印度中央电力局公布《2024年电力行业网络安全法规草案》

印度中央电力局 (CEA)公布了《2024年电力行业网络安全法规草案》，这标志着该国在加强关键基础设施网络安全方面迈出了重要一步。《2024年电力行业网络安全法规草案》旨在加强国家关键基础设施的网络安全，涵盖电力行业的广泛实体。草案核心内容包括成立计算机安全事件响应小组 (CSIRT)-Power，负责制定网络安全框架、应对安全事件，并与其他网络安全组织协调。法规要求所有电力行业实体设立信息安全部门，负责关键基础设施的保护和网络安全政策的监督。供应商需遵守严格的网络安全标准，提供安全补丁和恢复计划。这些措施旨在全面提升电力行业的网络安全防御能力和应对潜在威胁的弹性。

一、引言与目的

根据《2003年电力法》第177条，印度中央电力管理局（CEA）起草了《2024年电力行业网络安全法规草案》，旨在加强电力行业的网络安全，保护关键信息基础设施，确保电力系统的稳定与安全。该草案公开征求意见，并可在CEA官网及指定办公室查阅。

二、适用范围

法规适用于所有责任实体、区域电力委员会、适当的委员会、适当的政府、与电力行业相关的政府组织、经CEA认可的培训机构、CEA本身以及供应商。

三、关键定义

草案中定义了34个关键术语，涵盖认证、资产、CISO、关键资产、网络安全事件、网络安全政策等，为法规的执行提供明确指导。

四、组织机构与职责

草案提议成立CSIRT-Power，负责电力行业的网络安全事件响应，其具体职责包括制定网络安全框架、协调威胁信息、开发SOPs、与CERT-In和NCIIPC协作等。

五、通用网络安全要求

对责任实体提出11项网络安全要求，包括指定CISO、制定网络安全政策、部署安全设备、进行网络安全审计、备份系统、报告事件等。

六、责任实体的角色与责任

责任实体需设立24小时运行的信息安全部门（ISD），由CISO领导，并确保人员接受网络安全培训、通过ISO/IEC 27001认证、确保物理安全等。

七、信息安全部门（ISD）的职能与责任

ISD至少需配置4名官员，包括CISO，以及4名负责轮班运作的官员/职员。ISD负责实施CIIs的网络安全措施、审查政策、测试系统合规性、响应事件等。

八、首席信息安全官（CISO）与候补CISO

CISO需具备工程学位，至少15年电力领域或10年IT/网络安全经验。CISO负责协调CCMP实施，其详细信息需通报给CSIRT-Power和相关方。

九、网络安全政策

政策应包含20项要素，如目的、范围、角色和责任、资产管理、风险评估、人员风险评估、漏洞管理、访问控制等。

十、网络安全危机管理计划（CCMP）

CCMP应包含事件分类、危机识别标准、利益相关者责任、管理程序和沟通方法等，并由董事会审批，每年至少审查一次。

十一、供应商的额外网络安全要求

供应商需提供系统恢复程序、保证安全补丁和更新的可用性、通知产品生命周期结束信息、提供软件材料清单等。

十二、网络安全审计

审计由CERT-In授权的审计员执行，遵循ISO/IEC 27001等标准。CISO需审查审计报告，关键漏洞需向董事会报告，并在规定时间内解决。

十三、物理安全

所有关键资产需物理保护，限制对OT和ICS系统的物理访问，确保物理访问的安全性。

十四、关键信息基础设施（CII）的识别

组织需向NCIIPC提供识别CII所需信息，并在15天内申请将CII宣布为"受保护的系统"。

十五、其它

包括合规性评估、监测、自我审计、第三方审计、法规放宽和困难排除等。

十六、附表

附表第一部分规定ISD至少需8名官员/职员，第二部分提供政策审查的5项内容，第三部分提供意识提升的3种方法。

结语

草案为电力行业网络安全管理提供了全面的法规框架，要求各相关方遵循规定，确保电力系统的网络安全和稳定运行。

参考资源

1、https://cybermaterial.com/indias-cea-drafts-new-security-regulations/

2、https://www.legalitysimplified.com/draft-cyber-security-in-power-sector-regulations-2024/

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。