Professional Documents
Culture Documents
Organizations' Social Media Accounts Cybersecurity Controls (OSMACC - 1: 2021)
Organizations' Social Media Accounts Cybersecurity Controls (OSMACC - 1: 2021)
يستخدم هذا الربوتوكول عىل نطاق واسع يف العامل وهناك أربعة ألوان (إشارات ضوئية):
أحمر – شخيص ورسي للمستلم فقط
املســتلم ال يحــق لــه مشــاركة املصنــف باإلشــارة الحمـراء مــع أي فــرد ســواء مــن داخــل أو خــارج الجهــة خــارج
النطــاق املحــدد لالســتالم.
املســتلم ميكنــه مشــاركة املعلومــات يف نفــس الجهــة مــع األشــخاص املعنيــن فقــط ،ومــن يتطلــب األمــر منــه
اتخــاذ إج ـراء يخــص املعلومــة.
املســتلم ميكنــه مشــاركة املعلومــات مــع آخريــن يف نفــس الجهــة أو جهــة أخــرى عــى عالقــة معهــم أو يف نفــس
القطــاع ،وال يســمح بتبادلهــا أو نرشهــا مــن خــال القنــوات العامــة.
قائمة المحتويات
6
الملخص التنفيذي
7
المقدمة
8
األهداف
8
قابلية التطبيق داخل الجهة
9
التنفيذ وااللتزام
9
التحديث والمراجعة
10
مكونات وهيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات
10 المكونات األساسية والفرعية ،لضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات
11
الهيكلية
19
مالحق
19
ملحق (أ) :العالقة مع الضوابط األساسية لألمن السيبراني
قائمة الجداول
12
جدول : 1هيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات
11 شكل : 2معنى رموز ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات
11 شكل : 3هيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات
الملخص التنفيذي
تعــد شــبكات التواصــل االجتامعــي إحــدى الوســائل املمكنــة للتواصــل الرسيــع والف ّعــال مــع املســتفيدين
مــا يســهم يف رسعــة االســتجابة وتحســن وتســهيل تجربــة املســتفيدين .ومــع ازديــاد اســتخدام شــبكات
التواصــل االجتامعــي بشــكل رســمي مــن قبــل الجهــات داخــل اململكــة للتواصــل مــع املســتفيدين ،ازداد
خطــر جرائــم رسقــة حســابات التواصــل الرســمية أو ســوء اســتغاللها أو انتحــال شــخصيتها ،مــا يســتوجب
وضــع متطلبــات األمــن الســيرباين للحــد مــن هــذه املخاطــر.
ولإلســهام يف تقليــل هــذه املخاطــر وتعزيــز حاميــة حســابات التواصــل االجتامعــي الرســمية ،بهــدف
الوصــول إىل فضــاء ســيرباين ســعودي آمــن وموثـــــوق ُيكــن النمــو واالزدهـــــار؛ قامــت الهيئــــة
الوطنيــــة لألمــن الســيرباين بإعــداد ضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــــات
( )OSMACC – 1: 2021لوضــع الحــد األدىن مــن متطلبــات األمــن الســيرباين لتمكــن الجهــات مــن
اس��تخدام ش��بكات التواصلــ االجتامعــي بطريقـ�ة آمنـ�ة .وتوضــح هــذه الوثيقــة تفاصيــل ضوابــط األمــن
الســيرباين لحســابات التواصــل االجتامعــي للجهــات ،وأهدافهــا ،ونطــاق العمــل ،وآليــة االلت ـزام واملتابعــة.
وعــى الجهــات تنفيــذ مــا يحقــق االلت ـزام الدائــم ،واملســتمر بهــذه الضوابــط؛ تحقيق ـاً ملــا ورد يف الفقــرة
الثالثـ�ة مـ�ن املـ�ادة العـ�ارشة ،يف تنظيـ�م الهيئـ�ة الوطنيـ�ة لألمـ�ن السـ�يرباين.
المقدمة
طــ ّورت الهيئــة الوطنيــة لألمــن الســيرباين (ويشــار لهــا يف هــذه الوثيقــة بـــ «الهيئــة») ضوابــط األمــن
السـ�يرباين لحسـ�ابات التواصـ�ل االجتامعـ�ي للجهـ�ات ( )OSMACC – 1: 2021بعــد دراســة أفضل مامرســات
األمــن الســيرباين وتحليــل الحــوادث والهجــات الســيربانية الســابقة .ويــأيت ذلــك ضمــن اختصاصــات
ومهــات الهيئــة حســب تنظيمهــا مبوجــب األمــر امللــي الكريــم رقــم ( )6801وتاريــخ 1439/2/11هـــ،
«وضــع السياســات وآليــات الحوكمــة واألطــر واملعايــر والضوابــط واإلرشــادات املتعلقــة باألمــن الســيرباين،
وتعميمهــا عــى الجهــات ذات العالقــة ،ومتابعــة االلت ـزام بهــا ،وتحديثهــا».
تعــد مواقــع وتطبيقــات شــبكات التواصــل االجتامعــي إحــدى الوســائل املمكنــة للتواصــل الرسيــع والف ّعــال
مــع املســتفيدين مــا يســهم يف رسعــة االســتجابة وتحســن تجربــة املســتفيدين وتســهيلها؛ مــا أدى إىل
اســتخدامها مــن قبــل العديــد مــن الجهــات .ومــع ازديــاد اســتخدام وســائل التواصــل االجتامعــي بشــكل
رســمي مــن قبــل الجهــات داخــل اململكــة للتواصــل مــع املســتفيدين ،ازداد خطــر جرائــم رسقــة حســابات
التواصــل االجتامعــي الرســمية أو ســوء اســتغاللها .باإلضافــة إىل خطــر جرائــم انتحــال شــخصية الجهــات
الرســمية يف شــبكات التواصــل االجتامعــي.
ولإلســهام يف تقليــل هــذه املخاطــر وتعزيز حامية حســابات التواصل االجتامعي الرســمية ،بهدف الوصول إىل
فضــاء ســيرباين ســعودي آمــن وموثــوق ُيكن النمــو واالزدهار؛ قامــت الهيئة الوطنيــة لألمن الســيرباين بإعداد
ضوابط األمن الســيرباين لحســابات التواصل االجتامعي للجهات ( )OSMACC – 1: 2021لوضع الحد األدىن
مــن متطلبــات األمــن الســيرباين لتمكــن الجهــة مــن اســتخدام شــبكات التواصــل االجتامعــي بطريقــة آمنــة.
وقــد حرصــت الهيئــة يف إعدادهــا لضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــات ،عــى
مواءمــة مكوناتهــا مــع مكونــات الضوابــط األساســية لألمــن الســيرباين التــي تعــد متطلب ـاً أساســياً لهــا؛ وال
ميكــن تحقيــق االلتـزام بهــا إال مــن خــال تحقيــق االلتـزام املســتمر بالضوابــط األساســية لألمــن الســيرباين يف
املقــام األول كــا أنهــا مرتبطــة مــع املتطلبــات الترشيعيــة ،والتنظيميــة الوطنيــة والدوليــة ،ذات العالقــة.
تتكون ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات من:
• 3مكونات أساسية ()3 Main Domains
• 12مكوناً فرعياً ()12 Subdomains
• 15ضابطاً أساسياً ()15 Main Controls
• 38ضابطاً فرعياً ()38 Subcontrols
األهداف
التنفيذ وااللتزام
تحقيقــاً ملــا ورد يف الفقــرة الثالثــة مــن املــادة الــعــاشــــرة مــن تنظيــم الـهـيـئـــة الـوطـنـيـــة لألمــن
الســيرباين ،يجــب عــى جميــع الجهــات ضمــن نطــاق عمــل هــذه الضوابــط تنفيــذ مــا يحقــق االلت ـزام
الدائــم واملســتمر بهــذه الضوابــط ،وال ميكــن تحقيــق ذلــك إال مــن خــال تحقيــق االلتـزام الدائــم واملســتمر
بالضوابــط األساســية لألمــن الســيرباين ( )ECC - 1 : 2018وفقـاً لقابليــة تطبيقهــا يف الجهــة بحســب طبيعــة
أعاملهــا.
وتقــوم الهيئــة بتقييــم الت ـزام الجهــات مبــا ورد يف هــذه الضوابــط بطــرق متعــددة ،منهــا :التقييــم الــذايت
للجهــات ،و/أو الزيــارات امليدانيــة للتدقيــق ،وذلــك وفق ـاً لآلليــة املناســبة التــي تراهــا الهيئــة.
التحديث والمراجعة
تتــوىل الهيئــة التحديــث واملراجعــة الدوريــة لضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي
للجهــات حســب متطلبــات األمــن الســيرباين واملســتجدات ذات العالقــة .كــا تتــوىل إعــان اإلصــدار املحدث
مــن الضوابــط لتطبيقــه وااللتـزام بــه.
الهيكلية
يوضــح الشــكالن ( )2و ( )3أدنـ�اه معنـ�ى رمـ�وز ضوابـ�ط األمـ�ن السـ�يرباين لحسـ�ابات التواصـ�ل االجتامعـ�ي
للجهـ�ات.
OSMACC
شكل : 2معنى رموز ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات
يوضح الجدول 1طريقة هيكلية ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات.
الضوابط
باإلضافــة للضوابــط الفرعيـــة ضمـــن الضابـــط 4 – 9 – 1يف الضوابــط األساســية لألمــن الســيرباين، 1-3-1
يجــب أن تشــمل متطلبــات األمــن الســيرباين املتعلقــة بالعاملــن املســؤولني عــن إدارة حســابات
التواصــل االجتامعــي للجهــة بحــد أدىن مــا يــأيت:
1-1-3-1التوعية باألمن السيرباين لحسابات التواصل االجتامعي.
2-1-3-1تطبيــق متطلبــات األمـــن الســيرباين وااللـتــزام بهــا وفقـاً لسياســات وإجــــراءات
وعمليــات األمــن الســيرباين لحســابات التواصــل االجتامعــي.
برنامـ�ج التوعيـ�ة والتدريـ�ب باألمـ�ن السـ�يرباين (Cybersecurity Awareness and Training
4-1
)Program
ضــان التأكــد مــن أن العاملــن بالجهــة لديهــم التوعيــة األمنيــة الالزمــة وعــى درايــة مبســؤولياتهم الهدف
يف مجــال األمــن الســيرباين .والتأكــد مــن تزويــد العاملــن بالجهــة باملهــارات واملؤهــات والــدورات
التدريبيــة املطلوبــة يف مجــال األمــن الســيرباين لحاميــة األصــول املعلوماتيــة والتقنيــة للجهــة
والقيــام مبســؤولياتهم تجــاه األمــن الســيرباين.
الضوابط
باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 3 -10 - 1يف الضوابــط األساســية لألمــن الســيرباين ،فإنه 1-4-1
يجــب أن يغطــي برنامــج التوعيــة باألمــن الســيرباين املخاطــر والتهديــدات الســيربانية لحســابات
التواصــل االجتامعــي واالســتخدام اآلمــن للحــد مــن هــذه املخاطــر والتهديــدات ،مبــا يف ذلــك:
1-1-4-1االســتخدام اآلمــن لألجهــزة املخصصــة لحســابات التواصــل االجتامعــي واملحافظــة
عليهــا وحاميتهــا .وعــدم احتوائهــا عــى بيانــات مصنفــة أو اســتخدامها ألغ ـراض
شــخصية.
2-1-4-1التعامل اآلمن مع هويات الدخول وكلامت املرور واألسئلة األمنية.
خطة استعادة حسابات التواصل االجتامعي والتعامل مع الحوادث السيربانية. 3-1-4-1
التعامــل اآلمــن مــع التطبيقــات والحلــول املســتخدمة لحســابات التواصــل 4-1-4-1
االجتامعــي.
عــدم اســتخدام حســابات التواصــل االجتامعــي الرســمية ألغ ـراض شــخصية مثــل 5-1-4-1
التصفــح.
تجنــب الدخــول لحســابات التواصــل االجتامعــي باســتخدام أجهــزة أو شــبكات 6-1-4-1
عامــة غــر موثوقــة.
التواصــل مبــارشة مــع اإلدارة املعنيــة باألمــن الســيرباين يف الجهــة حــال االشــتباه 7-1-4-1
بتهديــد أمــن ســيرباين.
باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 4 - 10 - 1يف الضوابــط األساســية لألمــن الســيرباين، 2-4-1
فإنــه يجــب تدريــب العاملــن املســؤولني عــن إدارة حســابات التواصــل االجتامعــي للجهــة عــى
املهــارات التقنيــة والخطــط واإلجــراءات الالزمــة لضــان تطبيــق متطلبــات ومامرســات األمــن
الســيرباين عنــد اســتخدام حســابات التواصــل االجتامعــي.
الضوابط
باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 3-6-2يف الضوابــط األساســية لألمــن الســيرباين ،يجــب 1-4-2
أن تغطــي متطلبــات األمــن الســيرباين الخاصــة بأمــن األجهــزة املحمولــة لحســابات التواصــل
االجتامعــي للجهــة ،بحــد أدىن ،مايــي:
1-1-4-2إدارة األجهــزة املحمولــة مركزيــاً باســتخدام نظــام إدارة األجهــزة املحمولــة
(.)Mobile Device Management - MDM
2-1-4-2تطبيــق حــزم التحديثــات ،واإلصالحــات األمنيــة لألجهــزة املحمولــة ،مــرة واحــدة
شــهرياً ،عــى األقــل.
حامية البيانات واملعلومات ()Data and Information Protection 5-2
ضــان حاميــة الرسيــة ،وســامة بيانــات ومعلومــات الجهــة ،ودقتهــا ،وتوافرهــا ،وذلــك وفقــاً
الهدف
للسياســات واإلجــراءات التنظيميــة للجهــة ،واملتطلبــات الترشيعيــة والتنظيميــة ذات العالقــة.
الضوابط
باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 3-7-2يف الضوابــط األساســية لألمــن الســيرباين، 1-5-2
يجــب أن تغطــي متطلبــات األمــن الســيرباين لحاميــة البيانــات واملعلومــات لحســابات التواصــل
االجتامعــي للجهــة ،بحــد أدىن ،مايــي:
1-1-5-2يجــب أن ال تحتــوي األصــول التقنيــة الخاصــة بحســابات التواصــل االجتامعــي
للجهــة عــى بيانــات مصنفــة ،حســب الترشيعــات ذات العالقــة.
إدارة سـ�جالت األحـ�داث ومراقبـ�ة األمـ�ن السـ�يرباين( (�Cybersecurity Events Logs and Mon 6-2
)itoring Management
ضــان تجميــع ســجالت األمــن الســيرباين وتحليلهــا ومراقبتهــا يف الوقــت املناســب؛ مــن أجــل
االكتشــاف االســتباقي للهجــات الســيربانية ،وإدارة مخاطرهــا بفعاليــة؛ ملنــع اآلثــار املرتتبــة عــى الهدف
أعــال الجهــة أو تقليلهــا.
الضوابط
باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 3-12-2يف الضوابــط األساســية لألمــن الســيرباين، 1-6-2
يجــب أن تغطــي متطلبــات إدارة ســجالت األحــداث ،ومراقبــة األمــن الســيرباين لحســابات التواصــل
االجتامعــي للجهــة واألصــول التقنيــة التابعــة لهــا ،بحــد أدىن ،مايــي:
1-1-6-2تفعيــل جميــع اإلشــعارات وتنبيهــات األمــن الســيرباين الخاصة بحســابات التواصل
االجتامعــي وســجالت األحــداث ( )Event Logsالخاصــة باألمــن الســيرباين عــى
األصــول التقنيــة الخاصــة بحســابات التواصــل االجتامعــي.
2-1-6-2متابعــة حســابات التواصــل االجتامعــي و مراقبتهــا للتأكــد مــن عــدم نــر أي
محتــوى غــر مــرح ،أو تســجيل أي دخــول غــر مــرح.
3-1-6-2متابعــة شــبكات التواصــل االجتامعــي ومراقبتهــا للتأكــد مــن عــدم انتحــال هويــة
الجهة.
4-1-6-2املراقبــة اآلليــة ألي تغيــر يف منــط الحســابات أو مــؤرشات اخ ـراق أو نــر أي
محتــوى غــر مــرح أو انتحــال هويــة الجهــة.
إدارة حـ�وادث وتهديـ�دات األمـ�ن السـ�يرباين (�Cybersecurity Incident and Threat Man 7-2
)agement
ضــان تحديــد واكتشــاف حــوادث األمــن الســيرباين يف الوقــت املناســب وإدارتهــا بشــكل فعــال
والتعامــل مــع تهديــدات األمــن الســيرباين اســتباقياً مــن أجــل منــع أو تقليــل اآلثــار املرتتبــة عــى الهدف
أعــال الجهــة ،مــع مراعــاة مــاورد يف األمــر الســامي الكريــم رقــم 37140وتاريــخ 1438/8/14هــــ.
الضوابط
1- 7- 2باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط 3-13-2يف الضوابــط األساســية لألمــن الســيرباين ،يجب
أن تغطــي متطلبــات إدارة حــوادث وتهديــدات األمــن الســيرباين يف الجهــة ،بحــد أدىن ،ماييل:
1-1-7-2وضــع خطــة اســتعادة حســابات التواصــل االجتامعــي والتعامــل مــع الحــوادث
الســيربانية.
مالحق
ت ُ َعــد ضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــات؛ امتــدادا ً للضوابــط األساســية لألمــن
الســيرباين ( )ECC- 1: 2018كــا هــو موضــح يف الشــكلني ( )4و ( ،)5مــن خــال اآليت:
•اثنــا عــر ( )12مكونـاً فرعيـاً ،أضيفــت لهــا ضوابــط خاصــة باألمــن الســيرباين لحســابات التواصــل
االجتامعــي للجهات؛
•يف حــن أن هنــاك ســبعة عــر ( )17مكونـاً فرعيـاً ،مل يضــف لهــا ضوابــط خاصــة باألمــن الســيرباين
لحســابات التواصــل االجتامعــي للجهات.
مكونات فرعية أضيف لها ضوابط خاصة لحسابات التواصل االجتامعي للجهات
مكونات فرعية مل يضف لها ضوابط خاصة لحسابات التواصل االجتامعي للجهات
شكل :4دليل ألوان املكونات الفرعية يف الشكل 5
21 مــــتاح:تصنيف الوثيقة
ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات إش ــارة املش ــاركة :أبيــ ــض
- 4األمن
السيرباين املتعلق
باألطراف الخارجية
األمن السيرباين املتعلق بالحوسبة السحابية والحوسبة
األمن السيرباين املتعلق باألطراف
واالستضافة السحابية
الخارجية 1-3
Cloud Computing and Hosting Cy- Third-Party
Third-Party Cybersecurity
bersecurity
and Cloud
Computing
Cybersecurity
- 5األمن السيرباين
ألنظمة التحكم
حامية أجهزة وأنظمة التحكم الصناعي الصناعي
Industrial Control Systems (ICS) Protection
ICS Cyberse-
curity
شكل : 5مكونات الضوابط األساسية لألمن السيرباين ،وضوابط األمن السيرباين لحسابات التواصل
االجتامعي للجهات