Ohje YVL A.12, Ydinlaitoksen tietoturvallisuuden hallinta

Transkriptio

1 Perustelumuistio (7) Ohje YVL A.12, Ydinlaitoksen tietoturvallisuuden hallinta 1. Ohjepäivityksen valmistelutiedot 2. Johdanto 3. Soveltamisala Työryhmän kokoonpano: Janne Päivinen (pj), Mika Johansson, Eero Sarkio, Tapani Hack. Ohjeen päivityksen yhteydessä on oltu yhteydessä luvanhaltijoihin, pidettiin YVL -ohje seminaari luvanhaltijoiden ja luvan hakijan kanssa. Seminaariin osallistuivat luvanhaltijoiden ja luvanhakijan edustajat: Marko Mäki (Fortum), P. Leppimäki (TVO), Sauli Aalto-Setälä (TVO), Jarkko Ekberg (Fennovoima). Pyydetyt ja saadut lausunnot: jne. Täydennä tämä, kun lausunnot on saatu (milloin lähetetty ja keiltä kaikilta saatu). Ohjepäivitys toteutetaan kevyellä lausuntokierrosmenettelyllä, koska aluksi nähtiin, että ohjeen muutokset olisivat vähäisiä. Päivitystyön edetessä sekä ohjeeseen, että perustelumuistioon tehtiin kuitenkin melko paljon muutoksia ja lisäyksiä. Ohje YVL A.12 on ottanut huomioon IAEA:n ohjeessa Computer Security at Nuclear Facilities (NSS 17) esitetyt menettelyt. IAEA:n ohjeisto uudistuu jatkuvasti ja STUK osallistuu tietoturvallisuusohjeiden tekoon aktiivisesti. Ohjeen teossa on huomioitu ISO/IEC sarjan standardit sekä IEC sarjan standardit. Kansainvälisistä parhaista käytännöistä on huomioitu COBIT sekä NIST 800 sarjan asiakirjat. Ohjeen vaatimuksia on verrattu NRC:n ohjeeseen Regulatory Guide 5.71 Cyber Security Programs for Nuclear Facilities. Ohjeessa YVL A.12 esitetään ydinlaitosten tietoturvallisuutta koskevat määräykset ja niiden soveltamista koskevat vaatimukset. Ohjetta sovelletaan ydinlaitoksiin niiden elinkaaren kaikissa vaiheissa. Ohje on tarkoitettu ydinlaitosten luvanhakijoille ja luvanhaltijoille, ja sitä sovelletaan organisaatioihin, joilla on vaikutusta ydinlaitosten tietoturvallisuuteen sekä muuhun ydinenergian käyttöön. Yleisiä vaatimuksia ja STUKin suorittamaa valvontaa kuvataan myös YVL A-sarjan ohjeissa sekä YVL ohjeissa: B.1 Ydinvoimalaitoksen turvallisuussuunnittelu B.2 Ydinvoimalaitoksen järjestelmien, rakenteiden ja laitteiden luokittelu B.7 Varautuminen sisäisiin ja ulkoisiin uhkiin ydinlaitoksessa C.5 Ydinvoimalaitoksen valmiusjärjestelyt D.1 Ydinmateriaalivalvonta D.2 Ydinaineiden ja ydinjätteiden kuljetus D.3 Ydinpolttoaineen käsittely ja varastointi D.5 Ydinjätteiden loppusijoitus E.7 Ydinlaitoksen sähkö- ja automaatiolaitteet STUKin ohjeet YVL A.11 ja YVL A.12 yhdessä edellä mainittujen asiakirjojen kanssa muodostavat perustan ydinlaitosten turvajärjestelyille. Tietoturva on osa turvajärjestelyjä. Ydinlaitosten turvajärjestelyjä valvovana viranomaisena toimii

2 Perustelumuistio (7) ydinenergialain (990/1987) 55 :n mukaisesti Säteilyturvakeskus (STUK). Turvajärjestelyistä vastaa ydinenergialain (990/1987) 9 :n mukaisesti luvanhaltija siltä osin, kuin nämä tehtävät eivät kuulu viranomaisille. 4. Vaatimusten perustelut Ohjeessa YVL A.12 annetaan vaatimuksia ydinlaitoksen tietoturvallisuuden hallinnalle ja täsmennetään Säteilyturvakeskuksen määräyksessä ydinenergian käytön turvajärjestelyistä STUK Y/3/2018 esitettyjä vaatimuksia. STUK Y/3/2018 korvaa valtioneuvoston asetuksen ydinenergian käytön turvajärjestelyistä 4 :n, jonka mukaan ydinlaitoksen ja sen tieto-, tietoliikenne- ja automaatiojärjestelmien suunnittelussa on käytettävä kehittyneitä tietoturvallisuusperiaatteita. Luvaton pääsy ydinlaitoksen suojaus-, ohjaus- ja säätöjärjestelmiin on estettävä. Turvajärjestelyjä, mukaan lukien tietoturvallisuus, koskevien asiakirjojen julkisuudesta on voimassa se, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään. Vaitiolovelvollisuudesta säädetään ydinenergialain 78 :ssä. Vaitiolovelvollisuus koskee turvajärjestelyjä koskevia suunnitelmia. Turvajärjestelyjä koskevat yleiset velvoitteet esitetään ydinenergialaissa (990/1987) ja Säteilyturvakeskuksen määräyksissä STUK Y/3/2018 ja STUK Y/1/2018. Velvoitteita sisältyy myös Suomen tekemiin kansainvälisiin ydinenergia-alan sopimuksiin, hallitusten välisiin muihin sopimusjärjestelyihin sekä Suomen antamiin sitoumuksiin. 5. Tietoturvallisuuden hallinta 5.1 Tietoturvallisuuden hallintajärjestelmä Luvanhaltijan on määriteltävä tietoturvallisuuden hallintapolitiikka, joka voi olla itsenäinen asiakirja tai osa laajempaa kokonaisuutta. Luvanhaltijan on määriteltävä tietoturvallisuuden hallintajärjestelmä osana johtamisjärjestelmää. Johtamisjärjestelmän on täytettävä ohjeen YVL A.3 Turvallisuuden johtaminen ydinalalla vaatimukset Tietoturvallisuuden hallintajärjestelmän on katettava hallinnolliseen tietoturvallisuuteen liittyvät toimenpiteet ja menettelyt kattaen kaikki tietoturvallisuuden kannalta olennaiset laitteet ja järjestelmät. Esimerkiksi toimistoverkolla ja laitosautomaatioverkolla voi olla erilliset hallintajärjestelmät, mutta niiden on yhdessä katettava koko laitosympäristö yhteyspisteineen. Tietoturvallisuuden hallintajärjestelmän tulee sisältää myös ulkoisten resurssien ohjaaminen ja valvonta tietoturvallisuuden osalta. Henkilöiden taustaselvitysten tulee olla tehtynä, järjestelmien käyttöoikeudet sekä kulkuoikeudet tulee olla rajattuna tehtävän mukaan ja työsuhteen päättyessä oikeudet tulee poistaa. Tietoturvallisuuden tavoitteet on esitettävä osana tietoturvallisuuden hallintajärjestelmää. Tavoitteilla tarkoitetaan jatkuvan parantamisen periaatteen noudattamista. Jatkuvaan seurantaan ja tavoitteiden ylläpitämiseen tulee kiinnittää huomiota, koska tietoturvallisuuden uhkat muuttuvat jatkuvasti. Toimijoiden vastuut ja velvollisuudet, toimenpiteet, resurssitarpeet, toteutus- ja ylläpitoaikataulut sekä se,

3 Perustelumuistio (7) kuinka toimenpiteiden vaikuttavuutta arvioidaan ja kehitetään, on esitettävä toteutussuunnitelmissa. Luvanhaltijan on dokumentoitava, mitä kriteereitä ja standardeja hyödyntäen tietoturvallisuuden hallintajärjestelmä on toteutettu. Ohjeen YVL A.12 liitteessä esitetään ohjeita ja standardeja, jotka on otettava huomioon hallintajärjestelmän kehittämisessä. Viranomaisen luovuttaman salassa pidettävän tiedon suojaukseen on käytettävä viranomaisen noudattamia menettelyjä ja suojauksen tietoturvallisuuden arviointiin soveltuu KATAKRI-kriteeristö. Ennen viranomaisen turvallisuusluokittelemaa, salassa pidettävää tai näistä johdettua tietoa sisältävän aineiston luovuttamista kolmannelle osapuolelle, luvanhaltijan tai luvanhakijan on haettava aineiston laatineen viranomaisen hyväksyntä tiedon luovuttamiselle. Salassa pidettävien asiakirjojen käsittely ja säilytys tulee olla niiden luokituksen mukaista. Suojattavat kohteet on tunnistettava ja määriteltävä riittävän yksityiskohtaisesti. Esimerkiksi sähköjärjestelmässä saattaa olla komponentteja, jotka vaativat eri tasoisia suojauksia tai yksittäisessä automaatiojärjestelmässä saattaa olla sekä analogisia että ohjelmistopohjaisia komponentteja. Myös laitteiden ja järjestelmien ylläpitoon ja parametrointiin tarvittavat tietokoneet on tunnistettava ja suojattava. Suojattaviin kohteisiin liittyvät uhkat ja haavoittuvuudet sekä tietoturvallisuusloukkausten aiheuttamat vaikutukset on arvioitava ja niiden perusteella on määriteltävä tarpeelliset tekniset, hallinnolliset tai fyysiset suojaustoimenpiteet Tietoturvallisuusloukkausten vaikutusten arvioinnissa voi käyttää pohjana ohjeen YVL B.1 edellyttämiä vikaantumisanalyysejä. Nämä vikaantumisanalyysit eivät kuitenkaan välttämättä kata tahallisen toiminnan kaikkia vaikutuksia. Vaikutusten arviointiin tulee osallistua tietoturvaosaajien lisäksi laitosprosessien, automaatio- ja sähköjärjestelmien asiantuntijoita.. Ohjeessa YVL A.3 esitetään vaatimuksia resursseista ja osaamisesta. Ohje YVL A.12 esittää tarkempia vaatimuksia. 5.5 Tietoturvallisuuden hallintajärjestelmän tarkastukset ja katselmoinnit Tietoturvallisuuden riittävyyden todentamiseksi luvanhaltijan on järjestettävä tietoturvallisuuden itsearviointi vuosittain ja tietoturvallisuuden hallintajärjestelmän kaikki osa-alueet tulee arvioida kolmen vuoden ajanjaksolla. Itsearviointien lisäksi luvanhaltijan tulee järjestää riippumaton laaja-alainen tietoturvallisuuden arviointi neljän vuoden ajanjaksolla. Tätä varten luvanhaltijan kutsuu kokoon toiminnastaan riippumattoman asiantuntijaryhmän. Luvanhaltijan tulee ilmoittaa itsearvioinneista sekä riippumattomista arvioinneista, tarkastuksista ja katselmoinneista riittävän ajoissa STUKille, jotta STUK voi harkintansa mukaan seurata näiden toteuttamista. Tarkastukset ja katselmoinnit on dokumentoitava. Dokumenttien on oltava STUKin tarkastettavissa esimerkiksi luvanhaltijan tiloissa.

4 Perustelumuistio (7) 5.6 Tietoturvallisuuden hallintajärjestelmän parantaminen Tietoturvallisuuden hallintajärjestelmän osalta tulee noudattaa jatkuvan parantamisen periaatetta. Jatkuvassa parantamisessa tulee hyödyntää ja huomioida oman, sekä muiden toimialojen tietoturvallisuuden hallinnasta saatuja käyttökokemuksia. Luvanhaltijan tietämyksen tulee olla ajantasaista tietoturvallisuuteen liittyvissä asioissa. Uusien uhkien turvallisuusvaikutusta pitää arvioida ennakoivasti. Luvanhaltijan johdon on edistettävä tapoja, joilla koko henkilökunta osallistuu tietoturvallisuuden hallintajärjestelmän toteuttamiseen ja jatkuvaan parantamiseen. Tätä voidaan pitää myös osana turvallisuuskulttuuria. Luvanhaltijan johdon on varmistettava, että hallintajärjestelmään kohdistuvat parannukset ovat asetettujen tavoitteiden mukaisia. 6. Turvallisuuden kannalta tärkeiden järjestelmien suojaaminen Säteilyturvakeskuksen määräyksen STUK Y/3/ :n mukaisesti ydinlaitoksen ja sen tieto-, tietoliikenne- ja automaatiojärjestelmien suunnittelussa ja ylläpidossa on käytettävä tarkoituksenmukaisia tietoturvallisuusperiaatteita. Ydinlaitoksen turvallisuuteen vaikuttavien laiteiden ja järjestelmien, kuten tieto-, tietoliikenne-, sähköja automaatiojärjestelmien, tietoturvallisuus ja arkkitehtuuri on suunniteltava ja toteutettava siten, että luvaton pääsy on estetty riittävien fyysisten, teknisten ja hallinnollisten turvajärjestelyjen avulla niin hyvin kuin käytännöllisin toimenpitein on mahdollista. Ydinlaitoksen tietoturvallisuuden kannalta tärkeät järjestelmät ja laitteet tulee olla tunnistettu ja niiden tietoturvallisuusmerkitys arvioitu. Järjestelmien merkitystä arvioitaessa tulee siis huomioida myös järjestelmät, jotka eivät suoraan vaikuta ydinturvallisuuteen, mutta joiden kautta on mahdollista välillisesti vaikuttaa ydinturvallisuuteen. Tällaisia järjestelmiä ovat mm. toimistoverkko, suunnittelutyökalut- ja tietokannat sekäturvavalvontajärjestelmät. Sähkö- ja automaatiotiloihin pääsyä tulee valvoa siten, että pääsy näihin tiloihin on ainoastaan asianomaisilla henkilöillä ja siten että käynnit ovat jäljitettävissä. Muutokset ohjelmistoihin, parametreihin ja tietokantoihin on voitava jäljittää. Asiaankuulumattomien laitteiden ja ohjelmien asentaminen on estettävä luotettavasti. Ydinlaitoksen laitteet ja järjestelmät sekä turvavalvonnan järjestelmät ja valmiustoiminnan viestintäjärjestelmät on suojattava tietoturvallisuuteen liittyvien vyöhykkeiden ja ohjeen YVL A.11 vaatimien turvajärjestelyvyöhykkeiden tason mukaisesti. Vyöhykkeissä tulee huomioida niiden turvallisuusmerkitys laitoksen turvallisuudelle sekä hallittu vyöhykkeiden välinen liikennöinti. Verkottuneet laitteet kattavat kaikki ne laitteet, jotka on liitetty toiseen laitteeseen tietoliikenteen mahdollistavalla verkolla/kaapelilla. Näihin liittyvät kaapeloinnit ja tietoliikenne on suojattava luvattomalta toiminnalta. Verkkojen fyysinen ja looginen erottelu sekä verkkojen tietoliikenteen valvonta on toteutettava niin hyvin kuin käytännöllisin toimenpitein on mahdollista verkkojen turvallisuusmerkitys ja automaatiojärjestelmien tekniset rajoitukset huomioon ottaen.

5 Perustelumuistio (7) Ydinlaitoksen turvallisuuden kannalta keskeisiin ohjelmistopohjaisiin järjestelmiin ei saa olla fyysistä mahdollisuutta muodostaa tiedonsiirtoyhteyttä järjestelmän ulkopuolelta sisäänpäin. IAEA:n ohjeissa, kuten NSS 17:ssä, automaatioarkkitehtuuri jaetaan vyöhykkeisiin. Useimmissa malleissa vyöhykkeitä on viisi. Ohje YVL A.12 mainitsee tietoturvallisuuden vyöhykkeet. Se ei anna vaatimuksia vyöhykkeiden määrästä tai järjestelmien jakamisesta eri vyöhykkeisiin, paitsi kahden järjestelmän osalta. Suojausjärjestelmä on erotettava muista automaatiojärjestelmistä, samoin myös automaatioarkkitehtuuri ja hallinnolliset tietojärjestelmät. Erottaminen tapahtuu yhdensuuntaistamalla tiedonsiirto siten, että tiedonsiirto on estetty käyttäen fyysisesti yhdensuuntaistavaa erotinta, kuten datadiodia. Ohjelmistopohjainen tiedonsiirron yksisuuntaisuuden järjestäminen ei ole riittävä. Muiden vyöhykkeiden osalta vaatimus 405a edellyttää niin hyvää erottelua kuin käytännössä on mahdollista toteuttaa. Luvanhaltijan on rajoitettava yksittäisen henkilön mahdollisuutta asentaa haitallinen toiminnallisuus useisiin rinnakkaisiin laitteisiin tai järjestelmiin. Vaatimus on huomioitava sekä järjestelmän suunnittelussa että käytön aikaisissa hallinnollisissa ja teknisissä suojauksissa. 6.2 Tietoliikenteen ja ICT palveluiden hallinta ja kontrollointi Luvanhaltijalla on oltava kirjalliset menettelyohjeet tietojenkäsittelypalveluille. Tietoturvallisuusmuutosten hallinnassa on noudatettava edistyneitä, hyvin määriteltyjä konfiguraatiohallinnan menettelyjä, sisältäen mm. verkkokonfiguraation. 6.3 Tietoturvallisuuteen liittyvien järjestelmien hankinta, kehitys ja ylläpito Tietoturvallisuudesta tulee huolehtia kaikissa järjestelmän elinkaaren vaiheissa. Luvanhaltijan on kiinnitettävä huomiota myös ennakoivaan tietoturvallisuuteen sekä käyttökokemusten keräämiseen ja hyödyntämiseen. Järjestelmät ja niiden väliset yhteydet on suunniteltava ja toteutettava siten, että vain toiminnan tarkoituksen kannalta tarpeelliset toiminnot ovat käytettävissä. 6.4 Tietoturvallisuuspoikkeamien hallinta Tietoturvallisuuden hallintajärjestelmässä tulee kuvata menettelyt tietoturvallisuuspoikkeamien tunnistamiseen, selvittämiseen ja käsittelyyn. Kirjautumisia, tietoliikennettä ja tiedonsiirtoa pitää pystyä tarkkailemaan sekä tallentamaan tietoa tapahtumista. Menettelyjen tarkoitus on havainnoida ja estää poikkeamien syntyä sekä rajoittaa niistä mahdollisesti aiheutuvia seurauksia. Poikkeamien hallinnan vaatimukset on kuvattu ohjeessa YVL A.3. Tietoturvallisuuspoikkeamista ilmoittamiseen on luotava menettelyt. STUKille on ilmoitettava kaikki ydinturvallisuuden kannalta merkittävät tietoturvallisuuspoikkeamat. 6.5 Käyttöoikeuksien hallinta

6 Perustelumuistio (7) Käyttöoikeuksien hallintaperiaatteet tulee olla dokumentoitu. Käyttäjien käyttöoikeuksien säännöllisellä katselmoinnilla on tarkoitus pitää käyttöoikeudet ajantasaisina ja tehtävien kannalta oikeanlaisina. Erityisesti työtehtävien muutosten yhteydessä tämä korostuu. Eri järjestelmien pääkäyttäjäoikeuksien tulee olla rajoitettu mahdollisimman pienelle joukolle soveltaen IAEA:n need to know -periaatetta. Käyttöoikeudet on myönnettävä vain työtehtävien mukaisesti. Salasanapolitiikka tulee olla määritelty, ja siinä tulee huomioida erilaisten järjestelmien ja laitteiden teknologiset rajoitteet mm. salasanan pituuden osalta. Ulkoisten resurssien osalta turvallisella tietojenkäsittelyllä tarkoitetaan laitteiden turvallisuutta, käyttöoikeuksien valvontaa ja ohjeistusta toimintatavoista sekä niiden noudattamisen valvontaa. 6.6 Turvallisuuteen liittyvien järjestelmien tietoturvallisuustestaaminen YVL-ohjeen luvussa 4.6 esitetään Tietoturvallisuuden kannalta tärkeiden verkottuneiden järjestelmien testaamisessa on käytettävä kehittyneitä testaamismenettelyjä. Esimerkkejä kehittyneistä testausjärjestelmistä löytyy IAEA:n ohjeesta NSS 17. Tietoturvatestaamista suunniteltaessa on kiinnitettävä huomioita kattavaan tehdastestaukseen, koska laitospaikalla tehtävä testaaminen voi aiheuttaa rajoituksia tai merkittävää vaaraa. Turvajärjestelyjen valvontaan liittyvien järjestelmien tietoturvaa tulee testata. Tietoturvan testaamista voidaan suorittaa myös ohjeen YVL A.11 edellyttämien turvajärjestelyjen vaikuttavuuden osoittamiseksi järjestettävien harjoituksien yhteydessä. Automaatiojärjestelmäalustojen, sähkö- ja automaatiolaitteiden ja järjestelmien kelpoistuksessa ja testaamisessa on huomioitava myös tietoturvallisuuden testaaminen. Tietoturvallisuuden kannalta tärkeiden verkottuneiden järjestelmien testaamisessa on käytettävä kehittyneitä testaamismenettelyjä. 7. Säteilyturvakeskuksen valvontaa varten toimitettavat asiakirjat Säteilyturvakeskuksen valvontamenettelyt, jotka kohdistuvat luvanhaltijan tietoturvallisuuden hallintajärjestelmään, esitetään luvussa 5. Luvussa on esitetty ydinlaitoksen elinkaaren eri vaiheissa STUKille toimitettavat asiakirjat, STUKin antamat lausunnot sekä tarkastukset ja muu valvonta. 8. Ohjeen alaa koskeva kansainvälinen säännöstö IAEA NSS 17 Computer Security at Nuclear Facilities (TechDoc) on merkittävin referenssi. Ohjeessa YVL A.12 on otettu huomioon siinä esitetyt menettelyt. STUK osallistuu IAEA:n tietoturvallisuusohjeiden kehitykseen aktiivisesti. Ohjeen teossa on huomioitu ISO/IEC sarjan standardit sekä IEC sarjan standardit. Kansainvälisistä parhaista käytännöistä on huomioitu COBIT sekä NIST 800 sarjan asiakirjat. Muita huomionarvoisia standardeja:

7 Perustelumuistio (7) IEC62645 Nuclear power plants - Instrumentation and control systems - Requirements for se-curity programmes for computer-based systems. IEC 62859:2016 Nuclear power plants - Instrumentation and control systems - Requirements for coordinating safety and cybersecurity. Ohjeen vaatimuksia on verrattu NRC:n ohjeeseen Regulatory Guide 5.71 Cyber Security Programs for Nuclear Facilities. 9. Tepco Fukushima Dai-ichi onnettomuuden vaikutukset Ohjeen YVL A.12 kirjoitustyö on tehty Fukushiman onnettomuuden jälkeen, joten vaatimukset on huomioitu alusta pitäen. 10. Päivityksessä huomioidut muutostarpeet 11. Viitteet Ohjeen YVL A.12 vaatimustasoon ei ole tehty muutoksia. Muutokset liittyvät ohjeen selkeyttämiseen. Hallinnollista taakkaa on kevennetty siten, että tietoturvallisuuteen liittyviä vaatimuksia on siirretty ohjeeseen YVL A.12 ohjeesta YVL E.7 ja ohjeesta YVL B.1. Tietoturvallisuuteen liittyviä vaatimuksia on siis keskitetty ohjeeseen A.12. Selkeytystä on tehty kielellisesti sekä jakamalla vaatimuksia, joissa on ollut useita eri vaatimuksia. Nyt tehty jako tekee vaatimuksista sekä niiden jaetuista kohdista yksiselitteisiä. Tarkoituksena on selkeyttää luvanhaltijan, luvanhakijan sekä viranomaisen työtä. Selkeytetty yksiselitteisempi Ohje YVL A.12 poistaa tulkinnanvaraisuuksia ja näin helpottaa osaltaan luvanhaltijoiden toimintaa sekä viranomaisen tarkastustoimintaa. STUKin Määräys STUK Y/3/2018 ja STUK Y/1/2018 sekä muut mahdolliset määräyksen STUK Y/ viittaukset tarkastettava lakiuudistuksen valmistuttua. 12. Päivitettyjen vaatimusten soveltaminen Ohjetta YVL A.12 voidaan soveltaa sellaisenaan käyville ydinlaitoksille ilman suuria muutostarpeita. Uusien laitoshankkeiden osalta vaatimukset voidaan ottaa huomioon sellaisenaan. Ohje ei sellaisenaan vaikuta STUKin KTO- tai RTO- tarkastuskäytäntöihin. YTV- ohjeet ja huomioi ohjeen YVL A.12 ja sen vaikutukset valvontaan.