جريدة الجريدة - الأربعاء 12 رمضان 1443هـ  - 13 أبريل 2022

وزير العدل: 12 سياسة متطورة لحماية المعلومات من الاختراق
«التحريات المالية والمناقصات أمّنت سريتها بخطط احترازية لمنع الهجمات الخارجية»

كتب الخبر فهد التركي
في الوقت الذي كشف فيه وزير العدل وزير الدولة لشؤون النزاهة، المستشار جمال الجلاوي، عن وجود سياسات متطورة لحماية المعلومات من الاختراقات، أكد أن وحدة التحريات المالية والمناقصات أمّنت سريتها بخطط احترازية لمنع الهجمات الخارجية.
كشف وزير العدل وزير الدولة لشؤون تعزيز النزاهة جمال الجلاوي ان وحدة التحريات المالية الكويتية تعتمد السرية التامة في جميع معاملاتها.
وقال الجلاوي، في رده على سؤال للنائب بدر الملا، ان الاصل في مستندات الوحدة هو السرية وعدم السرية هو الاستثناء، لاسيما المستندات ذات العلاقة بنشاط الوحدة الاساسي، إضافة إلى ملفات موظفي الوحدة والمعلومات الخاصة بانظمتها الالكترونية، والتي من شأن إفشائها الاضرار بامن المعلومات، اما فيما عدا ذلك من بيانات مثل الاخبار ونماذج تقديم الاخطارات فلا تخضع لاعتبارات السرية، علما ان هذه البيانات منشورة في الموقع الرسمي للوحدة.
وقال الجلاوي: "لدى الوحدة 6 انظمة رقمية منها الموقع الالكتروني، علما أن تلك الوحدة لا تقدم خدمات للجمهور، وأن جميع هذه الانظمة تتم ادارتها وصيانتها من قبل ادارة امن وتقنية المعلومات بالوحدة"، مشيراً إلى إلى أنه لم يتم التعاقد مع اي شركة خارجية بخصوص التحول الرقمي، حيث كما سلف ذكره يتم التطوير وإدارة وصيانة الامور المرتبطة بالتحول الرقمي داخليا من قبل ادارة تقنية المعلومات.
وأضاف أن الوحدة وضعت ضوابط واجراءات تقنية للحفاظ على امن المعلومات وتشمل الية حفظ واسترجاع البيانات من الخوادم (السيرفرات) الخاصة بها، وذلك من خلال اتباع افضل الممارسات التقنية من قبل ادارة امن وتقنية المعلومات بالوحدة بكوادرها الوطنية، مبيناً أن الادارة المذكورة هي المسؤولة عن حماية وادارة وصيانة تلك الخوادم، بما فيها الاحتفاظ بسجل للمستخدم في الدخول والخروج.
وحول الجهاز المركزي للمناقصات العامة، أكد الجلاوي أن لدى هذا الجهاز نظاما آليا خاصا بالدورة المستندية للمناقصات، وموقعاً الكترونياً يعنى بنشر وعرض المعلومات المتعلقة بأعمال الجهاز، ويتم تحديثه بصورة يومية، كما يوجد برنامج للهواتف الذكية لعرض خدمات الجهاز، مشيراً إلى أن عملية التطوير لهذه الانظمة تتم من خلال طرح المناقصات او الممارسات على الشركات المتخصصة حسب النظم واللوائح المتبعة بهذا الشان.
وذكر أن هناك عقد صيانة سنوياً للنظام المذكور مع شركة مجموعة بشارة للتجارة العامة، وتتم عملية الصيانة من خلال طلبات رسمية، وتحت اشراف ومتابعة ادارة نظم المعلومات في الجهاز المركزي للمناقصات.
ولفت إلى أن الجهاز المركزي للمناقصات يقوم حاليا بإعداد كراسة شروط فنية تمهيدا لطرحها على الشركات المتخصصة بعد اعتماد الميزانية للسنة المالية القادمة 2022/2023 بهدف تطوير وتشغيل وصيانة بعض الخدمات اليدوية غير المميكنة لتحويلها لخدمات رقمية حسب ما تم مناقشته في اجتماعات اللجنة التنسيقية للإشراف على متابعة متطلبات اطلاق وتشغيل التطبيقات الحكومية (سهل).
وأضاف أن عملية النقل الاحتياطي للبيانات تتم من خلال خوادم احتياطية داخل الجهاز المركزي للمناقصات العامة، وبصورة يومية، وكذلك من خلال الاجهزة الاحتياطية خارج مبنى الجهاز لدى المجلس الأعلى للتخطيط والتنمية، والتي تتم متابعتها من قبل المختصين بإدارة نظم المعلومات.
وأكد الجلاوي انه وفقا لأحكام قانون المناقصات العامة رقم 49 لسنة 2016 وتعديلاته ولائحته التنفيذية يعمل "المركزي للمناقصات" على نشر المعلومات تحقيقا لمبادئ الشفافية والعلانية، وذلك بنشر جميع البيانات المتعلقة بنظام الشراء من محاضر اجتماعات والاعلانات والوثائق الخاصة بعمليات الشراء في الموقع الالكتروني الرسمي للجهاز، حتى يتسنى للجميع الاطلاع عليها.
وقال ان هيئة الاتصالات قامت بإعداد سياسة تصنيف البيانات وحددتها باربعة مستويات، الاول البيانات العامة، والثاني بيانات خاصة غير حساسة، والثالث بيانات خاصة حساسة، أما الرابع فيتعلق ببيانات عالية الحساسية، وذلك لتصنيف البيانات والمعلومات السرية وغير السرية في قواعد البيانات بمؤسسات الدولة، والوزارة تتبع نفس معايير التصنيف حسب ما يتلاءم مع طبيعة البيانات الخاصة بها.
وذكر أن "العدل" تنتهج عدة سياسات لحماية وأمن شبكة معلوماتها في حالة حدوث هجمات خارجية او اختراق شبكة معلوماتها بالاستعانة بالدليل الاسترشادي لمبادئ السياسات العامة في أمن المعلومات الخاص بالجهاز المركزي لتكنولوجيا المعلومات، وهو الاجراء المتبع لسياسة إدارة المخاطر وتتمثل في الآتي:
1 - حماية هويات الدخول والصلاحيات لضمان أمن المعلومات للوصول المنطقي الى الأصول المعلوماتية والتقنية من أجل منع الدخول لغير المصرح لهم، وتقييد الوصول الى ما هو مطلوب لإنجاز الأعمال المتعلقة بالوزارة. ويكون ذلك من خلال التحقق من هوية المستخدم بناء على ادارة تسجيل المستخدم وكلمة السر.
2 - حماية البريد الالكتروني من مخاطر الاختراق، حيث يتم تحديد وتوثيق واعتماد متطلبات أمن المعلومات لحماية البريد الالكتروني لوزارة العدل من خلال تحليل وتصفية الرسائل البريدية، خاصة رسائل التصيد الإلكتروني، ورسائل البريد العشوائية باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة للبريد الالكتروني.
3 - حماية تطبيقات الويب الخارجية من المخاطر والكوارث عن طريق استخدام جدار الحماية لتطبيقات الويب، واستخدام بروتوكولات آمنة مثل بروتوكول (الخارجية والاختراقات)، كذلك التأكد من أمن وحماية الخدمات الالكترونية المقدمة لمراجعي الوزارة.
4 - حماية البيانات والمعلومات لضمان السرية وسلامة بيانات ومعلومات الوزارة ودقتها، وذلك وفقا للسياسات والإجراءات المتبعة.
5 - حماية الأنظمة وأجهزة معالجة المعلومات، بما في ذلك اجهزة المستخدمين والبنية التحتية للوزارة من المخاطر الخارجية والاختراقات، من خلال الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة على أجهزة المستخدمين والخوادم، باستخدام التقنيات والآليات الحديثة والمتقدمة، وإدارتها بشكل آمن، إلى جانب مزامنة التوقيت مركزيا ومن مصدر دقيق وموثوق، وإدارة حزم التحديثات للأنظمة والتطبيقات والأجهزة.
6- ادارة أمن الشبكات لحمايتها من المخاطر الخارجية والاختراقات من خلال العزل والتقسيم المادي أو المنطقي لأجزاء الشبكات بشكل آمن، باستخدام جدار الحماية ومبدأ الدفاع الأمني متعدد المراحل، فضلاً عن التأكد من أمن التصفح والاتصال بالإنترنت، ويشمل ذلك التقييد الحازم للمواقع الإلكترونية المشبوهة، ومواقع مشاركة وتخزين الملفات، ومواقع الدخول عن بعد.
7- إدارة الثغرات التقنية في الوقت المناسب ومعالجتها بشكل فعال لمنع أو تقليل احتمالية استغلال هذه الثغرات، وتقليل الآثار المترتبة عليها، والتي قد تضر بأعمال الوزارة.
8- إدارة سجلات الأحداث ومراقبة أمن المعلومات لضمان تجمیع وتحديد وتحليل ومراقبة سجلات احداث الأمن السيبراني في الوقت المناسب من اجل الاكتشاف المبكر للهجمات الخارجية والاختراقات وتفادي مخاطرها بفعالية لمنع حدوث او تقليل الآثار على اعمال الوزارة، من خلال تفعيل سجلات الأحداث الخاصة بأمن المعلومات على جميع الأنظمة المعلوماتية بالوزارة.
9 - إدارة اصدار شهادات التوثيق وضمان تشفير الاتصال بين الخوادم والمستخدمين من خلال تشفير الاتصال وتضمين عملية تشفير الاتصال حماية الوثائق والأوراق الثبوتية المستخدمة في الوزارة والحفاظ على أمنها بسرية تامة.
10 - اختبار الاختراق من خلال الشركة التي تم التعاقد معها بعقد رقم (وع4-2017/2018) الخاص بتوفير خدمات أمن وحماية وإدارة شبكة معلومات وزارة العدل، حيث يتم هذا الاختبار مرة كل 6 أشهر لتقييم واختبار مدى فعالية قدرات تعزيز الأمن السيبراني.
11 - يتم حاليا أخذ نسخ من البيانات عن طريق تقنيات مثل "snapshot" وحفظها على نفس الخادم.
12- يتم حفظ واسترجاع البيانات في جهاز بديل بصورة شرائط تخزين بصفة دورية.

دستور دولة الكويت الصادر في 11 / 11 /1962
القانون وفقاً لآخر تعديل- قانون رقم 49 لسنة 2016 بشأن المناقصات العامة
المرسوم وفقاً لآخر تعديل- مرسوم رقم 266 لسنة 2006 بإنشاء الجهاز المركزي لتكنولوجيا المعلومات
تعميم رقم (4) لسنة 2006 بشأن نظم وتكنولوجيا المعلومات
«تكنولوجيا المعلومات»: تطوير «الدفاع الإلكتروني» وحماية المعلومات الحكومية ضد الاختراقات