Четких требований к информационной безопасности РЗА пока нет
Сегодня в системах средств релейной защиты и автоматики (РЗА) применяются различные цифровые технологии, внедряются беспроводные каналы связи и пр. Все это создает новые бреши в плохо защищенном по меркам информационной безопасности (ИБ) оборудовании, считает руководитель направления отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина, пишет газета «Энергетика и промышленность России».
«Пока, на мой взгляд, даже не сложилась best practice по защите существующей инфраструктуры, что уж говорить о новых вызовах. Естественно, нерешенные вопросы обеспечения защиты информации тормозят внедрение таких технологий», — говорит эксперт.
По ее мнению, важно уделять внимание теме обеспечения ИБ именно на этапе проектирования систем. Если этого не делать, можно оказаться в ситуации, когда на этапе внедрения вопросы, связанные с защитой информации, решить уже не получится или стоимость решения будет очень высокой.
Марина Сорокина напоминает, что безопасность — комплексный термин. Существуют требования к функциональной и пожарной безопасности РЗА, но при этом с ИБ, которая, по сути, является частью функциональной, пока дела обстоят плохо.
На данный момент есть несколько подходов к построению решений, предназначенных для релейной защиты автоматики. С развитием технологий эти вопросы переходят в плоскость использования оборудования общего назначения и взаимодействия нескольких устройств между собой по дополнительным или существующим каналам связи в рамках системы.
Кроме того, само программное обеспечение (ПО) оборудования РЗА может содержать определенные уязвимости. Однако пока четких требований к информационной безопасности РЗА нет. Есть упоминание в Приказе ФСТЭК России № 239, что встроенные средства защиты приоритетнее наложенных, но что такое встроенные средства в РЗА, и что они из себя представляют, ясно не совсем.
«В зарубежной нормативной базе существуют документы стандарта IEC 62433-IEC 62433-4-1, предписывающие требования по безопасной разработке устройств автоматизации, и IEC 62433-4-2, содержащие четкие требования ИБ к самим устройствам в зависимости от их класса безопасности. Хочу отметить, что многие вендоры начали сертифицировать свои устройства на соответствие данным требованиям», — констатирует спикер.
В России при отсутствии конкретных указаний в нормативной базе разработчики РЗА вынуждены устанавливать подобные требования сами для себя. На данный момент они могут ориентироваться на требования доверия информации ФСТЭК России, которые можно предъявлять к самим РЗА, или на требования безопасной разработки, которые предусматривают внедрение процедур на уровне компании.
#энергетика
#новости_энергетики
Источник: eprussia.ru