Friday, February 01, 2008

FERC approves new reliability standards for cyber security

en español más abajo


The Federal Energy Regulatory Commission (FERC) today approved eight new mandatory critical infrastructure protection (CIP) reliability standards to protect the US’s bulk power system against potential disruptions from cyber security breaches.

These reliability standards were developed by the North American Electric Reliability Corporation (NERC), which FERC has designated as the electric reliability organization (ERO).

“Today we achieve a milestone by adopting the first mandatory and enforceable reliability standards that address cyber security concerns on the bulk power system in the United States,” FERC Chairman Joseph T. Kelliher said. “The electric industry now can move on to the implementation of the standards in conjunction with improvement of these standards in order to increase the security and reliability of the bulk power system.”

Additional actions in today’s final rule direct the ERO to develop modifications to these reliability standards, via its reliability standards development process, and then submit them to FERC for approval. The modifications directed for development concern various oversight and technical issues pertaining to cyber protections. These include removal of language that allowed variable implementation of standards based on “reasonable business judgment” and a new framework of accountability surrounding exceptions based on technical feasibility.

The final rule also directs NERC to monitor the development and implementation of cyber security standards by the National Institute of Standards and Technology (NIST) to “determine if they contain provisions that will protect the Bulk-Power System better than the CIP Reliability Standards,” FERC said. But FERC did not direct NERC to adopt the NIST standards because that could lead to possible delays in putting into place any mandatory and enforceable standards.

The mandatory reliability standards require certain users, owners and operators of the bulk power system to establish policies, plans and procedures to safeguard physical and electronic access to control systems, to train personnel on security matters, to report security incidents, and to be prepared to recover from a cyber incident.

The eight CIP reliability standards address the following topics:

 Critical Cyber Asset Identification;
 Security Management Controls;
 Personnel and Training;
 Electronic Security Perimeters;
 Physical Security of Critical Cyber Assets;
 Systems Security Management;
 Incident Reporting and Response Planning; and
 Recovery Plans for Critical Cyber Assets.

The eight reliability standards were submitted to FERC for approval on Aug. 28, 2006. In December 2006, FERC staff issued a preliminary analysis of the cyber security reliability standards, and allowed for public comment. On July 20, 2007, FERC issued a Notice of Proposed Rulemaking proposing to approve the standards, proposing future modifications, and seeking public comment.

The final rule, “Mandatory Reliability Standards for Critical Infrastructure Protection,” takes effect 60 days from the later of either the date Congress receives the agency notice of the rule, or the date the rule is published in the Federal Register.

Some Links

FERC web page on CIP Reliability Standards

NERC
-> Critical Infrastructure Protection Committee (CIPC)
-> Reliability Standards

A couple of articles

NERC/CIP Compliance: Headache or Opportunity? By John Shaw, GarrettCom. (Article published in Utility Automation & Engineering T&D July, 2007)
Achieving NERC CIP compliance utilizing ISO 17799:2005 By Dr. Jim Kennedy.

Previous comments in this blog about this issue:

August 07, 2007
U.S. Mandatory Reliability Standards for the Bulk-Power System - FERC Docket No. RM06-16

January 08, 2007
The Trustworthy Cyber Infrastructure for the Power Grid

_________________________
GoTo Comprehensive List of Posts in this Blog (Ir a Lista Completa de Todos los Comentarios del Blog)
GoTo Last Comment in Main Page (Ir al Último Comentario en la Página Principal del Blog)


La FERC Aprueba las Nuevas Normas de Fiabilidad para la Seguridad Informática de las Redes Eléctricas

La Comisión Federal Reguladora de Energía (FERC) de los Estados Unidos aprobó el pasado 17 de enero ocho nuevas normas de fiabilidad de obligado cumplimiento para la protección de la infraestructura crítica (CIP) para proteger las redes eléctricas de transporte de los Estados Unidos contra las violaciones potenciales de su seguridad informática.

Estas normas de fiabilidad han sido desarrollados por el Consejo de Fiabilidad Eléctrica Norteamericano (NERC), que la FERC ha designado como organización responsable de la fiabilidad eléctrica (ERO).

“Hoy alcanzamos un hito adoptando los primeros estándares de fiabilidad de obligado cumplimiento que afrontan los problemas de seguridad informática en la red eléctrica de transporte en los Estados Unidos,” manifestó Joseph T. Kelliher presidente FERC. “El sector eléctrico puede ahora pasar a la implementación de estos estándares y a su perfeccionamieto a fin de aumentar la seguridad y la fiabilidad de la red eléctrica de transporte. ”

Ante la aprobación de esta "rule" de la FERC, la NERC tiene ahora que introducir las modificaciones finales mediante su proceso de desarrollo de estándares de fiabilidad, y luego presentarselas a la FERC para su aprobación. Las modificaciones realizadas mediante este proceso de desarrollo conciernen a varios aspectos técnicos relativos a la protección de los sistemas informáticos, y comprenden la eliminación de lenguaje que permitió la realización de normas variables basadas en el "juicio comercial razonable”, y un nuevo marco de la responsabilidad en torno a excepciones basadas en la viabilidad técnica.

La regla final también encomienda a la NERC supervisar el desarrollo y la realización de estándares de seguridad informática por el Instituto Nacional de Normas y Tecnología (NIST) para “determinar si contienen provisiones para proteger la red eléctrica del transporte mejor que los Estándares de Fiabilidad CIP, ” dijo la FERC. Pero la FERC no encomendó a la NERC a adoptar las normas del NIST porque esto podría conducir a posibles demoras para la entrada en vigor cualquier norma de obligado cumplimiento.

Los estándares de fiabilidad de obligado cumplimiento requieren que ciertos usuarios, propietarios y operadores de la red eléctrica de transporte establezcan políticas, proyectos y procedimientos para salvaguardar el acceso físico y electrónico a los sistemas de control, para entrenamiento del personal en asuntos de seguridad, para informar de incidentes de seguridad, y para estar preparados para reponerse de un incidente informático.

Los ocho estándares de fiabilidad CIP se dirigen a los temas siguientes:

 Identificación de Activo Informático Crítico;
 Controles de Gestión de Seguridad;
 Personal y Formación;
 Perímetros de Seguridad Electrónicos;
 Seguridad Física de Activos Informáticos Críticos;
 Dirección de Seguridad de Sistemas;
 Información de Incidentes y Planificación de Respuestas; y
 Planes de Recuperación de Activos Informáticos Críticos.

Las ocho normas de fiabilidad fueron presentados a la FERC para su aprobación el 28 de agosto de 2006. En diciembre de 2006, el personal de la FERC publicó un análisis preliminar de los estándares de fiabilidad de seguridad informática, y tuvo en cuenta los comentarios públicos. El 20 de julio de 2007, la FERC publicó una "Notice of Rulemaking" proponiendo aprobar las normas y futuras modificaciones, y pidió el comentario público.

La regla final, “Mandatory Reliability Standards for Critical Infrastructure Protection,” entra en vigor 60 días después de la fecha más tardía de la de la recepción de la "rule" por el congreso de los Estados Unidos, o de la de la publicación en Registro Federal.

Algunos enlaces:

Página web de la FERC sobre las CIP Reliability Standards

NERC
-> Critical Infrastructure Protection Committee (CIPC)
-> Reliability Standards

Un par de artículos:

NERC/CIP Compliance: Headache or Opportunity?
By John Shaw. (Article published in Utility Automation & Engineering T&D July, 2007)
Achieving NERC CIP compliance utilizing ISO 17799:2005 By Dr. Jim Kennedy.

Otros comentarios anteriores sobre este tema en este blog:

7 de Agosto de 2007
Normas de Fiabilidad de Obligado Cumplimiento para el Sistema Eléctrico Norteamericano .- FERC Docket No. RM06-16

8 de Enero de 2007
Centro para una Infraestructura Informática Fidedigna de la Red Eléctrica

_________________________
GoTo Comprehensive List of Posts in this Blog (Ir a Lista Completa de Todos los Comentarios del Blog)
GoTo Last Comment in Main Page (Ir al Último Comentario en la Página Principal del Blog)


0 Comments:

Post a Comment

<< Home