Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن السيبراني المتعلق بالحوسبة السحابية

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-2-4 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) وضوابط الأمن السيبراني للحوسبة السحابية (CCC-1:2020) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق:

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- متطلبات الأمن السيبراني المتعلقة باستضافة / تخزين البيانات :

  • يجب تصنيف البيانات قبل استضافتها / تخزينها لدى مقدمي خدمات الحوسبة السحابية والاستضافة (ECC-4-2-3-1).

  • يجب على مقدمي خدمات الحوسبة السحابية والاستضافة إعادة البيانات (بصيغة قابلة للاستخدام) وحذفها بشكل غير قابل للاسترجاع عند إنهاء/ انتهاء الخدمة (ECC-4-2-3-1) يجب إعادة البيانات وفقاً للإجراءات والحالات التالية:

  • يجب أن يكون موقع واستضافة وتخزين معلومات جامعة الملك سعود داخل المملكة العربية السعودية (ECC-4-2-3-3) مع مراعاة التنظيمات والجوانب التشريعية بعدم خضوع تلك البيانات لأي قوانين دول أخرى.

  • يجب على الإدارة العامة للأمن السيبراني التأكد من فصل البيئة الخاصة بجامعة الملك سعود (ويشمل ذلك الخوادم الافتراضية، والشبكات وقواعد البيانات) عن غيرها من البيئات التابعة لجهات أخرى في خدمات الحوسبة السحابية. (ECC-4-2-3-2).

  • يجب على جامعة الملك سعود التأكد من تطبيق متطلبات خصوصية البيانات على البيانات المستضافة في الحوسبة السحابية.

  • يجب على الإدارة العامة للأمن السيبراني والإدارة العامة للشؤون القانونية تضمين بنود متطلبات الأمن السيبراني المتعلقة باستضافة البيانات في العقد مع مقدم خدمة الحوسبة السحابية.

 

2- متطلبات الأمن السيبراني المتعلقة بمستفيدي الخدمة (CCC):

  • تحديد وتوثيق أدوار الأمن السيبراني، وتكليفات المسؤولية والمحاسبة والاستشارة والتبليغ (RACI) لكل أصحاب العلاقة في خدمات الحوسبة السحابية، بما في ذلك أدوار ومسؤوليات صاحب الصلاحية.

  • تحديد المستوى المقبول للمخاطر (Acceptable Risk Levels) فيما يتعلق بخدمات الحوسبة السحابية.

  • أخذ تصنيف البيانات والمعلومات بالاعتبار في منهجية إدارة مخاطر الأمن السيبراني.

  • إنشاء سجل لمخاطر الأمن السيبراني خاص بالعمليات وخدمات الحوسبة السحابية، ومتابعته سنويا بما يتناسب مع طبيعة المخاطر.

  • المراقبة الدائمة والمستمرة لمدى التزام مقدمي الخدمات بالتشريعات، وبنود العقود المتعلقة بالأمن السيبراني.

  • إجراء المسح الأمني للعاملين الذين لهم حق الوصول إلى المهام الحساسة لخدمات الحوسبة السحابية، على سبيل المثال لا الحصر: إدارة المفاتيح، إدارة الخدمات، التحكم بالوصول (Access Control).

  • حصر جميع الخدمات السحابية والأصول المعلوماتية والتقنية المتعلقة بها.

  • إدارة هويات الدخول والصلاحيات لجميع الحسابات، التي لديها صلاحية الوصول إلى الخدمات السحابية، خلال دورة حياتها.

  • ضمان سرِّية هوية المستخدم والحسابات والصلاحيات، بما في ذلك الطلب من المستخدمين حفظ خصوصيتها (للعاملين، والأطراف الخارجية، والمستخدمين من جهة المشترك).

  • الإدارة الآمنة للجلسات (Secure Session Management)، وتشمل موثوقية الجلسات (Authenticity)، وإقفالها (Lockout)، وإنهاء مهلتها (Timeout).

  • التحقق من الهوية متعدد العناصر لكافة الحسابات السحابية للمستخدمين ذوي الصلاحيات الهامة والحساسة.

  • إجراءات لكشف محاولات الوصول غير المصرح به ومنعها مثل: (الحد الأقصى من محاولات عمليات الدخول غير الناجحة (Unsuccessful Login)).

  • التحقق من قيام مقدم الخدمة بعزل الحوسبة السحابية المشتركة المقدمة للمشتركين (الجهات الحكومية والجهات ذات البنية التحتية الحساسة) عن أي حوسبة سحابية أخرى مقدمة للجهات خارج نطاق العمل.

  • حماية القناة المستخدمة للاتصال الشبكي مع مقدم الخدمة.

  • قبل إعادة استخدام الأجهزة المحمولة أو التخلص منها، خصوصًا التي يتم استخدامها للدخول على الخدمات السحابية، يجب التأكد من عدم احتوائها على أية بيانات أو معلومات باستخدام وسائل آمنة.

  • وجود ضمانات للقدرة على حذف البيانات بطرق آمنة عند الانتهاء من العلاقة مع مقدم الخدمة (Exit Strategy).

  • استخدام وسائل آمنة لتصدير ونقل البيانات والبنية التحتية الافتراضية.

  • الالتزام باستخدام طرق وخوارزميات ومفاتيح وأجهزة تشفير محدثة وآمنة، وفقًا للمستوى المتقدم (Advanced) ضمن المعايير الوطنية للتشفير (NCS-1:2020).

  • تشفير البيانات والمعلومات المنقولة إلى الخدمات السحابية، أو المنقولة منها، بحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.

  • تقييم ومعالجة الثغرات الخاصة بالخدمات السحابية مرة واحدة كل ثلاثة أشهر على الأقل.

  • إدارة الثغرات التي تم إشعار المشترك بها عن طريق مقدم الخدمة، ومعالجتها.

  • تفعيل وجمع سجلات الأحداث الخاصة بعمليات الدخول (Login)، وسجلات الأحداث الخاصة بالأمن السيبراني على الأصول المتعلقة بالخدمات السحابية.

  • أن تشمل عملية المراقبة جميع الأحداث أحداث الأمن السيبراني المفعلة على الخدمات السحابية الخاصة بالمشترك.

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني، الخاصة بإدارة المفاتيح لدى المشتركين.

  • يجب تطبيق متطلبات الأمن السيبراني، الخاصة بإدارة المفاتيح لدى المشتركين.

  • يجب تحديد ملاك لمفاتيح التشفير (Key Owner).

  • وجود آلية آمنة لاسترجاع مفاتيح التشفير في حال فقدانها على سبيل المثال لا الحصر: (نسخها احتياطيًا وتخزينها بطرق آمنة خارج الأنظمة السحابية).

  • يجب مراجعة متطلبات الأمن السيبراني الخاصة بإدارة المفاتيح لدى المشتركين، ومراجعة تطبيقها، سنويا.

  • تطوير وتنفيذ إجراءات التعافي من الكوارث واستمرارية الأعمال، المتعلقة بالحوسبة السحابية، بصورة آمنة.

تاريخ آخر تحديث : مايو 19, 2024 2:34م