Международная электротехническая комиссия (МЭК) опубликовала новый международный документ по стандартизации МЭК ТО 63415:2023 «Атомные станции. Системы контроля и управления. Применение формальных моделей киберзащищенности для проектирования и оценки архитектура киберзащищенности контроля и управления» (IEC TR 63415-2023 Nuclear Power plants – Instrumentation and control systems – Use of formal security models for I&C security architecture design and assessment).
Стандарт разработан по инициативе Российской Федерации и основан как на практическом опыте, полученном при обеспечении киберзащищенности на российских атомных электростанциях (АЭС), возводимых на территории Российской Федерации и за рубежом, так и на теоретических исследованиях по математическим методам оценки риска, проводимых специалистами Государственной корпорации «Росатом» и ФГБУ «Российская академия наук».
Разработка документа началась еще в 2019 году в рамках технического комитета МЭК/ТК 45 «Атомное приборостроение» на базе подкомитета ПК45А «Аппаратура контроля и управления ядерными объектами», инициатором выступила рабочая группа экспертов под руководством российского эксперта МЭК, ведущего научного сотрудника Института проблем управления им. В.А.Трапезникова РАН Виталия Промыслова.
Появление нового документа обусловлено необходимостью обеспечения безопасности систем автоматизированной системы управления технологическим процессом атомных электростанций (АСУ ТП АЭС). Следует отметить, что за последние двадцать лет АСУ ТП для ядерных установок и АЭС прошли путь от использования аналоговых компонентов к цифровым системам, позволяющим реализовать повысить эффективность функционирования АЭС и ее безопасность. В то же время цифровые АСУ ТП приводят к появлению возможности специфических видов отказов АЭС, связанных с кибератаками на цифровые активы. Эффективным способом защиты компьютерных систем от киберугроз является интеграция мер защиты в архитектуру защищаемой системы на каждом этапе жизненного цикла, от первичной спецификации на систему до развертывания и снятия системы с эксплуатации с целью создания единой архитектуры кибербезопасности. Этот подход известен как принцип «кибербезопасного» проектирования.
Стандарт содержит описание математического метода анализа кибербезопасности АСУ ТП АЭС, основанного на комплексной модели информационных потоков АСУ ТП АЭС, которая позволяет получить количественную оценку поверхности атаки, провести анализ архитектуры кибербезопасности автоматизированной системы управления технологическим процессом атомных электростанций в части уровней кибербезопасности и зон, с учетом взаимосвязей между ее различными компонентами. В документе рассматривается комплекс вопросов, связанных с формированием архитектуры АСУ ТП, таких, как классификация составляющих активов, назначение мер защиты, а также обеспечение соответствия требованиям по киберзащищенности для имеющихся связей между различными системами при передаче информации между ними. Интеграция положений IEC TR 63415:2023 в практическую деятельность повышает степень устойчивости систем контроля и управления атомных электростанций к возможным кибератакам.
«Применение нового международного стандарта на основе российских разработок позволит обеспечить надежный способ оценки киберзащищенности системы и выявления ее потенциальных уязвимостей и угроз. Описанные в документе методы могут применяться как составная часть работы по оценке рисков, связанных с эксплуатацией АЭС. В целях гарантированного сохранения актуальности документа в последующие годы при его разработке акцент был сделан на принципиальных вопросах, а не на конкретных технологиях», – прокомментировал руководитель Росстандарта Антон Шалаев.
В результате работы российских экспертов в Международной организации (ИСО) и Международной электротехнической комиссии в течение прошлого года на основе инициатив Российской Федерации было утверждено и опубликовано 5 международных стандартов, что стало абсолютным рекордом за последние 30 лет.
Источник: https://www.rst.gov.ru//newsRST/redirect/news/1//9169