقنية المعلومات وماهي العمليات التي نفذها المستخدم خلال فترة معينة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مصفوفة التفويض
مصفوفة تحدد الحقوق والتصاريح التي يحتاجها دور وظيفي محدد للحصول على المعلومات. وتسرد المصفوفة كل مستخدم، ومهام العملية التجارية التي يقوم بها، والأنظمة المتأثرة بها.
التوفر
ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تطبيقات الأعمال
أي برنامج أو مجموعة من البرامج الحاسوبية التي يستخدمها مستخدمو الأعمال لأداء وظائف الأعمال المختلفة.
استمرارية الأعمال
قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي. (معيار ISO 22301:2012 للأمن المجتمعي -- أنظمة إدارة استمرارية الأعمال)
أحضر جهازك الخاص
يشير مصطلح "أحضر جهازك الخاص" إلى الأجهزة التي يملكها الأشخاص (الحواسيب المحمولة، والأجهزة اللوحية، والهواتف الذكية) والتي يُسمح للموظفين والمقاولين باستخدامها لتنفيذ وظائف العمل.
دائرة تلفزيونية مغلقة
الدائرة التلفزيونية المغلقة هو استخدام كاميرات الفيديو لنقل إشارة إلى مكان معين، على مجموعة محدودة من الشاشات.
الرئيس التنفيذي
الرئيس التنفيذي هو المسؤول التنفيذي الذي يتمتع بسلطة اتخاذ القرارات الرئيسية في المؤسسة.
فريق الاستجابة لطوارئ الحاسوب
فريق الاستجابة لطوارئ الحاسوب هو مجموعة من الخبراء الذين يتعاملون مع حوادث أمان الحاسوب.
إدارة التغيير
التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
الرئيس التنفيذي للمعلومات
الرئيس التنفيذي للمعلومات. مسؤول تنفيذي رفيع المستوى مسؤول عن تقنية المعلومات وأنظمة الحاسوب التي تدعم أهداف المؤسسة.
الرئيس التنفيذي لأمن المعلومات
الرئيس التنفيذي لأمن المعلومات مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف.
مخطط تصنيف
راجع "تصنيف البيانات".
حوسبة سحابية
نموذج يُستخدم لإتاحة وصول الشبكة عند الطلب إلى مجموعة مشتركة من إمكانات/موارد تقنية المعلومات القابلة للتكوين (مثل الشبكات، والخوادم، والتخزين، والتطبيقات، والخدمات) والتي يمكن توفيرها وإصدارها بسرعة بأقل جهد إداري أو تفاعل مع مقدم الخدمة. وبذلك يسمح للمستخدمين بالوصول إلى الخدمات القائمة على تقنية المعلومات من خلال سحابة الشبكة دون الحاجة إلى اكتساب معرفة أو خبرة في البنية التحتية لتقنية المعلومات التي تدعم هذه الخدمات أو إلى التحكم فيها. ويتألف هذا النموذج السحابي من خمس خصائص أساسية (الخدمة الذاتية عند الطلب، والوصول إلى الشبكة في كل مكان، وتجميع الموارد ذات الموقع المستقل، والمرونة مع السرعة، والخدمة المقاسة)؛ ويشمل ثلاثة نماذج لتقديم الخدمات: (البرمجيات السحابية كخدمة، والمنصة السحابية كخدمة، والبنية التحتية السحابية كخدمة)؛ وأربعة نماذج للوصول المؤسسي (السحابة الخاصة، والسحابة المجتمعية، والسحابة العامة، والسحابة الهجينة). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
ضابط أمني بديل
ضابط إداري، و/أو تشغيلي، و/أو فني (مثل الإجراءات الوقائية أو التدابير المضادة) التي تستخدمها مؤسسة بدلاً من الضوابط الأمنية الموصى بها في خطوط الأساس الدنيا أو المتوسطة أو المرتفعة بما يوفر حماية مكافئة أو قابلة للمقارنة لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
السرية
الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات و الإفصاح عنها ، بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
التعبئة في الحاويات
طريقة افتراضية لنشر وتشغيل التطبيقات الموزعة دون تشغيل جهاز افتراضي لكل تطبيق. وبدلاً من ذلك، تعمل أنظمة معزولة متعددة على مضيف تحكم واحد وتصل إلى نواة واحدة.
فعالية التحكم
قياس صحة التنفيذ (أي مدى توافق تنفيذ التحكم مع الخطة الأمنية) ومدى تلبية الخطة الأمنية لاحتياجات المؤسسة حسب القدرة على تحمل المخاطر في الوقت الحالي. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الرئيس التنفيذي للعمليات
الرئيس التنفيذي للعمليات. مسؤول تنفيذي رفيع المستوى مسؤول عن التشغيل اليومي للمؤسسة.
حلول التشفير
الحلول المتعلقة بالتشفير. الرجوع إلى "التشفير".
التشفير
مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الإشراف
المسؤولية عن التحكم في الوصول إلى المعلومات وإجراء المحاسبة وحمايتها وإتلافها وفقًا للسياسة الأمنية المتبعة في المؤسسة.
المخاطر السيبرانية
الخطر الذي يهدد عمليات المؤسسة (بما في ذلك رسالتها، ووظائفها، وصورتها، وسمعتها) وأصول المؤسسة، والأفراد، والمؤسسات الأخرى والوطن، بسبب احتمالية الوصول غير المصرح به إلى المعلومات و/أو إلى أنظمة المعلومات، و/أو استخدامها، أو الكشف عنها، أو تعطيلها، أو تعديلها، أو إتلافها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الأمن السيبراني
يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسة المالية ضد التهديدات الداخلية والخارجية.
هيكلية الأمن السيبراني
جزء لا يتجزأ من هيكلية المؤسسة ويصف هيكل وسلوك العمليات الأمنية للمؤسسة، وأنظمة الأمن السيبراني والموظفين والوحدات الفرعية المؤسسية، مما يوضح توافقها مع رسالة المؤسسة وخططها الإستراتيجية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تدقيق الأمن السيبراني
المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان إلى حد معقول بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الوعي بالأمن السيبراني
الأنشطة التي تسعى إلى تركيز انتباه الفرد على قضايا الأمن السيبراني.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)برنامج التوعية بالأمن السيبراني
برنامج يشرح قواعد السلوك المناسبة للاستخدام الآمن لأنظمة ومعلومات تقنية المعلومات. ويقوم البرنامج بتبليغ سياسات وإجراءات الأمن السيبراني التي يجب اتباعها.
ضوابط الأمن سيبراني
الضوابط الإدارية و/أو التشغيلية و/أو الفنية (مثل الإجراءات الوقائية أو التدابير المضادة) المقررة لنظام المعلومات لحماية سرية وسلامة وتوافر النظام ومعلوماته.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)فحص الأمن السيبراني
مراجعة السجلات والأنشطة المتعلقة بالأمن للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، ولضمان الامتثال للسياسات المعمول بها والإجراءات التشغيلية. لا يوفر الفحص بمفرده الضمان الكامل.
وظيفة الأمن السيبراني
وظيفة مستقلة عن وظيفة تقنية المعلومات، يرأسها الرئيس التنفيذي لأمن المعلومات وترفع تقاريرها مباشرة إلى الرئيس التنفيذي / العضو المنتدب للمؤسسة المالية أو المدير العام لإحدى وظائف التحكم.
تتولى وظيفة أمن المعلومات المسؤولية عن:
–
دعم سياسات أمن المعلومات، وتحديد أدوار أمن المعلومات ومسؤولياته، وتحديد أهداف أمن المعلومات للتنفيذ؛ –
توفير أطر عمل أمن المعلومات وإدارة مخاطر المعلومات؛ –
تحديد مشاكل أمن المعلومات المعروفة والناشئة؛ –
تحديد التحولات في مدى قدرة تحمل المؤسسات لمخاطر المعلومات ضمنيا؛ –
مساعدة الإدارة في تطوير عمليات وضوابط أمن المعلومات لإدارة مخاطر أمن المعلومات ومشاكل أمن المعلومات؛ –
توفير التوجيه والتدريب بشأن عمليات أمن المعلومات وإدارة مخاطر المعلومات؛ –
تسهيل ومراقبة تنفيذ الممارسات الفعالة لأمن المعلومات وإدارة مخاطر المعلومات من خلال الإدارة التشغيلية؛ –
تنبيه الإدارة التشغيلية إلى قضايا أمن المعلومات الناشئة وسيناريوهات المخاطر التنظيمية والمعلوماتية المتغيرة؛ –
مراقبة مدى كفاية وفعالية الرقابة الداخلية، ودقة واكتمال التقارير، والامتثال للقوانين واللوائح المتعلقة بأمن المعلومات، ومعالجة أوجه القصور في الوقت المناسب. حوكمة الأمن السيبراني
مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة والإدارة التنفيذية بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة على نحو مسؤول.
حادث الأمن السيبراني
حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حوادث الأمن السيبراني
مراقبة واكتشاف الأحداث الأمنية على أنظمة المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني
مجموعة معايير لتقديم الخدمات الأمنية. وتحدد هذه السياسة أنشطة مرفق معالجة البيانات وتقيدها من أجل الحفاظ على الحالة الأمنية للأنظمة والبيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
برنامج الأمن السيبراني
هيكل إداري تنازلي وآلية لتنسيق الأنشطة الأمنية في المؤسسة بأكملها.
مراجعة الأمن السيبراني
المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان محدود بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تقييم مخاطر الأمن السيبراني
عملية تحديد المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية ، والأفراد، المؤسسات الأخرى، والوطن، والتي تنشأ من خلال تشغيل نظام المعلومات. وهي جزء من إدارة المخاطر، وتتضمن تحليلات التهديدات والثغرات الأمنية وتأخذ في الاعتبار عمليات التخفيف من المخاطر التي توفرها الضوابط الأمنية المخطط لها أو المعمول بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة مخاطر الأمن السيبراني
عملية إدارة المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية، والأفراد، والمؤسسات الأخرى، والوطن، الناتجة عن تشغيل نظام المعلومات، وتتكون من (1) تقييم المخاطر؛ (2) تنفيذ استراتيجية تخفيف المخاطر؛ و(3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
استراتيجية الأمن السيبراني
خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تصنيف البيانات
القرار الواعي بتحديد مستوى من الحساسية للبيانات أثناء إنشائها، أو تعديلها، أو تحسينها، أو تخزينها، أو نقلها. ويجب أن يحدد تصنيف البيانات بعد ذلك مدى احتياج البيانات إلى التحكم/الأمن، كما يشير أيضًا إلى قيمتها من حيث أصول الأعمال.
تقطيع مزدوج
تقنية تستخدم أدوات التقطيع أو الشفرات لتقطيع الوسائط إلى قطع بحجم قصاصات الورق.
هيكلية المؤسسة
وصف مجموعة أنظمة المعلومات الكاملة للمؤسسة: كيفية تكوينها، وكيفية تكاملها، وكيفية تفاعلها مع البيئة الخارجية على حدود المؤسسة، وكيفية تشغيلها لدعم رسالة المؤسسة، وكيفية مساهمتها في الوضع الأمني العام للمؤسسة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المخاطر المؤسسية
الأساليب والعمليات التي تستخدمها المؤسسة لإدارة المخاطر التي تهدد رسالتها وإنشاء الثقة اللازمة للمؤسسة لدعم المهام المشتركة. وتشتمل على تحديد اعتمادية الرسالة في تحقيق أهدافها على قدرات المؤسسة، وتحديد المخاطر وترتيب أولوياتها بسبب التهديدات المحددة، وتنفيذ التدابير المضادة لتوفير وضع خطر ثابت واستجابة ديناميكية فعالة للتهديدات النشطة؛ وتقوم بتقييم أداء المؤسسة ضد التهديدات وتعديل الإجراءات المضادة حسب الضرورة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خطة بديلة
إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
التحقيقات الجنائية
ممارسة جمع البيانات المتعلقة بالحاسوب، والاحتفاظ بها، وتحليلها لأغراض التحقيق بطريقة تحافظ على سلامة البيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
موثقة رسمياً
الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
خادم البوابة
واجهة توفر التوافق بين الشبكات عن طريق تحويل سرعات النقل، أو البروتوكولات، أو الأكواد، أو التدابير الأمنية. ويقوم بتوجيه الاتصالات بين الشبكات، لكنه لا يقوم بتصفيتها. انظر أيضًا "الخادم الوكيل".
دول مجلس التعاون الخليجي
أعضاء مجلس التعاون الخليجي، وهو تحالف سياسي واقتصادي يضم مملكة البحرين، ودولة الكويت، وسلطنة عمان، ودولة قطر، والمملكة العربية السعودية، ودولة الإمارات العربية المتحدة.
الحجب الجغرافي
شكل من أشكال الرقابة على الإنترنت حيث يتم تقييد الوصول إلى المحتوى بناءً على الموقع الجغرافي للمستخدم.
جهاز التحقق من الهوية
جهاز التحقق من الهوية (المعروف أيضًا باسم "جهاز المصادقة") هو جهاز أمان للأجهزة يُستخدم للتصريح للمستخدم باستخدام النظام. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). انظر أيضًا "برنامج التحقق من الهوية".
الخدمات السحابية الهجينة
خدمة حوسبة سحابية تتكون من مجموعة من الخدمات السحابية الخاصة، والعامة، والمجتمعية، من مقدمي خدمات مختلفين. (غارتنر-Gartner)
إدارة الهوية
عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وعادة ما تتضمن الكيانات المُدارة المستخدمين، والأجهزة وموارد الشبكة، وحتى التطبيقات.
نظام كشف التسلل
نظام كشف التسلل أحد منتجات الأجهزة أو البرامج التي تقوم بجمع وتحليل المعلومات من مناطق مختلفة داخل الحاسوب أو الشبكة لتحديد الخروقات الأمنية المحتملة، والتي تشمل كلاً من عمليات التسلل (الهجمات من خارج المؤسسات) وإساءة الاستخدام (الهجمات من داخل المؤسسات). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الحوادث
راجع "إدارة حوادث الأمن السيبراني".
خطة إدارة الحوادث
توثيق مجموعة محددة مسبقًا من التعليمات أو الإجراءات للكشف عن عواقب الهجوم السيبراني الضار على نظام (أنظمة) معلومات المؤسسة والاستجابة لها والحد منها. راجع أيضًا "إدارة حوادث الأمن السيبراني". (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حرق
طريقة لإتلاف الوسائط والأجهزة باستخدام الحرارة العالية.
مؤشر الاختراق
أحد العناصر أو البقايا الجنائية الدالة على التسلل التي يمكن التعرف عليها على مضيف أو شبكة. مؤتمر (RSA)
السلامة
الحماية من التعديل، أو الإتلاف غير الصحيح للمعلومات، وتتضمن ضمان عدم إنكار المعلومات وصحتها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام منع التسلل
يمكن لنظام منع التسلل اكتشاف نشاط متسلل ويمكنه أيضًا محاولة إيقاف النشاط، وحبذا لو كان قبل وصول هذا النشاط إلى أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حذف لا رجعة فيه
راجع "المسح الآمن"
تجاوز القيود
أحد أشكال تصعيد الامتيازات الذي يزيل قيود البرامج التي تفرضها الشركة المصنعة للبرنامج، وغالبًا ما يؤدي إلى الحصول على امتيازات غير محدودة على الجهاز.
مؤشر الأداء الرئيسي
نوع من أنواع قياس الأداء الذي يقيم نجاح مؤسسة ما أو نشاط معين تشارك فيه. ويستخدم الحد العددي عادةً لتصنيف الأداء.
مؤشر المخاطر الرئيسي
مقياس يستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لمدى قدرتها على تحمل المخاطر المحددة. وتستخدم المؤسسات مؤشرات المخاطر الرئيسية لتعطيها إشارة مبكرة لزيادة التعرض للمخاطر في المجالات الوظيفية المختلفة للمؤسسة.
احتمالية
عامل مرجح يعتمد على تحليل احتمالية قدرة تهديد معين على استغلال ثغرة أمنية معينة.
البرمجيات الخبيثة
برنامج يتم إدراجه في النظام، بشكل سري عادةً، بهدف انتهاك سرية أو سلامة أو توفر بيانات الضحية أو تطبيقاتها أو نظام التشغيل أو إزعاج الضحية أو تعطيل عملها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأجهزة المحمولة
إدارة الأجهزة المحمولة هو مصطلح من مصطلحات الصناعة لإدارة الأجهزة المحمولة.
مؤسسة مالية
المؤسسات المالية التابعة للبنك المركزي.
جهاز محمول
وسائط تخزين محمولة قابلة للإزالة تعتمد على خراطيش الأقراص/الأقراص (مثل الأقراص المرنة، والأقراص المدمجة، وأجهزة تتخزين USB، ومحركات الأقراص الصلبة الخارجية، وبطاقات الذاكرة الوميضية الأخرى أو المحركات التي تحتوي على ذاكرة غير متطايرة).
جهاز حوسبة واتصالات محمول مزود بقدرة تخزين المعلومات (مثل أجهزة الحاسوب (الدفترية/بوك)/أجهزة الحاسوب المحمولة، وأجهزة المساعدة الرقمية الشخصية، والجوالات، والكاميرات الرقمية، وأجهزة تسجيل الصوت). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المصادقة متعددة العوامل
المصادقة باستخدام عاملين أو أكثر لتحقيق المصادقة. تشمل العوامل ما يلي: (1) شيء تعرفه (مثل كلمة المرور/رقم التعريف الشخصي)؛ (2) أو شيء تملكه (على سبيل المثال، جهاز تعريف التشفير، جهاز رمز الأمان)؛ أو (3) شيء تتميز به (على سبيل المثال، القياسات الحيوية). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نيست (NIST)
المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (nist.gov)
عدم التنصل
الحماية ضد أي فرد ينكر زوراً أنه قام بعمل معين. يوفر القدرة على تحديد ما إذا كان فرد معين قد اتخذ إجراءً معينًا مثل إنشاء معلومات، وإرسال الرسائل، والموافقة على المعلومات، وتلقي الرسائل. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حزمة تحديث إصلاح
تحديث لنظام التشغيل، أو التطبيق، أو أي برنامج آخر تم إصداره خصيصًا لتصحيح مشكلات معينة في البرنامج. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حزم التحديثات والإصلاحات
الإعلان عن تنقيحات نظام التشغيل والأكواد البرمجية، وتحديدها، ونشرها، وتثبيتها، والتحقق منها بطريقة منتظمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام سنترال داخلي
نظام السنترال الداخلي هو بدالة هاتفية أو نظام تحويل يخدم مؤسسة خاصة ويكثف عمله في خطوط المكتب المركزي ويتيح الاتصال الداخلي بين عدد كبير من المحطات الهاتفية داخل المؤسسة.
معيار أمان بيانات صناعة بطاقات الدفع
يعد معيار أمان بيانات صناعة بطاقات الدفع معيارًا خاصًا للأمن السيبراني للمؤسسات التي تتعامل مع بطاقات الائتمان ذات العلامات التجارية المتوفرة من منظومات البطاقات الرئيسية بما في ذلك بطاقات فيزا، وماستر كارد، وأمريكان اكسبريس، وديسكفر، وجي سي بي.
اختبار الاختراق
منهجية اختبار يحاول من خلالها المقيِّمون، الذين يعملون في ظل قيود محددة ويستخدمون بشكل اختياري جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، وكود المصدر، والأدلة التشغيلية)، التحايل على الخصائص الأمنية لنظام المعلومات.
(NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)الأجهزة الشخصية
الأجهزة التي لا تملكها أو تصدرها المؤسسة مثل الهواتف الذكية.
الأمن المادي
الحماية المادية للمنشآت التي تستضيف أصول المعلومات ضد الأحداث الأمنية المقصودة وغير المقصودة.
رقم التعريف الشخصي
كلمة مرور مكونة من أرقام عشرية فقط. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حساب / وصول مميز
حساب نظام معلومات يتمتع بصلاحيات معتمدة لأداء المهام المتعلقة بالأمن والتي لا يجوز للمستخدمين العاديين القيام بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خادم وكيل
خادم يخدم طلبات عملائه عن طريق إعادة توجيه تلك الطلبات إلى خوادم أخرى. ويقوم بتوجيه وتصفية الاتصالات بين الشبكات. انظر أيضًا "خادم البوابة".
الخدمة السحابية العامة
الخدمات التي يتم تقديمها عبر شبكة مفتوحة للجمهور. يمتلك مقدمو الخدمات السحابية العامة البنية التحتية في مركز البيانات الخاص بهم ويقومون بتشغيلها ويتم الوصول إليها بشكل عام عبر الإنترنت.
محاكاة الهجمات السيبرانية
تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المرونة
القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة
مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
القدرة على تحمل المخاطر
مقدار ونوع المخاطر التي ترغب المؤسسة في تحملها من أجل تحقيق أهدافها الإستراتيجية. راجع أيضًا "تحمل المخاطر". (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ملف المخاطر
وصف لأي مجموعة من المخاطر التي تتعلق بالمؤسسة بأكملها، أو جزء منها، أو كما تم تعريفه بطريقة أخرى. وسوف يحدد ملف تعريف المخاطر عدد المخاطر، ونوع المخاطر، والآثار المحتملة للمخاطر. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
سجل المخاطر
سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تحمل المخاطر
التباين المقبول بين الأداء وتحقيق الأهداف. يشار اليه أيضًا "القدرة على تحمل المخاطر". (الإطار المتكامل للرقابة الداخلية الصادر عن لجنة المنظمات الراعية)
علاج المخاطر
عملية تعديل المخاطر التي يمكن أن تتضمن تجنب المخاطر من خلال اتخاذ قرار بعدم البدء أو الاستمرار في النشاط الذي يؤدي إلى المخاطرة؛ أو المخاطرة أو زيادة المخاطرة من أجل متابعة فرصة ما؛ أو إزالة مصدر المخاطرة؛ أو تغيير الاحتمالية؛ أو تغيير العواقب؛ أو مشاركة المخاطرة مع طرف أو أطراف أخرى؛ أو الاحتفاظ بالمخاطرة بقرار مستنير. يُشار أحيانًا إلى علاجات المخاطر التي تتعامل مع العواقب السلبية باسم "تخفيف المخاطر" و"القضاء على المخاطر" و"منع المخاطر" و"تقليل المخاطر". يمكن أن تؤدي معالجات المخاطر إلى خلق مخاطر جديدة أو تعديل المخاطر الحالية. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ثقافة الوعي بالمخاطر
القيم المشتركة، والمعتقدات، والمعرفة، والمواقف، والفهم، فيما يتعلق بالمخاطر داخل المؤسسة. في ثقافة المخاطر القوية، يقوم الأشخاص بتحديد المخاطر ومناقشتها وتحمل المسؤولية عنها بشكل استباقي. (معهد إدارة المخاطر)
تحليل السبب الجذري
نهج خاص بالأنظمة قائم على المبادئ لتحديد الأسباب الأساسية المرتبطة بمجموعة معينة من المخاطر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
البيئة التجريبية
بيئة تنفيذ مقيدة وخاضعة للتحكم تمنع البرامج الضارة المحتملة، مثل رمز الهاتف المحمول، من الوصول إلى أي موارد خاصة بالأنظمة باستثناء تلك التي تم ترخيص البرنامج لها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خدمات التنقية
خدمة تحلل حركة مرور شبكة المؤسسة وتزيل حركة المرور الضارة (هجمات حجب الخدمات، والثغرات الأمنية وعمليات الاستغلال).
دورة حياة تطوير النظام
تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معيار التطوير الآمن للبرامج
وثيقة تصف مجموعة موحدة من القواعد والإرشادات لتطوير البرامج الحاسوبية التي تحمي من إدخال الثغرات الأمنية بلا قصد. وتتضمن الأمثلة ممارسات التطوير الآمن للبرامج الخاصة بمشروع أمان تطبيقات الويب المفتوح ومعايير الترميز الآمنة الخاصة بمعهد هندسة البرمجيات.
التخلص الآمن
التخلص من المعدات والوسائط مما يقلل من مخاطر الكشف غير المرغوب فيه.
الحذف الآمن
تقنية الكتابة الفوقية باستخدام عملية قائمة على البرامج الثابتة للكتابة فوق محرك الأقراص الثابتة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المحو الآمن
راجع "الحذف الآمن".
هيكلية الأمن
راجع "هيكلية الأمن السيبراني".
ضابط أمني
راجع "ضوابط الأمن السيبراني"
اختبار أمني
فحص وتحليل التدابير الوقائية المطلوبة لحماية نظام المعلومات، تطبيقها في بيئة تشغيلية، لتحديد الوضع الأمني لذلك النظام. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معلومات حساسة
المعلومات أو فقدانها أو إساءة استخدامها أو الوصول إليها أو تعديلها بشكل غير مصرح به، مما قد يؤثر سلبًا على الشؤون المؤسسية، أو الخصوصية التي يحق للأفراد التمتع بها. إضافة إلى ذلك، المعلومات الحساسة هي المعلومات التي تعتبر حساسة وفقًا لسياسة تصنيف البيانات المؤسسية (راجع "تصنيف البيانات"). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المعلومات الأمنية والأحداث
أداة إدارة المعلومات الأمنية والأحداث هي نظام يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات ويقدم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
اتفاقية مستوى الخدمة
تحدد اتفاقية مستوى الخدمة المسؤوليات المحددة لمقدم الخدمة وتحدد توقعات العملاء. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مركز العمليات الأمنية
مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة.
برنامج رمز التحقق من الهوية
برنامج رمز التحقق من الهوية (المعروف أيضًا باسم برنامج رمز الأمان الافتراضي) هو النسخة البرمجية من جهاز رمز التحقق من الهوية. وعادةً ما يتم إنشاء برامج رمز التحقق من الهوية بواسطة خادم مركزي يقوم بتشغيل برامج الأمان وإرسالها إلى أجهزة المستخدمين. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). راجع أيضًا "جهاز رمز التحقق من الهوية".
إستراتيجية
راجع "استراتيجية الأمن السيبراني".
تهديد
راجع "تهديد الأمن السيبراني"
استخبارات التهديدات
استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-Gartner)
مشهد التهديد
1. نظرة عامة حول التهديدات، بالإضافة إلى الاتجاهات الحالية والناشئة. 2. مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. (وكالة الاتحاد الأوروبي للأمن السيبراني)
رمز التحقق من الهوية (Token)
شيء يمتلكه المستخدم ويتحكم فيه (عادةً ما يكون مفتاحًا أو كلمة مرور) يُستخدم للتحقق من هوية المستخدم. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة البائعين
ممارسة التأكد من التزام مقدمي الخدمات الخارجيين بنفس معايير أمن المعلومات التي يجب على المؤسسة الالتزام بها وتتضمن تقييمات أمنية دورية.
الثغرة الأمنية
ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الثغرات الأمنية
إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "ثغرة أمنية".
مبادئ تحليل التهديدات السيبرانية للقطاع المالي
الرقم: 43065348 التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 الحالة:نافذ أشير إلى استراتيجية الأمن السيبراني للقطاع المالي الهادفة إلى خلق قطاع مالي آمن وموثوق يُمكّن من النمو والازدهار، ومن خلال متابعة التغير في نماذج الأعمال للمؤسسات المالية، والاعتماد على التقنية في المعاملات المالية، واستقطاب تقنيات ناشئة وحديثة.
عليه؛ فقد لوحظ تغير في مستوى التهديدات السيبرانية (Threat Landscape) للقطاع المالي والذي نتج عنه تطور سريع وملحوظ من قبل مجموعات الاختراق المتقدمة ("Advance Persistence Threats "APT) التي تستهدف القطاع المالي لأغراض مختلفة وذلك على عدة أصعدة وأساليب وأدوات وإجراءات مستخدمة من قبلهم، مما يُحتم تطوير قدرات الرصد والتقصي للمؤسسات المالية للعمل بشكل استباقي يواكب تطور مجموعات الاختراق،
بناءً عليه، وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم باعتماد (Financial Sector Cyber Threat Intelligence Principles) مبادئ تحليل التهديدات السيبرانية للقطاع المالي والتي تهدف إلى وضع أسس علمية وعملية للرصد والتقصي عن التهديدات السيبرانية وتعزيز ممارسات المؤسسات المالية في استقصاء التهديدات السيبرانية (Threat Landscape) لأخذ الإجراءات الاحترازية وتغذية مختلف الإدارات التقنية والتشغيلية وإدارات الأعمال بمعلومات استباقية (Threat Intelligence) تلائم عمل هذه الإدارات، حيث تم تقسيم المبادئ على عدة مستويات كالآتي:- مبادئ أساسية - والتي يتطلب العمل بها كأساس لجميع عمليات الرصد والتقصي عن التهديدات السيبرانية.
- مبادئ استراتيجية - تركز على الجوانب الإستراتيجية للمعلومة المتقصَّى عنها مثل أهداف ودوافع مجموعات الاختراق وتحديد سيناريوهات الاختراق والهجوم المتوقعة حسب مستوى التهديدات السيبرانية للجهة والقيام بالتقييمات اللازمة،
- مبادئ تشغيلية - تستهدف تحليل الأنماط والأساليب التشغيلية لمجموعات الاختراق مثل البرامج الخبيئة والإجراءات المتبعة وتصنيف المراحل المختلفة للهجمات (Taxonomization).
- مبادئ تقنية - وهي المبادئ المتعارف عليها في تحليل الهديدات السيبرانية للخروج بمؤشرات الاختراق وضوابط الكشف والتصدي عن الهجمات السيبرانية.
عليه، ولتعزيز المرونة السيبرانية للقطاع المالي ورفع مستوى النضج للرصد والتصدي الاستباقي للتهديدات السيبرانية؛ فقد تقرر الآتي:
- عمل تقييم دقيق للوضع الحالي لإدارة التهديدات الأمنية (Threat Intelligence) في المؤسسة المالية مقارنة بما ورد في المبادئ (Gap Assessment) بمختلف تصنيفاتها لتحديد الفجوات.
- وضع خطة عمل (Roadmap) للالتزام التام بالمبادئ اعتباراً من تاريخه، وذلك حسب المدد التالية:
أ. ستة أشهر للمبادئ الأساسية والتشغيلية والتقنية.
ب. اثنا عشر شهراً للمبادئ الإستراتيجية. - يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم لتطبيقها.
- على لجنة الأمن السيبراني في المؤسسة المالية متابعة تطبيق المبادئ ومدى الالتزام بالخطة المعتمدة وتقديم الدعم الكامل لحل العقبات والتحديات التي تواجه الفرق المختصة في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه أن يؤثر أو يعيق تطبيق المبادئ.
يتعين على المؤسسة المالية تقديم الدعم اللازم لإدارة الأمن السيبراني لتطبيق كل ما ورد في الدليل وتعزيز دور تحليل التهديدات السيبرانية والتأكيد على تزويدهم بالكفاءات والكوادر الوطنية المدربة والأدوات التقنية والتدريب الملائم للقيام بمهامهم على أكمل وجه.
كما نود الإحاطة بأن البنك المركزي سيقوم بعمل زيارات إشرافية للتحقق من الالتزام التام بهذه المبادئ، وفي حال وجود استفسارات بهذا الخصوص يمكن التواصل مع الإدارة العامة للرقابة على المخاطر السيبرانية ممثلةً بالمركز الاستشرافي للأمن السيبراني على البريد الإلكتروني: (CFC@SAMA.GOV.SA).
مقدمة
مع الرقمنة التدريجية للخدمات المالية، أصبحت حماية البيانات الحساسة والمعاملات وإتاحة الخدمات من أولويات القطاع المالي في المملكة العربية السعودية. ولا تعد هذه الخدمات أساسية للاقتصاد العالمي والوطني فحسب، بل إنها حيوية أيضًا للابتكار الرقمي والأمن القومي.
وتشكل الهجمات السيبرانية تحدياً كبيراً للمؤسسات بشكل متزايد، حيث أصبحت الجهات الفاعلة في مجال التهديد أكثر تقدماً وتطور باستمرار أساليب عملها ونواقل الهجوم. وتُمكِّن استخبارات التهديدات السيبرانية المؤسسات من جمع وتحليل ومشاركة البيانات المتعلقة بالتهديدات السيبرانية. إن الفهم الأفضل لهذه التهديدات السيبرانية، الحالية والناشئة على حد سواء، يمكّن المؤسسات من استباق الهجمات السيبرانية وحماية أصول المعلومات الهامة.
تعد الوثيقة امتدادًا للدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي، وتحديدًا في المجال الفرعي "إدارة التهديدات" المرتبط به. ووضع البنك المركزي مبادئ استخبارات التهديدات السيبرانية بهدف توسيع نطاق ممارسات استخبارات التهديدات السيبرانية في القطاع المالي الذي ينظمه البنك المركزي.
نطاق التطبيق
هذه الوثيقة إلزامية لجميع المؤسسات المالية الخاضعة لرقابة البنك المركزي.
وهي مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات والرؤساء التنفيذيين لأمن المعلومات والأفراد المسؤولين عن تحديد وتنفيذ ومراجعة معلومات التهديدات السيبرانية داخل المؤسسات المالية.
المسؤوليات
تم إصدار هذه الوثيقة بتكليف من البنك المركزي، وهو الجهة المالكة للوثيقة والمسؤولة عن تحديثاتها الدورية. تتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المبادئ الواردة في هذه الوثيقة.
المراجعة والتحديثات والحفظ
سيقوم البنك المركزي بمراجعة الوثيقة دوريًا لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والمؤسسات المالية. إذا لزم الأمر، سيقوم البنك المركزي بتحديث الوثيقة بناءً على نتائج المراجعة. بمجرد تطبيق التغييرات، سيقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغه إلى جميع المؤسسات المالية.
مبادئ استخبارات التهديدات السيبرانية
تصف مبادئ استخبارات التهديدات السيبرانية أفضل الممارسات التي تركز على إنتاج ومعالجة ونشر استخبارات التهديدات لتعزيز تحديد التهديدات السيبرانية ذات الصلة بالقطاع المالي في المملكة العربية السعودية والتخفيف من حدتها من خلال استخبارات التهديدات القابلة للتنفيذ.
تم وضع هيكل الوثيقة بناءً على أنواع مختلفة من استخبارات التهديدات السيبرانية. إن المبادئ الواردة في كل قسم من الأقسام (الأساسية والاستراتيجية والتشغيلية والتقنية والتكتيكية) لها أغراض مختلفة تهدف إلى ممارسة شاملة لاستخبارات التهديدات السيبرانية. على وجه التحديد:
تُعد مبادئ استخبارات التهديدات السيبرانية الأساسية شرطًا أساسيًا لممارسة استخبارات التهديدات السيبرانية والإبلاغ بالأنواع الأخرى من استخبارات التهديدات السيبرانية. وهي تتضمن الأنشطة المطلوب تنفيذها لتخطيط وإنتاج ونشر استخبارات التهديدات السيبرانية.
تشتمل مبادئ استخبارات التهديدات السيبرانية الإستراتيجية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد الهدف والدوافع والنوايا للجهات الفاعلة في مجال التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية التشغيلية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد طريقة العمل والسلوك والتقنيات المستخدمة من قبل جهات التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية الفنية والتكتيكية على ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد المكونات والمؤشرات الفنية للهجمات السيبرانية.
يجب أن تطبق المؤسسات المالية جميع المبادئ. إن اعتماد نهج تدريجي للتنفيذ الكامل للمبادئ أمر متروك لتقدير المؤسسات المالية. تنطبق المبادئ الواردة في هذه الوثيقة أيضًا على المؤسسات المالية التي تستعين بمصادر خارجية من أجل قدرات استخبارات التهديدات السيبرانية الخاصة بها.
تم تنظيم هذه الوثيقة في أربعة مجالات بما في ذلك استخبارات التهديدات السيبرانية الأساسية، واستخبارات التهديدات السيبرانية الإستراتيجية، واستخبارات التهديدات السيبرانية التشغيلية، واستخبارات التهديدات السيبرانية الفنية والتكتيكية كما هو مفصل في الرسم البياني أدناه:
شكل 1. مبادئ استخبارات التهديدات السيبرانية
المجال 1: مبادئ استخبارات التهديدات السيبرانية الأساسية
تضع مبادئ استخبارات التهديدات السيبرانية الأساسية خط أساس لتخطيط وجمع ومعالجة وتحليل ونشر استخبارات التهديدات السيبرانية استناداً إلى إطار عمل دورة حياة المعلومات الاستخباراتية.
يستند قسم مبادئ استخبارات التهديدات الأساسية إلى المراحل الرئيسية لدورة حياة المعلومات الاستخباراتية، بما في ذلك نشر استخبارات التهديدات والتحسين المستمر لقدرات وأداء المؤسسات المالية في مجال استخبارات التهديدات.
تسمح دورة حياة الاستخبارات لفرق الأمن بتحليل المعلومات وفهمها ومنعها والدفاع عن شبكاتهم من الهجمات السيبرانية. وهي العملية التي يتم من خلالها تحديد البيانات والمعلومات الأولية وجمعها وتحليلها. بعد ذلك، يتم تحويل البيانات والمعلومات الأولية إلى استخبارات لاستخدامها واتخاذ إجراءات بشأنها من قبل المؤسسات المالية. تتمثل دورة حياة الاستخبارات بشكل كامل في المبادئ الأساسية التالية.
المبدأ 1: تحديد الأدوار والمسؤوليات
يجب على المؤسسات المالية تحديد الأدوار والمسؤوليات داخل المؤسسة لإنتاج استخبارات التهديدات مع توقع إنشاء قدرة خاصة بها في مجال استخبارات التهديدات السيبرانية. ويجب أن يشمل ذلك فريقاً مخصصاً مسؤولاً عن إنتاج ونشر استخبارات التهديدات السيبرانية. إضافة إلى ذلك، يجب أن يكون فريق استخبارات التهديدات السيبرانية مدعوماً بموارد ماهرة مزودة بأدوات متطورة محددة الغرض وميزانية محددة. يجب على المؤسسات المالية تحديد قنوات الاتصال داخل المؤسسة بين فريق استخبارات التهديدات السيبرانية والفرق الأخرى، بما في ذلك مع أصحاب المصلحة (مثل فرق الأمن السيبراني وقادة الأعمال وفريق المخاطر، إلخ) ومع المؤسسات الخارجية.
المبدأ 2: تحديد متطلبات تخطيط وجمع استخبارات التهديدات
يجب على المؤسسات المالية وضع مجموعة من متطلبات استخبارات التهديدات لتوجيه جهود إنتاج الاستخبارات بكفاءة وتحديد ماهية الاستخبارات التي ينبغي إنتاجها لتلبية أهدافها الأمنية والتجارية. ولتحديد هذه المتطلبات، يجب على المؤسسات المالية تحديد نطاق التحليل (على سبيل المثال، التنظيمي والقطاعي والوطني، وما إلى ذلك) والنظر في مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها (مثل التقنية، وجهات التهديد، وما إلى ذلك). إضافة إلى ذلك، يجب على المؤسسات المالية ضمان المراجعة الدورية للمتطلبات المحددة. ويتوفر المزيد من الشرح لمجالات التحليل في "الملحق ب. مجالات التحليل".
المبدأ 3: تحديد المصادر ذات الصلة والتحقق من صحتها
يجب على المؤسسات المالية اختيار المصادر بما يتماشى مع متطلبات استخبارات التهديدات المحددة. علاوة على ذلك، يجب على المؤسسات المالية تحديد نوع المصادر التي يجب استخدامها، وفهم المصادر التي من المحتمل أن تنتج المعلومات المطلوبة، والنظر في مجموعة كبيرة من المصادر المختلفة لتمكينها من بناء فهم شامل للتهديدات ذات الصلة بالقطاع المالي. إضافة إلى ذلك، يجب على المؤسسات المالية تقييم موثوقية وسمعة كل مصدر مع مراعاة معايير محددة. وتشمل هذه المعايير جودة المعلومات ودقتها، والتوقيت المناسب فيما يتعلق بالإبلاغ، والمعلومات التقنية المتضمنة، وشمولية تغذية التهديدات، ونوع المعلومات التي تتماشى مع متطلبات استخبارات التهديدات المحددة.
ويجب على المؤسسات المالية اختيار المصادر التي توفر معلومات ذات صلة بأعمالها وتتماشى مع متطلبات استخبارات التهديدات المحددة. ويمكن أن تكون هذه المصادر خارجية أو داخلية للمؤسسة. تتوفر أمثلة للمصادر الداخلية والخارجية في "الملحق ج. أنواع المصادر".
المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات
يجب على المؤسسات المالية جمع البيانات من خلال مصادر استخباراتية مختلفة (مثل استخبارات المصادر المفتوحة والاستخبارات الفنية واستخبارات وسائل التواصل الاجتماعي والاستخبارات البشرية واستخبارات شبكة الإنترنت العميق وشبكة الإنترنت المظلم). وسيؤدي جمع المعلومات من مجموعة متنوعة من المصادر إلى إجراء تقييمات شاملة للتهديدات التي تواجهها المؤسسة. وتتوفر أمثلة على أنواع الاستخبارات في "الملحق د. أنواع الاستخبارات". ويجب اتباع إجراءات التشغيل القياسية المحددة لإجراء الاستخبارات على النحو المحدد في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 5: تحديد إجراءات التشغيل القياسية المحددة
يجب على المؤسسات المالية تحديد إجراءات تشغيل قياسية محددة عند إجراء أنواع محددة من الاستخبارات على النحو المفصل في "المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات". ويجب على المؤسسات المالية وضع مجموعة من التعليمات للأفراد داخل المؤسسات لأداء استخبارات التهديدات السيبرانية لضمان الإجراءات الوظيفية، مع تقليل سوء الفهم والغموض في نفس الوقت. ويجب أن تكون إجراءات التشغيل الموحدة موجهة نحو التفاصيل وتوفر تعليمات خطوة بخطوة حول كيفية قيام المحللين داخل المؤسسات المالية باستكمال المهام والعمليات المتعلقة بـ استخبارات التهديدات السيبرانية. وتتوفر أمثلة على إجراءات التشغيل القياسية في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 6: معالجة المعلومات وتصنيفها
يجب على المؤسسات المالية معالجة وتصنيف الاستخبارات التي تم جمعها - إما يدوياً أو آلياً أو مزيجاً من الاثنين - من المصادر المختارة وتخزينها بشكل آمن. علاوة على ذلك، يجب على المؤسسات المالية الرجوع إلى "بروتوكولات اتصالات الأمن السيبراني الخاصة بالبنك المركزي" عند استخدام مخطط التصنيف حسب بروتوكول الإشارات الضوئية لجمع المعلومات ومعالجتها.
المبدأ 7: تحليل المعلومات
يجب على المؤسسات المالية تطبيق مجموعة متنوعة من الأساليب التحليلية الكمية والنوعية لتحليل أهمية المعلومات المعالجة وآثارها، وبالتالي إنتاج استخبارات قابلة للتنفيذ. وعلاوة على ذلك، ستقوم المؤسسات المالية بدمج وتحليل مختلف المعلومات التي يتم جمعها من مصادر متنوعة لتحديد الأنماط والاتجاهات والتطورات الجديدة ذات الصلة بالمؤسسة المالية.
ويجب على المؤسسات المالية اعتماد مناهج تحليلية ملائمة (على سبيل المثال: النهج التحليلي القائم على الفرضيات، و/أو التحليل، و/أو التحليلات المتناقضة) للتأكد من أن الاستخبارات المنتجة تلبي متطلبات الاستخبارات على النحو المحدد في "المبدأ 2: تحديد متطلبات استخبارات التهديد". وترد أمثلة على أنواع مختلفة من الأساليب التحليلية في "الملحق ز. النهج التحليلي".
المبدأ 8: مشاركة الاستخبارات
يجب على المؤسسات المالية وضع معايير مشاركة محددة لنشر استخبارات التهديدات. وتتوفر أمثلة على طرق تسليم استخبارات التهديدات في "الملحق هـ، طرق تسليم استخبارات التهديدات".
ويجب على المؤسسات المالية إرساء ممارسة لغوية متسقة ودقيقة في جميع أنحاء المؤسسة لضمان إمكانية تطبيق استخبارات التهديدات على نطاق واسع. ولإيصال استخبارات التهديدات بشكل واضح، ينبغي على المؤسسات المالية أن تعتمد على سبيل المثال على دليل الكتابة (مثل دليل أسلوب الإيكونوميست). كما يجب عليهم استخدام نظام "الاحتمالات التقديرية" أثناء الانخراط في التحليل على النحو المحدد في "نموذج استشارات التهديدات الصادر عن البنك المركزي".
ويجب على المؤسسات المالية نشر استخبارات التهديدات بطريقة فعالة ودقيقة وفي الوقت المناسب. ويجب تقديمها بطريقة واضحة وموجزة ومتسقة عند مشاركتها مع أصحاب المصلحة الداخليين المعنيين. وعند مشاركة الاستخبارات مع البنك المركزي، يجب على المؤسسات المالية تحديد الإجراءات التي تساعد على التحكم في نشر وتوزيع المعلومات المتعلقة بالتهديدات.
ويجب أن يتم تصنيف جميع المعلومات التي تنتجها المؤسسات المالية وفقًا لمخطط تصنيف بروتوكول الإشارات الضوئية وفقًا لـ "بروتوكولات اتصالات الأمن السيبراني الصادرة عن البنك المركزي".
المبدأ 9: تقديم استخبارات التهديدات القابلة للتنفيذ
يجب على المؤسسات المالية تنفيذ القرارات والإجراءات ذات الصلة بناءً على الاستخبارات التي تم إنتاجها للمساعدة في بناء مرونة القطاع المالي في المملكة العربية السعودية. ويجب على المؤسسات المالية أن تأخذ بعين الاعتبار ماهية الإجراءات اللازمة، ومن سيتخذ هذه الإجراءات، والإطار الزمني لتوقع الهجوم أو الرد عليه. واستنادًا إلى استخبارات التهديدات المتحصل عليها، يحب على المؤسسات المالية اتخاذ إجراءات أو تدابير التخفيف ذات الصلة من أجل تحسين البنية التحتية الدفاعية والقدرة على المرونة اعتمادًا على معرفتها بالتهديدات ذات الصلة (على سبيل المثال، معرفة التقنيات التي تعتمدها جهات التهديد على الشبكة يمكن أن تساعد المؤسسات المالية على تحديد أولويات ضوابط التخفيف).
ويجب أن يقوم فريق استخبارات التهديدات في المؤسسة المالية بمشاركة الاستخبارات ذات الصلة مع الإدارات الأخرى ذات الصلة مثل مركز العمليات الأمنية وتقنية المعلومات وما إلى ذلك، وينبغي أن تتم مشاركة هذه المعلومات وفقًا لـ "المبدأ 8: مشاركة الاستخبارات". ويجب على هذه الإدارات أيضًا مشاركة المعلومات التي تعتبر ذات صلة بقدرة استخبارات التهديدات السيبرانية حتى يتسنى تغذية تقييمات استخبارات التهديدات واستكمالها.
المبدأ 10: التحسين المستمر لأساليب الاستخبارات
يجب على المؤسسات المالية المحافظة باستمرار على إنتاج ومعالجة وتحليل ونشر استخبارات التهديدات وتحديثها وتحسينها بهدف زيادة نضج القطاع المالي في المملكة العربية السعودية بشكل مستمر. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضًا تحديث متطلبات استخبارات التهديدات الحالية بانتظام استنادًا إلى الملاحظات الواردة من أصحاب المصلحة الداخليين والخارجيين، ومستخدمي استخبارات التهديدات، والتغيرات في الصناعة، والتطورات في مشهد التهديد السيبراني العالمي.
ويجب على المؤسسات المالية إجراء تحليل دوري للمعلومات المتعلقة بالتهديدات التي يتم جمعها والتحقق من ملاءمتها (على سبيل المثال من حيث الدافع والهدف وطريقة العمل والقدرة وما إلى ذلك) وفقًا للأصول والبيانات التي تتم معالجتها من قبلها. كما يجب على المؤسسات المالية النظر في الاستعانة بخدمات مزود متخصص في مجال استخبارات التهديدات، والذي يمكنه تقديم رؤى ذات صلة لاستكمال فهم المؤسسة الحالي للتهديدات.
يجب أن تنظر المؤسسات المالية في استخدام مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية والأهداف والنتائج الرئيسية لقياس التقدم المحرز وتحديث ممارسات وبروتوكولات الاستخبارات بما يتماشى مع إجراءاتها الداخلية.
المبدأ 11: دمج استخبارات التهديدات السيبرانية
يجب على المؤسسات المالية النظر في دمج استخبارات تقنية المعلومات في تقييمات الوعي الظرفي واختبارات فريق محاكاة الاختراق بما يتماشى مع "إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية".
وسيساعد الدمج ضمن أنشطة الوعي الظرفي في بناء فهمًا استراتيجيًا للحوادث السيبرانية، على سبيل المثال، تحديد جهات التهديد، والاتجاهات في أنشطتها، وأهدافها. إضافةً إلى ذلك، سيوفر فهمًا تكتيكيًا للأحداث أو المواقف في الفضاء السيبراني وسيسهل اتخاذ القرارات الفعالة والكفؤة في أوقات الأزمات.
يجب على المؤسسات المالية أيضًا أن تأخذ في الاعتبار أن دمج استخبارات التهديدات السيبرانية في أنشطة تقييمات فريق محاكاة الاختراق من شأنه أن يساعد في الحصول على فهم أفضل لكيفية وصول المهاجمين السيبرانيين إلى الشبكات والبيانات الحساسة. ويمكن أن يساعد ذلك في التحقق من صحة الوضع الأمني للمؤسسة والمساعدة وفي وضع تحسينات العمليات في سياقها عبر تسليم المزيد من الاستخبارات حول المخاطر السيبرانية وتأثيرها المحتمل وخيارات المعالجة.
المجال 2: استخبارات التهديدات السيبرانية الاستراتيجية
بالنظر إلى الطبيعة المتغيرة لبيئة مشهد التهديدات، تسمح استخبارات التهديدات السيبرانية الاستراتيجية بمراقبة النظام البيئي السيبراني باستمرار ومنع التهديدات.
وتساعد استخبارات التهديدات السيبرانية الاستراتيجية على وجه التحديد في تحديد وفهم التهديدات التي يتعرض لها القطاع المالي. فهي توفر مستوى معلومات التهديد التي تركز على أهداف ودوافع ونوايا جهات التهديد السيبرانية، وتهدف استخبارات التهديدات السيبرانية الاستراتيجية إلى فحص الإسناد، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم النظام البيئي للقطاع المالي.
وتضمن مشهد التهديد معلومات عن جهات التهديد الأكثر صلة بالمؤسسات المالية، وخصائصها الرئيسية، والاتجاهات السيبرانية الرئيسية في القطاع المالي في جميع أنحاء العالم.
وتم توجيه هذه المعلومات إلى الإدارة التنفيذية ذات الصلة (مثل الرئيس التنفيذي لأمن المعلومات) الذي سيقوم بنقل المعلومات إلى الأطراف الأخرى ذات الصلة (مثل إدارة تقنية المعلومات وقادة الأعمال، وما إلى ذلك). تساعد تقنية استخبارات التهديدات السيبرانية الإستراتيجية في فهم المؤسسة للتهديدات السيبرانية الحالية، والتهديدات المستقبلية غير المعروفة، وجهات التهديد، وإسناد الهجمات. وهذا الفهم أمرًا أساسيًا لاتباع نهج استباقي للأمن السيبراني من أجل بناء مرونة القطاع المالي في المملكة العربية السعودية.
المبدأ 12: تحديد مشهد التهديدات السيبرانية
يجب على المؤسسات المالية أن تحدد مشهد التهديدات السيبرانية ذات الصلة بمؤسساتها وعملياتها، مع معلومات عن الأصول والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. ويشمل ذلك تحديد الأحداث التي يمكن أن تؤثر على مشهد التهديدات في القطاع المالي.
وعلاوة على ذلك، يجب على المؤسسات المالية تحديد جهات التهديد التي قد تنوي استهدافها، وخصائصها الرئيسية بما في ذلك مصدرها ونواياها ودوافعها وقدراتها. ويجب على المؤسسات المالية، بعد تحديد مشهد التهديدات التي تواجهها، إجراء تقييم للتهديدات التي تم تحديدها لتحديد الأولويات الأكثر صلة. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضاً تحديد الاتجاهات السيبرانية الرئيسية التي من المرجح أن تؤثر على التطورات المستقبلية لمشهد التهديدات السيبرانية.
المبدأ 13: تحديد سيناريوهات الهجوم السيبراني الاستراتيجي
يجب أن تحدد المؤسسات المالية سيناريوهات الهجمات السيبرانية الاستراتيجية التي توفر تمثيلاً واقعياً للهجمات السيبرانية المحتملة ضدها. ويجب أن تشتمل هذه السيناريوهات على جهة تهديد أو أكثر، وتتناول هدفًا واحدًا أو أكثر، والتأثيرات المحتملة للسيناريوهات.
ولوضع سيناريوهات الهجمات السيبرانية الاستراتيجية، يجب على المؤسسات المالية تحديد أوجه التشابه في سمات جهات التهديد أو الحملات المهددة ضمن مشهد التهديدات المبين في "المبدأ 12: تحديد مشهد تهديد سيبراني" (على سبيل المثال، أسلوب مماثل، نوع هجوم مماثل، وما إلى ذلك). إضافةً إلى ذلك، يجب على المؤسسات المالية إجراء تقييمًا للسيناريوهات المحددة من أجل تحديد أولويات السيناريوهات الأكثر احتمالاً وتأثيراً، ويجب أن تتخذ الإجراءات التصحيحية ذات الصلة بناءً على التهديدات والسيناريوهات المحددة. ويجب تحديد دورية تقييم السيناريوهات المحددة من قبل المؤسسات المالية بناءً على عملياتها الداخلية الخاصة بها.
المبدأ 14: تفصيل طلبات الحصول على المعلومات وتقييمات التهديدات المخصصة
يجب أن تكون المؤسسات المالية قادرة على توفير، عند الطلب، معلومات مفصلة (مثل التهديدات السيبرانية والاتجاهات والأحداث والبرمجيات الخبيثة أو الأدوات) المتعلقة بالهجمات السيبرانية المحتملة التي يمكن أن تستهدفها. ويمكن أن تكون تلك المعلومات، على سبيل المثال، في صورة ملفات تعريفية عن جهات التهديد، أو ملفات تعريفية عن البلدان، أو تحليلات للبرمجيات الخبيثة أو الأدوات، أو دراسات الاتجاهات السيبرانية.
ويجب أن تكون المؤسسات المالية، استناداً إلى الاستخبارات التي يتم إنتاجها، قادرة على إجراء تقييمات مخصصة للتهديدات لتحديد مدى صلة التهديدات المحتملة ومستواها، فضلاً عن احتمالية وقوع هجمات.
ويتحمل الرئيس التنفيذي لأمن المعلومات مسؤولية التحقق من جودة المعلومات ومدى ملاءمتها. ويمكن أن تكون هذه المعلومات ذات أهمية خاصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات وغيرهم. وتتمتع هذه المعلومات بقيمة خاصة على سبيل المثال عند تحديد استراتيجيات العمل، أو التخطيط للتدخلات الأمنية، أو في أعقاب الحوادث السيبرانية الكبيرة في القطاع أو في الدولة.
المجال 3: استخبارات التهديدات السيبرانية التشغيلية
تساعد استخبارات التهديدات السيبرانية التشغيلية المؤسسات المالية على فهم طبيعة ونية وتوقيت هجوم معين، وتوفر نظرة ثاقبة لسلوك جهة التهديد على الشبكة.
كما أنه توفر معلومات مفصّلة حول سلوك وطريقة عمل جهات التهديد المستخدمة لتنفيذ الهجمات السيبرانية. وبشكل عام، يتم تصنيف هذه المعلومات عادةً في التكتيكات والتقنيات والإجراءات.
المبدأ 15: تحديد سلسلة الهجوم
يجب على المؤسسات المالية تحديد وتصنيف المراحل المختلفة للهجوم الذي تنفذه جهات التهديد استنادًا إلى المعايير أو الأطر الصناعية (مثل سلسلة القتل، وسلسلة القتل الموحدة، وما إلى ذلك). علاوة على ذلك، يجب على المؤسسات المالية تحليل المعلومات وطريقة عمل جهات التهديد بناءً على نهج منظم للهجمات (على سبيل المثال، يعتمد إطار عمل MITRE نسخة معدلة من سلسلة القتل الموحدة).
المبدأ 16: تحديد التكتيكات والتقنيات والإجراءات
يجب على المؤسسات المالية تحليل المعلومات التي تم جمعها من المصادر المتعلقة بجهات التهديد أو الأدوات أو البرمجيات الخبيثة ذات الصلة لتحديد التقنيات والتكتيكات والإجراءات ذات الصلة. إضافة إلى ذلك، ينبغي أن تعتمد المؤسسات المالية تصنيفاً للهجمات وتصنيفاً لهذه التكتيكات والتقنيات والإجراءات (مثل MITRE ATT&CK). واستناداً إلى التصنيف المحدد، يجب أن يقوموا بوضع ملفات تعريف لسلوكيات جهات التهديد وتحديد الأساليب التي تستخدمها جهات التهديد. كما يجب أن تعتمد المؤسسات المالية أيضاً على مؤشرات الاختراق لتحديد هذه التكتيكات والتقنيات والإجراءات.
المبدأ 17: تحديد البرمجيات الخبيثة والأدوات
يجب على المؤسسات المالية تحديد البرمجيات الخبيثة والأدوات أثناء الهجوم، بالإضافة إلى إجراء تصنيف عام لها لاستخدامها على المستوى المؤسسي (مثل حصان طروادة المصرفي، برمجيات الفدية، إلخ). ويمكن للمؤسسات المالية الحصول على معلومات بشأن الأنواع المختلفة من البرمجيات الخبيثة والأدوات التي تستخدمها جهات التهديد باستخدام مصادر مختلفة، مثل مؤشرات الاختراق وشبكة الإنترنت المظلمة، وشبكة الإنترنت العميقة، والاستخبارات مفتوحة المصدر، ومستودعات الشيفرات البرمجية، ومنصات مشاركة المعلومات، وما إلى ذلك.
المجال 4: استخبارات التهديدات السيبرانية الفنية والتكتيكية
توفر استخبارات التهديدات الفنية والتكتيكية معلومات فنية وتكتيكية عن هجمات محددة تنفذها جهات تهديد مثل مؤشرات الاختراق وقواعد يارا وغيرها.
ويتم جمع مؤشرات معلومات استخبارات التهديدات الفنية من الحملات النشطة والسابقة التي تم الحصول عليها من مصادر عامة و/أو المؤشرات الفنية التي تم جمعها داخل المؤسسة و/أو موجزات البيانات المقدمة من أطراف خارجية.
المبدأ 18: جمع مؤشرات الاختراق
يجب على المؤسسات المالية تحديد وجمع وتجميع مؤشرات الاختراق وتنفيذها في بنيتها التحتية الدفاعية. ويجب أن تكون المؤسسات المالية قادرة على جمع تفاصيل حول التنفيذ المحدد للبرمجيات الخبيثة والأدوات من أجل فهم كيفية احتمال تعرض المؤسسة للهجوم وتحديد ما إذا كانت آليات الكشف والتخفيف المناسبة موجودة أو ما إذا كانت هناك حاجة إلى تنفيذها. إضافةً إلى ذلك، ينبغي على المؤسسات المالية أن تأخذ بعين الاعتبار مختلف منصات ومصادر استخبارات التهديدات للحصول على هذه المعلومات الفنية.
المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
يجب على المؤسسات المالية أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم - صفر التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات المالية (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة المالية اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة المالية استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.
الملاحق
الملحق أ. قائمة المصطلحات
تحتوي القائمة التالية على تعريف للمصطلحات الرئيسية المستخدمة في هذه الوثيقة.
قائمة المصطلحات المصطلح الوصف التطبيق
برنامج يستضيفه نظام المعلومات.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
أصل
البيانات والموظفين والأجهزة والأنظمة والمرافق التي تمكّن المؤسسة من تحقيق أغراض العمل.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة الهجوم
راجع "جهة التهديد". قدرة (جهة التهديد)
موارد ومهارات جهة التهديد. المخاطر السيبرانية
المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة بسبب احتمال الوصول غير المصرح به إلى المعلومات و/أو نظم المعلومات أو استخدامها أو الكشف عنها أو تعطيلها أو تعديلها أو تدميرها.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الأمن السيبراني
يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية. استخبارات التهديدات السيبرانية
المعلومات المتعلقة بالتهديدات التي تم تجميعها أو تحويلها أو تحليلها أو تفسيرها أو إثراؤها لتوفير السياق اللازم لعمليات صنع القرار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
حادث (الأمن السيبراني)
حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مؤشرات الاختراق
تُستخدم مؤشرات الاختراق كدليل جنائي على الاختراقات المحتملة للنظام المضيف أو الشبكة. النية (جهة التهديد)
رغبة جهة التهديد في استهداف مؤسسة معينة. عادةً ما تكون جهات التهديد جهات عقلانية تعمل لغرض واضح (مثل التجسس، وسرقة البيانات/التسلل، والابتزاز، والتدمير، والتعطيل، واختراق سلسلة التوريد). سلسة القتل
طورت شركة لوكهيد مارتن سلسلة القتل واعتمدها الجيش الأمريكي لتحديد وتصنيف المراحل المختلفة للهجوم السيبراني (الاستطلاع، التسليح، التسليم، الاستغلال، التثبيت، القيادة والسيطرة، الإجراءات عند الأهداف). البرمجيات الخبيثة
الأجهزة أو البرامج الثابتة أو البرامج التي يتم تضمينها أو إدخالها عمداً في النظام لغرض ضار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
إطار عمل MITRE ATT&CK
إطار عمل مفتوح المصدر تم تطويره بواسطة MITRE لتصنيف التكتيكات والأساليب والإجراءات التي تستخدمها جهات التهديد عند شن هجمات سيبرانية. المؤسسة المالية
أي جهة خاضعة لإشراف البنك المركزي ورقابته. طريقة العمل
طريقة إجراء، تشير بشكل خاص إلى نمط أو طريقة عمل متميزة تشير أو توحي بعمل مجرم واحد في أكثر من جريمة. دافع
نوع المنفعة أو الضرر الذي تريد جهة التهديد تحقيقه في النهاية من خلال أفعالها. شبكة
نظام (نظم) المعلومات المنفذة بمجموعة من المكونات المترابطة. قد تشمل هذه المكونات أجهزة التوجيه والمحاور والكابلات وأجهزة التحكم في الاتصالات السلكية واللاسلكية ومراكز التوزيع الرئيسية وأجهزة التحكم الفني.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الاستخبارات مفتوحة المصدر
المعلومات ذات الصلة المستمدة من الجمع المنهجي للمعلومات المتاحة للجمهور ومعالجتها وتحليلها استجابة لمتطلبات استخباراتية معروفة أو متوقعة. مؤسسة
شركة أو كيان أو مجموعة من الأشخاص الذين يعملون معًا لغرض معين. منشأ (جهة التهديد)
البلد الذي تشن منه جهة التهديد هجماتها. لا يمكن دائمًا تحديد منشأ جهة التهديد بدقة كافية لأنها تميل إلى إخفاء آثارها. إجراء
الإجراءات هي التنفيذ المحدد الذي تستخدمه جهة التهديد للأساليب.
المصدر: إطار عمل MITRE ATT&CK
عملية
مجموعة من الأنشطة المترابطة أو المتفاعلة التي تحول المدخلات إلى مخرجات. برمجيات الفدية الخبيثة
أحد أشكال البرمجيات الخبيثة المصممة لمنع الوصول إلى نظام الكمبيوتر أو البيانات حتى يتم دفع فدية. وعادة ما يواجه مستخدم النظام المصاب ببرمجيات الفدية الخبيثة برسالة ابتزاز (في كثير من الحالات تكون عبارة عن نافذة منبثقة) تطلب من الضحية دفع فدية لجهة التهديد (عادةً ما تكون بالعملة الرقمية) من أجل استعادة الوصول إلى النظام والبيانات. محاكاة الاختراق (تمرين)
تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المصدر: NIST SP 1800 21B قائمة مصطلحات أمن المعلومات الرئيسية
موارد (جهة التهديد)
تقيس الموارد نطاق وكثافة واستدامة وتنوع المجموعة الإجمالية للإجراءات التي يمكن أن تتخذها جهة التهديد. قطاع
أحد المجالات التي ينقسم فيها النشاط الاقتصادي لبلد ما. خدمة
القدرة أو الوظيفة التي توفرها المؤسسة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مهارة (جهة التهديد)
مدى قدرة جهة التهديد على الاستفادة من الوسائل التقنية (مثل إنشاء برمجيات خبيثة مخصصة) والعمل بوعي وذكاء وإمكانات التعلم وحل المشكلات وتماسك عملية صنع القرار والخبرة التشغيلية. أصحاب المصلحة
الشخص الذي يشارك في مسار العمل أو يتأثر به. استخبارات التهديدات الاستراتيجية
مستوى استخبارات التهديدات التي تركز على أهداف ودوافع ونوايا جهات التهديديات السيبرانية. وتهدف إلى دراسة الإسنادات إلى جهات التهديد السيبرانية، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم ديناميكيات الأنظمة المعقدة واتجاهاتها. ويُعد التحليل الجيوسياسي والقطاعي والسياق أداة أساسية. تكتيك
الهدف التكتيكي لجهة التهديد: سبب القيام بعمل ما.
المصدر: إطار عمل MITRE ATT&CK
هدف (جهة التهديد)
الخيارات التي تتخذها جهات التهديدات فيما يتعلق بهدف (أهداف) هجماتها. حيث تختار جهة التهديد هدفًا بناءً على الموقع والقطاع وأنواع المعلومات المعالجة وسطح الهجوم المتاح. ويلعب المشهد الجيوسياسي دورًا رئيسيًا في نمط استهداف جهات التهديد في الدولة القومية. التصنيف
تصنيف العناصر المترابطة. الأساليب
تمثل الأساليب "كيفية" تحقيق جهة التهديد لهدف تكتيكي من خلال تنفيذ إجراء ما.
المصدر: إطار عمل MITRE ATT&CK
تهديد (الأمن السيبراني)
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة التهديد
الأفراد أو الجماعات أو المؤسسات أو الدول التي تسعى لاستغلال اعتماد المؤسسة على الموارد السيبرانية (أي المعلومات في شكل إلكتروني، وتقنيات المعلومات والاتصالات، وقدرات الاتصالات ومعالجة المعلومات التي توفرها تلك التقنيات) (NIST 2012) أو بشكل أعم "فرد أو مجموعة تشكل تهديدًا" (NIST 2016). مشهد التهديد
مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة.
المصدر: ENISA
متطلبات استخبارات التهديد
توجه متطلبات استخبارات التهديدات جهود إنتاج المعلومات الاستخباراتية بكفاءة وتحدد ماهية المعلومات الاستخباراتية التي ينبغي إنتاجها لتلبية الأهداف الأمنية للمؤسسة نوع (جهة التهديد)
تجميع جهات التهديد التي تشترك في خصائص متشابهة، مثل النوايا والدوافع المتشابهة، وتعمل بطرق متشابهة. سلسلة القتل الموحدة
تطور لإطار عمل سلسلة القتل يوضح بالتفصيل مراحل الهجوم. ناقل (الهجوم)
النهج العام لتحقيق تأثير معين، من خلال الاستفادة من تعرض نوع معين من سطح الهجوم أو منطقة محددة فيه. الملحق ب. مجالات التحليل
يجب على المؤسسات المالية أن تضع متطلبات استخبارات التهديدات بناءً على مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها. وقد تختلف مجالات التحليل هذه باختلاف المؤسسات المالية ، بما في ذلك على سبيل المثال لا الحصر:
- الجغرافيا السياسية: يشمل ذلك متطلبات تحديد الأحداث الجيوسياسية التي قد تحدد هجومًا أمنيًا سيبرانيًا ضمن نطاق التحليل، مثل الحملات العالمية الكبيرة التي تنفذها الجهات الفاعلة في مجال التهديد، وحوادث الأمن السيبراني السابقة الهامة ذات الصلة، وما إلى ذلك.
- جهة التهديد: يتضمن ذلك متطلبات تحديد جهات التهديد الرئيسية التي يجب أن تركز عليها المؤسسة بشكل خاص.
- ناقلات التهديد: يتضمن ذلك متطلبات تحديد أساليب الهجوم ذات الصلة (مثل ناقلات الوصول الأولية، وما إلى ذلك).
- التقنية: يتضمن ذلك متطلبات تقييم الهجمات المحتملة ضد التقنيات التي تعتمد عليها المؤسسة.
- الصناعة: يشمل ذلك متطلبات تحديد الهجمات المحتملة ضد الصناعات ذات الصلة بالمؤسسة (مثل الأطراف الخارجية في سلسلة التوريد أو البنية التحتية الحيوية الوطنية).
الملحق ج. أنواع المصادر
تحتوي الجداول التالية على أمثلة للمصادر الداخلية والخارجية.
المصادر نوع المصادر القطاع العام استخبارات التهديدات المقدمة من البنك المركزي والهيئة الوطنية للأمن السيبراني الهيئات المدنية أو الحكومية الوطنية (مثل سلطات إنفاذ القانون) التقارير أو المعلومات الواردة من السلطات القطاعية أو الوطنية الأخرى (مثل هيئة السوق المالية أو مركز تبادل وتحليل معلومات الخدمات المالية أو المركز الوطني الإرشادي للأمن السيبراني) الأطر العامة (على سبيل المثال. ENISA, EUROPOL, MITRE) المصادر الخارجية القطاع الخاص استخبارات التهديدات من الموردين المتخصصين والمنصات المتاحة عند الاشتراك أو التعاقد تقارير استخبارات التهديدات والأخبار والموجزات والتحليلات المتاحة للعامة القطاع الأكاديمي الأوراق البيضاء المنشورات والمؤتمرات الأكاديمية المجلات الأكاديمية الجدول 1. المصادر الخارجية
المصادر نوع المصادر المصادر الداخلية - سجلات التطبيقات والبنية التحتية
نظام كشف التسلل(IDS)
نظام منع التسلل(IPS)
أنظمة الدفاع الأمني السيبراني
الجدول 2: المصادر الداخلية
الملحق د. أنواع الاستخبارات
يوجد في الوقت الراهن مجموعة كبيرة من أنواع الاستخبارات المختلفة التي يمكن استخدامها للحصول على فهم شامل للتهديدات التي تواجهها المؤسسة.
وتشمل هذه الأنواع من الاستخبارات ما يلي:
- الاستخبارات مفتوحة المصدر (OSINT): معلومات استخباراتية مفتوحة المصدر يتم الحصول عليها من مصادر متاحة للعامة (مثل تقرير التهديد، والمدونة، وما إلى ذلك)
- الاستخبارات الفنية (TECHINT): الاستخبارات الفنية المستمدة من الإشارات التي تولدها الأجهزة أو التطبيقات البرمجية المتصلة بشبكة المؤسسة بشكل روتيني (مثل مؤشرات الاختراق، وتحليل البرمجيات الخبيثة، وتقارير الشفرات، وما إلى ذلك)
- استخبارات وسائل التواصل الاجتماعي (SOCMINT): عملية تحديد البيانات وجمعها والتحقق من صحتها وتحليلها من مواقع وحسابات وسائل التواصل الاجتماعي (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية وغيرها)
- الاستخبارات البشرية (HUINT): الاستخبارات البشرية المستمدة بشكل علني أو خفي من مصادر بشرية استنادًا إلى علاقة بين محلل استخباراتي ومدير المحلل (مثل المراقبة النشطة على المنتديات)
- استخبارات شبكات الإنترنت العميقة والمظلمة: المعلومات الاستخباراتية المجمعة على شبكة الإنترنت العميقة والمظلمة (مثل الأسواق والمنتديات وما إلى ذلك)
الملحق هـ. طرق تسليم استخبارات التهديدات
يجب على المؤسسات المالية إنشاء آلية تسليم استخبارات التهديدات التي يتم إنتاجها والتي تشمل، على سبيل المثال لا الحصر:
- نشرات التهديدات السيبرانية التي تتضمن معلومات عن التهديدات السيبرانية التي قد تكون مفيدة للمؤسسات
- تنبيهات بسيطة يتم إرسالها عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني
- تقارير مفصلة غنية بالتحليلات والجداول والأرقام والرسومات والوسائط المتعددة
- موجزات البيانات التي يمكن قراءتها آليًا استنادًا إلى تدوين استخبارات التهديدات المنظمة المعيارية المملوكة أو المفتوحة، وذلك لإدارة المعلومات الأمنية والأحداث، وبرامج مكافحة الفيروسات، وجدران الحماية، وأنظمة منع التسلل، وأنظمة كشف التسلل، وأدوات التحليل الجنائي
- مخرجات مصممة خصيصًا للأنظمة الداخلية
- واجهات برمجة التطبيقات التي تتيح الاتصال المباشر بالنظام لأغراض الاستعلام أو الاسترجاع
- بوابات إلكترونية آمنة على الإنترنت توفر إمكانية الوصول عند الطلب إلى قاعدة بيانات محدثة لمعلومات التهديدات ومجموعة من الوظائف التحليلية التي يمكن أن تكون أساسية بدءًا من الاستعلامات البسيطة إلى التنقيب عن البيانات الأكثر تعقيدًا
الملحق و. إجراءات التشغيل القياسية للاستخبارات
فيما يلي بعض الأمثلة على كيفية مساعدة إجراءات التشغيل القياسية للمستخدمين عند إجراء نوع معين من استخبارات التهديدات.
عند إجراء استخبارات شبكات الإنترنت العميقة والمظلمة، يجب أن تساعد الإرشادات خطوة بخطوة المستخدمين في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- استخدام بيئة معزولة ومحكومة وغير قابلة للتتبع مثل الجهاز الافتراضي
- تحديث وجمع قائمة بمنتديات وأسواق شبكات الإنترنت العميقة والمظلمة
- إنشاء صور رمزية مختلفة للوصول إليها
وبالمثل، عند إجراء استخبارات وسائل التواصل الاجتماعي، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، على سبيل المثال:
- تزويد المستخدمين بقائمة بأنواع مختلفة من المصادر وتحديث هذه القائمة باستمرار (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية والصور والفيديو ومنتديات النقاش)
- إجراء تدريب على الشبكات الاجتماعية ومنصة استضافة ومشاركة الفيديو عبر الإنترنت (مثل تويتر، فيسبوك، يوتيوب، إلخ.)
- استخدام أدوات التواصل الاجتماعي عند الإمكان (التجارية والمفتوحة المصدر)
وبنفس الطريقة، عند تنفيذ الاستخبارات البشرية، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- إجراء تدريب على الأخلاقيات للمحللين الذين يؤدون ارتباطات نشطة عبر الإنترنت
- تنفيذ إجراءات التشغيل القياسية المتعلقة بالوصول إلى المنتدى والسوق
- إنشاء صورة رمزية لكل وصول لتجنب التتبع
- فهم الفرق بين المراقبة الإيجابية والسلبية
الملحق ز. النهج التحليلي
يجب أن تعتمد المؤسسات المالية نهجاً تحليلياً بحيث تلبي الاستخبارات المنتجة متطلبات الاستخبارات.
واستناداً إلى ما هو الأنسب للمؤسسات المالية، يمكن أن يكون النهج التحليلي:
- قائم على الفرضيات: يتضمن هذا النهج تعريف الفرضية وتقييمها من خلال تحليل المعلومات المتاحة
- قائم على المحلل: يعتمد هذا النهج على التفكير النقدي والتحليلي للمحلل
- مضاد: يهدف هذا النهج إلى تحدي الاستنتاجات أو النقاط الرئيسية التي قدمها المصدر لطرح نهج جدلي مضاد
الملحق ح. الرسم البياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية
فيما يلي رسم بياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل البنية عالية المستوى للوثيقة.
الملحق ي. الخريطة الذهنية لمبادئ استخبارات التهديدات السيبرانية
فيما يلي تمثيل لخريطة ذهنية لهيكل مبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل المجالات المختلفة للوثيقة بوضوح وكيفية ارتباط المبادئ ببعضها البعض.
الحد الأدنى من ضوابط التحقق
الرقم: 202200000245 التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 الحالة:نافذ هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1. مقدمة
يشكل الابتكار الرقمي فرصًا كبيرة للشركات والمستهلكين، وفي الوقت ذاته، يقدم أيضًا بُعدًا جديدًا للتهديدات الناشئة ويغير النظرة التقليدية للمخاطر السيبرانية. لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي من تحديد ومعالجة المخاطر السيبرانية بشكل فعال، بالإضافة إلى لوائح البنك المركزي السعودي، حدد البنك مجموعة من الضوابط التي يجب اعتمادها وتنفيذها من جانب المؤسسة المالية من أجل الحفاظ على الحماية الملائمة لأصول المعلومات والخدمات الرقمية.
2. نطاق التطبيق
تنطبق الضوابط الواردة في هذه الوثيقة على أي مؤسسة مالية تقدم المحفظة الإلكترونية أو منتجات التمويل أو التمويل الجماعي أو أي نموذج أعمال آخر في مجال التقنية المالية تحت إشراف البنك المركزي السعودي، مع الأخذ في الاعتبار إمكانية تطبيق المتطلبات التي تحقق الأهداف المطلوبة.
3. ضوابط التسجيل/التأهيل
1.3. يجب على المؤسسة المالية التأكد من تسجيل كل رقم هاتف (أو) هوية وطنية/إقامة، مرتبط بطلب واحد فقط.
2.3. يجب على المؤسسة المالية إعداد عملية آمنة للتحقق من المستخدمين.
3.3. يجب أن تتضمن عملية التسجيل ما يلي:
أ. بالنسبة لمنصات الإقراض: نموذج قوي من المصادقة من طرف مستقل موثوق به.
ب. بالنسبة لمنصات المحفظة الإلكترونية: نموذج قوي من المصادقة من طرف مستقل موثوق به، أي، (الدخول الوطني الموحد (NSSO)) باستخدام اسم المستخدم وكلمة المرور، وكلمة المرور لمرة واحدة (OTP).
ج. بالنسبة لنماذج الأعمال الأخرى، يجب تنفيذ ضوابط قوية في عملية التسجيل/التأهيل، مع الأخذ في الاعتبار المفهوم الوارد في النقاط (3.3.أ-ب).
4.3. يجب على المؤسسة المالية التحقق أن ملكية رقم الهاتف مسجلة لنفس المستخدم (أي الاسم المطابق والهوية الوطنية) من خلال جهة موثوقة فقط (أي تحقق).
5.3. يجب على المؤسسة المالية التأكد أن عملية التسجيل تتضمن آلية كلمة المرور لمرة واحدة (OTP) كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم هاتف تم التحقق منه حسب النقطة (4.3).
6.3. يجب على المؤسسات المالية تنفيذ ضوابط مهلة الجلسة لجميع كلمات المرور لمرة واحدة الصادرة.
7.3. يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين للتسجيل أو إعادة تسجيل الجهاز أو تغيير حالة الحساب، مثل إلغاء التنشيط وإعادة التنشيط وعدم النشاط.
8.3. يجب تعيين تطبيق المؤسسة المالية لجهاز واحد فقط. بخلاف ذلك، يجب تطبيق كلمة المرور لمرة واحدة لكل تسجيل دخول، بالإضافة إلى تعطيل تسجيل الدخول المتزامن.
9.3. يجب على المؤسسة المالية إعداد عملية فعالة وآمنة لإلغاء تنشيط الحساب وإعادة تنشيطه وإعادة تسجيل الجهاز لمصادقة المستخدم.
1طرف موثوق به: أي طرف مرخص له بمزاولة النشاط ذي الصلة
4. الضوابط العامة
1.4. يجب على المؤسسة المالية تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي.
2.4. يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية.
3.4. يجب على المؤسسة المالية تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية.
4.4. يجب أن تضع المؤسسة المالية تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة.
5.4. يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب.
6.4. يجب على المؤسسة المالية إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة).
7.4. يجب على المؤسسة المالية إعداد سياسة الحسابات غير النشطة.
8.4. يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول.
9.4. ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية:
أ. التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)2؛ ب. إجراء أي معاملة في سوق التطبيقات؛
ج. سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛
د. إعادة تعيين كلمة المرور؛
هـ. إعادة تنشيط المحافظ؛
و. المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام.
10.4. يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية:
أ. أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد)
ب. التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد)
ج. التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد)
د. المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام
11.4. يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم.
12.4. يجب على المؤسسة المالية أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر:
أ. مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛
ب. إدارة سلوك استخدام الجهاز؛
13.4. يجب على المؤسسة المالية إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات.
14.4. يجب على المؤسسة المالية إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب".
15.4. يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة وإسم المؤسسة المالية
16.4. يجب أن تعكس المؤسسات المالية جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إداراة المؤسسات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات.
2 سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.
5. ضوابط خاصة بطلب الإقراض
يجب على الشركات المُقرضة تطبيق الضوابط الواردة أدناه، بالإضافة إلى الضوابط المذكورة أعلاه.
1.5. يجب أن يكون لدى المؤسسة المالية عملية يتم تنفيذها للتأكد من أن رقم الحساب المصرفي الدولي (IBAN) الخاص بالمستلم خاص بطالب القرض.
2.5. يجب على المؤسسة المالية استخدام مزود توقيع رقمي موثوق به ومُعتمد. (انظر الملحق «أ» للحصول على تفاصيل إضافية)
3.5. التأكد من تنفيذ عملية لإنشاء وحفظ وإدارة السند الإذني بشكل آمن باستخدام جهة وطنية موثوقة (مثل نافذ)
4.5. يجب على المؤسسة المالية تنفيذ عملية للاتصال بالعميل لتأكيد طلب القرض.
5.5. ينبغي إرسال إشعار عبر الرسائل القصيرة مع العميل عندما:
أ. قدَّم المستخدم الطلب.
ب. عند الموافقة على طلب القرض أو رفضه.
6. الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا
تحل هذه الوثيقة محل تعميمات البنك المركزي السعودي الصادرة مسبقًا التالية:
• الضوابط الأمنية للمحفظة الإلكترونية، الإصدار 0.1
تشير هذه الوثيقة إلى تعميمات أو مستندات البنك المركزي السعودي التالية والتي تم التكليف بها بموجب المذكرة الصادرة:
• بخصوص التصديق الرقمي للمنتجات لعملاء شركات التمويل، 42011675، 1442/02/27؛
الدليل التنظيمي لإدارة استمرارية الأعمال
الرقم: 381000058504 التاريخ (م): 2017/2/27 | التاريخ (هـ): 1438/6/1 الحالة:نافذ انطلاقا من حرص البنك المركزي في تحسين مستوى الممارسات فيما يتعلق بموضوع استمرارية الأعمال عند وقوع الحوادث أو الكوارث-لا سمح الله- من خلال وجود آلية فعالة ومطبقة ومختبرة في البنك المصرف مستندة على أفضل الحلول والممارسات التي توفر بيئة ناضجة لضمان استمرارية الاعمال دون حدوث انقطاع للخدمات الهامه وتعطل الاعمال، نفيدكم قيام البنك المركزي بتطوير وإصدار دليل تنظيمي لإدارة استمرارية الاعمال للقطاع المصرفي( مرفق) والذي يتعين على البنك/ المصرف الالتزام الكامل بما ورد في هذا الدليل من خلال إتباع الإجراءات الآتية:
أولاً: عمل تقييم الوضع الحالي لاستمرارية الاعمال في البنك مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap Assessment) لتحديد مواطن الضعف في البنك على أن يتم وضع خطه عمل (Roadmap) للالتزام بمتطلبات البنك المركزي بعد تقييم الوضع الحالي وإرسالها للبنك المركزي وذلك في موعد أقصاه نهاية شهر مايو ۲۰۱۷م.
ثانياً: تزويد البنك المركزي بتقارير ربع سنوية اعتباراً من نهاية الربع الثاني وحتى التزام البنك بمتطلبات البنك المركزي.
ثالثاً: الالتزام التام بتطبيق جميع المتطلبات الواردة في الدليل وذلك بنهاية شهر يناير لعام ٢٠١٨م.
و في حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع مدير شعبة مخاطر تقنية المعلومات البنكية في البنك المركزي.
1. مقدمة
1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال
نظرًا لحاجة المؤسسات المالية في المملكة العربية السعودية إلى توافر العمليات التجارية على مدار الساعة طوال أيام الأسبوع، وضع البنك المركزي الدليل التنظيمي لإدارة استمرارية الأعمال للمؤسسات المالية من شأنه تعزيز قدرة المؤسسات على المرونة المؤسسية لضمان استمرارية وتوافر عملياتها وخدماتها. وتستند المتطلبات المتضمنة إلى متطلبات البنك المركزي وممارسات الصناعة والمعايير الدولية، مثل ISO 22301 وISO 27001 وإرشادات الممارسات الجيدة الصادرة عن معهد استمرارية الأعمال وإرشادات الممارسة المهنية الصادرة عن المعهد الدولي للتعافي من الكوارث. يتعين على جميع المؤسسات المالية الالتزام بهذه المتطلبات ودمجها رسميًا في برنامج إدارة استمرارية الأعمال الخاص بها.
2.1 التعريفات
- إدارة استمرارية الأعمال عملية إدارية شاملة تحدد التهديدات المحتملة للمؤسسة وما قد تسببه تلك التهديدات، في حال تحققها، تأثيرات على العمليات التجارية. فهي توفر دليلًا لبناء المرونة المؤسسية مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين والسمعة والعلامة التجارية وأنشطة خلق القيمة.
- تعد استمرارية الأعمال جزءًا من نظام الإدارة الشامل، والذي يتضمن الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والإجراءات والعمليات والموارد التي تقوم بإنشاء استمرارية الأعمال وتنفيذها وتشغيلها ومراقبتها ومراجعتها وصيانتها وتحسينها.
- يعد التعافي من كوارث تقنية المعلومات (IT DR) جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بصمود البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية أو استعادتها أو استمرارها.
- الحد الأقصى للانقطاع المقبول (MAO) يُعرف بأنه الوقــت المســتغرق حتــى تصبــح الآثار الســلبية، الناشــئة نتيجــة عــدم تقديــم منتــج / خدمــة أو أداء نشــاط، غيــر مقبولــة.
- وقت التعافي المستهدف(RTO)يُعرف بأنه الفترة التي تلي وقوع الحادث والتي يجب أن يتم خلالها استئناف المنتجات أو الخدمات أو استئناف النشاط أو استعادة الموارد.
- نقطة التعافي المستهدفة (RPO) تُعرف على أنها النقطـــة التـــي يجـــب عندهـــا اســـتعادة المعلومـــات المســـتخدمة فـــي النشـــاط لتمكيـــن النشـــاط مـــن العمـــل عنـــد الاستئناف. ويمكن أن يُطلق عليها أيضًا "الحد الأقصى المسموح لخسارة البيانات".
3.1 النطاق
تحدد وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال المبادئ والأهداف واعتبارات الرقابة لبدء ضوابط استمرارية الأعمال في المنظمات الأعضاء وتنفيذها وصيانتها ورصدها وتحسينها.
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على النطاق الكامل للمنظمة العضو، بما في ذلك الشركات التابعة والموظفين والمقاولين من الباطن والأطراف الثالثة والعملاء.
وترتبط بعلاقة متبادلة مع السياسات المؤسسية الأخرى الخاصة بالمجالات ذات الصلة، مثل إدارة المخاطر المؤسسية، والصحة والسلامة والبيئة، والأمن المادي، والأمن السيبراني (بما في ذلك المرونة السيبرانية وإدارة الحوادث).
4.1 نطاق التطبيق
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على ما يلي:
- جميع المؤسسات الخاضعة لإشراف البنك المركزي ("المؤسسات المالية")
- جميع البنوك العاملة في المملكة العربية السعودية
- كافة الشركات التابعة للبنوك السعودية
- الشركات التابعة للبنوك الأجنبية الموجودة في المملكة العربية السعودية
5.1 المسؤوليات
يفرض البنك المركزي وثيقة متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال على المؤسسات المالية. وتوجز هذه الوثيقة متطلبات إدارة استمرارية الأعمال التي يتعين على المؤسسات المالية تنفيذها. وعليه، فإن البنك المركزي الجهة المالكة لهذا الدليل والمسؤول عن تحديثه دوريًا. وتتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المتطلبات المنصوص عليها في هذه الوثيقة.
6.1 التفسير
سيقدم البنك المركزي، بصفته الجهة المالكة لهذه الوثيقة تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.
7.1 الجمهور المستهدف
هذه الوثيقة مخصصة لمجالس الإدارة والرؤساء التنفيذيين وكبار مسؤولي المخاطر والإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ومدراء تقنية المعلومات ومدراء أمن المعلومات ومدراء استمرارية الأعمال والمدققين الداخليين وأولئك المسؤولين والمشاركين في تحديد وتنفيذ ومراجعة ضوابط استمرارية الأعمال وأهدافها واعتبارات التحكم إذا لزم الأمر.
8.1 المراجعة والتغييرات والمحافظة
سيقوم البنك المركزي بمراجعة هذه الوثيقة والحفاظ عليها. حيث سيراجع هذه الوثيقة بشكل دوري لتحديد مدى فعاليتها، بما في ذلك فعالية الدليل في مواجهة التهديدات والمخاطر الناشئة في مجال استمرارية الأعمال. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث هذه الوثيقة بناءً على نتائج المراجعة.
إذا ارتأت إحدى المؤسسات المالية أن هناك حاجة لتحديث هذه الوثيقة، يجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي بعد الحصول على موافقة مدير استمرارية الأعمال واللجنة التوجيهية لاستمرارية الأعمال داخل المؤسسة المالية. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الموافقة عليه، سيتم تحديث هذه الوثيقة.
سيتم تنفيذ إجراء ضبط الإصدارات للحفاظ على الوثيقة. بحيث أنه كلما يتم إجراء أي تغييرات، سيتم سحب الإصدار السابق ونشر الإصدار الجديد وإبلاغ جميع المؤسسات المالية بها.
9.1 دليل القراءة
يمثل الدليل التنظيمي لإدارة استمرارية الأعمال المجالات الفعلية لإدارة استمرارية الأعمال والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.
2. متطلبات استمرارية الأعمال
1.2 حوكمة إدارة استمرارية الأعمال
المبدأ
يجب تحديد الدليل التنظيمي لحوكمة استمرارية الأعمال والموافقة عليه وتنفيذه والمحافظة عليه وأن يخضع لرقابة الإدارة العليا. يجب تحديد هيكل استمرارية الأعمال وإبلاغه لجميع الموظفين المعنيين والأطراف الخارجية.
الهدف
توجيه النهج العام لاستمرارية الأعمال داخل المؤسسة المالية ومراقبته وتقييمه
اعتبارات التحكم:
1. يجب أن يتحمل مجلس الإدارة أو عضو تنفيذي مفوض المسؤولية النهائية عن برنامج إدارة استمرارية الأعمال.
2. يجب أن يقوم مجلس إدارة المؤسسة المالية أو أحد أعضاء الإدارة العليا المفوضين بتخصيص ميزانية كافية لتنفيذ أنشطة إدارة استمرارية الأعمال المطلوبة،
3. يجب تشكيل لجنة لاستمرارية الأعمال وتكليفها من قبل مجلس الإدارة.
4. يجب أن تكون الإدارة العليا، مثل الرئيس التنفيذي للمخاطر ورئيس العمليات والرئيس التنفيذي للمعلومات والرئيس التنفيذي لأمن المعلومات ومدير إدارة استمرارية الأعمال وغيرها من الأقسام ذات الصلة ممثلة في لجنة استمرارية الأعمال.
5. يجب وضع ميثاق لجنة استمرارية الأعمال، ويجب أن يعكس ما يلي:
أ. أهداف اللجنة
ب. الأدوار والمسؤوليات
ج. الحد الأدنى لعدد المشاركين في الاجتماع
د. تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)
6. ينبغي إنشاء وظيفة إدارة استمرارية الأعمال.
7. يجب أن يكون مدير/رئيس إدارة استمرارية الأعمال:
أ. أن يتم تعيينه
ب. يتمتع بالسلطة المناسبة لإدارة برنامج إدارة استمرارية الأعمال
ج. مؤهلاً ويتمتع بالخبرة والمهارات والكفاءات المناسبة لتنفيذ برنامج إدارة استمرارية الأعمال والحفاظ عليه داخل المؤسسة المالية
8. يجب أن تكون وظيفة استمرارية الأعمال مزودة بعدد كافٍ من أعضاء الفريق المؤهلين
9. يجب أن تساهم الفرق متعددة الوظائف، التي تتألف من أعضاء الفريق الاستراتيجي والتكتيكي وفريق العمليات في تنفيذ وصون خطط استمرارية الأعمال والتعافي من الكوارث.
2.2 استراتيجية إدارة استمرارية الأعمال
المبدأ
يجب تحديد استراتيجية استمرارية الأعمال ومواءمتها مع أهداف العمل الاستراتيجية الشاملة للمؤسسة المالية.
الهدف
التأكد من أن مبادرات استمرارية الأعمال تتماشى مع الأهداف الاستراتيجية للأعمال وتدرج إدارة استمرارية الأعمال كجزء من الممارسات الإدارية الجيدة داخل المؤسسة المالية، من أجل التحسين المستمر في مرحلة النضج.
اعتبارات التحكم
1. يجب تحديد استراتيجية استمرارية الأعمال والموافقة عليها وتنفيذها والحفاظ عليها.
2. يجب أن تحدد الإستراتيجية على الأقل ما يلي:
أ. الأهداف الإستراتيجية طويلة المدى لتطبيق ونضج برنامج إدارة استمرارية الأعمال
ب. خريطة طريق مع جداول زمنية لتحقيق الأهداف الاستراتيجية
ج. متطلبات المراجعة المستمرة والتحقق من مواءمة برنامج إدارة استمرارية الأعمال مع الأهداف الاستراتيجية
3.2 سياسة استمرارية الأعمال
المبدأ
يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وإبلاغها لأصحاب المصلحة المعنيين.
الهدف
توثيق التزام المؤسسة المالية وهدفها من برنامج استمرارية الأعمال، وإيصال ذلك إلى أصحاب المصلحة المعنيين.
اعتبارات التحكم
1. يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وتنفيذها والإبلاغ بها
2. يجب أن تحدد سياسة استمرارية الأعمال على الأقل ما يلي:
أ. الأهداف
ب. النطاق
ج. المسؤوليات
3. يجب مراقبة الامتثال لسياسة استمرارية الأعمال.
4. يجب قياس مدى فعالية تنفيذ السياسات وتقييمها بشكل دوري.
5. يجب توثيق الاستثناءات من نطاق إدارة استمرارية الأعمال وتقييمها بشكل دوري. يجب توثيق مبررات استثناءات النطاق والموافقة عليها من قبل لجنة إدارة استمرارية الأعمال والإدارة العليا.
4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر
المبدأ
يجب على المؤسسة المالية إجراء تحليل لأثر انقطاع الأعمال وتقييم المخاطر لجميع الأنشطة ذات الصلة لتحديد استمرارية الأعمال ومتطلبات التعافي من الكوارث والتحسينات.
الهدف
التأكد من قيام كل مؤسسة المالية بتحديد عملياتها التجارية وترتيب أولوياتها إلى جانب التبعيات الرئيسية، وتحديد الضوابط الكافية من أجل الوفاء بمتطلبات الأعمال والمتطلبات التنظيمية والقانونية والامتثال فيما يتعلق باستمرارية الأعمال
اعتبارات التحكم
1. يجب تحديد منهجية تحليل أثر انقطاع الأعمال وتقييم المخاطر والموافقة عليها وتنفيذها والمحافظة عليها.
2. يجب على المؤسسة المالية إجراء تقييم دوري لمخاطر استمرارية الأعمال. ويجب أن تشمل، على سبيل المثال لا الحصر ما يلي:
أ. تحديد التهديدات الداخلية والخارجية المحتملة، بما في ذلك نقطة الفشل الوحيدة التي قد تتسبب في تعطيل الأنشطة الحرجة على النحو المحدد في تقييم أثر انقطاع الأعمال مع الأخذ بعين الاعتبار الأشخاص والعمليات والتقنية والمرافق.
ب. تقييم المخاطر المحتملة وتحديد أولوياتها من خلال تقييم التهديدات المحتملة بناءً على تأثيرها التشغيلي واحتمالية حدوثها
ج. تحديد الضوابط المطلوبة لإدارة المخاطر المحددة
د. تحديد خطة العلاج وتنفيذ ضوابط إدارة استمرارية الأعمال
3. يجب على المؤسسة المالية تحديد الأنشطة وترتيب أولوياتها (مثل المنتجات والخدمات ووظائف وعمليات الأعمال) من خلال إجراء تقييم أثر انقطاع الأعمال لتحديد ما يلي على سبيل المثال لا الحصر:
أ. الأثر المحتمل لانقطاع الأعمال لكل وظيفة من وظائف الأعمال والعمليات ذات الأولوية، بما في ذلك على سبيل المثال لا الحصر الآثار المالية والتشغيلية والعملاء والآثار القانونية والتنظيمية
ب. أوقات التعافي المستهدفة، ونقاط التعافي المستهدفة والحد الأقصى للانقطاع المقبول
ج. الاعتمادات المتبادلة الداخلية والخارجية
د. مواد التعافي الداعمة
4. يجب أن تصادق لجنة إدارة استمرارية الأعمال على قائمة الأولويات ونتائج أثر انقطاع الأعمال وتقييم المخاطر وأوقات التعافي المستهدفة ونقاط التعافي المستهدفة والحدود القصوى للانقطاع المقبول.
5. يجب إرسال نتائج تقييم المخاطر إلى لجنة إدارة استمرارية الأعمال
6. يجب تحديث تحليل أثر انقطاع الأعمال وتقييم المخاطر سنويًا وعند حدوث تغييرات كبيرة (مثل التغيير في هيكل وتنظيم الأشخاص والعمليات والتقنية والموردين والمواقع).
7. تقييم المخاطر يجب أن يشمل المخاطر المرتبطة بالمؤسسة ككل وكذلك مراكز البيانات (الأساسية والبديلة)، التي لا تملكها المؤسسة المالية (على سبيل المثال، النظر في الإطار الزمني اللازم للانتقال إلى موقع جديد وبناءً على ذلك، يجب أن يتضمن إطارًا زمنيًا كافيًا في الاتفاقية التعاقدية)
8. ينبغي تقييم قدرة البائعين والموردين ومقدمي الخدمات على دعم والحفاظ على مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطّلة على الأقل على أساس سنوي.
9. يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة محددة بشكل كافٍ لأنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك مع مراعاة التوافر العالي لهذه العمليات والحد الأدنى من التعطل في حالة وقوع كارثة.
5.2 خطة استمرارية الأعمال (BCP)
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة استمرارية الأعمال لأنشطتها الحيوية. يجب مراقبة الامتثال لخطة استمرارية الأعمال وقياس مدى فعاليتها وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية لديها القدرة على تعيين وتحديد بوضوح الإجراءات التي يجب اتخاذها، والموارد اللازمة لتمكين المؤسسة من إدارة الانقطاع المعطل والعودة إلى وضع يمكن فيه استئناف العمليات التجارية العادية
اعتبارات التحكم
1. يجب تحديد خطة استمرارية الأعمال واعتمادها وتنفيذها والحفاظ عليها في حالة جاهزية للاستخدام أثناء الحوادث المعطلة، لتمكين المؤسسة المالية من مواصلة تنفيذ أنشطتها المهمة والعاجلة بمستوى مقبول ومحدد مسبقًا.
2. يجب على المؤسسة المالية تحديد إجراءات الاستجابة للحوادث المعطلة واعتمادها وتنفيذها. ويجب أن تشمل الإجراءات مجتمعة ما يلي:
أ. الموارد الرئيسية (مثل الأشخاص والمعدات والمرافق والتقنيات)
ب. تحديد الأدوار والمسؤوليات والسلطات لأصحاب المصلحة
ج. عملية لإدارة العواقب المباشرة لحادث معطل وإجراءات التصعيد
د. عملية لمواصلة الأنشطة الحيوية ضمن أهداف التعافي المحددة مسبقًا (وقت التعافي المستهدف ونقطة التعافي المستهدفة والحد الأقصى للانقطاع المقبول)
هـ. عملية لاستئناف عمليات المؤسسة المالية إلى العمل كالمعتاد بمجرد حل الحادث
و. إرشادات للتواصل مع الموظفين والأطراف الخارجية ذات الصلة وجهات الاتصال في حالات الطوارئ
ز. عملية إدراج متطلبات الأمن السيبراني ذات الصلة، إن وجدت، ضمن تخطيط استمرارية الأعمال
3. يجب رصد الامتثال لخطة استمرارية الأعمال.
4. يجب قياس مدى فعالية خطط استمرارية الأعمال وتقييمها بشكل دوري.
5. يتحمل مدير إدارة استمرارية الأعمال ومنسقو إدارة استمرارية الأعمال مسؤولية الحفاظ على خطط استمرارية الأعمال والترتيبات وإبقائها محدثة.
6. يجب أن يتوفر لدى المؤسسة المالية مساحة (مساحات) عمل بديلة كافية للأعمال حيث يمكنها نقل الموارد المطلوبة لتقديم العمليات الحيوية المطلوبة وفقًا لأهداف الاسترداد المحددة مسبقًا في تحليل أثر انقطاع الأعمال.
7. يجب أن تحتوي مساحة (مساحات) العمل البديلة على ترسيم واضح لترتيبات الجلوس لوحدات العمل المختلفة.
8. يجب على المؤسسة المالية تنفيذ ضوابط أمنية منطقية ومادية وبيئية كافية من أجل دعم نفس المستوى من الوصول والأمن في حالة الحاجة إلى تفعيل الموقع البديل.
10. بالنسبة لجميع الأنشطة الحيوية، على النحو الذي يحدده تحليل أثر انقطاع الأعمال، يجب على المؤسسة المالية التأكد من أن مزودي الخدمة الرئيسيين (إن وجدوا) لديهم خطة استمرارية الأعمال وأن خططهم يتم اختبارها على الأقل على أساس سنوي.
6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ والمحافظة على خطة التعافي من كوارث تقنية المعلومات بالنسبة لأنشطتها الحيوية والبنية التحتية التقنية ذات الصلة.
الهدف
التأكد من أن المؤسسة المالية لديها خطة التعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحيوية في حالة وقوع حادث معطّل
اعتبارات التحكم
1. يجب تحديد خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات والأنظمة والشبكة والخدمات والتطبيقات) والموافقة عليها وتنفيذها وصيانتها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2. يجب على المؤسسة المالية إنشاء مركز بيانات بديل في موقع مناسب. ويجب تحديد الموقع بناءً على ما يلي:
أ. تقييم المخاطر للتأكد من أن الموقع لا يشترك في نفس مخاطر مركز البيانات الرئيسي (على سبيل المثال، التهديد الجغرافي)
ب. بعد الحصول على موافقة البنك المركزي
3. يجب أن تكون تكوينات البيانات والنظام والشبكة والتطبيقات والقدرات في مركز البيانات البديل متناسبة مع تلك التكوينات والقدرات الموجودة في مركز البيانات الرئيسي.
4. يجب على المؤسسة المالية تطبيق نفس الضوابط الأمنية المنطقية والمادية والبيئية والسيبرانية لمركز البيانات البديل كما هو الحال بالنسبة لمركز البيانات الرئيسي.
5. يجب على المؤسسة المالية تحديد وتنفيذ عملية النسخ الاحتياطي والاسترداد.
6. يجب أن يكون لدى المؤسسة المالية مكان خارج الموقع لتخزين النسخ الاحتياطية.
7. يجب توقيع عقود رسمية مع أطراف خارجية لضمان استمرارية خدمات التعهيد أو تسليم أجهزة أو برمجيات بديلة ضمن الجداول الزمنية المتفق عليها في حالة وقوع كارثة. تضمين مبادئ توجيهية للتأكد من أن العقود الموقعة مع مقدمي الخدمات الخارجيين تتماشى مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8. يجب أن يكون مدير تقنية المعلومات مسؤولاً عن الحفاظ على خطط وترتيبات التعافي من الكوارث وإبقائها محدثة مع تحميل مدير إدارة استمرارية الأعمال للمساءلة الشاملة عن التكامل ضمن برنامج إدارة استمرارية الأعمال.
9. يجب مراقبة الامتثال لخطة التعافي من الكوارث.
10. يجب قياس مدى فعالية خطة التعافي من كوارث تقنية المعلومات وتقييمها على أساس سنوي كحد أدنى.
7.2 المرونة السيبرانية
المبدأ
يجب أن تضمن المؤسسة المالية تشغيل الخدمات ووظائف الأعمال والعمليات الحيوية على بنية تحتية وبرمجيات موثوقة وقوية.
الهدف
التأكد من توفر كل من الخدمات ووظائف الأعمال والعمليات الحيوية للمؤسسة المالية عند الحاجة ومقاومتها للأعطال.
اعتبارات التحكم
1. جميع التغييرات المدخلة على البنية التحتية والبرمجيات التي تدعم بشكل مباشر الخدمات ووظائف الأعمال والعمليات الهامة المحددة يجب أن:
أ. تخضع لتقييمات متعمقة للمخاطر لضمان تلبية متطلبات العمل المتفق عليها فيما يتعلق بالتوافر والتعافي.
ب. تتبع إجراءات صارمة للتطوير والاختبار وإدارة التغيير لتجنب حدوث عطل أو خلل في نقطة واحدة.
2. يجب تحديد مراجعة معمارية دورية والموافقة عليها لضمان معالجة متطلبات العمل المتعلقة بالتوافر واستمرارية الأعمال وتنفيذها بشكل صحيح.
ملاحظة. لمزيد من اعتبارات التحكم لتحسين المرونة الشاملة، على سبيل المثال، إدارة التهديدات، وإدارة الثغرات الأمنية، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
8.2 خطة إدارة الأزمات
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة لإدارة الأزمات من شأنها أن تسهل الاستجابة الجيدة للحوادث الكبرى، بما في ذلك التواصل السريع لضمان السلامة العامة لأصحاب المصلحة الداخليين والخارجيين على حد سواء.
الهدف
التأكد من أن المؤسسة المالية لديها خطة فعالة لإدارة الأزمات مطبقة ومحدّثة للمنتجات والخدمات ووظائف الأعمال والعمليات الهامة للمؤسسة المالية، في حالة وقوع حادث معطّل.
اعتبارات التحكم
1. يجب تحديد خطة لإدارة الأزمات والموافقة عليها وتنفيذها.
2. يجب مراقبة الامتثال لخطة إدارة الأزمات.
3. يجب قياس مدى فعالية برنامج استمرارية الأعمال ضمن خطة إدارة الأزمات وتقييمها بشكل دوري.
4. يجب أن توثق المؤسسة المالية خطة (خطط) إدارة الأزمات التي تحدد كيفية معالجة وإدارة الأزمات الناتجة عن حادث (حوادث) كبيرة ويجب أن تتضمن على الأقل ما يلي:
أ. معايير إعلان الأزمة.
ب. يجب على المؤسسة المالية إنشاء مركز قيادة للإدارة المركزية ومركز قيادة للطوارئ.
ج. أعضاء فريق إدارة الأزمات. مع أخذ في الاعتبار ممثلي المنتجات والخدمات والوظائف والعمليات الحيوية للمؤسسة المالية (بما في ذلك قسم الاتصالات)
د. تفاصيل الاتصال بأعضاء فريق إدارة الأزمات (بما في ذلك الأطراف الخارجية)
هـ. تحديد الخطوات الواجب اتخاذها أثناء الأزمة أو الكارثة وبعدها (بما في ذلك التفويضات المطلوبة)
و. خطة التواصل بما في ذلك خطة الاستجابة الإعلامية، لمعالجة التواصل مع أصحاب المصلحة الداخليين والخارجيين أثناء الأزمات.
ز. تواتر اختبارات إدارة الأزمات
9.2 الاختبارات
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة اختبارات منتظمة لخطة استمرارية الأعمال وخطة التعافي من الكوارث لتدريب موظفيها والأطراف الخارجية واختبار فعالية خطط استمرارية الأعمال والتعافي من الكوارث.
الهدف
التأكد من أن خطة استمرارية الأعمال وخطة التعافي من الكوارث الحالية للمؤسسة المالية تعمل على النحو المحدد، وأن الموظفين والأطراف الخارجية مدربون على تنفيذ هذه الخطط.
1.9.2 اختبار خطة استمرارية الأعمال
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء تمارين اختبار محاكاة لخطة استمرارية الأعمال بشكل دوري ("مرة واحدة على الأقل في السنة")
- يجب أن تراعي الاختبارات السيناريوهات المناسبة المخططة بشكل جيد ومزودة بأهداف محددة بوضوح (على سبيل المثال، لكل وظيفة، لكل خدمة، لكل عملية، لكل موقع، لكل سيناريوهات أسوأ الحالات). ويجب أن تأخذ المؤسسة المالية في الاعتبار تضمين سيناريوهات الأمن السيبراني.
- يجب أن تغطي سيناريوهات الاختبار المحددة التنشيط والمشاركة لفريق إدارة الأزمات.
- بعد الانتهاء من الاختبارات الفردية المذكورة أعلاه، يجب على كل مؤسسة مالية النظر في إجراء اختبار متكامل لإدارة استمرارية الأعمال لجميع الخدمات والعمليات والوظائف الحيوية.
2.9.2 اختبار خطة التعافي من الكوارث
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء اختبار التعافي من الكوارث بشكل دوري مع خطة استمرارية الأعمال ("مرة واحدة على الأقل في السنة").
- يجب أن تجري المؤسسة المالية تقييماً لاختبار التعافي من الكوارث المنفذ للبنية التحتية لتقنية المعلومات التي تدعم الأنظمة الحيوية للمؤسسة المالية من أجل ضمان جاهزية التعافي من الكوارث وقدرتها على استئناف عمليات الأعمال الحيوية لفترة من الوقت في حالة وقوع كارثة كبرى.
- يجب أن توفر نتائج اختبار التعافي من الكوارث تقييمًا واقتراحات للتحسينات اللازم إدخالها لإدارة الأحداث المعطّلة التي من شأنه أن تؤثر على استمرارية أعمال المؤسسة المالية.
- يجب أن يغطي تفعيل ومشاركة فريق إدارة الأزمات.
3.9.2 الاختبارات المنفذة
1. يجب توثيق النتائج التفصيلية لجميع التدريبات والاختبارات للرجوع إليها في المستقبل. يجب أن تتضمن نتائج التدريبات/الاختبارات، على سبيل المثال لا الحصر، الاعتبارات التالية:
أ. تأكيد تحقيق أهداف الخطة التي تم تنفيذها
ب. تأكيد قدرات وجاهزية موارد التعافي
ج. توثيق الدروس المستفادة والتحسينات المطلوبة
د. في حالة حدوث فشل، يجب تتبع السبب الجذري للفشل وإجراءات المعالجة حتى الوصول إلى نتيجة ناجحة
2. إعادة اختبار الخطة في غضون الجداول الزمنية المحددة في حالة حدوث فشل، ويجب ألا تتجاوز الجداول الزمنية حد الثلاثة (3) أشهر.
3. يجب أن يراقب المدقق الداخلي للمؤسسة المالية، أو مدقق خارجي مؤهل، أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث كمشارك مستقل من أجل تقديم تأكيد معقول على الأنشطة المنفذة ونتائج الاختبار ومراقبة ما إذا كانت الاختبارات المنفذة تفي بأهداف برنامج استمرارية الأعمال العام للمؤسسة المالية.
4. يجب إبلاغ لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة بنتائج جميع اختبارات استمرارية الأعمال واختبارات التعافي من الكوارث.
10.2 التوعية والتدريب
المبدأ
يجب أن تقوم المؤسسة المالية بوضع وتنفيذ والمحافظة على برنامج تدريب وتوعية يدعم أهداف إدارة استمرارية الأعمال بفعالية من خلال تطوير الكفاءة المطلوبة بين الموظفين.
الهدف
يجب على المؤسسة المالية ضمان إدماج إدارة استمرارية الأعمال في أنشطتها اليومية، من خلال خطة توعية مستمرة ينبغي توثيقها.
اعتبارات التحكم
1. يجب أن تكون المؤسسة المالية والأطراف الخارجية ذات الصلة، مثل مقدمي الخدمات والموردين:
أ. - على دراية بالأجزاء ذات الصلة من سياسة وخطط استمرارية الأعمال
ب. ملزمون تعاقديًا بتقديم خدماتهم أو منتجاتهم في غضون الوقت المتفق عليه، في حالة وقوع حدث معطّل
ج. على دراية بنقطة الاتصال الخاصة بهم أو منسق إدارة استمرارية الأعمال المحلي الخاص بهم في المؤسسة المالية
د. - على دراية بأدوارهم ومسؤولياتهم أثناء الحوادث المعطّلة
2. يجب تقديم برنامج تدريبي مرة واحدة سنويًا للموظفين المشاركين في إدارة استمرارية الأعمال لتحقيق المستوى المطلوب من الخبرة والمهارات والكفاءات.
3. يجب على المؤسسة المالية قياس فعالية برنامج التدريب والتوعية بشكل دوري.
11.2 التواصل
المبدأ
يجب على المؤسسة المالية تحديد وإنشاء والحفاظ على عملية تواصل للاتصالات الدورية مع البنك المركزي بشأن المسائل المتعلقة ببرنامجها الخاص باستمرارية الأعمال.
الهدف
التأكد من الحفاظ على التواصل المستمر مع البنك المركزي من خلال تحديد بروتوكول الاتصال والتواتر والأدوار والمسؤوليات الخاصة بالاتصالات والاتفاق عليها والالتزام بها
اعتبارات التحكم
- يجب على المؤسسة المالية الإبلاغ عن جميع الحوادث المعطلة المصنفة على أنها "متوسطة" أو "عالية" إلى "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي على الفور. يجب إرسال تقرير ما بعد الحادث إلى البنك المركزي بعد استئناف المؤسسة المالية لعملياتها العادية.
- يجب على المؤسسة المالية التنسيق مع قسم الإشراف بالبنك المركزي عند التواصل مع وسائل الإعلام في حالة وقوع حوادث.
- يجب على المؤسسات المالية الحصول على موافقة البنك المركزي عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل الخاص بها، أو عند نقل مركز البيانات الرئيسي أو البديل الحالي.
- يجب على المؤسسة المالية إبلاغ "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي بالبرنامج المعتمد لتنفيذ اختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة بحلول نهاية شهر يناير من كل عام.
- يجب مشاركة نتائج اختبار استمرارية الأعمال والتعافي من الكوارث مع البنك المركزي في غضون أربعة أسابيع بعد الاختبار ويجب على المؤسسة المالية تحديد التحسينات بناءً على الاختبار الذي تم إجراؤه وتقديم خطة عمل إلى البنك المركزي في غضون شهرين بعد تقديم نتائج الاختبار.
12.2 المراجعة الدورية للوثائق
المبدأ
يجب مراجعة وتحديث برنامج استمرارية الأعمال والتعافي من الكوارث والسياسات والخطط والإجراءات بشكل دوري، وفي حالة حدوث تغيير (كبير) في المنتجات والخدمات و/أو وظائف الأعمال و/أو العمليات الحيوية للمؤسسة المالية.
الهدف
التأكد من أن جميع وثائق استمرارية الأعمال محدّثة ويمكن استخدامها أثناء وقوع حادث معطّل لاستعادة العمليات التجارية.
اعتبارات التحكم
- يجب على المؤسسات المالية إنشاء عملية لمراجعة/تحديث الوثائق لضمان تحديث وثائق استمرارية الأعمال ومراجعتها والموافقة عليها.
- يجب أن تحدد جميع الوثائق بوضوح آخر تاريخ تمت فيه مراجعة الوثيقة والموافقة عليها.
13.2 الضمان
المبدأ
يجب أن تخضع آلية استمرارية الأعمال في المؤسسات المالية إلى مراجعات وتدقيقات دورية من قبل طرف داخلي أو خارجي مؤهل ومستقل لضمان فعاليتها، وللحصول على ضمانات فيما يتعلق بالامتثال لإدارة استمرارية الأعمال التابعة للبنك المركزي.
الهدف
التأكد من قيام طرف مستقل بمراجعة أنشطة الدليل التنظيمي لإدارة استمرارية الأعمال وإبلاغ الإدارة العليا بشكل مستقل عن المشكلات التي تم تحديدها.
اعتبارات التحكم
- يجب على المؤسسة المالية إجراء مراجعة/تدقيق لإدارة استمرارية الأعمال من قبل جهة داخلية/خارجية مستقلة مؤهلة.
- يجب على المؤسسة المالية تحديد الثغرات وتوفير خارطة طريق لتعزيز إدارة استمرارية الأعمال داخل المؤسسة.
- يجب إبلاغ الإدارة العليا ولجنة إدارة استمرارية الأعمال بالثغرات التي تم تحديدها إلى جانب خارطة الطريق.
محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية
الرقم: 562240000067 التاريخ (م): 2019/5/13 | التاريخ (هـ): 1440/9/9 الحالة:نافذ إشارة إلى استراتيجية البنك المركزي* للأمن السيبراني والتي تهدف لرفع جاهزية وأمان القطاع المالي ضد الهجمات السيبرانية، واستمراراً لحرص البنك المركزي على حوكمة الإجراءات من خلال الأدلة التنظيمية الخاصة بالأمن السيبراني. نحيطكم باعتماد البنك المركزي للإطار التنظيمي لمحاكاة سيناريوهات الهجمات السيبرانية (Financial Entities Ethical Red Teaming Framework) والذي تم إعداده بناء على أفضل الممارسات والتجارب الدولية. حيث يهدف الإطار إلى تحسين قدرة المؤسسات المالية على التصدي والاستجابة للهجمات من خلال خلق سيناريوهات واقعية لاختبار مرونة البنية الأساسية للأنظمة وتعزيز المرونة السيبرانية للقطاعات المالية في المملكة، وسيتم مشاركة الإطار التنظيمي من خلال البريد الإلكتروني مع إدارات الالتزام للمؤسسات المالية.
وبناء على ذلك وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم أن البنك المركزي سيقوم بإجراء اختبارات دورية لتطبيق الإطار المذكور أعلاه على المؤسسات المالية لاختبار مدى جاهزية أنظمتها. كما يهيب البنك المركزي الجهات المالية على ضرورة عمل اختبارات بشكل مستقل ودوري واختبار جاهزية أنظمتها والعمل على تطويرها وفق متطلبات الدليل التنظيمي لأمن المعلومات (Cyber Security Framework).
وفي حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي أو شعبة أمن معلومات القطاع المالي في البنك المركزي.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
1. إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية
1.1. مقدمة
من الضروري أن تتحلى المؤسسات المالية في القطاع المالي بالقدرة على الصمود في مواجهة أحدث الهجمات السيبرانية وأكثرها تطوراً.
ويأتي إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية (F.E.E.R.) بمثابة دليل للمؤسسات المالية العاملة داخل المملكة العربية السعودية لمساعدتها على إعداد وتنفيذ محاكاة خاضعة للرقابة للهجمات (أي اختبارات محاكاة الهجمات السيبرانية المستندة إلى استخبارات التهديدات) ضد بيئة الإنتاج (أثناء العمل الاعتيادي للمؤسسة) مع ضمان عدم الكشف عن معلومات حساسة وذلك بمساعدة من مزود أعمال محاكاة الهجمات السيبرانية المعتمدين وذوي الخبرة.
ويضطلع البنك المركزي بدور رائد في تنفيذ الإطار المذكور. ويخضع هذا الإطار والعمليات المرتبطة به باستمرار إلى عمليات تحسين باستخدام التغذية الراجعة والدروس المستفادة من كل تمرين من تمارين محاكاة الهجمات السيبرانية. ويهدف هذا الإطار إلى تبادل البيانات الاستخباراتية والمعلومات التي تم الحصول عليها أثناء هذا الاختبار من أجل زيادة تحسين الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ولا تعتبر محاكاة الهجمات السيبرانية تدقيقًا. فهي عبارة عن اختبار محاكاة بهدف تقديم نظرة دقيقة عن مستوى صمود وفعالية ضوابط الأمن السيبراني المعمول بها والعمليات ذات الصلة (وهي أعمال الكشف والاستجابة).
كما أنها لا تعتبر اختبار اختراق. فعلى العكس من اختبارات الاختراق (التي يتم فيها اختبار وتقييم أصل أو أكثر من أصول معلومات محددة)، تركز محاكاة الهجمات السيبرانية على تكرار هجوم موجه وواقعي ضد المؤسسة المالية بأكملها، ولكن يتم تنفيذ الهجوم بطريقة مخطط لها.ويستخدم مزود أعمال محاكاة الهجمات السيبرانية أحدث تاكتيكات وأساليب وإجراءات تنفيذ الهجمات محاولاً اختراق المؤسسات المالية بهدف الوصول إلى أهم أصول المعلومات وأكثرها قيمة داخل تلك المؤسسات واختبار قدرات الكشف والاستجابة لديها. ويتضمن الفريق الأحمر المعني بمحاكاة الهجمات من قراصنة أخلاقيين معتمدين يتمتعون بخبرات واسعة ولديهم معرفة متعمقة بجميع مجالات الأمان.
2.1. الغرض من إطار العمل
يهدف إطار العمل بشكل أساسي إلى توفير التوجيه بشأن كيفية إجراء أنشطة محاكاة الهجمات السيبرانية وكيفية اختبار قدرات الكشف والاستجابة للمؤسسات المالية ضد الهجمات الحقيقية التي تتميز بتطورها وتقدمها وتعزيز معرفة أصحاب المصلحة المعنيين.
وبالمثل، يهدف إطار العمل إلى دعم تبادل المعلومات حول التهديدات والدروس المستفادة مع المؤسسات المالية بصورة تُسهم في تحقيق الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ويضمن إطار العمل تنفيذ تمرين محاكاة الهجمات السيبرانية بطريقة خاضعة للرقابة. وتأتي أهمية ذلك نظراً لطبيعة الأهداف أثناء إجراء الاختبار، وهي أنظمة الإنتاج الهامة للأعمال (أثناء سير العمل) (أي أصول المعلومات الهامة).
3.1. نطاق التطبيق
يسري إطار العمل المذكور على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي. ويتمتع البنك المركزي بسلطة اختيار أي من المؤسسات المالية ويُطلب من المؤسسة التي يقع عليها الاختيار إجراء اختبار محاكاة الهجمات السيبرانية وفقاً لمشهد التهديدات الناشئة أو بناء على أحدث استخبارات التهديدات المتوفرة لدى المؤسسة. إضافة إلى ذلك، يمكن للمؤسسات المالية إجراء اختبارات محاكاة الهجمات السيبرانية بصورة صحيحة من أجل ضمان الصمود الأمني.
4.1. المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
5.1. التفسير
بصفته مالك إطار العمل، يُعتبر البنك المركزي هو وحده المسؤول عن تقديم المشورة بشأن تفسير المبادئ والأهداف والاعتبارات، عند الاقتضاء.
6.1 دورية اختبارات محاكاة الهجمات السيبرانية
يجب أن تخضع كل مؤسسة من المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي في المملكة العربية السعودية للاختبارات المذكورة وذلك مرة واحدة على الأقل كل ثلاث (3) سنوات وذلك وفقاً لهذا الإطار.
7.1. الجمهور المستهدف
يستهدف هذا الإطار الإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي الأصول المعلوماتية، والمدراء التنفيذيين لأمن المعلومات (CISOs) والمسؤولين عن (أو المشاركين في) تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل القطاع المالي والمكلفين بتحسين الصمود السيبراني للمؤسسات المالية.
8.1. المراجعة والتحديثات والحفظ
يسعى البنك المركزي إلى الحفاظ على الإطار ومراجعته بشكل دوري لتحديد فعاليته، بما في ذلك مدى قدرته على مواجهة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. كما يعمل البنك المركزي، عند الاقتضاء، على تحديث الإطار استناداً إلى نتائج المراجعة والدروس المستفادة من تطبيقه.
9.1. معلومات إضافية
يرجى الاتصال بإدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي للحصول على مزيد من المعلومات أو لطرح الاستفسارات حول إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية.
2 معلومات أساسية
أصبحت الكثير من الحكومات والوكالات الوطنية والهيئات التنظيمية تنظر إلى حماية بنيتها التحتية الحيوية على المستوى الوطني أو على مستوى القطاع كإحدى الأولويات القصوى، حيث تضعها على أجندتها الوطنية للأمن السيبراني. ولاختبار المرونة السيبرانية للبنية التحتية الحيوية، تتبنى الحكومات والوكالات والهيئات التنظيمية بشكل متزايد أسلوب محاكاة الاختراق. وتستند أساليب محاكاة الهجمات السيبرانية بشكل عام إلى إطار يحدد كيفية إجراء اختبارات محاكاة الهجمات السيبرانية وسُبل تحديد المؤسسات التي يمكن أن تكون جزءاً من البنية التحتية الرئيسية أو الأساسية، ودورية هذه الاختبارات وتكرار تنفيذها داخل المؤسسة.
وتقوم المؤسسة في اختبار محاكاة الهجمات السيبرانية بإجراء 'محاكاة' لهجوم سيبراني حقيقي. ويقوم مزود أعمال محاكاة الهجمات السيبرانية، الذي يتكون من قراصنة أخلاقيين معتمدين وذوي خبرة، بتنفيذ/محاكاة الهجمات السيبرانية بناءً على استخبارات التهديدات المتاحة وسيناريوهات الهجوم، والتي تهدف إلى اختبار المرونة السيبرانية للمؤسسة.
ويتم تصميم الهجمات السيبرانية واختبارها بشكل حذر، بحيث تحاكي ما يقوم به المهاجم الحقيقي باستخدام أسلوبهم في تنفيذ الهجمات، بدءاً من أنشطة الاستطلاع حتى الاختراق الفعلي للأصل (للأصول) المعلوماتية الحرجة. ويتم تنفيذ واختبار محاكاة هذه الخطوات (عملية الهجوم) أثناء اختبار محاكاة الهجمات السيبرانية وهو ما يعطي المؤسسة رؤى حيوية معمقة حول مرونة المؤسسة ضد الهجمات السيبرانية.
1.2. أصحاب المصلحة
يضطلع أصحاب المصلحة في عمليات محاكاة الهجمات السيبرانية بأدوار مختلفة ومسؤوليات مقابلة لتلك الأدوار. وبغض النظر عن دور كل منهم، من المهم أن يعلم المشاركين أن جميع الاختبارات تتم في بيئة خاضعة للرقابة وأن هناك بروتوكول اتصال متفق عليه لتبادل المعلومات بين أصحاب المصلحة. أصحاب المصلحة المعنيين هم:
- إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي – هي السلطة التي أُسندت إليها المسؤولية الرئيسية للإشراف على ممارسة محاكاة الهجمات السيبرانية.
- المؤسسة المالية - كل مؤسسة مالية عاملة ضمن القطاع المالي في المملكة العربية السعودية وتخضع لرقابة البنك المركزي.
- مركز العمليات الأمنية - المركز الموجود في المؤسسة المالية، والذي سيخضع لاختبار محاكاة الهجمات السيبرانية.
- مزود أعمال محاكاة الهجمات السيبرانية - طرف خارجي معتمد، يتم اختياره لأداء تمرين محاكاة الهجمات السيبرانية وتوفير استخبارات التهديدات المطلوبة على المستوى الوطني و على مستوى القطاع لتحديد السيناريوهات.
- اللجان المتاحة التابعة للمؤسسات المالية (مثل: اللجنة المصرفية لأمن المعلومات) - يمكن في هذه اللجنة مشاركة النتائج ذات الصلة لاختبارات محاكاة الاختراق المنفذة والدروس المستفادة واستخبارات التهديدات، بصورة منقحة باستخدام بروتوكول الاتصال المتفق عليه وذلك لدعم زيادة المرونة السيبرانية الشاملة للقطاع (المالي).
2.2 الفرق المطلوبة
لتنفيذ تمرين محاكاة الهجمات السيبرانية، يجب إنشاء الفرق التالية:
الفريق الأخضر
توفر إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي الفريق الأخضر. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويكون مدير الاختبار مسؤولا عن توجيه ودعم الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. ويوافق الفريق الأخضر على اختيار مزود أعمال محاكاة الهجمات السيبرانية ويوفر - عند الحاجة - معلومات استخباراتية إضافية أو محددة عن التهديدات التي تواجه القطاع المالي.
الفريق الأبيض
يتم تعيين الفريق الأبيض (بما في ذلك قائد الفريق الأبيض) من المؤسسة المالية، ليكون مسؤولاً عن تنفيذ محاكاة الهجمات السيبرانية في ظروف خاضعة للرقابة. ويتألف الفريق الأبيض من مجموعة مختارة من خبراء الأمن والأعمال، بحيث يكونوا دون غيرهم داخل المؤسسة على علم باختبار محاكاة الهجمات السيبرانية، ويكونوا بمثابة نقاط الاتصال الرئيسية؛ مثال على أحد أعضاء الفريق: الرئيس التنفيذي لأمن المعلومات. ويقوم أعضاء الفريق بمراقبة الاختبار ويتدخلون عند الضرورة؛ على سبيل المثال عندما يكون من المحتمل أن يتسبب أو تسبب بالفعل الاختبار أو نتائجه في تداعيات كبيرة أو اختراق فعلي أو انقطاع للخدمة.
ويجب ألا يزيد إجمالي عدد الموظفين المشاركين في الاختبار عن خمسة (5) أشخاص لتجنب انتشار خبر إجراء محاكاة الهجوم السيبراني المزمع تنفيذه، ومن ثم تقل فعالية التمرين أو يصبح معيباً.الفريق الأزرق
فريق مراقبة الأمن السيبراني التابع للمؤسسة المالية (مثل مركز العمليات الأمنية)، ويتولى مراقبة وتحليل التنبيهات والأحداث الأمنية لتحديد الخروقات أو العيوب الأمنية. وتتضمن مهمة الفريق الأزرق اكتشاف الأنشطة الخبيثة (للفريق الأحمر) واتباع إجراءات الاستجابة للحوادث المتفق عليها لحظة اكتشاف الحادث. ويجب إخفاء الاختبار عن الفريق الأزرق الذي يتوقع منه اتباع إجراءاته التشغيلية القياسية من أجل محاكاة الهجوم الفعلي.
الفريق الأحمر
الفريق الأحمر، هو الطرف الثالث الذي يتم اختياره لتنفيذ سيناريوهات الهجوم؛ ويتكون الفريق الأحمر من متخصصين معتمدين وذوي خبرة. ويعمل الفريق الأحمر مع الفريق الأخضر والفريق الأبيض لوضع التهديدات المحتملة وسيناريوهات الهجوم. ويكون مزود أعمال محاكاة الهجمات السيبرانية مسؤول أيضاً عن توفير أحدث استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).
يرجى الرجوع إلى الملحق (أ): متطلبات مزود أعمال محاكاة الهجمات السيبرانية، لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية.
3.2. اختبار الاختراق مقابل محاكاة الهجمات السيبرانية
يوجد فرق كبير بين تمرين محاكاة الهجمات السيبرانية واختبار الاختراق. حيث يركز تمرين محاكاة الهجمات السيبرانية على اختبار المرونة السيبرانية للمؤسسة، أما اختبار الاختراق، فغالبا ما يقتصر نطاق الاختبار على أحد التطبيقات أو النظام، بقصد الاختبار الشامل لأمان هذا التطبيق أو النظام.
ويختلف الهدف العام لتمرين محاكاة الهجمات السيبرانية عن أهداف اختبار الاختراق. حيث يتمثل الهدف من تمرين محاكاة الهجمات السيبرانية في الاختبار (بشكل مستقل) المرونة السيبرانية الشاملة للمؤسسة المالية. ويتم تحقيق ذلك من خلال اختبار ضوابط الأمن السيبراني المنفذة، إلى جانب قدرات الكشف والاستجابة.
أما الهدف الثانوي فيتمثل في مشاركة الدروس المستفادة مع المؤسسات المالية في القطاع المالي، لتعزيز المرونة السيبرانية الشاملة على مستوى القطاع.
اختبار الاختراق مقابل محاكاة الهجمات السيبرانية التعرف على الثغرات الأمنية الهدف اختبار المرونة أمام الهجمات الحقيقية مجموعة فرعية محددة مسبقاً النطاق مسارات وصول واقعية التركيز على الضوابط الوقائية الضوابط المختبرة التركيز على الكشف والاستجابة التركيز على الكفاءة طريقة الاختبار التركيز على المحاكاة الواقعية تحديد الأهداف والتعرف على الثغرات الأمنية واستغلال الثغرات الأمنية تقنيات الاختبار التكتيكات والأساليب والإجراءات محدودة جدا ما بعد استغلال الثغرات الأمنية التركيز المكثف على الأصول أو الوظائف الحيوية أجزاء من دورة حياة التطوير تكرار تمرين دوري الشكل (1) الفرق بين اختبار الاختراق ومحاكاة الهجمات السيبرانية
4.2. منهجية تسلسل الهجوم السيبراني
يقدم تسلسل الهجوم السيبراني1 نموذجاً تصورياً لوصف الهجوم. ويشير مصطلح "تسلسل" إلى العملية الشاملة التي يتبناها المهاجم.
ويوفر تسلسل الهجوم السيبراني رؤية معمقة حول كيفية تنفيذ الهجوم والأدوات والأساليب المختلفة المستخدمة في كل مرحلة. ولتقليل خطر وقوع الهجوم بنجاح، يجب النظر في اتخاذ تدابير دفاعية (ومنها، التدابير الوقائية والكشفية وتدابير الاستجابة والتدابير التصحيحية) لكل خطوة من خطوات تسلسل الهجوم لتقليل احتمالية الاختراق وتحسين مرونة المؤسسة المالية.
وتوضح المراحل السبع (7) التالية خطوات الهجوم السيبراني المتقدم في تسلسل الهجوم السيبراني:
يشير الشكل (2) إلى سبع مراحل من الهجوم السيبراني، ويوضح المهام الرئيسية للفريق الأحمر والفريق الأزرق
1. الاستطلاع:
المرحلة الأولى هي مرحلة اختيار الهدف وجمع المعلومات عنه لتحديد أساليب الهجوم. وتحدث هذه المرحلة قبل تنفيذ الهجوم. ومن أمثلة المعلومات المفيدة: الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني والوظائف والموضوعات الخاصة أو المهنية التي تهم الموظفين على الإنترنت والمعلومات المنشورة حول البرنامج الذي تستخدمه المؤسسة.
2. التسلح:
يقوم المهاجم بإنشاء الحمولة الخبيثة/الملف الضار لهدف معين بناءً على المعلومات التي حصل عليها أثناء مرحلة الاستطلاع. وقد يأتي الهجوم بأشكال مختلفة بحسب قدرات المهاجم الإبداعية ومجموعة الدفاعات المتاحة ونقاط الضعف المحتملة.
3. التوصيل:
يتم إرسال الهجوم المصمم إلى الضحايا باستخدام وسائل مختلفة، ومنها: البريد الإلكتروني (المرفقات) أو التصيد الإلكتروني أو مواقع الإنترنت أو الأجهزة المادية أو الهندسة الاجتماعية.
4. الاستغلال:
ينتج عن تفعيل أو تنشيط الحمولة الخبيثة/الملف الضار (أي البرامج الضارة) اختراق نظام الهدف وشبكته بنجاح. ويحد هجوم البرمجيات الخبيثة الذي يتم بشكل تدريجي من إمكانية كشفه. وتتواصل البرمجيات الخبيثة مرة أخرى مع المهاجم عبر قناة آمنة، مما يحد من فرصة الاكتشاف. وعادة ما يستخدم المهاجمون الأساليب الشائعة وتنسيقات الملفات لتسليم الملفات التنفيذية للبرمجيات الخبيثة (مثل ملفات ميكروسوفت أوفيس وملفات بي دي إف ومواقع الإنترنت الضارة ورسائل التصيد الإلكتروني والوسائط القابلة للإزالة).
5. التثبيت:
التثبيت الفعلي للحمولة الخبيثة/الملف الضار أو البرنامج الذي يدعم المهاجم. لضمان استمرار البرمجيات الخبيثة والباب الخلفي (الأبواب الخلفية) في عملها، يمكن للمهاجمين تثبيت برمجيات خبيثة إضافية أو أدوات برامج ضارة لضمان استمرار الهجوم إذا تم تعطيل النظام الذي تم اختراقه في البداية أو البرامج الضارة النشطة.
6. القيادة والسيطرة:
عادة ما يتصل النظام المخترق بالمهاجم، لإنشاء ما يسمى بقناة القيادة والتحكم، والتي تسمح بالتحكم عن بعد في البرمجيات الخبيثة. وخصوصا في البرمجيات الخبيثة المستخدمة في التهديد المستمر المتقدم، سيتحكم المهاجم في البرامج الضارة ويستكشف الشبكة باستخدام هذا النوع من الوصول عن بُعد.
7. الإجراءات المتعلقة بالهدف:
بعد إنجاز المهاجم لمهام الاختراق أو تحقيق أهدافه، سيحاول المهاجم إخفاء الأدلة والآثار الرقمية باستخدام أساليب مختلفة، مثل تسرب البيانات، أو يقوم باستخدام النظام المخترق كنقطة انطلاق للانتقال إلى أنظمة أخرى في الشبكة (من خلال التحرك الجانبي)، للبحث عن أصول أو أهداف أخرى عالية القيمة.
1 قام علماء الحاسب الآلي في شركة لوكهيد مارتن بتطوير ووصف إطار عمل "سلسلة منع التسلل" للدفاع عن شبكات الكمبيوتر في عام 2011.
5.2 استخبارات التهديدات
سيقوم مزود (مزودو) أعمال محاكاة الهجمات السيبرانية بتوفير بيئة استخبارات التهديدات التي تناسب القطاع المالي السعودي أو إحدى المؤسسات المالية. ويمكن إثراء هذه البيئة بالاستفادة من المدخلات المقدمة من البنك المركزي (ومنها إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي، أو الفريق الأخضر)، والفريق الأبيض، والهيئات الحكومية المختلفة. ويجب على مزودي محاكاة الهجمات السيبرانية تقديم آخر ما لديهم من استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).
6.2 نظرة عامة على المراحل
يتكون إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية من أربع مراحل. وتقدم الفصول ذات الصلة من هذا الإطار وصفاً مفصلاً لكل مرحلة.
لمزيد من التفاصيل والتعاريف المتعلقة بهذا الإطار يرجى الرجوع إلى الملحق (ج) قائمة المصطلحات.
3 مرحلة التحضير
1.3. نظرة عامة
يبدأ الفريق الأخضر مرحلة التحضير لتمرين محاكاة الهجمات السيبرانية من خلال تعيين مدير اختبار. ويجب كذلك ترشيح مدير اختبار احتياطي نظرا لأهمية هذا الدور.
ويتولى مدير الاختبار مسؤولية الاتصال بالمؤسسة المالية لشرح مفهوم وعمليات محاكاة الهجمات السيبرانية. ويقوم مدير الاختبار بدعوة المؤسسة المالية لتعيين فريقهم الأبيض بشكل رسمي والبدء في التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
ويعلن قائد الفريق الأبيض بدء جلسة انطلاق العمل، ويدعو جميع أصحاب المصلحة المعنيين (أي الفرق الخضراء والبيضاء والحمراء) إلى التوافق على أغراض وأهداف تمرين محاكاة الهجمات السيبرانية.
2.3. الفريق الأخضر: اختيار مدير الاختبار
يعد مدير الاختبار من الأشخاص الأساسيين في تمرين محاكاة الهجمات السيبرانية. لذلك، يجب أن يتمتع هذا الشخص بخبرة كبيرة في إدارة المشاريع ودراية واسعة بقطاع الخدمات المصرفية والأمن السيبراني.
ويجب على مدير الاختبار بالفريق الأخضر دعوة المؤسسة المالية لتعيين أعضاء الفريق الأبيض. وطوال مدة تمرين محاكاة الهجمات السيبرانية، يظل الفريق الأبيض على اتصال وثيق بمدير الاختبار.
ويقوم مدير الاختبار بالإشراف على تمرين محاكاة الهجمات السيبرانية ويقدم الدعم والتوجيه والأفكار لضمان توافق تمرين محاكاة الهجمات السيبرانية بأكمله الذي يقوم به الفريق الأبيض ومزود أعمال محاكاة الهجمات السيبرانية مع إطار العمل. ولا يعد مدير الاختبار عضواً رسمياً في الفريق الأبيض، لذلك لا يمكن محاسبته على أي إجراءات أو نتائج.
3.3 اختيار مزود أعمال محاكاة الهجمات السيبرانية
يقوم الفريق الأخضر بتعيين مزود أعمال محاكاة الهجمات السيبرانية (الفريق الأحمر)، الذي تم اختياره مسبقاً لتنفيذ محاكاة الهجمات السيبرانية، بناءً على خبرات ومهارات موظفيه. ونظراً لتنفيذ اختبارات القرصنة الأخلاقية على أنظمة الإنتاج في بيئة العمل الفعلية، فمن الأهمية أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية خبرات سابقة موثقة والمهارات والخبرات والشهادات اللازمة والموظفين ذوي الخبرة المطلوبة لإجراء اختبار محاكاة الهجمات السيبرانية.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية
4.3 اختيار الفريق الأبيض
يجب على المؤسسة المالية تشكيل الفريق الأبيض بعناية وترشيح قائد الفريق الأبيض من أجل تسهيل تمارين محاكاة الهجمات السيبرانية والإشراف عليها وقيادتها خلال جميع المراحل. ويتمثل دور قائد الفريق الأبيض في التأكد من إجراء تمرين محاكاة الهجمات السيبرانية بالكامل بطريقة خاضعة للرقابة، نيابة عن المؤسسة المالية. وبمجرد تشكيل الفريق الأبيض، يجب على قائد الفريق الأبيض التنسيق مع مزود أعمال محاكاة الهجمات السيبرانية المعين لوضع اللمسات الأخيرة على العقد ودعوتهم إلى الاجتماع الافتتاحي.
5.3 التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية
بمجرد موافقة الفريق الأخضر على مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية البدء في إجراءات التعاقد مع المزود المذكور. وأثناء عملية التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية القيام بالأنشطة التالية:
- الاتفاق على الاعتبارات التعاقدية، مثل بنود اتفاقية عدم الإفصاح، والمسؤولية عن أي عواقب تنتج عن الاختبار، وخطاب التفويض؛
- تقديم أعضاء الفريق الأحمر إلى الفريق الأبيض والأخضر.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية
عقب التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يبدأ الفريق الأبيض في إشراك مزود أعمال محاكاة الهجمات السيبرانية وموظفيه المحددين لضمان الاستفادة الكاملة من خبراتهم وآرائهم، وتعريف موظفي مزود أعمال محاكاة الهجمات السيبرانية بنموذج أعمال وخدمات المؤسسة المالية.
6.3 تحديد النطاق
خلال جلسة انطلاق العمل وبحضور جميع أصحاب المصلحة المعنيين (الفريق الأخضر والأبيض والأحمر)، يجب تحديد نطاق التمرين والأصول المعلوماتية الهامة المستهدفة (أي "الأهداف الهامة") لسيناريوهات الهجوم. علاوة على ذلك، تتم مناقشة تخطيط المشروع بالتفصيل مع مسؤوليات كل فريق. كما تناقش الجلسة النتائج المتوقعة والاعتبارات التعاقدية. ويجب على الفريق الأبيض تحديد الأهداف الهامة التي سيتم استهدافها أو مهاجمتها.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بمشاركة نصائحه وتوصياته إلى الفريق الأبيض والأخضر بناءً على خبرته (السابقة) لإثراء النقاش حول نطاق الهجوم.
ويجب على الفريق الأبيض والفريق الأخضر مناقشة ووضع المعايير والقيود وبروتوكول التصعيد بشكل تعاوني لاختبار محاكاة الهجمات السيبرانية لضمان التفاهم المتبادل أثناء التنفيذ. ومن النقاط الهامة الأخرى هي الاتفاق على المسؤولية عن إجراءات مزود أعمال محاكاة الهجمات السيبرانية (انظر أيضا 5.3).
ويجب على الفريق الأبيض إنشاء مستند تحديد النطاق. ويحتوي هذا المستند على تفاصيل الاتصال بأعضاء الفريق الأبيض والأهداف التي تم رصدها (وهي الأهداف المحددة أو الأنظمة المستهدفة) أثناء تمرين محاكاة الهجمات السيبرانية. ويتضمن المستند كذلك الخطة العامة للتمرين وإجراءات التصعيد المحددة مسبقاً وبروتوكولات الاتصال (بما في ذلك اسم الكود للاختبار).
وبمجرد تحديد النطاق من قبل الفريق الأبيض، يجب تقديم مستند نطاق العمل إلى الفريق الأخضر لاعتماده.
4 مرحلة السيناريو
1.4 نظرة عامة
يجب على الفريق الأخضر والأبيض في بداية هذه المرحلة تقديم استخبارات التهديدات المتاحة بشكل مستقل إلى الفريق الأحمر. ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج استخبارات التهديدات المستلمة مع استخبارات التهديدات الخاصة به (والتي يجب أن تستند إلى مصادره الخاصة وخبراته السابقة والاختبارات التي تم تنفيذها قبل ذلك). وبناء على استخبارات التهديدات المجمعة، يحدد الفريق الأحمر سيناريوهات واستراتيجيات الهجوم. وتتم مناقشة سيناريوهات واستراتيجيات الهجوم مع الفريق الأخضر قبل تحديد تكتيكات وأساليب وإجراءات الهجوم التفصيلية. وإذا لزم الأمر، يجب على الفريق الأبيض بدء مناقشات مع كل من الفريقين الأحمر والأخضر لمواصلة المناقشة والاتفاق بشأن سيناريوهات الهجوم النهائية، في ضوء الملاحظات الواردة من الفريق الأخضر.
وتستغرق مرحلة السيناريو عادة عدة أسابيع (بحد أقصى خمسة (5) أسابيع). وفيما يلي لمحة عامة عن العملية:
2.4 جمع استخبارات التهديدات
يقدم كل فريق استخبارات التهديدات المجمعة بشكل مستقل. ويقدم الفريق الأخضر (عند توفره) ما لديه من استخبارات التهديدات على مستوى القطاع والتي تكون معروفة ومتاحة من خلال المؤسسات المالية أو الحوادث الأخرى. وقد يشمل ذلك استخبارات التهديدات الواردة من الجهات الحكومية، والتي قد تكون ذات صلة بالمؤسسة المالية. ويجب على الفريق الأبيض تقديم رؤية المؤسسة المالية، بما في ذلك استخبارات التهديدات الدقيقة المتعلقة بعملها ومرتبطة بالاتجاهات أو الحوادث السابقة، سواء كانت داخلية أو خارجية، وفقاً لما تحدده المؤسسة.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج معلومات التهديد المستلمة مع معلومات التهديدات الخارجية الخاصة به (بما في ذلك استخدام مصادره 'المفتوحة')، علاوة على المعلومات الاستخباراتية التي تم جمعها خلال مختلف أعمال الفريق الأحمر.
3.4 تحديد واعتماد سيناريوهات الهجوم عالي المستوى
وفقاً لجميع استخبارات التهديدات التي تم جمعها، يجب على الفريق الأحمر تحليل سيناريوهات الهجوم الواقعية وتحديدها وصياغتها، ومن ثم القيام بإعداد وثيقة استراتيجية شاملة للاختبار. وبمجرد تحديد السيناريوهات، يجب الاتفاق على سيناريوهات الهجوم واستراتيجية الاختبار قبل بدء مزود أعمال محاكاة الهجمات السيبرانية بإنشاء سيناريوهات هجوم محددة.
4.4 إعداد واعتماد سيناريوهات الهجوم التفصيلية
تحدد سيناريوهات الهجوم التفصيلية واحداً أو أكثر من الأصول المعلوماتية الحيوية التي تجمع بين المعلومات الخارجية والداخلية (أي الخاصة بالمؤسسة المالية) واستخبارات التهديدات على مستوى القطاع. ويجب أن يتضمن كل سيناريو للهجوم وصفاً كتابياً لتسلسل الهجوم من وجهة نظر المهاجم. ويتعين على مزود أعمال محاكاة الهجمات السيبرانية استعراض خيارات الهجوم المختلفة، بناءً على التكتيكات والأساليب والإجراءات المختلفة التي يستخدمها مسؤولو الاختبار والمهاجمون ذوو الخبرة. وكما هو الحال في سيناريوهات الهجوم عالي المستوى واستراتيجية الاختبار، يجب الاتفاق على السيناريوهات التفصيلية مع الفريق الأخضر.
5.4 الانتهاء من خطة محاكاة الهجمات السيبرانية
يجب ألا تتكون خطة الهجمات السيبرانية النهائية من سيناريوهات الهجوم المختلفة التي سيؤديها مزود أعمال محاكاة الهجمات السيبرانية فحسب، بل يجب أن تحدد أيضا إجراءات التصعيد وبروتوكولات الاتصال المتفق عليها. ونظراً لوجود أنظمة الإنتاج الحرجة ضمن نطاق اختبار الهجمات السيبرانية، فمن الضروري أن يكون مزود أعمال محاكاة الهجمات السيبرانية على دراية بهذا الأمر وأن يفكر في كيفية الاستجابة في حالة حدوث أي مشكلات أو تعطل غير متوقع. وعقب الانتهاء من خطة محاكاة الهجمات السيبرانية، يلزم الحصول على الموافقة النهائية من قبل الفريق الأبيض والأخضر قبل أن يتمكن مزود أعمال محاكاة الهجمات السيبرانية من المضي قدما في تنفيذ سيناريوهات الهجوم.
5 مرحلة التنفيذ
1.5 نظرة عامة
تبدأ المرحلة بقيام مزود أعمال محاكاة الهجمات السيبرانية بتنفيذ سيناريوهات الهجوم. ويجب إطلاع الفريق الأبيض والأخضر على آخر المستجدات أثناء تنفيذ العملية. ويجب تسجيل كافة الإجراءات للاحتفاظ بها لأغراض الإثبات وتسهيل الإعادة عند الحاجة، بالتعاون مع الفريق الأزرق.
وفيما يلي لمحة عامة عن العملية:
2.5 تنفيذ خطة محاكاة الهجمات السيبرانية
يجب أن يبدأ مزود أعمال محاكاة الهجمات السيبرانية في تنفيذ تمرين محاكاة الهجمات السيبرانية باتباع السيناريوهات المتفق عليها وضد الأصول أو الوظائف الحرجة (المعلومات) التي تم اختيارها مسبقاً. ويُذكر أن السيناريوهات المتفق عليها ليست ملزمة بشكل صارم، فهي مجرد مخطط عام، وقد لا تتوافق بشكل كامل مع البيئة التشغيلية الفعلية التي تتم مواجهتها أثناء مرحلة التنفيذ. ومع ذلك، يجب على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض والفريق الأخضر بالتعديلات المقترحة في السيناريوهات. ويجب السماح بالانحراف عن السيناريوهات الأولية ويكون ذلك مرغوباً فيه في حالة مواجهة العقبات.
ويجب على مزود أعمال محاكاة الهجمات السيبرانية تطبيق خبراتهم وإبداعهم لتطوير طرق أو حلول بديلة من أجل الوصول إلى الأصول أو الوظائف الحرجة (المعلومات) المحددة. ومن الأهمية أن يظل مزود أعمال محاكاة الهجمات السيبرانية على اتصال وثيق مع كل من الفريقين الأخضر والأبيض ويطلعهم باستمرار على التقدم المحرز أثناء اختبار محاكاة الهجمات السيبرانية – وذلك وفقاً لعدد مرات التحديث التي تم الاتفاق عليه أثناء جلسة انطلاق العمل، أو يتم إخطارهم على الفور في حالة التصعيد أو الأحداث أو الحوادث الخطيرة.
3.5 تنفيذ السيناريوهات المحددة والمتفق عليها
وفي حالة اكتشاف الفريق الأزرق لأي أحداث يكون الفريق الأحمر قد تسبب فيها أثناء عمله، يجب على مزود أعمال محاكاة الهجمات السيبرانية، بالتعاون مع قائد الفريق الأبيض، تقييم إمكانية المضي قدماً في اختبار محاكاة الهجمات السيبرانية وفقا للخطة الأصلية أو تعديل استراتيجية الهجوم الأولية.
ويجب على قائد الفريق الأبيض مراعاة الخيارات التالية عند اكتشاف إجراءات مزود أعمال محاكاة الهجمات السيبرانية:
- وقف أو تأجيل الاختبار في حالة وجود خطر كبير يهدد بتعطل العمل؛
- الإشراف على الفريق الأزرق وتوجيهه بحرص شديد أثناء أنشطة الاستجابة، خاصة إذا طرحت إمكانية اتخاذ تدابير متطرفة (والتي من بينها إبلاغ سلطات إنفاذ القانون بالحادث أو إغلاق الخدمات الحيوية للتخفيف من أي تأثيرات إضافية ..إلخ)؛
- إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بالاستمرار في سيناريوهات الهجوم الأولية؛
- إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بضرورة مراجعة الهجوم (الذي تم اكتشافه) أو البحث عن حل بديل للأصل المعلوماتي الحرج ومتابعة سيناريو الهجوم المعدل بعد موافقة قائد الفريق الأبيض؛
- إبلاغ الفريق الأخضر بشأن الكشف عن الأحداث واتخاذ قرار بشأن التمرين.
- الطلب من مزود أعمال محاكاة الهجمات السيبرانية وضع سيناريو هجوم بديل مصمم خصيصاً للأصول المعلوماتية الحرجة المعدلة (مثل أي تغييرات في النطاق).
4.5 الإبلاغ
بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، أو وقف الاختبار بناءً على طلب قائد الفريق الأبيض، يجب على مزود أعمال محاكاة الهجمات السيبرانية إعداد ملاحظاتهم ونتائجهم الأولية، ويفضل أن يتم ذلك وفقاً للترتيب الزمني. ويجب مناقشة هذه الملاحظات والنتائج مع الفريق الأخضر والأبيض. وتوفر هذه الملاحظات والنتائج الأساس لتقييم قدرات الكشف والاستجابة لدى الفريق الأزرق. وبعد إجراء التقييم الأولي، يجب على الفريق الأبيض مشاركة ملاحظاته، بحسب الأدوار المنوطة به ورؤيته.
ملاحظة: بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، يتعين على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض على الفور بالنصوص الكتابية أو التعليمات البرمجية أو البرمجيات الخبيثة التي ثبتها الفريق الأحمر، إلخ.، بما في ذلك تقديم لمحة عامة عن معرفات المستخدم التي تم إنشاؤها أو اختراقها أو (إعادة) استخدامها أثناء الاختبار. ويتعين على قائد الفريق الأبيض أن يثبت للفريق الأخضر أن "مؤشرات الاختراق' قد أزيلت بالفعل أو تمت إعادة الضبط مرة أخرى. يجب أن يذكر الفريق الأبيض كافة المعلومات التي تم اكتشافها أو ملاحظتها من قبل الفريق الأزرق. ويجب على مزود أعمال محاكاة الهجمات السيبرانية استخدام هذه المعلومات لتقييم قدرات الكشف والاستجابة للفريق الأزرق بشكل عام في مسودة التقرير. ويجب أن يشير مزود أعمال محاكاة الهجمات السيبرانية إلى جميع الملاحظات والنتائج والتوصيات والتقييمات ذات الصلة، والتي تمت ملاحظتها أو تجربتها أثناء مرحلة الإعداد ومرحلة وضع السيناريو والتنفيذ، بما في ذلك الملاحظات والنتائج والتوصيات والتقييمات الواردة من الفريقين الأبيض والأخضر. وبالنسبة للتوصية المقدمة، فيجب أن تأخذ في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي والممارسات الجيدة الأخرى المعمول بها في هذا المجال.
ومن الضروري أن يتضمن التقرير النهائي تسلسلات الهجوم السيبراني التي تم استغلالها، وتلخيصها في شكل مخططات لمتجهات الهجوم. ويجب أن توفر مخططات متجهات الهجوم رؤى معمقة حول كيفية تنفيذ سيناريوهات الهجوم والأجزاء التي تحتاج إلى مزيد من التركيز عند تنفيذ إجراءات التخفيف. ويجب أن تتوافق كافة الفرق المعنية على التقرير النهائي ويلتزم المزود بتقديم نسخة من التقرير إلى البنك المركزي.
يرجى الاطلاع على الملحق (ب) متطلبات الإبلاغ، لمزيد من التفاصيل حول المتطلبات الواجب اتباعها من قبل مزود أعمال محاكاة الهجمات السيبرانية.
6 مرحلة الدروس المستفادة
1.6 نظرة عامة
يجب على مزود أعمال محاكاة الهجمات السيبرانية في هذه المرحلة تقديم تقرير الفريق الأحمر النهائي، بحيث يشتمل على التقييم العام لمرونة المؤسسة المالية ضد الهجمات السيبرانية المستهدفة.
ويتعين على الفريق الأزرق تقديم تقرير الفريق الأزرق مع ملاحظاتهم ونتائجهم وتوصياتهم مع التركيز على التنبيهات والإجراءات المتخذة كجزء من قدرات المؤسسة المالية في مجال الكشف والاستجابة.
وبمجرد توزيع تقارير الفريق الأحمر والأزرق النهائية على جميع الفرق. يجب على الفريق الأبيض دعوة الفرق الحمراء والزرقاء والخضراء للمشاركة في جلسة تقييم الأداء الشاملة، يشاركون فيها ملاحظاتهم وخبراتهم لأغراض التعلم (للموظفين والإدارة المعنيين)، ولفهم القدرات التي يجب تحسينها (مثل الوقاية والكشف والاستجابة) و(تعزيز) التمرينات المستقبلية.
وبعد إتمام جلسة تقييم الأداء، يتم تنظيم تمرين إعادة، بقيادة الفريق الأزرق والأحمر. ويتمثل الهدف من تمرين الإعادة المشترك في إعادة خطوات تمرين الفريق الأحمر، ومناقشة جميع الإجراءات والملاحظات ذات الصلة، والتي تم إبرازها من كلا الزاويتين، أي الفريق الأزرق والفريق الأحمر.
وتتم الخطوة التالية بإجراء تقييم شامل لإجراءات تمرين محاكاة الهجمات السيبرانية نفسه. وقد تساهم نتيجة التقييم في استنباط المعلومات الحيوية لتعزيز إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية للعمليات المستقبلية.
أما الفريق الأبيض، فيجب عليه وضع خطة علاجية بناءً على الملاحظات والتوصيات التفصيلية.
ولضمان استفادة جميع المؤسسات المالية في القطاع المالي من تمارين محاكاة الهجمات السيبرانية المشار إليها، يجب إعداد تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، وعرضه إذا لزم الأمر. وينبغي أن يقتصر توزيع هذا التقرير على المجتمع المغلق المحدد (أي العناوين المحددة) والالتزام ببروتوكول الاتصال المعمول به.
وتبلغ مدة هذه المرحلة حوالي أربعة (4) أسابيع.
ويجب على البنك المركزي وفقاً للتقييمات مراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي، إذا لزم الأمر.
ويمكن الاطلاع أدناه على إجراءات استخلاص الدروس المستفادة:
2.6 استخلاص المعلومات
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بوضع اللمسات الأخيرة على تقرير الفريق الأحمر ويعرض مخرجات التقرير للفريقين الأبيض والأزرق. وفي الوقت نفسه، يجب على الفريق الأزرق إعداد تقرير الفريق الأزرق. ويجب أن يستعرض تقرير الفريق الأزرق الملاحظات من منظور الفريق الأزرق وأن يتضمن التنبيه والأحداث التي تم رصدها أثناء التمرين، وكذلك الإجراءات التي تم البدء فيها ونتائج هذه الإجراءات. كما تقدم تقارير الفريق الأزرق أيضا توصيات الفريق الأزرق للتحسينات.
ويجب على جميع الفرق (أي الأخضر والأبيض والأحمر) التي شاركت بشكل مباشر في اختبار محاكاة الهجمات السيبرانية تقديم التقييمات الشاملة على اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه. أما بالنسبة للفريق الأبيض، فيتعين عليه بدء وجدولة جلسة إعادة مشتركة مع جميع الفرق.
3.6 تمرين الإعادة مع الفريقين الأحمر والأزرق
بعد تسليم تقارير الفريق الأحمر والأزرق، يجب على الفريق الأبيض تنظيم تمرين الإعادة. ويقوم الفريقان الأزرق والأحمر بشكل مشترك خلال تمرين الإعادة باستعادة خطوات تمرين محاكاة الهجمات السيبرانية حسب تسلسله الزمني وكذلك التنبيهات والأحداث وخطوات الهجوم ذات الصلة.
ويهدف تمرين الإعادة إلى شرح ومناقشة كل خطوة وإجراء على حدة لتقييم ما إذا كان التنبيه أو الحدث الذي تم رصده يؤدي إلى الإجراءات المتوقعة. من المهم تحديد ما إذا كانت الإجراءات التي تم اتخاذها أدت إلى النتائج المتوقعة وما إذا كانت الإجراءات قد نُفذت بشكل صحيح أو تستلزم مزيداً من التحسين.
ويجب أن يوفر إعادة تمرين محاكاة الهجمات السيبرانية فهماً عميقاً أكثر شمولاً لأنماط الهجوم المستخدمة، والنضج الحالي الذي وصلت إليه قدرات الكشف والاستجابة، وفعالية الدفاعات أو الضوابط متعددة الطبقات داخل المؤسسة المالية التي خضعت للاختبار.
إضافة إلى ذلك، يمكن للفريق الأبيض تكرار تمرين الإعادة لجماهير مستهدفة محددة داخل المؤسسة المالية. وعليه، يُنصح بشدة بإعادة إجراء تمرين الإعادة لـ:
أ. الموظفون ذوو الصلة في قسم تقنية المعلومات – ويكون نطاق الجلسة متعمق وتقني للغاية من أجل تقديم الأفكار ذات الصلة في الجوانب التقنية والإجرائية.
ملاحظة. في الحالات التي يكون فيها مستوى التفاصيل غير كاف أو لا يمكن عرض خطوات الهجوم، فقد يميل أعضاء قسم تقنية المعلومات إلى التقليل من شأن الهجمات أو الادعاء بأن التمرين نظري بحت.
ب.الإدارة العليا-يجب عقد جلسة إعادة عالية المستوى مع الإدارة العليا بهدف زيادة الوعي وتثقيف الإدارة العليا. ويجب أن تتضمن جلسة الإعادة إعطاء نظرة عامة عن تمرين محاكاة الهجمات السيبرانية وأهدافه، وملخصاً للهجمات والاستجابة التي تمت، وتقييماً لقدرات الكشف الحالية، وتوصيات لزيادة تعزيز الصمود السيبراني.
4.6 وضع خطة التصحيح
يجب على الفريق الأبيض وضع خطة تصحيح بناءً على التوصيات المقدمة من الفريق الأحمر والفريق الأزرق. يجب على الفريق الأبيض:
وضع الملاحظات والتوصيات؛
تحديد التحسينات المتعلقة بقدرات الكشف والاستجابة؛
تحديد المخاطر والأولويات المرتبطة بها.
يشارك الفريق الأبيض خطة التصحيح المتفق عليها والمعتمدة داخلياً مع الفريق الأخضر ويرصد بشكل دوري التقدم المحرز في عملية التصحيح لضمان مراقبة الثغرات المحددة والتخفيف من أثرها.
ملاحظة: يجب على الفريق الأخضر عدم مشاركة أو توزيع تقارير الفريقين الأحمر والأزرق أو تقارير التقييم أو خطة التصحيح ما لم تقدم المؤسسة المالية له إذناً كتابياً بذلك.
وكما ذكرنا آنفاً، فإن الهدف الأساسي لهذا الإطار هو التدريب والتعلم والمشاركة. 5.6 تصحيح الثغرات الأمنية المحددة
عقب الانتهاء من تمرين محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية، (أي من خلال الفريق الأبيض) البدء في تنفيذ أنشطة التصحيح المتفق عليها ومعالجة الثغرات الأمنية المحددة.
ويجب على للمؤسسة المالية أن ترصد التقدم المحرز في الإصلاح الفعلي لضمان تفعيل القدرات المحسنة واستغلالها في الوقت المناسب. ويتعين كذلك على المؤسسة المالية ضمان إطلاع لجنة الأمن السيبراني (وإذا لزم الأمر الإدارة العليا) بشكل دوري بشأن التقدم المحرز في إجراءات التصحيح المخطط لها، وأن تطلب الدعم اللازم إذا ارتأت عدم سير أنشطة التصحيح كما هو متوقع.
6.6 مشاركة الدروس المستفادة
يتمثل أحد الأنشطة المهمة في مرحلة الدروس المستفادة في تقديم تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، والذي يمكن مشاركته مع لجان المؤسسات المالية مثل نظام معلومات استمرارية الأعمال.
كما تسهم مشاركة التقرير الموجز والدروس المستفادة في مساعدة المؤسسات المالية الأخرى على بناء المعرفة والخبرة التي تحتاجها لتحسين صمودها السيبراني.
ملاحظة. وينبغي أن تقتصر مشاركة التقرير والدروس المستفادة على ما يتفق عليه مع المجتمع المغلق (أي العناوين المحددة) وضمن حدود بروتوكول الاتصال المتفق عليه. ومن خلال تنفيذ الدروس المستفادة داخل المؤسسات المالية ذاتها على مستوى القطاع، سوف يتحسن الصمود السيبراني للقطاع المالي في المملكة العربية السعودية بشكل عام، بغض النظر عما إذا كانت هذه المؤسسات المالية أساسية في القطاع أم لا.
7.6 تعزيز إطار عمل محاكاة الهجمات السيبرانية
يقوم البنك المركزي وفقاً للتقييمات بمراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي لتمارين محاكاة الهجمات السيبرانية في المستقبل.
الملحق (أ)-متطلبات مزود أعمال محاكاة الهجمات السيبرانية
يجب مراعاة المتطلبات التالية عند اختيار والتعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
خبرات سابقة في مجال محاكاة الهجمات السيبرانية 1. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات سمعته الراسخة وتاريخه في مجال وأخلاقيات العمل/المهنة (على سبيل المثال، أن يكون لديه تاريخ عمل جيد، وحصوله على تقييم أداء جيد من كل من العملاء ومقدمي الخدمات، وسجل مالي موثوق به وتاريخ أداء مميز)؛
2. عدد أوراق الاعتماد والمراجع (من مؤسسات كبرى) لاختبارات محاكاة الهجمات السيبرانية المنفذة بنجاح؛
3. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على الاستشهاد بملاحظات مستقلة حول جودة العمل المنجز وسلوك الموظفين المعنيين (الاعتماد الداخلي)؛
4. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تقارير (مع إخفاء الأسماء حفاظاً على الخصوصية) عن الاختبارات السابقة، ويفضل أن يكون ذلك في نفس مجال العمل أو مجال مشابه والاختبارات المماثلة؛
5. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات نقاط الضعف أو الثغرات الموجودة في بيئات أخرى مماثلة؛
6. يجب على مزود أعمال محاكاة الهجمات السيبرانية إثبات شهادات وخبرات الموظفين المشاركين في اختبار (اختبارات) محاكاة الهجمات السيبرانية -انظر الجدول أدناه لمزيد من التفاصيل؛
7. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قد شارك في فعاليات متخصصة في هذا القطاع (كتلك التي تقيمها مؤتمرات بلاك هات(Blackhat) أو مؤتمر آر إس إيه(RSA) وغيرهما). يرجى العلم بأن هذا الشرط اختياري ولكن، حال استيفاءه، سيتم اعتباره مرجعاً وخبرة إضافية. لديه أسلوب ومنهجية محددة وواضحة، ويسري ذلك على العمليات، والحوكمة، وضمان الجودة وإدارة المخاطر 1. أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية إجراءات محددة بوضوح لاختبارات محاكاة الهجمات السيبرانية والعمليات ذات الصلة؛ ويتم في هذه النقطة توضيح الأنشطة والمتطلبات المتعلقة بمرحلة الإعداد ووضع السيناريو ومراحل التنفيذ والدروس المستفادة؛
2. أن يكون العنصر الرئيسي في منهج مزود أعمال محاكاة الهجمات السيبرانية هو توفير تجربة التعلم للفريق الأزرق والحرص على عقد جلسة تقييم أداء لتحسين معرفة الموظفين والإدارات المعنية وإنضاج قدرات الرصد والاستجابة لدى الأمن السيبراني واستعادة العمليات وتدابير التحكم وعند الاقتضاء تدابير الوقاية (مثل تقوية إجراءات الأمان)؛
3. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على المساعدة في إنشاء قاعدة معرفية والحفاظ عليها بحيث يمكن مشاركة نقاط الضعف المعروفة والدروس المستفادة وتحسينها داخل القطاع المالي؛
4. أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية هيكل واضح لضمان الجودة والتصعيد لعمليات محاكاة الهجمات السيبرانية التي يقوم بها؛
5. أن تكون جميع الأنشطة التي يقوم بها مزود أعمال محاكاة الهجمات السيبرانية قابلة للنسخ (بما في ذلك تسجيل كافة الأنشطة)؛
6. يجب أن يلتزم مزود أعمال محاكاة الهجمات السيبرانية بمدونة سلوك رسمية يشرف عليها طرف داخلي/ خارجي؛
7. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أنه يقدم خدمات عالية الجودة، بما في ذلك منهجيات العمل والأدوات والتقنيات ومصادر المعلومات التي سيتم استخدامها كجزء من عملية محاكاة الهجمات السيبرانية والاختبار؛
8. أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أن نتائج الاختبارات التي يقوم بها والإبلاغ عنها وتخزينها والتخلص منها بطريقة لا تعرض المؤسسة المالية للخطر؛
9. على مزود أعمال محاكاة الهجمات السيبرانية التأكد من عدم حدوث تسرب للبيانات من أجهزة الحاسوب المحمولة والأنظمة التي تخضع للاختبار وأن جميع البيانات التي تم الحصول عليها يتم تخزينها بشكل آمن أثناء التمرين ومن ثم يتم التخلص منها بشكل آمن بعد انتهاءه؛
10. يجب تقييد أي تسرب للبيانات (متفق عليه) من قبل مزود أعمال محاكاة الهجمات السيبرانية بالقدر المطلوب فقط لتجريب سيناريو الهجوم. يجب تخزين هذه البيانات داخلياً وبتنسيق مشفر حصراً (وليس لدى أي من خدمات التخزين السحابي).
11. يجب على مزود أعمال محاكاة الهجمات السيبرانية ضمان خصوصية الموظفين داخل المؤسسة المالية؛
12. يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تأكيد مكتوب بأن الأنشطة والمخاطر المرتبطة باختبار محاكاة الهجمات السيبرانية وأن المعلومات السرية ستتم معالجتها وتنفيذها بشكل مناسب بما يتماشى مع متطلبات الأمان والامتثال لدى المؤسسة المالية؛
13. يجب الاتفاق بشكل متبادل بين مزود أعمال محاكاة الهجمات السيبرانية والفريق الأبيض على خطاب التفويض بما في ذلك شروط عدم الإفصاح لضمان تغطية المسؤولية المحتملة أو المشكلات القانونية. ويمكن لمزود أعمال محاكاة الهجمات السيبرانية العمل على منح واحد أو أكثر من الاعتمادات المقترحة التالية لمديريه ومختبريه المشاركين في تمرين محاكاة الهجمات السيبرانية. ويعد التحقق من اعتمادات الموظفين ومستوى الخبرة العملية أمراً أساسياً عند اختيار أو التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
الاعتماد(ات) الموصى بها لموظفي مزود أعمال محاكاة الهجمات السيبرانية
الدور
المعهد
الاعتماد
المدراء
جمعية تدقيق ومراقبة نظم المعلومات (ISACA)
مدقق نظم معلومات معتمد
مدير أمن معلومات معتمد
الأمن السيبراني نيكسس (CSX)
أي إس سي سكويرد (ISC)2
محترف أمن نظم المعلومات المعتمد
ممارس معتمد لأمن النظم
مجلس مختبري الأمن الأخلاقي المسجلين (CREST)
مدير هجوم محاكاة معتمد من مجلس مختبري الأمن الأخلاقي المسجلين
مدير استخبارات تهديد معتمد من مجلس مختبري الأمن الأخلاقي المسجلين - اختياري
المختبرون
معهد سان - شهادة ضمان المعلومات العالمية (GIAC)
مختبر حاصل على شهادة ضمان المعلومات العالمية
مختبر اختراق تطبيقات الإنترنت حاصل على شهادة ضمان المعلومات العالمية
باحث في الثغرات ومسؤول اختبار اختراق متقدم حاصل على شهادة ضمان المعلومات العالمية
الأمن الهجومي
محترف معتمد في الأمن الهجومي
محترف في الأمن الهجومي للشبكات اللاسلكية
خبير معتمد في مجال الأمن الهجومي
خبير الأمني الهجومي في استغلال الثغرات
خبير الأمني الهجومي للمواقع
مجلس مختبري الأمن الأخلاقي المسجلين (CREST)
متخصص معتمد من مجلس مختبري الأمن الأخلاقي المسجلين في محاكاة الهجوم
محلل مسجل لدى مجلس مختبري الأمن الأخلاقي المسجلين لاستخبارات التهديدات – اختياري
الملحق (ب)-متطلبات الإبلاغ
يجب مراعاة المحتوى التالي عند صياغة التقارير وتقديم النتائج.
ملاحظة. لا يجب تقديم جميع التقارير إلا عبر قنوات اتصال آمنة ومشاركتها بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري). تقرير تقييم الفريق الأحمر (RTER)
في نهاية تمرين محاكاة الهجمات السيبرانية، سيقوم مزود أعمال محاكاة الهجمات السيبرانية بصياغة تقرير اختبار التقييم، والذي يشتمل على تقييم مرونة الأمن السيبراني للمؤسسة المالية ضد هجمات الأمن السيبراني المنفذة. ويتضمن التقرير مخططاً لكيفية تنفيذ سيناريوهات الهجوم. ويتم إصدار هذا التقرير للفريق الأبيض والفريق الأزرق والفريق الأخضر.
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير تقييم الفريق الأحمر (RTER) - مقدمة
- ملخص تنفيذي
- النطاق
- نطاق اختبار محاكاة الهجمات السيبرانية المتفق عليه
- معلومات أساسية عن الأصول (المعلوماتية) والوظائف الحرجة المستهدفة المتفق عليها
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- البنود الخارجة عن النطاق بشكل واضح
- الإطار الرقابي - المراجع
- إطار عمل محاكاة الهجمات السيبرانية الأخلاقية بالمؤسسات المالية
- مشروع أمن تطبيقات الويب المفتوحة (أفضل 10)
- أخرى
- منهجية التنفيذ
- إدراج جميع مراحل الهجوم والإجراءات التي يقوم بها الفريق الأحمر خلال اختبار محاكاة الهجمات السيبرانية
- سيناريو تنفيذ كل هجوم، وكيف ومتى وأين (أي تسلسلات الهجوم السيبراني التي تم استغلالها، والتي تم تلخيصها في شكل مخططات متجهات الهجوم)
- شرح منهجية سلسلة الهجوم السيبراني والتكتيكات والأساليب والإجراءات التي تم التخطيط لها وتنفيذها أخيراً
- الجدول الزمني للأنشطة المنجزة (التواريخ والوقت)
- الأدوات أو البرامج والأساليب المحددة التي تم استخدامها أثناء سيناريوهات الهجوم
- منهجية تقييم المخاطر بالنسبة للملاحظات
- ملاحظات
- إدراج الثغرات التي تم رصدها ونقاط الضعف في الأحداث التي وقعت
- الملاحظات التي تركز على الأفراد والعمليات والتكنولوجيا
- الملاحظات التي تركز على الرصد والاستجابة والتعافي
- وصف المخاطر المقترحة وتقييم المخاطر لكل الملاحظات
- توصيات بشأن التحسينات المقترحة
الاستنتاجات
- استنتاج شامل للمرونة السيبرانية للمؤسسة المالية
- استنتاجات مفصلة لكل سيناريو هجوم يتم تنفيذه
- استنتاج لكل أصول معلوماتية أو وظيفة حرجة متفق عليها
الملاحق
- قائمة الفرق المشاركة وأعضاء الفريق
- لقطات تسجيل الشاشة مع الأدلة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري
تقرير الفريق الأزرق
بعد توزيع تقرير تقييم الفريق الأحمر، يقوم الفريق الأزرق بإعداد تقريره الخاص. ويجب أن يستند هذا التقرير إلى تنبيهات المراقبة والرصد والاستجابة وأنشطة الاستعادة وخطوات العملية التي اتخذها الفريق الأزرق أثناء التمرين. ويجب أن يتضمن التقرير أساليب وقدرات الدفاع والمراقبة التي يستخدمها الفريق الأزرق في الوقت الحالي لرصد هجمات الأمن السيبراني (مثل الأحداث والتنبيهات والحوادث). ويجب أن يتضمن التقرير كذلك ملاحظات الفريق الأزرق فيما يتعلق بالقيود أو نقاط الضعف التي تم رصدها.
ويمكن الاطلاع أدناه على مخطط التقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير الفريق الأزرق - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن التقرير
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- مقدمة عن وضع التهديد الحالي في القطاع المالي وتوجهات الهجمات السيبرانية
- شرح أساليب التعامل مع الحوادث الحالية والاستجابة للحوادث وإدارة الأزمات فيما يتعلق بالحوادث السيبرانية داخل المؤسسة المالية
- تدفق العمليات
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة
- الخط الزمني للأنشطة التي تم رصدها أو التنبيهات الصادرة (مقابل تمرين وأنشطة محاكاة الهجمات السيبرانية المنجزة)
- ملاحظات لكل سيناريو هجوم تم تنفيذه (وفقاً للترتيب لزمني)
- الإخطار (الإخطارات) الأول(ى)
- أدوات وأساليب المراقبة والدفاع المستخدمة
- خطة الاستجابة للحوادث والخطوات التي تم تنفيذها (على سبيل المثال: هل تم إشراك قسم إدارة الأزمات وما هي الملاحظات؟)
- إشراك الإدارات الأخرى (مثل مكتب المساعدة، الرئيس التنفيذي لأمن المعلومات، مدير المعلومات، الموارد البشرية، القانونية، العلاقات العامة)
- ما هي النتائج التي أبلغ عنها الفريق الأحمر
- ما هي الخطوات التي سارت بشكل جيد أو الخطوات التي تحتاج إلى تحسين
- نتائج تحليل السبب الجذري الذي تم تنفيذه
- التوصيات أو مجالات التحسين
- توصيات تركز على الأشخاص والعمليات والتقنية،
- توصيات تركز على الرصد والاستجابة والتعافي
- تصنيف الأولوية المقترح لكل توصية
- خارطة طريق للتحسينات المقترحة
- المدخلات المقترحة لحملات التوعية الأمنية السيبرانية القادمة
- الاستنتاجات
- استنتاج شامل لحالة المرونة السيبرانية الحالية للمؤسسة المالية
- الاستنتاجات المتعلقة بالتحسينات المطلوبة والمقترحة (من كل من الفريق الأزرق والأحمر)
- استنتاجات مفصلة عن كل سيناريو هجوم منفذ وحالة القدرات الحالية للفريق الأزرق
الملاحق
- قائمة الفرق المشاركة وأعضاء الفريق
- لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري
خطة التصحيح
يجب على الفريق الأبيض صياغة خطة تصحيح تستند إلى تقرير تقييم الفريق الأحمر وتقرير الفريق الأزرق. يجب أن توفر خطة التصحيح جوانب واضحة للتحسينات والأولويات وخارطة طريق لكيفية ووقت تحسين الجانب الوقائي (تقوية الأنظمة) والرصد والاستجابة واستعادة القدرات داخل المؤسسة المالية. ويتمثل الجانب الأهم في هذا الشأن في رصد حالة وتقدم خطة التصحيح والإبلاغ عنها بشكل دوري إلى لجنة الأمن السيبراني التابعة للمؤسسة المالية وكذلك الفريق الأخضر.
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
خطة التصحيح - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن خطة التصحيح
- هدف وغايات خطة التصحيح
- الجمهور المستهدف وأصحاب المصلحة
- التوصيات المتفق عليها ومجالات التحسين المقدمة من الفريقين الأحمر والأزرق
- توصيات متفق عليها تركز على الأشخاص والعمليات والتقنية
- توصيات متفق عليها تركز على (الوقاية) والرصد والاستجابة والتعافي
- تصنيف الأولوية المتفق عليه لكل توصية
- قائمة أولويات مجالات التحسين المتفق عليها
- خطة التصحيح المتفق عليها
- ماذا ومتى وأين وكيف
- نظرة عامة على صناع القرار (على سبيل المثال، إشراك إدارة العمل)
- تواريخ الاستحقاق المتفق عليها
- خارطة طريق للتحسينات المتفق عليها ذات الأولوية
- دورية إطلاع لجنة الأمن السيبراني للمؤسسة المالية والفريق الأخضر
- تنظيم إدارة المشاريع
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة
الملاحق
- قائمة الإدارات المعنية والفرق وأعضاء الفريق
- لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف خطة التصحيح على النحو التالي: سرية / للاستخدام الداخلي فقط
تقرير موجز عن اختبار محاكاة الهجمات السيبرانية
عند الانتهاء من خطة التصحيح، يقوم الفريق الأبيض بإعداد تقرير اختبار موجز (مع إخفاء التفاصيل حفاظاً على السرية) ومشاركته من خلال البنك المركزي(أي مدير اختبار الفريق الأخضر) مع جميع لجان المؤسسات المالية ذات الصلة (مثل اللجنة المصرفية لأمن المعلومات). يجب أن يغطي تقرير الاختبار الموجز وضع التهديد الحالي للقطاع المالي ونتائج اختبار محاكاة الهجمات السيبرانية ونقاط الضعف أو الثغرات التي تم رصدها أثناء اختبار محاكاة الهجمات السيبرانية، علاوة على الدروس المستفادة.
يجب تقديم هذا التقرير فقط عبر قنوات اتصال آمنة ومشاركته بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري).
ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):
تقرير موجز عن اختبار محاكاة الهجمات السيبرانية - مقدمة
- ملخص تنفيذي
- معلومات أساسية عن خطة التصحيح
- معلومات أساسية عن اختبار محاكاة الهجمات السيبرانية المنفذ
- وضع التهديد الحالي للقطاع المالي وتوجهات الهجمات السيبرانية الأخيرة
- الخطوط العريضة لكل سيناريو هجوم منفذ
- إدراج أهم نقاط الضعف والثغرات المحددة ذات الصلة
- تركز معظم الملاحظات ذات الصلة على الأشخاص والعمليات والتقنية
- تركز معظم الملاحظات ذات الصلة على الرصد والاستجابة والتعافي
- الدروس المستفادة
- اقتراحات للقطاع المالي
توصيات لتعديل إطار عمل محاكاة الهجمات السيبرانية في المؤسسات المالية السعودية
يجب تصنيف خطة ملخص اختبار محاكاة الهجمات السيبرانية على النحو التالي: سرية للغاية (أي على أساس الحاجة فقط وبشكل سري)
الملحق (ج)- قائمة المصطلحات
المدة الوصف المرونة القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة. الهجمات السيبرانية هجوم، عبر الفضاء السيبراني، يستهدف استخدام المؤسسة للفضاء السيبراني لغرض تعطيل أو إعطاب أو تدمير أو التحكم بشكل ضار في بيئة/البنية التحتية لنظام الحوسبة؛ أو تدمير سلامة البيانات أو سرقة المعلومات الخاضعة للرقابة. المرجع (NIST SP 800-39 (CNSSI 4009) ) المؤسسة المالية المؤسسة -المؤسسات المالية التابعة للبنك المركزي. F.E.E.R. إطار عمل محاكاة الهجمات السيبرانية للمؤسسات المالية المملكة المملكة العربية السعودية محاكاة الهجمات السيبرانية تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام. البنك المركزي البنك المركزي العربي السعودي* اختبار الاختراق اختبار الأمان الذي يحاكي فيه المقيمون هجمات العالم الحقيقي في محاولة لتحديد طرق التحايل على ميزات الأمان لتطبيق أو نظام أو شبكة ما. غالبا ما يتضمن اختبار الاختراق إطلاق هجمات حقيقية على أنظمة وبيانات فعلية، باستخدام نفس الأدوات والتقنيات المستخدمة من قبل المهاجمين الفعليين. تتضمن معظم اختبارات الاختراق البحث عن مجموعات من الثغرات الأمنية في نظام واحد أو أنظمة متعددة، بحيث يتم استغلالها للوصول إلى قدر أكبر مما يمكن تحقيقه من خلال ثغرة أمنية واحدة.
المرجع (NIST SP 800-115)
التكتيكات والأساليب والإجراءات التكتيكات والأساليب والإجراءات القراصنة الأخلاقيون خبير يقوم بتنفيذ اختبار الاختراق. راجع 'اختبار الاختراق'. خطاب التفويض خطاب التفويض اللجنة المصرفية لأمن المعلومات اللجنة المصرفية لأمن المعلومات الرئيس التنفيذي لأمن المعلومات الرئيس التنفيذي لأمن المعلومات .مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف. الهندسة الاجتماعية مصطلح عام للمهاجمين الذين يحاولون خداع الأشخاص للكشف عن معلومات حساسة أو تنفيذ إجراءات بعينها، مثل تحميل وتنفيذ الملفات التي تبدو وكأنها ملفات عادية ولكنها في الواقع ضارة.
المرجع: (NIST SP 800-114 )
الفريق الأزرق مجموعة من الأفراد يقومون بتنفيذ تقييمات لثغرات الشبكة التشغيلية ويقدمون وسائل لتخفيف آثار الثغرات للعملاء الراغبين في إجراء مراجعة فنية مستقلة لوضع أمن الشبكة الخاصة بهم. ويحدد الفريق الأزرق التهديدات والمخاطر الأمنية في بيئة التشغيل ويحلل بالتعاون مع العميل بيئة الشبكة وحالة الاستعداد الأمني الحالية. وبناء على نتائج الفريق الأزرق وخبرته، يقدم الفريق توصيات يمكن دمجها في الحلول الشاملة لأمن المؤسسة وتحسين استعداد العميل في جانب الأمن السيبراني. في كثير من الأحيان تتم الاستعانة بالفريق الأزرق بشكل تلقائي أو قبل الاستعانة بالفريق الأحمر للتأكد من أن شبكات العميل آمنة قدر الإمكان قبل أن يقوم الفريق الأحمر باختبار الأنظمة.
المرجع: (CNSSI 4009-2015 )
مركز العمليات الأمنية مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة. تسلسل الهجوم السيبراني مفهوم تصوري يستخدم لهيكلة هجوم سيبراني. الفريق الأبيض المجموعة المسؤولة عن ترتيب الاشتباك بين فريق أحمر من المهاجمين الوهميين وفريق أزرق من المدافعين الفعليين عن استخدام مؤسستهم لأنظمة المعلومات. ويعمل الفريق الأبيض كقاضي أثناء التمرين، ويفرض قواعد التمرين ويراقبه، ويسجل نقاط كل فريق، ويحل أي مشاكل قد تنشأ، ويتعامل مع جميع طلبات أو استفسارات المعلومات، ويضمن سير المنافسة بشكل عادل دون التسبب في مشاكل تشغيلية لمهمة المدافع. ويساعد الفريق الأبيض في وضع قواعد الاشتباك ومقاييس تقييم النتائج وإجراءات توفير الأمان التشغيلي للاشتباك. وعادة ما يتحمل الفريق الأبيض مسؤولية استخلاص الدروس المستفادة، وإجراء تقييم ما بعد الاختبار وإصدار النتائج.
المرجع: (CNSSI 4009-2015 )
الفريق الأخضر يتم توفير الفريق الأخضر من قبل الفريق السيبراني بالقطاع المالي في البنك المركزي. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويحتفظ الفريق الأخضر كذلك بقائمة قصيرة من مزودي خدمات محاكاة الهجمات السيبرانية المحتملين ويوفر استخبارات التهديدات التي تواجه القطاع المالي. مدير الاختبار مدير الاختبار هو المسؤول عن توجيه الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. المخاطرة مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) برمجية الاستغلال جزء من التعليمات البرمجية أو أمر يهدف إلى تنفيذ أنشطة ضارة على النظام، من خلال الاستفادة من الثغرة الأمنية. الثغرة الأمنية ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) اتفاقية عدم الإفصاح اتفاقية عدم الإفصاح استخبارات التهديدات استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-GARTNER) مزود أعمال محاكاة الهجمات السيبرانية مزود أعمال محاكاة الهجمات السيبرانية التوفر ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) نيست (NIST) المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (www.nist.gov) حادثة حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية) * حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.