С целью повышения безопасности на судах Вашему вниманию предлагается обзор требований нового Циркуляра MSC-FAL.1/Circ.3 /Rev.2 "Руководство по управлению киберрисками в морской отрасли" от 07.06.2022 г.
В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью":
Комитет по безопасности на море (Maritime Safety Committee - MSC):
1. ПОДТВЕРЖДАЕТ, что в утвержденной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;
2. ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью
не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года;
Признавая также, что Администрации, классификационные общества, собственники и операторы судов, судовые агенты, изготовители оборудования, поставщики услуг, порты и портовые средства, а также все остальные стороны морской отрасли должны активизировать работу по обеспечению защищенности судоходства от существующих и возникающих новых киберугроз и уязвимости, с учетом Циркуляра MSC-FAL.1/Circ.3.
7 июня 2022 г. опубликована новая редакция Циркуляра MSC-FAL.1/Circ.3 /Rev.2 "Руководство по управлению киберрисками в морской отрасли".
Данное Руководство содержит обобщенные рекомендации по управлению киберрисками в морской отрасли в целях защиты судоходства от имеющихся и возникающих киберугроз и уязвимостей. В Руководстве также представлены функциональные элементы, способствующие эффективному управлению киберрисками.
Киберриск в морской отрасли отражает то, в какой степени тот или иной технологический ресурс подвержен угрозе, создаваемой возможными обстоятельствами или событиями, которые могут приводить к сбоям, связанным с эксплуатацией, безопасностью или защищенностью судов, вследствие повреждения, утраты или компрометации информации или систем.
Кибертехнологии стали неотъемлемым элементом эксплуатации и управления работой многочисленных систем, жизненно важных для обеспечения безопасности и защищенности судоходства, а также охраны морской среды.
В некоторых случаях эти системы должны соответствовать международным стандартам и требованиям администрации флага. Однако уязвимости, возникающие в связи с доступом к таким системам, их сопряжением или сетевой коммутацией, могут приводить к возникновению киберрисков, которые требуют внимания. К числу уязвимых (критических) систем среди прочих относятся:
.1 системы ходового мостика (Bridge systems);
.2 системы обработки грузов и управления ими (Cargo handling and management systems);
.3 системы управления двигательными установками, механизмами и энергетическими установками (Propulsion and machinery management and power control systems);
.4 системы контроля доступа (Access control systems);
.5 системы управления обслуживанием пассажиров (Passenger servicing and management systems);
.6 сети общего пользования для пассажиров (Passenger facing public networks);
.7 административные системы и системы бытового обслуживания экипажа (Administrative and crew welfare systems);
.8 системы связи (Communication systems).
В число угроз входят злонамеренные действия (например, взлом или внедрение вредоносного ПО) и непреднамеренные последствия добросовестных действий (например, обслуживание программного обеспечения или предоставление прав доступа пользователям). В целом, такие действия либо вскрывают уязвимые места (такие, как устаревшее программное обеспечение или неэффективные брандмауэры), либо связаны с преднамеренным использованием уязвимостей эксплуатационных или информационных технологий. Эффективное управление киберрисками должно учитывать оба этих вида угроз.
Более подробную информацию Вы можете получить в следующих разделах нашего сайта: