北美电力可靠性公司 (NERC) 的关键基础设施保护 (CIP) 标准(CIP-013-1) 为电力和公用事业公司制定了新的网络安全要求,以确保、维护和延长大容量电力系统 (BES) 的可靠性。从 2020 年 7 月 1 日起开始执行,责任实体有 18 个月的时间来遵守,以避免受到处罚。NERC 有权对注册实体进行处罚,每项未执行的违规行为每天最高可达 100 万美元。
通过定期评估供应链合作伙伴的内部安全控制和持续实时监控供应商风险,第三方风险管理 在确保供应链安全方面发挥着举足轻重的作用。总之,这种由内而外、由外而内的视角为供应链风险提供了更全面的可见性。
本博客回顾了 CIP-013-1 中的要求,并将 Prevalent 第三方风险管理平台中的可用功能与这些要求进行了映射。
满足 NERC CIP-013-1 要求
本博客重点关注 CIP-013-1 合规性的核心要求,特别是在网络安全通知、资产、变更和配置管理以及治理方面。利用 Prevalent 平台提供的功能,可以轻松评估上述每个领域。
NERC CIP-013 网络安全标准
各实体至少要评估其供应商是否能满足基本的安全标准:
1.2.1 网络安全事件的通知/确认
供应商需要能够识别事件发生的时间,以确保在发生此类事件时供应商能够通知实体。Prevalent 使负责任的实体能够定期评估供应商的事件响应计划,要求将计划上传到平台进行验证。通过这种级别的审查,实体可以了解供应链合作伙伴将如何应对漏洞或网络事件。监控和评分工具无法提供这种级别的内部控制或流程可见性,但这些工具可以补充评估,在事件公开披露时触发。
1.2.2 协调网络安全事件的应对措施
供应商应与实体协调,共同应对与提供给实体的产品或服务有关的、对实体构成网络安全风险的事件。Prevalent 提供了一个中央平台,用于审查支持事件响应和通信计划的证据,并可灵活构建自定义工作流程、任务和升级路径,以实现快速响应。
1.2.3 在不再需要或不应再向供应商代表提供远程或现场访问时发出通知
供应商应对人事变动作出相应的反应。当人事变动影响到供应商代表是否仍可进行远程访问时,供应商应能够告知相关机构。Prevalent 平台包含一个自定义调查创建向导,使企业能够创建和发布可定制的离职调查,向供应商和内部团队询问有关系统访问、数据销毁和最终付款的具体问题,并通过内置工作流确保离职流程的无缝衔接。
1.2.4 漏洞识别 供应商应在发现与产品或服务有关的漏洞时通知实体
为了履行这一义务,供应商需要知道其环境中何时存在漏洞。Prevalent 平台可提供证据和流程验证,证明存在此类政策,并要求供应链合作伙伴提供此类证据。内置的持续监控功能通过对面向网络的服务接口进行外部漏洞扫描来补充评估,并将结果整合到单一的风险登记册中。
1.2.5.验证供应商提供的用于 BES 网络系统的所有软件和补丁的软件完整性和真实性
Prevalent 平台包含 50 多份内置行业标准问卷(如 CIP、NIST、ISO 等标准问卷),其中许多问卷都会围绕内部系统的补丁进度和软件完整性检查提出具体问题。如果未达到适当的补丁阈值,这些问题的答案就会升级为风险,告知责任实体潜在的风险。
1.2.6 与供应商协调对供应商发起的交互式远程访问和系统对系统远程访问的控制措施
供应商必须与实体协调,控制供应商发起的交互式远程访问,并确保供应商的系统对系统远程访问得到适当管理。Prevalent 平台可提供证据和流程验证,证明存在此类政策,要求供应链合作伙伴提供此类证据。
NERC 资产、变更和配置管理要求
当实体进行风险评估并考虑在其环境中采购的产品或服务的风险暴露时,可能需要额外的网络安全控制措施来保护实体的运营环境。实体可考虑获取和评估有关供应商在以下安全领域能力的额外信息。
资产、变更和配置管理 授权和未授权设备清单以及变更控制和配置管理注意事项
Prevalent 平台可提供此类政策的证据和流程验证,要求供应链合作伙伴提供此类证据。该平台还能量化供应商风险,提供规范性补救指导,跟踪任务并自动执行工作流程,以推动对政策和最佳实践的遵守。
- 清点组织内的物理设备和系统
- 清点组织内的软件平台和应用程序
- 绘制组织通信和数据流图
- 外部信息系统编目
- 使用公认的信息技术流程框架(如 ITIL)
- 将安全纳入系统开发生命周期
- 拥有成熟的变更控制流程
- 维护独立的开发和生产环境
- 为不同客户维护不同的环境
- 具有软件完整性机制(例如,具有加密和数字签名功能的 PKI)
- 产品可进行加固,以尽量减少攻击面
- 识别、发现、清点、分类和管理信息资产(硬件和软件)的流程
- 检测未经授权更改软件和配置参数的程序
- 能够识别硬件、软件或组件是否来自美国和/或国际来源
NERC 管理要求
当实体进行风险评估并考虑在其环境中采购的产品或服务的风险暴露时,可能需要额外的网络安全控制措施来保护实体的运营环境。实体可考虑获取和评估有关供应商在以下安全领域能力的额外信息。
建立和实施安全意识计划;日志和监控注意事项;以及信息保护注意事项
Prevalent 平台可提供此类政策的证据和流程验证,要求供应链合作伙伴提供此类证据。该平台还能量化供应商风险,提供规范性补救指导,跟踪任务并自动执行工作流程,以推动对政策和最佳实践的遵守。
- 记录并实施安全政策和程序
- 所有用户都了解网络安全政策和程序并接受相关培训
- 第三方利益相关者了解角色和责任,并对相同的要求负责
- 高级管理人员了解角色和责任
- 物理和信息安全人员了解自己的角色和责任
- 为软件和硬件提供持续支持的能力
- 人员背景调查
- 在诉讼搁置、网络安全事件等情况下保留数据的能力
- 有足够的职责分工,以确保日志记录和监控能有效发现异常情况
- 数据中心的供应商所在地(美国/加拿大与国际)
- 维护一项对其系统进行持续记录、监控和分析的计划,以确定重要事件
- 使用适当的控制措施管理静态数据(供应商或实体数据)
- 为故障提供额外硬件的能力
- 对内部和外部传输中的凭证进行加密
- 静态加密证书
- 使用最强大的标准加密算法(如 AES 或 SHA-2)
- 供应商对硬件、软件和制造中心的物理访问控制
- 清点组织内的物理设备和系统
Prevalent 可帮助实现 NERC 合规性
Prevalent 第三方风险管理 (TPRM) 平台使电力公司能够集中评估其供应链合作伙伴的内部控制,提供可用于审计和验证是否采取了适当的供应链安全措施的支持性证据和文件库,从而帮助遵守 NERC CIP。Prevalent 平台具有内置的持续网络安全和业务监控功能,可根据触发标准进行二次评估,为供应链风险管理提供了比单纯的评分工具更全面的解决方案。
此外,Prevalent 评估平台还支持问卷调查、风险登记和针对多个行业标准框架的报告,包括使用 Prevalent 合规框架的NIST CSF、PCI DSS 3.2、HIPAA 和SOC 2。企业只需提出一组问题,然后将结果映射到任意数量的这些法规中,从而简化并加快合规性报告。
有关 Prevalent 如何帮助满足多种法规的合规要求的更多信息,请下载我们的白皮书:第三方风险管理合规手册》。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
