2019年加快步伐，遵守更新的CIP可靠性标准

图片来源:图片归Reed Smith LLP所有。

海莉胎面 726

律师里德史密斯律师事务所

Haylie Treas是里德史密斯律师事务所知识产权、技术和数据组的助理。她有广泛的民事诉讼背景和经验，代表网络安全公司…

2019年至今会员
新增2项，浏览量为10731次

联系

遵循

配置文件

2019年1月29日2019年1月29日格林尼治标准时间晚上9:27
8355的浏览量

本文是《2019年预测与趋势》特刊的一部分，点击这里了解更多

此外，根据关键基础设施保护(CIP)可靠性标准，对电力行业参与者提出了更严格的要求。供应链中的组织应该期望看到需求通过协议流向他们。

新要求旨在通过解决与供应链相关的某些网络安全风险来改善电力行业的网络安全状况。电力行业参与者(包括为电力行业提供软件、系统或服务的供应商)应采取积极主动的方法，确保其当前的软件、系统、政策和程序符合这些新要求。

您访问会员功能的权限有限。

忘记密码了?

遵守更新后的标准

美国联邦能源管理委员会(FERC)最近发布了一项最终规则，更新并增加了CIP可靠性标准，旨在帮助保护美国的大容量电力系统(BES)。最终规则于2018年底发布，批准了北美电力可靠性公司(NERC)提交的文件:

创建新的供应链风险管理可靠性标准(CIP-013-1);
更新电子安全周界可靠性标准(CIP-005-6);和
更新配置变更管理和漏洞评估可靠性标准(CIP-010-3)。

责任实体必须在2020年7月1日之前制定和实施必要的政策、程序和系统。责任主体包括所有大型电力系统所有者、运营商和用户。根据FERC的规定，负责任的实体有责任遵守自己在可靠性标准下的义务，他们也有责任降低与供应商和销售商采购和使用服务和产品相关的任何风险。虽然NERC和FERC不会要求供应商和销售商对其不符合可靠性标准直接负责，但责任实体可以通过合同追究其责任。

1.新的CIP供应链风险管理可靠性标准

新的供应链风险管理可靠性标准要求负责任的实体“制定和实施一项计划，其中包括工业控制系统硬件、软件和与大型电力系统操作相关的服务的供应链管理安全控制”，这可以帮助减轻“插入假冒或恶意软件、未经授权的生产、篡改或盗窃，以及不良的制造和开发实践”带来的风险。换句话说，在新标准下，负责任的实体必须在工业控制系统的信息和系统安全方面实施良好的供应商管理实践，作为其采购过程的一部分。毫不奇怪，这必须包括对适用的网络安全相关风险的评估。

新标准的具体安全目标是:

软件的完整性和真实性;
供应商远程访问保护;
信息系统规划;和
供应商风险管理和采购控制。

FERC的可靠性标准旨在解决以下风险:

“负责任的实体可能无意中计划在其信息系统中采购和安装不安全的设备或软件，或者可能无意中未能预测到由于其网络架构或技术和供应商过渡期间可能出现的安全问题”;
“负责任的实体可能与对负责任的实体的信息系统构成重大风险的供应商签订合同，以及负责任的实体采购的产品不符合最低安全标准的风险”;和
“受影响的供应商不会向与该供应商有关的责任实体提供充分的通知和相关的事件响应。”

FERC认识到新的供应链风险管理可靠性标准只关注信息安全的某些方面，还不是一个完整的标准。因此，FERC已指示NERC提出一个涵盖与中、高影响“BES网络系统”相关的电子访问控制和监控系统(EACMS)(例如防火墙、入侵检测系统等)的更新。BES网络系统是指“在该资产要求运行、误操作或不运行的15分钟内，如果不可用、降级或被滥用，将对一个或多个设施、系统或设备产生不利影响，如果这些设施、系统或设备在需要时被破坏或以其他方式不可用，将影响BES的可靠运行”的网络资产。FERC指出，“EACMS代表了攻击者访问BES网络系统的最可能路径……因为它们启用并保护了BES网络系统所依赖的通信能力。

2.更新电子安全周界可靠性标准

电子安全边界(ESP)可靠性标准的更新侧重于供应商远程访问。它要求实现至少一种方法来识别“活动的供应商远程访问会话”，以提高负责实体对负责实体系统上的供应商活动的认识。该标准还要求至少有一种方法在不再需要时终止供应商远程访问会话。

3.更新到配置安全边界可靠性标准

更新了配置变更管理和漏洞评估可靠性标准，以管理BES网络系统中安装的软件的更新。根据更新后的标准，责任实体应在为BES网络系统安装软件补丁或其他更新之前，验证将改变现有软件基线配置的任何更新的来源身份和完整性。

事件报告和响应可靠性标准的预期更新

FERC要求，在2019年4月1日前，NERC必须制定并提交《网络安全-事件报告和响应计划可靠性标准》(CIP-008-5)，以反映对网络安全威胁和漏洞性质的更广泛的基线和理解，并提交FERC批准。

网络安全-事件报告和响应计划可靠性标准的更新将包括以下内容:

要求向电力信息共享与分析中心(E-ISAC)和国土安全部报告“危害或试图危害责任实体的[ESP]或[EACMS]”的网络安全事件;
要求网络安全事件报告“包括某些最低限度的信息，以提高报告质量，并通过确保每个报告包括特定的信息领域来便于比较”;和
提交与“对可靠的BES操作的妥协或中断，或企图妥协或中断”相关的网络安全事件报告的截止日期。

尽管本可靠性标准尚未更新，但责任实体现在可以使用此路线图来指导其事件响应计划和程序的更新。

影响

到2020年7月，责任主体应:(1)实施供应链风险管理程序;(2)更新与远程访问要求相关的程序;(3)实施适当的软件完整性和真实性措施，以满足新的和更新的可靠性标准的要求。电力行业的产品和服务供应商也需要评估他们的风险概况，包括他们的软件控制，部分原因是电力行业的参与者可能会在供应商协议中推动合同要求，以帮助他们履行合规义务，并分配网络安全故障的风险。另外，责任实体应考虑根据即将更新的管理网络安全事件报告要求的可靠性标准，审查其事件响应计划和程序。

根据《联邦电力法》第215条，NERC有权执行可靠性标准。根据NERC的数据，北美大约有2500个组织遵守这些强制性的可靠性标准。不遵守可能会导致NERC的处罚、制裁和指令，NERC在北美有权力，受FERC和加拿大政府当局的监督。

由Reed Smith律师事务所律师巴特·霍夫曼,温德尔·巴特尼克，还有海莉胎面