استشارات تطبيق إطار (SAMA Cybersecurity Framework)

يتم تعريف الأمن السيبراني على أنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية وضمانات الأمان والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المنظمة من التهديدات المحتملة من الداخل والخارج. تم وضع إطار عمل الأمن السيبراني الإلكتروني (SAMA Cybersecurity Framework) الذي نشرته البنك المركزي السعودي عام 2017 لتوحيد إجراءات وعمليات أمن المعلومات في القطاع المالي السعودي. يعتبر اعتماد وتنفيذ إطار SAMA خطوة حيوية لضمان تمكين قطاع البنوك والتمويل والتأمين في المملكة العربية السعودية من إدارة مخاطر الأمن السيبراني والتصدي لها. يحدد إطار عمل الأمن السيبراني في مؤسسة النقد العربي السعودي الضوابط المناسبة ويقدم إرشادات حول كيفية تقييم مستوى الأداء والنضج، كذلك سيضمن اعتماد إطار العمل إدارة مخاطر الأمن السيبراني في جميع القطاعات المالية. ويعتبر الاطلاع على نظام الأمن السيبراني التابع لمؤسسة النقد العربي السعودي (ساما – SAMA) ضرورياً للقيام بتحليل فعَّال للثغرات. حيث أنه يمكن تحقيق التنقل السلس في خطة نظام الامتثال، وتطور مستويات النضج عن طريق فهم التفاصيل الأساسية وتطبيقها.

أين يطبق الأمن السيبراني (SAMA Cybersecurity Framework)؟

يطبق الإطار على جميع المنظمات الأعضاء الواقعة تحت مظلة مؤسسة النقد العربي السعودي، والتي تشمل ما يلي:

  • جميع البنوك العاملة في المملكة العربية السعودية.
  • جميع شركات التأمين و / أو إعادة التأمين العاملة في المملكة العربية السعودية.
  • جميع شركات التمويل العاملة في المملكة العربية السعودية.
  • جميع مكاتب الائتمان العاملة في المملكة العربية السعودية.
  • البنية التحتية للسوق المالي.

النطاق

يحدد الإطار المبادئ والأهداف لبدء وتنفيذ وصيانة ومراقبة وتحسين ضوابط الأمن السيبراني في المنظمات.

ويوفر الإطار ضوابط الأمن السيبراني التي تنطبق على الأصول المعلوماتية للمنظمة، بما في ذلك:

  • معلومات الكترونية.
  • معلومات ورقية.
  • التطبيقات والبرامج والخدمات الإلكترونية وقواعد البيانات.
  • أجهزة الحاسب والآلات الإلكترونية وملحقاتها.
  • أجهزة تخزين المعلومات.
  • المباني والمعدات والشبكات الحاسوبية (البنية التحتية التقنية).
النطاق

ويتكون الإطار من أربعة مجالات رئيسية:

  1. قيادة الأمن السيبراني والحوكمة (1 Cyber security Leadership & Governance)
  2. إدارة مخاطر الأمن السيبراني والامتثال (2 Cyber security Risk Management & Compliance)
  3. عمليات وتقنيات الأمن السيبراني (Cyber Security Operation & Technology)
  4. الأمن السيبراني للطرف الثالث (Third Party Cyber Security)
مجالات الإطار

مستويات النضج في إطار عمل ساما

تم تقسيم مستويات النضج إلى خمسة مستويات تتفاوت حسب مستوى الالتزام بتطبيق الإرشادات والعمليات والسياسات:

مستوى النضج صفر: غير موجود (0- Non-existent)

هو المستوى الأضعف بين المستويات حيث:

  • لا يوجد وثائق
  • لا يوجد وعي
  • لا يوجد اهتمام بتطبيق المعايير والتوصيات الأمنية.

مستوى النضج الأول: المرتجل  (1- Ad-hoc)

يمتاز هذا المستوى بعدم التخطيط السليم لمتطلبات المستقبل والأفعال المرتجلة:

  • ضوابط الأمن السيبراني غير معرفة أو معرفة بشكل جزئي.
  • يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير منسجمة
  • لم يتم تعريف ضوابط الأمن السيبراني بشكل كامل

مستوى النضج الثاني: قابل للتكرار ولكن غير رسمي (2- Repeatable but informal)

لتحقيق المستوى الثاني من النضج، يجب تحديد وتعريف ضوابط الأمن السيبراني واعتمادها وتنفيذها. بالإضافة إلى ذلك، يجب أن تراقب الامتثال لوثائق الأمن السيبراني بشكل دائم.

مستوى النضج الثالث: منظم ورسمي (3- Structured & formalized)

يتم تحديد وتعريف ضوابط الأمن السيبراني وتوثيق الموافقة عليها وإجراء تنفيذها بطريقة منظمة. ويتم إنشاء سياسات ومعايير وإجراءات الأمن السيبراني .

مستوى النضج الرابع: مدار وقابل للقياس (4- Managed & measurable)

تتم مراجعة وتحسين الضوابط الأمنية الفعالة بشكل دوري وعادة ما تكون عمليات المراجعة والتقييم هذه موثقة ولتحقيق المستوى الرابع من النضج، يجب القياس بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني المنفذة. من أجل قياس وتقييم ما إذا كانت ضوابط الأمن السيبراني فعالة، يجب تحديد مؤشرات المخاطر الرئيسية (KRI).

مستوى النضج الخامس: التكيف (5-Adaptive)

يركز مستوى النضج الخامس على التحسين المستمر لضوابط الأمن السيبراني. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات الأمن السيبراني وتحديد التحسينات الهيكلية ضمن خطة التحسين المستمر الشاملة.

كيف تستطيع شركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك؟

تعد شركة ريناد المجد لتقنية المعلومات (RMG) من أوائل الشركات السعودية التي نجحت بتطبيق إطار العمل المعتمد من ساما.

تقدم الشركة حزمة من الخدمات تتلخص ب:

  • إجراء تقييم النضج.
  • تطبيق إطار الأمن السيبراني المعتمد من مؤسسة النقد العربي السعودي.
  • تقديم خدمات التدريب ونقل المعرفة.
  • تطبيق منصة كونتكست  (Context™) لشركائنا في  resecurity وتدريب المؤسسة المالية عليها، والتي كان لها الفضل في كشف عمليات تصيد احتيالي تعرضت لها مجموعة من المؤسسات المالية في المملكة السعودية مؤخراً وساعدت في عمليات استرداد الأموال المسروقة.

توفر منصة كونتكست  ضمن نطاق إطار العمل الخاص بمؤسسة النقد العربي السعودي الخدمات التالية:

  1. موجز عن التهديدات السيبرانية التي واجهت الجهة تم استنباطها من أكثر من ٣٥٠٠٠ نقطة بيانات فريدة
  2. مؤشرات الاختراق (IoCs)
  3. اشعارات وتحذيرات استباقية من المجموعات الإجرامية الجديدة وأدواتهم وتكتيكاتهم والإجراءات التي يتبعونها في هجماتهم الإلكترونية
  4. تقديم الدعم لخبراء الأمن السيبراني في الجهة بملخصات استخبارات التهديدات
  5. تحليل أي نشاطات ضارة من خلال تقديم خدمات الاستخبارات البشرية (HUMINT) والدعم الاستقصائي.

 

تواصل معنا اليوم وسنكون سعداء بخدمتك



الأسئلة الشائعة

أنشأت مؤسسة النقد العربي السعودي (ساما)، وهو البنك المركزي للمملكة العربية السعودية، إطار مؤسسة النقد العربي السعودي للأمن السيبراني عام 2017؛ لتوحيد إجراءات وعمليات أمن المعلومات والضوابط المناسبة وتقديم إرشادات حول كيفية تقييم مستوى أداء ونضج المؤسسات في القطاع المالي السعودي، كدفاع ضد التهديدات الإلكترونية المتزايدة.
بشكل عام، يعتبر إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي إطارًا شاملاً للغاية وتعليميًا بطبيعته، حيث ينشر مبادئ وأهداف الأمن السيبراني الرئيسية التي يتعين على كل كيان مالي يقع تحت مظلة المؤسسة تحقيقها.

هو إطار شامل للأمن السيبراني يساعد المؤسسات المالية التي تقع تحت مظلّة مؤسسة النقد العربي السعودي على تأمين أصول المعلومات والخدمات عبر الإنترنت، وتمكين قطاع البنوك والتمويل والتأمين في المملكة العربية السعودية من إدارة مخاطر الأمن السيبراني والتصدي لها بفعالية.
ويمكن تعريف الإطار على أنه جميع الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات وبرامج التدريب وأفضل الممارسات والتقنيات التي يمكن استخدامها لحماية الأصول المعلوماتية للمنظمات الأعضاء من التهديدات الداخلية والخارجية.

يستوجب تطبيق إطار عمل ساما للأمن السيبراني في جميع المنظمات الأعضاء التي تُنظّمها مؤسسة النقد العربي السعودي، والتي تشمل:

  • جميع البنوك العاملة في المملكة العربية السعودية
  • جميع شركات التأمين و/ أو إعادة التأمين العاملة في المملكة العربية السعودية
  • جميع شركات التمويل العاملة في المملكة العربية السعودية
  • جميع مكاتب الائتمان العاملة في المملكة العربية السعودية
  • البنية التحتية للسوق المالي
  • وضع نهج مشترك لمعالجة تهديدات الأمن السيبراني داخل المنظمات الأعضاء في مؤسسة النقد العربي السعودي “ساما”
  • تحقيق مستوى نضج مناسب من الضوابط الأمنية داخل المنظمات الأعضاء في “ساما” ومساعدتها على الوصول إلى أعلى درجات الالتزام والفاعلية في مجال الأمن السيبراني
  • ضمان إدارة المخاطر الأمنية السيبرانية بكفاءة وفعالية في جميع المنظمات الأعضاء في “ساما”

يوفر الإطار ضوابط أمنية تنطبق على الأصول المعلوماتية، بما في ذلك:

  • المعلومات الإلكترونية
  • المعلومات المادية (نُسَخ ورقية)
  • التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات
  • أجهزة الحاسب والآلات الإلكترونية وملحقاتها (مثل أجهزة الصراف الآلي)
  • أجهزة تخزين المعلومات (مثل القرص الصلب، وكابلات يو اس بي USB)
  • المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية)

تم تكليف مؤسسة النقد العربي السعودي، البنك المركزي السعودي حاليًا، بإنشاء هذا الإطار ومسؤولية تحديثه بصورة دورية، وتقديم شرح للمبادئ، والأهداف، واعتبارات الرقابة والتدقيق، عند اقتضاء الحاجة.
وتقع مسؤولية المنظمات الأعضاء في “ساما” في اعتماد الإطار وتنفيذه بالشكل اللازم والتأكّد بشكل دوري من الامتثال لمتطلبات وتحديثات الإطار.

يتمحور الإطار حول أربعة مجالات رئيسية، هي:

  • القيادة والحكم
  • إدارة المخاطر والامتثال
  • العمليات والتكنولوجيا
  • اعتبارات الطرف الثالث

حسنًا، هذا هو سؤال الجميع بالعادة، لذا لا تقلق، أنت لست وحدك. لكي يتم تطبيق الإطار بفعالية، أنت بحاجة لخبير أمن سيبراني مختص يُرشدك خلال رحلة امتثال منظّمتك لإطار ساما للأمن السيبراني. واختصارًا للوقت وتوفير الموارد، تلجأ المنظّمات في هذه الحالات إلى التعاقد مع مستشارين أمن سيبراني محترفين.

شركة ريناد المجد لتقنية المعلومات والاستشارات (RMG) تعتبر أحد بيوت الخبرة في الممكلة، ومن أوائل الشركات التي نجحت في تشغيل وإظهار امتثال لإطار ساما. وتُقدّم الخدمات التالية في هذا الحقل:

  1. تقييم الوضع الحالي لامتثال منظّمتك لإطار SAMA CSF باستخدام منهجية تقييم الفجوات
  2. إجراء تقييم مخاطر
  3. وضع خطط لمعالجة الثغرات والمخاطر المحددة
  4. إجراء اختبار الاختراق
  5. سيقوم محللو الأمن لدينا بتطوير سياسات وإجراءات أمن المعلومات المطلوبة منك
  6. تقديم برامج توعوية لزيادة الوعي الأمني لدى منسوبي المنظّمة
  7. التدقيق الداخلي
  8. قياس مستوى النضج
  9. تقديم استشارات بشأن معالجة الثغرات التكنولوجية وتنفيذ الضوابط التقنية