اشترطت الهيئة الوطنية للأمن السيبراني، إنشاء وحدة إدارية معنية بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات في القطاع الخاص.
واعتمدت الهيئة الضوابط الخاصة بجهات القطاع الخاص غير المشغِّلة للبنى التحتية، ارتكزت على ثلاث مكونات رئيسية تتضمن حوكمة الأمن السيبراني، تعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، بما يضمن بناء منظومة حماية متكاملة.
وقسمت الضوابط مؤسسات القطاع الخاص إلى الكبيرة والمتوسطة والصغيرة من غير ذات البنى التحتية الحساسة، وتضم الجهات الكبيرة أكثر من 250 موظفاً بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال، وتلتزم بتوفير ثلاث مكونات أساسية، و22 مكوناً فرعياً، و65 ضابطاً أساسياً، فيما تضم الجهات المتوسطة والصغيرة ما يتراوح بين 6 – 249 موظفاً بدوام كامل أو تحقق إيرادات سنوية تتراوح بين 3- 200 مليون ريال، وتلتزم بتوفير مكون أساسي واحد، و13 مكوناً فرعياً، و26 ضابطاً أساسياً، وتستند الضوابط إلى الممارسات الدولية بما يمكّن هذه الجهات من تقليل المخاطر الناشئة عن التهديدات الداخلية والخارجية، مع التركيز على ثلاثة أهداف أساسية وهي سرية المعلومات، وسلامة المعلومات، وتوافر المعلومات.
ووفق الضوابط، ألزمت القطاع الخاص بإنشاء وحدة إدارية معنية بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات، وأن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة موظفون مختصون وذوو كفاءة عالية في المجال، ويلتزم صاحب الصلاحية بتحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني في الجهة، وتكليف الأشخاص المعنيين بها، مع توفير الدعم اللازم لتمكينهم من أداء مهماتهم وتجنب تعارض المصالح.
وشددت الضوابط على تحديد سياسات الأمن السيبراني وتوثيقها واعتمادها ونشرها على العاملين المعنيين في الجهة، مع التزام الوحدة الإدارية المختصة بضمان تطبيق تلك السياسات ومراجعتها بشكل دوري.
وتتضمّن الضوابط إدارة مخاطر الأمن السيبراني بما يضمن حماية الأصول المعلوماتية والتقنية للجهة من التهديدات المحتملة، مع الالتزام بتحديد منهجية واضحة للإدارة وإجراءاتها، مع توثيقها واعتمادها رسمياً، والالتزام بتطبيقها عملياً على مستوى الجهة كافة، ويتعين مراجعة هذه المنهجية وإجراءاتها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها لمتطلبات العمل، حيث تهدف المراجعة والتدقيق الدوري إلى التحقق من التزام الجهة بتطبيق الضوابط، والتأكد من توافق السياسات والإجراءات التنظيمية المعتمدة لديها مع المتطلبات التشريعية والتنظيمية الوطنية الصادرة عن الهيئة، مع مراجعة هذه الضوابط وتدقيقها من قبل جهة مستقلة عن الوحدة الإدارية المختصة بالأمن السيبراني داخل الجهة.
ويجب أن تشمل جميع الموضوعات الرئيسية ذات الصلة بالمجال، بما يضمن حماية الجهة من التهديدات السيبرانية، مع التركيز على الجوانب العملية مثل التصيد الإلكتروني، وبرامج الفدية، وكلمات المرور القوية، وأفضل الممارسات عند استخدام وسائل التواصل الاجتماعي، وآليات الإبلاغ عن الحوادث والسلوكيات المشبوهة، كما ينبغي أن تكون هذه البرامج مخصصة بما يتناسب مع مهمات الموظفين وواجباتهم الوظيفية واحتياجاتهم العملية. وتلتزم الجهة بتطبيق برامج التوعية المعتمدة لديها، مع مراجعتها وتحديثها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها للتطورات في مجال الأمن السيبراني.
إدارة هويات الدخول والصلاحيات
اشترطت الهيئة الوطنية للأمن السيبراني تحديد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة وتوثيقها واعتمادها، وتشمل التحقق من هوية المستخدم عبر آليات مصادقة آمنة تعتمد على اسم المستخدم وكلمة المرور، وتطبيق المصادقة متعددة العوامل لجميع عمليات الدخول بما في ذلك البريد الإلكتروني والتطبيقات الخارجية، وإدارة تصاريح المستخدمين وصلاحياتهم وفق مبادئ التحكم في الدخول، بما يشمل مبدأ الحاجة إلى المعرفة والاستخدام، ومبدأ الحد الأدنى من الصلاحيات، والفصل بين المهام، إضافةً إلى إدارة الصلاحيات الحساسة والمميزة. كما تعمل على تحديد متطلبات الأمن السيبراني لحماية البريد الإلكتروني في الجهة وتوثيقها واعتمادها، بحيث تشمل تحليل رسائل البريد الإلكتروني وتصفيتها للكشف عن رسائل التصيد والرسائل الاحتيالية والبريد غير المرغوب فيه باستخدام تقنيات الحماية الحديثة، بما يضمن موثوقية المراسلات الإلكترونية. وتشمل المتطلبات أيضاً توفير الحماية من التهديدات المتقدمة المستمرة والبرمجيات الخبيثة غير المعروفة سابقاً، بما فيها هجمات يوم الصفر، مع إدارة هذه الضوابط بصورة آمنة.
وتتضمن ضوابط أمن الشبكات حماية تصفح الإنترنت عبر تقييد الوصول إلى المواقع الإلكترونية المشبوهة ومواقع مشاركة وتخزين الملفات، وإدارة منافذ وبروتوكولات وخدمات الشبكة بشكل آمن، إضافة إلى استخدام أنظمة كشف ومنع الاختراقات المتقدمة، وتوفير الحماية من هجمات حجب الخدمة الموزعة للحدّ من آثار المخاطر السيبرانية الناتجة عنها.
The National Cybersecurity Authority has stipulated the establishment of an administrative unit concerned with cybersecurity that is linked to the head of the entity or their delegate, provided that it is independent from the IT unit in the private sector.
The Authority adopted specific controls for private sector entities that do not operate critical infrastructure, based on three main components: cybersecurity governance, enhancing cybersecurity, and cybersecurity related to external parties, ensuring the establishment of a comprehensive protection system.
The controls categorized private sector institutions into large, medium, and small entities that do not have sensitive infrastructure. Large entities employ more than 250 full-time employees or generate annual revenues exceeding 200 million riyals, and are required to provide three essential components, 22 sub-components, and 65 basic controls. Meanwhile, medium and small entities employ between 6 to 249 full-time employees or generate annual revenues ranging from 3 to 200 million riyals, and are required to provide one essential component, 13 sub-components, and 26 basic controls. The controls are based on international practices that enable these entities to reduce risks arising from internal and external threats, focusing on three main objectives: confidentiality of information, integrity of information, and availability of information.
According to the controls, the private sector is obligated to establish an administrative unit concerned with cybersecurity that is linked to the head of the entity or their delegate, ensuring its independence from the IT unit. The head of the cybersecurity administration and the supervisory and sensitive positions must be filled by specialized and highly qualified employees in the field. The authorized person is required to define, document, and approve the organizational structure for governance and the roles and responsibilities related to cybersecurity within the entity, assigning the relevant individuals and providing the necessary support to enable them to perform their tasks and avoid conflicts of interest.
The controls emphasize the need to define, document, approve, and disseminate cybersecurity policies to the relevant employees within the entity, with the specialized administrative unit committed to ensuring the implementation of those policies and reviewing them periodically.
The controls include managing cybersecurity risks to ensure the protection of the entity’s informational and technical assets from potential threats, with a commitment to defining a clear methodology for management and its procedures, documenting and officially approving them, and ensuring their practical application across the entire entity. This methodology and its procedures must be reviewed periodically to ensure their effectiveness and continued relevance to operational requirements. The purpose of the periodic review and audit is to verify the entity’s compliance with the controls and ensure that its approved policies and regulatory procedures align with the national legislative and regulatory requirements issued by the Authority, with these controls being reviewed and audited by an independent entity from the specialized cybersecurity administrative unit within the organization.
All main topics related to the field must be included to ensure the protection of the entity from cybersecurity threats, focusing on practical aspects such as phishing, ransomware, strong passwords, best practices when using social media, and mechanisms for reporting incidents and suspicious behaviors. These programs should be tailored to fit the tasks and responsibilities of employees and their operational needs. The entity is committed to implementing its approved awareness programs, reviewing and updating them periodically to ensure their effectiveness and continued relevance to developments in the field of cybersecurity.
Access and Permissions Management
The National Cybersecurity Authority has stipulated the identification, documentation, and approval of cybersecurity requirements for access and permissions management within the entity. This includes verifying user identity through secure authentication mechanisms based on username and password, applying multi-factor authentication for all login operations, including email and external applications, and managing user permissions and access rights according to access control principles, including the principle of least privilege, need-to-know, and separation of duties, in addition to managing sensitive and privileged permissions. It also works to define cybersecurity requirements for protecting email within the entity, documenting and approving them, which includes analyzing and filtering email messages to detect phishing, fraudulent messages, and spam using modern protection technologies, ensuring the reliability of electronic correspondence. The requirements also include providing protection against advanced persistent threats and previously unknown malware, including zero-day attacks, while managing these controls securely.
The network security controls include protecting internet browsing by restricting access to suspicious websites and file sharing and storage sites, securely managing network ports, protocols, and services, in addition to using advanced intrusion detection and prevention systems, and providing protection against distributed denial-of-service attacks to mitigate the impacts of cybersecurity risks arising from them.
