ضوابط الأمن السيبراني للأحداث والمناسبات الوطنية
بعد دراسة أفضل الممارسات والتجارب المحلية والدولية
طوّرت الهيئة الوطنية للأمن السيبراني، ضوابط الأمن السيبراني للأحداث والمناسبات الوطنية، بعد دراسة أفضل الممارسات والتجارب المحلية والدولية والاستفادة منها، وتحليل ما جرى رصده من حوادث وهجمات سيبرانية على مستوى الجهات الحكومية وأحداثها ومناسباتها.
تتكوّن من 92 مكونًا وضابطًا أساسيًا وفرعيًا
كما أكدت ضوابط اختبار الاختراق أهمية تقييم فعالية إجراءات تعزيز الأمن السيبراني للأنظمة المرتبطة بالأحداث والمناسبات، عبر تنفيذ اختبارات تحاكي أساليب الهجمات السيبرانية الواقعية بهدف اكتشاف نقاط الضعف غير المعروفة ومعالجتها قبل استغلالها، مع ضرورة شمول اختبارات الاختراق لجميع الخدمات المقدمة عبر الإنترنت، بما في ذلك البنية التحتية والمواقع الإلكترونية وتطبيقات الويب والهواتف المحمولة والبريد الإلكتروني وخدمات الدخول عن بُعد، مع تنفيذ هذه الاختبارات بشكل دوري وقبل موعد الفعالية بمدة لا تقل عن 60 يومًا.
وفي جانب إدارة سجلات الأحداث ومراقبة الأمن السيبراني، ألزمت الضوابط الجهات بجمع وتحليل ومراقبة سجلات الأحداث الأمنية في الوقت المناسب للكشف الاستباقي عن الهجمات والتهديدات السيبرانية والحد من آثارها المحتملة، مع استمرار مراقبة الأنظمة قبل وأثناء وبعد الفعاليات من خلال مراكز عمليات أمن سيبراني مرخصة، والاحتفاظ بسجلات الأحداث الأمنية لمدة لا تقل عن 6 أشهر لضمان إمكانية الرجوع إليها عند الحاجة وتحليل أي حوادث أو مؤشرات اختراق مستقبلية.
وتشمل ضوابط الأمن السيبراني للأحداث والمناسبات الوطنية 40 مكونًا أساسيًا (Main Domains)، و17 مكونًا فرعيًا (Subdomains)، و35 ضابطًا أساسيًا (Controls)، وتضم تعزيز الأمن السيبراني، وصموده، والأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية.
وشددت ضوابط إدارة حسابات التواصل الاجتماعي على أهمية حماية الحسابات الرسمية المرتبطة بالأحداث والمناسبات من المخاطر والتهديدات السيبرانية، مع إلزام الجهات بتطبيق ضوابط الأمن السيبراني الخاصة بحسابات التواصل الاجتماعي الحكومية وفق المعايير المعتمدة من الهيئة الوطنية للأمن السيبراني، بما يسهم في الحد من محاولات الاختراق أو انتحال الهوية أو نشر المحتوى المضلل عبر المنصات الرقمية.
كما تناولت جانب حماية التطبيقات، مؤكدة ضرورة تطبيق متطلبات أمنية شاملة على تطبيقات الفعاليات والمناسبات، تشمل استخدام معايير التطوير الآمن، والتحقق من أمن المكونات البرمجية والمكتبات المستخدمة، ومراجعة إعدادات التحصين والتحديثات الأمنية قبل الإطلاق والتشغيل، واستخدام جدران حماية لتطبيقات الويب، واعتماد بروتوكولات اتصال آمنة مثل HTTPS، وضمان التكامل الآمن بين التطبيقات، إضافة إلى تطبيق آليات تحقق متعددة لحماية عمليات دخول المستخدمين وتقليل مخاطر الاختراق.
الامتثال الكامل للمتطلبات الأمنية المعتمدة
وأبرزت الضوابط المتعلقة بالأطراف الخارجية ضرورة حماية أصول الجهات المنظمة للفعاليات والمناسبات من المخاطر المرتبطة بمزودي الخدمات والشركات المتعاقدة، بما في ذلك خدمات الإسناد التقني والخدمات المدارة، وألزمت جميع الأطراف الخارجية المكلّفة بتنفيذ أعمال مرتبطة بالحدث بالامتثال الكامل للمتطلبات الأمنية المعتمدة، مع إجراء تقييمات دورية لمخاطر الأمن السيبراني قبل توقيع العقود أو عند تحديث الإجراءات التنظيمية، وتضمين بنود للمحافظة على سرية المعلومات والتخلص الآمن من البيانات بعد انتهاء الخدمة.
كما ركزت ضوابط الأمن السيبراني للحوسبة السحابية والاستضافة على ضمان تطبيق متطلبات حماية فعالة للأنظمة والبيانات المستضافة أو المُدارة عبر خدمات الحوسبة السحابية، ونصّت على ضرورة استضافة أنظمة الفعاليات داخل المملكة بما يتوافق مع المتطلبات التنظيمية والتشريعية، مع إلزام مزودي خدمات الحوسبة السحابية بتطبيق ضوابط الأمن السيبراني المعتمدة بعد إبرام التعاقدات، بهدف تعزيز حماية الأصول المعلوماتية وتقليل المخاطر المرتبطة بالخدمات السحابية.
وشّددت الضوابط على أهمية وجود صلاحية واضحة لاتخاذ القرارات المرتبطة بالأمن السيبراني خلال الأحداث والمناسبات الوطنية، بما يضمن سرعة التعامل مع المهام والتهديدات التقنية، وتحديد أصحاب الصلاحيات والمسؤوليات المتعلقة بالأمن السيبراني، وتوثيقها واعتمادها ضمن أنظمة الجهة، إلى جانب تعيين بدلاء للأدوار الحساسة لضمان استمرارية العمل وعدم تعارض المصالح، مع توفير وسائل اتصال أساسية واحتياطية وتسجيل بياناتها لدى الهيئة.
كما تناولت جانب إدارة مخاطر الأمن السيبراني، مؤكدةً ضرورة تطبيق منهجية واضحة لحماية الأصول المعلوماتية والبنية التقنية الخاصة بالأحداث والمناسبات، وألزمت الجهات بتنفيذ إجراءات تقييم وإدارة المخاطر في عدة مراحل، تشمل مرحلة التخطيط المبكر للحدث، وعند إجراء تغييرات جوهرية على البنية التقنية، وكذلك قبل التعاقد مع مزودي الخدمات الخارجية أو إطلاق منتجات وخدمات تقنية جديدة، بهدف تعزيز الجاهزية وتقليل احتمالات التهديدات السيبرانية.
ضرورة تصنيف الأصول وترميزها
وأكّدت أهمية امتلاك الجهات المنظمة للأحداث والمناسبات قائمة جرد دقيقة ومحدثة لجميع الأصول المعلوماتية والتقنية وأنظمة التشغيل ذات العلاقة، بما يضمن دعم العمليات التشغيلية ومتطلبات الأمن السيبراني بكفاءة، مشددةً على ضرورة تصنيف الأصول وترميزها وفق المتطلبات التنظيمية، وتحديث بيانات الأنظمة والخدمات الرقمية المتصلة بالإنترنت بشكل مستمر ومشاركتها مع الهيئة الوطنية للأمن السيبراني، إلى جانب اعتماد سياسات واضحة للاستخدام المقبول للأصول التقنية وتوثيقها ونشرها داخل الجهات المعنية.
وشددت الضوابط على أهمية تطبيق التحقق متعدد العوامل للوصول إلى الأنظمة التقنية، خاصة الحسابات ذات الصلاحيات الحساسة وعمليات الدخول عن بُعد، مع تحديد عناصر وتقنيات التحقق المناسبة بناءً على تقييم المخاطر المحتملة، كما أكدت ضرورة إدارة صلاحيات المستخدمين وفق مبدأ الحد الأدنى من الامتيازات، وتطبيق مفاهيم "الحاجة إلى المعرفة" و"الحاجة إلى الاستخدام"، إضافة إلى فصل المهام ومراجعة هويات الدخول والصلاحيات بشكل دوري لضمان الحد من مخاطر الوصول غير المصرح به.
وفي جانب حماية البريد الإلكتروني وأمن الشبكات، ألزمت الضوابط الجهات بتطبيق متطلبات أمنية متقدمة لمواجهة التهديدات السيبرانية، تشمل تحليل وتصنيف الرسائل الإلكترونية والتصدي لرسائل التصيد والبريد العشوائي باستخدام أحدث الحلول التقنية، وتطبيق بروتوكولات حماية النطاقات والبريد الإلكتروني مثل SPF وDKIM وDMARC، وتعزيز أمن الشبكات اللاسلكية، وتقسيم الشبكات، وتأمين نظام أسماء النطاقات DNS، وتوفير الحماية من هجمات حجب الخدمة الموزعة DDoS لضمان استمرارية الخدمات الرقمية بكفاءة وأمان.
وأكدت ضوابط إدارة الثغرات أهمية الاكتشاف المبكر للثغرات التقنية ومعالجتها بصورة فعالة للحد من احتمالات استغلالها في الهجمات السيبرانية وتقليل آثارها على الأنظمة المرتبطة بالأحداث والمناسبات، مع إجراء فحوصات دورية ومكثفة للثغرات الأمنية، خصوصًا مع اقتراب موعد الفعاليات، ومعالجة أي ثغرات يتم اكتشافها بشكل فوري، إلى جانب التعامل السريع مع نتائج تقارير تقييمات الأمن السيبراني وإبلاغ الهيئة الوطنية للأمن السيبراني بالنتائج ذات العلاقة، وتحديث الأنظمة والبرمجيات والأجهزة بشكل منتظم، والتجاوب العاجل مع التنبيهات الأمنية الصادرة من الهيئة لمعالجة المخاطر المرتبطة بالهجمات والتهديدات السيبرانية الحديثة.
أخبار متعلقة :