Главная » Законодательство

Информационная безопасность ядреных установок

Законодательство
На чтение 3 мин Просмотров 22 Опубликовано
На днях на семинаре у атомщиков выступал с рассказом про информационную безопасность ядерных объектов в прицеле новой нормативки ФСТЭК по защите АСУ ТП. Очевидно, что высокоуровневый приказ регулятора применим к практически любой АСУ ТП любой отрасли, включая и атомную энергетику. Но такая универсальность несет с собой и ряд отрицательных моментов, включая и отсутствие учета специфических деталей, присущих различным отраслям — транспорту, трубопроводам, водоснабжению, нефтепереработке и в т.ч. и атомным объектам.

Найти эту специфику, применительно к информационной безопасности, оказалось не так уж и сложно. МАГАТЭ еще в 2003-м году начала разработку соответствующего документа «Компьютерная безопасность на ядерных установках», который увидел свет в 2009-м году, а в 2012-м он был официально переведен и на русский язык.

Однако на этом МАГАТЭ не остановилась и, создав отдельную рабочую группу, стала разрабатывать и другие документы, более полно раскрывающие отдельные аспекты обеспечения информационной безопасности на ядерных установках.

Это и документы по обеспечению конфиденциальности и целостности информации, и по оценке защищенности, и по управлению инцидентами, и по расследованию киберугроз, и т.п. Часть из этих документов в виде проектов готовы, часть на подходе.

Почерпнуть специфику можно и в других местах. В частности «американский Росатом» в 2010-м году выпустил обязательный к исполнению документ по кибербезопасности атомных объектов. Он, по структуре, напоминает проект приказа ФСТЭК по защите АСУ ТП — общие подходы, каталог защитных мер, рекомендации по их выбору. Разница только в том, что в США еще и разъяснения по каждой мере даны, что у нас сделано в рамках отдельного методического документа по государственным информационным системам и не учитывает тех мер защиты, которые специфичны именно для АСУ ТП.

А вообще насколько актуальна тема кибератак на объекты атомной энергетики? Как ни странно, вполне актуальна. Еще в 2002-м году я писал про ряд инцидентов на таких объектах в разных странах мира, включая и Россию. Поэтому сбрасывать со счетов ни внутреннего, ни внешнего злоумышленника не стоит. Включение этой проблемы в модель угроз становится насущной необходимостью. Это понимают и в МАГАТЭ — последние 2-3 года активизировалось применения руководства по моделированию угроз МАГАТЭ в контексте информационной безопасности; многие страны стали включать киберугрозы в свои документы на национальном уровне

Выводы… А выводов не будет. Заметка носит информационный характер с целью обратить внимание заинтересованных лиц на данное направление, а также стать руководством к размышлению. Невозможность осуществления кибернападений на атомную энергетику — это миф, который был развенчан уже не раз.

АСУ ТП
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ronin

    Этот комментарий был удален автором.

    Ответить
Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.