شهدت الحوسبة السحابية استخداماً وانتشاراً واسعاً في المُنشآت السعودية الكبيرة والمتوسطة والصغيرة؛ بسبب مميزاتها والفوائد العائدة من استخدامها. لكن، وكحال أي تقنية في عصر الثورة الصناعية الرابعة، ظهر حول نموذج الحوسبة السحابية الكثير من الإشكاليات والمخاوف، لعل أبرزها: التحديات الأمنية، وكيفية حماية البيانات ومعالجتها ونقلها بأمان، وضمان توافر البنية التحتية والمعلومات بسرية وسلامة، وتوفير فضاء إلكتروني موثوق وآمن ومرن.
وعدم وجود معايير تنظيمية موحدة تُحدد ضوابط تُلزم مزودي الخدمات السحابية بها، أدّى إلى تفاقم الشكوك حول جدوى استخدام هذا النموذج في المؤسسات والهيئات الوطنية الحكومية بشكل خاص.
لذلك قامت الهيئة الوطنية للأمن السيبراني بتطوير ضوابط الأمن السيبراني للحوسبة السحابية (2020: 1-CCC)، والتي تأتي امتداداً للضوابط الأساسية للأمن السيبراني ومكملة لها.
وتهدف هذه الضوابط إلى تحديد الحد الأدنى من متطلبات الأمن السيبراني للحوسبة السحابية لكل من مقدمي الخدمات السحابية والمستفيدين، لتمكينهم من تقديم واستخدام خدمات الحوسبة السحابية بأمان، وتقليل المخاطر السيبرانية، ممّا يدعم استمرارية الأعمال.
ما هي ضوابط الأمن السيبراني للحوسبة السحابية؟
تم إنشاء البرنامج كمبادرة تهدف إلى زيادة الشفافيّة في تنفيذ الممارسات الأمنيّة لموفري الخدمات السحابيّة في جميع أنحاء العالم، فهو يشكل المزيج الصحيح من عناصر التحكّم في الخدمات السحابيّة القادرة على تقييم الخدمات السحابيّة وفقاً لمعايير PCI DSS، ISO27001، NIST SP800-53، COBIT، HIPPA، BITS، Fed RAMP، GAPP وغيرها من المعايير الدوليّة. يمكن اعتبار برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) كأحد البرامج القويّة لضمان أمن الخدمات السحابيّة، حيث يجمع بين المبادئ الرئيسيّة للشفافيّة والتدقيق الدقيق ومواءمة المعايير. إنّ ضمان الثقة الامنية والمخاطر (STAR) يمكن أن يضمن الشفافيّة في التعامل الأمني المتوافق مع المعايير العالميّة والقدرة على المراجعة من أيّ مدقق وفي أيّة جزئية خاصة.
تعتبر المنظمات التي تستخدم برنامج ضمان الثقة الأمنية والمخاطر (STAR) الأفضل من ناحية الممارسات الأمنية والتحقق من السلامة الأمنية لمنتجاتها القائمة على الحوسبة السحابيّة في جميع أنحاء العالم. يقدم برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) وثائق سجل ضامنة للخصوصية والأمان لجميع عناصر التحكّم التي تستخدم وفقاً لمعايير الحوسبة السحابيّة. حيث يوفر هذا السجل الأدوات والمراجع اللازمة لأيّ عميل يفكر في الاستفادة من الخدمات السحابيّة لتقييم مزوّد الخدمة قبل الالتزام معه ويساعده في اتّخاذ القرارات الصحيحة.
مميزات ضوابط الأمن السيبراني للحوسبة السحابية
- تتميَّز الضوابط المذكورة في الوثيقة 2020: 1-CCC بكونها تتواءم مع عدة معايير عالمية ذات صلة بالأمن السيبراني والحوسبة السحابية، مثل: 27001 IEC/ISO، و FedRAMP، وضوابط CCM، وC5، ومعايير الأمن السحابي في سنغافورة.
- ضوابط الأمن السيبراني للحوسبة السحابية هي امتداد مُكمّل للضوابط الأساسية للأمن السيبراني.
- تُعطي هذه الضوابط اهتماماً بالغاً للمحاور الأساسية التي يرتكز عليها الأمن السيبراني (الاستراتيجية والأشخاص والإجراءات والتقنية).
- تُركّز هذه الضوابط على خدمات الحوسبة السحابية من منظور مقدمي الخدمات والمستفيدين.
ما أهمية ضوابط الأمن السيبراني للحوسبة السحابية؟
- كمقدّم خدمات سحابية، عند تطبيق والامتثال لضوابط CCC-1-2020 فإنك تكتسب سمعة جيدة وتأخذ أفضلية للعمل كمقدم خدمات للجهات الحكومية.
- رفع جاهزية المُنشآت حيال المخاطر السيبرانية المحتملة.
- تساعد على التوافق مع المعايير التنظيمية الدولية، نظراً لأن هذه الضوابط تتواءم مع معايير دولية أُخرى ذات صلة.
- ضمان إدارة مخاطر الأمن السيبراني وحماية الأصول المعلوماتية والتقنية لدى مقدمي الخدمات والمشتركين.
- ضمان حماية بيانات ومعلومات مقدمي الخدمات السحابية والمستفيدين.
- اكتشاف الثغرات في الوقت المناسب، ومعالجتها بشكل فعال؛ وذلك لمنع احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية أو تقليلها، وكذلك التقليل من الآثار المترتبة على الأعمال الخاصة بمقدمي الخدمات والمشتركين.
نطاق عمل ضوابط الأمن السيبراني للحوسبة السحابية
أُعدَّت ضوابط الأمن السيبراني للحوسبة السحابية لتكون ملائمة لمتطلبات الأمن السيبراني لمقدمي الخدمات والمشتركين، بتنوع طبيعة أعمالهم وتنوع أحجامها، ضمن نطاق العمل، وتشمل:
- أي جهة حكومية داخل المملكة العربية السعودية أو خارجها (وتشمل الوزارات والهيئات والمؤسسات وغيرها).
- الجهات والشركات التابعة للحكومة.
- مقدمو الخدمات الذين يقدمون خدمات الحوسبة السحابية لجهات سعودية خارج المملكة.
- جهات القطاع الخاص التي تمتلك أو تُشغّل أو تستضيف بنى تحتية وطنية حسّاسة.
الجدير بالذكر، أنَّ تطبيق هذه الضوابط غير مقتصر على الجهات المذكورة في الأعلى، بل يمكن للجهات الأُخرى في المملكة الإستفادة من هذه الضوابط أيضاً، وفي الحقيقة، تُشجّع الهيئة الوطنية للأمن السيبراني جداً على تطبيق هذه الضوابط بما يناسب المُنشآت خارج نطاق عمل الوثيقة.
تطبيق ضوابط الأمن السيبراني للحوسبة السحابية
تحقيقاً لما ورد في الفقرة الثالثة من المادة العاشرة في تنظيم الهيئة الوطنية للأمن السيبراني، وكذلك ما ورد في الأمر السامي الكريم رقم 57231 وتاريخ 10/11/1439 هـ، يجب على جميع الجهات، ضمن نطاق عمل هذه الضوابط، تنفيذ ما يحقق الالتزام الدائم والمستمر بضوابط الأمن السيبراني للحوسبة السحابية.
وتقوم الهيئة الوطنية للأمن السيبراني (NCA) بإعطاء فترة محددة لمقدمي الخدمات والمشتركين لتطبيق الضوابط. كما تقوم بتقييم مدى التزام مقدمي الخدمات السحابية والمشتركين بالضوابط. ويتم التقييم وفق آلية تُحددّها NCA، وقد تكون عبر التقييم الذاتي لمقدمي الخدمات والمشتركين، و/أو تقييم خارجي من قبل الهيئة الوطنية للأمن السيبراني أو من ينيبه.
مكونات ضوابط الأمن السيبراني للحوسبة السحابية
تحتوي الوثيقة على 37 ضابطاً أساسياً و 96 ضابطاً فرعياً لمزودي الخدمات السحابية، و 18 ضابطاً أساسياً و26 ضابطاً فرعياً للمشتركين، مقسمة على أربعة مكونات رئيسية كالآتي:
- حوكمة الأمن السيبراني
- تعزيز الأمن السيبراني
- صمود الأمن السيبراني
- الأمن السيبراني المتعلق بالأطراف الخارجية
كيف تساعدك شركة ريناد المجد لتقنية المعلومات (RMG)؟
- تحليل الفجوات (Gap Analysis) وإجراء تقييم النضج
- تطبيق ضوابط الأمن السيبراني للحوسبة السحابية
- تصميم وتطبيق أُطر الأمن السيبراني
- خدمات تصميم وتطوير وتطبيق وتشغيل أنظمة الجودة الأمنية (الآيزو)
- خدمات تأهيل وتوظيف الكوادر الأمنية المؤهّلة
- برامج تدريب تخصصي لنقل المعرفة وتوعية العامل البشري في المُنشأة
- التدقيق الداخلي
- تركيب وتشغيل حلول السحابة والحلول الأمنية
لماذا تختار شركة ريناد المجد لتقنية المعلومات (RMG)؟
- بـطلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لك فرصة الاستفادة من +60 استشاري وخبير لتطوير وتنمية أعمالك.
- تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع، كونها تُدرك جيداً الأبعاد العميقة للمحاور والمؤشّرات الواردة في الوثيقة.
- فريق خبير في تنفيذ تقييم الثغرات (Vulnerability Assessment).
- خبرة طويلة في مجال تنفيذ اختبارات الاختراق (Penetration Test).
- مركز عمليات يعمل بشكل مستمر (24 ساعة/ 7 أيام).
- قدرة الشركة على تغطية جميع المجالات التي يُركِّز عليها الأمن السيبراني، حيث تمتلك الشركة سابقة أعمال في التحول الرقمي، والحوكمة، واستمرارية الأعمال، ومعايير الآيزو العالمية، والحوسبة السحابية وأمن الشبكات وأمن المعلومات.