МЕТОДОЛОГІЧНІ ЗАСАДИ СТВОРЕННЯ ТА ФУНКЦІОНУВАННЯ ЦЕНТРУ КІБЕРБЕЗПЕКИ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ ОБ’ЄКТІВ ЯДЕРНОЇ ЕНЕРГЕТИКИ
DOI:
https://doi.org/10.28925/2663-4023.2021.12.172186Ключові слова:
центр інформаційної безпеки; об’єкти ядерної енергетики; модель системи управління кібербезпекою; критична інфраструктура; протидія кіберзагрозамАнотація
Об'єкти ядерної енергетики (ОЯЕ) є складними системами структурного типу, які оперують великими масивами інформаційних потоків, викривлення або блокування яких потенційно може призвести до нештатних і навіть катастрофічних ситуацій. Стале безперервне автоматизоване керування технічними засобами зазначених об’єктів є запорукою забезпечення безпеки людини, суспільства та держави. Тому забезпечення гарантоздатності автоматизованих систем ОЯЕ як технологічної основи їх функціонування є пріоритетним завданням наукових досліджень і розробок у цій галузі. В умовах зростання у світі кількості та потужності кібератак на критичні інформаційні системи, тривалого протистояння держави цинічному агресору в гібридній війні і обмежених фінансових ресурсів координація та концентрація зусиль щодо забезпечення кібербезпеки ОЯЕ є єдиним шляхом для розв’язання визначених проблем в галузі. Метою таких заходів має стати побудова єдиного центру кібербезпеки ОЯЄ. Створення такого центру повинно підняти на якісно новий рівень стан інформаційної та функціональної безпеки підприємств галузі. Основними завданнями центру є: забезпечення реалізації компонентів організаційно -технічної моделі інформаційного захисту та кіберзахисту; встановлення обов'язкових вимог інформаційної безпеки для критично важливих об'єктів інформаційної інфраструктури з урахуванням міжнародних стандартів та специфіки галузі, що включає відповідні об'єкти критичної інформаційної інфраструктури; забезпечення моніторингу світового стану інформаційної безпеки та кібербезпеки ОЯЕ; протидії кіберзагрозам шляхом підвищення загальної ситуаційної обізнаності про інциденти та вразливості інформаційних систем і систем захисту серед галузевих установ та їх критичної інфраструктури; запобігання вторгненням шляхом обміну інформацією та організації ініціатив; зменшення вразливостей, запобігання загрозам та їх ефективна локалізація; моніторинг протидії загрозам на об’єктах ядерної енергетики; стимулювання та проведення навчання та підвищення рівня інформаційної обізнаності в частині кібербезпеки серед менеджерів критичної інфраструктури, відповідні випробування, дослідження та розробки. Функціонування центру дозволить координувати та контролювати виконання заходів щодо розгортання системи інформаційної безпеки для критичних об’єктів інформаційної інфраструктури на об’єктах ядерної енергетики. Крім того, він також дасть змогу запобігти втручанню в інформаційні системи шляхом обміну інформацією та функціонування централізованих та децентралізованих технологічних систем та організаційних ініціатив. Це зменшить кількість наявних вразливостей, запобігатиме появі нових та сприятиме ефективній ідентифікації кібератак. Центр захищатиме від усього спектру загроз, працюючи зі спеціалізованими службами у віртуальному середовищі, стимулюючи та проводячи навчання з інформаційної безпеки серед фахівців; здійснюватиме моніторинг та впровадження стандартів інформаційної безпеки суб’єктами критичної інфраструктури об’єктів ядерної енергетики; розроблятиме та впроваджуватиме нові заходи безпеки для зменшення ризику реалізації кіберзагроз, які постійно та швидко змінюються та розвиваються.
Завантаження
Посилання
Nosovsky, A.V. (2021). Naukovo-tekhnichnyi suprovid robit z podolannia naslidkiv chornobylskoi katastrofy. [Scientific and technical support of work to overcome the consequences of the Chernobyl disaster]. Bulletin of the National Academy of Sciences of Ukraine, (7), 32–36. Nosovskyi, A. V. (2021). Visnyk Natsionalnoi akademii nauk Ukrainy - Bulletin of the National Academy of Sciences of Ukraine, (7), 32–36 [In Ukraine]
Provedenye otsenok kompiuternoi bezopasnosty na yadernikh ustanovkakh. [Conducting computer security assessments at nuclear facilities.] (2018). Mezhdunarodnoe ahentstvo po atomnoi enerhyy - International Atomic Energy Agency.
Park, J. K., Suh, Y. S., & Park, C. (2016). Implementation of cyber security for safety systems of nuclear facilities. Progress in Nuclear Energy, 88, 88–94.
Poresky, C., Andreades, C., Kendrick, J., & Peterson, P. (2017). Cyber Security in Nuclear Power Plants: Insights for Advanced Nuclear Technologies. (UCBTH-17-001). CA.
Berg, H.-P. (2017). Cybersecurity of critical infrastructures such as nuclear facilities. ENERGETIKA, 63(4), 141–145.
Pohosov, O. Yu., & Derevianko, O. V. (2017). Fizychnyi zakhyst AES ta informatsiina bezpeka yak neobkhidni umovy znyzhennia ryzykiv yadernykh i radiatsiinykh avarii. [Physical protection of NPPs and information security as necessary conditions for reducing the risks of nuclear and radiation accidents]. Yaderna ta radiatsiina bezpeka - Nuclear and radiation safety, 3(75), 50–55 [In Ukraine]
Chumak, D. V., & Klevtsov, O. L. (2015). Komp‘iuterna bezpeka na yadernykh obiektakh v Ukraini: oblasti vzaiemodii mizh yadernoiu bezpekoiu ta zakhyshchenistiu. [Computer security at nuclear facilities in Ukraine: areas of interaction between nuclear safety and security] Yaderna ta radiatsiina bezpeka - Nuclear and radiation safety, 3(67), 60–64. [In Ukraine]
Shkarlet, S., Lytvynov, V., Dorosh, M., Trunova, E., & Voitsekhovska, M. (2019). The Model of Information Security Culture Level Estimation of Organization. Advances in Intelligent Systems and Computing, 1019, 249–258.
Lytvynov, V. V., Kazymyr, V. V., Stetsenko, I. V., Trunova, O. V., & Skiter, I. S. (2017). Metody analizu ta modeliuvannia bezpeky rozpodilenykh informatsiinykh system [Methods of analysis and modeling of security of distributed information systems]. Natsionalnyi tekhnolohichnyi universytet. [In Ukraine]
Lytvynov, V. V., Stoianov, N., Skiter, I. S., Trunova, O. V., & Hrebennyk, A. H. (2018). Zakhyst korporatyvnykh merezh vid atak z vykorystanniam kontent-analizu hlobalnoho informatsiinoho prostoru. [Protection of corporate networks from attacks using content analysis of the global information space]. Tekhnichni nauky ta tekhnolohii - Technical sciences and technologies,1(11), 115–130. [In Ukraine]
Computer security at nuclear facilities : reference manual : technical guidance. (2011). International Atomic Energy Agency.
International Electrotechnical Commission. (2009). Nuclear power plants — Instrumentation and control important to safety — Classification of instrumentation and control functions. (IEC 61226.).
International Electrotechnical Commission. (2014). Nuclear power plants — Instrumentation and control systems — Requirements for security programmes for computerbased system. (IEC 62645).
Cyber Security in the Energy Sector. Recommendations for the European Commission on a European Strategic Framework and Potential Future Legislative Acts for the Energy Sector (E03341). (2017). Energy Expert Cyber Security Platform (EECSP).
Technical Committee for Standardization "Information Technology" (TC 20) at Derzhspozhyvstandart of Ukraine and the International Research and Training Center (2004). Informatsiini tekhnolohii. Nastanovy z keruvannia bezpekoiu informatsiinykh tekhnolohii (IT). Chastyna 2. Keruvannia ta planuvannia bezpeky IT [nformation Technology. Information Technology (IT) Security Management Guidelines. Part 2. IT security management and planning] (41033) (DSTU ISO . DSTU ISO/TR 13335-2:2003). DP «UkrNDNTs».
Technical Committee for Standardization "Information Technology" (TC 20) with the participation of the Technical Committee for Standardization "Banking and Financial Systems". (2016). Informatsiini tekhnolohii. Metody zakhystu. Systemy upravlinnia informatsiinoiu bezpekoiu. Vymohy [Information Technology. Methods of protection. Information security management systems. Requirements] (DSTU ISO/IEC 27001:2015). DP «UkrNDNTs».
Technical Committee for Standardization "Information Technology" (TC 20). (2014). Informatsiini tekhnolohii. Metody bezpeky. Systemy menedzhmentu informatsiinoiu bezpekoiu. Vymohy [Information Technology. Security methods. Information security management systems. Requirements] (17. DSTU ISO/IEC 27001:2013). DP «UkrNDNTs».
Turner, P. L., Adams, S. S., & Hendrickson, S. M. (2017). Enhancing Power Plant Safety through Simulated Cyber Events. Submitted to the American Nuclear Society’s. У 10th International Topical Meeting on Nuclear Plant Instrumentation, Control, and Human Machine Interface Technologies (с. 301–313). American Nuclear Society ( ANS ).
Program on Technology Innovation: Analysis of Hazard Models for Cyber Security, Phase I (000000003002004995). (2015). EPRI.
Program on Technology Innovation: Cyber Hazards Analysis Risk Methodology, Phase II: A Risk Informed Approach. (000000003002004997). (2015). EPRI.
