ألزمت الهيئة الوطنية للأمن السيبراني في مسودة ضوابط الأمن السيبراني للحوسبة السحابية، مقدمي الخدمة بتحقيق الالتزام الدائم والمستمر باشتراطات الأمن السيبراني، مقسمة الاشتراطات إلى 4 مستويات، ليصنف المستوى الأول استخدام البيانات «سري للغاية» حسبما يصدر من الجهة المختصة، كاشفة نيتها للرقابة عن طريق الزيارات الميدانية، لضمان تحقيق الالتزام بالاشتراطات.
مستويات سرية
حسب تفاصيل المسودة الجديدة، جاء المستوى الثاني مصنفا لاستخدام البيانات بـ»السري» حسبما يصدر من الجهة المختصة، أما الثالث فصنف استخدام البيانات فيه بـ»مقيد»، والمستوى الرابع صنف استخدام البيانات بـ»متاح» حسبما تصدره الجهة المختصة.
المراقبة الميدانية
شددت الهيئة على أنها ستقوم بتقييم التزام مقدمي الخدمات والمشتركين بما ورد في الوثيقة، بطرق عدة، منها التقييم الذاتي لمقدمي الخدمات والمشتركين، أو الزيارات الميدانية للتدقيق من قِبل الهيئة، أو عن طريق التنبيه وفق الآلية التي تراها الهيئة مناسبة لذلك.
مسح أمني
أكدت المسودة على ضرورة أن تغطي متطلبات الأمن السيبراني خلال العلاقة المهنية بين العاملين، إذ يجب تحديد درجة المخاطر لكل منصب أو مسمى وظيفي، وتحديد مواصفات الموظفين المطلوبة لكل درجة، مع إجراء المسح الأمني للعاملين الذين ينتهكون سياسات أو إجراءات الأمن السيبراني، مع توقيع واعتماد اتفاقيات صلاحية الوصول كشرط مسبق للوصول إلى أنظمة CTS.
تجميع وتحليل
بيّنت الهيئة أن مقدم الخدمة هو أي شخص يقدم خدمات الحوسبة السحابية إلى العموم، سواء بشكل مباشر أو غير مباشر، خلال مراكز بيانات داخل المملكة أو خارجها، ويديرها بنفسه بشكل كلي أو جزئي.
وجاء الهدف في إدارة سجلات الأحداث ومراقبة الأمن السيبراني، لضمان تجميع وتحليل ومراقبة سجلات وأحداث الأمن السيبراني في الوقت المناسب، للاكتشاف الاستباقي للهجمات السيبرانية وإدارة مخاطرها بفعالية، لمنع أو تقليل الآثار المترتبة على أعمال مقدمي الخدمات والمشتركين.
إدارة الحوادث
لضمان إدارة الحوادث وتهديدات الأمن السيبراني، ألزمت المسودة اكتشاف حوادث الأمن السيبراني في الوقت المناسب، وإدارتها بشكل فعال، والتعامل مع التهديدات استباقيا، لمنع أو تقليل الآثار المترتبة على أعمال مقدمي الخدمات والمشتركين.
ثغرات تقنية
شددت الهيئة في مسودتها على ضمان اكتشاف الثغرات التقنية في الوقت المناسب، ومعالجتها بشكل فعال، منعا لاحتمالات استغلالها من قِبل الهجمات السيبرانية أو تقليلها، مع التقليل من الآثار المترتبة على الأعمال الخاصة بمقدمي الخدمات والمشتركين.
تطوير المسودة
طورت الهيئة المسودة، بناءً على معايير وضوابط وممارسات دولية للأمن السيبراني للحوسبة السحابية، لكل من مقدمي الخدمات والمشتركين، للإسهام في تمكينهم من تقديم واستخدام خدمات حوسبة سحابية آمنة، وتقليل المخاطر السيبرانية على خدمات الحوسبة السحابية.
وفعّلت الهيئة دور ذوي المصلحة والعموم في المشاركة والإسهام في إبداء الرأي، فيما دعت ذوي المصلحة إلى إبداء آرائهم ومقترحاتهم حول مسودة ضوابط الأمن السيبراني للحوسبة السحابية.
مستويات لاشتراطات الأمن السيبراني
01 سري للغاية
02 سري
03 مقيد
04 متاح
مَن مقدم الخدمة؟
«أي شخص يقدم خدمات الحوسبة السحابية إلى العموم، سواء بشكل مباشر أو غير مباشر، خلال مراكز بيانات داخل المملكة أو خارجها، ويديرها بنفسه بشكل كلي أو جزئي»
طرق تقييم مقدمي الخدمات والمشتركين
- التقييم الذاتي
- الزيارات الميدانية
- التنبيه وفق الآلية التي تراها الهيئة
مستويات سرية
حسب تفاصيل المسودة الجديدة، جاء المستوى الثاني مصنفا لاستخدام البيانات بـ»السري» حسبما يصدر من الجهة المختصة، أما الثالث فصنف استخدام البيانات فيه بـ»مقيد»، والمستوى الرابع صنف استخدام البيانات بـ»متاح» حسبما تصدره الجهة المختصة.
المراقبة الميدانية
شددت الهيئة على أنها ستقوم بتقييم التزام مقدمي الخدمات والمشتركين بما ورد في الوثيقة، بطرق عدة، منها التقييم الذاتي لمقدمي الخدمات والمشتركين، أو الزيارات الميدانية للتدقيق من قِبل الهيئة، أو عن طريق التنبيه وفق الآلية التي تراها الهيئة مناسبة لذلك.
مسح أمني
أكدت المسودة على ضرورة أن تغطي متطلبات الأمن السيبراني خلال العلاقة المهنية بين العاملين، إذ يجب تحديد درجة المخاطر لكل منصب أو مسمى وظيفي، وتحديد مواصفات الموظفين المطلوبة لكل درجة، مع إجراء المسح الأمني للعاملين الذين ينتهكون سياسات أو إجراءات الأمن السيبراني، مع توقيع واعتماد اتفاقيات صلاحية الوصول كشرط مسبق للوصول إلى أنظمة CTS.
تجميع وتحليل
بيّنت الهيئة أن مقدم الخدمة هو أي شخص يقدم خدمات الحوسبة السحابية إلى العموم، سواء بشكل مباشر أو غير مباشر، خلال مراكز بيانات داخل المملكة أو خارجها، ويديرها بنفسه بشكل كلي أو جزئي.
وجاء الهدف في إدارة سجلات الأحداث ومراقبة الأمن السيبراني، لضمان تجميع وتحليل ومراقبة سجلات وأحداث الأمن السيبراني في الوقت المناسب، للاكتشاف الاستباقي للهجمات السيبرانية وإدارة مخاطرها بفعالية، لمنع أو تقليل الآثار المترتبة على أعمال مقدمي الخدمات والمشتركين.
إدارة الحوادث
لضمان إدارة الحوادث وتهديدات الأمن السيبراني، ألزمت المسودة اكتشاف حوادث الأمن السيبراني في الوقت المناسب، وإدارتها بشكل فعال، والتعامل مع التهديدات استباقيا، لمنع أو تقليل الآثار المترتبة على أعمال مقدمي الخدمات والمشتركين.
ثغرات تقنية
شددت الهيئة في مسودتها على ضمان اكتشاف الثغرات التقنية في الوقت المناسب، ومعالجتها بشكل فعال، منعا لاحتمالات استغلالها من قِبل الهجمات السيبرانية أو تقليلها، مع التقليل من الآثار المترتبة على الأعمال الخاصة بمقدمي الخدمات والمشتركين.
تطوير المسودة
طورت الهيئة المسودة، بناءً على معايير وضوابط وممارسات دولية للأمن السيبراني للحوسبة السحابية، لكل من مقدمي الخدمات والمشتركين، للإسهام في تمكينهم من تقديم واستخدام خدمات حوسبة سحابية آمنة، وتقليل المخاطر السيبرانية على خدمات الحوسبة السحابية.
وفعّلت الهيئة دور ذوي المصلحة والعموم في المشاركة والإسهام في إبداء الرأي، فيما دعت ذوي المصلحة إلى إبداء آرائهم ومقترحاتهم حول مسودة ضوابط الأمن السيبراني للحوسبة السحابية.
مستويات لاشتراطات الأمن السيبراني
01 سري للغاية
02 سري
03 مقيد
04 متاح
مَن مقدم الخدمة؟
«أي شخص يقدم خدمات الحوسبة السحابية إلى العموم، سواء بشكل مباشر أو غير مباشر، خلال مراكز بيانات داخل المملكة أو خارجها، ويديرها بنفسه بشكل كلي أو جزئي»
طرق تقييم مقدمي الخدمات والمشتركين
- التقييم الذاتي
- الزيارات الميدانية
- التنبيه وفق الآلية التي تراها الهيئة