الهيئة الوطنية للأمن السيبراني (NCA): ما تحتاج إلى معرفته


الامن السيبراني الوطني في السعودية
الامن السيبراني الوطني في السعودية

هيئة الامن السيبراني في تقريرها خطة التنمية رؤية 2030 ، وشملت المملكة العربية السعودية برنامج التحول الوطني الذي يهدف إلى تنويع الدخل في المملكة بعيدا عن صناعة النفط. أحد المبادئ الأساسية لهذا البرنامج هو تمكين نمو القطاع الخاص من خلال تطوير الاقتصاد الرقمي. 

على وجه التحديد ، أعلنت المملكة العربية السعودية عزمها على زيادة مساهمة الاقتصاد الرقمي في الناتج المحلي الإجمالي غير النفطي من 2٪ إلى 3٪ بحلول عام 2030. وأوضحت المملكة أن هذه العملية يجب أن تتضمن شراكة مع جهات فاعلة خاصة لتطوير المزيد من البنية التحتية للاتصالات / تكنولوجيا المعلومات إلى جانب دعم الاستثمار المحلي في تلك القطاعات.

كما أقرت المملكة بضرورة اتخاذ الإجراءات الأمنية المناسبة لتأمين هذه العملية. كما ورد في وثيقة نشرت على موقعها على الإنترنت:

يتطلب هذا التحول تسهيل تدفق المعلومات وتأمينها والحفاظ على سلامة جميع الأنظمة. كما يتطلب الحفاظ على الأمن السيبراني للمملكة ودعمه من أجل حماية مصالحها الحيوية وأمنها الوطني والبنى التحتية الحيوية والقطاعات ذات الأولوية العالية والخدمات والممارسات الحكومية.

واعترافا بهذه المهام ، أنشأت المملكة العربية السعودية الهيئة الوطنية للأمن السيبراني (NCA) وكذلك وافقت على تفويض الكيان الحكومي لتطوير سياسات الأمن الرقمي الوطني بموجب مرسوم ملكي. تصرفت NCA بناءً على هذا التوجيه من خلال تطوير ضوابط الأمن السيبراني الأساسية (ECC) ، وهي تدابير تشكل الحد الأدنى من متطلبات الأمن للمنظمات الوطنية داخل النطاق. على هذا النحو ، يعد الامتثال لـ ECC إلزاميًا لتلك الكيانات.

إذن ، كيف يمكن للمؤسسات ضمان الامتثال لـ ECC؟

للإجابة على هذا السؤال ، ستقوم هذه المدونة أولاً بفحص المجالات الخمسة لـ ECC. ثم يشرح كيف يمكن لـ Tripwire Enterprise مساعدة المؤسسات في تحقيق الامتثال لنطاقات الضوابط باستخدام الضوابط الأساسية للأمان والامتثال وعمليات تكنولوجيا المعلومات.

داخل ضوابط الأمن السيبراني الأساسية

أنشأت NCA ضوابط الأمن السيبراني الأساسية في عام 2018 لمساعدة المنظمات الحكومية وكذلك الجهات الفاعلة في القطاع الخاص الذين يمتلكون أو يشغلون أو يستضيفون البنية التحتية الوطنية الحيوية لتقليل المخاطر الناجمة عن تهديدات الأمن الرقمي الخارجية والداخلية. مع الأخذ في الاعتبار استراتيجيات الكيانات داخل النطاق والأفراد والعمليات والتكنولوجيا ، تتكون هذه التدابير الأمنية من 114 ضوابط فردية مصممة للحفاظ على سرية وسلامة وتوافر أصول المعلومات والتكنولوجيا.

تتكون ECC من خمسة مجالات تتكون من 29 نطاقًا فرعيًا. هذه كالتالي:

1. إدارة الأمن السيبراني

  • استراتيجية الأمن السيبراني : يجب على جميع خطط وسياسات الأمن الرقمي تعزيز جهود المنظمة للامتثال للقوانين واللوائح ذات الصلة.
  • إدارة الأمن السيبراني : يجب على المسؤول المفوض داخل كل مؤسسة إنشاء قسم للأمن الرقمي ولجنة توجيهية ورئيس وظيفي.
  • سياسات وإجراءات الأمن السيبراني : يجب أن يكون لدى كل مؤسسة سياسات / خطط أمنية رقمية موثقة بالإضافة إلى الامتثال لتلك الاستراتيجيات.
  • أدوار ومسؤوليات الأمن السيبراني : يجب على المنظمة تحديد جميع الأدوار والمواقف المتعلقة بالأمن الرقمي داخل قوتها العاملة.
  • إدارة مخاطر الأمن السيبراني : يجب على الكيان داخل النطاق اتباع نهج منهجي لتقليل المخاطر المتعلقة بتكنولوجيا المعلومات والأصول التكنولوجية.
  • الأمن السيبراني في إدارة مشاريع المعلومات والتكنولوجيا : يجب أن تأخذ إجراءات منهجية إدارة المشروع الأمن الرقمي في الاعتبار.
  • الامتثال لمعايير وقوانين ولوائح الأمن السيبراني : يجب أن يمتثل برنامج الأمن الرقمي للكيان للقوانين واللوائح الحالية.
  • المراجعة الدورية للأمن السيبراني والتدقيق : يجب على المنظمات الخضوع لعملية تدقيق لتحديد ما إذا كانت خططها وإجراءاتها متوافقة مع ECC.
  • الأمن السيبراني في الموارد البشرية : يجب على الكيان معالجة الأمن الرقمي للموظف من وقت تعيين شخص ما إلى وقت مغادرته الشركة.
  • برنامج التوعية والتدريب في مجال الأمن السيبراني : يحتاج جميع الموظفين إلى تلقي أي موارد ضرورية للوفاء بمسؤولياتهم في مجال الأمن الرقمي.

2. الدفاع عن الأمن السيبراني

  • إدارة الأصول : تحتاج المنظمة إلى معرفة الأجهزة والبرامج المتصلة بالشبكة إذا كانت ستحمي أصول تكنولوجيا المعلومات والتكنولوجيا الخاصة بها.
  • إدارة الهوية والوصول : بدون ضوابط الوصول المناسبة ، يمكن للمستخدمين غير المصرح لهم تعريض أصول المعلومات والتكنولوجيا الخاصة بالمؤسسة للخطر.
  • حماية نظام المعلومات ومرافق معالجة المعلومات : تحتاج المنظمة إلى حماية نظام المعلومات ومرافق المعالجة.
  • حماية البريد الإلكتروني : تحتاج الكيانات داخل النطاق إلى اتخاذ الاحتياطات المناسبة للدفاع عن أنظمة البريد الإلكتروني الخاصة بهم ضد التهديدات الرقمية.
  • إدارة أمن الشبكات : يجب على المنظمة استخدام تجزئة الشبكة / الفصل ، و IPSes وغيرها من الأدوات لتأمين شبكاتها.
  • أمان الأجهزة المحمولة : تحتاج الكيانات إلى حماية جميع الأجهزة المحمولة من التهديدات الرقمية وتأمين جميع المعلومات بموجب سياسة BYOD.
  • حماية البيانات والمعلومات : تحتاج المنظمة إلى اتخاذ التدابير المناسبة لحماية أصول بياناتها ومعلوماتها.
  • التشفير : باسم حماية البيانات ، تحتاج المنظمة إلى استخدام التشفير بكفاءة لحماية معلوماتها وفقًا لسياساتها وإجراءاتها.
  • إدارة النسخ الاحتياطي والاسترداد : تحتاج الكيانات في نطاق ECC إلى تأمين أنظمة المعلومات وتكوينات البرامج الخاصة بها ضد المخاطر الرقمية.
  • إدارة الثغرات الأمنية : إذا فشلوا في اكتشاف الأخطاء الأمنية ومعالجتها في الوقت المناسب ، فقد تسمح المؤسسة للمهاجمين باستغلال الثغرات الأمنية.
  • اختبار الاختراق : يجب على المنظمة استخدام محاكاة الهجمات الرقمية لتقييم دفاعاتها الرقمية ضد الجهات الخبيثة.
  • سجلات أحداث الأمن السيبراني وإدارة المراقبة : يمكن أن تساعد السجلات المنظمة في اكتشاف مشكلة أمنية قبل أن تتحول إلى حادث أمني.
  • حادث الأمن السيبراني وإدارة التهديدات : في حالة وقوع حادث ، تحتاج المنظمة إلى الاستجابة بشكل مناسب لتقليل الأضرار.
  • الأمن المادي : يجب على المنظمة حماية أصول تكنولوجيا المعلومات والتكنولوجيا الخاصة بها ضد الخسائر المادية والأضرار و / أو الوصول غير المصرح به.
  • أمن تطبيقات الويب : تشكل التهديدات الرقمية خطراً على تطبيقات الويب الخارجية ؛ تحتاج المنظمة للدفاع عن نفسها وفقًا لذلك.

3. مرونة الأمن السيبراني

أ. جوانب مرونة الأمن السيبراني في إدارة استمرارية الأعمال (BCM) : تحتاج المنظمة إلى حماية أصول تكنولوجيا المعلومات الخاصة بها ضد الكوارث المحتملة وتضمين متطلبات المرونة في خطة استمرارية الأعمال الخاصة بها.

4. الأمن السيبراني الطرف الثالث والحوسبة السحابية

أ. الأمن السيبراني للطرف الثالث: تشكل الأطراف الخارجية ، بما في ذلك الخدمات المُدارة والوكلاء الخارجيون ، تهديدًا لأصول المعلومات ؛ تحتاج المنظمة إلى اتباع سياساتها وإجراءاتها للدفاع عن نفسها وفقًا لذلك.

ب. الحوسبة السحابية واستضافة الأمن السيبراني : لمعالجة التهديدات الرقمية المتعلقة بأنظمة الاستضافة والحوسبة السحابية ، تحتاج المنظمة إلى حماية أصولها المستضافة على السحابة وتديرها أطراف ثالثة.

5. الأمن السيبراني لأنظمة التحكم الصناعي

أ. حماية أنظمة التحكم الصناعية (ICS) : تحتاج المنظمة إلى حماية أنظمة التحكم الصناعية وأصولها من التهديدات الرقمية.

تستفيد NCA في النهاية من التقييمات الذاتية ، والتقارير من أداة التقييم والامتثال و / أو عمليات التدقيق في الموقع لضمان أن تظل الكيانات داخل النطاق متوافقة مع ضوابط الأمن السيبراني الأساسية. لتحقيق هذا الهدف ، يجب على المنظمات اتباع إرشادات NCA و “تنفيذ كل ما هو ضروري لضمان الامتثال المستمر للضوابط”. (تعكس هذه التوصية حقيقة أنه لا يمكن لكل مؤسسة تنفيذ كل عنصر تحكم تم تحديده أعلاه. على سبيل المثال ، لن يتعلق المجالان الرابع والخامس بالمؤسسات التي لا تستخدم السحابة ولا تدير أنظمة ICS.)

كيف يمكن لـ Tripwire مساعدة المنظمات في امتثالها لـ ECC

يمكن لـ Tripwire Enterprise مساعدة المؤسسات على تحقيق امتثالها لـ ECC مع NCA. هذا الحل فعال بشكل خاص فيما يتعلق ببعض الضوابط المحددة في المجال الثاني للدفاع عن الأمن السيبراني. يقوم بذلك عن طريق تحويل الضوابط الفنية لغرض تقوية التكوين ، وبالتالي ضمان أن تكوينات أمان النظام مناسبة بالنظر إلى الوظيفة التي يحتاجها.

فيما يلي خمسة عناصر تحكم كمثال:

  • إدارة الهوية والوصول : وفقًا لـ NCA ، تهدف هذه السياسة إلى ضمان الوصول المنطقي الآمن والمقيد إلى أصول المعلومات والتكنولوجيا من أجل منع الوصول غير المصرح به والسماح بالوصول المصرح به فقط للمستخدمين الضروريين لإنجاز المهام المعينة. يمكن لـ Tripwire Enterprise فحص متطلبات الأمن السيبراني لإدارة الهوية والوصول التي يجب تنفيذها على أنظمة تشغيل مختلفة.
  • حماية نظام المعلومات ومرافق معالجة المعلومات : هذه السياسة مطلوبة لضمان حماية أنظمة المعلومات ومرافق معالجة المعلومات (بما في ذلك محطات العمل والبنى التحتية) ضد المخاطر السيبرانية. يمكن لـ Tripwire Enterprise فحص متطلبات الأمن السيبراني لحماية أنظمة المعلومات ومرافق معالجة المعلومات.
  • إدارة أمن الشبكات : تضمن هذه السياسة حماية شبكة المؤسسة من المخاطر السيبرانية. يمكن لـ Tripwire Enterprise المسح الضوئي وفقًا لمتطلبات الأمن السيبراني لإدارة أمان الشبكة.
  • التشفير : هذه السياسة مطلوبة لضمان الاستخدام المناسب والفعال للتشفير لحماية أصول المعلومات وفقًا للسياسات والإجراءات التنظيمية والقوانين واللوائح ذات الصلة. يُمكّنك برنامج Tripwire Enterprise من إجراء مسح ضوئي مقابل متطلبات الأمن السيبراني للتشفير التي يجب تنفيذها على أنظمتك.
  • سجلات أحداث الأمن السيبراني وإدارة المراقبة : من الضروري الحصول على جمع وتحليل ومراقبة أحداث الأمن السيبراني في الوقت المناسب للكشف المبكر عن الهجمات الإلكترونية المحتملة من أجل منع أو تقليل الآثار السلبية على عمليات مؤسستك. يمكن لـ Tripwire Enterprise أيضًا إجراء المسح الضوئي وفقًا لمتطلبات الأمن السيبراني لسجلات الأحداث وإدارة المراقبة.

يمكن للمؤسسات مراقبة أدائها بسهولة عبر كل هذه الضوابط الأمنية وغيرها باستخدام لوحة القيادة التي توفرها شركة Tripwire Enterprise.

يوفر Tripwire Enterprise للعملاء على وجه التحديد العديد من إمكانات إدارة التكوين الآمن (SCM). وتشمل هذه ما يلي:

  • دعم نظام التشغيل والتطبيقات : يدعم Tripwire أكثر من 1000+ سياسة يمكن للمؤسسات استخدامها لتغطية بنيتها التحتية.
  • مرونة السياسة : يمنح برنامج Tripwire SCM العملاء المرونة لتعديل سياسات الاختبار بمرونة عالية ، مما يمنح العميل القدرة على بناء معياره الخاص بناءً على المعيار العالمي.
  • إغلاق الحلقة التشغيلية : لدى Tripwire SCM إمكانيات مراقبة سلامة الملفات (FIM) لاكتشاف التغييرات على البنية التحتية الحيوية. سيساعد هذا المنظمة على فهم انحراف الامتثال عن طريق اكتشاف التغييرات.

مجتمعة ، يمكن للمؤسسات الاستفادة من إمكانات SCM هذه لضمان سرية وسلامة وتوافر أصول تكنولوجيا المعلومات والتكنولوجيا الخاصة بهم بغرض المساعدة في تنمية الاقتصاد الرقمي للمملكة العربية السعودية.

اشترك في قناتنا على التلجرام


Like it? Share with your friends!

0 Comments

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Choose A Format
Story
Formatted Text with Embeds and Visuals
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Personality quiz
Series of questions that intends to reveal something about the personality