В новом номере журнала «Релейщик» №02(43) за 2022 год помещена очередная статья, посвященная требованиям информационной безопасности в стране.
Основное содержание статьи – рассказ об отчете подгруппы по кибербезопасности НТИ «Энерджинет», который был использован на заседании комитета Государственной думы.
Если быть неполиткорректным, то такая популярность отчета может быть вызвана простым отсутствием других публикаций, доступных широкому кругу специалистов. Кстати, приведенные в списке литературы материалы не содержат информации, которая бы позволила ознакомиться с этими материалами. Как пример, приведу одну из библиографических записей в застатейном списке литературы: 3. «Об импортозамещении в энергетике России», 2021. И никакой ссылки на режим до доступа, т.е. адрес страницы в интернете или выходные данные печатного издания остаются неизвестными для специалистов.
На что я обращаю внимание, читая публикации по информационной безопасности? Прежде всего на излишнюю бюрократизированность, на отсутствие каких-либо технических требований к информационной безопасности и кибербезопасности, понятным широкому кругу специалистов. Основные ссылки даются на те или иные официальные документы того или иного уровня.
Если обратиться к отраслевым требованиям, предъявляемым к релейным устройствам, то после появления сначала полупроводниковых, а потом компьютерных устройств релейной защиты в нормативных документах появились требования к электромагнитной совместимости (ЭМС) этих устройств с оборудованием энергетических объектов.
Позже появилась серия стандартов МЭК 61000, регламентирующая не только те или иные требования, предъявляемые к ЭМС оборудования, но и устанавливающая стандартные методы подтверждения этих свойств во время испытаний. В настоящее время невозможно поставить устройство релейной защиты, которое не отвечает хотя бы минимальным требованиям по ЭМС.
После внедрения стандартов серии МЭК 61850 были формализованы требования к сетям и системам связи на подстанциях, появились специализированные сертификационные центры, подтверждающие соответствие конкретного устройства или системы требованиям этого стандарта. Отмечу, что в рецензируемом номере журнала помещена статья, рассказывающая об опыте проверки устройств на соответствие требованиям этого стандарта. Кстати, НТЦ «Механотроника» стала одной из первых предприятий, получивших сертификат соответствия этому стандарту. В связи с отсутствием в то время отечественных сертификационных центров был получен китайский сертификат соответствия.
В рецензируемой статье ссылаются на результаты опроса, и сообщают, что более 50% опрошенных компаний выполняют требования ИБ независимо от наличия требований заказчика. При этом нет никакой информации о количестве опрошенных предприятий и специалистов и репрезентативности такого опроса.
О чем же говорит такой опрос? На самом деле, только о том, что для всех компаний выполнение требований информационной безопасности должны стать такими же обязательными, как требования электромагнитной совместимости или требований стандарта МЭК 61850.
Прочитав множество статей по кибербезопасности и информационной безопасности, я не нашел в них каких-то формальных требований, обязательных для выполнения при проектировании и изготовления устройств релейной защиты.
Например, одна из целей стратегии кибербезопасности 2018-2020 Министерства энергетики США (см. рисунок, где показана цель 4), приведенная в документе «Энерджинет», вряд ли может быть отнесена к реальной цели, достижение которой повысит кибербезопасность.
В рецензируемой и многих других публикациях никаких конкретных сведений о характеристиках изделий и систем, которые обеспечивают их кибербезопасность и информационную безопасность.
Результатом такой закрытости становятся многочисленные околонаучные публикации, в которых предлагается повышать кибербезопасность и снижать уязвимость с помощью неуязвимых герконов.
Предлагаемый в рецензируемой статье отраслевой подход опасен тем, что вне поля зрения студентов и специалистов окажется многое из того, что с успехом используется в других отраслях, в том числе и в банковской сфере, очень и очень далекой от энергетики. Например, заявке на авторское свидетельство, поданной в ЦНИИ СЭТ на устройство прохода кабеля через прочный корпус был противопоставлен патент на устройство, обеспечивающее герметичный проход телефонного кабеля в гроб.
Импортозамещение комплектующих и оборудования при отсутствии формальных требований к кибербезопасности не гарантирует того, что разработанные и изготовленные в России изделия будут хоть в чём-то лучше зарубежных аналогов в части кибербезопасности. Не даром авторы этой статьи пишут, что по результатам опроса отечественные разработчики ориентируются на зарубежные, а не отечественные источники сведений об информационной безопасности. Таким образом, опрос подтвердил отсутствие конкретной и понятной информации в и отечественных документах, в том числе и приведенных в источниках, приведенных в застатейном списке литературы.
Что касается импортозамещения, то это в значительной степени это политический, чем технический вопрос. Выпускаемое в России оборудование должно не просто замещать зарубежное, повторяя достигнутый технический уровень, а значительно превосходить его. Поощрять разработку такого оборудования поможет прямое использование международных стандартов технических условий вместо национальных.
Никто пока не комментировал эту страницу.
В стандарте [6] предусмотрено присваивать различным документам вида «расчет» код[1] документа РР, а для локальной сметы код документа ЛС.
Никакой необходимости использовать код Б для обозначения документов, в названии которых нет слова «Обоснование», не существует, а отсутствие документов, в названии которых использовано это слово подтверждает, что из ГОСТ 34.201-2020 должен быть исключен фактически не существующий документ «Обоснование».
Литература:
6 ГОСТ Р 21.101-2020 Основные требования к проектной документации
7 Н. Зенин. Судьба требований ГОСТ 34-й серии в проектах по информационной безопасности // [Электронный ресурс], режим доступа: https://www.anti-malware.ru/practice/methods/GOST-requirements-34th-series-in-information-security-projects
[1] В данном стандарте вместо термина «код документа» используют словосочетание «шифр документа»
Разработчики стандартов иногда предлагают новые виды документов, объясняя это тем, что существующих видов документов недостаточно для новых изделий. Например, в таблице 1 стандарта [1] перечислены несколько видов документов, разрабатываемых для автоматизированных систем (далее АС). Обратим внимание на документ «Обоснование» (код документа Б). Его назначение определено так:
«Изложение сведений, подтверждающих целесообразность принимаемых решений»
Отметим, что в числе толкований значений слова «обоснование» есть и тексты, служащие основанием для принятия решения.
Какие же текстовые документы приведены в таблице 2 стандарта [1], где перечислены конкретные документы?
Как ни странно, но документа со словом «обоснование» в названии нет ни в стандарте [1] нет, как нет его и в отменном руководящем документе [2].
Слово «обоснование» в [2] использовано в названии раздела отчета, разрабатываемого на стадии формирования требований к АС – Обоснование необходимости совершенствования информационной системы объекта.
«Обоснование» содержится ещё в двух стандартах [3, 4], где применено в названии этапа работы – Обследование объекта и обоснование необходимости создания АС.
Отметим, что в cтандартах [3, 4] обоснование необходимо для вынесения технико-экономической, социальной и т.п. оценок на стадии формирования требований к АС.
При этом сам документ, содержащий результаты обоснования, оформляют в виде отчета по ГОСТ 7.32 [5], а не в виде документа вида «Обоснование».
Обратимся теперь к стандарту [1] и посмотрим какие же документы с кодом Б (присвоен документу «Обоснование») указаны в таблице 2:
- локальный сметный расчет (код Б2);
- проектная оценка надежности системы (код Б1);
- локальная смета (код Б3).
Из перечисления видно, что ни в одном из названий этих документов с кодом Б нет слова «Обоснование».
Продолжение следует