Уважаемые коллеги!
С 01.01.2021 г. вступает в силу требование ИМО о том, что киберриски должны быть учтены
в СУБ судоходной компании. Соответствие этим требованиям будет проверяться при первом
ежегодном освидетельствовании СУБ Компании после этой даты.
Это требование регламентировано следующими документами:
1. Резолюция ИМО MSC.428(98) от 16.06.2017 г. «Управление киберрисками в морской отрасли в рамках систем управления безопасностью».
2. Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».
Требования к судам под флагом Российской Федерации регламентированы Руководством РС НД № 2-030101-040:
Доказательством того, что вопросы управления кибербезопасностью учтены в СУБ и находятся в управляемых условиях можно считать следующее:
1. Компанией проведена оценка рисков, связанных с кибератаками или киберинцидентами, для обеспечения бесперебойной работы своих береговых подразделений и судов в соответствии с процедурами оценки рисков установленными в СУБ.
2. Управление киберрисками начинается на уровне высшего руководства.
В компании внедрена культура понимания киберрисков на всех уровнях организации для обеспечения гибкого режима устойчивости к кибератакам и киберинцидентам. Высшее руководство понимает важность оценки и управления киберрисками.
3. Компания разработала принципы защиты от кибератак и киберинцидентов, таких как отключение, взлом, внедрение вредоносных программ, блокировка компьютерных систем и т.д.
на основе оценки рисков. Эти принципы могут быть представлены в виде функциональных элементов, которые должны применяться на практике, работать непрерывно и одновременно в
рамках внедренной системы управления, а именно:
- Определены кадровые решения по управлению кибербезопасностью. Распределены функции и обязанности персонала по использованию и обслуживанию, установлена система доступа и правила использования.
- Определены данные и ресурсы, при сбое в работе которых возникают риски, связанные с выполнением судовых операций.
- Разработаны защитные меры, включая меры немедленного реагирования на случаи сбоев в работе компьютеризированных систем для обеспечения непрерывности выполнения
морских операций. - Разработаны и реализованы меры для своевременного обнаружения сбоев в работе
компьютеризированных систем. - Разработаны и внедрены мероприятия по восстановлению выполнения судовых
операций альтернативными методами в случае сбоев в работе компьютеризированных систем. - Определены меры по резервному копированию и восстановлению
компьютеризированных систем в случае нарушения их работы.
Более подробно с этими требованиями Вы можете ознакомиться в информационном бюллетене RMT ИБ-24/20.