Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Правила № 2-020101-174 от 01.07.2024

Правила классификации и постройки морских судов часть XXI

п. 3.5.3.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

3. Киберустойчивость судовых систем и оборудования.
3.5. Подтверждение соответствия
3.5.3. Освидетельствование и заводские приемо-сдаточные испытания.
Освидетельствование и заводские приемо-сдаточные испытания (factory acceptance test (FAT)) — это проверка КС, поставляющейся на конкретное судно и не имеющей действующего СТО РС, подтверждающего соответствие требованиям настоящего раздела.
Освидетельствование и FAT проводятся с целью подтверждения при помощи испытаний и/или аналитической оценки соответствия КС применимым требованиям настоящего раздела. Освидетельствование и FAT проводятся на предприятии поставщика или на других предприятиях, имеющих соответствующее оборудование для проведения испытаний и проверок.
После завершения одобрения документации и освидетельствования с положительным результатом Регистр выдаст свидетельство на систему, которое должно сопровождать КС при поставке системному интегратору.
3.5.3.4. Жизненный цикл безопасной разработки.
Поставщик должен, согласно документации, указанной в 3.2.1.6, продемонстрировать соответствие требованиям к жизненному циклу безопасной разработки, изложенным в 3.4.
3.5.3.4.1. Средства управления закрытыми ключами (см. IEC 62443-4-1:2018/SM-8).
Это требование применяется, если система включает в себя ПО, имеющее цифровую подпись с целью предоставления пользователю возможности проверить его подлинность.
Поставщик должен представить документацию по системе менеджмента, подтверждающую наличие политик, процедур и технических средств контроля для защиты от несанкционированного доступа создания, хранения и использования закрытых ключей, используемых для написания кода.
Политики и процедуры должны определять роли, обязанности и рабочие процессы. Технический контроль должен включать, например, ограничение физического доступа и криптографическое оборудование (например, аппаратный модуль безопасности) для хранения закрытого ключа.
3.5.3.4.2. Документация по обновлениям безопасности (см. IEC 62443-4-1:2018/SUM-2).
Поставщик должен представить документацию по системе менеджмента, подтверждающую, что в организации внедрен процесс, обеспечивающий информирование пользователей об обновлениях системы безопасности. Информация для пользователей должна включать элементы, перечисленные в 3.4.2.
3.5.3.4.3. Документация по обновлениям безопасности зависимых компонентов (см. IEC 62443-4-1:2018/SUM-3).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.3, подтверждающую, что в организации внедрен процесс, гарантирующий информирование пользователей о том, совместима ли система с обновленными версиями приобретенного ПО в системе (новые версии/патчи операционной системы или микропрограммы). Информация должна касаться того, как управлять рисками, связанными с неприменением обновленного приобретенного ПО
3.5.3.4.4. Поставка обновлений безопасности (см. IEC 62443-4-1:2018/SUM-4).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.4, подтверждающую, что в организации внедрен процесс, обеспечивающий доступность обновлений безопасности системы для пользователей и описывающий, как пользователь может проверить подлинность обновленного ПО.
3.5.3.4.5. Эшелонированная защита изделия (см. IEC 62443-4-1:2018/SG-1).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.5, подтверждающую, что в организации внедрен процесс по документированию стратегии мер эшелонированной защиты с целью снижения угроз безопасности ПО в КС во время установки, технического обслуживания и эксплуатации.
Примерами угроз могут быть установка несанкционированного ПО, слабые места в процессе исправления, вмешательство в ПО на этапе эксплуатации судна.
3.5.3.4.6. Меры эшелонированной защиты, в ожидаемых условиях внешней среды работы (см. IEC 62443-4-1:2018/SG-2).
Поставщик должен представить документацию по системе менеджмента в соответствии с требованиями 3.4.6, подтверждающую, что в организации внедрен процесс документирования мер эшелонированной защиты, которые, как ожидается, будут обеспечены внешней средой, таких как физическое расположение, политика и процедуры.
3.5.3.4.7. Рекомендации по усилению безопасности (см. IEC 62443-4-1:2018/SG-3).
Поставщик должен представить документацию по системе менеджмента, в соответствии с требованиями 3.4.7, подтверждающую, что в организации внедрен процесс, гарантирующий разработку руководства по усилению безопасности системы. В руководстве должно быть указано, как уменьшить уязвимости в системе путем удаления/запрета/отключения ненужного ПО, учетных записей, служб и т.д.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.