Ключові слова
Як цитувати
Анотація
Стаття присвячена питанням оцінювання комп’ютерної безпеки інформаційних та керуючих систем (ІКС) АЕС. Визначено основні напрями оцінювання комп’ютерної безпеки ІКС АЕС, зокрема: оцінювання кібернетичних загроз, оцінювання вразливостей комп’ютерної безпеки ІКС, оцінювання достатності застосованих заходів забезпечення комп’ютерної безпеки ІКС, оцінювання ризиків комп’ютерної безпеки ІКС, а також періодичне переоцінювання комп’ютерної безпеки ІКС. У статті детально розглядаються оцінювання вразливостей комп’ютерної безпеки ІКС та достатності застосованих заходів забезпечення комп’ютерної безпеки ІКС (оцінювання кібернетичних загроз та ризиків комп’ютерної безпеки ІКС докладно розглядаються в інших публікаціях із циклу статей «Комп’ютерна безпека інформаційних та керуючих систем АЕС»).
Розглянуті підходи до оцінювання вразливостей комп’ютерної безпеки ІКС та програмного забезпечення (ПЗ) на кожному етапі життєвого циклу ІКС. Надано рекомендації щодо оцінювання вразливостей стосовно технічного та програмного захисту від несанкціонованого доступу або під’єднання до ІКС, захисту локальних мереж, реалізації організаційних заходів та процедур забезпечення комп’ютерної безпеки.
У статті описано обсяг і порядок первинного оцінювання та періодичного переоцінювання комп’ютерної безпеки ІКС АЕС. Надані рекомендації щодо формування відповідної команди оцінювання. Детально розглянуті методи оцінювання комп’ютерної безпеки ІКС, зокрема: аналіз документації (політики, програми, плану, звітів з комп’ютерної безпеки тощо), опитування персоналу (адміністративного, оперативного, обслуговуючого та фахівців з комп’ютерної безпеки), безпосередній огляд ІКС, їх компонентів та локальних мереж. Визначені етапи оцінювання (збір інформації, детальний аналіз, звітування) та описаний обсяг робіт на кожному етапі.
Надана загальна інформація щодо можливості та необхідності оцінювання ризиків комп’ютерної безпеки ІКС у разі застосування ризик-інформованих підходів.
Окремо зазначена необхідність документування результатів оцінювання та надані конкретні пропозиції щодо порядку підготовки відповідних звітів..
Посилання
Klevtsov, А., Trubchaninov, S. (2015). Computer security of NPP instrumentation and control systems: cyber threats. Nuclear and Radiation Safety, 1(65), 54–58.
Klevtsov, А., Yastrebenetsky, M., Trubchaninov, S. (2015). Computer security of NPP instrumentation and control systems: regulatory framework. Nuclear and Radiation Safety, 4(68), 51–57.
Klevtsov, А., Symonov, A., Trubchaninov, S. (2016). Computer security of NPP instrumentation and control systems: categorization, Nuclear and Radiation Safety, 4(72), 65–70. doi: 10.32918/nrs.2016.4(72).10.
Symonov, A., Klevtsov, А., Trubchaninov, S. (2017). Computer security of NPP instrumentation and control systems: protection from computer threats. Nuclear and Radiation Safety, 2(74), 46–50. doi: 10.32918/nrs.2017.2(74).09.
Symonov, A., Klevtsov, А., Trubchaninov, S., Lazurenko O. (2019). Computer security of NPP instrumentation and control systems: documents, which substantiate the computer security. Nuclear and Radiation Safety, 4(84), 73–81. doi: 10.32918/nrs.2019.4(84).09.
Computer security of instrumentation and control systems at nuclear facilities: technical guidance. Vienna, International Atomic Energy Agency, 2018. (IAEA nuclear security series, ISSN 1816-9317; No. 33-T). ISBN 978-92-0-103117-4.
Conducting computer security assessment at nuclear facilities. Vienna, International Atomic Energy Agency, 2016. (IAEA-TDL-006).
ISBN 978-92-0-104616-1.
Cyber security self-assessment method for U.S. nuclear power plants. Richland, WA, Pacific Northwest National Laboratory, Washington, DC, U.S. Nuclear Regulatory Commission, October 2004. (NUREG/CR-6847; PNNL-14766).
Technical guide to information security testing and assessment. Gaithersburg, MD, National Institute of Standards and Technology, September 2008. (NIST Special Publication 800-115).
Masood, R. (2016). Assessment of cyber security challenges in nuclear power plants. Security Incidents, Threats, and Initiatives. Report GW-CSPRI-2016-03, The George Washington University, Washington, DC, 43.
Information technology – security techniques – management of information and communications technology security. Part 1 Concepts and models for information and communications technology security management. Geneva, International Electrotechnical Commission, 2004. (ISO/IEC 13335-1:2004).
Computer security at nuclear facilities, reference manual, technical guidance. Vienna, International Atomic Energy Agency, 2011. (IAEA nuclear security series, ISSN 1816-9317; No. 17). ISBN 978-92-0-120110-2.