كل مُنظَّمة ناجحة، بغض النظر عن طبيعة عملها، يوجد فيها أنظمة متعددة تتكامل وتتفاعل فيما بينها، مثل: الأنظمة الحاسوبية، والأنظمة الإلكترونية، والأنظمة الميكانيكية. وإن كان لكل نظام دور في المنظّمة، فإن لبعض هذه النُظم دور أكثر أهمية من غيرها، وتسمّى الأنظمة الحساسة، وتعدُّ حمايتها جزءاً لا يتجزأ من استراتيجية المنظّمة نحو بقاءها.
ونظراً لأهمية هذه النُظم والحاجة الماسة للحفاظ عليها من الوصول غير المصرح به؛ سعت الجهات المختصة إلى توفير الحماية لها من خلال توفير الأدوات والوسائل اللازمة لحماية المعلومات من المخاطر الداخلية أو الخارجية.
لذلك، وبعد أن قدمت الهيئة الوطنية للأمن السيبراني (NCA) في المملكة ضوابط الأمن السيبراني الأساسية، طورت أيضًا، في عام 2019، ضوابط الأمن السيبراني للأنظمة الحساسة (CSCC – 1: 2019)، والتي تفرض الحد الأدنى من متطلبات الأمن السيبراني للأنظمة الحسّاسة والحيوية داخل المُنشآت الوطنية.
أولًا، ما هي الأنظمة الحساسة؟
هو أي نظام أساسي ولا غنى عنه في المنظمة. يتكامل مع عدة نُظم داخلية وخارجية. ويؤدي تعطلها، أو التغيير غير المشروع لطريقة عملها، أو الدخول غير المصرح به لها، أو للبيانات والمعلومات التي تحفظها أو تعالجها؛ إلى التأثير السلبي على تقديم خدمات، أو أعمال الجهة العامة، أو إحداث آثار اقتصادية، أو مالية، أو أمنية، أو اجتماعية سلبية كبيرة على المستوى الوطني.
ومن الأمثلة على أنظمة حساسة داخل المملكة: أنظمة الاتصال، الأجهزة الطبية، مراقبة حركة المرور، مراقبة الحركة الجوية، أنظمة التحكم بالسيارات، نظام حساب العملاء في المصرف.
متى نعتبر النظام حسّاساً؟
يمكن اعتبار النظام حساساً إذا كان في تعطله، أو التغيير غير المشروع لطريقة عمله، أو الدخول غير المصرح به له، أو للبيانات والمعلومات التي يحفظها أو يعالجها، تؤدّي إلى واحدة أو أكثر من النتائج التالية:
- التأثير السلبي على الأمن الوطني
- تعريض حياة الإنسان أو سلامته للخطر
- التأثير السلبي على السمعة
- خسائر مالية كبيرة
- الإفشاء غير المصرح به لبيانات يكون تصنيفها سري أو سري للغاية
- التأثير السلبي على خدمات مقدمة لعدد كبير من المستخدمين
أهمية ضوابط الأمن السيبراني للأنظمة الحساسة
- حماية المُنشآت الوطنية، بما في ذلك البُنى التحتية وأجهزة معالجة المعلومات، من الهجمات السيبرانية
- حماية الأصول المعلوماتية والتقنية
- تحقيق المتطلبات التشريعية والتنظيمية
- تضمين ضوابط الأمن السيبراني في منهجية إدارة مشاريع المُنشآت
- إدارة ومعالجة المخاطر السيبرانية بفعالية وتقليل آثارها
- منع الوصول غير المصرح، وتقييد الوصول إلى الأصول المعلوماتية والتقنية
- تقييم مدى فعالية قدرات الأمن السيبراني داخل المُنشآت
- ضمان توافر متطلبات الأمن السيبراني في إدارة استمرارية أعمال المُنشآت
نطاق ضوابط الأمن السيبراني للأنظمة الحساسة
يجب على جميع المُنشآت المالكة أو المُشغّلة للأنظمة الحساسة تطبيق جميع الضوابط القابلة للتطبيق عليها، وتشمل:
- جميع الجهات الحكومية داخل المملكة وخارجها
- الشركات والمؤسسات التابعة (كليًا أو جزئيًا) لجهات حكومية
- شركات/مؤسسات القطاع الخاص
تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة
تحقيقاً لما ورد في الفقرة الثالثة من المادة العاشرة في تنظيم الهيئة الوطنية للأمن السيبراني، وكذلك ما ورد في الأمر السامي الكريم رقم 57231 وتاريخ 10/11/1439 هـ وما ورد عن الأمر السامي الكريم ذي رقم 7732 وتاريخ 12/2/1440 هـ، يجب على جميع الجهات، ضمن نطاق عمل هذه الضوابط ما يلي:
- تحديد أنظمتها الحساسة.
- تنفيذ ما يحقق الالتزام بهذه الضوابط على الأنظمة الحساسة المحددة؛ خلال فترة تحقيق الالتزام التي تحددها الهيئة الوطنية للأمن السيبراني، على أن يتم تقييم المخاطر السيبرانية وإدارتها، خلال هذه الفترة لتقليل المخاطر المحتملة.
- تنفيذ ما يحقق الالتزام الدائم والمستمر، بعد فترة تحقيق الالتزام.
والجدير بالذكر، أن هذه الضوابط مرتبطة ارتباطًا وثيقًا بالضوابط الأساسية للأمن السيبراني، الصادرة عن الهيئة الوطنية للأمن السيبراني. إذ لا يمكنك تحقيق الالتزام بضوابط الأمن السيبراني للأنظمة الحساسة إلّا من خلال الالتزام المستمر بالضوابط الأساسية للأمن السيبراني.
كيف تساعدك شركة ريناد المجد لتقنية المعلومات (RMG) في تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة؟
تقدم شركة ريناد المجد الخدمات التالية لمساعدة المنظمات من خلال التقييم والتنفيذ المناسبين لمعايير الهيئة الوطنية للأمن السيبراني:
- تحليل الفجوات (Gap Analysis) وإجراء تقييم النضج، واختبارات الاختراق
- تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة
- تصميم وتطبيق أُطر الأمن السيبراني اللازمة
- تصميم وتطوير وتطبيق وتشغيل أنظمة الجودة الأمنية (الآيزو)
- خدمات تأهيل وتوظيف الكوادر الأمنية المُؤهّلة، وتأسيس أقسام الأمن السيبراني الداخلية
- برامج تدريب تخصصي لنقل المعرفة وتوعية العامل البشري في المُنشأة
- التدقيق ومراجعة نُظم الجودة والحوكمة وإدارة المخاطر في المُنشآت
- تركيب وتشغيل الحلول الأمنية (المادية والإلكترونية)
- إجراء مراجعة مفصلة وشاملة لوضع الأمن السيبراني في مؤسستك
- تقديم الاستشارات الموضوعية
لماذا تختار شركة ريناد المجد لتقنية المعلومات (RMG)؟
- عند طلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لك فرصة الاستفادة من +60 استشاري وخبير في مجالات الأمن السيبراني، وتقنية المعلومات، ومعايير الآيزو العالمية.
- تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع، كونها تُدرك جيداً الأبعاد العميقة للمحاور والمؤشّرات الواردة في الوثيقة.
- فريق خبير في تنفيذ تقييم الثغرات (Vulnerability Assessment).
- خبرة طويلة في مجال تنفيذ اختبارات الاختراق (Penetration Test).
- مركز عمليات يعمل بشكل مستمر (24 ساعة/ 7 أيام).
- معايير عالية في تقديم الخدمات، وتخصيص الخدمة بناءً على احتياجات العمل.