كيفية إجراء تقييم المخاطر المستند إلى NERC-CIP لمحطة فرعية
برايوكت كيه في
20 يونيو 2025
كيفية إجراء تقييم مخاطر مستند إلى NERC-CIP لمحطة فرعية
يمكن أن يساعد التقييم الشامل لوضع الأمن السيبراني لمحطة فرعية، بما في ذلك الثغرات والفرص للتحسين وفق معايير حماية البنية التحتية الحرجة (CIP) الخاصة بـ NERC، في تأمين المنشأة وتحسين مستوى الأمان العام كما تم تقييمه من خلال تقييم المخاطر المستند إلى IEC 62443.
ما هي منهجية تقييم NERC CIP لمحطة فرعية؟
تعتبر معايير حماية البنية التحتية الحرجة التابعة لمؤسسة موثوقية الكهرباء في أمريكا الشمالية (NERC CIP) مجموعة من المتطلبات المصممة لتأمين نظام الكهرباء بالجملة (BES) في أمريكا الشمالية من التهديدات السيبرانية والجسدية.
بالنسبة للمحطات الفرعية، والتي تُعد من المكونات الحيوية لبنية BES، فإن التقييم الجاد لمخاطر الأمن السيبراني وفق هذه المعايير ليس مجرد تمرين توافقي بل هو خطوة حاسمة لضمان موثوقية الشبكة ومرونتها. في هذه المقالة، نشارك بعض التفاصيل حول منهجية شاملة طورتها Shieldworkz لإجراء تقييم NERC CIP لمحطة فرعية، والتي تشمل مراحل التخطيط والتنفيذ والتحليل والتقرير.
تخطيط ما قبل التقييم وتعريف النطاق
يعتمد نجاح تقييم مخاطر NERC CIP على التخطيط بمستوى دقيق. تقوم هذه المرحلة الأولية بتحديد النطاق والموارد ومشاركة الأطراف المعنية.
تحديد وتعامل الأطراف المعنية الرئيسية:
تشمل الأطراف المعنية الرئيسية في المحطة الفرعية موظفي العمليات، فرق الأمن السيبراني لتكنولوجيا المعلومات والتشغيل، مسؤولي الامتثال لـ NERC CIP، موظفي الأمن المادي، والموردين وموظفي OEM وربما المستشار القانوني. يضمن المشاركة المبكرة مع توقُّعات واضحة الالتزام، ويُسهل تبادل المعلومات، ويُوضح المسؤوليات. يجب عقد اجتماع افتتاحي لتقييم NERC CIP لشرح أهداف التقييم ونطاقه والجدول الزمني والنتائج المتوقعة. يجب أيضًا بذل الجهد لإقناع جميع الأطراف المعنية بضرورة التمرين والنتائج.
تعريف الأصول المشمولة بالنطاق (نظم السيبرانية لبنية BES وأصول السيبرانية لبنية BES):
يُعتبر تحديد الأصول المشمولة بالنطاق وتوثيقها بدقة حجر الزاوية في تقييم NERC CIP. ويتضمن ذلك:
· نظم السيبرانية لبنية BES (BCS): وهي تجمعات لأصول السيبرانية لبنية BES (BCA) التي تؤدي وظيفة بنية BES. وتشمل بعض الأمثلة في محطة فرعية نظم SCADA، نظم إدارة الطاقة (EMS)، نظم الإجراءات العلاجية (RAS)، ونظم الحماية.
· أصول السيبرانية لبنية BES (BCA): وهي أجهزة إلكترونية قابلة للبرمجة تشكل جزءًا من BCS. ويتضمن ذلك أجهزة إلكترونية ذكية مثل المرحلات، أجهزة RTU، وحدات PLC، معالجات الاتصال، الجدران النارية، الموجهات والخوادم ومحطات العمل المرتبطة بها. إن الجرد المفصل، بما في ذلك نوع الجهاز، المصنع، النموذج، نسخة البرنامج الثابت، نهاية العمر الافتراضي واتصال الشبكة ضروري. في معظم الحالات، يتطلب هذا الخطوة المشي فعليًا في المحطة الفرعية وتتبُّع اتصالات الشبكة.
تحديد تصنيفات الأثر (CIP-002):
يجب تخصيص تصنيف الأثر (عالٍ، متوسط، أو منخفض) لكل BCS محدد بناءً على قدرتها على التأثير في التشغيل الموثوق لـ BES في حالة تعرضها للاختراق. تُعتبر هذه خطوة حاسمة حيث يمكن أن تختلف دقة معايير CIP المطبقة مع تصنيف التأثير. تُعرف معايير هذه التصنيفات ضمن CIP-002. بالنسبة لمحطة فرعية طبيعية، ستقع العديد من الأنظمة عادة في الفئات متوسطة أو منخفضة التأثير، على الرغم من أن أنظمة الحماية والتحكم الحرجة يمكن أن تكون عالية. يجب أن يكون التصنيف مُبررًا وإذا كان تحديده صعبًا، يمكن تعيين تصنيف أعلى افتراضيًا في بعض الحالات.
اختيار معايير NERC CIP المناسبة المطبقة:
بناءً على BCS المعرف وتصنيف التأثير المخصص، يجب تحديد معايير NERC CIP المحددة التي تنطبق على المحطة الفرعية. ويتضمن ذلك عادة:
· CIP-002: الأمن السيبراني – تصنيف نظام السيبرانية لبنية BES
· CIP-003: الأمن السيبراني – ضوابط إدارة الأمن
· CIP-004: الأمن السيبراني – الموظفين والتدريب
· CIP-005: الأمن السيبراني – المحيط الإلكتروني الآمن
· CIP-006: الأمن السيبراني – الأمن المادي لأنظمة السيبرانية لبنية BES
· CIP-007: الأمن السيبراني – إدارة أمن النظام
· CIP-008: الأمن السيبراني – تخطيط الإبلاغ عن الحوادث والاستجابة
· CIP-009: الأمن السيبراني – خطط التعافي لأنظمة السيبرانية لبنية BES
· CIP-010: الأمن السيبراني – إدارة تغيرات التكوين والتقييمات الحساسية
· CIP-011: الأمن السيبراني – حماية المعلومات
· CIP-013: الأمن السيبراني – إدارة مخاطر سلسلة التوريد (ذات الصلة بالتركيبات الجديدة أو التحديثات الكبرى)
· CIP-014: الأمن المادي (المحدد لمحطات النقل والمحطات الفرعية المحددة كحرجة بواسطة RCs)
اختيار الموفر المناسب لتقييم NERC CIP
يجب أن يقدم موفر التقييم أفرادًا ذو خبرة في الأمن السيبراني، تكنولوجيا التشغيل (OT)، هندسة الشبكات، الأمن المادي، والامتثال لـ NERC CIP على المستوى الفرعي. ينبغي أيضًا أن يمتلكوا أدوات خاصة للبحث الشبكي، تقييم الثغرات، وإدارة التكوين قد تكون مطلوبة. يُفضل الموردون الذين لديهم فرق قامت بإجراء تقييمات مستندة إلى NERC CIP وIEC 62443 مثل Shieldworkz.
تطوير خطة تقييم شاملة
يجب تطوير خطة مفصلة توضح الجدول الزمني، المسؤوليات، طرق جمع البيانات (مثل المقابلات، مراجعة الوثائق، الاختبار الفني)، وتنسيق التقرير بواسطة موفر تقييم NERC CIP والاتفاق عليها من قبل جميع الأطراف المعنية.
جمع البيانات وتنفيذ التقييم الفني
تتضمن هذه المرحلة جمع الأدلة، فحص الوثائق وإجراء الفحوص الفنية للتحقق من الامتثال مع معايير CIP المطبقة.
مراجعة الوثائق:
يُعد استعراض الوثائق الحالية عبر العمليات ضروريًا. ويتضمن ذلك:
· السياسات والإجراءات: السياسات الأمنية، خطط الاستجابة للحوادث، إجراءات التحكم في الوصول، مستويات الامتياز، معلومات إدارة الجلسات، خطط إدارة التكوين، سجلات التدريب، سجلات الزوار، وسجلات نهاية العمر والصيانة.
· الرسوم البيانية للشبكة: رسومات الشبكة المنطقية والمادية التي توضح الاتصالات بين شبكات تكنولوجيا المعلومات والتشغيل، مستوى التجزئة، وجود DMZ، قواعد الجدران النارية، ومسارات الاتصال.
· جرد الأصول: قوائم مفصلة من الأجهزة والبرمجيات مع أرقام الإصدارات وحالة التصحيح.
· تصاميم الهندسة: تصاميم النظام، بما في ذلك هندسة الأمن، التجزئة، وآليات التشفير.
· تقارير التدقيق السابقة: أي نتائج، ملاحظات، فرص للتحسين، أو توصيات من عمليات تدقيق NERC CIP السابقة أو التقييمات الداخلية.
· تفاصيل الحوادث السابقة
· معلومات عن الدورات التدريبية الممنوحة للموظفين الرئيسيين
المقابلات مع الموظفين:
إجراء مقابلات هيكلية مع الموظفين المعنيين لفهم أدوارهم ومسؤولياتهم وامتثالهم للإجراءات والسياسات المنشأة. ويشمل ذلك:
· موظفي العمليات: لفهم العمليات اليومية، وممارسات الوصول، ومعالجة الحوادث.
· موظفي الأمن لتكنولوجيا المعلومات والتشغيل: لمناقشة الضوابط الأمنية، والرصد، والاستجابة للحوادث.
· موظفي الأمن المادي: لفهم ضوابط الوصول المادي والمراقبة.
· الموردين الذي لديهم وصول إلى أجزاء مختلفة من المحطة الفرعية
· موظفي OEM
التحقق الفني والاختبار:
المحيط الإلكتروني الآمن (CIP-005):
· مراجعة قواعد الجدار الناري: فحص تكوينات الجدار الناري والسياسات المسموحة في المحيط الإلكتروني الآمن (ESP) للتحقق من مستوى الاختراق المحتمل عبر السير المسمر. يتضمن ذلك استعراض قواعد الدخول/الخروج، موانئ الخدمة، وعناوين IP المصدر/الوجهة.
· التحقق من فعالية تقسيم الشبكة: التحقق من فعالية تقسيم الشبكة بين نظم السيبرانية لبنية BES والشبكات الغير موثوق بها عبر المسح بالتخطيط والتحليل لحركة المرور على الشبكة.
· المسح للثغرات: إجراء مسح للثغرات المصادق عليها وغير المصادق عليها لجميع الأجهزة الموجودة داخل ESP، بما في ذلك الموجهات، المحولات، الخوادم، ومحطات العمل، لتحديد الثغرات المعروفة مثل التكوينات الضعيفة والبرمجيات غير المكتشفة
· مراجعة نظام كشف التسلل/منعه (IDS/IPS): التحقق من أن نظم IDS/IPS تمت تكوينها بشكل صحيح، التوقيعات محدثة، والتنبيهات تتم مراقبتها والاستجابة لها. تحقق من وجود الإيجابيات الخاطئة وغيرها من المشاكل التي قد تسبب تأخيرًا في الاستجابة لحادث.
· ضوابط الوصول عن بُعد: اختبار آليات الوصول عن بُعد لضمان تطبيق التحقق متعدد العوامل، التشفير القوي، وتطبيق الأذونات العقلانية.
الأمن المادي (CIP-006):
· مراجعة نظام التحكم في الوصول المادي: فحص أنظمة التحكم في الوصول مثل قراءات البطاقات، الماسحات البيومترية لسلمان الأداء الوظيفي الصحيح والتكوين. مراجعة سجلات الوصول للتأكد من أن فقط الأفراد المخولين يحصلون على الدخول.
· التحقق من نظام المراقبة: التأكد من أن الكاميرات التلفزيونية تغطي نقاط الدخول الحاسمة والمناطق الحساسة، وأن تسجيلاتهم مخزنة بأمان وللفترة المطلوبة.
· أنظمة كشف التسلل (IDS): التحقق من وظائف وغطاء IDS المادي مثل أجهزة الاستشعار الحركية، وجهات اتصال الأبواب.
· إجراءات مرافقة الزوار: مراقبة أو مقابلة الموظفين بشأن الالتزام بسياسات مرافقة الزوار.
· فحص الحواجز المادية: تقييم سلامة الأسوار، البوابات، ومحيط المباني.
· السيناريوهات المحتملة للاختراق
إدارة أمن النظام (CIP-007):
· مراجعة التكوين: فحص تكوينات أنظمة التشغيل، التطبيقات، وأجهزة الشبكة للامتثال إلى خطوط الأساس الأمني (مثل تعطيل الخدمات غير الضرورية، سياسات التحقق من الكلمات السرية القوية، إعدادات تأمين الحساب). يمكن أن تتضمن أدوات الامتثال للتكوين الآلية هنا.
· التحقق من حالة إدارة التصحيح: التحقق من وجود عملية إدارة تصحيح قوية ويتم اتباعها لجميع أصول السيبرانية لبنية BES، بما في ذلك عمليات المسح المنتظم للكشف عن التصحيحات المفقودة والتطبيق الفوري للتحديثات الأمنية.
· حماية البرمجيات الضارة: التحقق من نشر وتحديث حلول مكافحة البرمجيات الضارة على جميع الأنظمة المطبقة.
· تسجيل الأحداث والمراقبة: مراجعة سجلات النظام (مثل الجدار الناري، الخادم، التطبيق، نظام إدارة الأحداث والمعلومات الأمنية (SIEM)) لأدلة النشاط غير المصرح به، محاولات الدخول الفاشلة، وأخطاء النظام. تقييم فعالية مراقبة السجلات وتوليد التنبيهات.
· إدارة الحساب: مراجعة حسابات المستخدمين لضمان التوفير/الإلغاء السليم للتوفير، تعقيد الكلمات السرية، وتطبيق الحد الأدنى من الامتياز. إجراء عينات من حسابات المستخدمين للتحقق من الامتثال للسياسات.
إدارة تغييرات التكوين والتقييمات الحساسية (CIP-010):
· تقييم عملية إدارة التغييرات: التحقق من وجود عملية إدارة تغيير رسمية لجميع التغييرات في نظم السيبرانية لبنية BES، بما في ذلك التوثيق، الاختبار، والموافقة.
· التحقق من التكوين الأساسي: مقارنة التكوينات الحالية ضد الخطوط الأساسية الآمنة المنشأة لتحديد التغييرات غير المصرح بها. الأدوات الآلية فعالة جدًا هنا.
· مراجعة برنامج إدارة وتقييم الثغرات: تقييم تكرار ونطاق وفعالية التصحيح في برنامج تقييم الثغرات التابع للمؤسسة لنظم السيبرانية لبنية BES. التحقق específicamente من عدد مرات تصحيح الثغرات والسجلات المتعلقة بذلك.
حماية المعلومات (CIP-011):
· تصنيف البيانات والتعامل: التحقق من أن معلومات NERC CIP الحساسة (مثل الرسومات البيانية للشبكة، التكوينات، تقارير التقييم) قد تم تصنيفها والتعامل معها وفقًا لمستوى حساسيتها.
· التحكم في الوسائط القابلة للإزالة: تفتيش السياسات والضوابط الفنية المتعلقة باستخدام والسيطرة على الوسائط القابلة للإزالة.
· تشفير البيانات: تقييم استخدام التشفير للبيانات المخزنة وفي النقل، خاصة للبيانات الحساسة لأنظمة التحكم.
تحليل الفراغات وصياغة النتائج
بمجرد جمع جميع البيانات واكتمال التقييمات التقنية، يجب على الموفر تحليل المعلومات مقابل المتطلبات المحددة لكل معيار NERC CIP قابل للتطبيق.
رسم الأدلة على المتطلبات:
يجب أن يتم رسم كل قطعة من الأدلة المجموعة (الوثائق، ملاحظات المقابلة، نتائج الاختبار) مقابل المتطلب NERC CIP المقابل وهدف الامتثال المرتبط به (مثل R1، R2، الجزء 1، الجزء 2، وما إلى ذلك).
تحديد الفجوات وعدم الامتثال:
حيث لا تظهر الأدلة الالتزام الكامل بمتطلب، يتم تحديد فجوة أو عدم امتثال. يجب أن تكون كل نتيجة واضحة ومفسرة، مرجعة إلى المعيار والطلب CIP المحدد.
التحليل التفضيلي
يجب أن تكون النتائج بحسب شدتها واتساعها، واحتمالية الاستغلال لها. هذا يساعد المنظمة على توجيه الجهود التصحيحية إلى أكثر المجالات حرجًا. يتم عادةً تخصيص مستويات المخاطر (عالي، متوسط، منخفض).
التقرير والتخطيط للإصلاح
تتضمن المرحلة النهائية التواصل بنتائج التقييم وتطوير خطة لمعالجة الفجوات المحددة.
تطوير تقرير تقييم شامل بواسطة الموفر:
ينبغي أن يكون التقرير وثيقة واضحة، مختصرة، وذات دقة فنية تتضمن:
· ملخص تنفيذي: نظرة عامة على هدف التقييم، النطاق، النتائج الرئيسية، ووضع الأمن السيبراني العام.
· المقدمة: خلفية عن NERC CIP والمحطة الفرعية التي بـ يجري تقييمها.
· المنهجية: وصف لمنهج التقييم، المعايير المستخدمة، وطرق جمع البيانات.
· النتائج التفصيلية: لكل معيار NERC CIP قابل للتطبيق، سرد المتطلبات المحددة، الأدلة الملاحظة، الفجوات/عدم الامتثال المحددة، ومستوى المخاطر المخصص لها. تتضمن لقطات الشاشة، إدخالات السجل، أشرطة الجوانب أو قصاصات التكوين كأدلة داعمة.
· التوصيات: لكل نتيجة تقديم توصيات واضحة، قابلة للتنفيذ، ومحددة للتصحيح. يجب أن تعالج التوصيات كل من الضوابط التقنية والتحسينات الإجرائية.
· الملحق: تتضمن الوثائق الداعمة مثل الجرد الأصول، محاضر المقابلة، والتقارير الأولية لمسح الثغرات.
تطوير خطة عمل إصلاحية:
استنادًا إلى تقرير التقييم، يجب تطوير خطة عمل إصلاحية تفصيلية. هذه الخطة يجب أن تتضمن:
· خطوات محددة: الخطوات التفصيلية المطلوبة لمعالجة كل نتيجة.
· الأطراف المسؤولة: تعيين واضح للملكية لكل إجراء.
· تواريخ مستهدفة: مواعيد زمنية واقعية لإكمال كل إجراء إصلاحي.
· متطلبات الموارد: أي من الأفراد أو الميزانية أو الموارد التقنية المطلوبة.
· تقييم تحقيقي: في حالة الحاجة، يجب إجراء تقييم للتحقق من حالة البنية التحتية بعد معالجة الفجوات
مراجعة ما بعد التقييم والمتابعة
يجب تقديم تقرير التقييم وخطة الإصلاح رسمياً للأطراف المعنية. يجب جدولة اجتماعات متابعة منتظمة لمتابعة تقدم التصحيح والتحقق من فعالية الضوابط المطبقة. قد يكون من الضروري التقييم من جديد أو التحقق الموجه للمجالات التي تمت معالجتها.
يُعتبر إجراء تقييم NERC CIP لمحطة فرعية عملية معقدة وضرورية تتطلب فهماً عميقًا لكل من المبادئ السيبرانية وتكنولوجيا التشغيل. من خلال اتباع منهجية منظمة تشمل التخطيط الدقيق، التنفيذ الفني الدقيق، التحليل الصارم، والتقرير الواضح، يمكن للمنظمات تحديد وتخفيف مخاطر الأمن السيبراني بفاعلية، مما يعزز من موثوقية وأمان النظام الكهربائي بالجملة. إن هذه الدورة المستمرة من التقييم، والإصلاح، والتحقق ضرورية للحفاظ على وضع أمني سيبراني قوي وامتثال في وجه تهديدات متطورة للبنية التحتية الحرجة.
احصل على تحديثات أسبوعية
الموارد والأخبار
You may also like
11/11/2025
Extended recovery times are driving up the overall cost of cyberattacks.
Prayukth KV
07/11/2025
5 hard OT Cybersecurity lessons 2025 taught us (And What to Do About Them)
Prayukth KV
06/11/2025
لماذا يعد معيار NERC CIP-015-1 لأمن الشبكة الداخلية ضروريًا للدفاع عن أنظمة التحكم الصناعي
بريوكث ك ف
05/11/2025
كيفية تصميم نتائج حقيقية لأمن تكنولوجيا العمليات باستخدام تقييم المخاطر IEC 62443
بريوكث
04/11/2025
لماذا لم يعد من الممكن تأجيل حوكمة أمن أنظمة التشغيل: نداء من مدير الأمن المعلوماتي لاتخاذ إجراء
بريوكث ك ف
03/11/2025
7 محادثات يطرحها قادة التكنولوجيا التشغيلية في مؤتمر AISS لعام 2025
بريوكث ك ف
