Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرOTICSStandrd

​​​

معيار أمن أجهزة وأنظمة التحكم الصناعي (OT/ICS) :

-المتطلبات العامة (General requirements) :

الهدف : تحديد المتطلبات العامة لأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان حماية توافرها وسلامتها وسريتها وإدارتها بشكل آمن واستخدامها بالشكل المناسب عند الحاجة.

المخاطر المحتملة : في حالة عدم استخدام أجهزة وأنظمة التحكم الصناعي (OT/ICS) بشكل صحيح وعدم إدارتها وفقًا لهذه المعايير الأمنية، فقد يؤدي ذلك إلى تداعيات وخيمة قد تتسبب في اختراق الأعمال والإخلال باستمرارية العمليات التشغيلية ووقوع خسائر مالية.

الإجراءات المطلوبة :

    • تثبيت كل أجهزة وأنظمة التحكم الصناعي (OT/ICS) في البنية التحتية لدى جامعة الإمام محمد بن سعود الإسلامية وفقًا لسياسات ومعايير ومتطلبات الأمن السيبراني المعتمدة لضمان سلامة الأجهزة وأمنها وعملها بالشكل الصحيح.
    • تحديد كل أجهزة وأنظمة التحكم الصناعي (OT/ICS) وجردها وإدارتها وصيانتها وحمايتها وفقًا للمعايير المحددة مسبقًا والتوجيهات الصادرة عن الموردين وأفضل الممارسات ووفقًا للأنظمة واللوائح ذات العلاقة.
    • أن تشمل أجهزة وأنظمة التحكم الصناعي (OT/ICS) كل الأصول والأنظمة المسؤولة عن تنفيذ وصيانة العمليات التشغيلية لدى جامعة الإمام محمد بن سعود الإسلامية، بما في ذلك وحدات التحكم في أجهزة أنظمة التحكم الصناعي (OT/ICS)، مثل أجهزة التحكم المنطقي القابلة للبرمجة (Programmable Logic Controllers)، ووحدات التحكم الطرفية (Remote Terminal Units)، وأنظمة التحكم الموزَّع (Distributed Controls Systems)، وأنظمة معدات السلامة (Safety Instrumented Systems) وغيرها من الأصول المسؤولة عن التحكم في العمليات التشغيلية لدى جامعة الإمام محمد بن سعود الإسلامية.
    • إدارة جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) طوال دورة حياتها بالكامل وفقًا لمنهجية "الأمن من خلال التصميم" (Security-by-Design).
    • أن تكون جميع الوثائق المطلوبة بموجب معيار أمن أجهزة وأنظمة التحكم الصناعي (OT/ICS Security Standard) متوافقة مع هذا المعيار ومع ضوابط الأمن السيبراني للأنظمة التشغيلية (OTCC).
    • استخدام الأجزاء المشفرة أو المجموعات الاختبارية، إن أمكن، للتحقق من سلامة شفرة برامج وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإصدار إنذار في حالة تغييرها.
    • على مهندسي أنظمة التحكم في العمليات ضمان عدم قدرة المشغلين على إدخال بيانات أو ضبط إعدادات غير البيانات أو الإعدادات المطلوبة من الناحية العملية أو المادية في العملية.

-التحكّم بالوصول (Access control) :

الهدف : تحديد متطلبات عملية ضبط إعدادات الوصول إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍في حالة عدم تحديد ومراقبة صلاحيات الوصول إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإدارتها وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى انتهاكات تتعلق بصلاحيات الوصول وقد تتسبب في اختراق الأعمال والإخلال باستمرارية العمليات التشغيلية ووقوع خسائر مالية.

الإجراءات المطلوبة :

    • أن يقتصر استخدام موارد أجهزة وأنظمة التحكم الصناعي (OT/ICS) لدى جامعة الإمام محمد بن سعود الإسلامية على المستخدمين المصرّح لهم أو البرامج أو العمليات أو الأنظمة الأخرى المصرَّح لها.
    • عدم منح صلاحية الوصول إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS) إلا بعد تحديد هوية المستخدم ومنح التصريح له. ويجب على جامعة الإمام محمد بن سعود الإسلامية تحديد وتوثيق أنواع الحسابات المستخدمة على تلك الأجهزة والأنظمة والامتيازات والصلاحيات الممنوحة لها.
    • إلغاء تفعيل الحسابات وكلمات المرور الافتراضية أو حذفها.
    • على جامعة الإمام محمد بن سعود الإسلامية التأكّد من تطبيق آليات أو إجراءات لحماية الأنظمة وفقًا لمعايير إدارة الصلاحيات (Access Management) الخاصة بـ جامعة الإمام محمد بن سعود الإسلامية والممارسات الأمنية العامة بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).
    • على جامعة الإمام محمد بن سعود الإسلامية التأكد من عدم تأثير عملية تنفيذ صلاحيات الوصول المنطقي أو المادي إلى أجهزة وأنظمة التحكم الصناعي على استمرارية العمليات التشغيلية أو تعطيلها لها.
    • عدم منح المستخدمين سوى الحقوق والصلاحيات المطلوبة لهم تحديدًا لأداء المهام المطلوبة منهم (مبدأ الحد الأدنى من الصلاحيات والامتيازات). ويجب على وجه التحديد عدم منح صلاحيات مدير النظام، متى ما أمكن ذلك. ويجب إلغاء تفعيل الحسابات غير المطلوبة أو إزالتها، إن أمكن.
    • على جامعة الإمام محمد بن سعود الإسلامية وضع وتوثيق القيود على الاستخدام ومتطلبات ضبط الإعدادات / الاتصال وإرشادات التنفيذ لكل نوع من أنواع الوصول عن بُعد المسموح بها.
    • تأمين جميع جلسات الوصول عن بُعد إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS) وتشفيرها وتنفيذها بطريقة مقبولة لا تتداخل مع عمل تلك الأجهزة والأنظمة أو تؤثر عليه. ويجب مراقبة وتسجيل جميع اتصالات وأنشطة الوصول عن بُعد بصفة مستمرة.
    • يُحظر السماح بالوصول العام وغير الآمن إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS). ويجب عدم السماح بالوصول إلى تلك الأجهزة والأنظمة من شبكات خارجية إلا عبر منطقة محايدة (DMZ) مخصصة لذلك.
    • على جامعة الإمام محمد بن سعود الإسلامية توفير نقاط وصول عن بُعد (Jump Stations/Hosts) في منطقة محايدة (DMZ) لضمان التحكّم الصارم في وصول الاتصالات الخارجية إلى أجهزة وأنظمة التحكم الصناعي.
    • الفصل بين إعدادات وحدات التحكم و/ أو البرامج و/ أو بيانات التشغيل لأجهزة وأنظمة التحكم الصناعية (OT/ICS) بناءً على وسيط الوصول، مثل الواجهة المادية وبروتوكول الاتصال ونوع الأمر (على سبيل المثال، بدون صلاحيات (None) أو صلاحيات القراءة (Read) أو صلاحيات القراءة / الكتابة (Read/Write) للإعدادات / البرامج والشبكة الخارجية).
    • قصر صلاحيات الوصول إلى وحدات التحكم في أجهزة وأنظمة التحكم الصناعي لضبط إعداداتها أو صيانتها على مدير النظام المصرّح له فقط وحماية ذلك بحساب وكلمة مرور غير افتراضية.

-التدقيق والمساءلة (Audit and accountability) :

الهدف : تحديد متطلبات عمليات التدقيق والمساءلة لأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سيرها بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة :  ‍في حالة عدم تحديد متطلبات التدقيق والمساءلة لأجهزة وأنظمة التحكم الصناعي (OT/ICS) بشكل صحيح وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى تداعيات وخيمة قد تتسبب في اختراق الأعمال والإخلال باستمرارية العمليات التشغيلية ووقوع خسائر مالية.

الإجراءات المطلوبة :

    • التحقق من أمن الشبكات والمكونات الأخرى لأجهزة وأنظمة التحكم الصناعي (OT/ICS) على فترات منتظمة. وفي حالة الأنظمة المعقدة، يجب تشكيل فرق متخصصة لتحديد سيناريوهات الهجمات المحتملة وتقييمها.
    • إجراء عمليات تدقيق دورية على أجهزة وأنظمة التحكم الصناعي (OT/ICS) للتحقق مما يلي:
      • لا تزال الضوابط الأمنية التي كانت موجودة أثناء اختبار التحقق من الأنظمة موجودة وتعمل بشكل صحيح في نظام الإنتاج.
      • خلو نظام الإنتاج من الثغرات الأمنية وتوفيره للمعلومات عن طبيعة الثغرات ونطاقها حال وجودها، قدر الإمكان.
      • اتباع برنامج إدارة التغييرات بدقة بالغة، مع إجراء جولة لمراجعة جميع التغييرات واعتمادها.
    • في بعض الحالات، حينما لا يكون بإمكان أجهزة وأنظمة التحكم الصناعي (OT/ICS) دعم استخدام الآليات والإجراءات الآلية لإعداد سجلات التدقيق، يجب على جامعة الإمام محمد بن سعود الإسلامية استخدام الآليات أو الإجراءات غير الآلية كضوابط بديلة وفقًا للممارسات الأمنية العامة بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).

-التقييم والمراقبة (Assessment and monitoring) :

الهدف : ‍تحديد متطلبات عمليات تقييم ومراقبة أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سيرها بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : يمكن أن يؤدي عدم تقييم ومراقبة أجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى عواقب وخيمة فيما يتعلق بالأمن. كما أن غياب المراقبة يمكن أن يؤدي إلى عدم إمكانية كشف التغييرات غير المصرّح بها، مما يضر باستمرارية العمليات والإجراءات.

الإجراءات المطلوبة :

    • إجراء عمليات تقييم أجهزة وأنظمة التحكم الصناعي (OT/ICS) من قبل مقيِّمين مؤهلين ومفوضين من جامعة الإمام محمد بن سعود الإسلامية.
    • قبل تطبيق أي ضوابط أمنية على أجهزة وأنظمة التحكم الصناعي (OT/ICS)، يجب إجراء تقييم مناسب للمخاطر لضمان عدم تأثير تطبيق تلك الضوابط على العمليات التشغيلية أو استمرارية الأعمال وعدم تقليله للقدرات الأمنية للأنظمة.
    • عند تقييم المخاطر، يجب على جامعة الإمام محمد بن سعود الإسلامية التحقق من أن تطبيق أي ضوابط أمنية على أجهزة وأنظمة التحكم الصناعي (OT/ICS) لن يؤثر على مكونات الأنظمة الأخرى.
    • أن يكون لدى المقيّمين المسؤولين عن إجراء التقييم فهم كامل للسياسات والإجراءات الأمنية التنظيمية (خاصةً تلك المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS)) وللمخاطر المحددة المتعلقة بالصحة والسلامة والبيئة والمرتبطة بمرفق و/ أو عملية معينة.
    • في حالة الحاجة إلى فصل أحد أجهزة وأنظمة التحكم الصناعي (OT/ICS) لإجراء تقييم معين عليه (مثل اختبارات الاختراق وعمليات مسح الثغرات)، يجب تحديد مواعيد التقييم و/ أو عمليات المسح بحيث يتم تنفيذها خلال أوقات توقف أجهزة وأنظمة التحكم الصناعي (OT/ICS) المخطط لها عند الإمكان.
    • استخدام مسح الثغرات واختبار الاختراق بعناية على شبكات أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان عدم التأثير سلبًا على وظائف تلك الأجهزة والأنظمة بسبب عملية المسح.
    • حجب عمليات مسح الثغرات الناشئة من شبكة تقنيات المعلومات على مستوى حركة البيانات على الشبكة لضمان عدم مسحها لشبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS).

-إدارة النسخ الاحتياطي (Backup management) :

الهدف : تحديد متطلبات عملية إدارة النسخ الاحتياطي لأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : في حالة عدم تحديد متطلبات عملية إدارة النسخ الاحتياطي لأجهزة وأنظمة التحكم الصناعي (OT/ICS) وعدم تنفيذ تلك المتطلبات، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر على استمرارية العمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على جامعة الإمام محمد بن سعود الإسلامية حفظ نسخ احتياطية من أجهزة وأنظمة التحكم الصناعي (OT/ICS) بصفة منتظمة بحسب الإجراءات المحددة لكل جهاز ونظام منها. ويجب ألا تؤثر عملية النسخ الاحتياطي على استمرارية العمليات التشغيلية أو الأعمال.
    • أن تشمل النسخ الاحتياطية جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) المخصصة للتحكم في العمليات ومراقبتها (ويجب ألا يقتصر ذلك على الأجهزة التي تعمل بنظام Windows ونظام Linux فقط).
    • أن تشمل عملية النسخ الاحتياطي لأجهزة وأنظمة التحكم الصناعي (OT/ICS) الأنظمة والبرامج والتراخيص المثبَّتة وإعدادات المكونات والقيم الحالية والأولية لمتغيرات العمليات.
    • تحديث النسخ الاحتياطية لأجهزة وأنظمة التحكم الصناعي (OT/ICS) بصفة منتظمة والتحقق منها في بيئة مخصصة بحيث لا تؤثر على استمرارية العمليات التشغيلية أو الأعمال.
    • في حالة عدم إمكانية تنفيذ النسخ الاحتياطي للأنظمة وهي قيد التشغيل، فيجب تنفيذه خلال فترات الصيانة والتخطيط لذلك مسبقًا.
    • على جامعة الإمام محمد بن سعود الإسلامية ضمان الالتزام بقواعد الاحتفاظ بالنسخ الاحتياطية. يجب إعداد النسخ الاحتياطية بحيث تغطي حالة الأجهزة والأنظمة بعد اختبار القبول الميداني (Site Acceptance Test) وقبل جميع فترات صيانة أجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • تحديد جميع عمليات النسخ الاحتياطي لأجهزة وأنظمة التحكم الصناعي (OT/ICS) مسبقًا وضبط إعداداتها وأتمتتها (إن أمكن).
    • على جامعة الإمام محمد بن سعود الإسلامية توفير خادم مخصص للنسخ الاحتياطية لأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • عزل شبكة خادم النسخ الاحتياطية لأجهزة وأنظمة التحكم الصناعي (OT/ICS) ماديًا ومنطقيًا عن باقي شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS).

 

-إدارة الإعدادات (Configuration management) :

الهدف : ‍تحديد متطلبات إدارة إعدادات أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة :‍ في حالة عدم تحديد الإعدادات الأساسية لأجهزة وأنظمة التحكم الصناعي (OT/ICS) وتنفيذ عملية إدارة تلك الإعدادات وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تتسبب في الإخلال باستمرارية العمليات التشغيلية والأعمال ووقوع خسائر مالية.

الإجراءات المطلوبة :

    • توثيق إعدادات جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) المصرّح بها لدى جامعة الإمام محمد بن سعود الإسلامية والاحتفاظ بها وإلزام جميع ملاك الأصول المعنيين باتباعها.
    • وضع سياسة وإجراءات إدارة الإعدادات واستخدامها للتحكم في التعديلات على الأجهزة والبرمجيات الثابتة والبرمجيات والوثائق لضمان حماية أجهزة وأنظمة التحكم الصناعي (OT/ICS) من التعديلات غير المناسبة قبل وأثناء وبعد تنفيذها على الأنظمة.
    • تطوير وتوثيق الإعدادات الأمنية الأساسية أجهزة وأنظمة التحكم الصناعي (OT/ICS)، بما يشمل جوانب الاتصالات والتشغيل والربط بالأنظمة، ومراجعتها بشكل رسمي.
    • ضبط إعدادات أجهزة وأنظمة التحكم الصناعي (OT/ICS) في أي بيئة حساسة بحيث لا يكون هناك سوى أقل عدد ممكن من نقاط الهجوم وبحيث تدعم الوظائف المطلوبة فقط. ويجب تعطيل جميع الوظائف والخدمات والبروتوكولات والمنافذ غير المستخدمة
    • تحديد وتنفيذ آليات للحماية من التلاعب في العمليات الجارية حاليًا، على أن يتم تعديل الآليات وتخصيصها بما يتناسب مع العملية ذات الصلة.
    • ضبط إعدادات أجهزة وأنظمة التحكم الصناعي (OT/ICS) وصيانتها وفقًأ لمبدأ الحد الأدنى من الإمكانيات. ويجب أن يتبنى نظام إدارة التغيير المخصص التغييرات في إعدادات الأنظمة.
    • إلغاء تفعيل واجهات الأجهزة أو حمايتها من الوصول إليها أو إساءة استخدامها، ما لم تكن مطلوبة لاستمرارية العمليات.
    • استخدام أحدث أنظمة التشغيل المدعومة بالكامل فقط على جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • تسجيل جميع التغييرات في الإعدادات ومراقبتها. ويجب ضبط إعدادات الحل المستخدم في إعداد السجلات بحيث لا يرسل سوى سجلات معينة إلى نظام السجلات المركزي باستخدام بروتوكول سجل النظام (syslog) وأن تكون بتنسيق CEF أو LEEF أو RFC 5425 المحدد للسجلات.
    • على جامعة الإمام محمد بن سعود الإسلامية تحصين أجهزة وأنظمة التحكم الصناعي (OT/ICS) بصفة منتظمة لمعالجة المخاطر والثغرات فيها. وتشمل عملية التحصين تلك (على سبيل المثال لا الحصر) ما يلي:
      • تثبيت التحديثات والإصلاحات لأنظمة التشغيل والتطبيقات والبرمجيات
      • تحديث البرمجيات الثابتة
      • تأمين الإعدادات
      • تقييد الوصول إلى المستخدمين والحسابات
      • إزالة البرمجيات والمكونات غير الضرورية
    • على جامعة الإمام محمد بن سعود الإسلامية تحديد وتحليل المخاطر المرتبطة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) القديمة التي تعمل على شبكة جامعة الإمام محمد بن سعود الإسلامية باستمرار. وبالنسبة لجميع الأجهزة القديمة التي لا يمكن تثبيت التحديثات والإصلاحات عليها، يجب على جامعة الإمام محمد بن سعود الإسلامية تنفيذ ضوابط بديلة، مثل:
      • عزل الأجهزة
      • نقل الأجهزة إلى أجزاء آمنة من الشبكة
      • قصر الاتصال على الخدمات الضرورية فقط
      • تطبيق تقنية الحماية المعزولة (Sandbox) على الأجهزة / الأنظمة التي تبدو كالأصلية
      • استخدام آلية التجزئة الدقيقة (micro-segmentation
    • إذا كانت وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) تتيح تعطيل المنافذ المادية وخدمات الشبكة والأوامر الفردية، فيجب تعطيل الميزات غير المستخدمة.
    • تعطيل الميزات التي يسهل استغلالها، مثل خادم الويب المدمج أو الميزات الأقل استخدامًا.
    • مزامنة كل ساعات أجهزة وأنظمة التحكم الصناعي (OT/ICS) باستخدام الآليات المناسبة، مثل بروتوكول وقت الشبكة (Network Time Protocol) أو بروتوكول الوقت الدقيق (Precision Time Protocol).
    • حماية أجهزة وأنظمة التحكم الصناعي (OT/ICS) من التلاعب في مفاتيح الأوضاع (mode switches) أو التغييرات في عنوان بروتوكول الإنترنت (IP address) أو التغييرات في الرقم التعريفي لعُقدة وحدة التحكم.
    • تقسيم رموز وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى وحدات، باستخدام كتل الوظائف المختلفة.
    • إدخال المنطق التشغيلي مباشرةً في وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS)، وليس في أجهزة واجهات التعامل مع الأنظمة (HMIs) أو أي واجهات أجهزة أخرى.


-التخطيط للاستمرارية (Continuity planning) :

الهدف : ‍تحديد متطلبات إدارة استمرارية أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍في حالة عدم التخطيط لاستمرارية أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإدارتها بشكل صحيح وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر سلبيًا على استمرارية الأعمال والعمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على جامعة الإمام محمد بن سعود الإسلامية وضع خطط لاستمرارية أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإجراءات للتعافي من الكوارث المصنفة ضمن فئات الاضطرابات أو الأعطال المحددة وفقًا لسياسة استمرارية أعمال الأمن السيبراني لدى جامعة الإمام محمد بن سعود الإسلامية والممارسات العامة لاستمرارية الأعمال بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).
    • في حالة فقدان المعالجة داخل أجهزة وأنظمة التحكم الصناعي (OT/ICS) أو فقدان الاتصال مع المرافق التشغيلية، يجب أن تنفذ أجهزة وأنظمة التحكم الصناعي (OT/ICS) إجراءات محددة مسبقًا (تشمل استعادة متغيرات حالة النظام).
    • في الحالات التي لا يمكن فيها ل على جامعة الإمام محمد بن سعود الإسلامية اختبار خطة الاستمرارية أو خطة التعافي من الكوارث أو التمرين عليهما على أجهزة وأنظمة التحكم الصناعي (OT/ICS) في بيئة الإنتاج بسبب الآثار السلبية الكبيرة التي قد تحدث فيما يتعلق بالأداء أو السلامة أو الموثوقية، حينها يجب على جامعة الإمام محمد بن سعود الإسلامية تطبيق الضوابط البديلة المناسبة وفقًا لسياسة استمرارية أعمال الأمن السيبراني وسياسة إدارة النسخ الاحتياطي والتعافي من الكوارث لدى جامعة الإمام محمد بن سعود الإسلامية والممارسات الأمنية العامة بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).

 

-الاستجابة للحوادث (Incident response) :

الهدف : ‍تحديد متطلبات الاستجابة لحوادث أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍في حالة عدم وضع خطة الاستجابة لحوادث أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإدارتها بشكل صحيح وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر سلبيًا على استمرارية الأعمال والعمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على جامعة الإمام محمد بن سعود الإسلامية وضع خطة للاستجابة لحوادث أجهزة وأنظمة التحكم الصناعي (OT/ICS) تتضمن الإجراءات المطلوب اتباعها في حالة وجود تسلل للحد من تأثيره. ويجب أن تكون خطط الاستجابة لحوادث أجهزة وأنظمة التحكم الصناعي (OT/ICS) المحددة متكاملة ومتوافقة مع الخطط المؤسسية والإجراءات المحددة فيها، مثل خطط الاستجابة لحوادث تقنية المعلومات وخطة إدارة الأزمات وخطة استمرارية الأعمال.
    • على جامعة الإمام محمد بن سعود الإسلامية إعداد دليل إرشادي مخصص للتعامل مع الحوادث المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • إعداد جميع الخطط والأدلة الإرشادية بطريقة تحول دون التأثير أو الإخلال باستمرارية العمليات التشغيلية والإجراءات والأعمال.


-الصيانة (Maintenance) :

الهدف : ‍‍تحديد متطلبات صيانة أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة :‍‍ ‍في حالة عدم تحديد متطلبات صيانة أجهزة وأنظمة التحكم الصناعي (OT/ICS) وإرساء عملية لإدارتها بشكل صحيح وتنفيذ تلك العملية وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر سلبيًا على استمرارية الأعمال والعمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على جامعة الإمام محمد بن سعود الإسلامية وضع سياسة وإجراءات لإجراء الصيانة الروتينية والوقائية لمكونات أجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • على جامعة الإمام محمد بن سعود الإسلامية تحديد مواعيد مسبقة لصيانة جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) حتى لا تؤثر على استمرارية العمليات أو الأعمال.
    • تحديد قواعد الصيانة واتفاقية مستوى الخدمة والاتفاق عليها مع مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) لتوضيح المسؤوليات المحددة وتلبية توقعات جامعة الإمام محمد بن سعود الإسلامية.
    • دعم جميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) وصيانتها طوال دورة حياتها بالكامل.
    • تحديث أجهزة وأنظمة التحكم الصناعي (OT/ICS) القديمة على الفور خلال الأوقات المحددة لإيقاف عمل تلك الأجهزة والأنظمة.
    • أجهزة وأنظمة التحكم الصناعي (OT/ICS) غير المدعمة أو ترحيلها على الفور أو تطبيق ضوابط أمنية مخصصة لها في حالات معينة.


-أمن الشبكة (Network security) :

الهدف : ‍‍‍تحديد متطلبات أمن شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍يمكن أن يؤدي القصور في حماية شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى تداعيات خطيرة تُفضي إلى اختراق بيئة العمل والعمليات، وهو ما قد يؤثر على استمرارية العمليات التشغيلية ويتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • تقييد حركة مرور البيانات بين شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) وشبكة تقنية المعلومات وأن تكون هناك نقطة اتصال واحدة بين هاتين الشبكتين وأن تمر جميع البيانات عبر جدار الحماية المحيط.
    • على جامعة الإمام محمد بن سعود الإسلامية تنفيذ الهندسة المرجعية للشبكة بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) ونموذج الهندسة المرجعية (نموذج بوردو "Purdue model") لتمييز الطبقات التالية على الأقل:
      • شبكة تقنية المعلومات
      • المنطقة المحايدة (DMZ) لتقنية المعلومات / الأنظمة التشغيلية
      • الشبكة الإشرافية لأجهزة وأنظمة التحكم الصناعي (OT/ICS)
      • شبكة عمليات أجهزة وأنظمة التحكم الصناعي (OT/ICS)
    • ربط كل أصل من أصول أجهزة وأنظمة التحكم الصناعي (OT/ICS) بطبقة محددة في الشبكة.
    • مراقبة حركة مرور البيانات داخل شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) وعبر محيط شبكة تقنية المعلومات / الأنظمة التشغيلية وإدارتها والتحكم فيها.
    • يجب على جامعة الإمام محمد بن سعود الإسلامية استخدام أدوات مراقبة حركة مرور البيانات على شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) المخصصة فقط، مع استخدام أساليب وآليات المراقبة غير المباشرة.
    • يجب أن تعتمد أنظمة الكشف عن التسلل إلى أجهزة وأنظمة التحكم الصناعي (OT/ICS) التي تستخدمها جامعة الإمام محمد بن سعود الإسلامية فقط على المراقبة غير المباشرة لحركة مرور البيانات باستخدام توقيعات الهجمات المطورة لمختلف بروتوكولات أجهزة وأنظمة التحكم الصناعي (OT/ICS) وضمان ألا يؤثر استخدامها سلبًا على الأداء التشغيلي لتلك الأجهزة والأنظمة.
    • يجب على جامعة الإمام محمد بن سعود الإسلامية استخدام الجيل الجديد من جدران الحماية كأجهزة حماية محيطية. ويجب أن يكون بإمكان جدران الحماية المستخدمة التعرف على بروتوكولات الشبكة الصناعية ودعمها.
    • بالنسبة للأنظمة الحساسة التي تتطلب مرور البيانات في اتجاه واحد على الشبكة، يجب استخدام أجهزة نقل البيانات في اتجاه واحد (Data diodes) وفقًا لمعيار أجهزة نقل البيانات في اتجاه واحد (Data diode standard) المطبق لدى جامعة الإمام محمد بن سعود الإسلامية.
    • يجب على جامعة الإمام محمد بن سعود الإسلامية تحديد متطلبات الإعدادات ومتطلبات الاتصال وإرشادات التنفيذ لكل نوع من أنواع الوصول اللاسلكي لأجهزة وأنظمة التحكم الصناعي (OT/ICS). يجب على جامعة الإمام محمد بن سعود الإسلامية استخدام البروتوكولات المطورة والمعتمدة فقط للاتصال اللاسلكي بأجهزة وأنظمة التحكم الصناعي (OT/ICS) وفقًا للمنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).

-الحماية المادية والبيئية (Physical and environmental protection) :

الهدف : ‌تحديد متطلبات الحماية المادية والبيئية لأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍‍يمكن أن يؤدي القصور في الحماية المادية والبيئية لأجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى تداعيات خطيرة تُفضي إلى اختراق بيئة العمل والعمليات، وهو ما قد يؤثر على استمرارية العمليات التشغيلية ويتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • توفير الحماية المادية للمكونات السيبرانية والبيانات المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) في إطار توفير الأمن بوجه عام في الموقع.
    • على جامعة الإمام محمد بن سعود الإسلامية توفير محيط أمني مادي (العديد من الحواجز، المباشرة وغير المباشرة، حول المباني أو المرافق أو الغرف أو المعدات أو أنظمة المعلومات الأخرى). وتشمل ضوابط الأمن المادي التي تهدف إلى حماية المواقع الفعلية الأسوار أو حواجز منع مرور المركبات أو الأرصفة أو الجدران أو الحواجز الخرسانية المسلحة أو البوابات أو غيرها من التدابير.
    • أن تضمن أنظمة التحكم بالوصول عدم وصول سوى الأشخاص المصرّح لهم فقط إلى المناطق الخاضعة للمراقبة. ويجب أن يتيح النظام التحقق من إمكانية التعرّف بوضوح وسرّية على الأشخاص الذين تم منحهم صلاحيات الوصول. ويجب أن تكون إجراءات التحكّم بالوصول موثوقة للغاية، وألا تؤثر على المهام الروتينية أو الطارئة للعاملين في المكان (الموظفون والمتعاقدون).
    • مراعاة جميع العوامل البيئية عند تلبية الاحتياجات الأمنية، على سيبل المثال:
      • إذا كان الموقع به غبار، فيجب وضع الأنظمة والأجهزة داخل خزائن خاصة بها فلاتر لتنقية الهواء،
      • إذا كان من المحتمل أن يشكل الاهتزاز مشكلة، فيجب تثبيت الأنظمة والأجهزة على بطانات مطاطية لتفادي مشاكل تعطل الأقراص وتوصيل الأسلاك،
      • يجب توفير درجة حرارة ورطوبة ثابتة للأنظمة والوسائط.
    • أن تدعم أنظمة التدفئة والتهوية والتكييف (HVAC) في غرف التحكم العاملين في الموقع (الموظفين والمتعاقدين) خلال ظروف العمل العادية وحالات الطوارئ.
    • من الضروري توفير مصدر طاقة موثوق لأجهزة وأنظمة التحكم الصناعي (OT/ICS)، لذلك يجب توفير مصادر طاقة متعددة وغير منقطعة أو مولّد احتياطي. ويجب ضبط القدرات بدقة، على أقل تقدير، حتى يمكن إيقاف تشغيل النظام بأمان.
    • يُحظر تمامًا السماح بخروج أجهزة وأنظمة التحكم الصناعي (OT/ICS) وغيرها من الأجهزة المستخدمة لأداء الوظائف المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) من المنطقة المخصصة لها واستخدامها خارج شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS).

 

-تقييم المخاطر (Risk assessment) :

الهدف : ‍‍‍تحديد متطلبات تقييم المخاطر المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة :‍‍ ‍في حالة عدم تحديد متطلبات تقييم المخاطر المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) وإدارتها بشكل صحيح وتنفيذ عملية إدارتها وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر سلبيًا على استمرارية الأعمال والعمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على جامعة الإمام محمد بن سعود الإسلامية وضع سياسات وإجراءات تقييم المخاطر المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) من أجل تحديد المخاطر وحجم الضرر الذي قد ينتج عن الوصول غير المصرح به إلى أنظمة المعلومات والبيانات أو استخدامها أو الإفصاح عنها أو الإخلال بها أو تعديلها أو إتلافها دون تصريح.
    • تقدير حجم المخاطر المحتملة لتدفق البيانات من شبكة أجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى الشبكة المؤسسية على أساس قيمة البيانات.
    • أن يتضمن تقييم المخاطر المتعلقة بأجهزة وأنظمة التحكم الصناعي (OT/ICS) جميع العوامل المؤثرة على استمرارية الأعمال: الأمن السيبراني، والسلامة، والأمن المادي، واستمرارية العمليات.


-حماية النظام والاتصالات وسلامة المعلومات (System, communication protection and information integrity):

الهدف : ‌‌تحديد متطلبات حماية أجهزة وأنظمة التحكم الصناعي (OT/ICS) واتصالاتها وسلامة معلوماتها لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : ‍في حالة عدم تحديد متطلبات حماية أجهزة وأنظمة التحكم الصناعي (OT/ICS) واتصالاتها وسلامة معلوماتها وإدارة تنفيذ تلك المتطلبات وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر سلبًا على اتصالات الأنظمة وقد تهدد استمرارية العمليات التشغيلية وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • يجب على جامعة الإمام محمد بن سعود الإسلامية تحديد نمط العطل المحتمل (failure mode) لجميع أجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • على مستوى التطبيق، يجب استخدام نسخ آمنة من البروتوكولات وكذلك من الآليات المصاحبة للتشفير والتحقق من السلامة والموثوقية.
    • تحديد مدى الحاجة إلى استخدام التشفير بعد تقييم المخاطر وتحليل الاحتياجات الأمنية والتداعيات المحتملة على أداء النظام. ويجب على جامعة الإمام محمد بن سعود الإسلامية مراعاة ما إذا كان التأخير في الاستجابة الناتج عن استخدام التشفير سيؤثر سلبيًا على الأداء التشغيلية لأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • قبل نشر التشفير في بيئة أجهزة وأنظمة التحكم الصناعي (OT/ICS)، يجب إجراء اختبارات شاملة لأداء الحلول.
    • أن تكون جميع حلول التشفير المستخدمة والمطبقة على أجهزة وأنظمة التحكم الصناعي (OT/ICS) متوافقة مع سياسة ومعايير التشفير التي تم إعدادها.
    • في بعض الحالات، حينما لا يكون بإمكان أجهزة وأنظمة التحكم الصناعي (OT/ICS) حماية موثوقية جلسات الاتصالات، يجب على جامعة الإمام محمد بن سعود الإسلامية استخدام ضوابط بديلة وفقًا للممارسات الأمنية العامة بناءً على معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2).
    • تطبيق ضوابط مخصصة لأجهزة وأنظمة التحكم الصناعي (OT/ICS) من أجل الكشف عن الشفرات الضارة والحماية من الرسائل الاقتحامية وبرمجيات التجسس وكشف التسلل.
    • تحديد مدى الحاجة للحماية من الشفرات الضارة بعد الدراسة المتأنية والتحقق من أنها لن تؤثر سلبيًا على الأداء التشغيلي لأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • على جامعة الإمام محمد بن سعود الإسلامية استخدام نظام حماية الأجهزة الطرفية (Endpoint Protection System) الموصى به من مورّد أجهزة وأنظمة التحكم الصناعي (OT/ICS):
      • يجب تأمين أنظمة Windows وUnix وLinux وغيرها من الأنظمة المستخدمة كوحدات تشغيل ووحدات عمل هندسية وأجهزة لتسجيل وحفظ البيانات وأجهزة لواجهات التعامل مع الأنظمة (HMIs) وأنظمة للتحكم الإشرافي وتحصيل البيانات (SCADA) ذات أغراض عامة وخوادم للنسخ الاحتياطي وفقًا للممارسات الأمنية المعتادة بناءً على معيار أمن أجهزة المستخدمين (Workstations Security standard) لدى جامعة الإمام محمد بن سعود الإسلامية.
      • كما يجب اتباع توصيات المورّد فيما يتعلق بجميع الخوادم وأجهزة المستخدمين الأخرى في بيئة أنظمة التحكم (أنظمة التحكم الموزّع (DCS) وأجهزة التحكم المنطقي القابلة للبرمجة (PLC) وغيرها من المعدات) ذات الشفرة المعتمدة على الوقت، والتي تعتمد على نظام تشغيل معدّل أو موسّع.
    • على جامعة الإمام محمد بن سعود الإسلامية التأكد من عدم تأثير استخدام أدوات وأساليب المراقبة سلبًا على الأداء التشغيلي لأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • عدم إيقاف أو إعادة تشغيل أجهزة وأنظمة التحكم الصناعي (OT/ICS) بشكل آلي دون إذن من مسؤول النظام عند تحديد أي خلل.
    • دعم أجهزة وأنظمة التحكم الصناعي (OT/ICS) المصنفة باعتبارها حساسة بالنسبة إلى جامعة الإمام محمد بن سعود الإسلامية من خلال أنظمة احتياطية وأنظمة لإيقاف التشغيل في حالة الطوارئ لحمايتها وضمان توافر العمليات بشكل كبير.
    • على جامعة الإمام محمد بن سعود الإسلامية التأكد من عدم تأثير استخدام تطبيقات التحقق من السلامة سلبًا على الأداء التشغيلي لأجهزة وأنظمة التحكم الصناعي (OT/ICS).
    • مراقبة وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) من حيث تكرار الأنشطة غير الطبيعية ويجب اتخاذ الإجراءات المناسبة في حالة اكتشافها.
    • تكون بروتوكولات الاتصالات الصناعية المستخدمة في وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) معروفة وموثقة بشكل جيد.
    • أن تكون بروتوكولات الاتصال التي تستخدمها وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) لتبادل البيانات مع الأنظمة الموجودة خارج منطقة أجهزة وأنظمة التحكم الصناعي (OT/ICS) (الحلول الموجودة خارج تلك المنطقة) من الممكن التعرف عليها من خلال جدار الحماية الصناعي وأنظمة منع التسلل (IPS) / أنظمة كشف التسلل (IDS) المخصصة للأنشطة الصناعية.
    • تحديد الحالات الآمنة للعمليات في حالة إعادة تشغيل وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) (على سبيل المثال، توصيل الطاقة، أو فصل الطاقة، أو الحفاظ على الحالة السابقة).
    • الاحتفاظ بسجلات تشخيص وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) حتى تكون متاحة في حالة تحليلها. ويجب إرسال سجلات التشخيص إلى خوادم جمع السجلات الخارجية.
    • تسجيل حالات الإيقاف الإجباري لوحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) نتيجة الأعطال أو إيقاف التشغيل ومراقبتها للرجوع إليها قبل إعادة تشغيل وحدات التحكم.
    • قياس استخدام الذاكرة بالنسبة لكل وحدة من وحدات التحكم في أجهزة وأنظمة التحكم الصناعي (OT/ICS) المستخدمة في بيئة الإنتاج وتحديد اتجاهها من أجل تشخيصها. ويجب وضع خط أساس لاستخدام الذاكرة.

 

-إدارة أمن الموردين والأطراف الخارجية (Vendor and third-party security management) :

الهدف : ‍‍‍تحديد متطلبات إدارة أمن الأطراف الخارجية ومورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : في حالة عدم ضمان مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) لتوافر الموارد الأمنية المناسبة وفقًا للمعايير الأمنية لدى جامعة الإمام محمد بن سعود الإسلامية، فقد يؤدي ذلك إلى عواقب وخيمة قد تؤثر على استمرارية العمليات وتضر بالمؤسسة وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • على مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) الحرص على تحديث التوصيات الأمنية بخصوص مكونات أجهزة وأنظمة التحكم الصناعي (OT/ICS) المستخدمة بانتظام.
    • على مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) ضمان توفير سجلات حديثة للثغرات بصفة منتظمة تتضمن جميع الثغرات المكتشفة والطرق المحتملة لإصلاحها.
    • مراقبة جميع مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) والمقاولين الخارجيين وتقييم أدائهم بصفة منتظمة وفقًا لمستوى الخطورة المحدد (بما في ذلك مخاطر سلسلة الإمداد) واتفاقية مستوى الخدمة المتفق عليها.
    • تقييم جميع مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) والمقاولين الخارجيين الجدد من حيث المخاطر المحتملة واتفاقية مستوى الخدمة.

 

-الالتزام بالمعيار (Compliance) :

الهدف : ‍‍‍تحديد متطلبات ضمان الالتزام فيما يتعلق بأجهزة وأنظمة التحكم الصناعي (OT/ICS) لضمان سير العملية بشكل سليم وآمن وفقًا للقواعد الأمنية المحددة.

المخاطر المحتملة : يمكن أن يؤدي عدم الالتزام فيما يتعلق بأجهزة وأنظمة التحكم الصناعي (OT/ICS) إلى عواقب وخيمة قد تضر بالمؤسسة وتتسبب في وقوع خسائر مالية.

الإجراءات المطلوبة :

    • ضمان الالتزام بضوابط الأمن السيبراني للأنظمة التشغيلية (OTCC) والمعايير الصناعية المخصصة الأخرى، مثل معيار الجمعية الدولية للأتمتة / اللجنة الكهروتقنية الدولية (ISA/IEC 62443) أو المنشور الخاص للمعهد الوطني للمعايير والتقنية (NIST SP 800-82r2)، وغيرها من المتطلبات المحددة، بالنسبة لجميع أجهزة وأنظمة التحكم الصناعي (OT/ICS) والمسؤولين عن تحقيق التكامل بينها ومورّديها.
    • على جامعة الإمام محمد بن سعود الإسلامية إجراء تقييمات منتظمة للتحقق من الالتزام.
    • مراجعة جميع الاتفاقيات مع مورّدي أجهزة وأنظمة التحكم الصناعي (OT/ICS) والمقاولين الخارجيين بصفة منتظمة من حيث المتطلبات التنظيمية والالتزام.

-معايير أخرى (Other Standard controls) :

الهدف : يجب ضبط إعدادات أجهزة وأنظمة التحكم الصناعي (OT/ICS) بشكل آمن ومراقبتها واستخدامها بشكل صحيح عند الحاجة.

المخاطر المحتملة :  في حالة عدم التزام جامعة الإمام محمد بن سعود الإسلامية بجميع معايير ومتطلبات جامعة الإمام محمد بن سعود الإسلامية، فقد يعرضها ذلك لتهديدات خطيرة.

الإجراءات المطلوبة :

    • تطبيق المعايير التالية فيما يتعلق بأمن أجهزة وأنظمة التحكم الصناعي (OT/ICS):
      • معيار أمن الشبكات
      • معيار أمن أجهزة المستخدمين
      • معيار إدارة هويات الدخول والصلاحيات
      • معيار الإعدادات والتحصين الآمن
      • معيار إدارة النسخ الاحتياطية والاسترجاع
      • معيار الأمن المادي
      • معيار إدارة الأصول
      • معيار تصنيف الأصول
      • ‍معيار إدارة سجلات الأحداث ومراقبة الأمن السيبراني
      • معيار الاستجابة للحوادث​
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م