دعت الهيئة الوطنية للأمن السيبراني، قطاع الأمن الداخلي والأحوال المدنية والأنظمة الجنائية لإبداء الرأي بشأن مشروع (ضوابط الأمن السيبراني للأحداث والمناسبات الوطنية) خلال الفترة من 7 إلى 22 مايو 2026، مشيرة إلى أن المشروع يهدف إلى توفير الحد الأدنى، من متطلبات الأمن السيبراني، للأحداث والمناسبات الوطنية؛ وذلك لرفع الجاهزية السيبرانية، للأحداث والمناسبات الوطنية، ضمن نطاق عمل هذه الضوابط، وحماية الأنظمة المتعلقة بها (ويشار لها في هذه الوثيقة بـ" أنظمة الفعالية" ) ويعنى بها جميع المواقع أو الخدمات الإلكترونية الخاصة بالحدث، أو المناسبة الوطنية، والبنى التحتية؛ مثل المواقع الإلكترونية، والبريد الإلكتروني، وقواعد البيانات، وحسابات التواصل الاجتماعي، الخاصة بالحدث أو بالمناسبة وغيرها.
وأعدت هذه الضوابط لتكون ملائمة لاحتياجات الأمن السيبراني في الأحداث والمناسبات الوطنية في المملكة، بتنوع طبيعتها، ويجب على كل جهة وطنية، مسؤولة عن حدث، أو مناسبة، الالتزام بجميع الضوابط، القابلة للتطبيق عليها.
واشترط المشروع لضمان إدارة أخطار الأمن السيبراني، على نحو ممنهج؛ حماية الأصول المعلوماتية، والتقنية للأحداث، والمناسبات؛ وفقاً للسياسات، والإجراءات التنظيمية للحدث أو المناسبة، والمتطلبات التشريعية، والتنظيمية ذات العلاقة، من خلال التخطيط للحدث أو المناسبة، وكذلك الحصول على خدمات طرف خارجي.
وألزم المشروع إدارة الأحداث والمناسبات، حصر الأصول، وتحديث جميع بيانات أنظمة الفعالية (الأنظمة والخدمات والمعرفات الرقمية، المرتبطة تقنيًا، والمتصلة بالإنترنت) للحدث أو المناسبة، ومشاركتها مع الهيئة الوطنية للأمن السيبراني باستمرار، بالإضافة إلى إتمام التحقق من الجاهزية الأمنية، لأنظمة الفعالية، لتلك الأنظمة، والخدمات والمعرفات الرقمية، التي جرى حصرها، ومن ثم تزويد الهيئة الوطنية للأمن السيبراني، بالوثائق والمعلومات والبيانات، والتقارير ذوات العلاقة.
واشترط المشروع التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) لأنظمة الفعالية، وتحديد عناصر التحقق المناسبة، وعددها، وكذلك تقنيات التحقق المناسبة، بناء على نتائج تقييم الأثر المحتمل، لفشل عملية التحقق وتخطيها، وهذا يشمل عمليات الدخول عن بعد، والحسابات ذات الصلاحيات المهمة والحساسة، فضلا عن مراجعة هويات الدخول، والصلاحيات بشكل دوري.
وطالب المشروع تحديد متطلبات الأمن السيبراني، لحماية البريد الإلكتروني للحدث أو المناسبة، وتوثيقها، واعتمادها، من خلال تحليل رسائل البريد الإلكتروني، وتصفيتها (Filtering) وبخاصة رسائل التصيّد الإلكتروني (Phishing Emails) والرسائل الاقتحامية (Spam Emails) باستخدام تقنيات، الحماية الحديثة وآلياتها للبريد الإلكتروني، وكذلك توثيق مجال البريد الإلكتروني للحدث أو المناسبة، باستخدام إطار سياسة المرسل (Sender Policy Framework “SPF" ) والبريد المعرّف بمفاتيح النطاق (Domain Keys Identified Mail “DKIM" ) وسياسة مصادقة الرسائل والإبلاغ عنها (Domain Message Authentication Reporting and Conformance" DMARC" ).
واشترط المشروع تطبيق متطلبات الأمن السيبراني، لإدارة أمن شبكات الحدث أو المناسبة عبر أمن الشبكات اللاسلكية، وحمايتها، باستخدام وسائل آمنة؛ للتحقق من الهوية والتشفير، وكذلك العزل، والتقسيم المادي، أو المنطقي، لأجزاء الشبكات بشكل آمن، وحماية أنظمة الفعالية من هجمات تعطيل الشبكات (Distributed Denial of Service Attack “DDoS" ) للحد من مخاطر الأمن السيبراني، الناتجة عن هجمات تعطيل الشبكات.
وألزم المشروع تحديد متطلبات الأمن السيبراني لحماية بيانات الحدث ومعلوماته؛ أو المناسبة، والتعامل معها وفقًا للمتطلبات التشريعية، والتنظيمية ذات العلاقة، وتوثيقها، واعتمادها، من خلال إجراء النسخ الاحتياطي، لأنظمة الفعالية، بشكل دوري، وإجراء فحص دوري؛ للتأكد من فعالية استعادة النسخ الاحتياطية، استخدام خدمة حماية العلامة التجارية؛ لحماية بيانات الحدث، أو المناسبة، من الانتحال (Brand Protection).
واشترط المشروع فحص الثغرات الأمنية لأنظمة الفعالية واكتشافها، بشكل دوري، وبوتيرة متزايدة، مع قرب الحدث أو المناسبة، من خلال معالجة جميع الثغرات والمخاطر، الواردة في نتائج تقارير تقييمات الأمن السيبراني، بشكل فوري، وإبلاغ الهيئة الوطنية للأمن السيبراني بالنتائج.
وشدد المشروع تحديث الأنظمة، والبرمجيات والأجهزة، وإصلاحها بانتظام (Patch Management)، عبر التجاوب السريع مع التنبيهات الأمنية، الصادرة من الهيئة الوطنية للأمن السيبراني، ومعالجتها بشكل فعّال؛ للتصدي للهجمات والتهديدات السيبرانية، التي تستهدف الأنظمة، والخدمات، والمعرفات الرقمية، المرتبطة بالحدث، أو المناسبة، والحد من آثارها.
واكد المشروع على تحديد متطلبات الأمن السيبراني، لعمليات اختبار الاختراق وتوثيقها، واعتمادها.
ويجب أن تغطي في الحد الأدنى نطاق عمل اختبار الاختراق؛ ليشمل جميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف المحمولة، والبريد الإلكتروني، والدخول عن بعد.
ونبه المشروع بمراقبة أنظمة الفعالية باستمرار قبل الحدث وأثنائه أو المناسبة، وحتى إيقاف الأنظمة، عن طريق مقدم خدمات مركز عمليات الأمن السيبراني المدار، مرخص للمستوى الأول، من قبل الهيئة الوطنية للأمن السيبراني.
واشترط المشروع الاحتفاظ بسجلات الأحداث، الخاصة بالأمن السيبراني، على ألا تقل المدة عن 6 أشهر، قبل الحدث، أو المناسبة، وبعدها، ملزما بوضع خطط الاستجابة لحوادث الأمن السيبراني وآليات التصعيد واختبارها، من خلال تبليغ الهيئة بشكل فوري بأي خطر أو تهديد أو اختراق للأمن السيبراني للحدث، أو المناسبة، واقع أو محتمل.
والزم المشروع بتطبيق متطلبات الأمن السيبراني؛ لحماية أنظمة الفعالية، من الوصول المادي غير المصرح به، ومن الفقدان والسرقة، والتخريب، عبر اعتماد إجراءات الدخول المصرح به، للأماكن الحساسة في للحدث، أو المناسبة، وتفعيل سجلات الدخول والمراقبة (CCTV) على أن تحفظ سجلات الدخول والمراقبة لمدة 6 أشهر بحد أدنى.
وشدد المشروع على تطبيق متطلبات الأمن السيبراني؛ لحماية تطبيقات الحدث، أو المناسبة، من خلال استخدام معايير التطوير الآمن، للتطبيقات (Secure Coding Standards)، وكذلك استخدام مصادر مرخصة، وموثوقة، لأدوات تطوير التطبيقات، والمكتبات الخاصة بها (Libraries)، وكذلك إجراء اختبار؛ للتحقق من مدى استيفاء التطبيقات، للمتطلبات الأمنية السيبرانية، للحدث، أو المناسبة.
وأوصى المشروع بتطبيق تمارين محاكاة ضمن إدارة استمرارية أعمال الحدث، أو المناسبة؛ لضمان صمود الأمن السيبراني للحدث أو المناسبة، مشترطا أن يكون موقع استضافة أنظمة الفعالية وتخزينها، في داخل المملكة، وذلك وفقاً للمتطلبات التشريعية والتنظيمـية ذات العلاقة، فضلا عن تطبيق ضوابط الأمن السيبراني للحوسبة السحابية، وإلزام مقدم خدمات الحوسبة السحابية بها عند التعاقد.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك