ما هو قانون تنظيم أمن شبكات المعلومات الوطني وتأثيره على مشغلي الخدمات الأساسية؟

- Information security - NISD

28-05-2019


أصبح العديد من الخدمات الأساسية في القرن الحادي والعشرين تعتمد وبشكل كبيرعلى الشبكات وتكنولوجيا المعلومات والإنترنت، مثل الصحة والنقل والطاقة والمياة والبنية التحتية والرقمية على وجه الخصوص. وبالتالي أصبح من الضروري التأكد من أن جميع هذه الخدمات قادرة على مقاومة أي نوع من الإضطرابات على الإنترنت – العدائية منها أو التي تتعلق بفشل في أداء التكنولوجيا.

ومن هذا المنطلق، قامت الحكومة البريطانية بإعمتاد قانون أمن شبكات المعلومات الوطني (NISD) في مايو 2018  وذلك بهدف إنشاء قاعدة أمنية مشتركة للأنظمة والشبكات لضمان إستمرارية الخدمات الأساسية، وبالتالي موائمة قوانين وأنظمة المملكة المتحدة مع قوانين وأنظمة الإتحاد الأوروبي.

والجدير ذكره أن هذا القانون لا يتعلق بالمعلومات فقط بل بالمرونة التشغيلية أيضاً

كيف يتم تنظيم حماية أمن شبكات المعلومات الوطني (NISD) ؟

لقد وضع المركزالوطني للأمن السيبراني في بريطانيا (NISD) مجموعة شاملة من المبادئ والأهداف المستندة  للنتائج  والتي يجب على مقدمي الخدمات الأساسية (OES) الإلتزام بها. وإدراكاً للمستوى المعرفي لديهم من حيث إلمامهم بالقواعد واللوائح التنظيمة المختلفة وبتنظيم القطاعات المختلفة من ضمنها القطاعات الفرعية المختلفة، قام المركز الوطني بفرض مهام الرقابية للسلطات التنظيمة المختصة في كل قطاع.

ويقع مهام تطوير إطارالتقييم للأمن السيبراني على السلطة أو الجهة المختصة التي تقوم بإبلاغ المنظمات المتأثرة على ضرورة الإلتزام بالإطار التنظيمي المقرر. وتُعرف المنظمة على أنها مقدمة للخدمات الأساسية  بناءً على قدرات القطاع ومستوى وحجم الخدمات المقدمة -أي بـ (Threshold capacity)

وهذا النوع من اللآمركزية في التنظيم يضمن لكل جهة تفسير المبادئ حسب خصوصية كل قطاع، وبالتالي تمكين الجهة المسؤولة على تطوير إطار تنظيمي خاص لأغراص التقييم والتدقيق.

كيف يعمل منهج العتبات Threshold Capacity؟

فعلى سبيل المثال، أحد معايير القياس لقطاع النقل يعتمد على عدد الركاب أما بالنسبة لقطاع الغاز أو الكهرباء فإنها تعتمد على عدد التوريد أوحجم وسعة التخزين وللمزيد من المعلومات أنقر هنا

والمعايير هذه يمكنها أن تتغير في المستقبل كذلك القطاعات المختلفة

الإمتثال بالنظام

تؤدي المخاوف الموجودة في قطاع الأمن السيبراني الى خلق فرص عمل تستفيد منها العديد من الشركات الإستشارية وذلك بهدف مساعدة المنظمات على الأمتثال، وخصوصاً إذا كانت لا تمتلك المهارات الداخلية والقدرات والمعرفة الكافية لتنفيذ الضوابط.

وبالتالي ترى هذه الشركات الإستشارية اللوائح الجديدة على أنها فرصة للربح وغالباً ما تكون النصيحة المقدمة منهم مكلفة ومزعجة بشكل غير ضروري ولا تتوائم تماماً مع طبيعة القطاع.

ومع وجود النصائح  المتضاربة في الإستشارات يصبح التنظيم السيبراني أمراً يخشى منه  العديد من الشركات، حيث غالباً ما ترى نفقات التعطيل قبل الفوائد الإيجابية مع العلم أن معظم المنظمات غير مدركة لمدى إلتزامها بالقانون.

وحسب خبرتنا، نجد أن الشركات بمجملها تقع ضمن الفئات التالية:

ناضجة: أي لديها من الخبرة والمعرفة الكافية لتنفيذ الضوابط الضرورية.

بحاجة إلى مساعدة لا تملك المعرفة عن مدى نضجها وليس لديها المهارات الداخلية الكافية لتنفييذ الضوابط إلا أنها مدركة لضرورة الإمتثال، وبالتالي فهي تحتاج إلى نصيحة بسيطة فقط لتحقيق الإمتثال.

لم تبدأ بالإلتزام إنما على دراية بقانون التنظيم الوطني: قد لا يكون لدى الشركة الوقت الكافي أو الموارد الضرورية للبدء بالنظر إلى عناصر التحكم الحالية أو مراجعة مستويات الامتثال الحالية.

أقل من المستوى المطلوب بقليل – لا ينطبق عليها القانون الآن ولكن من الإرجح أن يتم تطبيقه بناء على النمو المتوقع للشركة.

وبغض النظرعن الفئة، فإن معظم المؤسسات تملك ما لديها من عناصر للتحكم بأمن المعلومات، مثل  ISO27001 وGDPR وPCI DSS، مما لا يستدعي تطوير أطر جديدة من الصفر والصرف على موارد غير ضرورية. لذلك، إذا بات وإن إقترح لك أحد المستشارين بالبدء من نقطة الصفر دون مراجعة المستوى الحالي للنضج الخاص بالمؤسسة نقترح بعدم التعامل معهم!

 التنفيذ بأقل التكلفة وقدر من التعطيل والإضطرابات على الشبكة

إن ضبط وإدارة أمن المعلومات يتطلب دراسة ما يلي: إدارة المخاطر وهيكلة صنع القرار بما في ذلك مراجعة الضوابط الموجودة حالياً لإدارة أمن المعلومات وما مدى ضمان استيفاء المنظمة أوالمؤسسة للمبادئ الخاصة بالقانون، فعلى سبيل المثال جميع المؤسسات لديها خطط لضمان إستمرارية الأعمال والتعافي، فإذا قمنا بمحاذاة ما لديها من ضوابط مع القانون نجد أنها على درجة من الموائمة وبالتالي ليس من الضروري تطوير ضوابط جديدة لأنها مقدمة على الإمتثال الكلي.

ولكن ماذا لو لم يكن لديك المعرفة الداخلية لإنشاء الضوابط أو أي شيء آخر؟

نحن نجد أن الإستشارة الجيدة مفيدة وهي في غاية الأهمية لأن الشركة الإستشارية عندما تبدأ بالتقييم ستبدأ بفحص ما لديها من خطط وضوابط موائمة للقانون حالياً، وبعدها تعمل على سد الثغرات جنباً الى جنب مع إدارة الشركة، وهذا هو الاسلوب الأكثر فعالية والأرخص والأسهل لتحقيق الامتثال.

كيف تساعد مجموعة بي جي آي الدولية على الإمتثال؟

نحن نعلم أن المؤسسات وفي جميع القطاعات تعاني من القضايا نفسها – وعلى وجه التحديد، كيفية تنفيذ الضوابط بشكل فعال وسلس وبأدنى قدر من التعطيل. بالطبع، لا نريد أن نرى تكراراً لكيفة تطبيق قانون حماية أمن المعلومات (GDPR) الذي عرف بأن تقديمة كان غير فعال حيث كانت النصيحة المقدمة غير منسجمة مع محتوى النطام، مما أدى إلى حدوث العديد من الإضطرابات التشغيلية للعديد من المنظمات.

ونحن نعتقد أنه بوجود النظام الوطني لحماية الأمن السيبراني هناك فرصة رائعة للتطبيق الصحيح للنطام ومن أول مرة – على عكس نظام حماية أمن المعلومات الذي كان ينطبق وما يزال على جميع الأعمال التجارية. أما بالنسبة  لنظام أمن الشبكات الوطني فهو مرتبط بعدد أقل ومجموعة محددة من المنظمات، مما يتح لنا الفرصة بالتحكم بشكل أكبر والتخطيط له بشكل أفضل.

قامت مجموعة بي جي آي الدولية بمساعدة مجموعة كبيرة من المنظمات الوصول لمتطلبات الإمتثال لكي تنسجم واسعة من الأطر التنظيمية.

وللمعرفة المزيد حول كيفية المساعدة،  يرجى الاتصال مع  مجموعة بي جي آي الدولية على العنوان التالي  sales@pgitl.com أو من خلال الرقم التالي: +44 (0) 845 600 4403

Ready to get started? Speak to one of our experts.

If you have any questions about our services or would like to learn more about our consultants here at PGI, please get in touch with us and speak with one of the team, call us on +44 (0)845 600 4403 or email us at sales@pgitl.com

Get in touch

Want to find out more?