3.2 عمليات وتقنية الأمن السيبراني
| التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 |
Effective from Jan 01 2022 - Dec 31 2021
To view other versions open the versions tab on the right
معرّف التحكم | وصف متطلبات التحكم | |||||
3.2.1. | يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها. | |||||
3.2.2. | يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات. | |||||
3.2.3. | يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي: | |||||
| أ. | تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛ | ||||
| ب. | التوفر. | ||||
3.2.4. | يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة. | |||||
3.2.5. | يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات. | |||||
3.2.6. | يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد التغيير الرئيسي/الحرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني. | |||||
3.2.7. | يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية. | |||||
3.2.8. | إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة"(، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق. | |||||
3.2.9. | يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي. | |||||
3.2.10. | يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر: | |||||
| أ. | الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛ | |||||
| ب. | تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛ | |||||
| ج. | التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و | |||||
| د. | في حالة الأجهزة المحمولة: | |||||
| 1. | فصل بيانات الكيانات وتشفيرها؛ و | |||||
| 2. | المسح الآمن لبيانات الكيانات المخزنة في حالات فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع عملية التخلص الآمن من أصول المعلومات. | |||||
3.2.11. | يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى. | |||||
3.2.12. | يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث. | |||||
3.2.13. | يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور. | |||||
3.2.14. | يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب. | |||||
3.2.15. | يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية. | |||||
3.2.16. | يجب على الكيانات إبلاغ ساما عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك: | |||||
| أ. | الأمن السيبراني؛ | ||||
| ب. | الاحتيال؛ | ||||
| ج. | جميع الأحداث الفوضوية. | ||||
راجع إطار (أطر) عمل ساما الأخرى | ||||||
- 3.3.14 إدارة أحداث الأمن السيبراني | ||||||