常见问题
下面是一系列与网络安全相关的常见问题
点击问题阅读答案:
下面是一系列与网络安全相关的常见问题
点击问题阅读答案:
国际海事组织没有规定。胜任能力要求载于《ISM规则》和《海事劳工公约》(规例1.3)。此外,我们发现不言自明的是,公司和船上必须有负责网络安全的人员,以及他们之间的沟通,以确保持续合规和持续改进。从法律的角度来看,须由DoC持有人制定所需的措施。
该决定是通过ISM处理网络安全,众所周知,该代码目标中的风险评估和处理要求。当说到网络风险也可能影响安全(ISPS)和工作和生活条件(MLC)时,我们鼓励也考虑与这些相关的需求。我们建议DoC持有人通过一个系统处理要求和目标,这就是ISM规范所要求的安全管理系统(和系统分类)。
法定证书为SMC和DoC。任何缺陷都将在审计报告中发现,并作为其他缺陷处理。
国际海事组织决定从2021年1月1日之后的第一次年度公司(DoC)审计开始验证合规性。这将是评估合规性的起点。由于这将包括持续合规和持续改进的短信措施,系统评估实施和船上处理将保留,并包括网络安全。
国际海事组织将网络安全与ISM联系起来的决定意味着,网络安全必须在适用ISM规则的船舶上处理。船舶和公司面临的风险当然不限于这些船舶,因此我们也鼓励其他人识别和处理网络风险。
是的,为了处理网络安全和网络风险,我们希望你们通过安全管理系统采取有效措施,确保机上合规。随着大多数人使用个人设备,我们希望机上所有人都能参与进来,并在一定程度上意识到这一点。此外,船上还必须有专门负责网络安全的机组人员,在某种程度上,这也必须包括其他人。在哪里划定界限和建立组织必须是SMS修订的一部分,你必须考虑到也要注意执行风险评估的结果。
在ISM规范和MLC中有能力要求,必须遵守。到目前为止还没有必修课。
在2020年的审计中,DNV的目标是提高网络安全意识,但从2021年1月1日起,这将成为一个标准的审计项目,缺陷将被标记为任何其他缺陷。
如果您通过DNV无缝管理系统(包括ISO 27001)的范围内的服务进行了合并,我们将确保在一次审计中充分利用重叠并发挥协同作用。如果没有无缝交付,那么将进行两次审核,并且始终是法定的ISM/DoC审核,以验证合规性,并通过该审核颁发所需的法定证书。
对风险的处理一直是ISM规范的要求,新的是,国际海事组织在2017年将网络安全确定为一种风险,并要求从2021年1月1日之后的第一次年度DoC审计开始,通过安全管理系统对处理进行验证
网络安全等级符号是一种自愿附加符号,用于证明船舶的网络安全弹性。但是,Class符号可以是一个很好的工具,用于证明符合其他强制性法规和商业需求。
各行各业在网络安全方面使用了大量不同的标准。我们选择以海运业已经在使用的公认IEC标准为基础,如IEC62443(控制系统网络安全)和IEC61162-460(桥梁系统),以简化行业对规则的吸收,并为这些规则制定了海事和海上概况。IEC62443-2-1是我们程序要求的基础,也与更多用于信息技术(IT)系统的ISO27000标准保持一致。
此外,入门级网络安全等级符号(链接)反映IMO MSC.428(98)网络要求。我们还认为,网络安全等级符号级别与海事法规和租约要求完全一致。
除了(+)限定符外,网络安全类符号有三个主要级别。
1.入门级类符号网络安全解决了最关键的漏洞(安全配置文件0)。此外,该符号要求建立网络安全管理系统,以确保船舶安全运营,并满足IMO即将出台的MSC.428(98)决议。系统考虑的是10个基本和重要的船舶功能。
2.类符号网络安全(基本),以前称为基本,包括上述所有网络安全入门符号,但除此之外,还更详细地检查了控制系统,以确保安全配置文件1的安全控制/能力(针对偶然或巧合的网络安全威胁/违规提供全面保护)。
3.网络安全(高级)覆盖与基本范围相同的范围,但增加了安全级别(安全配置文件3)。这主要用于更复杂的新建项目,旨在使用复杂的手段和特定的控制系统技能防止故意违规。
4.如果额外的和/或其他系统被要求解决网络安全,该(+)限定符可以添加到以上三个级别中的任何一个。
DNV入门级网络安全等级符号(链接)反映了挪威船级社对IMO MSC.428(98)网络要求的解释。
为了在航行阶段保持船级标记,运营商/管理者需要证明其遵守了符合网络安全管理系统要求的程序和政策,LDsports火箭联盟DNVGL-RU-SHIP-Pt7-Ch1-Sec6-41(2020年7月)(链接)
由于船级规则是根据相关的船级社会制定的,网络安全船级符号适用于DNV规则。但是,我们选择将我们的规则建立在公认的IEC标准之上,以使其普遍适用。IACS内部也有调整网络要求的工作,这可能会调整整体结构,但不同的协会将自行决定如何在他们的规则中实施和执行它。
是的,DNV网络安全规则也适用于非DNV船级的船舶。船舶将获得符合规则的证书,而不是船级符号。在航行阶段的其他后续计划也需要建立。
默认情况下,我们的网络安全等级标识涉及维持基本船舶服务所需的基于软件的系统。
以下系统包括在范围内:
-与船舶推进有关的系统
-与船舶操舵有关的系统
-与船舶水密完整性相关的系统
-与船舶火灾探测和缓解有关的系统
-与船舶压载有关的系统
-与推进器相关的系统,不属于推进系统(如适用)
—系统相关发电
-与推进、转向和发电有关的辅助系统
-导航系统
-通讯系统
如果需要,还可以将其他控制系统添加到范围,请参见下面的网络安全(+)。
的(+)符号目的是在涉及到应用于类表示法的系统和安全需求时考虑灵活性。不带(+)的基本限定符具有10个基本和重要的船舶功能范围(推进,转向,发电,压载,消防,辅助推进器,基本辅助设备,导航和通信)。
你可以使用(+)限定符将一个系统添加到范围,即添加货运系统或钻井系统。它还可以用于增加范围内10个系统中的任何一个的安全控制,即网络安全(+),例如导航系统提供安全配置文件1而不是安全配置文件0(至于其余的网络安全系统)。
一个有网络安全类型认证已被验证具有在给定安全配置文件中满足网络安全规则的能力。
如果在网络安全类项目中使用网络安全类型认可的系统,则项目工作量将减少,并且只需要验证该系统的配置以及集成,而不需要验证功能。
的网络安全类型批准程序(链接)(LDsports火箭联盟DNVGL-CP-0231)旨在验证基于软件的船舶系统(如控制和驾驶室系统)的网络安全能力。它还可以应用于旨在在船上实现船舶功能的任何其他系统。
此外,它还可以用于验证网络安全保护解决方案的能力,以验证哪些网络安全需求可以使用解决方案来保护。例如,可移动媒体扫描站可以满足对可移动媒体使用和恶意代码的一些要求,当与某些程序结合使用时。
是的,它还可以用于验证网络安全保护解决方案的能力,以验证哪些网络安全需求可以使用解决方案来保护。例如,可移动媒体扫描站可以满足对可移动媒体使用和恶意代码的一些要求,当与某些程序结合使用时
此类请求的细节需要根据具体情况进行考虑,您应通过网络安全类型批准页面(链接到网络安全类型批准页面)联系以获得此支持的报价。
请参阅“码”标签(链接)DNV网站。
在国内和国际上,关于自动和远程操作船舶的讨论正在进行中。当然,网络安全的重要性随着自主和远程操作的程度而增加。ISM规范和DoC持有人在自主或远程操作时的责任一直是正在进行的讨论的一部分。这还没有实现,但有迹象表明,这些将保持不变,网络安全也必须在SMS中处理,用于运营自主或远程支持船舶的公司。
该决定是通过ISM处理网络安全,众所周知,该代码目标中的风险评估和处理要求。当说到网络风险也可能影响安全(ISPS)和工作和生活条件(MLC)时,我们鼓励也考虑与这些相关的需求。我们建议DoC持有人通过一个系统处理要求和目标,这就是ISM规范所要求的安全管理系统(和系统分类)。
我们建议您使用现有的系统方法进行风险评估(流程、评级量表和风险矩阵)。如果您发现现有的解决方案不适合需求,那么请考虑替代方案。应特别注意处理对系统和数据的所有潜在后果影响类别(保密性、完整性和保密性)。对于法定工作没有风险评估指导。
的确,因此其他方法对于估计网络事件的可能性是相关的。其中包括“易于访问”(参见DNV-RP-0496和网络安全等级符号)以及基于攻击者的能力、动机和设备脆弱性水平的威胁建模。
我们建议使用与船上所有安全/环境风险相同的风险矩阵和可能性/后果评级量表。通过这种方式,可以比较网络相关风险和非网络相关风险,更全面的方法可以实现更有效的(成本效益)风险处理。然而,如何评估风险的方式将有所不同,应评估机密性、完整性和可用性损失的后果,以及可能性评估缺乏统计数据,需要另一种方法来确定事件的预期频率。
该决定是通过ISM处理网络安全,众所周知,该代码目标中的风险评估和处理要求。我们建议DoC持有人通过一个系统处理要求和目标,这就是ISM规范所要求的安全管理系统(和系统分类)。
系统的连通性越强,系统遭受网络安全事件的可能性就越大。此外,有针对性的攻击更有可能针对高价值的系统/数据。
国际海事组织没有规定。胜任能力要求载于《ISM规则》和《海事劳工公约》(规例1.3)。此外,我们发现不言自明的是,公司和船上必须有负责网络安全的人员,以及他们之间的沟通,以确保持续合规和持续改进。从法律的角度来看,须由DoC持有人制定所需的措施。
是的,为了处理网络安全和网络风险,我们希望你们通过安全管理系统采取有效措施,确保机上合规。随着大多数人使用个人设备,我们希望机上所有人都能参与进来,并在一定程度上意识到这一点。此外,船上还必须有专门负责网络安全的机组人员,在某种程度上,这也必须包括其他人。在哪里划定界限和建立组织必须是SMS修订的一部分,您必须考虑到也要注意执行的风险评估的结果。
与安全管理有关的岸上和船上的任务和责任在ISM规范中有明确的定义,并应在船舶安全管理系统中进行定义。从网络安全的角度对此进行审查将是合适的……
高级船员的负担是一个持续关注的问题,国际海事组织的目标是在采用新文书和要求时考虑对业务和船上人员的影响。计划是尽可能限制。这些要求还在继续,我们希望他们继续这样做。建议与当局和代表组织进行对话。在船上工作组织和人员配备方面,我们参考IMO决议A1047(28)和MLC规则2.7第1段。“每一[船旗国]应要求悬挂其旗帜的所有船舶上雇用足够数量的海员,以确保船舶在所有条件下安全、有效地操作并适当考虑到安全问题,同时考虑到对海员疲劳的关切以及航行的特殊性质和条件。”
“傻瓜证明”系统在大多数情况下由于缺乏实用性或成本而无法实现。保护船舶最有效的方法是提供有意识的船员、切实可行的政策/程序和安全的技术。
《条例》持有人须落实所需措施,以确保符合有关规定。DoC持有人亦有责任确保参与安全管理活动的人员具备必要的能力和支持。我们建议DoC持有人除了考虑培训和资源之外,还要考虑哪些职位最适合协调船上的活动。在此过程中,我们建议贵方考虑已负责网络安全至关重要的关键设备和/或系统的人员,或已在安全管理系统中担任关键职位的人员。
从ISM/法定的角度来看。也就是说,ISM和MLC要求工作人员必须能够胜任他们的任务。这允许DoC持有者开发和实施解决方案(包括通过外部提供商),以履行其义务。
这取决于船舶的操作和复杂性。此外,认证IT人员的远程支持也足以用于标准货物和更简单的船只。
从ISM规范可以推断,船上必须有一个或几个人负责处理网络安全方面的安全管理系统措施。
国际海事组织没有规定。胜任能力要求载于《ISM规则》和《海事劳工公约》(规例1.3)。此外,我们发现不言自明的是,公司和船上必须有负责网络安全的人员,以及他们之间的沟通,以确保持续合规和持续改进。从法律的角度来看,须由DoC持有人制定所需的措施。
目前,我们还没有看到像其他安全话题那样多的网络事件分享。然而,这对行业来说是至关重要的,我们建议分享以提高整个行业的弹性。这可以通过在较小的公司合作小组内共享,也可以通过Intertanko、BIMCO、CSO联盟等其他利益相关者共享。
监控和检测针对OT系统的网络攻击是一项具有挑战性的任务,因为OT系统通常不具备检测恶意代码和攻击的能力。补偿措施可以是定期对系统进行反病毒扫描,作为计划维护的一部分,检查安全配置或在网络上实施入侵检测或保护系统(IDS/IPS)。
岸上和船上相关人员的能力是防范网络风险的主要手段,也是利用机会通过数字解决方案优化运营的主要来源。我们鼓励公司考虑这一点,并采取必要的措施,确保员工拥有并保持必要的能力。参与和处理安全管理措施的人员必须按照ISM规范进行培训。此外,《海事劳工公约》还规定了能力要求,3:1。海员不得在船上工作,除非他们经过培训或核证为称职或在其他方面有资格履行其职责。
最高管理层对安全管理系统的所有权、责任和权力至关重要,包括显示安全管理系统的价值以及岸上和船上工作人员的重要性。让员工参与和投资,使他们能够积极参与系统计划、执行、检查和行动(PDCA)的开发、实施、使用和后续工作,这也是至关重要的。简而言之,当我们把管理系统的高价值和潜力展示出来时,其他人也会这样做。
有不同的可能性,包括DNV/Gard网络安全意识视频,DNVGL/Seagull电子学习,课堂培训,紧急响应演习,钓鱼邮件练习,海报等。LDsports火箭联盟关键是在正常和紧急行动期间持续提供一般意识和如何安全操作的培训。我们应该努力避免和应对网络攻击。欲了解更多信息,请联系我们的海事学院(链接):
没有法律规定必须持有此类证书。
是的,DNV拥有认证的道德黑客,可以在这项任务中为您提供支持。(链接)