План кибербезопасности судна (CSP)

План кибербезопасности судна (Cyber Security Plan - CSP) может включать следующие аспекты:

• Описание потенциальных уязвимостей существующих систем. Также должны быть указаны имеющиеся риски, оценки последствий и меры по их минимизации, включая подготовку персонала.
• Требования к квалификации капитана в области IT.  Он должен быть способен выполнять возложенные на него обязанности. 
• Определение береговой структуры поддержки. Она должна быть предусмотрена на случай реагирования на кибератаки, последствия киберинцидентов или восстановления работоспособности компьютеризированных систем. 
• Распределение обязанностей и разработка инструкций. Они должны быть для всех лиц, имеющих задачи по кибербезопасности, а также для персонала, использующего судовые компьютеризированные системы.
• Ограничение физического и логического доступа.  Также должны быть предусмотрены меры по использованию съёмных носителей информации и подключению других компьютеризированных систем. 
• Планы действий в чрезвычайных ситуациях.  Они должны быть предусмотрены при возникновении кибератак и киберинцидентов. 
• Меры безопасности при обслуживании и ремонте. Они должны соблюдаться при обслуживании и ремонте компьютеризированных систем. 
• Периодическая проверка и оценка. Система управления кибербезопасностью, её функционирование и эффективность должны периодически проверяться и оцениваться компанией. 

Специфические требования, связанные с управлением киберрисками, каждая компания определяет самостоятельно. 

В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью":

Комитет по безопасности на море (Maritime Safety Committee - MSC):

1.         ПОДТВЕРЖДАЕТ, что в утвержденной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;

2.         ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года.

При использовании компьютерных систем, выход из строя или ошибки в работе которых, могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. На сегодняшний день во всем судоходном секторе информационная защита сети становится почти такой же важной, как обеспечение безопасности и охраны на судах.

Существуют следующие типы киберрисков:

• внешние факторы, такие как несанкционированный доступ и взлом системы, в основном находятся в центре внимания при оценивании киберрисков;
• внутренние факторы, такие как наличие ошибок в работе и общий сбой системы.

Система кибербезопасности должна быть задействована на всех уровнях компании от руководства на берегу и до членов экипажа, и интегрирована с системами безопасности и охраны с целью обеспечения эффективности судовых операций. Компании должны установить ответственность персонала за хранение и получение данных, которые могут стать основой для принятия управленческих или эксплуатационных решений.

С целью разработки надлежащих и соразмерных мер кибербезопасности каждая из существующих технических систем может рассматриваться как в значительной степени установленная или непосредственно связанная с одной из следующих категорий:

Следующие судовые системы могут быть уязвимы:

• Системы навигационного мостика;
• Грузовые системы;
• Системы движения и энергетического менеджмента;
• Системы управления доступом на судно;
• Системы обслуживания пассажиров;
• Сети общего пользования;
• Системы социального обеспечения экипажа;
• Системы радиосвязи и коммуникации.

Уязвимости могут быть результатом недостатков проектирования, интеграции и/или обслуживания систем, а также нарушений кибердисциплины.

В целом, когда уязвимые места эксплуатационных и/или информационных систем вскрываются или преднамеренно используются либо напрямую (например, в случае несанкционированного доступа вследствие слабости паролей), либо косвенно (например, в случае недостаточной сегрегированности сети), могут возникать соответствующие последствия для обеспечения защищенности, а также для конфиденциальности (confidentiality), целостности (integrity) и доступности (availability) информации.

Следует учитывать различие между технологическими системами информационного и эксплуатационного назначения, а также необходимость защиты информации и обмена данными внутри этих систем.

Информационные системы могут рассматриваться как системы, нацеленные на использование данных в качестве информации.

Эксплуатационными можно считать системы, которые главным образом используют данные для управления физическими процессами или их мониторинга.

Более наглядно эксплуатационные технологии и информационные технологии представлены ниже на рисунке:

В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам оценку рисков, разработку соответствующих планов и судовых процедур по кибербезопасности (Cyber Security Plan), судовые плакаты.

Более подробно об информационной безопасности Вы можете узнать на нашей странице...

Вы можете пройти дистанционный курс подготовки по кибербезопасности, специально подготовленный нашей компанией для обучения судового и берегового персонала судоходных компаний. В случае успешного прохождения обучения и сдачи итогового теста Вам будет оформлен соответствующий сертификат.

Пройти дистанционное обучение и сдать тест по кибербезопасности...