Risiken für kritische Infrastrukturen bewerten und mindern

Die North American Electric Reliability Corporation (NERC) hat eineSicherheitsrichtlinie für den Lebenszyklus des Lieferantenrisikomanagementsveröffentlicht, um den wachsenden Risiken für kritische Infrastrukturen zu begegnen.

Die Richtlinie enthält Beispiele für Lieferantenrisiken und empfohlene Maßnahmen zur Risikominderung, die Unternehmen bei der Entwicklung ihrer allgemeinen Pläne zum Management von Cybersicherheitsrisiken in der Lieferkette berücksichtigen sollten – nicht nur für das Stromnetz (BES), sondern auch für andere kritische Infrastrukturbereiche wie Gasleitungen, Stromerzeugung, -übertragung und -verteilung sowie andere Bereiche.

Relevante Anforderungen

  • Berücksichtigen Sie Risiken bei der Auswahl von Lieferanten

  • Die in den Risikobewertungen der Lieferanten identifizierten Risiken mindern

  • Entwickeln Sie Verfahren für den Einkauf, die Kündigung und den Wechsel von Lieferanten.

  • Entwickeln Sie einen Prozess zur kontinuierlichen Identifizierung, Bewertung und Minderung sowohl bestehender als auch neuer Risiken, die vom Anbieter ausgehen.

  • Überprüfen Sie, ob der Anbieter die Richtlinien und Maßnahmen zur Risikominderung einhält.

Erfüllung der Anforderungen der NERC-Sicherheitsrichtlinien

Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Best Practices des NERC-Risikomanagements für Dritte zu erfüllen:

 

Anforderung

Wie wir helfen

Kapitel 1: Risikominderung vor der Beschaffung

In Kapitel 1 heißt es: „Bei der Entscheidung, welche Anbieter zur Teilnahme an der Ausschreibung eingeladen werden sollen, könnte das Unternehmen Faktoren wie Listen zugelassener Unternehmen, Informationsquellen und öffentlich zugängliche Informationen (z. B. bisherige Handhabung von Sicherheitslücken, Website-Hygiene) berücksichtigen.“

Um diese Richtlinie umzusetzen, vergleichen Sie firmografische Details, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Einblicke in die Geschäftstätigkeit und Reputation, die Geschichte von Datenverstößen und die finanzielle Leistung potenzieller Anbieter in einer einzigen Tabelle.Durch die Zentralisierung dieser Erkenntnissein Übereinstimmung mit den RFx-Antworten erhalten Sie einen ganzheitlichen Überblick über die Lieferanten – sowohl hinsichtlich ihrer Eignung für den jeweiligen Zweck als auch hinsichtlich ihrer Eignung entsprechend der Risikobereitschaft Ihres Unternehmens.

Weitere empfohlene Abhilfemaßnahmen aus Kapitel 1 finden Sie unten.

Sammeln Sie Informationen über die Pläne des Anbieters zur Abschwächung spezifischer Cybersicherheitsrisiken in der Lieferkette, indem Sie eine gezielte Bewertung durchführen, die nur relevante Fragen enthält.

Mit Prevalent können Sie mithilfe einer anpassbarenBewertungdie Kontrollen von Anbietern erfassen und miteinander in Beziehung setzen, um anhand der Kritikalität des Anbieters Bedrohungen für Systeme und Daten zu ermitteln.

Die Plattform sammelt Daten in einem einzigen Risikoregister mit Heatmap-Berichten, die Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen messen und kategorisieren. Mit diesen Erkenntnissen können Teams die Folgen eines Risikos leicht erkennen.

Aufnahme von Bedingungen für die Cybersicherheit in den Anbietervertrag oder Festlegung spezifischer zu messender Leistungen.

Nutzen Sie eine Lösungfür das Vertragslebenszyklusmanagement, die die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen zentralisiert. Dadurch wird sichergestellt, dass wichtige Vertragsbestimmungen wie Leistungskennzahlen (KPIs), Risikokennzahlen (KRIs) und Service Level Agreements (SLAs) in Lieferantenverträgen enthalten sind und während der gesamten Geschäftsbeziehung durchgesetzt werden.

Legen Sie Nachweise wie Zertifizierungen oder Prüfberichte von qualifizierten Dritten vor.

-

Fordern Sie den Anbieter auf, eineSoftware-Stückliste (SBOM)vorzulegen, in der alle Komponenten seiner Software und/oder Firmware aufgeführt sind, die von Dritten entwickelt wurden.

-

Durchführung einer Bewertung der Beschaffungsrisiken (PRA).

-

Abmilderung aller in der PRA ermittelten hohen Risiken.

Die Prevalent-Plattform zentralisiert Dokumente, Belege und Lieferantenzertifizierungen in einem einzigen Lieferantenprofil, das mit abgeschlossenen Lieferantenrisikobewertungen und einem zentralen Risikoregister verknüpft ist.

Die Plattform ermöglicht es Ihnen außerdem, Anbietern auf der Grundlage von Risikobewertungsergebnissen empfohlene Abhilfemaßnahmen zu übermitteln, um sicherzustellen, dass Anbieter Risiken zeitnah und zufriedenstellend beheben. Mit Prevalent können Sie Abhilfemaßnahmen bis zum Abschluss mit definierten Verantwortlichen verfolgen – innerhalb Ihres Unternehmens und im Unternehmen Ihres Anbieters.

Kapitel 2: Risikobewertung

Kapitel 2 der Sicherheitsrichtlinie besagt: „Sobald eine Lieferantenbeziehung besteht und die Organisation begonnen hat, Produkte oder Dienstleistungen von dem Lieferanten zu beziehen, benötigt die Organisation einen Prozess zur kontinuierlichen Identifizierung, Bewertung und Minderung sowohl der verbleibenden als auch der neuen Risiken, die von dem Lieferanten ausgehen.“ Um dies zu erreichen, schlägt die Richtlinie einige der in den folgenden Zeilen aufgeführten Schritte vor.

Konzentrieren Sie sich auf Fragen zum Schutz des Fernzugriffs durch Multi-Faktor-Authentifizierung.

-

Verwenden Sie einen Fragebogen, in dem nur relevante Fragen gestellt werden.

-

Separate Fragebögen für IT- und OT-Anbieter.

-

Erwägen Sie Zertifizierungen wie ISO 27001 oder SOC2.

Prevalent automatisiert Risikobewertungen, um die Transparenz, Effizienz und Reichweite Ihres Lieferantenrisikomanagementprogramms in jeder Phase des Lieferantenlebenszyklus zu verbessern.

Die Plattform umfasst eine Bibliothek mit Hunderten von standardisierten Bewertungsvorlagen – darunter Fragebögen für IT- und OT-Bereiche – mit Anpassungsmöglichkeiten und integrierten Workflows und Korrekturmaßnahmen, um alle Schritte von der Erhebung und Analyse der Umfrageergebnisse bis hin zur Risikobewertung und Berichterstellung zu automatisieren.

Wenn der Anbieter nicht in der Lage oder nicht bereit ist, eine standardisierte Bewertung durchzuführen, können Sie die Prevalent-Plattform nutzen, umISO-ZertifizierungenoderSOC 2-Berichtein die zentrale Risikoregisteransicht zu übertragen und die Risiken dieses Anbieters zusammen mit den Risiken aus den Bewertungen anderer Anbieter zu verwalten.

Mit Prevalent können Sie Bewertungsergebnisse durchkontinuierliche Einblickein Cyber-Bedrohungen validieren. Die Konsolidierung aller Informationen in einer einzigen Übersicht optimiert Ihre Risikoanalyse.

Kapitel 3: Risiken mindern

Während der Nutzung des Produkts/der Dienstleistung
Kapitel 3 der Richtlinie empfiehlt, dass die Organisation den Anbieter auffordert, die in der Bewertung identifizierten Risiken zu mindern. Das Ziel der Risikominderung sollte darin bestehen, das Risiko auf ein akzeptables Maß zu reduzieren, um die Wahrscheinlichkeit und/oder die Auswirkungen des Risikos zu verringern.

Die Richtlinie besagt, dass dies durch Ausschreibungen oder vertragliche Durchsetzung erreicht werden kann, aber erforderliche Abhilfemaßnahmen sind auch eine wichtige Maßnahme zur Durchsetzung nach Vertragsabschluss. Nachfolgend finden Sie einige ausgewählte Abhilfemaßnahmen aus der Richtlinie.

Nehmen Sie in die RFP eine Formulierung auf, in der die Sicherheitsrisiken und die vom Anbieter zu ergreifenden Maßnahmen zur Behebung dieser Risiken aufgeführt sind.

Kontrolle 15 Überblick "Ein Programm zur Entwicklung und Aufrechterhaltung einer Fähigkeit zur Reaktion auf Zwischenfälle (z.B. Richtlinien, Pläne, Verfahren, definierte Rollen, Schulung und Kommunikation) zur Vorbereitung, Erkennung und schnellen Reaktion auf einen Angriff.

Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) im Rahmen von Entscheidungenzur Lieferantenauswahl. So können Sie Lieferanten auf der Grundlage kritischer Cybersicherheitsmaßnahmen auswählen.

Nehmen Sie eine Vertragsklausel auf, die die Verpflichtung des Anbieters dokumentiert, bestimmte Sicherheitskontrollen zu implementieren, und die vorsieht, dass die Organisation die Fortschritte des Anbieters überprüft und Methoden für die künftige Kommunikation über diese Angelegenheiten festlegt.

Mit Prevalent können Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgen zentralisieren. Durch diese Art der Verwaltung von Lieferverträgen stellen Sie sicher, dass die Verträge die richtigen Sicherheitsklauseln und Durchsetzungsmaßnahmen enthalten.

Definieren Sie spezifische Abhilfemaßnahmen.

Liefern Sie den Lieferanten auf der Grundlage der Ergebnisse der Risikobewertung empfohlene Abhilfemaßnahmen, um sicherzustellen, dass die Lieferanten Risiken zeitnah und zufriedenstellend beheben. Verfolgen Sie die Abhilfemaßnahmen bis zum Abschluss mit festgelegten Verantwortlichen – innerhalb Ihres Unternehmens und im Unternehmen Ihres Lieferanten.

Kapitel 4: Überprüfung der Risikominderung

Kapitel 4 der Richtlinie verlangt die Überprüfung, ob der Anbieter die Richtlinien und Maßnahmen zur Risikominderung einhält. Mögliche Maßnahmen sind in den folgenden Zeilen aufgeführt.

Dokumentieren Sie die Leistungslücke, die erwartete Leistung und die geltenden Vertragsbedingungen oder dokumentierten Verpflichtungen und teilen Sie sie dem Anbieter mit.

Mit Prevalent können Sie Umfragen individuell anpassen, um die erforderlichen Leistungs- und Vertragsdaten einfach in einem einzigen Risikoregister zu erfassen und zu analysieren. Sie können auch wichtige Vertragsattribute in Bezug aufSLAs oder Leistung identifizieren, diese Anforderungen in einer zentralen Plattform hinterlegen und Ihnen und Ihrem Anbieter Aufgaben zuweisen, um den Überblick zu behalten.

Teilen Sie dem Anbieter mit, dass die Leistungskennzahlen bei der künftigen Bewertung neuer Produkte oder Dienstleistungen berücksichtigt werden.

 

Die Prevalent-Plattform misst zentraldie KPIs und KRIs der Lieferantenanhand Ihrer Anforderungen, indem sie diese automatisch aus dem Lieferantenvertrag extrahiert.

Die Plattform gibt auch Empfehlungen für Abhilfemaßnahmen, um sicherzustellen, dass Anbieter Risiken zeitnah und zufriedenstellend angehen.

Erwägen Sie die Beendigung der Geschäftsbeziehung mit dem Anbieter.

 

Wenn eineKündigung oder ein Austrittfür kritische Dienste erforderlich ist, stellt Ihnen Prevelant anpassbare Umfragen und Workflows zur Verfügung, um über Systemzugriff, Datenvernichtung, Zugriffsverwaltung, Einhaltung relevanter Gesetze, Abschlusszahlungen und mehr zu berichten.

Kapitel 5: Kauf, Kündigung und Übergang

Kapitel 5 der Richtlinie behandelt die erforderlichen Verfahren zur Beendigung einer Lieferantenbeziehung, einschließlich der in den folgenden Zeilen aufgeführten Verfahren.

Identifizierung und Abschwächung der mit der Beendigung oder dem Übergang verbundenen Risiken (z. B. Besitz sensibler Informationen).

-

Machen Sie eine Bestandsaufnahme der sensiblen Informationen, die der Anbieter über die Systeme und Netzwerke des Unternehmens besitzt, und verlangen Sie vom Anbieter eine Bescheinigung, dass alle Informationen gelöscht wurden.

Mit Prevalent können Sie:

  • Automatisieren Sie Vertragsbewertungen und Offboarding-Verfahren, um das Risiko für Ihr Unternehmen nach Vertragsabschluss zu verringern.
  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
  • Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
  • Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
  • Ergreifen Sie umsetzbare Maßnahmen zur Verringerung des Anbieterrisikos mit integrierten Empfehlungen und Anleitungen zur Abhilfe.
  • Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.