Руководство РМРС не содержит прямых указаний компаниям, как управлять кибербезопасностью и как эти части должны быть интегрированы в СУБ, а также не содержит указаний по разработке отдельных документов (планов, руководств) по этому вопросу.
В Руководстве указано, что специфические требования, связанные с управлением киберрисками, каждая компания может вносить в существующую СУБ. Эти вопросы компания определяет самостоятельно. Указано лишь, что такая интеграция в СУБ должна соответствовать резолюции ИМО MSC.428(98) и циркуляру ИМО MSC-FAL.1/Circ.3 «Руководство по управлению киберрисками в морской отрасли», что позволит компаниям избежать дополнительных административных и финансовых нагрузок (п. 5.1.4 Руководства).
Дополнительно Руководство РМРС указывает, какие разделы должны быть включены в соответствующую интегрированную процедуру СУБ: цели и политика, оценка риска, ресурсы и персонал, отчеты и т. п.
Руководство содержит рекомендации по проектированию, изготовлению, обслуживанию и проведению испытаний судовых компьютеризированных систем, а также определяет рекомендации, применимые к системам управления безопасностью (СУБ). Рекомендации Руководства направлены на реализацию положений резолюции ИМО MSC.428(98) «Управление киберрисками в морской отрасли в рамках систем управления безопасностью», в соответствии с которыми, не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК), после 01 января 2021 года необходимо учитывать киберриски в СУБ согласно положениям циркуляра ИМО MSC-FAL.1/Circ.3 «Руководство по управлению киберрисками в морской отрасли».
Большая часть Руководства относится к требованиям РМРС к судам, контракт на постройку которых заключен 01 января 2021 года или после этой даты.
В отношении Систем управления безопасностью (СУБ) Руководством предусмотрено следующее:
- после 01 января 2021 года киберриски необходимо учитывать в СУБ, которую должна разработать, задействовать и поддерживать каждая компания в соответствии с требованиями МКУБ;
- при освидетельствовании СУБ в компаниях и на судах после 01 января 2021 года, наряду с оценкой эффективности выполнения элементов МКУБ, должны быть оценены принятые каждой Компанией меры по оценке и управлению киберрисками;
- должна быть проведена оценка рисков, связанных с кибератаками или киберинцидентами в соответствии с процедурами оценки рисков установленными в СУБ;
- определены кадровые решения по управлению кибербезопасностью;
- определены данные и ресурсы, при сбое в работе которых возникают риски, связанные с выполнением судовых операций;
- разработаны защитные меры на случаи сбоев в работе компьютеризированных систем для обеспечения непрерывности выполнения морских операций;
- разработаны и реализованы меры для своевременного обнаружения сбоев в работе компьютеризированных систем;
- определены меры по резервному копированию и восстановлению компьютеризированных систем в случае нарушения их работы.