Professional Documents
Culture Documents
POLICY Cybersecurity Industrial Controls Systems Template Ar FINAL
POLICY Cybersecurity Industrial Controls Systems Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس33يبراني كمث33ال توض33يحي يمكن اس33تخدامه ك33دليل
ومرجع للجهات .يجب أن يتم تعديل ه3ذا النم3وذج ومواءمت3ه م3ع أعم3ال <اس3م الجه3ة> والمتطلب3ات التش3ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض33ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق السياسة 4.....................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 11...........................................................................................................
التحديث والمراجعة 11.............................................................................................................
االلتزام بالسياسة 11................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
الغرض
الغرض من هذه السياس3ة ه3و تحدي3د متطلب3ات األمن الس3يبراني المتعلق3ة بحماي3ة األص3ول المعلوماتي3ة
والتقنية المتعلقة بأجهزة وأنظمة التحكم الصناعي الخاصة في <اسم الجهة> لتقلي33ل المخ33اطر الس33يبرانية الناتج33ة
عن التهدي33دات الداخلي33ة والخارجي33ة في <اس33م الجه33ة> وذل33ك لتحقي33ق األه33داف الرئيس33ية للحماي33ة وهي :س33رية
المعلومات ،وسالمة أنظمة المعلومات ،وتوافرها.
تمت موائم33ة ه33ذه السياس33ة م33ع الض33وابط والمع33ايير الص33ادرة من الهيئ33ة الوطني33ة لألمن الس33يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جمي33ع األص33ول المعلوماتي33ة والتقني33ة (أجه33زة وأنظم33ة التحكم الص33ناعي واألنظم33ة
التشغيلية ومكوناتها) في <اسم الجهة> ،وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب تحديد جميع سياسات ومتطلب3ات األمن الس33يبراني المعتم33دة في <اس33م الجه33ة> وتطبيقه33ا على 1-1
األنظمة التشغيلية وأنظمة التحكم الصناعي ( )OT/ICSفي <اسم الجهة>.
يجب تقسيم المناطق المختلفة ( )Zonesداخل بيئ3ة أنظم33ة التحكم الص33ناعي منطقًي ا أو مادًي ا وفًق ا 1-2
للمستوى المناسب للمنطقة وعزل تدفق البيانات بين المناطق بحيث يتم االتص33ال بين المن33اطق ع33بر
نقاط اتصال محددة (.)Choke Points
يجب فرض قيود حازمة وتطبيق التقسيم المادي والمنطقي عند ربط شبكات أنظمة التحكم الصناعي 1-3
مع شبكة األعمال الداخلي33ة ( )Corporate Zoneوالش33بكات األخ33رى في <اس33م الجه33ة> ومن33ع
الوصول لخدمات األعمال الحساسة ( )Business Criticalعلى شبكات أنظمة التحكم الصناعي
من الشبكة الداخلية وقصرها على الخدمات المصرح بالوصول لها.
يجب فرض قي33ود حازم33ة وتط33بيق التقس33يم والفص33ل الم33ادي والمنطقي عن33د رب33ط ش33بكات األنظم33ة 1-4
التشغيلية وأنظمة التحكم الصناعي مع الشبكات الخارجية من خالل استخدام أنظمة تحكم أمني33ة مث33ل
المنطقة المحايدة (.)DMZ
يجب منع الوصول المباشر عن بعد لشبكات أنظمة التحكم الصناعي وتوجيه جمي33ع االتص33االت إلى 1-5
نقاط الوصول عن بعد ( )Jump Hostsبحيث تكون مخصصة لهذه العمليات وآمنة ومحصنة في
المنطقة المحايدة ( ،)DMZوال يتم استخدامها إال عند الحاج33ة م33ع ض33مان تط33بيق مب33دأ التحق33ق من
الهوية متعدد العناصر ( )Multi-Factor Authentication - MFAوتسجيل جلسات االتصال
( )Session Recordingوأن يكون االتصال لفترة زمنية محددة.
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب عزل أنظمة معدات الس33المة ( )Safety Instrumented System - SISمنطقًي ا أو 1-6
مادًيا عن الشبكات األخرى الخاصة بأنظمة التحكم الصناعي.
يجب تفعي33ل س33جالت أح33داث ( )Event Logsاألمن الس33يبراني على ش33بكات األنظم33ة التش33غيلية 1-7
وأنظمة التحكم الصناعي واالتصاالت المرتبطة بها ومراقبتها بشكل مستمر.
يجب تفعيل سجالت األحداث المتعلقة باألمن السيبراني على جميع األصول في بيئ33ة ش33بكات أنظم33ة 1-8
التحكم الصناعي.
يجب اكتشـاف محاوالت فشـل الوصـول إلى نظـام المراقبة الخـاص ب<اسم الجهة> ،ورصدهـا. 1-9
يجب اجراء مراجعة ومراقبة مستمرة ودقيقة لسجالت األحداث والتدقيق المتعلق33ة ب3األمن الس33يبراني 1-10
على جميع أصول أنظمة التحكم الصناعي.
يجب إجراء مراقبة وكشف ،وتحليل لسلوك المستخدم (.)User Behavior Analysis 1-11
يجب اكتشاف عمليات الرفع أو التنزي33ل على أجه33زة وأنظم33ة التحكم الص33ناعي بم33ا في ذل33ك أنظم33ة 1-12
السالمة.
يجب مراقبة جميع عمليات الوصول عن بعد. 1-13
يجب اكتشاف األحداث الضارة وفحصها. 1-14
يجب تسجيل التنبيهات الحديثة ومراقبتها في حال اتصال أجهزة جديدة ،أو غير مسموح بها بشبكات 1-15
أنظمة التحكم الصناعي.
يجب اس33تخدام التهدي3دات االس3تباقية المتعلق33ة بأنظم33ة التحكم الص33ناعي لض33بط تنبيه33ات نظ3ام إدارة 1-16
سجالت االحداث.
يجب مراقبة جميع نقاط التحكم بالدخول بين حدود الشبكة واالتصاالت الخارجية. 1-17
يجب إجراء مراجعة دورية لإلعدادات األمنية لألنظمة التشغيلية وأنظمة التحكم الصناعي. 1-18
يجب تحديد واعتماد وتطبيق المع33ايير التقني33ة األمني33ة ()Technical Security Standards 1-19
لألنظمة التشغيلية وأنظمة التحكم الصناعي مع االخذ في االعتبار التفضيالت من مصنعي ومطوري
هذه األنظمة وفًق ا لسياسة اإلعدادات والتحصين المعتمدة لدى <اسم الجهة>.
يجب فحص واكتش3333اف الثغ3333رات لألنظم3333ة التش3333غيلية وأنظم3333ة التحكم الص3333ناعي (OT/ICS 1-20
)Vulnerability Managementدورًي ا ،ومعالج33ة الثغ33رات بن33اًء على تص33نيفها والمخ33اطر
السيبرانية المترتبة عليها ووفًق ا لسياسة إدارة الثغرات المعتمدة لدى <اسم الجهة>.
يجب تحدي33د نط33اق عملي33ات تق33ييم الثغ33رات وأنش33طتها لبيئ33ة ش33بكات أنظم33ة التحكم الص33ناعي ( 1-21
)ICS/OTبوصفه جزء من اآللي3ات الرس3مية إلدارة الثغ3رات في <اس3م الجه3ة> ،وض3مان ت3أثير
محدود أو غير محدود على بيئة اإلنتاج.
يجب التأكد من ضمان المعالجة الفورية ،للثغرات الحساس33ة المكتش33فة ح3ديثًا ،وال3تي تش33كل مخ3اطر 1-22
كبيرة على بيئة شبكات أنظمة التحكم الصناعي.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب مراجع33ة متطلب33ات األمن الس33يبراني إلدارة الثغ33رات الخاص33ة بأنظم33ة التحكم الص33ناعي ( 1-23
)ICS/OTوقياس فعالية تطبيقها وتقييمها دوريًا.
يجب تطبيق ح3زم التح3ديثات واإلص3الحات األمني3ة لألنظم3ة التش3غيلية وأنظم3ة التحكم الص3ناعي ( 1-24
)OT/ICS Patch Managementدورًيا وفًقا لسياسة إدارة ح33زم التح33ديثات واإلص33الحات
المعتمدة لدى <اسم الجهة>.
يجب مراجعة اإلعدادات التلقائية والمبدئي33ة له33ذه األنظم33ة والتأك33د من ع33دم احتوائه33ا على إع33دادات 1-25
تسهل الدخول ألطراف خارجية أو صالحيات دخول أو مرور محددة مسبقا.
يجب تقييد صالحيات الدخول إلى مواقع األنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي داخ33ل <اس33م 1-26
الجهة> ومنحها للعاملين المصرح لهم فقط وفًق ا لسياسة إدارة هويات الدخول والص3الحيات وسياس3ة
األمن المادي المعتمدة لدى <اسم الجهة> وبناًء على متطلبات أعمالهم التشغيلية.
يجب إجراء فحص دوري لمدى فعالية استعادة النسخ االحتياطية والتأكد من تط33بيق متطلب33ات األمن 1-27
السيبراني إلدارة النسخ االحتياطية وفًقا لسياسة الُن سخ االحتياطية المعتمدة لدى <اسم الجهة>.
يجب تحديد وتصنيف وحماية البيانات والمعلومات للبنية التحتي33ة الوطني33ة الحساس33ة ( )CNIالتابع33ة 1-28
لألنظمة التشغيلية وأنظم33ة التحكم الص33ناعي والتعام33ل معه33ا بن33اًء على تص33نيفها حس33ب التش33ريعات
واألنظمة ذات العالقة في <اسم الجهة>.
يجب حماي33ة البيان33ات اإللكتروني33ة والمادي33ة في ح33ال التخ33زين والنق33ل بالمس33توى ال33ذي يتواف33ق م33ع 1-29
تصنيف البيانات.
يجب حماية البيانات والمعلومات المصنفة من خالل تقنيات ،منع تس33ريب البيان33ات )Prevention 1-30
.)Leakage Data” DLP
يجب استخدام آليات الح33ذف اآلمن33ة ( )Wiping Secureلبيان33ات اإلع33دادات والبيان33ات المخزن33ة 1-31
على أصول أنظمة التحكم الصناعي ( )ICS/OTوذلك عند االنتهاء منها.
يجب التقيي33د الح33ازم لنق33ل بيان33ات أنظم33ة التحكم الص33ناعي ( )ICS/OTأو اس33تخدامها خ33ارج بيئ33ة 1-32
اإلنتاج؛ إلى أن تطبق ضوابط صارمة لحامية تلك البيانات.
يجب توفير التوعية األمنية الالزمة للع33املين في <اس33م الجه33ة> وتزوي33دهم بالمه33ارات والم33ؤهالت 1-33
والدورات التدريبية المطلوبة في مجال األمن السيبراني.
يجب على <اسم الجهة> تطوير قائمة جرد دقيقة وحديثة ألصول األنظمة التش33غيلية وأنظم33ة التحكم 1-34
الصناعي التابعة لها.
يجب استخدام تقنيات األتمتة لحصر األصول. 1-35
يجب حفظ معلومات أصول أنظمة التحكم الصناعي ( )ICS/OTالمحصورة بشكل آمن. 1-36
يجب تحديد مالك األصول ( )Owner Assetلجميع أصول أنظمة التحكم الصناعي ()ICS/OT 1-37
والتأكد من مشاركتهم في دورة حياة إدارة جرد األصول ذات العالقة.
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب تصنيف مستوى الحساسية ( )Rating Criticalityوتوثيق33ه واعتم33اده لجمي3ع األص3ول ،من 1-38
قبل مالك األصول.
يجب تحديد وإسناد أدوار ومسؤوليات واضحة لجميع األطراف المشاركة في تط33بيق ض33وابط األمن 1-39
السيبراني لألنظمة التشغيلية وأنظمة التحكم الصناعي في <اسم الجهة>.
يجب تضمين متطلبات األمن السيبراني في منهجية إدارة مشاريع <اسم الجهة> واجراءاتها ،لحماية 1-40
سرية وسالمة وت3وافر األعم33ال التش33غيلية والتقني3ة لألنظم33ة التحكم الص33ناعي ،وذل3ك وفًق ا للسياس33ة
العامة لألمن السيبراني المعتمدة لدى <اسم الجهة> والمتطلبات التشريعية والتنظيمية ذات عالقة.
يجب التأكد من أن مستويات األمن الس33يبراني ال تت33أثر ح33ال تط33بيق طلب33ات التغي33ير في البيئ33ة ال33تي 1-41
تحتوي على أنظمة التحكم الصناعي وذلك بعد التحليل والتحكم بالثغرات.
يجب على <اس33م الجه33ة> تنظيم حمالت توعي33ة أمني33ة خاص33ة باألنظم33ة التش33غيلية وأنظم33ة التحكم 1-42
الصناعي.
يجب أن يتم توفير تمارين خاصة ،وشهادات مهنية ،ومهارات احترافية في مج33ال األمن الس33يبراني، 1-43
لجمي3ع الع3املين على األص3ول المتعلق3ة بأنظم3ة التحكم الص3ناعي ( ،)ICS/OTكم3ا تش3جع الهيئ3ة
الوطنية لألمن السيبراني <اسم الجهة> على االستفادة من اإلطار السعودي لكوادر األمن الس33يبراني
(سيوف) ليكون مرجع لها.
يجب تشجيع الجهة للمشاركة مع الجه33ات المعتم33دة و/أو ذات االختص33اص في مج33ال أنظم33ة التحكم 1-44
الصناعي (.)ICS/OT
يجب تطوير واعتماد إجراءات ومعايير خاص33ة باألنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي بن33اًء 1-45
على حاجة العمل.
يجب استخدام مؤشر قياس األداء ( )KPIلض33مان التط33وير المس33تمر واالس33تخدام الص33حيح والفع33ال 1-46
لمتطلبات األمن السيبراني المتعلقة بحماية أجهزة وأنظمة التحكم الصناعي.
حماية األنظمة التشغيلية -2
يجب توف33ير تقني33ات الحماي33ة الالزم33ة لحماي33ة أنظم33ة وأجه33زة التحكم الص33ناعي من الفيروس33ات 2-1
والبرمجي3ات المش3بوهة والض3ارة وض3بط إع3داداتها وفًق ا لسياس3ة الحماي3ة من البرمجي3ات الض3ارة
المعتمدة في <اسم الجهة> ،وأفضل المعايير األمنية.
يجب ضبط إعدادات األنظمة أو األجهزة المرتبط33ة بش33بكات أنظم33ة التحكم الص33ناعي مث33ل الخ33وادم 2-2
الوكيلة ،وجدران الحماية ،وأجهزة نقل البيانات باتجاه واحد ( )Data Diodesلمنع نقل البيان33ات
غير المصرح بها.
يجب منع توصيل وسائط التخزين الخارجية واألجهزة المحمولة التابعة ل<اسم الجهة> بما في ذل3ك 2-3
أجهزة الحاسب المحمول ،أجهزة اإلعدادات المحمولة ،وأجهزة اختبارات الشبكة باألنظمة التش33غيلية
وأنظمة التحكم الصناعي أو مكوناتها التقنية إال بإذن مسبق من <اسم الجهة> وبعد دراسة المخ33اطر
المحتملة.
اختر التصنيف
اإلصدار <>1.0
7
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب ض33مان س33رية البيان33ات المتعلق33ة باألنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي ومعلوماته33ا 2-4
وسالمتها وتوافرها وفًق ا لسياسة حماية البيانات المعتمدة لدى <اسم الجهة> ،والمتطلب33ات التش33ريعية
والتنظيمية ذات العالقة.
يجب استخدام التشفير لحماية أصول البيانات والمعلومات وفًق ا لسياس3ة التش3فير المعتم3دة في <اس3م 2-5
الجهة> ،والمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب تط33بيق المعماري33ة متع33ددة المس33تويات ( )Multi-tier Architectureفي تط33وير تطبيق33ات 2-6
الويب الخاصة باألنظمة التشغيلية وأنظمة التحكم الصناعي.
يجب اس333تخدام معلوم333ات التهدي333دات االس333تباقية ( )Threat Intelligenceلتحدي333د التقني333ات 2-7
واإلج33راءات ( )TTPsالمس33تخدمة من قب33ل المجموع33ات النش33طة ( )Activity Groupsالي
تستهدف األنظمة التشغيلية وأنظمة التحكم الصناعي.
يجب تقييم مخاطر األمن الس33يبراني على األنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي دورًي ا وفًق ا 2-8
لسياسة إدارة مخاطر األمن السيبراني المعتمدة في <اسم الجهة> والتشريعات األخرى ذات العالق33ة
على أن تشمل هذه التقييمات تقييم مخاطر األمن السيبراني المتعلقة باألطراف الخارجية بما في ذلك
مصنعو مع33دات األنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي ،وم33وردو منتج33ات وخ33دمات أنظم33ة
التحكم الصناعي.
يجب التأكد من أن مخاطر األمن السيبراني ومتطلباته لألنظم3ة التش3غيلية وأنظم3ة التحكم الص3ناعي 2-9
المتعلقة بالعاملين في <اسم الجهة> تعالج بفعالية قبل الب33دء في عملهم واثن33اءه وعن33د االنته33اء من33ه،
وذلك وفًقا للسياسات أو اإلجراءات التنظيمية المعتم33دة ل33دى <اس33م الجه33ة> والمتطلب33ات التش33ريعية
والتنظيمية ذات العالقة.
يجب إجراء عمل مسح أمني ( )Vetting or Screeningلجميع العاملين ويشمل ذلك (الموظفين 2-10
والمتعاق333دين) وال333ذين يمكنهم الوص333ول إلى أص333ول أنظم333ة التحكم الص333ناعي ( )ICS/OTأو
استخدامها؛ وذلك قبل منحهم صالحيات الوصول.
إدارة حوادث وتهديدات األمن السيبراني والتعافي من الكوارث -3
يجب تقييم واختبار مدى فعالية قدرات تعزيز األمن الس33يبراني ألص33ول األنظم33ة التش33غيلية وأنظم33ة 3-1
التحكم الصناعي ( )OT/ICSفي <اسم الجهة> من خالل اختبارات االختراق.
يجب تحدي33د نط33اق أنش33طة اختب33ارات االخ33تراق ،لتغطي بيئ33ة ش33بكات أنظم33ة التحكم الص33ناعي ( 3-2
)ICS/OTوالش3بكات المرتبط3ة بالش3بكة التش3غيلية ،وأن يتم عم3ل االختب3ارات من قب3ل فري3ق ذي
كفاءة عالية.
يجب إجراء اختبار االختراق ،بعد التأكد من أن تأثير االختبار ،محدود على بيئة اإلنت33اج ،أو إج33راء 3-3
اختبار االختراق ،في بيئة منفصلة مماثلة.
يجب إجراء اختبار االختراق ألنظمة التحكم الصناعي دوريًا. 3-4
يجب تحديد طرق اختبارات بديلة وتنفيذها مث33ل االختب33ارات غ33ير الفعال33ة ( )Testing Passive 3-5
لجمع المعلومات عندما يكون هنالك أثر محتمل على بيئة اإلنتاج التشغيلية.
اختر التصنيف
اإلصدار <>1.0
8
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب تطبيق التوافر ( )Redundancyللشبكات والوس3ائط واألجه3زة الحساس3ة ألص3ول األنظم3ة 3-6
التشغيلية وأنظمة التحكم الصناعي وفقا للتقييم الدوري لمخاطر األمن السيبراني.
يجب تضمين متطلبات صمود األمن السيبراني المتعلقة باألنظمة التشغيلية وأنظمة التحكم الصناعي 3-7
في خطة استمرارية األعمال ( )Business Continuity Plan - BCPويشمل ذل3ك تحلي3ل
التأثير على األعم33ال ( )BIAووقت االس33تعادة المس33تهدف ( )RTOونقط33ة االس33تعادة المس33تهدفة (
.)RPO
يجب تضمين متطلبات صمود األمن السيبراني المتعلقة باألنظمة التشغيلية وأنظمة التحكم الصناعي 3-8
الى خطط التعافي من الكوارث (.)Disaster Recovery Plan - DRP
يجب تطوير واعتماد خطة طوارئ ( )Contingency Planتك33ون مص33ممة للحف33اظ على س33ير 3-9
األعمال أو استعادتها من النسخ االحتياطية المعتمدة في حال وقوع حوادث األمن السيبراني والتأك33د
من استمرارية األعمال بأقل تأثير ممكن.
يجب تحديد خطط االستجابة لحوادث األمن الس33يبراني المتعلق33ة باألنظم33ة التش33غيلية وأنظم33ة التحكم 3-10
الص333ناعي وإج333راءات التص333عيد وفًق ا لسياس333ة إدارة الح333وادث وتهدي333دات األمن الس333يبراني (
)Cybersecurity Incident and Threat Managementالمعتمدة في <اسم الجهة>
والتشريعات األخرى ذات العالقة وإجراء تمارين افتراضية على الخطط بشكل دوري.
يجب التأكد من أن خطط االستجابة للحوادث األمنية ،المتعلقة بأنظمة التحكم الصناعي ( )ICS/OT 3-11
مدمجة ومتوائمة مع خطط الجهة وإجراءاتها.
يجب إجراء تحليل للحوادث ،وتحلي3ل األس3باب الجذري3ة ( )Cause Root Analysisلح3وادث 3-12
األمن السيبراني ،بطريقة منظمة ،بعد اكتشاف الحوادث.
يجب تحديد تسلسل أنشطة االستجابة ،لحوادث األمن السيبراني الالزمة الستعادة العمليات التش33غيلية 3-13
لطبيعتها.
يجب إنشاء خطط التواصل ،عند وقوع الحوادث (.)Incident Plan Communications 3-14
يجب تض33مين إج33راءات التع33افي لألنظم33ة التش33غيلية وأنظم33ة التحكم الص33ناعي بم33ا في ذل33ك أنظم33ة 3-15
معدات السالمة ( )SISفي خطط االستجابة للحوادث والتع33افي من الك33وارث واس33تمرارية األعم33ال
المعتمدة في <اسم الجهة>.
يجب تزوي33د الع33املين بالجه33ة بالمه33ارات وال33دورات التدريبي33ة المطلوب33ة (الم33وظفين والمتعاق33دين) 3-16
لالستجابة لحوادث األمن السيبراني المتعلقة بأنظمة التحكم الصناعي (.)ICS/OT
يجب اختبار قدرات االستجابة لحوادث األمن السيبراني ومستوى الجاهزية والخطة المعتم33دة بش33كل 3-17
دوري من خالل إج333راء تم333ارين محاك333اة للهجم333ات الس333يبرانية ( Exercises Simulation
.)Attack
يجب استخدام معلومات التهديدات االستباقية ( )Intelligence Threatلتحديد الخطط واألساليب 3-18
واإلج33راءات ( )TTPsالمس33تخدمة من قب33ل المجموع33ات النش33طة ( )Groups Activityال33تي
تستهدف أنظمة التحكم الصناعي (.)ICS/OT
اختر التصنيف
اإلصدار <>1.0
9
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
يجب التأكد من أن خطط االستجابة لح3وادث األمن الس3يبراني المتعلق3ة باألنظم3ة التش3غيلية وأنظم3ة 3-19
التحكم الصناعي متوائمة مع خط33ط االس33تجابة لح33وادث تقني33ة المعلوم33ات وإدارة األزم33ات وخط33ط
استمرارية األعمال المعتمدة في <اسم الجهة>.
يجب تحديد األنشطة الالزمة للمحافظة على الحد األدنى من العملي3ات المتعلق33ة باألنظم33ة التش33غيلية 3-20
وأنظمة التحكم الصناعي كما يجب أن تكون األنظمة ق33ادرة على العم33ل بمس33توى أم33ان مقب33ول عن33د
فشلها بسبب حادثة أمن سيبراني.
يجب إجراء تحليل للح3وادث وتحلي3ل األس3باب الجذري3ة ( )Root Cause Analysisلح3وادث 3-21
األمن السيبراني بطريقة منظمة بعد اكتشاف الحوادث.
يجب إنشاء خطط تواصل عند وقوع حوادث األمن السيبراني ( Incident Communications 3-22
.)Plan
يجب توعية الجه33ات المس33ؤولة وف3رق االس3تجابة على خط3ط االس3تجابة لح3وادث األمن الس33يبراني 3-23
المتعلقة باألنظمة التشغيلية وأنظم33ة التحكم الص33ناعي من خالل تزوي33د الع33املين بالجه33ة بالمه33ارات
والدورات التدريبية المطلوبة.
يجب توثيق خطة التعافي من الكوارث المتعلقة باألنظمة التش33غيلية وأنظم33ة التحكم الص33ناعي بحيث 3-24
تشمل كحد أدنى ما يلي:
تطوير خطة االستجابة المطلوبة لألحداث بمختلف فتراتها وشدتها والتي تؤدي إلى تفعيل 3-24-1
خطة التعافي من الكوارث أو عدمها.
تحديد تسلس33ل أنش33طة االس33تجابة لح33وادث األمن الس33يبراني الالزم33ة الس33تعادة العملي33ات 3-24-2
التشغيلية لطبيعتها.
تحديد إج3راءات إع33ادة تش3غيل األنظم33ة التش3غيلية وأنظم33ة التحكم الص33ناعي أو تش33غيلها 3-24-3
يدوًيا.
تحدي33د أدوار ومس33ؤوليات فري33ق االس33تجابة وقائم33ة الع33املين المص33رح لهم بالوص33ول 3-24-4
المباشر أو غير المباشر إلى أنظمة التحكم الصناعي.
مراجع33ة عملي33ات وإج33راءات الُنس33خ االحتياطي33ة لنس33خ األص33ول المعلوماتي33ة احتياطًي ا 3-24-5
وتخزينها بشكل آمن.
تطوير مخطط ش33بكة منطقي مكتم33ل وح33ديث ،ومعلوم33ات اإلع33دادات الحالي33ة للمكون33ات 3-24-6
التقنية الخاصة بأجهزة وأنظمة التحكم الصناعي.
يجب اختبار قدرات االستجابة لحوادث األمن السيبراني ومستوى الجاهزية والخطة المعتم33دة بش33كل 3-25
دوري من خالل إج3333راء تم3333ارين محاك3333اة للهجم3333ات الس3333يبرانية ( Attack Simulation
.)Exercises
اختر التصنيف
اإلصدار <>1.0
10
نموذج سياسة األمن السيبراني لألنظمة التشغيلية
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياس3ة س3نوًيا على األق3ل أو في ح3ال ح3دوث
تغي33يرات في السياس33ات أو اإلج33راءات التنظيمي33ة في <اس33م الجه33ة> أو المتطلب33ات التش33ريعية والتنظيمي33ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج33راءات المتبع33ة في <اس33م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
11