A NERC CIP-010-3 szabvány célja a nagyfeszültségű villamosenergia-rendszer IT komponenseiben végrehajtott, nem engedélyezett változások megelőzése illetve észlelése a megfelelő változáskezelési és sérülékenység vizsgálati szabályok és eljárások kialakításával.
A CIP-010-3 fejezetei az alábbi előírásokat tartalmazzák:
Változáskezelés:
- A nagyfeszültségű villamosenergia-rendszer IT komponensei számára (operációs rendszerek, firmware-ek, kereskedelmi forgalomban megvásárolható vagy nyílt forráskódú alkalmazások, egyedi szoftverek, bármilyen logikai hálózati port és bármilyen telepített biztonsági javítás) alapkonfigurációs nyilvántartást kell készíteni;
- Minden, az alapkonfigurációtól eltérő módosítást engedélyezni és dokumentálni kell;
- A változásokat 30 naptári napon belül át kell vezetni az alapkonfigurációs nyilvántartásban;
- Az alapkonfigurációtól történő eltérést okozó változtatások engedélyezése előtt meg kell határozni, hogy a CIP-005-6 és a CIP-007-6 szabványokban leírt biztonsági kontrollokra milyen hatással lesz a tervezett változás;
- A rendszeren végrehajtott változás után ellenőrizni kell, hogy az nem hatott hátrányosan a biztonsági kontrollokra és dokumentálni kell a vizsgálat eredményeit;
- Ahol műszakilag lehetséges, az éles rendszeren végzett változtatás előtt teszt rendszeren is el kell végezni, ezzel minimalizálva a változtatás nem kívánt negatív hatásait és ezeket a teszteket dokumentálni kell, az éles és a teszt környezetek közötti eltérésekkel együtt.
Változáskövetés:
- 35 naptári naponként legalább egy alkalommal ellenőrizni kell az alapkonfiguráción végzett változtatásokat és dokumentálni kell illetve ki kell vizsgálni a nem engedélyezett változtatásokat;
Sérülékenység vizsgálat:
- 15 havonta legalább egy alkalommal minden érintett rendszer esetén papír-alapú vagy aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni;
- 36 havonta legalább egy alkalommal aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni a teszt rendszereken (ahol ez műszakilag lehetséges) vagy az éles rendszereken. Éles rendszer esetén minimálizálni kell a tesztből adódó nem várt, negatív hatásokat és dokumentálni kell a teszt és éles rendszerek közötti eltéréseket, amennyiben tesztrendszeren végezték a sérülékenység vizsgálatot;
- Az éles rendszerhez történő új IT komponens hozzáadása előtt sérülékenység vizsgálatot kell végezni (kivéve a CIP Exceptional Circumstances-ben leírt esetekben) és dokumentálni kell a teszt eredményeit.
A NERC CIP-010 jelenleg (2022.12.02-án) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Prjct2014XXCrtclInfraPrtctnVr5Rvns/CIP-010-3_CLEAN.pdf