ماذا تعني إرشادات تدقيق الأمن السيبراني الجديدة من CERT-In للقطاعين العام والخاص في الهند

أصدرت فريق استجابة الطوارئ الحاسوبية الهندي (Cert-In) في 25 يوليو إرشادات جديدة إلزامية بشأن تنفيذ تدقيقات الأمن السيبراني تستهدف كلًا من المنظمات في القطاعين الخاص والعام. ولأول مرة، تم إدخال كيانات عبر المجالات الخاصة والعامة تحت نطاق تفويض تدقيق CERT-In. علاوة على ذلك، وضعت CERT-In إرشادات واضحة تغطي جميع جوانب تقييم المخاطر / التدقيقات للمراجعين والجهات التي تخضع للتدقيق.

ماذا تغير وفق التفويض الجديد؟

إليكم بعض التوجيهات الرئيسية التي تم تفويضها من قبل CERT-In:

· الكيانات التي تمتلك أو تدير أنظمة رقمية يجب أن تخضع لتدقيق أمن سيبراني من طرف ثالث مرة واحدة على الأقل سنويًا.

· مسؤولية الإدارة: يتعين على الإدارة العليا مراجعة واعتماد برنامج التدقيق ونطاقه والتدابير التصحيحية المعتمدة من قبل المؤسسة لسد الثغرات التي تم تسليط الضوء عليها في التدقيقات في الوقت المناسب.

· مسؤولية مالك الأصول: يجب أن تتم الموافقة على تقنيات معالجة المخاطر مثل الاحتفاظ والتجنب والنقل والتقليل لأي ثغرات أو ملاحظات في التطبيق أو البنية التحتية من قبل رئيس المنظمة الخاضعة للتدقيق. علاوة على ذلك، يجب أن تتم الموافقة على أي استثناءات للثغرات أو الملاحظات المبلغ عنها في التطبيق من قبل رئيس المؤسسة، الذي هو مالك التطبيق.

· يجب أن تكون التدقيقات سياقية وذات صلة بالكيان من حيث المخاطر والمجال التشغيلي. وهذا يعني أن التدقيق يجب أن يجرى مع مراعاة سياق العمل وغلاف المخاطر والمشهد التهديدي المرتبط بالكيان.

· يجب على المنظمات ضمان الوصول عن بعد إلى البنية التحتية السيبرانية بشكل مقيد. يجب أن يكون مرور الوصول عن بعد مشفرا ومسجلًا لتجنب أي إساءة استخدام.

· يجب أن تحافظ المنظمات على ومراقبة الجرد لجميع الأصول المعتمدة (البرامج والأجهزة). ينبغي أن يكون هناك آلية إدارة التصحيحات للبنية التحتية الكاملة لتصحيح البرامج والتطبيقات والبرامج الثابتة المعرضة للثغرات المستخدمة من قبل المنظمة.

· تحتاج المنظمات إلى تطبيق مبدأ الامتيازات الدنيا عبر أصول المنظمة.

· تقع مسؤولية الحفاظ على وضع أمني إلكتروني فعال وقوي في النهاية على عاتق المنظمة الخاضعة للتدقيق.

· تم منح الجهات التنظيمية صلاحية التفويض بإجراء عمليات تدقيق أكثر تكرارًا في السنة إذا ما دعت الحاجة لذلك.

· يجب على منظمة التدقيق التحقق من السياسات الحالية للمنظمة مقارنة بالمعايير والأفضل الممارسات في الصناعة واقتراح التحسينات الضرورية إذا لزم الأمر وعلى المنظمات الخاضعة للتدقيق التأكيد على أن التطبيقات مصممة ومطورة بممارسات آمنة قبل البدء في أي تقييم.

· يجب أن تشمل التدقيقات اكتشاف جميع الثغرات المعروفة بناءً على المعايير/الأطر الشاملة مثل ISO/IEC، متطلبات الأساس لتدقيق الأمن السيبراني، مصفوفة ضوابط السحاب (CCM) لأمن السحابة، الدليل المنهجي لاختبار الأمان مفتوح المصدر (OSSTMM3)، دليل اختبار أمن الويب OWASP لاختبار أمن التطبيقات على الويب، معيار التحقق من أمن التطبيقات OWASP (ASVS) لتأسيس والتحقق من ضوابط أمن التطبيق، دليل اختبار أمان الهاتف المحمول من OWASP (MSTG) لتدقيقات التطبيقات المحمولة نموذج نضج DevSecOps OWASP لتقييم الأمن في خط أنابيب التكامل/النشر المستمر (CI/CD) إلى جانب الإطار التنظيمي والاتجاهات والإرشادات الصادرة من وقت لآخر من قبل وكالات مثل CERT-In، الحكومة والهيئات التنظيمية.

· يجب إجراء التدقيق بعد كل تغيير كبير في البنية التحتية والتطبيق نظرًا للأهمية المتضمنة.

ما الذي يقع ضمن نطاق التفويض الجديد؟

يجب أن يتضمن نطاق التدقيقات تدقيق البنية التحتية السيبرانية الكاملة بما في ذلك النظام والتطبيقات (الويب/الهاتف المحمول)، البرامج، البنية التحتية للشبكة، تقنية التشغيل (OT) / بيئة أنظمة التحكم الصناعي (ICS)، هندسة السحب، واجهات برمجة التطبيقات (APIs)، البنية التحتية للاستضافة، مراجعة الشفرات، أمن التطبيقات، أمان البيانات، واختبار قدرة الاستجابة للحوادث الخاصة بالكيان الخاضع للتدقيق.

وفقًا لـ CERT-In، يجب إجراء أنواع التدقيقات والتقييمات الأمنية السيبرانية بما في ذلك، على سبيل المثال لا الحصر، تلك المدرجة أدناه مرة واحدة على الأقل سنويًا:

· تدقيقات الامتثال

· تقييم المخاطر

· تقييم الضعف

· اختبار الاختراق

· تدقيقات البنية التحتية للشبكة

· تدقيقات التشغيل

· مراجعة سياسات أمن تقنية المعلومات وتقييمها مقابل أفضل الممارسات الأمنية.

· اختبار أمان المعلومات

· مراجعة الشفرات المصدرية

· اختبار أمان العمليات

· اختبار أمان الاتصالات

· اختبار أمان التطبيقات  

· تدقيقات أمان التطبيقات المحمولة  

· اختبار أمان الشبكات اللاسلكية

· اختبار الأمان الفيزيائي

· تقييم الفريق الأحمر

· تقييم جاهزية الطب الشرعي الرقمي

· اختبار أمان السحابة

· اختبار أمان أنظمة التحكم الصناعي / تقنية التشغيل-

· تقييم وضع الأمان السيبراني لأنظمة التحكم الصناعي (ICS) وشبكات تقنية العمليات (OT)، المصممة خصيصًا لتحديد الثغرات والتهديدات المحتملة التي قد تعطل العمليات الصناعية الحرجة، مما يؤثر على السلامة والإنتاج وتوافر النظام العام داخل المرفق.

· اختبار أمان إنترنت الأشياء (IOT) / أمن إنترنت الأشياء الصناعي (IIOT)

· تدقيق الإدارة والصيانة لسجلات الأحداث

· تقييم أمان نقاط النهاية

· تدقيق أنظمة الذكاء الاصطناعي (AI)

· تدقيق إدارة مخاطر البائعين

· تدقيق أمان سلسلة الكتل  

· تدقيق (SBOM) لبرنامج فاتورة المواد، و(QBOM) لبرنامج فاتورة المواد الكم، و

· تدقيق (AIBOM) لفاتورة المواد الخاصة بالذكاء الاصطناعي   

لمعرفة المزيد عن هذه الإرشادات أو لحجز استشارة تقييم المخاطر، تحدث إلى خبير تقييم المخاطر في Shieldworkz. 

اعرف المزيد حول أرشادات تقييم المخاطر على أساس IEC 62443 ومنهجيات تعزيز مستوى الأمان.

اعرف المزيد عن مجموعتنا الشاملة لـخدمات أمان OT وIoT.