На днях на семинаре у атомщиков выступал с рассказом про информационную безопасность ядерных объектов в прицеле новой нормативки ФСТЭК по защите АСУ ТП. Очевидно, что высокоуровневый приказ регулятора применим к практически любой АСУ ТП любой отрасли, включая и атомную энергетику. Но такая универсальность несет с собой и ряд отрицательных моментов, включая и отсутствие учета специфических деталей, присущих различным отраслям - транспорту, трубопроводам, водоснабжению, нефтепереработке и в т.ч. и атомным объектам.
Найти эту специфику, применительно к информационной безопасности, оказалось не так уж и сложно. МАГАТЭ еще в 2003-м году начала разработку соответствующего документа "Компьютерная безопасность на ядерных установках", который увидел свет в 2009-м году, а в 2012-м он был официально переведен и на русский язык.
Однако на этом МАГАТЭ не остановилась и, создав отдельную рабочую группу, стала разрабатывать и другие документы, более полно раскрывающие отдельные аспекты обеспечения информационной безопасности на ядерных установках.
Это и документы по обеспечению конфиденциальности и целостности информации, и по оценке защищенности, и по управлению инцидентами, и по расследованию киберугроз, и т.п. Часть из этих документов в виде проектов готовы, часть на подходе.
Почерпнуть специфику можно и в других местах. В частности "американский Росатом" в 2010-м году выпустил обязательный к исполнению документ по кибербезопасности атомных объектов. Он, по структуре, напоминает проект приказа ФСТЭК по защите АСУ ТП - общие подходы, каталог защитных мер, рекомендации по их выбору. Разница только в том, что в США еще и разъяснения по каждой мере даны, что у нас сделано в рамках отдельного методического документа по государственным информационным системам и не учитывает тех мер защиты, которые специфичны именно для АСУ ТП.
А вообще насколько актуальна тема кибератак на объекты атомной энергетики? Как ни странно, вполне актуальна. Еще в 2002-м году я писал про ряд инцидентов на таких объектах в разных странах мира, включая и Россию. Поэтому сбрасывать со счетов ни внутреннего, ни внешнего злоумышленника не стоит. Включение этой проблемы в модель угроз становится насущной необходимостью. Это понимают и в МАГАТЭ - последние 2-3 года активизировалось применения руководства по моделированию угроз МАГАТЭ в контексте информационной безопасности; многие страны стали включать киберугрозы в свои документы на национальном уровне
Выводы... А выводов не будет. Заметка носит информационный характер с целью обратить внимание заинтересованных лиц на данное направление, а также стать руководством к размышлению. Невозможность осуществления кибернападений на атомную энергетику - это миф, который был развенчан уже не раз.