Подробный разбор по теме в нашем закрытом телеграмм канале ВЭД Логика. В чате можно задать вопрос, посоветоваться с экспертами, поделиться новостью.
Нормативно-правовая база в области морской кибербезопасности продолжает развиваться для борьбы с постоянно меняющимся ландшафтом киберугроз. В этой последней статье из серии статей о кибербезопасности Закона о безопасности морского транспорта (MTSA) технический директор по кибербезопасности Марко Айяла обсуждает, почему соблюдение последних нормативных требований и требований соответствия имеет решающее значение для портовых морских организаций для защиты их критически важной инфраструктуры и операций.
Управление, направленное на сдерживание киберугроз, имеет решающее значение и предполагает участие всей организации, работающей над поддержанием управления киберрисками как культуры безопасности. Несмотря на то, что у каждой организации свой склонность к риску, каждая из них может предпринять ряд ключевых шагов, чтобы соответствовать последним нормативным требованиям и требованиям соответствия.
Из набора инструментов морской кибербезопасности Центра знаний
Содержание
- 1 Путь к соблюдению требований кибербезопасности
- 1.1 Практические рекомендации по соблюдению требований MTSA
- 1.1.1 1. Определите лидера в области кибербезопасности:
- 1.1.2 2. Определите уязвимости и средства защиты кибербезопасности:
- 1.1.3 3. Сопоставьте уязвимости физической безопасности с уязвимостями кибербезопасности:
- 1.1.4 4. Сотрудничество между сотрудником службы безопасности объекта (FSO) и руководством по кибербезопасности
- 1.1.5 5. Понимание ИТ- и OT-систем:
- 1.1.6 6. Регулярные проверки соответствия:
- 1.1.7 7. Внутренние политики и процедуры:
- 1.1.8 8. Программы обучения и повышения осведомленности:
- 1.1.9 9. Планирование реагирования на инциденты:
- 1.1.10 10. Сторонние оценки:
- 1.1 Практические рекомендации по соблюдению требований MTSA
- 2 ABS Consulting – Как мы помогаем
Путь к соблюдению требований кибербезопасности
Кибербезопасность — это непрерывный процесс, и морские портовые организации должны постоянно отслеживать возникающие угрозы, обновлять меры безопасности и адаптироваться к меняющимся требованиям соответствия, чтобы опережать киберриски.
Практические рекомендации по соблюдению требований MTSA
1. Определите лидера в области кибербезопасности:
Организации должны определить лицо или группу, обладающие полномочиями и знаниями о морских системах с поддержкой кибербезопасности и средствах защиты от кибербезопасности на объекте, чтобы создать план кибербезопасности.
2. Определите уязвимости и средства защиты кибербезопасности:
Основанный на структуре кибербезопасности (CSF) Национального института стандартов и технологий (NIST) или других признанных стандартах, план кибербезопасности должен учитывать уязвимости и средства защиты в первую очередь на программном, политическом и техническом уровнях.
3. Сопоставьте уязвимости физической безопасности с уязвимостями кибербезопасности:
План кибербезопасности должен устранять уязвимости кибербезопасности, связанные с физическими уязвимостями, выявленными в ходе оценки безопасности объекта.
4. Сотрудничество между сотрудником службы безопасности объекта (FSO) и руководством по кибербезопасности
Эффективное сотрудничество между FSO и руководством кибербезопасности имеет важное значение для облегчения планирования и защиты от кибератак.
5. Понимание ИТ- и OT-систем:
Понимание и документирование взаимосвязанных систем на объекте, включая системы информационных технологий (ИТ) и операционных технологий (OT), имеет решающее значение для планирования и защиты от кибератак.
6. Регулярные проверки соответствия:
Морские портовые организации проводят регулярные внутренние проверки соответствия, чтобы оценить соответствие своей практики кибербезопасности соответствующим нормам и рекомендациям. Аудит помогает выявить пробелы и обеспечить соответствие последним требованиям.
7. Внутренние политики и процедуры:
Организации должны разрабатывать и внедрять внутренние политики и процедуры, соответствующие нормативным стандартам. Эти документы служат руководством для сотрудников по вопросам кибербезопасности, отчетности об инцидентах и протоколов реагирования.
8. Программы обучения и повышения осведомленности:
Крайне важно информировать сотрудников о рисках кибербезопасности и передовом опыте. Регулярные учебные занятия и программы повышения осведомленности помогают сотрудникам понимать свою роль в защите конфиденциальной информации и соблюдении руководящих принципов соответствия.
9. Планирование реагирования на инциденты:
Создание надежного плана реагирования на инциденты помогает организациям эффективно реагировать на инциденты кибербезопасности. Специально разработанные тренировки по реагированию на инциденты и кабинетные учения проверяют готовность организации противостоять потенциальным угрозам.
10. Сторонние оценки:
Привлечение внешних фирм по кибербезопасности для независимых оценок помогает организациям выявить уязвимости и области для улучшения. Эти оценки дают объективное представление о состоянии безопасности организации.
ABS Consulting – Как мы помогаем
В ABS Consulting наша команда экспертов морской кибериндустрии помогает клиентам понять взаимосвязь между операциями и кибербезопасностью системы, а также то, что требуется в организации для соответствия новым стандартам и соответствия новейшим нормативным требованиям и требованиям соответствия.
Мы делаем это несколькими способами, в том числе:
Проведение оценки рисков
Организациям с более низким уровнем зрелости мы помогаем провести базовую оценку рисков, в которой описывается архитектура судна или портового сооружения для выявления потенциальных рисков. Посредством оценки и выявления критически важных активов мы предоставляем рекомендации по эксплуатации и технической инфраструктуре.
Разработка планов кибербезопасности
ABS Consulting поддерживает морскую отрасль на протяжении всего пути обеспечения кибербезопасности: от первоначальной оценки до управления активами, управления конфигурациями, управления уязвимостями, а также планирования и реализации управления обнаружением и реагированием.
Обучение ключевого персонала
Соблюдение новых правил требует более высокого уровня знаний, включая глубокое понимание кибербезопасности и морских операций. Это включает в себя значительную подготовку и повышение квалификации в таких областях, как инженерное дело и эксплуатация, как в порту, так и на море.
Работа с регулирующими органами
Сотрудничество между владельцами активов, операторами, поставщиками и регулирующими органами, такими как Береговая охрана США, необходимо для более эффективного внедрения правил.
ABS Consulting признана лучшей в мире фирмой по управленческому консалтингу по версии Forbes и является надежным консультантом, опирающимся на более чем 50-летний опыт работы в области безопасности и управления рисками в морском секторе. Мы поможем вашей организации:
- Управление отношениями с поставщиками – наши команды способствуют диалогу с поставщиками, позволяя владельцам активов лучше управлять ожиданиями и процессами взаимодействия с поставщиками для соблюдения новых правил.
- Работа с регулирующими органами – Наша команда помогает клиентам ориентироваться в нормативных требованиях, сотрудничая с владельцами активов, операторами, поставщиками и регулирующими органами (такими как USCG), чтобы помочь более эффективно внедрять нормативные требования.
