SAMA CSF 合规性

 

什么是SAMA CSF?

沙特阿拉伯王国的中央银行沙特阿拉伯货币管理局(SAMA)对王国内部的各种金融机构承担监督权的作用。SAMA责任的一个重要部分是建立和维护网络安全框架(CSF)。建立该框架是为了使受SAMA监管的金融机构(以下简称成员组织)能够精确定位和有效应对网络安全风险,同时为成员组织、其子公司、员工、第三方和客户提供网络安全要求的方向。这是抵御网络安全威胁的有力防线。

SAMA CSF的核心目标有三个:

  • 促进成员组织内部解决网络安全问题的统一方法。
  • 确保成员组织在实施网络安全控制方面达到最佳成熟度。
  • 确保整个成员组织有效管理网络安全风险。

除了提供指导方针外,SAMA CSF还积极评估成员组织网络安全控制的有效性,并指导其网络安全要求。SAMA的这一积极主动的举措增强了利益相关者的信心,并确保了沙特阿拉伯金融生态系统的安全。

SAMA CSF与NIST、ISO、BASEL和PCI DSS等监管任务的最佳实践和要求保持一致。它概述了与成员组织的各种信息资产相关的网络安全控制,包括但不限于电子和物理信息、软件应用程序、计算机系统和通信网络。

谁必须遵守SAMA CSF?

SAMA CSF寻求提供强有力的安全措施,以加强沙特阿拉伯境内的整体金融网络。了解谁必须遵守这个框架至关重要。必须遵守的实体包括:

  • 在沙特阿拉伯境内运作的银行。
  • 在沙特阿拉伯成立和运营的保险和/或再保险公司。
  • 在沙特阿拉伯提供服务的融资实体。
  • 活跃在沙特阿拉伯的信用局。
  • 金融市场基础架构实体(例如证券注册处、证券交易所、清算所)。

值得注意的是,银行业必须遵守该框架的所有领域或领域,涵盖应用程序安全、访问控制、基础架构安全等各种要求。其他组织,根据其职能和风险敞口,可能需要遵守选定的领域。SAMA CSF的存在是为了确保这些组织做好应对数字威胁的准备。

不遵守SAMA CSF的后果

不遵守SAMA CSF可能会导致严重后果,例如:

  • 惩罚性措施:如果一个组织不符合SAMA设定的标准,可能会采取一系列补救措施或处罚。这些可能从警告到与不合规程度成正比的罚款不等。
  • 纠正行动计划:SAMA可能会要求实体提交行动计划,以纠正不合规行为。
  • 公众谴责:不遵守可能会导致公开声明反对该组织,损害其声誉。
  • 许可证修订:SAMA有权修改、限制、暂停甚至撤销该组织的许可证,这实际上阻碍了其运营。
  • 法律追索:在更严重的情况下,SAMA可能会在相关法院寻求法律行动,这可能会导致进一步的处罚和法律并发症。

遵守SAMA CSF不仅是强制性的,保护其财务稳定、声誉和业务运营也符合组织的最佳利益。这通过设定高标准的安全标准、鼓励勤奋和阻止任何不合规的可能性来加强更广泛的网络安全格局。

SAMA CSF的合规要求

为了遵守SAMA CSF,组织必须了解并实施几个关键要求,这些要求分为四大类:

1.网络安全领导和治理:这侧重于在组织内为网络安全打下坚实的基础。

  • 网络安全治理:组织必须定义和实施由组织董事会认可的网络安全治理结构。这种结构指导了网络安全的方法,确保了对网络安全问题进行全面的、自上而下的管理。
  • 网络安全战略:应制定明确的网络安全战略,并与组织的安全目标保持一致。这确保了网络安全举措对组织的整体安全态势有效贡献。
  • 网络安全政策:必须在整个组织中定义、批准和沟通最终的网络安全政策。该政策记录了该组织对网络安全的承诺,并有效地向相关利益相关者传达了网络安全目标。
  • 网络安全角色和责任:必须明确界定实施、维护、支持和促进网络安全的责任。通过这样做,所有相关利益相关者都意识到了他们的责任,并可以为整体网络安全控制做出贡献。
  • 项目管理中的网络安全:网络安全要求必须纳入项目管理和治理中。这确保了组织开展的所有项目都满足必要的网络安全要求,从而培养了安全的项目环境。

2.网络安全风险管理和合规:该领域专注于识别、分析、响应、监控和审查网络安全风险。

  • 网络安全风险管理:组织必须建立一个定义、批准和实施的网络安全风险管理流程,与企业风险管理流程保持一致。这确保了网络安全风险的正确管理,保护了组织信息资产的机密性、完整性和可用性。
  • 监管合规性:需要一个既定的流程来识别、沟通和遵守其他适用法规,如PCI-DSS、EMV技术标准和SWIFT客户安全控制框架(CSCF)。
  • 遵守国际行业标准:该组织必须遵守强制性的国际行业标准。合规确保遵守最佳实践,并加强组织对保持网络安全最高标准的承诺。

3.网络安全操作和技术:这涉及确保对组织信息资产和流程的保护。

  • 人力资源:网络安全要求必须整合到人力资源流程中。这确保了网络安全责任嵌入就业条款中,并确保员工在整个工作生命周期中得到充分筛查。
  • 资产管理:必须定义、批准、实施、沟通和监控资产管理流程。这个过程将确保准确、最新和统一的资产登记册,从而支持组织流程。
  • 网络安全架构:组织应定义、坚持和审查网络安全架构,该架构概述了开发网络安全能力的安全要求和设计原则。这确保了一个战略性、一致、具有成本效益和全面的网络安全框架。
  • 身份和访问管理:应根据业务要求,根据需要了解的原则,限制对信息资产的访问。这确保了只有具有足够权限的批准用户才能访问相关信息资产。
  • 应用程序安全:必须定义、批准和实施应用程序系统的网络安全标准。应监测这些标准的遵守情况,并定期测量和评估其有效性,以确保强大的应用程序级安全性。
  • 基础架构安全:必须定义、批准和实施基础架构组件内的网络安全标准。这些标准,以及它们的合规性和有效性,应定期进行监控和评估,以确保基础架构安全。
  • 支付系统:必须定义、批准、实施和监控支付系统的网络安全标准。应定期衡量和评估该标准的有效性,以确保交易系统的机密性和完整性。

4.第三方网络安全:与第三方合作时,应确保相同级别的网络安全保护。

  • 合同和供应商管理:组织应在合同和供应商管理流程中定义、批准、实施和监控所需的网络安全控制。
  • 外包:组织应在外包政策和流程中定义、实施和监控所需的网络安全控制。

SAMA CSF路线图

实现SAMA CSF合规性的路线图包括以下几个阶段:

  • 了解框架:了解SAMA CSF的目标对于管理金融部门的网络安全风险和实施框架至关重要。这也是组织需要进行定期自我评估的基础。SAMA对这些评估进行审计,以确保框架的遵守水平和网络安全成熟度的进展。
  • 确定范围和实施:组织的首席信息安全官应评估是否需要遵守SAMA CSF。如果是这样,他们必须确定、实施和记录所有强制性控制,包括其范围和排除。
  • 自我评估和审计:组织需要每年进行自我评估,以衡量其对网络安全框架的遵守和成熟度。然后,这些评估由SAMA进行审计以进行验证。
  • 持续遵守:保持对框架的持续遵守至关重要。这涉及一致的审查、审计和更新,以及确保员工的网络安全意识和培训。

从本质上讲,要符合SAMA CSF,需要对框架有透彻的了解,严格遵守概述的要求,以及持续的自我评估和改进网络安全控制。

SAMA CSF最佳实践:清单

  • 成立一个网络安全委员会,由一名独立的高级经理掌舵,并创建一个独立的网络安全职能部门,其审计由内部审计职能部门处理。
  • 定义并实施强大的网络安全策略,根据预定义的流程定期审查和维护它。
  • 强制要求员工遵守网络安全政策、标准和程序,并将网络安全责任纳入员工协议中。
  • 为员工提供初始和持续的网络安全意识培训。
  • 定期进行网络安全风险评估,考虑资产、威胁、控制和漏洞,在中央登记册中记录所有已确定的风险。
  • 创建一个结构化的流程来识别、沟通和遵守相关法规,并遵守PCI-DSS、EMV和SWIFT CSCF等国际行业标准。
  • 对组织的信息资产进行定期审查和审计,包括对面向客户和面向互联网的服务进行年度审查和渗透测试。
  • 通过入口控制、监控、保护数据中心和数据室以及在生命周期内保护信息资产等措施来确保物理安全。
  • 制定并执行身份和访问管理政策,通过分析或系统日志定期评估其有效性。
  • 制定和实施应用程序和基础架构安全、变更管理和安全处置的标准,定期评估和监控这些标准的合规性和有效性。

SAMA CSF:需要考虑的关键子类别

SAMA CSF控制 代码定义 合规建议
1.3.3 资产管理 成员组织应定义、批准、实施、沟通和监控资产管理流程,该流程支持准确、最新和统一的资产登记。
  • 应维护所有信息资产的全面清单。
  • 利用软件解决方案,如IT资产管理工具,实现库存流程自动化,并跟踪每个资产的生命周期。
1.3.5 身份和访问管理 成员组织应根据其业务要求,根据需要拥有或需要了解的原则限制对其信息资产的访问。
  • 实施基于角色的访问控制(RBAC),分配最低必要的权限,并限制访问持续时间,以提高网络安全并尽量减少潜在的数据泄露影响。
  • 实施及时(JIT)访问控制,仅在需要时在一定时间内授予必要的特权。
1.3.6 应用程序安全性 成员组织应定义、批准和实施应用程序系统的网络安全标准。
  • 应为所有应用系统建立和实施网络安全标准。
  • 应定期进行渗透测试,以识别任何潜在的安全缺陷。
1.3.8 基础架构安全 成员组织应为其基础架构组件定义、批准和实施网络安全标准。
  • 为所有存储设备实施全磁盘加密,以保护静态数据。
  • 实施网络分割,以限制潜在漏洞的影响。
  • 使用云访问安全代理(CASB)对基于云的基础架构组件执行安全策略。
  • 专门为支付系统建立和实施网络安全标准。
1.3.12 支付系统 成员组织应定义、批准、实施和监控支付系统的网络安全标准。
  • 整合人工智能(AI)和机器学习(ML)系统,以检测和防止支付欺诈。
  • 定期进行审计,以监控合规性并衡量有效性。
  • 对敏感的支付数据实施令牌化或加密。
  • 实施定义的安全事件管理流程。
1.3.14 网络安全事件管理 成员组织应定义、批准和实施安全事件管理流程,以分析操作和安全日志。
  • 使用安全信息和事件管理(SIEM)工具进行集中分析和事件关联。
  • 建立一个安全运营中心(SOC),以全天候监控安全事件。
  • 确保使用足够的工具正确登录您的系统和应用程序,并以快速可解析的方式存储日志,以有效应对安全事件。
1.3.16 威胁管理 成员组织应定义、批准和实施威胁情报管理流程,以识别、评估和了解威胁。
  • 使用多个可靠的来源进行威胁识别和评估。
  • 将威胁情报与防火墙和IDS等其他安全控制集成,以自动阻止已知的威胁。
  • 为应用程序和基础架构实施漏洞管理流程。
  • 实施高级威胁检测系统,如用户和实体行为分析(UEBA),以检测异常行为模式。
1.3.17 漏洞管理 成员组织应定义、批准和实施漏洞管理流程,以识别和缓解漏洞。
  • 实施补丁管理流程,定期应用必要的补丁和更新。
  • 进行红队演习,以模拟真实世界的攻击场景,并测试漏洞管理过程的有效性。
来源:sama.gov.sa/en-US/RulesInstructions/CyberSecurity/Cyber%20Security%20Framework.pdf

使用EventLog Analyzer遵守SAMA CSF

ManageEngine的EventLog Analyzer是一个IT合规性和事件日志管理解决方案,可以很好地支持遵守SAMA CSF。EventLog Analyzer提供了识别、分析、响应、监控和审查网络安全风险所需的功能,从而根据SAMA CSF法规加强组织的安全态势。

在SAMA CSF控制下,网络安全事件管理(3.3.15),EventLog Analyzer有效地确保及时识别和处理网络安全事件。它通过提供全面的网络设备登录报表和网络设备攻击报表来完成此,提供对系统活动的见解。通过这种方式,它可以快速识别异常或可疑事件,大大减少潜在的业务影响。

此外,对于威胁管理(3.3.16),EventLog Analyzer利用来自Symantec、FireEye、Malwarebytes和McAfee等受信任供应商的综合威胁情报。这些提要为成员组织提供了对新出现的威胁态势的透彻了解,这对防止潜在漏洞至关重要。

EventLog Analyzer还通过提供详细的登录报表来确保仅向已批准的用户提供授权和足够的访问权限,从而支持对SAMA CSF其他关键领域的合规性,如身份和访问管理(3.3.5)。对于应用程序安全(3.3.6)和变更管理(3.3.7),它能够监控和管理成员组织内信息资产和应用程序的变化。

此外,它通过详尽的登录、攻击和配置报表来促进基础架构安全(3.3.8)、支付系统(3.3.12)和漏洞管理(3.3.17)的合规性。EventLog Analyzer还通过与Nessus、Nexpose、Qualys、Nmap和OpenVAS等漏洞评估工具集成,能够及时识别和有效缓解应用程序和基础架构漏洞。

利用EventLog Analyzer不仅可以帮助实现SAMA CSF合规性,还可以加强组织的整体网络安全态势。它为管理网络安全风险和确保合规性提供了简化、全面和用户友好的解决方案。

Back to Top