A NERC CIP-004 az a tagja a CIP sorozatnak, ami az oly gyakran emlegetett, IT (és OT) biztonság egyik legnagyobb biztonsági problémájával, az emberek jelentette kockázatok csökkentési módjaival foglalkozik. A CIP-004-6 megfogalmazása szerint a célja a nagyfeszültségű villamosenergia-rendszerrel kapcsolatos olyan kockázatok csökkentése, amik az érintett rendszer működtetésében érintett személyzet képzésével és biztonság-tudatosságával kapcsolatosak, valamint általában véve a humán kockázatok értékelésével is foglalkozik.
A NERC CIP-004-et a sorozat korábbi részeiben már említett, a villamosenergia-rendszerre magas és közepes hatást gyakorló IT rendszerek kategóriáin kívül három további rendszer-csoportra is alkalmazható illetve alkalmazni kell, ezek a következők:
- Külső, route-olható hálózati kapcsolattal rendelkező közepes hatással bíró IT rendszerek;
- Elektronikus hozzáférés és monitoring funkciókat biztosító rendszerek (Electronic Access Control or Monitoring Systems - EACMS);
- Fizikai hozzáférés-vezérlést biztosító rendszerek (Physical Access Control Systems - PACS).
A fenti rendszerekkel kapcsolatba kerülő (fizikai vagy logikai hozzáféréssel rendelkező) személyzetre vonatkozó követelmények első része a biztonság-tudatossági programokra vonatkozik. Eszerint legalább minden naptári negyedévben egyszer(!) kell biztonság-tudatossági képzéssel erősíteni a kiberbiztonsági eljárások hatékonyságát. Ez már önmagában is egy, az általam magyar szervezetéknél bő másfél évtized alatt látott gyakorlatnál sokkal szigorúbb elvárás és itt még nincs is vége...
A követelmények második fejezete szerint minden olyan IT rendszerhez (és a kapcsolódó EACMS és/vagy PACS rendszerekhez) történő hozzáférés előtt az érintett felhasználóknak minimálisan az alábbi témakörökben kell képzést kapniuk:
- Kiberbiztonsági szabályzatok;
- Fizikai hozzáférési szabályok;
- Logikai hozzáférési szabályok;
- Látogatók felügyeletére vonatkozó szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatos információk kezelési és tárolási szabályai;
- Kiberbiztonsági incidensek azonosítási és jelentési szabályai;
- Helyreállítási (DRP) tervek a nagyfeszültségű villamosenergia-rendszer IT rendszereire vonatkozóan;
- Kiberbiztonsági incidenskezelési szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatosan ideiglenesen használt informatikai eszközök és adathordozók kockázatai;
A harmadik fejezet a személyzetre vonatkozó kockázatértékelésről szól. Vizsgálni kell az adott munkatárs személyazonosságát és 7 évre visszamenőleg a büntetett előéletét (gyakorlatilag egyfajta hatósági erkölcsi bizonyítvánnyal egyenértékű ellenőrzés lehet), valamint a jelenlegi és az elmúlt 7 év állandó és ideiglenes lakóhelyeit. Ezeket az ellenőrzéseket nem csak az állományba vett munkatársak esetén, hanem a szerződéses alvállalkozók és egyéb szolgáltatók munkatársaival kapcsolatban is el kell végezni.
A negyedik fejezet a hozzáférések kezelésével kapcsolatos szabályokat foglalja össze, beleértve az elektronikus hozzáféréseket, a felügyelet nélküli fizikai hozzáféréseket a védett területeken található eszközökhöz és rendszerekhez, valamint a nagyfeszültségű villamosenergia-rendszerben használt adatok fizikai és logikai adattárolóihoz történő hozzáférések szabályait.
Az ötödik fejezet pedig a hozzáférési jogosultságok visszavonási szabályait tartalmazza.
A CIP-004 jelenleg (2022.04.15-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-004-6.pdf
