Home Knowledge base NCA Frameworks ضوابط الأمن السيبراني للأنظمة التشغيلية OTCC-1:2022 — الدليل الشامل من المصدر KNOWLEDGE BASE
ضوابط الأمن السيبراني للأنظمة التشغيلية OTCC-1:2022 — الدليل الشامل من المصدر
NCA FRAMEWORKS

ضوابط الأمن السيبراني للأنظمة التشغيلية OTCC-1:2022 — الدليل الشامل من المصدر

SKYLINE Knowledge Base

دليل مبني على المصدر لضوابط الأمن السيبراني للأنظمة التشغيلية الصادرة عن الهيئة الوطنية للأمن السيبراني، مقروء من ملف الـ PDF نفسه: ٤ مكونات أساسية و٢٣ مكوناً فرعياً و٤٧ ضابطاً أساسياً و١٢٢ ضابطاً فرعياً؛ ومستويات المرافق الثلاثة؛ ومن ينطبق عليه فعلاً؛ ولماذا تُزاح أرقام المكونات الفرعية بمقدار واحد عن الضوابط الأساسية؛ وما يشترطه المكون 2-4 حقاً لعزل الشبكات — وقائمة طويلة بأشياء لا وجود لها.

إذا كنت تدير مصنعاً أو مرفقاً صناعياً في المنطقة الشرقية، فغالباً وصلك عرض تقديمي عن ضوابط الأمن السيبراني للأنظمة التشغيلية (OTCC) الصادرة عن الهيئة الوطنية للأمن السيبراني. وغالباً أخبرك ذلك العرض أن الضوابط تُلزمك بنموذج بيردو (Purdue Model)، أو بتركيب صمام بيانات أحادي الاتجاه (Data Diode)، أو أن هناك «شهادة OTCC» يمكنك الحصول عليها، أو أن الضوابط تنطبق على كل شركة في المملكة.

لا شيء من ذلك صحيح. ونحن نعرف ذلك لأننا قرأنا الوثيقة نفسها.

هذا الدليل مكتوب من المصدر الأصلي مباشرة: ضوابط الأمن السيبراني للأنظمة التشغيلية (OTCC-1:2022) الصادرة عن الهيئة الوطنية للأمن السيبراني، تصنيف الوثيقة: عام، إشارة المشاركة: أبيض — إلى جانب ملحق المنهجية والمواءمة وأداة التقييم وقياس الالتزام الصادرتين عن الهيئة. كل رقم ضابط، وكل إحصائية، وكل متطلب مقتبس في هذه الصفحة مأخوذ من تلك الملفات. وحيثما تسكت الوثيقة، نقول ذلك صراحةً — بل إن هناك موضعاً واحداً لم نستطع فيه أن نُطابق أرقام الهيئة مع بعضها، وقد عرضناه عليك كما هو بدلاً من تجاهله.

ملاحظة قبل كل شيء، من صفحة غلاف الوثيقة نفسها: النسخة العربية هي النسخة المُلزِمة. النسخة الإنجليزية ترجمة. وإذا أردت أن تُحاجّ مُقيِّماً في نقطة، فحاجِجه من النص العربي.

الخلاصة في ستين ثانية

  • الإصدار الحالي هو OTCC-1:2022. ولا يوجد إصدار ثانٍ.
  • تحتوي الوثيقة على ٤ مكونات أساسية، و٢٣ مكوناً فرعياً، و٤٧ ضابطاً أساسياً، و١٢٢ ضابطاً فرعياً (المقدمة، ص ٩).
  • هي امتداد للضوابط الأساسية للأمن السيبراني (ECC) وليست وثيقة مستقلة. تنص الوثيقة على أن «الالتزام بالضوابط الأساسية للأمن السيبراني (ECC-1:2018) شرط أساسي للجهة» (ص ١١). تُنفِّذ الضوابط الأساسية أولاً، ثم تبني ضوابط الأنظمة التشغيلية فوقها.
  • تنطبق على أنظمة التحكم الصناعي في المرافق الحساسة التي تملكها و/أو تُشغّلها الجهات الحكومية، وعلى جهات القطاع الخاص التي تملك أو تُشغّل أو تستضيف بنى تحتية وطنية حساسة (CNI) — «سواءً داخل المملكة أو خارجها». وما عدا ذلك، فالهيئة «تُشجع بشدة» ولا تُلزم (ص ١٠).
  • هناك ثلاثة مستويات للمرافق (١ و٢ و٣)، تُحدَّد عبر أداة تحديد مستوى المرفق. والمستوى هو ما يُحدد عدد الضوابط المُلزِمة لك.
  • لا توجد شهادة OTCC، ولا مُدققون معتمدون، ولا موعد نهائي منصوص عليه، ولا جدول غرامات. يُقاس الالتزام عبر التقييم الذاتي و/أو الزيارات الميدانية من الهيئة.
  • لا علاقة لها بأرامكو إطلاقاً. كلمتا «أرامكو» و«SACS» ترِدان صفر مرة في الوثيقة.

ما الذي تحتويه الوثيقة فعلاً

من المقدمة مباشرة (ص ٩): أربعة مكونات أساسية، وثلاثة وعشرون مكوناً فرعياً، وسبعة وأربعون ضابطاً أساسياً، ومئة واثنان وعشرون ضابطاً فرعياً.

ولم نكتفِ بما ذكرته الهيئة. عددنا أرقام الضوابط في ملف الـ PDF بأنفسنا، ثم حلّلنا أداة التقييم وقياس الالتزام الصادرة عن الهيئة، وهي تسرد الضوابط جميعها في ورقة واحدة. والنتائج الثلاث متطابقة: ٤٧ ضابطاً أساسياً، و١٢٢ ضابطاً فرعياً، بمجموع ١٦٩ بنداً.

# المكون الأساسي المكونات الفرعية الضوابط الأساسية الضوابط الفرعية
١ حوكمة الأمن السيبراني ٨ ١٧ ٢٠
٢ تعزيز الأمن السيبراني ١٣ ٢٦ ٩٢
٣ صمود الأمن السيبراني ١ ٢ ٦
٤ الأمن السيبراني المتعلق بالأطراف الخارجية ١ ٢ ٤
المجموع ٢٣ ٤٧ ١٢٢

لاحظ أين يقع ثقل الوثيقة. المكون الثاني وحده يحمل ٩٢ ضابطاً فرعياً من أصل ١٢٢ — أي ٧٥٪ من الوثيقة. ضوابط الأنظمة التشغيلية في جوهرها معيار دفاع تقني، لا وثيقة سياسات. فإذا سلّمك أحدهم خطة التزام تتكون في معظمها من قوالب سياسات، فقد قلَب الوثيقة رأساً على عقب.

ويُقرأ رمز الضابط من اليسار إلى اليمين (الشكلان ٣ و٤، ص ١٥). ففي الرمز 2-4-1-9: ٢ = المكون الأساسي، ٤ = المكون الفرعي، ١ = الضابط الأساسي، ٩ = الضابط الفرعي. وفي عنوان الوثيقة OTCC – 1 – 2022: ١ = رقم الإصدار، و٢٠٢٢ = سنة الإصدار.

المكونات الفرعية الثلاثة والعشرون بترتيبها الصحيح

هذا هو الجدول الذي يُخطئ فيه الجميع، وهو الجدول الذي يعمل منه المُقيِّم.

الرمز المكون الفرعي
١ حوكمة الأمن السيبراني
1-1 سياسات وإجراءات الأمن السيبراني
1-2 أدوار ومسؤوليات الأمن السيبراني
1-3 إدارة مخاطر الأمن السيبراني
1-4 الأمن السيبراني ضمن إدارة مشاريع أنظمة التحكم الصناعي
1-5 الأمن السيبراني ضمن إدارة التغيير
1-6 المراجعة والتدقيق الدوري للأمن السيبراني
1-7 الأمن السيبراني المتعلق بالموارد البشرية
1-8 برنامج التوعية والتدريب بالأمن السيبراني
٢ تعزيز الأمن السيبراني
2-1 إدارة الأصول
2-2 إدارة هويات الدخول والصلاحيات
2-3 حماية الأنظمة وأجهزة معالجة المعلومات
2-4 إدارة أمن الشبكات
2-5 أمن الأجهزة المحمولة
2-6 حماية البيانات والمعلومات
2-7 التشفير
2-8 إدارة النسخ الاحتياطية
2-9 إدارة الثغرات
2-10 اختبار الاختراق
2-11 إدارة سجلات الأحداث ومراقبة الأمن السيبراني
2-12 إدارة حوادث وتهديدات الأمن السيبراني
2-13 الأمن المادي
٣ صمود الأمن السيبراني
3-1 جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال
٤ الأمن السيبراني المتعلق بالأطراف الخارجية
4-1 الأمن السيبراني للأطراف الخارجية

وملاحظة أمانة صغيرة، تدل على أننا قرأنا الوثيقة فعلاً: النسخة الإنجليزية فيها خطأ مطبعي. ففي متن الضوابط بالصفحة ٢١، وُضع للمكون الفرعي 1-8 عنوان «Cybersecurity in Human Resources» — وهو العنوان نفسه للمكون 1-7. بينما يوضح الشكل ٢ (ص ١٤) ونص هدف المكون 1-8 أنه برنامج التوعية والتدريب بالأمن السيبراني. والنص العربي صحيح. وهذا بالضبط سبب جعل الهيئة النسخة العربية هي المُلزِمة.

فخ إعادة الترقيم: ضوابط الأنظمة التشغيلية ليست الضوابط الأساسية

هذه أهم فقرة في المقال، وهي الخطأ الذي تكرر مراراً في المحتوى المنشور عن الامتثال في السعودية — بما في ذلك محتوى سابق على هذا الموقع، وهو سبب إعادة كتابة هذا الدليل من المصدر.

ضوابط الأنظمة التشغيلية امتداد للضوابط الأساسية، لكنها لا ترث أرقام مكوناتها الفرعية. بل تُعيد الترقيم من الصفر. ولأن ضوابط الأنظمة التشغيلية لا تحتوي على مكون فرعي لحماية البريد الإلكتروني — فلا بريد إلكتروني داخل برج تقطير — فإن كل مكون فرعي في «تعزيز الأمن السيبراني» ابتداءً من 2-4 يُزاح رقمه للخلف بمقدار واحد مقارنةً بالضوابط الأساسية.

الموضوع الضوابط الأساسية (ECC) ضوابط الأنظمة التشغيلية (OTCC)
إدارة الأصول 2-1 2-1
إدارة هويات الدخول والصلاحيات 2-2 2-2
حماية الأنظمة وأجهزة معالجة المعلومات 2-3 2-3
حماية البريد الإلكتروني 2-4 غير موجود
إدارة أمن الشبكات 2-5 2-4
أمن الأجهزة المحمولة 2-6 2-5
حماية البيانات والمعلومات 2-7 2-6
التشفير 2-8 2-7
إدارة النسخ الاحتياطية 2-9 2-8
إدارة الثغرات 2-10 2-9
اختبار الاختراق 2-11 2-10
إدارة سجلات الأحداث والمراقبة 2-12 2-11
إدارة الحوادث والتهديدات 2-13 2-12
الأمن المادي 2-14 2-13
أمن تطبيقات الويب 2-15 غير موجود

اقرأ الجدول مرتين. الرمز «2-12» يعني إدارة السجلات في الضوابط الأساسية، ويعني إدارة الحوادث في ضوابط الأنظمة التشغيلية. الرقم نفسه، ومتطلبان مختلفان تماماً. وإذا استشهدت بالرقم الخطأ في ردٍّ على مُدقق، فقد أخبرته كتابةً أنك لم تقرأ المعيار.

وهذا ليس استنتاجاً منا. فالوثيقة تنص على المواءمة بنفسها، في السطر الأول من كل ضابط تقريباً. الضابط 2-11-1 (سجلات الأحداث) يبدأ بعبارة: «بالإضافة إلى الضوابط الفرعية ضمن الضابط 2-12-3 في الضوابط الأساسية للأمن السيبراني…». والضابط 2-12-1 (الحوادث) يبدأ بـ «بالإضافة إلى الضوابط الفرعية ضمن الضابط 2-13-3…». والضابط 2-13-1 (الأمن المادي) يبدأ بـ «بالإضافة إلى الضوابط الفرعية ضمن الضابط 2-14-3…». كل صف في الجدول أعلاه يمكن التحقق منه من الإحالات الداخلية للوثيقة نفسها.

والحوكمة تُعيد الترقيم أيضاً، وبحدّة مماثلة — إذ تُسقط ضوابط الأنظمة التشغيلية مكوني «استراتيجية الأمن السيبراني» و«إدارة الأمن السيبراني» بالكامل:

الموضوع الضوابط الأساسية ضوابط الأنظمة التشغيلية
سياسات وإجراءات الأمن السيبراني 1-3 1-1
أدوار ومسؤوليات الأمن السيبراني 1-4 1-2
إدارة مخاطر الأمن السيبراني 1-5 1-3
الأمن السيبراني ضمن إدارة المشاريع 1-6 1-4
المراجعة والتدقيق الدوري 1-8 1-6
الأمن السيبراني والموارد البشرية 1-9 1-7
التوعية والتدريب 1-10 1-8

ونتيجة مطمئنة واحدة: راجعنا كل مكون فرعي من الضوابط الأساسية تُحيل إليه ضوابط الأنظمة التشغيلية، وقارنّاه بنسختَي ECC-1:2018 وECC-2:2024، فوجدنا أن الأسماء والأرقام التي تعتمد عليها ضوابط الأنظمة التشغيلية متطابقة في النسختين. أي أن الإحالات نجت من تحديث الضوابط الأساسية سليمة. وهذا مهم، لسبب يأتي في الفقرة التالية.

ضوابط الأنظمة التشغيلية، والضوابط الأساسية، والمكون الخامس الذي اختفى

العلاقة بين الوثيقتين كثيراً ما تُشوَّه، فإليك تحريرها بدقة.

ضوابط الأنظمة التشغيلية امتداد للضوابط الأساسية. ملحق المنهجية والمواءمة صريح في ذلك: «على الجهات المعنية الالتزام بالضوابط الأساسية أولاً، ثم الالتزام بالضوابط الإضافية الواردة في وثيقة OTCC-1:2022». ومتن الوثيقة يقولها بلغة أشد: «الالتزام بالضوابط الأساسية للأمن السيبراني (ECC-1:2018) شرط أساسي للجهة» (ص ١١).

إذن فضوابط الأنظمة التشغيلية لا تقوم بذاتها. والجهة التي طبّقت ضوابط الأنظمة التشغيلية دون الضوابط الأساسية لم تلتزم بضوابط الأنظمة التشغيلية.

أما التفصيل الذي لن تجده في عروض الموردين: الضوابط الأساسية ECC-1:2018 كانت تحتوي على مكون أساسي خامس هو «الأمن السيبراني المتعلق بأنظمة التحكم الصناعي». وعندما أصدرت الهيئة ECC-2:2024، حذفت ذلك المكون ونصّت في سجل التغييرات على أن ضوابطه انتقلت إلى ضوابط الأنظمة التشغيلية. ويحمل ملحق المواءمة النصف الآخر من الجسر: الجدول ١، «العلاقة بين OTCC والمكون الخامس من ECC»، الذي يُطابق كل ضابط قديم من ضوابط المكون الخامس بخلفائه في ضوابط الأنظمة التشغيلية. فمثلاً، الضابط 5-1-3-1 في الضوابط الأساسية (العزل المادي والافتراضي الصارم عند ربط شبكات الإنتاج الصناعي بغيرها) يُقابله في ضوابط الأنظمة التشغيلية: 2-4-1-1 و2-4-1-2 و2-4-1-3 و2-4-1-6 و2-4-1-9 و2-4-1-10 و2-4-1-11 و2-4-1-12 و2-4-1-13. تسعة ضوابط فرعية حيث كان في الضوابط الأساسية ضابط واحد.

وهذا هو التلخيص الأمين لما حدث: التزاماتك في الأنظمة التشغيلية لم تخفّ — بل جرى تفكيكها إلى وثيقة أكثر تفصيلاً بعشرة أضعاف.

وهناك فارق إصدارات حقيقي ينبغي أن تعرفه. تُسمّي وثيقة OTCC-1:2022 الضوابط ECC-1:2018 شرطاً أساسياً لها، لأنها كانت النسخة السارية وقت كتابتها. وقد أصدرت الهيئة منذ ذلك الحين ECC-2:2024، ولم تُعِد إصدار ضوابط الأنظمة التشغيلية؛ فالمنشور على nca.gov.sa لا يزال OTCC-1:2022. ولن نخترع موقفاً للهيئة في هذه المسألة، لأنها لم تنشر موقفاً. لكن ما يمكننا إخبارك به، لأننا تحققنا منه، أن كل ضابط في الضوابط الأساسية تُشير إليه ضوابط الأنظمة التشغيلية لا يزال موجوداً بالرقم نفسه في ECC-2:2024 — أي أن الإحالات لا تزال تعمل عملياً.

وإن كنت جديداً على جانب الضوابط الأساسية، فدليلنا المرافق — الضوابط الأساسية للأمن السيبراني ECC-2:2024 — يغطيها ضابطاً ضابطاً.

من الذي ينطبق عليه فعلاً؟

نطاق التطبيق هو الموضع الذي يكذب فيه هذا النوع من المقالات أكثر من غيره، فإليك نص «نطاق عمل الضوابط» (ص ١٠) مقتبساً لا مُعاد صياغته:

«تنطبق هذه الضوابط على أنظمة التحكم الصناعي (ICS) الموجودة في المرافق التي تُعدّ حساسة والمملوكة و/أو المُشغَّلة من قِبل الجهات الحكومية (بما في ذلك الوزارات والهيئات والمؤسسات وغيرها)، وكذلك جهات القطاع الخاص التي تملك أو تُشغّل أو تستضيف بنى تحتية وطنية حساسة (CNIs)، سواءً كانت داخل المملكة أو خارجها.»

وتفكيك ذلك إلى الاختبارات الأربعة التي تحسم الأمر فعلاً:

١. هل هو نظام تحكم صناعي؟ تُعرّفه الوثيقة بأوسع تعريف ممكن: «جميع الأجهزة أو الأنظمة أو الشبكات المستخدمة لتشغيل و/أو أتمتة العمليات الصناعية». ليس نظام التحكم الموزّع (DCS) وحده — بل حتى وحدة التحكم المنطقي (PLC) في خط التعبئة تدخل في التعريف.

٢. هل يقع داخل مرفق يُعدّ حساساً؟ تُعرّف الوثيقة المرفق الحساس بأنه المرفق الذي «قد يؤدي تدميره و/أو تعطّله إلى تعطيل أو انقطاع أعمال الجهة». ولاحظ أن هذا اختبار يقاس باستمرارية أعمالك أنت — وهو سقف أدنى مما يفترضه أكثر الناس.

٣. من يملكه أو يُشغّله؟ جهة حكومية، أو جهة من القطاع الخاص تملك أو تُشغّل أو تستضيف بنية تحتية وطنية حساسة.

٤. أين يقع؟ لا أهمية لذلك. داخل المملكة أو خارجها، ما دمت من الفئتين أعلاه.

فماذا لو كنت مصنعاً خاصاً لا يُصنّف بنية تحتية وطنية حساسة؟ حينها لست في نطاق الإلزام، وأي استشاري يخبرك بغير ذلك فهو يبيعك شيئاً. ونص الوثيقة نفسه: «تُشجع الهيئة بشدة جميع الجهات الأخرى في المملكة على الاستفادة من هذه الضوابط لتطبيق أفضل الممارسات». تشجيع. لا إلزام.

وعملياً، يُجرّ كثير من موردي المنطقة الشرقية إلى هذه الضوابط تعاقدياً لا تنظيمياً — لأن عميلهم داخل النطاق فيُمرّر المتطلبات إلى سلسلة التوريد. وهذا التزام حقيقي، لكنه نابع من العقد لا من الهيئة. فاعرف أيّ الجهتين تُجيب، لأن مسار التصعيد يختلف.

الاستثناء المتعلق بالسلامة الذي لا يكاد أحد يقتبسه

تحتوي فقرة «قابلية التطبيق داخل الجهة» (ص ١٠) على جملة لا نظير لها في الضوابط الأساسية، وهي أهم جملة في الوثيقة لمن يُدير مصنعاً فعلاً:

«يجب على كل جهة في نطاق هذه الوثيقة تملك أو تُشغّل أنظمة التحكم الصناعي الالتزام بجميع الضوابط القابلة للتطبيق، بعد التأكد من أن تطبيق الضوابط لن يُعرّض استمرارية أعمال الجهة للخطر

الهيئة تقول لك صراحةً: لا تُعطّل المصنع لتنجح في التدقيق. وهذا ليس ثغرة، ولا رخصة لتجاوز ضوابط تراها مزعجة — فالوثيقة تخبرك بالبديل بدقة، في الضابط 1-3-1-6: عند تعذّر استيفاء متطلب أمني داخل بيئة الأنظمة التشغيلية، «يجب توضيح المبررات اللازمة، مع توثيقها واعتمادها من قِبل الجهة المعنية بالأمن السيبراني، وموافقة صاحب الصلاحية». وفي الضابط 1-3-1-7: عند قبول المخاطر، يجب تحديد ضوابط بديلة وتوثيقها واعتمادها من صاحب الصلاحية وتطبيقها «في وقت محدد»، مع الاستمرار في تقييم المخاطر ومراجعتها.

هذه هي الآلية. الاستثناء الموثّق المعتمد المحدد بمدة، ومعه ضوابط تعويضية، إجابةٌ مُلتزِمة. أما الفجوة غير الموثقة فهي مخالفة. والفرق بينهما أوراق يمكنك إنتاجها في بعد ظهر واحد — وهي أرخص ما يمكنك فعله قبل التقييم.

مستويات المرافق الثلاثة — والموضع الوحيد الذي لا تتطابق فيه الأرقام

لا تنطبق ضوابط الأنظمة التشغيلية بالتساوي. فلكل مرفق حساس مستوى، والمستوى يُحدد عدد الضوابط المُلزِمة. والمعايير (ص ١٢):

  • الأهمية والآثار والتبعات على أعمال الجهة وتوافر خدماتها؛
  • الأثر السلبي على الصحة والسلامة والبيئة (HSE)؛
  • الأثر السلبي على الاقتصاد الوطني أو الأمن الوطني أو التأثير الاجتماعي.

ولاحظ أن الصحة والسلامة والبيئة معيار من الدرجة الأولى، جنباً إلى جنب مع أثر الأعمال. هذا معيار للأنظمة التشغيلية كتبه من يُدرك أن أسوأ الاحتمالات ليس تسريب بيانات.

وينص الجدول ١ (ص ١٢) على:

المستوى حساسية المرفق الضوابط والضوابط الفرعية
الأول (L1) عالية — آثار وتبعات شديدة أو كارثية على العمليات أو الأصول أو الموارد أو الصحة والسلامة والبيئة ١٥١ (شاملةً المستويين الثاني والثالث)
الثاني (L2) متوسطة — آثار جوهرية على العمليات أو الأصول أو الموارد أو الصحة والسلامة والبيئة ١١٧ (شاملةً المستوى الثالث)
الثالث (L3) منخفضة — آثار سلبية معتدلة ٥٦

ويُحدَّد مستواك عبر أداة تحديد مستوى المرفق (OTCC-1:2022 Facility Level Identification Tool) (ص ١١). وهو تحديد لكل مرفق على حدة، لا لكل شركة: فالمجموعة الواحدة قد تُدير مصفاة من المستوى الأول ومستودعاً من المستوى الثالث، ولا تنطبق مجموعة الضوابط نفسها عليهما.

والآن الجزء الأمين. حاولنا أن نُعيد إنتاج هذه الأرقام الثلاثة فلم نستطع.

تحتوي الوثيقة على ٤٧ ضابطاً أساسياً و١٢٢ ضابطاً فرعياً — أي ١٦٩ بنداً. وأداة التقييم وقياس الالتزام الصادرة عن الهيئة تسرد البنود الـ ١٦٩ جميعها في ورقة واحدة، ولكل بند وسم بمستوى الضابط. حلّلنا الأداة. فإذا عددنا كل الصفوف، خرجنا بـ ١٦٩ للمستوى الأول، و١٣٩ للثاني، و٧٧ للثالث. وإذا عددنا الضوابط «الطرفية» فقط (الضوابط الفرعية، إضافةً إلى الضوابط الأساسية التي لا ضوابط فرعية تحتها)، خرجنا بـ ١٥٠ و١٢٠ و٦٠. ولا تتطابق أيٌّ من النتيجتين مع أرقام الجدول ١: ١٥١ و١١٧ و٥٦.

لن نخترع تسويةً بين الأرقام، ولن ننشر بأي حال جدول مستويات لكل ضابط مبنياً على حسابٍ لا يُغلق — فهذا بالضبط نوع الاختلاق الواثق النبرة الذي وُجد هذا الدليل لتصحيحه. لكن ما سنخبرك به هو الأثر العملي، وهو غير متأثر بالمسألة:

لا تُحدد نطاق برنامجك من مجاميع الجدول ١. حدده من وسم المستوى المرافق لكل ضابط — فهو مطبوع في الأعمدة الثلاثة (L1/L2/L3) في كل جدول ضوابط داخل الـ PDF، وهو موجود في عمود Control Level في أداة التقييم الصادرة عن الهيئة. تلك الوسوم هي التعليمات العاملة. أما المجاميع فهي ملخّص.

وإن كنت مرفقاً من المستوى الثالث، فهذا يعني الكثير لميزانيتك: معظم ضوابط الأنظمة التشغيلية لا تنطبق عليك. ثلثها تقريباً هو ما ينطبق. فاعرف مستواك قبل أن تشتري شيئاً.

الأرقام الصريحة الوحيدة في الوثيقة

المحتوى التسويقي للامتثال مليء بعتبات رقمية يُزعم أن الهيئة تفرضها. وهذه هي القائمة الكاملة لما تنص عليه الوثيقة فعلاً.

دورية تقييم الثغرات (2-9-1-3) ودورية اختبار الاختراق (2-10-1-3) — وهما الضابطان الوحيدان في الوثيقة كلها اللذان يحملان دورية رقمية تتغير بحسب المستوى:

المستوى الأول المستوى الثاني المستوى الثالث
تقييم الثغرات (2-9-1-3) كل ٣ أشهر كل ٦ أشهر كل ١٢ شهراً
اختبار الاختراق (2-10-1-3) كل ٣ أشهر كل ٦ أشهر كل ١٢ شهراً

واختبار اختراق ربع سنوي على نظام تحكم صناعي في الإنتاج يبدو مُقلقاً، والهيئة تُدرك ذلك. فالضابط 2-10-1-2 يشترط أن يُجرى اختبار الاختراق «بأثر محدود أو معدوم على بيئة الإنتاج، أو على بيئة منفصلة مطابقة». والضابط 2-10-1-4 يشترط أن «تُحدَّد وتُطبَّق أساليب اختبار بديلة (مثل آليات الاختبار الخامل) لجمع المعلومات ذات العلاقة عند احتمال حدوث أثر على بيئة الإنتاج التشغيلية».

فالقراءة الأمينة إذن: التقييم الخامل على بيئة مطابقة إجابةٌ متوقعة ومُلتزِمة. لست مُطالباً بإطلاق ثغرة استغلال على نظام سلامة عامل.

والدوريتان الحقيقيتان الأخريان، وكلتاهما في الحوكمة:

  • 1-6-1 — على الإدارة المعنية بالأمن السيبراني في الجهة مراجعة تطبيق ضوابط الأنظمة التشغيلية سنوياً على الأقل.
  • 1-6-2 — يجب أن يُراجَع التطبيق من أطراف مستقلة داخل الجهة، من خارج الإدارة المعنية بالأمن السيبراني، مرة كل ثلاث سنوات على الأقل.

هذا كل شيء. وكل دورية أخرى في الضوابط الـ ١٦٩ يُعبَّر عنها بكلمة «دورياً». الهيئة تضع متطلبات، لا مستويات خدمة. والدورية التي تختارها لكل ما عدا ذلك يجب أن تكون قابلة للدفاع عنها أمام تقييم مخاطرك أنت — وهذا هو ما يُسأل عنه فعلاً.

عزل شبكات تقنية المعلومات عن التشغيلية: ما يشترطه المكون 2-4 فعلاً

المكون الفرعي 2-4 (إدارة أمن الشبكات) هو المكان الذي تنجح فيه برامج الالتزام أو تفشل. وللضابط الأساسي 2-4-1 ستة عشر ضابطاً فرعياً. وهذه هي المعمارية التي تصفها الهيئة، بألفاظها:

الضابط المتطلب
2-4-1-1 عزل بيئة الأنظمة التشغيلية منطقياً أو مادياً عن البيئات والشبكات الأخرى
2-4-1-2 عزل المناطق (Zones) داخل بيئة الأنظمة التشغيلية بحسب مستوى كل منطقة، بما يعزل تدفقات البيانات ويُوجّه حركة الشبكة إلى «نقاط اختناق» (Choke Points)
2-4-1-3 عزل أنظمة السلامة المُجهّزة (SIS) عن بقية شبكات الأنظمة التشغيلية
2-4-1-4 تقييد التقنيات اللاسلكية (Wi-Fi، بلوتوث، خلوي، أقمار صناعية) على الحاجة المُبرَّرة، مع تأمينها
2-4-1-5 عزل التقنيات اللاسلكية عن بقية شبكات الأنظمة التشغيلية
2-4-1-6 حصر الاتصالات والخدمات ونقاط الربط بين المناطق في الحد الأدنى اللازم للتشغيل والصيانة والسلامة
2-4-1-7 منع التعريض المباشر لخدمات المصادقة وإدارة الوصول عن بُعد على الأجهزة المُعرَّضة للخارج
2-4-1-8 ألا يُتاح من داخل شبكات الأنظمة التشغيلية إلا الخدمات المُصرّح بها والحرجة للأعمال
2-4-1-9 منع الاتصال المباشر بين منطقة الشركة ومناطق الأنظمة التشغيلية — وتوجيه الاتصالات اللازمة عبر مضيف وسيط (Jump Host) مخصص ومُؤمَّن ومُحصَّن في المنطقة منزوعة السلاح (DMZ)
2-4-1-10 ألا تُربط نقطة الوصول عن بُعد في الـ DMZ بشبكات الأنظمة التشغيلية إلا عند الحاجة، مع مصادقة متعددة العناصر وتسجيل الجلسة وتحديد مدتها
2-4-1-11 استخدام الوسطاء (Proxies) بين منطقة الشركة والأنظمة التشغيلية لجميع اتصالات الآلة بالآلة
2-4-1-12 استخدام بوابات مخصصة لعزل شبكات الأنظمة التشغيلية عن منطقة الشركة
2-4-1-13 تخصيص منطقة DMZ لأي نظام يحتاج خدمات من منطقة الشركة
2-4-1-14 التقييد الصارم لتفعيل واستخدام البروتوكولات والمنافذ الصناعية
2-4-1-15 أن تكون التحديثات لأصول الإنتاج معتمدة من المُصنّع ومُختبَرة في بيئة منفصلة قبل تطبيقها
2-4-1-16 توثيق وتحديث معمارية الشبكة وطوبولوجيتها والمناطق وتدفقات البيانات والترابطات

اثنان من هذه يُستهان بهما دائماً.

الضابط 2-4-1-11 — وسطاء لجميع اتصالات الآلة بالآلة. ليس للبشر فقط. بل نسخ بيانات المُؤرشِف (Historian)، وتغذية OPC إلى نظام تخطيط الموارد، وتكامل نظام إدارة الصيانة: كلها. هذا هو الضابط الذي يفرض تغييراً معمارياً بهدوء، وهو الأكثر احتمالاً أن يُوجد مكسوراً، لأن مسارات الآلة بالآلة يبنيها من احتاج البيانات ولا تظهر في أي مخطط.

الضابط 2-4-1-16 — توثيق الشبكة. يبدو الضابط المُمِل. وهو الذي يُوقعك. فالمُقيِّم لا يستطيع التحقق من الضوابط 2-4-1-1 إلى 2-4-1-15 دون مخطط شبكة حالي ودقيق يُظهر المناطق والقنوات وتدفقات البيانات. وإذا كان مخططك خاطئاً، فكل ضوابط العزل الأخرى غير مُثبَتة بحكم التعريف. وهذا عملياً أول مستند يُطلب، وأشيع سبب لرسوب مرفق في تقييم الأنظمة التشغيلية رغم امتلاكه أمناً جيداً فعلاً.

وتُعرّف الوثيقة نقطة الاختناق في مسرد المصطلحات (الملحق أ) بأنها: «نقطة واحدة تمر عبرها جميع حركة الشبكة الداخلة والخارجة».

نموذج بيردو: ما تقوله الوثيقة فعلاً

لا شيء. وهذه ليست مبالغة بلاغية — بحثنا في الوثيقة.

كلمة «Purdue» ترد صفر مرة في OTCC-1:2022. وكذلك «Level 3.5»، و«العزل التام» (Air Gap)، و«صمام البيانات» (Data Diode)، و«البوابة أحادية الاتجاه». بل إن كلمات «IEC» و«62443» و«NIST» ترد صفر مرة أيضاً في وثيقة الضوابط.

أما ما تشترطه الوثيقة فعلاً فهو معمارية مناطق وقنوات: اعزل بيئة الأنظمة التشغيلية عن كل ما عداها (2-4-1-1)؛ واعزل المناطق بعضها عن بعض بحسب مستوياتها (2-4-1-2)؛ ووجِّه الحركة عبر نقاط اختناق (2-4-1-2)؛ وامنع الاتصال المباشر بين الشركة والأنظمة التشغيلية (2-4-1-9)؛ ووسِّطه عبر مضيف وسيط محصّن في منطقة DMZ مخصصة (2-4-1-9 و2-4-1-13)؛ ووسِّط كل اتصالات الآلة بالآلة (2-4-1-11)؛ واعزل أنظمة السلامة في منطقتها (2-4-1-3).

وإذا بنيت نموذج بيردو نموذجياً بمنطقة DMZ عند المستوى 3.5، فستستوفي تلك الضوابط بارتياح. وهذا سبب الالتباس، ويبقى بيردو طريقة ممتازة لتنظيم المشكلة. لكن ينبغي أن تكون واضحاً في المنطق، لأنه يُغيّر ما يمكنك قوله للمُقيِّم:

بيردو وسيلة للالتزام، لا المتطلب نفسه. فالمصنع الحديث الذي تخلّى عن طبقات بيردو الصارمة — لأن لديه مُؤرشِفات سحابية وحساسات لاسلكية ودعماً عن بُعد من الموردين — ليس مخالفاً تلقائياً. عليه فقط أن يُثبت الخصائص التي تطلبها الوثيقة فعلاً: مناطق مُعرّفة، وعزل مُنفَّذ، ونقاط اختناق، وانعدام المسار المباشر من الشركة، ووصول عن بُعد مُوسَّط، ومخطط دقيق. وبالمقابل، المصنع الذي رسم مخطط بيردو جميلاً ثم شغّل شبكة مسطحة تحته مخالفٌ، والمخطط يزيد الأمر سوءاً، لأن التوثيق صار كاذباً.

فأين يدخل 62443 إذن؟ ينص ملحق المنهجية والمواءمة — وهو وثيقة منفصلة عن الضوابط — على أن ضوابط الأنظمة التشغيلية بُنيت على ISA/IEC 62443 (وتحديداً 62443-2-1 و62443-3-2:2020 و62443-3-3:2013)، وإطار NIST للأمن السيبراني، وNIST SP 800-53 rev4، وNIST SP 800-82 rev2، وNOG 104، وNERC CIP v6، وC2M2 الصادر عن وزارة الطاقة الأمريكية. وهذا النسب هو سبب قراءة الوثيقة وكأنها 62443 بثوب سعودي — المناطق والقنوات والمستويات. لكن وثيقة الضوابط لا تستشهد بأيٍّ منها، والحصول على شهادة 62443 لا يجعلك ملتزماً بضوابط الأنظمة التشغيلية. فالمواءمة تسير في الاتجاه المعاكس: هي موجودة لتُعيد استخدام أدلة 62443، لا لتتخطى بها الضوابط.

ما الذي يطلبه المُقيِّم من مُشغِّل صناعي فعلاً؟

تُقيّم الهيئة الالتزام عبر «التقييم الذاتي من الجهة و/أو الزيارات الميدانية من الهيئة أو من أطراف ثالثة تُحددها» (ص ١١). ولا توجد جهة تصديق خارجية تشتري منها النجاح.

ومفردات التقييم ليست نموذج نضج. فمن أداة التقييم الصادرة عن الهيئة، يأخذ كل ضابط قيمة واحدة من أربع:

  • مطبق كلياً (Implemented)
  • مطبق جزئياً (Partially Implemented)
  • غير مطبق (Not Implemented)
  • لا ينطبق على الجهة (Not Applicable)

لا وجود لـ«المستوى ٣ من ٥». فالضابط إما منجز، أو نصف منجز، أو غير منجز، أو خارج النطاق. وهذا مقياس أقسى مما اعتاد عليه معظم العاملين في تقنية المعلومات، وهو يُكافئ نطاقاً صغيراً مكتملاً وموثّقاً على نطاق واسع نصف منجز.

وبناءً على ما تطلب الضوابط إثباته فعلاً، هذه قائمة المستندات التي يجدر أن تكون جاهزة — وكل بند فيها يعود إلى رقم ضابط:

١. تحديد مستوى المرفق من أداة تحديد مستوى المرفق. فكل ما بعده يُحدَّد نطاقه به (والضابط 1-3-1-4 يشترط هذا نصاً: «تحديد المستويات الملائمة للمناطق والمرافق التي تحتوي على أنظمة التحكم الصناعي بناءً على منهجية معتمدة»).

٢. سجل أصول إلكتروني للأنظمة التشغيلية، يُجمَع بأداة آلية، ويُخزَّن بشكل آمن، بمُلّاك أصول مُسمَّين وتصنيف حساسية لكل أصل (2-1-1-1 إلى 2-1-1-5). وكلمة «آلي» واردة في النص — فجدول بيانات يُحدّثه أحدهم يدوياً «مطبق جزئياً».

٣. مستند معمارية الشبكة — المناطق وتدفقات البيانات والترابطات، محدّثاً (2-4-1-16).

٤. سجل الاستثناءات — كل ضابط تعذّر تطبيقه، بمبرر معتمد من الإدارة المعنية بالأمن السيبراني ومن صاحب الصلاحية، ومعه ضوابطه التعويضية ومدته (1-3-1-6 و1-3-1-7).

٥. إثبات فصل إدارة هويات الأنظمة التشغيلية عن تقنية المعلومات (2-2-1-1: «أن تكون دورة حياة إدارة هويات الدخول والصلاحيات لأنظمة التحكم الصناعي منفصلة ومستقلة عن تقنية المعلومات، بما في ذلك الحلول المركزية لإدارة الهويات»). فوجود دليل نشط (Active Directory) واحد يمتد من شبكة الشركة إلى أرضية المصنع مخالفةٌ لهذا الضابط، وهي شائعة جداً.

٦. سجلات معالجة كلمات المرور الافتراضية (2-2-1-3).

٧. سجلات الوصول عن بُعد — تقييم مخاطر قبل المنح، ومصادقة متعددة العناصر، وقناة مشفّرة، ومدة محددة، وأقل صلاحية، وجلسات مُراقَبة ومُسجَّلة (2-2-1-7). ووصول دعم الموردين هو الموضع الذي يُفقد فيه هذا عادةً.

٨. القائمة البيضاء للتطبيقات على أصول الأنظمة التشغيلية (2-3-1-6)، ومحطات عمل هندسية (EWS) وواجهات تشغيل (HMI) مخصصة ومعزولة ومحصّنة للإدارة والصيانة (2-3-1-7).

٩. ضوابط الوسائط القابلة للإزالة — تُفحص في بيئة معزولة، وتُقيَّد في الإنتاج (2-3-1-8 و2-3-1-9).

١٠. نسخ احتياطية مركزية وغير متصلة تشمل ملفات الإعدادات والملفات الهندسية — لا البيانات وحدها (2-8-1-1 و2-8-1-2). ومتطلب الملفات الهندسية صريح ويُغفَل باستمرار؛ فالنسخة الاحتياطية التي لا تستطيع استعادة برنامج PLC ليست نسخة احتياطية بمفهوم هذه الضوابط.

١١. تقارير تقييم الثغرات واختبار الاختراق بالدورية التي يفرضها مستواك (2-9-1-3 و2-10-1-3)، بما فيها الأساليب الخاملة/البديلة المستخدمة حيث تعذّر الاختبار النشط (2-10-1-4).

١٢. تفعيل سجلات الأحداث ومسارات التدقيق على جميع أصول الأنظمة التشغيلية (2-11-1-1)، ومراقبة كل جلسة وصول عن بُعد (2-11-1-6)، والتنبيه عند ارتباط أجهزة جديدة أو غير مصرح بها بشبكة الأنظمة التشغيلية (2-11-1-8)، واستخدام معلومات التهديدات الخاصة بالأنظمة التشغيلية لضبط تنبيهات نظام إدارة الأحداث الأمنية (2-11-1-9).

١٣. خطة استجابة لحوادث الأنظمة التشغيلية متكاملة مع خطة تقنية المعلومات وإدارة الأزمات وخطة استمرارية الأعمال (2-12-1-1)، تتضمن إجراءات استعادة أنظمة السلامة (2-12-1-5)، ومُختبَرة بتمارين محاكاة هجمات سيبرانية (2-12-1-7).

١٤. خطط استمرارية الأعمال وتحليل الأثر والتعافي من الكوارث بحيث تشمل الأنظمة التشغيلية فعلاً (3-1-1-3 و3-1-1-4)، ووضع تشغيل آمن مُعرَّف يعمل به المصنع بعد عطل ناتج عن حادث سيبراني (3-1-1-5)، وتمارين محاكاة مكتبية (3-1-1-6).

١٥. الفحص الأمني لكل من له وصول إلى الأنظمة التشغيلية — بمن فيهم المقاولون ومقاولو الباطن (1-7-1).

١٦. أدلة الأطراف الخارجية: تضمين متطلبات الأمن السيبراني في دورة الشراء (4-1-1-1)، ودورة حياة تطوير آمنة (SDLC) موثّقة من المقاولين والموردين الذين يبنون أي شيء يُنشر في بيئتك التشغيلية (4-1-1-3)، وتقييمات ومراجعات دورية لتلك الأطراف (4-1-1-4).

وإن أردت تفصيل الشق المتعلق بالسجلات والاستجابة للحوادث إلى مصادر سجلات ومنظومة تقنية وأدلة تشغيل، فدليلنا عن بناء مركز عمليات أمنية للامتثال للهيئة يفعل ذلك — وهو حريص بالقدر نفسه على التمييز بين ما تشترطه الهيئة وما هو مجرد ممارسة سائدة.

أشياء لا وجود لها

كل بند أدناه متداوَل في المحتوى المنشور عن ضوابط الأنظمة التشغيلية. وكلها غير صحيحة، وقد تحققنا من كل واحد منها في الوثيقة.

«شهادة OTCC». لا وجود لها. لا شهادة، ولا مُدققون معتمدون، ولا جهة تصديق. وكلمة «معتمد/certified» ترد مرة واحدة فقط في الوثيقة كلها — في الضابط 2-4-1-15، الذي يشترط أن تكون التحديثات معتمدة من المُصنّع. ويُثبَت الالتزام بالتقييم الذاتي والزيارة الميدانية من الهيئة. فإذا عرضت عليك شركة أن «تمنحك شهادة OTCC»، فهي تبيعك خدمة لا تعترف بها الهيئة. (أما شهادة CCC من أرامكو فهي شهادة حقيقية — لكنها جهة أخرى ومعيار آخر. انظر أدناه.)

إلزام بنموذج بيردو. صفر إشارة. المطلوب مناطق ونقاط اختناق ومنطقة DMZ ومضيف وسيط. وبيردو إحدى طرق تحقيقها.

اشتراط عزل تام أو صمام بيانات أو بوابة أحادية الاتجاه. صفر إشارة لأيٍّ منها. فالضابط 2-4-1-9 يشترط منع الاتصال المباشر بين الشركة والأنظمة التشغيلية وتوجيهه عبر مضيف وسيط محصّن في DMZ — وهذا مسار مُوسَّط، وهو صراحةً ليس عزلاً تاماً. ومن يستشهد بالوثيقة ليبيعك صمام بيانات يستشهد بوثيقة لا تذكر صمامات البيانات.

موعد نهائي أو فترة سماح. غير منصوص عليه في أي موضع. فالالتزام «دائم ومستمر» بموجب البند ٣ من المادة العاشرة من تنظيم الهيئة، والأمر السامي رقم ٥٧٢٣١ وتاريخ ١٤٣٩/١١/١٠هـ. ولا نافذة انتقالية منشورة، ولا تاريخ يحدث بعده شيء.

غرامات OTCC. لا جدول عقوبات، ولا مبالغ بالريال، ولا تعرفة إنفاذ في الوثيقة. فالتبعات تنبع من تنظيم الهيئة، لا من قائمة أسعار داخل الوثيقة.

جدول RTO/RPO خاص بالضوابط. هذا هو التوأم التشغيلي لاختلاق رأيناه يُنسب إلى ساما، فكن يقظاً له. يرد مصطلحا RTO وRPO مرة واحدة فقط في متن الضوابط — في 3-1-1-3، الذي يشترط أن تُضمَّن متطلبات الأمن السيبراني للأنظمة التشغيلية «في خطة استمرارية الأعمال (BCP)، وتحليل أثر الأعمال (BIA)، وأهداف وقت الاستعادة (RTO)، وأهداف نقطة الاستعادة (RPO)». هما مذكوران بوصفهما مفهومين يجب تضمينهما. ولا تنص الوثيقة على أي رقم لـ RTO أو RPO، ولا يوجد جدول لهما بحسب المستوى. فإن عُرض عليك جدول كهذا، فقد اخترعه أحدهم.

«الضوابط تنطبق على كل الشركات في السعودية». غير صحيح. تنطبق على أنظمة التحكم الصناعي في المرافق الحساسة للجهات الحكومية، وعلى مالكي ومشغّلي ومستضيفي البنى التحتية الوطنية الحساسة من القطاع الخاص. وما عداهم «مُشجَّع» لا مُلزَم.

«OTCC هي معيار أرامكو» / «OTCC تحل محل SACS-002». كلمتا «أرامكو» و«SACS» ترِدان صفر مرة في الوثيقة. وهما وثيقتان لا صلة بينهما من جهتين مختلفتين. انظر الفقرة التالية.

«الضوابط تغطي الحوسبة السحابية». كلمة «سحابة» ترد صفر مرة في الوثيقة. ووثيقة الهيئة الخاصة بالسحابة هي الضوابط الأساسية للأمن السيبراني للحوسبة السحابية (CCC). وثيقة أخرى تماماً.

«الضابطان 2-10 و2-11 في الضوابط الأساسية يغطيان السجلات والحوادث». غير صحيح في المعيارين معاً. ففي الضوابط الأساسية، 2-10 إدارة الثغرات و2-11 اختبار الاختراق؛ والسجلات 2-12 والحوادث 2-13. وفي ضوابط الأنظمة التشغيلية، 2-9 إدارة الثغرات و2-10 اختبار الاختراق؛ والسجلات 2-11 والحوادث 2-12. وهذا الخطأ بالذات متوطّن.

«OTCC-2» أو تحديث صدر في ٢٠٢٤. الوثيقة المنشورة على nca.gov.sa حتى تاريخه هي OTCC-1:2022. وتحتفظ الهيئة بحق تحديثها وتنص على ذلك — فنزّلها دائماً من المصدر ولا تثق بنسخة محفوظة.

«شهادة الأيزو 27001 تكفي للالتزام». الأيزو 27001 غير مذكورة في الوثيقة، ولا تُغني أي شهادة عن الضوابط. وكذلك شهادة IEC 62443 — فالملحق يُطابق 62443 لتتمكن من إعادة استخدام الأدلة، لا لتتخطى الضوابط.

ضوابط الأنظمة التشغيلية مقابل SACS-002، والشيئان المختلفان المسميان «CCC»

هذا الالتباس يُكلّف موردي المنطقة الشرقية أموالاً حقيقية، فلنكن صريحين.

OTCC-1:2022 (الهيئة) SACS-002 (أرامكو)
الجهة المُصدِرة الهيئة الوطنية للأمن السيبراني (منظّم حكومي) أرامكو السعودية (شركة)
ما هي إطار ضوابط للأنظمة التشغيلية في المرافق الحساسة معيار أمن سيبراني للأطراف الثالثة لموردي أرامكو
من تُلزم الجهات الحكومية + مالكي/مشغّلي/مستضيفي البنى التحتية الوطنية الحساسة الشركات التي تريد التعامل مع أرامكو
مصدر الإلزام تنظيمي — الأمر السامي ٥٧٢٣١، المادة ١٠(٣) تعاقدي — شروط الشراء لدى أرامكو
النتيجة تقييم ذاتي / زيارة ميدانية من الهيئة. لا شهادة. شهادة CCC حقيقية من مكتب تدقيق معتمد من أرامكو
هل تذكر الأخرى؟ صفر إشارة لأرامكو أو SACS

وهما ليستا بديلتين، ولا تُلغي إحداهما الأخرى. فمقاول أرامكو الذي يُشغّل مرفقاً حساساً في المملكة قد يخضع للاثنتين معاً، لسببين مختلفين، ويستوفيهما بأدلة متداخلة لكن غير متطابقة. ودليلنا المبني على المصدر لجانب أرامكو هنا: معيار أرامكو SACS-002: ما تطلبه أرامكو فعلاً من المقاولين.

ثم يأتي «CCC»، وهو يعني شيئين لا صلة بينهما البتة بحسب قائله:

  • CCC لدى الهيئة = الضوابط الأساسية للأمن السيبراني للحوسبة السحابية (CCC-1:2020). إطار ضوابط، وامتداد للضوابط الأساسية، وخاص بالسحابة. ولا علاقة له بالأنظمة التشغيلية. أنت تلتزم به.
  • CCC لدى أرامكو = شهادة الالتزام بالأمن السيبراني (Cybersecurity Compliance Certificate). شهادة يُصدرها مكتب تدقيق معتمد من أرامكو، تُثبت استيفاءك لـ SACS-002. أنت تحصل عليها.

الأول إطار من المنظّم الوطني. والثاني شهادة مورّد من شركة نفط. فإذا طلب منك موظف المشتريات «الـ CCC»، فاعرف أيهما يقصد قبل أن تُنفق ريالاً واحداً. والمحتوى المنشور عن الامتثال يخلط بينهما باستمرار — وهذا الخلط هو ما يجعلك تستشهد بضابط سحابي من الهيئة داخل ملف تأهيل مورّد لدى أرامكو.

أين يقع مزوّد تقنية المعلومات — وأين لا يقع

وهنا نكون صريحين ضد مصلحتنا التجارية، لأن إغراء المبالغة في هذا الموضوع هائل، والوثيقة لا تدعمها.

لا تستطيع أي شركة تقنية معلومات أن تجعلك ملتزماً بضوابط الأنظمة التشغيلية. فالوثيقة تُلزم الجهة التي تملك أو تُشغّل نظام التحكم الصناعي. وهي لا تعتمد موردين، ولا تعترف بشهادات الموردين، ولا وجود لشيء اسمه «مورّد ملتزم بـ OTCC». فالضوابط التي ستحسم تقييمك — عزل شبكة المصنع (2-4)، وفصل هويات الأنظمة التشغيلية عن تقنية المعلومات (2-2-1-1)، وسجل الأصول الآلي (2-1-1-2)، ومحطات العمل الهندسية المحصّنة (2-3-1-7)، وأوضاع وحدات أنظمة السلامة (2-3-1-5)، ووضع التشغيل الآمن (3-1-1-5) — كلها عمل هندسي داخل مصنعك، ينفّذه من يفهم عمليتك الصناعية. ومن يخبرك أن منتجاً أو باقة استضافة تُعفيك منها يخبرك بما لا تدعمه الوثيقة.

أما ما يستطيع شريك تقني أن يفعله بصدق فهو الجانب التقني من حدود تقنية المعلومات/التشغيلية، وهو حيث يقع قدر مفاجئ من عبء الأدلة فعلاً:

  • منطقة الشركة والـ DMZ. الضوابط 2-4-1-9 و2-4-1-11 و2-4-1-12 و2-4-1-13 هي عملياً هندسة شبكات مؤسسية: المضيف الوسيط، والوسطاء، والبوابات المخصصة، والـ DMZ نفسها. وهذا عمل بنية تحتية اعتيادي — وإن كان صعباً.
  • فصل الهويات (2-2-1-1). إخراج المصنع من الدليل النشط المؤسسي مشروع تقني، وهو من أكثر الضوابط رسوباً.
  • السجلات والمراقبة (2-11). جمع السجلات وحفظها وضبط نظام إدارة الأحداث والتنبيه على الأجهزة الجديدة قدرات تقنية تُوجَّه إلى مصادر بيانات تشغيلية. ودليل مركز العمليات الأمنية يشرح شكل هذا.
  • نسخ احتياطية تشمل الملفات الهندسية (2-8-1-2). مركزية، وغير متصلة، وتغطي إعدادات PLC/DCS — لا قاعدة بيانات المُؤرشِف وحدها.
  • التوثيق (2-4-1-16) وسجل الاستثناءات (1-3-1-6 و1-3-1-7). غير براقة، وحاسمة، وأرخص المخالفات تجنّباً.

سكاي لاين شركة تقنية معلومات مقرها الدمام، المنطقة الشرقية — أي في قلب قاعدة العملاء التي كُتب هذا المعيار لأجلها. وسكاي لاين كلاود هي منصتنا المُدارة للاستضافة، بنطاق داخل المملكة — الدمام، مدعوماً بـ Google Cloud — بفوترة بالريال، ودعم بالعربية، وفصل بيئات لكل حساب، ونسخ احتياطي يومي، وشهادات SSL مجانية تتجدد تلقائياً، ونطاقات DNS تتحكم بها بنفسك، واتفاقية مستوى خدمة بتوافر ٩٩٫٩٪. وتبدأ الباقات من ٤٩ ريالاً شهرياً (المشتركة) إلى ١٩٩ ريالاً شهرياً (السحابية — ٤ غيغابايت ذاكرة، و١٠٠ غيغابايت NVMe، وتوسّع تلقائي، وتوافر عالٍ، وشبكة توصيل محتوى عالمية). ويمكنك بدء تجربة مجانية ١٤ يوماً دون بطاقة ائتمانية.

وسنصفها بهذه الألفاظ ولا نزيد. منصة الاستضافة ليست ضابطاً تشغيلياً، ولا شيء مما سبق وارد في وثيقة الضوابط. فإن كانت مشكلتك هي المكون الفرعي 2-4، فما تحتاجه مهندس شبكات وزيارة موقع، لا خادماً. ونحن نُفضّل أن نقول لك هذا على أن نبيعك باقة لا تُجيب سؤالك.

أول تسعين يوماً بواقعية

إن كنت تبدأ من الصفر، فهذا هو الترتيب الذي كنا سنعمل به — لأن قرارات تحديد النطاق هي ما لا يمكن التراجع عنه لاحقاً، والمخالفات الرخيصة هي أكثرها إيلاماً.

١. اقرأ الـ PDF نفسه. الوثيقة عامة، ومتن الضوابط نحو عشرين صفحة. ستُنهيها في بعد ظهر واحد وتُحاجّ بها أكثر الاستشاريين.

٢. حدد مستوى مرفقك بأداة تحديد مستوى المرفق (1-3-1-4). لا يمكن تحديد نطاق أي شيء لاحق قبل هذا، ومرفق من المستوى الثالث يُخطط للمستوى الأول سيُهدر مالاً كثيراً.

٣. تأكد أنك في النطاق أصلاً. نظام تحكم صناعي حكومي في مرفق حساس، أو بنية تحتية وطنية حساسة خاصة. وإن لم تكن أياً منهما، فأنت «مُشجَّع»، وقد يكون التزامك تعاقدياً لا تنظيمياً — وهذا يُغيّر من تُجيب.

٤. نفّذ الضوابط الأساسية أولاً أو بالتوازي. فهي شرط أساسي (ص ١١). وبرنامج ضوابط تشغيلية مبني على أساس غير موجود لا يُحقق التزاماً بضوابط الأنظمة التشغيلية.

٥. ابنِ سجل الأصول الآلي (2-1-1-1 إلى 2-1-1-5). لا يمكنك عزل أو تحديث أو نسخ أو مراقبة ما لم تُحصِه — و«الآلي» واردة في النص.

٦. ارسم مخطط الشبكة الحقيقي (2-4-1-16). لا الذي على الجدار. بل الحقيقي، بمسارات الآلة بالآلة التي لم يضعها أحد على الجدار. وتوقّع أن يكون هذا مزعجاً.

٧. أغلق المسارات المباشرة بين الشركة والأنظمة التشغيلية (2-4-1-9 و2-4-1-11). مضيف وسيط في DMZ، ووسطاء لاتصالات الآلة بالآلة. هذا هو البند الهندسي الكبير ويستحق معظم الميزانية.

٨. افصل هويات الأنظمة التشغيلية عن تقنية المعلومات (2-2-1-1) وأزل كلمات المرور الافتراضية (2-2-1-3).

٩. افتح سجل الاستثناءات (1-3-1-6 و1-3-1-7) من اليوم الأول، وضع فيه كل ضابط لا تستطيع تطبيقه بأمان، بمبرره واعتماده وضوابطه التعويضية. فالاستثناء الموثّق مُلتزِم. والفجوة الصامتة مخالفة.

١٠. فعّل السجلات على أصول الأنظمة التشغيلية (2-11-1-1) واجعل جلسات الوصول عن بُعد مُراقَبة ومُسجَّلة (2-2-1-7 و2-11-1-6).

١١. أصلح النسخ الاحتياطي ليشمل الملفات الهندسية وملفات الإعدادات، وغير متصل (2-8-1-1 و2-8-1-2).

١٢. جدوِل المراجعات (1-6-1 سنوياً، و1-6-2 مستقلة كل ثلاث سنوات) قبل أن تُجدولها الهيئة عنك.

الأسئلة الشائعة

كم عدد ضوابط الأنظمة التشغيلية؟

٤٧ ضابطاً أساسياً و١٢٢ ضابطاً فرعياً، موزعة على ٤ مكونات أساسية و٢٣ مكوناً فرعياً (OTCC-1:2022، المقدمة، ص ٩). وقد تحققنا من ذلك بثلاث طرق: الرقم الذي ذكرته الهيئة، وعدّ أرقام الضوابط في الـ PDF، وتحليل أداة التقييم الصادرة عن الهيئة. والنتائج الثلاث متطابقة.

هل ضوابط الأنظمة التشغيلية معيار مستقل؟

لا. هي امتداد للضوابط الأساسية للأمن السيبراني، و«الالتزام بالضوابط الأساسية (ECC-1:2018) شرط أساسي للجهة» (ص ١١). تُنفّذ الضوابط الأساسية أولاً، ثم تبني عليها.

هل تنطبق على مصنعي؟

فقط إذا كان نظام التحكم الصناعي لديك في مرفق حساس تملكه أو تُشغّله جهة حكومية، أو إذا كنت جهة من القطاع الخاص تملك أو تُشغّل أو تستضيف بنية تحتية وطنية حساسة. وما عدا ذلك، تُشجع الهيئة على التبني ولا تُلزم به. ومع ذلك يُجرّ كثير من الموردين إلى الضوابط تعاقدياً عبر عملاء داخل النطاق.

هل توجد شهادة OTCC؟

لا. لا توجد شهادة ولا نظام مدققين معتمدين. ويُقاس الالتزام بالتقييم الذاتي و/أو الزيارة الميدانية من الهيئة أو طرف ثالث تُحدده (ص ١١). وكلمة «معتمد» ترد مرة واحدة في الوثيقة كلها، وتخص التحديثات المعتمدة من المُصنّع. أما شهادة CCC من أرامكو فهي شهادة حقيقية، لكنها معيار آخر من جهة أخرى.

هل تُلزم الضوابط بنموذج بيردو؟

لا. كلمة «Purdue» ترد صفر مرة في الوثيقة. المطلوب هو العزل إلى مناطق، ونقاط اختناق، ومنطقة DMZ، ومضيف وسيط محصّن، ووساطة لاتصالات الآلة بالآلة، وعزل أنظمة السلامة (المكون 2-4). ومعمارية بيردو تستوفي ذلك بارتياح، لكنها وسيلة للالتزام لا المتطلب نفسه.

هل تشترط الضوابط عزلاً تاماً أو صمام بيانات؟

لا. لا يرد أي من المصطلحين. فالضابط 2-4-1-9 يشترط منع الاتصال المباشر بين الشركة والأنظمة التشغيلية وتوجيهه عبر مضيف وسيط محصّن في DMZ — وهذا اتصال مُوسَّط، وهو نقيض العزل التام.

كم مرة يجب أن أختبر اختراق نظام التحكم لدي؟

يُحدده الضابط 2-10-1-3 بحسب مستوى المرفق: كل ٣ أشهر في المستوى الأول، و٦ أشهر في الثاني، و١٢ شهراً في الثالث. والدورية نفسها تنطبق على تقييم الثغرات بموجب 2-9-1-3. ويجب أن يكون الاختبار بأثر محدود أو معدوم على الإنتاج، أو على بيئة منفصلة مطابقة (2-10-1-2)، مع تحديد بدائل خاملة حيث قد يُخل الاختبار النشط بالتشغيل (2-10-1-4).

ما الموعد النهائي للالتزام؟

لا تنص الوثيقة على أي موعد. بل تشترط التزاماً دائماً ومستمراً بموجب البند ٣ من المادة العاشرة من تنظيم الهيئة، والأمر السامي رقم ٥٧٢٣١ وتاريخ ١٤٣٩/١١/١٠هـ. ولا توجد فترة سماح أو نافذة انتقالية منشورة في الوثيقة.

هل تُحدد الضوابط أهداف RTO وRPO؟

لا. يرد المصطلحان مرة واحدة، في 3-1-1-3، بوصفهما أموراً يجب أن تُضمَّن في خطة استمرارية الأعمال وتحليل أثر الأعمال. ولا تنص الوثيقة على أي رقم لـ RTO أو RPO، ولا تحتوي على جدول لهما بحسب المستوى. وأي جدول كهذا يُعرض عليك مُختلَق.

ماذا حدث للمكون الخامس من الضوابط الأساسية؟

كان لدى ECC-1:2018 مكون أساسي خامس يغطي الأمن السيبراني لأنظمة التحكم الصناعي. وحذفته ECC-2:2024 ونقلت ضوابطه إلى ضوابط الأنظمة التشغيلية. ويحتوي ملحق المنهجية والمواءمة على الجدول ١، «العلاقة بين OTCC والمكون الخامس من ECC»، الذي يُطابق كل ضابط قديم بخلفائه.

هل ضوابط الأنظمة التشغيلية هي نفسها معيار أرامكو SACS-002؟

لا، ولا علاقة رسمية بينهما. ضوابط الأنظمة التشغيلية إطار تنظيمي من الهيئة يُلزم مشغّلي المرافق الحساسة. وSACS-002 معيار تعاقدي من أرامكو السعودية يُلزم موردّيها. وكلمتا «أرامكو» و«SACS» ترِدان صفر مرة في وثيقة الضوابط. وقد يخضع مقاول يُشغّل مرفقاً حساساً للاثنين معاً. انظر دليل SACS-002.

أي نسخة هي المُلزِمة؟

العربية. تنص صفحة غلاف الوثيقة على أن «النسخة العربية هي النسخة المُلزِمة في جميع ما يتعلق بمعنى أو تفسير هذه الوثيقة». والنسخة الإنجليزية ترجمة، وفيها خطأ واحد على الأقل في العناوين (المكون الفرعي 1-8). فحاجِج من النص العربي.


المصادر

كل رقم ضابط وكل إحصائية وكل اقتباس في هذه الصفحة مأخوذ من هذه الوثائق مباشرة. وهي منشورة من الهيئة الوطنية للأمن السيبراني بتصنيف: عام / إشارة المشاركة: أبيض، وهي — لا هذه الصفحة — المرجع.

كما تنشر الهيئة دليل تطبيق ضوابط الأمن السيبراني للأنظمة التشغيلية (GOTCC-1:2023). وقد حصلنا عليه، لكن متنه منشور على هيئة صور لا نص قابل للقراءة آلياً، ولذلك لم نقتبس منه شيئاً ولا يستند أي جزء من هذا المقال إليه.

آخر تحقق من وثائق الهيئة المنشورة: يوليو ٢٠٢٦. المعايير تتغير. والنسخة المنشورة على nca.gov.sa هي المرجع دائماً — وإن اختلفت هذه الصفحة مع الـ PDF، فالـ PDF هو الصواب، ونودّ أن نعرف.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship NCA Frameworks for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.