أهمية تنفيذ الإطار التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات (CRF)

وفقًا لرؤية المملكة 2030 ، يصبح تعزيز الأمن السيبراني مهمًا للغاية لزيادة الثقة في الرقمنة وتأمين سلامة البنية التحتية الوطنية والقدرة على التحمل في مختلف القطاعات ، وبسبب اعتبار الاتصالات وتكنولوجيا المعلومات والقط...

  CICT CRF   أبريل 11, 2023   0   310  أضف إلى قائمة القراءة
أهمية تنفيذ الإطار التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات (CRF)

وفقًا لرؤية المملكة 2030 ، يصبح تعزيز الأمن السيبراني مهمًا للغاية لزيادة الثقة في الرقمنة وتأمين سلامة البنية التحتية الوطنية والقدرة على التحمل في مختلف القطاعات ، وبسبب اعتبار الاتصالات وتكنولوجيا المعلومات والقطاع البريدي واحدًا إذا الهيكل الرئيسي للنمو الاقتصادي ، حيث يدعم القدرة التنافسية الرئيسية للاقتصاد الوطني من خلال النطاق العريض عالي السرعة والخدمات الإلكترونية وأصول المعلومات ؛ وضعت هيئة الاتصالات وتقنية المعلومات إطارًا شاملاً للأمن السيبراني (الإطار التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات (CRF)) يهدف إلى زيادة مستوى نضج الأمن السيبراني في قطاع الاتصالات وتكنولوجيا المعلومات في المملكة العربية السعودية ، ويهدف الإطار إلى:

 تنظيم وتمكين ممارسات الأمن السيبراني لمقدمي الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات والبريد.
 رفع مستوى نضج الأمن السيبراني في قطاع الاتصالات وتقنية المعلومات.
 اعتماد منهجية إدارة المخاطر لتحقيق متطلبات الأمن السيبراني.
 التأكد من سرية وسلامة وتوافر الخدمة المقدمة للعملاء.

أهمية تنفيذ الإطار التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات (CRF)

تتمثل أهمية تنفيذ الإطار التنظيمي للأمن السيبراني في هيئة الاتصالات وتقنية المعلومات (CRF) في:

 توفير الوقت من خلال توفير هيكل ومنهجية واضحة لاتخاذ الإجراءات المتعلقة بالأمن السيبراني.
 تحديد نقاط الضعف والقصور ، لمواصلة تعزيز ممارسات الأمن السيبراني للاتصالات وتكنولوجيا المعلومات ومقدمي الخدمات البريدية.
 زيادة مستوى الثقة في تقنية المعلومات والخدمات المادية والأصول لمقدمي خدمات الاتصالات وتقنية المعلومات والبريد.
 معالجة مراقبة وتقييم مخاطر الأمن السيبراني
 استخدام معايير الأمان لتطوير البرمجيات.
 الاتساق في تفسير الاحتياجات الأمنية عبر مستويات العمل المختلفة.
 يوفر إطار العمل لغة ومنهجية مشتركة لإدارة مخاطر الأمن السيبراني.

الامتثال للمتطلبات التنظيمية والتشريعية ، مما يفتح مجالات عمل جديدة للمؤسسة مثل الجهات الحكومية ، حيث يتطلب العمل معهم إثباتًا على احترافية عملك ، وأمن معلوماتك.

نطاق تنفيذ إطار نموذج الإبلاغ الموحد لهيئة الاتصالات وتقنية المعلومات

تطبيق قواعد الإطار هذا على مقدمي الخدمات في مجالات الاتصالات وتقنية المعلومات والقطاع البريدي ، حيث يقدمون السلطة على أنهم المنتظمون في القطاع وخاصة مزودي الخدمة أو السجلات المرخصة لتقديم الخدمات.

ينقسم مقدمو الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات إلى:

 يُصنف مقدمو الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات على أنهم بنية تحتية وطنية مهمة.
 لا يُصنف مقدمو الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات على أنهم بنية تحتية وطنية مهمة.

من الذي يجب عليه تنفيذ إطار نموذج الإبلاغ الموحد لهيئة الاتصالات وتقنية المعلومات؟

 مزود خدمات تكنولوجيا المعلومات والاتصالات المرخص له من قبل لجنة تقنية معلومات إعلانات الاتصالات.
 مقدمو الخدمات البريدية مرخصون من قبل هيئة الاتصالات وتقنية المعلومات.
 يُصنف مقدمو الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات على أنهم بنية تحتية وطنية مهمة.
 لا يُصنف مقدمو الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات على أنهم بنية تحتية وطنية مهمة.

ملاحظة: تتابع الهيئة التزام مزودي الخدمة بالمتطلبات والضوابط بطرق مختلفة.

 نماذج الالتزام الذاتي.
 ورش الالتزام.
 التفتيش الميداني.
 استباقية أو الإبلاغ عن عمليات تدقيق.

مراحل الإطار التنظيمي للأمن السيبراني (CRF) لهيئة الاتصالات وتقنية المعلومات:

أولاً: قبل دخول الإطار التنظيمي للأمن السيبراني حيز التنفيذ.

 تعميم الإطار التنظيمي للأمن السيبراني على مقدمي الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات والبريد.
 حدد مستوى الخطورة لمقدم الخدمة من خلال "نموذج تحديد فئة مقدمي الخدمة لتحديد مستوى الامتثال المطلوب".
 تزويد مقدمي الخدمة بأهداف للالتزام بالإطار وفقًا لمستوى المخاطر.
 تقييم نموذج تقييم الواقع لقياس مستوى نضج الأمن السيبراني.

ثانيًا: بعد دخول الإطار التنظيمي للأمن السيبراني في هيئة الاتصالات وتقنية المعلومات حيز التنفيذ.

 التعميم يدخل الإطار حيز التنفيذ لمقدمي الخدمات في قطاع الاتصالات وتكنولوجيا المعلومات والبريد بتاريخ 30/5/2021.
 طلب "التقييم الذاتي لقياس مدى امتثال مزود الخدمة لمتطلبات الأمن السيبراني" خلال 20 يوم عمل من دخول حيز التنفيذ.
 تجري الهيئة عمليات تدقيق وتفتيش على بعض مزودي الخدمة وفقًا لنتائج تحليل التقييم الذاتي.

مكون الإطار التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات (CRF)

لا تُصنف متطلبات الأمن السيبراني لمقدمي الخدمات على أنها بنية تحتية وطنية مهمة مقسمة إلى ستة مجالات.
ينقسم كل مجال إلى قطاعات أكثر تخصصًا تجمع بين ضوابط الأمن السيبراني المتعلقة بقمة محددة ولها أهداف مشتركة ، وهي:

النطاق الضوابط
الحوكمة
  1. استراتيجية الأمن السيبراني.
  2. إدارة الأمن السيبراني.
  3. الامتثال للأمن السيبراني.
  4. تدقيق الأمن السيبراني.
  5. التدريب والتوعية في مجال الأمن السيبراني.
  6. وعي العملاء بالأمن السيبراني.
  7. الأمن السيبراني في إدارة المشاريع.
  8. الأمن السيبراني في الموارد البشرية.
إدارة الأصول
  1. اكتشاف الأصول.
  2. تصنيف الأصول.
  3. اجلب جهازك الخاص.
  4. الاستخدام المقبول لأصول المعلومات.
  5. صيانة الأصول.
  6. التخلص الآمن من الأصول.
إدارة مخاطر الأمن السيبراني
  1. تقييم مخاطر الأمن السيبراني.
  2. معالجة مخاطر الأمن السيبراني ومراقبتها.
الأمن المنطقي
  1. التشفير.
  2.  إدارة التغيير.
  3. إدارة الضعف.
  4. إدارة التصحيح.
  5. أمن الشبكة.
  6. تسجيل الدخول والرقابة.
  7. تحديد وإدارة الوصول.
  8. القائمة البيضاء للتطبيق.
  9. إدارة الحوادث.
  10. التعامل مع البرامج الضارة.
  11. حماية المعلومات.
  12. إدارة النسخ الاحتياطي والاسترداد.
  13. إدارة التكوين والتصلب.
  14. تطوير البرمجيات الآمنة.
  15. حماية البريد الإلكتروني ومتصفح الويب.
  16. اختبار الاختراق.
الأمن المادي
  1. حماية أصول المعلومات المادية.
  2. إدارة الوصول المادي.
أمان الطرف الثالث
  1. خدمات سحابية.
  2. خدمات الاستعانة بمصادر خارجية.

أمان الطرف الثالث.
هيكل المتطلبات

يتكون جدول هيكل المتطلبات من:

رقم القسم.
قسم.
رقم التحكم.
يتحكم
مستوى الامتثال: يتضمن ثلاثة مستويات في متطلبات الضوابط وهي:

المستوى 1: يشمل الضوابط الأساسية.
المستوى 2: يتضمن المتطلبات المتقدمة
المستوى 3: يتضمن المتطلبات التي تركز على مراقبة الكفاءة والتحسين المثير للجدل للضوابط في المستويين الأول والثاني.

المهام المطلوب القيام بها قبل و أثناء تنفيذ الإطار  التنظيمي للأمن السيبراني لهيئة الاتصالات وتقنية المعلومات

  1. تحليل الثغرات وتقييم النضج واختبار الاختراق.
  2. تصميم وتطوير وتنفيذ وتشغيل أنظمة الجودة الأمنية المناسبة لمؤسستك.
  3. قم بإجراء تدقيق ومراجعة شاملين لوضع الأمن السيبراني لمؤسستك.
  4. تطوير وصياغة استراتيجية للأمن السيبراني لمؤسستك.
  5. تدريب وتوظيف الكادر الأمني وإنشاء مكتب وإدارة داخلي للأمن السيبراني.
  6. تنظيم حملات توعية ودورات تدريبية للأمن السيبراني تهدف إلى نقل المعرفة وتعزيز مهارات موظفيهم.
  7. تنفيذ إطار انتظام الأمن السيبراني لمقدمي الخدمات في قطاع الاتصالات وتقنية المعلومات والبريد.
  8. تدقيق ومراجعة أنظمة الجودة والتأكد من مطابقتها النظامية والمتطلبات التشريعية.
  9. إهانة وتشغيل الحلول الأمنية (المادية والإلكترونية).
  10. تطوير وتنفيذ منهجية مناسبة للاستجابة للحوادث الأمنية ونظام الإبلاغ الأمني.