Куда я попал?
Правила № 2-020101-174 от 01.07.2024
Правила классификации и постройки морских судов часть XXI
п. 2.2.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2) Схема зон безопасности и каналов связи должна отражать каким образом КС, входящие в область применения настоящей части, сгруппированы в зоны безопасности и включать в себя следующее:
- четкое обозначение зон безопасности;
- упрощенную схему КС, входящих в область применения настоящей части, с указанием зоны безопасности, к которой отнесена КС, и физического места расположения КС/оборудования;
- ссылки на одобренные ревизии топологических схем КС, предоставленных поставщиками (см. 3.2.1.2);
- отражение сетевых взаимодействий между системами в одной зоне безопасности;
- отражение любых сетевых взаимодействий между системами в различных зонах безопасности (каналов связи);
- отражение любых взаимодействий между системами в зоне безопасности и ненадежными сетями (каналов связи);
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления оборудованием, ограничивающим зоны безопасности (например, межсетевыми экранами), учитывающий как минимум следующие требования:
- принцип наименьшей функциональности (см. 2.2.2.2.1.3);
- разрешенный траффик (см. 2.2.2.1.1.2);
- защита от событий типа «отказ обслуживания» (denial of service (DoS)) (см. 2.2.2.2.1.2);
- проверка записей контроля безопасности (см. 2.2.3.1.2);
-
2.2.2.2.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и провести:
- испытания атаками типа «отказ в обслуживании» (DoS), направленных на оборудование защиты границ зон безопасности, если применимо;
- испытания типа «отказ в обслуживании» (DoS) для обеспечения защиты от чрезмерного потока данных, исходящего из каждого сегмента сети. Испытания на отказ обслуживания должны включать в себя испытания на «широковещательный шторм» (т.е. попытку использовать всю пропускную способность сегмента сети) и атаку прикладного уровня (т.е. попытку использовать всю вычислительную мощность выбранных узлов сети);
- проверку того, что неиспользуемые функции, порты, протоколы и службы КС удалены или запрещены в соответствии с рекомендациями поставщиков по усилению защиты (см. 3.4.7 и 3.5.3.4.7).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и провести:
-
2.2.2.2.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае внесения изменений в КС, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.2.2.3.3 в соответствии с Программой испытаний киберустойчивости судна.Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.3.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать эффективность одобренного антивредоносного ПО и/или компенсирующих мер (например, с помощью безопасного файла тестирования антивредоносного ПО).
-
1) в Программе кибербезопасности и киберустойчивости судна судовладелец должен описать процесс управления антивредоносной защитой, учитывающий как минимум следующие требования:
- обслуживание/обновление (см. 2.2.2.3.2);
- эксплуатационные процедуры, физические средства защиты (см. 2.2.2.3.2);
- использование носимых, переносных, съемных носителей информации (см. 2.2.2.4.2.4 и 2.2.2.7.2);
- управление доступом (см. 2.2.2.4);
-
2.2.2.4.2.4. Управление съемными носителями.
Должна быть внедрена политика использования съемных носителей, а также процедуры проверки съемных носителей на наличие вредоносного ПО и/или подтверждения подлинности ПО цифровыми подписями и водяными знаками, а также сканирования перед разрешением загрузки файлов в судовую систему или скачивания данных из судовой системы. с учетом требований 2.2.2.7. -
1) КС и соответствующая информация должны быть защищены при помощи списков контроля доступа (Access Control Lists (ACL)) для файловой системы, сети, приложения или базы данных. Учетные записи для экипажа и берегового персонала должны быть активными только в течение ограниченного периода времени в соответствии с ролью и обязанностями владельца учетной записи. Учетные записи должны удаляться, как только в них нет больше необходимости.
П р и м е ч а н и е . В соответствии с п. 1 табл. 3.3.1 КС должны идентифицировать и аутентифицировать пользователей – физических лиц. Нет необходимости уникальным образом идентифицировать и аутентифицировать всех пользователей – физических лиц; -
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления логическим и физическим доступом, учитывающий, как минимум, следующие требования:
- контроль физического доступа (см. 2.2.2.4.2.1);
- контроль физического доступа посетителей (см. 2.2.2.4.2.2);
- контроль физического доступа к точкам подключения к сети (см. 2.2.2.4.2.3);
- управление учетными данными (см. 2.2.2.4.2.5);
- политика наименьших привилегий (см. 2.2.2.4.2.6);
-
2) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления конфиденциальной информацией, учитывающий как минимум следующие требования:
- конфиденциальная информация (см. 2.2.1.1.2);
- информация доступная уполномоченному персоналу (см. 2.2.2.4.2);
- информация, передаваемая по беспроводной сети (см. 2.2.2.5.2);
-
4) последующие ежегодные освидетельствования.
По требованию Регистра судовладелец должен продемонстрировать выполнение Программы кибербезопасности и киберустойчивости судна, представив записи или иные задокументированные свидетельства, как указано в 2.2.2.4.3.4.3.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.5.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
- только разрешенные устройства могут получить доступ к беспроводной сети;
- используется безопасный протокол беспроводной связи, указанный в одобренной документации соответствующего поставщика (например, при помощи анализатора сетевых протоколов).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
-
2.2.2.5.3.4. Этап эксплуатации:
- очередное освидетельствование.
В случае изменений беспроводных сетей, входящих в область применения настоящей части, судовладелец должен продемонстрировать Регистру выполнение требований 2.2.2.5.3.3 в соответствии с Программой испытаний киберустойчивости судна.
Общие требования к освидетельствованиям во время эксплуатации судна содержатся в 2.3.3. -
2.2.2.6.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- перечень КС, входящих в область применения настоящей части, которые взаимодействуют через границу зоны безопасности с ненадежными сетями, в том числе для предоставления удаленного доступа;
- описание соответствия требованиям 2.2.2.6.2 каждой КС, для которой эти требования применимы.
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
2.2.2.6.3.3. Этап ввода в эксплуатацию:
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
- связи с ненадежными сетями защищены в соответствии с 3.3.2, и что не могут быть согласованы менее защищенные версии протоколов связи (например, при помощи анализатора сетевых протоколов);
- для удаленного доступа необходима многофакторная аутентификация удаленного пользователя;
- установлено ограничение количества неудачных попыток входа в систему, и перед установлением сеанса связи удаленному пользователю предоставляется соответствующее уведомление;
- удаленное соединение осуществляется только после прямого подтверждения ответственным лицом на борту судна;
- сеанс удаленного доступа может быть прерван вручную с борта судна и в случае бездействия сеанс будет автоматически завершен;
- сеансы удаленного доступа регистрируются (п. 13 табл. 3.3.1);
- поставщиками предоставлены соответствующие инструкции и процедуры (см. 3.2.1.3).
- системный интегратор должен представить Регистру Программу испытаний киберустойчивости судна (см. 2.3.2.1) и продемонстрировать, что:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления удаленным доступом и взаимодействия с ненадежными сетями, учитывающий как минимум следующие требования:
- руководство пользователя (см. 2.2.2.6.2);
- роли и разрешения (см. 2.2.2.6.2);
- патчи и обновления (см. 2.2.2.6.2.2);
- подтверждение перед удаленным обновлением ПО (см. 2.2.2.6.2.2);
- прерывание, отмена и возврат (см. 2.2.2.6.2.2);
-
2.2.2.7.1. Требование.
Использование носимых и переносных устройств в КС, входящих в область применения настоящей части, должно ограничиваться только необходимыми действиями и контролироваться в соответствии с п. 10 табл. 3.3.1. Порты ввода/вывода КС, не удовлетворяющих полностью вышеуказанным требованиям, должны быть физически заблокированы. -
2.2.2.7.3.1. Этап проектирования:
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
- определение всех КС, входящих в область применения настоящей части, но не отвечающих требованиям п. 10 табл. 3.3.1, т.е. тех КС, для которых необходима физическая блокировка портов
- в Описание мер обеспечения кибербезопасности системным интегратором должна быть включена следующая информация:
-
1) в Программе кибербезопасности и киберустойчивости судна судовладельцем должен быть описан процесс управления носимыми и переносными устройствами, учитывающий, как минимум, следующие требования:
- внедрение политики и процедур (см. 2.2.2.4.2.4);
- физическая блокировка портов ввода/вывода (см. 2.2.2.7.1);
- использование только уполномоченным персоналом (см. 2.2.2.7.3.3);
- подключение только разрешенных устройств (см. 2.2.2.7.3.3);
- учет рисков внедрения вредоносного ПО (см. 2.2.2.7.3.3);
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.