طرحت الهيئة الوطنية للأمن السيبراني، ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة، عبر منصة ”استطلاع“ بهدف تمكين الجهات الخاصة من تقليل المخاطر التي تنشأ عن التهديدات الداخلية والخارجية.
وتُطبَّق الهيئة هذه الضوابط على الجهات الخاصة، الصغيرة والمتوسطة والكبيرة، باستثناء جهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تقوم بتشغيلها أو استضافتها.
ضوابط الأمن السيبراني للقطاع الخاص
وتستهدف ضوابط جهات القطاع الخاص من غير ذات البنى التحتية الحساسة فئتين: الفئة الأولى ”الجهات الكبيرة“ والفئة الثانية ”الجهات الصغيرة والمتوسطة“، ومن أبرزها الحماية من الفيروسات وبرامج الفدية، والتصيد الالكتروني.
وتتضمن ضوابط الأمن السيبراني، لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة، إنشاء قسم مختص بالأمن السيبراني، يكون مستقلا عن قسم تقنية المعلومات، وتحديد السياسيات الخاصة الموظفين وتوثيقها واعتمادها.
واشترطت الهيئة تنفيذ مراجعة لضوابط الأمن السيبراني وتدقيقها، من قبل مقدم خدمات تقييم الالتزام المرخص له وذلك كل 3 سنوات للجهات الكبيرة ويوصى بتنفيذه للجهات الصغيرة والمتوسطة.
لائحة قواعد الأمن السيبراني
وشددت الهيئة على ضمان التأكد من التوعية الأمنية للعاملين وعلى درايتهم بسؤولياتهم بالأمن السيبراني، بحث تشتمل برامج التوعية على على الموضوعات الرئيسية مثل التصيد الإلكتروني، وبرامج الفدية، وكلمات المرور القوية، واتباع أفضل ممارسات وسائل التواصل الاجتماعي، والإبلاغ عن السلوكيات والحوادث المشبوهة، حسب مهام كل موظف.
ونصت لائحة قواعد الأمن السيبراني على التأكد من أن الجهة لديها قائمة جرد دقيقة، وحديثة للأصول تحتوي على جميع الأصول المعلوماتية والتقنية.
وتشمل الضوابط أيضًا تحديد متطلبات الأمن السيبراني، لإدارة هويات الدخول والصلاحيات في الجهة وتوثيقها واعتمادها، والتحقق منها بناء على اسم مستخدم وكلمة مرور آمنة.
وتتضمن الضوابط، حماية الأنظمة وأجهزة معالجة المعلومات، بما في ذلك أجهزة المستخدمين والخوادم وأجهزة الشبكة الشبكة للجهات من المخاطر السيبرانية، مثل الحماية من الفيروسات والأنشطة المشبوهة والبرمجيات الضارة.
وأوضحت الهيئة أن حماية البريد الإلكتروني، تأتي ضمن ضوابط الأمن السيبراني، بحيث يجب حماية وتحليل رسائل البريد الإلكتروني وحمايتها من التصيد الإلكتروني.
تعزيز قدرات الأمن السيبراني
ونصت الضوابط أيضا على إدارة أمن الشبكات باستخدام وسائل آمنة للتحقق من الهوية والتشفير، وضمان الاستخدام الفعال للتشفير لحماية الأصول المعلوماتية للجهات.
وتشدد الهيئة على إدارة النسخ الاحتياطية، وضمان حمايتها من الأضرار غير المتوقعة، وكذلك إدارة الثغرات، وضمان اكتشافها في الوقت المناسب، ومعالجتها بشكل فعّال، ومنع استغلالها في الهجمات السيبرانية.
وأوصت بتطبيق اختبار الاختراق، بهدف تعزيز قدرات الأمن السيبراني، من خلال عمل محاكاة للهجمات السيبرانية، لاكتشاف نقاط الضعف غير الآمنة وتعزيز حمايتها، بالإضافة إلى ضمان اكتشاف وتحديد حوادث الأمن السيبراني.
وتضمن ضوابط الأمن السيبراني، حماية الأصول المعلوماتية للجهة من الفقدان والسرقة والتخريب، وعدم إتلاف الأصول المادية مثل الوثائق الورقية ووسائل الحفظ والتخزين، والأجهزة والخوادم والأجهزة الطرفية المحمولة.