По вопросу интерфейса физической и компьютерной безопасности. Www secnrs. Ru1 статьи
Скачать 0.74 Mb.
|
WWW.SECNRS.RU 1 • СТАТЬИ • Рассматриваются основные направления, по которым формируется регулирование компьютерной безо- пасности, отраженные в документах МАГАТЭ, Комиссии по ядерному регулированию США и Ростехнадзора. Предлагаются некоторые рекомендации по совершенствованию российской нормативной базы в этой области путем разработки новых федеральных норм и правил или внесения дополнений в действующие, а также рекомен- дации относительно документов, регламентирующих экспертизу безопасности, осуществление надзора, и руко- водств по безопасности; рекомендации по организации межведомственного взаимодействия. Подчеркивается необходимость следовать общей идеологии построения физической ядерной безопасности, предусматривающей формирование проектной угрозы с оценкой возможных нежелательных последствий ради- ационного воздействия, а также проведение оценки эффективности системы физической ядерной безопасности в целом и ее подсистем. ► Ключевые слова: компьютерная безопасность, физическая ядерная безопасность, регулирование безопас- ности, атомная энергия, угроза, кибератака. ON THE ISSUE OF NUCLEAR SECURITY AND COMPUTER SECURITY INTERFACE Krupchatnikov B., Sazonov A., Ph. D., Gareev M., Ph. D. (SEC NRS) The main directions of computer security regulation, reflected in the documents of the IAEA, the U.S. Nuclear Regulatory Commission and Rostekhnadzor, are considered. Some recommendations are proposed to improve the Russian regulatory framework in this area by developing new Federal rules and norms or making additions to existing ones, as well as recommendations on documents regulating safety expertise, supervision and nuclear security guidelines and recommendations on the organization of interdepartmental cooperation. The need to follow the general ideology of building nuclear security, providing for the construction of a design basis threat with an assessment of the possible adverse effects of radiation exposure, as well as the assessment of the effectiveness of the nuclear security system as a whole and its subsystems. ► Key words: computer security, nuclear security, safety regulation, nuclear energy, threat, cyber attack. К УДК 621.039 К ВОПРОСУ ОБ ИНТЕРФЕЙСЕ ФИЗИЧЕСКОЙ И КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ Крупчатников Б. Н. (krupchatnikov@secnrs.ru), Сазонов А. Д., к.т.н. (sazonov@secnrs.ru), Гареев М. Д., к.т.н. (gareev@secnrs.ru) (ФБУ «НТЦ ЯРБ») • СТАТЬИ • 2 • СТАТЬИ • № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU Зарубежный опыт и, в первую очередь, реко- мендации, содержащиеся в документах МАГАТЭ, ясно демонстрируют все возрастающее внимание к вопросам компьютерной безопасности в области использования атомной энергии, при этом компью- терная безопасность рассматривается как составная часть физической ядерной безопасности. В техни- ческом руководстве МАГАТЭ по компьютерной без- опасности для промышленных систем управления на ядерных установках [1] отмечается, что приме- нение компьютерных мер безопасности в контек- сте физической ядерной безопасности направлено на защиту таких промышленных систем управле- ния, которые обеспечивают защиту, безопасность и вспомогательные функции на ядерных установ- ках. При этом под системами управления защитой и безопасностью понимаются системы физической защиты, учета и контроля ядерных материалов. В соответствии с публикацией [2] регулирующие тре- бования в области безопасности при использовании атомной энергии должны учитывать актуальное законодательство в сфере компьютерной безопас- ности и, желательно, чтобы регулирующие органы сотрудничали таким образом, чтобы в требованиях по компьютерной безопасности отражалась спец- ифика физической ядерной безопасности. В приложении к сегодняшней нормативной российской практике указанные положения доку- ментов МАГАТЭ можно считать ориентиром, указывающим на то, что независимым образом уставленные требования ядерного регулятора по вопросам физической безопасности и требования регулятора по вопросам компьютерной безопас- ности сбалансировано решают основную задачу – снижение риска радиационного воздействия, воз- никающего в результате возможного злонамерен- ного действия. Существующее законодательство непосредственно не устанавливает требований к организации взаимодействия регулятора в области обеспечения безопасности критической информа- ционной инфраструктуры Российской Федерации, которым является Федеральная служба таможен- ного и экспортного контроля, и Ростехнадзора – уполномоченного органа государственного регули- рования безопасности при использования атомной энергии. Вопросы, связанные с компьютерной без- опасностью в атомной отрасли, подлежат регули- рованию в той мере, в какой они оказывают влияние на физическую и эксплуатационную безопасность объектов использования атомной энергии. Показателен пример организации процесса регулирования кибербезопасности Комиссией по ядерному регулированию США (Nuclear Regulatory Commission – NRC). После событий, произошед- ших 11 сентября 2001 г., NRC издала ряд рекомен- даций и распоряжений, требующих от атомных электростанций принятия мер, включая усиление защиты компьютерных систем. В октябре 2006 г. специалисты NRC приступили к разработке правил безопасности для энергетических реакторов. Правила кибербезопасности первоначально были изданы как подраздел нормативного документа 10 CFR 1 73.55 «Требования к физической защите против радиологического саботажа для ядерных энергетических реакторов». Однако в дальнейшем было принято решение выпустить правила кибер- безопасности в качестве отдельного раздела 10 CFR 73.54 для того, чтобы обеспечить возможность при- менения требований кибербезопасности к другим типам лицензируемых установок и видам деятель- ности в последующих нормативных актах. В марте 2009 г. NRC выпустила раздел в составе 10 CFR 73.54 с требованием к лицензиа- там и заявителям «обеспечить высокую степень уверенности в том, что цифровые компьютерные и коммуникационные системы и сети, связанные с безопасностью, охраной и обеспечением готов- ности к чрезвычайным ситуациям, защищены от кибератак». Результатом разработки соответству- ющего руководства по выполнению требования 10 CFR 73.54 стала публикация руководства [3]. Этот документ был разработан для атомных электростан- ций и основан на стандартах и документах, отража- ющих практику обеспечения кибербезопасности, опубликованных Национальным институтом стан- дартов и технологий, Министерством националь- ной безопасности США, Институтом инженеров по электротехнике и электронике и Международным обществом автоматизации. Он также содержит общий шаблон, который лицензиаты могут исполь- зовать в качестве руководства при разработке своих планов кибербезопасности, и построен таким образом, чтобы будущие изменения могли быть адаптированы для использования другими катего- риями лицензиатов и объектов. Институт ядерной энергии (Nuclear Energy Institute – NEI) независимо разработал документ «План кибербезопасности ядерных энергетических реакторов» (NEI 08-09) [4]. NRC сочла возможным использование [4] в промышленности в соответствии с требованиями, 1 10 CFR XX.XX – Коды Федерального регулирования Комиссии по ядерному регулированию США. № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU • СТАТЬИ • 3 изложенными в 10 CFR 73.54. Этот документ пре- доставляет еще один шаблон, который атомные электростанции могут использовать при пред- ставлении планов обеспечения кибербезопасности (Cyber Security Plans – CSP) в NRC для после- дующего рассмотрения и утверждения CSP [4]. Cледующим шагом NRC было принятие «дорож- ной карты» кибербезопасности в целях регулиро- вания по четырем категориям лицензируемых NRC объектов и видов деятельности: топливный цикл, исследовательские реакторы, пункты хранения отработавшего топлива и изотопной продукции, транспортирование. В работе [5] указываются основные этапы про- граммы работ по обеспечению кибербезопасности в период с 2002 по 2017 гг.: ▪ 2002 – 2003 гг.: NRC включала впервые требования по кибербезопасности в документы по физической безопасности и в проектную угрозу; ▪ 2005 г.: NRC выпустила в поддержку про- мышленности программу внедрения кибербезопас- ности на добровольном основании (Cyber security program for operating reactors – NEI 04-04); ▪ 2009 г.: введены правила кибербезопасно- сти в 10 CFR 73.54; ▪ 2012 г.: реализация/контроль за испол- нением промежуточных этапов по обеспечению кибербезопасности; ▪ 2013 – 2015 гг.: проверка выполнения меро- приятий, предусмотренных этапов дорожной карты; ▪ 2015 г.: требования по уведомлению о собы- тиях кибербезопасности введены в 10 CFR 73.77; ▪ 2017 г.: полномасштабная реализация про- грамм кибербезопасности. Как отмечается в [4], большое внимание в рамках программы уделялось организации меж- ведомственного взаимодействия, в том числе про- ведению под эгидой NRC совещаний с участием таких организаций, как Комиссия по регулирова- нию в энергетике, Федеральная торговая комис- сия, Министерство национальной безопасности, Береговая Охрана США, Министерство транс- порта, Федеральная авиационная администрация, Министерство финансов, Национальная ассоциа- ция страховых комиссаров, Министерство торговли, Национальный институт стандартов и технологий, а также подписанию соглашений с Федеральной комиссией по регулированию в энергетике (FERC) и Североамериканской корпорацией по надежному электроснабжению (NERC). Состоянию дел с кибербезопасностью в нашей стране в контексте физической ядерной безопас- ности посвящена работа [6], где рассматриваются вопросы интерфейса физической ядерной без- опасности и кибербезопасности и показано, что в отличие от того, как МАГАТЭ использует понятие интерфейса в отношении пары «эксплуатационная безопасность – физическая ядерная безопасность», полагая, что компьютерная безопасность является неотъемлемой частью «института» физической ядерной безопасности, в российской нормативной практике – это вопрос об интерфейсе компьютер- ной безопасности и «физической составляющей» физической ядерной безопасности (физической защиты и учета и контроля) 2 За время, прошедшее с момента выхода публи- кации [6], нормативная база в сфере безопасности критической информационной инфраструктуры была дополнена рядом нормативных документов, относящихся к области действия закона «О безопас- ности критической информационной инфраструк- туры Российской Федерации» [7], содержащих как технические, так и организационные требова- ния, и положений [8 – 14] и обрела определенную завершенность. При этом в ситуации, когда требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры и требования к созданию систем физической ядерной безопасности устанавливаются различными орга- нами, независимо друг от друга, а также проверка их выполнения предусмотрена независимым образом, важным является вопрос, не возникает ли пробелов в регулирующих воздействиях и, соответственно, пробелов на стыках каждой из указанных систем безопасности. Те функции безопасности, которые в терминологии МАГАТЭ присущи системе физичес- кой ядерной безопасности, у нас распределены по ряду условно независимых систем [15]: ▪ учета и контроля ядерных материалов, радиоактивных веществ и радиоактивных отходов; ▪ физической защиты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов; ▪ защиты чувствительной информации о ядерных и радиационных объектах, ядерных мате- риалах, радиоактивных веществах и радиоактивных отходах, связанной с системами учета и контроля и физической защиты; 2 Cледует отметить, что понятие «физическая ядерная безопасность» не имеет юридической силы в наших нор- мативных документах и используется по мере необходимости в документах, касающихся аспектов международного сотрудничества. 4 • СТАТЬИ • № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU ▪ противодействия ядерному терроризму; ▪ компьютерной безопасности и защиты информации, связанных с системами эксплуатаци- онной безопасности. В соответствии с существующими прави- лами организации указанных систем, которые, как правило, действуют на федеральном, ведом- ственном или региональном уровне, на объектах создаются соответствующие объектовые системы безопасности. Физическая ядерная безопасность и физическая защита близки по сути, но имеется различие, кото- рое состоит в том, что физическая защита не пред- назначена непосредственно для противодействия киберугрозе, более того, она сама может являться потенциальной целью кибератаки. В соответствии с установившейся и закре- пленной в нормативных документах практикой построения системы физической защиты, адми- нистрацией объекта должны быть приняты меры, предусматривающие: ▪ предупреждение (сдерживание); ▪ своевременное обнаружение; ▪ затруднение и замедление продвижения к цели; ▪ нейтрализацию угрозы и устранение последствий. Указанные меры должны быть действенными в отношении таких сценариев, когда возможны совместные согласованные действия внешнего «физического» нарушителя, кибератакующего из внешнего киберпространства, внутреннего «физи- ческого» нарушителя и внутреннего кибернаруши- теля (рис. 1). Все комбинации из вариантов возможных совместных действий показывают, что «физичес- кие» (находящиеся в сфере физической защиты) и компьютерные (находящиеся в сфере компью- терной безопасности) нарушители составляют комбинации по три составляющих в каждой (1, 2, 12) и (34, 3, 4) соответственно. Остальные 12 воз- можных вариантов – «гибридная» угроза. Это про- стое сопоставление указывает на необходимость комплексного подхода к формированию регу- лирующих механизмов в отношении проектной угрозы. Универсальным методом совокупной оценки действенности системы физической защиты явля- ется оценка риска с учетом смягчающих факторов, которая выражается уравнением [16, 17]: R=F(1–E)·С, где: R – величина, характеризующая риск собы- тия, связанного с действиями нарушителя; может быть выражена величиной финансового ущерба или неким иным, в том числе условным, показателем; F – ожидаемая частота события; Е – эффективность системы физической защиты; С – величина, характеризующая последствия события. Обычно полагается, что событие обязательно произойдёт, то есть F=1. В работе [16] эффек- тивность представлена как Е=Р об ·Р бс , где Р об и Р бс – вероятность обнаружения нарушителя и вероятность благоприятного исхода боестолкно- вения соответственно. В работе [18] предлага- ется ввести коэффициент, учитывающий фактор сдерживания F сд , тогда выражение принимает вид R=F сд (1– Р об ·Р бс )·С. Проектная угроза Рис. 1. Условное изображение взаимодействующих «типов» нарушителя: 1, 2 – внешний и внутренний «физический» нарушитель; 3, 4 – внешний и внутренний кибернарушитель № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU • СТАТЬИ • 5 Исходя из того, что можно допустить наличие как независимых от кибератак актов диверсии или хищения, так и комбинированной «гибридной» угрозы таких событий и кибератак в «чистом» виде, приводящих к радиационным последствиям, можно записать выражение для риска следующим образом: R=R фн +R гн +R ка =(F сд (1–Р об ·Р бс )) фн ·С+(F сд (1– – Р об ·Р бс )) гн ·С+ (1– Р об ·Р нейтр ) кибер ·С кибер , где: С – характеристика последствий от событий, связанных с «физическим» и «гибридным» нару- шителем (полагаем их одинаковыми); С кибер – характеристика последствий от собы- тий, связанных с кибернарушителем; Р нейтр – вероятность нейтрализации кибератаки. Данное выражение не следует рассматривать как рекомендуемое непосредственно для проведения расчетных оценок. Цель авторов – продемонстри- ровать тесную взаимосвязь аспектов безопасности и необходимость реализации на практике одного из принципов физической ядерной безопасности – адаптивность систем физической безопасности, а также показать необходимость совершенствова- ния механизмов регулирования в этой области в направлении повышения достоверности и надеж- ности решений, принимаемых органом регулиро- вания безопасности. Это относится ко всем этапам регулирующего процесса, начиная с установления требований к осуществлению стратегии физиче- ской безопасности в нормах и правилах и закан- чивая процессом надзора, о чем сказано далее. В Заявлении о политике в области качества [19] отме- чается, что для обеспечения всесторонней оценки ядерной и радиационной безопасности блоков АС, а также для повышения эффективности ее регулиро- вания следует использовать риск- информативные методы, основанные на совместном использова- нии детерминистических и вероятностных методов оценки безопасности. В области физической без- опасности предстоит сделать многое для развития инструментов риск-ориентированного подхода в практической плоскости. Развитие технологий позволяет предположить, что диверсия в отношении ядерно- и радиаци- онно опасных объектов, в результате которой воз- можно неблагоприятное радиационное воздействие на людей и окружающую среду, а также хищения ядерных материалов и радиоактивных веществ с намерением изготовить ядерное взрывное устрой- ство или «грязную» бомбу могут быть реализованы не только совместными действиями «физических» нарушителей и кибернарушителей, но в опреде- ленных условиях могут быть последствиями кибе- ратак в чистом виде. Это делает необходимым учет кибератаки при оценке угрозы для ядерно- и радиационно опасных объектов на государствен- ном уровне и, соответственно, учет ее в проектной угрозе каждого конкретного ядерно- и радиационно опасного объекта еще и потому, что система физи- ческой защиты не является инструментом противо- действия компьютерной атаке до тех пор, пока та не включена в проектную угрозу. Уполномоченный орган регулирования без- опасности при использовании атомной энергии должен обеспечить выдачу на основаниях, убеди- тельно подтверждающих, что лицензиат или заявитель приняли все необходимые меры для обес- печения безопасности объекта или вида деятельно- сти. На практике для того, чтобы получить такие убедительные основания, регулятор, прежде всего, должен сформулировать требования к построению проектной угрозы в соответствии с существую- щими реалиями, обязав лицензиата продемонстри- ровать, что им учтены все значимые типы угроз и модели нарушителей. Эти требования должны быть сформулированы таким образом, чтобы поло- жения документа федерального уровня, устанав- ливающего перечень основных угроз и моделей нарушителей, были основой, но не ограничителем в отношении проектной угрозы для объекта и не только давали возможность, но и обязывали адап- тировать проектную угрозу к быстроизменяющейся в связи с развитием технологий среде угроз. При этом необходимо актуализировать перечень основ- ных угроз и моделей нарушителей, зафиксирован- ных в документе федерального уровня, и придать этому перечню большую универсальность. Наличие самостоятельной системы регулирования компью- терной безопасности, независимой от системы регу- лирования физической безопасности, в принципе, может обеспечить комплексность и завершенность системы регулирования безопасности, но убедиться в этом нельзя до тех пор, пока ядерный регулятор не проанализирует достаточность всего комплекса мер в целом. В таблице отражен процесс создания системы безопасности объекта в отношении существующих угроз противоправных действий. 6 • СТАТЬИ • № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU Основные этапы создания системы безопасности Наименование этапа Физическая безопасность Компьютерная безопасность Физическая безопасность и компьютерная безопасность Описание объекта Ядерные материалы. Радиоактивные вещества. Оборудование и системы, важные для эксплуатацион- ной безопасности Автоматизированные системы управления. Информационные системы Базы данных, связанные с учетом и контролем. Информация, связанная с системой физической защиты Построение проектной угрозы, типы нарушителей, возможные сценарии их действий Внешний нарушитель. Внутренний нарушитель Киберугроза из внешнего пространства (хакеры). Киберугроза из внутрен- него пространства Комбинации действий нарушителей различных типов Анализ возможных последствий реализации угроз и оценка их масштабов Хищение ядерных материа- лов с намерением изготовить самодельное ядерное взрыв- ное устройство. Хищение с намерением изготовить «грязную бомбу» или иное устройство для радиоактивного загрязнения местности. Диверсия в отношении объекта с радиационными последствиями Компьютерная атака в отношении автоматизи- рованных систем управ- ления и информационных систем, приводящая к нарушениям в работе объекта без радиацион- ных последствий Нарушения в работе автомати- зированных систем управления и информационных систем, приводящие к радиационным последствиям Определение имущества и цифровых активов, подлежащих защите на объекте Предметы физической защиты и их категории опас- ности с целью размещения в соответствующих защищен- ных зонах Состав систем безопасности на объекте Системы физической защиты с функциями: • сдерживания • обнаружения • затруднения продвижения • нейтрализации • ликвидации последствий. Системы учета и контроля с функциями: • создания, поддержания в актуальном состоянии данных о фактическом наличии и перемещении ядерных материалов и радиоактивных веществ • обеспечения непрерывного контроля со стороны упол- номоченного персонала, исключающего бесконтроль- ное изъятие, перемещение и обращение с ядерными мате- риалами и радиоактивными веществами Системы защиты Защита чувствительной информации, связанной с физической безопасностью. Меры контроля физического доступа к оборудованию, влияющему на компьютерную безопасность № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU • СТАТЬИ • 7 Не учтенные риски, связанные с возможно- стью компьютерной атаки, снижают достоверность оценок уровня защищенности, в том числе антитер- рористической защищенности объектов использо- вания атомной энергии, в связи с чем необходима актуализация всех механизмов регулирования. Выводы В связи с изложенным представляются актуаль- ными следующие меры, направленные на совершен- ствование механизмов регулирования безопасности объектов использования атомной энергии с учетом аспектов компьютерной безопасности. 1. Провести актуализацию содержания доку- мента федерального уровня, устанавливающего перечень основных угроз и моделей нарушителей в отношении ядерно- и радиационно опасных объ- ектов, с учетом возможной угрозы компьютерной атаки. 2. Ввести дополнения в нормы и правила с целью конкретизации требований по следующим вопросам: ▪ формирование объектовой проектной угрозы; ▪ анализ уязвимости и оценка эффективно- сти, установление рамочных требований к соответ- ствующим методикам. 3. Разработать или актуализировать набор методических рекомендаций для развития указан- ных в п. 2 позиций, включая практические аспекты применения риск-ориентированного подхода и реализацию принципа глубокоэшелонированной защиты с учетом фактора киберугрозы. 4. Конкретизировать требования к содержа- нию документов, обосновывающих физическую безопасность, и усовершенствовать методы про- ведения экспертизы, включая независимые оценки заявленных показателей эффективности соответ- ствующих систем физической безопасности. 5. Принять практические меры по организа- ции межведомственного взаимодействия с целью устранения пробелов в сфере регулирования вопросов, связанных с устойчивостью объектов к противоправным действиям, с возможными радио- логическими последствиями, имея в виду, в том числе, сопряжение нормативной базы и надзорных процедур по вопросам физической безопасности и компьютерной безопасности. Наименование этапа Физическая безопасность Компьютерная безопасность Физическая безопасность и компьютерная безопасность • предоставления информа- ции о наличии и перемеще- ниях ядерных материалов и радиоактивных веществ упол- номоченным организациям • расследования аномалий и иных событий, связанных с возможным несанкциони- рованным использованием ядерных материалов и радио- активных веществ и утерей регулирующего контроля Оценка эффективности систем безопасности Системы ФЗ Системы защиты Список литературы 1. Компьютерная безопасность для промышленных систем управления на ядерных установ- ках. Серия изданий МАГАТЭ по ядерной физической безопасности, № 33-T. Техническое руководство. Международное агентство по атомной энергии, Вена, 2018. 2. Компьютерная безопасность на ядерных установках. Серия изданий МАГАТЭ по физической ядерной безопасности, № 17. Технические руководящие материалы. Международное агентство по атом- ной энергии, Вена, 2012. 8 • СТАТЬИ • № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU 3. U.S. NUCLEAR REGULATORY COMMISSION. January 2010. REGULATORY GUIDE 5.71. CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES. 4. Status of NRC Licensees’ Implementation of Cyber Security Plans NRC/FERC Joint Commission Meeting, February 23, 2017. 5. NRC Cyber Security Regulatory Overview. James Beardsley State Liaison Officers Conference, September 26, 2017 Rockville, Maryland. 6. Киберугрозы и физическая ядерная безопасность. О. Михайлова// Индекс безопасности, 1(116), т. 22, 2016. 7. О безопасности критической информационной инфраструктуры Российской Федерации: Федер. закон от 26.07.2017 № 187-ФЗ. 8. Об утверждении Правил осуществления государственного контроля в области обеспечения безо- пасности значимых объектов критической информационной инфраструктуры Российской Федерации. Постановление Правительства РФ от 17.02.2018 № 162. 9. Об утверждении Правил категорирования объектов критической информационной инфраструк- туры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. Постановление Правительства РФ от 08.02.2018 № 127. 10. Требования к обеспечению защиты информации в автоматизированных системах управления про- изводственными и технологическими процессами на критически важных объектах, потенциально опас- ных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31. 11. Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации. Утвержден приказом ФСТЭК России от 06.12.2017 № 227. 12. Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования. Утверждены приказом ФСТЭК России от 21 декабря 2017 г. № 235. 13. Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Приказ ФСТЭК России от 22 декабря 2017 г. № 236. 14. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации (в редакции приказа ФСТЭК России от 9 августа 2018 г. № 138). 15. Основы государственной политики в области обеспечения ядерной и радиационной безопасности Российской Федерации на период до 2025 года. Утверждены указом президента Российской Федерации 13 октября 2018 г. № 585. 16. SANDIA REPORT SAND2007-5591 Unlimited Release. Printed September 2007. Nuclear Power Plant Security. Assessment Technical Manual D. W. Whitehead C. S. Potter S. L. O`Connor. 17. Крупчатников Б. Н. О некоторых особенностях регулирования физической ядерной безопасности. Ядерная и радиационная безопасность, № 3(61), 2011. 18. FATHI ELSISI Sanctions as a Legal Deterrence Mean in the National Physical Protection Regime (CN -254-76). International Conference on Physical Protection of Nuclear Material and Nuclear Facilities 13 – 17 November 2017, Session ׀׀: Physical Protection Regime. 19. Заявление о политике в области качества государственного регулирования безопасности при использовании атомной энергии. Официальный сайт Федеральной службы по экологическому, технологи- ческому и атомному надзору (gosnadzor.ru). References 1. Computer Security of Instrumentation and Control Systems at Nuclear Facilities. IAEA Nuclear Security Series, № 33-T. Technical Guidance. International Atomic Energy Agency, Vienna, 2018. 2. Computer Security at Nuclear Facilities. IAEA Nuclear Security Series, № 17. Technical Guidance. International Atomic Energy Agency, Vienna, 2012. № 4 (90)-2018 ЯДЕРНАЯ И РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ WWW.SECNRS.RU • СТАТЬИ • 9 3. U.S. Nuclear Regulatory Commission. January 2010. Regulatory Guide 5.71. Cyber Security Programs for Nuclear Facilities. 4. Status of NRC Licensees’ Implementation of Cyber Security Plans NRC/FERC Joint Commission Meeting, February 23, 2017. 5. NRC Cyber Security Regulatory Overview. James Beardsley State Liaison Officers Conference, September 26, 2017 Rockville, Maryland. 6. Cyber Threats and Nuclear Security. O. Mikhailova// Index bezopastnosti, 1(116), т. 22, 2016. 7. On the Security of Critical Information Infrastructure of the Russian Federation. Federal Law № 187-FZ of 26.07.2017. 8. On Endorsement of the Rules for State Control in the Field of Security Assurance at Significant Facilities of Critical Information Infrastructure of the Russian Federation. RF Government Resolution № 162 of 17.02.2018. 9. On Endorsement of the Rules for Categorizing Facilities of Critical Information Infrastructure of the Russian Federation, and of the List of Significance Criterion Indicators for Facilities of Critical Information Infrastructure of the Russian Federation and of Indicator Values. RF Government Resolution 08.02.2018 № 127. 10. Information Protection Requirements for Computerised Systems Controlling Production and Technological Processes at Critical Facilities, Potentially Hazardous Facilities, and Facilities of Greater Risk for the Life and Health of Humans and for the Environment. Endorsed by FSTEC of Russia Order № 31 of March 14, 2014. 11. Register Maintenance Procedure for Significant Facilities of Critical Information Infrastructure of the Russian Federation. Endorsed by FSTEC of Russia Order № 227 of 06.12.2017. 12. Requirements for Arrangement of Security Systems at Significant Facilities of Critical Information Infrastructure of the Russian Federation, and for Provision of their Functioning. Endorsed by FSTEC of Russia Order № 235 of December 21, 2017. 13. On Endorsement of the Template for Reporting Significance Category Assigned to Critical Information Infrastructure Facility, or Reporting Lack of Necessity to Assign any such Category to the Facility. FSTEC of Russia Order № 236 of December 22, 2017. 14. Security Assurance Requirements for Significant Facilities of Critical Information Infrastructure of the Russian Federation (as amended by FSTEC of Russia Order № 138 of August 9, 2018). 15. State Policy Fundamentals of the Russian Federation in the Field of Nuclear and Radiation Safety up to 2025. Endorsed by the RF Presidential Decree № 585 of October 13, 2018. 16. SANDIA REPORT SAND2007-5591 Unlimited Release. Printed September 2007. Nuclear Power Plant Security. Assessment Technical Manual D. W. Whitehead C. S. Potter S. L. O`Connor. 17. Krupchatnikov B.N. On Some Specifics of Nuclear Security Regulation. Nuclear and Radiation Safety, № 3(61), 2011. 18. FATHI ELSISI Sanctions as a Legal Deterrence Mean in the National Physical Protection Regime (CN -254-76). International Conference on Physical Protection of Nuclear Material and Nuclear Facilities 13 – 17 November 2017, Session ׀׀: Physical Protection Regime. 19. Policy Statement on Quality of State Nuclear Safety Regulation. Official Website of the Federal Environmental, Industrial and Nuclear Supervision Service (gosnadzor.ru). |