22/09/20
Федеральная комиссия по регулированию в области энергетики США (Federal Energy Regulatory Commission, FERC) и корпорация North American Electricity Reliability Corporation (NERC) выпустили доклад , в котором представлены лучшие практики в области реагирования и восстановления систем после кибератак.
Доклад базируется на исследовании, проведенном сотрудниками FERC, NERC и региональных представительств NERC. В ходе исследования использовалась информация, предоставленная специалистами восьми американских электроэнергетических компаний разных масштабов и функций.
Как выяснилось в ходе исследования, какой-либо универсальной модели реагирования и восстановления после инцидента безопасности, которая стала бы панацеей, не существует. Планы реагирования на инциденты у компаний, принявших участие в исследовании, во многом схожи, например, они базируются на одном и том же фреймворке NIST (SP 800-61). Однако есть и некоторые различия. К примеру, некоторые предприятия разработали собственные планы реагирования на инциденты, которые могут затронуть конкретно их операционные и рабочие сети.
В своем докладе FERC и NERC выявили практики, которые электроэнергетическим компаниям рекомендуется принять во внимание при составлении плана реагирования на инциденты.
На этапе подготовки плана авторы доклада рекомендуют четко распределить роли между сотрудниками и наделить их полномочиями по принятию мер, чтобы в случае инцидента безопасности избежать ненужных проволочек. Компании должны обеспечить персоналу достойную подготовку и возможность постоянно обновлять свои навыки.
На этапе обнаружения и анализа инцидентов рекомендуется использовать определение исходных данных для обнаружения потенциальных инцидентов и дерево решений или блок-схему для быстрой оценки того, будет ли достигнут ли определенный порог риска и квалифицируются ли определенные обстоятельства как событие.
На этапе локализации и ликвидации инцидентов следует учитывать влияние принятых мер по сдерживанию инцидента. Организация должна иметь полное представление о потенциальном воздействии, например, изоляции операционных сетей в случае инцидента. Следует также учитывать, что присутствующее в среде вредоносное ПО может инициировать деструктивные действия, которые автоматически запустятся мерами, направленными на сдерживание инцидента.
