ألزمت اللائحة التنفيذية لقانون قانون مكافحة جرائم تقنية المعلومات المعروف إعلامياً بـ"مكافحة جرائم الإنترنت التى صدرت الأسبوع الماضى، مقدمو خدمات تقنية المعلومات والاتصالات التى تمتلك أو تدير أو تشغل البنية التحتية المعلوماتية الحرجة باتخاذ نحو 20 إجرءا تقنيا وتنظيميا للمحافظة على سرية البيانات التى تم حفظها وتخزينها، وعدم اعتراضها أو اختراقها أو تلفها.
ونصت المادة "3" من اللائحة على أن يلتزم مقدمو خدمات تقنية المعلومات والاتصالات التى تمتلك أو تدير أو تشغل البنية التحتية المعلوماتية الحرجة باتخاذ الإجراءات التقنية والتنظيمية التالية لتنفيذ البندين 2 و 3 من الفقرة أولا من المادة 2 من القانون والتى تتضمن التزامات مقدم الخدمة ومنها المحافظة على سرية البيانات التى تم حفظها وتخزينها، وعدم افشائها أو الأفصاح عنها بغير أمر مسبب من إحدى الجهات القضائية المختصة – ويشمل ذلك البيانات الشخصية لأى من مستخدمى خدمته أو أى بيانات أو معلومات متعلقه بالمواقع والحسابات الخاصة التى يدخل عليها هؤلاء المستخدمون، أو الأشخاص والجهات التى يتواصلون معها وتأمين البيانات والمعلومات بما يحافظ على سريتها، وعدم اعتراضها أو اختراقها أو تلفها.
وتتضمن الإجراءات التى حددتها اللائحة التنفيذية ما يلى:
1- إعداد سياسة أمن معلومات باعتمادها من الإدارة العليا للبنية التحتية المعلوماتية الحرجة وضمان مراجعتها كل عام لضمان استمرار ملائمة وكفاية وفاعلية تلك السياسة على أن تتضمن تلك السياسة متطلبات الأجهزة والجهات الرقابية والتنظيمية المختصة بالبنية التحتية المعلوماتية الحرجة والمتطلبات القانونية والمتطلبات الخاصة بالموارد البشرية.
2- ضمان التأكد من الأمتثال لما ورد بهذا القانون ولائحته والقرارات التنفيذية ذات الصلة من التزامات تقنية أو تنظيمية.
3- تشفير البيانات والمعلومات بما يحافظ على سريتها وعدم اختراقها باستخدام نظام تشفير قياسى متماثل أو غير متماثل لا يقل تأمينه عن advancedencryption standard”aes-256” بمفتاح شفرة لا يقل عن 256 بت يتم توليده باستخدام نظام عشوائى أمن واستخدام إدارة مفاتيح تشفير قياسى للحفاظ على سريتها ودورة حياتها ومستويات اسخدامها فى التطبيقات المختلفة.
4- استخدام شهادت تصديق إلكترونى صادرة من جهة من جهات إصدار شهادات التوقيع الإإلكترونى المعترف بها فى جمهورية مصر العربية وبضوابط قانون تنظيم التوقيع الإلكترونى ولائحته التنفيذية وذلك لكافة المستخدمين لأنظمة المعلومات الخاصة بالبنية التحتية الحرجة.
5- منع الوصول المادى لغير المخول أو المصرح لهم الدخول أو الوصول لمقار وأجهزة ومعدات أنظمة البنية التحتية المعلوماتية الحرجة.
6- استخدام ضوابط نفاذ قوية وفعالة من خلال فئتين أو اكثر من فئات التوثيق وبحسب مستوى المخاطر بما يضمن تحديد المسئولية وعدم الإنكار.
7- توثيق إجراءات التنصيب والتشغيل الخاصة بنظم البنية التحتية المعلوماتية الحرجة وإتاحتها للمستخدمين المخول لهم عند حاجتهم إليها وإلزام الموردين بتويد الجهة بكامل الوثائقة الخاصة بالإجراءات التشغيلية.
8- ضمان تنفيذ وتشغيل وصيانة أنظمة البنية التحتية المعلوماتية الحرجة وإلزام الأطراف المتعاقد معها بإبرام اتفاقيات مستوى تقديم الخدمة مع الجهة.
9- تنصيب واستخدام نظم وبرامج ومعدات المكافحة والحماية من البرمجيات والهجمات الخبيثة والكشف عنها والتأكد من صلاحيتها وتحديثها.
10- إجراء التحديثات الخاصة بالنظم والبرامج والتطبيقات بشكل دورى مع الأخذ فى الاعتبار ضوابط التعامل مع إجراء التحديثات على أنظمة التحكم الصناعى مع عدم اتصالها المباشر بشبكة الإنترنت وإتمام الاختبارات اللازمة قبل إجراء التحديثات.
11- إجراء مسح سنوى لأنظمة التحكم الصناعى للكشف عن الثغرات ونقاط الضعف واتخاذ الإجراءات اللازمة للتعامل معها.
12- إجراء اختبار سنوى للكشف عن الاختراقات أو المخاطر الأمنية وتثبيت أجهزة المنع والكشف عن الاختراقات.
13-اتخاذ الإجراءات الملائمة للتعامل مع الثغرات الفنية للأجهزة وللنظم والبرامج والتطبيقات عند العلم بها.
14- إجراء عمليات نسخ احتياطيات شهرية للبيانات والمعلومات والاحتفاظ بها وتخزينها فى موقع آخر.
15- استخدام معدات وأجهزة ونظم وبرمجيات الجدران النارية لحماية الشبكات والنظم.
16- استخدام برتوكلات آمنة مثل برتوكول نقل النص التشعبى المؤمن.
17- إعداد قائمة بالأجهزة والمعدات وأرقامها المميزة والمسلسلة وطرازاتها وبيان بالنظم والبرامج والتطبيقات وقواعد البيانات المستخدمة ومواصفاتها.
18- تحديد مسئولية الإدارة العليا ومسئؤلى تكنولوجيا المعلومات وأمن المعلومات بشكل واضح وصلاحيات وسلطات وواجبات والتزمات كل منهما.
19- إبلاغ المركز الوطنى للاستعداد لطوارىء الحاسب والشبكات بالجهاز عن أى حوادث أو اختراقات فور العلم بها.
20- وضع خطة استمرارية العمل والبدائل المقترحة فى حال حدوث أى مخاطر أو أزمات تتعلق بتقديم الخدمة أو انقطاعها واختبار الخطة دوريا.
يذكر أن اللائحة التنفيذية عرفت البنية التحتية المعلوماتية الحرجة بأنها مجموعة أنظمة أو شبكات أو أصول معلوماتية أساسية يؤدى الكشف عن تفصيلاتها إلى تعطيلها أو تغيير طريقة عملها أو الدخول غير المصرح به إلى التاثير على توافر خدمات الدولة ومرافقها اللأساسية أو خسائر اقتصادية أو اجتماعية على المستوى الوطنى ويعد من البنية التحتية الحرجة ما يستخدم فى الطاقة الكهربائية والغاز الطبيعى والبترول والاتصالات والجهات المالية والبنوك والصناعات المختلفة والنقل والمواصلات والطيران المدنى والتعليم والبحث العلمى والبث الإذاعى والتليفزيونى ومحطات مياه الشرب والصرف الصحى والموارد المائية والصحة والخدمات الحكومية وخدمات الإغاثة وخدمات الطوارىء وغيرها من مرافق المعلومات والاتصالات التى قد تؤثر على الأمن القومى.