اللائحة التنفيذية لقانون مكافحة جرائم تقنية المعلومات 2-2

الخميس 3 سبتمبر 2020

ما زلنا مع اللائحة التنفيذية لقانون مكافحة جرائم تقنية المعلومات... من الأمور المهمة والحاكمة والتى تناولتها اللائحة هى ضرورة وجود سياسات لأمن المعلومات Information Security Policy يتم اعتمادها من الإدارة العليا وتطبق بكل حزم ودقة.. يمكن الاستعانة بأفضل الممارسات الدولية وكذا أيضًا الإرشادات الواردة بالأيزو 27032 ISO كنموذج مرجعى لتقييم سياسات وإجراءات التأمين للأنظمة الفنية المختلفة.

تشمل سياسات أمن المعلومات إعداد متطلبات التأمين من أجهزة فنية متخصصة وأيضًا توضيح كل الإجراءات التنظيمية ومتطلبات الموارد البشرية والتدريب المطلوبة لضمان عمل المنظومة التأمينية واستقرارها.

يشمل الأمر أيضًا الاستعانة بأدوات تشفير البيانات والمعلومات الحديثة واستخدام شهادات التصديق الإلكترونى الصادرة من جهات الاختصاص وكذا أيضًا منع الوصول المادي Physical Access لغير المخول لهم بالتعامل مع تلك الأنظمة وقواعد البيانات المرتبطة بها.

تشمل السياسات أيضًا استخدام ضوابط إنفاذ قوية Strong Authentication ويفضل أن تشمل أكثر من مستوى للتحقق Mutli-Factor Authentication وبحسب مستوى المخاطر وبما يضمن تحديد المسئوليات وعدم الإنكار.

من الأمور المهمة والأساسية أيضًا توثيق كل أعمال التنصيب والتشغيل والصيانة والدعم الفنى للأنظمة والالتزام بتنزيل التحديثات فى ميعادها والتأكد من سلامة رخص البرامج المستخدمة فى عمليات التامين وتحديها أولًا بأول.

النسخ الاحتياطية من الأنظمة والمعلومات وقواعد البيانات هى من الأمور المهمة أيضًا لضمان جودة البيانات وسرعة الاسترجاع فى حالات التلف أو الاتلاف أو التعرض لبرمجيات خبيثة مثل فيروس الفدية Ransomware.

يرتبط باستمرارية الخدمة Business Continuity ووجود نسخة احتياطية أن يوجد فى حالات الضرورة موقع آخر تبادلى يتم تقديم الخدمة من خلاله فى حالة وجود أى عطل فى المقر الرئيسى لتقديم تلك الخدمات Disaster Recovery Site.

تشمل السياسات أيضًا ضرورة إجراء مسح دورى لبيان درجة قوة وفاعلية أنظمة التأمين الموجودة كما يجب إعداد قائمة بالأجهزة المستخدمة وتوقيتات تحديثها أو تغييرها .

وأخيرًا وليس آخرًا ضرورة إبلاغ المركز الوطنى للاستعداد لطوارئ الحاسب والشبكات بالجهاز القومى لتنظيم الاتصالات فى حالة وجود أى اختراقات أو التعرض لأى هجمات.

# فيروس