В новом номере журнала «Релейщик» №02(43) за 2022 год помещена очередная статья, посвященная требованиям информационной безопасности в стране.
Основное содержание статьи – рассказ об отчете подгруппы по кибербезопасности НТИ «Энерджинет», который был использован на заседании комитета Государственной думы.
Если быть неполиткорректным, то такая популярность отчета может быть вызвана простым отсутствием других публикаций, доступных широкому кругу специалистов. Кстати, приведенные в списке литературы материалы не содержат информации, которая бы позволила ознакомиться с этими материалами. Как пример, приведу одну из библиографических записей в застатейном списке литературы: 3. «Об импортозамещении в энергетике России», 2021. И никакой ссылки на режим до доступа, т.е. адрес страницы в интернете или выходные данные печатного издания остаются неизвестными для специалистов.
На что я обращаю внимание, читая публикации по информационной безопасности? Прежде всего на излишнюю бюрократизированность, на отсутствие каких-либо технических требований к информационной безопасности и кибербезопасности, понятным широкому кругу специалистов. Основные ссылки даются на те или иные официальные документы того или иного уровня.
Если обратиться к отраслевым требованиям, предъявляемым к релейным устройствам, то после появления сначала полупроводниковых, а потом компьютерных устройств релейной защиты в нормативных документах появились требования к электромагнитной совместимости (ЭМС) этих устройств с оборудованием энергетических объектов.
Позже появилась серия стандартов МЭК 61000, регламентирующая не только те или иные требования, предъявляемые к ЭМС оборудования, но и устанавливающая стандартные методы подтверждения этих свойств во время испытаний. В настоящее время невозможно поставить устройство релейной защиты, которое не отвечает хотя бы минимальным требованиям по ЭМС.
После внедрения стандартов серии МЭК 61850 были формализованы требования к сетям и системам связи на подстанциях, появились специализированные сертификационные центры, подтверждающие соответствие конкретного устройства или системы требованиям этого стандарта. Отмечу, что в рецензируемом номере журнала помещена статья, рассказывающая об опыте проверки устройств на соответствие требованиям этого стандарта. Кстати, НТЦ «Механотроника» стала одной из первых предприятий, получивших сертификат соответствия этому стандарту. В связи с отсутствием в то время отечественных сертификационных центров был получен китайский сертификат соответствия.
В рецензируемой статье ссылаются на результаты опроса, и сообщают, что более 50% опрошенных компаний выполняют требования ИБ независимо от наличия требований заказчика. При этом нет никакой информации о количестве опрошенных предприятий и специалистов и репрезентативности такого опроса.
О чем же говорит такой опрос? На самом деле, только о том, что для всех компаний выполнение требований информационной безопасности должны стать такими же обязательными, как требования электромагнитной совместимости или требований стандарта МЭК 61850.
Прочитав множество статей по кибербезопасности и информационной безопасности, я не нашел в них каких-то формальных требований, обязательных для выполнения при проектировании и изготовления устройств релейной защиты.
Например, одна из целей стратегии кибербезопасности 2018-2020 Министерства энергетики США (см. рисунок, где показана цель 4), приведенная в документе «Энерджинет», вряд ли может быть отнесена к реальной цели, достижение которой повысит кибербезопасность.
В рецензируемой и многих других публикациях никаких конкретных сведений о характеристиках изделий и систем, которые обеспечивают их кибербезопасность и информационную безопасность.
Результатом такой закрытости становятся многочисленные околонаучные публикации, в которых предлагается повышать кибербезопасность и снижать уязвимость с помощью неуязвимых герконов.
Предлагаемый в рецензируемой статье отраслевой подход опасен тем, что вне поля зрения студентов и специалистов окажется многое из того, что с успехом используется в других отраслях, в том числе и в банковской сфере, очень и очень далекой от энергетики. Например, заявке на авторское свидетельство, поданной в ЦНИИ СЭТ на устройство прохода кабеля через прочный корпус был противопоставлен патент на устройство, обеспечивающее герметичный проход телефонного кабеля в гроб.
Импортозамещение комплектующих и оборудования при отсутствии формальных требований к кибербезопасности не гарантирует того, что разработанные и изготовленные в России изделия будут хоть в чём-то лучше зарубежных аналогов в части кибербезопасности. Не даром авторы этой статьи пишут, что по результатам опроса отечественные разработчики ориентируются на зарубежные, а не отечественные источники сведений об информационной безопасности. Таким образом, опрос подтвердил отсутствие конкретной и понятной информации в и отечественных документах, в том числе и приведенных в источниках, приведенных в застатейном списке литературы.
Что касается импортозамещения, то это в значительной степени это политический, чем технический вопрос. Выпускаемое в России оборудование должно не просто замещать зарубежное, повторяя достигнутый технический уровень, а значительно превосходить его. Поощрять разработку такого оборудования поможет прямое использование международных стандартов технических условий вместо национальных.
Никто пока не комментировал эту страницу.