تم ترقيم متطلبات التحكم ترقيمًا فريدًا في جميع أنحاء المتطلبات الأساسية. يتم ترقيم متطلبات التحكم وفق نظام الترقيم التالي:
 

يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.

يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية).

يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية.

يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو الحالي، بما في ذلك على الأقل:

أ. 

تقييم مخاطر الأمن السيبراني والاحتيال التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و

ب. 

اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسمم).

يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل:

أ. 

تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛

ب. 

إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و

ج. 

استخدام تقنيات عدم التخزين المؤقت.

6.1.3

يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.

راجع إطار (أطر) عمل البنك المركزي الأخرى

الدليل التنظيمي لأمن المعلومات في القطاع المالي

- 1.1.3 حوكمة الأمن السيبراني

- 3.1.3 سياسة الأمن السيبراني

- 1.2.3 إدارة مخاطر الأمن السيبراني

معرّف التحكم

1.2.3

يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها.

2.2.3

يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات.

3.2.3.

يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي:

أ. 

تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛

ب. 

التوفر.

4.2.3

يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.

5.2.3

يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات.

6.2.3

يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد تغيير رئيسي/ حَرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني.

7.2.3

يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية.

8.2.3

إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة")، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق.

9.2.3

يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.

10.2.3

يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر:

الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛

تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛

التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و

11.2.3

يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى.

12.2.3

يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث.

13.2.3

يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.

14.2.3

يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب.

15.2.3

يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية.

16.2.3

يجب على الكيانات إبلاغ البنك المركزي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك:

أ. 

الأمن السيبراني؛

ب. 

الاحتيال؛

ج. 

جميع الأحداث الفوضوية.

راجع إطار (أطر) عمل البنك المركزي الأخرى

الدليل التنظيمي لأمن المعلومات في القطاع المالي

- 5.3.3 إدارة الهوية والوصول

- 6.3.3 أمن التطبيقات

- 7.3.3 إدارة التغيير

- 8.3.3 أمن البنية التحتية

- 9.3.3 التشفير

- 13.3.3 الخدمات المصرفية الإلكترونية

- 3.3.14 إدارة أحداث الأمن السيبراني

- 15.3.3 إدارة حوادث الأمن السيبراني

- 17.3.3 إدارة الثغرات الأمنية

معرّف التحكم

1.3.3

يجب أن يتم تحديد خطة استمرارية الأعمال (BCP)وخطة التعافي من الكوارث(DRP) والموافقة عليها والإبلاغ بها وتنفيذها ومراجعتها بشكل دوري لتمكين الكيانات من الاستمرار في تقديم خدماتها الحيوية بمستوى مقبول ومحدد مسبقًا.

3.3.2.

يجب على الكيانات تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:

أ. 

المتطلبات القانونية والتنظيمية؛

ب. 

البيانات الحرجة وبيانات العملاء؛

ج. 

متطلبات العمل؛

د. 

الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛

هـ. 

حماية البيانات السرية المخزنة في الوسائط الاحتياطية من خلال تطبيق تقنيات التشفير؛

و. 

تخزين وسائط النسخ الاحتياطي دون الاتصال بالإنترنت أو في موقع خارج الموقع؛ و

ز. 

التدمير الآمن للبيانات الاحتياطية.

ح. 

اختبارات الاستعادة.

راجع إطار (أطر) عمل البنك المركزي الأخرى

إطار عمل إدارة استمرارية الأعمال

- 5.2 خطة استمرارية الأعمال

- 2.6 خطة التعافي من كوارث تقنية المعلومات (DRP)

- 7.2 المرونة السيبرانية

المدة

إدارة الوصول

إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.

التدقيق

المراجعة والفحص المستقل للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، لضمان الامتثال للسياسات والإجراءات التشغيلية المعمول بها.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

التوفر

ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق.

المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية

النسخة الاحتياطية

الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.

استمرارية الأعمال

قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي.

المصدر: ISO 22301:2012 الأمن المجتمعي - أنظمة إدارة استمرارية الأعمال

إدارة استمرارية الأعمال

عملية الإدارة الشاملة التي تحدد التهديدات المحتملة للمؤسسة والتأثيرات التي قد تسببها تلك التهديدات على العمليات التجارية، في حال تحققها، والتي توفر المتطلبات الأساسية لبناء الصمود المؤسسي مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين وسمعتها وعلامتها التجارية وأنشطتها التي تخلق القيمة.

المصدر: ISO 22301:2012 – أنظمة إدارة استمرارية الأعمال – المتطلبات

إدارة التغيير

التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.

التشفير

مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

المخاطر السيبرانية

خطر الخسارة المالية أو التعطل التشغيلي أو الضرر الناتج عن فشل التقنيات الرقمية المستخدمة للوظائف المعلوماتية و/أو التشغيلية والتي يتم إدخالها إلى نظام التصنيع عبر وسائل إلكترونية نتيجة الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير لنظام التصنيع.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية.

الأمن السيبراني

يُعرّف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب والممارسات الفضلى والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات من التهديدات الداخلية والخارجية.

حدث الأمن السيبراني

أي حدث يمكن ملاحظته في نظام أو شبكة معلومات يؤدي أو قد يؤدي إلى وصول غير مصرح به أو معالجة أو إفساد أو تعديل أو نقل أو إفشاء للبيانات و/أو المعلومات أو (ب) انتهاك لسياسة أمنية صريحة أو مطبقة للمؤسسة.

حوكمة الأمن السيبراني

مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة بشكل مسؤول.

حادث الأمن السيبراني

أي حدث (1) يعرض للخطر الفعلي أو الوشيك سلامة أو سرية أو توافر المعلومات أو نظام المعلومات للخطر دون سلطة قانونية؛ أو (2) يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك القانون أو السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

إدارة حوادث الأمن السيبراني

رصد واكتشاف الأحداث الأمنية على نظام المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.

سياسة الأمن السيبراني

مجموعة من القواعد التي تحكم جميع جوانب سلوك النظام وعناصر النظام ذات الصلة بالأمان. ملاحظة 1: تشمل عناصر النظام العناصر التقنية والآلية والبشرية. ملاحظة 2: يمكن ذكر القواعد على مستويات عالية جدًا (على سبيل المثال، سياسة مؤسسية تحدد السلوك المقبول للموظفين في أداء مهامهم/وظائف العمل) أو على مستويات منخفضة جدًا (على سبيل المثال، سياسة نظام التشغيل التي تحدد السلوك المقبول للعمليات التنفيذية واستخدام الموارد من قبل تلك العمليات)

المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية

تقييم مخاطر الأمن السيبراني

عملية تحديد المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة، الناتجة عن تشغيل نظام المعلومات. ويتضمن جزء من إدارة المخاطر تحليلات للتهديدات والثغرات الأمنية، ويأخذ في الاعتبار وسائل التخفيف التي توفرها الضوابط الأمنية المخطط لها أو الموجودة بالفعل

المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية

إدارة مخاطر الأمن السيبراني

عملية إدارة المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد الناتجة عن تشغيل نظام المعلومات، وتشمل: (1) إجراء تقييم المخاطر؛ (2) تطبيق استراتيجية تخفيف المخاطر؛ و (3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

استراتيجية الأمن السيبراني

خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.

تهديد الأمن السيبراني

أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

خطة التعافي من الكوارث

البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.

رئيس الأمن السيبراني

يمكن أن يشير رئيس الأمن السيبراني إلى رئيس أمن المعلومات أو الرئيس التنفيذي لأمن المعلومات أو أي لقب آخر يُطلق على المدير الأعلى المسؤول عن وظيفة وعمليات الأمن السيبراني.

خطة بديلة

إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.

موثقة رسميا

الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.

إدارة الهوية

عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وتتضمن المؤسسات المدارة عادةً المستخدمين وموارد الأجهزة والشبكة وحتى التطبيقات.

خطة التعافي من الكوارث

يعد التعافي من الكوارث جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بمرونة أو تعافي أو استمرار البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية.

تغيير كبير

أي تغيير في تكوين النظام أو البيئة أو محتوى المعلومات أو الوظيفة أو المستخدمين الذين لديه القدرة على تغيير المخاطر المفروضة على عملياته المستمرة.

المصدر: NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الأساسية يتم أيضًا تضمين التغييرات الحيوية في مفهوم التغييرات الكبيرة.

البرمجيات الخبيثة

البرمجيات أو البرامج الثابتة التي تهدف إلى تنفيذ عملية غير مصرح بها من شأنها أن تؤثر سلباً على سرية نظام المعلومات أو سلامته أو توافره. فيروس أو فيروس متنقل أو حصان طروادة أو أي كيان آخر قائم على التعليمات البرمجية يصيب المضيف. تعد برامج التجسس وبعض أشكال برامج الإعلانات المتسللة أيضًا أمثلة على التعليمات البرمجية الضارة.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

اختبار الاختراق

منهجية اختبار يحاول فيها المقيّمون، باستخدام جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، التعليمات البرمجية المصدرية، الكتيبات الإرشادية) والعمل تحت قيود محددة، التحايل على ميزات الأمان في نظام المعلومات.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

دوريا 

بهذا المصطلح، لا ينوي البنك المركزي تحديد فترة زمنية افتراضية. وتتحمل كل جهة مسؤولية تحديد هذه الفترة بناءً على نهجها القائم على المخاطر. ويمكن ترجمة نفس المصطلح المعتمد في متطلبات التحكم المختلفة إلى فترات زمنية مختلفة بواسطة المؤسسة المالية.

التعافي

إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.

المرونة

القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.

المخاطرة

مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

سجل المخاطر

سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.

تقنية التدريع

التدريع" عملية تشويش على التعليمات البرمجية الثنائية للتطبيق، مما يجعل من الصعب على المخترقين أن يقوموا بهندسة عكسية.

إستراتيجية

راجع "استراتيجية الأمن السيبراني".

إدارة المعلومات الأمنية والأحداث

أداة إدارة المعلومات الأمنية والأحداث تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

دورة حياة تطوير النظام

تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

تهديد

راجع "تهديد الأمن السيبراني".

مشهد التهديد

مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA

الثغرة الأمنية

نقطة الضعف في نظام المعلومات أو إجراءات أمن النظام أو الضوابط الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها من قبل مصدر تهديد.

المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية

إدارة الثغرات الأمنية

إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "الثغرات الأمنية".