Сегодня в системах средств релейной защиты и автоматики (РЗА) применяются различные цифровые технологии, внедряются беспроводные каналы связи и пр. Все это создает новые бреши в плохо защищенном по меркам информационной безопасности (ИБ) оборудовании, считает руководитель направления отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина, пишет газета «Энергетика и промышленность России». «Пока, на мой взгляд, даже не сложилась best practice по защите существующей инфраструктуры, что уж говорить о новых вызовах. Естественно, нерешенные вопросы обеспечения защиты информации тормозят внедрение таких технологий», — говорит эксперт. По ее мнению, важно уделять внимание теме обеспечения ИБ именно на этапе проектирования систем. Если этого не делать, можно оказаться в ситуации, когда на этапе внедрения вопросы, связанные с защитой информации, решить уже не получится или стоимость решения будет очень высокой. Марина Сорокина напоминает, что безопасность — комплексный термин. Существуют требования к функциональной и пожарной безопасности РЗА, но при этом с ИБ, которая, по сути, является частью функциональной, пока дела обстоят плохо. На данный момент есть несколько подходов к построению решений, предназначенных для релейной защиты автоматики. Кроме того, само программное обеспечение (ПО) оборудования РЗА может содержать определенные уязвимости. Однако пока четких требований к информационной безопасности РЗА нет. Есть упоминание в Приказе ФСТЭК России № 239, что встроенные средства защиты приоритетнее наложенных, но что такое встроенные средства в РЗА, и что они из себя представляют, ясно не совсем. «В зарубежной нормативной базе существуют документы стандарта IEC 62433-IEC 62433-4-1, предписывающие требования по безопасной разработке устройств автоматизации, и IEC 62433-4-2, содержащие четкие требования ИБ к самим устройствам в зависимости от их класса безопасности. В России при отсутствии конкретных указаний в нормативной базе разработчики РЗА вынуждены устанавливать подобные требования сами для себя. На данный момент они могут ориентироваться на требования доверия информации ФСТЭК России, которые можно предъявлять к самим РЗА, или на требования безопасной разработки, которые предусматривают внедрение процедур на уровне компании. #энергетика #новости_энергетикиЭнергетика и промышленность России