نظرة عامة: NIS2 المادة 21 وتدابير إدارة مخاطر الأمن السيبراني
تُرسي المادة 21 من توجيه NIS2 تدابير إدارة مخاطر الأمن السيبراني الأساسية التي يتعين على الكيانات الجوهرية والمهمة تطبيقها. وبالنسبة للمؤسسات التي تعتمد على خطوط أنابيب CI/CD لتسليم البرمجيات، تترجم هذه المتطلبات مباشرةً إلى ضوابط حوكمة خط الأنابيب التي يتعين على المدققين ومسؤولي الامتثال تقييمها.
تفرض المادة 21 نهجاً شاملاً لجميع المخاطر — مما يعني أن الضوابط يجب أن تعالج المخاطر عبر دورة حياة تسليم البرمجيات بأكملها، وليس فقط البنية التحتية للإنتاج. ويشمل ذلك بيئات البناء، وأتمتة النشر، وإدارة القطع الأثرية، وسير عمل الموافقة على التغييرات.
يعيّن الجدول أدناه كل متطلب من متطلبات المادة 21 إلى ضوابط CI/CD المقابلة والأدلة التي ينبغي للمدققين طلبها خلال التقييمات.
متطلبات المادة 21 مُعيَّنة إلى ضوابط CI/CD
| متطلب المادة 21 من NIS2 | ضابط CI/CD | الأدلة للمدققين |
|---|---|---|
| المادة 21(2)(أ) — تحليل المخاطر وسياسات أمن نظم المعلومات | سياسة أمن خط الأنابيب الموثقة التي تغطي مراحل البناء والاختبار والنشر؛ تقييمات دورية للمخاطر لبنية CI/CD التحتية | وثائق السياسة المعتمدة مع سجل الإصدارات؛ تقارير تقييم المخاطر التي تشير إلى أصول CI/CD؛ سجلات موافقة الإدارة |
| المادة 21(2)(ب) — التعامل مع الحوادث | إجراءات الاستجابة لحوادث خط الأنابيب؛ التنبيه الآلي على إخفاقات البناء/النشر؛ آليات التراجع | كتيبات الاستجابة للحوادث الخاصة بإخفاقات خط الأنابيب؛ سجلات تهيئة التنبيهات؛ سجلات الحوادث التي تُظهر الجداول الزمنية من الكشف إلى الحل |
| المادة 21(2)(ج) — استمرارية الأعمال وإدارة الأزمات | خطط تكرار خط الأنابيب والتعافي من الكوارث؛ نسخ احتياطي لتهيئات خط الأنابيب والأسرار؛ أهداف وقت التعافي لبنية البناء التحتية | خطط استمرارية الأعمال التي تغطي أنظمة CI/CD؛ إجراءات التعافي الموثقة؛ نتائج اختبارات تمارين DR؛ سجلات التحقق من النسخ الاحتياطي |
| المادة 21(2)(د) — أمن سلسلة التوريد | سياسات حوكمة التبعيات؛ السجلات المعتمدة وكتالوجات الصور الأساسية؛ تقييمات الموردين لمزودي أدوات CI/CD؛ توليد قائمة مكونات البرمجيات (SBOM) | قوائم التبعيات المعتمدة؛ سجلات SBOM لكل إصدار؛ تقارير تقييم مخاطر الموردين؛ سير عمل الموافقة على المكونات الخارجية |
| المادة 21(2)(هـ) — الأمن في اقتناء شبكات المعلومات وأنظمتها وتطويرها وصيانتها | معايير تهيئة خط الأنابيب الآمن؛ فصل البيئات (التطوير/الاختبار/الإنتاج)؛ بوابات فحص الأمن الآلية | خطوط أساس تهيئة خط الأنابيب؛ توثيق معمارية البيئة؛ سياسات بوابة الفحص وسجلات النجاح/الفشل |
| المادة 21(2)(و) — السياسات والإجراءات لتقييم فعالية تدابير إدارة مخاطر الأمن السيبراني | مقاييس وKPIs لأمن خط الأنابيب؛ عمليات تدقيق دورية لخط الأنابيب؛ مراجعات فعالية الضوابط | تقارير لوحة المعلومات حول معدلات اجتياز بوابات الأمن؛ نتائج التدقيق وتتبع المعالجة؛ محاضر مراجعة الإدارة |
| المادة 21(2)(ز) — ممارسات النظافة السيبرانية الأساسية والتدريب على الأمن السيبراني | تدريب المطورين على الاستخدام الآمن لخط الأنابيب؛ إجراءات الإعداد الموثقة للوصول إلى خط الأنابيب | سجلات إتمام التدريب؛ قوائم مراجعة الإعداد؛ مواد برنامج التوعية التي تشير إلى أمن CI/CD |
| المادة 21(2)(ح) — السياسات والإجراءات المتعلقة باستخدام التشفير | سياسات إدارة الأسرار؛ تشفير القطع الأثرية أثناء النقل والتخزين؛ متطلبات توقيع الكود | شهادات تهيئة أداة إدارة الأسرار؛ سياسات التشفير؛ سجلات التحقق من القطع الأثرية الموقعة؛ سجلات إدارة الشهادات |
| المادة 21(2)(ط) — أمن الموارد البشرية، وسياسات التحكم في الوصول، وإدارة الأصول | التحكم في الوصول المستند إلى الأدوار (RBAC) لأنظمة خط الأنابيب؛ جرد أصول خط الأنابيب؛ عمليات الانضمام/الانتقال/المغادرة لوصول CI/CD | مصفوفات RBAC لأدوات خط الأنابيب؛ سجلات مراجعة الوصول؛ سجلات الأصول التي تدرج مكونات CI/CD؛ سجلات توفير الوصول وإلغاء توفيره |
| المادة 21(2)(ي) — استخدام المصادقة متعددة العوامل (MFA) والاتصالات الآمنة | تطبيق MFA على جميع واجهات إدارة خط الأنابيب؛ قنوات اتصال مشفرة بين مكونات خط الأنابيب | شهادات تهيئة تطبيق MFA؛ سجلات المصادقة التي تُظهر استخدام MFA؛ أدلة تهيئة TLS/mTLS للاتصال بين المكونات |
ما يجب على المدققين التحقق منه
طبقة السياسات والحوكمة
- وجود السياسة وحداثتها: تأكد من وجود سياسات أمن خط الأنابيب، وأنها معتمدة من الإدارة المناسبة، وقد جرت مراجعتها خلال الاثني عشر شهراً الماضية.
- كفاية النطاق: تحقق من أن السياسات تغطي صراحةً بنية CI/CD التحتية، وليس فقط أنظمة الإنتاج. كثيراً ما تتجاهل المؤسسات بيئات البناء في أطر عملها الأمنية.
- تغطية تقييم المخاطر: تحقق من أن سجل مخاطر المؤسسة يتضمن مخاطر خاصة بـ CI/CD مثل التلاعب بخط الأنابيب، وتسرب الأسرار، وتسميم التبعيات.
طبقة تطبيق الضوابط
- الفصل بين المهام: تحقق من أن الشخص الذي يكتب الكود لا يستطيع أيضاً الموافقة عليه ونشره دون مراجعة مستقلة.
- إمكانية تتبع التغييرات: تأكد من إمكانية تتبع كل عملية نشر في الإنتاج حتى طلب تغيير معتمد ومراجعة الكود وفحص أمني ناجح.
- ضوابط الوصول: اطلب دليلاً على مراجعات دورية للوصول إلى أدوات إدارة خط الأنابيب. ابحث عن الحسابات الخاملة والصلاحيات المفرطة.
- إدارة الأسرار: تأكد من أن الأسرار غير مضمّنة في تهيئات خط الأنابيب. اطلب شهادة من أداة إدارة الأسرار.
طبقة الأدلة والمراقبة
- اكتمال السجلات: تحقق من أن سجلات خط الأنابيب تلتقط من أثار عملية النشر، وما الذي جرى نشره، ومتى جرى ذلك، وما إذا كانت جميع البوابات المطلوبة قد اجتازت.
- فترات الاحتفاظ: تأكد من أن فترة الاحتفاظ بالسجلات تلبي متطلبات NIS2 وسياسة المؤسسة الخاصة (عادةً 12 إلى 24 شهراً كحد أدنى).
- حماية من التلاعب: تحقق مما إذا كانت سجلات خط الأنابيب مخزنة في تخزين للإلحاق فقط أو غير قابل للتغيير لمنع التلاعب بعد الحوادث.
علامات التحذير التي يجب مراقبتها
- سياسات أمن خط الأنابيب التي تشير ببساطة إلى السياسات العامة لتكنولوجيا المعلومات دون ضوابط خاصة بـ CI/CD
- لا يوجد دليل على مراجعات دورية للوصول إلى أدوات خط الأنابيب
- عمليات النشر التي تتجاوز بوابات الموافقة المطلوبة (ابحث عن سجلات التجاوز أو النشر الطارئ دون مبررات لاحقة)
- الأسرار المرئية في سجلات خط الأنابيب أو ملفات التهيئة
- لا توجد حوكمة موثقة لسلسلة التوريد للتبعيات الخارجية
موارد ذات صلة
للاطلاع على فهم أعمق لكيفية تطبيق مبادئ معمارية أمان NIS2 على بيئات CI/CD، راجع شرح معمارية أمان NIS2.
للاطلاع على مكتبة موارد الامتثال الكاملة لـ NIS2، تفضل بزيارة مركز امتثال NIS2.
مراجع ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- التعمق في المادة 21 من DORA
- مقارنة NIS2 و DORA
- قائمة مراجعة الاستعداد للتدقيق
هل أنت جديد في تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
