‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع‪3‬د تعبئ‪3‬ة النم‪3‬وذج‪ .‬يجب تحري‪3‬ر البن‪3‬ود الملّو ن‪3‬ة ب‪3‬اللون األزرق بص‪3‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪33‬غط على مفت‪33‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪33‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫أض‪33‬ف "<اس‪33‬م الجه‪33‬ة>" في مرب‪33‬ع البحث عن‬ ‫‪‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب‪33‬ع "اس‪33‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض‪333‬غط على "المزي‪333‬د" وتأّك د من اختي‪333‬ار "‬ ‫‪‬‬
‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪33‬يبراني كمث‪33‬ال توض‪33‬يحي يمكن اس‪33‬تخدامه ك‪33‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪3‬ذا النم‪3‬وذج ومواءمت‪3‬ه م‪3‬ع أعم‪3‬ال <اس‪3‬م الجه‪3‬ة> والمتطلب‪3‬ات التش‪3‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪33‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق السياسة ‪4.....................................................................................................................‬‬
‫بنود السياسة ‪4......................................................................................................................‬‬
‫األدوار والمسؤوليات ‪11...........................................................................................................‬‬
‫التحديث والمراجعة ‪11.............................................................................................................‬‬
‫االلتزام بالسياسة ‪11................................................................................................................‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫الغرض‬
‫الغرض من هذه السياس‪3‬ة ه‪3‬و تحدي‪3‬د متطلب‪3‬ات األمن الس‪3‬يبراني المتعلق‪3‬ة بحماي‪3‬ة األص‪3‬ول المعلوماتي‪3‬ة‬
‫والتقنية المتعلقة بأجهزة وأنظمة التحكم الصناعي الخاصة في <اسم الجهة> لتقلي‪33‬ل المخ‪33‬اطر الس‪33‬يبرانية الناتج‪33‬ة‬
‫عن التهدي‪33‬دات الداخلي‪33‬ة والخارجي‪33‬ة في <اس‪33‬م الجه‪33‬ة> وذل‪33‬ك لتحقي‪33‬ق األه‪33‬داف الرئيس‪33‬ية للحماي‪33‬ة وهي‪ :‬س‪33‬رية‬
‫المعلومات‪ ،‬وسالمة أنظمة المعلومات‪ ،‬وتوافرها‪.‬‬
‫تمت موائم‪33‬ة ه‪33‬ذه السياس‪33‬ة م‪33‬ع الض‪33‬وابط والمع‪33‬ايير الص‪33‬ادرة من الهيئ‪33‬ة الوطني‪33‬ة لألمن الس‪33‬يبراني‬
‫والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫تغطي هذه السياسة جمي‪33‬ع األص‪33‬ول المعلوماتي‪33‬ة والتقني‪33‬ة (أجه‪33‬زة وأنظم‪33‬ة التحكم الص‪33‬ناعي واألنظم‪33‬ة‬
‫التشغيلية ومكوناتها) في <اسم الجهة> ‪ ،‬وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫بنود السياسة‬
‫البنود العامة‬ ‫‪-1‬‬
‫يجب تحديد جميع سياسات ومتطلب‪3‬ات األمن الس‪33‬يبراني المعتم‪33‬دة في <اس‪33‬م الجه‪33‬ة> وتطبيقه‪33‬ا على‬ ‫‪1-1‬‬
‫األنظمة التشغيلية وأنظمة التحكم الصناعي (‪ )OT/ICS‬في <اسم الجهة>‪.‬‬
‫يجب تقسيم المناطق المختلفة (‪ )Zones‬داخل بيئ‪3‬ة أنظم‪33‬ة التحكم الص‪33‬ناعي منطقًي ا أو مادًي ا وفًق ا‬ ‫‪1-2‬‬
‫للمستوى المناسب للمنطقة وعزل تدفق البيانات بين المناطق بحيث يتم االتص‪33‬ال بين المن‪33‬اطق ع‪33‬بر‬
‫نقاط اتصال محددة (‪.)Choke Points‬‬
‫يجب فرض قيود حازمة وتطبيق التقسيم المادي والمنطقي عند ربط شبكات أنظمة التحكم الصناعي‬ ‫‪1-3‬‬
‫مع شبكة األعمال الداخلي‪33‬ة (‪ )Corporate Zone‬والش‪33‬بكات األخ‪33‬رى في <اس‪33‬م الجه‪33‬ة> ومن‪33‬ع‬
‫الوصول لخدمات األعمال الحساسة (‪ )Business Critical‬على شبكات أنظمة التحكم الصناعي‬
‫من الشبكة الداخلية وقصرها على الخدمات المصرح بالوصول لها‪.‬‬
‫يجب فرض قي‪33‬ود حازم‪33‬ة وتط‪33‬بيق التقس‪33‬يم والفص‪33‬ل الم‪33‬ادي والمنطقي عن‪33‬د رب‪33‬ط ش‪33‬بكات األنظم‪33‬ة‬ ‫‪1-4‬‬
‫التشغيلية وأنظمة التحكم الصناعي مع الشبكات الخارجية من خالل استخدام أنظمة تحكم أمني‪33‬ة مث‪33‬ل‬
‫المنطقة المحايدة (‪.)DMZ‬‬
‫يجب منع الوصول المباشر عن بعد لشبكات أنظمة التحكم الصناعي وتوجيه جمي‪33‬ع االتص‪33‬االت إلى‬ ‫‪1-5‬‬
‫نقاط الوصول عن بعد ( ‪ )Jump Hosts‬بحيث تكون مخصصة لهذه العمليات وآمنة ومحصنة في‬
‫المنطقة المحايدة (‪ ،)DMZ‬وال يتم استخدامها إال عند الحاج‪33‬ة م‪33‬ع ض‪33‬مان تط‪33‬بيق مب‪33‬دأ التحق‪33‬ق من‬
‫الهوية متعدد العناصر ( ‪ )Multi-Factor Authentication - MFA‬وتسجيل جلسات االتصال‬
‫(‪ )Session Recording‬وأن يكون االتصال لفترة زمنية محددة‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب عزل أنظمة معدات الس‪33‬المة ( ‪ )Safety Instrumented System - SIS‬منطقًي ا أو‬ ‫‪1-6‬‬
‫مادًيا عن الشبكات األخرى الخاصة بأنظمة التحكم الصناعي‪.‬‬
‫يجب تفعي‪33‬ل س‪33‬جالت أح‪33‬داث (‪ )Event Logs‬األمن الس‪33‬يبراني على ش‪33‬بكات األنظم‪33‬ة التش‪33‬غيلية‬ ‫‪1-7‬‬
‫وأنظمة التحكم الصناعي واالتصاالت المرتبطة بها ومراقبتها بشكل مستمر‪.‬‬
‫يجب تفعيل سجالت األحداث المتعلقة باألمن السيبراني على جميع األصول في بيئ‪33‬ة ش‪33‬بكات أنظم‪33‬ة‬ ‫‪1-8‬‬
‫التحكم الصناعي‪.‬‬
‫يجب اكتشـاف محاوالت فشـل الوصـول إلى نظـام المراقبة الخـاص ب<اسم الجهة>‪ ،‬ورصدهـا‪.‬‬ ‫‪1-9‬‬
‫يجب اجراء مراجعة ومراقبة مستمرة ودقيقة لسجالت األحداث والتدقيق المتعلق‪33‬ة ب‪3‬األمن الس‪33‬يبراني‬ ‫‪1-10‬‬
‫على جميع أصول أنظمة التحكم الصناعي‪.‬‬
‫يجب إجراء مراقبة وكشف‪ ،‬وتحليل لسلوك المستخدم (‪.)User Behavior Analysis‬‬ ‫‪1-11‬‬
‫يجب اكتشاف عمليات الرفع أو التنزي‪33‬ل على أجه‪33‬زة وأنظم‪33‬ة التحكم الص‪33‬ناعي بم‪33‬ا في ذل‪33‬ك أنظم‪33‬ة‬ ‫‪1-12‬‬
‫السالمة‪.‬‬
‫يجب مراقبة جميع عمليات الوصول عن بعد‪.‬‬ ‫‪1-13‬‬
‫يجب اكتشاف األحداث الضارة وفحصها‪.‬‬ ‫‪1-14‬‬
‫يجب تسجيل التنبيهات الحديثة ومراقبتها في حال اتصال أجهزة جديدة‪ ،‬أو غير مسموح بها بشبكات‬ ‫‪1-15‬‬
‫أنظمة التحكم الصناعي‪.‬‬
‫يجب اس‪33‬تخدام التهدي‪3‬دات االس‪3‬تباقية المتعلق‪33‬ة بأنظم‪33‬ة التحكم الص‪33‬ناعي لض‪33‬بط تنبيه‪33‬ات نظ‪3‬ام إدارة‬ ‫‪1-16‬‬
‫سجالت االحداث‪.‬‬
‫يجب مراقبة جميع نقاط التحكم بالدخول بين حدود الشبكة واالتصاالت الخارجية‪.‬‬ ‫‪1-17‬‬
‫يجب إجراء مراجعة دورية لإلعدادات األمنية لألنظمة التشغيلية وأنظمة التحكم الصناعي‪.‬‬ ‫‪1-18‬‬
‫يجب تحديد واعتماد وتطبيق المع‪33‬ايير التقني‪33‬ة األمني‪33‬ة (‪)Technical Security Standards‬‬ ‫‪1-19‬‬
‫لألنظمة التشغيلية وأنظمة التحكم الصناعي مع االخذ في االعتبار التفضيالت من مصنعي ومطوري‬
‫هذه األنظمة وفًق ا لسياسة اإلعدادات والتحصين المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب فحص واكتش‪3333‬اف الثغ‪3333‬رات لألنظم‪3333‬ة التش‪3333‬غيلية وأنظم‪3333‬ة التحكم الص‪3333‬ناعي (‪OT/ICS‬‬ ‫‪1-20‬‬
‫‪ )Vulnerability Management‬دورًي ا‪ ،‬ومعالج‪33‬ة الثغ‪33‬رات بن‪33‬اًء على تص‪33‬نيفها والمخ‪33‬اطر‬
‫السيبرانية المترتبة عليها ووفًق ا لسياسة إدارة الثغرات المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تحدي‪33‬د نط‪33‬اق عملي‪33‬ات تق‪33‬ييم الثغ‪33‬رات وأنش‪33‬طتها لبيئ‪33‬ة ش‪33‬بكات أنظم‪33‬ة التحكم الص‪33‬ناعي (‬ ‫‪1-21‬‬
‫‪ )ICS/OT‬بوصفه جزء من اآللي‪3‬ات الرس‪3‬مية إلدارة الثغ‪3‬رات في <اس‪3‬م الجه‪3‬ة>‪ ،‬وض‪3‬مان ت‪3‬أثير‬
‫محدود أو غير محدود على بيئة اإلنتاج‪.‬‬
‫يجب التأكد من ضمان المعالجة الفورية‪ ،‬للثغرات الحساس‪33‬ة المكتش‪33‬فة ح‪3‬ديثًا‪ ،‬وال‪3‬تي تش‪33‬كل مخ‪3‬اطر‬ ‫‪1-22‬‬
‫كبيرة على بيئة شبكات أنظمة التحكم الصناعي‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب مراجع‪33‬ة متطلب‪33‬ات األمن الس‪33‬يبراني إلدارة الثغ‪33‬رات الخاص‪33‬ة بأنظم‪33‬ة التحكم الص‪33‬ناعي (‬ ‫‪1-23‬‬
‫‪ )ICS/OT‬وقياس فعالية تطبيقها وتقييمها دوريًا‪.‬‬
‫يجب تطبيق ح‪3‬زم التح‪3‬ديثات واإلص‪3‬الحات األمني‪3‬ة لألنظم‪3‬ة التش‪3‬غيلية وأنظم‪3‬ة التحكم الص‪3‬ناعي (‬ ‫‪1-24‬‬
‫‪ )OT/ICS Patch Management‬دورًيا وفًقا لسياسة إدارة ح‪33‬زم التح‪33‬ديثات واإلص‪33‬الحات‬
‫المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب مراجعة اإلعدادات التلقائية والمبدئي‪33‬ة له‪33‬ذه األنظم‪33‬ة والتأك‪33‬د من ع‪33‬دم احتوائه‪33‬ا على إع‪33‬دادات‬ ‫‪1-25‬‬
‫تسهل الدخول ألطراف خارجية أو صالحيات دخول أو مرور محددة مسبقا‪.‬‬
‫يجب تقييد صالحيات الدخول إلى مواقع األنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي داخ‪33‬ل <اس‪33‬م‬ ‫‪1-26‬‬
‫الجهة> ومنحها للعاملين المصرح لهم فقط وفًق ا لسياسة إدارة هويات الدخول والص‪3‬الحيات وسياس‪3‬ة‬
‫األمن المادي المعتمدة لدى <اسم الجهة> وبناًء على متطلبات أعمالهم التشغيلية‪.‬‬
‫يجب إجراء فحص دوري لمدى فعالية استعادة النسخ االحتياطية والتأكد من تط‪33‬بيق متطلب‪33‬ات األمن‬ ‫‪1-27‬‬
‫السيبراني إلدارة النسخ االحتياطية وفًقا لسياسة الُن سخ االحتياطية المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تحديد وتصنيف وحماية البيانات والمعلومات للبنية التحتي‪33‬ة الوطني‪33‬ة الحساس‪33‬ة (‪ )CNI‬التابع‪33‬ة‬ ‫‪1-28‬‬
‫لألنظمة التشغيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي والتعام‪33‬ل معه‪33‬ا بن‪33‬اًء على تص‪33‬نيفها حس‪33‬ب التش‪33‬ريعات‬
‫واألنظمة ذات العالقة في <اسم الجهة>‪.‬‬
‫يجب حماي‪33‬ة البيان‪33‬ات اإللكتروني‪33‬ة والمادي‪33‬ة في ح‪33‬ال التخ‪33‬زين والنق‪33‬ل بالمس‪33‬توى ال‪33‬ذي يتواف‪33‬ق م‪33‬ع‬ ‫‪1-29‬‬
‫تصنيف البيانات‪.‬‬
‫يجب حماية البيانات والمعلومات المصنفة من خالل تقنيات‪ ،‬منع تس‪33‬ريب البيان‪33‬ات )‪Prevention‬‬ ‫‪1-30‬‬
‫‪.)Leakage Data” DLP‬‬
‫يجب استخدام آليات الح‪33‬ذف اآلمن‪33‬ة (‪ )Wiping Secure‬لبيان‪33‬ات اإلع‪33‬دادات والبيان‪33‬ات المخزن‪33‬ة‬ ‫‪1-31‬‬
‫على أصول أنظمة التحكم الصناعي (‪ )ICS/OT‬وذلك عند االنتهاء منها‪.‬‬
‫يجب التقيي‪33‬د الح‪33‬ازم لنق‪33‬ل بيان‪33‬ات أنظم‪33‬ة التحكم الص‪33‬ناعي (‪ )ICS/OT‬أو اس‪33‬تخدامها خ‪33‬ارج بيئ‪33‬ة‬ ‫‪1-32‬‬
‫اإلنتاج؛ إلى أن تطبق ضوابط صارمة لحامية تلك البيانات‪.‬‬
‫يجب توفير التوعية األمنية الالزمة للع‪33‬املين في <اس‪33‬م الجه‪33‬ة> وتزوي‪33‬دهم بالمه‪33‬ارات والم‪33‬ؤهالت‬ ‫‪1-33‬‬
‫والدورات التدريبية المطلوبة في مجال األمن السيبراني‪.‬‬
‫يجب على <اسم الجهة> تطوير قائمة جرد دقيقة وحديثة ألصول األنظمة التش‪33‬غيلية وأنظم‪33‬ة التحكم‬ ‫‪1-34‬‬
‫الصناعي التابعة لها‪.‬‬
‫يجب استخدام تقنيات األتمتة لحصر األصول‪.‬‬ ‫‪1-35‬‬
‫يجب حفظ معلومات أصول أنظمة التحكم الصناعي (‪ )ICS/OT‬المحصورة بشكل آمن‪.‬‬ ‫‪1-36‬‬
‫يجب تحديد مالك األصول (‪ )Owner Asset‬لجميع أصول أنظمة التحكم الصناعي (‪)ICS/OT‬‬ ‫‪1-37‬‬
‫والتأكد من مشاركتهم في دورة حياة إدارة جرد األصول ذات العالقة‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب تصنيف مستوى الحساسية (‪ )Rating Criticality‬وتوثيق‪33‬ه واعتم‪33‬اده لجمي‪3‬ع األص‪3‬ول‪ ،‬من‬ ‫‪1-38‬‬
‫قبل مالك األصول‪.‬‬
‫يجب تحديد وإسناد أدوار ومسؤوليات واضحة لجميع األطراف المشاركة في تط‪33‬بيق ض‪33‬وابط األمن‬ ‫‪1-39‬‬
‫السيبراني لألنظمة التشغيلية وأنظمة التحكم الصناعي في <اسم الجهة>‪.‬‬
‫يجب تضمين متطلبات األمن السيبراني في منهجية إدارة مشاريع <اسم الجهة> واجراءاتها‪ ،‬لحماية‬ ‫‪1-40‬‬
‫سرية وسالمة وت‪3‬وافر األعم‪33‬ال التش‪33‬غيلية والتقني‪3‬ة لألنظم‪33‬ة التحكم الص‪33‬ناعي‪ ،‬وذل‪3‬ك وفًق ا للسياس‪33‬ة‬
‫العامة لألمن السيبراني المعتمدة لدى <اسم الجهة> والمتطلبات التشريعية والتنظيمية ذات عالقة‪.‬‬
‫يجب التأكد من أن مستويات األمن الس‪33‬يبراني ال تت‪33‬أثر ح‪33‬ال تط‪33‬بيق طلب‪33‬ات التغي‪33‬ير في البيئ‪33‬ة ال‪33‬تي‬ ‫‪1-41‬‬
‫تحتوي على أنظمة التحكم الصناعي وذلك بعد التحليل والتحكم بالثغرات‪.‬‬
‫يجب على <اس‪33‬م الجه‪33‬ة> تنظيم حمالت توعي‪33‬ة أمني‪33‬ة خاص‪33‬ة باألنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم‬ ‫‪1-42‬‬
‫الصناعي‪.‬‬
‫يجب أن يتم توفير تمارين خاصة‪ ،‬وشهادات مهنية‪ ،‬ومهارات احترافية في مج‪33‬ال األمن الس‪33‬يبراني‪،‬‬ ‫‪1-43‬‬
‫لجمي‪3‬ع الع‪3‬املين على األص‪3‬ول المتعلق‪3‬ة بأنظم‪3‬ة التحكم الص‪3‬ناعي (‪ ،)ICS/OT‬كم‪3‬ا تش‪3‬جع الهيئ‪3‬ة‬
‫الوطنية لألمن السيبراني <اسم الجهة> على االستفادة من اإلطار السعودي لكوادر األمن الس‪33‬يبراني‬
‫(سيوف) ليكون مرجع لها‪.‬‬
‫يجب تشجيع الجهة للمشاركة مع الجه‪33‬ات المعتم‪33‬دة و‪/‬أو ذات االختص‪33‬اص في مج‪33‬ال أنظم‪33‬ة التحكم‬ ‫‪1-44‬‬
‫الصناعي (‪.)ICS/OT‬‬
‫يجب تطوير واعتماد إجراءات ومعايير خاص‪33‬ة باألنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي بن‪33‬اًء‬ ‫‪1-45‬‬
‫على حاجة العمل‪.‬‬
‫يجب استخدام مؤشر قياس األداء (‪ )KPI‬لض‪33‬مان التط‪33‬وير المس‪33‬تمر واالس‪33‬تخدام الص‪33‬حيح والفع‪33‬ال‬ ‫‪1-46‬‬
‫لمتطلبات األمن السيبراني المتعلقة بحماية أجهزة وأنظمة التحكم الصناعي‪.‬‬
‫حماية األنظمة التشغيلية‬ ‫‪-2‬‬
‫يجب توف‪33‬ير تقني‪33‬ات الحماي‪33‬ة الالزم‪33‬ة لحماي‪33‬ة أنظم‪33‬ة وأجه‪33‬زة التحكم الص‪33‬ناعي من الفيروس‪33‬ات‬ ‫‪2-1‬‬
‫والبرمجي‪3‬ات المش‪3‬بوهة والض‪3‬ارة وض‪3‬بط إع‪3‬داداتها وفًق ا لسياس‪3‬ة الحماي‪3‬ة من البرمجي‪3‬ات الض‪3‬ارة‬
‫المعتمدة في <اسم الجهة>‪ ،‬وأفضل المعايير األمنية‪.‬‬
‫يجب ضبط إعدادات األنظمة أو األجهزة المرتبط‪33‬ة بش‪33‬بكات أنظم‪33‬ة التحكم الص‪33‬ناعي مث‪33‬ل الخ‪33‬وادم‬ ‫‪2-2‬‬
‫الوكيلة‪ ،‬وجدران الحماية‪ ،‬وأجهزة نقل البيانات باتجاه واحد (‪ )Data Diodes‬لمنع نقل البيان‪33‬ات‬
‫غير المصرح بها‪.‬‬
‫يجب منع توصيل وسائط التخزين الخارجية واألجهزة المحمولة التابعة ل<اسم الجهة> بما في ذل‪3‬ك‬ ‫‪2-3‬‬
‫أجهزة الحاسب المحمول‪ ،‬أجهزة اإلعدادات المحمولة‪ ،‬وأجهزة اختبارات الشبكة باألنظمة التش‪33‬غيلية‬
‫وأنظمة التحكم الصناعي أو مكوناتها التقنية إال بإذن مسبق من <اسم الجهة> وبعد دراسة المخ‪33‬اطر‬
‫المحتملة‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب ض‪33‬مان س‪33‬رية البيان‪33‬ات المتعلق‪33‬ة باألنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي ومعلوماته‪33‬ا‬ ‫‪2-4‬‬
‫وسالمتها وتوافرها وفًق ا لسياسة حماية البيانات المعتمدة لدى <اسم الجهة>‪ ،‬والمتطلب‪33‬ات التش‪33‬ريعية‬
‫والتنظيمية ذات العالقة‪.‬‬
‫يجب استخدام التشفير لحماية أصول البيانات والمعلومات وفًق ا لسياس‪3‬ة التش‪3‬فير المعتم‪3‬دة في <اس‪3‬م‬ ‫‪2-5‬‬
‫الجهة>‪ ،‬والمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫يجب تط‪33‬بيق المعماري‪33‬ة متع‪33‬ددة المس‪33‬تويات (‪ )Multi-tier Architecture‬في تط‪33‬وير تطبيق‪33‬ات‬ ‫‪2-6‬‬
‫الويب الخاصة باألنظمة التشغيلية وأنظمة التحكم الصناعي‪.‬‬
‫يجب اس‪333‬تخدام معلوم‪333‬ات التهدي‪333‬دات االس‪333‬تباقية (‪ )Threat Intelligence‬لتحدي‪333‬د التقني‪333‬ات‬ ‫‪2-7‬‬
‫واإلج‪33‬راءات (‪ )TTPs‬المس‪33‬تخدمة من قب‪33‬ل المجموع‪33‬ات النش‪33‬طة (‪ )Activity Groups‬الي‬
‫تستهدف األنظمة التشغيلية وأنظمة التحكم الصناعي‪.‬‬
‫يجب تقييم مخاطر األمن الس‪33‬يبراني على األنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي دورًي ا وفًق ا‬ ‫‪2-8‬‬
‫لسياسة إدارة مخاطر األمن السيبراني المعتمدة في <اسم الجهة> والتشريعات األخرى ذات العالق‪33‬ة‬
‫على أن تشمل هذه التقييمات تقييم مخاطر األمن السيبراني المتعلقة باألطراف الخارجية بما في ذلك‬
‫مصنعو مع‪33‬دات األنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي‪ ،‬وم‪33‬وردو منتج‪33‬ات وخ‪33‬دمات أنظم‪33‬ة‬
‫التحكم الصناعي‪.‬‬
‫يجب التأكد من أن مخاطر األمن السيبراني ومتطلباته لألنظم‪3‬ة التش‪3‬غيلية وأنظم‪3‬ة التحكم الص‪3‬ناعي‬ ‫‪2-9‬‬
‫المتعلقة بالعاملين في <اسم الجهة> تعالج بفعالية قبل الب‪33‬دء في عملهم واثن‪33‬اءه وعن‪33‬د االنته‪33‬اء من‪33‬ه‪،‬‬
‫وذلك وفًقا للسياسات أو اإلجراءات التنظيمية المعتم‪33‬دة ل‪33‬دى <اس‪33‬م الجه‪33‬ة> والمتطلب‪33‬ات التش‪33‬ريعية‬
‫والتنظيمية ذات العالقة‪.‬‬
‫يجب إجراء عمل مسح أمني ( ‪ )Vetting or Screening‬لجميع العاملين ويشمل ذلك (الموظفين‬ ‫‪2-10‬‬
‫والمتعاق‪333‬دين) وال‪333‬ذين يمكنهم الوص‪333‬ول إلى أص‪333‬ول أنظم‪333‬ة التحكم الص‪333‬ناعي ( ‪ )ICS/OT‬أو‬
‫استخدامها؛ وذلك قبل منحهم صالحيات الوصول‪.‬‬
‫إدارة حوادث وتهديدات األمن السيبراني والتعافي من الكوارث‬ ‫‪-3‬‬
‫يجب تقييم واختبار مدى فعالية قدرات تعزيز األمن الس‪33‬يبراني ألص‪33‬ول األنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة‬ ‫‪3-1‬‬
‫التحكم الصناعي (‪ )OT/ICS‬في <اسم الجهة> من خالل اختبارات االختراق‪.‬‬
‫يجب تحدي‪33‬د نط‪33‬اق أنش‪33‬طة اختب‪33‬ارات االخ‪33‬تراق‪ ،‬لتغطي بيئ‪33‬ة ش‪33‬بكات أنظم‪33‬ة التحكم الص‪33‬ناعي (‬ ‫‪3-2‬‬
‫‪ )ICS/OT‬والش‪3‬بكات المرتبط‪3‬ة بالش‪3‬بكة التش‪3‬غيلية‪ ،‬وأن يتم عم‪3‬ل االختب‪3‬ارات من قب‪3‬ل فري‪3‬ق ذي‬
‫كفاءة عالية‪.‬‬
‫يجب إجراء اختبار االختراق‪ ،‬بعد التأكد من أن تأثير االختبار‪ ،‬محدود على بيئة اإلنت‪33‬اج‪ ،‬أو إج‪33‬راء‬ ‫‪3-3‬‬
‫اختبار االختراق‪ ،‬في بيئة منفصلة مماثلة‪.‬‬
‫يجب إجراء اختبار االختراق ألنظمة التحكم الصناعي دوريًا‪.‬‬ ‫‪3-4‬‬
‫يجب تحديد طرق اختبارات بديلة وتنفيذها مث‪33‬ل االختب‪33‬ارات غ‪33‬ير الفعال‪33‬ة ( ‪)Testing Passive‬‬ ‫‪3-5‬‬
‫لجمع المعلومات عندما يكون هنالك أثر محتمل على بيئة اإلنتاج التشغيلية‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪8‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب تطبيق التوافر (‪ )Redundancy‬للشبكات والوس‪3‬ائط واألجه‪3‬زة الحساس‪3‬ة ألص‪3‬ول األنظم‪3‬ة‬ ‫‪3-6‬‬
‫التشغيلية وأنظمة التحكم الصناعي وفقا للتقييم الدوري لمخاطر األمن السيبراني‪.‬‬
‫يجب تضمين متطلبات صمود األمن السيبراني المتعلقة باألنظمة التشغيلية وأنظمة التحكم الصناعي‬ ‫‪3-7‬‬
‫في خطة استمرارية األعمال ( ‪ )Business Continuity Plan - BCP‬ويشمل ذل‪3‬ك تحلي‪3‬ل‬
‫التأثير على األعم‪33‬ال (‪ )BIA‬ووقت االس‪33‬تعادة المس‪33‬تهدف (‪ )RTO‬ونقط‪33‬ة االس‪33‬تعادة المس‪33‬تهدفة (‬
‫‪.)RPO‬‬
‫يجب تضمين متطلبات صمود األمن السيبراني المتعلقة باألنظمة التشغيلية وأنظمة التحكم الصناعي‬ ‫‪3-8‬‬
‫الى خطط التعافي من الكوارث (‪.)Disaster Recovery Plan - DRP‬‬
‫يجب تطوير واعتماد خطة طوارئ (‪ )Contingency Plan‬تك‪33‬ون مص‪33‬ممة للحف‪33‬اظ على س‪33‬ير‬ ‫‪3-9‬‬
‫األعمال أو استعادتها من النسخ االحتياطية المعتمدة في حال وقوع حوادث األمن السيبراني والتأك‪33‬د‬
‫من استمرارية األعمال بأقل تأثير ممكن‪.‬‬
‫يجب تحديد خطط االستجابة لحوادث األمن الس‪33‬يبراني المتعلق‪33‬ة باألنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم‬ ‫‪3-10‬‬
‫الص‪333‬ناعي وإج‪333‬راءات التص‪333‬عيد وفًق ا لسياس‪333‬ة إدارة الح‪333‬وادث وتهدي‪333‬دات األمن الس‪333‬يبراني (‬
‫‪ )Cybersecurity Incident and Threat Management‬المعتمدة في <اسم الجهة>‬
‫والتشريعات األخرى ذات العالقة وإجراء تمارين افتراضية على الخطط بشكل دوري‪.‬‬
‫يجب التأكد من أن خطط االستجابة للحوادث األمنية‪ ،‬المتعلقة بأنظمة التحكم الصناعي ( ‪)ICS/OT‬‬ ‫‪3-11‬‬
‫مدمجة ومتوائمة مع خطط الجهة وإجراءاتها‪.‬‬
‫يجب إجراء تحليل للحوادث‪ ،‬وتحلي‪3‬ل األس‪3‬باب الجذري‪3‬ة (‪ )Cause Root Analysis‬لح‪3‬وادث‬ ‫‪3-12‬‬
‫األمن السيبراني‪ ،‬بطريقة منظمة‪ ،‬بعد اكتشاف الحوادث‪.‬‬
‫يجب تحديد تسلسل أنشطة االستجابة‪ ،‬لحوادث األمن السيبراني الالزمة الستعادة العمليات التش‪33‬غيلية‬ ‫‪3-13‬‬
‫لطبيعتها‪.‬‬
‫يجب إنشاء خطط التواصل‪ ،‬عند وقوع الحوادث (‪.)Incident Plan Communications‬‬ ‫‪3-14‬‬
‫يجب تض‪33‬مين إج‪33‬راءات التع‪33‬افي لألنظم‪33‬ة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي بم‪33‬ا في ذل‪33‬ك أنظم‪33‬ة‬ ‫‪3-15‬‬
‫معدات السالمة (‪ )SIS‬في خطط االستجابة للحوادث والتع‪33‬افي من الك‪33‬وارث واس‪33‬تمرارية األعم‪33‬ال‬
‫المعتمدة في <اسم الجهة>‪.‬‬
‫يجب تزوي‪33‬د الع‪33‬املين بالجه‪33‬ة بالمه‪33‬ارات وال‪33‬دورات التدريبي‪33‬ة المطلوب‪33‬ة (الم‪33‬وظفين والمتعاق‪33‬دين)‬ ‫‪3-16‬‬
‫لالستجابة لحوادث األمن السيبراني المتعلقة بأنظمة التحكم الصناعي (‪.)ICS/OT‬‬
‫يجب اختبار قدرات االستجابة لحوادث األمن السيبراني ومستوى الجاهزية والخطة المعتم‪33‬دة بش‪33‬كل‬ ‫‪3-17‬‬
‫دوري من خالل إج‪333‬راء تم‪333‬ارين محاك‪333‬اة للهجم‪333‬ات الس‪333‬يبرانية ( ‪Exercises Simulation‬‬
‫‪.)Attack‬‬
‫يجب استخدام معلومات التهديدات االستباقية (‪ )Intelligence Threat‬لتحديد الخطط واألساليب‬ ‫‪3-18‬‬
‫واإلج‪33‬راءات (‪ )TTPs‬المس‪33‬تخدمة من قب‪33‬ل المجموع‪33‬ات النش‪33‬طة (‪ )Groups Activity‬ال‪33‬تي‬
‫تستهدف أنظمة التحكم الصناعي (‪.)ICS/OT‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪9‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫يجب التأكد من أن خطط االستجابة لح‪3‬وادث األمن الس‪3‬يبراني المتعلق‪3‬ة باألنظم‪3‬ة التش‪3‬غيلية وأنظم‪3‬ة‬ ‫‪3-19‬‬
‫التحكم الصناعي متوائمة مع خط‪33‬ط االس‪33‬تجابة لح‪33‬وادث تقني‪33‬ة المعلوم‪33‬ات وإدارة األزم‪33‬ات وخط‪33‬ط‬
‫استمرارية األعمال المعتمدة في <اسم الجهة>‪.‬‬
‫يجب تحديد األنشطة الالزمة للمحافظة على الحد األدنى من العملي‪3‬ات المتعلق‪33‬ة باألنظم‪33‬ة التش‪33‬غيلية‬ ‫‪3-20‬‬
‫وأنظمة التحكم الصناعي كما يجب أن تكون األنظمة ق‪33‬ادرة على العم‪33‬ل بمس‪33‬توى أم‪33‬ان مقب‪33‬ول عن‪33‬د‬
‫فشلها بسبب حادثة أمن سيبراني‪.‬‬
‫يجب إجراء تحليل للح‪3‬وادث وتحلي‪3‬ل األس‪3‬باب الجذري‪3‬ة (‪ )Root Cause Analysis‬لح‪3‬وادث‬ ‫‪3-21‬‬
‫األمن السيبراني بطريقة منظمة بعد اكتشاف الحوادث‪.‬‬
‫يجب إنشاء خطط تواصل عند وقوع حوادث األمن السيبراني ( ‪Incident Communications‬‬ ‫‪3-22‬‬
‫‪.)Plan‬‬
‫يجب توعية الجه‪33‬ات المس‪33‬ؤولة وف‪3‬رق االس‪3‬تجابة على خط‪3‬ط االس‪3‬تجابة لح‪3‬وادث األمن الس‪33‬يبراني‬ ‫‪3-23‬‬
‫المتعلقة باألنظمة التشغيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي من خالل تزوي‪33‬د الع‪33‬املين بالجه‪33‬ة بالمه‪33‬ارات‬
‫والدورات التدريبية المطلوبة‪.‬‬
‫يجب توثيق خطة التعافي من الكوارث المتعلقة باألنظمة التش‪33‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي بحيث‬ ‫‪3-24‬‬
‫تشمل كحد أدنى ما يلي‪:‬‬
‫تطوير خطة االستجابة المطلوبة لألحداث بمختلف فتراتها وشدتها والتي تؤدي إلى تفعيل‬ ‫‪3-24-1‬‬
‫خطة التعافي من الكوارث أو عدمها‪.‬‬
‫تحديد تسلس‪33‬ل أنش‪33‬طة االس‪33‬تجابة لح‪33‬وادث األمن الس‪33‬يبراني الالزم‪33‬ة الس‪33‬تعادة العملي‪33‬ات‬ ‫‪3-24-2‬‬
‫التشغيلية لطبيعتها‪.‬‬
‫تحديد إج‪3‬راءات إع‪33‬ادة تش‪3‬غيل األنظم‪33‬ة التش‪3‬غيلية وأنظم‪33‬ة التحكم الص‪33‬ناعي أو تش‪33‬غيلها‬ ‫‪3-24-3‬‬
‫يدوًيا‪.‬‬
‫تحدي‪33‬د أدوار ومس‪33‬ؤوليات فري‪33‬ق االس‪33‬تجابة وقائم‪33‬ة الع‪33‬املين المص‪33‬رح لهم بالوص‪33‬ول‬ ‫‪3-24-4‬‬
‫المباشر أو غير المباشر إلى أنظمة التحكم الصناعي‪.‬‬
‫مراجع‪33‬ة عملي‪33‬ات وإج‪33‬راءات الُنس‪33‬خ االحتياطي‪33‬ة لنس‪33‬خ األص‪33‬ول المعلوماتي‪33‬ة احتياطًي ا‬ ‫‪3-24-5‬‬
‫وتخزينها بشكل آمن‪.‬‬
‫تطوير مخطط ش‪33‬بكة منطقي مكتم‪33‬ل وح‪33‬ديث‪ ،‬ومعلوم‪33‬ات اإلع‪33‬دادات الحالي‪33‬ة للمكون‪33‬ات‬ ‫‪3-24-6‬‬
‫التقنية الخاصة بأجهزة وأنظمة التحكم الصناعي‪.‬‬
‫يجب اختبار قدرات االستجابة لحوادث األمن السيبراني ومستوى الجاهزية والخطة المعتم‪33‬دة بش‪33‬كل‬ ‫‪3-25‬‬
‫دوري من خالل إج‪3333‬راء تم‪3333‬ارين محاك‪3333‬اة للهجم‪3333‬ات الس‪3333‬يبرانية ( ‪Attack Simulation‬‬
‫‪.)Exercises‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪10‬‬
 ‫نموذج سياسة األمن السيبراني لألنظمة التشغيلية‬

‫األدوار والمسؤوليات‬
‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياس‪3‬ة س‪3‬نوًيا على األق‪3‬ل أو في ح‪3‬ال ح‪3‬دوث‬
‫تغي‪33‬يرات في السياس‪33‬ات أو اإلج‪33‬راءات التنظيمي‪33‬ة في <اس‪33‬م الجه‪33‬ة> أو المتطلب‪33‬ات التش‪33‬ريعية والتنظيمي‪33‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام بالسياسة‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪33‬راءات المتبع‪33‬ة في <اس‪33‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪11‬‬