Компьютерная безопасность информационных и управляющих систем АЭС: документы, обосновывающие компьютерную безопасность

Abstract

В статье рассмотрены подходы к созданию и управлению документами, которые обосновывают компьютерную безопасность, такими как: политика, программа и план компьютерной безопасности, план реагирования на компьютерные инциденты, отчетные документы по компьютерной безопасности. Представлены требования к политике, программе и плану компьютерной безопасности, и проведен анализ различных подходов, принятых и отраженных в документах Международного агентства по атомной энергии (МАГАТЭ), Комиссии ядерного регулирования Соединенных Штатов Америки (КЯР США) и Международной электротехнической комиссии (МЭК). Отмечено, что подходы, применяемые указанными организациями, к созданию и управлению документами, обосновывающими компьютерную безопасность, являются весьма схожими. Проведенный анализ различных международных подходов к разработке, внедрению и поддержанию политики, программы и плана компьютерной безопасности позволил, с учетом существующей ситуации на АЭС Украины, разработать требования к вышеуказанным документам, которые будут отражены в новом нормативном документе. Также в новый нормативный документ планируется включить отдельные требования к документации разработчика информационных и управляющих систем, относительно компьютерной безопасности, требования к плану реагирования на инциденты, связанные с компьютерной безопасностью и требования к отчетным документам по компьютерной безопасности. Даны рекомендации к содержанию, реализации и управлению указанными документами, которые обосновывают компьютерную безопасность.

The approaches to the development and management of computer security justification documents such us computer security policy, program and plan, computer incident response plan, reports related to computer security are considered in the paper. Requirements for computer security policy, program and plan are presented, and the analysis of different approaches adopted and reflected in the documents of the International Atomic Energy Agency, U.S. Nuclear Regulatory Commission and International Electrotechnical Commission is carried out. It is noted that the approaches used by these organizations to the development and management of computer security justification documents are quite similar. The paper provides suggestions for the development of requirements for computer security justification documents on the instrumentation and control systems at Ukrainian NPPs. The analysis of different international approaches to the development, implementation, and management of the computer security policy, program and plan has allowed developing requirements for the above-mentioned documents, which will be reflected in the new regulation taking into account the current situation at Ukrainian NPPs. Besides, it is planned to include separate requirements for computer security documentation of the developers of instrumentation and control systems regarding computer security, requirements for computer security incident response plan and requirements for reporting documents of computer security in this regulation.