Кіберзахист інформаційних та керуючих систем АЕС

Ключові слова

інформаційна безпека, інформаційна та керуюча система, кіберзахист, ризик-інформований підхід, оцінювання кіберзахисту, оцінювання ризиків

Як цитувати

Symonov, A., Klevtsov, O., Trubchaninov, S., & Symonova, A. (2022). Кіберзахист інформаційних та керуючих систем АЕС. Ядерна та радіаційна безпека, (4(96), 62-70. https://doi.org/10.32918/nrs.2022.4(96).08

Анотація

Стаття присвячена питанням оцінювання ризиків, зокрема оцінюванню ризиків кіберзахисту інформаційних та керуючих систем АЕС під час застосування ризик-інформованого підходу. Автори акцентують увагу на нагальній проблемі забезпечення інформаційної безпеки та кіберзахисту ядерних установок, враховуючи відсутність повного розуміння ризиків кіберінцидентів. Автори зауважують, що важливим кроком для вирішення цієї проблеми є оцінювання ризиків кіберзахисту для визначення ймовірності кібератак та їх потенційних наслідків. Оцінювання ризиків кіберзахисту дозволить здійснювати заходи кіберзахисту на основі диференційованого підходу за результатами відповідного оцінювання, забезпечити гнучкість та адаптивність впровадження кіберзахисту, виявляти ризики кіберзахисту на загальному та системному рівні тощо.

Розглянуті вимоги до оцінювання та управління ризиками без врахування специфіки об’єкта (підприємства/установи та/або системи тощо), оцінювання та управління ризиками інформаційної безпеки, а також кіберзахисту ядерних установок.

У статті описано принципи використання ризик-інформованого підходу до оцінювання кіберзахисту інформаційних та керуючих систем АЕС, який завдяки систематичному оцінюванню та управлінню ризиками кіберзахисту на кожному етапі життєвого циклу цих систем дозволяє попередити використання зловмисниками вразливостей, що може призвести до зниження ядерної та радіаційної безпеки.

Надана інформація щодо рекомендованих методик оцінювання ризиків кіберзахисту інформаційних та керуючих систем АЕС. Окремо зауважено, що наразі жоден нормативний документ не вимагає використання конкретної методики оцінювання ризиків кіберзахисту інформаційних та керуючих систем АЕС. Проте найактуальнішим питанням можливості використання ризик-інформованого підходу до оцінювання кіберзахисту інформаційних та керуючих систем АЕС є необхідність розробки методики, яка дозволить проводити комплексне оцінювання ризиків кіберзахисту таких систем, враховуючи їх особливості та специфіку забезпечення ядерної та радіаційної безпеки АЕС.

https://doi.org/10.32918/nrs.2022.4(96).08

Посилання

Klevtsov, А., Trubchaninov, S. (2015). Computer security of NPP instrumentation and control systems: cyber threats. Nuclear and Radiation Safety, 1 (65), 54–58. doi: 10.32918/nrs.2015.1(65).12.

Klevtsov, А., Yastrebenetskyi, M., Trubchaninov, S. (2015). Computer security of NPP instrumentation and control systems: regulatory base. Nuclear and Radiation Safety, 4 (68), 51–57. doi: 10.32918/nrs.2015.4(68).10.

Klevtsov, А., Symonov, A., Trubchaninov, S. (2016), Computer security of NPP instrumentation and control systems: categorization. Nuclear and Radiation Safety, 4 (72), 65–70. doi: 10.32918/nrs.2016.4(72).10.

Symonov, A., Klevtsov, А., Trubchaninov, S. (2017). Computer security of NPP instrumentation and control systems: protection measures against computer threats. Nuclear and Radiation Safety, 2 (74), 46–50. doi: 10.32918/nrs.2017.2(74).09.

Symonov, A., Klevtsov, А., Trubchaninov, S., Lazurenko O. (2019). Computer security of NPP instrumentation and control systems: documents, which justify computer security. Nuclear and Radiation Safety, 4 (84), 73–81. doi: 10.32918/nrs.2019.4(84).09.

Klevtsov, O., Symonov, A., Trubchaninov, S. (2020). Computer security of NPP instrumentation and control systems: computer security assessment. Nuclear and Radiation Safety, 4 (88), 69–76. doi: 10.32918/nrs.2020.4(88).09.

Falliere, N., O’Murchu, L., Chien, E. (2011). W.32 Stuxnet Dossier. Version 1.4. Symantec Security Response, February 2011.

ISO 31000:2018. Risk management – guidelines. Geneva, International Organization for Standardization, 2018.

IEC 31010:2019. Risk management – Risk assessment techniques. Geneva, International Electrotechnical Commission, 2019, ISBN 978-2-8322-6989-3.

ISO/IEC 27005:2018. Information technology – security techniques – information security risk management. Geneva, International Organization for Standardization/International Electrotechnical Commission, 2018.

Risk management framework for information systems and organizations: a system life cycle approach for security and privacy. Gaithersburg, MD, National Institute of Standards and Technology, December 2018. NIST Special Publication 800-37. Revision 2.

Managing information security risk: organization, mission, and information system view. Gaithersburg, MD, National Institute of Standards and Technology, March 2011. NIST Special Publication 800-39.

Information security continuous monitoring (ISCM) for federal information systems and organizations. Gaithersburg, MD, National Institute of Standards and Technology, September 2011. NIST Special Publication 800-137.

Guide for conducting risk assessments. Gaithersburg, MD: National Institute of Standards and Technology, September 2012. NIST Special Publication 800-30. Revision 1.

Computer security for nuclear security. Vienna, International Atomic Energy Agency, 2021. IAEA nuclear security series No. 42-G. ISBN 978-92-0-121120-0.

Computer security techniques for nuclear facilities. Vienna: International Atomic Energy Agency, 2021. IAEA nuclear security series No. 17 T. Revision 1.

Conducting Computer Security Assessment at Nuclear Facilities. Vienna, International Atomic Energy Agency, 2016. IAEA-TDL-006.

Management of project risks in decommissioning. Vienna, International Atomic Energy Agency, 2019. IAEA safety reports series, ISSN 1020-6450; No. 97.

U.S. Nuclear Regulatory Commission Regulations: Title 10, Code of Federal Regulations, Part 73 – Physical protection of plants and materials, § 73.54 Protection of digital computer and communication systems and networks. Washington, DC, 02 December, 2015.

Cyber security plan for nuclear power reactors. Washington, DC, Nuclear Energy Institute, April 2010. NEI 08-09.

Cyber security programs for nuclear facilities. Washington, DC, U.S. Nuclear Regulatory Commission, 2010. RG 5.71.

Technical guide to information security testing and assessment. Gaithersburg, MD, National Institute of Standards and Technology, September 2008. NIST Special Publication 800-115.

Nuclear power plants – instrumentation, control and electrical power systems – Cybersecurity requirements. Geneva, International Electrotechnical Commission, 2019. IEC 62645:2019. ISBN 978-2-8322-7548-1.

Yastrebenetsky, M., Kharchenko, V., editors. (2020). Cyber security and safety of nuclear power plant instrumentation and control systems. Hershey, IGI Global, 501 р. doi: 10.4018/978-1-7998-3277-5.

Computer security of instrumentation and control systems at nuclear facilities: technical guidance. Vienna, International Atomic Energy Agency, 2018. IAEA nuclear security series No. 33-T.

Computer security aspects of design for instrumentation and control systems at nuclear power plants. Vienna, International Atomic Energy Agency, 2020. IAEA Nuclear Energy Series No. NR-T-3.30.

Computer security at nuclear facilities: reference manual: technical guidance. Vienna, International Atomic Energy Agency, 2011. IAEA nuclear security series, No. 17. Withdrawn.

NP 306.2.237-2022. Requirements for computer security of information and control systems of nuclear plants to ensure nuclear and radiation safety. Approved by SNRIU Order No. 233 dated 22 March 2022, registered in the Ministry of Justice of Ukraine on 7 April 2022 under No. 395/3773.

Завантаження

Дані завантаження ще не доступні.