Tiêu chuẩn bảo mật NERC CIP là bộ các tiêu chuẩn nhằm quy định, triển khai, giám sát và quản lý bảo mật tại cơ sở hạ tầng điện quan trọng Bắc Mỹ. Tiêu chuẩn đưa ra khung bảo mật nhằm xác định và hỗ trợ bảo mật tại những thiết bị liên quan đến hoạt động hiệu quả và tin cậy lưới điện Bắc Mỹ. Tiêu chuẩn NERC CIP áp dụng cho toàn bộ liên quan đến lưới điện bao gồm: bên sử hữu, người vận hành và người sử dụng.
Các vấn đề được đề cập trong tiêu chuẩn NERC CIP
Tiêu chuẩn cơ bản và tiêu chuẩn phụ NERC CIP đặt ra các yêu cầu mà công ty năng lượng phải tuân theo để phân loại thiết bị quan trọng, cơ chế kiểm soát, thực hiện bảo mật vật lý và logic thiết bị. Bao gồm:
CIP-001: Báo cáo phá hoại
CIP-002: Hỗ trợ đánh giá và phân loại tài sản mạng.
Mục đích phân loại nhắm có biện pháp bảo vệ tài sản mạng khỏi tấn công gây lỗi hoặc mất ổn định hoạt động. Việc phân loại được đánh giá trên tác động của tài sản đối với độ ổn định lưới điện, trong đó thời gian gây gián đoạn được đánh giá nhiều hơn nguyên nhân gây gián đoạn. Theo đó tài sản mạng được phân thành:
- Hệ thống Truy cập điện tử (Electronic Access Control) hoặc Hệ thống giám sát (Monitoring Systems).
- Hệ thống Kiểm soát truy cập vật lý (Physical Access Control Systems - PACS).
- Hỗ trợ Bảo vệ Mạng (Protected Cyber Assets).
CIP-003: Chính sách và quản trị.
Thiết lập hệ thống trách nhiệm rõ ràng trong bảo vệ mạng. Bao gồm việc phân quyền và ủy quyền lãnh đạo cấp cao phát triển chính sách bảo mật nhất quán và bền vững. Bao gồm cả các điều khoản liên quan đến tình huống khẩn cấp.
CIP-004: Nhân sự và Đào tạo.
Tiêu chuẩn tập trung vào việc đào tạo nhân viên và nhà thầu. Mục đích là giảm nguy cơ mất an toàn về mặt nhân sự, kể cả các nhân sự từ nhà thầu chính hoặc phụ. Việc đào tạo gồm hai phần:
Nhận thức về an ninh mạng và đào tạo: Mỗi cá nhân phải trải qua đào tạo 1 lần sau 15 tháng, đặc biệt với các nhân viên tiếp xúc trực tiếp nguy cơ mất an toàn mạng.
Quản lý truy cập và rủi ro. Bao gồm các chương trình đánh giá rủi ro về nhân sự, quản lý truy cập, thu hồi loại bỏ quyền truy cập của nhân viên.
CIP-005: Bảo mật thiết bị mạng lớp biên (Electronic Security Perimeter)
Yêu cầu triển khai các thiết bị an ninh bảo mật lớp biên tạo tường lửa giám sát luồng dữ liệu vào ra. Điểm kết nối vào ra phải đi qua thiết bị bảo mật, mạng phải được phân đoạn mạng (phân chia khu vực an toàn) và có hệ thống giám sát, sử dụng mã hóa dữ liệu và điều khiển cho các truy cập từ xa, đặc biệt là nhà thầu cung cấp và bên hợp tác thứ ba.
CIP-006: Bảo mật vật lý thiết bị mạng.
Tiêu chuẩn này đề cập đến các biện pháp kiểm soát vận hành và truy cập trực tiếp (vật lý) vào thiết bị qua kế hoạch an ninh vật lý, kiểm soát khách đến thăm, bảo dưỡng và đo kiểm thiết bị.
Kế hoạch an ninh vật lý: Kiểm soát việc truy cập trực tiếp thiết bị qua việc ghi lại quá trình vận hành và kiểm soát thủ tục.
Kiểm soát khách đến thăm: Sổ tay cho khách đến thăm, bao gồm việc có người đi kèm và lưu lại danh sách khách đến thăm ít nhất trong 90 ngày.
Chương trình bảo dưỡng và kiểm tra: Thực hiện định kỳ kiểm tra tất cả Hệ thống Kiểm soát Truy cập Vật lý (PACS), bao gồm cả các thiết bị bảo mật lớp biên định kỳ 2 năm 1 lần.
CIP-007: Quản lý bảo mật hệ thống.
Tiêu chuẩn này quy định tiêu chuẩn kỹ thuật, vận hành và thủ tục bảo mật hệ thống thiết bị, bao gồm cả thiết bị quan trọng và không quan trọng. Bao gồm:
- Cổng và dịch vụ sử dụng.
- Cập nhập bản vá bảo mật.
- Phòng chống mã độc.
- Giám sát sự kiện an ninh.
- Kiểm soát truy cập hệ thống.
CIP-008: Kế hoach ứng phó sự cố an ninh mạng và báo cáo thiệt hại.
Tiêu chuẩn này nhằm chuẩn bị cho sự cố an ninh mạng và cung cấp sổ tay hướng dẫn ứng phó với sự cố. Nó giúp xác định, phân loại, đối phó, báo cáo và tài liệu các sự cố an ninh mạng với thiết bị quan trọng. Bao gồm 3 phần quan trọng:
- Kế hoạch đối phó sự cố an ninh mạng. Bao gồm quy trình xác định, phân loại, ứng phó sự cố an ninh mạng.
- Triển khai và thử nghiệm kế hoạch đối phó sự cố an ninh mạng. Định kỳ 15 tháng thực hiện 1 lần.
- Xem xét lại, cập nhập và phổ biến kế hoạch đối phó sự cố. Mọi thay đổi trong kế hoạch đối phó phải thông báo đến các bên liên quan trong vòng 90 ngày kể từ khi xảy ra sự cố bảo mật.
CIP-009-6: Kế hoạch khôi phục do sự cố.
Tiêu chuẩn này đề cập đến cách các công ty khôi phục lại hoạt động sau sự cố an ninh mạng. Nó đảm bảo đơn vị có sẵn kế hoạch khôi phục và sẽ tuân theo kế hoạch này khi xảy ra sự cố để khắc phục và duy trì hoạt động trở lại. Bao gồm:
Tiêu chuẩn kích hoạt khôi phục. Khi nào và ai sẽ chịu trách nhiệm kích hoạt hế hoạch khôi phục.
Kiểm tra và thực nghiệm khôi phục. Tiến hành định kỳ 15 tháng.
Xem xét, cập nhập và phổ biến kế hoạch khôi phục. Mọi thay đổi trong kế hoạch phải phổ biến cho nhân viên trong vòng 90 ngày xảy ra sự cố an ninh hoặc thực hành ứng phó sự cố.
NERC CIP-010-3: Quản lý Thay đổi và Lỗ hổng bảo mật.
Tiêu chuẩn này đưa ra các yêu cầu bảo mật để ngăn chặn và phát hiện thay đổi trái phép với hệ thống mạng. Mục đích là bảo vệ cơ bản, đưa ra biện pháp bảo vệ qua việc kiểm soát cấu hình hệ thống và kiểm tra lỗ hổng bảo mật. Bao gồm 3 lĩnh vực tuân thủ:
Quản lý thay đổi cấu hình: Quy trình cấp phép cho hệ điều hành, phần mềm, cổng ...
Giám sát cấu hình. Kiểm tra định kỳ 35 ngày những thay đổi trái phép.
Lỗ hổng bảo mật. Đánh giá lỗ hổng bảo mật 15 tháng 1 lần.
CIP-011: Bảo vệ thông tin hệ thống mạng.
Phần này đề cập đến các thông tin khi bị đánh cắp, sử dụng sai mục đích, sửa đổi sẽ ảnh hưởng đến hoạt động. Nó cũng xác định cách thức bảo vệ thông tin.
CIP-012: Trung tâm Điều khiển Truyền thông
CIP-013: An ninh Chuỗi Nhà cung cấp.
CIP-014: An ninh vật lý các trạm biến áp quan trọng.
NERC CIP yêu cầu các công ty điện lực thiết lập và tuân thủ biện pháp an ninh mạng cơ bản. Mục tiêu đảm bảo bảo mật thích hợp nhằm bảo vệ công ty điện lực, người sử dụng và khách hàng bị gián đoạn thời gian hoặc ảnh hưởng đến hoạt động. Những mối đe dọa bao gồm tấn công mạng, phá hoạt hoặc khủng bố mạng.
Các thực thể liên quan đến hoạt động phải được coi là quan trọng và luôn được phân tích nguy cơ với thực thể đó. Các công ty cũng phải có chính sách giám sát và thay đổi cấu hình hạ tầng quan trọng cũng như quyền truy cập vào thiết bị đó.
Ngoài ra NERC CIP yêu cầu dùng tường lửa, tường lửa một chiều nhằm chặn các cổng dễ bị tấn công và sử dụng phần mềm giám sát an ninh mạng. Các công ty cũng đươc yêu cầu kiểm soát IT việc truy cập vào các thiết bị quan trọng. Ngoài ra còn phải triển khai các hệ thống ghi nhận sự kiện an ninh và có kế hoạch dự phòng toàn diện đối với tấn công mạng, thảm họa thiên tai ... ảnh hưởng đến vận hành.