NIS2 المادة 23: نظرة عامة على متطلبات الإبلاغ عن الحوادث
تفرض المادة 23 من NIS2 التزامات صارمة بالإخطار بالحوادث على الكيانات الجوهرية والمهمة. يتعين على المؤسسات الإبلاغ عن الحوادث الجسيمة إلى فريق CSIRT الوطني أو السلطة المختصة ضمن جداول زمنية محددة:
- الإنذار المبكر: في غضون 24 ساعة من الإدراك بوقوع حادث جسيم
- إخطار الحادث: في غضون 72 ساعة، مع تقديم تقييم أولي يشمل الخطورة والأثر
- التقرير النهائي: في غضون شهر واحد، يتضمن وصفاً مفصلاً وتحليل الأسباب الجذرية وتدابير التخفيف المطبقة
بالنسبة للمؤسسات التي تسلّم البرمجيات أو تصونها عبر خطوط أنابيب CI/CD، تصبح سجلات خط الأنابيب وسجلات النشر أدلة بالغة الأهمية خلال التحقيق في الحوادث والإبلاغ التنظيمي. يجب على المدققين ومسؤولي الامتثال التأكد من تهيئة بيئات خط الأنابيب لإنتاج الأدلة اللازمة للوفاء بهذه الالتزامات والاحتفاظ بها.
كيف تُشكّل سجلات خط أنابيب CI/CD أدلةً على الحوادث
عند وقوع حادث أمني — سواء أكان نشراً مخترقاً، أم اختراقاً لسلسلة التوريد، أم تغييراً غير مصرح به في الكود — يحتاج المحققون إلى إعادة بناء ما جرى بالضبط، ومتى جرى، ومن ارتكبه. تتمتع خطوط أنابيب CI/CD بموقع فريد لتقديم هذه الأدلة لأنها تقع عند تقاطع تغييرات الكود وعمليات البناء وعمليات الفحص الأمني وعمليات النشر في الإنتاج.
تمكّن أدلة خط الأنابيب المؤسسات من:
- إرساء الجداول الزمنية: تحديد اللحظة الدقيقة التي دخل فيها التغيير الضار أو المعيب إلى عملية التسليم
- تحديد النطاق: فهم القطع الأثرية والبيئات والخدمات المتأثرة
- إثبات العناية الواجبة: إظهار للجهات التنظيمية أن الضوابط المناسبة (مراجعات الكود، وعمليات الفحص الأمني، وبوابات الموافقة) كانت موجودة وتعمل
- دعم تحليل الأسباب الجذرية: تتبع الحادث حتى مصدره — سواء أكان تبعية مخترقة، أم خط أنابيب مهيأً بشكل خاطئ، أم خطأً بشرياً
فئات أدلة خط الأنابيب المطلوبة
الجداول الزمنية للنشر
سجلات كاملة عن وقت كل عملية نشر والبيئة التي جرت فيها والنتيجة (نجاح، فشل، تراجع). يجب أن تتضمن هذه السجلات طوابع زمنية متزامنة مع مصدر زمني موثوق.
سجلات التغييرات
سجلات تربط كل عملية نشر بتغييرات كود محددة، بما في ذلك معرّفات الالتزام ووصف التغييرات ومؤلف كل تغيير. يجب أن تُثبت سجلات التغييرات سلسلة متصلة من الالتزام بالكود حتى النشر في الإنتاج.
سجلات الموافقة
دليل على الحصول على الموافقات البشرية المطلوبة قبل النشر. يشمل ذلك موافقات مراجعة الكود، وموافقات مجلس استشارة التغيير (CAB) حيثما ينطبق، وأي تفويضات للتغيير الطارئ مع التبرير اللاحق.
نتائج الفحص الأمني
سجلات من بوابات الأمن الآلية بما في ذلك التحليل الثابت، وفحص ثغرات التبعيات، وفحص صور الحاويات، وأي فحوصات أمنية أخرى مدمجة في خط الأنابيب. يجب أن تُظهر النتائج ما جرى فحصه والنتائج وما إذا كان خط الأنابيب قد تقدم أم توقف.
سند القطعة الأثرية
سجلات تُثبت أصل القطع الأثرية المنشورة وسلامتها. يشمل ذلك سجلات البناء التي تُظهر كيفية إنشاء القطع الأثرية، والمجاميع الاختبارية أو التوقيعات للتحقق من سلامة القطعة الأثرية، وسجلات الكود المصدري والتبعيات المستخدمة.
متطلبات الاحتفاظ بالأدلة
لا تحدد NIS2 فترة احتفاظ إلزامية واحدة لجميع الأدلة. غير أن الاعتبارات التالية تنطبق:
- يستحق التقرير النهائي للحادث خلال شهر واحد، لذا يجب توفر جميع الأدلة لهذه المدة على الأقل
- قد تطلب السلطات المختصة معلومات إضافية خلال تحقيقات المتابعة التي قد تمتد إلى ما بعد فترة الإبلاغ الأولية
- قد تفرض عمليات النقل في الدول الأعضاء متطلبات احتفاظ محددة — يجب على المؤسسات مراجعة تشريعاتها الوطنية
- كـحد أساسي حذر، ينبغي على المؤسسات الاحتفاظ بأدلة خط الأنابيب لمدة لا تقل عن 24 شهراً لتغطية جداول التحقيق، والمتابعات التنظيمية، والإجراءات القانونية المحتملة
تعيين نوع الحادث إلى أدلة خط الأنابيب
| نوع الحادث | أدلة خط الأنابيب المطلوبة | فترة الاحتفاظ الموصى بها |
|---|---|---|
| نشر مخترق (وصول كود ضار إلى الإنتاج) | الجدول الزمني الكامل للنشر؛ سجلات الالتزام والتغيير للإصدار المتأثر؛ سجلات الموافقة؛ نتائج الفحص الأمني (خاصة البوابات المتجاوزة)؛ سند القطعة الأثرية والتحقق من السلامة | 24 شهراً كحد أدنى |
| اختراق سلسلة التوريد (تبعية ضارة أو صورة أساسية) | SBOM للبنيات المتأثرة؛ سجلات تحديث التبعيات؛ سند القطعة الأثرية؛ سجلات الوصول إلى السجل؛ سجلات تقييم الموردين | 24 شهراً كحد أدنى؛ احتفظ بـ SBOMs لدورة حياة البرنامج المتأثر |
| وصول غير مصرح به إلى بنية خط الأنابيب التحتية | سجلات المصادقة والوصول إلى خط الأنابيب؛ سجل تهيئة RBAC؛ سجلات التحقق من MFA؛ سجلات الإجراءات الإدارية | 24 شهراً كحد أدنى |
| كشف بيانات عبر سجلات خط الأنابيب أو القطع الأثرية | سجلات تنفيذ خط الأنابيب (لتحديد البيانات المكشوفة)؛ سجلات تدقيق إدارة الأسرار؛ سجلات الوصول إلى تخزين القطع الأثرية | 24 شهراً كحد أدنى؛ قد تمتد بناءً على متطلبات سلطة حماية البيانات |
| التلاعب بخط الأنابيب (تعديل غير مصرح به لتهيئة خط الأنابيب) | سجل تغيير تهيئة خط الأنابيب؛ سجلات الوصول لإدارة خط الأنابيب؛ سجلات الالتزام لملفات pipeline-as-code؛ سجلات الموافقة لتغييرات خط الأنابيب | 24 شهراً كحد أدنى |
| فشل النشر المسبب لانقطاع الخدمة | سجلات النشر بما في ذلك تفاصيل الأخطاء؛ سجلات التراجع؛ سجلات التغيير؛ نتائج الاختبار قبل النشر؛ نتائج فحص الصحة بعد النشر | 18 شهراً كحد أدنى |
قائمة مراجعة المدقق: الاستعداد للحوادث في بيئات CI/CD
استخدم هذه القائمة لتقييم مدى استعداد بيئة CI/CD للمؤسسة لدعم التزامات الإبلاغ عن الحوادث بموجب NIS2:
توليد الأدلة
- ☐ تلتقط سجلات خط الأنابيب دورة الحياة الكاملة: الإثارة والبناء والفحص والموافقة والنشر والنتيجة
- ☐ كل عملية نشر مرتبطة بمجموعة محددة من تغييرات الكود والموافقات
- ☐ نتائج الفحص الأمني مسجلة ومحفوظة بشكل مستقل عن واجهات أداة خط الأنابيب
- ☐ سجلات سند القطعة الأثرية (مدخلات البناء والمجاميع الاختبارية والتوقيعات) مُوَلَّدة لكل إصدار
- ☐ الطوابع الزمنية عبر جميع مكونات خط الأنابيب متزامنة مع مصدر زمني موثوق مشترك
سلامة الأدلة
- ☐ سجلات خط الأنابيب مخزنة في تخزين للإلحاق فقط أو غير قابل للتغيير
- ☐ يمكن التحقق من سلامة السجل (مثلاً، من خلال المجاميع الاختبارية أو التسلسل التشفيري)
- ☐ الوصول إلى تخزين السجلات مقيد ومراجعته بشكل منفصل
- ☐ مديرو خط الأنابيب لا يستطيعون حذف السجلات التاريخية أو تعديلها
الاحتفاظ بالأدلة
- ☐ توجد سياسة احتفاظ موثقة تغطي أدلة خط أنابيب CI/CD
- ☐ فترات الاحتفاظ تلبي الحد الأدنى الموصى به أو تتجاوزه (24 شهراً كخط أساسي)
- ☐ الاحتفاظ مُطبَّق آلياً — وليس معتمداً على التدخل اليدوي
- ☐ الأدلة تبقى متاحة وقابلة للقراءة طوال فترة الاحتفاظ (طول عمر الصيغة)
التكامل مع الاستجابة للحوادث
- ☐ تشير خطة الاستجابة للحوادث صراحةً إلى أدلة خط أنابيب CI/CD وكيفية الوصول إليها
- ☐ الأدوار والمسؤوليات المتعلقة بجمع أدلة خط الأنابيب خلال الحوادث محددة
- ☐ اختبرت المؤسسة قدرتها على استرداد أدلة خط الأنابيب وتحليلها في ظروف الحوادث
- ☐ توجد مسارات تصعيد للحوادث الناشئة في خط أنابيب CI/CD أو المؤثرة فيه
الاستعداد للإبلاغ
- ☐ يمكن للمؤسسة إنتاج جدول زمني للنشر لأي خدمة معينة ضمن نافذة الإنذار المبكر البالغة 24 ساعة
- ☐ إجراءات تحليل الأسباب الجذرية تتضمن مراجعة سجل خط الأنابيب كخطوة معيارية
- ☐ تقارير النماذج للسلطات المختصة تتضمن أقساماً للأدلة المتعلقة بخط الأنابيب
موارد ذات صلة
للاطلاع على مكتبة موارد الامتثال الكاملة لـ NIS2، تفضل بزيارة مركز امتثال NIS2.
للاطلاع على نظرة عامة على مبادئ معمارية أمان NIS2 وكيفية تطبيقها على تسليم البرمجيات، راجع شرح معمارية أمان NIS2.
مراجع ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- معمارية أمان NIS2
- الامتثال المستمر عبر CI/CD
- كيف يراجع المدققون CI/CD فعلياً
هل أنت جديد في تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
