Система управления информационной (кибер) безопасностью (СУИБ)
Cyber Security Management System (CSMS)
СУИБ – структурированная и документированная система, позволяющая персоналу судоходной Компании эффективно внедрять политику кибербезопасности.
Каждая Компания должна разработать, задействовать и поддерживать СУИБ, которая включает следующие функциональные требования:
.1 политику в области информационной безопасности;
.2 инструкции и процедуры для обеспечения информационной безопасности судов согласно соответствующему международному праву и законодательству государства флага судна;
.3 установленный объем полномочий и линии связи между персоналом на берегу и на судне и внутри их;
.4 процедуры передачи сообщений об авариях и случаях несоблюдения требований;
.5 процедуры подготовки к аварийным ситуациям и действий в аварийных ситуациях; и
.6 процедуры проведения внутренних аудиторских проверок и процедуры пересмотра управления.
Ниже представлена схема информационной структуры офиса:
Представленная схема информационной структуры офиса, показывает рабочие станции (пользовательские компьютеры) и береговых сотрудников компании.
Компания должна определить и документально оформить ответственность, полномочия и взаимосвязь всего персонала, который управляет, выполняет и проверяет работу, относящуюся и оказывающую влияние на кибербезопасность.
Пример распределения ответственности и полномочий персонала судоходной компании по должностям представлен в таблице ниже:
Доказательством того, что вопросы управления кибербезопасностью учтены в СУБ и находятся в управляемых условиях, можно считать следующее:
.1 компанией проведена оценка рисков, связанных с кибератаками или киберинцидентами, для обеспечения бесперебойной работы своих береговых подразделений и судов в соответствии с процедурами оценки рисков установленными в СУБ;
.2 управление киберрисками начинается на уровне высшего руководства. В компании внедрена культура понимания киберрисков на всех уровнях организации для обеспечения гибкого режима устойчивости к кибератакам и киберинцидентам. Высшее руководство понимает важность оценки и управления киберрисками;
.3 компания разработала принципы защиты от кибератак и киберинцидентов, таких как отключение, взлом, внедрение вредоносных программ, блокировка компьютерных систем и т.д. на основе оценки рисков.
В соответствии с Циркуляром MSC-FAL.1/Circ.3 "Руководство по управлению киберрисками в морской отрасли" определены функциональные элементы, способствующие эффективному управлению киберрисками:
.1 Идентификация: определение задач и обязанностей персонала по управлению киберрисками и выявление систем, ресурсов, данных и функциональных возможностей, которые в случае сбоев могут представлять угрозу для эксплуатации судна.
.2 Защита: реализация процедур и мер контроля рисков; планирование действий на случай чрезвычайной ситуации с целью предотвращения киберпроисшествий и обеспечения бесперебойной эксплуатации судна.
.3 Обнаружение: разработка и принятие мер, необходимых для своевременного обнаружения киберпроисшествий.
.4 Реагирование: разработка и выполнение мер и планов по обеспечению отказоустойчивости и восстановления систем, необходимых для эксплуатации судна, или функций, нарушенных в результате киберпроисшествия.
.5 Восстановление: идентификация мер по резервному дублированию и восстановлению необходимых для эксплуатации судна киберсистем, которые пострадали в результате киберпроисшествия.
Предлагаемая нашей компанией СУИБ структурно соответствует требованиям МКУБ (ISM Code) и наглядно представлена ниже, как модульная система управления:
Документация СУИБ предусматривает разделение документов на береговой и судовой комплекты:
Ниже представлен План внедрения системы управления информационной (кибер) безопасностью (СУИБ):
В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам:
- разработку и внедрению СУИБ;
- оценку киберрисков;
- разработку соответствующих планов и судовых процедур по кибербезопасности (Cyber Security Plan);
- судовые плакаты по кибербезопасности.
