Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Правила № 2-020101-174 от 01.07.2024

Правила классификации и постройки морских судов часть XXI

2.3. Подтверждение соответствия.

Для проведения оценки соответствия по документу войдите в систему.

Список требований

2. Киберустойчивость судов
2.3. Подтверждение соответствия.
Для оценки соответствия требованиям настоящей части Регистром производится рассмотрение документации и выполняются освидетельствования на соответствующих этапах как указано ниже.
Документация, представляемая поставщиками на одобрение Регистру, указана в разд. 3. Поставщик должен представлять одобренную документацию системному интегратору в соответствии с требованиями 3.5.2.
Документация, представляемая системным интегратором, указана в 2.3.1 и 2.3.2.
Документация, представляемая судовладельцем, указана в 2.2.3.
При сдаче судна, системный интегратор передает судовладельцу:
- документацию от поставщиков КС (см. 3.5.2);
- документацию, разработанную системным интегратором (см. 2.3.1 и 2.3.2). (См. также приложения 1 и 2).
2.3.1. Этапы проектирования и постройки.
Поставщик должен подтвердить соответствие требованиям путем сертификации КС согласно 3.5.
Системный интегратор должен подтвердить соответствие требованиям, представив Регистру документацию, указанную ниже.
На этапах проектирования и постройки все изменения проекта должны осуществляться в соответствии с требованиями по управлению изменениями (см. 7.9.6.2.1 части XV «Автоматизация»).
2.3.1.1. Схема зон безопасности и каналов связи.
Содержание этого документа указано в 2.2.2.1.3.1.
2.3.1.2. Описание мер обеспечения кибербезопасности.
Содержание этого документа указано в пунктах «этап проектирования» для каждого требования 2.2.
2.3.1.3. Ведомость судовых КС.
Содержание этого документа указано в 2.2.1.1
2.3.1.4. Оценка риска для исключения КС от применения требований.
Содержание этого документа указано в 2.4.
2.3.1.5. Описание компенсирующих мер.
Если какая-либо КС, входящая в область применения настоящей части, была одобрена с компенсирующими мерами вместо соответствия требованиям разд. 3, то в этом документе она должна быть обозначена с указанием отсутствующих функциональных возможностей обеспечения безопасности и детальным описанием компенсирующих мер (см. также 3.2.1.3), в документации поставщика должны описываться компенсирующие меры.
2.3.2. Этап ввода в эксплуатацию.
Перед передачей судна в эксплуатацию системный интегратор должен:
- представить Регистру актуализированную документацию проекта судна, указанную в 2.3.1;
- представить Регистру Программу испытаний киберустойчивости судна, описывающую методы подтверждения соответствия требованиям настоящей части;
- провести испытания по Программе испытаний киберустойчивости судна в присутствии инспектора РС.
2.3.2.1. Программа испытаний киберустойчивости судна:
1) содержание документа указано в пунктах «этап ввода в эксплуатацию» для каждого требования 2.2;
2) требуемые функциональные возможности обеспечения безопасности и их конфигурация проверяются и испытываются в процессе сертификации каждой КС (см. разд. 3). В случае успешного проведения испытаний в ходе сертификации КС в соответствии с разд. 3 допускается не проводить отдельные испытания на этапе ввода в эксплуатацию, если это явным образом указано в пунктах «этап ввода в эксплуатацию». Тем не менее Программа испытаний киберустойчивости судна должна включать в себя все испытания, а решение о возможности непроведения испытания принимается Регистром. Испытания должны проводиться, если по результатам сертификации имеются открытые замечания, перенесенные на этап ввода в эксплуатацию, или если выполнение требований обеспечивается при помощи компенсирующих мер, или по иным причинам, таким как внесение изменений в КС после завершения сертификации;
3) Программа испытаний киберустойчивости судна также должна включать в себя испытания компенсирующих мер, описанных в 2.3.1.2;
4) Программа испытаний киберустойчивости судна должна обеспечивать возможность регистрации и обновления результатов испытаний, а также содержать следующую информацию:
необходимую тестовую конфигурацию (для обеспечения возможности повторения испытаний с тем же результатом);
испытательное оборудование;
описание начального состояния;
пошаговую методику испытаний;
ожидаемые результаты и критерии успешного прохождения испытаний;
5) перед тем как направить в Регистр Программу испытаний киберустойчивости судна, системный интегратор должен удостовериться в том, что:
вся информация актуализирована и все изменения вносятся в соответствии с принятыми процедурами управления изменениями (см. 7.9.7.2 части XV «Автоматизация»);
Программа испытаний киберустойчивости судна приведена в соответствие с последними конфигурациями КС и сетей, соединяющими КС как между собой на борту судна, так и с другими КС, не находящимися на борту (например, на берегу);
испытания задокументированы таким образом, чтобы обеспечивалась проверка мер и средств, принятых для выполнения соответствующих требований настоящего раздела, в окончательной конфигурации судовых КС и сетей;
6) системный интегратор должен задокументировать контрольные испытания или оценку мер и средств безопасности на полностью сопряженных КС, включая управление изменениями конфигураций и отмечая в задокументированных результатах испытаний те случаи, когда на безопасное состояние судна могут негативно повлиять конкретные обстоятельства или отказы, указанные в Программе испытаний киберустойчивости судна;
7) испытания киберустойчивости судна проводятся только после завершения всех остальных пусконаладочных мероприятий КС;
8) Регистр может потребовать проведение дополнительных испытаний
2.3.3. Во время эксплуатации судна.
Судовладелец должен принять технические и организационные меры обеспечения безопасности, перечисленные в настоящем разделе.
Внесение изменений в КС, входящих в область применения настоящей части, должно выполняться в соответствии с требованиями к управлению изменениями (см. 7.9.7.12.1 части XV «Автоматизация»). Это включает в себя поддержание документации КС в актуальном состоянии.
Судовладелец при содействии поставщиков должен поддерживать в актуальном состоянии Программу испытаний киберустойчивости судна в соответствии с судовыми КС и сетями, соединяющими КС как между собой на борту судна, так и с другими КС, не находящимися на борту (например, на берегу). Судовладелец должен обновлять Программу испытаний киберустойчивости судна, учитывая изменения в судовых КС и сетях, появление возможных рисков, вызванных этими изменениями, новых угроз и уязвимостей, а также других возможных изменений эксплуатационных условий судна.
Судовладелец должен разработать и внедрить организационные процедуры, обеспечить периодическую подготовку и проведение обучения для экипажа судна и соответствующего берегового персонала, с целью их ознакомления с судовыми КС и сетями, соединяющими КС как между собой на борту судна, так и с другими КС, не находящимися на борту (например, на берегу) и надлежащим управлением мерами и средствами, принятыми для выполнения требований настоящей части.
Судовладелец при содействии поставщиков должен поддерживать в актуальном состоянии меры и средства, принятые для выполнения требований настоящей части.
Судовладелец должен хранить на борту копию результатов испытаний и актуальную Программу испытаний киберустойчивости судна, а также представлять эти документы Регистру.
В случае смены судовладельца, требуется проверка Программы кибербезопасности и киберустойчивости судна в объеме первого ежегодного освидетельствования.
2.3.3.1. Первое ежегодное освидетельствование:
1) до первого ежегодного освидетельствования судна судовладелец должен представить Регистру Программу кибербезопасности и киберустойчивости судна, в которой задокументировано управление кибербезопасностью и киберустойчивостью КС, входящих в область применения настоящей части;
2) Программа кибербезопасности и киберустойчивости судна должна включать в себя политики, процедуры, планы и/или другую информацию, описывающую процессы и мероприятия, указанные в пунктах «подтверждение соответствия» 2.2;
3) после того, как Программа кибербезопасности и киберустойчивости судна будет одобрена Регистром, на первом ежегодном освидетельствовании судовладелец должен подтвердить соответствие, представив записи или иные задокументированные свидетельства, подтверждающие внедрение процессов, описанных в одобренной Программе кибербезопасности и киберустойчивости судна.
2.3.3.2. Последующие ежегодные освидетельствования.
При последующих ежегодных освидетельствованиях по требованию Регистра судовладелец должен представить записи или иные задокументированные свидетельства, подтверждающие выполнение Программы кибербезопасности и киберустойчивости судна.
2.3.3.3. Очередное освидетельствование.
При возобновлении классификационного свидетельства судовладелец должен провести испытания по Программе испытаний киберустойчивости судна в присутствии инспектора РС. Определенные меры и средства безопасности должны быть продемонстрированы во время очередного освидетельствования, в то время как другие подлежат проверке в случае изменений в КС, как указано в пунктах «этап эксплуатации» 2.2.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.