- إجراء مراجعات وتقييم دوري لفاعلية سياسة تصنيف البيانات الإلكترونية والتأكد من تطبيقها بشكل صحيح
- على الجهات المعنية اتخاذ الإجراءات والتدابير اللازمة لإصدار الوثيقة متضمنة فئات ومستويات البيانات الإلكترونية
أصدر رئيس المركز الوطني للأمن السيبراني محمد بوعركي قرارا بشأن لائحة الإطار الوطني العام لتصنيف البيانات الإلكترونية. واستهل القرار بتحديد الغرض من اللائحة، وهو وضع اطار وطني منهجي عام لتصنيف البيانات الالكترونية وفقا لمستوى حساسيتها وأهميتها، وذلك لضمان حماية البيانات والمعلومات الالكترونية وخصوصيتها وضمان استخدامها وفقا للسياسات واللوائح المعمول بها، فيما حددت نطاقها بأنها تنطبق على جميع البيانات الاكترونية التي يتم انشاؤها او تخزينها او معالجتها بواسطة أي موظف او طرف ثان متعاقد معه او طرف ثالث.
وتحت بند «التعاريف» عرفت المركز بأنه المركز الوطني للأمن السيبراني، فيما الجهات المعنية هي الجهات الحكومية المدنية والعسكرية والامنية ومؤسسات القطاع العام والخاص داخل الكويت ذات الصلة باختصاصات المركز، والجهات الاخرى التي يحددها رئيس المركز وفقا لاحكام المرسوم رقم 37 لسنة 2022.
ج ـ البيانات الإلكترونية: بيانات ذات خصائص الكترونية في شكل نصوص، او رموز او اصوات او فيديوهات او رسوم او صور او برامج حاسب آلي او قواعد للبيانات يتم انشاؤها او تسلمها او معالجتها او تخزينها بشكل الكتروني.
د ـ تصنيف البيانات الإلكترونية: عملية تحديد وتصنيف البيانات الالكترونية وفقا لحساسيتها وأهميتها، وتعيين مستوى مناسب لكل فئة من البيانات وفقا للمعايير التفصيلية التي تضعها الجهات المعنية والمعتمدة من المركز.
هـ ـ البيانات الحساسة: هي البيانات التي يكون حق الوصول لها او الاطلاع عليها او معالجتها او مشاركتها مقيدة بأشخاص او جهات محددة، والتي يترتب على فقدانها او اساءة استخدامها او الوصول اليها او الافصاح غير المصرح به عنها من قبل شخص او جهة ضرر جسيم او تأثير سلبي على الامن الوطني او الامن العام او اقتصاد الدولة، او الاضرار بالأشخاص او الممتلكات، او المساس بخصوصية وصحة الافراد، او الملكية الفكرية، او عمليات الجهات المعنية او اصولها او افرادها، او ما يتم تقرير حساسيتها وفقا للقوانين المعمول بها في الكويت او السلطات القضائية.
و ـ البيانات المقيدة او المحدودة: هي البيانات التي يكون حق الوصول لها او الاطلاع عليها او معالجتها او مشاركتها مقيدة بأشخاص او جهات محددة ولها تأثير سلبي، ولا تعتبر بيانات حساسة.
ز ـ البيانات العامة او المفتوحة: هي البيانات التي تكون متاحة للجميع دون قيود ويمكن لأي شخص او جهة الوصول لها او الاطلاع عليها او معالجتها او مشاركتها.
ج ـ ضوابط حماية البيانات: التدابير الفنية والتنظيمية التي تصدر من المركز وتلتزم الجهات المعنية بإصدار وتنفيذ التدابير الخاصة بها لتأمين وحماية بياناتها.
ط ـ التشفير: عملية تحويل البيانات الالكترونية الى رموز غير معروفة او مبعثرة لإخفاء محتواها يستحيل قراءتها من دون اعادتها الى هيئتها الاصلية.
وعن السياسة العامة نص القرار:
أ ـ تلتزم الجهات المعنية بتصنيف البيانات الالكترونية وذلك بتحديد مستوى حساسية واهمية البيانات والمعلومات الالكترونية الخاصة بها بناء على طبيعتها، وفقا للمعايير التفصيلية التي تضعها الجهات المعنية ـ وبما يتوافق مع الاطار العام لهذه اللائحة ـ وتلتزم الجهات المعنية باعتمادها من المركز، والتي يترتب على فقدانها او اساءة استخدامها او الوصول اليها او الافصاح غير المصرح به عنها من قبل شخص او جهة ضرر جسيم او تأثير سلبي على الامن الوطني او الامن العام او اقتصاد الدولة، او الاضرار بالأشخاص او الممتلكات، او المساس بخصوصية وصحة الافراد، او الملكية الفكرية، او عمليات الجهات المعنية او اصولها او افرادها، او ما يتم تقرير حساسيتها وفقا للقوانين المعمول بها في الكويت او السلطات القضائية.
ب ـ تلتزم الجهات المعنية بتصنيف البيانات الالكترونية وفقا لطبيعتها ومستوى حساسيتها ودرجة اثرها وأهميتها الى فئات او مستويات مختلفة، وفقا لنموذج تصنيف يحتوي على تحديد الفئة او المستوى (عام، ومحدود، وحساس) او يمكن تطبيق نموذج تصنيف خاص بالجهات المعنية يتناسب مع احتياجاتها ولا يخرج عن الاطار العام لهذه اللائحة.
ج ـ تلتزم الجهات المعنية باتخاذ الاجراءات والتدابير اللازمة بإصدار وثيقة تصنيف البيانات الالكترونية الخاصة بها والمتوافقة مع الاطار العام لهذه اللائحة وتعتمد من المركز، على ان تتضمن تفاصيل فئات ومستويات البيانات الالكترونية المصنفة ومستوى الحساسية والاهمية المعينة لها.
د ـ تلتزم الجهات المعنية باتخاذ الاجراءات والتدابير الفنية والتنظيمية اللازمة لضمان تأمين الحماية الملائمة لكل فئة او مستوى من البيانات الالكترونية وفقا لتصنيفها، بما في ذلك التشفير، وإجراءات الوصول المحدود، والتحقق الثنائي، وسياسات الاحتفاظ بالبيانات، وغيرها من التدابير الامنية اللازمة.
هـ ـ تلتزم الجهات المعنية بأخذ موافقة المركز قبل حفظ أي بيانات حساسة او معالجتها خارج الكويت.
و ـ يقع على عاتق الجهات المعنية مسؤولية متابعة قيام الافراد بتصنيف البيانات عند انشائها او تلقيها من جهات اخرى، ويتم التصنيف خلال فترة زمنية محدودة، وكذلك تحديث التصنيف بصفة دورية.
ز ـ تلتزم الجهات المعنية بتوفير التأهيل والتدريب المناسب للموظفين والعاملين لديها بشأن سياسة تصنيف البيانات الالكترونية ورفع كفاءتهم وقدراتهم لضمان التطبيق الآمن في التعامل مع البيانات المصنفة ومستوى الحماية المقررة لكل فئة او مستوى.
اللائحة ملزمة لكل الجهات المعنية وموظفيها
تحت بند المسؤولية نص القرار:
أ ـ تقع على الجهات مسؤولية اصدار وثيقة تصنيف البيانات الالكترونية الخاص بها واعتمادها من المركز والعمل على تنفيذها.
ب ـ يلتزم المركز بمراجعة واعتماد مشروع وثيقة تصنيف البيانات الالكترونية الخاصة بالجهات المعنية وبالتنسيق معها وفقا للمعايير والضوابط المرعية لدى المركز في تصنيف البيانات الالكترونية.
ج ـ تلتزم الجهات المعنية بإجراء مراجعات وتقييم دوري لفاعلية سياسة تصنيف البيانات الالكترونية والتأكد من تطبيقها بشكل صحيح، وادامة تحديث التصنيف وفقا للتطورات والتعديلات في البيانات واحتياجات الامان، وتقديم تقرير دوري الى المركز بشأن نتائج تنفيذ وتطبيق وثيقة تصنيف البيانات الالكترونية الخاصة بها.
د ـ تقع على عاتق جميع الموظفين والعاملين مسؤولية اتباع سياسات واجراءات تصنيف البيانات الالكترونية الخاصة بالجهات المعنية العاملين بها.
هـ ـ تلتزم الجهات المعنية والموظفين والعاملين بها بتقديم بلاغ الى الجهة المختصة لدى الجهات المعنية عن اي شبهة او نشاط مخالف او مجرم وفقا للقوانين والنظم واللوائح المعمول بها في الدولة والتي من شأنها المساس بسرية وسلامة وامن وتوفر البيانات الالكترونية.
وفيما يتعلق بالإنفاذ جاء في القرار: تعتبر اللائحة العامة لتصنيف البيانات الالكترونية ملزمة على كل الجهات المعنية والعاملين فيها، وتلتزم الجهات المعنية بفرض سياسات وإجراءات تصنيف البيانات الالكترونية الخاصة بها وبما لا يتعارض مع احكامها، ويتعرض المخالفون لها او تلك الصادرة من الجهات المعنية لمباشرة الاجراءات التأديبية او الجنائية بحقهم وفقا للقوانين والنظم واللوائح المعمول بها في الدولة.
وأوضح القرار أنه يجوز تعديل هذه اللائحة من قبل المركز متى كان لذلك مقتضى بناء على ما تقضيه المصلحة العامة، مبينا أنه يعمل بأحكام هذه اللائحة اعتبارا من تاريخه.