2.1 Tổng quan
2.1.1 Các công nghệ mạng đã trở thành một phần thiết yếu cho hoạt động và quản lý của nhiều hệ thống quan trọng đảm bảo sự an toàn và an ninh của hoạt động hàng hải và bảo vệ môi trường biển. Trong một số trường hợp, các hệ thống này phải tuân thủ các tiêu chuẩn quốc tế và các yêu cầu về Cơ quan quản lý đăng ký (Flag Administration). Tuy nhiên, các lỗ hổng được tạo ra bằng cách truy cập, kết nối hoặc nối mạng các hệ thống này có thể dẫn đến những rủi ro an toàn thông tincần được giải quyết. Các hệ thống dễ bị tổn thương có thể bao gồm, nhưng không giới hạn ở:
• Hệ thống cầu;
• Hệ thống xử lý và quản lý hàng hoá;
• Hệ thống kiểm soát truy nhập;
• Hệ thống phục vụ và quản lý hành khách;
• Mạng lưới công cộng phục vụ khách hàng;
• Hệ thống phúc lợi hành chính và thủy thủ đoàn; và
• Hệ thống thông tin liên lạc.
2.1.2 Cần xem xét sự phân biệt giữa các hệ thống công nghệ thông tin và các hệ thống công nghệ vận hành. Các hệ thống công nghệ thông tin có thể được coi là tập trung vào việc sử dụng dữ liệu làm thông tin. Hệ thống công nghệ vận hành có thể được định nghĩa là việc tập trung vào việc sử dụng dữ liệu để kiểm soát hoặc giám sát các quá trình vật lý. Hơn nữa, cần bảo đảm việc bảo vệ thông tin và trao đổi dữ liệu trong các hệ thống này.
2.1.3 Mặc dù các công nghệ và hệ thống này mang lại hiệu quả đáng kể cho ngành hàng hải nhưng chúng cũng gây ra những rủi ro đối với các hệ thống quan trọng và các quá trình liên quan đến vận hành của các hệ thống quan trọng của ngành hàng hải. Những rủi ro này có thể là kết quả của các lỗ hổng phát sinh từ việc vận hành, tích hợp, bảo trì và thiết kế không phù hợp các hệ thống liên quan đến mạng thông tin từ các vụ tấn công trên mạng có chủ ý và không chủ ý. 2.1.4 Các mối đe dọa phát sinh bởi các hành động độc hại (ví dụ như hack hoặc giới thiệu phần mềm độc hại) hoặc hậu quả không mong đợi của hành động thông thường (ví dụ như bảo trì phần mềm hoặc cấp phép người dùng). Nói chung, những hành động này làm lộ các lỗ hổng (ví dụ: phần mềm đã lỗi thời hoặc tường lửa không hiệu quả) hoặc khai thác lỗ hổng trong công nghệ hoạt động hoặc công nghệ thông tin. Quản lý rủi ro an toàn thông tin nếu muốn hiệu quả thì cần xem xét cả hai loại mối đe dọa.
2.1.5 Các lỗ hổng có thể là kết quả của những bất cập trong thiết kế, tích hợp và / hoặc bảo trì các hệ thống, cũng như những bất cập trong tuân thủ quy tắc an toàn thông tin. Nói chung, khi các lỗ hổng trong công nghệ vận hành và / hoặc công nghệ thông tin bị tiết lộ hoặc bị khai thác, hoặc trực tiếp (ví dụ như mật khẩu yếu dẫn đến truy cập trái phép) hoặc gián tiếp (ví dụ như không có phân tầng mạng), có thể có liên quan đến an ninh và tính bảo mật, tính toàn vẹn và sự sẵn có của thông tin. Ngoài ra, khi các lỗ hổng trong vận hành và / hoặc công nghệ thông tin bị tiết lộ hoặc bị khai thác, có thể ảnh hưởng đến an toàn, đặc biệt khi các hệ thống quan trọng (ví dụ như hệ thống cầu hoặc các hệ thống chuyển động chính) bị tổn hại.
2.1.6 Quản trị rủi ro an toàn thông tin hiệu quả cũng cần xem xét các tác động đến an toàn và an ninh do việc tiết lộ hoặc khai thác các lỗ hổng trong các hệ thống công nghệ thông tin. Điều này có thể là do kết nối không thích hợp với các hệ thống công nghệ vận hành hoặc do sai sót của các nhân viên vận hành hoặc bên thứ ba, điều này có thể gây tổn hại đến các hệ thống này (ví dụ như sử dụng không đúng phương tiện di động chẳng hạn như thanh nhớ).
2.1.7 Thông tin thêm về các lỗ hổng và mối đe dọa có thể được tìm thấy trong hướng dẫn bổ sung và các tiêu chuẩn được trình bày trong phần 4.
dẫn này đề xuất phương pháp tiếp cận quản lý rủi ro đối với rủi ro an toàn thông tin mang tính linh hoạt và có thể được thiết kế dưới dạng một phiên bản mở rộng của các thực hành quản lý an toàn và bảo mật hiện có.
2.1.9 Khi xem xét các nguồn tiềm năng của các mối đe dọa và lỗ hổng cũng như các chiến lược giảm thiểu rủi ro liên quan, cần phải cân nhắc một số lựa chọn kiểm soát tiềm năng đối với quản lý rủi ro an toàn thông tin, bao gồm nhiều hoạt động kiểm soát quản lý, điều hành, thủ tục và kỹ thuật.
2.2 Áp dụng
2.2.1 Các Hướng dẫn này chủ yếu dành cho tất cả các tổ chức trong ngành hàng hải và được thiết kế để khuyến khích các thực hành quản lý an toàn và bảo mật trong lĩnh vực mạng và thông tin. 2.2.2 Nhận thấy rằng các tổ chức trong ngành hàng hải, vận tải biển đều có những điểm khác nhau, các Hướng dẫn này được thể hiện theo nghĩa rộng để có thể áp dụng một cách rộng rãi. Các tàu thuyền có hệ thống công nghệ thông tin hạn chế có thể áp dụng Hướng dẫn một cách đơn giản ày là đủ; tuy nhiên, các tàu với các hệ thống công nghệ thông tin phức tạp có thể đòi hỏi mức độ thực hiện cao hơn và nên tìm kiếm các nguồn bổ sung thông qua các đối tác có uy tín và các đối tác của Chính phủ.
2.2.3 Các Hướng dẫn này chỉ mang tính chất khuyến nghị.