FERC и NERC представили лучшие практики в области реагирования на инциденты

FERC и NERC представили лучшие практики в области реагирования на инциденты

Организации опубликовали доклад, в котором представлены лучшие практики в области реагирования и восстановления систем после кибератак.

Федеральная комиссия по регулированию в области энергетики США (Federal Energy Regulatory Commission, FERC) и корпорация North American Electricity Reliability Corporation (NERC) выпустили доклад , в котором представлены лучшие практики в области реагирования и восстановления систем после кибератак.

Доклад базируется на исследовании, проведенном сотрудниками FERC, NERC и региональных представительств NERC. В ходе исследования использовалась информация, предоставленная специалистами восьми американских электроэнергетических компаний разных масштабов и функций.

Как выяснилось в ходе исследования, какой-либо универсальной модели реагирования и восстановления после инцидента безопасности, которая стала бы панацеей, не существует. Планы реагирования на инциденты у компаний, принявших участие в исследовании, во многом схожи, например, они базируются на одном и том же фреймворке NIST (SP 800-61). Однако есть и некоторые различия. К примеру, некоторые предприятия разработали собственные планы реагирования на инциденты, которые могут затронуть конкретно их операционные и рабочие сети.

В своем докладе FERC и NERC выявили практики, которые электроэнергетическим компаниям рекомендуется принять во внимание при составлении плана реагирования на инциденты.

На этапе подготовки плана авторы доклада рекомендуют четко распределить роли между сотрудниками и наделить их полномочиями по принятию мер, чтобы в случае инцидента безопасности избежать ненужных проволочек. Компании должны обеспечить персоналу достойную подготовку и возможность постоянно обновлять свои навыки.

На этапе обнаружения и анализа инцидентов рекомендуется использовать определение исходных данных для обнаружения потенциальных инцидентов и дерево решений или блок-схему для быстрой оценки того, будет ли достигнут ли определенный порог риска и квалифицируются ли определенные обстоятельства как событие.

На этапе локализации и ликвидации инцидентов следует учитывать влияние принятых мер по сдерживанию инцидента. Организация должна иметь полное представление о потенциальном воздействии, например, изоляции операционных сетей в случае инцидента. Следует также учитывать, что присутствующее в среде вредоносное ПО может инициировать деструктивные действия, которые автоматически запустятся мерами, направленными на сдерживание инцидента.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!