Visão geral do NERC-CIP
- Lango: Language and translation manager
Originário da Lei de Política Energética dos EUA de 2005, o NERC-CIP fornece diretrizes, requisitos e procedimentos para garantir a confiabilidade e a segurança do sistema de energia em massa. Ele aborda riscos de ataques cibernéticos, proteção do sistema e gerenciamento de vulnerabilidades. Os padrões visam proteger informações confidenciais e integridade do sistema, e a plataforma de software inclui recursos e ferramentas para ajudar as organizações a cumprir os requisitos de segurança do NERC-CIP.
Nesta página:
- 1 Referências de requisitos NERC-CIP
- 1.1 CIP-002-1: Identificação de Ativos Cibernéticos Críticos
- 1.2 CIP-003-1: Controles de gerenciamento de segurança
- 1.3 CIP-004-1: Pessoal e Treinamento
- 1.4 CIP-005-1: Perímetro de Segurança Eletrônica
- 1.5 CIP-006-1: Segurança Física de Ativos Cibernéticos Críticos
- 1.6 CIP-007-1: Gerenciamento de Segurança de Sistemas
- 1.7 CIP-008-1: Relatórios de incidentes e planejamento de resposta
- 1.8 CIP-009-1: Planos de recuperação para ativos cibernéticos críticos
- 2 Referências de medidas NERC-CIP
- 3 Suporte de segurança nativo
Referências de requisitos NERC-CIP
Os padrões NERC CIP-002 a CIP-009 fornecem uma estrutura de segurança cibernética para identificar e proteger ativos cibernéticos críticos para apoiar a operação confiável do sistema elétrico em massa. Existem oito padrões CIP diferentes, cada um definindo requisitos específicos:
Padrão NERC-CIP | Requisito | Descrição |
CIP-002-1: Identificação de Ativos Cibernéticos CríticosRequer a identificação e documentação de ativos cibernéticos críticos essenciais para a operação do sistema elétrico em massa. | R1. Método de identificação de ativos críticos | Desenvolver e documentar uma metodologia baseada na avaliação de risco para identificar Ativos Críticos. |
R2. Identificação de ativos críticos | Criar e atualizar anualmente uma lista de Ativos Críticos, derivados usando o método de avaliação de risco de R1, com revisões regulares e atualizações necessárias. | |
R3. Identificação de ativos cibernéticos críticos | Com base na lista de Ativos Críticos do R2, compile uma lista de Ativos Cibernéticos Críticos para o funcionamento de cada Ativo Crítico. | |
CIP-003-1: Controles de gerenciamento de segurançaExige que as Entidades Responsáveis implementem controles de segurança para proteger Ativos Cibernéticos Críticos. | R1. Política de segurança cibernética | Crie e aplique uma política de segurança cibernética que reflita o compromisso da organização em proteger ativos cibernéticos críticos. |
R2. Liderança | Nomear um gerente sênior para supervisionar e garantir a conformidade com as Normas CIP-002 a CIP-009. | |
R3. Exceções | Registre quaisquer desvios da política de segurança cibernética como exceções, com autorização de um gerente sênior ou de seu delegado. | |
R4. Proteção de informações | Estabelecer um programa para identificar, categorizar e proteger informações vinculadas a Ativos Cibernéticos Críticos. | |
R5. Controle de acesso | Desenvolver e implementar um programa de controlo de acesso à informação associada a Ativos Cibernéticos Críticos. | |
R6. Controle de mudanças e gerenciamento de configuração | Configurar e documentar um processo de controle de mudanças e gerenciamento de configuração, abordando todas as alterações de hardware e software de Ativos Cibernéticos Críticos, de acordo com os procedimentos de controle de mudanças estabelecidos. | |
CIP-004-1: Pessoal e TreinamentoExige que o pessoal com acesso a Ativos Cibernéticos Críticos, incluindo contratados, passe por avaliação de risco, treinamento e conscientização de segurança. | R1. Consciência | Desenvolver, documentar e manter um programa para aprimorar continuamente a conscientização de segurança do pessoal com acesso autorizado a ativos cibernéticos críticos. |
R2. Formação | Implementar e documentar um programa anual de treinamento em segurança cibernética para funcionários com acesso autorizado a Ativos Cibernéticos Críticos, revisando-o e atualizando-o conforme necessário. | |
R3. Avaliação de Risco de Pessoal | Manter um programa documentado para avaliar o risco representado pelo pessoal com acesso autorizado, em conformidade com os acordos legais e sindicais relevantes. | |
R4. Acesso | Mantenha listas atualizadas de indivíduos com acesso autorizado a Ativos Cibernéticos Críticos, incluindo detalhes de seus privilégios específicos de acesso eletrônico e físico. | |
CIP-005-1: Perímetro de Segurança EletrônicaRequer a proteção de Perímetros de Segurança Eletrônica e seus pontos de acesso onde os Ativos Cibernéticos Críticos estão localizados. | R1. Perímetro de Segurança Eletrônica | A Entidade Responsável deve garantir que todos os Ativos Cibernéticos Críticos residam dentro de um Perímetro de Segurança Eletrônica. |
R2. Controles de acesso eletrônico | A Entidade Responsável deve implementar e documentar os processos organizacionais e os mecanismos técnicos e processuais para o controlo do acesso eletrónico em todos os pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica. | |
R3. Monitoramento de acesso eletrônico | A Entidade Responsável deve implementar e documentar um processo eletrônico ou manual para monitorar e registrar o acesso nos pontos de acesso ao(s) Perímetro(s) de Segurança Eletrônica vinte e quatro horas por dia, sete dias por semana. | |
R4. Avaliação de vulnerabilidade cibernética | A Entidade Responsável deve realizar uma avaliação da cibervulnerabilidade dos pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica pelo menos uma vez por ano. | |
R5. Revisão e manutenção da documentação | A Entidade Responsável deve revisar, atualizar e manter toda a documentação para apoiar a conformidade com os requisitos da Norma CIP-005. | |
CIP-006-1: Segurança Física de Ativos Cibernéticos CríticosRequer o estabelecimento de um programa de segurança física para Ativos Cibernéticos Críticos. | R1. Plano de Segurança Física | Crie e atualize regularmente um plano de segurança física, garantindo a aprovação da alta administração e abordando os principais aspectos de segurança. |
R2. Controles de acesso físico | Documente e aplique controles operacionais para gerenciar o acesso físico em todos os pontos de entrada para áreas seguras, garantindo operação 24 horas por dia, 7 dias por semana. | |
R3. Monitorando o acesso físico | Monitore todos os pontos de acesso para proteger áreas o tempo todo, revisando e gerenciando prontamente quaisquer tentativas de acesso não autorizado. | |
R4. Registrando o acesso físico | Registre todas as instâncias de acesso físico, incluindo tentativas não autorizadas, e monitore-as de forma consistente, seguindo os protocolos de violação especificados. | |
R5. Retenção de log de acesso | Guarde todos os registros de acesso físico por pelo menos 90 dias e preserve os registros relativos a incidentes graves de acordo com os requisitos do Padrão CIP-008. | |
R6. Manutenção e testes | Realize manutenção e testes regulares de todos os sistemas de segurança física, especialmente aqueles relacionados ao controle de acesso, monitoramento e registro, para garantir sua funcionalidade. | |
CIP-007-1: Gerenciamento de Segurança de SistemasRequer a definição de procedimentos de segurança para Ativos Cibernéticos Críticos e não críticos dentro dos Perímetros de Segurança Eletrônica. | R1. Procedimentos de teste | Garanta que os ativos cibernéticos novos e modificados dentro do perímetro de segurança eletrônica não comprometam os controles de segurança cibernética existentes. |
R2. Portos e Serviços | Desenvolver e manter um processo para habilitar apenas portos e serviços essenciais para operações normais e de emergência. | |
R3. Gerenciamento de patches de segurança | Estabeleça um programa para gerenciar patches de software de segurança cibernética, abrangendo rastreamento, avaliação, teste e instalação de patches para todos os Cyber Assets. | |
R4. Prevenção de software malicioso | Implemente ferramentas de prevenção de antivírus e malware para proteger todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, sempre que possível. | |
R5. Gerenciamento de contas | Configure controles técnicos e processuais para autenticação e responsabilidade de acesso do usuário, minimizando os riscos de acesso não autorizado. | |
R6. Monitoramento de status de segurança | Utilize ferramentas automatizadas ou processos organizacionais para monitorar eventos de sistema relacionados à segurança cibernética para todos os ativos cibernéticos. | |
R7. Eliminação ou redistribuição | Definir métodos formais para o descarte ou reimplantação de Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, de acordo com os padrões CIP-005. | |
R8. Avaliação de vulnerabilidade cibernética | Realizar uma avaliação anual de vulnerabilidade cibernética para todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica. | |
R9. Revisão e manutenção da documentação | Revise e atualize regularmente a documentação de segurança cibernética anualmente, documentando quaisquer modificações no sistema ou controle em até 90 dias. | |
CIP-008-1: Relatórios de incidentes e planejamento de respostaRequer o gerenciamento de incidentes de segurança cibernética envolvendo ativos cibernéticos críticos, incluindo identificação, classificação, resposta e relatórios. | R1. Plano de Resposta a Incidentes de Segurança Cibernética | Crie e atualize regularmente um plano para responder a incidentes de segurança cibernética, garantindo que ele cubra estratégias e procedimentos de resposta essenciais. |
R2. Documentação de incidentes de segurança cibernética | Mantenha registros detalhados de todos os incidentes de segurança cibernética por um período de três anos. | |
CIP-009-1: Planos de recuperação para ativos cibernéticos críticosRequer planos de recuperação para ativos cibernéticos críticos alinhados com as práticas de continuidade de negócios e recuperação de desastres. | R1. Planos de recuperação | Desenvolver e conduzir revisões anuais de planos de recuperação de Ativos Cibernéticos Críticos, garantindo que eles atendam às principais estratégias de recuperação. |
R2. Exercícios | Realize pelo menos um exercício por ano para testar os planos de recuperação, variando de exercícios simples a testes operacionais completos ou recuperações de incidentes reais. | |
R3. Controle de Mudanças | Revise os planos de recuperação para refletir quaisquer novas alterações ou percepções obtidas com exercícios ou recuperações reais de incidentes e comunique essas atualizações ao pessoal relevante dentro de 90 dias. | |
R4. Backup e restauração | Certifique-se de que os planos de recuperação contenham processos detalhados para fazer backup e armazenar informações críticas para a restauração de ativos cibernéticos críticos, incluindo peças sobressalentes, definições de configuração e backups em fita. | |
R5. Testando a mídia de backup | Teste anualmente a mídia de backup contendo informações essenciais de recuperação para verificar sua disponibilidade e eficácia, com a opção de realizar testes externamente. |
Referências de medidas NERC-CIP
Padrão NERC | Medidas |
CIP-002-1 | Documentar a metodologia de avaliação baseada em risco, compilar e manter uma lista de Ativos Críticos, criar uma lista de Ativos Cibernéticos Críticos e manter registros de aprovações anuais para conformidade com a Norma CIP-002-1. Atualizações regulares desta documentação garantem a adesão ao padrão. |
CIP-003-1 | Documentar a política de segurança cibernética, atribuir e registrar funções de liderança, detalhar exceções à política de segurança cibernética, implementar e documentar um programa de proteção de informações, gerenciar e registrar processos de controle de acesso e manter a documentação de controle de mudanças e gerenciamento de configuração para conformidade com a norma CIP-003-1. |
CIP-004-1 | Documente programas de conscientização de segurança, mantenha registros de programas de treinamento de segurança cibernética, documente procedimentos de avaliação de risco de pessoal e atualize listas de pessoal com acesso autorizado para conformidade com a Norma CIP-004-1. |
CIP-005-1 | Documentar perímetros de segurança eletrônica, implementar e registrar controles de acesso eletrônico, monitorar e registrar acesso eletrônico, conduzir e documentar avaliações anuais de vulnerabilidade e manter registros de acesso para conformidade com a norma CIP-005-1. |
CIP-006-1 | Documente o plano de segurança física, controle os métodos de acesso físico, monitore e registre o acesso físico, retenha registros de acesso e mantenha a documentação para testes de medidas de segurança física para conformidade com a norma CIP-006-1. |
CIP-007-1 | Documente procedimentos de teste de segurança, registre o gerenciamento de portas e serviços, mantenha um programa de gerenciamento de patches de segurança, documente os esforços de prevenção de malware, gerencie contas de usuário, monitore o status de segurança e lide com o descarte ou reimplantação de ativos cibernéticos para conformidade com o padrão CIP-007-1. |
CIP-008-1 | Mantenha um plano de resposta a incidentes de segurança cibernética e documente as revisões, atualizações e processos de teste do plano para conformidade com o padrão CIP-008-1. O gerenciamento regular desse plano é fundamental para a preparação e a resposta eficaz a incidentes de segurança cibernética. |
CIP-009-1 | Planos de recuperação de documentos, exercícios de recuperação de registros, atualização e alterações de documentos em planos de recuperação, processos de backup e armazenamento de documentos e mídia de teste e backup de documentos para conformidade com o padrão CIP-009-1. |
Suporte de segurança nativo
A plataforma oferece recursos nativos, ferramentas avançadas e suporte à integração de terceiros, o que ajuda a implementar os requisitos de segurança NERC-CIP.
Referência padrão NERC-CIP | Requisitos | Suporte de segurança nativo |
CIP-003 CIP-004 CIP-005 CIP-006 CIP-007 | Controle de acesso Acesso Controles de acesso eletrônico Monitoramento de acesso eletrônico Gerenciamento de contas Monitoramento de status de segurança | Recursos de administração de usuários; Os direitos do usuário são revogáveis pelo Administrador ou por meio do Microsoft Active Directory; Controle interno e atribuição de permissões (Displays, Alarmes, Scripts) Assinaturas Eletrônicas (E-Sign); Recursos nativos para gerenciamento de soluções, como Usuários de Tempo de Execução e Orquestrador de Políticas. Integração com o Microsoft Active Directory
|
CIP-003 CIP-007 | Perímetro de Segurança Eletrônica Portos e Serviços | Caminhos de dados de porta configuráveis; |
CIP-003 CIP-005 CIP-006 CIP-007 CIP-008 | Controle de mudanças e gerenciamento de configuração | Rastreamento Nativo e Monitoramento de Eventos; Banco de Dados de Trilha de Auditoria Nativa; Entradas de log personalizadas; Ferramenta nativa para solução de controle de versão. |
CIP-005 CIP-007 CIP-008 | Alertas e notificações | Envie notificações usando vários métodos, como SMS, e-mail, SNMP, WebServices e outras mensagens de protocolo. |
CIP-009 | Backup e restauração | Recurso Auto-Native para Auto-Backup; |