Cyber Security Internal Audit

....SHIPPING Company name.....
АУДИТ ВНУТРЕННЕЙ ПРОВЕРКИ КИБЕР-БЕЗОПАСНОСТИ СУДНА

AUDIT OF THE INTERNAL INSPECTION OF THE CYBER SECURITY OF THE SHIP
m/v “………..” Дата аудита /Audit Date: …………………, 2020
Область аудита и вопрос Результаты

Audit area and question Results
№№ Раздел Вопрос Выводы / Findings Соответствия
Nos. Section Question Да / Yes Нет / No НП / NA Compliance
1 Политика информационной безопасности / Information security Policy

1.1 Политика Существует ли политика информационной безопасности, Ship’s Booklet “Cyber
информационной security management
которая утверждается руководством и публикуется? Plan and procedures”,
безопасности  Section 3
Information security Whether there exists an Information security policy, which is
Policy approved by the management and published?
1.2 Гарантирует ли процесс проведения обзора ответ на любые Ship’s Booklet “Cyber
security management
Обзор и оценка изменения, влияющие на основу первоначальной оценки, Plan and procedures”,
Review and evaluation например: значительные инциденты безопасности, новые Section 3
уязвимости или изменения в организационной или 
технической инфраструктуре?
Whether the process ensures that a review takes place in
response to any changes affecting the basis of the original
assessment, example: significant security incidents, new
vulnerabilities or changes to organisational or technical
infrastructure?
2. Инфраструктура информационной безопасности /Information security infrastructure
2.1 Распределение Четко ли определены вопросы ответственности за защиту Ship’s Booklet “Cyber
обязанностей по security management
отдельных активов и за проведение конкретных процессов Plan and procedures”,
информационной
безопасности
обеспечения безопасности?  Section 4.2, Annex 1.
Allocation of Whether responsibilities for the protection of individual assets

information security and for carrying out specific security processes were clearly
responsibilities defined?
Page - 1
.....SHIPPING Company name ....

 Ship’s Booklet “Cyber
2.2 Процесс авториза- Имеется ли процесс авторизации управления для любого
security management
ции для объектов нового объекта обработки информации? Это должно вклю- Plan and procedures”,
обработки информа- чать в себя все новые средства, такие как аппаратное и про- Section 5.4.8, 6.23.1,
ции граммное обеспечение. Annex 1.
Authorisation process
Whether there is a management authorisation process in place
for information
for any new information processing facility? This should
processing facilities
include all new facilities such as hardware and software.
2.3 Консультация спе- Получена ли консультация специалиста по информацион-
security management
циалиста по инфор- ной безопасности в соответствующих случаях? Plan and procedures”,
мационной безопас- Section 5.4.8.
Whether specialist information security advice is obtained
ности
where appropriate?
Specialist information
security advise 
2.4 Поддерживались ли надлежащие контакты с поставщиками Ship’s Booklet “Cyber
security management
Сотрудничество с информационных услуг и операторами электросвязи для Plan and procedures”,
другими организа- обеспечения быстрого принятия надлежащих мер и полу- Section 5.4.8.
циями чения консультаций в случае инцидента безопасности?
Co-operation with Whether appropriate contacts with information service

other organisations providers and telecommunication operators were maintained to
ensure that appropriate action can be quickly taken and advice
obtained, in the event of a security incident?
2.5 Независимый обзор Политика информационной безопасности пересматривается
security management
информационной независимо на регулярной основе? Plan and procedures”,
безопасности Section 3.
Information security policy is reviewed independently on
Independent review of regular basis?
information security
3 Защита доступа третьих сторон / Security of third party access
Page - 2


3.1 Выявление рисков a) Выявлены ли риски, связанные с доступом третьих сто- Ship’s Booklet “Cyber
security management
от доступа третьих рон, и реализованы ли соответствующие меры безо- Plan and procedures”,
сторон пасности? Section 6.3.1.
Identification of risks a) Whether risks from third party access are identified and
from third party appropriate security controls implemented? 
access Ship’s Booklet “Cyber
Являются ли типы доступа идентифицированы, классифи- security management
цированы и оправданы ли причины доступа? Plan and procedures”,
Whether the types of accesses are identified, classified and Section 5.4.8.
reasons for access are justified? 
3.2 Требования к без- Были ли выявлены риски безопасности с помощью сторон- Ship’s Booklet “Cyber
security management
опасности в кон- них подрядчиков, работающих на месте, и осуществляются Plan and procedures”,
трактах третьих ли надлежащие меры контроля? Section 8.1(a).
сторон
Whether security risks with third party contractors working
Security requirements onsite was identified and appropriate controls are
in third party implemented?
contracts
4 Аутсорсинг / Outsourcing
4.1 Требования к без- Учитываются ли требования безопасности в договоре с
опасности в конт- третьей стороной, когда судно передало на внешний подряд
рактах на аутсор- управление и контроль всех или некоторых своих информа- 
синг ционных систем и/или сетей? N/A
Whether security requirements are addressed in the contract
Security requirements with the third party, when the ship has outsourced the
in outsourcing management and control of all or some of its information
contracts
Page - 3

systems and/or networks?


5 Отчетность по активам / Accountability of assets
5.1 Инвентаризация Ведется ли инвентаризация или регистр с важными актива- Ship’s Booklet “Cyber
security management
активов ми, связанными с каждой информационной системой? Plan and procedures”,
Whether an inventory or register is maintained with the Annex 1.
Inventory of assets important assets associated with each information system? 
Имеет ли каждый идентифицированный актив владельца,
Ship’s Booklet “Cyber
определена и согласована классификация безопасности и security management
определено местоположение? Plan and procedures”,
Whether each asset identified has an owner, the security Annex 1.
classification defined and agreed and the location identified?
6 Безопасность в определении задания и ресурсоснабжении /Security in job definition and Resourcing
6.1 Включение безопас- Определены ли обязанности по осуществлению или под-  Ship’s Booklet “Cyber
security management
ности в должност- держанию политики безопасности, а также конкретные обя- Plan and procedures”,
ные обязанности занности по защите конкретных активов или по расшире- Section 4.2, Annex 1.
нию конкретных процессов или мероприятий в области без-
Including security in
опасности?
job responsibilities
Whether there are responsibilities for implementing or
maintaining security policy as well as specific responsibilities
to protection of particular assets, or for extension of particular
security processes or activities?
Page - 4

 Shipboard SMS
6.2 Проверка персонала Проводился ли инструктаж нового экипажа во время
Manual, Section 4.1
Personnel screening прибытия на судно?
Whether instruction new crew were carried out at the time of
arrive on the ship?
 Shipboard SMS
6.3 Соглашения о кон- Распространяется ли инструктаж на безопасность объекта
Manual, Section 4.1
фиденциальности обработки информации и активов судна?
Confidentiality Whether instruction covers the security of the information
agreements processing facility and ship assets?
7 Обучение пользователей / User training
7.1 Образование и Получают ли все Офицеры судна и сторонние пользовате-
security management
обучение в области ли (где это уместно) соответствующее обучение по инфор- Plan and procedures”,
информационной мационной безопасности? Section 4.2
безопасности
Whether all Officers of the ship and third party users (where
Information security
relevant) receive appropriate Information Security training?
education and
training
8 Реагирование на инциденты и сбои в безопасности / Responding to security incidents and malfunctions
8.1 Сообщение об инци- Существует ли официальная процедура представления от-
security management
дентах безопасно- четности - как можно быстрее сообщать об инцидентах, Plan and procedures”,
сти связанных с безопасностью, по соответствующим каналам Section 8.3
Reporting security управления?

incidents Whether a formal reporting procedure exists, to report security
incidents through appropriate management channels as quickly
as possible?
Page - 5

8.2 Сообщение о слабых Cуществует ли официальная процедура отчетности для
security management
местах в системе пользователей - сообщать о слабости систем или угрозах Plan and procedures”,
безопасности системам или службам? Section 7.2(b).
Reporting security
Whether a formal reporting procedure for users, to report
weaknesses
security weakness in, or threats to, systems or services?
8.3 Отчетность о сбоях Были ли установлены процедуры сообщения о каких-либо
security management
в программном сбоях в программном обеспечении? Plan and procedures”,
обеспечении Section 7.2(a)
Whether procedures were established to report any software
Reporting software
malfunctions?
malfunctions 
8.4 Уроки из Существуют ли механизмы на месте, позволяющие оценить Ship’s Booklet “Cyber
security management
инцидентов и контролировать типы инцидентов и неисправностей? Plan and procedures”,
Learning from Section 8.4.
Whether there are mechanisms in place to enable the types of
incidents
incidents and malfunctions to be monitored?
9 Безопасная зона / Secure Area
9.1 Обеспечение Являются ли офисы и помещения, в которых есть
security management
защиты оборудование обработки информации, заблокироваными Plan and procedures”,
оборудования или имеются запираемые шкафы или сейфы, или защита Section 5.4.9.
Providing security of обеспечена другим способом?

equiment Whether the offices and rooms, which have the Information
processing equipment, are locked or have lockable cabinets or
safes, or is security provided in a different way?
10 Безопасность оборудования / Equipment Security
Page - 6

10.1 Защита a) Было ли оборудование расположено в соответствующем
security management
оборудования месте, чтобы свести к минимуму ненужный доступ в рабо- Plan and procedures”,
Equipment protection чие места? Annex 1.
a) Whether the equipment was located in appropriate place to 

minimise unnecessary access into work areas?
b) Были ли выделены предметы, требующие специальной N/A
защиты, для снижения общего уровня требуемой защиты?
b) Whether the items requiring special protection were isolated
to reduce the general level of protection required?
10.2 Защищено ли оборудование от перебоев в подаче электро- Аварийный генера-
Поставки энергии с помощью постоянных источников питания, таких  тор
электроэнергии как несколько каналов, аварийный генератор и т.д.? Emergency generator

Power Supplies Whether the equipment is protected from power failures by
using permanence of power supplies such as multiple feeds,
emergency generator etc.?
10.3 Защищены ли кабели питания, телекоммуникационные ка- In accordance with
Охрана кабеля бели от повреждения?  requirements of the
Classification
Cabling Security Society
Whether the power and telecommunications cable are protected
from damage?
10.4 Техническое обслу- a) Обслуживается ли оборудование в соответствии с реко- Ship’s Booklet “Cyber
security management
живание оборудова- мендуемыми поставщиком интервалами? Plan and procedures”,
ния a) Whether the equipment is maintained as per the supplier’s  Section 5.4.9(a).
Equipment recommended intervals?

Maintenance b) Осуществляется ли техническое обслуживание только Ship’s Booklet “Cyber
security management
уполномоченным персоналом? Plan and procedures”,
Page - 7


b) Whether the maintenance is carried out only by authorised Section 5.4.9(b).

personnel?
10.5 Обеспечение без- a) Следует ли использовать какое-либо оборудование за Ship’s Booklet “Cyber
security management
опасности оборудо- пределами помещений судна для обработки информации, Plan and procedures”,
вания вне (должно быть санкционировано капитаном)?  Section 5.4.9.
помещения
a) Whether any equipment usage outside an ship’s premises for
Securing of equipment
information processing (has to be authorised by the Master)?
off-premises
b) Обеспечивается ли безопасность этого оборудования за
пределами помещений? Ship’s Booklet “Cyber
 security management
b) Whether the security provided for these equipments while Plan and procedures”,
outside the premises? Section 5.4.9.
10.6 Безопасное удаление При ликвидации оборудования вся имеющаяся на нем ин- Ship’s Booklet “Cyber
security management
оборудования формация уничтожается ли? Plan and procedures”,
Secure disposal of If the equipment is destroyed, all information available on it  Section 5.4.9.
equipment being destroyed?
11 Общие элементы управления / General Controls
11.1 Оборудование и a) Включена ли автоматическая функция блокировки экрана
документы без компьютеров? Это приведет к блокировке экранов, когда
присмотра компьютеры остаются без присмотра в течение определен- 
Equipment and ного периода.
documents unattended a) Whether automatic computers screens locking facility are
enabled? This would lock the screens when the computers are
left unattended for a period.
b) Рекомендуется ли при инструктаже офицерам не
оставлять какие-либо конфиденциальные материалы в виде 
Page - 8

бумажных документов без присмотра?

b) Whether Officers in briefing process are advised not to leave
any confidential material in the form of paper documents
unattended?
11.2 a) Можно ли вывезти оборудование, информацию или про- security management
Удаление граммное обеспечение без соответствующего разрешения? Plan and procedures”,
имущества a)Whether equipment, information or software can be taken Section 5.4.9
Removal of property offsite without appropriate authorisation?

12 Оперативные процедуры и обязанности / Operational Procedures and responsibilities
12.1 Документирован- a) Определены ли какие-либо оперативные процедуры, та- Ship’s Booklet “Cyber
security management
ные операционные кие как резервное копирование, техническое обслуживание Plan and procedures”,
процедуры оборудования и т.д.?  Section 6.3.3
Documented a) Have any operational procedures, such as backup,
Operating procedures Ship’s Booklet “Cyber
equipment maintenance, etc., have been identified? security management
b) Документированы ли такие процедуры и используются? Plan and procedures”,
Annex 5
b) Whether such procedures are documented and used?
12.2 Управление a) Подлежат ли все программы, работающие на производст-
оперативными венных системах (DataChief® C20, Alphatronic AT 2000
изменениями PCS) строгому контролю за изменениями, т.е. любые изме- 
Operational Change нения, которые должны быть внесены в эти производствен-
Control
ные программы, должны пройти через авторизацию управ-
ления изменениями?
a) Whether all programs running on production systems
(DataChief® C20, Alphatronic AT 2000 PCS) are subject to
strict change control i.e., any change to be made to those
Page - 9

production programs need to go through the change control

authorisation?

12.3 Процедуры a) Существует ли процедура управления инцидентами для
security management
управления обработки инцидентов безопасности? Plan and procedures”,
инцидентами a) Whether an Incident Management procedure exist to handle Section 8.
Incident management security incidents?
procedures b) Отвечает ли процедура ответственности за управление
инцидентами упорядоченному и быстрому реагированию на  Ship’s Booklet “Cyber
инциденты, связанные с безопасностью? security management
Plan and procedures”,
b) Whether the procedure addresses the incident management Section 8.3.1.
responsibilities, orderly and quick response to security
incidents?
с) Рассматривает ли процедура различные типы инциден-
тов, начиная от отказа в обслуживании и нарушение конфи- 
денциальности и т.д., и способы их обработки? Ship’s Booklet “Cyber
с) Whether the procedure addresses different types of incidents security management
ranging from denial of service to breach of confidentiality etc., Section 8.2.
and ways to handle them?
d) Поддерживается ли регистрация, связанная с инцидента-
ми, и принимаются активные меры таким образом, чтобы  Ship’s Booklet “Cyber
security management
инцидент не повторялся? Plan and procedures”,
d) Whether the registration relating to the incidents are Section 8.3.5.
maintained and proactive action taken in a way that the
incident doesn’t reoccur?
Page - 10

12.4 Разделение Разделены ли обязанности и сферы ответственности в целях
security management
обязанностей сокращения возможностей для несанкционированного из- Plan and procedures”,
Segregation of duties менения или неправомерного использования информации Section 4.2, 5.4.7.
или услуг?
Whether duties and areas of responsibility are separated in
order to reduce opportunities for unauthorised modification or 
misuse of information or services?
12.5 Управление внеш- a) Управляет ли каким-либо из объектов обработки инфор- Ship’s Booklet “Cyber
security management
ними объектами мации внешняя компания или подрядчик (третья сторона)? Plan and procedures”,
a) Whether any of the Information processing facilities is  Section 5.4.8.
External facilities managed by an external company or contractor (third party)?
management
b) Были ли в договоре заблаговременно определены риски, N/A
связанные с таким управлением, обсуждение с третьей сто-
роной и соответствующие меры контроля?
b) Whether the risks associated with such management is
identified in advance, discussed with the third party and
appropriate controls were incorporated into the contract?
13 Защита от вредоносного программного обеспечения / Protection against malicious software
13.1 Контроль против a) Существует ли какой-либо контроль против использова-  Ship’s Booklet “Cyber
security management
вредоносного ния вредоносного программного обеспечения? Plan and procedures”,
программного a) Whether there exists any control against malicious software Section 5.4.6.
обеспечения usage?
Control against b) Существует ли запрет на использование несанкциониро- Ship’s Booklet “Cyber
malicious software ванного программного обеспечения?
b) Is there a ban on the use of unauthorized software?
 security management
Section 5.4.5.
c) Устанавливается ли антивирусное программное обеспе-
чение на компьютерах для проверки и изоляции или удале-
ния любых вирусов с компьютера и носителя? security management
Page - 11


d) Whether Antivirus software is installed on the computers to  Plan and procedures”,
Section 5.4.6.
check and isolate or remove any viruses from computer and
media?
e) Будет ли это программное обеспечение обновляться на security management
регулярной основе, чтобы проверить любые последние ви- Plan and procedures”,
русы?  Section 5.4.6.
e) Whether this software is updated on a regular basis to check
any latest viruses?
f) Проверяется ли весь трафик, происходящий из сети, на
наличие вирусов? Пример: Проверка электронной почты,
вложения электронной почты и в Интернете
f) Whether all the traffic originating from network is checked
for viruses? Example: Checking on email, email attachments
and on the web…
14 Резервное копирование и его использование/ Backup and use it
14.1 a) Регулярно проводилось резервное копирование важной Ship’s Booklet “Cyber
security management
Резервное копирова- информации, такой как производственная, критически важ- Plan and procedures”,
ние информации ные сетевые компоненты, резервное копирование конфигу-  Section 6.3.3
рации и т.д.
Information back-up a) Whether Back-up of essential information such as
production, critical network components, configuration backup
etc., were taken regularly.
b) Хранятся ли резервные копии надежно и далеко от ком-
пьютеров? 
b) Are backups stored securely and far away from computers?
c) Регулярно ли тестируются резервные носители для обе-
спечения их восстановления в сроки, отведенные в рамках
оперативной процедуры восстановления?
Page - 12

c) Whether the backup media are regularly tested to ensure that

they could be restored within the time frame allotted in the 
operational procedure for recovery?
14.2 Регистрируются ли неисправности и хорошо ли устраняют- Ship’s Booklet “Cyber
Регистрация security management
ся? Это включает в себя корректирующие действия, Plan and procedures”,
неисправностей
которые принимаются, и проверка принятых действий. Section 5.4.9, Annex 5
Registration of faults Whether faults are reported and well eliminated? This includes
corrective action being taken and checking the actions taken.
15 Обработка и безопасность мультимедиа / Media handling and Security

15.1 Съемные компью- Существует ли процедура управления съемными компью- Ship’s Booklet “Cyber
security management
терные носители терными носителями? Plan and procedures”,
Removable computer Whether there exist a procedure for management of removable  Section 5.4.9
media computer media?
15.2 a) Надежно и безопасно ли удаляются съемные носители Ship’s Booklet “Cyber

security management
Утилизация информации, которые больше не требуются? Plan and procedures”,
съемных носителей a) Whether the media that are no longer required are disposed Section 5.4.9
Disposal of Media off securely and safely?
16 Обмен информацией и программным обеспечением / Exchange of Information and software

16.1 Соглашение об a) Существует ли какое-либо официальное или неофициаль-  Ship’s Booklet “Cyber
security management
обмене информаци- ное соглашение между судами Компании об обмене инфор- Plan and procedures”,
ей и программным мацией и программным обеспечением? Section 5.4.9
обеспечением a) Whether there exists any formal or informal agreement
Information and between the ships of the Company for exchange of information Ship’s Booklet “Cyber
software exchange and software?
security management
agreement
b) Удовлетворяет ли соглашение вопросам безопасности? Section 5.4.9
Page - 13


b) Does the agreement satisfy security issues?
16.2 Безопасность a) Принимается ли во внимание безопасность носителей  Ship’s Booklet “Cyber

security management
носителей в пути информации при транспортировке? Plan and procedures”,
Security of Media in a) Whether security of media while being transported taken into Section 5.4.9.
transit account?
b) Хорошо ли носители информации защищены от несанк- Ship’s Booklet “Cyber
ционированного доступа и неправомерного использования?  security management
b) Whether the media is well protected from unauthorised Plan and procedures”,
Section 5.4.9.
access and misuse?
16.3 a) Создаются ли такие элементы управления электронной Ship’s Booklet “Cyber
Безопасность почтой, как антивирусная проверка, изоляция потенциально  security management
электронной почты небезопасных вложений, спам-контроль, антиреатрансляция Section 6.3.3.
Security of Electronic и т.д., для снижения рисков, создаваемых электронной
email почтой?
b) Whether e-mail controls such as antivirus checking, isolating
potentially unsafe attachments, spam control, anti relaying etc.,
are put in place to reduce the risks created by e-mail?
Page - 14


16.4 a) Существует ли какий-либо контроль для защиты обмена
Другие формы обме- информацией с помощью средств голосовой связи, факси-
на информацией миле и видеосвязи?
a) Whether there are any controls in place to protect the
Other forms of exchange of information through the use of voice, facsimile and
information exchange video communication facilities?
b) Рекомендуется ли экипажу сохранять конфиденциаль- 
ность информации при использовании таких форм обмена
информацией?
b) Whether crew are reminded to maintain the confidentiality of
information while using such forms of information exchange
facility? 
17 Требования к контролю доступа / Requirements for Access Control
17.1 a) Были ли определены и задокументированы требования к Ship’s Booklet “Cyber
security management
Контроль доступа управлению доступом? Plan and procedures”,
Access Control a) Whether the requirements for access control have been  Section 5.4.7, 5.4.8.
defined and documented?
b) Были ли требования по доступу четко изложены для по- Ship’s Booklet “Cyber
ставщиков услуг? security management
b) Were access requirements clearly set out for service Section 5.4.8.
providers?
18 Управление доступом пользователей / User Access Management
18.1 Существует ли какая-либо официальная процедура регист- Ship’s Booklet “Cyber
security management
Регистрация рации и дерегистрации пользователей для предоставления Plan and procedures”,
пользователей доступа к многопользовательским информационным систе-  Annex 1.
мам и услугам?
Page - 15

Whether there is any formal user registration and de-

User Registration registration procedure for granting access to multi-user
information systems and services? 
18.2 Ограничивается ли и контролируется ли распределение и Ship’s Booklet “Cyber
security management
Управление использование каких-либо привилегий в многопользова- Plan and procedures”,
привилегиями тельской информационной системе? Section 6.3.3.
Privilege Management Whether the allocation and use of any privileges in multi-user
information system environment is restricted and controlled?
18.3 Управление паролем a) Распределение и перераспределение паролей должно кон-
security management
пользователей тролироваться в рамках процесса управления. Plan and procedures”,
User Password a) The allocation and reallocation of passwords should be Section 6.3.3.
Management controlled through management process.

19 Ответственность пользователей / User Responsibilities
19.1 Оборудование Знают ли пользователи о требованиях обеспечения безопас- 
пользователя без ности для защиты оборудования без присмотра, а также об
присмотра их ответственности за осуществление такой защиты?
Unattended user Пример: Выключать, когда сеанс закончен или настроить
equipment автоматическое отключение и т.д.,
Whether the users are made aware of the security requirements
for protecting unattended equipment, as well as their
responsibility to implement such protection?
Example: Log off when session is finished or set up auto log off
etc.,
20 Контроль доступа к сети / Network Access Control
20.1 Правила в отноше- Существует ли правила доступа к сетевым соединениям и Ship’s Booklet “Cyber
security management
нии использования сетевым услугам? Plan and procedures”,
сетевых услуг Whether there exists access rules to network connections and Section 6.3.3.
Rules on use of
Page - 16

network services network services? 
21 Управление доступом к операционной системе / Operating system access control
21.1 Процедуры входа в Достижим ли доступ к информационной системе только с
терминал помощью безопасного процесса входа в систему? 
Terminal log-on Whether access to information system is attainable only via a
procedures secure log-on process?
21.2 Идентификация и Предоставляется ли уникальный идентификатор каждому
авторизация пользователю, например 2-му помощнику, Офицеру по
пользователей кибер-безопасности и всем другим сотрудникам, включая N/A
технический персонал?
User identification Whether unique identifier is provided to every user such as 2-nd
and authorisation Officer, Cyber Security Officer and all other staff including
technical personnel?
22 Контроль доступа к приложениям / Application Access Control

22.1 Ограничение Доступ к функциям информационной и прикладной систе-
доступа к мы, осуществляемый пользователями, должен быть ограни-
информации чен в соответствии с правилами управления доступом.
Access to information and application system functions by users
Information access
should be restricted in accordance with the defined access
restriction
control rules. 
22.2 Изоляция важных Важные системы должны иметь выделенную (изолирован-
систем ную) компьютерную среду.
Sensitive system Sensitive systems should have a dedicated (isolated) computing
isolation
environment.
23 Мобильная обработка / Mobile computing
23.1 a) При использовании средств мобильной обработки и свя-
Мобильная зи, например, ноутбуков, особая забота должна быть
обработка проявлена для обеспечения того, чтобы информация не бы- 
Page - 17

ла раскрыта.
Mobile computing a) When using mobile computing and communicating facilities,
e.g. notebooks, special care should be taken to ensure that
information is not compromised.
b) Для персонала, использующего мобильную обработку,
должна быть организована подготовка, с целью улучшить
их осведомленность о дополнительных рисках, проистекаю- 
щих из этого метода работы, и о средствах управления, ко-
торые должны быть реализованы.
b) Training should be arranged for personnel using mobile
computing to raise their awareness on the additional risks
resulting from this way of working and the controls that should
be implemented.
24 Криптографические средства управления/ Cryptographic controls
24.1 Принятие решения по вопросу того, уместно ли криптогра-
Принятие решения фическое решение, должно рассматриваться как часть более
широкого процесса оценки рисков и выбора средств управ- 
Making a decision ления. Эта оценка может затем быть использована для опре-
деления того, уместно ли криптографическое средство уп-
равления, какой тип средства управления должен быть при-
менен, для какой цели и для каких деловых процессов.
Making a decision as to whether a cryptographic solution is
appropriate should be seen as part of the wider process of risk
assessment and selection of controls. This assessment can then
be used to determine whether a cryptographic control is
appropriate, what type of control should be applied and for
what purpose and business processes.
25 Соблюдение правовых требований / Compliance with legal requirements
Page - 18

25.1 Должны быть реализованы подходящие правила для обе-

Права на интеллек- спечения соответствия законодательным, нормативным и
туальную собствен- договорным требованиям по использованию материала, в 
ность (ПИС) отношении которого могут иметься права на интеллекту-
альную собственность, и по использованию патентованных
Intellectual property программных продуктов.
rights (IPR) Appropriate rules should be implemented to ensure compliance
with legislative, regulatory, and contractual requirements on
the use of material in respect of which there may be intellectual
property rights and on the use of proprietary software products.
25.2 Защита организаци- Важные записи должны быть защищены от потери, разру-
онных записей шения и фальсификации, в соответствии с уставными, нор-
мативными, договорными и деловыми требованиями. 
Protection of Important records should be protected from loss, destruction,
organizational records and falsification, in accordance with statutory, regulatory,
contractual, and business requirements.
25.3 Предотвращение не- a) Пользователи должны удерживаться от использования
правильного ис- средств обработки информации для неразрешенных целей.
пользования средств
a) Users should be deterred from using information processing 
обработки
facilities for unauthorized purposes.
информации
Prevention of misuse b) Любое использование этих средств для неделовых целей
of information без утверждения руководства или для любых неразрешен-
ных целей должно рассматриваться как неправильное ис-
processing facility
пользование средств.
b) Any use of these facilities for non-business purposes without 
management approval, or for any unauthorized purposes,
should be regarded as improper use of the facilities.
26 Соответствие Политике защиты и техническим стандартам / Compliance with Security Policies and technical standards
Page - 19


26.1 Соответствие a) Офицер по кибер-безопасности должен обеспечивать,
Compliance чтобы все процедуры защиты в его зоне ответственности
выполнялись правильно, чтобы достичь соответствия поли-
тике и стандартам в области защиты.
a) The Cyber Security Officer must ensure that all protection
procedures in his area of responsibility are carried out
correctly to achieve compliance with security policies and 
standards.
b) Капитан должен регулярно анализировать соответствие
обработки информации политике, стандартам в области за-
щиты, а также любым другим требованиям защиты.
b) The Master should regularly review the compliance of
information processing with the appropriate security policies,
standards, and any other security requirements.
27 Соображения системного аудита /System audit considerations


27.1 Требования к аудиту и деятельности, включающей в себя
Управление проверки в операционных системах, должны быть тщатель-
системным аудитом но спланированы и согласованы для того, чтобы минимизи-
System audit controls ровать риск срывов деловых процессов.
Audit requirements and activities involving checks on
operational systems should be carefully planned and agreed to
minimize the risk of disruptions to business processes.
27.2 Защита инструмен- Инструментальные средства аудита информационных си-
тальных средств стем, например, программное обеспечение или файлы дан-
аудита ных, должны быть отделены от систем разработки и опера- 
ционных систем и не должны содержаться в библиотеках
Protection of system
пользователя.
audit tools
Information systems audit tools, e.g. software or data files,
should be separated from development and operational systems
Page - 20

and not held in user libraries.
Выводы/ Summary:
Кибер-безопасность т/х "..............." может быть признана, как отвечающая требованиям циркуляров ИМО.
Cyber security of the m/v "................" can be recognized as meeting requirements of IMO circulars.
................................................................................................................................................................................................................................
.................................................................................................................................................................................................................................
.................................................................................................................................................................................................................................
Акты о несоответствиях прилагаются / Non-conformance Reports attached:
.................................................................................................................................................................................................................................
..............................................................................Нет / Not................................................................................................................
Аудитор / Auditor _____________
Page - 21

Cyber Security Internal Audit

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cyber Security Internal Audit

Загружено:

Авторское право:

Доступные форматы

....SHIPPING Company name.....

АУДИТ ВНУТРЕННЕЙ ПРОВЕРКИ КИБЕР-БЕЗОПАСНОСТИ СУДНА

m/v “………..” Дата аудита /Audit Date: …………………, 2020

Область аудита и вопрос Результаты

1 Политика информационной безопасности / Information security Policy

Allocation of Whether responsibilities for the protection of individual assets

Область аудита и вопрос Результаты

Co-operation with Whether appropriate contacts with information service

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

systems and/or networks?

Область аудита и вопрос Результаты

Reporting security управления?

Область аудита и вопрос Результаты

Providing security of обеспечена другим способом?

Область аудита и вопрос Результаты

a) Whether the equipment was located in appropriate place to 

электроэнергии как несколько каналов, аварийный генератор и т.д.? Emergency generator

Equipment recommended intervals?

Область аудита и вопрос Результаты

b) Whether the maintenance is carried out only by authorised Section 5.4.9(b).

Область аудита и вопрос Результаты

бумажных документов без присмотра?

Область аудита и вопрос Результаты

production programs need to go through the change control

 Ship’s Booklet “Cyber

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

c) Whether the backup media are regularly tested to ensure that

15.2 a) Надежно и безопасно ли удаляются съемные носители Ship’s Booklet “Cyber

16 Обмен информацией и программным обеспечением / Exchange of Information and software

Область аудита и вопрос Результаты

b) Does the agreement satisfy security issues?

16.2 Безопасность a) Принимается ли во внимание безопасность носителей  Ship’s Booklet “Cyber

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

Whether there is any formal user registration and de-

Management controlled through management process.

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

Область аудита и вопрос Результаты

25.1 Должны быть реализованы подходящие правила для обе-

Область аудита и вопрос Результаты

27 Соображения системного аудита /System audit considerations

Область аудита и вопрос Результаты

Аудитор / Auditor _____________

Вам также может понравиться