السياسة الوطنية لمراكز عمليات الأمن السيبراني المُدَارة

الهيئة الوطنية للأمن السيبراني ("الهيئة") هي الجهة المُختصّة بالأمن السيبراني في المملكة، والمرجع الوطني في شؤونه. وتهدف إلى تعزيزه حمايةً للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية. وتتضمن اختصاصات الهيئة الوطنية للأمن السيبراني ومهماتها وفقًا لتنظيمها الصادر بالأمر الملكي الكريم رقم (6801) في 11/2/1439هـ وضع السياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها. وأخذًا في الحسبان الجوانب المتعددة لمراكز عمليات الأمن السيبراني المُدارة، والآثار المترتبة عليها، وكذلك اتخاذ الإجراءات اللازمة عند اكتشاف أي أنشطة أو تهديدات لتلك الأصول، والتفاوت في قدرات الجهات في هذا الجانب؛ فجاءت هذه السياسة لتنظيم هذا المجال بما يسهم في تعزيز الأمن السيبراني للجهات، وعلى المستوى الوطني.
​

​يكون للمصطلحات المستخدمة في هذه السياسة المعاني المقابلة لها؛ ما لم يقتض السياق خلاف ذلك:​

​

الغرض من هذه السياسة تمكين الجهات بالمملكة من الحصول على خدمات عمليات الأمن السيبراني المُدارة التي تتسم بالنضج، بالإضافة إلى تحسين الدراية الأمنية لدى الجهات وعلى المستوي الوطني، وحصول الجهات على خدمات مراكز عمليات الأمن السيبراني المُدارة بجودة عالية وعلى النحو الملائم، وتمكين تبادل المعلومات ومشاركتها بين مراكز عمليات الأمن السيبراني وعلى مستوى المنظومة بأكملها، وتحسين كفاءة الإنفاق في قطاع الأمن السيبراني على المستوى الوطني؛ حيث تتطلب عمليات المراقبة السيبرانية على الأصول العمل بشكل متواصل على مدار الساعة وطوال الأسبوع دون انقطاع، وكذلك اتخاذ الإجراءات اللازمة عند اكتشاف أي أنشطة أو تهديدات لتلك الأصول. وتأتي هذه السياسة لتنظم هذا المجال بما يسهم تعزيز الأمن السيبراني للجهات، وكذلك على المستوى الوطني.​

تعد هذه السياسة ملزمة للجهات الحكومية في المملكة العربية السعودية (بما يشمل الوزارات والهيئات والمؤسسات وغيرها) وشركاتها وجهاتها التابعة لها؛ وكذلك جهات القطاع الخاص، التي تمتلك بنىً تحتية وطنية حساسة، أو تشغلها أو تستضيفها؛ بالإضافة إلى أي جهات أخرى تلزمها الهيئة، باستخدام واحد أو أكثر من مزودي خدمات مراكز عمليات الأمن السيبراني المُدارة المرخصة؛ لتغطية خدمات مراكز عمليات الأمن السيبراني وذلك على النحو المبين في الملحق (أ). ​​​

​​

يجب على جميع الجهات التي تقع ضمن نطاق هذه السياسة استخدام مقدم خدمة مرخص، من المستوى الأول لمراكز عمليات الأمن السيبراني المُدَارة، وذلك لجميع الخدمات المتعلقة بمراكز عمليات الأمن السيبراني؛ على النحو المنصوص عليه في الملحق (أ). وتعد هذه السياسة نافذة من تاريخ  1 أكتوبر 2023م. وتبين البنود المتبقية من هذه السياسة، جميع الالتزامات والإجراءات والشروط الإضافية.

وفيما تُلزم هذه السياسة جميع الجهات التي تقع ضمن نطاق هذه السياسة؛ تحتفظ الهيئة بالحق في إلزام أي جهة أخرى، غير تابعة للبنية التحتية الوطنية الحساسة، بهذه السياسة، وذلك وفقًا لتقدير الهيئة. وتشجع الهيئة جميع الجهات الأخرى، التي لم يتم إلزامها باتباع الأحكام الموضحة في هذه الوثيقة وذلك بالتعاقد مع مقدم خدمة مُرخّص من المستوى الأول أو الثاني لمراكز عمليات الأمن السيبراني المُدارة؛ استنادًا إلى احتياجات الأمن السيبراني لديهم. وفي حال اختارت تلك الجهات غير الملزَمة، التعاقد بخدمة مراكز عمليات الأمن السيبراني المُدَارة؛ فإنها مُلزَمة باستخدام مقدمي خدمات مُرخّص لهم من الهيئة لمراكز عمليات الأمن السيبراني.​

​​

يجب على جميع الجهات التي تقع ضمن نطاق هذه السياسة الالتزام بالأحكام الواردة فيها، وجميع الأحكام التنظيمية الصادرة عن الهيئة، والأنظمة ذات العلاقة في المملكة العربية السعودية، وكذلك الالتزامات الآتية:

1. الالتزام بالأدوات التنظيمية، والأنظمة، والقرارات، والتوجيهات المتعلقة بالأمن السيبراني، السارية في المملكة العربية السعودية.
2. الانتقال إلى مقدم خدمة مُرخّص من المستوى الأول لمراكز عمليات الأمن السيبراني المُدَارة، للخدمات المتعلقة بمراكز عمليات الأمن السيبراني، وذلك وفق ما ورد في الإطار التنظيمي لتراخيص خدمات مراكز عمليات الأمن السيبراني المُدَارة.
3. رفع تقرير يوضح الوضع الراهن لمراكز عمليات الأمن السيبراني وفقًا لما ورد في الملحق (ب) من هذه السياسة إلى الهيئة خلال الفترة التي تحددها الهيئة.
4. تقديم خارطة طريق الالتزام وفق ما أشير إليه في الملحق (ب) من هذه السياسة خلاال الفترة التي تحددها الهيئة ، لمراجعتها والموافقة عليها. 
5. فيما يتعلق بالجهات غير القادرة على الالتزام بالجدول الزمني، والعملية المنصوص عليها في خطة انتقالها المعتمدة من الهيئة؛ فيجب عليها تقديم تقرير محدث حول خارطة طريق للالتزام، على النحو المنصوص عليه في الملحق (ب) من هذه السياسة وتحديث هذا التقرير بشكل ربع سنوي حتى تصبح الجهة ممتثلة تمامًا لهذه السياسة. 
6. إخطار الهيئة بمجرد اكتمال انتقال الجهة إلى مقدم خدمات مُرخّص من المستوى الأول لمراكز العمليات الأمن السيبراني المُدارة.​

​​تحتفظ الهيئة بحقها في تعديل، وإضافة، وحذف أي جزء من السياسة؛ وفقًا لتقديرها.​

​

الملحق (أ):

معلومات إضافية عن مراكز عمليات الأمن السيبراني المدارة وخدماتها

تهدف الخدمات المدارة لمراقبة الأمن السيبراني في المنظومة التقنية للجهة المستفيدة لاكتشاف التهديدات السيبرانية في مراحلها المبكرة ومعرفة كيفية حدوثها وتقديم التوصيات الشاملة في كيفية معالجتها واتخاذ الإجراءات اللازمة لاحتوائها -عند الإمكان-. نموذج عمل الخدمة يتضمن تعاقد الجهة الحكومية المستفيدة مع مقدم خدمات مدارة لمراقبة الأمن السيبراني يتولى كامل أعمال المراقبة من عمليات وفرق عمل وأنظمة. وفيما يلي وصفاً لأهم خدمات مراكز عمليات الأمن السيبراني المُدارة:

١. المراقبة المستمرة واكتشاف التهديدات (Threat Monitoring and Detection)

تقديم خدمة المراقبة المستمرة على مدار الساعة (٢٤/٧) للمنظومة التقنية في الجهة المستفيدة وتشمل شبكات وأنظمة الجهة، واكتشاف التهديدات والهجمات السيبرانية في مراحلها المبكرة وإصدار التنبيهات (Alerts) من خلال أدوات المراقبة والاكتشاف باستخدام طرق اكتشاف مختلفة مثل حالات اكتشاف معرفة مسبقا (detection use-cases) ومؤشرات الاختراق (Indicators of Compromise) وقواعد الاكتشاف (Detection Rules)، وتصنيف التنبيهات حسب خطورتها، وإصدار تنبيهات فورية للجهة المستفيدة عن التهديدات المكتشفة، وتقارير تقنية وتنفيذية دورية عن الحالة السيبرانية، وذلك عن طريق إدارة وتشغيل أدوات الأمن السيبراني المتخصصة في المراقبة والاكتشاف.

٢. التحليل والتحقيق (Threat Analysis and Investigation) للتهديدات المكتشفة

قيام مقدم الخدمة بأعمال التحليل والتحقيق في التنبيهات المكتشفة، وربط الأحداث المختلفة وفهمها ضمن سياق منظومة الجهة، والقدرة على تحديد التنبيهات الصحيحة ذات العلاقة بحوادث سيبرانية حقيقية، وتحديد التنبيهات الخاطئة بناء على أسلوب منهجي للتحليل في جميع التهديدات، وتزويد العميل بتحاليل أولية، بالإضافة لتقديم تحليلات شاملة متضمنة للأسباب الجذرية للتنبيهات والحوادث. كما تتضمن القدرة على عمل مسح لمؤشرات الاختراق (Sweeping) وتصيد التهديدات (Threat Hunting)، والقدرة على إجراء التحليل والتحقيق في الحالات التي قامت الجهة المستفيدة بتبليغ مقدم الخدمة عنها.

٣. احتواء التهديدات السيبرانية (Threat Containment)

تقديم توصيات متكاملة وفعالة للجهة المستفيدة في كيفية احتواء وتحييد التهديدات السيبرانية ليتم تطبيقها من فرق الجهة المستفيدة الداخلية للسيطرة على مخاطر الهجمات والتهديدات والحوادث المكتشفة.

وقد تتضمن الخدمة قيام مقدم الخدمات المدارة باحتواء التهديدات السيبرانية -عند الامكان- وتنفيذ الإجراءات اللازمة لذلك، ويتضمن ذلك القدرة على عزل النهايات الطرفية المستهدفة بالتهديدات والهجمات من منظومة العميل ضمن نطاق عمل واتفاقية مستوى خدمة محددة.

الملحق (ب):

الوثائق التي يجب على الجهات تقديمها إلى الهيئة الوطنية للأمن السيبراني

يجب على الجهات تقديم تقرير يوضح الوضع الراهن فيما يخص مراكز عمليات الأمن السيبراني لديها. بالإضافة إلى ذلك، يجب عليها تقديم تقرير خارطة طريق الالتزام الذي يوثق الخطة الانتقالية، التي ستتبعها الجهة للالتزام بهذه السياسة.

كما يجب على الجهات أن ترفق مع هذه التقارير، وثائق داعمة إضافية؛ مثل إستراتيجيات الأمن السيبراني، وإجراءاته وأدلته.

تقرير تحليل الوضع الراهن

يجب على جميع الجهات التي تقع ضمن نطاق هذه السياسة تقديم تقرير تحليل الوضع الراهن إلى الهيئة؛ بحيث تُحدد فيه نطاق تغطية خدمات مراكز عمليات الأمن السيبراني. ويجب أن يبين هذا التقرير جميع خدمات مراكز عمليات الأمن السيبراني، وكيفية إدارتها، وكذلك الجهة المسؤولة عن تقديم هذه الخدمات.

يجب أن تتضمن هذه الوثيقة، أقسام خدمات مراكز عمليات الأمن السيبراني الآتية:

إلى جانب تقديم إجابات واضحة على هذه الأسئلة؛ يجب على الجهة التي تقع ضمن نطاق هذه السياسة إرفاق وثائق داعمة إضافية ضمن تقريرها، حسب الاقتضاء. وستستدعي بعض الحالات إلزام الجهة بتقديم معلومات تتناول المواصفات الفنية، والأنشطة، والاستثمارات السابقة، ونبذة تعريفية عن موظفي الأمن السيبراني لديها.

وقد يُطلب من الجهة التي تقع ضمن نطاق هذه السياسة، تقديم نسخة محدثة من هذا التقرير، بناءً على تقدير الهيئة الوطنية للأمن السيبراني.

2. خارطة طريق الالتزام 

يجب على الجهات التي تقع ضمن نطاق هذه السياسة، إعداد خارطة طريق للالتزام؛ ترتكز على تقرير تحليل الوضع الراهن. ويجب أن تحدد خارطة الطريق هذه، الوقت الذي ستستغرقه الجهة ؛ للانتقال إلى مقدم خدمات مُرخّص؛ من المستوى الأول لمراكز عمليات الأمن السيبراني المُدارة. وفي هذا السياق؛ يجب إدراج المستهدفات الواردة في خارطة الطريق، عند إرسالها للهيئة بشكل ربعي. ويحق للجهات حينئذ، أن تحدد مستهدفاتها كل ثلاثة أشهر، أو كل شهر، أو خلال أي فترة زمنية تراها مناسبة.

العناصر التي يجب تضمينها بخارطة الطريق هي:

1. خطة المشروع، والجدول الزمني؛ للتكامل مع مقدم خدمات مُرخّص، لمراكز عمليات الأمن السيبراني المُدارة، وذلك بناءً على المتطلبات، ومدى تعقيد الإجراءات، وأي عوامل أخرى ذات صلة.
2. قسم يتناول التحديات، التي قد تواجهها الجهة، للالتزام بهذه السياسة.

يجب تقديم جميع الوثائق إلى الهيئة من خلال