Куда я попал?
Правила № 2-020101-174 от 01.07.2024
Правила классификации и постройки морских судов часть XXI
2. Киберустойчивость судов
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2.2.1.1.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
- Ведомость судовых КС полностью актуализирована к моменту сдачи судна;
- все КС, входящие в область применения настоящей части, корректно отражены в
- Ведомости судовых КС;
- ПО КС, входящих в область применения настоящей части, регулярно обновляется.
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления изменениями для всех КС, входящих в область применения настоящей части, учитывающий как минимум следующие требования:
- управление изменениями (см. 2.3.3);
- изменения аппаратного и программного обеспечения (см. 2.2.1.1.2);
-
2) Схема зон безопасности и каналов связи должна отражать каким образом КС, входящие в область применения настоящей части, сгруппированы в зоны безопасности и включать в себя следующее:
- четкое обозначение зон безопасности;
- упрощенную схему КС, входящих в область применения настоящей части, с указанием зоны безопасности, к которой отнесена КС, и физического места расположения КС/оборудования;
- ссылки на одобренные ревизии топологических схем КС, предоставленных поставщиками (см. 3.2.1.2);
- отражение сетевых взаимодействий между системами в одной зоне безопасности;
- отражение любых сетевых взаимодействий между системами в различных зонах безопасности (каналов связи);
- отражение любых взаимодействий между системами в зоне безопасности и ненадежными сетями (каналов связи);
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления оборудованием, ограничивающим зоны безопасности (например, межсетевыми экранами), учитывающий как минимум следующие требования:
- принцип наименьшей функциональности (см. 2.2.2.2.1.3);
- разрешенный траффик (см. 2.2.2.1.1.2);
- защита от событий типа «отказ обслуживания» (denial of service (DoS)) (см. 2.2.2.2.1.2);
- проверка записей контроля безопасности (см. 2.2.3.1.2);
-
2.2.2.2.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и провести:
- испытания атаками типа «отказ в обслуживании» (DoS), направленных на оборудование защиты границ зон безопасности, если применимо;
- испытания типа «отказ в обслуживании» (DoS) для обеспечения защиты от чрезмерного потока данных, исходящего из каждого сегмента сети. Испытания на отказ обслуживания должны включать в себя испытания на «широковещательный шторм» (т.е. попытку использовать всю пропускную способность сегмента сети) и атаку прикладного уровня (т.е. попытку использовать всю вычислительную мощность выбранных узлов сети);
- проверку того, что неиспользуемые функции, порты, протоколы и службы КС удалены или запрещены в соответствии с рекомендациями поставщиков по усилению защиты (см. 3.4.7 и 3.5.3.4.7).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и провести:
-
2.2.2.2.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.2.2.3.3 в соответствии с Программой испытаний киберустойчивости судна.Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.3.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать эффективность одобренного антивредоносного ПО и/или компенсирующих мер (например, с помощью безопасного файла тестирования антивредоносного ПО).
-
1) в Программе кибербезопасности и киберустойчивости судна судовладелец должен описать процесс управления антивредоносной защитой, учитывающий как минимум следующие требования:
- обслуживание/обновление (см. 2.2.2.3.2);
- эксплуатационные процедуры, физические средства защиты (см. 2.2.2.3.2);
- использование носимых, переносных, съемных носителей информации (см. 2.2.2.4.2.4 и 2.2.2.7.2);
- управление доступом (см. 2.2.2.4);
-
2.2.2.4.2.4. Управление съемными носителями.
Должна быть внедрена политика использования съемных носителей, а также процедуры проверки съемных носителей на наличие вредоносного ПО и/или подтверждения подлинности ПО цифровыми подписями и водяными знаками, а также сканирования перед разрешением загрузки файлов в судовую систему или скачивания данных из судовой системы. с учетом требований 2.2.2.7. -
1) КС и соответствующая информация должны быть защищены при помощи списков контроля доступа (Access Control Lists (ACL)) для файловой системы, сети, приложения или базы данных. Учетные записи для экипажа и берегового персонала должны быть активными только в течение ограниченного периода времени в соответствии с ролью и обязанностями владельца учетной записи. Учетные записи должны удаляться, как только в них нет больше необходимости.
П р и м е ч а н и е . В соответствии с п. 1 табл. 3.3.1 КС должны идентифицировать и аутентифицировать пользователей – физических лиц. Нет необходимости уникальным образом идентифицировать и аутентифицировать всех пользователей – физических лиц; -
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления логическим и физическим доступом, учитывающий, как минимум, следующие требования:
- контроль физического доступа (см. 2.2.2.4.2.1);
- контроль физического доступа посетителей (см. 2.2.2.4.2.2);
- контроль физического доступа к точкам подключения к сети (см. 2.2.2.4.2.3);
- управление учетными данными (см. 2.2.2.4.2.5);
- политика наименьших привилегий (см. 2.2.2.4.2.6);
-
2) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления конфиденциальной информацией, учитывающий как минимум следующие требования:
- конфиденциальная информация (см. 2.2.1.1.2);
- информация доступная уполномоченному персоналу (см. 2.2.2.4.2);
- информация, передаваемая по беспроводной сети (см. 2.2.2.5.2);
-
4) последующие ежегодные освидетельствования.
По требованию Регистра судовладелец должен продемонстрировать выполнение Программы кибербезопасности и киберустойчивости судна, представив записи или иные задокументированные свидетельства, как указано в 2.2.2.4.3.4.3.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.5.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
- только разрешенные устройства могут получить доступ к беспроводной сети;
- используется безопасный протокол беспроводной связи, указанный в одобренной документации соответствующего поставщика (например, при помощи анализатора сетевых протоколов).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
-
2.2.2.5.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае изменений беспроводных сетей, входящих в область применения настоящей части, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.2.5.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.6.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- перечень КС, входящих в область применения настоящей части, которые взаимодействуют через границу зоны безопасности с ненадежными сетями, в том числе для предоставления удаленного доступа;
- описание соответствия требованиям 2.2.2.6.2 каждой КС, для которой эти требования применимы.
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
2.2.2.6.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
- связи с ненадежными сетями защищены в соответствии с 3.3.2, и что не могут быть согласованы менее защищенные версии протоколов связи (например, при помощи анализатора сетевых протоколов);
- для удаленного доступа необходима многофакторная аутентификация удаленного пользователя;
- установлено ограничение количества неудачных попыток входа в систему, и перед установлением сеанса связи удаленному пользователю предоставляется соответствующее уведомление;
- удаленное соединение осуществляется только после прямого подтверждения ответственным лицом на борту судна;
- сеанс удаленного доступа может быть прерван вручную с борта судна и в случае бездействия сеанс будет автоматически завершен;
- сеансы удаленного доступа регистрируются (п. 13 табл. 3.3.1);
- поставщиками предоставлены соответствующие инструкции и процедуры (см. 3.2.1.3).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления удаленным доступом и взаимодействия с ненадежными сетями, учитывающий как минимум следующие требования:
- руководство пользователя (см. 2.2.2.6.2);
- роли и разрешения (см. 2.2.2.6.2);
- патчи и обновления (см. 2.2.2.6.2.2);
- подтверждение перед удаленным обновлением ПО (см. 2.2.2.6.2.2);
- прерывание, отмена и возврат (см. 2.2.2.6.2.2);
-
2.2.2.7.1. Требование.
Использование носимых и переносных устройств в КС, входящих в область применения настоящей части, должно ограничиваться только необходимыми действиями и контролироваться в соответствии с п. 10 табл. 3.3.1. Порты ввода/вывода КС, не удовлетворяющих полностью вышеуказанным требованиям, должны быть физически заблокированы. -
2.2.2.7.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- определение всех КС, входящих в область применения настоящей части, но не отвечающих требованиям п. 10 табл. 3.3.1, т.е. тех КС, для которых необходима физическая блокировка портов
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления носимыми и переносными устройствами, учитывающий, как минимум, следующие требования:
- внедрение политики и процедур (см. 2.2.2.4.2.4);
- физическая блокировка портов ввода/вывода (см. 2.2.2.7.1);
- использование только уполномоченным персоналом (см. 2.2.2.7.3.3);
- подключение только разрешенных устройств (см. 2.2.2.7.3.3);
- учет рисков внедрения вредоносного ПО (см. 2.2.2.7.3.3);
-
1) системный интегратор должен включить проверку средств мониторинга и защиты сети в Программу испытаний киберустойчивости судна, а также продемонстрировать Регистру, что:
- при отключении сетевого соединения происходит срабатывание сигнала тревоги и регистрация события;
- при обнаружении аномально высокого сетевого трафика происходит срабатывание сигнала тревоги и регистрация события. Это испытание может проводиться совместно с испытанием, указанным в 2.2.4.4.3.3;
- КС будет безопасно реагировать на сценарии сетевого шторма, включая как одноадресную, так и многоадресную передачу (см. также 2.2.2.2.3.3);
- ведется журнал аудита (регистрация событий безопасности);
- система обнаружения вторжений (IDS) пассивная и не активирует защитные функции, которые могут повлиять на работу КС по прямому назначению (если используется система обнаружения вторжений (IDS)).
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должны быть описаны мероприятия по определению аномалий в КС и сетях, учитывающие как минимум следующие требования:
- выявление и распознавание аномальной активности (см. 2.2.3);
- проверка записей контроля безопасности (см. 2.2.3.1.2);
- инструкции или процедуры по обнаружению инцидента (см. 2.2.4.1.1);
-
4) очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.3.1.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должны быть описаны мероприятия по проверке правильности работы функций безопасности КС и сетей, учитывающие, как минимум, следующие требования:
- тестирование и техническое обслуживание (см. 2.2.3.2.2);
- периодическое обслуживание (см. 2.3.3.3);
-
3) последующие ежегодные освидетельствования.
По требованию Регистра судовладелец должен продемонстрировать выполнение Программы кибербезопасности и киберустойчивости судна, представив записи или иные задокументированные свидетельства, как указано в 2.2.3.2.3.4.2.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.4.1.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- ссылки на информацию, представленную поставщиками (см. 3.2.1.8), которая может быть использована судовладельцем при разработке плана действий в случае инцидента.
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан План действий в случае киберинцидента, учитывающий, как минимум, следующие требования:
- описание того, кто, когда и каким образом должен реагировать на киберинциденты в соответствии с требованиями 2.2.4.1;
- инструкции по местному/ручному управлению в соответствии с требованиями 2.2.4.2;
- инструкции по изолированию зон безопасности в соответствии с требованиями 2.2.4.3;
- описание ожидаемого поведения КС в случае киберинцидента в соответствии с требованиями 2.2.4.4;
-
3) последующие ежегодные освидетельствования.
По требованию Регистра судовладелец должен продемонстрировать выполнение Программы кибербезопасности и киберустойчивости судна, представив записи или иные задокументированные свидетельства, как указано в 2.2.4.1.3.4.2.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.4.2.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что обязательное местное управление, входящее в область применения настоящей части и необходимое для безопасной эксплуатации судна, может работать независимо от любых систем дистанционного или автоматического управления.
-
2.2.4.2.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.4.2.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.4.3.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае внесения изменений в КС судовладелец должен продемонстрировать выполнение требований 2.2.4.3.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.4.4.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна и продемонстрировать, что КС, входящие в область применения настоящей части, безопасным образом реагируют на киберинциденты (см. 2.2.4.4.3.1), например, поддерживая внешние подключения к службам ответственного назначения и предоставляя оператору функции управления и мониторинга альтернативными средствами. Испытания, как минимум, должны включать в себя DoS атаки и могут быть совмещены с испытаниями 2.2.3.1.3.3.
-
2.2.4.4.3.4. Этап эксплуатации.
- очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.4.4.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.5.1.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- ссылки на информацию, предоставленную поставщиками (см. 3.2.1.8), которая может быть полезна судовладельцу для разработки Плана восстановления в случае киберинцидента.
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должны быть описаны планы восстановления всех КС, входящих в область применения настоящей части, учитывающие, как минимум, следующие требования:
- описание кто, когда и каким образом восстанавливает КС в случае киберинцидента в соответствии с требованиями 2.2.5.1;
- политику резервного копирования с указанием периодичности, обслуживания и проверки резервных копий. Политика должна учитывать допустимое время простоя, доступность альтернативных средств управления, возможность поддержки изготовителя, критичность КС в соответствии с требованиями 2.2.5.2;
- ссылки на руководства пользователя или процедуры по резервному копированию, отключению, сбросу, восстановлению и повторному запуску КС в соответствии с требованиями 2.2.5.2 и 2.2.5.3;
-
3) последующие ежегодные освидетельствования.
По требованию Регистра судовладелец должен продемонстрировать выполнение Программы кибербезопасности и киберустойчивости судна, представив записи или иные задокументированные свидетельства, как указано в 2.2.5.1.3.4.2.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.5.2.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.5.2.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.5.3.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать наличие руководств пользователя или процедур по выполнению отключения, сброса, восстановления и повторного запуска КС, входящих в область применения настоящей части. Эти руководства/процедуры должны быть переданы судовладельцу.
-
2.2.5.3.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае изменений КС, входящих в область применения настоящей части, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.5.3.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.3. Подтверждение соответствия.
Для оценки соответствия требованиям настоящей части Регистром производится рассмотрение документации и выполняются освидетельствования на соответствующих этапах как указано ниже.
Документация, представляемая поставщиками на одобрение Регистру, указана в разд. 3. Поставщик должен представлять одобренную документацию системному интегратору в соответствии с требованиями 3.5.2.
Документация, представляемая системным интегратором, указана в 2.3.1 и 2.3.2.
Документация, представляемая судовладельцем, указана в 2.2.3.
При сдаче судна, системный интегратор передает судовладельцу: -
2.3.1. Этапы проектирования и постройки.
Поставщик должен подтвердить соответствие требованиям путем сертификации КС согласно 3.5.
Системный интегратор должен подтвердить соответствие требованиям, представив Регистру документацию, указанную ниже.
На этапах проектирования и постройки все изменения проекта должны осуществляться в соответствии с требованиями по управлению изменениями (см. 7.9.6.2.1 части XV «Автоматизация»). -
2.3.1.5. Описание компенсирующих мер.
Если какая-либо КС, входящая в область применения настоящей части, была одобрена с компенсирующими мерами вместо соответствия требованиям разд. 3, то в этом документе она должна быть обозначена с указанием отсутствующих функциональных возможностей обеспечения безопасности и детальным описанием компенсирующих мер (см. также 3.2.1.3), в документации поставщика должны описываться компенсирующие меры. -
Перед передачей судна в эксплуатацию системный интегратор должен:
- представить Регистру актуализированную документацию проекта судна, указанную в 2.3.1;
- представить Регистру Программу испытаний киберустойчивости судна, описывающую методы подтверждения соответствия требованиям настоящей части;
- провести испытания по Программе испытаний киберустойчивости судна в присутствии инспектора РС.
-
2) требуемые функциональные возможности обеспечения безопасности и их конфигурация проверяются и испытываются в процессе сертификации каждой КС (см. разд. 3). В случае успешного проведения испытаний в ходе сертификации КС в соответствии с разд. 3 допускается не проводить отдельные испытания на этапе ввода в эксплуатацию, если это явным образом указано в пунктах «этап ввода в эксплуатацию». Тем не менее Программа испытаний киберустойчивости судна должна включать в себя все испытания, а решение о возможности непроведения испытания принимается Регистром. Испытания должны проводиться, если по результатам сертификации имеются открытые замечания, перенесенные на этап ввода в эксплуатацию, или если выполнение требований обеспечивается при помощи компенсирующих мер, или по иным причинам, таким как внесение изменений в КС после завершения сертификации;
-
2.3.3.1. Первое ежегодное освидетельствование:
1) до первого ежегодного освидетельствования судна судовладелец должен представить Регистру Программу кибербезопасности и киберустойчивости судна, в которой задокументировано управление кибербезопасностью и киберустойчивостью КС, входящих в область применения настоящей части;
2) Программа кибербезопасности и киберустойчивости судна должна включать в себя политики, процедуры, планы и/или другую информацию, описывающую процессы и мероприятия, указанные в пунктах «подтверждение соответствия» 2.2;
3) после того, как Программа кибербезопасности и киберустойчивости судна будет одобрена Регистром, на первом ежегодном освидетельствовании судовладелец должен подтвердить соответствие, представив записи или иные задокументированные свидетельства, подтверждающие внедрение процессов, описанных в одобренной Программе кибербезопасности и киберустойчивости судна. -
2.3.3.3. Очередное освидетельствование.
При возобновлении классификационного свидетельства судовладелец должен провести испытания по Программе испытаний киберустойчивости судна в присутствии инспектора РС. Определенные меры и средства безопасности должны быть продемонстрированы во время очередного освидетельствования, в то время как другие подлежат проверке в случае изменений в КС, как указано в пунктах «этап эксплуатации» 2.2. -
2.4.1. Требование.
В случае если какая-либо КС, входящая в область применения настоящей части, исключается от применения соответствующих требований разд. 2, должна проводиться оценка рисков. Оценка рисков должна подтвердить приемлемый уровень риска, связанного с исключением КС от выполнения требований.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.