مشروع (الإطار الوطني لإدارة مخاطر الأمن السيبراني): تحديد وتصنيف الأصول الحساسة لدى الجهات الحكومية وشركات القطاع الخاص المعنية ومقدمي الخدمة

دعت  الهيئة الوطنية للأمن السيبراني اليوم، عموم أفراد المجتمع والجهات الحكومية والخاصة إلى إبداء مرئياتهم حيال مشروع (الإطار الوطني لإدارة مخاطر الأمن السيبراني)، وذلك من خلال المنصة الإلكترونية الموحدة لاستطلاع آراء العموم والجهات الحكومية “استطلاع”، وذلك حتى يوم 25 يوليو 2024م .

ويهدف مشروع الإطار إلى تعزيز صمود الأمن السيبراني الوطني من خلال إدارة مخاطر الأمن السيبراني بشكل فعال يمكّن الجهات الوطنية من أداء أعمالها وتحقيق أهدافها في مختلف المجالات والقطاعات، إذ يشكل الإطار حجر الأساس لمنظومة موحدة، متكاملة، شاملة ومتوائمة، قادرة على إدارة مخاطر الأمن السيبراني بفاعلية، بما يشمل تحديدها، وتقييمها، والاستجابة لها ومتابعتها.

وبحسب المشروع، تساهم عدة عوامل في تحقيق أهدافه، من ضمنها: تحديد مخاطر الأمن السيبراني ذات الأولوية للاستجابة لها، وتطبيق الضوابط اللازمة لتقليل مخاطر الأمن السيبراني للمساهمة في تعزيز صمود الأمن السيبراني الوطني، تحديد أدوار ومسؤوليات إدارة مخاطر الأمن السيبراني، تعزيز ثقافة الوعي لدى الجهات بإدارة مخاطر الأمن السيبراني، وإدارة مخاطر الأمن السيبراني بشكل فعال يمكّن الجهات من أداء أعمالها وتحقيق أهدافها في مختلف المجالات والقطاعات.

وينطبق هذا الإطار على الجهات الحكومية في المملكة (تشمل الوزارات، والهيئات، والمؤسسات، وغيرها) والجهات والشركات التابعة لها أو المرتبطة بها، سواء كانت تعمل داخل المملكة أم خارجها، وجهات القطاع الخاص، التي تمتلك بنىً تحتية وطنية حساسة، أو تشغلها أو تستضيفها، مقدمي خدمات الأمن السيبراني في المملكة. كما تشجع الهيئة الجهات الأخرى (بما فيها جهات القطاع الخاص من غير ذات البنى التحتية الحساسة، والجهات غير الربحية) في المملكة على الاستفادة من أحكام هذا الإطار؛ لتطبيق أفضل الممارسات فيما يتعلق بإدارة مخاطر الأمن السيبراني وتعزيز ورفع مستوى الأمن السيبراني لديها.

ويتم استخدام العناصر التالية لإدارة مخاطر الأمن السيبراني بشكل فعال: الأصول، الثغرات والتهديدات، والضوابط، كمدخلات محتملة لفهم الرؤية الكاملة لمخاطر الأمن السيبراني. حيث تحدد منهجية إدارة مخاطر الأمن السيبراني، المخاطر الكامنة قبل تنفيذ أي ضوابط للوقاية والتخفيف، وتقيّيم أثر تلك المخاطر واحتمالية حدوثها، كما تحدد المنهجية خطط الاستجابة لتلك المخاطر، بحيث يتم اتخاذ قرار الاستجابة.

ويجب على الجهات ضمن نطاق تطبيق هذا الإطار الالتزام بمنهجية إدارة مخاطر الأمن السيبراني، ومصفوفة تقييم مخاطر الأمن السيبراني، حيث تضمن الإطار المسؤوليات في إدارة مخاطر الأمن السيبراني على المستوى الوطني، منها: تسمية ضابط اتصال مع الهيئة معني بإدارة مخاطر الأمن السيبراني؛ للعمل على تفعيل أحكام هذا الإطار ومتطلباته والتزاماته الحالية والمستقبلية، إلى جانب تحديد وتصنيف الأصول الحساسة لدى الجهة، وفق ما يصدر من الهيئة، والتي تشمل على سبيل المثال: الأنظمة، المرافق والأنظمة التشغيلية، وحسابات التواصل الاجتماعي. تحديد أصول الجهة المنكشفة على الانترنت، والرفع للهيئة بالأصول بشكل دوري وتحديثها عند وجود أي تغيير، من خلال البوابة الوطنية لخدمات الأمن السيبراني (حصين)، أو أي وسيلة أخرى تحددها الهيئة وخلال المدة المقررة لذلك، بالإضافة إلى الرفع للهيئة بمخاطر الأمن السيبراني ذات المستوى الكارثي (5) والمرتفع (4) لدى الجهة حال التعرف عليها وفقًا لمصفوفة تقييم مخاطر الأمن السيبراني، ومشاركة خطط الاستجابة لها بشكل دوري وعند تحديثها أو عند وجود أي تغيير. ومعالجة ما يرد من الهيئة من مخاطر وثغرات وملاحظات تخص الأمن السيبراني والإفادة بما تم حيالها، وفق ما يصدر عن الهيئة.

يذكر أن الهيئة الوطنية للأمن السيبراني؛ بموجب تنظيمها الصادر بأمر ملكي، هي الجهة المختصّة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه. وتهدف إلى تعزيزه؛ حمايةً للمصالح الحيوية للدولة، وأمنها الوطني، والبنى التحتية الوطنية الحساسة، والقطاعات ذات الأولوية، والخدمات والأنشطة الحكومية. وتشمل اختصاصات الهيئة ومهماتها -دون حصر- وضع السياسات، وآليات الحوكمة، والأطر، والمعايير، والضوابط، والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها. بالإضافة إلى وضع أطر إدارة المخاطر المتعلقة بالأمن السيبراني، ومتابعة الالتزام بها، وتحديثها.