اعتمد مجلس إدارة الهيئة الوطنية للأمن السيبراني، الضوابط الخاصة بجهات القطاع الخاص غير المشغِّلة للبنى التحتية الحساسة، والتي ترتكز على 3 مكونات رئيسية تشمل: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، بما يضمن بناء منظومة حماية متكاملة.
يجب تحديد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة وتوثيقها
وتشمل الضوابط مؤسسات القطاع الخاص الكبيرة والمتوسطة والصغيرة من غير ذات البنى التحتية الحساسة، حيث تضم الجهات الكبيرة أكثر من 250 موظفًا بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال، وتلتزم بتوفير 3 مكونات أساسية، و22 مكونًا فرعيًا، و65 ضابطًا أساسيًا، فيما تضم الجهات المتوسطة والصغيرة ما يتراوح بين 6 - 249 موظفًا بدوام كامل أو تحقق إيرادات سنوية تتراوح بين 3- 200 مليون ريال، وتلتزم بتوفير مكون أساسي واحد، و13 مكونًا فرعيًا، و26 ضابطًا أساسيًا، وتستند الضوابط إلى الممارسات الدولية بما يمكّن هذه الجهات من تقليل المخاطر الناشئة عن التهديدات الداخلية والخارجية، مع التركيز على 3 أهداف أساسية وهي سرية المعلومات، وسلامة المعلومات، وتوافر المعلومات.
وتلتزم جهات القطاع الخاص بإنشاء وحدة إدارية معنية بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات، وأن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة موظفون مختصون وذوو كفاءة عالية في المجال، كما يلتزم صاحب الصلاحية بتحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني في الجهة، وتكليف الأشخاص المعنيين بها، مع توفير الدعم اللازم لتمكينهم من أداء مهامهم وتجنب تعارض المصالح، فيما يجب تحديد سياسات الأمن السيبراني وتوثيقها واعتمادها ونشرها على العاملين المعنيين في الجهة، مع التزام الوحدة الإدارية المختصة بضمان تطبيق تلك السياسات ومراجعتها بشكل دوري.
كما تتضمّن الضوابط إدارة مخاطر الأمن السيبراني بما يضمن حماية الأصول المعلوماتية والتقنية للجهة من التهديدات المحتملة، مع الالتزام بتحديد منهجية واضحة للإدارة وإجراءاتها، مع توثيقها واعتمادها رسميًا، والالتزام بتطبيقها عمليًا على مستوى الجهة كافة، ويتعين مراجعة هذه المنهجية وإجراءاتها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها لمتطلبات العمل، حيث تهدف المراجعة والتدقيق الدوري إلى التحقق من التزام الجهة بتطبيق الضوابط، والتأكد من توافق السياسات والإجراءات التنظيمية المعتمدة لديها مع المتطلبات التشريعية والتنظيمية الوطنية الصادرة عن الهيئة، مع مراجعة هذه الضوابط وتدقيقها من قبل جهة مستقلة عن الوحدة الإدارية المختصة بالأمن السيبراني داخل الجهة.
وفيما يخُص برامج التوعية بالأمن السيبراني داخل الجهات المشار إليها، فيجب أن تشمل جميع الموضوعات الرئيسية ذات الصلة بالمجال، بما يضمن حماية الجهة من التهديدات السيبرانية، مع التركيز على الجوانب العملية مثل التصيد الإلكتروني، وبرامج الفدية، وكلمات المرور القوية، وأفضل الممارسات عند استخدام وسائل التواصل الاجتماعي، وآليات الإبلاغ عن الحوادث والسلوكيات المشبوهة، كما ينبغي أن تكون هذه البرامج مخصصة بما يتناسب مع مهام الموظفين وواجباتهم الوظيفية واحتياجاتهم العملية. وتلتزم الجهة بتطبيق برامج التوعية المعتمدة لديها، مع مراجعتها وتحديثها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها للتطورات في مجال الأمن السيبراني.
ويجب تحديد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة وتوثيقها واعتمادها، بحيث تشمل التحقق من هوية المستخدم عبر آليات مصادقة آمنة تعتمد على اسم المستخدم وكلمة المرور، وتطبيق المصادقة متعددة العوامل لجميع عمليات الدخول بما في ذلك البريد الإلكتروني والتطبيقات الخارجية، كما يجب إدارة تصاريح المستخدمين وصلاحياتهم وفق مبادئ التحكم في الدخول، بما يشمل مبدأ الحاجة إلى المعرفة والاستخدام، ومبدأ الحد الأدنى من الصلاحيات، والفصل بين المهام، إضافة إلى إدارة الصلاحيات الحساسة والمميزة، وإجراء مراجعات دورية لهويات الدخول والصلاحيات لضمان سلامتها. وتلتزم الجهة بتطبيق هذه المتطلبات ومراجعتها بشكل دوري.
كما يجب تحديد متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات وتوثيقها واعتمادها، بما يضمن حماية الأنظمة والأجهزة، بما في ذلك أجهزة المستخدمين والخوادم وأجهزة الشبكة، من الفيروسات والبرامج الضارة والأنشطة المشبوهة باستخدام تقنيات الحماية الحديثة وتحديثها وإدارتها بشكل آمن، وتشمل المتطلبات كذلك ضبط الإعدادات الافتراضية بإلغاء الخدمات غير الضرورية وتعطيل كلمات المرور الافتراضية وتقييد استخدام وسائط التخزين القابلة للإزالة، إضافة إلى توحيد مزامنة التوقيت مركزياً من مصدر دقيق وموثوق وفق المعايير المعتمدة، بما يعزز موثوقية الأنظمة وسلامة العمليات، بحيث تشمل حماية الأنظمة والخوادم وأجهزة المستخدمين والأجهزة المحمولة من الفيروسات والبرامج والتطبيقات الخبيثة، وضبط الإعدادات الافتراضية عبر إلغاء أو تعطيل الخدمات غير الضرورية، وتغيير كلمات المرور الافتراضية، وتقييد استخدام وسائط التخزين القابلة للإزالة للحد من المخاطر، واعتماد مزامنة التوقيت مركزياً من مصدر دقيق وموثوق وفق المعايير والمواصفات المعتمدة، بما يضمن سلامة العمليات التقنية ودقة السجلات والبيانات.
استخدام جدران الحماية وبوابات الوصول الآمنة
ويجب كذلك تحديد متطلبات الأمن السيبراني لحماية البريد الإلكتروني في الجهة وتوثيقها واعتمادها، بحيث تشمل تحليل رسائل البريد الإلكتروني وتصفيتها للكشف عن رسائل التصيد والرسائل الاحتيالية والبريد غير المرغوب فيه باستخدام تقنيات الحماية الحديثة، مع توثيق نطاقات البريد الإلكتروني للجهة عبر منصات موثوقة باستخدام أطر التحقق القياسية مثل سياسة إطار المرسل (SPF)، ومفاتيح تعريف النطاق (DKIM)، وآلية مصادقة الرسائل والإبلاغ عنها (DMARC)، بما يضمن موثوقية المراسلات الإلكترونية. وتشمل المتطلبات أيضاً توفير الحماية من التهديدات المتقدمة المستمرة والبرمجيات الخبيثة غير المعروفة سابقاً، بما فيها هجمات يوم الصفر، مع إدارة هذه الضوابط بصورة آمنة.
وتلتزم الجهة بتطبيق هذه المتطلبات ومراجعتها دورياً لضمان فعاليتها، وتشمل أيضاً إدارة أمن الشبكات وتوثيقها واعتمادها، بما يضمن حماية شبكات الجهة من المخاطر السيبرانية، مع استخدام جدران الحماية وبوابات الوصول الآمنة، وتطبيق العزل والتقسيم المادي أو المنطقي لأجزاء الشبكة، وتأمين الشبكات السلكية واللاسلكية باستخدام وسائل تحقق وهوية وتشفير مناسبة. كذلك تتضمن ضوابط أمن الشبكات حماية تصفح الإنترنت عبر تقييد الوصول إلى المواقع الإلكترونية المشبوهة ومواقع مشاركة وتخزين الملفات، وإدارة منافذ وبروتوكولات وخدمات الشبكة بشكل آمن، إضافة إلى استخدام أنظمة كشف ومنع الاختراقات المتقدمة، وتوفير الحماية من هجمات حجب الخدمة الموزعة للحد من آثار المخاطر السيبرانية الناتجة عنها.
