KEBIJAKAN

CYBER SECURITY POLICY AND PROCEDURES SAFETY

1 PENDAHULUAN
1.1 Panduan ini memberikan rekomendasi tingkat tinggi untuk manajemen
risiko cyber maritim. Untuk tujuan Panduan ini, risiko cyber maritim
mengacu pada ukuran sejauh mana aset teknologi terancam oleh suatu keadaan
atau peristiwa potensial, yang dapat mengakibatkan kegagalan operasional,
keselamatan, atau keamanan terkait pengiriman sebagai akibat dari informasi
atau sistem. menjadi rusak, hilang atau dikompromikan.
1.2 Pemangku kepentingan harus mengambil langkah-langkah yang diperlukan
untuk melindungi pengiriman dari ancaman dan kerentanan saat ini dan yang
muncul terkait dengan digitalisasi, integrasi dan otomatisasi proses dan
sistem dalam pengiriman.
1.3 Untuk rincian dan panduan yang terkait dengan pengembangan dan
implementasi proses manajemen risiko tertentu, pengguna Panduan ini harus
mengacu pada persyaratan Pemerintah Anggota dan Administrasi Bendera
tertentu, serta standar internasional dan industri yang relevan dan praktik
terbaik. untuk operasi pengiriman yang aman dan terjamin.
1.4 Manajemen risiko secara tradisional difokuskan pada operasi di domain
fisik, tetapi ketergantungan yang lebih besar pada digitalisasi, integrasi,
otomatisasi, dan sistem berbasis jaringan telah menciptakan peningkatan
kebutuhan akan manajemen risiko dunia maya dalam industri perkapalan.
1.5 pengapalan yang aman, yang secara operasional tahan terhadap risiko
dunia maya, Panduan ini memberikan rekomendasi yang dapat dimasukkan ke
dalam proses manajemen risiko yang ada. Dalam hal ini, Panduan melengkapi
praktik manajemen keselamatan dan keamanan yang ditetapkan oleh Organisasi
ini

2 GENERAL
2.1 Latar Belakang
2.1.1 Cybertechnologies telah menjadi penting untuk operasi dan manajemen
berbagai sistem yang penting untuk keselamatan dan keamanan pengiriman dan
perlindungan lingkungan laut. Dalam beberapa kasus, sistem ini harus
memenuhi standar internasional dan persyaratan Administrasi Bendera. Namun,
kerentanan yang diciptakan oleh akses, interkoneksi, atau jaringan sistem
ini dapat menyebabkan risiko dunia maya yang harus ditangani. Sistem yang
rentan dapat mencakup, tetapi tidak terbatas pada:
1. Bridge systems;
2. Cargo handling and management systems;
3. Propulsion and machinery management and power
control systems;.
4. Access control systems;.
5. Passenger servicing and management systems;.
6. Passenger facing public networks;.
7. Administrative and crew welfare systems;and.
8. Communication systems.

2.1.2 Perbedaan antara teknologi informasi dan sistem teknologi operasional

harus dipertimbangkan. Sistem teknologi informasi dapat dianggap berfokus
pada penggunaan data sebagai informasi. Sistem teknologi operasional dapat
dianggap berfokus pada penggunaan data untuk mengontrol atau memantau
proses fisik. Selain itu, perlindungan informasi dan pertukaran data dalam
sistem ini juga harus dipertimbangkan
2.1.3 Meskipun teknologi dan sistem ini memberikan keuntungan efisiensi
yang signifikan untuk industri maritim, mereka juga menghadirkan risiko
pada sistem dan proses penting yang terkait dengan pengoperasian sistem
yang tidak terpisahkan dengan perkapalan. Risiko ini dapat diakibatkan oleh
kerentanan yang timbul dari operasi yang tidak memadai, integrasi,
pemeliharaan, dan desain sistem terkait dunia maya, dan dari ancaman siber
yang disengaja dan tidak disengaja.

2.1.4 Ancaman disajikan oleh tindakan jahat (misalnya peretasan atau

pengenalan malware) atau konsekuensi yang tidak diinginkan dari tindakan
jinak (misalnya pemeliharaan perangkat lunak atau izin pengguna). Secara
umum, tindakan ini mengekspos kerentanan (misalnya perangkat lunak usang
atau firewall yang tidak efektif) atau mengeksploitasi kerentanan dalam
operasional atau teknologi informasi. Manajemen risiko dunia maya yang
efektif harus mempertimbangkan kedua jenis ancaman.

2.1.5 Kerentanan dapat diakibatkan oleh ketidakcukupan dalam desain,

integrasi dan / atau pemeliharaan sistem, serta penyimpangan dalam disiplin
dunia maya. Secara umum, di mana kerentanan dalam operasional dan / atau
teknologi informasi terpapar atau dieksploitasi, baik secara langsung
(misalnya kata sandi lemah yang mengarah ke akses yang tidak sah) atau
tidak langsung (misalnya tidak adanya pemisahan jaringan), mungkin ada
implikasi untuk keamanan dan kerahasiaan, integritas dan ketersediaan
informasi. Selain itu, ketika kerentanan operasional dan / atau teknologi
informasi terpapar atau dieksploitasi, dapat menimbulkan implikasi bagi
keselamatan, terutama jika sistem kritis (misalnya navigasi jembatan atau
sistem penggerak utama) dikompromikan.

2.1.6 Manajemen risiko dunia maya yang efektif juga harus mempertimbangkan
dampak keselamatan dan keamanan yang dihasilkan dari pemaparan atau
eksploitasi kerentanan dalam sistem teknologi informasi. Hal ini dapat
terjadi akibat koneksi yang tidak tepat ke sistem teknologi operasional
atau dari penyimpangan prosedur oleh personel operasional atau pihak
ketiga, yang dapat membahayakan sistem ini (misalnya, penggunaan media yang
dapat dipindahkan yang tidak tepat seperti memory stick).

2.1.7 Informasi lebih lanjut mengenai kerentanan dan ancaman dapat

ditemukan dalam panduan dan standar tambahan yang dirujuk di bagian 4.

2.1.8 Teknologi dan ancaman yang berubah dengan cepat ini mempersulit
penanganan risiko ini hanya melalui standar teknis. Dengan demikian,
Panduan ini merekomendasikan pendekatan manajemen risiko untuk risiko dunia
maya yang tangguh dan berkembang sebagai perpanjangan alami dari praktik
manajemen keselamatan dan keamanan yang ada.

2.1.9 Dalam mempertimbangkan potensi sumber ancaman dan kerentanan serta

strategi mitigasi risiko terkait, sejumlah potensi Pilihan pengendalian
untuk manajemen risiko siber juga harus dipertimbangkan, termasuk antara
lain, pengendalian manajemen, operasional atau prosedural, dan teknis.

2.2 Aplikasi

2.2.1Panduan ini terutama ditujukan untuk semua organisasi dalam industri

perkapalan, dan dirancang untuk mendorong praktik manajemen keselamatan dan
keamanan di domain cyber.

2.2.2 Menyadari bahwa tidak ada dua organisasi dalam industri perkapalan
yang sama, Pedoman ini dinyatakan dalam istilah yang luas agar dapat
diterapkan secara luas. Kapal dengan sistem terbatas terkait dunia maya
mungkin menganggap aplikasi sederhana dari Panduan ini sudah cukup; namun,
kapal dengan sistem terkait dunia maya yang kompleks mungkin memerlukan
tingkat perawatan yang lebih baik dan harus mencari sumber daya tambahan
melalui industri terkemuka dan mitra Pemerintah.

2.2.3Panduan ini bersifat rekomendatif.

3 ELEMEN MANAJEMEN RISIKO CYBER

3.1 Untuk tujuan Pedoman ini, manajemen risiko siber berarti proses
mengidentifikasi, menganalisis, menilai, dan mengkomunikasikan risiko
terkait siber dan menerima, menghindari, mentransfer, atau memitigasinya ke
tingkat yang dapat diterima, dengan mempertimbangkan biaya dan Manfaat dari
tindakan yang diambil kepada pemangku kepentingan.

3.2 Tujuan manajemen risiko cyber maritim adalah untuk mendukung pengiriman
yang aman dan terjamin, yang secara operasional tahan terhadap risiko
cyber.

3.3 Manajemen risiko cyber yang efektif harus dimulai pada tingkat
manajemen senior. Manajemen senior harus menanamkan budaya kesadaran risiko
dunia maya ke dalam semua tingkat organisasi dan memastikan rezim manajemen
risiko dunia maya yang holistik dan fleksibel yang terus beroperasi dan
terus dievaluasi melalui mekanisme umpan balik yang efektif.

3.4 Salah satu pendekatan yang dapat diterima untuk mencapai hal di atas
adalah dengan menilai secara komprehensif dan membandingkan postur
manajemen risiko cyber organisasi saat ini, dan yang diinginkan.
Perbandingan tersebut dapat mengungkapkan kesenjangan yang dapat diatasi
untuk mencapai tujuan manajemen risiko melalui rencana manajemen risiko
dunia maya yang diprioritaskan. Pendekatan berbasis risiko ini akan
memungkinkan organisasi untuk menerapkan sumber dayanya dengan cara yang
paling efektif.

3.5 Panduan ini menyajikan elemen fungsional yang mendukung manajemen

risiko cyber yang efektif. Elemen fungsional ini tidak berurutan - semua
harus bersamaan dan berkelanjutan dalam praktik dan harus digabungkan
dengan tepat dalam kerangka kerja manajemen risiko:

1. Identifikasi:
Tentukan peran dan tanggung jawab personel untuk manajemen risiko
dunia maya dan identifikasi sistem, aset, data, dan kemampuan yang,
ketika terganggu, menimbulkan risiko bagi operasi kapal..
2. Lindungi:
Terapkan proses dan tindakan pengendalian risiko, dan perencanaan
kontingensi untuk melindungi dari a peristiwa dunia maya dan
memastikan kelangsungan operasi pengiriman..
3. Deteksi:
Mengembangkan dan menerapkan kegiatan yang diperlukan untuk
mendeteksi peristiwa siber secara tepat waktu..
4. Menanggapi:
Mengembangkan dan menerapkan kegiatan dan rencana untuk memberikan
ketahanan dan memulihkan sistem yang diperlukan untuk operasi
pengapalan atau layanan terganggu karena peristiwa cyber..
5. Pulihkan:
Identifikasi langkah-langkah untuk mencadangkan dan memulihkan
sistem cyber yang diperlukan untuk operasi pengiriman yang terkena
dampak peristiwa cyber
3.6 Elemen fungsional ini mencakup aktivitas dan hasil yang diinginkan dari
manajemen risiko siber yang efektif di seluruh sistem kritis yang
memengaruhi operasi maritim dan pertukaran informasi, dan merupakan proses
yang berkelanjutan dengan mekanisme umpan balik yang efektif.

3.7 Manajemen risiko siber yang efektif harus memastikan tingkat kesadaran
yang tepat tentang risiko siber di semua tingkat organisasi. Tingkat
kesadaran dan kesiapan harus sesuai dengan peran dan tanggung jawab dalam
sistem manajemen risiko siber.

4 PRAKTIK TERBAIK UNTUK PENERAPAN MANAJEMEN RISIKO CYBER

4.1 Pendekatan manajemen risiko siber yang dijelaskan di sini memberikan

landasan untuk lebih memahami dan mengelola risiko siber, sehingga
memungkinkan a pendekatan manajemen risiko untuk mengatasi ancaman dan
kerentanan dunia maya. Untuk panduan terperinci tentang manajemen risiko
dunia maya, pengguna Panduan ini juga harus mengacu pada persyaratan
Pemerintah Anggota dan Administrasi Bendera, serta standar industri dan
internasional yang relevan dan praktik terbaik.

4.2 Panduan dan standar tambahan mungkin termasuk, tetapi tidak terbatas
pada:
1. Panduan tentang Kapal Onboard Keamanan Cyber yang diproduksi dan
didukung oleh BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF
dan IUMI
2. ISO / IEC 27001 standar tentang Teknologi informasi - Teknik
keamanan - Sistem manajemen keamanan informasi - Persyaratan.
Diterbitkan bersama oleh Organisasi Internasional untuk
Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC)
3. Institut Standar Nasional Amerika Serikat dan Kerangka Teknologi
untuk Meningkatkan Keamanan Siber Infrastruktur Kritis (Kerangka
NIST

4.3 Referensi harus dibuat sesuai dengan yang terbaru versi panduan atau
standar apa pun yang digunakan.