شركة ريناد المجد أول شركة استشارية سعودية تنجح بتنفيذ مشروع تطبيق إطار الأمن السيبرانيCyber Security
تعد شركة ريناد المجد لتقنية المعلومات أول شركة سعودية استشارية تنجح بتنفيذ مشروع تطبيق إطار الأمن السيبراني SAMA Cyber Security Framework حيث قامت بتطبيقه في الشركة السعودية لتمويل المساكن (SHL) وذلك لما يمثله هذا الإطار من أهمية وضرورة لتحقيق متطلبات المجتمع الرقمي الحالي الذي لديه توقعات عالية بتجربة العملاء الخالية من العيوب ، والتوافر المستمر للخدمات والحماية الفعالة للبيانات الحساسة. أصبحت أصول المعلومات والخدمات عبر الإنترنت ذات أهمية استراتيجية الآن لجميع المؤسسات العامة والخاصة ، وكذلك للمجتمع الأوسع.
هذه الخدمات حيوية لخلق اقتصاد رقمي نابض بالحياة. كما أنها أصبحت مهمة بشكل منهجي للاقتصاد والأمن القومي الأوسع. وكل ذلك يؤكد الحاجة إلى حماية البيانات والمعاملات الحساسة ، وبالتالي ضمان الثقة في القطاع المالي السعودي بشكل عام.
لذلك نجد أن مؤسسة النقد العربي السعودي(SAMA) تقوم الأن بفرض اعتماد تطبيق هذا الإطار على جميع (“المنظمات الأعضاء”) العاملة في مجال القروض والبنوك والخدمات المالية والتأمين من أجل تحديد ومعالجة المخاطر المتعلقة بالأمن السيبراني بفعالية للحفاظ على حماية أصول المعلومات والخدمات عبر الإنترنت.
ما هو الأمن السيبراني؟
يتم تعريف الأمن السيبراني cyber security على أنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية وضمانات الأمان والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المنظمة من التهديدات الداخلية والخارجية.
تشمل الأهداف الأمنية العامة ما يلي:
● السرية – لا يمكن الوصول إلى أصول المعلومات إلا للأشخاص المصرح لهم بالوصول (أي محمي من الكشف غير المصرح به أو (إلغاء) التسرب المقصود للبيانات الحساسة).
● النزاهة – أصول المعلومات دقيقة وكاملة ومعالجتها بشكل صحيح (أي محمية من التعديل غير المصرح به ، والذي قد يتضمن الأصالة وعدم التنصل).
● التوافر – تكون أصول المعلومات مرنة ويمكن الوصول إليها عند اللزوم (أي محمية من انقطاع غير مصرح به).
لذلك نجد أن الإطار يحدد المبادئ والأهداف لبدء وتنفيذ وصيانة ومراقبة وتحسين ضوابط الأمن السيبراني في المنظمات الأعضاء. يوفر الإطار ضوابط الأمن السيبراني التي تنطبق على الأصول المعلوماتية للمنظمة ، بما في ذلك:
● المعلومات الإلكترونية.
● المعلومات الفيزيائية.
● التطبيقات والبرامج والخدمات الإلكترونية وقواعد البيانات.
● أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
● أجهزة تخزين المعلومات (على سبيل المثال ، القرص الصلب ، فلاش ميموري).
● المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).
للإطار علاقة متبادلة مع السياسات المؤسسية الأخرى في المجالات ذات الصلة ، مثل الأمن المادي وإدارة الاحتيال.
القابلية للتطبيق
أين يطبق الأمن السيبراني cyber security ؟
ينطبق الإطار على جميع المنظمات الأعضاء التي تنظمها مؤسسة النقد العربي السعودي ، والتي تشمل ما يلي:
● جميع البنوك العاملة في المملكة العربية السعودية.
● جميع شركات التأمين و / أو إعادة التأمين العاملة في المملكة العربية السعودية.
● جميع شركات التمويل العاملة في المملكة العربية السعودية.
● جميع مكاتب الائتمان العاملة في المملكة العربية السعودية.
● البنية التحتية للسوق المالي
أهم مميزات الأمن السيبراني cyber security
المسؤوليات
الإطار مفوض من قبل مؤسسة النقد العربي السعودي. مؤسسة النقد هي المالك والمسؤولة عن التحديث الدوري للإطار.
المنظمات الأعضاء هي المسؤولة عن اعتماد وتنفيذ الإطار.
التفسير
مؤسسة النقد العربي السعودي ، بصفتها مالك الإطار ، هي وحدها المسؤولة عن تقديم تفسيرات للمبادئ والأهداف واعتبارات التحكم ، إذا لزم الأمر.
الجمهور المستهدف
ويهدف الإطار إلى الإدارة العليا والتنفيذية ، وأصحاب الأعمال ، وأصحاب أصول المعلومات وأولئك المسؤولين عن المشاركة في تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل المنظمات الأعضاء.
المراجعة والتحديث والصيانة
ستقوم مؤسسة النقد العربي السعودي بمراجعة الإطار بشكل دوري لتحديد فعالية الإطار ، بما في ذلك فعالية الإطار لمواجهة التهديدات والمخاطر الأمنية الإلكترونية الناشئة. إن أمكن ، ستقوم مؤسسة النقد العربي السعودي بتحديث الإطار بناءً على نتائج المراجعة.
إذا رأت إحدى المنظمات الأعضاء أن تحديث الإطار مطلوب ، فيجب عليها تقديم التحديث المطلوب رسميًا إلى مؤسسة النقد العربي السعودي. ستراجع مؤسسة النقد العربي السعودي التحديث المطلوب ، وعند الموافقة عليه ، سيتم تعديل الإطار
هيكل الإطار وميزاته
ويتمحور الإطار حول أربعة نطاقات رئيسية، وهي
● قيادة وحوكمة الأمن السيبراني.
● إدارة مخاطر الأمن السيبراني والامتثال لها
● عمليات وتكنولوجيا الأمن السيبراني.
● الأمن السيبراني للطرف الثالث.
لكل نطاق يتم تحديد العديد من النطاقات الفرعية. يركز النطاق الفرعي على موضوع محدد للأمن السيبراني. لكل نطاق فرعي ينص الإطار على اعتبارات مبدئية وموضوعية ومراقبة
المبدأ يلخص المجموعة الرئيسية من ضوابط الأمن السيبراني المطلوبة المتعلقة بالنطاق الفرعي.
الهدف يصف غرض المبدأ وما يتوقع أن تحققه مجموعة ضوابط الأمن السيبراني المطلوبة.
اعتبارات المراقبة تعكس ضوابط الأمن السيبراني الإلزامية التي يجب أخذها في الاعتبار. تم ترقيم اعتبارات التحكم بشكل فريد في جميع أنحاء الإطار. عند الاقتضاء ، يمكن أن يتكون اعتبار التحكم مما يصل إلى 4 مستويات.
يتم ترقيم اعتبارات التحكم وفقًا لنظام الترقيم التالي:
يوضح الشكل أدناه الهيكل العام للإطار ويشير إلى نطاقات الأمن السيبراني والنطاقات الفرعية ، بما في ذلك الإشارة إلى القسم القابل للتطبيق من الإطار.
التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الإطار في المنظمة لتقييم ذاتي دوري. ستقوم المنظمة بإجراء التقييم الذاتي بناءً على استبيان. ستقوم مؤسسة النقد العربي السعودي بمراجعة التقييمات الذاتية ومراجعتها لتحديد مستوى الامتثال للإطار ومستوى نضج الأمن السيبراني في المنظمة.
نموذج نضج الأمن السيبراني
سيتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. يميز نموذج نضج الأمن السيبراني 6 مستويات نضج (0 ، 1 ، 2 ، 3 ، 4 ،5) ، ملخصة في الجدول أدناه. من أجل تحقيق المستويات 3 أو 4 أو 5 ، يجب على المنظمة أولاً تلبية جميع معايير مستويات النضج السابقة.
| Explanation | Definition and Criteria | Maturity Level |
| Cyber security controls are not in place. There may be no awareness of the particular risk area or no current plans to implement such cyber security controls. | * No documentation. *There is No awareness or attention for certain cyber security control. | 0 Non-existent |
| *Cyber security control design and execution varies by department or owner. *Cyber security control design may only partially mitigate the identified risk and execution may be inconsistent. | *Cyber security controls are not or partially defined. * Cyber security controls are performed in an inconsistent way. * Cyber security controls are not fully defined. | 1 Ad-hoc |
| *Repeatable cyber security controls are in place. However, the control objectives and design are not formally defined or approved. * There is limited consideration for a structured review or testing of a control. | *The execution of the cyber security control is * based on an informal and unwritten, though standardized, practice. | 2 Repeatable but informa |
| *Cyber security policies, standards and procedures are established. * Compliance with cyber security documentation i.e., policies, standards and procedures is monitored, preferably using a governance, risk and compliance tool (GRC). * key performance indicators are defined, monitored and reported to evaluate the implementation. | *Cyber security controls are defined, approved and implemented in a structured and formalized way. * The implementation of cyber security controls can be demonstrated. | 3 ctured and formalized |
| Effectiveness of cyber security controls are measured and periodically evaluated. *key risk indicators and trend reporting are used to determine the effectiveness of the cyber security controls. * Results of measurement and evaluation are used to identify opportunities for improvement of the cyber security controls. | *The effectiveness of the cyber security controls are periodically assessed and improved when necessary. * This periodic measurement, evaluations and opportunities for improvement are documented. | 4 Managed and measurable |
| *The enterprise-wide cyber security program focuses on continuous compliance, effectiveness and improvement of the cyber security controls. * Cyber security controls are integrated with enterprise risk management framework and practices. * Performance of cyber security controls are evaluated using peer and sector data. | *Cyber security controls are subject to a continuous improvement plan. | 5 Adaptive |
الهدف من إطار العمل هو إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. لتحقيق مستوى مناسب من نضج الأمن السيبراني ، يجب على المنظمات الأعضاء أن تعمل على الأقل عند مستوى نضج 3 أو أعلى كما هو موضح أدناه.
مستوى النضج الثالث (3)
لتحقيق المستوى الثالث من النضج ، يجب على المنظمة تحديد ضوابط الأمن السيبراني والموافقة عليها وتنفيذها. بالإضافة إلى ذلك ، يجب أن تراقب الامتثال لوثائق الأمن السيبراني.
يجب أن تشير وثائق الأمن السيبراني بوضوح إلى “لماذا” و “ماذا” و “كيف” يجب تنفيذ ضوابط الأمن السيبراني. تتكون وثائق الأمن السيبراني من سياسات الأمن السيبراني ، ومعايير الأمن السيبراني وإجراءات الأمن السيبراني.
يجب اعتماد سياسة الأمن السيبراني وتفويضها من قبل مجلس المنظمة وتوضيح “لماذا” الأمن السيبراني مهم للمنظمة. يجب أن تبرز السياسة أصول المعلومات التي يجب حمايتها و “ما” هي مبادئ وأهداف الأمن السيبراني التي يجب وضعها
بناءً على سياسة الأمن السيبراني ، يجب تطوير معايير الأمن السيبراني. تحدد هذه المعايير “ما” هي ضوابط الأمن السيبراني التي يجب تنفيذها ، مثل معايير الأمان والنظام ، والفصل بين الواجبات ، وقواعد كلمة المرور ، ومراقبة الأحداث وقواعد النسخ الاحتياطي والاسترداد. تدعم المعايير وتعزز سياسة الأمن السيبراني ويجب اعتبارها خطوط أساس للأمن السيبراني.
تم تفصيل المهام والأنشطة خطوة بخطوة التي يجب أن يقوم بها الموظفون أو الأطراف الثالثة أو عملاء المنظمة في إجراءات الأمن السيبراني. تحدد هذه الإجراءات “كيف” يجب تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية الأصول المعلوماتية للمنظمة وفقًا لسياسة ومعايير الأمن السيبراني.
يتم تعريف العملية في سياق هذا الإطار على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. قد تتضمن العملية السياسات والمعايير والمبادئ التوجيهية والإجراءات والأنشطة وتعليمات العمل ، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات وضوابط الإدارة المطلوبة لتسليم المخرجات بشكل موثوق.
يجب مراقبة التقدم الفعلي في تنفيذ وأداء وامتثال ضوابط الأمن السيبراني وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية (KPIs).
مستوى النضج الرابع ( 4)
لتحقيق المستوى الرابع من النضج ، يجب على المنظمة بشكل دوري قياس وتقييم فعالية ضوابط الأمن السيبراني المنفذة. من أجل قياس وتقييم ما إذا كانت ضوابط الأمن السيبراني فعالة ، يجب تحديد مؤشرات المخاطر الرئيسية (KRI). يشير KRI إلى معيار قياس الفعالية ويجب أن يحدد ما إذا كانت النتيجة الفعلية للقياس أقل من القاعدة المستهدفة أو تعمل عليها أو فوقها. تُستخدم KRIs للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.
مستوى النضج الخامس (5)
يركز مستوى النضج الخامس على التحسين المستمر لضوابط الأمن السيبراني. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات الأمن السيبراني وتحديد التحسينات الهيكلية. يجب أن تتكامل ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر في المؤسسة وأن تدعمها المراقبة الآلية في الوقت الحقيقي.
يجب أن يكون مالكو عمليات الأعمال مسؤولين عن مراقبة الامتثال لضوابط الأمن السيبراني ، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني في إطار إدارة مخاطر المؤسسة. بالإضافة إلى ذلك ، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات الأقران والقطاع.
ويسعدنا تواصلكم معنا عبر تعبئة نموذج الاتصال
