" Н а у к а м о л о д ы х " , 2 6 н о я б р я 2 0 1 9 г . , А р з а м а с
П о с в я щ а е т с я 8 5 - л е т и ю в ы с ш е г о п е д а г о г и ч е с к о г о о б р а з о в а н и я в А р з а м а с е и
8 0 - л е т и ю п р о ф е с с о р а В я ч е с л а в а П а в л о в и ч а П у ч к о в а
400
Целью проведения оценки кибербезопасности является подход к
управлению рисками, связанных с субъектами угроз, которые имеют
отношение к оцениваемому судну, для оценки и снижения этих рисков.
Преимущества применения такого подхода состоит в том, что риски
кибербезопасности могут быть приоритетными, что позволяет делать
соответствующие и пропорциональные инвестиции в портфель средств
контроля безопасности для снижения рисков с потенциально наибольшим
воздействием.
Оценка безопасности должна проводиться в соответствии со стандартами
безопасности судна. Целью их является, главным образом, выявление
уязвимостей в мерах физической и кадровой безопасности и бизнес-процессов
компании или судна, которые могут привести к инциденту безопасности.
Предполагается, что оценка кибербезопасности должна опираться на
существующие оценки безопасности.
Оценки кибербезопасности должны охватывать судно как полную
киберфизическую систему и включать:
1) оценка основных активов и инфраструктуры (например, объектов,
систем, данных), которые считаются важными для защиты, и систем
внешней инфраструктуры, от которых они зависят;
2) идентификация бизнес-процессов судна с использованием активов и
инфраструктуры, чтобы оценить их критичность и понять любые
внутренние и внешние зависимости;
3) выявление и оценка рисков, возникающих в связи с возможными
угрозами активам и инфраструктуре, уязвимостями и вероятностью их
возникновения, с тем чтобы установить необходимость и определить
приоритеты мер безопасности;
4) идентификация, оценка, выбор и установление приоритетов мер
безопасности и процедурных изменений, исходя из их стоимости, уровня
эффективности в снижении риска и любого воздействия на работу судна;
5) определение приемлемости общего остаточного риска, включая
человеческий фактор, и слабых сторон в инфраструктуре и процедурах, на
основе выбранного набора средств контроля безопасности.
Если эти оценки не охватывают весь спектр потенциальных угроз
кибербезопасности, то компания или судно должны подготовить такую оценку,
в которую будет включен каждый из перечисленных аспектов.
В соответствии с положениями ИМО Резолюции MSC.428(98) от
16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем
управления безопасностью", Комитет по безопасности на море
(Maritime Safety Committee - MSC):
1)
подтверждает,
что
в
утвержденной системе
управления
безопасностью должно учитываться управление киберрисками в соответствии
с целями и функциональными требованиями МКУБ;