Требования к минимальным знаниям - Морские вести России

Требования к минимальным знаниям

19.07.2023

Безопасность мореплавания

От мореходной астрономии до современных интегрированных навигационных систем

 

Как отмечалось ранее, недостаточная базовая подготовка капитана судна и ответственного за кибербезопасность на судне может быть причиной проблемных ситуаций как в период эксплуатации судна в море, так и при периодических проверках судна контролирующими безопасность судовождения организациями, а также инспекциями государственного портового контроля (ИГПК) при заходе судна в порт.

Дмитрий Гагарский, генеральный директор ООО «НАВГЕОЭКСПЕРТ», к.т.н.

 

16 вопросов кибербезопасности

 

На результат любой проверки влияет уровень профессионального общения проверяющего и ответственного за кибербезопасность на судне. В настоящее время нет единого стандартного регламента подобного общения, а обобщенные требования сформулированы в различных международных документах (IMO, IACS, CIRM, BIMCO т.д.). На основании таких документов официально приняты и опубликованы документы Российского морского регистра судоходства (РС).

Рекомендуется выделить перечень наиболее важных вопросов, которые должны обсуждаться на курсах повышения квалификации как командного состава судов, так и руководящего состава компаний, представителей сервисных служб, курсантов-практикантов, планирующих индивидуальную практику на судах.

В 2022 г. в ООО «НАВГЕОЭКСПЕРТ» (НГЭ) было организовано обучение на курсах повышения квалификации 5 групп ИГПК РФ по изучению основ кибербезопасности судна – 29 инспекторов из 20 портов РФ.

Учитывая опыт общения и высокий проявленный интерес к теме кибербезопасности, а также совместное обсуждение документов РС, испытательной лабораторией «НАВГЕОЭКСПЕРТ» рекомендован перечень вопросов кибербезопасности, который приведен в таблице 1.

 

Таблица 1

№ п/п

Вопрос

1.

Кто на судне является ответственной персоной за кибербезопасность?

2.

Есть ли на борту документация СУБ, где отражены требования по кибербезопасности, политика компании?

3.

Какие судовые системы относятся к I, II и III категориям обслуживания компьютеризированных систем, где их описание в судовых документах, включая их физическое расположение?

4.

Известна ли вам методика оценки риска судовых систем II и III категорий, где документированы результаты оценки рисков судовых систем?

5.

Как в оборудовании защищены USB-порты и осуществляется проверка USB-устройств?

6.

Есть ли информация о запасе пропускной способности оборудования в сетях передачи данных?

7.

Какой уровень готовности членов экипажа по предотвращению кибератак и киберинцидентов, организуются ли судовые учебные тревоги по кибербезопасности?

8.

Как организованы судовые мероприятия по решению вопросов кибербезопасности – идентификация, защита, обнаружение, реагирование, восстановление?

9.

В каком разделе документации СУБ находится опись элементов (сетевых устройств)?

10.

Имеется ли связь судно-берег для оборудования II и III категорий OT-систем? Как организована на судне работа шлюза сети 460, какие имеются демилитаризованные зоны?

11.

Какие периметры безопасности судовых систем есть на судне, как организована их работа и защита? Где находится описание периметров безопасности?

12.

Какую роль выполняет сервер приложений шлюза сети 460? Как организована антивирусная защита?

13.

Как организована настройка сетевых управляемых устройств, допуск к настройке сервисных инженеров?

14.

Как регистрируются на судне кибератаки и киберинциденты, учитываются ли при ежегодной оценке рисков?

15.

Как организовано хранение паролей?

16.

Есть ли на судне киберпаспорт?

Эти вопросы ориентированы на должностные лица ИГПК (PSC, FSC), а также могут быть использованы инспекторами РС, проверяющими техническое состояние судового оборудования, включающее ОТ и IT судовые системы.

Описание требований к минимальному уровню знаний по вопросам 1-12 имеются в документах РС. Вопросы 13-16 являются рекомендательными, т.к. имеют существенное отношение к киберзащищенности судовой сети.

Рекомендуемый НГЭ киберпаспорт судна (тема отдельного обсуждения) может дополнять «План действий в непредвиденных обстоятельствах (Contingency Plan)» (План управления кибербезопасностью), который есть на всех судах и проверяется инспекторами РС (в РФ) в соответствии с требованиями проверки документации МКУБ. Красивого и правильного оформления «Плана…» недостаточно в данном случае, т.к. необходим обязательный контроль соответствия документации и реального состояния оборудования.

Чтобы представителю судна профессионально общаться по этим вопросам с инспектором, необходимы минимальные знания и варианты ответов на вопросы рекомендуемой таблицы 1 с обеих сторон, т.е. инспектора и проверяемого. Такие профессиональные знания можно приобрести самостоятельно, что может представлять трудности, а можно получить на курсах повышения квалификации.

Для каждого инспектора основным документом, который может быть основой для предъявления какой-либо претензии или замечания, могут быть международные конвенции (МК), в которых к настоящему времени упоминание слова «кибербезопасность» отсутствует.

Ситуация кажется странной, т.к. документация есть, а соответствие состояния оборудования требованиям документации при ежегодных проверках в РФ не обязательны, но даже в случае обнаружения несоответствий замечание написать нельзя, т.к. ссылки могут быть только на МК.

Ситуация аналогична внедрению на флоте МКУБ, когда резолюция с понятием МКУБ появилась в 1993 г., а Руководство по внедрению в МКУБ принято и опубликовано в 1995 г. (рисунок 1).

Резолюция IMO – MSC.428 (98) «Управление киберугрозами в море в системах управления безопасностью» принята в 2017 г., прошло уже 6 лет, и национальные требования разных стран уже обязуют судовладельцев относиться к кибербезопасности более серьезно. В США, например, «необходимо отметить, что за нарушение данных требований предусмотрен гражданский штраф в размере не более $25 тыс. за каждый день, в течение которого продолжается нарушение. Однако при этом максимальная сумма не должна превышать $50 тыс.» (https://morvesti.ru/analitika/1692/88174).

Это объясняется тем, что национальные документы для морского флота в этой стране начали создаваться с 2015 г., т.е. еще до опубликования резолюции IMO.

 

Кибергигиена на судне

 

На рисунке 1 можно проследить развитие нормативной базы по МКУБ, внедрение понятий «аудиторская проверка управления безопасностью», «несоответствие», «существенное несоответствие», а также возможную аналогию развития кибергигиены на морских судах в соответствии с принятием международных и национальных документов. Тенденция внедрения таких требований будет распространяться и на речной флот, где оборудование тоже может быть современное, особенно на новострое.

 

Рисунок 1.

 

Учитывая, что судно может восприниматься не только как объект повышенной опасности, но и представлять опасность для береговой инфраструктуры в случае возможности управления с берега, требования по знаниям основ кибергигиены должны распространяться и на сотрудников береговых служб.

В странах могут приниматься свои нормативные требования кибергигиены, которые могут быть выше принятых международных. В качестве примера можно привести выпущенные Национальным институтом стандартов и технологий (NIST) США требования для инспекторов объектов береговой охраны, чтобы «продвигать культуру упреждающего управления киберрисками».

Предлагается список вопросов в количестве 77 по проверке уровня готовности служащих для решения вопросов кибербезопасности береговых объектов и судовых специалистов. Такой чек-лист может применяться как при трудоустройстве, так и при очередной проверке уровня готовности персоны.

Фрагмент подобного опросника приводится на рисунке 2, где желтым цветом выделена часть требований к судовым специалистам с комментариями выдержек из национальной нормативной базы. Такие комментарии (33 CFR 105.235/240/245)* позволяют организовывать самостоятельную подготовку, что значительно сокращает время обучения.

Предлагается обсудить рекомендованный НГЭ чек-лист (таблица 1) для подготовки и проверки уровня компетенции должностных лиц (инспекторов), принимающих участие в контроле состояния судна (РС, PSC, FSC), а также персон, ответственных за кибербезопасность на судне.

 

Рисунок 2.

 

Предлагаемые и изученные темы чек-листа позволят организовывать по желанию судовладельца необходимый внутренний (внешний) аудит, контролировать соответствие судовой СУБ документации «План управления кибербезопасностью» реальному состоянию сетевого судового оборудования, а также могут на начальном этапе изучения кибергигиены судового сетевого оборудования быть основой для формирования программ обучения в учебных заведениях и тренажерных центрах.

 

Морские вести России №7 (2023)

ПАО СКФ
IV ежегодная конференция ежегодная конференция: «SMART PORT: ЭФФЕКТИВНОСТЬ, БЕЗОПАСНОСТЬ, ЭКОЛОГИЧНОСТЬ»
Восточный Порт 50 лет
НПО Аконит
Подписка 2024
Вакансии в издательстве
Журнал Транспортное дело России
Морвести в ТГ

27.02.2024

Безопасность мореплавания

27.10.2023

Безопасность мореплавания

19.07.2023

Безопасность мореплавания

28.06.2023

Безопасность мореплавания