جريدة جرائم ومحاكم الإلكترونية صحيفة كويتية مختصة
• المركز أصدر لائحة الإطار الوطني العام لتصنيف البيانات الإلكترونية
• على الجهات المعنية تحديد مستوى حساسية وأهمية بياناتها الإلكترونية
• ضمان تأمين الحماية الملائمة لكل مستوى وفئة من البيانات الإلكترونية
• متابعة تصنيف الأفراد للبيانات خلال فترة زمنية محدودة وتحديثه دوريا
• تدريب الموظفين لضمان التطبيق الآمن بالتعامل مع البيانات المصنفة
• التبليغ عن أي نشاط مخالف يمس بسرية وسلامة وأمن توفر البيانات
أصدر رئيس المركز الوطني للأمن السيبراني محمد بوعركي قرارا بشأن لائحة الإطار الوطني العام لتصنيف البيانات الإلكترونية.
وبين القرار بأن الغرض من اللائحة هو وضع إطار وطني منهجي عام لتصنيف البيانات الإلكترونية وفقا لمستوى حساسيتها وأهميتها، وذلك لضمان حماية البيانات والمعلومات الالكترونية وخصوصيتها وضمان استخدامها وفقا للسياسات واللوائح المعمول بها، وحدد نطاقها بأنها تنطبق على جميع البيانات الإلكترونية التي يتم إنشاؤها أو تخزينها أو معالجتها بواسطة أي موظف أو طرف ثان متعاقد معه أو طرف ثالث.
التعاريف
وعرفت اللائحة «المركز» بأنه المركز الوطني للأمن السيبراني، وعرفت «الجهات المعنية» بأنها الجهات الحكومية المدنية والعسكرية والأمنية ومؤسسات القطاع العام والخاص داخل الكويت ذات الصلة باختصاصات المركز، والجهات الأخرى التي يحددها رئيس المركز وفقا لأحكام المرسوم رقم 37 لسنة 2022.
وبينت بأن «البيانات الإلكترونية» هي بيانات ذات خصائص إلكترونية في شكل نصوص أو رموز أو أصوات أو فيديوهات أو رسومات أو صور أو برامج حاسب آلي أو قواعد للبيانات يتم إنشاؤها أو تسلمها أو معالجتها أو تخزينها بشكل إلكتروني.
وأوضحت اللائحة بأن «تصنيف البيانات الإلكترونية» هي عملية تحديد وتصنيف البيانات الإلكترونية وفقا لحساسيتها وأهميتها، وتعيين مستوى مناسب لكل فئة من البيانات وفقا للمعايير التفصيلية التي تضعها الجهات المعنية والمعتمدة من المركز.
وأفادت بأن «البيانات الحساسة» هي البيانات التي يكون حق الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها مقيدة بأشخاص أو جهات محددة، والتي يترتب على فقدانها أو إساءة استخدامها أو الوصول إليها أو الافصاح غير المصرح به عنها من قبل شخص أو جهة ضرر جسيم أو تأثير سلبي على الأمن الوطني أو الأمن العام أو اقتصاد الدولة أو الإضرار بالأشخاص أو الممتلكات أو المساس بخصوصية وصحة الأفراد أو الملكية الفكرية أو عمليات الجهات المعنية أو أصولها أو أفرادها، أو ما يتم تقرير حساسيتها وفقا للقوانين المعمول بها في الكويت أو السلطات القضائية.
وذكرت بأن «البيانات المقيدة أو المحدودة» هي البيانات التي يكون حق الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها مقيدة بأشخاص أو جهات محددة ولها تأثير سلبي، ولا تعتبر بيانات حساسة.
وأضافت اللائحة بأن «البيانات العامة أو المفتوحة» هي البيانات التي تكون متاحة للجميع دون قيود ويمكن لأي شخص أو جهة الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها.
كما عرفت «ضوابط حماية البيانات» بأنها التدابير الفنية والتنظيمية التي تصدر من المركز وتلتزم الجهات المعنية بإصدار وتنفيذ التدابير الخاصة بها لتأمين وحماية بياناتها.
وذكر بأن «التشفير» هو عملية تحويل البيانات الإلكترونية إلى رموز غير معروفة أو مبعثرة لإخفاء محتواها بحيث يستحيل قراءتها من دون إعادتها إلى هيئتها الأصلية.
السياسة العامة
وتحدث القرار عن السياسة العامة، حيث ذكر:
1) تلتزم الجهات المعنية بتصنيف البيانات الإلكترونية وذلك بتحديد مستوى حساسية وأهمية البيانات والمعلومات الإلكترونية الخاصة بها بناء على طبيعتها، وفقا للمعايير التفصيلية التي تضعها الجهات المعنية ـ وبما يتوافق مع الإطار العام لهذه اللائحة ـ وتلتزم الجهات المعنية باعتمادها من المركز، والتي يترتب على فقدانها أو إساءة استخدامها أو الوصول إليها أو الإفصاح غير المصرح به عنها من قبل شخص أو جهة ضرر جسيم أو تأثير سلبي على الأمن الوطني أو الأمن العام أو اقتصاد الدولة، أو الإضرار بالأشخاص أو الممتلكات، أو المساس بخصوصية وصحة الأفراد، أو الملكية الفكرية، أو عمليات الجهات المعنية أو أصولها أو أفرادها، أو ما يتم تقرير حساسيتها وفقا للقوانين المعمول بها في الكويت أو السلطات القضائية.
2) تلتزم الجهات المعنية بتصنيف البيانات الإلكترونية وفقا لطبيعتها ومستوى حساسيتها ودرجة أثرها وأهميتها إلى فئات أو مستويات مختلفة، وفقا لنموذج تصنيف يحتوي على تحديد الفئة أو المستوى «عام – محدود –حساس» أو يمكن تطبيق نموذج تصنيف خاص بالجهات المعنية يتناسب مع احتياجاتها ولا يخرج عن الإطار العام لهذه اللائحة.
3) تلتزم الجهات المعنية باتخاذ الإجراءات والتدابير اللازمة بإصدار وثيقة تصنيف البيانات الإلكترونية الخاصة بها والمتوافقة مع الإطار العام لهذه اللائحة وتعتمد من المركز، على أن تتضمن تفاصيل فئات ومستويات البيانات الإلكترونية المصنفة ومستوى الحساسية والأهمية المعينة لها.
4) تلتزم الجهات المعنية باتخاذ الإجراءات والتدابير الفنية والتنظيمية اللازمة لضمان تأمين الحماية الملائمة لكل فئة أو مستوى من البيانات الإلكترونية وفقا لتصنيفها، بما في ذلك التشفير، وإجراءات الوصول المحدود، والتحقق الثنائي، وسياسات الاحتفاظ بالبيانات، وغيرها من التدابير الأمنية اللازمة.
5) تلتزم الجهات المعنية بأخذ موافقة المركز قبل حفظ أية بيانات حساسة أو معالجتها خارج الكويت.
6) يقع على عاتق الجهات المعنية مسؤولية متابعة قيام الأفراد بتصنيف البيانات عند إنشائها أو تلقيها من جهات أخرى، ويتم التصنيف خلال فترة زمنية محدودة، وكذلك تحديث التصنيف بصفة دورية.
7) تلتزم الجهات المعنية بتوفير التأهيل والتدريب المناسب للموظفين والعاملين لديها بشأن سياسة تصنيف البيانات الإلكترونية ورفع كفاءتهم وقدراتهم لضمان التطبيق الآمن في التعامل مع البيانات المصنفة ومستوى الحماية المقررة لكل فئة أو مستوى.
المسؤولية
وتحت بند المسؤولية، نص القرار على:
1) تقع على الجهات مسؤولية إصدار وثيقة تصنيف البيانات الإلكترونية الخاص بها واعتمادها من المركز والعمل على تنفيذها.
2) يلتزم المركز بمراجعة واعتماد مشروع وثيقة تصنيف البيانات الإلكترونية الخاصة بالجهات المعنية وبالتنسيق معها وفقا للمعايير والضوابط المرعية لدى المركز في تصنيف البيانات الإلكترونية.
3) تلتزم الجهات المعنية بإجراء مراجعات وتقييم دوري لفاعلية سياسة تصنيف البيانات الإلكترونية والتأكد من تطبيقها بشكل صحيح، وإدامة تحديث التصنيف وفقا للتطورات والتعديلات في البيانات واحتياجات الأمان، وتقديم تقرير دوري إلى المركز بشأن نتائج تنفيذ وتطبيق وثيقة تصنيف البيانات الالكترونية الخاصة بها.
4) تقع على عاتق جميع الموظفين والعاملين مسؤولية اتباع سياسات وإجراءات تصنيف البيانات الإلكترونية الخاصة بالجهات المعنية العاملين بها.
5) تلتزم الجهات المعنية والموظفين والعاملين بها بتقديم بلاغ إلى الجهة المختصة لدى الجهات المعنية عن أية شبهة أو نشاط مخالف أو مجرم وفقا للقوانين والنظم واللوائح المعمول بها في الدولة والتي من شأنها المساس بسرية وسلامة وأمن وتوفر البيانات الإلكترونية.
الإنفاذ
وتطرق القرار للإنفاذ، حيث جاء فيه: تعتبر اللائحة العامة لتصنيف البيانات الإلكترونية ملزمة على كل الجهات المعنية والعاملين فيها، وتلتزم الجهات المعنية بفرض سياسات وإجراءات تصنيف البيانات الإلكترونية الخاصة بها وبما لا يتعارض مع أحكامها، ويتعرض المخالفون لها أو تلك الصادرة من الجهات المعنية لمباشرة الإجراءات التأديبية أو الجنائية بحقهم وفقا للقوانين والنظم واللوائح المعمول بها في الدولة.
تعديل
وأوضح القرار أنه يجوز تعديل هذه اللائحة من قبل المركز متى كان لذلك مقتضى بناء على ما تقضيه المصلحة العامة، مضيفا بأنه يعمل بأحكام هذه اللائحة اعتبارا من تاريخه.
