Наближай ПЕРЕМОГУ!

Долучайся до збору на авто для виконання бойових завдань!

Звернення та звітність

 <<

НАКАЗ від 22.03.2022 № 223 "Про затвердження Вимог до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки". Держатомрегулювання. 2022

Документ актуальний на 19.05.2022
завантажити документ, актуальний на поточний час

ДЕРЖАВНА ІНСПЕКЦІЯ ЯДЕРНОГО РЕГУЛЮВАННЯ УКРАЇНИ

НАКАЗ

22.03.2022  № 223

Зареєстровано в Міністерстві

юстиції України

07 квітня 2022 р.

за № 395/37731

Про затвердження Вимог до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки

Відповідно до статей 8 та 24 Закону України «Про використання ядерної енергії та радіаційну безпеку», підпункту 7 пункту 4 Положення про Державну інспекцію ядерного регулювання України, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 363, НАКАЗУЮ:

1. Затвердити Вимоги до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки, що додається.

2. Департаменту з питань безпеки ядерних установок (Борису СТОЛЯРЧУКУ) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

Виконуючий

обов’язки Голови -

Головного державного

інспектора з ядерної

та радіаційної безпеки України

О. Коріков

ПОГОДЖЕНО:

Міністр енергетики України

Перший заступник Міністра цифрової

трансформації України

Міністр внутрішніх справ України

Голова Державної регуляторної служби України

Голова Державної служби спеціального

зв’язку та захисту інформації України

Заступник Голови Служби безпеки України

Г.

Галущенко

О. Вискуб

Д. Монастирський

О. Кучер

Ю. Щиголь

В. Горбенко


ЗАТВЕРДЖЕНО

Наказ Державної інспекції

ядерного регулювання України

22 березня 2022 року № 223

Зареєстровано в Міністерстві

юстиції України

07 квітня 2022 р.

за № 395/37731

ВИМОГИ

до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки

I. Загальні положення

1. Ці Вимоги встановлюють вимоги до кіберзахисту інформаційних та керуючих систем атомних станцій, їх компонентів (програмно-технічних комплексів, технічних засобів автоматизації) і програмного забезпечення зазначених систем, під час їх розроблення, впровадження, експлуатації та модифікації, з метою забезпечення ядерної та радіаційної безпеки.

2. У цих Вимогах терміни вживаються в таких значеннях:

автентифікація - процес перевірки ідентифікаційних даних користувача або перевірки джерела даних, повідомлень і команд;

авторизація - процес надання інформаційною та/або керуючою системою певному користувачу або групі користувачів (після їх успішної автентифікації) прав на виконання певних дій, а також процес перевірки (підтвердження) наданих прав у разі спроби виконання цих дій;

вироби сторонньої розробки - програмні або апаратні вироби, які виготовлені третьою стороною відносно розробника інформаційної та/або керуючої системи, її компонентів або програмного забезпечення;

віддалений доступ - процес доступу користувача до інформаційної та/або керуючої системи атомної станції, її компонентів та/або програмного забезпечення, який забезпечує дистанційне використання даних, інформаційно-обчислювальних ресурсів та/або функції цієї системи;

відновлення - процес, спрямований на повернення інформаційної та/або керуючої системи атомної станції, її компонентів, програмного забезпечення до працездатного стану після повної або часткової втрати функціональності;

вразливість - недолік в інформаційній та/або керуючій системі атомної станції, її компонентах та/або програмному забезпеченні, який може бути використаний для реалізації кіберзагрози;

глибокоешелонований кіберзахист - підхід до кіберзахисту інформаційних та/або керуючих систем атомної станції, за якого для забезпечення кіберзахисту розгорнуті кілька послідовних рівнів і заходів кіберзахисту;

демілітаризована зона - фізичний або логічний сегмент мережі, який містить загальнодоступні сервіси, відділений від внутрішніх сервісів і ресурсів атомної станції та використовується з метою введення додаткового захисного бар’єра для локальної мережі;

диференційований підхід - застосування заходів кіберзахисту інформаційної та/або керуючої системи атомної станції пропорційно рівню кіберзахисту;

доступність - властивість, яка гарантує, що авторизований користувач завжди отримає доступ до даних і змогу їх використати;

зона кіберзахисту - група інформаційних та/або керуючих систем атомної станції з однаковими рівнями кіберзахисту, яка виділена для спільного адміністративного управління, комунікації та застосування однакових захисних заходів;

кібератака на інформаційну та/або керуючу систему атомної станції (далі - кібератака) - дії, які здійснюються за допомогою засобів електронних комунікацій (охоплюючи інформаційно-комунікаційні технології, програмні, програмно-апаратні засоби, інші технічні та технологічні засоби і обладнання) та спрямовані на компрометацію інформаційної та/або керуючої системи атомної станції через використання вразливостей;

кіберзагроза інформаційній та/або керуючій системі атомної станції (далі - кіберзагроза) - наявні та потенційно можливі явища і чинники, що можуть стати потенційною причиною кіберінциденту, який може спричинити нанесення шкоди інформаційній та/або керуючій системі атомної станції;

кіберзахист інформаційних та/або керуючих систем атомної станції (далі - кіберзахист) - комплекс адміністративних, технічних і програмних заходів та засобів, метою яких є запобігання, виявлення і реагування на кібератаки та кіберзагрози;

кіберінцидент з інформаційною та/або керуючою системою атомної станції (далі - кіберінцидент) - подія, під час виникнення якої піддаються компрометації інформаційна та/або керуюча система атомної станції, її компоненти або мережеве обладнання;

компрометація - порушення конфіденційності, цілісності, доступності даних та/або функціонування й характеристик інформаційної та/або керуючої системи атомної станції;

контроль доступу - процес забезпечення санкціонованого, авторизованого доступу до інформаційної та/або керуючої системи атомної станції або її компонентів;

конфіденційність - властивість, яка гарантує, що інформація залишається недоступною або нерозкритою для неавторизованих користувачів;

користувач - фізична особа або програмний процес, що може взаємодіяти з інформаційною та/або керуючою системою атомної станції через наданий інтерфейс;

культура безпеки щодо кіберзахисту (далі - культура кіберзахисту) - набір характеристик та особливостей діяльності організацій і поведінки окремих осіб, які визначають, що забезпечення кіберзахисту є однією з пріоритетних цілей і внутрішньою потребою, що веде до самосвідомості, відповідальності та самоконтролю під час виконання всіх робіт, що впливають на кіберзахист;

межа - точка розмежування, яка фізично або логічно поділяє зони кіберзахисту;

межовий інтерфейс - інтерфейс, через який здійснюється зв’язок між інформаційними та/або керуючими системами атомної станції, їх компонентами або мережами, що містяться у різних зонах кіберзахисту;

мережа - система електронних комунікацій, яка забезпечує обмін даними між технічними засобами однієї або декількох інформаційних та/або керуючих систем атомної станції;

мережева архітектура - повна структура мережі, яка визначає усі інформаційні та керуючі системи атомної станції, їх компоненти, мережеве обладнання, кабелі, використані топології мережі, протоколи обміну даними;

моніторинг - процес систематичного контролю поточного стану інформаційних та/або керуючих систем атомної станції, їх компонентів і програмного забезпечення;

негативний вплив - вплив на інформаційну та/або керуючу систему атомної станції, її компоненти або програмне забезпечення, який призводить до втрати або порушення функцій, зниження надійності, здатності реагування на кіберінциденти;

план кіберзахисту - документ, що визначає комплекс заходів, спрямованих на забезпечення кіберзахисту на етапах розроблення, впровадження, експлуатації інформаційних та/або керуючих систем атомних станцій, їх компонентів і програмного забезпечення;

політика кіберзахисту - сукупність задокументованих положень, правил і практик, які визначають цілі та порядок забезпечення кіберзахисту на етапах розроблення, впровадження, експлуатації та модифікації інформаційних та/або керуючих систем атомних станцій;

порушник - фізична особа, група або організація, яка проводить або має намір провести дії, що призведуть до порушення безпеки інформаційних та/або керуючих систем атомної станції;

правило двох осіб - принцип, що ґрунтується на спостереженні однієї особи за діями іншої з метою недопущення несанкціонованих дій;

принцип найменших привілеїв - принцип надання користувачу прав на виконання певних дій з певними ресурсами, які є мінімально необхідними для успішного виконання робочої мети;

програма кіберзахисту - документ, який регламентує та визначає застосування узгоджених (послідовних) організаційних і технічних заходів кіберзахисту та процедур для сукупності всіх інформаційних та керуючих систем енергоблока або майданчика атомної станції для забезпечення досягнення цілей кіберзахисту, визначених у політиці кіберзахисту;

раніше розроблене програмне забезпечення - програмне забезпечення, яке було використано в складі діючих інформаційних та/або керуючих систем та без змін або з додатковим конфігуруванням та уточненням параметрів може бути використано в складі інформаційної та/або керуючої системи, що проєктується;

ризик-інформований підхід до кіберзахисту - процес систематичного виявлення потенційних вразливостей інформаційної та/або керуючої системи та кіберзагроз для цієї системи, імовірнісного оцінювання виникнення негативних подій, детерміністичного оцінювання потенційних негативних наслідків цих подій та розроблення рекомендацій щодо реалізації контрзаходів з метою мінімізації вразливостей, імовірностей виникнення негативних подій та негативних наслідків;

рівень кіберзахисту - градація заходів кіберзахисту, що характеризується відповідними наборами вимог, установлених для інформаційної та/або керуючої системи атомної станції, її компонентів або програмного забезпечення, відповідно до максимальних наслідків успішної кібератаки;

цілісність - властивість, яка гарантує збереження повноти та точності даних.

Інші терміни вживаються в значеннях, наведених у Законі України «Про основні засади забезпечення кібербезпеки України», Загальних положеннях безпеки атомних станцій, затверджених наказом Державного комітету ядерного регулювання України від 19 листопада 2007 року № 162, зареєстрованих у Міністерстві юстиції України 25 січня 2008 року за № 56/14747 (далі - Загальні положення безпеки АС), Вимогах до проведення модифікацій ядерних установок та порядку оцінки їх безпеки, затверджених наказом Державного комітету ядерного регулювання України від 10 січня 2005 року № 4, зареєстрованих у Міністерстві юстиції України 24 січня 2005 року за № 78/10358 (далі - Вимоги до проведення модифікацій ядерних установок та порядку оцінки їх безпеки) та Вимогах з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки атомних станцій, затверджених наказом Державної інспекції ядерного регулювання України від 22 липня 2015 року № 140, зареєстрованих у Міністерстві юстиції України від 06 серпня 2015 року за № 954/27399 (далі - Вимоги з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС).

3. У цих Вимогах вживаються скорочення, що мають такі значення:

АС - атомна станція;

ЕО - експлуатуюча організація;

ІКС - інформаційна та/або керуюча система атомної станції;

ПЗ - програмне забезпечення;

ПТК - програмно-технічний комплекс;

ТЗА - технічний засіб автоматизації;

ЯРБ - ядерна та радіаційна безпека.

4. До ІКС застосовуються положення Закону України «Про основні засади забезпечення кібербезпеки України», як до технологічних систем, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних. У ІКС не здійснюється обробка державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законодавством.

5. Ці Вимоги регламентують кіберзахист ІКС, який забезпечується завдяки:

застосуванню ризик-інформованого підходу для забезпечення систематичного управління ризиками з метою недопущення зниження рівня ЯРБ;

відповідності параметрів і характеристик ІКС, їх компонентів і ПЗ під час їх розроблення, впровадження, експлуатації та модифікації вимогам до кіберзахисту;

дотриманню порядку розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та ПЗ, з урахуванням вимог до кіберзахисту.

6. Ці Вимоги обов’язкові під час здійснення діяльності з:

розроблення, виготовлення, випробувань, приймання та постачання ПТК і ТЗА (крім загальнопромислових), до складу яких входить ПЗ, призначених для застосування на АС як компонентів нових або модифікованих ІКС;

розроблення та верифікації ПЗ ІКС, ПТК і ТЗА;

проєктування, комплектування, монтажу, налагоджувальних робіт, введення в експлуатацію, експлуатації та модифікації ІКС;

розроблення документів, що обґрунтовують безпеку ІКС та/або їх компонентів;

державної експертизи ЯРБ на етапах розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та/або ПЗ.

7. Вимоги не поширюються на:

ТЗА, до складу яких не входить ПЗ;

датчики та канали передачі даних систем контролю радіаційних і метеорологічних параметрів у санітарно-захисній зоні та зоні спостереження;

системи фізичного захисту АС;

комп’ютерні системи АС, які використовуються в управлінні та операціях, орієнтованих на організаційно-адміністративну діяльність.

8. ЕО визначає та погоджує з Державною інспекцією ядерного регулювання України необхідність, обсяг і терміни усунення виявлених невідповідностей цим Вимогам тих ІКС та/або їх компонентів, що експлуатуються на АС, або тих, на монтаж яких Державною інспекцією ядерного регулювання України погоджено технічне рішення.

II. Класифікація

1. Класифікація функцій

1. Категорії виконуваних ІКС функцій визначаються згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС.

2. Функції, що виконують ІКС, важливі для безпеки АС, класифікуються за категоріями А, В, С, визначеними відповідно до Вимог з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС, залежно від їх ролі в забезпеченні ЯРБ, а також від можливих наслідків, спричинених невиконанням або помилковим виконанням функції. Функції, що виконують ІКС, які не впливають на безпеку АС, не класифікуються за категоріями.

2. Рівні кіберзахисту ІКС, їх компонентів та ПЗ

1. Рівні кіберзахисту ІКС, їх компонентів та ПЗ встановлюються згідно з цими Вимогами відповідно до категорій функцій ІКС А, В, С, характеру цих функцій (керуючі або інформаційні) та мережевих зв’язків.

2. Рівень кіберзахисту К1 установлюється для ІКС, їх компонентів та ПЗ, що виконують функції категорії A.

3. Рівень кіберзахисту К2 установлюється для ІКС, їх компонентів та ПЗ, що виконують:

функції категорії В;

керуючі функції категорії С;

керуючі некласифіковані функції.

4. Рівень кіберзахисту К3 установлюється для ІКС, їх компонентів та ПЗ, що виконують:

інформаційні функції категорії С;

інформаційні некласифіковані функції.

III. Загальні принципи забезпечення кіберзахисту

1. Політика кіберзахисту

1. ЕО та розробники ПТК, ТЗА, ПЗ розробляють, реалізують і підтримують політику кіберзахисту.

2. Політика кіберзахисту встановлює цілі кіберзахисту, визначає основні положення, правила та практики забезпечення кіберзахисту.

3. Політика кіберзахисту розробляється на виконання цих Вимог, норм і правил з ЯРБ та враховує закони й інші нормативно-правові акти з кібербезпеки.

4. Перегляд політики кіберзахисту здійснюється не рідше ніж один раз на рік або в разі виникнення кіберінцидентів на ІКС АС або змін, які потенційно можуть вплинути на кіберзахист.

5. Політика кіберзахисту, затверджена керівництвом підприємства-розробника, охоплює такі засади щодо ІКС:

розроблення, проєктування та виготовлення ПТК, ТЗА, ПЗ;

порядок застосування виробів сторонньої розробки;

випробування ПТК, ТЗА, ПЗ;

управління доступом до середовища розроблення ПТК, ТЗА, ПЗ;

управління ризиками та кіберзагрозами;

реагування на кіберінциденти;

оцінювання відповідності середовища розроблення ПТК, ТЗА, ПЗ вимогам кіберзахисту.

6. Політика кіберзахисту ІКС АС, затверджена керівництвом ЕО, охоплює такі засади:

ідентифікація ІКС, їх компонентів та ПЗ;

управління доступом до ІКС, їх компонентів та ПЗ;

управління конфігурацією ІКС, їх компонентів та ПЗ;

випробування ІКС, їх компонентів та ПЗ;

впровадження та експлуатація ІКС, їх компонентів та ПЗ;

модифікація ІКС, їх компонентів та ПЗ;

управління ризиками та кіберзагрозами;

реагування на кіберінциденти та відновлення;

оцінювання відповідності ІКС, їх компонентів та ПЗ вимогам кіберзахисту.

7. Політика кіберзахисту ІКС АС поширюється на всі ІКС, їх компоненти та ПЗ, які експлуатуються на конкретній АС.

8. Вимоги політики кіберзахисту ІКС АС враховуються в документах, що обґрунтовують кіберзахист, які використовуються під час реалізації та контролю за виконанням цієї політики.

2. Глибокоешелонований кіберзахист

1. Передбачається застосовування глибокоешелонованого кіберзахисту від кібератак, спрямованих на ІКС, їх компоненти та ПЗ. Стратегія глибокоешелонованого кіберзахисту описується в програмі кіберзахисту.

2. ЕО впроваджує, застосовує та підтримує стратегію глибокоешелонованого кіберзахисту (з урахуванням заходів захисту від несанкціонованого доступу до ІКС, їх компонентів та ПЗ) для забезпечення можливості виявлення, запобігання, реагування, пом’якшення наслідків і відновлення після кібератаки.

3. Глибокоешелонований кіберзахист забезпечується реалізацією сукупності послідовних бар’є-рів і заходів кіберзахисту для захисту ІКС, їх компонентів та ПЗ від кіберзагроз. Завдяки цьому відмова одного бар’єра чи заходу кіберзахисту не призводить до невиконання функцій або погіршення характеристик ІКС, їх компонентів та ПЗ.

Захисні бар’єри та пов’язані з ними заходи кіберзахисту забезпечують попередження або затримку розвитку кібератак.

4. Забезпечується незалежна ефективність різних захисних бар’єрів та їх захист від відмов із загальної причини на етапах розроблення, впровадження, експлуатації та модифікації ІКС. Водночас кожен бар’єр реалізує захист від кіберзагроз, які можуть виникати на сполучених бар’єрах.

3. Диференційований підхід до забезпечення кіберзахисту

1. Вимоги з кіберзахисту залежать від рівня кіберзахисту ІКС, їх компонентів та ПЗ. Заходи кіберзахисту застосовуються пропорційно до потенційно можливих наслідків кіберінцидентів. Для різних рівнів кіберзахисту вживаються заходи різної жорсткості (чим вищий рівень, тим більш суворі заходи кіберзахисту застосовуються).

2. Для практичної реалізації диференційованого підходу виконується логічне об’єднання ІКС та їх компонентів переважно з однаковими рівнями кіберзахисту в зони кіберзахисту для адміністрування та реалізації ідентичних захисних заходів. Критеріями для визначення зон кіберзахисту є структура ІКС, фізичне розміщення ІКС та їх компонентів, організація міжсистемних інтерфейсів, топологія локальних мереж.

Установлюється рівень кіберзахисту кожної зони. В обґрунтованих випадках до складу зони можуть належати ІКС та їх компоненти, що мають рівень кіберзахисту нижчий, ніж рівень кіберзахисту цієї зони. Рівень кіберзахисту зони встановлюється відповідно до найвищого рівня кіберзахисту ІКС та їх компонентів які належать до цієї зони. Водночас до усіх ІКС та їх компонентів і ПЗ у межах певної зони встановлюються вимоги з кіберзахисту та застосовуються захисні заходи відповідно до рівня кіберзахисту цієї зони.

Зони відображають логічне та фізичне групування ІКС та їх компонентів, а рівні кіберзахисту визначають ступінь необхідного кіберзахисту. В обґрунтованих випадках для декількох зон може бути встановлений однаковий рівень кіберзахисту.

3. Застосування зон кіберзахисту здійснюється з дотриманням таких принципів:

до ІКС та їх компонентів, які належать до однієї зони, застосовуються однакові захисні заходи;

ІКС та їх компоненти в межах однієї зони утворюють область надійного зв’язку, що не потребує застосування додаткових заходів захисту;

на межах зон реалізуються механізми розв’язування потоків даних для запобігання несанкціонованому доступу та поширенню помилок із зони більш високого рівня кіберзахисту до зони більш низького рівня кіберзахисту;

не допускається організація прямого з’єднання, що проходить більш ніж через дві зони;

мережеве обладнання (комутатори, кабелі) розміщується в тій же зоні кіберзахисту, що й пов’я-зані з ним ІКС;

мережеве обладнання, яке використовується для з’єднання різних ІКС та/або їх компонентів, що входять до двох різних зон, належать до зони з вищим рівнем кіберзахисту та до нього застосовуються відповідні заходи кіберзахисту;

передача даних здійснюється однонаправлено з боку зони більш високого рівня кіберзахисту до зони більш низького рівня кіберзахисту (зворотній обмін даними обґрунтовується та ініціюється лише з боку зони більш високого рівня кіберзахисту за допомогою запиту до зони більш низького рівня кіберзахисту);

межі двох зон обладнуються технічними та програмними засобами для розділення потоків даних згідно з вимогами, встановленими до зони більш високого рівня кіберзахисту;

потоки даних між різними зонами контролюються для забезпечення ефективності кіберзахисту;

тимчасове обладнання для доступу до ІКС, їх компонентів і ПЗ використовуються тільки в межах однієї зони або визначеного набору зон із однаковим рівнем кіберзахисту.

4. У випадку розміщення компонентів однієї ІКС у зонах з різним рівнем кіберзахисту до них застосовуються принципи, аналогічні тим, що викладені в пункті 3 глави 3 розділу III цих Вимог. Водночас застосовуються всі необхідні заходи захисту компонентів ІКС, що входять до зони з вищим рівнем кіберзахисту, від потенційного негативного впливу компонентів цієї ж ІКС, що входять до зони з нижчим рівнем кіберзахисту, відповідно до розділів V та VII цих Вимог.

4. Загальні вимоги до забезпечення кіберзахисту

1. ЕО відповідає за кіберзахист під час впровадження, модифікації, експлуатації, технічного обслуговування, ремонту, випробувань ІКС, їх компонентів та/або ПЗ на АС.

Кіберзахист ІКС АС забезпечує окремий підрозділ на майданчику АС, до складу якого входять фахівці, що мають необхідний рівень компетенції щодо кіберзахисту та ЯРБ.

2. Кіберзахист передбачає адміністративні (політика, процедури, дозволи), технічні (двері, замки, пломби), програмні (автентифікація та авторизація, антивірусний захист) та програмно-технічні (система виявлення вторгнень, міжмережеві екрани, пристрої однонаправленої передачі даних) заходи, які забезпечують:

попередження шкідливих дій через протидію та захист ІКС, їх компонентів, мережевого обладнання, ПЗ, даних та експлуатаційно-відновного резерву;

застосування засобів виявлення, затримки та реагування на шкідливі дії з метою мінімізації їх наслідків;

пом’якшення наслідків шкідливих дій, включно із заходами з відновлення нормального функціонування ІКС, їх компонентів та/або мережевого обладнання.

Заходи кіберзахисту гарантують, що будь-які ненавмисні дії та/або помилки персоналу не знижують кіберзахист та не підвищують вразливість ІКС, їх компонентів та ПЗ до шкідливих дій.

3. Під час проєктування ІКС визначаються проєктні заходи кіберзахисту, які реалізуються під час розроблення та виготовлення ПТК, ТЗА, ПЗ і забезпечують виконання вимог до кіберзахисту на етапах впровадження та експлуатації ІКС, їх компонентів та/або ПЗ.

4. Передача даних від ІКС АС до кризових центрів АС захищається та контролюється з використанням заходів кіберзахисту.

5. На етапах розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та/або ПЗ застосовується управління конфігурацією для попередження несанкціонованих змін, впровадження надлишкових функцій, використання некоректних даних.

5. Культура кіберзахисту

1. Дотримання культури кіберзахисту є суттєвим фактором забезпечення кіберзахисту. Керівництво ЕО забезпечує повну інтеграцію культури кіберзахисту в загальну культуру безпеки.

2. Основою культури кіберзахисту є розуміння тими, хто виконує функції регулювання, управління або експлуатації АС, існування реальної кіберзагрози та важливості кіберзахисту.

3. Культура кіберзахисту забезпечується за допомогою здійснення діяльності, спрямованої на інформування персоналу та поліпшення розуміння питань кіберзахисту (за допомогою плакатів, нагадувань, навчання, інструктажу, тестування).

4. Під час оцінювання культури кіберзахисту підтверджується, що:

вимоги кіберзахисту чітко документовані і добре розуміються керівництвом та персоналом;

процеси експлуатації ІКС, їх компонентів і ПЗ задокументовані;

керівництво та персонал розуміють і усвідомлюють важливість дотримання заходів контролю в межах політики та програми кіберзахисту;

обслуговування ІКС, їх компонентів та ПЗ забезпечує їх захист та експлуатацію відповідно до базових принципів і процедур кіберзахисту.

6. Координація між кіберзахистом та функціями ІКС АС

1. Гарантується, що засоби кіберзахисту, їх відмови та технічне обслуговування не мають негативного впливу (перешкоджання, затримання, викривлення) на інтерфейс «людина-машина», технічні характеристики та виконання ІКС функцій, важливих для безпеки АС, в умовах нормальної експлуатації та в разі порушень нормальної експлуатації.

2. Забезпечується запобігання негативному впливу засобів кіберзахисту, які реалізуються в певній ІКС, на сполучені ІКС.

3. Для забезпечення кіберзахисту в системах безпеки перевага надається зовнішнім (стосовно цих систем) засобам кіберзахисту.

4. Розробник ПТК, ТЗА, ПЗ виконує аналіз потенційного негативного впливу засобів кіберзахисту, який може призвести до порушення функціонування та/або погіршення характеристик ІКС (які регламентовані у Вимогах з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС), у складі якої використовуються або можуть бути використані відповідні ПТК, ТЗА, ПЗ, та мінімізує цей вплив.

Результати вказаного аналізу та реалізовані в ПТК, ТЗА, ПЗ заходи запобігання негативному впливу засобів кіберзахисту на функціонування та характеристики ІКС відображаються в плані кіберзахисту розробника.

5. Відсутність негативного впливу реалізованих у ПТК, ТЗА, ПЗ засобів кіберзахисту на функціонування та характеристики ІКС підтверджується в процесі випробувань з кіберзахисту на майданчику розробника, які проводяться за програмою та методикою, погодженими Державною інспекцією ядерного регулювання України.

IV. Оцінювання кіберзахисту ІКС

1. Виявлення вразливостей ІКС до кіберзагроз

1. На кожному етапі життєвого циклу ІКС проводиться виявлення та документування потенційних кіберзагроз та вразливостей кіберзахисту ІКС, їх компонентів та ПЗ.

2. Розробник здійснює заходи з виявлення вразливостей та захисту від несанкціонованого фізичного доступу до ПТК, ТЗА, а ЕО - до ІКС та їх компонентів (наявність/відсутність замків/пломб на дверях шаф, сигналізації про відкриття дверей шаф).

3. Розробник оцінює порядок та засоби контролю доступу користувачів до ПТК, ТЗА, ПЗ, а ЕО - до ІКС, їх компонентів та ПЗ. Проведення такого оцінювання спрямоване на підтвердження того, що в ІКС, ПТК, ТЗА, ПЗ:

реалізована автентифікація та авторизація користувачів (зокрема, зчитування конфігураційних файлів, що містять деталі облікових записів користувачів) та унеможливлено анонімний доступ до ІКС, ПТК, ТЗА, ПЗ;

забезпечено доступ лише до обмеженого набору функцій, даних і частин ІКС згідно з принципом найменших привілеїв;

унеможливлено віддалений доступ до компонентів та ПЗ ІКС з-за меж АС та із загальностанційних мереж і забезпечено запобігання несанкціонованому віддаленому доступу (віддалений доступ дозволений лише для авторизованих користувачів);

відсутні обхідні облікові записи з правами адміністратора для забезпечення доступу;

забезпечено блокування користувача в разі трьох невдалих спроб доступу до облікових записів та інформування персоналу, який визначено у відповідних документах АС, про намагання несанкціонованого доступу до ІКС, ПТК, ТЗА, ПЗ;

забезпечені необхідні довжина паролів, їх надійність, складність та періодичність зміни;

регламентовані та документовані процедури створення, зміни, блокування та видалення облікових записів користувачів;

визначена періодичність перегляду прав користувачів.

4. Розробник здійснює заходи з виявлення вразливостей та блокування несанкціонованого підключення (зокрема безпровідного) будь-яких зовнішніх пристроїв (сервісного або випробувального обладнання, портативних комп’ютерів, мобільних пристроїв, змінних носіїв даних) до ПТК, ТЗА, а ЕО - до ІКС та їх компонентів.

5. ЕО періодично здійснює заходи з виявлення вразливостей та оцінює відповідність захисту локальних мереж цим Вимогам за допомогою перевірок:

правильності визначення периметра кіберзахисту;

правильності конфігурування мережевого обладнання;

забезпечення кіберзахисту портів на мережевому обладнанні та обмеження доступу до конкретних портів технічних засобів ІКС;

наявності/відсутності відповідного сегментування мереж (використання некерованого трафіку в керуючих мережах, можливість або відсутність доступу до ІКС із загальноблокової мережі, знаходження сервісів керуючої мережі безпосередньо в цій мережі);

використання міжмережевих екранів для розділення локальних мереж і наявності/відсутності підключень в обхід міжмережевих екранів;

наявності/відсутності демілітаризованих зон;

реалізації фільтрації вхідних та вихідних пакетів даних;

правил розмежування доступу.

6. Розробник оцінює організаційні заходи та процедури із забезпечення кіберзахисту середовища розроблення ПТК, ТЗА, ПЗ, зокрема наявність або відсутність:

відповідальних осіб, які забезпечують кіберзахист в організації;

документації з кіберзахисту, яка регламентує процес розроблення ПТК, ТЗА, ПЗ в організації;

локальної мережі середовища розроблення, відокремленої від інших локальних та зовнішніх мереж розробника;

заходів захисту від несанкціонованого доступу (зокрема, порядку авторизації та автентифікації працівників, які беруть участь у розробленні ПТК, ТЗА, ПЗ);

порядку зберігання конфіденційної інформації та документації;

обмежень на використання зовнішніх носіїв даних, портативних та мобільних пристроїв;

порядку проведення оцінювання кіберзахисту;

порядку реєстрації та реагування на кіберінциденти.

7. ЕО оцінює організаційні заходи та процедури із забезпечення кіберзахисту, зокрема наявність або відсутність:

відповідальних осіб, які забезпечують кіберзахист в організаційній структурі АС;

документації з кіберзахисту;

задокументованих процедур резервного копіювання та відновлення;

порядку проведення оцінювання кіберзахисту;

порядку автентифікації та авторизації користувачів;

максимально спрощеної та задокументованої мережевої архітектури;

контролю вхідних та вихідних потоків даних;

моніторингу кіберінцидентів.

8. Результати виявлення вразливостей ПТК, ТЗА, ПЗ до кіберзагроз документуються розробником у відповідному звіті та враховуються в плані кіберзахисту розробника (згідно з главою 3 розділу VIII цих Вимог).

9. Результати виявлення вразливостей ІКС, їх компонентів та ПЗ до кіберзагроз документуються ЕО у звіті з оцінки кіберзахисту та враховуються ЕО в програмі кіберзахисту і в плані кіберзахисту ІКС АС (згідно з главами 2, 4 розділу VIII цих Вимог). Якщо аналіз показує, що заходи кіберзахисту на рівні ІКС недостатні, ЕО в програмі кіберзахисту та плані кіберзахисту ІКС АС визначаються додаткові компенсуючі заходи.

2. Оцінювання повноти та достатності заходів кіберзахисту ІКС

1. Оцінювання повноти та достатності заходів кіберзахисту під час модифікації або впровадження нових ІКС здійснюється спеціально створеною групою, до складу якої входять представники ЕО (фахівці з експлуатації та обслуговування ІКС, ЯРБ, кіберзахисту), розробників ПТК, ТЗА і ПЗ.

ЕО здійснює організацію та проведення первинного оцінювання відповідності повноти та достатності заходів кіберзахисту діючих ІКС цим Вимогам, які вже експлуатуються на АС, у межах аналогічної окремої процедури та за допомогою ризик-інформованого підходу (терміни проведення такого оцінювання визначаються відповідно до пункту 8 розділу I цих Вимог).

Оцінювання відповідності цим Вимогам повноти та достатності заходів кіберзахисту конфігурації та параметрів ІКС на місці експлуатації виконується з метою підтвердження реалізації відповідних заходів захисту від потенційно можливих кіберзагроз. Якщо результати оцінки показують, що реалізовані заходи є недостатніми, визначаються вимоги до додаткових заходів кіберзахисту.

2. Оцінювання відповідності повноти та достатності заходів кіберзахисту ІКС цим Вимогам здійснюється з використанням таких методів для отримання необхідної інформації:

аналіз документації (політики, програми та планів кіберзахисту ІКС АС, звітів з оцінки кіберзахисту, навчальних матеріалів з кіберзахисту, технічної документації ІКС, інвентарних списків технічних засобів ІКС, списків контролю доступу, мережевої архітектури, операційних журналів, звітів про кіберінциденти, оцінки ризиків);

бесіди з персоналом (зокрема, адміністративним керівництвом, оперативним та ремонтним персоналом, фахівцями з кіберзахисту);

безпосереднє обстеження ІКС, їх компонентів та локальних мереж.

3. Під час аналізу документації проводиться оцінювання відповідності передбачених у документації заходів кіберзахисту цим Вимогам і вимогам політики, програми та планів кіберзахисту ІКС АС. Додатково оцінюється відповідність поточного стану кіберзахисту ідентифікованим кіберзагрозам.

4. Бесіди з персоналом спрямовані на оцінювання обізнаності персоналу з політикою та програмою кіберзахисту ІКС АС, ефективності підготовки кадрів щодо кіберзахисту, сприйняття персоналом загроз та ризиків, готовності до реагування на кіберінциденти, визначення обов’язків та розподілу відповідальності, ефективності культури кіберзахисту, заходів забезпечення конфіденційності.

5. У процесі безпосереднього обстеження оцінюються заходи забезпечення кіберзахисту (з урахуванням рівнів кіберзахисту ІКС), реалізації зон кіберзахисту, контролю доступу до ІКС, її компонентів та ПЗ (зокрема до експлуатаційно-відновного резерву), фактичної мережевої архітектури, перевірок і технічного обслуговування ІКС, управління конфігурацією, моніторингу та реєстрації кібер-інцидентів.

6. На етапі збору інформації виконується оцінювання:

політики, програми та планів кіберзахисту ІКС АС і звітів з їх реалізації;

порядку, обсягу і результатів аналізу кіберзагроз та їх можливих наслідків;

застосування диференційованого підходу до забезпечення кіберзахисту, визначення рівнів кіберзахисту;

реалізації глибокоешелонованого кіберзахисту на АС;

наявності оцінки ризиків і забезпечення відповідних заходів кіберзахисту.

7. У процесі оцінювання відповідності повноти та достатності заходів кіберзахисту ІКС цим Вимогам виконується аналіз:

обізнаності персоналу з політикою та програмою кіберзахисту ІКС АС, спеціальної підготовки персоналу щодо забезпечення кіберзахисту та наявності відповідальних осіб, які забезпечують кіберзахист;

розподілу обов’язків і порядку доступу до ІКС;

наявності інвентарного переліку ІКС, їх компонентів, мережевого обладнання, ПЗ, експлуатаційно-відновного резерву, їх класифікації з кіберзахисту, відомостей про їх фізичне розміщення, функціональних схем ІКС і схеми зон кіберзахисту (водночас оцінюється відповідність зон кіберзахисту фізичному розміщенню ІКС та їх компонентів і відсутність входження обладнання більше ніж до однієї зони);

реалізації адміністративних, технічних і програмних засобів захисту та контролю несанкціонованого доступу до ІКС, їх компонентів, мережевого обладнання, ПЗ, експлуатаційно-відновного резерву;

порядку використання випробувального, налагоджувального обладнання, портативних пристроїв і зовнішніх носіїв даних у місцях розміщення ІКС та їх компонентів;

процедури утилізації непрацездатних або замінених технічних засобів та знищення носіїв даних;

обмеження доступу користувачів згідно з принципом найменших привілеїв;

можливостей несанкціонованого доступу до ІКС, їх компонентів, ПЗ і даних через мережеве обладнання, модеми, точки дротового або бездротового підключення, порти, незаблоковані ТЗА, сполучені ІКС;

реалізації виявлення вразливостей за допомогою відповідного аналізу та тестування;

достатності реалізованих у ІКС заходів кіберзахисту згідно з планами кіберзахисту ІКС АС;

упровадження компенсуючих заходів у разі, якщо необхідні заходи кіберзахисту не можуть бути застосовані в межах конкретної ІКС;

процедур упровадження або модифікації ІКС, їх компонентів, модифікації або установки нового ПЗ та оцінювання впливу цих змін на кіберзахист;

наявності в розробників ПТК, ТЗА, ПЗ системи менеджменту із забезпечення кіберзахисту, що підтверджується відповідними стандартами розробника;

заходів забезпечення кіберзахисту під час монтажу ІКС, їх компонентів;

програми й методики та результатів випробувань кіберзахисту ПТК, ТЗА, ПЗ у розробника після їх виготовлення та випробувань ІКС на АС;

заходів забезпечення кіберзахисту під час технічного обслуговування;

наявності задокументованих процедур реагування (дій персоналу, інформування, реалізації контрзаходів, відновлення, розслідування, застосування коригувальних заходів) на кіберінциденти, з урахуванням зовнішніх і внутрішніх (інсайдерських) кіберзагроз.

8. Під час використання ризик-інформованого підходу до оцінювання кіберзахисту діючих ІКС, ЕО виконує оцінювання ризиків з метою ідентифікації вразливостей до кібератак, що стосуються цих ІКС, і визначення потенційних наслідків успішного використання порушниками цих вразливостей. Впровадження заходів кіберзахисту базується на результатах такого оцінювання ризиків.

Під час оцінювання ризику виявляються та документуються конкретні поєднання кіберзагроз, вразливостей і наслідків, за результатами аналізу яких, у разі потреби, реалізуються додаткові заходи кіберзахисту, необхідні для запобігання або пом’якшення наслідків кібератак на ІКС.

Оцінювання ризиків ІКС передбачає:

визначення інтерфейсів і загальних умов експлуатації ІКС;

ідентифікацію та визначення характеру кіберзагроз;

виявлення вразливостей;

оцінювання імовірності виникнення негативних подій;

оцінювання наслідків негативних подій;

оцінювання рівня ризику;

визначення рівня прийнятного ризику;

визначення контрзаходів;

визначення остаточних ризиків та оцінювання їх сукупного впливу.

Вимоги до оцінювання кіберзахисту ІКС з використанням ризик-інформованого підходу визначаються та/або конкретизуються в програмі кіберзахисту та підтримуються в актуальному стані.

9. За результатами оцінювання кіберзахисту оформлюється звіт, який надається на погодження до Державної інспекції ядерного регулювання України.

Під час оцінювання та формування звіту забезпечується організаційний захист конфіденційної інформації, зокрема, маркування, збереження, передача та знищення підготовчих матеріалів, технічних записів, проєктів звіту та остаточного звіту. Застосовуються обмеження щодо використання електронних пристроїв і носіїв даних під час підготовки звіту.

3. Переоцінювання кіберзахисту ІКС

1. ЕО виконує періодичне переоцінювання кіберзахисту ІКС, їх компонентів та/або ПЗ згідно з процедурою, наведеною в главі 2 розділу IV цих Вимог, і за допомогою ризик-інформованого підходу протягом експлуатації ІКС, але не пізніше, ніж через один рік після впровадження нової ІКС або після первинного оцінювання діючої ІКС, і не рідше, ніж один раз на два роки з метою врахування появи нових кіберзагроз.

2. Додаткове переоцінювання кіберзахисту ІКС проводиться у разі:

модифікації ІКС, її компонентів та ПЗ;

виникнення кіберінциденту;

виявлення нових вразливостей ІКС;

інших змін, які впливають на ІКС, її компоненти та ПЗ (у разі наявності).

3. Під час переоцінювання здійснюються перевірки достатності реалізованих заходів кіберзахисту та їх відповідності вимогам нормативно-правових актів та програмі кіберзахисту.

4. За результатами переоцінювання кіберзахисту оформлюється звіт, який надається на погодження до Державної інспекції ядерного регулювання України.

Під час проведення переоцінювання та формування звіту забезпечується організаційний захист конфіденційної інформації, зокрема, належне маркування, збереження, передача та знищення підготовчих матеріалів, технічних записів, проєктів звіту та остаточного звіту. Застосовуються обмеження щодо використання електронних пристроїв і носіїв даних під час підготовки звіту.

V. Забезпечення кіберзахисту на етапі розроблення ІКС, їх компонентів та ПЗ

1. Загальні проєктні заходи кіберзахисту ІКС

1. Розроблення ПТК, ТЗА, ПЗ передбачає мінімізацію потенційних вразливостей та реалізацію загальних і додаткових (залежно від рівня кіберзахисту конкретної ІКС, у складі якої використовуються ПТК, ТЗА, ПЗ, що розробляються) засобів кіберзахисту. Під час проєктування враховуються результати виявлення вразливостей ПТК, ТЗА, ПЗ.

2. Реалізуються заходи для мінімізації прихованих функцій в ПЗ ПТК, ТЗА. Виконується аналіз програмного коду власної розробки (зокрема автоматично генерованого коду) та тестування ПЗ з метою підтвердження відсутності прихованих функцій в ПЗ ПТК, ТЗА.

3. ПЗ підлягає верифікації відповідно до Вимог з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС. У процесі верифікації ПЗ виконується перевірка реалізації у ПЗ ІКС та їх компонентах засобів кіберзахисту. Перевіряється відсутність негативного впливу засобів кіберзахисту на виконання функцій ІКС, важливих для безпеки АС.

Верифікація інструментальних засобів власної розробки, що використовуються для розроблення ПЗ, проводиться згідно з вимогами до ПЗ ІКС та їх компонентів. До інструментальних засобів сторонньої розробки застосовуються заходи забезпечення кіберзахисту згідно з главою 3 цього розділу.

4. Забезпечується відсутність впливу ПТК, ТЗА, ПЗ, що розробляються для використання в складі певної ІКС, на кіберзахист інших ІКС.

5. Під час проєктування ПТК, ТЗА, ПЗ враховується, що зв’язок між ІКС різних ступенів кіберзахисту ініціюється з боку ІКС більш високого ступеня кіберзахисту. У ПТК, ТЗА, ПЗ проєктними заходами забезпечується відсутність негативного впливу з боку інших ІКС.

Визначаються проєктні заходи для забезпечення достатньої впевненості в тому, що захист ПТК, ТЗА, ПЗ, що розробляються для використання в складі ІКС певного рівня кіберзахисту, не деградує внаслідок впливу з боку ІКС нижчого рівня кіберзахисту.

6. Використовуються засоби контролю та сигналізації фізичного доступу до ПТК, ТЗА, ПЗ, зміни їх конфігурації або їх відхилення від встановлених проєктом меж.

7. У ПТК мінімізується та обґрунтовується кількість точок доступу до локальних мереж.

8. Реалізуються засоби запобігання негативному впливу на ПТК, ТЗА, ПЗ з боку спеціального обладнання для тестування та технічного обслуговування.

9. Забезпечуються засоби захисту від несанкціонованого доступу до ПТК, ТЗА, ПЗ і мережевого обладнання.

Реалізуються засоби обмеження доступу до програмованих елементів і запобігання несанкціонованому створенню нових шляхів доступу до цих елементів.

10. Права доступу користувачів обмежують з урахуванням можливостей і наслідків потенційних кіберзагроз, керуючись принципом найменших привілеїв.

Доступ користувачів до ПТК, ТЗА, ПЗ реалізується з використанням технічних та/або програмних засобів автентифікації та авторизації. Тільки авторизовані користувачі отримують доступ і дозвіл на внесення змін у ПТК, ТЗА, ПЗ або їх конфігурацію.

Інтерфейс «людина-машина» (що використовується в процесі експлуатації та технічного обслуговування) надає доступ до ПЗ лише авторизованим користувачам, згідно з принципом найменших привілеїв.

Водночас унеможливлюється перехоплення або викривлення даних, що відображаються за допомогою інтерфейсу «людина-машина», спрямоване на запобігання або затримку дій оператора щодо виконання функцій, важливих для безпеки АС.

У ПЗ ІКС рівнів кіберзахисту К1, К2 застосовується процедура багатофакторної автентифікації, з використанням технічних засобів на основі отримання комбінації інформації про знання (зокрема, пароль, код) і про особисту власність (зокрема, ключ, карта з вбудованим мікрочипом). У ПЗ ІКС рівня кіберзахисту К3 застосовують щонайменше один з вищевказаних засобів автентифікації.

11. Визначаються потенційні напрями модифікації ПЗ, здатної спричинити помилкове виконання функцій. Під час верифікації підтверджується здатність виявлення такої модифікації. У ПТК, ТЗА реалізуються засоби перевірки коректності модифікацій, внесених у ПЗ.

12. ПТК, ТЗА, ПЗ проєктуються так, щоб мінімізувати вразливість ІКС.

Для раніше розробленого ПЗ використовуються такі параметри та конфігурація, які мінімізують вразливість ІКС (завдяки мінімізації функцій до необхідної межі або за допомогою існуючих засобів кіберзахисту ПЗ).

ПТК, ТЗА та їх елементи обираються, конфігуруються та налаштовуються так, щоб мінімізувати вразливість ІКС, до складу яких входять ці ПТК, ТЗА.

13. Під час проєктування конфігурації та/або встановлення параметрів програмованого обладнання реалізуються ефективні заходи захисту щодо:

управління вибірковим доступом користувачів до функцій ПЗ та до пам’яті ТЗА;

передачі даних у ІКС з нижчим рівнем кіберзахисту;

відстеження модифікацій ПЗ і параметрів ПТК, ТЗА.

14. У процесі випробувань кіберзахисту ПТК, ТЗА в їх фінальній конфігурації демонструється ефективність засобів кіберзахисту та відсутність їх негативного впливу на функції, які забезпечують ЯРБ.

Під час випробувань кіберзахисту виконується тестування для підтвердження достатності та коректності реалізованих у ПТК, ТЗА, ПЗ заходів кіберзахисту та виявлення потенційних вразливостей кіберзахисту ПТК, ТЗА, ПЗ.

Випробування кіберзахисту ПТК, ТЗА, ПЗ проводяться за програмою та методикою, погодженими Державною інспекцією ядерного регулювання України.

15. Заходи кіберзахисту, які не можуть бути інтегровані безпосередньо в ПТК, ТЗА, ПЗ, упроваджуються у складі ІКС окремо. Для застосування та технічного обслуговування таких окремих пристроїв вживаються додаткові адміністративні заходи управління.

16. Будь-яка інформація, що стосується проєктування, виготовлення, впровадження та експлуатації ПТК, ТЗА, ПЗ ідентифікується та, в разі потреби, позначається як інформація, щодо якої застосовуються відповідні організаційні заходи захисту від несанкціонованого розголошення, розкрадання, викривлення або знищення.

17. Унеможливлюються зміни ПЗ, що зберігається на носіях даних.

18. У ПТК, ТЗА, ПЗ реалізуються проєктні заходи щодо запобігання несанкціонованому віддаленому доступу та повного унеможливлення віддаленого доступу до них із-за меж АС та із загальностанційних мереж.

Віддалений доступ до ПТК, ТЗА, ПЗ рівнів кіберзахисту К1, К2, К3 здійснюється за умови авторизації та автентифікації користувачів з передбачених проєктом робочих місць, які відносяться до того ж або вищого рівня кіберзахисту, що й відповідні ПТК, ТЗА, ПЗ.

В обґрунтованих випадках допускається віддалений доступ до ПТК, ТЗА, ПЗ рівнів кіберзахисту К1, К2, К3 з передбачених проєктом робочих місць, які належать до нижчого рівня кіберзахисту ніж відповідні ПТК, ТЗА, ПЗ за умови виконання вимог глави 3 розділу III та розділу VII цих Вимог.

19. У ПТК та/або ТЗА забезпечується антивірусний захист.

Для ПТК та/або ТЗА рівнів кіберзахисту К1, К2 застосовуються організаційні та програмно-технічні засоби антивірусного захисту без застосування антивірусного ПЗ сторонньої розробки.

Для ПТК та/або ТЗА рівня кіберзахисту К3 застосовуються організаційні та програмно-технічні засоби антивірусного захисту та/або антивірусне ПЗ сторонньої розробки.

Застосування антивірусного ПЗ сторонньої розробки обґрунтовується та підтверджується відсутністю негативного впливу цього ПЗ на ІКС, їх компоненти та ПЗ, який може призвести до порушення функціонування та/або зміни характеристик ІКС, їх компонентів та ПЗ.

Для антивірусного ПЗ сторонньої розробки забезпечується регулярне оновлення антивірусних баз.

2. Забезпечення кіберзахисту на етапі розроблення ПТК, ТЗА, ПЗ

1. Розробники ПТК, ТЗА, ПЗ забезпечують надійні та контрольовані процеси забезпечення кіберзахисту, передбачені відповідною системою менеджменту.

2. Розроблення ПТК, ТЗА, ПЗ здійснюється в захищеному середовищі з реалізацією відповідних заходів кіберзахисту, які запобігають можливості впровадження програмного коду або даних, що можуть мати негативний вплив на виконання функцій ІКС, а також забезпечують захист інформації, пов’язаної з кіберзахистом ПТК, ТЗА, ПЗ, що розробляються. Проводиться періодичне оцінювання захищеності середовища розроблення та достатності застосовуваних заходів кіберзахисту.

3. У захищеному середовищі розроблення використовуються адміністративні заходи кіберзахисту, а саме управління конфігурацією, обмеження та контроль за використанням портативних пристроїв та змінних носіїв даних.

4. На стадії розроблення забезпечується запобігання несанкціонованому доступу до ПТК, ТЗА, їх елементів та ПЗ.

5. Розроблення ПЗ виконується з використанням ліцензованих та/або верифікованих засобів. Забезпечується ізоляція засобів розроблення ПЗ від зовнішніх мереж.

6. Під час розроблення ПТК, ТЗА, ПЗ враховуються потенційні кіберзагрози та реалізуються заходи захисту від цих загроз.

7. Передбачаються заходи проти впровадження прихованих функцій у прикладне або сис-темне ПЗ.

8. Будь-які технічні та програмні засоби розробки, а також тестове обладнання перевіряються з метою підтвердження неможливості негативного впливу з їх боку та створення шляхів впровадження програмного коду або даних, що можуть мати негативний вплив на виконання функцій ІКС, у захищене середовище розроблення або у ПТК, ТЗА, ПЗ, що розробляються. До засобів розроблення та тестового обладнання застосовуються заходи кіберзахисту, аналогічні тим, що реалізуються в захищеному середовищі розроблення щодо ПТК, ТЗА, ПЗ, що розробляються.

9. Під час транспортування ПТК, ТЗА та/або ПЗ від підприємства-розробника до місця експлуатації застосовуються заходи кіберзахисту з метою запобігання будь-яким шкідливим втручанням.

3. Забезпечення кіберзахисту технічних засобів та програмного забезпечення сторонньої розробки

1. Виконується вхідний контроль усіх виробів сторонньої розробки, які використовуються розробником для створення ПТК, ТЗА, ПЗ.

2. ПЗ сторонньої розробки, яке використовується розробником для створення ІКС та їх компонентів, підлягає обов’язковому тестуванню з метою перевірки правильності його функціонування та відсутності прихованих функцій.

3. Використання ПЗ сторонньої розробки у ІКС рівня кіберзахисту К1 мінімізується.

4. Для ТЗА та ПЗ сторонньої розробки, що використовуються у складі ІКС, підтверджується відповідність вимогам з кіберзахисту за допомогою проведення відповідних випробувань.

5. У ІКС використовується лише ліцензоване ПЗ сторонньої розробки. Функціональність ПЗ сторонньої розробки (зокрема операційних систем) обмежується лише тим набором можливостей, які необхідні для коректного виконання функцій ІКС. У разі використання неліцензованого ПЗ до нього застосовуються вимоги глави 1 розділу V цих Вимог.

VI. Забезпечення кіберзахисту на етапі впровадження

1. Забезпечення кіберзахисту під час монтажних і пусконалагоджувальних робіт і випробувань на АС

1. Монтаж, пусконалагоджувальні роботи та випробування на АС під час впровадження ІКС, їх компонентів та ПЗ проводяться в захищеному середовищі та з використанням обладнання, до якого застосовуються заходи кіберзахисту, аналогічні тим, що застосовуються до ІКС, їх компонентів та ПЗ, які підлягають монтажу, пусконалагоджувальним роботам або випробуванням з урахуванням рівня кіберзахисту.

2. Виконується перевірка того, що обладнання, яке використовується під час монтажу, пусконалагоджувальних робіт і випробувань, не утворює нові шляхи для впровадження програмного коду або даних, що можуть мати негативний вплив на виконання функцій ІКС, у захищене середовище або в компоненти ІКС.

3. Реалізуються заходи кіберзахисту для управління та контролю переміщення даних, ПЗ та ТЗА в захищене середовище або за його межі.

2. Порядок доступу до ІКС під час впровадження

1. Доступ до ІКС, їх компонентів та ПЗ персоналу, що здійснює монтаж, ремонт, випробування обмежується відповідно до їх завдань, як щодо тривалості доступу, так і щодо конкретного переліку ІКС, їх компонентів та ПЗ, до яких дозволений доступ.

2. Виконується інструктаж персоналу щодо забезпечення кіберзахисту під час проведення робіт з ІКС, їх компонентами та ПЗ на АС.

3. ЕО забезпечує контроль за діями персоналу під час проведення будь-яких операцій з доступом до ІКС, їх компонентам та ПЗ на АС (зокрема, застосовується правило двох осіб).

VII. Забезпечення кіберзахисту в процесі експлуатації

1. Загальні заходи забезпечення кіберзахисту в процесі експлуатації

1. На АС реалізуються засоби захисту, що відокремлюють ІКС та/або компоненти ІКС різних рівнів кіберзахисту.

2. Діяльність з модифікації ІКС планується та проводиться з урахуванням потенційних кіберзагроз.

3. Кількість точок доступу до локальних мереж мінімізується, наскільки це можливо, та обґрунтовується.

4. Реалізуються заходи виявлення спроб несанкціонованого входу та підключення до ІКС, їх компонентів та/або локальних мереж із подальшим застосуванням відповідних заходів реагування. Під час реалізації цих заходів забезпечується запобігання порушенням вимог ЯРБ.

Доступ до ІКС, їх компонентів та/або локальних мереж суворо контролюється для запобігання втручанню в їх роботу осіб, що не пройшли автентифікацію. Це забезпечується завдяки реалізації заходів технічного захисту (зокрема, замків на шафах, контролю фізичного доступу в приміщення), програмного обмеження і виявлення несанкціонованого доступу та впровадження відповідних організаційних заходів, які встановлюються відповідно до рівнів кіберзахисту конкретних ІКС та/або їх компонентів.

5. У межах управління конфігурацією усі постійні або тимчасові зміни, які стосуються оновлення ПЗ, побудови та зв’язків ІКС, доступу або підключення додаткових ліній передачі даних для випробувальних пристроїв або технічного обслуговування ідентифікуються та реєструються з метою виявлення змін, здатних негативно вплинути на кіберзахист.

6. Будь-які модифікації ІКС, їх компонентів або ПЗ виконуються відповідно до порядку, визначеного у Вимогах до проведення модифікацій ядерних установок та порядку оцінки їх безпеки.

7. Визначається порядок дій для своєчасного відновлення працездатності ІКС після кіберінциденту. Реалізуються заходи, які мінімізують ймовірність того, що вказаний порядок відновлення буде вразливим для тієї ж кіберзагрози.

8. ЕО здійснює безперервний моніторинг кіберзахисту ІКС, їх компонентів та ПЗ з метою виявлення кіберзагроз, порушень нормального функціонування ІКС, несанкціонованого доступу або змін. Результати моніторингу архівуються та захищаються від видалення або модифікації. Реалізується відповідний інтерфейс «людина-машина» для підтримки персоналу в процесі моніторингу кіберзахисту, ідентифікації, фіксації та сигналізації про кіберзагрози в усіх проєктних режимах роботи АС.

9. Реалізуються заходи запобігання створенню обхідних шляхів передачі даних між ІКС та/або компонентами ІКС різного рівня кіберзахисту через обладнання та лінії передачі даних, що використовуються для контролю, технічного обслуговування та відновлення.

10. Технічне обслуговування ІКС охоплює засоби забезпечення кіберзахисту та передбачає:

періодичне тестування почергово на кожному каналі ІКС, виведеному в технічне обслуговування;

перегляд програмних журналів роботи ІКС;

огляд стану компонентів ІКС;

моніторинг функціонування ІКС у режимі реального часу;

дії з виявлення, попередження та пом’якшення наслідків деградації компонентів;

дії з діагностування, ремонту або заміни компонентів, що відмовили.

Під час проведення технічного обслуговування реалізуються заходи кіберзахисту, які попереджують впровадження в ІКС та/або її компоненти програмного коду або даних, що можуть мати негативний вплив на виконання функцій ІКС.

Під час проведення технічного обслуговування реалізуються заходи кіберзахисту обладнання, аналогічні тим, що застосовні до відповідної ІКС, з урахуванням рівня її кіберзахисту. Забороняються будь-які підключення обладнання для технічного обслуговування, якщо це не є необхідним або не проводяться відповідні дії з технічного обслуговування.

У разі, якщо для виконання певних дій з технічного обслуговування ІКС необхідно тимчасово відключити окремі засоби забезпечення кіберзахисту, на період проведення цих дій приймаються компенсуючі заходи кіберзахисту.

Після проведення технічного обслуговування або тестування ІКС виконується перевірка конфігурації ПЗ та значень уставок з метою попередження їх несанкціонованої зміни.

11. Дії персоналу під час експлуатації, технічного обслуговування та випробувань ІКС контролюються згідно з регламентованими на АС процедурами (зокрема, застосовується правило двох осіб).

12. У разі використання будь-яких змінних носіїв даних у процесі експлуатації, технічного обслуговування та/або випробувань здійснюється контроль їх вмісту перед під’єднанням до ІКС з метою запобігання внесенню до ІКС програмного коду або даних, що можуть мати негативний вплив на виконання функцій ІКС, та після від’єднання від ІКС для запобігання несанкціонованому копіюванню даних.

13. У разі заміни окремих елементів ІКС під час модифікації, технічного обслуговування та/або ремонту забезпечується вилучення із замінених елементів будь-яких даних і ПЗ з метою запобігання використанню цієї інформації для підготовки та проведення кібератак. У разі неможливості вилучення даних та ПЗ із елемента ІКС, такі елементи підлягають знищенню або зберіганню із дотриманням відповідних заходів фізичного захисту, кіберзахисту та захисту від несанкціонованого доступу.

2. Заходи забезпечення кіберзахисту в процесі експлуатації (рівень К1)

1. Зв’язки ІКС та/або їх компонентів рівня кіберзахисту К1 обмежуються іншими ІКС та/або їх компонентами рівнів кіберзахисту К1 та К2. Зв’язок ІКС та/або їх компонентів рівня кіберзахисту К1 з ІКС та/або їх компонентами рівня кіберзахисту К3 дозволяється лише за умови детального обґрунтування й аналізу ризиків кіберзахисту.

2. Зв’язок здійснюється в односторонньому напрямку від ІКС та/або їх компонентів рівня кіберзахисту К1 до ІКС та/або їх компонентів рівнів кіберзахисту К2 або К3. Забезпечується фізична (апаратна) неможливість передачі даних у зворотному напрямку.

3. Передача даних від ІКС та/або їх компонентів рівня кіберзахисту К2 до ІКС та/або їх компонентів рівня кіберзахисту К1 дозволяється лише за умови детального обґрунтування й аналізу ризиків кіберзахисту та обмежується лише обов’язковими даними, без яких неможливе виконання функцій у повному обсязі. Достовірність будь-яких даних, що передаються з ІКС та/або їх компонентів рівня кіберзахисту К2 до ІКС та/або їх компонентів рівня кіберзахисту К1 контролюється (зокрема, формат даних, контроль часу передачі, контрольні суми).

4. Оновлення ПЗ і зміни конфігурації ІКС та/або їх компонентів рівня кіберзахисту К1 здійснюються тільки з використанням місцевих засобів апаратного блокування (зокрема, ключів, пломб) та одночасно лише в одному каналі ІКС.

5. Двонаправлена передача даних між ІКС та/або їх компонентами рівня кіберзахисту К1 та обладнанням для технічного обслуговування виконується з використанням окремої виділеної лінії передачі даних, яка відокремлена від інших мереж. Ця лінія передачі даних захищається технічними, програмними та адміністративними засобами.

6. Доступ до ІКС та/або їх компонентів рівня кіберзахисту К1 контролюється за допомогою сигналізації на блоковому, резервному або місцевих щитах управління.

7. Неавторизовані користувачі та непередбачені проєктом ІКС та/або їх компоненти не можуть зчитувати дані або змінювати дані та ПЗ. Водночас забезпечується необхідний доступ для авторизованих користувачів і передбачених проєктом ІКС та/або їх компонентів.

8. Основні заходи захисту (зокрема технічного захисту, приєднання блокуючих пристроїв) здійснюються на рівні ІКС. Основні вимоги щодо ПЗ можуть доповнювати захисні заходи на системному рівні.

9. ПЗ конфігурується та налаштовується так, щоб збирати необхідну інформацію для періодичної перевірки кіберзахисту ІКС та складання відповідного звіту.

3. Заходи забезпечення кіберзахисту в процесі експлуатації (рівень К2)

1. Зв’язки ІКС та/або їх компонентів рівня кіберзахисту К2 обмежуються іншими ІКС та/або їх компонентами рівнів кіберзахисту К1, К2 та К3. Зв’язок здійснюється в односторонньому напрямку від ІКС та/або їх компонентів рівня кіберзахисту К2 до ІКС та/або їх компонентів рівня кіберзахисту К3. Одностороння передача даних забезпечуються використанням відповідних технічних і програмних засобів (наприклад, спеціального обладнання для фільтрації потоків даних).

2. Передача даних від ІКС та/або їх компонентів рівня кіберзахисту К3 до ІКС та/або їх компонентів рівня кіберзахисту К2 обмежується та використовується лише в обґрунтованих випадках.

3. Унеможливлюється зміна ПЗ та конфігурації ІКС та/або їх компонентів рівня кіберзахисту К2 з боку ІКС та/або їх компонентів рівня кіберзахисту К3.

4. Оновлення ПЗ та зміни конфігурації ІКС та/або їх компонентів рівня кіберзахисту К2 здійснюються одночасно лише в одному каналі ІКС, протягом заздалегідь визначених часових проміжків, та захищаються відповідними блокуваннями. Двонаправлена передача даних між ІКС та/або їх компонентами рівня кіберзахисту К2 та обладнанням для технічного обслуговування виконується з використанням окремої виділеної лінії передачі даних, яка відокремлена від інших мереж. Ця лінія передачі даних захищається технічними, програмними та адміністративними засобами.

4. Заходи забезпечення кіберзахисту в процесі експлуатації (рівень К3)

1. Для ІКС рівня кіберзахисту К3 застосовуються загальні заходи забезпечення кіберзахисту згідно з главою 1 розділу VII цих Вимог.

2. Зв’язки ІКС та/або їх компонентів рівня кіберзахисту К3 обмежуються іншими ІКС та/або їх компонентами рівнів кіберзахисту К1, К2 та К3. Зв’язок ІКС та/або їх компонентами рівня кіберзахисту К3 з іншими комп’ютерними системами або мережами передачі даних обґрунтовується, реалізується з використанням демілітаризованих зон та застосовується лише в разі, якщо це не ставить під загрозу дотримання вимог з ЯРБ, що встановлені для цієї ІКС та/або їх компонентів.

Якщо у ІКС та/або їх компонентів рівня кіберзахисту К3 передбачена можливість передачі даних до ІКС та/або їх компонентів рівня кіберзахисту К2, то не допускається зв’язок цих ІКС та/або їх компонентів рівня кіберзахисту К3 з іншими комп’ютерними системами або мережами передачі даних, які не відносяться до рівнів кіберзахисту К1, К2, К3.

3. Гарантується відсутність негативного впливу ІКС рівня кіберзахисту К3 на ІКС, їх компоненти та/або ПЗ рівнів кіберзахисту К1, К2.

5. Контроль змін під час модифікації ІКС

1. Необхідні дії з модифікації ПЗ здійснюються з урахуванням потенційних кіберзагроз.

Проводиться оцінювання модифікації на місці експлуатації для перевірки того, що вжиті відповідні заходи захисту від потенційних кіберзагроз.

2. Визначаються особливі режими в процесі введення в експлуатацію та модифікації ІКС, які охоплюють:

інтерфейси та спеціальні можливості ІКС та/або їх компонентів, що блокуються під час роботи на потужності;

функції включення аварійної сигналізації, що блокуються під час модифікації;

використання станцій обслуговування та інструментальних засобів;

необхідність проведення дій оператором з визначеного проєктом місця.

Для забезпечення працездатності та кіберзахисту ІКС та/або їх компонентів будь-які особливі режими компенсуються додатковими заходами під час та/або після модифікації.

3. Обладнання, що використовується під час модифікації ПЗ на місці експлуатації, обирається зважаючи на рівень його потенційної загрози кіберзахисту ІКС та/або їх компонентів, у яких використовується це ПЗ.

4. Нові версії ПЗ, які здійснюють пов’язані з кіберзахистом зміни, підлягають верифікації для підтвердження того, що вимоги з кіберзахисту враховані.

5. Процедура інсталяції ПЗ на місці його експлуатації передбачає перевірки працездатності ПЗ, які проводяться до повномасштабного введення ІКС та/або їх компонентів в експлуатацію.

VIII. Вимоги до документів, що обґрунтовують кіберзахист

1. Загальні вимоги до документації

1. Документи, що обґрунтовують кіберзахист ІКС, їх компонентів та/або ПЗ, містять достатню інформацію для демонстрації того, що заходи кіберзахисту спроєктовані, впроваджені та підтримуються відповідно до визначеного рівня кіберзахисту та забезпечують належний захист від кіберзагроз.

2. Забезпечується організаційний захист документів, що обґрунтовують кіберзахист ІКС, їх компонентів та/або ПЗ, від несанкціонованого розкриття, фальсифікації, вилучення або знищення, відповідно до визначеного рівня кіберзахисту.

2. Програма кіберзахисту

1. ЕО розробляє та впроваджує програму кіберзахисту для кожного енергоблока АС, а також окрему програму кіберзахисту майданчика АС (для сукупності усіх ІКС рівнів кіберзахисту К1, К2, К3, які знаходяться за межами енергоблоків).

2. Програма кіберзахисту регламентує:

заходи кіберзахисту для сукупності усіх ІКС енергоблока АС або сукупності усіх ІКС рівнів кіберзахисту К1, К2, К3, які знаходяться за межами енергоблоків;

заходи для реалізації цілей, визначених у політиці кіберзахисту;

відсутність впливу кіберзахисту на ЯРБ й заходів забезпечення кіберзахисту на виконання функцій ІКС;

необхідність розроблення планів реалізації заходів кіберзахисту.

3. Програма кіберзахисту описує заходи з реалізації стратегії глибокоешелонованого захисту та її використання для захисту, виявлення, реагування і відновлення ІКС після кібератак.

4. Програма кіберзахисту встановлює рівні кіберзахисту ІКС, їх компонентів та ПЗ і розподіл на зони кіберзахисту й визначає та/або конкретизує заходи кіберзахисту для ІКС, їх компонентів та ПЗ відповідно до рівнів їх кіберзахисту.

5. Програма кіберзахисту визначає:

відповідальних осіб, які забезпечують кіберзахист, та їх обов’язки на етапах впровадження, експлуатації та модифікації ІКС;

порядок доступу до ІКС, їх компонентів, ПЗ, конфігураційних даних та інструментальних засобів на етапах впровадження, експлуатації і модифікації ІКС;

процес ідентифікації та захисту інформації (документація, бази даних, файли, ПЗ), що стосується кіберзахисту ІКС, та розкриття, викривлення або знищення якої може негативно вплинути на кіберзахист.

6. Програма кіберзахисту передбачає проведення та документування оцінювання і періодичного переоцінювання кіберзахисту ІКС (згідно з розділом IV цих Вимог).

7. Програма кіберзахисту за результатами оцінювання, періодичного переоцінювання і випробувань кіберзахисту ІКС, а також реалізації планів кіберзахисту визначає додаткові заходи кіберзахисту та/або конкретизує існуючі заходи кіберзахисту, враховує потенційні вразливості кіберзахисту на етапах впровадження, експлуатації та модифікації ІКС і регламентує процедури усунення цих вразливостей.

8. Програма кіберзахисту визначає та/або конкретизує вимоги до оцінювання кіберзахисту ІКС за допомогою ризик-інформованого підходу та регламентує розроблення відповідної методики оцінювання.

9. Програма кіберзахисту встановлює вимоги до виявлення, реагування та повідомлення про кіберінциденти. Деталізація цих вимог надається в плані реагування на кіберінциденти (згідно з главою 5 розділу VIII цих Вимог).

10. Програма кіберзахисту надається на погодження до Державної інспекції ядерного регулювання України.

11. Перегляд програми кіберзахисту здійснюється не рідше ніж один раз на рік та в разі:

кіберінцидентів на АС;

змін у політиці кіберзахисту;

інших змін, які впливають на програму кіберзахисту (в разі потреби).

12. У разі необхідності внесення змін до програми кіберзахисту за результатами її перегляду, розроблюється сповіщення про зміни в програмі кіберзахисту, в якому наводиться перелік змін та обґрунтування щодо безпеки їх впровадження. Сповіщення про зміни надається на погодження до Державної інспекції ядерного регулювання України.

3. Документи розробника щодо кіберзахисту

1. Розробник ПТК, ТЗА, ПЗ, які належать до рівнів кіберзахисту К1, К2 або К3, у технічному зав-данні (технічній специфікації, технічних умовах) визначає рівень кіберзахисту ПТК, ТЗА, ПЗ, з урахуванням рівня кіберхзахисту ІКС, у складі якої використовуються ці ПТК, ТЗА, ПЗ, і встановлює вимоги до проєктних заходів кіберзахисту, які реалізуються у ПТК, ТЗА, ПЗ на етапі їх розроблення.

Перегляд технічних умов щодо вимог до кіберзахисту ПТК і ТЗА, які виготовляються серійно, виконується в разі:

змін у ПТК та/або ТЗА, які впливають на кіберзахист;

кіберінцидентів, пов’язаних з цими ПТК та/або ТЗА;

виявлення вразливостей або недостатності реалізованих заходів кіберзахисту, пов’язаних з цими ПТК та/або ТЗА, за результатами оцінювання або періодичного перецінювання (згідно з розділом IV цих Вимог);

інших змін, які впливають на технічні умови щодо вимог до кіберзахисту (у разі потреби).

Технічне завдання, технічна специфікація, технічні умови та відповідні зміни й доповнення до них надаються на погодження до Державної інспекції ядерного регулювання України.

2. Розробник ПТК, ТЗА, ПЗ, які належать до рівнів кіберзахисту К1, К2 або К3, розробляє план кіберзахисту розробника для першого (головного) комплекту ПТК або першого (головного) зразка ТЗА, а також для наступних комплектів ПТК і зразків ТЗА.

Розробник ПТК і ТЗА, які виготовляються серійно, розробляє план кіберзахисту розробника та періодично виконує його перегляд (не рідше ніж один раз на рік) та в разі:

змін у ПТК та/або ТЗА, які впливають на кіберзахист;

кіберінцидентів, пов’язаних з цими ПТК та/або ТЗА;

виявлення вразливостей або недостатності реалізованих заходів кіберзахисту, пов’язаних з цими ПТК та/або ТЗА, за результатами оцінювання або періодичного перецінювання (згідно з розділом IV цих Вимог);

інших змін, які впливають на план кіберзахисту розробника (в разі потреби).

3. У плані кіберзахисту розробника наводиться перелік проєктних заходів кіберзахисту, які реалізуються у ПТК, ТЗА, ПЗ на етапі їх розроблення.

4. План кіберзахисту розробника визначає та/або конкретизує:

комплекс кроків і дій щодо реалізації проєктних заходів кіберзахисту на етапі розроблення ПТК, ТЗА, ПЗ згідно з главою 1 розділу V цих Вимог і додаткові умови, які впливають на реалізацію цих заходів;

заходи, що гарантують відсутність впливу засобів забезпечення кіберзахисту на виконання функцій ПТК, ТЗА, ПЗ;

процес і вимоги до виявлення вразливостей ПТК, ТЗА, ПЗ до кіберзагроз згідно з главою 1 розділу IV цих Вимог.

5. План кіберзахисту розробника для першого (головного) комплекту ПТК або першого (головного) зразка ТЗА надається на погодження до Державної інспекції ядерного регулювання України.

Плани кіберзахисту розробника для наступних комплектів ПТК або зразків ТЗА надаються на погодження до Державної інспекції ядерного регулювання України в разі:

змін у ПТК та/або ТЗА, які впливають на кіберзахист;

кіберінцидентів, пов’язаних з цими ПТК та/або ТЗА.

План кіберзахисту розробника для ПТК і ТЗА, які виготовляються серійно, та зміни до нього надаються на погодження до Державної інспекції ядерного регулювання України.

6. Для підтвердження реалізації плану кіберзахисту розробника проводяться випробування кіберзахисту на майданчику розробника за відповідною програмою та методикою.

7. Програма та методика випробувань кіберзахисту на майданчику розробника визначає:

мету випробувань;

об’єкт випробувань;

умови проведення випробувань;

перелік відповідальних осіб, які забезпечують проведення випробувань і забезпечення безпеки та кіберзахисту під час випробувань;

заходи з безпеки та кіберзахисту, зокрема вимоги до середовища випробувань, у якому реалізовані заходи кіберзахисту;

перелік документів, які надаються на випробування;

обсяг і послідовність проведення випробувань та перевірок;

методи підтвердження достатності та коректності реалізованих у ПТК, ТЗА, ПЗ заходів кіберзахисту і підтвердження захищеності ПТК, ТЗА, ПЗ від кібератак;

методи підтвердження відсутності впливу заходів забезпечення кіберзахисту на виконання функцій ПТК, ТЗА, ПЗ;

критерії аналізу звіту з виявлення вразливостей ПТК, ТЗА, ПЗ до кіберзагроз;

критерії успішності випробувань і реалізації плану кіберзахисту розробника;

вимоги до оформлення результатів випробувань.

8. Програма та методика випробувань кіберзахисту на майданчику розробника для першого (головного) комплекту ПТК або першого (головного) зразка ТЗА надається на погодження до Державної інспекції ядерного регулювання України, як окремий документ або в складі плану з валідації, який розробляється згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС.

Програма та методика випробувань кіберзахисту на майданчику розробника для наступних комплектів ПТК або зразків ТЗА надається на погодження до Державної інспекції ядерного регулювання України, як окремий документ або в складі програми та методики приймального контролю, яка розробляється згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки атомних станцій, в разі:

змін у ПТК та/або ТЗА, які впливають на кіберзахист;

кіберінцидентів, пов’язаних з цими ПТК та/або ТЗА.

Програма та методика випробувань кіберзахисту на майданчику розробника для ПТК і ТЗА, які виготовляються серійно, надається на погодження до Державної інспекції ядерного регулювання України, як окремий документ або в складі програми та методики приймальних випробувань на майданчику розробника, яка розробляється згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС.

9. Результати реалізації плану кіберзахисту розробника для першого (головного) комплекту ПТК і першого (головного) зразка ТЗА надаються Державній інспекції ядерного регулювання України, як окремий звіт або в складі звіту з валідації, який розробляється згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС для обґрунтування технічного рішення про проведення монтажу.

Результати реалізації плану кіберзахисту розробника для наступних комплектів ПТК і зразків ТЗА надаються Державній інспекції ядерного регулювання України до погодження технічного рішення про проведення монтажу, як окремий звіт, в разі:

змін у ПТК та/або ТЗА, які впливають на кіберзахист;

кіберінцидентів, пов’язаних з цими ПТК та/або ТЗА.

Звіт з результатами реалізації плану кіберзахисту розробника або змін до плану кіберзахисту розробника для ПТК і ТЗА, які виготовляються серійно, надаються Державній інспекції ядерного регулювання України в строк не більше одного року після погодження плану кіберзахисту розробника або зміни до нього.

4. План кіберзахисту ІКС АС

1. План кіберзахисту ІКС АС розробляється ЕО щодо кожної окремої ІКС, яка впроваджується або модифікується на АС.

2. План кіберзахисту ІКС АС розробляється ЕО щодо діючих ІКС, якщо:

виконується модифікація ІКС, її компонентів та/або ПЗ, яка впливає на кіберзахист;

у звіті за результатами виявлення вразливостей до кіберзагроз, первинного оцінювання кіберзахисту ІКС (згідно з главами 1, 2 розділу IV цих Вимог) та випробувань заходів кіберзахисту діючої ІКС визначена необхідність реалізації додаткових заходів кіберзахисту.

3. План кіберзахисту ІКС АС щодо ІКС, яка впроваджується або модифікується на АС, визначає та/або конкретизує:

комплекс кроків і дій щодо реалізації заходів кіберзахисту на етапі впровадження ІКС, її компонентів і ПЗ (згідно з розділом VI цих Вимог) і в процесі експлуатації ІКС, її компонентів і ПЗ (згідно з розділом VII цих Вимог) та додаткові умови, які впливають на реалізацію цих заходів;

заходи, що гарантують відсутність впливу засобів забезпечення кіберзахисту на виконання функцій ІКС, її компонентів і ПЗ;

процес і вимоги до виявлення вразливостей ІКС, її компонентів і ПЗ до кіберзагроз (згідно з главою 1 розділу IV цих Вимог);

процес і вимоги до оцінювання повноти та достатності заходів кіберзахисту ІКС (згідно з главою 2 розділу IV цих Вимог);

перелік змін, які необхідно внести до програми кіберзахисту.

4. План кіберзахисту ІКС АС щодо ІКС, яка впроваджується або модифікується на АС, надається на погодження до Державної інспекції ядерного регулювання України до погодження технічного рішення про проведення монтажу об’єкта модифікації.

5. Результати реалізації плану кіберзахисту ІКС АС щодо ІКС, яка впроваджується або модифікується на АС, наводяться в звіті з реалізації плану кіберзахисту ІКС АС. У цьому звіті на підставі виконаного оцінювання та випробувань відображається реалізація заходів, зазначених у плані кіберзахисту ІКС АС.

Звіт з реалізації плану кіберзахисту ІКС АС надається на погодження до Державної інспекції ядерного регулювання України до введення об’єкта модифікації в дослідну експлуатацію.

6. План кіберзахисту ІКС АС щодо діючих ІКС визначає та/або конкретизує:

комплекс кроків і дій щодо реалізації додаткових заходів кіберзахисту для усунення невідповідності вимогам за результатами визначення вразливостей до кіберзагроз, первинного оцінювання кіберзахисту ІКС (згідно з главами 1, 2 розділу IV цих Вимог), випробувань заходів кіберзахисту діючої ІКС, та додаткові умови, які впливають на реалізацію цих заходів;

заходи, які гарантують відсутність впливу засобів забезпечення кіберзахисту на виконання функцій ІКС;

процес і вимоги до підтримки передбачених заходів;

процес і вимоги до переоцінювання повноти та достатності заходів кіберзахисту ІКС (згідно з главою 3 розділу IV цих Вимог);

перелік змін, які необхідно внести до програми кіберзахисту.

7. План кіберзахисту ІКС АС для діючих ІКС надається на погодження до Державної інспекції ядерного регулювання України.

8. Результати реалізації плану кіберзахисту ІКС АС для діючих ІКС наводяться у звіті з реалізації плану кіберзахисту ІКС АС. У цьому звіті на підставі виконаного переоцінювання та випробувань відображається реалізація заходів з кіберзахисту, зазначених у плані кіберзахисту ІКС АС.

Звіт з реалізації плану кіберзахисту ІКС АС надається на погодження до Державної інспекції ядерного регулювання України.

9. До чинного плану кіберзахисту ІКС АС вносяться зміни, якщо у звіті за результатами переоцінювання кіберзахисту ІКС (згідно з главою 3 розділу IV цих Вимог) визначена необхідність реалізації додаткових заходів кіберзахисту.

10. У змінах до чинного плану кіберзахисту ІКС АС визначається та/або конкретизується:

комплекс кроків і дій щодо реалізації додаткових заходів кіберзахисту для усунення невідповідності регламентованим вимогам, за результатами переоцінювання кіберзахисту ІКС (згідно з главою 3 розділу IV цих Вимог), та додаткові умови, які впливають на реалізацію цих заходів;

заходи, що гарантують відсутність впливу засобів забезпечення кіберзахисту на виконання функцій ІКС;

процес і вимоги до підтримки передбачених заходів;

процес і вимоги до переоцінювання повноти та достатності заходів кіберзахисту ІКС (згідно з главою 3 розділу IV цих Вимог);

перелік змін, які необхідно внести до програми кіберзахисту ІКС АС.

11. Зміни до плану кіберзахисту ІКС АС надаються на погодження до Державної інспекції ядерного регулювання України.

12. Результати реалізації змін у плані кіберзахисту ІКС АС наводяться у звіті з реалізації змін плану кіберзахисту ІКС АС. У цьому звіті на підставі виконаного переоцінювання та випробувань відображається реалізація заходів із кіберзахисту, зазначених у змінах до плану кіберзахисту ІКС АС.

Звіт з реалізації змін плану кіберзахисту ІКС АС надається на погодження до Державної інспекції ядерного регулювання України.

13. Для підтвердження реалізації плану або змін до плану кіберзахисту ІКС АС, а також для перевірки відповідності встановленим вимогам наявних заходів кіберзахисту діючої ІКС проводяться випробування кіберзахисту на майданчику АС за відповідною програмою та методикою.

14. Програма та методика випробувань кіберзахисту на майданчику АС визначає:

мету випробувань;

об’єкт випробувань;

умови проведення випробувань;

перелік відповідальних осіб, які забезпечують проведення випробувань і забезпечення безпеки та кіберзахисту під час випробувань;

заходи з безпеки та кіберзахисту, зокрема вимоги до середовища випробувань, у якому реалізовані відповідні заходи кіберзахисту;

перелік документів, які надаються на випробування;

обсяг і послідовність проведення випробувань та перевірок;

методи підтвердження достатності та коректності реалізованих у ІКС заходів кіберзахисту й підтвердження захищеності ІКС, її компонентів і ПЗ від кібератак;

методи підтвердження відсутності впливу заходів кіберзахисту на виконання функції ІКС, її компонентів і ПЗ;

критерії аналізу звітів з оцінювання або переоцінювання кіберзахисту ІКС;

критерії успішності випробувань і реалізації плану кіберзахисту АС;

вимоги до оформлення результатів випробувань.

15. Програма та методика випробувань кіберзахисту на майданчику АС надається на погодження до Державної інспекції ядерного регулювання України як окремий документ або у складі програми та методики попередніх (комплексних) випробувань ІКС на енергоблоці АС.

5. План реагування на кіберінциденти

1. ЕО розробляє план реагування на кіберінциденти, який містить процедури ідентифікації та реагування на можливе відхилення від встановлених проєктом меж. Такий план визначає порядок дій персоналу, спрямованих на запобігання розвитку кібератак та відновлення після кіберінцидентів.

2. План реагування на кіберінциденти передбачає дії з накопичення та збереження інформації для подальшого розслідування кіберінциденту.

3. План реагування на кіберінциденти визначає розподіл обов’язків персоналу, що входить до складу команди реагування на кіберінциденти. До складу команди входить не лише персонал з кіберзахисту, але й персонал, ознайомлений зі специфікою побудови та функціонування ІКС.

4. План реагування на кіберінциденти визначає перелік ПЗ, даних і конфігураційних файлів, які зберігаються у сховищах, фізично відділених від ІКС (з метою запобігання відмовам із загальної причини), та використовуються для відновлення роботи ІКС. Заходи кіберзахисту застосовуються для захисту вказаних сховищ від розкрадання, фальсифікації, пошкодження або видалення.

5. План реагування на кіберінциденти передбачає проведення практичного навчання працівників. Періодично проводяться перевірки знань і навичок персоналу та тренування персоналу відповідно до плану реагування на кіберінциденти. План переглядається не рідше ніж один раз на рік та доповнюється, в разі потреби.

6. План реагування на кіберінциденти надається на погодження до Державної інспекції ядерного регулювання України.

Директор Департаменту

з питань безпеки

ядерних установок -

заступник Головного

державного інспектора

з ядерної та радіаційної

безпеки України

Б. Столярчук

Про затвердження Вимог до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки

Наказ; Держатомрегулювання від 22.03.2022 № 223

Прийняття від 22.03.2022

Постійна адреса:

https://xn--80aagahqwyibe8an.com/go/z0395-22

Законодавство України

станом на 28.09.2023

чинний


Публікації документа

  • Офіційний вісник України від 19.04.2022 — 2022 р., № 30, стор. 127, стаття 1624, код акта 110811/2022

= завантажити законодавчий акт, актуальний на поточний час =
<< | >>

Держатомрегулювання:

  1. НАКАЗ від 04.01.2023 № 5 "Про врахування висловлених органом державної реєстрації зауважень до наказу Державної інспекції ядерного регулювання України від 13 грудня 2022 року № 734". Держатомрегулювання. 2023 рікк
  2. НАКАЗ від 20.01.2023 № 40 "Про затвердження Вимог до структури та змісту документів, які подаються експлуатуючою організацією для отримання ліцензії на провадження діяльності на етапі зняття з експлуатації ядерної установки". Держатомрегулювання. 2023 рікк
  3. НАКАЗ від 07.03.2023 № 133 "Про затвердження Вимог до проведення технічного обслуговування і ремонту обладнання систем, важливих для безпеки атомних станцій". Держатомрегулювання. 2023 рікк
  4. НАКАЗ від 17.05.2023 № 258 "Про врахування висловлених органом державної реєстрації зауважень до наказу Державної інспекції ядерного регулювання України від 01 травня 2023 року № 225". Держатомрегулювання. 2023 рікк
  5. НАКАЗ від 01.05.2023 № 225 "Про затвердження Критеріїв визначення підприємств, установ і організацій, які мають важливе значення для галузі національної економіки у сфері безпеки використання ядерної енергії". Держатомрегулювання. 2023 рікк
  6. ДОМОВЛЕНІСТЬ від "Комерційна інформація: не підлягає передачі без письмової згоди (вставити назву Сторони, яка передає інформацію)""між Державною інспекцією ядерного регулювання України та Комісією ядерного регулювання Сполучених Штатів Америки про обмін технічною інформацією та співробітництво у сфері ядерної безпеки". Держатомрегулювання. 2023 рікк
  7. НАКАЗ від 25.10.2022 № 625 "Про врахування висловлених органом державної реєстрації зауважень до наказу Держатомрегулювання від 05 жовтня 2022 року № 588". Держатомрегулювання. 2022 рікк
  8. НАКАЗ від 05.10.2022 № 588 "Про визнання такими, що втратили чинність, деяких наказів Держатомрегулювання". Держатомрегулювання. 2022 рікк
  9. НАКАЗ від 13.12.2022 № 734 "Про удосконалення нормативно-правових актів щодо діяльності з видобування, переробки уранових руд". Держатомрегулювання. 2022 рікк
  10. НАКАЗ від 29.12.2022 № 777 "Про затвердження Змін до Вимог до проведення модифікацій ядерних установок та порядку оцінки їх безпеки". Держатомрегулювання. 2022 рікк
  11. НАКАЗ від 30.04.2021 № 263 "Про затвердження Вимог до оцінки безпеки атомних станцій щодо зовнішніх впливів природного характеру". Держатомрегулювання. 2021 рікк
  12. НАКАЗ від 27.05.2021 № 313 "Про затвердження Змін до деяких нормативно-правових актів Державної інспекції ядерного регулювання України з питань фізичного захисту". Держатомрегулювання. 2021 рікк
  13. НАКАЗ від 17.05.2021 № 290 "Про затвердження Вимог до протиаварійної документації для атомних електростанцій". Держатомрегулювання. 2021 рікк
  14. відшкодування фактичних витрат на копіювання або друк документів, що надаються за запитом на інформацію, розпорядником якої є Державна інспекція ядерного регулювання України. Держатомрегулювання. 2021 рікк
  15. НАКАЗ від 27.05.2021 № 312 "Про затвердження Розміру фактичних витрат на копіювання або друк документів, що надаються за запитом на інформацію, розпорядником якої є Державна інспекція ядерного регулювання України, Порядку відшкодування цих витрат та внесення змін до наказу Держатомрегулювання від 12 серпня 2011 року № 121". Держатомрегулювання. 2021 рікк
  16. НАКАЗ від 12.07.2021 № 411 "Про затвердження Положення про порядок розслідування та обліку експлуатаційних подій у роботі атомних станцій". Держатомрегулювання. 2021 рікк
  17. НАКАЗ від 30.08.2021 № 570 "Про затвердження Порядку розгляду звернень, проведення особистого прийому громадян та телефонної "гарячої лінії"у Державній інспекції ядерного регулювання України". Держатомрегулювання. 2021 рікк
  18. НАКАЗ від 14.02.2020 № 57 "Про затвердження Положення про функціональну підсистему ядерної та радіаційної безпеки єдиної державної системи цивільного захисту". Держатомрегулювання. 2020 рікк
  19. НАКАЗ від 10.06.2020 № 249 "Про затвердження Вимог до структури та змісту звіту з аналізу безпеки об’єктів, призначених для переробки радіоактивних відходів". Держатомрегулювання. 2020 рікк
  20. НАКАЗ від 18.08.2020 № 342 "Про внесення змін до Порядку проведення навчання і перевірки знань з питань радіаційної безпеки у персоналу і посадових осіб суб’єктів окремих видів діяльності у сфері використання ядерної енергії". Держатомрегулювання. 2020 рікк
- Антимонопольний комітет - Верховний Суд України - Вищий адміністративний суд України - Вищий господарський суд - Вищий спеціалізований суд - Генеральна прокуратура України - ДА електронного урядування - Державіаслужба України - Державні утворення на території України (1917-1920) - Держатомрегулювання - Держаудитслужба України - Держкомтелерадіо України - Держкордонслужба України - Держнаглядохоронпраці України - Держспецзв’язок - Держспоживстандарт України - Держстат України - Держфінпослуг України - ДКА України - Закони України - Законодавство Української РСР - Кабінет Міністрів України - Кодекси України - Конституційний Суд України - МВС України - МЗС України - Міжнародні документи, ратифіковані Верховною Радою України - Міжнародні угоди України - Мін'юст України - Мінагрополітики України - Мінекономрозвитку України - Міненерговугілля України - Мінінфраструктури України - Мінкультури України - Мінмолодьспорт України - Міноборони України - Мінприроди України - Мінрегіон України - Мінсоцполітики України - Мінфін України - МІП - МНС України - МОЗ України - МОН України - МТОТ - Нацдержслужба України - Національне агентство з питань запобігання корупції - Національне антикорупційне бюро України - Національний банк України - Нацком.енергетики - Нацкомфінпослуг - Нацрада телерадіомовлення - НКРЗІ - НКЦПФР - Основний Закон України - Пенсійний фонд України - Постанови Верховної Ради України - Президент України - РНБО України - Розпорядження Голови ВР України - Розпорядження Кабінета Міністрів України - Служба безпеки України - Служба зовнішньої розвідки - Укрдержархів - Управління державної охорони - Фонд гарант.вкладів фізич.осіб - Фонд державного майна - Фонд соцстраху по безробіттю - Фундаментальне законодавство України - Центрвиборчком України -