📚 قاعدة المعرفة

للامتثال للدفاع السيبراني، يجب على المؤسسات تنفيذ: بنية أمنية متعددة الطبقات مع جدران الحماية، وأنظمة كشف/منع التسلل (IDS/IPS)، وجدران حماية تطبيقات الويب؛ حماية نقاط النهاية بحلول مكافحة الفيروسات المعتمدة؛ تقسيم الشبكة لفصل الأنظمة الحرجة عن الشبكات العامة؛ خطوط أساس للتكوين الآمن لجميع الأنظمة؛ برنامج إدارة الثغرات مع المسح المنتظم والتصحيح ضمن الأطر الزمنية المحددة من ساما (الثغرات الحرجة خلال 15 يوماً)؛ تشفير البيانات للبيانات الثابتة والمتنقلة باستخدام خوارزميات معتمدة؛ المصادقة متعددة العوامل (MFA) لجميع الوصول المميز والبعيد؛ نظام إدارة معلومات وأحداث الأمن (SIEM) للتسجيل المركزي؛ واختبار الاختراق المنتظم من قبل شركات سعودية مؤهلة أو معترف بها دولياً. يجب أن تكون جميع الحلول من بائعين موثوقين ومحدثة بانتظام.

يجب على المؤسسات إجراء تقييمات ذاتية سنوية مقابل جميع ضوابط إطار ساما البالغ عددها 114، وتصنيف كل منها على أنها 'متوافقة' أو 'متوافقة جزئياً' أو 'غير متوافقة' مع أدلة داعمة. كل عامين، يلزم إجراء تقييم مستقل من قبل مدققين خارجيين معتمدين من ساما. تشمل عملية التقييم: مراجعة الوثائق، ومقابلة الموظفين، واختبار الضوابط التقنية، وفحص السجلات والتسجيلات، والتحقق من فعالية التنفيذ. يجب تقديم النتائج إلى ساما من خلال بوابتها التنظيمية ضمن المواعيد النهائية المحددة، عادة 90 يوماً بعد نهاية السنة المالية. يجب أن تتضمن التقارير: ملخص تنفيذي، ومصفوفة تقييم الضوابط التفصيلية، والفجوات المحددة، وخطط المعالجة مع الجداول الزمنية، وخطط العمل المعتمدة من مجلس الإدارة. تتطلب النتائج الحرجة الإبلاغ الفوري إلى ساما خلال 72 ساعة. يجب توثيق جميع التقييمات بصيغة عربية أو ثنائية اللغة.

يجب على المؤسسات إنشاء برنامج شامل لإدارة مخاطر الأطراف الثالثة (TPRM) يتضمن: تطوير منهجية لتقييم مخاطر البائعين تقيّم وضع الأمن السيبراني قبل التعاقد؛ الحفاظ على جرد لجميع الأطراف الثالثة التي لديها وصول إلى الأنظمة أو البيانات؛ إجراء العناية الواجبة بما في ذلك استبيانات الأمن السيبراني والتقييمات الميدانية للبائعين الحرجين؛ دمج متطلبات إطار ساما في العقود مع التزامات أمنية محددة، وبنود حماية البيانات، ومتطلبات الإخطار بالحوادث (خلال 24 ساعة)، وأحكام الحق في التدقيق؛ مطالبة الأطراف الثالثة بالامتثال للأنظمة السعودية بما في ذلك متطلبات توطين البيانات؛ تنفيذ المراقبة المستمرة لأداء أمن البائعين؛ إجراء إعادة تقييمات دورية (سنوياً للبائعين عاليي المخاطر)؛ ضمان احتفاظ البائعين بتغطية تأمينية مناسبة؛ إنشاء إجراءات واضحة للتعامل مع البيانات وإتلافها؛ والحفاظ على استراتيجيات الخروج. يجب إيلاء اهتمام خاص لمقدمي الخدمات السحابية وضمان الامتثال لسيادة البيانات مع الأنظمة السعودية.

بالنسبة للمؤسسات السعودية، يجب أن يتبع التوظيف في مركز العمليات الأمنية أفضل الممارسات التالية: 1) الحفاظ على 3-4 محللين كحد أدنى لكل وردية لتغطية على مدار الساعة، 2) ضمان أن 60% على الأقل من الموظفين سعوديون للامتثال لمتطلبات السعودة، 3) مطالبة المحللين بالحصول على شهادات معترف بها (GIAC، CEH، أو ما يعادلها) مع تفضيل البرامج التدريبية المعتمدة من الهيئة، 4) توفير تدريب ربع سنوي على التهديدات ومتطلبات الامتثال الخاصة بالمملكة، 5) إنشاء مسارات تصعيد واضحة مع أدوار محددة (محللو المستوى 1 و2 و3)، 6) إجراء تمارين سنوية محاكاة للهجمات على البنية التحتية الوطنية الحرجة، 7) ضمان القدرات ثنائية اللغة (العربية/الإنجليزية) لجميع الوثائق والاتصالات، 8) المشاركة في برامج تطوير القوى العاملة للأمن السيبراني التابعة للهيئة، 9) الحفاظ على التطوير المهني المستمر بما يتماشى مع مبادرات التحول الرقمي المتطورة لرؤية السعودية 2030.

يجب على فرق مركز العمليات الأمنية السعودية تنفيذ مشاركة معلومات التهديدات من خلال: 1) التكامل الإلزامي مع المنصة الوطنية للأمن السيبراني التابعة للهيئة للحصول على تغذية التهديدات الفورية ومؤشرات الاختراق، 2) المشاركة في مراكز تبادل وتحليل المعلومات الخاصة بالقطاعات للبنوك والطاقة والرعاية الصحية، 3) الامتثال لمتطلبات الإبلاغ عن الحوادث للهيئة باستخدام صيغ موحدة، 4) إنشاء شبكات نظيرة موثوقة داخل المملكة مع احترام قوانين سيادة البيانات، 5) استخدام بروتوكول إشارة المرور (TLP) لتصنيف المعلومات، 6) الحضور المنتظم للإحاطات التهديدية والمنتديات السيبرانية التي تنظمها الهيئة، 7) تنفيذ منصات آلية لمعلومات التهديدات تربط بين التهديدات المحلية والعالمية، 8) التنسيق مع إطار الأمن السيبراني لمؤسسة النقد العربي السعودي للمؤسسات المالية، 9) الالتزام بمتطلبات نظام حماية البيانات الشخصية عند مشاركة معلومات تحتوي على بيانات شخصية.

يجب على مراكز العمليات الأمنية السعودية تتبع هذه المقاييس الأساسية المتوافقة مع متطلبات الهيئة: 1) متوسط الوقت للكشف (MTTD) - الهدف أقل من 15 دقيقة للتنبيهات الحرجة، 2) متوسط الوقت للاستجابة (MTTR) - الامتثال لمتطلب الإبلاغ خلال ساعة واحدة للحوادث الحرجة، 3) نسبة التنبيه إلى الحادث - الهدف أقل من 10:1 لتقليل الإيجابيات الكاذبة، 4) وقت احتواء الحادث متوافق مع متطلبات الضوابط الأساسية، 5) نسبة الحوادث المبلغ عنها للهيئة ضمن الأطر الزمنية المطلوبة، 6) مقاييس التغطية تظهر مراقبة جميع الأصول الحرجة حسب تصنيف الضوابط الأساسية، 7) معدل دقة اكتشاف التهديدات (95% كحد أدنى)، 8) درجات تدقيق الامتثال لنظام حماية البيانات والضوابط الأساسية والأنظمة القطاعية، 9) معدلات استخدام الموظفين وإكمال التدريب دعماً لأهداف السعودة، 10) معدل نجاح التكامل مع المنصات الوطنية للأمن السيبراني، 11) أهداف وقت الاسترداد (RTO) للأنظمة الحرجة الداعمة للخدمات الرقمية لرؤية 2030.

يجب أن يتبع اختيار تقنيات مركز العمليات الأمنية السعودي أفضل الممارسات التالية: 1) اختيار حلول SIEM التي تدعم التسجيل باللغة العربية وتتوافق مع متطلبات إقامة البيانات المحلية، 2) تنفيذ منصات EDR/XDR المعتمدة من الهيئة مع وجود دعم محلي في المملكة، 3) نشر منصات معلومات التهديدات المتكاملة مع التغذيات الوطنية للهيئة وقواعد بيانات التهديدات الإقليمية، 4) ضمان دعم جميع أدوات الأمن للإطار التنظيمي للحوسبة السحابية للنشر السحابي، 5) اختيار موردين لهم وجود سعودي للدعم المحلي على مدار الساعة والامتثال لأنظمة المشتريات الحكومية، 6) تنفيذ منصات SOAR لأتمتة الاستجابات مع الحفاظ على مسارات التدقيق لإبلاغ الهيئة، 7) استخدام أدوات تحليل حركة الشبكة القادرة على اكتشاف الهجمات على المواقع والتطبيقات العربية، 8) نشر حلول DLP مهيأة للامتثال لنظام حماية البيانات الشخصية وفحص المحتوى العربي، 9) التكامل مع أنظمة الهوية الوطنية (أبشر، نفاذ) لمراقبة المصادقة، 10) ضمان دعم جميع الأدوات لأنظمة التقويم الهجري والميلادي للتقارير، 11) تنفيذ حلول النسخ الاحتياطي والاسترداد من الكوارث داخل المملكة لتلبية متطلبات السيادة.

يجب على المؤسسات في المملكة العربية السعودية الامتثال لعدة أطر رئيسية للأمن السيبراني حسب قطاعها. ينطبق إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) على المؤسسات المالية، بينما تنطبق الضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني (NCA ECC) على الجهات الحكومية والبنى التحتية الحيوية. بالإضافة إلى ذلك، ينظم نظام حماية البيانات الشخصية (PDPL) خصوصية البيانات عبر جميع القطاعات. تتماشى هذه الأطر مع أهداف رؤية 2030 لتعزيز وضع الأمن السيبراني في المملكة وحماية الأصول الرقمية.

يصنف إطار الأمن السيبراني لمؤسسة النقد العربي السعودي المؤسسات المالية إلى ثلاث فئات بناءً على حجمها وتعقيدها وملف المخاطر الخاص بها. تشمل الفئة الأولى المؤسسات الكبيرة ذات الأهمية النظامية مع أكثر المتطلبات صرامة. تغطي الفئة الثانية المؤسسات متوسطة الحجم بمتطلبات معتدلة، بينما تنطبق الفئة الثالثة على المؤسسات الأصغر مع ضوابط أساسية. يضمن هذا النهج القائم على المخاطر تدابير أمن سيبراني متناسبة تتماشى مع المخاطر التشغيلية لكل مؤسسة وأهميتها النظامية للقطاع المالي في المملكة العربية السعودية.

بموجب الضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني، يجب على مشغلي البنية التحتية الحيوية الإبلاغ عن حوادث الأمن السيبراني في غضون ساعة واحدة من اكتشاف الحوادث الحرجة التي تؤثر على الخدمات الأساسية. يجب الإبلاغ عن الحوادث متوسطة الخطورة في غضون 24 ساعة، بينما تتطلب الحوادث منخفضة الخطورة الإبلاغ في غضون 72 ساعة. يجب على المؤسسات أيضاً تقديم تقرير مفصل عن الحادث في غضون 72 ساعة من الإخطار الأولي وتقرير شامل نهائي في غضون أسبوعين من حل الحادث. تضمن هذه الجداول الزمنية تنسيق الاستجابة السريعة والوعي الظرفي للأمن السيبراني الوطني.

بموجب نظام حماية البيانات الشخصية، يجب أن تكون الموافقة ممنوحة بحرية ومحددة ومستنيرة وواضحة. يجب على المؤسسات توضيح الغرض من جمع البيانات وكيفية استخدامها وفترات الاحتفاظ بها وترتيبات المشاركة مع أطراف ثالثة باللغتين العربية والإنجليزية حيثما ينطبق ذلك. يجب الحصول على الموافقة قبل معالجة البيانات الشخصية، ويحق للأفراد سحب الموافقة في أي وقت. تتطلب الفئات الخاصة من البيانات الحساسة، مثل المعلومات الصحية أو البيومترية، موافقة صريحة مع تدابير شفافية معززة لضمان فهم أصحاب البيانات الكامل للآثار المترتبة.

يجب على المؤسسات إجراء تقييمات شاملة سنوية للمخاطر باتباع منهجيات الضوابط الأساسية للأمن السيبراني أو إطار الأمن السيبراني لمؤسسة النقد العربي السعودي، مع تحديد الأصول الحرجة والتهديدات ونقاط الضعف والتأثيرات المحتملة. يجب أن يغطي التقييم البنية التحتية التقنية والعمليات التجارية والاعتماديات على أطراف ثالثة وفجوات الامتثال. يجب توثيق النتائج باللغة العربية وترتيب أولوياتها باستخدام مصفوفة المخاطر وتقديمها للإدارة العليا مع خطط المعالجة. يجب على المؤسسات أيضاً إجراء تقييمات مخصصة عند حدوث تغييرات كبيرة في الأنظمة أو البنية التحتية أو مشهد التهديدات، مما يضمن التوافق المستمر مع أهداف الأمن السيبراني لرؤية 2030.

يجب أن تتضمن استراتيجية مراقبة مركز العمليات الأمنية الفعالة في المملكة العربية السعودية: 1) المراقبة المستمرة على مدار الساعة للأحداث الأمنية عبر جميع الأصول الحيوية كما يتطلب الإطار السيبراني لمؤسسة النقد (المجال السيبراني 8) والضوابط الأساسية للأمن السيبراني (الضابط 5-1-1)، 2) جمع وربط السجلات في الوقت الفعلي من أجهزة الشبكة ونقاط النهاية والتطبيقات والخدمات السحابية، 3) تطبيق نظام إدارة معلومات وأحداث الأمن مع قواعد الكشف الآلي عن التهديدات، 4) إجراءات تصعيد محددة وخطط الاستجابة للحوادث متوافقة مع المادة 22 من نظام حماية البيانات الشخصية للإبلاغ عن خرق البيانات، 5) دمج معلومات التهديدات بما في ذلك التهديدات الإقليمية والقطاعية، 6) إعداد تقارير منتظمة لمقاييس الأمن لإثبات الامتثال للمتطلبات التنظيمية، 7) التكامل مع إدارة الثغرات وإدارة التحديثات، 8) محللو مركز عمليات أمنية مدربون على التهديدات ومتطلبات الامتثال الخاصة بالمملكة. يجب أن تدعم الاستراتيجية أهداف التحول الرقمي لرؤية 2030 مع الحفاظ على وضع أمني قوي من خلال البحث الاستباقي عن التهديدات والتحسين المستمر لقدرات الكشف.

يجب على المؤسسات المالية تطبيق مراقبة شاملة لمركز العمليات الأمنية متوافقة مع متطلبات الإطار السيبراني لمؤسسة النقد: 1) إنشاء قدرات مراقبة مستمرة تغطي جميع المجالات بما في ذلك أمن الشبكات وحماية نقاط النهاية وأمن التطبيقات وحماية البيانات (المجال 8.1 من الإطار السيبراني)، 2) نشر تقنيات كشف التهديدات المتقدمة بما في ذلك التحليلات السلوكية والتعلم الآلي لتحديد الأنشطة الشاذة في المعاملات والأنظمة المالية، 3) تطبيق سياسات الاحتفاظ بالسجلات مع الاحتفاظ بسجلات الأمن لمدة سنة على الأقل وفقاً لمتطلبات مؤسسة النقد، مع الاحتفاظ بسجلات الأنظمة الحيوية لأكثر من 3 سنوات، 4) إنشاء قواعد ربط الأحداث الأمنية الخاصة بتهديدات القطاع المالي بما في ذلك كشف الاحتيال والوصول غير المصرح به لبيانات العملاء والشذوذ في أنظمة الدفع، 5) دمج المراقبة مع عمليات إدارة التغيير لتتبع جميع تعديلات النظام (المجال 7)، 6) إجراء تقييمات أمنية منتظمة واختبارات اختراق مع دمج النتائج في قواعد المراقبة، 7) الحفاظ على إجراءات موثقة لمركز العمليات الأمنية بما في ذلك مصفوفات التصعيد وتصنيف الحوادث وبروتوكولات الاتصال مع مؤسسة النقد للحوادث الواجب الإبلاغ عنها، 8) ضمان حصول موظفي مركز العمليات الأمنية على تدريب متخصص حول لوائح القطاع المالي ومعايير صناعة بطاقات الدفع والتحديات الأمنية الناشئة في التكنولوجيا المالية. يجب أن يدعم مركز العمليات الأمنية الكشف والاستجابة في الوقت الفعلي لحماية أصول العملاء والحفاظ على الثقة في النظام المالي.

يجب على المؤسسات في المملكة العربية السعودية تتبع مقاييس شاملة لمركز العمليات الأمنية متوافقة مع متطلبات الضوابط الأساسية للأمن السيبراني: 1) مقاييس الكشف: متوسط الوقت للكشف عن الحوادث الأمنية، معدل الإيجابيات الكاذبة، نسبة تغطية كشف التهديدات عبر الأصول، وعدد الأحداث الأمنية المحللة يومياً، 2) مقاييس الاستجابة: متوسط وقت الاستجابة، متوسط وقت الاحتواء، وقت تصعيد الحوادث، ونسبة الحوادث المحلولة ضمن الأطر الزمنية المحددة كما يتطلب الضابط 5-2-1، 3) مقاييس التغطية: نسبة الأصول الحيوية المراقبة على مدار الساعة، اكتمال تكامل مصادر السجلات، وتوفر أدوات المراقبة، 4) مقاييس الامتثال: عدد انتهاكات السياسات المكتشفة، الامتثال لمتطلبات الاحتفاظ بالسجلات، اكتمال سجل التدقيق، والإبلاغ في الوقت المناسب للهيئة الوطنية للأمن السيبراني عن الحوادث الحرجة (خلال ساعة واحدة للبنية التحتية الحيوية)، 5) المقاييس التشغيلية: عبء عمل محللي مركز العمليات الأمنية، معدلات إغلاق التذاكر، دقة التصعيد، وساعات التدريب المكتملة، 6) مقاييس معلومات التهديدات: عدد مؤشرات التهديد المعالجة، أنشطة البحث عن التهديدات المنفذة، والاكتشافات الاستباقية للتهديدات، 7) مقاييس التحسين: درجات فعالية الضوابط الأمنية، تقليل الحوادث المتكررة، واتجاهات تحسين الوضع الأمني. يجب الإبلاغ عن مؤشرات الأداء هذه شهرياً للإدارة التنفيذية وربع سنوياً لمجلس الإدارة، مما يثبت التحسين المستمر في نضج الأمن السيبراني متوافقاً مع أهداف الأمن الرقمي لرؤية 2030 ويوفر أدلة لعمليات تدقيق الامتثال للضوابط الأساسية.

يجب على المؤسسات المالية السعودية تطوير توثيق شامل يتضمن: 1) سياسات الأمن السيبراني التي تغطي جميع مجالات إطار ساما بنسختين عربية وإنجليزية، 2) إجراءات ومعايير مفصلة لكل متطلب رقابي، 3) تقارير تقييم المخاطر التي تحدد التهديدات الخاصة بالقطاع المالي السعودي، 4) جرد الأصول ومخططات تصنيف البيانات، 5) خطط الاستجابة للحوادث واستمرارية العمل، 6) توثيق إدارة مخاطر الأطراف الثالثة، 7) سجلات برامج التدريب والتوعية، و8) سجلات التدقيق وأدلة الامتثال. يجب مراجعة جميع الوثائق سنوياً واعتمادها من الإدارة العليا والاحتفاظ بها للتفتيش التنظيمي. تؤكد ساما على أن السياسات يجب أن تكون عملية وقابلة للتنفيذ ومناسبة ثقافياً للسياق السعودي.

يتطلب التنفيذ التقني لمجال الدفاع السيبراني في إطار ساما: 1) نشر ضوابط أمنية متعددة الطبقات بما في ذلك جدران الحماية من الجيل التالي وأنظمة كشف ومنع التسلل وحماية نقاط النهاية عبر جميع الأنظمة، 2) تنفيذ تجزئة آمنة للشبكة تفصل الأنظمة المالية الحرجة عن الشبكات العامة، 3) إنشاء قدرات مركز العمليات الأمنية مع مراقبة على مدار الساعة، إما داخلياً أو من خلال مزودي خدمات معتمدين في السعودية، 4) نشر حلول منع فقدان البيانات لحماية بيانات العملاء والبيانات المالية الحساسة، 5) تنفيذ آليات مصادقة قوية بما في ذلك المصادقة متعددة العوامل لجميع الوصول المميز، 6) إجراء تقييمات منتظمة للثغرات واختبارات الاختراق من قبل محترفين مؤهلين، و7) الحفاظ على تحديث معلومات التهديدات ذات الصلة بالقطاع المالي السعودي. يجب أن تمتثل جميع الحلول لمتطلبات إقامة البيانات السعودية.