您的位置:主页 > 汽车 > 车展 >

DOE电网网络安全审计突出了基于风险的安全性的挑战

2019-09-04     来源:彩象彩票         内容标签:DOE,电网,网络安全,审计,突,出了,基于,风险,的,

导读:DOE电网网络安全审计突出了基于风险的安全性的挑战美国办事处最近的一次审计美国能源部的监察长为保护国家电网的努力描绘了一幅不那么美好的画面。但它也强调了合规领域的一个

美国办事处最近的一次审计美国能源部的监察长为保护国家电网的努力描绘了一幅不那么美好的画面。但它也强调了合规领域的一个难题-如果组织有动机少报风险,如何采取真正的基于风险的方法。

在报告(PDF)中,该部门声明审计于2009年10月至2010年11月期间进行,发现现有的CIP(关键基础设施保护)标准并不总是包括通常建议用于保护关键信息系统的控制措施。但另一个问题更基本-标准没有明确定义什么构成关键资产。

“在概述提出可靠性标准时应考虑哪些属性时,(联邦能源监管委员会)在第672号命令中指出......CIP可靠性标准应该清楚明确,不论是需要什么以及需要遵守什么,“报告指出。“委员会注意到这种清晰度是必要的,因为批量电气系统的用户,所有者和操作者必须知道他们需要做些什么才能保持可靠性。尽管有这样的指导,委员会和NERC(核能管理委员会)官员都说他们相信实体低估了关键资产和相关关键网络资产的数量。“

例如,美国能源部指出,2009年4月,当时的NERC首席安全官MichaelAssante报告说只有29%的发电业主和运营商-以及不到63%的输电业主-在自我认证合规调查中至少确定了一项关键资产。报告补充说,尽管这些资产可能包括控制中心和输电变电站等,但各组织随后提交的关键资产报告并没有显着改善。

“所有基于风险的安全计划始于:”识别您的关键资产,“IT首席研究分析师RichardStiennon说。-Harvest。“这在IT组织中永远不会有效,因为它需要有人承认他们负责的资产并不重要。当然,DBA(数据库管理员)说他们的Oracle数据库服务器很关键,”电子邮件人员说。邮件是至关重要的,网络团队说网络服务器是关键的。所以你没有得到你希望的加权差异。“

当涉及法规时,可能会产生相反的效果,因为企业希望避免他表示,与合规相关的成本,如果你必须立即披露违反重要医疗保健信息或PII(个人身份信息),一切都不重要,“他说。“如果你必须归档关键通信,那么突然间没有任何沟通是至关重要的。这就是基于风险的监管也不起作用的原因。”

文章链接地址:http://www.pakomall.com/qiche/chezhan/201909/5371.html

上一篇:Buzz
下一篇:武美容文化

车展相关文章

车展最新更新