Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Правила № 2-020101-174 от 01.07.2024

Правила классификации и постройки морских судов часть XXI

3.5. Подтверждение соответствия

Для проведения оценки соответствия по документу войдите в систему.

Список требований

3. Киберустойчивость судовых систем и оборудования.
3.5. Подтверждение соответствия
3.5.1. Введение.
Поставщики совместно с системным интегратором должны определить, являются ли требования разд. 3 обязательными для КС (см. рис. 3.5.1-1).
Рис. 3.5.1-1
Являются ли требования разд. 3 обязательными для КС?
Если КС не входит в область применения, то не является обязательным.
Если КС входит в область применения, и если КС освобождена от требований по кибербезопасности, то не является обязательным.
Если КС входит в область применения, и если КС не освобождена от требований по кибербезопасности, то обязателен.
Должно быть продемонстрировано соответствие требованиям безопасности, как указано на рис. 3.5.1-2. Этот процесс классификации относится к конкретному судну и завершается выдачей свидетельства РС на систему.
Рис. 3.5.1-2
Демонстрация соответствия требованиям безопасности в рамках конкретного проекта.
Если КС имеет СТО, подтверждающее соответствие требованиям разд. 3, то идет процесс "Одобрение документации. Сокращённый пакет документов", и завершается выдачей "Свидетельство на систему (см. 7.9.5.2.7, часть XV «Автоматизация»)".
Если КС не имеет СТО, подтверждающее соответствие требованиям разд. 3, то идет процесс "Одобрение документации. полный комплект документов", далее процесс "Освидетельствование и заводские приемосдаточные испытания (FAT)", и завершается выдачей "Свидетельство на систему (см. 7.9.5.2.7, часть X V «Автоматизация»)".
Типовое одобрение является добровольным и применяется к КС, которые являются стандартными и изготавливаются в режиме установившегося производства. Требования к сертификации и типовому одобрению КС изложены в 7.9.5.2.4 части XV «Автоматизация».
Процессы, представленные на рис. 3.5.1-1 и 3.5.1-2, применяются также, если для навигационного оборудования и оборудования радиосвязи используются другие эквивалентные стандарты (см. 1.1.5). В таком случае:
- процесс на рис. 3.5.1-1 иллюстрирует, является ли эквивалентный стандарт обязательным (вместо требований разд. 3).
- процесс на рис. 3.5.1-2 иллюстрирует, что процесс сертификации может быть сокращен, если КС имеет СТО в соответствии с эквивалентным стандартом.
3.5.2. Одобрение документации.
Одобрение документации — это оценка документов КС, предназначенных для конкретного судна. Документы, указанные в 3.2, должны быть представлены поставщиком с целью подтверждения соответствия требованиям настоящего раздела.
Если КС имеет действующее СТО РС, подтверждающее соответствие требованиям настоящего раздела, поставщик может представить Регистру сокращенный комплект документов, относящихся к конкретному судну (см. приложение 3).
Одобренная версия документов должна быть включена в комплект поставки КС системному интегратору.
3.5.3. Освидетельствование и заводские приемо-сдаточные испытания.
Освидетельствование и заводские приемо-сдаточные испытания (factory acceptance test (FAT)) — это проверка КС, поставляющейся на конкретное судно и не имеющей действующего СТО РС, подтверждающего соответствие требованиям настоящего раздела.
Освидетельствование и FAT проводятся с целью подтверждения при помощи испытаний и/или аналитической оценки соответствия КС применимым требованиям настоящего раздела. Освидетельствование и FAT проводятся на предприятии поставщика или на других предприятиях, имеющих соответствующее оборудование для проведения испытаний и проверок.
После завершения одобрения документации и освидетельствования с положительным результатом Регистр выдаст свидетельство на систему, которое должно сопровождать КС при поставке системному интегратору.
3.5.3.1. Общие элементы освидетельствования.
Поставщик должен продемонстрировать, что проектирование, изготовление и внутренние испытания были завершены. Также должно быть продемонстрировано, что поставляемая система соответствует одобренной документации. Это должно быть сделано путем проверки системы и сравнения компонентов и расположения/архитектуры с Ведомостью КС (см. 3.2.1.1) и топологическими схемами (см. 3.2.1.2).
3.5.3.2. Испытания функциональных возможностей обеспечения безопасности.
Поставщик должен провести испытания требуемых функциональных возможностей обеспечения безопасности поставляемой системы. Испытания должны проводиться в соответствии с одобренной программой испытаний, указанной в 3.2.1.4, в присутствии инспектора РС.
Испытания должны продемонстрировать инспектору РС, что все требования выполнены. Испытание идентичных компонентов как правило не требуется.
3.5.3.3. Правильная конфигурации функциональных возможностей обеспечения безопасности.
Поставщик должен продемонстрировать инспектору РС, что параметры безопасности в компонентах системы сконфигурированы в соответствии с рекомендациями, приведенными в 3.2.1.5. Эта демонстрация может быть проведена совместно с проверкой функциональных возможностей обеспечения безопасности.
Параметры безопасности должны быть задокументированы в отчете, например, в руководстве по конфигурации для конкретного судна.
3.5.3.4. Жизненный цикл безопасной разработки.
Поставщик должен, согласно документации, указанной в 3.2.1.6, продемонстрировать соответствие требованиям к жизненному циклу безопасной разработки, изложенным в 3.4.
3.5.3.4.1. Средства управления закрытыми ключами (см. IEC 62443-4-1:2018/SM-8).
Это требование применяется, если система включает в себя ПО, имеющее цифровую подпись с целью предоставления пользователю возможности проверить его подлинность.
Поставщик должен представить документацию по системе менеджмента, подтверждающую наличие политик, процедур и технических средств контроля для защиты от несанкционированного доступа создания, хранения и использования закрытых ключей, используемых для написания кода.
Политики и процедуры должны определять роли, обязанности и рабочие процессы. Технический контроль должен включать, например, ограничение физического доступа и криптографическое оборудование (например, аппаратный модуль безопасности) для хранения закрытого ключа.
3.5.3.4.2. Документация по обновлениям безопасности (см. IEC 62443-4-1:2018/SUM-2).
Поставщик должен представить документацию по системе менеджмента, подтверждающую, что в организации внедрен процесс, обеспечивающий информирование пользователей об обновлениях системы безопасности. Информация для пользователей должна включать элементы, перечисленные в 3.4.2.
3.5.3.4.3. Документация по обновлениям безопасности зависимых компонентов (см. IEC 62443-4-1:2018/SUM-3).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.3, подтверждающую, что в организации внедрен процесс, гарантирующий информирование пользователей о том, совместима ли система с обновленными версиями приобретенного ПО в системе (новые версии/патчи операционной системы или микропрограммы). Информация должна касаться того, как управлять рисками, связанными с неприменением обновленного приобретенного ПО
3.5.3.4.4. Поставка обновлений безопасности (см. IEC 62443-4-1:2018/SUM-4).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.4, подтверждающую, что в организации внедрен процесс, обеспечивающий доступность обновлений безопасности системы для пользователей и описывающий, как пользователь может проверить подлинность обновленного ПО.
3.5.3.4.5. Эшелонированная защита изделия (см. IEC 62443-4-1:2018/SG-1).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.5, подтверждающую, что в организации внедрен процесс по документированию стратегии мер эшелонированной защиты с целью снижения угроз безопасности ПО в КС во время установки, технического обслуживания и эксплуатации.
Примерами угроз могут быть установка несанкционированного ПО, слабые места в процессе исправления, вмешательство в ПО на этапе эксплуатации судна.
3.5.3.4.6. Меры эшелонированной защиты, в ожидаемых условиях внешней среды работы (см. IEC 62443-4-1:2018/SG-2).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.6, подтверждающую, что в организации внедрен процесс документирования мер эшелонированной защиты, которые, как ожидается, будут обеспечены внешней средой, таких как физическое расположение, политика и процедуры.
3.5.3.4.7. Рекомендации по усилению безопасности (см. IEC 62443-4-1:2018/SG-3).
Поставщик должен представить документацию по системе менеджмента, в соответствии с требованиями 3.4.7, подтверждающую, что в организации внедрен процесс, гарантирующий разработку руководства по усилению безопасности системы. В руководстве должно быть указано, как уменьшить уязвимости в системе путем удаления/запрета/отключения ненужного ПО, учетных записей, служб и т.д.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.