Требования РС по кибербезопасности 16.05.2025 12:33С целью повышения безопасности на судах Вашему вниманию предлагается информация по новым требования РС в отношении кибербезопасности судов.
С 2025 года в России запущен федеральный проект "Инфраструктура кибербезопасности", входящий в новый национальный проект "Экономика данных и цифровая трансформация государства". Особое значение вопрос обеспечения кибербезопасности на судах приобретает с развитием технологий автономного судовождения.
Основная задача группы - разработка и внедрение требований по кибербезопасности для применения в процессе проектирования, постройки и эксплуатации судов с классом РС, а также при подготовке инженерно-инспекторского состава Регистра, выполняющего освидетельствования.
Основной целью Части XXI "Киберустойчивость" Правил классификации и постройки морских судов Российского морского регистра судоходства (РС, Регистр) является обеспечение безопасного и защищенного судоходства, устойчивого к киберрискам. Безопасное и защищенное судоходство может быть достигнуто благодаря эффективной системе управления киберрисками.
Часть XXI "Киберустойчивость" Правил классификации и постройки морских судов Российского морского регистра судоходства (РС, Регистр) вступила в силу 1 января 2025 года.
Требования Части XXI "Киберустойчивость" применяются к судовым OT-системам (т.е. к компьютеризированным системам - КС), использующим данные для управления и/или контроля физических процессов), которые могут быть уязвимы для киберинцидентов, и компрометация которых может привести к возникновению опасных ситуаций для безопасности людей, безопасности судна, и/или представляющих угрозу для окружающей среды.
В частности, требования применяются к КС, используемым для выполнения следующих функций и работы нижеперечисленных систем судна, если они имеются на борту:
.1 система управления пропульсивной установкой;
.2 система управления рулевым устройством;
.3 постановка на якорь и швартовка;
.4 производство и распределение электроэнергии;
.5 система обнаружения и тушения пожара;
.6 система обработки груза;
.7 осушительная и балластная системы;
.8 прибор контроля загрузки;
.9 система сигнализации водонепроницаемых дверей и система обнаружения затопления;
.10 освещение (аварийное, низкорасположенное, сигнально-отличительные фонари и т.д.);
.11 любая другая обязательная система, отказ или неисправность которой может представлять риски для эксплуатации судна (например, система аварийного отключения, система безопасности груза, система защиты сосудов под давлением, система обнаружения газа и т.д.).
Дополнительно в область применения Части XXI "Киберустойчивость" включены следующие системы:
.1 навигационные системы, требуемые в соответствии с положениями конвенций;
.2 системы внутрисудовой связи и системы радиосвязи, требуемые правилами РС и положениями конвенций.
Требования Части XXI "Киберустойчивость" также применяются к любому сетевому интерфейсу на основе интернет-протокола (IP) от КС, входящих в область применения настоящей части, к другим системам, таким как:
.1 системы обслуживания пассажиров и посетителей;
.2 компьютерные сети, предназначенные для пассажиров;
.3 административные сети;
.4 системы, обеспечивающие жизнедеятельность экипажа;
.5 любые другие системы, постоянно или временно (например, во время технического обслуживания) подключенные к OT-системам.
Для достижения основной цели, установлены следующие промежуточные цели управления киберрисками, которые должны выполняться одновременно и рассматриваться как части единой комплексной системы управления рисками:
.1 идентификация (identify): сформировать полное представление о судовых КС для использования при управлении киберрисками судовых систем, людей, имущества, данных и функциональных возможностей;
.2 защита (protect): разработать и внедрить надлежащие меры безопасности для защиты судна от киберинцидентов и обеспечения непрерывности судоходных операций;
.3 обнаружение (detect): разработать и внедрить надлежащие меры обнаружения и определения возникновения киберинцидента на борту судна;
.4 реагирование (respond): разработать и внедрить надлежащие меры и мероприятия, выполняемые при обнаружении киберинцидента на борту судна;
.5 восстановление (recover): разработать и внедрить надлежащие меры и мероприятия по восстановлению любых функциональных возможностей и служб, необходимых для судоходных операций, которые были нарушены в результате киберинцидента.
Руководство по обеспечению кибербезопасности Российского морского регистра судоходства утверждено в соответствии с действующим положением и вступило в силу 1 января 2021 года.
Руководство по обеспечению кибербезопасности содержит рекомендации по проектированию, изготовлению, обслуживанию и проведению испытаний судовых компьютеризированных систем, а также рекомендации, применимые к системам управления безопасностью (СУБ).
Руководство является дополнением к другим требованиям Российского морского регистра судоходства (РС), применимым в соответствии с символом класса и назначением судна.
Доказательством того, что вопросы управления кибербезопасностью учтены в СУБ и находятся в управляемых условиях, можно считать следующее:
.1 компанией проведена оценка рисков, связанных с кибератаками или киберинцидентами, для обеспечения бесперебойной работы своих береговых подразделений и судов в соответствии с процедурами оценки рисков установленными в СУБ;
.2 управление киберрисками начинается на уровне высшего руководства. В компании внедрена культура понимания киберрисков на всех уровнях организации для обеспечения гибкого режима устойчивости к кибератакам и киберинцидентам. Высшее руководство понимает важность оценки и управления киберрисками;
.3 компания разработала принципы защиты от кибератак и киберинцидентов, таких как отключение, взлом, внедрение вредоносных программ, блокировка компьютерных систем и т.д. на основе оценки рисков.
В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам:
- оценку киберрисков;
- разработку соответствующих планов и судовых процедур по кибербезопасности (Cyber Security Plan);
- судовые плакаты по кибербезопасности.
В приложении предлагаем Вашему вниманию План внедрения системы управления информационной (кибер) безопасностью (СУИБ):
