Відповідно до статей 8 та 24 Закону України "Про використання ядерної енергії та радіаційну безпеку", підпункту 7 пункту 4 Положення про Державну інспекцію ядерного регулювання України, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 363, НАКАЗУЮ:

1. Затвердити Вимоги до кіберзахисту інформаційних та керуючих систем атомних станцій для забезпечення ядерної та радіаційної безпеки, що додається.

2. Департаменту з питань безпеки ядерних установок (Борису СТОЛЯРЧУКУ) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Ці Вимоги встановлюють вимоги до кіберзахисту інформаційних та керуючих систем атомних станцій, їх компонентів (програмно-технічних комплексів, технічних засобів автоматизації) і програмного забезпечення зазначених систем, під час їх розроблення, впровадження, експлуатації та модифікації, з метою забезпечення ядерної та радіаційної безпеки.

2. У цих Вимогах терміни вживаються в таких значеннях:

автентифікація - процес перевірки ідентифікаційних даних користувача або перевірки джерела даних, повідомлень і команд;

авторизація - процес надання інформаційною та/або керуючою системою певному користувачу або групі користувачів (після їх успішної автентифікації) прав на виконання певних дій, а також процес перевірки (підтвердження) наданих прав у разі спроби виконання цих дій;

вироби сторонньої розробки - програмні або апаратні вироби, які виготовлені третьою стороною відносно розробника інформаційної та/або керуючої системи, її компонентів або програмного забезпечення;

віддалений доступ - процес доступу користувача до інформаційної та/або керуючої системи атомної станції, її компонентів та/або програмного забезпечення, який забезпечує дистанційне використання даних, інформаційно-обчислювальних ресурсів та/або функції цієї системи;

відновлення - процес, спрямований на повернення інформаційної та/або керуючої системи атомної станції, її компонентів, програмного забезпечення до працездатного стану після повної або часткової втрати функціональності;

вразливість - недолік в інформаційній та/або керуючій системі атомної станції, її компонентах та/або програмному забезпеченні, який може бути використаний для реалізації кіберзагрози;

глибокоешелонований кіберзахист - підхід до кіберзахисту інформаційних та/або керуючих систем атомної станції, за якого для забезпечення кіберзахисту розгорнуті кілька послідовних рівнів і заходів кіберзахисту;

демілітаризована зона - фізичний або логічний сегмент мережі, який містить загальнодоступні сервіси, відділений від внутрішніх сервісів і ресурсів атомної станції та використовується з метою введення додаткового захисного бар’єра для локальної мережі;

диференційований підхід - застосування заходів кіберзахисту інформаційної та/або керуючої системи атомної станції пропорційно рівню кіберзахисту;

доступність - властивість, яка гарантує, що авторизований користувач завжди отримає доступ до даних і змогу їх використати;

зона кіберзахисту - група інформаційних та/або керуючих систем атомної станції з однаковими рівнями кіберзахисту, яка виділена для спільного адміністративного управління, комунікації та застосування однакових захисних заходів;

кібератака на інформаційну та/або керуючу систему атомної станції (далі - кібератака) - дії, які здійснюються за допомогою засобів електронних комунікацій (охоплюючи інформаційно-комунікаційні технології, програмні, програмно-апаратні засоби, інші технічні та технологічні засоби і обладнання) та спрямовані на компрометацію інформаційної та/або керуючої системи атомної станції через використання вразливостей;

кіберзагроза інформаційній та/або керуючій системі атомної станції (далі - кіберзагроза) - наявні та потенційно можливі явища і чинники, що можуть стати потенційною причиною кіберінциденту, який може спричинити нанесення шкоди інформаційній та/або керуючій системі атомної станції;

кіберзахист інформаційних та/або керуючих систем атомної станції (далі - кіберзахист) - комплекс адміністративних, технічних і програмних заходів та засобів, метою яких є запобігання, виявлення і реагування на кібератаки та кіберзагрози;

кіберінцидент з інформаційною та/або керуючою системою атомної станції (далі - кіберінцидент) - подія, під час виникнення якої піддаються компрометації інформаційна та/або керуюча система атомної станції, її компоненти або мережеве обладнання;

компрометація - порушення конфіденційності, цілісності, доступності даних та/або функціонування й характеристик інформаційної та/або керуючої системи атомної станції;

контроль доступу - процес забезпечення санкціонованого, авторизованого доступу до інформаційної та/або керуючої системи атомної станції або її компонентів;

конфіденційність - властивість, яка гарантує, що інформація залишається недоступною або нерозкритою для неавторизованих користувачів;

користувач - фізична особа або програмний процес, що може взаємодіяти з інформаційною та/або керуючою системою атомної станції через наданий інтерфейс;

культура безпеки щодо кіберзахисту (далі - культура кіберзахисту) - набір характеристик та особливостей діяльності організацій і поведінки окремих осіб, які визначають, що забезпечення кіберзахисту є однією з пріоритетних цілей і внутрішньою потребою, що веде до самосвідомості, відповідальності та самоконтролю під час виконання всіх робіт, що впливають на кіберзахист;

межа - точка розмежування, яка фізично або логічно поділяє зони кіберзахисту;

межовий інтерфейс - інтерфейс, через який здійснюється зв’язок між інформаційними та/або керуючими системами атомної станції, їх компонентами або мережами, що містяться у різних зонах кіберзахисту;

мережа - система електронних комунікацій, яка забезпечує обмін даними між технічними засобами однієї або декількох інформаційних та/або керуючих систем атомної станції;

мережева архітектура - повна структура мережі, яка визначає усі інформаційні та керуючі системи атомної станції, їх компоненти, мережеве обладнання, кабелі, використані топології мережі, протоколи обміну даними;

моніторинг - процес систематичного контролю поточного стану інформаційних та/або керуючих систем атомної станції, їх компонентів і програмного забезпечення;

негативний вплив - вплив на інформаційну та/або керуючу систему атомної станції, її компоненти або програмне забезпечення, який призводить до втрати або порушення функцій, зниження надійності, здатності реагування на кіберінциденти;

план кіберзахисту - документ, що визначає комплекс заходів, спрямованих на забезпечення кіберзахисту на етапах розроблення, впровадження, експлуатації інформаційних та/або керуючих систем атомних станцій, їх компонентів і програмного забезпечення;

політика кіберзахисту - сукупність задокументованих положень, правил і практик, які визначають цілі та порядок забезпечення кіберзахисту на етапах розроблення, впровадження, експлуатації та модифікації інформаційних та/або керуючих систем атомних станцій;

порушник - фізична особа, група або організація, яка проводить або має намір провести дії, що призведуть до порушення безпеки інформаційних та/або керуючих систем атомної станції;

правило двох осіб - принцип, що ґрунтується на спостереженні однієї особи за діями іншої з метою недопущення несанкціонованих дій;

принцип найменших привілеїв - принцип надання користувачу прав на виконання певних дій з певними ресурсами, які є мінімально необхідними для успішного виконання робочої мети;

програма кіберзахисту - документ, який регламентує та визначає застосування узгоджених (послідовних) організаційних і технічних заходів кіберзахисту та процедур для сукупності всіх інформаційних та керуючих систем енергоблока або майданчика атомної станції для забезпечення досягнення цілей кіберзахисту, визначених у політиці кіберзахисту;

раніше розроблене програмне забезпечення - програмне забезпечення, яке було використано в складі діючих інформаційних та/або керуючих систем та без змін або з додатковим конфігуруванням та уточненням параметрів може бути використано в складі інформаційної та/або керуючої системи, що проєктується;

ризик-інформований підхід до кіберзахисту - процес систематичного виявлення потенційних вразливостей інформаційної та/або керуючої системи та кіберзагроз для цієї системи, імовірнісного оцінювання виникнення негативних подій, детерміністичного оцінювання потенційних негативних наслідків цих подій та розроблення рекомендацій щодо реалізації контрзаходів з метою мінімізації вразливостей, імовірностей виникнення негативних подій та негативних наслідків;

рівень кіберзахисту - градація заходів кіберзахисту, що характеризується відповідними наборами вимог, установлених для інформаційної та/або керуючої системи атомної станції, її компонентів або програмного забезпечення, відповідно до максимальних наслідків успішної кібератаки;

цілісність - властивість, яка гарантує збереження повноти та точності даних.

Інші терміни вживаються в значеннях, наведених у Законі України "Про основні засади забезпечення кібербезпеки України", Загальних положеннях безпеки атомних станцій, затверджених наказом Державного комітету ядерного регулювання України від 19 листопада 2007 року № 162, зареєстрованих у Міністерстві юстиції України 25 січня 2008 року за № 56/14747 (далі - Загальні положення безпеки АС), Вимогах до проведення модифікацій ядерних установок та порядку оцінки їх безпеки, затверджених наказом Державного комітету ядерного регулювання України від 10 січня 2005 року № 4, зареєстрованих у Міністерстві юстиції України 24 січня 2005 року за № 78/10358 (далі - Вимоги до проведення модифікацій ядерних установок та порядку оцінки їх безпеки) та Вимогах з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки атомних станцій, затверджених наказом Державної інспекції ядерного регулювання України від 22 липня 2015 року № 140, зареєстрованих у Міністерстві юстиції України від 06 серпня 2015 року за № 954/27399 (далі - Вимоги з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС).

3. У цих Вимогах вживаються скорочення, що мають такі значення:

АС - атомна станція;

ЕО - експлуатуюча організація;

ІКС - інформаційна та/або керуюча система атомної станції;

ПЗ - програмне забезпечення;

ПТК - програмно-технічний комплекс;

ТЗА - технічний засіб автоматизації;

ЯРБ - ядерна та радіаційна безпека.

4. До ІКС застосовуються положення Закону України "Про основні засади забезпечення кібербезпеки України", як до технологічних систем, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних. У ІКС не здійснюється обробка державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законодавством.

5. Ці Вимоги регламентують кіберзахист ІКС, який забезпечується завдяки:

застосуванню ризик-інформованого підходу для забезпечення систематичного управління ризиками з метою недопущення зниження рівня ЯРБ;

відповідності параметрів і характеристик ІКС, їх компонентів і ПЗ під час їх розроблення, впровадження, експлуатації та модифікації вимогам до кіберзахисту;

дотриманню порядку розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та ПЗ, з урахуванням вимог до кіберзахисту.

6. Ці Вимоги обов’язкові під час здійснення діяльності з:

розроблення, виготовлення, випробувань, приймання та постачання ПТК і ТЗА (крім загальнопромислових), до складу яких входить ПЗ, призначених для застосування на АС як компонентів нових або модифікованих ІКС;

розроблення та верифікації ПЗ ІКС, ПТК і ТЗА;

проєктування, комплектування, монтажу, налагоджувальних робіт, введення в експлуатацію, експлуатації та модифікації ІКС;

розроблення документів, що обґрунтовують безпеку ІКС та/або їх компонентів;

державної експертизи ЯРБ на етапах розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та/або ПЗ.

7. Вимоги не поширюються на:

ТЗА, до складу яких не входить ПЗ;

датчики та канали передачі даних систем контролю радіаційних і метеорологічних параметрів у санітарно-захисній зоні та зоні спостереження;

системи фізичного захисту АС;

комп’ютерні системи АС, які використовуються в управлінні та операціях, орієнтованих на організаційно-адміністративну діяльність.

8. ЕО визначає та погоджує з Державною інспекцією ядерного регулювання України необхідність, обсяг і терміни усунення виявлених невідповідностей цим Вимогам тих ІКС та/або їх компонентів, що експлуатуються на АС, або тих, на монтаж яких Державною інспекцією ядерного регулювання України погоджено технічне рішення.

1. Категорії виконуваних ІКС функцій визначаються згідно з Вимогами з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС.

2. Функції, що виконують ІКС, важливі для безпеки АС, класифікуються за категоріями А, В, С, визначеними відповідно до Вимог з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС, залежно від їх ролі в забезпеченні ЯРБ, а також від можливих наслідків, спричинених невиконанням або помилковим виконанням функції. Функції, що виконують ІКС, які не впливають на безпеку АС, не класифікуються за категоріями.

1. Рівні кіберзахисту ІКС, їх компонентів та ПЗ встановлюються згідно з цими Вимогами відповідно до категорій функцій ІКС А, В, С, характеру цих функцій (керуючі або інформаційні) та мережевих зв’язків.

2. Рівень кіберзахисту К1 установлюється для ІКС, їх компонентів та ПЗ, що виконують функції категорії A.

3. Рівень кіберзахисту К2 установлюється для ІКС, їх компонентів та ПЗ, що виконують:

функції категорії В;

керуючі функції категорії С;

керуючі некласифіковані функції.

4. Рівень кіберзахисту К3 установлюється для ІКС, їх компонентів та ПЗ, що виконують:

інформаційні функції категорії С;

інформаційні некласифіковані функції.

1. ЕО та розробники ПТК, ТЗА, ПЗ розробляють, реалізують і підтримують політику кіберзахисту.

2. Політика кіберзахисту встановлює цілі кіберзахисту, визначає основні положення, правила та практики забезпечення кіберзахисту.

3. Політика кіберзахисту розробляється на виконання цих Вимог, норм і правил з ЯРБ та враховує закони й інші нормативно-правові акти з кібербезпеки.

4. Перегляд політики кіберзахисту здійснюється не рідше ніж один раз на рік або в разі виникнення кіберінцидентів на ІКС АС або змін, які потенційно можуть вплинути на кіберзахист.

5. Політика кіберзахисту, затверджена керівництвом підприємства-розробника, охоплює такі засади щодо ІКС:

розроблення, проєктування та виготовлення ПТК, ТЗА, ПЗ;

порядок застосування виробів сторонньої розробки;

випробування ПТК, ТЗА, ПЗ;

управління доступом до середовища розроблення ПТК, ТЗА, ПЗ;

управління ризиками та кіберзагрозами;

реагування на кіберінциденти;

оцінювання відповідності середовища розроблення ПТК, ТЗА, ПЗ вимогам кіберзахисту.

6. Політика кіберзахисту ІКС АС, затверджена керівництвом ЕО, охоплює такі засади:

ідентифікація ІКС, їх компонентів та ПЗ;

управління доступом до ІКС, їх компонентів та ПЗ;

управління конфігурацією ІКС, їх компонентів та ПЗ;

випробування ІКС, їх компонентів та ПЗ;

впровадження та експлуатація ІКС, їх компонентів та ПЗ;

модифікація ІКС, їх компонентів та ПЗ;

управління ризиками та кіберзагрозами;

реагування на кіберінциденти та відновлення;

оцінювання відповідності ІКС, їх компонентів та ПЗ вимогам кіберзахисту.

7. Політика кіберзахисту ІКС АС поширюється на всі ІКС, їх компоненти та ПЗ, які експлуатуються на конкретній АС.

8. Вимоги політики кіберзахисту ІКС АС враховуються в документах, що обґрунтовують кіберзахист, які використовуються під час реалізації та контролю за виконанням цієї політики.

1. Передбачається застосовування глибокоешелонованого кіберзахисту від кібератак, спрямованих на ІКС, їх компоненти та ПЗ. Стратегія глибокоешелонованого кіберзахисту описується в програмі кіберзахисту.

2. ЕО впроваджує, застосовує та підтримує стратегію глибокоешелонованого кіберзахисту (з урахуванням заходів захисту від несанкціонованого доступу до ІКС, їх компонентів та ПЗ) для забезпечення можливості виявлення, запобігання, реагування, пом’якшення наслідків і відновлення після кібератаки.

3. Глибокоешелонований кіберзахист забезпечується реалізацією сукупності послідовних бар’є-рів і заходів кіберзахисту для захисту ІКС, їх компонентів та ПЗ від кіберзагроз. Завдяки цьому відмова одного бар’єра чи заходу кіберзахисту не призводить до невиконання функцій або погіршення характеристик ІКС, їх компонентів та ПЗ.

Захисні бар’єри та пов’язані з ними заходи кіберзахисту забезпечують попередження або затримку розвитку кібератак.

4. Забезпечується незалежна ефективність різних захисних бар’єрів та їх захист від відмов із загальної причини на етапах розроблення, впровадження, експлуатації та модифікації ІКС. Водночас кожен бар’єр реалізує захист від кіберзагроз, які можуть виникати на сполучених бар’єрах.

1. Вимоги з кіберзахисту залежать від рівня кіберзахисту ІКС, їх компонентів та ПЗ. Заходи кіберзахисту застосовуються пропорційно до потенційно можливих наслідків кіберінцидентів. Для різних рівнів кіберзахисту вживаються заходи різної жорсткості (чим вищий рівень, тим більш суворі заходи кіберзахисту застосовуються).

2. Для практичної реалізації диференційованого підходу виконується логічне об’єднання ІКС та їх компонентів переважно з однаковими рівнями кіберзахисту в зони кіберзахисту для адміністрування та реалізації ідентичних захисних заходів. Критеріями для визначення зон кіберзахисту є структура ІКС, фізичне розміщення ІКС та їх компонентів, організація міжсистемних інтерфейсів, топологія локальних мереж.

Установлюється рівень кіберзахисту кожної зони. В обґрунтованих випадках до складу зони можуть належати ІКС та їх компоненти, що мають рівень кіберзахисту нижчий, ніж рівень кіберзахисту цієї зони. Рівень кіберзахисту зони встановлюється відповідно до найвищого рівня кіберзахисту ІКС та їх компонентів які належать до цієї зони. Водночас до усіх ІКС та їх компонентів і ПЗ у межах певної зони встановлюються вимоги з кіберзахисту та застосовуються захисні заходи відповідно до рівня кіберзахисту цієї зони.

Зони відображають логічне та фізичне групування ІКС та їх компонентів, а рівні кіберзахисту визначають ступінь необхідного кіберзахисту. В обґрунтованих випадках для декількох зон може бути встановлений однаковий рівень кіберзахисту.

3. Застосування зон кіберзахисту здійснюється з дотриманням таких принципів:

до ІКС та їх компонентів, які належать до однієї зони, застосовуються однакові захисні заходи;

ІКС та їх компоненти в межах однієї зони утворюють область надійного зв’язку, що не потребує застосування додаткових заходів захисту;

на межах зон реалізуються механізми розв’язування потоків даних для запобігання несанкціонованому доступу та поширенню помилок із зони більш високого рівня кіберзахисту до зони більш низького рівня кіберзахисту;

не допускається організація прямого з’єднання, що проходить більш ніж через дві зони;

мережеве обладнання (комутатори, кабелі) розміщується в тій же зоні кіберзахисту, що й пов’я-зані з ним ІКС;

мережеве обладнання, яке використовується для з’єднання різних ІКС та/або їх компонентів, що входять до двох різних зон, належать до зони з вищим рівнем кіберзахисту та до нього застосовуються відповідні заходи кіберзахисту;

передача даних здійснюється однонаправлено з боку зони більш високого рівня кіберзахисту до зони більш низького рівня кіберзахисту (зворотній обмін даними обґрунтовується та ініціюється лише з боку зони більш високого рівня кіберзахисту за допомогою запиту до зони більш низького рівня кіберзахисту);

межі двох зон обладнуються технічними та програмними засобами для розділення потоків даних згідно з вимогами, встановленими до зони більш високого рівня кіберзахисту;

потоки даних між різними зонами контролюються для забезпечення ефективності кіберзахисту;

тимчасове обладнання для доступу до ІКС, їх компонентів і ПЗ використовуються тільки в межах однієї зони або визначеного набору зон із однаковим рівнем кіберзахисту.

4. У випадку розміщення компонентів однієї ІКС у зонах з різним рівнем кіберзахисту до них застосовуються принципи, аналогічні тим, що викладені в пункті 3 глави 3 розділу III цих Вимог. Водночас застосовуються всі необхідні заходи захисту компонентів ІКС, що входять до зони з вищим рівнем кіберзахисту, від потенційного негативного впливу компонентів цієї ж ІКС, що входять до зони з нижчим рівнем кіберзахисту, відповідно до розділів V та VII цих Вимог.

1. ЕО відповідає за кіберзахист під час впровадження, модифікації, експлуатації, технічного обслуговування, ремонту, випробувань ІКС, їх компонентів та/або ПЗ на АС.

Кіберзахист ІКС АС забезпечує окремий підрозділ на майданчику АС, до складу якого входять фахівці, що мають необхідний рівень компетенції щодо кіберзахисту та ЯРБ.

2. Кіберзахист передбачає адміністративні (політика, процедури, дозволи), технічні (двері, замки, пломби), програмні (автентифікація та авторизація, антивірусний захист) та програмно-технічні (система виявлення вторгнень, міжмережеві екрани, пристрої однонаправленої передачі даних) заходи, які забезпечують:

попередження шкідливих дій через протидію та захист ІКС, їх компонентів, мережевого обладнання, ПЗ, даних та експлуатаційно-відновного резерву;

застосування засобів виявлення, затримки та реагування на шкідливі дії з метою мінімізації їх наслідків;

пом’якшення наслідків шкідливих дій, включно із заходами з відновлення нормального функціонування ІКС, їх компонентів та/або мережевого обладнання.

Заходи кіберзахисту гарантують, що будь-які ненавмисні дії та/або помилки персоналу не знижують кіберзахист та не підвищують вразливість ІКС, їх компонентів та ПЗ до шкідливих дій.

3. Під час проєктування ІКС визначаються проєктні заходи кіберзахисту, які реалізуються під час розроблення та виготовлення ПТК, ТЗА, ПЗ і забезпечують виконання вимог до кіберзахисту на етапах впровадження та експлуатації ІКС, їх компонентів та/або ПЗ.

4. Передача даних від ІКС АС до кризових центрів АС захищається та контролюється з використанням заходів кіберзахисту.

5. На етапах розроблення, впровадження, експлуатації та модифікації ІКС, їх компонентів та/або ПЗ застосовується управління конфігурацією для попередження несанкціонованих змін, впровадження надлишкових функцій, використання некоректних даних.

1. Дотримання культури кіберзахисту є суттєвим фактором забезпечення кіберзахисту. Керівництво ЕО забезпечує повну інтеграцію культури кіберзахисту в загальну культуру безпеки.

2. Основою культури кіберзахисту є розуміння тими, хто виконує функції регулювання, управління або експлуатації АС, існування реальної кіберзагрози та важливості кіберзахисту.

3. Культура кіберзахисту забезпечується за допомогою здійснення діяльності, спрямованої на інформування персоналу та поліпшення розуміння питань кіберзахисту (за допомогою плакатів, нагадувань, навчання, інструктажу, тестування).

4. Під час оцінювання культури кіберзахисту підтверджується, що:

вимоги кіберзахисту чітко документовані і добре розуміються керівництвом та персоналом;

процеси експлуатації ІКС, їх компонентів і ПЗ задокументовані;

керівництво та персонал розуміють і усвідомлюють важливість дотримання заходів контролю в межах політики та програми кіберзахисту;

обслуговування ІКС, їх компонентів та ПЗ забезпечує їх захист та експлуатацію відповідно до базових принципів і процедур кіберзахисту.

1. Гарантується, що засоби кіберзахисту, їх відмови та технічне обслуговування не мають негативного впливу (перешкоджання, затримання, викривлення) на інтерфейс "людина-машина", технічні характеристики та виконання ІКС функцій, важливих для безпеки АС, в умовах нормальної експлуатації та в разі порушень нормальної експлуатації.

2. Забезпечується запобігання негативному впливу засобів кіберзахисту, які реалізуються в певній ІКС, на сполучені ІКС.

3. Для забезпечення кіберзахисту в системах безпеки перевага надається зовнішнім (стосовно цих систем) засобам кіберзахисту.

4. Розробник ПТК, ТЗА, ПЗ виконує аналіз потенційного негативного впливу засобів кіберзахисту, який може призвести до порушення функціонування та/або погіршення характеристик ІКС (які регламентовані у Вимогах з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки АС), у складі якої використовуються або можуть бути використані відповідні ПТК, ТЗА, ПЗ, та мінімізує цей вплив.

Результати вказаного аналізу та реалізовані в ПТК, ТЗА, ПЗ заходи запобігання негативному впливу засобів кіберзахисту на функціонування та характеристики ІКС відображаються в плані кіберзахисту розробника.

5. Відсутність негативного впливу реалізованих у ПТК, ТЗА, ПЗ засобів кіберзахисту на функціонування та характеристики ІКС підтверджується в процесі випробувань з кіберзахисту на майданчику розробника, які проводяться за програмою та методикою, погодженими Державною інспекцією ядерного регулювання України.

1. На кожному етапі життєвого циклу ІКС проводиться виявлення та документування потенційних кіберзагроз та вразливостей кіберзахисту ІКС, їх компонентів та ПЗ.

2. Розробник здійснює заходи з виявлення вразливостей та захисту від несанкціонованого фізичного доступу до ПТК, ТЗА, а ЕО - до ІКС та їх компонентів (наявність/відсутність замків/пломб на дверях шаф, сигналізації про відкриття дверей шаф).

3. Розробник оцінює порядок та засоби контролю доступу користувачів до ПТК, ТЗА, ПЗ, а ЕО - до ІКС, їх компонентів та ПЗ. Проведення такого оцінювання спрямоване на підтвердження того, що в ІКС, ПТК, ТЗА, ПЗ:

реалізована автентифікація та авторизація користувачів (зокрема, зчитування конфігураційних файлів, що містять деталі облікових записів користувачів) та унеможливлено анонімний доступ до ІКС, ПТК, ТЗА, ПЗ;

забезпечено доступ лише до обмеженого набору функцій, даних і частин ІКС згідно з принципом найменших привілеїв;

унеможливлено віддалений доступ до компонентів та ПЗ ІКС з-за меж АС та із загальностанційних мереж і забезпечено запобігання несанкціонованому віддаленому доступу (віддалений доступ дозволений лише для авторизованих користувачів);

відсутні обхідні облікові записи з правами адміністратора для забезпечення доступу;

забезпечено блокування користувача в разі трьох невдалих спроб доступу до облікових записів та інформування персоналу, який визначено у відповідних документах АС, про намагання несанкціонованого доступу до ІКС, ПТК, ТЗА, ПЗ;

забезпечені необхідні довжина паролів, їх надійність, складність та періодичність зміни;

регламентовані та документовані процедури створення, зміни, блокування та видалення облікових записів користувачів;

визначена періодичність перегляду прав користувачів.

4. Розробник здійснює заходи з виявлення вразливостей та блокування несанкціонованого підключення (зокрема безпровідного) будь-яких зовнішніх пристроїв (сервісного або випробувального обладнання, портативних комп’ютерів, мобільних пристроїв, змінних носіїв даних) до ПТК, ТЗА, а ЕО - до ІКС та їх компонентів.

5. ЕО періодично здійснює заходи з виявлення вразливостей та оцінює відповідність захисту локальних мереж цим Вимогам за допомогою перевірок:

правильності визначення периметра кіберзахисту;

правильності конфігурування мережевого обладнання;

забезпечення кіберзахисту портів на мережевому обладнанні та обмеження доступу до конкретних портів технічних засобів ІКС;

наявності/відсутності відповідного сегментування мереж (використання некерованого трафіку в керуючих мережах, можливість або відсутність доступу до ІКС із загальноблокової мережі, знаходження сервісів керуючої мережі безпосередньо в цій мережі);

використання міжмережевих екранів для розділення локальних мереж і наявності/відсутності підключень в обхід міжмережевих екранів;

наявності/відсутності демілітаризованих зон;

реалізації фільтрації вхідних та вихідних пакетів даних;

правил розмежування доступу.

6. Розробник оцінює організаційні заходи та процедури із забезпечення кіберзахисту середовища розроблення ПТК, ТЗА, ПЗ, зокрема наявність або відсутність:

відповідальних осіб, які забезпечують кіберзахист в організації;

документації з кіберзахисту, яка регламентує процес розроблення ПТК, ТЗА, ПЗ в організації;

локальної мережі середовища розроблення, відокремленої від інших локальних та зовнішніх мереж розробника;

заходів захисту від несанкціонованого доступу (зокрема, порядку авторизації та автентифікації працівників, які беруть участь у розробленні ПТК, ТЗА, ПЗ);

порядку зберігання конфіденційної інформації та документації;

обмежень на використання зовнішніх носіїв даних, портативних та мобільних пристроїв;

порядку проведення оцінювання кіберзахисту;

порядку реєстрації та реагування на кіберінциденти.

7. ЕО оцінює організаційні заходи та процедури із забезпечення кіберзахисту, зокрема наявність або відсутність:

відповідальних осіб, які забезпечують кіберзахист в організаційній структурі АС;

документації з кіберзахисту;

задокументованих процедур резервного копіювання та відновлення;

порядку проведення оцінювання кіберзахисту;

порядку автентифікації та авторизації користувачів;

максимально спрощеної та задокументованої мережевої архітектури;

контролю вхідних та вихідних потоків даних;

моніторингу кіберінцидентів.

8. Результати виявлення вразливостей ПТК, ТЗА, ПЗ до кіберзагроз документуються розробником у відповідному звіті та враховуються в плані кіберзахисту розробника (згідно з главою 3 розділу VIII цих Вимог).

9. Результати виявлення вразливостей ІКС, їх компонентів та ПЗ до кіберзагроз документуються ЕО у звіті з оцінки кіберзахисту та враховуються ЕО в програмі кіберзахисту і в плані кіберзахисту ІКС АС (згідно з главами 2, 4 розділу VIII цих Вимог). Якщо аналіз показує, що заходи кіберзахисту на рівні ІКС недостатні, ЕО в програмі кіберзахисту та плані кіберзахисту ІКС АС визначаються додаткові компенсуючі заходи.

1. Оцінювання повноти та достатності заходів кіберзахисту під час модифікації або впровадження нових ІКС здійснюється спеціально створеною групою, до складу якої входять представники ЕО (фахівці з експлуатації та обслуговування ІКС, ЯРБ, кіберзахисту), розробників ПТК, ТЗА і ПЗ.

ЕО здійснює організацію та проведення первинного оцінювання відповідності повноти та достатності заходів кіберзахисту діючих ІКС цим Вимогам, які вже експлуатуються на АС, у межах аналогічної окремої процедури та за допомогою ризик-інформованого підходу (терміни проведення такого оцінювання визначаються відповідно до пункту 8 розділу I цих Вимог).

Оцінювання відповідності цим Вимогам повноти та достатності заходів кіберзахисту конфігурації та параметрів ІКС на місці експлуатації виконується з метою підтвердження реалізації відповідних заходів захисту від потенційно можливих кіберзагроз. Якщо результати оцінки показують, що реалізовані заходи є недостатніми, визначаються вимоги до додаткових заходів кіберзахисту.

2. Оцінювання відповідності повноти та достатності заходів кіберзахисту ІКС цим Вимогам здійснюється з використанням таких методів для отримання необхідної інформації:

аналіз документації (політики, програми та планів кіберзахисту ІКС АС, звітів з оцінки кіберзахисту, навчальних матеріалів з кіберзахисту, технічної документації ІКС, інвентарних списків технічних засобів ІКС, списків контролю доступу, мережевої архітектури, операційних журналів, звітів про кіберінциденти, оцінки ризиків);

бесіди з персоналом (зокрема, адміністративним керівництвом, оперативним та ремонтним персоналом, фахівцями з кіберзахисту);

безпосереднє обстеження ІКС, їх компонентів та локальних мереж.

3. Під час аналізу документації проводиться оцінювання відповідності передбачених у документації заходів кіберзахисту цим Вимогам і вимогам політики, програми та планів кіберзахисту ІКС АС. Додатково оцінюється відповідність поточного стану кіберзахисту ідентифікованим кіберзагрозам.

4. Бесіди з персоналом спрямовані на оцінювання обізнаності персоналу з політикою та програмою кіберзахисту ІКС АС, ефективності підготовки кадрів щодо кіберзахисту, сприйняття персоналом загроз та ризиків, готовності до реагування на кіберінциденти, визначення обов’язків та розподілу відповідальності, ефективності культури кіберзахисту, заходів забезпечення конфіденційності.

5. У процесі безпосереднього обстеження оцінюються заходи забезпечення кіберзахисту (з урахуванням рівнів кіберзахисту ІКС), реалізації зон кіберзахисту, контролю доступу до ІКС, її компонентів та ПЗ (зокрема до експлуатаційно-відновного резерву), фактичної мережевої архітектури, перевірок і технічного обслуговування ІКС, управління конфігурацією, моніторингу та реєстрації кібер-інцидентів.

6. На етапі збору інформації виконується оцінювання:

політики, програми та планів кіберзахисту ІКС АС і звітів з їх реалізації;

порядку, обсягу і результатів аналізу кіберзагроз та їх можливих наслідків;

застосування диференційованого підходу до забезпечення кіберзахисту, визначення рівнів кіберзахисту;

реалізації глибокоешелонованого кіберзахисту на АС;

наявності оцінки ризиків і забезпечення відповідних заходів кіберзахисту.

7. У процесі оцінювання відповідності повноти та достатності заходів кіберзахисту ІКС цим Вимогам виконується аналіз:

обізнаності персоналу з політикою та програмою кіберзахисту ІКС АС, спеціальної підготовки персоналу щодо забезпечення кіберзахисту та наявності відповідальних осіб, які забезпечують кіберзахист;

розподілу обов’язків і порядку доступу до ІКС;

наявності інвентарного переліку ІКС, їх компонентів, мережевого обладнання, ПЗ, експлуатаційно-відновного резерву, їх класифікації з кіберзахисту, відомостей про їх фізичне розміщення, функціональних схем ІКС і схеми зон кіберзахисту (водночас оцінюється відповідність зон кіберзахисту фізичному розміщенню ІКС та їх компонентів і відсутність входження обладнання більше ніж до однієї зони);

реалізації адміністративних, технічних і програмних засобів захисту та контролю несанкціонованого доступу до ІКС, їх компонентів, мережевого обладнання, ПЗ, експлуатаційно-відновного резерву;

порядку використання випробувального, налагоджувального обладнання, портативних пристроїв і зовнішніх носіїв даних у місцях розміщення ІКС та їх компонентів;

процедури утилізації непрацездатних або замінених технічних засобів та знищення носіїв даних;

обмеження доступу користувачів згідно з принципом найменших привілеїв;

можливостей несанкціонованого доступу до ІКС, їх компонентів, ПЗ і даних через мережеве обладнання, модеми, точки дротового або бездротового підключення, порти, незаблоковані ТЗА, сполучені ІКС;

реалізації виявлення вразливостей за допомогою відповідного аналізу та тестування;

достатності реалізованих у ІКС заходів кіберзахисту згідно з планами кіберзахисту ІКС АС;

упровадження компенсуючих заходів у разі, якщо необхідні заходи кіберзахисту не можуть бути застосовані в межах конкретної ІКС;

процедур упровадження або модифікації ІКС, їх компонентів, модифікації або установки нового ПЗ та оцінювання впливу цих змін на кіберзахист;

наявності в розробників ПТК, ТЗА, ПЗ системи менеджменту із забезпечення кіберзахисту, що підтверджується відповідними стандартами розробника;

заходів забезпечення кіберзахисту під час монтажу ІКС, їх компонентів;

програми й методики та результатів випробувань кіберзахисту ПТК, ТЗА, ПЗ у розробника після їх виготовлення та випробувань ІКС на АС;

заходів забезпечення кіберзахисту під час технічного обслуговування;

наявності задокументованих процедур реагування (дій персоналу, інформування, реалізації контрзаходів, відновлення, розслідування, застосування коригувальних заходів) на кіберінциденти, з урахуванням зовнішніх і внутрішніх (інсайдерських) кіберзагроз.

8. Під час використання ризик-інформованого підходу до оцінювання кіберзахисту діючих ІКС, ЕО виконує оцінювання ризиків з метою ідентифікації вразливостей до кібератак, що стосуються цих ІКС, і визначення потенційних наслідків успішного використання порушниками цих вразливостей. Впровадження заходів кіберзахисту базується на результатах такого оцінювання ризиків.

Під час оцінювання ризику виявляються та документуються конкретні поєднання кіберзагроз, вразливостей і наслідків, за результатами аналізу яких, у разі потреби, реалізуються додаткові заходи кіберзахисту, необхідні для запобігання або пом’якшення наслідків кібератак на ІКС.

Оцінювання ризиків ІКС передбачає:

визначення інтерфейсів і загальних умов експлуатації ІКС;

ідентифікацію та визначення характеру кіберзагроз;

виявлення вразливостей;

оцінювання імовірності виникнення негативних подій;

оцінювання наслідків негативних подій;

оцінювання рівня ризику;

визначення рівня прийнятного ризику;

визначення контрзаходів;

визначення остаточних ризиків та оцінювання їх сукупного впливу.

Вимоги до оцінювання кіберзахисту ІКС з використанням ризик-інформованого підходу визначаються та/або конкретизуються в програмі кіберзахисту та підтримуються в актуальному стані.

9. За результатами оцінювання кіберзахисту оформлюється звіт, який надається на погодження до Державної інспекції ядерного регулювання України.

Під час оцінювання та формування звіту забезпечується організаційний захист конфіденційної інформації, зокрема, маркування, збереження, передача та знищення підготовчих матеріалів, технічних записів, проєктів звіту та остаточного звіту. Застосовуються обмеження щодо використання електронних пристроїв і носіїв даних під час підготовки звіту.

1. ЕО виконує періодичне переоцінювання кіберзахисту ІКС, їх компонентів та/або ПЗ згідно з процедурою, наведеною в главі 2 розділу IV цих Вимог, і за допомогою ризик-інформованого підходу протягом експлуатації ІКС, але не пізніше, ніж через один рік після впровадження нової ІКС або після первинного оцінювання діючої ІКС, і не рідше, ніж один раз на два роки з метою врахування появи нових кіберзагроз.

2. Додаткове переоцінювання кіберзахисту ІКС проводиться у разі:

модифікації ІКС, її компонентів та ПЗ;

виникнення кіберінциденту;

виявлення нових вразливостей ІКС;

інших змін, які впливають на ІКС, її компоненти та ПЗ (у разі наявності).

3. Під час переоцінювання здійснюються перевірки достатності реалізованих заходів кіберзахисту та їх відповідності вимогам нормативно-правових актів та програмі кіберзахисту.

4. За результатами переоцінювання кіберзахисту оформлюється звіт, який надається на погодження до Державної інспекції ядерного регулювання України.

Під час проведення переоцінювання та формування звіту забезпечується організаційний захист конфіденційної інформації, зокрема, належне маркування, збереження, передача та знищення підготовчих матеріалів, технічних записів, проєктів звіту та остаточного звіту. Застосовуються обмеження щодо використання електронних пристроїв і носіїв даних під час підготовки звіту.