Международная электротехническая комиссия (МЭК) выпустила новый международный документ по стандартизации МЭК ТО 63415:2023 "Атомные станции. Системы контроля и управления. Применение формальных моделей киберзащиты для проектирования и оценки архитектуры киберзащиты контроля и управления" (IEC TR 63415-2023 Nuclear Power plants - Instrumentation and control systems - Use of formal security models for I&C security architecture design and assessment).
Стандарт был разработан по инициативе Российской Федерации и основан как на практическом опыте, полученном при обеспечении киберзащиты на российских атомных электростанциях (АЭС), строящихся как в России, так и за рубежом, так и на теоретических исследованиях, проводимых специалистами Государственной корпорации "Росатом" и Федеральным государственным бюджетным учреждением "Российская академия наук".
Работа над документом началась еще в 2019 году в рамках технического комитета МЭК/ТК 45 "Атомное приборостроение" на базе подкомитета ПК45А "Аппаратура контроля и управления ядерными объектами". Инициатором выступила рабочая группа экспертов под руководством российского эксперта МЭК, ведущего научного сотрудника Института проблем управления им. В.А. Трапезникова РАН Виталия Промыслова.
Появление нового документа обусловлено необходимостью обеспечения безопасности систем автоматизированной системы управления технологическим процессом атомных электростанций (АСУ ТП АЭС). Стоит отметить, что за последние двадцать лет АСУ ТП для ядерных установок и АЭС прошли путь от использования аналоговых компонентов к цифровым системам, что позволяет повысить эффективность функционирования АЭС и ее безопасность. Однако цифровые АСУ ТП также открывают возможность для специфических видов угроз, связанных с кибератаками на цифровые активы. Эффективным способом защиты компьютерных систем от киберугроз является интеграция мер защиты в архитектуру защищаемой системы на каждом этапе ее жизненного цикла, начиная от первичной спецификации и заканчивая развертыванием и выводом системы из эксплуатации, с целью создания единой архитектуры кибербезопасности. Этот подход известен как принцип "кибербезопасного" проектирования.
Стандарт включает описание математического метода анализа кибербезопасности АСУ ТП АЭС, основанного на комплексной модели информационных потоков АСУ ТП АЭС. Этот метод позволяет провести количественную оценку поверхности атаки, проанализировать архитектуру кибербезопасности автоматизированной системы управления технологическим процессом атомных электростанций с учетом уровней кибербезопасности и зон, а также учитывает взаимосвязи между различными компонентами системы. Документ рассматривает также вопросы формирования архитектуры АСУ ТП, включая классификацию активов, назначение мер защиты и обеспечение соответствия требованиям по киберзащите для связей между различными системами при передаче информации между ними. Применение положений IEC TR 63415:2023 в практической деятельности позволяет повысить устойчивость систем контроля и управления атомных электростанций к возможным кибератакам.
"Применение нового международного стандарта на основе российских разработок позволит надежно оценить киберзащищенность системы и выявить ее потенциальные уязвимости и угрозы. Описанные в документе методы могут использоваться в рамках работы по оценке рисков, связанных с эксплуатацией АЭС. При разработке стандарта мы акцентировали внимание на принципиальных вопросах, а не на конкретных технологиях, чтобы гарантировать актуальность документа в будущем", - прокомментировал руководитель Росстандарта Антон Шалаев.
Напомним, что благодаря работе российских экспертов в Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (МЭК) за прошлый год было утверждено и опубликовано 5 международных стандартов, что стало абсолютным рекордом за последние 30 лет.
Источник: https://www.rst.gov.ru//newsRST/redirect/news/1//9169
Стандарт был разработан по инициативе Российской Федерации и основан как на практическом опыте, полученном при обеспечении киберзащиты на российских атомных электростанциях (АЭС), строящихся как в России, так и за рубежом, так и на теоретических исследованиях, проводимых специалистами Государственной корпорации "Росатом" и Федеральным государственным бюджетным учреждением "Российская академия наук".
Работа над документом началась еще в 2019 году в рамках технического комитета МЭК/ТК 45 "Атомное приборостроение" на базе подкомитета ПК45А "Аппаратура контроля и управления ядерными объектами". Инициатором выступила рабочая группа экспертов под руководством российского эксперта МЭК, ведущего научного сотрудника Института проблем управления им. В.А. Трапезникова РАН Виталия Промыслова.
Появление нового документа обусловлено необходимостью обеспечения безопасности систем автоматизированной системы управления технологическим процессом атомных электростанций (АСУ ТП АЭС). Стоит отметить, что за последние двадцать лет АСУ ТП для ядерных установок и АЭС прошли путь от использования аналоговых компонентов к цифровым системам, что позволяет повысить эффективность функционирования АЭС и ее безопасность. Однако цифровые АСУ ТП также открывают возможность для специфических видов угроз, связанных с кибератаками на цифровые активы. Эффективным способом защиты компьютерных систем от киберугроз является интеграция мер защиты в архитектуру защищаемой системы на каждом этапе ее жизненного цикла, начиная от первичной спецификации и заканчивая развертыванием и выводом системы из эксплуатации, с целью создания единой архитектуры кибербезопасности. Этот подход известен как принцип "кибербезопасного" проектирования.
Стандарт включает описание математического метода анализа кибербезопасности АСУ ТП АЭС, основанного на комплексной модели информационных потоков АСУ ТП АЭС. Этот метод позволяет провести количественную оценку поверхности атаки, проанализировать архитектуру кибербезопасности автоматизированной системы управления технологическим процессом атомных электростанций с учетом уровней кибербезопасности и зон, а также учитывает взаимосвязи между различными компонентами системы. Документ рассматривает также вопросы формирования архитектуры АСУ ТП, включая классификацию активов, назначение мер защиты и обеспечение соответствия требованиям по киберзащите для связей между различными системами при передаче информации между ними. Применение положений IEC TR 63415:2023 в практической деятельности позволяет повысить устойчивость систем контроля и управления атомных электростанций к возможным кибератакам.
"Применение нового международного стандарта на основе российских разработок позволит надежно оценить киберзащищенность системы и выявить ее потенциальные уязвимости и угрозы. Описанные в документе методы могут использоваться в рамках работы по оценке рисков, связанных с эксплуатацией АЭС. При разработке стандарта мы акцентировали внимание на принципиальных вопросах, а не на конкретных технологиях, чтобы гарантировать актуальность документа в будущем", - прокомментировал руководитель Росстандарта Антон Шалаев.
Напомним, что благодаря работе российских экспертов в Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (МЭК) за прошлый год было утверждено и опубликовано 5 международных стандартов, что стало абсолютным рекордом за последние 30 лет.
Источник: https://www.rst.gov.ru//newsRST/redirect/news/1//9169
