هناك طريقتان لبناء مركز عمليات أمنية (SOC) في السعودية.
الأولى: أن تشتري نظام SIEM، وتوظّف من تجده متاحاً، وتضع لوحة مؤشرات على الجدار، ثم تأمل أن تتمكن من الكلام بسرعة كافية حين يصل مدقق الهيئة. والثانية: أن تعمل رجوعاً من نصّ الضوابط ذاته — وهو نصٌّ يتبيّن أنه يقول أقلّ بكثير مما يدّعيه قطاع مراكز العمليات الأمنية، وأدقّ بكثير في الموضعين اليتيمين اللذين يلتزم فيهما برقم.
هذا الدليل يسلك الطريق الثاني. كل ادعاء تنظيمي أدناه مقتبس من وثائق الهيئة الوطنية للأمن السيبراني المنشورة، ومعه رقم الضابط لتتحقق منّا. ولأن نمط الفشل في هذا المجال هو اختراع متطلبات تبدو رسمية، فقد أضفنا قسماً غير معتاد: قسمٌ يُعدّد صراحةً كل ما لا تشترطه الهيئة — نماذج المناوبات، ومستويات الخدمة، وأزمنة الاستجابة التي ينسبها المورّدون روتينياً إلى المنظّم، والتي لا وجود لها في أي وثيقة من وثائقه.
ملاحظة منهجية: النسخة المتاحة لنا من ECC-2:2024 عند إعداد هذا الدليل هي النسخة الإنجليزية الرسمية المنشورة على موقع الهيئة، والاقتباسات مُعرَّبة عنها بعناية. وتنصّ الوثيقة على أن النسخة العربية هي الملزِمة عند الاختلاف في التفسير — فارجع إليها على nca.gov.sa عند بناء أي التزام تعاقدي.
ابدأ من هنا: الضابطان اللذان يوجد مركزك من أجلهما
كل ما يفعله مركز العمليات الأمنية تقريباً ينتمي إلى مكوّنين فرعيين في ECC، وهما ليسا المكوّنين اللذين ستراهما في أغلب دعايات مراكز العمليات في السوق السعودي:
ECC 2-12 — إدارة سجلات الأحداث ومراقبة الأمن السيبراني الهدف: «ضمان جمع سجلات أحداث الأمن السيبراني وتحليلها ومراقبتها في الوقت المناسب؛ للكشف الاستباقي عن الهجمات السيبرانية وإدارتها بفعالية، لمنع أو تقليل الأثر السلبي على أعمال الجهة».
ECC 2-13 — إدارة حوادث وتهديدات الأمن السيبراني الهدف: «ضمان التعرّف على حوادث الأمن السيبراني واكتشافها وإدارتها بفعالية وفي الوقت المناسب، والاستجابة الاستباقية للتهديدات...» — وقد صدر هذا الضابط عملاً بـالأمر السامي رقم 37140 وتاريخ 14/08/1438هـ.
والاقتباسان من ECC-2:2024، الصفحتان 25-26.
اكتب هذين الرقمين على السبورة: 2-12 و2-13. ففي ECC — وفي كلتا النسختين ECC-1:2018 وECC-2:2024 — 2-10 هي إدارة الثغرات، و2-11 هي اختبار الاختراق. ولا علاقة لهما بمركز عملياتك الأمنية. وكمٌّ محبِط من المحتوى الموجَّه للسوق السعودي يستشهد بـ2-10 و2-11 لتسجيل الأحداث والاستجابة للحوادث. وهذا خطأ، وكان دائماً خطأ، وسيلاحظه المدقق.
ماذا يشترط الضابط 2-12، ضابطاً فرعياً بضابط فرعي
ينصّ الضابط 2-12-3 على أن تشمل المتطلبات، «كحدٍّ أدنى»، ما يلي:
| الضابط الفرعي | المتطلب (مقتبساً) | أثره على البناء |
|---|---|---|
| 2-12-3-1 | «تفعيل سجلات أحداث الأمن السيبراني على الأصول المعلوماتية الحساسة». | نطاق التسجيل محكوم بسجل الأصول لديك (2-1). فلا سجل أصول، ولا نطاق قابل للدفاع عنه. |
| 2-12-3-2 | «تفعيل سجلات أحداث الأمن السيبراني على الحسابات الحساسة وحسابات الصلاحيات الهامة، وكذلك أحداث الدخول عن بُعد». | تسجيل الحسابات ذات الصلاحيات والدخول عن بُعد منصوصٌ عليه صراحةً. وهما أول ما يطلبه المدقق. |
| 2-12-3-3 | «تحديد تقنيات إدارة سجلات الأحداث ومراقبة الأمن السيبراني (SIEM) اللازمة لجمع السجلات». | نظام SIEM مذكور في المعيار باسمه. تحتاج إليه — لكن الهيئة لا تسمّي منتجاً. |
| 2-12-3-4 | «المراقبة المستمرة لسجلات أحداث الأمن السيبراني». | «مستمرة». وانتبه: هذا ليس مرادفاً لـ«مأهولة على مدار الساعة». راجع قسم المناوبات أدناه. |
| 2-12-3-5 | «مدة الاحتفاظ بسجلات أحداث الأمن السيبراني (12 شهراً على الأقل)». | أصعب رقم في ECC كلها. صمّم سعة التخزين على أساسه من اليوم الأول. |
ثم الأطراف المؤطِّرة: 2-12-1 (تحديد المتطلبات وتوثيقها واعتمادها)، و2-12-2 (تطبيقها)، و2-12-4 (مراجعتها دورياً). وهذا النمط — حدِّد، طبِّق، راجِع — يتكرر عبر ECC كلها، وهو الموضع الذي تسقط فيه معظم الجهات فعلياً: إذ تبني القدرة التقنية ولا توثّق المتطلب، فلا يبقى شيءٌ يقيس المدققُ التطبيقَ عليه.
ماذا يشترط الضابط 2-13
ينصّ الضابط 2-13-3، «كحدٍّ أدنى» كذلك، على:
- 2-13-3-1 — «خطط الاستجابة لحوادث الأمن السيبراني وإجراءات التصعيد».
- 2-13-3-2 — «تصنيف حوادث الأمن السيبراني».
- 2-13-3-3 — «إبلاغ الهيئة الوطنية للأمن السيبراني بحوادث الأمن السيبراني».
- 2-13-3-4 — «مشاركة الهيئة إشعارات الحوادث، والمعلومات الاستخباراتية للتهديدات، ومؤشرات الاختراق، وتقارير الحوادث».
- 2-13-3-5 — «جمع ومعالجة موجزات المعلومات الاستخباراتية للتهديدات».
ويترتب على ذلك ثلاثة أمور تنفعك أكثر من عرضٍ تقديميّ آخر لنظام SIEM.
أولاً: الإبلاغ للهيئة ضابطٌ ملزم، وبلا موعد نهائي. فالضابط 2-13-3-3 يوجب «إبلاغ الهيئة بحوادث الأمن السيبراني» دون أي إطار زمني: لا أربع ساعات، ولا 24، ولا 72. راجعنا الوثيقة كاملة. فإن قيل لك إن «الهيئة تشترط الإبلاغ خلال كذا ساعة»، فاطلب رقم الضابط. لا وجود له في ECC.
وهذا الصمت ليس إذناً بالتباطؤ. بل يعني أن عليك أنت أن تحدّد الإطار الزمني في خطة الاستجابة للحوادث، وأن تدافع عنه أمام تقييم المخاطر الخاص بك. وسيسأل المدقق عن عتبات التصعيد لديك وهل التزمت بها. و«المعيار لم يحدّد» ليست إجابة؛ أما «خطتنا تنصّ على إبلاغ الهيئة بالحوادث من الدرجة الأولى خلال كذا، وهذه الخطة، وهذه آخر ثلاث حوادث بتوقيتاتها» — فهي إجابة.
ثانياً: تصنيف الحوادث (2-13-3-2) ضابطٌ قائم بذاته. ليس تحسيناً اختيارياً. فمصفوفة درجات الخطورة لديك مستندٌ خاضع للتدقيق.
ثالثاً: المعلومات الاستخباراتية تسير في اتجاهين. فالضابط 2-13-3-4 يوجب المشاركة مع الهيئة — إشعارات، ومعلومات تهديدات، ومؤشرات اختراق، وتقارير حوادث. فابنِ المسار الصادر عمداً وبتخطيط، ولا تكتشفه أثناء أول حادثة حقيقية.
سؤال «على مدار الساعة»، مُجاباً كما ينبغي
هذا أغلى سؤال في تصميم مراكز العمليات الأمنية، لأن التوظيف هو معظم التكلفة. فلنكن دقيقين في تحديد مَن يشترط ماذا.
ECC لا تستخدم عبارة «على مدار الساعة» إطلاقاً. بل تشترط «المراقبة المستمرة لسجلات أحداث الأمن السيبراني» (2-12-3-4). والمراقبة المستمرة للسجلات خاصيةٌ من خصائص خط الأنابيب التقني — الجمع والربط والتنبيه — وليست بالضرورة خاصية جدول مناوبات بشري.
أما CSCC فتستخدمها. فـضوابط الأمن السيبراني للأنظمة الحساسة CSCC-1:2019 تنصّ في الضابط 2-11-1-4 على:
«مراقبة الأحداث الأمنية للأنظمة الحساسة على مدار الساعة».
هذا هو مصدر متطلب الـ24/7، نصّاً. وثلاثة قيود عليه تُغيّر ميزانيتك جذرياً:
- هو في CSCC، لا في ECC. ويُلزمك إن كنت تملك أو تشغّل أنظمة حساسة وفق تعريف CSCC. أما إن كنت خاضعاً لـ ECC وحدها، فنصّها هو «المراقبة المستمرة»، وهي لا تحدد ساعات تشغيل.
- انتبه لترقيم CSCC. فـ«سجلات الأحداث والمراقبة» هي CSCC 2-11، وهي ليست ECC 2-11 (اختبار الاختراق). فـ CSCC تُعيد الترقيم من الصفر ولا ترث أرقام ECC. بل إن الضابط CSCC 2-11-1 يفتتح نصّه بعبارة «بالإضافة إلى الضوابط الفرعية في الضابط 2-12-3 من ECC» — فالمعيار نفسه يدلّك على الربط، إن قرأته.
- المعيار يقول «على مدار الساعة». ولا يقول كيف. فهو لا يفرض نموذج مناوبات، ولا عدد موظفين، ولا «مناوبتين مع مناوبة طوارئ»، ولا نظام «تتبّع الشمس». تلك قرارات هندسية تتخذها أنت وتبرّرها. وأي مورّد يقول إن الهيئة تفرض جدولاً بعينه فهو يخترعه.
كما ترفع CSCC سقف مدة الاحتفاظ، بتجاوزٍ صريح لرقم ECC:
CSCC 2-11-2 — «بالإشارة إلى الضابط الفرعي 2-12-3-5 من ECC، يجب أن تكون مدة الاحتفاظ بسجلات أحداث الأنظمة الحساسة 18 شهراً كحدٍّ أدنى، بما يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة».
إذن، الرقمان الحقيقيان الوحيدان في تصميم مراكز العمليات السعودية هما:
| النطاق | مدة الاحتفاظ بالسجلات | المصدر |
|---|---|---|
| الجهات الخاضعة لـ ECC | 12 شهراً فأكثر | ECC-2:2024، الضابط 2-12-3-5 |
| الأنظمة الحساسة | 18 شهراً فأكثر | CSCC-1:2019، الضابط 2-11-2 |
فاحسب سعة تخزينك على أساس 18 شهراً إن كان أي نظام مشمول نظاماً حساساً. أما تعديل مدة الاحتفاظ لاحقاً فيعني إمّا دفع تكلفة استرجاع من التخزين البارد، وإمّا شرح سبب اختفاء السجلات أمام المدقق.
متطلبات CSCC الإضافية لمركز العمليات
إن كانت الأنظمة الحساسة ضمن نطاقك، يضيف CSCC 2-11-1 ما يلي فوق ECC 2-12-3:
- 2-11-1-1 — «تفعيل سجلات أحداث الأمن السيبراني على جميع المكوّنات التقنية للأنظمة الحساسة». (جميعها. لا المهم منها فقط.)
- 2-11-1-2 — «تفعيل ومراقبة التنبيهات وسجلات الأحداث المتعلقة بـإدارة سلامة الملفات». (مراقبة سلامة الملفات مذكورة بالاسم. خصّص لها ميزانية.)
- 2-11-1-3 — «مراقبة وتحليل سلوك المستخدمين». (بما يشبه تحليلات UEBA، وإن لم يُسمَّ منتج.)
- 2-11-1-4 — «مراقبة الأحداث الأمنية للأنظمة الحساسة على مدار الساعة».
- 2-11-1-5 — «حفظ وحماية سجلات الأحداث الأمنية للأنظمة الحساسة. ويجب أن يتضمن السجل كافة التفاصيل (مثل الوقت والتاريخ والمعرّف والنظام المتأثر)». (سلامة السجلات نفسها — يجب حمايتها من العبث.)
كل ما لا تشترطه الهيئة
نُدرج هذا صراحةً لأن هذه الاختراعات منتشرة، ولأن برنامج امتثال مبنيّ على متطلبٍ موهوم هو برنامجٌ لا تستطيع الدفاع عنه.
بعد قراءة ECC وCSCC وCCC كاملةً، فإن الهيئة لا تنشر، في أي موضع:
- لا هدف لزمن الاكتشاف (MTTD). لا وجود لأي رقم. لا 15 دقيقة ولا غيرها.
- لا هدف لزمن الاستجابة أو التعافي (MTTR).
- لا موعد نهائي للإبلاغ عن الحوادث. فالضابط 2-13-3-3 يوجب الإبلاغ للهيئة، ولا يضبط له ساعة.
- لا نموذج مناوبات. فعبارة «على مدار الساعة» (CSCC 2-11-1-4) نتيجةٌ مطلوبة. ولا تقول الهيئة قط «مناوبتان» أو «ثلاث مناوبات» أو «تتبّع الشمس».
- لا عدد موظفين، ولا نسبة محلّلين إلى تنبيهات، ولا هيكل مستويات. فتقسيم Tier 1 / 2 / 3 مصطلحٌ قطاعي، لا مصطلحٌ للهيئة.
- لا منتجات مُسمّاة. فـ SIEM مطلوب كـتقنية (2-12-3-3)، ولا يُعتمد أي مورّد.
- لا وتيرة لاختبار الاختراق. فالضابط 2-11-3-2 يقول «إجراء اختبارات الاختراق بشكل دوري». ولا يقول كم مرة.
- لا وتيرة للتدقيق. فالمكوّن 1-8 هو «المراجعة والتدقيق الدوري»، و«دوري» غير مُعرَّفة.
- لا مستوى خدمة لفرز التنبيهات، ولا سقف للإيجابيات الكاذبة، ولا نسبة تغطية.
بل إن في متن ضوابط ECC-2:2024 بالكامل مطلباً زمنياً رقمياً صريحاً واحداً فقط: مدة الاحتفاظ بالسجلات 12 شهراً في 2-12-3-5. وكل وتيرة أخرى في الضوابط الأساسية الـ108 هي كلمة «دورياً». فالهيئة تضع متطلبات، لا مستويات خدمة. وهذا خيار تصميمي مقصود، وفهمه هو الفارق بين برنامجٍ قابل للدفاع عنه وبرنامجٍ باهظ.
فهل تضع مؤشرات أداء إذن؟ نعم — لكن سمِّها بأسمائها. الأهداف أدناه ممارسةٌ قطاعية ورأيٌ تشغيلي لنا. وهي ليست متطلبات من الهيئة، ولا ترد في أي وثيقة لها. استخدمها لإدارة مركزك، ولا تعرضها على مدقق وكأن المنظّم طلبها.
| المؤشر | هدف ابتدائي معقول | التصنيف |
|---|---|---|
| زمن فرز تنبيه من الدرجة الأولى | دقائق، لا ساعات | ممارسة قطاعية — ليست متطلباً للهيئة |
| زمن احتواء حادثة مؤكدة من الدرجة الأولى | خلال يوم العمل نفسه | ممارسة قطاعية — ليست متطلباً للهيئة |
| تغطية مصادر السجلات مقابل سجل الأصول | أكثر من 95% من الأصول الحساسة | ممارسة قطاعية — ليست متطلباً للهيئة |
| التنبيهات المغلقة دون سبب موثّق | قريباً من الصفر | ممارسة قطاعية — ليست متطلباً للهيئة |
| قواعد الكشف المرتبطة بإطار MITRE ATT&CK | مُتتبَّعة ومتنامية | ممارسة قطاعية — والهيئة لا تذكر MITRE |
أما ما ستختبره الهيئة فعلاً فهو: هل حدّدت متطلباتك (2-12-1)، وهل طبّقتها (2-12-2)، وهل تراجعها دورياً (2-12-4) — وهل تتطابق أدلتك مع مستنداتك.
ضابط التوظيف الذي يكتشفه الجميع متأخراً
قبل أن تضع نموذج المناوبات، اقرأ الضابط 1-2-2 من ECC-2:2024، فقد تغيّر في تحديث 2024، وهو يحكم مَن يجلس في مركز عملياتك:
1-2-2 — «يجب إشغال جميع وظائف الأمن السيبراني بمختصين سعوديين متفرغين ومؤهلين في الأمن السيبراني».
في ECC-1:2018 كان هذا ينطبق على رئيس وظيفة الأمن السيبراني و«المناصب الإشرافية والحساسة المرتبطة». ووسّعته ECC-2:2024 ليشمل جميع وظائف الأمن السيبراني (الملحق ج، مُصنّفاً كـ«تعزيز للأمن السيبراني»).
اقرأ هذا مع «على مدار الساعة»، وستظهر النتيجة فوراً: جدول مناوبات 24/7 للأنظمة الحساسة هو جدولٌ متفرغ ومؤهل وسعودي. وهذا برنامج توظيف زمنه بالأرباع السنوية، لا قرار شراء. وهو السبب الأكبر في تأخر الجهات السعودية عن جداول بناء مراكز العمليات — وهو أيضاً أقوى حجة لصالح النموذج الهجين: أن تحتفظ بالوظيفة المسؤولة داخلياً، وتستعين بشريك مُدار للعمق ولاستيعاب الذروة، بدل أن تتوهّم أنك ستوظّف ثلاث مناوبات في ربع سنة.
ويقيّد الهيكل التنظيمي ضابطان آخران:
- ECC 1-2-1 — يجب أن تكون إدارة الأمن السيبراني «مستقلة عن إدارة تقنية المعلومات والاتصالات» (عملاً بالأمر السامي رقم 37140 وتاريخ 14/08/1438هـ)، ويُفضَّل أن ترفع تقاريرها لرئيس الجهة. ومركز عمليات تابع لمدير تقنية المعلومات ملاحظةٌ هيكلية لا يمكن تجاوزها هندسياً.
- ECC 1-8-2 — يجب أن يُراجَع تطبيق الضوابط ويُدقَّق «من جهاتٍ غير إدارة الأمن السيبراني»، وباستقلالية. فمن يبني المركز لا يمكن أن يكون هو من يعتمده.
ولمعالجة الإطار نفسه بتوسّع، راجع دليلنا المرافق: الدليل الشامل للضوابط الأساسية ECC.
والآن الهندسة: مصادر السجلات أولاً، والأدوات ثانياً
الضوابط تخبرك بماذا يجب تسجيله. وهذا هو الترتيب العملي لإدخال المصادر — مدفوعاً مباشرةً بالضابطين 2-12-3-1 (الأصول الحساسة) و2-12-3-2 (الحسابات ذات الصلاحيات والدخول عن بُعد)، وهما من حيث يبدأ المدقق.
| الأولوية | مصدر السجل | الضابط الموجِب | لماذا هو أولاً |
|---|---|---|---|
| 1 | مزوّد الهوية / الدليل النشط — نجاح وفشل الدخول وتغيّر الصلاحيات | 2-12-3-2 | نشاط الحسابات ذات الصلاحيات منصوصٌ عليه صراحةً. وكل اختراق حقيقي تقريباً يظهر هنا. |
| 2 | بوابات الدخول عن بُعد / VPN | 2-12-3-2 | «أحداث الدخول عن بُعد» مذكورة نصاً في الضابط الفرعي. |
| 3 | بيانات أجهزة المستخدمين (EDR) | 2-12-3-1 | حيث يقع الكشف فعلاً. راجع خدمات EDR وMDR. |
| 4 | جدران الحماية وأنظمة منع التسلل والوكيل | 2-12-3-1 | حركة الخروج والانتقال الجانبي. |
| 5 | الخوادم وأنظمة الأنظمة الافتراضية | 2-12-3-1 | أصولك المعلوماتية الحساسة. |
| 6 | خوادم الويب وجدار حماية التطبيقات | 2-12-3-1 و2-15 | سطح الهجوم المكشوف للإنترنت. |
| 7 | بوابة أمن البريد الإلكتروني | 2-4 | التصيّد ما زال ناقل الاختراق الأول. |
| 8 | سجلات تدقيق قواعد البيانات | 2-7 | حيث تقيم البيانات التي تحميها أصلاً. |
| 9 | مراقبة سلامة الملفات (FIM) | CSCC 2-11-1-2 | إلزامي فقط إن كانت الأنظمة الحساسة في النطاق — لكنه مذكور فيها بالاسم. |
| 10 | سجلات لوحة تحكم الاستضافة والدخول إليها | 4-2 | مستوى تحكّم المزوّد، ومسؤوليتك أنت. |
قاعدة عملية ستوفّر عليك مالاً: لا تُدخِل مصدراً ليس له قاعدة كشف ولا مالك. فأنظمة SIEM المسعّرة بحجم الاستيعاب تعاقب الحماس، والمدقق يُعجَب بعشرة مصادر حساسة موثّقة الاستخدام أكثر بكثير من مئة تدفّق ضجيجي لا يقرؤه أحد.
المنظومة التقنية
الهيئة تسمّي SIEM كتقنية (2-12-3-3)، ولا تسمّي أي منتج. ومن يقول لك إن الهيئة تشترط مورّداً بعينه فهو يبيعك ذلك المورّد. وهذه خيارات واقعية في السوق السعودي، بمقايضاتها الصريحة:
| الطبقة | الخيارات | المقايضة |
|---|---|---|
| منصة SIEM/السجلات | تجارية (Splunk، QRadar، Sentinel) مقابل مفتوحة (Wazuh، Elastic) | التجارية تشتري محتوى ربط ودعماً؛ والمفتوحة تشتري تحكّماً في التكلفة عند 12-18 شهراً من الاحتفاظ، وهو تحديداً موضع ألم الترخيص. قارنّا بينها في SIEM: Splunk وElastic وWazuh. |
| التخزين طويل الأمد | تخزين كائني/طبقي بارد | هنا يتحوّل قرار 12 مقابل 18 شهراً إلى بند تكلفة. احسبه قبل شراء SIEM لا بعده. |
| EDR | أي مورّد موثوق | أعلى إشارة لكل ريال تنفقه. |
| مراقبة سلامة الملفات | مستقلة أو ضمن EDR/Wazuh | مطلوبة للأنظمة الحساسة (CSCC 2-11-1-2). |
| استخبارات التهديدات | موجزات + قناة الهيئة | 2-13-3-5 يوجب جمعها ومعالجتها، و2-13-3-4 يوجب مشاركتها مع الهيئة. |
| إدارة الحالات والتذاكر | أي نظام قابل للتدقيق | هنا تعيش أدلتك. وحادثةٌ بلا تذكرة هي، عند التدقيق، حادثةٌ لم تقع. |
| إدارة الثغرات | ماسح + إجراء | يغذّي المكوّن 2-10 — وهو مكوّن مختلف عن مركز العمليات، وخلطه خطأ شائع في تحديد النطاق. راجع تقييم الثغرات واختبار الاختراق. |
وحيث تُفرِط الفرق في الإنفاق: شراء المنصة أولاً واكتشاف تكلفة الاحتفاظ ثانياً. وحيث تُقصّر: حماية سلامة السجلات. فالضابط CSCC 2-11-1-5 يوجب «حفظ وحماية» سجلات الأنظمة الحساسة — والمهاجم الذي يستطيع تعديل سجلاتك قد هزم مركز عملياتك، والمدقق يعلم ذلك. فاستخدم تخزيناً غير قابل للكتابة المتكررة، أو على الأقل مخازن سجلات مقيّدة الوصول بصلاحيات منفصلة.
أدلة التشغيل، لأن الضابط 2-13-3-1 يوجبها
يوجب 2-13-3-1 «خطط الاستجابة لحوادث الأمن السيبراني وإجراءات التصعيد». والكلمة الجديرة بالانتباه هي التصعيد — فالمعيار يهتم بأن تصل الحادثة إلى الشخص الصحيح، لا بأن يفتح أحدهم تذكرة فحسب.
وهذا حدٌّ أدنى من الأدلة، لكلٍّ منها مالكٌ مُسمّى ومسار تصعيد:
- التصيّد / بريد مشبوه — الفرز، والاحتواء، والبحث عن بقية المستقبِلين، وحجب البنية التحتية للمرسل.
- اختراق مؤكد لجهاز طرفي — العزل، وجمع الأدلة المتطايرة قبل إعادة التهيئة، وتحديد ناقل الدخول.
- إساءة استخدام أو اختراق حساب ذي صلاحيات — أخطر مسار في معظم الجهات. ويرتبط مباشرةً بـ2-12-3-2.
- مؤشرات برامج الفدية — العزل، وحماية النسخ الاحتياطية أولاً (فأول ما يقصده المهاجم نسخُك الاحتياطية؛ والمكوّن 2-9 موجود لسبب).
- تسريب البيانات — الاحتواء، وتصنيف ما خرج بموجب 2-7، ثم تفعيل التزامات الإبلاغ.
- هجوم على تطبيق ويب مكشوف — وضع جدار حماية التطبيقات، والترقيع، ولقطة جنائية.
- دليل الإبلاغ للهيئة — كيف يُنفَّذ الضابطان 2-13-3-3 و2-13-3-4 فعلياً: مَن يوقّع، وماذا يُرسَل، وعبر أي قناة، ووفق ساعتك أنت — إذ لا يضبط المعيار ساعة.
وينبغي أن ينتهي كل دليل تشغيل بالخطوتين ذاتهما: حفظ الأدلة (وهو ما يغذّي التزام 12/18 شهراً)، وتغذية الدروس المستفادة في قواعد الكشف (وهو ما تختبره فعلياً عبارة «تُراجَع دورياً» في 2-12-4 و2-13-4).
إن كنت مشتركاً سحابياً — أو مقدّم خدمة
حيث تُستضاف أنظمتك، تنطبق ضوابط الأمن السيبراني للحوسبة السحابية CCC-1:2020 جنباً إلى جنب مع ECC. ونقطتان.
أولاً، CCC تُعيد الترقيم هي الأخرى. ففيها «سجلات الأحداث والمراقبة» هي 2-11، و«إدارة الحوادث والتهديدات» هي 2-12. وفي ECC هما 2-12 و2-13. الموضوعات ذاتها، والرموز مختلفة. كما تحمل رموز CCC حرف P أو T — فـ2-11-P-1-5 متطلبٌ على مقدّم الخدمة السحابية، و1-1-T-1 متطلبٌ على المشترك. ورقمُ ضابطٍ فيه حرف ليس ضابطاً من ECC.
وبالنسبة لمقدّمي الخدمة، يوجب CCC 2-11-P-1 (الذي يفتتح نصّه بعبارة «بالإضافة إلى الضوابط الفرعية في الضابط 2-12-3 من ECC») أموراً منها «المراقبة المستمرة لأحداث الأمن السيبراني باستخدام تقنية SIEM»، وتفعيل وحماية سجلات الأحداث عبر منظومة التقنية السحابية، والمراقبة الآلية لجلسات الدخول عن بُعد.
ثانياً — وهذا التباس في التسمية يكلّف موردي المنطقة الشرقية أموالاً حقيقية — فإن «CCC» تعني في السعودية أمرين لا صلة بينهما البتة:
- CCC لدى الهيئة = ضوابط الأمن السيبراني للحوسبة السحابية. إطارٌ تلتزم به.
- CCC لدى أرامكو = شهادة الالتزام بالأمن السيبراني. شهادةٌ تحصل عليها من مكتب تدقيق معتمد من أرامكو، تثبت استيفاءك لمعيار SACS-002. وتفصيلها في دليل SACS-002.
فإذا سُئلت هل لديك «الـ CCC»، فتبيّن أيّهما يُقصَد قبل أن تُجيب.
أين تقع الاستضافة من كل هذا
معظم مركز العمليات الأمنية مسؤوليتك أنت بناءً وتوظيفاً. لكن جزءاً معتبراً من الأدلة التي يطلبها المدقق تُنتِجه منصة الاستضافة لديك — وإن كانت تلك المنصة عاجزة عن إنتاج سجلات الدخول، أو عن إثبات فصل البيئات، أو عن إظهار نسخة احتياطية تستطيع الاستعادة منها فعلاً، فستجادل في الضابطين 2-9 و4-2 بلا دليلٍ تشير إليه.
ولنكن دقيقين فيما يستطيعه المستضيف وما لا يستطيعه، فالغموض هنا هو منشأ الادعاءات الزائفة: لا يستطيع أي مزوّد استضافة أن يجعلك ممتثلاً لـ ECC. فـ ECC تُلزم الجهة. ولا وجود لشيء اسمه «مستضيف معتمد من ECC»، وأي مزوّد يدّعي أن باقته تمنحك الامتثال يدّعي ما لا يسنده المعيار.
ما يفعله المستضيف الجيد هو أن يجعل ضوابط بعينها رخيصة الإثبات. وسكاي لاين كلاود منصة استضافة سعودية مُدارة، وسنصفها بعبارات قابلة للتحقق فقط: بنية تحتية داخل المملكة، وفوترة بالريال السعودي، وواجهة ودعم بالعربية؛ ونسخ احتياطي يومي تستطيع الاستعادة منه؛ وشهادة SSL مجانية ذاتية التجديد (شهادات 90 يوماً تتجدد تلقائياً في لوحة S Panel — بلا مواعيد انتهاء تُدوَّن، وبلا انقطاعٍ عند الثالثة فجراً)؛ ونظام DNS تتحكم به، فيصبح نشر SPF وDKIM وDMARC تعديلاً في خمس دقائق لا تذكرة دعم — وهذا مهم لأن ECC-2 شدّدت الضابط 2-4-3-5 ليشترط الثلاثة جميعاً لا SPF وحدها؛ وفصل بيئة لكل حساب، وهو جوهر الضابط 4-2-3-2؛ واتفاقية مستوى خدمة بجاهزية 99.9%. والباقات: 49 ريالاً/شهرياً (مشتركة)، و119 ريالاً/شهرياً (مخصصة)، و199 ريالاً/شهرياً (سحابية — 4 جيجابايت ذاكرة، و100 جيجابايت NVMe، وتوسّع تلقائي، وتوافرية عالية، وشبكة CDN عالمية).
هذا ليس مركز عمليات أمنية، ولن ندّعي أنه كذلك. إنه الطبقة التي تقع تحته، بجدالٍ أقل. ابدأ تجربة مجانية لمدة 14 يوماً — دون بطاقة ائتمانية وافحص جدول النسخ الاحتياطي ونطاق DNS وتجديد شهادة TLS بنفسك، بدل أن تأخذ بكلامنا.
ترتيب بناء يصمد أمام المدقق
- سجل الأصول (2-1). كل ما بعده يُحدَّد نطاقه به. لا تقفز إلى الأدوات.
- حدِّد واعتمد متطلبات التسجيل والمراقبة (2-12-1). يجب أن يوجد المستند قبل التطبيق، وإلا فلا شيء يُقاس التطبيق عليه.
- احسم 12 مقابل 18 شهراً (ECC 2-12-3-5 مقابل CSCC 2-11-2) وحدِّد سعة التخزين تبعاً لذلك. هذا القرار يحدد اقتصاديات منصتك.
- أدخِل المصادر المنصوص عليها أولاً — الحسابات ذات الصلاحيات والدخول عن بُعد (2-12-3-2). فهي أول ما يُطلَب.
- شغِّل نظام SIEM (2-12-3-3) وأثبت المراقبة المستمرة (2-12-3-4).
- احمِ السجلات (CSCC 2-11-1-5، إن كانت في النطاق). تخزين يكشف العبث، وصلاحيات منفصلة.
- اكتب خطة الاستجابة ومصفوفة التصنيف وإجراءات التصعيد (2-13-3-1 و2-13-3-2).
- ابنِ مسار الإبلاغ ومشاركة الاستخبارات مع الهيئة (2-13-3-3 و2-13-3-4) — وحدِّد ساعتك أنت، إذ لا يحددها المعيار.
- وظِّف بموجب 1-2-2 — مختصون سعوديون متفرغون ومؤهلون. ابدأ بهذا أولاً، وأنهِه أخيراً.
- رتّب مراجعة مستقلة (1-8-2) من جهة غير التي بنت المركز.
الأسئلة الشائعة
أي ضوابط ECC تحكم مركز العمليات الأمنية؟ 2-12 (إدارة سجلات الأحداث ومراقبة الأمن السيبراني) و2-13 (إدارة حوادث وتهديدات الأمن السيبراني). وليس 2-10 (إدارة الثغرات) ولا 2-11 (اختبار الاختراق)، وهو خلطٌ شائع جداً في كلتا النسختين ECC-1:2018 وECC-2:2024.
هل تشترط الهيئة مركز عمليات يعمل 24/7؟ تشترط CSCC «مراقبة الأحداث الأمنية للأنظمة الحساسة على مدار الساعة» (الضابط 2-11-1-4) — وذلك لـالأنظمة الحساسة. أما ECC فتشترط «المراقبة المستمرة لسجلات أحداث الأمن السيبراني» (2-12-3-4) ولا تحدد ساعات تشغيل. ولا تفرض أيٌّ من الوثيقتين نموذج مناوبات أو عدد موظفين.
كم يجب أن أحتفظ بالسجلات الأمنية؟ 12 شهراً على الأقل بموجب ECC-2:2024 (2-12-3-5). و18 شهراً على الأقل للأنظمة الحساسة بموجب CSCC-1:2019 (2-11-2)، الذي يشير صراحةً إلى رقم ECC ويتجاوزه.
ما أهداف MTTD/MTTR التي تشترطها الهيئة؟ لا شيء. فالهيئة لا تنشر أي أهداف لزمن الاكتشاف أو الاستجابة في ECC أو CSCC أو CCC. وأي رقم يُعرض عليك بوصفه متطلباً من الهيئة فهو مُختلَق. اطلب رقم الضابط.
بأي سرعة يجب أن أبلّغ الهيئة بحادثة؟ يوجب الضابط 2-13-3-3 «إبلاغ الهيئة بحوادث الأمن السيبراني» دون تحديد إطار زمني. وعليك أنت تحديد توقيتات التصعيد وتوثيقها والدفاع عنها في خطة الاستجابة (2-13-3-1).
هل يمكنني إسناد مركز العمليات لجهة خارجية؟ لا شيء في ECC يمنع ذلك، وتحكم ترتيبات الأطراف الخارجية أحكامُ المكوّن الفرعي 4-1. لكن المساءلة لا تنتقل، ويوجب 1-2-2 إشغال جميع وظائف الأمن السيبراني بمختصين سعوديين متفرغين ومؤهلين — وهذا يرسم شكل فريقك «الداخلي» أياً كان شريكك. وقد شرحنا نهجنا في مركز العمليات الأمنية كخدمة.
هل نظام SIEM إلزامي؟ يوجب الضابط 2-12-3-3 «تحديد تقنيات SIEM اللازمة لجمع سجلات أحداث الأمن السيبراني». فـ SIEM مذكور كتقنية. ولا يُسمّى أي منتج.
هل تشترط ECC إطار MITRE ATT&CK أو إطار كشفٍ بعينه؟ لا. فـ MITRE ATT&CK ممارسة قطاعية مفيدة ونوصي بها — لكنها غير مذكورة في ECC، وليست متطلباً من الهيئة.
المصادر
كل رقم ضابط واقتباس وإحصاء في هذا المقال قُرئ من وثائق الهيئة المنشورة أدناه. وهي المرجع، لا هذه الصفحة.
- الهيئة الوطنية للأمن السيبراني — الضوابط الأساسية للأمن السيبراني ECC-2:2024 (الضابطان 2-12 و2-13 بنصّهما، ص25-26؛ الحوكمة 1-2-1 و1-2-2؛ التدقيق 1-8؛ خريطة المكونات الفرعية شكل 2 ص11؛ سجل التغييرات الملحق ج)
- الهيئة — ضوابط الأمن السيبراني للأنظمة الحساسة CSCC-1:2019 (الضوابط من 2-11-1-1 إلى 2-11-1-5 ومنها «على مدار الساعة» في 2-11-1-4؛ ومدة 18 شهراً في 2-11-2)
- الهيئة — ضوابط الأمن السيبراني للحوسبة السحابية CCC-1:2020 (ترميز مقدّم الخدمة والمشترك؛ 2-11-P-1 لسجلات الأحداث ومراقبة SIEM؛ 2-12 لإدارة الحوادث)
- الهيئة — الضوابط الأساسية للأمن السيبراني ECC-1:2018 (متجاوَزة؛ استُخدمت هنا فقط للتأكد من أن 2-10 و2-11 كانا الثغرات واختبار الاختراق في تلك النسخة أيضاً)
جرى التحقق آخر مرة من وثائق الهيئة المنشورة في يوليو 2026. المعايير تتغيّر، وnca.gov.sa هو المرجع دائماً. وإذا اختلفت هذه الصفحة مع الوثيقة، فالوثيقة هي الصحيحة.

Comments
0 total · 0 threads