Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági szabványok IV

NERC CIP-004-6 - Kiberbiztonság - Személyzet és képzés

2022. április 30. - icscybersec

A NERC CIP-004 az a tagja a CIP sorozatnak, ami az oly gyakran emlegetett, IT (és OT) biztonság egyik legnagyobb biztonsági problémájával, az emberek jelentette kockázatok csökkentési módjaival foglalkozik. A CIP-004-6 megfogalmazása szerint a célja a nagyfeszültségű villamosenergia-rendszerrel kapcsolatos olyan kockázatok csökkentése, amik az érintett rendszer működtetésében érintett személyzet képzésével és biztonság-tudatosságával kapcsolatosak, valamint általában véve a humán kockázatok értékelésével is foglalkozik.

A NERC CIP-004-et a sorozat korábbi részeiben már említett, a villamosenergia-rendszerre magas és közepes hatást gyakorló IT rendszerek kategóriáin kívül három további rendszer-csoportra is alkalmazható illetve alkalmazni kell, ezek a következők:

- Külső, route-olható hálózati kapcsolattal rendelkező közepes hatással bíró IT rendszerek;
- Elektronikus hozzáférés és monitoring funkciókat biztosító rendszerek (Electronic Access Control or Monitoring Systems - EACMS);
- Fizikai hozzáférés-vezérlést biztosító rendszerek (Physical Access Control Systems - PACS).

A fenti rendszerekkel kapcsolatba kerülő (fizikai vagy logikai hozzáféréssel rendelkező) személyzetre vonatkozó követelmények első része a biztonság-tudatossági programokra vonatkozik. Eszerint legalább minden naptári negyedévben egyszer(!) kell biztonság-tudatossági képzéssel erősíteni a kiberbiztonsági eljárások hatékonyságát. Ez már önmagában is egy, az általam magyar szervezetéknél bő másfél évtized alatt látott gyakorlatnál sokkal szigorúbb elvárás és itt még nincs is vége...

A követelmények második fejezete szerint minden olyan IT rendszerhez (és a kapcsolódó EACMS és/vagy PACS rendszerekhez) történő hozzáférés előtt az érintett felhasználóknak minimálisan az alábbi témakörökben kell képzést kapniuk:

- Kiberbiztonsági szabályzatok;
- Fizikai hozzáférési szabályok;
- Logikai hozzáférési szabályok;
- Látogatók felügyeletére vonatkozó szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatos információk kezelési és tárolási szabályai;
- Kiberbiztonsági incidensek azonosítási és jelentési szabályai;
- Helyreállítási (DRP) tervek a nagyfeszültségű villamosenergia-rendszer IT rendszereire vonatkozóan;
- Kiberbiztonsági incidenskezelési szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatosan ideiglenesen használt informatikai eszközök és adathordozók kockázatai;

A harmadik fejezet a személyzetre vonatkozó kockázatértékelésről szól. Vizsgálni kell az adott munkatárs személyazonosságát és 7 évre visszamenőleg a büntetett előéletét (gyakorlatilag egyfajta hatósági erkölcsi bizonyítvánnyal egyenértékű ellenőrzés lehet), valamint a jelenlegi és az elmúlt 7 év állandó és ideiglenes lakóhelyeit. Ezeket az ellenőrzéseket nem csak az állományba vett munkatársak esetén, hanem a szerződéses alvállalkozók és egyéb szolgáltatók munkatársaival kapcsolatban is el kell végezni.

A negyedik fejezet a hozzáférések kezelésével kapcsolatos szabályokat foglalja össze, beleértve az elektronikus hozzáféréseket, a felügyelet nélküli fizikai hozzáféréseket a védett területeken található eszközökhöz és rendszerekhez, valamint a nagyfeszültségű villamosenergia-rendszerben használt adatok fizikai és logikai adattárolóihoz történő hozzáférések szabályait.

Az ötödik fejezet pedig a hozzáférési jogosultságok visszavonási szabályait tartalmazza.

A CIP-004 jelenleg (2022.04.15-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-004-6.pdf

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9217808973

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása