ANEXĂ - NORME. - Ordinul CNCAN nr. 181/2014 - aprobarea Normelor privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice
| Index |
|---|
| Ordinul CNCAN nr. 181/2014 - aprobarea Normelor privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice |
| ANEXĂ - NORME. |
NORME
privind protecția instalațiilor nucleare împotriva amenințărilor cibernetice
CAPITOLUL I
Domeniu, scop, definiții
Domeniu și scop
Art. 1.
(1) Prezentele norme sunt emise în conformitate cu prevederile Legii nr. 111/1996 privind desfășurarea în siguranță, reglementarea, autorizarea și controlul activităților nucleare, republicată, cu modificările și completările ulterioare.
(2) Prin prezentele norme se stabilesc cerințele generale privind proiecția sistemelor, componentelor și echipamentelor, inclusiv software-ul pentru instrumentație și control și rețelele informatice, denumite în continuare SCE, ale instalațiilor nucleare împotriva amenințărilor cibernetice.
Art. 2.
(1) Îndeplinirea prevederilor prezentelor norme constituie o condiție necesară pentru autorizarea de către Comisia Națională pentru Controlul Activităților Nucleare, denumită în continuare CNCAN, a activităților de punere în funcțiune, exploatare și dezafectare a unei instalații nucleare.
(2) Prevederile prezentelor norme se aplică atât solicitanților, cât și titularilor de autorizație pentru fazele de punere în funcțiune, exploatare, respectiv dezafectare ale unei instalații nucleare. În cadrul procesului de autorizare, precum și pe durata de valabilitate a unei autorizații, CNCAN poate impune cerințe suplimentare, după caz, pentru a ține cont de experiența de exploatare și cele mai noi standarde și bune practici recunoscute la nivel Internațional.
(3) În afara cazurilor în care se precizează altfel, cerințele prezentelor norme sunt aplicabile tuturor organizațiilor responsabile pentru punerea în funcțiune, exploatarea și dezafectarea instalațiilor nucleare.
(3) Orice derogare de la aplicarea prevederilor prezentelor norme trebuie aprobată de CNCAN și de autoritatea națională responsabilă pentru securitate cibernetică, în baza unei justificări scrise, formulate de solicitantul sau titularul de autorizație, dacă acesta demonstrează că asigură măsuri de protecție echivalente cu cele cerute prin prezentele norme.
Definiții
Art. 3.
(1) Termenii utilizați în prezentele norme sunt definiți în anexa nr. 1, cu excepția acelora ale căror definiții se regăsesc în textul prezentelor norme, în Legea nr. 111/1996, republicată, cu modificările și completările ulterioare, și în Hotărârea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României și a Planului de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică.
(2) Autoritatea națională responsabilă pentru securitatea cibernetică este Centrul Național Cyberint, denumit în continuare CNC.
CAPITOLUL II
Cerințe generale
Art. 4.
Titularul de autorizație trebuie să asigure protecția împotriva amenințărilor cibernetice pentru următoarele categorii de SCE:
a) SCE cu funcții de securitate nucleară;
b) SCE care fac parte din sistemul de protecție fizică;
c) SCE care fac parte din sistemul de control de garanții nucleare;
d) SCE cu funcții în răspunsul la situații de urgență, inclusiv sistemele de comunicații utilizate în situații de urgență.
Art. 5.
Titularul de autorizație trebuie să asigure protecția SCE care fac parte din categoriile stabilite la art. 4 împotriva amenințărilor cibernetice care ar putea avea drept consecințe:
a) un impact advers asupra funcționării SCE;
b) un impact advers asupra integrității sau confidențialității datelor și/sau a programelor software;
c) indisponibilitatea și/sau limitarea accesului la sisteme, servicii și/sau date.
Art. 6.
(1) Titularul de autorizație trebuie să analizeze toate SCE care fac parte din categoriile stabilite la art. 4 și să identifice acele SCE care necesită protecție împotriva amenințărilor cibernetice astfel încât să satisfacă cerințele din art. 5.
(2) În vederea stabilirii unei abordări gradate privind aplicarea cerințelor de securitate cibernetică, SCE identificate în conformitate cu cerințele de la alin. (1) se vor clasifica în funcție de consecințele potențiale ale materializării amenințărilor cibernetice.
(3) Lista SCE identificate în conformitate cu cerințele de la alin. (1), inclusiv clasificarea acestora, stabilită conform prevederilor de la alin. (2), trebuie transmisă pentru evaluare la CNCAN.
(4) Lista SCE trebuie revizuită și actualizată ținând cont de experiența de exploatare, evaluările și auditurile de securitate periodice.
(5) Ca urmare a auditurilor de securitate cibernetică efectuate de autoritatea națională responsabilă pentru securitatea cibernetică, solicitantul/titularul de autorizație are obligația de a include în lista SCE acele componente pentru care a fost identificată necesitatea protecției suplimentare.
Art. 7.
(1) Amenințările cibernetice care trebuie luate în considerare de titularul de autorizație se stabilesc de către CNCAN în cooperare cu autoritatea națională responsabilă pentru securitatea cibernetică și se comunică solicitantului/titularului de autorizație, cel mal târziu la data intrării în vigoare a prezentelor norme.
(2) Amenințările cibernetice sunt tratate independent sau în combinație cu tipurile de amenințări specificate în Normele de protecție fizică în domeniul nuclear, respectiv sabotaj și furt sau deturnarea unor cantități de materiale protejate.
(3) Reevaluarea amenințărilor cibernetice pentru SCE ale instalațiilor nucleare se efectuează anual sau ori de câte ori este necesar, la inițiativa CNCAN, a CNC sau a solicitantului/ titularului de autorizație.
CAPITOLUL III
Cerințe privind planul de securitate cibernetică
Art. 8.
(1) Titularul de autorizație trebuie să stabilească, să implementeze și să mențină un plan pentru protecția SCE identificate în conformitate cu cerințele art. 6 împotriva amenințărilor cibernetice, numit în continuare planul de securitate cibernetică.
(2) Planul de securitate cibernetică trebuie să aibă la bază o analiză de risc, ținând cont de amenințările cibernetice stabilite conform prevederilor art. 7.
Art. 9.
Planul de securitate cibernetică trebuie stabilit astfel încât să se asigure:
a) implementarea controalelor necesare pentru protecția SCE identificate în conformitate cu cerințele art. 6;
b) implementarea și menținerea unei strategii de protecție în adâncime pentru detecția, răspunsul și recuperarea SCE în urma materializării amenințărilor cibernetice;
c) limitarea consecințelor materializării amenințărilor cibernetice și menținerea funcțiilor importante pentru securitatea nucleară, protecția fizică, controlul de garanții nucleare și răspunsul la situații de urgență.
Art. 10.
(1) Planul de securitate cibernetică trebuie să țină cont de caracteristicile relevante ale amplasamentului și proiectului instalației sau instalațiilor nucleare aflate în responsabilitatea titularului de autorizație.
(2) Planul de securitate cibernetică trebuie să includă măsuri de răspuns la incidente și de recuperare în urma materializării amenințărilor cibernetice.
(3) Planul de securitate cibernetică trebuie să descrie modul în care titularul de autorizație va asigura următoarele:
a) menținerea capacității pentru detecția rapidă și răspunsul în timp util la incidente cibernetice;
b) limitarea consecințelor materializării amenințărilor cibernetice;
c) corectarea vulnerabilităților exploatate în atacurile cibernetice;
d) repunerea în funcțiune a SCE afectate de incidentele cibernetice.
Art. 11.
Titularul de autorizație trebuie să se asigure că există în permanență o echipă de specialiști care să asigure detecția și răspunsul rapid la un incident de securitate cibernetică, inclusiv protecția SCE identificate în conformitate cu cerințele art. 6 și limitarea consecințelor materializării amenințărilor cibernetice.
Art. 12.
(1) Titularul de autorizație trebuie să asigure, ca parte a planului de securitate cibernetică, următoarele:
a) pregătirea personalului propriu și a contractorilor cu privire la cunoașterea, aplicarea și respectarea cerințelor de securitate cibernetică, pentru toate etapele ciclului de viață al SCE, începând cu etapa de proiectare, în funcție de sarcinile și responsabilitățile stabilite;
b) evaluarea și gestionarea riscurilor asociate cu amenințările cibernetice;
c) evaluarea modificărilor care afectează SCE identificate conform cerințelor art. 6, în scopul menținerii unei protecții adecvate împotriva amenințărilor cibernetice.
(2) Titularul de autorizație trebuie să dezvolte și să mențină o politică și proceduri scrise pentru punerea în aplicare a planului de securitate cibernetică.
Art. 13.
Titularul de autorizație trebuie să implementeze măsuri pentru colectarea, evaluarea și utilizarea experienței de exploatare interne și externe în vederea îmbunătățirii continue a protecției împotriva amenințărilor cibernetice, respectiv a planului de securitate cibernetică.
Art. 14.
(1) Titularul de autorizație trebuie să asigure evaluarea periodică a eficacității planului de securitate cibernetică.
(2) Evaluarea eficacității planului de securitate cibernetică trebuie efectuată:
a) cel puțin o dată pe an;
b) după fiecare eveniment relevant pentru securitatea cibernetică, din experiența de exploatare internă sau externă.
(3) Evaluarea eficacității planului de securitate cibernetică trebuie să includă exerciții de testare a măsurilor de protecție împotriva amenințărilor cibernetice.
Art. 15.
(1) Titularul de autorizație trebuie să demonstreze că a implementat toate măsurile necesare, la nivelul celor mai noi standarde și bune practici recunoscute la nivel internațional, pentru asigurarea protecției instalațiilor nucleare împotriva amenințărilor cibernetice.
(2) Documentele de referință menționate în anexa nr. 2 reprezintă standarde și ghiduri privind bune practici recunoscute pe plan național și internațional și se recomandă ca orice nouă revizie a acestora să fie luată în considerare de către titularul de autorizație, în vederea îmbunătățirii protecției instalațiilor nucleare împotriva amenințărilor cibernetice,
Art. 16.
Măsurile de protecție împotriva amenințărilor cibernetice trebuie implementate astfel încât să nu producă efecte adverse asupra funcționării SCE conform cerințelor și intenției de proiectare.
Art. 17.
(1) Titularul de autorizație trebuie să stabilească și să impună un set de cerințe și reguli de securitate cibernetică pentru furnizorii de produse și servicii pentru instalațiile nucleare, în scopul prevenirii incidentelor cibernetice,
(2) Cerințele pentru SCE noi din categoria celor identificate conform cu cerințele art. 6 sau pentru modernizările SCE existente trebuie să includă remedierea vulnerabilităților pentru toată durata de viață a SCE respective.
CAPITOLUL IV
Cerințe privind documentația, înregistrările și raportarea
Art. 18.
Titularul de autorizație trebuie să păstreze toate înregistrările și documentația tehnică suport pentru demonstrarea conformității cu cerințele prezentelor norme pentru toată durata de viață a instalației nucleare.
Art. 19.
(1) Titularul de autorizație va raporta imediat la CNCAN orice condiție anormală cu impact asupra securității cibernetice a SCE identificate în conformitate cu cerințele art. 6, inclusiv incidentele cibernetice.
(2) Orice incident de securitate cibernetică cu impact asupra SCE se comunică la CNC în maximum 12 ore de la constatarea acestuia.
CAPITOLUL V
Dispoziții tranzitorii și finale
Art. 20.
(1) În 240 de zile de la intrarea în vigoare a prezentelor norme, titularii de autorizație trebuie să transmită la CNCAN, spre evaluare și avizare, planul de securitate cibernetică pentru instalațiile nucleare de care răspund, prin care să demonstreze:
a) conformitatea cu cerințele prezentelor norme;
b) alinierea la recomandările din documentele de referință menționate în anexa nr. 2;
c) implementarea măsurilor de protecție împotriva amenințărilor cibernetice comunicate de CNCAN în cooperare cu CNC, în conformitate cu prevederile de la art. 7.
(2) Planul de securitate cibernetică trebuie să includă măsurile de implementare și termenele aferente.
(3) Conținutul minim recomandat al planului de securitate cibernetică este cel din anexa nr. 3.
Art. 21.
Anexele nr. 1, 2 și 3 fac parte Integrantă din prezentele norme.
DEFINIȚII
- amenințare cibernetică - circumstanță sau eveniment care constituie un pericol potențial la adresa securității cibernetice;
- atac cibernetic - acțiune ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică;
- funcție de securitate nucleară - un scop specific care trebuie îndeplinit pentru asigurarea securității nucleare. Funcțiile generale de securitate nucleară sunt următoarele:
a) controlul reactivității; pentru un reactor nuclear, această funcție se referă inclusiv la oprirea reactorului șl menținerea acestuia într-o stare de oprire sigură pentru o perioadă de timp nedeterminată;
b) răcirea combustibilului nuclear;
c) reținerea materialelor radioactive, inclusiv menținerea barierelor fizice în calea eliberării acestora în mediul înconjurător;
d) monitorizarea stării instalației nucleare și furnizarea serviciilor-suport necesare pentru menținerea funcțiilor a), b) și c);
- incident cibernetic - eveniment survenit în spațiul cibernetic ale cărui consecințe afectează securitatea cibernetică;
- infrastructuri cibernetice - infrastructuri de tehnologia informației și comunicații, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice;
- securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și nonrepudierea informațiilor în format electronic, a resurselor și serviciilor publice sau private, din spațiul cibernetic. Măsurile proactive și reactive pot include politici, concepte, standarde și ghiduri de securitate, managementul riscului, activități de instruire și conștientizare, implementarea de soluții tehnice de protejare a infrastructurilor cibernetice, managementul identității, managementul consecințelor;
- SCE - sistemele, componentele și echipamentele instalației nucleare;
- SCE cu funcții de securitate nucleară - sunt acele SCE care contribuie, direct sau indirect, în condiții de operare normală, în cazul evenimentelor anticipate în exploatare și/sau în condiții de accident, la îndeplinirea funcțiilor generale de securitate nucleară; acestea includ SCE a căror defectare poate avea un impact advers asupra îndeplinirii unei funcții de securitate nucleară.
DOCUMENTE DE REFERINȚĂ
1. Computer Security at Nuclear Facilities, IAEA Nuclear Security Series 17, International Atomic Energy Agency, Vienna, 2011.
2. Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, INFCIRC/225/Revision 5, IAEA Nuclear Security Series 13, International Atomic Energy Agency, Vienna, 2011.
3. IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations, IEEE Std 7-4.3.2-2010, Institute of Electrical and Electronics Engineers, 2010.
4. IEC 62645 Ed.1.0: Nuclear power plants-Instrumentation and control systems - Requirements for security programmes for computer-based systems.
5. Hotărârea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României și a Planului de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică, publicată în Monitorul Oficial al României, Partea I nr. 296 din 23 mai 2013.
Conținutul minim al planului de securitate cibernetică pentru o instalație nucleară
Secțiunea 1 - Organizare și responsabilități
1.1. Scheme organizatorice, inclusiv organigrama organizației titularului de autorizație și a departamentului sau departamentelor cu responsabilități pentru securitatea cibernetică a instalațiilor nucleare;
1.2. Persoanele cu responsabilități și autoritate pentru securitatea cibernetică a instalațiilor nucleare; responsabilități pentru elaborare, raportare, avizare și aprobarea procedurilor și documentelor aferente;
1.3. Procesul de elaborare, revizie periodică și aprobare a procedurilor și documentelor aferente.
Secțiunea 2 - Inventarul SCE relevante pentru securitatea cibernetică a instalațiilor nucleare
2.1. Lista SCE a căror funcționare depinde de computere și programe software;
2.2. Lista tuturor aplicațiilor și programelor software;
2.3. Diagramele rețelelor informatice, inclusiv toate conexiunile către sisteme informatice externe, care nu sunt sub controlul titularului de autorizație.
Secțiunea 3 - Analiza riscurilor, vulnerabilităților și a conformității cu cerințele aplicabile
3.1. Periodicitatea reevaluării și revizuirii planului de securitate cibernetică;
3.2. Autoevaluarea eficacității planului și măsurilor de securitate cibernetică, inclusiv testele de penetrare;
3.3. Procedurile de audit și de identificare, urmărire și corectare a neconformităților;
3.4. Conformitatea cu cerințele din legislația națională și din standardele internaționale aplicabile.
Secțiunea 4 - Proiectarea sistemului de securitate cibernetică și controlul configurației
4.1. Principiile de proiectare și arhitectura de bază a sistemului de securitate cibernetică; nivelurile de securitate cibernetică;
4.2. Cerințele pentru fiecare nivel de securitate cibernetică;
4.3. Stabilirea cerințelor de securitate cibernetică pentru furnizorii de produse și servicii destinate instalațiilor nucleare;
4.4. Asigurarea securității cibernetice pentru tot ciclul de viață a SCE.
Secțiunea 5 - Procedurile operaționale de securitate cibernetică
5.1. Controlul accesului la SCE;
5.2. Protecția datelor;
5.3. Protecția comunicațiilor;
5.4. Protecția platformelor și aplicațiilor informatice;
5.5. Supravegherea/Monitorizarea sistemelor;
5.6. Activitățile de întreținere necesare pentru SCE a căror funcționare depinde de computere și programe software;
5.7. Managementul incidentelor/Răspunsul la incidente cibernetice;
5.8. Asigurarea continuității funcțiilor de securitate și siguranță nucleară;
5.9. Măsuri pentru salvarea datelor - system backup - în caz de incident cibernetic;
5.10. Achiziția și transferul de SCE;
5.11. Eliminarea din sistem a SCE.
Secțiunea 6 - Managementul personalului
6.1. Verificarea/Avizarea personalului;
6.2. Pregătirea personalului;
6.3. Calificarea personalului;
6.4. Terminarea accesului și transferul personalului.
| ← Ordinul ANRE nr. 109/2014 - aprobarea valorilor bonusurilor de... | Ordinul MAI nr. 157/2014 - modificarea şi completarea Normelor... → |
|---|
