Администрация транспортной безопасности (Transportation Security Administration, TSA) выпустила
обновленные нормативы по кибербезопасности для компаний, эксплуатирующих трубопроводы опасных жидкостей, природного газа и объекты по работе со сжиженным природным газом (СПГ).
Первоначально регламенты были введены в 2021 году после кибератаки на Colonial Pipeline , которая привела к нехватке бензина на Восточном побережье США. В мае 2022 года TSA обновила руководящие принципы после истечения срока действия.
Обновлённые правила включают некоторые корректировки, но в основном повторяют предыдущие нормативы. В целом, изменения направлены на закрытие пробелов в регулировании и предоставление операторам большей гибкости в отношении защиты объектов.
Основная часть директивы осталась неизменной. Компании должны уведомить TSA о проведении ряда мер по кибербезопасности, включая разработку плана реагирования на инциденты, создание должности ответственного лица по кибербезопасности, сканирование уязвимостей, сегментацию сетей и многое другое.
Согласно новым правилам, операторы должны ежегодно представлять:
обновленный план оценки кибербезопасности на рассмотрение и утверждение TSA;
отчет о результатах оценки за предыдущий год;
график для аудита мер кибербезопасности;
результаты тестирования как минимум двух целей Плана реагирования на инциденты кибербезопасности (CIRP);
Более того, полная оценка безопасности должна проводиться каждые 3 года и сопровождаться соответствующим отчётом.
Эксперты по кибербезопасности трубопроводов подчеркнули, что директива также содержит ряд незначительных обновлений, преимущественно связанных с обязательством операторов уведомлять TSA об изменениях в их планах или эксплуатации трубопроводов.
Обновление также предоставляет владельцам и операторам возможность использовать различные отраслевые стандарты,
Источник: SecurityLab