Недавний аудит DOE безопасности электроэнергетической сети утверждает, что много электростанций ослабляют когда дело доходит до идентификации критического подчеркивания активов ключевую проблему, стоящую перед основанными на риске подходами безопасности.Недавний аудит из офиса американского Министерства энергетикиГлавный инспектор нарисовал не так розовое изображение усилий кзащитите национальную электроэнергетическую сеть. Но это также выделило что-тоиз загадки в мире соответствия – как взять действительнооснованный на риске подход, когда организации имеют стимулирование для занижения сведений риска.
В отчете (PDF),отдел указывает свой аудит, который проводился между октябрем 2009и ноябрь 2010, найденный существующим CIP (важная инфраструктуразащита), стандарты не всегда обычно включают средства управлениярекомендуемый длязащита систем критической информации. Но другая проблема была оченьболее основной – стандарты не включали ясное определение какойсоставляет критический актив.
«При выделении того, какие атрибуты нужно рассмотреть при предложениистандарты надежности, (Федеральная энергетическая комиссия) отметилив заказе 672…, что стандарты надежности CIP должны быть ясными иоднозначный относительно того, что требуется и кто обязан соответствовать»,государства отчета. «Комиссия отметила, что такая ясность быланеобходимый, потому что пользователи, владельцы и операторы электрической большой частисистема должна знать то, что они обязаны делать для поддержания надежности.Несмотря на это руководство, обе Комиссии и NERC (Ядерная энергияРегулирующая Комиссия) официальные лица указали, что они верили объектамзанижали сведения число критических активов и связанныекритические кибер активы."
Например, DOE отмечает, что в апреле 2009, тогда-NERC Старший менеджер по обеспечению безопасности Майкл Ассант сообщил об этом только 29 процентоввладельцы производства электроэнергии и операторы – и меньше чем 63 процентавладельцы передачи электроэнергии – идентифицировали по крайней мере один критический актив на aисследование соответствия самосертификации. Последующая регистрацияорганизации не показали существенное улучшение в отчетностииз критических активов несмотря на факт могли те активывключайте такие вещи как центры управления и подстанции передачи,отчет добавляет.
«Каждый так называемый основанный на риске план обеспечения безопасности запускается с: ‘идентифицируйтеВаши критические активы», сказал Ричард Стиннон, главный аналитик-исследовательв Урожае IT. «Это никогда не работает в IT-организациях потому что этотребует, чтобы кто-то признал, что активы они ответственны(для) не критически важны. Конечно, DBAs (база данныхадминистраторы), говорят, что их серверы баз данных Oracle критически важны,почтовые парни говорят, что электронная почта критически важна, веб-команда говорит веб-серверыкритически важны.
Таким образом, Вы не получаете взвешенное дифференцирование, Вы надеялисьдля."Когда регулирующие положения включаются как может быть противоположный эффекткомпании надеются избегать некоторых затрат, связанных с соответствием,он сказал.
«Если Вы должны раскрыть нарушение критического здравоохраненияинформация или PII (соотносимая с личностью информация) сразуни один не критически важен», сказал он. «Если Вы должны заархивировать критически важныйкоммуникации, внезапно никакая коммуникация не критически важна. Это то, почемурегулирование, основанное на риске, не работает также."