معيار وطني جديد لحماية البيانات عند التخلص من الأجهزة الإلكترونية
طرحت الهيئة الوطنية للأمن السيبراني المعيار الوطني لعمليات الإتلاف أو المسح الآمن للأجهزة ووسائط التخزين، عبر منصة ”استطلاع“ بهدف ضمان عدم تعريض البيانات المخزنة على أصول مادية للخطر عند نقل الأصول المعلوماتية من بيئة التشغيل المنتظمة إلى بيئات أخرى بغرض إعادة استخدامها أو صيانتها أو التخلص منها أو إتلافها.وأوضحت أن هناك طريقتان أساسيتان يستخدمان لمسح المعلومات، والأصول المعلوماتية بأمان؛ وهما المسح أو الإتلاف، وكلاهما ضروري؛ لضمان عدم وقوع المعلومات، لدى جهات غير مصرح لها.معايير المسح والإتلافوبيّنت أن المسح يعمل على منع إمكانية استعادة البيانات إطلاقًا، مع المحافظة على الشكل المادي لوسيط التخزين، والإتلاف هو الإتلاف الفعلي لجهاز، أو وسيط التخزين، وإلغاء إمكانية استعادة البيانات بصورة فعالة.وألزمت الهيئة الجهات عند اختيار إجراءات المسح، أو الإتلاف المناسبة لها النظر بالحسبان إلى نوع الجهاز، ووسيط التخزين، وسياق التشغيل الحالي، والمستقبلي. #الهيئة_الوطنية_للأمن_السيبراني تستطلع آراء العموم حول مشروع وثيقة «المعيار الوطني لعمليات الإتلاف أو المسح الآمن للأجهزة ووسائط التخزين».https://t.co/kyvs7Dok8U pic.twitter.com/KKMWYLyvPe— الهيئة الوطنية للأمن السيبراني (@NCA_KSA) August 1, 2024 وحددت المتطلبات التي يتعين على الجهات اتباعها، أثناء العملية الشاملة للمسح والإتلاف، والتي تتضمن التحليل الأولي واتخاذ القرارات، وفصل الأجهزة ووسائط التخزين، وتحليل السياق وتحديد الإجراءات المطلوبة، من حيث نوع جهاز التخزين أو وسيطه أو مستوى حساسية البيانات أو الجهاز.طرق المسح أو الإتلافمن جهة أخرى أوضحت الهيئة متطلبات طرق المسح أو الإتلاف، وهي المحو وإعادة الضبط، والكتابة على البيانات والمحو الآمن، ومحو التشفير، والإزالة «بدون إتلاف»: وهي عملية تعطيل المجال المغناطيسي، المحاذي لعناصر البيانات على الوسائط المغناطيسية المستخدمة في تخزين المعلومات؛ مما يؤدي إلى إتلاف البيانات بصورة فعالة مع بقاء الجهاز سليمًا لإعادة استخدامه.وبيّنت أن طرق الإتلاف المعتمدة، تتمثل في التمزيق والتفتيت، أو الطحن والتشويه، والحرق والصهر، أو تخديش وصقل السطح، أو الإزالة «بالإتلاف»: استخدام مغناطيسات قوية لتعطيل المجالات المغناطيسية بشكل دائم؛ مما يؤدي إلى محو جميع البيانات، وجعل الأصول غير قابلة للاستخدام.موثوقية المسحوأجازت الهيئة للجهات التي لا تمتلك الموارد، أو المعدات الداخلية اللازمة للمسح، أو الإتلاف؛ الاستعانة بمقدمي خدمات خارجيين. إذ يتعين قدر الإمكان إتلاف الأصول ذات المستويات المرتفعة من الحساسية، التي لا يمكن مسحها بشكل موثوق، بداخل الجهة، من أجل ضمان الأمن.وألزمت بمراعاة الاحتياجات التدريبية، والمهارات الحالية، للموظفين المسؤولين عن عمليات المسح، أو الإتلاف، وهي من الأمور المهمة، ويجب أن تتأكد الجهات من امتلاك الأفراد الذين يقومون باستخدام هذه الأدوات، من داخل الجهة، أو من خلال مقدّم الخدمات؛ للخبرة اللازمة لتنفيذ مهمات المسح أو الإتلاف بصورة فعالة.وأوجبت على الجهات عند الاستعانة بمقدمي خدمات المسح أو الإتلاف اتباع مجموعة من المتطلبات لضمان سلامة البيانات الحساسة وسريتها، طوال العملية. وفي جميع الحالات، يجب على الجهات الاستعانة بمقدمي الخدمات المعتمدين، الذين يتبعون المعايير الدولية، ويحملون الشهادات التي تثبت ذلك. بالإضافة إلى ذلك، يجوز للهيئة الوطنية للأمن السيبراني، نشر قائمة بمقدمي الخدمات المعتمدين في المستقبل.واشترطت على الجهات جمع الأصول، في حاويات مزودة بأختام لكشف التلاعب، ووضع ملصقات واضحة، لتصنيف جميع الأجهزة، ووسائط التخزين، بناء على مستوى الحساسية. كما يجب عليها كذلك الاحتفاظ بسجل شامل لجميع الأصول التي جرى جمعها، مع تفصيل نوع جهاز التخزين أو الوسيط، وتصنيف مستوى الحساسية، والمصدر أو قسم المنشأ. ومن الضروري كذلك فصل الأصول ذات الدرجات المتفاوتة في الحساسية عن بعضها، أثناء عملية الجمع؛ لتجنب أي وصول غير مصرح به، أو اختراق للبيانات.شهادة المسحوألزمت الهيئة بالحصول على شهادة المسح، أو التخلص من أجهزة التخزين ووسائطها؛ من المكونات المهمة، لضمان تلبية متطلبات التدقيق الأمني، ولضرورة الاحتفاظ بسجل كامل لعمليات التخلص. ويجب أيضًا الاحتفاظ بهذه الشهادات عند الاستعانة بمقدمي خدمات خارجيين.وأجازت إعادة استخدام الأصول، بعد التحقق من عملية المسح وتوثيقها. ويجب أن يجري الإفراج بطريقة رسمية من خلال توقيع مالك المخاطر.
وأوضحت أن هناك طريقتان أساسيتان يستخدمان لمسح المعلومات، والأصول المعلوماتية بأمان؛ وهما المسح أو الإتلاف، وكلاهما ضروري؛ لضمان عدم وقوع المعلومات، لدى جهات غير مصرح لها.
معايير المسح والإتلاف
وبيّنت أن المسح يعمل على منع إمكانية استعادة البيانات إطلاقًا، مع المحافظة على الشكل المادي لوسيط التخزين، والإتلاف هو الإتلاف الفعلي لجهاز، أو وسيط التخزين، وإلغاء إمكانية استعادة البيانات بصورة فعالة.
وألزمت الهيئة الجهات عند اختيار إجراءات المسح، أو الإتلاف المناسبة لها النظر بالحسبان إلى نوع الجهاز، ووسيط التخزين، وسياق التشغيل الحالي، والمستقبلي.
#الهيئة_الوطنية_للأمن_السيبراني تستطلع آراء العموم حول مشروع وثيقة «المعيار الوطني لعمليات الإتلاف أو المسح الآمن للأجهزة ووسائط التخزين».
https://t.co/kyvs7Dok8U pic.twitter.com/KKMWYLyvPe— الهيئة الوطنية للأمن السيبراني (@NCA_KSA) August 1, 2024
وحددت المتطلبات التي يتعين على الجهات اتباعها، أثناء العملية الشاملة للمسح والإتلاف، والتي تتضمن التحليل الأولي واتخاذ القرارات، وفصل الأجهزة ووسائط التخزين، وتحليل السياق وتحديد الإجراءات المطلوبة، من حيث نوع جهاز التخزين أو وسيطه أو مستوى حساسية البيانات أو الجهاز.
طرق المسح أو الإتلاف
من جهة أخرى أوضحت الهيئة متطلبات طرق المسح أو الإتلاف، وهي المحو وإعادة الضبط، والكتابة على البيانات والمحو الآمن، ومحو التشفير، والإزالة «بدون إتلاف»: وهي عملية تعطيل المجال المغناطيسي، المحاذي لعناصر البيانات على الوسائط المغناطيسية المستخدمة في تخزين المعلومات؛ مما يؤدي إلى إتلاف البيانات بصورة فعالة مع بقاء الجهاز سليمًا لإعادة استخدامه.
وبيّنت أن طرق الإتلاف المعتمدة، تتمثل في التمزيق والتفتيت، أو الطحن والتشويه، والحرق والصهر، أو تخديش وصقل السطح، أو الإزالة «بالإتلاف»: استخدام مغناطيسات قوية لتعطيل المجالات المغناطيسية بشكل دائم؛ مما يؤدي إلى محو جميع البيانات، وجعل الأصول غير قابلة للاستخدام.
موثوقية المسح
وأجازت الهيئة للجهات التي لا تمتلك الموارد، أو المعدات الداخلية اللازمة للمسح، أو الإتلاف؛ الاستعانة بمقدمي خدمات خارجيين. إذ يتعين قدر الإمكان إتلاف الأصول ذات المستويات المرتفعة من الحساسية، التي لا يمكن مسحها بشكل موثوق، بداخل الجهة، من أجل ضمان الأمن.
وألزمت بمراعاة الاحتياجات التدريبية، والمهارات الحالية، للموظفين المسؤولين عن عمليات المسح، أو الإتلاف، وهي من الأمور المهمة، ويجب أن تتأكد الجهات من امتلاك الأفراد الذين يقومون باستخدام هذه الأدوات، من داخل الجهة، أو من خلال مقدّم الخدمات؛ للخبرة اللازمة لتنفيذ مهمات المسح أو الإتلاف بصورة فعالة.
وأوجبت على الجهات عند الاستعانة بمقدمي خدمات المسح أو الإتلاف اتباع مجموعة من المتطلبات لضمان سلامة البيانات الحساسة وسريتها، طوال العملية. وفي جميع الحالات، يجب على الجهات الاستعانة بمقدمي الخدمات المعتمدين، الذين يتبعون المعايير الدولية، ويحملون الشهادات التي تثبت ذلك. بالإضافة إلى ذلك، يجوز للهيئة الوطنية للأمن السيبراني، نشر قائمة بمقدمي الخدمات المعتمدين في المستقبل.
واشترطت على الجهات جمع الأصول، في حاويات مزودة بأختام لكشف التلاعب، ووضع ملصقات واضحة، لتصنيف جميع الأجهزة، ووسائط التخزين، بناء على مستوى الحساسية. كما يجب عليها كذلك الاحتفاظ بسجل شامل لجميع الأصول التي جرى جمعها، مع تفصيل نوع جهاز التخزين أو الوسيط، وتصنيف مستوى الحساسية، والمصدر أو قسم المنشأ. ومن الضروري كذلك فصل الأصول ذات الدرجات المتفاوتة في الحساسية عن بعضها، أثناء عملية الجمع؛ لتجنب أي وصول غير مصرح به، أو اختراق للبيانات.
شهادة المسح
وألزمت الهيئة بالحصول على شهادة المسح، أو التخلص من أجهزة التخزين ووسائطها؛ من المكونات المهمة، لضمان تلبية متطلبات التدقيق الأمني، ولضرورة الاحتفاظ بسجل كامل لعمليات التخلص. ويجب أيضًا الاحتفاظ بهذه الشهادات عند الاستعانة بمقدمي خدمات خارجيين.
وأجازت إعادة استخدام الأصول، بعد التحقق من عملية المسح وتوثيقها. ويجب أن يجري الإفراج بطريقة رسمية من خلال توقيع مالك المخاطر.