تحتوي الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني على رقمٍ صريح واحد فقط. ففي ضوابطها الأساسية البالغة 108 ضوابط في نسخة ECC-2:2024، هناك متطلبٌ واحدٌ يذكر رقماً: مدة الاحتفاظ بسجلات الأحداث، و«لا تقل عن 12 شهراً». وكل ما عداه — المراجعة، والتدقيق، واختبار الاختراق، والتقييم — موصوفٌ بكلمة واحدة: «دورياً».
يقرأ الناس ذلك فيستنتجون أن الهيئة الوطنية لا تتعامل بالأرقام.
الهيئة تتعامل بالأرقام. لكنها وضعتها في مكانٍ آخر.
إنها في ضوابط الأمن السيبراني للأنظمة الحساسة (CSCC – 1 : 2019) — وإذا كنت تشغّل نظاماً حساساً، فهذه هي الوثيقة التي تُلزمك باختبار اختراقٍ كل ستة أشهر، ومراجعة صلاحيات الوصول كل ثلاثة أشهر، وتحديث الأنظمة المتصلة بالإنترنت كل شهر، والاحتفاظ بسجلاتك ثمانية عشر شهراً. الضوابط الأساسية تقول «دورياً»، وضوابط الأنظمة الحساسة هي التي تكتب الرقم. هذه أهم فكرة يمكن أن تفهمها عن هذه الوثيقة، ونادراً ما تُقال بصراحة.
هذا الدليل مكتوبٌ من الوثيقة نفسها: ضوابط الأمن السيبراني للأنظمة الحساسة (CSCC – 1 : 2019)، الصادرة عن الهيئة الوطنية للأمن السيبراني، تصنيف الوثيقة: مُتاح، إشارة المشاركة: أبيض. كل رقم ضابط، وكل عدد، وكل عتبة زمنية وردت أدناه قُرئت من تلك الوثيقة وقوبلت بالنسخة العربية — وهي النسخة التي تنص الهيئة صراحةً على أنها اللغة المُلزِمة في كل ما يتعلق بالمعنى أو التفسير. وحيث تسكت الوثيقة، يقول هذا الدليل ذلك صراحةً، لأن نسب متطلبٍ إلى الهيئة لم تكتبه الهيئة هو تحديداً ما أوصل المحتوى العربي في مجال الامتثال إلى حاله الراهن.
الإجابة في ستين ثانية
- الإصدار الحالي هو CSCC – 1 : 2019. لا يوجد إصدار ثانٍ، ولم تُنسخ هذه الوثيقة.
- تتكوّن من 4 مكونات أساسية، و21 مكوناً فرعياً، و32 ضابطاً أساسياً، و73 ضابطاً فرعياً (المقدمة، ص 12 في النسخة الإنجليزية / ص 6 في النسخة العربية). والنسختان تذكران هذه الأرقام الأربعة صراحةً.
- هي امتدادٌ للضوابط الأساسية وليست بديلاً عنها. ونص الهيئة صريحٌ بشكلٍ غير معتاد: الالتزام بالضوابط الأساسية «يُعدّ متطلباً أساسياً لها؛ ولا يمكن تحقيق الالتزام بها إلا من خلال تحقيق الالتزام المستمر بالضوابط الأساسية للأمن السيبراني في المقام الأول».
- أنت من يحدد ما إذا كنت داخل النطاق. لا يوجد سجلٌّ لدى الهيئة بالأنظمة الحساسة. الوثيقة تمنحك تعريفاً وسبعة معايير تحديد، وأنت من يطبّقها على أنظمتك.
- ضوابط الأنظمة الحساسة لها ترقيمها الخاص، وهو ليس ترقيم الضوابط الأساسية. فالرقم
2-12يعني «أمن تطبيقات الويب» في CSCC، ويعني «إدارة سجلات الأحداث والمراقبة» في ECC. - لا توجد شهادة CSCC، ولا نظام مدققين معتمدين، ولا يوجد موعد نهائي للالتزام منصوصٌ عليه في الوثيقة.
هل أنا داخل النطاق؟ السؤال الوحيد الذي يهم
النطاق هو المكان الذي يتكدّس فيه المحتوى المُلفَّق، لأنه السؤال الذي يأتي به كل قارئ. ولذلك، إليك النص الفعلي.
التعريف
«هي أي أنظمة أو شبكات، يؤدي تعطلها، أو التغيير غير المشروع لطريقة عملها، أو الدخول غير المصرح به لها، أو للبيانات والمعلومات التي تحفظها أو تعالجها؛ إلى التأثير السلبي على توافر الخدمات، أو أعمال الجهة، أو إحداث آثار اقتصادية أو مالية أو أمنية، أو اجتماعية سلبية كبيرة، على المستوى الوطني.»
— CSCC، تعريف الأنظمة الحساسة
انتبه إلى الكلمات الأخيرة. النظام لا يصبح حساساً لأنه مهمٌّ لك، بل لأن تعطله يبلغ أثره المستوى الوطني. نظام تخطيط موارد يمكن أن يدمّر ربعك المالي ليس — بحسب هذا التعريف — نظاماً حساساً. أما نظامٌ يؤدي تعطله إلى تعطيل قطاعٍ حيوي، فهو كذلك.
معايير التحديد السبعة
النسخة العربية، وهي المُلزِمة، تصوغ الاختبار بحزمٍ أكبر من الإنجليزية. تقول: «يُعدّ النظام حساساً، إذا كان تعطله، أو التغيير غير المشروع لطريقة عمله، أو الدخول غير المصرح به له، أو للبيانات والمعلومات التي يحفظها أو يعالجها؛ يؤدي بشكل مباشر، أو غير مباشر إلى احتمالية تحقق واحد أو أكثر من المعايير الآتية (حسب تحديدها من الجهة المالكة للنظام)».
فهو إذن اختبار «واحد أو أكثر»، وليس مصفوفة تسجيل نقاط:
| # | المعيار |
|---|---|
| 1 | التأثير السلبي على الأمن الوطني |
| 2 | التأثير السلبي على سمعة المملكة وصورتها العامة |
| 3 | خسائر مالية كبيرة — «مثال: أكثر من 0.01% من إجمالي الناتج المحلي الوطني» |
| 4 | التأثير السلبي على خدمات مقدمة لعدد كبير من المستخدمين — «مثال: أكثر من 5% من التعداد السكاني» |
| 5 | خسائر في الأرواح |
| 6 | الإفشاء غير المصرح به لبيانات تصنيفها سري أو سري للغاية |
| 7 | التأثير السلبي على أعمال قطاع حيوي (أو أكثر) |
معياران من هذه السبعة رقميّان، وهما تحديداً المعياران اللذان يُساء اقتباسهما. العتبة المالية هي 0.01% من الناتج المحلي الإجمالي — نسبة من الناتج الوطني، لا مبلغ بالريال. ومن يقتبس لك «50 مليون ريال» أو أي مبلغٍ ثابت، فهو يقتبس شيئاً لم تكتبه الهيئة. أما العتبة السكانية فهي 5%.
ويستند المعيار السادس إلى مستويات تصنيف البيانات الوطنية، والتي يعرّفها الملحق (ب) من الوثيقة: «سري للغاية» هو تصنيفٌ يُطبَّق على البيانات التي يؤدي إفشاؤها غير المصرح به إلى ضررٍ جسيم بالأمن الوطني أو الاقتصاد الوطني أو علاقات المملكة الدولية، ويصعب تدارك هذا الضرر؛ و**«سري»** هو ضررٌ جسيم بالمصالح ذاتها أو بالتحقيق في الجرائم الكبرى. فإن كنت تحتفظ ببياناتٍ عند أيٍّ من المستويين، فقد تحقق المعيار السادس وحده، وأنت داخل النطاق.
مَن تُلزِمه هذه الضوابط
«يجب تطبيق هذه الضوابط على الأنظمة الحساسة — وفقاً للمعايير المذكورة في هذه الوثيقة — من قبل الجهات المالكة أو المشغلة لهذه الأنظمة، سواء أكانت جهات حكومية (مثل وزارات وهيئات ومؤسسات وسفارات وغيرها) داخل المملكة العربية السعودية؛ أو خارجها، أو جهات وشركات تابعة للجهات الحكومية، أو جهات القطاع الخاص، ويشار لها جميعاً في هذه الوثيقة بـ (الجهة).»
— CSCC، نطاق عمل الضوابط
النسخة العربية تُعدِّد ثلاث فئات بوضوح: الجهات الحكومية داخل المملكة أو خارجها، والجهات والشركات التابعة للجهات الحكومية، وجهات القطاع الخاص.
وهنا فرقٌ جوهري عن الضوابط الأساسية، يقلبه كثيرون رأساً على عقب. الضوابط الأساسية (ECC) تُلزِم الجهات الحكومية، إضافةً إلى جهات القطاع الخاص التي تمتلك أو تشغّل أو تستضيف البنى التحتية الوطنية الحساسة (CNI) — أي أن مدخل القطاع الخاص فيها هو صفة البنية التحتية الوطنية الحساسة. أما ضوابط الأنظمة الحساسة (CSCC) فلا تشترط قطاعاً بعينه ولا صفة CNI إطلاقاً. مدخلها هو حساسية النظام نفسه. فشركةٌ خاصة ليست بنيةً تحتية وطنية حساسة، لكنها تشغّل نظاماً يحقق أحد المعايير السبعة، تقع داخل نطاق CSCC بصريح نص نطاق العمل.
ما الذي يُعدّ «النظام»؟
النطاق لا يتوقف عند التطبيق. تُعدِّد الوثيقة عشرة مكونات للنظام الحساس، والمكونات من 1 إلى 8 هي المكونات التقنية:
1. الشبكة — الأجهزة المرتبطة بالشبكة (المُوجِّه، المبدّلات، البوابات)، وجدار الحماية، وأنظمة كشف ومنع التسلل (IDS/IPS)، وأجهزة الحماية من التهديدات المتقدمة المستمرة (APT) · 2. قواعد البيانات · 3. أصول التخزين · 4. الوسائط البرمجية (Middleware) · 5. الخوادم وأنظمة التشغيل · 6. التطبيقات · 7. أجهزة التشفير · 8. ملحقات الأنظمة الحساسة (مثل الطابعات والماسحات الضوئية)
ثم المكوّنان اللذان يُنسيان في كل تقييم فجوات:
9. الأفراد العاملون في الأدوار المساندة للأنظمة الحساسة — المستخدمون، والفنيون ذوو الصلاحيات المهمة والحساسة، والمشغّلون، ومقدّمو الخدمات · 10. الوثائق المتعلقة بجميع المكونات أعلاه.
فحين يقول الضابط 2-9-2 إن تقييمات الثغرات تُجرى شهرياً على «المكونات التقنية للأنظمة الحساسة»، فالمقصود المكونات من 1 إلى 8 — بما فيها الطابعة.
ما الذي تحتويه الضوابط فعلياً
أربعة مكونات أساسية، وواحد وعشرون مكوناً فرعياً:
| المكون الأساسي | المكونات الفرعية |
|---|---|
| 1 — حوكمة الأمن السيبراني | 1-1 استراتيجية الأمن السيبراني · 1-2 إدارة مخاطر الأمن السيبراني · 1-3 الأمن السيبراني ضمن إدارة مشاريع تقنية المعلومات · 1-4 المراجعة والتدقيق الدوري للأمن السيبراني · 1-5 الأمن السيبراني المتعلق بالموارد البشرية |
| 2 — تعزيز الأمن السيبراني | 2-1 إدارة الأصول · 2-2 إدارة هويات الدخول والصلاحيات · 2-3 حماية الأنظمة وأجهزة معالجة المعلومات · 2-4 إدارة أمن الشبكات · 2-5 أمن الأجهزة المحمولة · 2-6 حماية البيانات والمعلومات · 2-7 التشفير · 2-8 إدارة النسخ الاحتياطية · 2-9 إدارة الثغرات · 2-10 اختبار الاختراق · 2-11 إدارة سجلات الأحداث ومراقبة الأمن السيبراني · 2-12 أمن تطبيقات الويب · 2-13 أمن التطبيقات |
| 3 — صمود الأمن السيبراني | 3-1 جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال |
| 4 — الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية | 4-1 الأمن السيبراني المتعلق بالأطراف الخارجية · 4-2 الأمن السيبراني المتعلق بالحوسبة السحابية والاستضافة |
خمسة زائد ثلاثة عشر زائد واحد زائد اثنين يساوي واحداً وعشرين. وتتوزع الضوابط الأساسية الاثنان والثلاثون والضوابط الفرعية الثلاثة والسبعون عليها — ويمكنك أن تُطابق المجاميع بنفسك بعدّ متون الضوابط في الوثيقة. لقد فعلنا ذلك، والنتيجة 32 و73 بالضبط.
العلاقة بين CSCC وECC، كما تنص الوثيقة تماماً
الملحق (أ)، «العلاقة بين ضوابط الأمن السيبراني للأنظمة الحساسة والضوابط الأساسية للأمن السيبراني»، هو أوضح صفحة في الوثيقة، ويقول ثلاثة أشياء.
إن CSCC-1:2019 امتدادٌ لـ ECC-1:2018، وبالنسبة إلى المكونات الفرعية للضوابط الأساسية:
- أُضيف مكوّن فرعي جديد واحد خاص بالأنظمة الحساسة.
- أُضيفت ضوابط للأنظمة الحساسة إلى عشرين مكوناً فرعياً.
- لم تُضَف ضوابط للأنظمة الحساسة في تسعة مكونات فرعية.
واحدٌ جديد زائد عشرون موسّعاً يساوي المكونات الفرعية الواحد والعشرين. الحساب مغلق.
والمكوّن الفرعي الجديد الوحيد هو 2-13 «أمن التطبيقات» — ويغطي التطبيقات الداخلية للأنظمة الحساسة. ويمكنك تمييزه بنيوياً: فكل ضابط آخر في CSCC يبدأ بعبارة «بالإضافة إلى الضوابط في المكوّن الفرعي (كذا) من الضوابط الأساسية» أو «بالإشارة إلى الضابط الفرعي (كذا)». أما المكوّن 2-13 فلا يبدأ بشيء من ذلك. ضوابطه الأربعة (2-13-1 التحديد والتوثيق والاعتماد، 2-13-2 التطبيق، 2-13-3 الحد الأدنى من المتطلبات، 2-13-4 المراجعة الدورية) قائمةٌ بذاتها، لأنه لا يوجد في الضوابط الأساسية ما تستند إليه.
أما المكونات الفرعية التسعة التي لم تُضَف لها ضوابط، فهي بترقيم الضوابط الأساسية: 1-2 إدارة الأمن السيبراني · 1-3 سياسات وإجراءات الأمن السيبراني · 1-4 أدوار ومسؤوليات الأمن السيبراني · 1-7 الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني · 1-10 التوعية والتدريب في مجال الأمن السيبراني · 2-4 حماية البريد الإلكتروني · 2-13 إدارة حوادث وتهديدات الأمن السيبراني · 2-14 الأمن المادي · 5-1 حماية أنظمة التحكم الصناعي.
اقرأ هذه القائمة بتمعّن، فهي أكثر ما يُساء فهمه في هذه الوثيقة. ضوابط الأنظمة الحساسة ليس فيها مكوّن فرعي لإدارة الحوادث، ولا مكوّن فرعي للأمن المادي. وهذا لا يعني أن الأنظمة الحساسة معفاة من التزامات الاستجابة للحوادث أو الأمن المادي. بل يعني أن الهيئة رأت متطلبات الضوابط الأساسية كافيةً، وتركتها تُلزِمك عبر ECC — وهي تفعل، لأن الالتزام بالضوابط الأساسية شرطٌ مسبق. فتقييم فجوات يقول «CSCC: لا يوجد متطلب استجابة للحوادث» قد أساء قراءة الوثيقة. وتقييمٌ يقول «إدارة الحوادث مغطاة عبر ECC 2-13، دون إضافة للأنظمة الحساسة» قد قرأها قراءةً صحيحة.
إشكالٌ قائم لم تحسمه الهيئة بعد
هنا تفصيلٌ لن يتجاوزه هذا الدليل بالصمت.
تُحيل CSCC-1:2019 إلى ECC-1:2018 في كل متونها. لكن ECC-1:2018 نُسخت بإصدار ECC-2:2024، الذي حذف المكوّن الأساسي الخامس (أنظمة التحكم الصناعي)، وغيّر صيغة ترقيم الضوابط الفرعية من الشُّرَط (2-12-3-5) إلى النقاط (2.12.3.5). ولم تُعِد الهيئة إصدار CSCC بمقابل ECC-2:2024، كما أن ECC-2:2024 لا يذكر CSCC في أي موضع من نصه.
والخبر العملي جيد، وقد تحققنا منه إحالةً إحالة: فقد أبقى ECC-2:2024 على ترقيم المكونات الفرعية كما هو (1-1 إلى 1-10، و2-1 إلى 2-15، و3-1، و4-1، و4-2)، ولذلك ما تزال كل إحالة من CSCC تقع على موضوعها الصحيح:
| ضابط CSCC | يُحيل إلى (ECC-1:2018) | المتطلب نفسه في ECC-2:2024 | هل يستقيم؟ |
|---|---|---|---|
| 2-2-2 | ECC 2-2-3-5 | 2.2.3.5 — المراجعة الدورية للهويات وصلاحيات الدخول | نعم |
| 2-8-2 | ECC 2-9-3-3 | 2.9.3.3 — الاختبار الدوري لفعالية استعادة النسخ الاحتياطية | نعم |
| 2-9-2 | ECC 2-10-3-1 | 2.10.3.1 — التقييم والكشف الدوري للثغرات | نعم |
| 2-10-2 | ECC 2-11-3-2 | 2.11.3.2 — إجراء اختبارات الاختراق دورياً | نعم |
| 2-11-2 | ECC 2-12-3-5 | 2.12.3.5 — مدة الاحتفاظ بالسجلات، لا تقل عن 12 شهراً | نعم |
| 2-12-2 | ECC 2-15-3-2 | 2.15.3.2 — تبنّي مبدأ تعدد الطبقات | نعم |
والإحالة الوحيدة المعلّقة فعلاً هي مكوّن أنظمة التحكم الصناعي: فقائمة المكونات التسعة أعلاه تتضمن ECC 5-1، وهو لم يعد موجوداً في ECC-2:2024. فقد انتقلت التقنية التشغيلية والصناعية إلى ضوابط الأمن السيبراني للتقنية التشغيلية (OTCC).
وما لا تنص عليه الوثيقة: هل سيصدر إصدارٌ ثانٍ من CSCC، ومتى. ولن نخمّن.
فخّ إعادة الترقيم
كل مجموعة ضوابط تصدرها الهيئة تُعيد الترقيم من الصفر، ولا ترث ترقيم الضوابط الأساسية. وهذا يتسبب في أخطاء اقتباسٍ أكثر من أي حقيقة أخرى في مجال الامتثال السعودي.
| الموضوع | ECC-2:2024 | CSCC-1:2019 |
|---|---|---|
| إدارة الثغرات | 2-10 | 2-9 |
| اختبار الاختراق | 2-11 | 2-10 |
| سجلات الأحداث والمراقبة | 2-12 | 2-11 |
| إدارة الحوادث والتهديدات | 2-13 | لا يوجد مكوّن في CSCC |
| الأمن المادي | 2-14 | لا يوجد مكوّن في CSCC |
| أمن تطبيقات الويب | 2-15 | 2-12 |
| أمن التطبيقات | غير موجود في ECC | 2-13 |
الرقم «2-12» يعني إدارة السجلات في ECC، ويعني أمن تطبيقات الويب في CSCC. نصٌّ واحد، وثيقتان، ومعنيان لا صلة بينهما. واقتباسه خطأً في ردٍّ على مدقق يعني أنك أبلغته، كتابةً، أنك لم تفتح الوثيقة.
وصيغة ترميز CSCC هي مكوّن أساسي - مكوّن فرعي - ضابط أساسي - ضابط فرعي، تُقرأ من اليسار: ففي 2-2-1-3، 2 = تعزيز الأمن السيبراني، و2 = إدارة هويات الدخول والصلاحيات، و1 = الضابط الأساسي الأول، و3 = ضابطه الفرعي الثالث. وتستخدم الوثيقة اصطلاحاً مفيداً يجدر معرفته: في أشكالها التوضيحية، الأرقام الخضراء إحالاتٌ إلى مكونات أو ضوابط ECC، لا إلى CSCC.
الأرقام: ما الذي تحسمه الضوابط فعلاً
هذا هو القسم الذي يستحق الحفظ. كل صفٍّ فيه موضعٌ تقول فيه الضوابط الأساسية «دورياً»، فتستبدل ضوابط الأنظمة الحساسة الكلمة برقم — أو موضعٌ تستحدث فيه CSCC التزاماً صارماً لم يكن في ECC أصلاً.
| ضابط CSCC | الالتزام | التكرار / العتبة |
|---|---|---|
| 1-2-1-1 | تقييم مخاطر الأمن السيبراني على الأنظمة الحساسة | سنوياً على الأقل |
| 1-2-1-2 | مراجعة سجل مخاطر الأنظمة الحساسة | شهرياً على الأقل |
| 1-4-1 | مراجعة الإدارة المعنية بالأمن السيبراني لتطبيق CSCC | سنوياً على الأقل |
| 1-4-2 | مراجعة مستقلة لتطبيق CSCC من خارج الإدارة المعنية | مرة كل ثلاث سنوات على الأقل |
| 2-2-2 | مراجعة هويات المستخدمين وصلاحيات الدخول | مرة كل ثلاثة أشهر على الأقل |
| 2-3-1-3 | تطبيق حزم التحديثات — الأنظمة المتصلة بالإنترنت | شهرياً على الأقل |
| 2-3-1-3 | تطبيق حزم التحديثات — الأنظمة الداخلية | مرة كل ثلاثة أشهر على الأقل |
| 2-3-1-6 | مراجعة إعدادات وتحصين الأنظمة الحساسة | مرة كل ستة أشهر على الأقل |
| 2-4-1-2 | مراجعة قواعد جدار الحماية وقوائم الصلاحيات | مرة كل ستة أشهر على الأقل |
| 2-8-1-2 | النسخ الاحتياطي | وفق تقييم المخاطر، وتوصي الهيئة به يومياً |
| 2-8-2 | اختبار فعالية استعادة النسخ الاحتياطية | مرة كل ثلاثة أشهر على الأقل |
| 2-9-1-2 | تقييم الثغرات ومعالجتها — المتصلة بالإنترنت | شهرياً على الأقل |
| 2-9-1-2 | تقييم الثغرات ومعالجتها — الداخلية | مرة كل ثلاثة أشهر على الأقل |
| 2-9-1-3 | معالجة الثغرات الحرجة | فوراً |
| 2-9-2 | تقييم الثغرات على المكونات التقنية | شهرياً على الأقل |
| 2-10-2 | اختبار الاختراق على الأنظمة الحساسة | مرة كل ستة أشهر على الأقل |
| 2-11-1-4 | مراقبة أحداث أمن الأنظمة الحساسة | على مدار الساعة |
| 2-11-2 | الاحتفاظ بسجلات أحداث الأمن السيبراني | 18 شهراً كحد أدنى |
| 2-12-2 / 2-13-3-1 | مبدأ تعدد الطبقات | ثلاث طبقات كحد أدنى |
| 3-1-1-3 | اختبار خطط التعافي من الكوارث للأنظمة الحساسة | سنوياً على الأقل |
تأمّل الضابط 2-11-2 في مقابل أصله. فالضابط ECC 2.12.3.5 يحدد مدة الاحتفاظ بالسجلات بـ 12 شهراً على الأقل. أما للنظام الحساس، فترفعها CSCC إلى 18 شهراً كحد أدنى. فإن كان نظام إدارة معلومات وأحداث الأمن (SIEM) لديك مُحجَّماً لنافذة اثني عشر شهراً وأنت تشغّل نظاماً حساساً، فأنت ناقصٌ ستة أشهر — وهذه فجوةٌ تظهر في التدقيق ولا يمكن تداركها بأثر رجعي، لأن السجلات تكون قد زالت.
الالتزامات الخمسة التي لا نظير لها في ECC
إن لم تأخذ من هذا الدليل شيئاً، فخذ هذه. فهي أنياب CSCC الحقيقية، وهي تُفاجئ الناس، وكلٌّ منها قرار معماري لا وثيقة سياسات.
1. لا وصول عن بُعد من خارج المملكة — إطلاقاً.
2-2-1-1 — «منع الدخول والاتصال عن بُعد من خارج المملكة العربية السعودية.»
ليس «مقيَّداً»، ولا «خاضعاً لتقييم مخاطر». بل ممنوعاً. أما الدخول عن بُعد من داخل المملكة فيبقى ممكناً، لكن بموجب 2-2-1-2 يجب التحقق من كل محاولة دخولٍ عبر مركز عمليات الأمن السيبراني في الجهة، ومراقبة الأنشطة المتعلقة بالدخول عن بُعد باستمرار. وهذا هو الضابط الذي ينهي، بهدوء، نماذج الدعم من خارج المملكة، ومراكز العمليات الموزّعة عبر المناطق الزمنية، والمتعاقد الأجنبي الذي يحمل رمز VPN.
2. التحقق متعدد العناصر للجميع، لا لمديري الأنظمة فقط.
2-2-1-3 — «استخدام التحقق من الهوية متعدد العناصر لجميع المستخدمين.» 2-2-1-4 — «استخدام التحقق من الهوية متعدد العناصر للمستخدمين المهمين والحساسين، وللأنظمة المستخدمة لإدارة الأنظمة الحساسة المذكورة في الضابط 2-3-1-4.»
متطلب MFA في الضوابط الأساسية (2.2.3.2) مقصورٌ على الدخول عن بُعد والحسابات ذات الصلاحيات المهمة. أما CSCC فتوسّعه إلى جميع مستخدمي النظام الحساس. ويشترط 2-3-1-4 أن تعمل الحسابات ذات الصلاحيات المهمة من أجهزة مخصّصة على شبكة إدارة معزولة عن باقي الشبكات والخدمات — وينصّ صراحةً على البريد الإلكتروني والإنترنت.
3. الأنظمة الحساسة لا تلمس الشبكات اللاسلكية. وبعضها لا يلمس الإنترنت.
2-4-1-4 — «منع ربط الأنظمة الحساسة بالشبكة اللاسلكية.» 2-4-1-6 — منع ربط الأنظمة الحساسة التي تقدم خدمات داخلية ولا حاجة قوية للوصول إليها من خارج الجهة، بالإنترنت. 2-4-1-7 — الأنظمة الحساسة التي تقدم خدماتٍ لعددٍ محدود من الجهات (لا الأفراد) يجب أن تستخدم شبكاتٍ معزولة عن الإنترنت.
4. سعوديون في المقاعد التقنية، وشركات سعودية في العقود.
1-5-1-2 — «يجب أن تُشغَل وظائف الدعم الفني والتطوير للأنظمة الحساسة بكوادر سعودية ذات خبرة.» 4-1-1-2 — «يجب أن يعتمد الإسناد والخدمات المُدارة للأنظمة الحساسة على شركات وجهات سعودية، بما يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.»
يُضاف إليهما 1-5-1-1 و4-1-1-1: التحقق من خلفية (Screening/Vetting) الموظفين، وكذلك شركات الإسناد والخدمات المُدارة والعاملين فيها ممن يعملون على الأنظمة الحساسة.
5. البيانات لا تغادر بيئة الإنتاج. أبداً.
2-6-1-5 — «منع نقل أي بيانات للأنظمة الحساسة من بيئة الإنتاج إلى أي بيئة أخرى.» 2-6-1-1 — منع استخدام بيانات الأنظمة الحساسة في أي بيئة غير بيئة الإنتاج، إلا بعد تطبيق ضوابط صارمة لحمايتها، مثل: إخفاء البيانات (Data Masking) أو تشويشها (Data Scrambling).
واقرأهما مع 2-2-1-8، الذي يمنع الدخول المباشر والتعامل مع قواعد البيانات لجميع المستخدمين عدا مديري قواعد البيانات — فوصول المستخدمين يكون عبر التطبيقات فقط، مع تطبيق حلولٍ أمنية تحدّ من ظهور البيانات المصنّفة لمديري قواعد البيانات أو تمنعه. فإن كانت ممارستك المعتادة أن تستعيد نسخة إنتاج الليلة الماضية في بيئة الاختبار ليعيد المطورون إنتاج خلل، فإن CSCC توقف ذلك، ولا يوجد في نص الضابط مسارٌ لقبول المخاطرة.
انقلابُ توطين البيانات الذي لم ينتبه له أحد
هنا نتيجةٌ ذات أثر تجاري، وهي عكس ما يقوله معظم محتوى الامتثال في 2026.
كان في ECC-1:2018 ضابطٌ فرعي صريح لتوطين البيانات:
4-2-3-3 — «يجب أن تكون استضافة وتخزين معلومات الجهة داخل المملكة العربية السعودية.»
وقد حذفه ECC-2:2024. فالضابط 4-2-3 لديه الآن ضابطان فرعيان فقط — 4.2.3.1 (الحماية بحسب مستوى التصنيف، وإعادة البيانات بصيغة قابلة للاستخدام) و4.2.3.2 (فصل بيئة الجهة عن بيئات الجهات الأخرى). فقاعدة الاستضافة داخل المملكة اختفت من الضوابط الأساسية.
وقد كُتب كثيرٌ من المحتوى احتفاءً بذلك. وهو فخّ، لأن CSCC لم تتخلَّ عنها قط:
4-2-1-1 — «يجب أن تكون استضافة الأنظمة الحساسة وأي جزءٍ من مكوناتها التقنية داخل الجهة، أو ضمن خدمات الحوسبة السحابية المقدّمة من جهات حكومية أو شركات سعودية ملتزمة بضوابط الأمن السيبراني للحوسبة السحابية (CCC) الصادرة عن الهيئة، مع الأخذ بالاعتبار تصنيف البيانات المستضافة.»
إذن: أسقطت الضوابط الأساسية التوطين العام، وأبقت ضوابط الأنظمة الحساسة قاعدةً أشدّ للأنظمة التي تهم فعلاً. ولاحظ ضيق المجموعة المسموح بها. فاستضافة النظام الحساس يجب أن تكون إما:
- داخل الجهة نفسها، أو
- خدمات سحابية من جهة حكومية، أو
- خدمات سحابية من شركة سعودية ملتزمة بـضوابط الأمن السيبراني للحوسبة السحابية (CCC).
ونتيجتان لم يستوعبهما معظم المشترين. الأولى: أن «البيانات في منطقة سعودية» ليس كافياً بنص 4-2-1-1 — فالضابط يسأل من هو مقدّم الخدمة (جهة حكومية أو شركة سعودية) وهل هو ملتزم بـ CCC، لا أين تقع الخوادم فحسب. والثانية: أن عبارة «أي جزءٍ من مكوناتها التقنية» تسحب معها قائمة المكونات كاملة — وسائطك البرمجية، وتخزينك، وأجهزة تشفيرك، ونسخك الاحتياطية.
فإن كنت تقيّم مزود خدمة سحابية لنظامٍ حساس، فاطلب منه أن يوضح موقفه من الضابط 4-2-1-1 كتابةً. واطلب منا الشيء نفسه. فمن يجيب عن هذا السؤال باسم منطقةٍ وشعارٍ لم يُجب.
أشياء لا وجود لها
كل بندٍ هنا رأيناه يُقال عن CSCC في عروض استشارية ومواد تسويقية ومنشورات مهنية. ولا شيء منه في الوثيقة.
❌ «CSCC-2:2024» أو «الإصدار المحدَّث». هناك إصدارٌ واحد، هو CSCC – 1 : 2019. وصفحة الهيئة ما تزال تدرجه بوصفه الإصدار الحالي. حُدِّثت الضوابط الأساسية في 2024، ولم تُحدَّث ضوابط الأنظمة الحساسة. فإن أراك أحدهم «CSCC-2»، فاطلب الرابط.
❌ شهادة CSCC، أو مدققون معتمدون لها. لا يوجد نظام شهادات. تنص الوثيقة على أن الهيئة «تقوم بتقييم التزام الجهات بطرق متعددة؛ منها: التقييم الذاتي للجهات و/أو الزيارات الميدانية للتدقيق؛ وفق الآلية التي تراها الهيئة مناسبة». فلا أحد يستطيع أن يبيعك شهادة CSCC، لأنه لا يوجد ما يُصدَر.
❌ موعد نهائي للالتزام بـ CSCC. تشترط الوثيقة التطبيق «خلال فترة تحقيق الالتزام التي تحددها الهيئة» — ثم لا تحدد أي فترة. لا يرد أي تاريخ في الوثيقة إطلاقاً. فأي موعدٍ نهائي محدد قيل لك، إما أنه مُختلَق، أو أنه صادرٌ عن جهة تنظيمية قطاعية لا عن CSCC.
❌ مستويات نضج في CSCC. لا يوجد نموذج نضج من خمسة مستويات على غرار CMMI. لا مستويات، ولا نطاقات، ولا «حالة مستهدفة عند المستوى الثالث». الضوابط ثنائية: مُطبَّقة، أو غير مُطبَّقة.
❌ قائمة رسمية بالأنظمة الحساسة أو «القطاعات الحساسة». لا تنشر الهيئة سجلاً يخبرك بأنك داخل النطاق. بل تنشر معايير وتُلزمك بتطبيقها: «تحديد أنظمتها الحساسة باستخدام (معايير تحديد الأنظمة الحساسة)». والمعيار السابع يشير إلى «قطاع حيوي»، لكن الوثيقة لا تُعدِّد هذه القطاعات. التحديد الذاتي هو الآلية، وهو مسؤوليتك.
❌ «تحلّ CSCC محلّ ECC للأنظمة الحساسة». العكس تماماً. هي إضافية، والالتزام بـ ECC شرطٌ مسبق. لا يمكنك أن تكون ملتزماً بـ CSCC وغير ملتزم بـ ECC. وأي خارطة طريق ترتّب «CSCC أولاً وECC لاحقاً» غير قابلة للتنفيذ.
❌ عتبة مالية بالريال. المعيار الثالث هو «أكثر من 0.01% من إجمالي الناتج المحلي الوطني». لا 10 ملايين ريال ولا 100 مليون. فإن اقتبس لك تقييم فجوات مبلغاً ثابتاً، فهو لا يقتبس الهيئة.
❌ مهلة إبلاغ عن الحوادث في CSCC. لا يوجد في CSCC مكوّن لإدارة الحوادث أصلاً، وبالتالي لا تنص على أي نافذة إبلاغ — لا 4 ساعات ولا 24 ولا 72. وإدارة الحوادث تُلزمك عبر ECC 2-13، الذي يشترط إبلاغ الهيئة بالحوادث دون أن يحدد هو الآخر مهلة. فإن احتجت رقماً هنا، فمصدره جهتك التنظيمية القطاعية، لا هاتان الوثيقتان.
❌ «الضابط 2-12 في CSCC يغطي متطلب السجلات». الضابط 2-12 في CSCC هو أمن تطبيقات الويب. أما السجلات فهي 2-11. وخطأ «2-12 يعني السجلات» مستوردٌ من ترقيم ECC، وهو أشيع خطأ اقتباسٍ متداول عن CSCC.
❌ الاحتفاظ بالسجلات 12 شهراً للأنظمة الحساسة. الاثنا عشر شهراً هي خط الأساس في ECC (2.12.3.5). أما للأنظمة الحساسة، فالضابط 2-11-2 يشترط 18 شهراً كحد أدنى.
ما الذي تفعله فعلاً، وبأي ترتيب
الوثيقة نفسها تحدد التسلسل، وهو ليس التسلسل الذي تتبعه معظم البرامج.
1. حدِّد أنظمتك الحساسة أولاً — قبل أي تقييم فجوات. طبّق المعايير السبعة على كل نظامٍ تملكه أو تشغّله، ووثّق القرار لكل نظام، واعتمده على المستوى التنفيذي. هذه هي الخطوة الأولى في قائمة الهيئة نفسها، وإجراء تقييم فجوات CSCC قبلها يعني تقييم نطاقٍ غير معرَّف. وتذكّر أن الحدود تشمل الأفراد (المكوّن 9) والوثائق (المكوّن 10)، لا الخوادم فحسب.
2. تأكد من وضعك في ECC. بما أن الالتزام بالضوابط الأساسية شرطٌ مسبق، فإن أي برنامج CSCC نزيه يبدأ بإثبات الالتزام المستمر بـ ECC-2:2024. وإن لم تكن هناك، فهذا هو مسارك الحرج — راجع دليل ECC-2:2024.
3. عالِج الضوابط المعمارية الخمسة مبكراً. الدخول عن بُعد من الخارج (2-2-1-1)، وشبكة الإدارة المعزولة (2-3-1-4)، وعزل الشبكات اللاسلكية والإنترنت (2-4-1-4 و2-4-1-6 و2-4-1-7)، والاستضافة داخل المملكة (4-2-1-1)، ومنع خروج بيانات الإنتاج (2-6-1-5) — هذه تغييرات تصميمية، لا سياسات. ومُهَلها تُقاس بالأرباع السنوية. ابدأها قبل أن تبدأ بكتابة الوثائق.
4. اضبط الساعات. كل صفٍّ في جدول الأرقام أعلاه هو إما موعدٌ في التقويم أو ملاحظةٌ في تقرير تدقيق. تحديثات شهرية، وتقييم ثغرات شهري، ومراجعة صلاحيات ربع سنوية، واختبار استعادة نسخ احتياطية ربع سنوي، واختبار اختراق ومراجعة جدار حماية كل ستة أشهر، ومراقبة على مدار الساعة، واحتفاظ بالسجلات 18 شهراً.
5. ثم قيِّم. تنشر الهيئة أداة تقييم والتزام خاصة بـ CSCC، ودليل تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة (GCSCC – 1 : 2023). استخدم أدوات الهيئة قبل أن تشتري أدوات غيرها.
واثنتان من هذه لا مختصر لهما. مدة الاحتفاظ بالسجلات لا يمكن تداركها بأثر رجعي — فالبيانات تكون قد زالت. والمراقبة على مدار الساعة بموجب 2-11-1-4، مع التحقق من كل محاولة دخولٍ عن بُعد عبر مركز العمليات بموجب 2-2-1-2، هما المتطلبان اللذان يفرضان غالباً قرار «نبني أم نشتري» مركز عمليات أمن سيبراني. وإن كان هذا هو ما وصلت إليه، فراجع دليلنا عن مركز العمليات وفق متطلبات الهيئة.
أين تقع «سكاي لاين» من هذا
نحن مزوّد خدمات تقنية معلومات وحوسبة سحابية في المملكة، وسنصف موقفنا من هذه الضوابط بالطريقة نفسها التي وصفنا بها الضوابط — بما نستطيع إثباته فقط.
تشغّل «سكاي لاين كلاود» منطقة داخل المملكة — الدمام، مدعومة بـ Google Cloud. والاستضافة داخل المملكة شرطٌ لازم في الضابط 4-2-1-1، لكنه — كما بيّنّا أعلاه — ليس شرطاً كافياً: فالضابط يسأل أيضاً عن هوية مقدّم الخدمة وعن التزامه بضوابط الأمن السيبراني للحوسبة السحابية. وأي مزوّدٍ يخبرك بأن وجود منطقة سعودية وحده يُبرئ ذمتك من 4-2-1-1، فهو يقول لك ما لا يقوله الضابط. فإن كنت بصدد استضافة نظامٍ حساس، فاطرح هذا السؤال علينا كتابةً، واطرحه على كل مزوّدٍ في قائمتك.
وما لن نفعله هو أن نخبرك بأن الضوابط تقول شيئاً لا تقوله. وهذا هو سبب إعادة كتابة هذه الصفحة من أساسها.
تواصل معنا إن كنت تعمل على تحديد أنظمتك الحساسة، أو على الضوابط المعمارية الخمسة، أو على مسألة الاستضافة في 4-2-1-1.
الأسئلة الشائعة
هل تنطبق ضوابط الأنظمة الحساسة على شركات القطاع الخاص؟
نعم، إذا كانت تمتلك أو تشغّل نظاماً حساساً. وهذا أكثر ما يُساء قراءته في هذه الوثيقة. فمدخل القطاع الخاص في الضوابط الأساسية (ECC) هو صفة البنية التحتية الوطنية الحساسة (CNI) — أي أن الجهة الخاصة تدخل نطاق ECC إن كانت تمتلك أو تشغّل أو تستضيف بنية تحتية وطنية حساسة. أما ضوابط الأنظمة الحساسة (CSCC) فليس فيها هذا الشرط إطلاقاً. فنص نطاق العمل يشمل الجهات الحكومية داخل المملكة وخارجها، والجهات والشركات التابعة للجهات الحكومية، وجهات القطاع الخاص، ويُلزمها جميعاً فيما يخص «الأنظمة الحساسة وفقاً للمعايير المذكورة في هذه الوثيقة». فالاختبار هو حساسية النظام، لا قطاع مالكه.
هل هناك موعد نهائي للالتزام بضوابط الأنظمة الحساسة؟
الوثيقة لا تنص على أي موعد. فهي تُلزم الجهات بالتطبيق «خلال فترة تحقيق الالتزام التي تحددها الهيئة» — ثم لا ترد أي فترة في أي موضع من الوثيقة. لا تاريخ، ولا نافذة انتقالية، ولا مراحل. فإن قيل لك موعدٌ نهائي محدد، فاطلب المصدر؛ فهو لم يأتِ من هذه الوثيقة. وقد تفرض جهةٌ تنظيمية قطاعية جدولها الزمني الخاص، لكن ذلك أداةٌ أخرى مختلفة.
هل يمكنني الحصول على شهادة CSCC؟
لا. لا يوجد نظام شهادات لضوابط الأنظمة الحساسة، ولا برنامج مدققين معتمدين. تنص الوثيقة على أن الهيئة «تقوم بتقييم التزام الجهات بطرق متعددة؛ منها: التقييم الذاتي للجهات و/أو الزيارات الميدانية للتدقيق؛ وفق الآلية التي تراها الهيئة مناسبة». فلا أحد يستطيع إصدار شهادة CSCC لك، لأنه لا يوجد ما يُصدَر. صحيحٌ أن الهيئة تنشر أداة التقييم والالتزام الخاصة بـ CSCC، لكنها ملف تقييمٍ ذاتي، لا شهادة.
هل يجب أن ألتزم بالضوابط الأساسية أيضاً إذا التزمت بضوابط الأنظمة الحساسة؟
نعم — وليس هذا ترتيباً اختيارياً. تنص CSCC على أن الالتزام بالضوابط الأساسية «يُعدّ متطلباً أساسياً لها؛ ولا يمكن تحقيق الالتزام بها إلا من خلال تحقيق الالتزام المستمر بالضوابط الأساسية للأمن السيبراني في المقام الأول». فضوابط الأنظمة الحساسة امتدادٌ لا بديل. تضيف ضوابط إلى عشرين مكوناً فرعياً من ECC، وتستحدث مكوناً فرعياً واحداً جديداً، وتترك تسعة مكونات فرعية دون إضافة — ما يعني أن تلك التسعة (ومنها إدارة الحوادث والأمن المادي) ما تزال تُلزمك عبر الضوابط الأساسية.
كم يجب أن أحتفظ بسجلات الأمن السيبراني لنظام حساس؟
18 شهراً كحد أدنى، بموجب الضابط 2-11-2. أما خط الأساس في الضوابط الأساسية فهو 12 شهراً (ECC-2:2024، الضابط 2.12.3.5). وترفعه CSCC صراحةً للأنظمة الحساسة. وهذا هو المتطلب الوحيد الذي لا يمكن تداركه بأثر رجعي — فإن كان نظام SIEM لديك يعمل بنافذة اثني عشر شهراً، فإن الأشهر الستة الناقصة لم تعد موجودة أصلاً.
هل يمكنني استضافة نظام حساس على سحابة عالمية؟
فقط إذا استوفى الترتيب الضابط 4-2-1-1، وهو أضيق مما يفترضه معظم المشترين. فاستضافة الأنظمة الحساسة «وأي جزء من مكوناتها التقنية» يجب أن تكون داخل الجهة، أو ضمن خدمات سحابية مقدَّمة من جهات حكومية، أو من شركات سعودية ملتزمة بضوابط الأمن السيبراني للحوسبة السحابية (CCC). ولاحظ ما يسأل عنه الضابط: من هو مقدّم الخدمة وهل هو ملتزم بـ CCC — لا مجرد وجود منطقة سعودية. فعبارة «بياناتنا في منطقة سعودية» ليست، بنص الضابط، إجابةً عن 4-2-1-1. احصل على موقف أي مزوّد كتابةً.
هل تسمح الضوابط بالدخول عن بُعد من خارج المملكة؟
لا. يمنع الضابط 2-2-1-1 الدخول والاتصال عن بُعد بالأنظمة الحساسة من خارج المملكة منعاً باتاً — لا مقيَّداً، ولا خاضعاً لتقييم مخاطر، بل ممنوعاً. أما الدخول عن بُعد من داخل المملكة فمسموحٌ به لكن بقيود: فبموجب 2-2-1-2 يجب التحقق من كل محاولة دخولٍ عبر مركز عمليات الأمن السيبراني في الجهة، مع المراقبة المستمرة لأنشطة الدخول عن بُعد. وهذا هو الضابط الذي ينهي نماذج الدعم من خارج المملكة ووصول المتعاقدين الأجانب عبر VPN للأنظمة الحساسة.
لماذا لا تتطابق أرقام ضوابط CSCC مع أرقام ECC؟
لأن كل وثيقة تصدرها الهيئة تُعيد الترقيم من الصفر ولا ترث ترقيم الضوابط الأساسية. وأوضح مثال: الرقم 2-12 يعني «إدارة سجلات الأحداث والمراقبة» في ECC، لكنه يعني «أمن تطبيقات الويب» في CSCC. أما السجلات في CSCC فرقمها 2-11. واقتباس «CSCC 2-12» لمتطلب السجلات هو أشيع خطأ اقتباسٍ متداول عن هذه الوثيقة، وهو مستوردٌ مباشرةً من ترقيم الضوابط الأساسية.
هل يوجد إصدار ثانٍ (CSCC-2) أو نسخة محدَّثة؟
لا. الإصدار الحالي والوحيد هو CSCC – 1 : 2019، وصفحة الهيئة نفسها ما تزال تدرجه كذلك. فقد حُدِّثت الضوابط الأساسية إلى ECC-2:2024، ولم تُحدَّث ضوابط الأنظمة الحساسة معها. ولذلك ما تزال CSCC تُحيل إلى ECC-1:2018 بالأرقام. وقد راجعنا كل إحالة من هذه الإحالات: ولأن ECC-2:2024 أبقى على ترقيم المكونات الفرعية، فإنها جميعاً ما تزال تقع على موضوعها الصحيح. والإحالة المعلّقة الوحيدة هي إلى المكوّن الخامس من ECC (أنظمة التحكم الصناعي)، وقد حذفه ECC-2:2024 — فالتقنية التشغيلية صارت مغطاة بضوابط OTCC.
هل لضوابط الأنظمة الحساسة مستويات نضج؟
لا. لا يوجد نموذج نضج من خمسة مستويات على غرار CMMI، ولا مستويات، ولا نطاقات، في أي موضع من الوثيقة. الضوابط ثنائية: مُطبَّقة، أو غير مُطبَّقة.
المصادر الأولية
- ضوابط الأمن السيبراني للأنظمة الحساسة (CSCC – 1 : 2019) — الهيئة الوطنية للأمن السيبراني. النسخة العربية (المُلزِمة) · النسخة الإنجليزية · صفحة الهيئة
- دليل تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة (GCSCC – 1 : 2023) — الوثيقة
- الضوابط الأساسية للأمن السيبراني (ECC – 2 : 2024) — الوثيقة
مواضيع ذات صلة: دليل ECC-2:2024 · ضوابط الحوسبة السحابية CCC · ضوابط التقنية التشغيلية OTCC · بناء مركز عمليات الأمن السيبراني
تنص الهيئة على أن النسخة العربية هي اللغة المُلزِمة في كل ما يتعلق بالمعنى والتفسير. هذه الصفحة قراءةٌ في وثيقةٍ عامة، وليست استشارةً قانونية — وإن وجدت فيها خطأً، فأخبرنا وسنصححه، لأن هذا هو المعيار الذي نطالب به الجميع.

Comments
0 total · 0 threads