Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз
Рассмотрены основные принципы и методы защиты от компьютерных угроз, методология, используемая для обеспечения компьютерной безопасности, политика, план и программа обеспечения компьютерной безопасности. Даны рекомендации по применению в Украине мер защиты от компьютерных угроз в зависимости от степ...
Gespeichert in:
| Datum: | 2016 |
|---|---|
| Hauptverfasser: | , , |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Державне підприємство "Державний науково-технічний центр з ядерної та радіаційної безпеки" Держатомрегулювання України та НАН України
2016
|
| Schriftenreihe: | Ядерна та радіаційна безпека |
| Online Zugang: | http://dspace.nbuv.gov.ua/handle/123456789/129898 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз / А.А. Симонов, А.Л. Клевцов, С.А. Трубчанинов // Ядерна та радіаційна безпека. — 2017. — № 2. — С. 46-50. — Бібліогр.: 7 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
irk-123456789-129898 |
|---|---|
| record_format |
dspace |
| spelling |
irk-123456789-1298982018-02-01T03:03:07Z Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз Симонов, А.А. Клевцов, А.Л. Трубчанинов, С.А. Рассмотрены основные принципы и методы защиты от компьютерных угроз, методология, используемая для обеспечения компьютерной безопасности, политика, план и программа обеспечения компьютерной безопасности. Даны рекомендации по применению в Украине мер защиты от компьютерных угроз в зависимости от степени компьютерной безопасности. Проведен анализ различных подходов к обеспечению компьютерной безопасности в документах Международного агентства по атомной энергии, Комиссии ядерного регулирования США и Международной электротехнической комиссии. Розглянуто основні принципи та методи захисту від комп’ютерних загроз, методологія, яка використовується для забезпечення комп’ютерної безпеки, політика, план і програма забезпечення комп’ютерної безпеки. Дано рекомендації щодо застосування в Україні заходів захисту від комп’ютерних загроз залежно від ступеня комп’ютерної безпеки. Проведено аналіз різних підходів до забезпечення комп’ютерної безпеки в документах Міжнародного агентства з атомної енергії, Комісії ядерного регулювання США та Міжнародної електротехнічної комісії. The main principles and methods of protection against computer threats, methodology used for computer security, policy, plan and computer security program are considered in the paper. The recommendations on the application of protective measures against computer threats in Ukraine depending on a computer security degree are made. The paper presents the analysis of different approaches to computer security assurance described in documents of the International Atomic Energy Agency, U.S. Nuclear Regulatory Commission and International Electrotechnical Commission. 2016 Article Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз / А.А. Симонов, А.Л. Клевцов, С.А. Трубчанинов // Ядерна та радіаційна безпека. — 2017. — № 2. — С. 46-50. — Бібліогр.: 7 назв. — рос. 2073-6231 http://dspace.nbuv.gov.ua/handle/123456789/129898 621.039:004.9 ru Ядерна та радіаційна безпека Державне підприємство "Державний науково-технічний центр з ядерної та радіаційної безпеки" Держатомрегулювання України та НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| description |
Рассмотрены основные принципы и методы защиты от компьютерных угроз, методология, используемая для обеспечения компьютерной безопасности, политика, план и программа обеспечения компьютерной безопасности. Даны рекомендации по применению в Украине мер защиты от компьютерных угроз в зависимости от степени компьютерной безопасности. Проведен анализ различных подходов к обеспечению компьютерной безопасности в документах Международного агентства по атомной энергии, Комиссии ядерного регулирования США и Международной электротехнической комиссии. |
| format |
Article |
| author |
Симонов, А.А. Клевцов, А.Л. Трубчанинов, С.А. |
| spellingShingle |
Симонов, А.А. Клевцов, А.Л. Трубчанинов, С.А. Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз Ядерна та радіаційна безпека |
| author_facet |
Симонов, А.А. Клевцов, А.Л. Трубчанинов, С.А. |
| author_sort |
Симонов, А.А. |
| title |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз |
| title_short |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз |
| title_full |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз |
| title_fullStr |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз |
| title_full_unstemmed |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз |
| title_sort |
компьютерная безопасность информационных и управляющих систем аэс: меры защиты от компьютерных угроз |
| publisher |
Державне підприємство "Державний науково-технічний центр з ядерної та радіаційної безпеки" Держатомрегулювання України та НАН України |
| publishDate |
2016 |
| url |
http://dspace.nbuv.gov.ua/handle/123456789/129898 |
| citation_txt |
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз / А.А. Симонов, А.Л. Клевцов, С.А. Трубчанинов // Ядерна та радіаційна безпека. — 2017. — № 2. — С. 46-50. — Бібліогр.: 7 назв. — рос. |
| series |
Ядерна та радіаційна безпека |
| work_keys_str_mv |
AT simonovaa kompʹûternaâbezopasnostʹinformacionnyhiupravlâûŝihsistemaésmeryzaŝityotkompʹûternyhugroz AT klevcoval kompʹûternaâbezopasnostʹinformacionnyhiupravlâûŝihsistemaésmeryzaŝityotkompʹûternyhugroz AT trubčaninovsa kompʹûternaâbezopasnostʹinformacionnyhiupravlâûŝihsistemaésmeryzaŝityotkompʹûternyhugroz |
| first_indexed |
2025-07-09T12:23:38Z |
| last_indexed |
2025-07-09T12:23:38Z |
| _version_ |
1837172071663140864 |
| fulltext |
46 ISSN 2073-6231. Ядерна та радіаційна безпека 2(74).2017
УДК 621.039:004.9
А. А. Симонов, А. Л. Клевцов, С. А. Трубчанинов
Государственный научно-технический центр
по ядерной и радиационной безопасности, г. Киев, Украина
Компьютерная безопасность
информационных
и управляющих систем АЭС:
меры защиты
от компьютерных угроз
Рассмотрены основные принципы и методы защиты от компьютер-
ных угроз, методология, используемая для обеспечения компьютер-
ной безопасности, политика, план и программа обеспечения компью-
терной безопасности. Даны рекомендации по применению в Украине
мер защиты от компьютерных угроз в зависимости от степени компью-
терной безопасности. Проведен анализ различных подходов к обес-
печению компьютерной безопасности в документах Международного
агентства по атомной энергии, Комиссии ядерного регулирования
США и Международной электротехнической комиссии.
К л ю ч е в ы е с л о в а: компьютерная безопасность, информаци-
онная и управляющая система, компьютерная угроза, мера защиты,
глубокоэшелонированная защита, политика в области обеспечения
компьютерной безопасности, план обеспечения компьютерной без-
опасности, программа обеспечения компьютерной безопасности, сте-
пень компьютерной безопасности.
А. А. Симонов, О. Л. Клевцов, С. О. Трубчанінов
Комп’ютерна безпека інформаційних та керуючих сис-
тем АЕС: заходи захисту від комп’ютерних загроз
Розглянуто основні принципи та методи захисту від комп’ютерних
загроз, методологія, яка використовується для забезпечен-
ня комп’ютерної безпеки, політика, план і програма забезпечен-
ня комп’ютерної безпеки. Дано рекомендації щодо застосування
в Україні заходів захисту від комп’ютерних загроз залежно від ступе-
ня комп’ютерної безпеки. Проведено аналіз різних підходів до забез-
печення комп’ютерної безпеки в документах Міжнародного агентства
з атомної енергії, Комісії ядерного регулювання США та Міжнародної
електротехнічної комісії.
К л ю ч о в і с л о в а: комп’ютерна безпека, інформаційна та керу-
юча система, комп’ютерна загроза, захід захисту, глибокоешелоно-
ваний захист, політика в сфері забезпечення комп’ютерної безпеки,
план забезпечення комп’ютерної безпеки, програма забезпечення
комп’ютерної безпеки, ступінь комп’ютерної безпеки.
© А. А. Симонов, А. Л. Клевцов, С. А. Трубчанинов, 2017
Д
анная статья продолжает цикл публикаций [1, 2, 3]
по компьютерной безопасности информационных
и управляющих систем (ИУС) АЭС в журнале
«Ядерна та радіаційна безпека». Анализ потенци‑
альных кибернетических угроз на стадиях разра‑
ботки и эксплуатации ИУС АЭС представлен в [1]. Об‑
зор нормативных документов Международного агентства
по атомной энергии (МАГАТЭ), Комиссии ядерного регу‑
лирования США (КЯР США) и Международной электро‑
технической комиссии (МЭК) по компьютерной безопас‑
ности ядерных установок (ЯУ) приведен в [2]. Требования,
установленные в этих документах, зависят от принятой ка‑
тегоризации систем по компьютерной безопасности, кото‑
рая детально рассмотрена в [3].
Цель данной статьи — проанализировать описанные
в документах МАГАТЭ, КЯР США и МЭК меры защиты
от компьютерных угроз и предложить соответствующие
меры защиты от компьютерных угроз, которые целесооб‑
разно учитывать при разработке нормативного документа
Украины по компьютерной безопасности ИУС АЭС.
Отметим, что устанавливать минимальные стандарты
приемлемого риска или описывать в нормативных доку‑
ментах конкретный набор мер защиты от компьютерных
угроз и смягчения последствий кибернетических атак
не представляется возможным, так как любой набор кон‑
кретных стандартов быстро устаревает из‑за развития
информационных технологий, модернизации цифровых
систем, появления новых угроз, разработки новых ин‑
струментальных средств защиты и изменения регулиру‑
ющих требований. Поэтому целесообразно рассматривать
только комплекс методологических рекомендаций общего
характера по обеспечению защиты от компьютерных
угроз.
Глубокоэшелонированная защита. В документе МАГАТЭ [4]
указано, что основным принципом защиты от компьютер‑
ных угроз является использование глубокоэшелонирован‑
ной защиты — концепции нескольких последовательных
эшелонов и методов защиты. Отмечено, что глубокоэшело‑
нированная защита обеспечивается сочетанием ряда после‑
довательных независимых уровней защиты, только после
отказа или выхода из строя которых компьютерная система
может подвергнуться вредоносному воздействию. Если про‑
исходит отказ одного уровня защиты или преодоление од‑
ного барьера, имеются последующие уровни или барьеры.
При надлежащей организации глубокоэшелонированной
защиты единичный технический, человеческий или ор‑
ганизационный отказ не может привести к вредоносному
воздействию на компьютерную систему, а сочетания отка‑
зов, способные привести к компьютерному инциденту, ма‑
ловероятны. Независимая эффективность разных уровней
защиты — это необходимый элемент глубокоэшелониро‑
ванной защиты.
В документах КЯР США [5] и МЭК [6] глубокоэше‑
лонированная защита также указана в качестве основ‑
ной концепции защиты от компьютерных угроз и имеет
аналогичную схему реализации. Кроме того, в документе
КЯР США [7] указано, что нужна защита не только на ЯУ,
но и у разработчика ИУС АЭС, что тоже является частью
глубокоэшелонированной защиты.
Методология, используемая для обеспечения компьютер-
ной безопасности. Основная методология, используемая
для обеспечения компьютерной безопасности, аналогична
методологии по обеспечению физической ядерной безопас‑
ности и ядерной безопасности. Этим обусловлена необхо‑
димость внесения мероприятий по компьютерной безопас‑
ности в планы обеспечения физической безопасности ЯУ.
ISSN 2073-6231. Ядерна та радіаційна безпека 2(74).2017 47
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз
Приведем, в соответствии с [4], перечень мероприятий,
которые должны использоваться при разработке, примене‑
нии, поддержке и совершенствовании компьютерной без‑
опасности на ЯУ:
обеспечение выполнения национальных законодатель‑
ных и регулирующих требований;
изучение соответствующих международных руководя‑
щих материалов;
определение периметра компьютерной безопасности;
выявление взаимодействия между компьютерной без‑
опасностью, с одной стороны, и эксплуатацией ЯУ, ядер‑
ной безопасностью и физической безопасностью пло‑
щадки, с другой стороны;
разработка политики обеспечения компьютерной
безопасности;
выполнение оценки компьютерных рисков;
выбор, разработка и применение защитных мер ком‑
пьютерной безопасности;
интегрирование компьютерной безопасности в систему
менеджмента ЯУ;
регулярное проведение аудита, рассмотрение и совер‑
шенствование системы менеджмента ЯУ.
Аналогичный перечень мер также определен в доку‑
ментах КЯР США и МЭК [5, 6].
Законодательные акты и регулирующие требования.
Первоочередным заданием для защиты от компьютерных
угроз является разработка и реализация национальных за‑
конодательных актов и регулирующих требований.
В силу специфики, для обеспечения компьютерной без‑
опасности требуются законодательные акты, позволяю‑
щие учитывать уникальный характер преступлений и ре‑
жимов работы, связанных с компьютерными системами.
Поскольку компьютерные технологии стремительно раз‑
виваются, важно, чтобы государственное законодательство
постоянно пересматривалось и обновлялось с учетом новых
видов потенциальных угроз компьютерной безопасности.
При подготовке регулирующих требований по ком‑
пьютерной безопасности следует учитывать регулирую‑
щие требования по физической, ядерной и радиационной
безопасности. Согласно [4], регулирующие требования
должны включать положения в части:
ответственности руководства по обеспечению компью‑
терной безопасности;
программы компьютерной безопасности;
распределения обязанностей эксплуатационного персо‑
нала и группы по компьютерной безопасности;
политики в сфере компьютерной безопасности;
реализации плана компьютерной безопасности;
аудита — внутреннего, внешнего или осуществляемого
регулирующими органами;
текущей оценки угроз, результаты которой регулярно
должны доводиться до сведения руководства и эксплуата‑
ционного персонала.
Политика, план и программа обеспечения компьютерной
безопасности. Глубокоэшелонированная защита достига‑
ется путем использования не только нескольких уровней
безопасности, но и введением и поддержкой политики,
плана и программы компьютерной безопасности [5].
Политика обеспечения компьютерной безопасности ус‑
танавливает в организации цели компьютерной безопас‑
ности высшего уровня и должна отвечать определенным
регулирующим требованиям.
План обеспечения компьютерной безопасности раз‑
рабатывается для осуществления политики в форме
организационных ролей, обязанностей и процедур.
В плане должны быть изложены основные действия в тер‑
минах чувствительности к уязвимости, защитным мерам,
анализу последствий и мер по смягчению последствий
с целью установления и сохранения на приемлемом уровне
кибернетического риска на ЯУ и содействия возвращению
в безопасный эксплуатационный режим.
Программа компьютерной безопасности определяет шаги
и действия, которые необходимо предпринять для реали‑
зации последовательных организационных и технических
мер и процедур, чтобы обеспечить достижение целей в об‑
ласти компьютерной безопасности, определенных в по‑
литике обеспечения компьютерной безопасности и изло‑
женных в явном виде в плане обеспечения компьютерной
безопасности.
Аналогичные требования относительно политики
и плана обеспечения компьютерной безопасности содер‑
жатся и в [4, 6].
Организационные методы защиты. В документе [4] от‑
дельно выделяются организационные методы защиты,
к которым относятся полномочия и обязанности персо‑
нала и культура компьютерной безопасности.
Для успешной организации и поддержки мер защиты
от компьютерных угроз нужно сформировать штат спе‑
циалистов, четко определив их полномочия и обязанно‑
сти (в [5] такой штат специалистов называется «команда
компьютерной безопасности»). Для обеспечения компью‑
терной безопасности должны быть определены также обя‑
занности руководящих работников разного уровня и всех
сотрудников организации.
Высокая культура компьютерной безопасности — ком‑
понент любого эффективного плана обеспечения ком‑
пьютерной безопасности. Важно, чтобы руководство га‑
рантировало полную интеграцию информированности
о компью терной безопасности и общей культуры физиче‑
ской безопасности площадки ЯУ.
Кроме того, к организационным методам защиты
можно отнести административные меры, в которых рег‑
ламентированы порядок доступа к ИУС, порядок исполь‑
зования компьютерных сетей и носителей информации,
реагирование на угрозы и атаки, порядок технического
обслуживания ИУС и др.
Меры защиты от компьютерных угроз в зависимости
от степени компьютерной безопасности. К компьютерной
безопасности применяется дифференцированный подход,
т. е. меры защиты должны быть пропорциональны потенци‑
альным последствиям компьютерных атак [3]. В частности,
для разных степеней компьютерной безопасности, которые
рассмотрены в [3], применяются меры защиты различной
жесткости: чем важнее система для безопасности, тем бо‑
лее строгая защита должна быть для нее обеспечена.
Поскольку при формировании предложений относи‑
тельно категоризации по компьютерной безопасности
в Украине за основу взята категоризация в соответствии со
стандартом МЭК [6], целесообразно использовать требо‑
вания этого документа к мерам защиты от компьютерных
угроз. Основываясь на стандарте [6] и с учетом категориза‑
ции безопасности, предложенной в [3] для использования
в Украине, предлагаются следующие требования к общим
мерам защиты от компьютерных угроз и дифференциро‑
ванным мерам защиты в зависимости от степени компью‑
терной безопасности.
Общие меры защиты. Для всех ИУС, независимо от их
степени компьютерной безопасности, необходимо:
48 ISSN 2073-6231. Ядерна та радіаційна безпека 2(74).2017
А. А. Симонов, А. Л. Клевцов, С. А. Трубчанинов
1. Определить проектные решения для обеспечения до‑
статочной уверенности в том, что защита системы опреде‑
ленной степени компьютерной безопасности не дегради‑
рует в результате воздействия со стороны систем низшей
степени компьютерной безопасности.
2. Сконфигурировать и настроить любую ИУС и лю‑
бой ее компонент (в частности, покупной) так, чтобы ми‑
нимизировать уязвимость системы.
3. Учесть в плане обеспечения компьютерной безопас‑
ности результаты анализа компьютерной безопасности.
Если анализ показывает, что запланированные меры за‑
щиты недостаточны, определить требования к дополни‑
тельным контрмерам.
4. Адаптировать политику компьютерной безопасности
к каждой ИУС или группе ИУС.
5. При проектировании, конфигурации и назначении
параметров программируемого оборудования реализовать
эффективные меры защиты в отношении:
управления выборочным доступом пользователей
к функциям программного обеспечения (ПО) и к памяти;
линий передачи данных в системы с более низкой сте‑
пенью компьютерной безопасности;
отслеживания состояния ПО и параметров его
модификаций.
6. При верификации и валидации ИУС продемонстри‑
ровать эффективность функций компьютерной безопасно‑
сти соответствующими испытаниями ИУС в ее оконча‑
тельной конфигурации.
7. Обеспечить поддержку технических мер защиты
по эффективности процедуры аутентификации при вы‑
даче разрешения на доступ к любой ИУС.
8. Предоставлять доступ через интерфейс «чело‑
век—машина» только авторизированным сотрудникам
и только для авторизированных операций.
9. Выполнить оценку компьютерной безопасности
конфигурации ИУС и задать параметры ИУС на месте
эксплуатации, чтобы убедиться в реализации соответст‑
вующих контрмер в отношении потенциальных угроз ком‑
пьютерной безопасности.
10. Систематически планировать и проводить деятель‑
ность по модификации ПО, рассмотрев потенциальные
угро зы компьютерной безопасности.
11. Периодически проверять журналы работы ПО
с точки зрения компьютерной безопасности для ИУС,
важных для ядерной и радиационной безопасности.
12. Периодически проверять журналы работы ПО
для специализированных систем, выполняющих функции
компьютерной безопасности; осуществлять централизо‑
ванное управление этими журналами.
13. Минимизировать, насколько это возможно, количе‑
ство точек доступа к компьютерным сетям, чтобы умень‑
шить их уязвимость.
14. Реализовать меры защиты по выявлению аномалий
и анализу аварийных сигналов с последующим примене‑
нием соответствующих мер реагирования, не нарушив
при этом требования ядерной и радиационной безопасности.
15. Строго контролировать физический доступ к ИУС
для предотвращения доступа неавторизованных лиц путем
реализации мероприятий физической безопасности (уста‑
новка замков на шкафах, контроль физического доступа
в помещения или зону), а также внедрения соответствую‑
щих организационных и административных мер.
16. Ограничить продолжительность физического
и про грам много доступа стороннего монтажного
и ремонтного персонала к ИУС в соответствии с его за‑
дачами, а также конкретный перечень ИУС (или их ком‑
понентов), к которым разрешен доступ.
17. Идентифицировать и регистрировать все временные
изменения (например, временный доступ или временные
подключения дополнительных линий связи для испыта‑
тельных устройств).
18. Запретить конфигурирование ПО и изменение тех‑
нических средств, если они не запланированы, не утверж‑
дены и не задокументированы.
19. Определить порядок действий для своевременного
восстановления приемлемого уровня работоспособности
в случае, если кибернетическая атака привела к негатив‑
ным последствиям; реализовать меры защиты по мини‑
мизации вероятности того, что указанный порядок вос‑
становления будет уязвим для той же кибернетической
угрозы.
Далее перечислены меры защиты от компьютерных уг‑
роз в зависимости от степеней компьютерной безопасно‑
сти, которые определены в [3].
Меры защиты для ИУС степени компьютерной безопасно-
сти К1. В минимальном наборе мер защиты ИУС степени
компьютерной безопасности К1 (в дополнение к общим
мерам защиты) обязательны:
1. Ограничение связей ИУС степени компьютерной
безопасности К1 другими ИУС степени компьютерной
безопасности К1 и ИУС степени компьютерной безопас‑
ности К2, а также связанными с ними инструментальны‑
ми средствами.
2. Ориентация связи в направлении от ИУС степени
компьютерной безопасности К1 к ИУС степени компью‑
терной безопасности К2.
3. Ограничение передачи данных от ИУС степени ком‑
пьютерной безопасности К2 в ИУС степени компьютерной
безопасности К1 только обязательными данными, без ко‑
торых невозможно выполнение функций в полном объеме;
разрешение передачи только при условии детального обо‑
снования и анализа рисков компьютерной безопасности.
Надежная защита любых данных, передаваемых из ИУС
степени компьютерной безопасности К2 в ИУС степени
компьютерной безопасности К1, с помощью адаптирован‑
ных статических ограничений (например, формат данных
и контроль времени передачи).
4. Обновление ПО и изменения конфигурации ИУС
степени компьютерной безопасности К1 — только с при‑
менением местных средств аппаратной блокировки
(например, ключами) и только в одном канале си‑
стемы за один раз. Двунаправленная передача дан‑
ных между ИУС степени компьютерной безопасности
К1 и специализированным оборудованием для техни‑
ческого обслуживания — с использованием отдельной
выделенной линии передачи данных, которая отделена
от других сетей. Защита этой линии передачи данных
техническими, организационными и административ‑
ными средствами. Контроль разрешенного доступа к ПО
или изменению конфигурации с помощью сигнализации
на блочном щите управления (БЩУ) или на местных
щитах управления.
5. Реализация мер защиты, направленных против
скрытых функций в ПО ИУС степени компьютерной
безопасности К1.
6. Контроль физического доступа к ИУС степени ком‑
пьютерной безопасности К1 с помощью сигнализации
на БЩУ.
ISSN 2073-6231. Ядерна та радіаційна безпека 2(74).2017 49
Компьютерная безопасность информационных и управляющих систем АЭС: меры защиты от компьютерных угроз
Меры защиты для ИУС степени компьютерной безопасно-
сти К2. В минимальном наборе мер защиты ИУС степени
компьютерной безопасности К2 (в дополнение к общим
мерам защиты) обязательны:
1. Ориентация связей в направлении от ИУС степени
компьютерной безопасности К2 к ИУС степени компью‑
терной безопасности К3. При этом ИУС степени компью‑
терной безопасности К2 выступает как инициатор связи.
Обеспечение ориентации и инициирования выполнением
соответствующих технических требований по компьютер‑
ной безопасности (например, специальное оборудование
для фильтрации).
2. Существенное ограничение и использование
только в обоснованных случаях передачи данных от ИУС
степени компьютерной безопасности К3 в ИУС степени
компьютерной безопасности К2.
3. Исключение возможности обновления ПО и изме‑
нения конфигурации ИУС степени компьютерной без‑
опасности К2 со стороны ИУС степени компьютерной
безопасности К3.
4. Обновление ПО и изменение конфигурации ИУС
степени компьютерной безопасности К2 — только в од‑
ном канале системы за один раз, только в течение заранее
определенных временных промежутков, с защитой соот‑
ветствующими блокировками. Двунаправленная передача
данных между ИУС степени компьютерной безопасно‑
сти К2 и специализированным оборудованием для тех‑
нического обслуживания — с использованием отдельной
выделенной линии передачи данных, которая отделена
от других сетей. Защита этой линии передачи данных тех‑
ническими, организационными и административными
средствами.
5. Запрет на использование входных линий связи
из‑за пределов АЭС или компьютерных систем, которые
не участвуют в управлении технологическими процессами,
в ИУС степени компьютерной безопасности К2.
6. Ограничение доступа проектными решениями за‑
щиты к программируемым составным частям ИУС сте‑
пени компьютерной безопасности К2 (например, путем
аутентификации пользователей) и предотвращение любого
несанкционированного создания новых путей доступа
к этим составным частям.
Меры защиты для ИУС степени компьютерной безопасно-
сти К3. В минимальном наборе мер защиты ИУС степени
компьютерной безопасности К3 (в дополнение к общим
мерам защиты) обязательны:
1. Обоснование на индивидуальной основе доступа со
стороны не участвующих в реализации технологического
процесса компьютерных систем, которые могли бы повли‑
ять на функции ИУС степени компьютерной безопасности
К3, при условии, что доступ не ставит под угрозу соблюде‑
ние требований по ядерной и радиационной безопасности
и физической безопасности, которые требуются от этой
ИУС.
2. Инициирование со стороны ИУС степени компьютер‑
ной безопасности К3 связи между ИУС степени компьютер‑
ной безопасности К3 и компьютерной системой, не участвую‑
щей в реализации технологического процесса. Обоснование
исключений должным образом, контроль связи.
Отметим, что приведенный перечень общих и диф‑
ференцированных мер защиты от компьютерных угроз
является лишь минимально необходимым и должен быть
расширен в зависимости от особенностей конкретной ЯУ
и конкретной ИУС, к которой эти меры применяются.
Конкретные меры безопасности для ИУС должны опреде‑
ляться по результатам анализа компьютерной безопасности
этой ИУС, включая анализ соответствующих угроз и сце‑
нариев атак, а также определения уязвимостей системы.
Выводы
В статье рассмотрен комплекс методологических ре‑
комендаций общего характера, описанных в документах
МАГАТЭ, КЯР США и МЭК, по обеспечению защиты
от компьютерных угроз. Отмечено, что устанавливать ми‑
нимальные стандарты приемлемого риска или описывать
в нормативных документах конкретный набор мер защиты
от компьютерных угроз и смягчения последствий кибер‑
нетических атак не представляется возможным.
Анализ документов МАГАТЭ, КЯР США и МЭК про‑
демонстрировал использование этими организациями
одинаковых общих принципов и подходов к требованиям
по обеспечению компьютерной безопасности и необ‑
ходимых для этого мер защиты от компьютерных угроз.
В частности отмечен аналогичный подход в документах
МАГАТЭ, КЯР США и МЭК к принципу глубокоэшело‑
нированной защиты, организационным методам защиты,
политике, плану и программе обеспечения компьютерной
безопасности. Также отмечена важность разработки и вы‑
полнения национальных законодательных актов и регули‑
рующих требований.
В статье предложены меры защиты от компьютерных
угроз в зависимости от степени компьютерной безопас‑
ности, которые целесообразно учитывать при разработке
нормативного документа Украины по компьютерной без‑
опасности ИУС АЭС.
Список использованной литературы
1. Клевцов А. Л., Трубчанинов С. А. Компьютерная безопас‑
ность информационных и управляющих систем АЭС: киберне‑
тические угрозы. Ядерна та радіаційна безпека. 2015. № 1 (65).
С. 54—58.
2. Клевцов А. Л., Ястребенецкий М. А., Трубчанинов С. А.
Компьютерная безопасность информационных и управляющих
систем АЭС: нормативная база. Ядерна та радіаційна безпека. 2015.
№ 4 (68). С. 51—57.
3. Клевцов А. Л., Симонов А. А., Трубчанинов С. А. Компью‑
терная безопасность информационных и управляющих систем
АЭС: категоризация. Ядерна та радіаційна безпека. 2016. № 4 (72).
С. 65—70.
4. Computer security at nuclear facilities : reference manual :
technical guidance. Vienna : International Atomic Energy Agency, 2011.
(IAEA nuclear security series, ISSN 1816‑9317; No. 17). ISBN 978‑92‑
0‑120110‑2.
5. RG 5.71. Cyber security programs for nuclear facilities.
Washington : U.S. Nuclear Regulatory Commission, 2010. 105 p.
6. IEC 62645. Nuclear power plants — Instrumentation and control
systems — Requirements for security programmes for computer‑based
system. Geneva : International Electrotechnical Commission, 2014.
(ISBN 978‑2‑8322‑1810‑5).
7. RG 1.152. Criteria for use of computers in safety systems
of nuclear power plants. Washington : U.S. Nuclear Regulatory
Commission, 2011. 13 p.
50 ISSN 2073-6231. Ядерна та радіаційна безпека 2(74).2017
А. А. Симонов, А. Л. Клевцов, С. А. Трубчанинов
References
1. Klevtsov, А.L., Trubchaninov, S.A. (2015), “Computer Security
of NPP Instrumentation and Control Systems: Cyber Threats”
[Kompiuternaia bezopasnost informatsionnykh i upravliaiushchikh
sistem AES: kiberneticheskiie ugrozy], Nuclear and Radiation safety,
No. 1 (65), pp. 54—58. (Rus)
2. Klevtsov, А.L., Yastrebenetsky, M.A., Trubchaninov, S.A. (2015),
“Computer Security of NPP Instrumentation and Control Systems:
Regulatory Framework” [Kompiuternaia bezopasnost informatsionnykh
i upravliaiushchikh sistem AES: normativnaia baza”], Nuclear and
Radiation safety, No. 4 (68), pp. 51—57. (Rus)
3. Klevtsov, А.L., Symonov, A.A., Trubchaninov, S.A. (2016),
“Computer Security of NPP Instrumentation and Control Systems:
Categorization” [Kompiuternaia bezopasnost informatsionnykh i
upravliaiushchikh sistem AES: kategorizatsiia], Nuclear and Radiation
Safety, No. 4 (72), pp. 65—70. (Rus)
4. IAEA Nuclear Security Series, No. 17 (2011), Computer
Security at Nuclear Facilities, Reference Manual, Technical Guidance,
International Atomic Energy Agency, Vienna, 88 p.
5. RG 5.71 (2010), Cyber Security Programs for Nuclear Facilities,
U.S. Nuclear Regulatory Commission, Washington, 105 p.
6. IEC 62645 (2014), Nuclear Power Plants — Instrumentation
and Control Systems — Requirements for Security Programmes for
Computer‑Based System, International Electrotechnical Commission,
Geneva, 93 p.
7. RG 1.152 (2011), Criteria for Use of Computers in Safety Systems
of Nuclear Power Plants, U.S. Nuclear Regulatory Commission,
Washington, 13 p.
Получено 03.03.2017.
Шановні пані та панове!
Ви можете передплатити найрізноманітніші газе-
ти, журнали та книги за «Каталогом видань України»
на ІІ півріччя 2017 року.
Оформити передплату за цим Каталогом можна:
• у відділеннях поштового зв'язку;
• в операційних залах поштамтів;
• в пунктах приймання передплати;
• на сайті ДП «Преса» www.presa.ua
Крім того, вже сьогодні, у зручний для вас час, мож-
на здійснити передплату скориставшись послугою
«Передплата ON-LINE» за допомогою електронних версій
«Каталогу видань України» та «Каталогу видань зарубіжних
країн» на сайті ДП «Преса» www.presa.ua.
Оплату можна здійснити у будь-який зручний для Вас
спосіб: у банку або на пошті за сформованим на сайті ра-
хунком та за допомогою платіжних карток Visa, MasterCard,
а також Приват 24, WebMoney, Liqpay.
|