Задължително управление на киберриска за корабите и компаниите
Задължително управление на киберриска, не по-късно от първия годишен преглед за заверка на Документа за съответствие на компанията след 01.01.2021г.
Съгласно Резолюция MSC.428(98) Maritime Cyber Risk Management In Safety Management Systems, компаниите трябва да внедрят управление на киберриска не по-късно от първия годишен преглед за заверка на Документа за съответствие с изискванията на Международния кодекс за управление на безопасната експлоатация на кораби и предотвратяване на замърсяването (ISM Code) след 01.01.2021г. След тази дата компаниите трябва ефективно да управляват киберриска изпълнявайки целите и функционалните изисквания на ISM кодекса.
MSC-FAL.1/Circ.3 Guidelines on maritime cyber risk management дава важни препоръки относно елементите и правилния подход при внедряване на управлението на киберриска в Системата за управление на безопасната експлоатация на кораби и предпазване от замърсяване (за по-кратко Система за Управление на Безопасността на Корабите (СУБК)).
С цел да предложат на компаниите начин, по който да имплементират ефективно управление на киберриска на борда на корабите, световно признатите морски организации ICS, BIMCO, InterManager, INTERCARGO, INTERTANKO, IUMI, OCIMF и WSC публикуваха съвместно Насоки за киберсигурност на борда на корабите (Guidelines on Cyber Security Onboard Ships), съгласно които управлението на киберриска трябва да:
- Определи ролята и отговорностите на потребителите, ключовия персонал и ръководството на брега и на кораба
- Определи системите, активите, данните и функциите, нарушаването на които може да представлява риск за експлоатацията и безопасността на кораба
- Предвиди технически мерки и процедури за предотвратяване на киберинциденти и осигуряване на непрекъсната експлоатация
- Имплементира мерки за готовност за справяне с киберинциденти
Някои аспекти от управлението на киберриска могат да включват чувствителна за компанията или конфиденциална информация. Тази информация трябва да бъде защитена по подходящ начин и не следва да бъде включена в СУБК.
В съответствие с глава 8 от Международния кодекс за сигурност на корабите и пристанищните съоръжения, (ISPS Code), трябва да се извърши оценка на сигурността на кораба, която изисква определяне и оценка на ключовите операции на борда и свързаните с тях потенциални заплахи. Съгласно част B, параграф 8.3.5 от ISPS Code, оценката трябва да включва радио и телекомуникационните системи, включително компютърните системи и мрежи. Това може да наложи в Корабния План за Сигурност (КПС) да бъдат добавени подходящи мерки за защита както на оборудването, така и на комуникационните връзки. Поради ускореното развитие и появата на нови цифрови системи, е препоръчително това да стане чрез препратки към СУБК, за да се осигури бързо актуализиране при необходимост.
Как да внедрим управление на киберриска в Системата за управление на безопасната експлоатация на кораби и предпазване от замърсяване?
Целта на тази публикация е да помогне на служителите в офиса и корабните екипажи, като предаде в систематизиран и разбираем вид, как и защо трябва да бъде актуализирана СУБК. В нея са разгледани насоките дадени в Guidelines on Cyber Security Onboard Ships за удовлетворяване на изискванията на ISM Code и MSC-FAL.1/Circ.3 при имплементиране на управлението на киберриска в СУБК.