تقرير تقييم الفريق الأحمر (RTER)

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

تقرير تقييم الفريق الأحمر (RTER)

الرقم: 562240000067

التاريخ (م): 2019/5/13 | التاريخ (هـ): 1440/9/9

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

Effective from 2019-05-13 - May 12 2019
To view other versions open the versions tab on the right

في نهاية تمرين محاكاة الهجمات السيبرانية، سيقوم مزود أعمال محاكاة الهجمات السيبرانية بصياغة تقرير اختبار التقييم، والذي يشتمل على تقييم لصمود الأمن السيبراني للمؤسسة المالية ضد هجمات الأمن السيبراني المنفذة. ويتضمن التقرير مخططاً لكيفية تنفيذ سيناريوهات الهجوم. ويتم إصدار هذا التقرير للفريق الأبيض والفريق الأزرق والفريق الأخضر.

ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):

تقرير تقييم الفريق الأحمر (RTER)

مقدمة
ملخص تنفيذي
النطاق
- نطاق اختبار محاكاة الهجمات السيبرانية المتفق عليه
- معلومات أساسية عن الأصول (المعلوماتية) والوظائف الحرجة المستهدفة المتفق عليها
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- البنود الخارجة عن النطاق بشكل واضح
الإطار الرقابي - المراجع
- إطار عمل محاكاة الهجمات السيبرانية الأخلاقية بالمؤسسات المالية
- مشروع أمن تطبيقات الويب المفتوحة (أفضل 10)
- أخرى
منهجية التنفيذ
- إدراج جميع مراحل الهجوم والإجراءات التي يقوم بها الفريق الأحمر خلال اختبار محاكاة الهجمات السيبرانية
- سيناريو تنفيذ كل هجوم، وكيف ومتى وأين (أي تسلسلات الهجوم السيبراني التي تم استغلالها، والتي تم تلخيصها في شكل مخططات متجهات الهجوم)
- شرح منهجية سلسلة الهجوم السيبراني والتكتيكات والأساليب والإجراءات التي تم التخطيط لها وتنفيذها أخيراً
- الجدول الزمني للأنشطة المنجزة (التواريخ والوقت)
- الأدوات أو البرامج والأساليب المحددة التي تم استخدامها أثناء سيناريوهات الهجوم
- منهجية تقييم المخاطر بالنسبة للملاحظات
ملاحظات
- إدراج الثغرات التي تم رصدها ونقاط الضعف في الأحداث التي وقعت
- الملاحظات التي تركز على الأفراد والعمليات والتكنولوجيا
- الملاحظات التي تركز على الرصد والاستجابة والتعافي
- وصف المخاطر المقترحة وتقييم المخاطر لكل الملاحظات
- توصيات بشأن التحسينات المقترحة
الاستنتاجات
- استنتاج شامل للصمود السيبراني للمؤسسة المالية
- استنتاجات مفصلة لكل سيناريو هجوم يتم تنفيذه
- استنتاج لكل أصول معلوماتية أو وظيفة حرجة متفق عليها

الملاحق

قائمة الفرق المشاركة وأعضاء الفريق
لقطات تسجيل الشاشة مع الأدلة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري