Conformité au CIP du NERC

1.2.1 Notification/reconnaissance des incidents de sécurité Cyber

Les fournisseurs doivent être en mesure d'identifier le moment où un incident s'est produit afin de s'assurer que le fournisseur peut notifier l'entité dans le cas d'un tel incident.

Prevalent permet aux entités responsables d'évaluer régulièrement les plans de réponse aux incidents de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Avec ce niveau d'examen, les entités ont une visibilité sur la façon dont un partenaire de la chaîne d'approvisionnement répondrait à une violation ou à un incident sur le site cyber .

Les outils de surveillance et de notation ne peuvent pas fournir ce niveau de visibilité des contrôles internes ou des processus, mais ils peuvent compléter les évaluations afin de déclencher la divulgation publique d'un incident.

1.2.2 Coordination des réponses aux incidents de sécurité Cyber

Les vendeurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité qui posent un risque de sécurité pour l'entité ( cyber ).

Prevalent fournit une plateforme centrale pour l'examen des preuves soutenant les plans de communication et de réponse aux incidents, avec la flexibilité de construire un flux de travail, des tâches et des voies d'escalade personnalisés pour permettre une réponse rapide.

1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur

Les fournisseurs devraient réagir en conséquence aux changements de personnel. Un fournisseur doit être en mesure d'informer l'entité de tout changement de personnel susceptible d'avoir une incidence sur le maintien ou non de l'accès à distance pour les représentants du fournisseur.

La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et d'émettre une enquête personnalisable pour le départ, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des flux de travail intégrés pour garantir que le processus de séparation se déroule sans heurts.

1.2.4 Identification des vulnérabilités Les fournisseurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée.

Afin de remplir cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. Des capacités intégrées de surveillance continue complètent les évaluations en effectuant un balayage externe des vulnérabilités pour les interfaces de services Web, les résultats étant intégrés dans un registre unique des risques.

1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le système BES Cyber .

La plateforme Prevalent comprend plus de 50 questionnaires standard intégrés (tels que ceux de la CIP, du NIST, de l'ISO et d'autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les contrôles d'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels.

1.2.6 Coordination des contrôles pour l'accès à distance interactif initié par un fournisseur et l'accès à distance de système à système avec un fournisseur

Les fournisseurs doivent se coordonner avec les entités pour contrôler l'accès à distance interactif initié par le fournisseur et s'assurer que l'accès à distance de système à système avec un fournisseur est géré de manière appropriée.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

Gestion des actifs, des changements et de la configuration Inventaire des dispositifs autorisés et non autorisés

• Les dispositifs et systèmes physiques de l'organisation sont inventoriés.
• Les plateformes et applications logicielles de l'organisation sont inventoriées.
• La communication organisationnelle et les flux de données sont cartographiés.
• Les systèmes d'information externes sont catalogués

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

Considérations relatives au contrôle des changements et à la gestion de la configuration

• Utilise un cadre reconnu pour ses processus de technologie de l'information (par exemple, ITIL)
• Inclure la sécurité dans son cycle de vie de développement du système
• dispose d'un processus mature de contrôle des changements
• Maintien d'environnements de développement et de production distincts
• Maintenir des environnements distincts pour les différents clients
• Possède un mécanisme pour l'intégrité du logiciel (par exemple, PKI avec cryptage, signature numérique).
• Le produit permet un durcissement pour minimiser la surface d'attaque
• Processus permettant d'identifier, de découvrir, d'inventorier, de classer et de gérer les actifs informationnels (matériel et logiciels).
• Processus de détection des modifications non autorisées du logiciel et des paramètres de configuration
• Capable d'identifier si le matériel, les logiciels ou les composants proviennent des États-Unis ou de l'étranger.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

Établir et mettre en œuvre un programme de sensibilisation à la sécurité

• Documentation et mise en œuvre de la politique et des procédures de sécurité
• Tous les utilisateurs sont informés et formés aux politiques et procédures de cybersécurité.
• Les parties prenantes tierces comprennent les rôles et les responsabilités et sont responsables du respect des mêmes exigences.
• Les cadres supérieurs comprennent les rôles et les responsabilités
• Le personnel chargé de la sécurité physique et de l'information comprend les rôles et les responsabilités
• Capacité à fournir un soutien continu pour les logiciels et le matériel.
• Vérification des antécédents du personnel
• Capacité à conserver les données pour des événements tels que les retenues pour litige, cyber incidents de sécurité
• Présence de ressources de sécurité formées, bien informées et en nombre suffisant sur le site cyber .
• Le fournisseur possède des certifications pour le processus de fabrication (par exemple, ISO).

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

Considérations sur la journalisation et la surveillance

• maintient un programme de journalisation, de surveillance et d'analyse continues de ses systèmes afin d'identifier les événements significatifs.
• La séparation des tâches est suffisante pour garantir que la journalisation et la surveillance sont efficaces pour détecter les anomalies.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

Considérations relatives à la protection de l'information

• Utilise des contrôles appropriés pour gérer les données au repos (données du fournisseur ou de l'entité)
• Possibilité de fournir du matériel supplémentaire en cas de défaillance - Cryptage des informations d'identification en transit, en interne et en externe.
• Cryptage des informations d'identification au repos
• Utilise les algorithmes de cryptage standard les plus puissants (par exemple, AES ou SHA-2).
• Contrôles d'accès physique des fournisseurs au matériel, aux logiciels et aux centres de fabrication
• Les dispositifs et systèmes physiques de l'organisation sont inventoriés.
• Emplacement des centres de données des fournisseurs (basés aux États-Unis/Canada ou à l'étranger)

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.