IEC 63096:2020
Centrales nucleares - Instrumentación, control y sistemas de potencia eléctrica - Controles de seguridad

Estándar No.

IEC 63096:2020

Fecha de publicación

2020

Organización

International Electrotechnical Commission (IEC)

Ultima versión

IEC 63096:2020

Alcance

Debido a los estrictos requisitos de seguridad y disponibilidad de los sistemas de instrumentación y control nuclear (I&C), es necesario considerar las amenazas a la ciberseguridad. Hoy en día, los sistemas digitales programables de I&C nuclear se basan principalmente en sistemas digitales que incluyen redes. Los sistemas de I&C individuales están cada vez más interconectados y los equipos de I&C están ampliamente distribuidos en el área de la central nuclear. Por lo tanto, se necesitan medidas de control de seguridad para la prevención, detección y corrección para proteger los sistemas digitales programables de I&C nuclear de amenazas de seguridad cibernética externas e internas. El objetivo de este documento es ampliar la serie de documentos SC 45A con IEC 62645 como documento de nivel superior mediante la definición de controles de seguridad específicos del sistema I&C para sistemas I&C de nivel de seguridad 1, 2, 3 y no clasificados (NC). La clasificación de seguridad y los requisitos de seguridad relacionados de los sistemas I&C son una de las mayores diferencias con los sistemas de TI típicos y los sistemas de automatización industrial estándar. El Anexo B contiene la correspondencia entre IEC 62645 e IEC 63096. Este documento se basa en las medidas de control de seguridad definidas en ISO/IEC 27002 y refleja los requisitos especiales de control de seguridad para sistemas digitales programables de I&C nuclear. Los requisitos originales de la norma ISO/IEC 27002 se han modificado, elaborado o complementado desde una perspectiva de sistemas digitales programables de I&C nuclear. También se agregan controles de seguridad digitales programables adicionales específicos del sistema I&C nuclear no identificados en ISO/IEC 27002 pero que se consideran necesarios. Este documento hace referencia detallada a la norma ISO/IEC 27002:2013. Las modificaciones posteriores a la norma ISO/IEC 27002:2013 no afectarán automáticamente las modificaciones, elaboraciones y suplementos de la norma IEC 63096 a menos que las consecuencias se analicen desde una perspectiva de I&C nuclear. Este documento refleja implícitamente todas las fases del ciclo de vida de las plataformas y sistemas de sistemas digitales programables de I&C nuclear mediante la aplicación y ampliación de los controles de seguridad de la norma ISO/IEC 27002:2013. Al seleccionar controles de seguridad altamente recomendados basados en los procesos definidos en IEC 62645 y los detalles de proceso adicionales descritos en este documento, el nivel de riesgo se reducirá a un nivel aceptable. La selección de medidas de control de seguridad garantiza que se cumplan los requisitos de seguridad y protección de la norma IEC 62859. Si un control de seguridad específico tiene un impacto negativo en la seguridad, la seguridad tiene prioridad (ver IEC 62859) y se deben implementar controles de seguridad compensatorios. Este documento se ha desarrollado siguiendo la norma ISO/IEC 27009 (en la medida en que sea aplicable), teniendo en cuenta que la norma ISO/IEC 27009 no es vinculante para la serie de normas IEC SC 45A. La norma ISO/IEC 27019 excluye explícitamente el “área de control de procesos en instalaciones nucleares”. Este documento proporciona un catálogo de medidas de control de seguridad altamente recomendadas y opcionales, clasificadas según los niveles de seguridad definidos por IEC 62645 (ver cláusulas 5 a 20). Estas medidas se aplican a los sistemas y arquitecturas digitales programables de I&C nuclear, incluidas las actividades relacionadas (desarrollo de plataformas de I&C, ingeniería de proyectos, operaciones y mantenimiento). Este documento es aplicable al diseño de sistemas de I&C para nuevas centrales nucleares, así como a la modernización y modificación de sistemas de I&C para centrales nucleares existentes, y cubre todo el ciclo de vida de los sistemas digitales programables de I&C. También podría aplicarse a otros tipos de instalaciones nucleares. El alcance de este documento también incluye sensores, actuadores y sistemas eléctricos que pertenecen al lazo de control I&C. También se aplica a partes de sistemas eléctricos que dependen de tecnología programable digital (como se describe en IEC 63046). Este documento también define controles de seguridad para el control de acceso y la protección física para proteger los sistemas digitales programables de I&C nucleares y los sistemas eléctricos de ataques cibernéticos. La ciberseguridad en el ámbito de la gestión de instalaciones de centrales nucleares (tecnología de construcción) está fuera del alcance de la norma IEC SC 45A. Consulte la norma IEC 62645 para conocer el alcance de la ciberseguridad en el contexto de la protección física de los sistemas digitales programables de I&C nucleares. Este documento se aplica a los sistemas digitales programables de I&C nuclear de centrales nucleares, incluidas sus herramientas de mantenimiento y configuración (como herramientas de ingeniería o diagnóstico). También se incluyen interfaces con sistemas digitales programables de I&C de terceros, sistemas informáticos de terceros u otras redes de TI. ......

IEC 63096:2020 Documento de referencia

• IEC 60880:2006 Centrales nucleares - Sistemas de instrumentación y control importantes para la seguridad - Aspectos de software para sistemas informáticos que desempeñan funciones de categoría A
• IEC 61226 Centrales nucleares - Instrumentación, control y sistemas de energía eléctrica importantes para la seguridad - Categorización de funciones y clasificación de sistemas
• IEC 61508 Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad: TODAS LAS PIEZAS junto con una versión comentada (consulte Seguridad funcional
• IEC 61513 Centrales nucleares - Instrumentación y control importantes para la seguridad - Requisitos generales para los sistemas
• IEC 62138 Centrales nucleares - Sistemas de instrumentación y control importantes para la seguridad - Aspectos de software para sistemas informáticos que realizan funciones de categoría B o C
• IEC 62443-2-1:2010 Redes de comunicaciones industriales. Seguridad de redes y sistemas. Parte 2-1: Establecimiento de un programa de seguridad del sistema de control y automatización industrial.
• IEC 62443-2-4 *， 2023-09-01 Actualizar
• IEC 62443-4-1 Seguridad para sistemas de control y automatización industrial - Parte 4-1: Requisitos seguros del ciclo de vida del desarrollo de productos
• IEC 62566 Centrales nucleares - Instrumentación y control importantes para la seguridad - Desarrollo de circuitos integrados programados en HDL para sistemas que realizan funciones de categoría A
• IEC 62645:2019 Centrales nucleares - Sistemas de instrumentación, control y potencia eléctrica - Requisitos de ciberseguridad
• IEC 62671 Centrales nucleares - Instrumentación y control importantes para la seguridad - Selección y uso de dispositivos digitales industriales de funcionalidad limitada; Corrección 1
• IEC 62859:2016 Centrales nucleares - Sistemas de instrumentación y control - Requisitos para coordinar la seguridad y la ciberseguridad
• IEC 62988 Centrales nucléaires de puissance – Systèmes d'instrumentation et de contr?lecommande importants pour la s?reté – Sélection et utilization des appareils sans fil (Edición 1.0)
• ISO 15489-1 Información y documentación - Gestión de documentos - Parte 1: Conceptos y principios [Norma en francés]
• ISO 31000 Gestión de riesgos: directrices (incluye la versión Redline)
• ISO/IEC 27000:2018 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Descripción general y vocabulario
• ISO/IEC 27001:2013 Tecnologías de la información.Técnicas de seguridad.Sistemas de gestión de seguridad de la información.Requisitos
• ISO/IEC 27002:2013 Tecnologías de la información. Técnicas de seguridad. Código de prácticas para controles de seguridad de la información.
• ISO/IEC 27005 Seguridad de la información, ciberseguridad y protección de la privacidad - Orientación sobre la gestión de los riesgos de seguridad de la información [Norma en francés]*， 2022-09-30 Actualizar
• ISO/IEC 27007 Seguridad de la información, ciberseguridad y protección de la privacidad: Directrices para la auditoría de los sistemas de gestión de la seguridad de la información.
• ISO/IEC 27033 Tecnología de la información - Seguridad de la red - Parte 7: Directrices para la seguridad de la virtualización de la red*， 2023-09-26 Actualizar
• ISO/IEC 27035-1 Tecnología de la información. Gestión de incidentes de seguridad de la información. Parte 1: Principios y proceso.*， 2023-02-13 Actualizar
• ISO/IEC 27035-2 Tecnología de la información. Gestión de incidentes de seguridad de la información. Parte 2: Directrices para planificar y prepararse para la respuesta a incidentes.*， 2023-02-13 Actualizar
• ISO/IEC 27036-1 Ciberseguridad. Relaciones con proveedores. Parte 1: descripción general y conceptos.*， 2021-09-09 Actualizar
• ISO/IEC 27036-2 Ciberseguridad. Relaciones con proveedores. Parte 2: Requisitos.*， 2022-06-15 Actualizar
• ISO/IEC 27036-3 Ciberseguridad. Relaciones con proveedores. Parte 3: Directrices para la seguridad de la cadena de suministro de hardware, software y servicios.*， 2023-06-13 Actualizar
• ISO/IEC 27037 Tecnologías de la información - Técnicas de seguridad - Directrices para la identificación, recopilación, adquisición y conservación de evidencia digital
• ISO/IEC 29100 Tecnología de la información — Técnicas de seguridad — Marco de privacidad*， 2024-02-16 Actualizar
• ISO/IEC 29101 Tecnología de la información — Técnicas de seguridad — Marco de arquitectura de privacidad
• ISO/IEC TS 27008 Tecnología de la información — Técnicas de seguridad — Directrices para la evaluación de los controles de seguridad de la información

IEC 63096:2020 Historia

• 2020 IEC 63096:2020 Centrales nucleares - Instrumentación, control y sistemas de potencia eléctrica - Controles de seguridad

estándares y especificaciones