Управление киберрисками циркуляр МКБ — Балтийский Ллойд

Управление киберрисками циркуляр МКБ

 

 

4 ALBERT EMBANKMENT
LONDON SE1 7SR
Telephone: +44 (0)20 7735 7611           Fax: +44 (0)20 7587 3210 

MSC-FAL.1/Circ.3/Rev.1 

14 Июня 2021 

РУКОВОДСТВО ПО УПРАВЛЕНИЮ КИБЕРРИСКАМИ НА МОРЕ

 

1 Комитет по Упрощению Формальностей на своей сорок первой сессии (с 4 по 7 апреля 2017 года), и Комитет по Безопасности на Море на своей девяносто восьмой сессии (с 7 по 16 июня 2017 года), рассмотрев настоятельную необходимость повышения осведомленности об угрозах и уязвимостях, связанных с киберугрозами, утвердили «Руководство по Управлению Киберрисками на Море», как указано в приложении.

2 Руководство предоставляет рекомендации высокого уровня по управлению морскими киберрисками для защиты судоходства от текущих и возникающих киберугроз и уязвимостей. Руководство также содержит действенные меры, которые способствуют эффективному управлению киберрисками.

3 Комитет по Безопасности на Море на своей 103-й сессии (с 5 по 14 мая 2021 года) и Комитет по Упрощению Формальностей на своей сорок пятой сессии (с 1 по 7 июня 2021 года), одобрили обновление к дополнительному  руководству и стандартам, включенным в пункт 4.2 Руководства.

4 Правительствам Стран — Членов предлагается довести содержание настоящего циркуляра до сведения всех заинтересованных сторон.

5 Настоящий циркуляр и любые изменения заменяют временные руководящие принципы, содержащиеся в MSC.1/Circ.1526.

 

***

 

I:\CIRC\MSC-FAL\1\MSC-FAL.1-Circ.3-Rev.1.docx 


 

MSC-FAL.1/Circ.3/Rev.1 

Приложение, стр.1 

 

ПРИЛОЖЕНИЕ

РУКОВОДСТВО ПО УПРАВЛЕНИЮ КИБЕРРИСКАМИ НА МОРЕ

 

 

1 ВВЕДЕНИЕ

 

1.1 Настоящее Руководство содержат важные рекомендации по управлению киберрисками на море. Для целей настоящего Руководства, понятие морской киберриск относится в такой степени, в какой   технологическому имуществу угрожает потенциальное обстоятельство или действие, которое может привести к сбоям в эксплуатации, безопасности или охраны в сфере судоходства, в результате повреждения, потери или компрометации информации или систем.

1.2 Заинтересованные стороны должны предпринять необходимые действия для защиты судоходства от текущих и проявляющих угроз и уязвимостей, связанных с цифровизацией, интеграцией и автоматизацией процессов и систем в судоходстве.

1.3 Для получения подробной информации и рекомендаций, связанных с разработкой и внедрением конкретных процессов управления рисками, пользователям настоящего Руководства следует руководствоваться соответствующими требованиями конкретных правительств стран-членов и Администраций флага, а также к соответствующим международным и отраслевым стандартам и передовой практике.

1.4 Управление рисками имеет основополагающее значение для безопасной и защищенной эксплуатации судов. Управление рисками традиционно было сосредоточено на производственной эксплуатации, но большая зависимость от цифровизации, интеграции, автоматизации и сетевых систем создала растущую потребность в управлении киберрисками в коммерческом судоходстве.

1.5 Исходя из цели поддержания безопасного и надежного судоходства, в  устойчивого к киберрискам в процессе эксплуатации, настоящее Руководство содержит рекомендации, которые могут быть включены в существующие процессы управления рисками. В этом отношении Руководство дополняет практику  безопасной и защищенной эксплуатации, установленную этой Организацией.

 

2 ОБЩИЕ ПОЛОЖЕНИЯ

 

2.1 Справочная информация

2.1.1 Кибертехнологии стали необходимыми для эксплуатации и управления многочисленными системами, имеющими важное значение для безопасности судоходства и защиты морской среды. В некоторых случаях эти системы должны соответствовать международным стандартам и требованиям Администрации флага. Однако уязвимости, возникающие при доступе к этим системам, их соединении или объединении в сеть, могут привести к киберрискам, которые должны быть рассмотрены. К уязвимым система относятся, но не ограничиваются ими:

.1 Системы на ходовом мостике;

.2 Системы обработки грузов и управления грузовыми операциями;

.3 Системы управления двигателями и механизмами и системы управления энергоснабжением;

.4 Системы контроля доступа на судно и в контролируемые помещения;

.5 Системы обслуживания и управления пассажирами;

.6 Системы общественного доступа пассажиров в сеть;

.7 Системы управления и жизнеобеспечения экипажа; и

.8 Системы связи.

 

 

I:\CIRC\MSC-FAL\1\MSC-FAL.1-Circ.3-Rev.1.docx 


MSC-FAL.1/Circ.3/Rev.1 

Приложение, стр. 2 

 

2.1.2 Следует учитывать различия между информационно-технологическими системами и эксплуатационно-технологическими системами. Можно рассматривать информационно-технологические системы, как ориентированные на использование данных в качестве информации. Эксплуатационно-технологические системы можно рассматривать как системы, ориентированные на использование данных для контроля или наблюдения за технологическими процессами. Кроме того, следует также рассматривать вопросы защиты информации и обмен данными в системе.

2.1.3 Хотя эти технологии и системы обеспечивают значительный прирост эффективности для морской отрасли, они также представляют риски для критически важных систем и процессов, связанных с функционированием систем, связанных с судоходством. Эти риски могут быть результатом уязвимостей, возникающих в результате ненадлежащего функционирования, интеграции, обслуживания и проектирования систем, связанных с киберпространством, а также в результате преднамеренных и непреднамеренных киберугроз.

2.1.4 Угрозы представляют собой вредоносные действия (например, взлом или внедрение вредоносного ПО) или непреднамеренные последствия безопасных действий (например, обслуживание программного обеспечения или разрешения пользователя). Как правило, эти действия выявляют уязвимости (например, устаревшее программное обеспечение или неэффективные брандмауэры) или используют уязвимость в операционных или информационных технологиях. Эффективное управление киберрисками должно учитывать оба вида угроз.

2.1.5 Уязвимости могут быть результатом недостатков в проектировании, интеграции и/или обслуживании систем, а также недостатков в кибердисциплине. В целом, когда обнаруживаются или используются уязвимости в операционных и/или информационных технологиях, либо напрямую (например, слабые пароли, ведущие к несанкционированному доступу), либо косвенно (например, отсутствие разделения сети), это может иметь последствия для безопасности и конфиденциальности, целостности и доступности информации. Кроме того, когда обнаруживаются или используются уязвимости в операционных и/или информационных технологиях, это может иметь последствия для безопасной эксплуатации, особенно в тех случаях, когда создана угроза критически важным системам (например, системы управления судном ходового мостика или  главной энергетической установки машинного отделения).

2.1.6 Эффективное управление киберрисками должно также учитывать воздействие на безопасность и охрану, возникающее в результате выявления или использования уязвимостей в системах информационных технологий. Это может быть результатом неправильного подключения к операционным технологическим системам или ошибок со стороны  обслуживающего персонала или подрядчиков, которые могут поставить под угрозу эти системы (например, неправильное использование съемных носителей, таких как карта памяти).

2.1.7 Дополнительную информацию об уязвимостях и угрозах можно найти в дополнительных руководствах и стандартах, упомянутых в разделе 4.

2.1.8 Эти быстро меняющиеся технологии и угрозы затрудняют устранение этих рисков только с помощью технических стандартов. Таким образом, данное Руководство рекомендует подход к управлению киберрисками, который является устойчивым и развивается как естественное продолжение существующих методов управления безопасностью и охраной.

2.1.9 При рассмотрении потенциальных источников угроз и уязвимостей и связанных с ними стратегий снижения рисков, следует также принимать во внимание ряд вероятных вариантов контроля для управления киберрисками, включая, среди прочего, управленческий, эксплуатационный или процедурный и технический.

 

2.2 Применение

 

2.2.1 Настоящее Руководство в первую очередь предназначено для всех организаций судоходной отрасли и призваны поощрять практику безопасной и защищенной эксплуатации в киберпространстве. 

 

I:\CIRC\MSC-FAL\1\MSC-FAL.1-Circ.3-Rev.1.docx 


MSC-FAL.1/Circ.3/Rev.1 

Приложение, стр. 3

 

2.2.2 Признавая, что в судоходной отрасли нет двух одинаковых организаций, настоящее Руководство изложено в общих чертах, чтобы иметь широкое применение. Суда с ограниченными системами, связанными с киберпространством, могут счесть достаточным просто применить это Руководство; однако судам со сложными системами, связанными с киберпространством, может потребоваться более высокий уровень безопасности и необходимость прибегать к услугам специализированных компаний в области кибербезопасности.

2.2.3 Настоящее Руководство носит рекомендательный характер.

 

3 ЭЛЕМЕНТА УПРАВЛЕНИЯ КИБЕРРИСКАМИ

 

3.1 Для целей настоящего Руководства, управление киберрисками означает процесс выявления, анализа, оценку и информирование о киберриске, а также принятия, предотвращения, передачи или уменьшения его до приемлемого уровня с учетом затрат и выгод от предпринимаемых действий для заинтересованных сторон.

3.2 Целью управления киберрисками на море является поддержка безопасного и защищенного судоходства, которое эксплуатационно устойчиво к киберрискам.

3.3 Эффективное управление киберрисками должно начинаться с  высшего руководства. Высшее руководство должно внедрить культуру осведомленности о киберрисках на всех уровнях организации и обеспечить целостный и гибкий режим управления киберрисками, который работает непрерывно и постоянно оценивается с помощью эффективных механизмов обратной связи.

3.4 Одним из общепринятых подходов к достижению вышеуказанного является всесторонняя оценка и сравнение текущих и желаемых подходов организации к управлению киберрисками. Такое сравнение может выявить пробелы, устранение которых будет способствовать достижению целей управления рисками с помощью приоритетного плана управления киберрисками. Такой подход, основанный на оценке рисков, позволит организации  использовать свои ресурсы наиболее эффективным образом.

3.5 В настоящем Руководстве представлены функциональные элементы, способствующие поддержанию эффективного управления киберрисками. Эти функциональные элементы не являются последовательными – все они должны применяться одновременно и непрерывно, и должны быть надлежащим образом включены в систему управления рисками:

.1 Распознавание: Определите значение и обязанности персонала по управлению киберрисками и определите системы, активы, данные и оборудование, которые в случае сбоя создают риски для эксплуатации судов.

.2 Защита: Внедрение процессов и мер контроля рисков, а также планирование на случай нештатных ситуаций для защиты от кибер-происшествия и обеспечения непрерывной эксплуатации.

.3 Обнаружение: Разработка и внедрение мероприятий, необходимых для своевременного обнаружения кибер-происшествия.

.4 Реагирование: Разработка и внедрение мероприятий и планов по обеспечению устойчивости и восстановлению систем, необходимых для  эксплуатации или предоставления услуг, нарушенных в результате кибер-происшествия.

.5 Восстановление: Определение мер по резервному копированию и восстановлению киберсистем, необходимых для эксплуатации, которые пострадали от кибер-события.

 

I:\CIRC\MSC-FAL\1\MSC-FAL.1-Circ.3-Rev.1.docx 


MSC-FAL.1/Circ.3/Rev.1 

Приложение, стр. 4 

 

3.6 Эти функциональные элементы охватывают деятельность и желаемые результаты эффективного управления киберрисками в критически важных системах, влияющих на эксплуатацию и обмен информацией в сфере судоходства, и представляют собой непрерывный процесс с эффективными механизмами обратной связи.

3.7 Эффективное управление киберрисками должно обеспечивать надлежащий уровень осведомленности о киберрисках на всех уровнях организации. Уровень осведомленности и готовности должен соответствовать значению и обязанностям в системе управления киберрисками.

 

4 ПЕРЕДОВАЯ ПРАКТИКА ПО ВНЕДРЕНИЮ УПРАВЛЕНИЯ КИБЕРРИСКАМИ

 

4.1 Описанный здесь подход к управлению киберрисками создает основу для лучшего понимания и управления киберрисками, что позволяет использовать управление рисками для устранения киберугроз и уязвимостей. Для получения подробных указаний по управлению киберрисками пользователям данного Руководства следует также обратиться к требованиям правительств стран-членов и Администрациям флага, а также к соответствующим международным и отраслевым стандартам и опыту передовой практики.

4.2 Дополнительные рекомендации и стандарты включают, но не ограничиваются ими*:

.1 Руководство по кибербезопасности на борту судов, подготовленное и поддерживаемое Международной палатой Судоходства (ICS), Международным Союзом Морских Страховщиков (IUMI), Балтийским и Международным Морским Советом (BIMCO), Международным Морским Форумом Нефтяных Компаний (OCIMF), Международной Ассоциацией Независимых Танкерных Судовладельцев (INTERTANKO), Международной Ассоциацией Судовладельцев Сухогрузов (INTERCARGO), InterManager, Международная Палата Судоходства (WSC) и Ассоциация Судостроителей Суперяхт (SВYАss).

.2 Рекомендация по киберустойчивости, подготовленное членами МАКО — Международная Ассоциация Классификационных обществ, (Рекомендация 166).

.3 Стандарт ISO/IEC 27001 по информационным технологиям – Методы обеспечения безопасности –  Управления системами информационной безопасности – Требования. Опубликовано совместно Международной организацией по стандартизации (ИСО) и Международной электротехнической комиссией (МЭК).

.4 Рамочная программа Национального Института Стандартов и Технологий США по повышению кибербезопасности критической инфраструктуры (Рамочная программа NIST).

4.3 Следует ссылаться на самое последнее издание любого используемого руководства или стандартов.

____________________

 

 

 

 


*     Дополнительные методические указания и стандарты перечислены в качестве неисчерпывающей ссылки на дополнительную подробную информацию для пользователей данного Руководства. Указанные руководства и стандарты не были выпущены Организацией, и их использование остается на усмотрение отдельных пользователей данного Руководства.


I:\CIRC\MSC-FAL\1\MSC-FAL.1-Circ.3-Rev.1.docx 

 

 


МКБ — Морской Комитет по Безопасности, исполнительный орган при Международной Морской Организации — ИМО.

 


@ Перевод и оформление «Балтийский Ллойд»

Для связи