С целью повышения информационной защиты на судах Вашему вниманию предлагается информация по новым требованиям к информационной защите (Cyber Security).
Информационная безопасность (кибербезопасность) на судах включает комплекс мер по сохранению конфиденциальности, целостности и доступности информационных данных и сведений.
Уязвимыми судовыми системами могут быть:
- ходовой мостик;
- контроль доступа;
- обработка и управление грузами;
- административные системы и сети;
- обслуживание и управление пассажирами;
- публичные судовые пассажирские интернет-сети;
- управление двигателем, машинами, энергетическим питанием.
Управление киберрисками на судах включает следующие функциональные элементы:
- Идентификация. Определение задач и обязанностей персонала по управлению киберрисками, выявление систем, ресурсов, данных и функциональных возможностей, которые в случае сбоев могут представлять угрозу для эксплуатации судна.
- Защита. Реализация процедур и мер контроля рисков, планирование действий на случай чрезвычайной ситуации с целью предотвращения киберпроисшествий и обеспечения бесперебойной эксплуатации судна.
- Обнаружение. Разработка и принятие мер, необходимых для своевременного выявления киберпроисшествий.
- Реагирование. Разработка и выполнение мер и планов по обеспечению отказоустойчивости и восстановления систем, необходимых для эксплуатации судна, или функций, нарушенных в результате киберпроисшествия.
- Восстановление. Идентификация мер по резервному дублированию и восстановлению необходимых для эксплуатации судна киберсистем, которые пострадали в результате киберпроисшествия.
Система информационной защиты должна быть задействована на всех уровнях компании от руководства на берегу и до членов экипажа. Она должна быть интегрирована с системами безопасности и охраны с целью обеспечения эффективности судовых операций.
Вопросы обеспечения кибербезопасности морского транспорта регулируются нормами международного и российского права.
В соответствии с Циркуляром MSC-FAL.1/Circ.3 "Руководство по управлению киберрисками в морской отрасли" определены функциональные элементы, способствующие эффективному управлению киберрисками:
.1 Идентификация: определение задач и обязанностей персонала по управлению киберрисками и выявление систем, ресурсов, данных и функциональных возможностей, которые в случае сбоев могут представлять угрозу для эксплуатации судна.
.2 Защита: реализация процедур и мер контроля рисков; планирование действий на случай чрезвычайной ситуации с целью предотвращения киберпроисшествий и обеспечения бесперебойной эксплуатации судна.
.3 Обнаружение: разработка и принятие мер, необходимых для своевременного обнаружения киберпроисшествий.
.4 Реагирование: разработка и выполнение мер и планов по обеспечению отказоустойчивости и восстановления систем, необходимых для эксплуатации судна, или функций, нарушенных в результате киберпроисшествия.
.5 Восстановление: идентификация мер по резервному дублированию и восстановлению необходимых для эксплуатации судна киберсистем, которые пострадали в результате киберпроисшествия.
Ниже представлен План внедрения системы управления информационной (кибер) безопасностью (СУИБ):
Защита информации (Information Security) - сохранение конфиденциальности, целостности и доступности информации.
Существует 3 (три) базовых принципа, которые должна обеспечивать информационная защита:
- целостность данных — защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;
- конфиденциальность информации;
- доступность информации для всех авторизованных пользователей.
Защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы защиты информации. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Кроме того, проблемы информационной защиты постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
При разработке компьютерных систем, выход из строя или ошибки в работе которых, могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. На сегодняшний день во всем судоходном секторе информационная защита сети становится почти такой же важной, как обеспечение безопасности и охраны на судах.
Рекомендации МАКО являются результатом эффективного отраслевого сотрудничества и содержат необходимые рекомендации по разработке и поддержанию информационной безопасности судов.
Примеры рисков, относящихся к информационной защите, включают:
- риски утечки или искажения информации;
- риски отключения электропитания;
- риски кражи или разлива грузов;
- риски изменения курсов судов.
Управление киберрисками означает процессы идентификации, анализа, оценки и коммуникации, связанные с киберрисками, а также принятия, предотвращения, переноса или смягчения таких рисков до приемлемого уровня с учетом затрат и выгод, обусловленных предпринимаемыми действиями, для заинтересованных сторон.
Цель управления киберрисками в морской отрасли – обеспечение безопасности и защищенности судоходства и его отказоустойчивости по отношению к киберрискам.
Планы и процедуры судоходной компании по управлению рисками информационной защиты должны быть согласованы с существующими процедурами по управлению рисками, регламентированными кодексами МКУБ и ОСПС.
Ниже представлен рисунок, показывающий состав функциональных элементов системы информационной защиты:
Данные функциональные элементы должны быть включены в общую систему управления рисками. Они отражают необходимые мероприятия и желаемые результаты эффективного управления информационными рисками в отношении критических систем, задействованных в морских операциях.
Система информационной защиты должна быть задействована на всех уровнях компании от руководства на берегу и до членов экипажа, и интегрирована с системами безопасности и охраны с целью обеспечения эффективности судовых операций.
Следующие судовые системы могут быть уязвимы:
- Системы навигационного мостика;
- Грузовые системы;
- Системы движения и энергетического менеджмента;
- Системы управления доступом на судно;
- Системы обслуживания пассажиров;
- Сети общего пользования;
- Системы социального обеспечения экипажа;
- Системы радиосвязи и коммуникации.
В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью" Комитет по безопасности на море (Maritime Safety Committee - MSC):
1. ПОДТВЕРЖДАЕТ, что в утвержденной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;
2. ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года.
Эффективное управление киберрисками должно обеспечить соответствующий уровень осведомленности о киберрисках на всех уровнях организации. Уровень осведомленности и готовности должен соответствовать задачам и обязанностям в системе управления киберрисками.
В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам разработку соответствующих планов и судовых процедур по информационной защите (кибербезопасности) на судах (Cyber Security Management Plan), судовые плакаты.
Вы можете пройти дистанционный курс подготовки по кибербезопасности, специально подготовленный нашей компанией для обучения судового и берегового персонала судоходных компаний. В случае успешного прохождения обучения и сдачи итогового теста Вам будет оформлен соответствующий сертификат.
Пройти дистанционное обучение и сдать тест по кибербезопасности...