📚 قاعدة المعرفة

يتطلب إطار ساما من المؤسسات تنفيذ برنامج قوي لإدارة مخاطر الأطراف الثالثة. تشمل الخطوات: إنشاء قائمة جرد للموردين مع تصنيف المخاطر (حرج، عالي، متوسط، منخفض)، وإجراء تقييمات أمنية قبل التعاقد لجميع الموردين الذين يتعاملون مع بيانات حساسة أو أنظمة حرجة، وتضمين بنود أمن سيبراني إلزامية في العقود مع أحكام حق التدقيق، وإجراء مراجعات أمنية سنوية للموردين الحرجين، ومطالبة الموردين بإثبات الامتثال للمعايير ذات الصلة (ISO 27001، PCI-DSS)، والحفاظ على سجلات مخاطر الموردين، وضمان توافق متطلبات إقامة البيانات مع لوائح توطين البيانات السعودية. بالنسبة لمقدمي الخدمات السحابية وموردي التكنولوجيا الحرجة، يجب على المؤسسات إجراء تقييمات في الموقع، ومراجعة تقارير SOC 2 Type II، والتحقق من قدرات الاستجابة للحوادث، والتأكد من أن الموردين لديهم تأمين سيبراني. يجب مراقبة جميع وصول الأطراف الثالثة وتسجيله ومراجعته بانتظام. يجب على الموردين إخطار المؤسسة في غضون 24 ساعة من أي حوادث أمنية تؤثر على الخدمات المقدمة.

تفرض ساما على المؤسسات المالية إنشاء فريق رسمي للاستجابة للحوادث السيبرانية متاح على مدار الساعة طوال أيام الأسبوع مع إجراءات موثقة للاستجابة للحوادث. يجب الإبلاغ عن الحوادث الحرجة لساما في غضون ساعة واحدة من الاكتشاف، مع تقديم تقارير أولية عن الحوادث في غضون 24 ساعة وتقارير مفصلة بعد الحادث في غضون 72 ساعة. تشمل الحوادث التي يجب الإبلاغ عنها: الوصول غير المصرح به لبيانات العملاء، وهجمات برامج الفدية، وهجمات حجب الخدمة الموزعة التي تؤثر على الخدمات، وانتهاكات البيانات، واختراق الأنظمة، وأي حادث يؤثر على العمليات التجارية. يجب على المؤسسات الاحتفاظ بأدلة الاستجابة للحوادث التي تغطي مراحل الكشف والاحتواء والقضاء والتعافي والدروس المستفادة. التدريبات السنوية للاستجابة للحوادث والتمارين النظرية إلزامية. يجب على المؤسسات التكامل مع آليات الإبلاغ للهيئة الوطنية للأمن السيبراني والمشاركة في تبادل معلومات التهديدات على مستوى القطاع. يجب تسجيل جميع الحوادث في نظام مركزي مع توثيق تحليل السبب الجذري وتقييم التأثير والإجراءات التصحيحية. يجب إحاطة مجلس الإدارة بجميع الحوادث الحرجة في غضون 48 ساعة.

الضوابط السيبرانية الأساسية (ECC) للهيئة الوطنية للأمن السيبراني هو إطار شامل للأمن السيبراني طورته الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية لحماية البنية التحتية الحيوية والجهات الحكومية. يتكون من 114 ضابطاً للأمن السيبراني منظمة في 5 مجالات: حوكمة الأمن السيبراني، والدفاع السيبراني، والمرونة السيبرانية، والأمن السيبراني للجهات الخارجية والحوسبة السحابية، والأمن السيبراني لأنظمة التحكم الصناعية. الإطار إلزامي لجميع الجهات الحكومية ومشغلي البنية التحتية الوطنية الحيوية في المملكة ويهدف إلى إنشاء وضع أمني أساسي في جميع أنحاء المملكة.

يتضمن إطار الضوابط السيبرانية الأساسية خمسة مجالات رئيسية: 1) حوكمة الأمن السيبراني (وضع السياسات والإجراءات والهيكل التنظيمي)، 2) الدفاع السيبراني (تنفيذ تدابير الحماية مثل التحكم في الوصول وأمن الشبكات والحماية من البرامج الضارة)، 3) المرونة السيبرانية (ضمان استمرارية الأعمال والاستجابة للحوادث والتعافي من الكوارث)، 4) الأمن السيبراني للجهات الخارجية والحوسبة السحابية (إدارة مزودي الخدمات الخارجيين وأمن السحابة)، و5) الأمن السيبراني لأنظمة التحكم الصناعية (حماية بيئات التكنولوجيا التشغيلية). يتبع التنفيذ نهجاً قائماً على النضج بثلاثة مستويات، حيث يجب على المؤسسات تحقيق الامتثال للمستوى الأول ضمن أطر زمنية محددة قبل الانتقال إلى مستويات نضج أعلى.

يجب على المؤسسات الخاضعة للضوابط السيبرانية الأساسية اتباع نهج تنفيذ متدرج. تبدأ العملية بإجراء تحليل الفجوات مقابل الضوابط الـ 114 لتحديد حالة الامتثال الحالية. يجب على المؤسسات بعد ذلك تطوير خطة معالجة وتنفيذ الضوابط بناءً على تصنيفها (جهة حكومية، مشغل بنية تحتية حيوية، أو مزود خدمات أساسية). عادةً، يجب تنفيذ ضوابط مستوى النضج الأول خلال 6-12 شهراً من تاريخ التقييم. يجب على المؤسسات إجراء تقييمات ذاتية سنوية وتقديم تقارير الامتثال إلى الهيئة من خلال منصة الامتثال السيبراني. قد تجري الهيئة عمليات تدقيق للتحقق من الامتثال، وقد يؤدي عدم الامتثال إلى عقوبات تتراوح من التحذيرات إلى غرامات مالية تصل إلى 5 ملايين ريال سعودي.

بموجب المجال الثاني من الضوابط السيبرانية الأساسية (الدفاع السيبراني)، يجب على المؤسسات تنفيذ تدابير شاملة للتحكم في الوصول تشمل: إنشاء برنامج رسمي لإدارة الهوية والوصول، وتنفيذ المصادقة متعددة العوامل لجميع عمليات الوصول عن بُعد والحسابات المميزة، وفرض مبادئ الامتيازات الأقل، وإجراء مراجعات دورية للوصول وإعادة الاعتماد، وتنفيذ سياسات كلمات مرور قوية متوافقة مع إرشادات الهيئة، والفصل بين الواجبات للوظائف الحرجة، والاحتفاظ بسجلات تدقيق مفصلة لأنشطة الوصول. يجب أيضاً على المؤسسات تنفيذ حلول إدارة الوصول المميز للحسابات الإدارية، وضمان آليات مصادقة آمنة لجميع الأنظمة، ووضع إجراءات لتوفير وإلغاء توفير حسابات المستخدمين في الوقت المناسب، خاصة أثناء عمليات تعيين الموظفين وإنهاء خدماتهم.

يتطلب المجال الثالث من الضوابط السيبرانية الأساسية (المرونة السيبرانية) من المؤسسات إنشاء قدرات شاملة للاستجابة للحوادث تشمل: تطوير وصيانة خطة الاستجابة للحوادث متوافقة مع إطار تصنيف الحوادث الخاص بالهيئة، وإنشاء فريق الاستجابة لحوادث أمن الحاسوب بأدوار ومسؤوليات محددة، وتنفيذ قدرات المراقبة والكشف الأمني على مدار الساعة، ووضع إجراءات الإبلاغ عن الحوادث للهيئة ضمن أطر زمنية محددة (الحوادث الحرجة خلال ساعة واحدة، والحوادث عالية الخطورة خلال 24 ساعة)، وإجراء تدريبات منتظمة للاستجابة للحوادث وتمارين محاكاة، والحفاظ على قدرات التحقيق الجنائي، وتنفيذ خطط استمرارية الأعمال والتعافي من الكوارث مع أهداف زمنية محددة للتعافي، وإجراء اختبار سنوي لإجراءات النسخ الاحتياطي والاسترداد. يجب أيضاً على المؤسسات الاحتفاظ بوثائق الحوادث وإجراء مراجعات ما بعد الحوادث لتحسين الوضع الأمني.

نظام حماية البيانات الشخصية هو التشريع الشامل لحماية البيانات في المملكة العربية السعودية الصادر بالمرسوم الملكي رقم م/19 بتاريخ 9/2/1443هـ (16 سبتمبر 2021). دخل حيز التنفيذ الكامل في 23 مارس 2023 بعد فترة انتقالية. يضع النظام قواعد لجمع ومعالجة وتخزين البيانات الشخصية، مما يضمن حماية حقوق الخصوصية للأفراد. ينطبق على جميع الجهات التي تعالج البيانات الشخصية للأفراد في المملكة، سواء تمت المعالجة داخل أو خارج المملكة، وتشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).

يضع نظام حماية البيانات الشخصية عدة مبادئ أساسية لمعالجة البيانات الشخصية: 1) المشروعية والشفافية - يجب معالجة البيانات بشكل قانوني مع غرض واضح؛ 2) تحديد الغرض - جمع البيانات فقط لأغراض محددة وصريحة؛ 3) تقليل البيانات - جمع البيانات الضرورية فقط؛ 4) الدقة - يجب أن تكون البيانات دقيقة ومحدثة؛ 5) تحديد فترة التخزين - الاحتفاظ بالبيانات فقط للمدة اللازمة؛ 6) السلامة والسرية - يجب اتخاذ تدابير أمنية مناسبة لحماية البيانات؛ 7) المساءلة - يجب على المتحكمين إثبات الامتثال. تضمن هذه المبادئ تعامل المؤسسات مع البيانات الشخصية بمسؤولية واحترام حقوق الخصوصية طوال دورة حياة البيانات.

يمنح نظام حماية البيانات الشخصية الأفراد (أصحاب البيانات) حقوقاً شاملة على بياناتهم الشخصية: 1) حق الوصول - الحصول على تأكيد معالجة البيانات والوصول إليها؛ 2) حق التصحيح - تصحيح البيانات غير الدقيقة أو الناقصة؛ 3) حق المحو - طلب حذف البيانات في ظروف معينة؛ 4) حق تقييد المعالجة - الحد من كيفية استخدام البيانات؛ 5) حق نقل البيانات - الحصول على البيانات بصيغة منظمة ونقلها إلى متحكم آخر؛ 6) حق الاعتراض - رفض المعالجة بناءً على المصالح المشروعة؛ 7) حق سحب الموافقة - إلغاء الموافقة الممنوحة سابقاً؛ 8) حق تقديم الشكاوى لسدايا. يجب على المؤسسات الرد على هذه الطلبات ضمن أطر زمنية محددة وتوفير آليات واضحة للأفراد لممارسة حقوقهم.

يفرض نظام حماية البيانات الشخصية عقوبات كبيرة على المخالفات لضمان الامتثال. يمكن أن تصل الغرامات المالية إلى 5 ملايين ريال سعودي حسب خطورة وطبيعة المخالفة. تشمل المخالفات المحددة: معالجة البيانات دون أساس قانوني، عدم تطبيق تدابير أمنية كافية، عدم الإبلاغ عن خروقات البيانات لسدايا خلال 72 ساعة، انتهاك حقوق الأفراد، ونقل البيانات دولياً دون ضمانات مناسبة. تمتلك سدايا سلطة إنفاذ للتحقيق في المخالفات وإصدار التحذيرات وفرض الغرامات وتعليق أنشطة معالجة البيانات، وفي الحالات الشديدة، إحالة الأمور للمقاضاة الجنائية. قد تواجه المؤسسات أيضاً أضراراً في السمعة ومطالبات مسؤولية مدنية من الأفراد المتضررين. تؤدي المخالفات المتكررة أو الانتهاكات المتعمدة إلى عقوبات أعلى.

يتطلب نظام حماية البيانات الشخصية من المؤسسات تطبيق تدابير أمنية تقنية وتنظيمية شاملة تتناسب مع مستوى المخاطر، بما في ذلك: تشفير البيانات الحساسة، ضوابط الوصول والمصادقة، تقييمات ومراجعات أمنية منتظمة، تدريب الموظفين على حماية البيانات، خطط الاستجابة للحوادث، وتدابير استمرارية العمل. بالنسبة لخروقات البيانات، يجب على المؤسسات إخطار سدايا خلال 72 ساعة من علمها بخرق يشكل مخاطر على حقوق الأفراد. يجب أن يتضمن الإخطار طبيعة الخرق وفئات وعدد تقريبي للأفراد المتأثرين والعواقب المحتملة والتدابير المتخذة أو المقترحة. إذا شكل الخرق مخاطر عالية على الأفراد، يجب على المؤسسات أيضاً إخطار أصحاب البيانات المتأثرين دون تأخير غير مبرر، مع توفير معلومات واضحة وتدابير وقائية موصى بها. يؤدي عدم الإبلاغ عن الخروقات أو تطبيق أمن كافٍ إلى عقوبات كبيرة.