ภาพรวมมาตรฐาน NERC CIP
CIP-002-5.1a การจัดประเภทระบบไซเบอร์ BES เพื่อความปลอดภัยไซเบอร์ (Cyber Security BES Cyber System Categorization)
ระบบไซเบอร์ BES (BES Cyber Systems) ในแต่ละสถานที่มีผลกระทบที่แตกต่างกันต่อการทำงานที่เชื่อถือได้ของระบบไฟฟ้าขนาดใหญ่ (Bulk Electric System) เอกสารแนบ 1 กำหนดเกณฑ์ที่ชัดเจน ("bright-line" criteria) ที่องค์กรที่รับผิดชอบ (Responsible Entity) ต้องใช้ในการระบุระบบไซเบอร์ BES เหล่านี้ตามผลกระทบต่อ BES
ระบบไซเบอร์ BES ต้องได้รับการระบุและจัดประเภทตามผลกระทบ เพื่อให้สามารถใช้มาตรการที่เหมาะสมตามผลกระทบที่ไม่พึงประสงค์ที่การสูญเสีย (loss) การรั่วไหล (compromise) หรือการใช้ในทางที่ผิด (misuse) ของระบบไซเบอร์ BES เหล่านั้นอาจมีต่อการทำงานที่เชื่อถือได้ของ BES หมวดหมู่ผลกระทบเหล่านี้จะเป็นพื้นฐานสำหรับการใช้ข้อกำหนดที่เหมาะสมใน CIP-003 ถึง CIP-011
CIP-003-6 การควบคุมการจัดการความปลอดภัยไซเบอร์ (Cyber Security Security Management Controls)
ข้อกำหนดนี้มีไว้เพื่อแสดงสายการบังคับบัญชา (line of authority) และความเป็นเจ้าของ (ownership) ด้านความปลอดภัยที่ชัดเจน นโยบายความปลอดภัยหนึ่งข้อหรือมากกว่าแสดงให้เห็นว่าผู้บริหารองค์กรสนับสนุนความรับผิดชอบ (accountability) และความรับผิดชอบ (responsibility) ที่จำเป็นสำหรับการนำข้อกำหนดไปปฏิบัติอย่างมีประสิทธิผล และให้พื้นฐานด้านการจัดการและการกำกับดูแล (management and governance foundation) สำหรับข้อกำหนดทั้งหมด อีกทั้งยังทำให้มั่นใจว่าการมอบหมายงาน (delegations) มีความทันสมัยและบุคคลไม่ได้รับอำนาจที่ไม่มีการบันทึกไว้ (undocumented authority)
CIP-004-6 บุคลากรและการฝึกอบรมด้านความปลอดภัยไซเบอร์ (Cyber Security Personnel and Training)
ทำให้มั่นใจว่าองค์กรที่รับผิดชอบที่มีบุคลากรซึ่งได้รับอนุญาตให้เข้าถึงทางอิเล็กทรอนิกส์ (authorized electronic access) หรือการเข้าถึงทางกายภาพโดยไม่ต้องมีผู้ติดตาม (authorized unescorted physical access) ไปยังสินทรัพย์ไซเบอร์ BES (BES Cyber Assets) ดำเนินการเพื่อให้บุคลากรเหล่านั้นรักษาความตระหนักในแนวปฏิบัติด้านความปลอดภัยขององค์กรที่รับผิดชอบ
ทำให้มั่นใจว่าโปรแกรมการฝึกอบรมขององค์กรที่รับผิดชอบสำหรับบุคลากรที่ต้องการการเข้าถึงทางอิเล็กทรอนิกส์ที่ได้รับอนุญาต และ/หรือการเข้าถึงทางกายภาพโดยไม่ต้องมีผู้ติดตามที่ได้รับอนุญาตไปยังระบบไซเบอร์ BES ครอบคลุมนโยบาย การควบคุมการเข้าถึง และขั้นตอนที่เหมาะสมเพื่อปกป้องระบบไซเบอร์ BES และได้รับการฝึกอบรมก่อนที่จะได้รับอนุญาตให้เข้าถึง
ทำให้มั่นใจว่าบุคคลที่ต้องการการเข้าถึงทางอิเล็กทรอนิกส์ที่ได้รับอนุญาต หรือการเข้าถึงทางกายภาพโดยไม่ต้องมีผู้ติดตามที่ได้รับอนุญาตไปยังระบบไซเบอร์ BES ได้รับการประเมินความเสี่ยง ไม่ว่าจะเป็นการเข้าถึงครั้งแรกหรือการรักษาการเข้าถึง ผู้ที่มีการเข้าถึงต้องได้รับการประเมินความเสี่ยงบุคลากรภายในระยะเวลา 7 ปีที่ผ่านมา
ทำให้มั่นใจว่าบุคคลที่มีการเข้าถึงระบบไซเบอร์ BES และสถานที่ทางกายภาพและอิเล็กทรอนิกส์ที่จัดเก็บข้อมูลระบบไซเบอร์ BES โดยองค์กรที่รับผิดชอบได้รับการอนุญาตอย่างเหมาะสมสำหรับการเข้าถึงดังกล่าว รวมถึงการเพิกถอนการเข้าถึงดังกล่าวอย่างทันท่วงที
CIP-005-5 ขอบเขตความปลอดภัยทางอิเล็กทรอนิกส์ (Cyber Security Electronic Security Perimeter(s))
ขอบเขตความปลอดภัยทางอิเล็กทรอนิกส์ ("ESP") ทำหน้าที่ควบคุมการจราจรที่ขอบเขตอิเล็กทรอนิกส์ภายนอกของระบบไซเบอร์ BES มันให้การป้องกันชั้นแรกสำหรับการโจมตีทางเครือข่าย (network based attacks) เนื่องจากจำกัดการสำรวจเป้าหมาย (reconnaissance of targets) จำกัดและห้ามการจราจรตามชุดกฎที่กำหนด (specified rule set) และช่วยในการควบคุมการโจมตีที่ประสบความสำเร็จ (successful attacks)
CIP-006-6 ความปลอดภัยทางกายภาพของระบบไซเบอร์ BES (Cyber Security Physical Security of BES Cyber Systems)
ทำให้มั่นใจว่าการเข้าถึงทางกายภาพ (physical access) ไปยังระบบไซเบอร์ BES ทั้งหมดถูกจำกัดและจัดการอย่างเหมาะสม องค์กรอาจเลือกให้ระบบควบคุมการเข้าถึงทางกายภาพบางส่วน (Physical Access Control Systems - PACS) อยู่ในขอบเขตความปลอดภัยทางกายภาพ (Physical Security Perimeter - PSP) ที่ควบคุมการเข้าถึงระบบไซเบอร์ BES ที่เกี่ยวข้อง
ควบคุมเมื่อบุคลากรที่ไม่ได้รับอนุญาตให้เข้าถึงทางกายภาพโดยไม่มีผู้ติดตามสามารถอยู่ในขอบเขตความปลอดภัยทางกายภาพใดๆ ที่ป้องกันระบบไซเบอร์ BES หรือระบบควบคุมการเข้าถึงทางอิเล็กทรอนิกส์หรือระบบตรวจสอบ
ทำให้มั่นใจว่าระบบและอุปกรณ์ควบคุมการเข้าถึงทางกายภาพทั้งหมดยังคงทำงานอย่างเหมาะสม
CIP-007-6 การจัดการความปลอดภัยระบบ (Cyber Security System Security Management)
ข้อกำหนดนี้มีไว้เพื่อลดพื้นผิวการโจมตี (attack surface) ของระบบไซเบอร์ BES โดยการปิดใช้งานหรือจำกัดการเข้าถึงพอร์ตตรรกะ (logical ports) และบริการ (services) ที่เข้าถึงได้ทางเครือข่ายที่ไม่จำเป็น และพอร์ต I/O ทางกายภาพ
ทำให้มั่นใจถึงการจัดการแพตช์ความปลอดภัย (security patch management) โดยการเฝ้าติดตามและจัดการช่องโหว่ด้านความปลอดภัย (security vulnerabilities) ที่ทราบในซอฟต์แวร์ก่อนที่ช่องโหว่เหล่านั้นจะถูกใช้ในลักษณะที่เป็นอันตรายเพื่อควบคุมหรือทำให้สินทรัพย์ไซเบอร์ BES หรือระบบไซเบอร์ BES ไม่สามารถทำงานได้
ทำให้มั่นใจถึงการป้องกันรหัสที่เป็นอันตราย (malicious code prevention) เพื่อจำกัดและตรวจจับการเพิ่มรหัสที่เป็นอันตรายลงในสินทรัพย์ไซเบอร์ที่เกี่ยวข้องของระบบไซเบอร์ BES รหัสที่เป็นอันตราย (ไวรัส เวิร์ม บอตเน็ต รหัสที่มีเป้าหมายเช่น Stuxnet ฯลฯ) อาจส่งผลกระทบต่อความพร้อมใช้งานหรือความสมบูรณ์ของระบบไซเบอร์ BES
ทำให้มั่นใจถึงการตรวจสอบเหตุการณ์ด้านความปลอดภัย (security event monitoring) เพื่อตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาต (unauthorized access) การสำรวจ (reconnaissance) และกิจกรรมที่เป็นอันตรายอื่นๆ บนระบบไซเบอร์ BES และประกอบด้วยกิจกรรมที่เกี่ยวข้องกับการรวบรวม การประมวลผล การแจ้งเตือน และการเก็บรักษาบันทึกคอมพิวเตอร์ที่เกี่ยวกับความปลอดภัย บันทึกเหล่านี้สามารถให้ทั้ง (1) การตรวจจับเหตุการณ์และ (2) หลักฐานที่เป็นประโยชน์ในการสืบสวนเหตุการณ์
ทำให้มั่นใจว่าไม่มีบุคคลที่ได้รับอนุญาตสามารถเข้าถึงระบบไซเบอร์ BES ทางอิเล็กทรอนิกส์ได้จนกว่าบุคคลนั้นจะได้รับการพิสูจน์ตัวตน (authenticated)
CIP-008-5 การรายงานเหตุการณ์และการวางแผนตอบสนองด้านความปลอดภัยไซเบอร์ (Cyber Security Incident Reporting and Response Planning)
การนำแผนตอบสนองต่อเหตุการณ์ด้านความปลอดภัยไซเบอร์ (Cyber Security Incident response plan) ที่มีประสิทธิผลไปใช้ช่วยลดความเสี่ยงต่อการทำงานที่เชื่อถือได้ของ BES ที่เกิดจากเหตุการณ์ด้านความปลอดภัยไซเบอร์ และให้ข้อมูลย้อนกลับแก่องค์กรที่รับผิดชอบเพื่อปรับปรุงการควบคุมความปลอดภัยที่ใช้กับระบบไซเบอร์ BES กิจกรรมป้องกันสามารถลดจำนวนเหตุการณ์ได้ แต่ไม่สามารถป้องกันเหตุการณ์ทั้งหมดได้ ดังนั้นจึงจำเป็นต้องมีความสามารถในการตอบสนองต่อเหตุการณ์ที่วางแผนไว้ล่วงหน้าสำหรับการตรวจจับเหตุการณ์อย่างรวดเร็ว การลดการสูญเสียและความเสียหาย การบรรเทาจุดอ่อนที่ถูกใช้ประโยชน์ และการกู้คืนบริการคอมพิวเตอร์
CIP-009-6 แผนกู้คืนสำหรับระบบไซเบอร์ BES (Cyber Security Recovery Plans for BES Cyber Systems)
กิจกรรมป้องกันสามารถลดจำนวนเหตุการณ์ได้ แต่ไม่สามารถป้องกันเหตุการณ์ทั้งหมดได้ ดังนั้นจึงจำเป็นต้องมีความสามารถในการกู้คืนที่วางแผนไว้ล่วงหน้าสำหรับการกู้คืนจากเหตุการณ์อย่างรวดเร็ว การลดการสูญเสียและความเสียหาย การบรรเทาจุดอ่อนที่ถูกใช้ประโยชน์ และการกู้คืนบริการคอมพิวเตอร์เพื่อให้เกิดการดำเนินการกู้คืนที่วางแผนไว้และสอดคล้องกันเพื่อกู้คืนฟังก์ชันการทำงานของระบบไซเบอร์ BES
การนำแผนกู้คืนที่มีประสิทธิผลไปใช้ช่วยลดความเสี่ยงต่อการทำงานที่เชื่อถือได้ของ BES โดยการลดเวลาในการกู้คืนจากอันตรายต่างๆ ที่ส่งผลกระทบต่อระบบไซเบอร์ BES ข้อกำหนดนี้ทำให้มั่นใจถึงการนำแผนตอบสนองไปใช้อย่างต่อเนื่อง
เพื่อปรับปรุงประสิทธิผลของแผนกู้คืนระบบไซเบอร์ BES หลังการทดสอบ และเพื่อให้มั่นใจถึงการบำรุงรักษาและการแจกจ่ายแผนกู้คืน
CIP-010-2 การจัดการการเปลี่ยนแปลงการกำหนดค่าและการประเมินช่องโหว่ด้านความปลอดภัยไซเบอร์ (Cyber Security Configuration Change Management and Vulnerability Assessments)
กระบวนการจัดการการเปลี่ยนแปลงการกำหนดค่า (configuration change management processes) มีไว้เพื่อป้องกันการแก้ไขที่ไม่ได้รับอนุญาตในระบบไซเบอร์ BES
กระบวนการตรวจสอบการกำหนดค่า (configuration monitoring processes) มีไว้เพื่อตรวจจับการแก้ไขที่ไม่ได้รับอนุญาตในระบบไซเบอร์ BES
กระบวนการประเมินช่องโหว่ (vulnerability assessment processes) มีไว้เพื่อทำหน้าที่เป็นส่วนประกอบในโปรแกรมโดยรวมเพื่อให้มั่นใจถึงการนำการควบคุมความปลอดภัยไซเบอร์ไปใช้อย่างเหมาะสมเป็นระยะ รวมถึงการปรับปรุงสถานะความปลอดภัยของระบบไซเบอร์ BES อย่างต่อเนื่อง
CIP-011-2 การป้องกันข้อมูลด้านความปลอดภัยไซเบอร์ (Cyber Security Information Protection)
จุดประสงค์ของโปรแกรมป้องกันข้อมูล (information protection program) คือเพื่อป้องกันการเข้าถึงข้อมูลระบบไซเบอร์ BES ที่ไม่ได้รับอนุญาต
จุดประสงค์ของกระบวนการนำสินทรัพย์ไซเบอร์ BES กลับมาใช้และกำจัด (BES Cyber Asset reuse and disposal process) คือเพื่อป้องกันการเผยแพร่ข้อมูลระบบไซเบอร์ BES ที่ไม่ได้รับอนุญาตเมื่อนำกลับมาใช้หรือกำจัด
คำถามที่พบบ่อยเกี่ยวกับการปฏิบัติตามมาตรฐาน NERC CIP (NERC CIP Compliance FAQs)
NERC CIP เป็นข้อบังคับหรือไม่?
ตั้งแต่ปี 2006 การนำ NERC CIP ไปปฏิบัติใช้เป็นข้อบังคับ (mandatory) สำหรับทุกองค์กรที่ลงทะเบียนในระบบไฟฟ้าของสหรัฐอเมริกา (United States BPS) รวมถึงผู้ใช้ (users) เจ้าของ (owners) และผู้ดำเนินการ (operators) NERC มีมาตรฐานสูงในการปฏิบัติตามและจะลงโทษองค์กรที่พบว่าไม่ปฏิบัติตาม (non-compliant) มาตรฐาน NERC CIP
NERC CIP อ้างอิงจากอะไร?
NERC CIP กำกับดูแลระบบไฟฟ้าขนาดใหญ่ (Bulk Electric System - BES) ของอเมริกาเหนือ เพื่อให้มั่นใจว่าการโจมตีทางไซเบอร์ (cyberattack) จะไม่ขัดขวางโครงสร้างพื้นฐานด้านสาธารณูปโภค (utility infrastructure) ของอเมริกาเหนือ นอกเหนือจากการบรรเทาการหยุดชะงักของสาธารณูปโภค (utility disruption) มาตรฐาน NERC CIP มีเป้าหมายเพื่อป้องกันผลกระทบของการโจมตีทางไซเบอร์ขนาดใหญ่ต่อเศรษฐกิจอเมริกาเหนือ
มีมาตรฐาน NERC CIP กี่มาตรฐาน?
ปัจจุบันมีมาตรฐาน NERC CIP 14 มาตรฐาน ซึ่งเรียกอีกอย่างว่าข้อกำหนด NERC CIP (NERC CIP Requirements) ข้อกำหนดพื้นฐาน NERC CIP แต่ละข้อใน 40 ข้อประกอบด้วยข้อกำหนดย่อย (sub-requirements) หนึ่งข้อหรือมากกว่า รวมเป็น 100 มาตรฐานย่อย
จุดประสงค์ของมาตรฐาน NERC CIP คืออะไร?
มาตรฐาน NERC CIP กำหนดข้อกำหนดการปฏิบัติตามมาตรฐาน NERC CIP ซึ่งช่วยองค์กรในการวางแผน ดำเนินการ และปกป้องระบบจ่ายไฟฟ้าขนาดใหญ่ (bulk power supply system) ในอเมริกาเหนือ
การปฏิบัติตามมาตรฐาน NERC CIP จะช่วยให้คุณได้รับการรับรอง NERC (NERC certification) ซึ่งรับประกันมาตรฐานความปลอดภัยที่เป็นแบบเดียวกันทั่วทั้ง BES อย่างไรก็ตาม การนำมาตรฐาน NERC ไปปฏิบัติอย่างเหมาะสมจะขึ้นอยู่กับระบบ BES ของคุณ คุณต้องระบุสินทรัพย์ที่สำคัญที่สุด (most critical assets) รวมถึงสินทรัพย์ที่มีความเสี่ยงต่อการโจมตีทางไซเบอร์มากที่สุด
การตรวจสอบ NERC CIP จัดขึ้นบ่อยแค่ไหน?
การตรวจสอบ NERC CIP เป็นแบบสุ่ม (random) ไม่มีกำหนดการที่แน่นอน เพื่อเพิ่มความพร้อมในการตรวจสอบ (audit preparedness) สิ่งสำคัญคือต้องติดตั้งและรักษาการควบคุมให้เป็นไปตามข้อกำหนดการปฏิบัติตามมาตรฐาน NERC CIP และได้รับการรับรอง NERC CIP (NERC CIP certification) ด้วยความช่วยเหลือจากที่ปรึกษาด้านการปฏิบัติตามมาตรฐาน NERC (NERC compliance consultants) คุณจะอยู่ในตำแหน่งที่ดีในการผ่านการตรวจสอบ NERC CIP เมื่อใดก็ตามที่มีการตรวจสอบ การให้คำปรึกษาด้าน NERC CIP (NERC CIP consulting) จะช่วยให้คุณปรับแต่งการควบคุมความปลอดภัยปัจจุบันและเสริมสร้างสถานะความปลอดภัย (security posture) ของคุณ