Cyber Security Framework od SAMA: Rozsah, účel a jak být v souladu

S tím, jak firmy silně spoléhají na technologie pro inovace a efektivitu, nelze přeceňovat důležitost robustních postupů kybernetické bezpečnosti. V uznání této nutnosti zavedla The Saudi Arabian Monetary Authority (SAMA) Cyber Security Framework navržený k posílení finančních systémů a kritických odvětví země proti kybernetickým hrozbám.

V tomto průvodci prozkoumáme klíčové komponenty, oblasti kontrol a úrovně zralosti SAMA frameworku a poskytneme tipy a poznatky o tom, jak dosáhnout souladu s jeho požadavky.

Co je SAMA Cyber Security Framework?

Cyber Security Framework, zavedený Saudi Arabia Monetary Authority v roce 2017, slouží jako komplexní směrnice pro finanční instituce působící v Saúdské Arábii k posílení jejich kybernetické odolnosti a efektivnímu zmírnění rizik kybernetické bezpečnosti. Tento framework popisuje principy, cíle a osvědčené postupy, kterých se členské organizace musí držet, aby zachovaly integritu finančního sektoru a chránily citlivá data, která tyto organizace uchovávají.

Toto jsou klíčové komponenty frameworku:

1. Úrovně zralosti: Framework kategorizuje zralost kybernetické bezpečnosti do šesti úrovní, od neexistující po adaptivní. Každá úroveň představuje fázi vývoje při implementaci kontrol kybernetické bezpečnosti, od základních ad-hoc postupů po proaktivní, adaptivní opatření. Projdeme je podrobněji níže.
2. Oblasti kontrol a principy: Framework definuje 4 kategorie oblastí kontrol. Základní principy a vysvětlující cíle slouží jako pilíře pro nastavení robustního postoje kybernetické bezpečnosti pro každou členskou organizaci SAMA. Oblasti kontrol s jejich principy a cíli jsou dále popsány níže.

Účel SAMA Cyber Security Framework

SAMA Cyber Security Framework slouží více účelům, včetně:

• Vytvoření společného přístupu k řešení kybernetické bezpečnosti: V jádru je SAMA Cyber Security Framework o ochraně kritické infrastruktury a citlivých dat ve finanční oblasti a o zajištění, aby k tomu všichni členové přistupovali stejně. Je to jako postavit pevnost kybernetických bezpečnostních kontrol a postupů k odražení neoprávněného přístupu, úniků dat a dalších otravných kybernetických hrozeb, které by mohly kompromitovat integritu infrastruktury organizací a cenných informací.
• Prevence ztráty dat a zmírnění kybernetických hrozeb: SAMA Cyber Security Framework přichází na řadu, aby zabránil tomu, aby data prosakovala mezerami, a aby odrazil kybernetické hrozby jako malware, phishing a ransomware. Dodržováním principů frameworku jsou organizace schopné lépe – a jednotně – identifikovat a opravit slabá místa ve svých kybernetických obranách, čímž snižují šance na úniky dat.
• Posílení odolnosti proti kybernetickým útokům: Se strukturovaným přístupem ke kybernetické bezpečnosti budou organizace připraveny detekovat, reagovat a zotavit se z bezpečnostních incidentů. To znamená méně narušení operací a hladší plavbu skrze bouři kybernetických hrozeb.
• Zůstat na správné straně zákona a v souladu s globálními standardy: SAMA framework zajišťuje, že organizace dodržují mezinárodní standardy a předpisy kybernetické bezpečnosti. Dodržováním směrnic a požadavků na kontroly frameworku organizace ukazují, že to s plněním oborových standardů a regulatorních pravidel myslí vážně, čímž se vyhýbají riziku sankcí a problémů se souladem.

Rozsah: Pro koho platí SAMA Cyber Security Framework?

SAMA Cyber Security Framework rozšiřuje svou síť na všechny finanční instituce působící v hranicích Saúdské Arábie. To zahrnuje banky, pojišťovny, investiční firmy a další subjekty po krk ve finančních aktivitách regulovaných SAMA. Vynucováním souladu se směrnicemi frameworku jsou tyto organizace pověřeny posílením svých kybernetických obran a efektivním omezením rizik.

Subjekty působící mimo hranice Saúdské Arábie nemusí pociťovat regulatorní sevření frameworku, pokud se neúčastní finančních aktivit v království.

6 úrovní zralosti SAMA Cyber Security Framework

SAMA Cyber Security Framework funguje na základě přístupu založeného na riziku. To znamená, že popisuje klíčové principy a cíle kybernetické bezpečnosti, kterých mají členské organizace dosáhnout. Zatímco nabízí seznam povinných kontrolních úvah, organizace jsou povzbuzovány, aby tyto kontroly přizpůsobily svému specifickému kontextu.

Členské organizace musí provádět pravidelná sebehodnocení na základě dotazníku poskytnutého SAMA. Výsledky procházejí přezkumem a auditem ze strany SAMA k vyhodnocení souladu s frameworkem a posouzení úrovně zralosti kybernetické bezpečnosti organizace.

Úroveň zralosti členských organizací se měří pomocí předem definovaného modelu se šesti úrovněmi: 0 až 5. Tyto úrovně představují postup ve schopnostech kybernetické bezpečnosti, přičemž vyšší úrovně označují větší zralost a odolnost. SAMA zdůrazňuje důležitost dosažení alespoň úrovně 3 zralosti.