Новые требования МАКО по кибербезопасности 04.06.2022 13:31Компания ИБИКОН представляет Вам информацию о новых рекомендациях Международной Ассоциации Классификационных Обществ (МАКО), относящихся к информационной безопасности судов.
Рекомендации МАКО (IACS) являются результатом эффективного отраслевого сотрудничества и содержат необходимые рекомендации по разработке и поддержанию информационной безопасности судов.
27 апреля 2022 года МАКО опубликовала два новых унифицированных требований (Unified Requirement - UR) по кибербезопасности и изменения к Рекомендации № 166 (Recommendation № 166), а именно:
|
№ |
Номер |
Название |
Вступает в силу |
|
1. |
UR E26 |
Киберустойчивость судов |
01.01.2024 |
|
2. |
UR E27 |
Киберустойчивость судовых систем и оборудования |
01.01.2024 |
|
3. |
Rec. 166 |
Рекомендация по киберустойчивости |
01.04.2022 |
Киберустойчивость - свойство информационной системы, позволяющей экипажу и судну существовать в условиях непрерывных или постоянных кибератак в отношении судовых компьютерных систем.
Требование UR E26 нацелено на обеспечение безопасной интеграции оборудования как Операционных Технологий – OT (Operational Technology - OT), так и Информационных Технологий - ИТ (Information Technology - IT) в сеть судна во время проектирования, строительства, ввода в эксплуатацию и срока службы судна. Это UR нацелено на судно, как на коллективный объект для обеспечения киберустойчивости и охватывает пять ключевых аспектов: идентификацию оборудования, защиту, обнаружение атак, реагирование и восстановление.
Требование URE27 направлено на обеспечение защиты и укрепления целостности системы сторонними поставщиками оборудования. Это UR устанавливает требования к киберустойчивости бортовых систем и оборудования и содержит дополнительные требования, касающиеся интерфейса между пользователями и компьютерными системами на борту, а также требования к дизайну продукта и разработке новых устройств до их внедрения на борту судов.
Цель рекомендации Rec. 166 состоит в том, чтобы предоставить заинтересованным сторонам нормативные требования для поддержания киберустойчивости судов на протяжении всего срока эксплуатации и построения системы управления кибербезопасности (СУКБ). Данная рекомендация разработана в развитии документов ИМО по кибербезопасности, таких как:
- Циркуляр ИМО MSC-FAL.1/Circ.3 - Руководство по управлению морскими киберрисками;
- ИМО Резолюция MSC.428(98) - Управление киберрисками в морской отрасли в рамках систем управления безопасностью.
В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью":
Комитет по безопасности на море (Maritime Safety Committee - MSC):
1. ПОДТВЕРЖДАЕТ, что в одобренной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;
2. ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью
не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года;
В соответствии с Рекомендацией МАКО № 166 качество данных (Data Quality), как деятельность или совокупность действий, направленных на обеспечение безопасности данных, генерируемых, обрабатываемых, передаваемых и хранимых в процессе эксплуатации бортовых компьютерных систем.
Три нижеприведенных термина относятся к качеству данных:
- Конфиденциальность (Confidentiality) - свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов;
- Целостность (Integrity) - свойство сохранения правильности и полноты активов;
- Доступность (Availability) - свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
Также в Рекомендации определены Категории (I, II, III) судовых компьютерных систем и степени их уязвимости в отношении качества данных:
Категория I. Это системы, выход из строя которых не приведет к опасным ситуациям для безопасности человека, безопасности судна и / или угрозе окружающей среде. Типичные функции систем: мониторинг для информационных / административных задач.
Категория II. Это системы, отказ которых может в конечном итоге привести к опасным ситуациям для безопасности человека, безопасности судна и / или угрозе окружающей среде. Типичные функции систем: сигнализация и мониторинг; контрольные функции, которые необходимы для поддержания судна в его нормальных эксплуатационных и обитаемых условиях.
Категория III. Это системы, выход из строя которых может немедленно привести к опасным ситуациям для безопасности человека, безопасности судна и/ или угрозе окружающей среде. Типичные функции систем: управление для поддержания движения судна и рулевого управления; функции безопасности судна.
Данная таблица может быть использована при проведении оценки киберрисков:
Рекомендация Rec. 166 включает требования в отношении:
- инвентаризации судового компьютерного оборудования (hardware) и программного обеспечения (software);
- технического обслуживания судового компьютерного оборудования и программного обеспечения;
- готовности к аварийным сбоям в работе судового компьютерного оборудования и программного обеспечения;
- документации и отчётности.
В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам разработку соответствующих планов и судовых процедур по информационной безопасности (Cyber Security Management Plan) с учётом требований МАКО.
