ГОСТ Р МЭК 61513-2011 Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования

     5.4 Общее планирование

В настоящем подразделе приведены требования к разработке общих планов, обеспечивающих соблюдение требований к функциям контроля и управления, важным для безопасности, распределенным по системам, в течение жизненного цикла систем.

Требования настоящего подраздела согласуются и дополняют планы, рассмотренные в 6.2 для отдельных систем контроля и управления.

Примечание - Приведенные ниже требования к планам не препятствуют тому, чтобы планы оформлялись в виде различного числа документов.

Общие планы должны быть разработаны, прежде чем начнутся предусмотренные в них работы.

5.4.1 Общая программа обеспечения качества

Настоящий стандарт предполагает, что программа обеспечения качества, соответствующая требованиям МАГАТЭ 50-C-QA (Редакция 1), существует как неотъемлемая часть проекта АС и в соответствии с ней осуществляется контроль соответствующей деятельности.

a) Программа обеспечения качества должна разрабатываться и осуществляться по каждому направлению деятельности, связанному с жизненным циклом безопасности контроля и управления [см. раздел 2 МАГАТЭ 50-C-QA (Редакция 1)].

b) Программа обеспечения качества должна охватывать все направления деятельности, необходимые для достижения качества, а также действия, направленные на проверку достижения требуемого качества [см. раздел 102 МАГАТЭ 50-C-QA (Редакция 1)].

c) Деятельность по проверке должна быть определена в планах верификации. Планы верификации включают в себя средства, процесс и результаты на каждой стадии безопасного жизненного цикла контроля и управления и определяют:

- процедуры и способы верификации деятельности;

- записи, которые должны храниться и проверяться;

- подлежащие проверке виды деятельности, связанные с безопасностью;

- процедуры, направленные на выявление ошибок и несоответствий;

- критерии, определяющие полное завершение фазы;

- завершающие отчеты, в которых подтверждается соответствие результатов фазы исходным требованиям и выявляются отклонения.

d) Программы обеспечения качества должны планироваться и включаться в общую программу обеспечения качества при проектировании АС, а входящие в них виды деятельности - учитываться в общем плане действий по проектированию АС.

5.4.2 Общий план защищенности

Для защиты информации, обрабатываемой системами, важными для безопасности, от несанкционированного изменения (сохранность), нарушения доступа (доступность) и несанкционированного вскрытия (конфиденциальность) требуются определенные меры безопасности.

Примечание 1 - В системах контроля и управления АС требования сохранности и доступности превалируют над требованием конфиденциальности.

Программное обеспечение (тексты программ, а также параметры и данные) может быть особенно уязвимым при конструировании и наладке. Угрозы опасного воздействия, которые необходимо рассмотреть, включают в себя умышленные преднамеренные изменения, которые приводят как к полностью ошибочной работе программного обеспечения или сбоям, возникающим в определенное время, так и к искажению данных.

Примечание 2 - Угрозы, возникающие в связи с непреднамеренными изменениями, рассматриваются в перечне системных требований (см. 6.1.1.4).

Общий план обеспечения защищенности содержит следующие организационные и технические меры защиты архитектуры систем контроля и управления от преднамеренных, спланированных действий, которые могут дезорганизовать выполнение функций, важных для безопасности:

а) требования к защищенности функций и систем, важных для безопасности, должны быть отражены в плане защищенности системы (см. 6.2.2);

b) риск от несанкционированного доступа и вмешательства должен систематически отслеживаться на всех фазах жизненного цикла от начала до снятия с эксплуатации;

c) меры по обеспечению защищенности системы не должны заметно отражаться на надежности или эксплуатационных свойствах;

d) жесткость требований по защищенности отдельной системы и соответствующего оборудования должна определяться выполняемыми системой функциями. Компьютерные системы, выполняющие функции категории А, требуют более высокой степени защищенности, чем системы, выполняющие функции категории В или С;

e) для поддержания постоянно высокого уровня защищенности систем на АС должна проводиться специальная политика обеспечения защищенности, учитывающая специфику отдельных рабочих мест. Она должна включать в себя процедуры, устанавливающие связь между административной и технической защищенностью, допуска к системам, защищенности при работе с данными, модернизации и обслуживании, проверки защищенности и отчетности, а также процедуры тренингов по обеспечению защищенности;

f) системы, выполняющие функции, важные для безопасности, должны быть физически защищены от несанкционированного доступа. Контроль доступа должен включать в себя строгую идентификацию и порядок удостоверения для персонала систем, выполняющих функции категории А, и надежную идентификацию персонала для систем, выполняющих функции категорий В и С (см. 7.12 МАГАТЭ 50-SG-D3);