Информационная безопасность (Кибербезопасность)

С целью повышения информационной защиты на судах Вашему вниманию предлагается информация по новым требованиям к информационной защите (Cyber Security).

Информационная безопасность (кибербезопасность) на судах включает комплекс мер по сохранению конфиденциальности, целостности и доступности информационных данных и сведений.

Уязвимыми судовыми системами могут быть:

• ходовой мостик;
• контроль доступа;
• обработка и управление грузами; 
• административные системы и сети; 
• обслуживание и управление пассажирами; 
• публичные судовые пассажирские интернет-сети; 
• управление двигателем, машинами, энергетическим питанием. 

Управление киберрисками на судах включает следующие функциональные элементы: 

• Идентификация.  Определение задач и обязанностей персонала по управлению киберрисками, выявление систем, ресурсов, данных и функциональных возможностей, которые в случае сбоев могут представлять угрозу для эксплуатации судна. 
• Защита.  Реализация процедур и мер контроля рисков, планирование действий на случай чрезвычайной ситуации с целью предотвращения киберпроисшествий и обеспечения бесперебойной эксплуатации судна. 
• Обнаружение.  Разработка и принятие мер, необходимых для своевременного выявления киберпроисшествий. 
• Реагирование.  Разработка и выполнение мер и планов по обеспечению отказоустойчивости и восстановления систем, необходимых для эксплуатации судна, или функций, нарушенных в результате киберпроисшествия. 
• Восстановление.  Идентификация мер по резервному дублированию и восстановлению необходимых для эксплуатации судна киберсистем, которые пострадали в результате киберпроисшествия. 

Система информационной защиты должна быть задействована на всех уровнях компании от руководства на берегу и до членов экипажа. Она должна быть интегрирована с системами безопасности и охраны с целью обеспечения эффективности судовых операций. 

Вопросы обеспечения кибербезопасности морского транспорта регулируются нормами международного и российского права. 

В соответствии с Циркуляром MSC-FAL.1/Circ.3 "Руководство по управлению киберрисками в морской отрасли" определены функциональные элементы, способствующие эффективному управлению киберрисками:

.1         Идентификация: определение задач и обязанностей персонала по управлению киберрисками и выявление систем, ресурсов, данных и функциональных возможностей, которые в случае сбоев могут представлять угрозу для эксплуатации судна.

.2         Защита: реализация процедур и мер контроля рисков; планирование действий на случай чрезвычайной ситуации с целью предотвращения киберпроисшествий и обеспечения бесперебойной эксплуатации судна.

.3         Обнаружение: разработка и принятие мер, необходимых для своевременного обнаружения киберпроисшествий.

.4         Реагирование: разработка и выполнение мер и планов по обеспечению отказоустойчивости и восстановления систем, необходимых для эксплуатации судна, или функций, нарушенных в результате киберпроисшествия.

.5         Восстановление: идентификация мер по резервному дублированию и восстановлению необходимых для эксплуатации судна киберсистем, которые пострадали в результате киберпроисшествия.

Ниже представлен План внедрения системы управления информационной (кибер) безопасностью (СУИБ):

Защита информации (Information Security) - сохранение конфиденциальности, целостности и доступности информации.

Существует 3 (три) базовых принципа, которые должна обеспечивать информационная защита:

• целостность данных — защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;
• конфиденциальность информации;
• доступность информации для всех авторизованных пользователей.

Защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы защиты информации. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Кроме того, проблемы информационной защиты постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

При разработке компьютерных систем, выход из строя или ошибки в работе которых, могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. На сегодняшний день во всем судоходном секторе информационная защита сети становится почти такой же важной, как обеспечение безопасности и охраны на судах.

Рекомендации МАКО являются результатом эффективного отраслевого сотрудничества и содержат необходимые рекомендации по разработке и поддержанию информационной безопасности судов.

Примеры рисков, относящихся к информационной защите, включают:

• риски утечки или искажения информации;
• риски отключения электропитания;
• риски кражи или разлива грузов;
• риски изменения курсов судов. 

Управление киберрисками означает процессы идентификации, анализа, оценки и коммуникации, связанные с киберрисками, а также принятия, предотвращения, переноса или смягчения таких рисков до приемлемого уровня с учетом затрат и выгод, обусловленных предпринимаемыми действиями, для заинтересованных сторон.

Цель управления киберрисками в морской отрасли – обеспечение безопасности и защищенности судоходства и его отказоустойчивости по отношению к киберрискам.

Планы и процедуры судоходной компании по управлению рисками информационной защиты должны быть согласованы с существующими процедурами по управлению рисками, регламентированными кодексами МКУБ и ОСПС.

Ниже представлен рисунок, показывающий состав функциональных элементов системы информационной защиты:

Данные функциональные элементы должны быть включены в общую систему управления рисками. Они отражают необходимые мероприятия и желаемые результаты эффективного управления информационными рисками в отношении критических систем, задействованных в морских операциях.

Система информационной защиты должна быть задействована на всех уровнях компании от руководства на берегу и до членов экипажа, и интегрирована с системами безопасности и охраны с целью обеспечения эффективности судовых операций.

Следующие судовые системы могут быть уязвимы:

• Системы навигационного мостика;
• Грузовые системы;
• Системы движения и энергетического менеджмента;
• Системы управления доступом на судно;
• Системы обслуживания пассажиров;
• Сети общего пользования;
• Системы социального обеспечения экипажа;
• Системы радиосвязи и коммуникации.

В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью" Комитет по безопасности на море (Maritime Safety Committee - MSC):

1.         ПОДТВЕРЖДАЕТ, что в утвержденной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;

2.         ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года.

Эффективное управление киберрисками должно обеспечить соответствующий уровень осведомленности о киберрисках на всех уровнях организации. Уровень осведомленности и готовности должен соответствовать задачам и обязанностям в системе управления киберрисками.

В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам разработку соответствующих планов и судовых процедур по информационной защите (кибербезопасности) на судах (Cyber Security Management Plan), судовые плакаты.

Вы можете пройти дистанционный курс подготовки по кибербезопасности, специально подготовленный нашей компанией для обучения судового и берегового персонала судоходных компаний. В случае успешного прохождения обучения и сдачи итогового теста Вам будет оформлен соответствующий сертификат.

Пройти дистанционное обучение и сдать тест по кибербезопасности...