لائحة جديدة تلزم مرخصي الاتصالات بتدابير فنية وتنظيمية لإدارة المخاطر الأمنية

غرامات إدارية أقصاها 200 ألف ريال –
كتب ـ ماجد الهطالي –

أكدت لائحة أمن شبكة الاتصالات على ضرورة تطبيق المرخصين التدابيرَ الفنية والتنظيمية اللازمة لإدارة المخاطر الأمنية المرتبطة بشبكات وخدمات الاتصالات الواردة في المعيار القياسي «ISO 22301» لاستمرارية الأعمال، والمعايير القياسية الصادرة من الاتحاد الدولي للاتصالات عبر مجموعة سلسلة المعايير X «ITU- T X series standards، وإجراء تدريب منتظم للعاملين لديهم بإدارة أمن الشبكات، وعقد جلسات توعوية عامة لباقي العاملين مرة واحدة في السنة على الأقل، وتطبيق التدابير الفنية اللازمة لحماية الشبكة من أي مخاطر محتملة عن طريق الشبكات الداخلية للمشتركين.
كما ألزمت اللائحة المرخص له تطبيق التدابير الفنية اللازمة لمنع محاولات الكشف عن نقاط الضعف الموجودة في الشبكة، وإجراء عمليات تدقيق أمني داخلية بصفة دورية لتحديد التهديدات ونقاط الضعف على مستوى الشبكة ونظام التشغيل، ومستوى التطبيقات وإجراءات وعمليات المشغلين، وذلك للتأكد من مستوى أمن الشبكة، وضمان عدم حدوث أي اختراق، أو ولوج شخص غير مصرح له إليها، وإجراء عملية تدقيق أمني خارجية بإشراك طرف ثالث مستقل من ذوي الخبرة مرة واحدة في السنة على الأقل، وذلك بعد موافقة الهيئة، على أن يقوم المرخص له بتزويد الهيئة بمواعيد هذه العمليات، ونتائجها خلال المدة التي تحددها الهيئة. وإجراء تقييم دوري لبيان مستوى أمن المباني وعناصر الشبكة الخارجية والمحطات والأبراج ومستوى التطبيقات والخوادم وبرمجيات الأنظمة وذلك لتحديد التهديدات ونقاط الضعف المحتملة واتخاذ ما يلزم من إجراءات إذا تبين وجود أي خلل أو تهديد محتمل في مستوى الأمن. والتأكد من قيام موفر المعدات أو الأنظمة بضمان توفير وتثبيت الإصلاحات المتعلقة بأمن وسلامة الشبكة في وقت مناسب، وبطريقة فعالة، وإعداد سجل يقيد فيه المخاطر التي تتعرض لها الشبكة والخدمات المقدمة والأحداث التي تقع داخل المباني ومواقع المرخص له، على أن تتم موافاة الهيئة بتقرير مفصل عما تم قيده في هذا السجل مرة واحدة في السنة على الأقل، أو عند طلبها. والاحتفاظ بتسجيلات الدوائر التلفزيونية المغلقة « CCTY»، وسجل الدخول والخروج من المباني وسجل نظام كشف التسلل « IDS»، على أن يلتزم المرخص له بحفظ التسجيلات وهذه السجلات طبقا لوسائل آمنة ومناسبة لمدة سنة واحدة على الأقل، وإخطار الهيئة بأي حادث أمني يؤثر على سلامة الشبكة خلال 24 ساعة من تاريخ العلم بحدوثه، وإعداد تقرير تفصيلي عنه، ورفعه إلى الهيئة خلال الـ 15 يوما الآتية لتاريخ العلم، على أن يشمل هذا التقرير على الإجراءات التي تم اتباعها لإدارته، والإجراءات التصحيحية والوقائية التي تم اتخاذها بشأنه، ويكون للهيئة ـ متى رأت ضرورة ذلك ـ إعلام الجمهور عن الحادث الأمني الذي وقع. وإخطار الهيئة فور وقوع أي اختراق ذي تأثير كبير على تشغيل شبكات وخدمات المرخص له أو محاولة اختراق يمكن أن يكون لها التأثير نفسه إذا نجحت، ويكون للهيئة في هذه الحالة الحق في إعلام الجمهور بحدوث الاختراق، أو طلب ذلك من المرخص له بما يحقق المصلحة العامة. وفي جميع الأحوال يلتزم المرخص له بإخطار الهيئة بأي حوادث قد ينتج عنها تعطيل أو انقطاع الخدمات.
وألزمت اللائحة المرخص له بإبقاء أنظمة إدارة وتشغيل الشبكة داخل السلطنة. وحظر الوصول عن بعد إلى الشبكة إلا من قبل العاملين بالدعم الفني من المستوى الثالث، وذلك في حالة الضرورة، ولفترة محدودة، وبعد الحصول على موافقة المرخص له. وضمان عدم قيام مقدم الخدمة المدارة والمتعاقدين معه من الباطن بتشغيل أو إدارة أو صيانة أو الوصول إلى نظم وأجهزة تحقيق متطلبات الأمن الوطني أو الاضطلاع بأي أنشطة من خلالها. وتطبيق التدابير الفنية اللازمة لحماية شبكات وخدمات الاتصالات ضد الحوادث الأمنية. وتطبيق التدابير الفنية اللازمة لحماية أجهزة وخوادم الشبكة، وتطبيق التدابير الفنية اللازمة لحماية المواقع والمباني التابعة له، وحصر الدخول إليها للمصرح لهم فقط. وتطبيق التدابير الفنية اللازمة لحماية بيانات المشترك ضد السرقة، أو الفقدان، كابينة الكوابل الخارجية وكابينة توزيع الألياف البصرية « FDH » ونقطة التوزيع « DP»، وحماية مواقع الأبراج والمحطات، وتزويد الهيئة بالبيانات والمعلومات متى طلبت ذلك.
وأوجبت اللائحة على المرخص له عن إبرام اتفاقية الخدمة المدارة مراعاة ضمان بقاء أمن الشبكة والخدمات والمباني ضمن المسؤولية الكاملة للمرخص له، وتقييم المخاطر والامتثال لتدابير التخفيف من المخاطر بشكل واضح من قبل المرخص له، وتقييم قدرة مقدم الخدمة المدارة من قبل المرخص له عبر عملية ممنهجة، وإدارة متطلبات أمن الشبكة والخدمات والمباني بشكل مستمر، وعلى المرخص له الحصول على ضمانات من مقدم الخدمة المدارة بأن هذه المتطلبات قد استوفيت. وإدارة أمن الشبكة والخدمات والمباني بعناية في أثناء تغيير مقدم الخدمة المدارة، أو إنهاء العقد معه.
وأوجبت اللائحة تضمين اتفاقية الخدمة المدارة متطلبات أمن الشبكة والخدمات والمباني، والمتطلبات الأمنية المتعلقة بموظفي مقدم الخدمة المدارة، ومتطلبات إدارة عملية الوصول إلى أنظمة الاتصالات وتقنية المعلومات والصلاحيات الممنوحة لمستخدمي هذه الأنظمة، والمتطلبات الأمنية المتعلقة بالخدمات والمنتفعين والبيانات والنظم.
وأجازت اللائحة للهيئة في أي وقت سواء بنفسها أو عن طريق الشركات المتخصصة في هذا الشأن إجراء عمليات تدقيق أمنية دورية، بالإضافة إلى عمليات التدقيق الأمني في حالة حدوث أي حادث أمني، وذلك كله على نفقة المرخص له.
وفرضت اللائحة غرامة إدارية على كل من يخالف أحكام هذه اللائحة فعلى سبيل المثال في حالة مخالفة تطبيق التدابير الفنية والتنظيمية اللازمة لإدارة المخاطر الأمنية المرتبطة بشبكات وخدمات الاتصالات، وتطبيق التدابير الفنية اللازمة لحماية شبكات وخدمات الاتصالات ضد الحوادث الأمنية تفرض غرامة قدرها 200 ألف ريال، وفي حالة الإخلال بإجراء تقييم دوري لبيان مستوى أمن المباني وعناصر الشبكة الخارجية والمحطات والأبراج ومستوى التطبيقات والخوادم وبرمجيات الأنظمة تفرض غرامة إدارية قدرها 150 ألف ريال.
أوضحت اللائحة أن أحكامها تسري على جميع مكونات الشبكة، بما في ذلك الشبكة الأساسية وشبكة الوصول، وسياسة إدارة كلمات المرور، والمقاسم، والتحديثات، ونظام أسماء النطاقات «DNS « والمباني. كما تسري على جميع الأجهزة والمرافق الموصلة بالشبكة، بما في ذلك شبكات تطوير المحتوى « CDN» وأنظمة التخزين «الدائم والمؤقت» وأنظمة توزيع المحتوى.