美国运输安全管理局更新管道网络安全要求

美国运输安全管理局 (TSA) 周三宣布更新其针对石油和天然气管道所有者和运营商的网络安全要求。

针对管道所有者和运营商的安全指令是在 2021 年殖民管道遭受破坏性网络攻击后发布的，要求他们采取措施提高对网络攻击的防御能力。  

TSA 于 2022 年 7 月更新了要求，以便为实现概述的目标提供更大的灵活性。整整一年后，该机构发布了另一个带有附加要求的更新版本。

“早期版本需要制定流程和网络安全实施计划。该版本要求运营商测试和评估这些计划，”运输安全管理局 (TSA) 管理员戴维·佩科斯克 (David Pekoske) 说道。 

具体来说，业主和运营商现在需要每年向 TSA 提交更新的网络安全评估计划以供审批。 

他们还必须提供评估和审计具体网络安全措施的时间表，并提交包含上一年评估结果的年度报告。 

组织需要制定和维护网络安全事件响应计划。他们现在必须每年测试该事件响应计划的至少两个目标。 

还有一些与没有任何关键网络系统的组织相关的变化。 

“与上一版本一样，运输安全管理局对其石油和天然气管道网络安全安全指令的更新侧重于基于性能的措施，而不是规定性的措施。事实上，管道公司可以将这些措施纳入其现有的网络安全实施计划 (CIP)，以在适应系统和运营差异的同时实现正确的结果，这表明 TSA 在支持该行业和行业的独特需求方面取得了巨大进展。工业网络安全公司 Dragos 的网络风险总监杰森·克里斯托弗 (Jason Christopher) 表示。

“此次更新还为业主和运营商提供了重要的灵活性，可以利用他们已经使用的各种行业标准，例如 NIST 网络安全框架和 ISA/IEC 62443 系列。对持续监测和执行演习的关注，以及批准使用补偿控制，代表了所有管道所有者和运营商的重大改进。

“鉴于更新后的法规中增加了审计语言和报告要求，我们希望 TSA 继续将这些要求与其他监管框架保持一致，以减轻受多个监管机构管辖的关键基础设施所有者和运营商的负担。我们还希望 TSA 继续与私营部门和行业专家合作，更新和修订安全指令，”Christopher 补充道。

原文始发于微信公众号（祺印说信安）：美国运输安全管理局更新管道网络安全要求