FERC и NERC представили лучшие практики в области реагирования на инциденты

FERC и NERC представили лучшие практики в области реагирования на инциденты

Организации опубликовали доклад, в котором представлены лучшие практики в области реагирования и восстановления систем после кибератак.

Федеральная комиссия по регулированию в области энергетики США (Federal Energy Regulatory Commission, FERC) и корпорация North American Electricity Reliability Corporation (NERC) выпустили доклад , в котором представлены лучшие практики в области реагирования и восстановления систем после кибератак.

Доклад базируется на исследовании, проведенном сотрудниками FERC, NERC и региональных представительств NERC. В ходе исследования использовалась информация, предоставленная специалистами восьми американских электроэнергетических компаний разных масштабов и функций.

Как выяснилось в ходе исследования, какой-либо универсальной модели реагирования и восстановления после инцидента безопасности, которая стала бы панацеей, не существует. Планы реагирования на инциденты у компаний, принявших участие в исследовании, во многом схожи, например, они базируются на одном и том же фреймворке NIST (SP 800-61). Однако есть и некоторые различия. К примеру, некоторые предприятия разработали собственные планы реагирования на инциденты, которые могут затронуть конкретно их операционные и рабочие сети.

В своем докладе FERC и NERC выявили практики, которые электроэнергетическим компаниям рекомендуется принять во внимание при составлении плана реагирования на инциденты.

На этапе подготовки плана авторы доклада рекомендуют четко распределить роли между сотрудниками и наделить их полномочиями по принятию мер, чтобы в случае инцидента безопасности избежать ненужных проволочек. Компании должны обеспечить персоналу достойную подготовку и возможность постоянно обновлять свои навыки.

На этапе обнаружения и анализа инцидентов рекомендуется использовать определение исходных данных для обнаружения потенциальных инцидентов и дерево решений или блок-схему для быстрой оценки того, будет ли достигнут ли определенный порог риска и квалифицируются ли определенные обстоятельства как событие.

На этапе локализации и ликвидации инцидентов следует учитывать влияние принятых мер по сдерживанию инцидента. Организация должна иметь полное представление о потенциальном воздействии, например, изоляции операционных сетей в случае инцидента. Следует также учитывать, что присутствующее в среде вредоносное ПО может инициировать деструктивные действия, которые автоматически запустятся мерами, направленными на сдерживание инцидента.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!