Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági szabványok X

NERC CIP-010-3 - Kiberbiztonság - Konfiguráció változáskezelés és sérülékenység vizsgálat

2023. január 07. - icscybersec

A NERC CIP-010-3 szabvány célja a nagyfeszültségű villamosenergia-rendszer IT komponenseiben végrehajtott, nem engedélyezett változások megelőzése illetve észlelése a megfelelő változáskezelési és sérülékenység vizsgálati szabályok és eljárások kialakításával.

A CIP-010-3 fejezetei az alábbi előírásokat tartalmazzák:

Változáskezelés:
- A nagyfeszültségű villamosenergia-rendszer IT komponensei számára (operációs rendszerek, firmware-ek, kereskedelmi forgalomban megvásárolható vagy nyílt forráskódú alkalmazások, egyedi szoftverek, bármilyen logikai hálózati port és bármilyen telepített biztonsági javítás) alapkonfigurációs nyilvántartást kell készíteni;
- Minden, az alapkonfigurációtól eltérő módosítást engedélyezni és dokumentálni kell;
- A változásokat 30 naptári napon belül át kell vezetni az alapkonfigurációs nyilvántartásban;
- Az alapkonfigurációtól történő eltérést okozó változtatások engedélyezése előtt meg kell határozni, hogy a CIP-005-6 és a CIP-007-6 szabványokban leírt biztonsági kontrollokra milyen hatással lesz a tervezett változás;
- A rendszeren végrehajtott változás után ellenőrizni kell, hogy az nem hatott hátrányosan a biztonsági kontrollokra és dokumentálni kell a vizsgálat eredményeit;
- Ahol műszakilag lehetséges, az éles rendszeren végzett változtatás előtt teszt rendszeren is el kell végezni, ezzel minimalizálva a változtatás nem kívánt negatív hatásait és ezeket a teszteket dokumentálni kell, az éles és a teszt környezetek közötti eltérésekkel együtt.

Változáskövetés:
- 35 naptári naponként legalább egy alkalommal ellenőrizni kell az alapkonfiguráción végzett változtatásokat és dokumentálni kell illetve ki kell vizsgálni a nem engedélyezett változtatásokat;

Sérülékenység vizsgálat:
- 15 havonta legalább egy alkalommal minden érintett rendszer esetén papír-alapú vagy aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni;
- 36 havonta legalább egy alkalommal aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni a teszt rendszereken (ahol ez műszakilag lehetséges) vagy az éles rendszereken. Éles rendszer esetén minimálizálni kell a tesztből adódó nem várt, negatív hatásokat és dokumentálni kell a teszt és éles rendszerek közötti eltéréseket, amennyiben tesztrendszeren végezték a sérülékenység vizsgálatot;
- Az éles rendszerhez történő új IT komponens hozzáadása előtt sérülékenység vizsgálatot kell végezni (kivéve a CIP Exceptional Circumstances-ben leírt esetekben) és dokumentálni kell a teszt eredményeit.

A NERC CIP-010 jelenleg (2022.12.02-án) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Prjct2014XXCrtclInfraPrtctnVr5Rvns/CIP-010-3_CLEAN.pdf

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2717993430

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása