IEC 62645:2014
(Main)Nuclear power plants - Instrumentation and control systems - Requirements for security programmes for computer-based systems
Nuclear power plants - Instrumentation and control systems - Requirements for security programmes for computer-based systems
IEC 62645:2014 establishes requirements and provides guidance for the development and management of effective security programmes for I&C computer-based systems for NPPs, possibly integrating HPD (HDL (Hardware Description Language) Programmed Devices), hereinafter named I&C CB&HPD systems. Inherent to these requirements and guidance is the criterion that the power plant I&C CB&HPD system security programme complies with the applicable country's I&C CB&HPD security requirements. The primary objective of this standard is to define adequate programmatic measures for the prevention of, detection of and reaction to malicious acts by digital means (cyber attacks) on I&C CB&HPD systems. This includes any unsafe situation, and equipment damage or plant performance degradation.
The contents of the corrigendum of March 2015 have been included in this copy.
Centrales nucléaires de puissance - Systèmes d'instrumentation et de contrôle-commande - Exigences relatives aux programmes de sécurité applicables aux systèmes programmés
L'IEC 62645:2014 établit des exigences et fournit des recommandations pour le développement et la gestion des programmes de sécurité des systèmes programmés pouvant potentiellement intégrer des HPD (systèmes programmés-HPD d'I&C) et utilisés pour les centrales nucléaires. Le critère de conformité du programme de sécurité de la centrale nucléaire aux exigences de sécurité nationales applicables aux systèmes programmés-HPD d'I&C est inhérent aux exigences et recommandations de la présente norme. Le but principal de la présente norme est de définir les mesures liées au programme de sécurité, pour ce qui concerne la prévention, la détection et la réaction à des actes malveillants, réalisés en utilisant des moyens informatiques (cyberattaques), portant atteinte aux systèmes programmés-HPD d'I&C. Ceci comprend les situations non sûres, les endommagements d'équipements, et la dégradation des performances de la centrale.
Le contenu du corrigendum de mars 2015 a été pris en considération dans cet exemplaire.
General Information
Relations
Standards Content (Sample)
IEC 62645 ®
Edition 1.0 2014-08
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
colour
inside
Nuclear power plants – Instrumentation and control systems – Requirements for
security programmes for computer-based systems
Centrales nucléaires de puissance – Systèmes d’instrumentation et de contrôle-
commande – Exigences relatives aux programmes de sécurité applicables aux
systèmes programmés
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form
or by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from
either IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC
copyright or have an enquiry about obtaining additional rights to this publication, please contact the address below or
your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.
IEC Central Office Tel.: +41 22 919 02 11
3, rue de Varembé Fax: +41 22 919 03 00
CH-1211 Geneva 20 info@iec.ch
Switzerland www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
IEC Catalogue - webstore.iec.ch/catalogue Electropedia - www.electropedia.org
The stand-alone application for consulting the entire The world's leading online dictionary of electronic and
bibliographical information on IEC International Standards, electrical terms containing more than 30 000 terms and
Technical Specifications, Technical Reports and other definitions in English and French, with equivalent terms in 14
documents. Available for PC, Mac OS, Android Tablets and additional languages. Also known as the International
iPad. Electrotechnical Vocabulary (IEV) online.
IEC publications search - www.iec.ch/searchpub IEC Glossary - std.iec.ch/glossary
The advanced search enables to find IEC publications by a More than 55 000 electrotechnical terminology entries in
variety of criteria (reference number, text, technical English and French extracted from the Terms and Definitions
committee,…). It also gives information on projects, replaced clause of IEC publications issued since 2002. Some entries
and withdrawn publications. have been collected from earlier publications of IEC TC 37,
77, 86 and CISPR.
IEC Just Published - webstore.iec.ch/justpublished
Stay up to date on all new IEC publications. Just Published IEC Customer Service Centre - webstore.iec.ch/csc
details all new publications released. Available online and If you wish to give us your feedback on this publication or
also once a month by email. need further assistance, please contact the Customer Service
Centre: csc@iec.ch.
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.
Catalogue IEC - webstore.iec.ch/catalogue Electropedia - www.electropedia.org
Application autonome pour consulter tous les renseignements
Le premier dictionnaire en ligne de termes électroniques et
bibliographiques sur les Normes internationales,
électriques. Il contient plus de 30 000 termes et définitions en
Spécifications techniques, Rapports techniques et autres
anglais et en français, ainsi que les termes équivalents dans
documents de l'IEC. Disponible pour PC, Mac OS, tablettes
14 langues additionnelles. Egalement appelé Vocabulaire
Android et iPad.
Electrotechnique International (IEV) en ligne.
Recherche de publications IEC - www.iec.ch/searchpub
Glossaire IEC - std.iec.ch/glossary
La recherche avancée permet de trouver des publications IEC Plus de 55 000 entrées terminologiques électrotechniques, en
en utilisant différents critères (numéro de référence, texte, anglais et en français, extraites des articles Termes et
comité d’études,…). Elle donne aussi des informations sur les Définitions des publications IEC parues depuis 2002. Plus
projets et les publications remplacées ou retirées. certaines entrées antérieures extraites des publications des
CE 37, 77, 86 et CISPR de l'IEC.
IEC Just Published - webstore.iec.ch/justpublished
Service Clients - webstore.iec.ch/csc
Restez informé sur les nouvelles publications IEC. Just
Published détaille les nouvelles publications parues. Si vous désirez nous donner des commentaires sur cette
Disponible en ligne et aussi une fois par mois par email. publication ou si vous avez des questions contactez-nous:
csc@iec.ch.
IEC 62645 ®
Edition 1.0 2014-08
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
colour
inside
Nuclear power plants – Instrumentation and control systems – Requirements for
security programmes for computer-based systems
Centrales nucléaires de puissance – Systèmes d’instrumentation et de contrôle-
commande – Exigences relatives aux programmes de sécurité applicables aux
systèmes programmés
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
X
CODE PRIX
ICS 27.120.20 ISBN 978-2-8322-1810-5
– 2 – IEC 62645:2014 © IEC 2014
CONTENTS
FOREWORD. 4
INTRODUCTION . 6
1 Scope . 8
1.1 General . 8
1.2 Application . 9
1.3 Framework . 9
2 Normative references . 11
3 Terms and definitions . 11
4 Abbreviations . 14
5 Establishing and managing a nuclear I&C CB&HPD system security programme . 15
5.1 General . 15
5.1.1 Overall concepts: programme, policies and procedures . 15
5.1.2 Roles and responsibilities . 16
5.1.3 Documentation requirements . 17
5.2 Establish the programme . 18
5.2.1 Defining security policy . 18
5.2.2 Defining the programme scope and boundaries . 18
5.2.3 Graded approach to I&C security and risk assessment . 18
5.2.4 Management approval . 25
5.3 Implement and operate the programme . 25
5.3.1 Implementation of general requirements . 25
5.3.2 Effectiveness measurement definition . 25
5.3.3 Training and awareness . 26
5.4 Monitor and review the programme . 26
5.5 Maintain and improve the programme . 26
6 Life-cycle implementation for I&C CB&HPD system security . 27
6.1 General . 27
6.2 Requirements activities . 27
6.3 Planning activities . 27
6.3.1 Identification of I&C CB&HPD systems . 27
6.3.2 Security degree assignment . 27
6.4 Design activities . 27
6.4.1 General . 27
6.4.2 Risk assessment at the design phase . 28
6.4.3 Design project security plan . 28
6.4.4 Communication pathways . 28
6.4.5 Security zone definition . 28
6.4.6 Security assessment of the final design . 28
6.5 Implementation activities . 28
6.6 Validation activities . 29
6.7 Installation and acceptance testing activities . 29
6.8 Operation and maintenance activities . 29
6.8.1 Change control during operations and maintenance . 29
6.8.2 Periodic reassessment of risks and security controls . 29
6.9 Change management . 29
6.10 Retirement activities . 30
7 Security controls . 30
7.1 General . 30
7.2 Security thematic areas . 30
7.2.1 Security policy . 30
7.2.2 Organizing security . 30
7.2.3 Asset management . 31
7.2.4 Human resources security . 31
7.2.5 Physical and environmental security . 32
7.2.6 Communications and operations management . 32
7.2.7 Access control . 32
7.2.8 I&C systems acquisition, development and maintenance . 32
7.2.9 I&C security incident management . 33
7.2.10 Operation continuity management . 33
7.2.11 Complianc e . 33
Annex A (informative) Generic considerations about the security degrees . 35
A.1 Rationale for three security degrees . 35
A.1.1 General . 35
A.1.2 Safety categories as input to security degree assignment . 35
A.1.3 Impact on plant availability and performance as input to security degree . 35
A.1.4 Resulting security degree assignment approach . 36
A.2 Considerations about tools associated to on-line systems . 36
A.3 Practical design and implementation .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.