Сегодня в системах средств релейной защиты и автоматики (РЗА) применяются различные цифровые технологии, внедряются беспроводные каналы связи и пр. Все это создает новые бреши в плохо защищенном по меркам информационной безопасности (ИБ) оборудовании, считает руководитель направления отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина, пишет газета «Энергетика и промышленность России».

«Пока, на мой взгляд, даже не сложилась best practice по защите существующей инфраструктуры, что уж говорить о новых вызовах. Естественно, нерешенные вопросы обеспечения защиты информации тормозят внедрение таких технологий», — говорит эксперт.

По ее мнению, важно уделять внимание теме обеспечения ИБ именно на этапе проектирования систем. Если этого не делать, можно оказаться в ситуации, когда на этапе внедрения вопросы, связанные с защитой информации, решить уже не получится или стоимость решения будет очень высокой.

Марина Сорокина напоминает, что безопасность — комплексный термин. Существуют требования к функциональной и пожарной безопасности РЗА, но при этом с ИБ, которая, по сути, является частью функциональной, пока дела обстоят плохо.

На данный момент есть несколько подходов к построению решений, предназначенных для релейной защиты автоматики. С развитием технологий эти вопросы переходят в плоскость использования оборудования общего назначения и взаимодействия нескольких устройств между собой по дополнительным или существующим каналам связи в рамках системы.

Кроме того, само программное обеспечение (ПО) оборудования РЗА может содержать определенные уязвимости. Однако пока четких требований к информационной безопасности РЗА нет. Есть упоминание в Приказе ФСТЭК России № 239, что встроенные средства защиты приоритетнее наложенных, но что такое встроенные средства в РЗА, и что они из себя представляют, ясно не совсем.

«В зарубежной нормативной базе существуют документы стандарта IEC 62433-IEC 62433-4-1, предписывающие требования по безопасной разработке устройств автоматизации, и IEC 62433-4-2, содержащие четкие требования ИБ к самим устройствам в зависимости от их класса безопасности. Хочу отметить, что многие вендоры начали сертифицировать свои устройства на соответствие данным требованиям», — констатирует спикер. 

В России при отсутствии конкретных указаний в нормативной базе разработчики РЗА вынуждены устанавливать подобные требования сами для себя. На данный момент они могут ориентироваться на требования доверия информации ФСТЭК России, которые можно предъявлять к самим РЗА, или на требования безопасной разработки, которые предусматривают внедрение процедур на уровне компании.

#новости_энергетики