ДОСЛІДЖЕННЯ ВИМОГ ТА АНАЛІЗ КІБЕРБЕЗПЕКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНО-КЕРУЮЧИХ СИСТЕМ АЕС, ВАЖЛИВИХ ДЛЯ БЕЗПЕКИ
DOI:
https://doi.org/10.28925/2663-4023.2024.23.111131Ключові слова:
кібербезпека; програмне забезпечення; інформаційно-керуючі системи; атомні електростанції; енергетика.Анотація
Для забезпечення протидії криптоатакам на елементи критичної інфраструктури, зокрема на комп’ютерні системи управління атомних електростанцій, у даній роботі досягнута мета, яка складається у проведенні аналізу вимог до комп’ютерної безпеки (кібербезпеки) програмного забезпечення даної системи, що мають відношення до етапу його проектування, розробки та експлуатації, також запропоновані критерії та методика розрахунку якості дотримання даних вимог. Для досягнення поставленої мети в першому розділі статті наведена інформація про стандарти та виявлені вимоги до кібербезпеки програмного забезпечення. В другому розділі проведений аналіз вимог та описаний підхід до розробки програмного забезпечення з урахуванням даних вимог та аналізу їх врахування. В третьому розділі запропонований підхід до розрахунку показника виконання вимог кібербезпеки програмного забезпечення. В четвертому розділі наводиться приклад застосування даного підходу для існуючої комп’ютерної системи управління АЕС для оцінки відповідності вимог кібербезпеки. В статті розглянуто вимоги міжнародного стандарту IEC62645 та галузевого стандарту України «НП 306.2.237-2022», що мають відношення до розробки програмного забезпечення комп’ютерної системи управління АЕС. Забезпечення кіберзахисту програмного забезпечення комп’ютерної системи управління АЕС є комплексною задачею, що містить адміністративно-правові, технічні, культурні, організаційні складові. З точки зору розробки та експлуатації програмного забезпечення основні заходи щодо кіберзахисту включають в себе заходи з верифікації коду програмного забезпечення, забезпечення відсутності прихованих функцій, реалізацію фізичного захисту обладнання, захищеність складових частин програмного забезпечення, автентифікацію, безпеку під час обміну даними. Для визначення відповідності програмного забезпечення вимогам кіберзахисту необхідно визначити вимоги, що є застосовними до кожного компоненту програмного забезпечення, та провести аналіз їх виконання. Дана дія має відбуватися постійно під час розробки нового програмного забезпечення та оцінюванні програмного забезпечення існуючих комп’ютерної системи управління. Після проведення аналізу застосовності та виконання вимог може бути проведений розрахунок коефіцієнту виконання вимог. Відмічено, що кіберзахист є лише складовою частиною якості програмного забезпечення комп’ютерної системи управління АЕС, що є важливим для виконання функцій безпеки. Аналіз вимог та розрахунок коефіцієнту їх виконання може бути складовою частиною комплексної моделі процесу розробки програмного забезпечення комп’ютерної системи управління АЕС.
Завантаження
Посилання
Nuclear power plant. (2019). VUE. https://vue.gov.ua/Атомна_електростанція
Operating NPPs of Ukraine. (n.d.). Uatom.org. https://www.uatom.org/zagalni-vidomosti
War and atomic energy: how Zaporizhia NPP works under occupation. (n.d.). Suspilne|News. https://suspilne.media/254222-vijna-ta-atomna-energia-ak-pracue-zaporizka-aes-pid-okupacieu/
These countries have the most nuclear reactors. (2019). Weforum. https://www.weforum.org/agenda/2019/11/countries-that-have-the-most-nuclear-power-alternative-energy-electricity-climate-change/?DAG=3&gad_source=1&gclid=CjwKCAiAyp-sBhBSEiwAWWzTnlkktfFh8DZ27khXqhSO76F18heFwSfVPxqo1oN07YwKaMUU_SjOMBoCpe0QAvD_BwE
Cyber attacks of the Russian Federation. Chronology. (2018). Ministry of Defence Ukraine. https://www.mil.gov.ua/ukbs/kiberataki-rosijskoi-federaczii-hronologiya.html.
The biggest cyber attacks against Ukraine since 2014. Infographics. (n.d.). news of Ukraine and the world. main and latest news – NV. https://nv.ua/ukr/ukraine/events/najbilshi-kiberataki-proti-ukrajini-z-2014-roku-infografika-1438924.html
Ukrainian Pravda. (2023). Cyber attack on “Kyivstar”: how hackers managed to “make” a connection and whether such attacks are possible in the future? https://www.pravda.com.ua/podcasts/63bff58767d28/ 2023/12/21/7434067/
The SSU is helping Kyivstar restore the network. (n.d.). https://ssu.gov.ua/novyny/sbu-dopomahaie-kyivstaru-vidnovyty-robotu-merezhi
The state of cybersecurity in 2023 - Just Food | Issue 52 | June 2023. (б. д.). Home | Slimmer pickings? - Just Food | Issue 55 | March 2024. https://just-food.nridigital.com/just_food_jun23/cybersecurity-trends-market-forecast-2023
Enemy hackers are attacking the critical infrastructure of Ukraine: it is necessary to constantly work on strengthening protection. (2023). State Service of Special Communications and Information Protection of Ukraine. https://cip.gov.ua/ua/news/vorozhi-khakeri-atakuyut-kritichnu-infrastrukturu-ukrayini-pracyuvati-nad-posilennyam-zakhistu-treba-postiino
Vintenko, B., et al. (2023). Study of regulatory documents and industry standards for the development of software for NPP computer control systems important for safety. Control, navigation and communication systems, 2(72), 170–178. https://doi.org/10.26906/SUNZ.2023.2.170
Vintenko, B., et al. (2023). Study of the requirements of international standards IEC60880 and IEC62138 for the development of software for information and control systems of nuclear power plants important for safety. Control, navigation and communication systems, 3(73), 155–166. https://doi.org/10.26906/SUNZ.2023.3.155
Nuclear power plants - Instrumentation and control systems important to safety - Software aspects for computer-based systems performing category A functions (IEC 60880:2006). (2006). International Electrotechnical Committee.
Nuclear power plants - Instrumentation and control systems important for safety – Software aspects for computer-based systems performing category B or C functions. (IEC62138-2004). (2004). International Electrotechnical Commission.
Simonov, A., et al. (2019). Computer security of NPP information and control systems: documents justifying computer security. Nuclear and radiation safety, 4(84), 73–81. https://doi.org/10.32918/nrs.2019.4(84).09
Limba, T., et al. (2017). Cyber security management model for critical infrastructure. Entrepreneurship and Sustainability Issues, 4(4), 559–573. https://doi.org/10.9770/jesi.2017.4.4(12)
Nuclear power plants - Instrumentation and control systems – Requirements for security programmes for computer-based systems. (IEC62645-2014). (2014). International Electrotechnical Commission.
Requirements for cyber protection of information and control systems of nuclear plants to ensure nuclear and radiation safety. (NP 306.2.237-2022). (2022). State Nuclear Regulatory Commission of Ukraine.
Nuclear power plants - Instrumentation and control important to safety – Classification of instrumentation and control functions. (IEC61226-2009). (2009). International Electrotechnical Commission.
Bakhmach, Y., et al. (2008).Failure-resistant information and control systems on programmable logic. “KHAI” NAU, “Radio” R&PE.
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2024 Борис Вінтенко, Ірина Миронець, Олексій Смірнов, Оксана Кравчук, Наталія Козірова, Григорій Савеленко, Анна Коваленко
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.