CSA Group Cybersécurité pour les centrales nucléaires et les installations dotées de petits réacteurs

Préface Ce document constitue la première édition de la norme CSA N290.7, Cybersécurité pour les centrales nucléaires et les installations dotées de petits réacteurs.  Les normes CSA de la série N fournissent un ensemble interrelié d’exigences relatives à la gestion des installations et des activités nucléaires. La CSA N286 énonce les directives générales de gestion pour élaborer et mettre en oeuvre de saines pratiques de gestion et mesures de contrôle ; les autres normes CSA du secteur nucléaire stipulent les exigences techniques et les lignes directrices relatives au système de gestion. Cette norme doit être utilisée de concert avec la CSA N286. Elle ne reproduit pas les exigences générales de la CSA N286, mais peut fournir des directives plus précises relatives à ces exigences.  Cette norme est le reflet de l’expérience opérationnelle accumulée par l’industrie de l’énergie nucléaire canadienne.  Les utilisateurs de cette norme ne doivent pas oublier que la conception, la fabrication, la construction, la mise en service, l’exploitation et le déclassement d’installations nucléaires au Canada sont soumis aux dispositions de la Loi sur la sûreté et la réglementation nucléaire et du Règlement qui l’appuie.  Domaine d'application 1.1 Cette norme couvre la cybersécurité des centrales nucléaires existantes et nouvelles, et des installations dotées de petits réacteurs.  Note - Cette norme peut fournir une orientation pour des installations nucléaires autres que des centrales nucléaires et des installations dotées de petits réacteurs, en utilisant une approche graduée.  1.2 Cette norme traite de la cybersécurité dans les centrales nucléaires et les installations dotées de petits réacteurs pour les systèmes et composants informatiques suivants:  a) systèmes importants pour la sûreté nucléaire ;  b) sécurité nucléaire ;  c) préparation aux situations d’urgence ;  d) fiabilité de la production ;  e) sauvegardes ; et  f) biens ou systèmes auxiliaires qui, s’ils étaient compromis, exploités ou défaillants, pourraient avoir un impact négatif sur les articles a), b), c), d) ou e).  1.3 Cette norme traite de la sécurisation des systèmes et composants informatiques essentiels contre des cyberattaques qui entraîneraient une perte ou une détérioration de la disponibilité, telle une détérioration ou une perte de la capacité d’effectuer les fonctions prévues, la compromission de leur intégrité et la perte de confidentialité de leurs informations.  1.4 Cette norme ne s’applique pas aux systèmes commerciaux (par exemple, la gestion du travail), ni aux systèmes d’ingénierie autonomes (par exemple, les programmes informatisés d’analyse, scientifiques et de conception, conformes à la CSA N286.7).  1.5 Dans cette norme, le terme «doit» indique une exigence, c’est-à-dire une prescription que l’utilisateur doit respecter pour assurer la conformité à la norme ; «devrait» indique une recommandation ou ce qu’il est conseillé mais non obligatoire de faire, et «peut» indique une possibilité ou ce qu’il est permis de faire dans les limites de la norme.  Les notes qui accompagnent les articles ne comprennent pas de prescriptions ni de recommandations. Elles servent à séparer du texte les explications ou les renseignements qui ne font pas proprement partie de la norme.  Les notes au bas des figures et des tableaux font partie de ceux-ci et peuvent être rédigées comme des prescriptions.  Les annexes sont qualifiées de normatives (obligatoires) ou d’informatives (facultatives) pour en préciser l’application.