Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Gefahrgut/Transport / See / MSC

Siehe Fn. *

1 Der Schiffssicherheitsausschuss nahm auf seiner 101. Tagung (5. bis 14. Juni 2019) die Änderungen zum Plan zur Aufrechterhaltung des Dienstes für das LRIT-System (MSC.1/Circ.1376/Rev.3), die vom Unterausschuss "Navigation, Communications and Search and Rescue" (NCSR) auf seiner sechsten Tagung (16. bis 25. Januar 2019) erarbeitet wurden, an. Dieses Rundschreiben enthält diese Änderungen.

2 Die SOLAS-Vertragsregierungen werden aufgefordert, dieses Rundschreiben allen an der Betreibung von LRIT-Datenzentren und des internationalen LRIT-Datenaustausches Beteiligten zur Kenntnis zu bringen.

3 Dieses überarbeitete Rundschreiben ersetzt MSC.1/Circ.1376/Rev.3, das am 25. Mai 2018 herausgebracht wurde. Jeder Verweis auf MSC.1/Circ.1376/ Rev.3 ist fortan als Verweis auf dieses Rundschreiben zu verstehen.

Plan zur Aufrechterhaltung des Dienstes für das LRIT-System

1 Einleitung

1.1 Das System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (Long-Range Identification and Tracking - LRIT), das der weltweiten Identifizierung und Routenverfolgung von Schiffen dient, besteht aus der bordseitigen Ausrüstung zur Übertragung von LRIT-Daten, den/dem Kommunikationsdienstleister/n (Communication Service Provider - CSP), den/ dem Anwendungsdienstleister/n (Application Service Provider - ASP), dem LRIT-Datenzentrum bzw. den LRIT-Datenzentren (Data Centre - DC), einschließlich des zugehörigen Schiffsüberwachungssystems bzw. der zugehörigen Schiffsüberwachungssysteme (Vessel Monitoring System - VMS), dem LRIT-Datenverteilungsplan (Data Distribution Plan - DDP) und dem internationalen LRIT-Datenaustausch (International LRIT Data Exchange - IDE). Damit das LRIT-System effizient funktionieren kann, müssen alle Komponenten nahtlos zusammenarbeiten, um die "Endto-End"-Übertragung von Meldungen zwischen Datenzentren, die LRIT-Daten anfragen und denen, die diese zur Verfügung stellen, zu gewährleisten.

1.2 Die Bestimmungen der SOLAS-Regel V/19-1, die Überarbeiteten Leistungsanforderungen und Funktionsbedingungen für ein System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (LRIT) (die Überarbeiteten Leistungsanforderungen), die mit Entschließung MSC.263(84), in ihrer zuletzt geänderten Fassung, angenommen wurden, und das Rundschreiben Technische Dokumentation zum System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (Teil I) (MSC.1/ Rundschreiben 1259, in der überarbeiteten Fassung) beinhalten eine Reihe von Leistungserwartungen an die Systemkomponenten und damit an das LRIT-System als Ganzes.

1.3 LRIT-Daten werden den SOLAS-Vertragsregierungen und den Such- und Rettungsdiensten (SAR), die zum Empfang dieser Informationen berechtigt sind, auf Anfrage über ein System von nationalen, regionalen, kooperativen und internationalen Datenzentren zur Verfügung gestellt. Dazu werden einsetzbare Elemente, die durch den vom LRIT-Datenverteilungsplan-Server bereitgestellten LRIT-Datenverteilungsplan zur Verfügung gestellt werden, verwendet und der internationale LRIT-Datenaustausch für die Übertragung aller Meldungen zwischen den Datenzentren genutzt. Einzelne Datenzentren, der LRIT-Datenverteilungsplan-Server und der internationale LRIT-Datenaustausch sind voneinander abhängige wesentliche Systemkomponenten, die kontinuierlich aufrecht erhalten werden müssen, um die Erwartungen der SOLAS-Vertragsregierungen und der Such- und Rettungsdienste zu erfüllen, schnelle und zuverlässige LRIT-Daten zu empfangen.

1.4 Auch wenn die Datenzentren, der internationale LRIT-Datenaustausch und der LRIT-Datenverteilungsplan-Server so ausgelegt sind, dass sie den Vertragsregierungen und den Such- und Rettungsdiensten zeitnah die LRIT-Daten zur Verfügung stellen, zu deren Empfang sie berechtigt sind, entweder auf Anfrage oder aufgrund eines festen Auftrags, so ist doch zu berücksichtigen, dass der Betrieb dieser Systemkomponenten von Zeit zu Zeit ausgesetzt oder der Dienstumfang reduziert werden muss, um planmäßige oder unplanmäßige Wartung durchzuführen, um Hardware oder Software zu aktualisieren, um unvorhersehbare Ereignisse, wie böswillige Netzangriffe, zu bewältigen oder zu kontrollieren, um mit externen Ereignissen umzugehen, wie z.B. mit der Nichtverfügbarkeit von oder dem Zugang zu Telekommunikationsnetzen oder Internet, oder um dringende Reparaturen oder Wartungen durchzuführen, die nicht auf einen späteren Zeitpunkt verschoben werden können.

1.5 Das Rundschreiben "Procedures for the notification, reporting and recording of temporary suspensions of operations of, or reduction of the service provided by, components of the LRIT system" (Anlage 2 der Anlage von MSC.1/ Circ.1294, in seiner überarbeiteten Fassung), stellt Verfahren bereit, die die Datenzentren, der internationale LRIT-Datenaustausch und der LRIT-Datenverteilungsplan-Server befolgen müssen, wenn sie hervorzuhebende Informationen an andere Komponenten des LRIT-Systems und an den LRIT-Koordinator liefern, wenn sie wegen geplanter Maßnahmen oder unvorhergesehener Ereignisse ihren Betrieb vorübergehend aussetzen oder ihren Dienstumfang reduzieren müssen. Diese Verfahren enthalten auch Vorgaben für die Protokolle, die in diesen Fällen geführt werden müssen, sowie für deren Verfügbarkeit.

1.6 Die Verfahren für die vorübergehende Aussetzung des Betriebs oder die Reduzierung des Dienstumfangs sind ein erster Schritt bei der Erstellung eines umfassenderen Plans zur Aufrechterhaltung des Dienstes für das LRIT-System (der Plan zur Aufrechterhaltung des Dienstes). Kontinuitätsmanagement bezeichnet das Verfahren, durch das Pläne erstellt und verwaltet werden, um sicherzustellen, dass informationstechnologische Systeme wie das LRIT-System wiederhergestellt werden und ihren normalen Betrieb nach einer vorübergehenden Aussetzung des Betriebs, nach einer Reduzierung des Dienstumfangs oder auch nach einem schwerwiegenden Ausfall wieder aufnehmen können. Es geht dabei nicht nur um reaktive, sondern auch um präventive Maßnahmen - Maßnahmen, die das Risiko von Ausfallzeiten und das Eintreten von Störungen überhaupt reduzieren sollen.

1.7 Das LRIT-System stellt eine besondere Herausforderung dar, da es sich um ein eng verflochtenes und internationales System handelt. Der internationale LRIT-Datenaustausch, der LRIT-Datenverteilungsplan-Server und alle Betreiber von Datenzentren müssen eng zusammenarbeiten, um einen kontinuierlichen reibungslosen Betrieb des LRIT-Systems im Tagesgeschäft zu gewährleisten, wodurch im Falle eines Störfalls oder eines anderen unvorhergesehenen Ereignisses größere operative Entscheidungen in kürzester Zeit getroffen werden müssen. Ein Plan zur Aufrechterhaltung des Dienstes stellt den weltweit vereinbarten Rahmen für das Fällen dieser Entscheidungen bereit.

1.8 Störfallmanagement, welches sich in erster Linie mit Problembehebung befasst und damit, wie man das System wieder hochfahren und zum Laufen bringen kann, ist nur eine Komponente in einem Plan zur Aufrechterhaltung des Dienstes. Der Plan zur Aufrechterhaltung des Dienstes muss auch Problemmanagement beinhalten, das sich darauf konzentriert, die Ursache für ein Ereignis herauszufinden, und sich mit einem Änderungsmanagement überschneidet, um sicherzustellen, dass ein Problem nicht wiederholt auftritt.

1.9 Ein Änderungsmanagementplan für das LRIT-System ist daher eine wichtige Komponente des Plans zur Aufrechterhaltung des Dienstes. Einer der kritischen Punkte, für die eine Einigung erzielt werden muss, bezieht sich auf das Konzept für einen Änderungskontrollausschuss und eine übergreifende kontinuierliche Lenkung des LRIT-Systems. Dieser Plan beinhaltet Komponenten, die in einem solchen Ausschuss berücksichtigt werden müssen, ohne dass Vorschriften für dessen Zusammensetzung gemacht werden.

2 Vorübergehende Aussetzung im Vergleich zu Notfallwiederherstellung

2.1 Unterbrechungen bei der Aufrechterhaltung des Dienstes des LRIT-Systems können entweder durch eine geplante oder ungeplante vorübergehende Aussetzung oder Reduzierung des Dienstumfangs eines Systembestandteils hervorgerufen werden oder durch einen Gesamtausfall, der zu einem kritischen Fehler führt, der einen umfassenden Notfallwiederherstellungsplan mit den dazugehörigen Verfahren erfordert.

2.2 Der Plan zur Aufrechterhaltung des Dienstes beinhaltet Abläufe und Verfahren, die sich sowohl mit einer eher routinemäßigen vorübergehenden Aussetzung befassen als auch mit Maßnahmen, die im Falle eines kritischen Fehlers getroffen werden müssen. Auch wenn ein solcher Plan das System als Ganzes im Blick haben muss, da das LRIT-System aus drei Hauptkomponenten besteht: dem internationalen LRIT-Datenaustausch, dem LRIT-Datenverteilungsplan-Server und den einzelnen Datenzentren, müssen in ihm Maßnahmen festgelegt werden, die erstens im Falle einer vorübergehenden Aussetzung oder einer Reduzierung des Dienstumfangs jeder einzelnen Komponente und zweitens im Falle eines Notfalls, der zu einem kritischen Fehler bei einer einzelnen Komponente führt, getroffen werden müssen.

Folgenabschätzung: internationaler LRIT-Datenaustausch

2.3 Der internationale LRIT-Datenaustausch ist ein Nachrichtendienst, der für den Austausch von LRIT-Daten zwischen den Datenzentren zuständig ist, damit den Anwendern der LRIT-Daten ermöglicht wird, die Daten zu empfangen, zu deren Empfang sie berechtigt sind. Der internationale LRIT-Datenaustausch leitet LRIT-Daten zwischen den Datenzentren weiter unter Verwendung der Informationen, die vom LRIT-Datenverteilungsplan zur Verfügung gestellt werden. Jede Aussetzung des Betriebs oder Reduzierung des Dienstumfangs des internationalen LRIT-Datenaustausches hat direkte und sofortige Auswirkungen auf das gesamte LRIT-System. Ein kritischer Fehler des internationalen LRIT-Datenaustausches ohne einen umfassenden Notfallwiederherstellungsplan würde faktisch zu einem Zusammenbruch des LRIT-Systems führen. Daher ist der Betreiber des internationalen LRIT-Datenaustausches gefordert, 24 Stunden am Tag, 365 Tage im Jahr wichtige und sofortige operative Entscheidungen zu treffen.

Folgenabschätzung: LRIT-Datenverteilungsplan

2.4 Der LRIT-Datenverteilungsplan stellt operative Regeln zur Verfügung, die den Austausch von LRIT-Daten zwischen Datenzentren ermöglichen. Anders als beim internationalen LRIT-Datenaustausch, führt ein vorübergehender Ausfall des LRIT-Datenverteilungsplan-Servers mit der daraus resultierenden vorübergehenden Nichtverfügbarkeit von Meldungen und Downloads aus dem LRIT-Datenverteilungsplan nicht unbedingt dazu, dass das LRIT-System nicht weiter funktionieren kann, da trotzdem weiterhin Meldungen zwischen den Datenzentren über den internationalen LRIT-Datenaustausch ausgetauscht werden können, wenn die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans deaktiviert wird.

2.5 Die Nichtverfügbarkeit des LRIT-Datenverteilungsplan-Servers könnte sich jedoch abhängig vom Zeitpunkt der Nichtverfügbarkeit und davon, inwieweit es erforderlich ist, die letzte Version des LRIT-Datenverteilungsplans zu erhalten, insbesondere auf die Datenzentren oder den internationalen LRIT-Datenaustausch auswirken und kann daher möglicherweise schwerwiegende Auswirkungen auf den normalen Betrieb des LRIT-Systems als Ganzes haben.

2.6 Außerdem muss, um die Bestimmungen der SOLAS-Regel V/19-1 zu erfüllen, die Verfügbarkeit des LRIT-Datenverteilungsplan-Servers als genauso vorrangig betrachtet werden wie die des internationalen LRIT-Datenaustausches, um sicherzustellen, dass das System jederzeit nach den vorgeschriebenen Regeln funktionsfähig ist.

Folgenabschätzung: Datenzentrum

2.7 Die überarbeiteten Leistungsanforderungen schreiben vor, dass alle Datenzentren Systeme errichten und kontinuierlich warten müssen, die gewährleisten, dass LRIT-Datenanwender immer nur die LRIT-Daten empfangen, zu deren Empfang sie berechtigt sind, wie in SOLAS-Regel V/19-1 festgelegt. Um diese Bestimmungen zu erfüllen, müssen Datenzentren über Abläufe und Verfahren für den Umgang mit geplanten und ungeplanten Unterbrechungen in der Funktionsfähigkeit ihrer Systeme verfügen. Wenn ein Datenzentrum nicht funktionsfähig oder nur in geringerem Umfang funktionsfähig ist, hat dies Auswirkungen auf alle anderen Komponenten des Systems, die auf die pünktliche Aussendung von LRIT-Daten durch dieses Datenzentrum angewiesen sind. Daher wird erwartet, dass Datenzentren für den Fall eines Dienstausfalls eine 24-Stunden-Kontaktstelle bereitstellen, die im LRIT-Datenverteilungsplan angegeben ist.

3 Vorübergehende Aussetzung des Betriebs oder Reduzierung des Dienstumfangs

Benachrichtigungen zwischen den Komponenten des LRIT-Systems

3.1 Alle Benachrichtigungen zwischen den Komponenten des LRIT-Systems müssen unter Verwendung der in der aktuellen Version des LRIT-Datenverteilungsplans angegebenen Kontaktdaten erfolgen.

3.2 Der internationale LRIT-Datenaustausch muss in seiner administrativen Schnittstelle die nötige Funktionalität bieten, damit alle Benachrichtigungen gesendet und Hinweise bekannt gemacht und aktualisiert werden können.

3.3 Zugang zur administrativen Schnittstelle des internationalen LRIT-Datenaustausches muss für die Verantwortlichen für den Betrieb des internationalen LRIT-Datenaustausches, des LRIT-Datenverteilungsplan-Servers, aller Datenzentren und für den LRIT-Koordinator, wie im LRIT-Datenverteilungsplan aufgeführt, eingerichtet werden.

3.4 Immer wenn ein neuer Hinweis bekannt gemacht, aktualisiert oder entfernt wird, muss der internationale LRIT-Datenaustausch automatisch die Verantwortlichen für den Betrieb des internationalen LRIT-Datenaustausches, des LRIT-Datenverteilungsplan-Servers, aller Datenzentren sowie den LRIT-Koordinator, wie im LRIT-Datenverteilungsplan aufgeführt, informieren.

Geplante Maßnahmen, die eine vorübergehende Aussetzung des Betriebs oder eine Reduzierung des Dienstumfangs erfordern

3.5 Wenn für Komponenten des Systems eine vorübergehende Aussetzung des Betriebs oder eine Reduzierung des Dienstumfangs aufgrund geplanter Maßnahmen erforderlich ist, muss durch diese:

1. ein Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches mindestens fünf (5) Tage vor der vorübergehenden Aussetzung des Betriebs oder der Reduzierung des Dienstumfangs bekannt gemacht werden;
2. der Hinweis spätestens 24 Stunden vor der geplanten Maßnahme bestätigt werden; und
3. der Hinweis nach der Wiederaufnahme des normalen Betriebs entfernt werden.

3.6 Der Hinweis muss Informationen über die geplanten durchzuführenden Maßnahmen enthalten; die Daten und Zeiten angeben, zu denen die Maßnahmen durchgeführt werden; Informationen über die Auswirkungen der Maßnahmen geben (zum Beispiel, dass der internationale LRIT-Datenaustausch nicht oder der LRIT-Datenverteilungsplan-Server nur begrenzt zur Verfügung stehen würde); und, wenn möglich, auf Maßnahmen oder Vorkehrungen hinweisen, die andere Komponenten des LRIT-Systems treffen müssen, um eine schnelle und effiziente Wiederaufnahme des normalen Betriebs zu gewährleisten oder nachteilige Auswirkungen zu bewältigen. Wenn die Umstände dies rechtfertigen, kann ein Hinweis für eine Gruppe von Datenzentren erfolgen, vorausgesetzt, dass derjenige, der diese Benachrichtigung bekannt macht, entsprechend der Festlegungen des LRIT-Datenverteilungsplans dazu berechtigt ist.

3.7 In Abbildung 1 werden die Schritte dargestellt, die durchgeführt werden müssen, wenn es aufgrund von geplanten Maßnahmen zu einer Aussetzung des Betriebs oder zu einer Reduzierung des Dienstumfangs kommt:

Abbildung 1 - Flussdiagramm für Benachrichtigungen über geplante Ausfallzeiten

Unvorhergesehene Ereignisse, die eine vorübergehende Aussetzung des Betriebs oder eine Reduzierung des Dienstumfangs erfordern

3.8 Wird ein Problem festgestellt, muss das betroffene Datenzentrum, der internationale LRIT-Datenaustausch oder gegebenenfalls der LRIT-Datenverteilungsplan-Server zusammenarbeiten, um das Problem zu beheben. Dazu kann es erforderlich sein, mit anderen Komponenten des LRIT-Systems unter Verwendung der Kontaktdaten der im LRIT-Datenverteilungsplan zur Verfügung gestellten Kontaktstellen Kontakt aufzunehmen.

3.9 Nach Erkennen eines unvorhergesehenen Ereignisses, das eine vorübergehende Aussetzung des Betriebs oder eine Reduzierung des Dienstumfangs erfordert, oder der Benachrichtigung über solches, muss die betroffene Systemkomponente, der internationale LRIT-Datenaustausch oder gegebenenfalls der LRIT-Datenverteilungsplan-Server versuchen, das Problem zu beheben und die Funktionsfähigkeit dieser Komponente wiederherzustellen, und insbesondere:

1. einen Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekannt machen, in dem relevante Informationen zur Verfügung gestellt werden und über die erwartete Wiederaufnahme des Normalbetriebs informiert wird. Dieser Hinweis muss bei sich ergebenden Änderungen aktualisiert werden;
2. wenn nach 24 Stunden das Problem nicht behoben werden kann, das betriebliche Lenkungsorgan für LRIT informieren und das Problem zusammen mit den zu treffenden Maßnahmen und dem weiteren Vorgehen beschreiben; und
3. sobald die Systemkomponente den normalen Betrieb wieder aufnimmt oder wiederherstellt, den Hinweis von der administrativen Schnittstelle des internationalen LRIT-Datenaustausches entfernen.

3.10 Wenn das Problem vom internationalen LRIT-Datenaustausch oder dem LRIT-Datenverteilungsplan-Server festgestellt wird, muss die betroffene Systemkomponente kontaktiert werden, um das Problem zu beheben. Wenn die Systemkomponente nicht innerhalb von 24 Stunden kontaktiert werden kann, muss der internationale LRIT-Datenaustausch oder gegebenenfalls der LRIT-Datenverteilungsplan-Server im Namen der betroffenen Systemkomponente einen Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekannt machen.

3.11 Abbildung 2 stellt die Schritte dar, die durchgeführt werden müssen, wenn eine Aussetzung des Betriebs oder eine Reduzierung des Dienstumfangs aufgrund eines unvorhergesehenen Ereignisses erfolgt:

Abbildung 2 - Flussdiagramm für Benachrichtigungen über unvorhergesehene Ereignisse

Feststellung einer Minderung der LRIT-Leistung

3.12 Wenn der Betreiber des internationalen LRIT-Datenaustausches, des LRIT-Datenverteilungsplan-Servers oder eines Datenzentrums eine Minderung der LRIT-Leistung feststellt, die seiner Einschätzung nach auf Probleme einer anderen Komponente des LRIT-Systems zurückzuführen ist, müssen folgende Maßnahmen ergriffen werden:

1. bekannte auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekanntgegebene Probleme prüfen, um zu ermitteln, ob das Problem bereits von einer anderen Systemkomponente festgestellt wurde;
2. falls erforderlich, die auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches verfügbaren Tools zur Fehlersuche nutzen. Dazu kann zum Beispiel die Prüfung des Protokolls des internationalen LRIT-Datenaustausches zur Weiterleitung von LRIT-Meldungen oder andere Netzwerkfunktionen gehören;
3. wenn das festgestellte Problem auf eine andere Komponente des LRIT-Systems zurückzuführen ist, muss die betreffende Komponente unter Verwendung der im LRIT-Datenverteilungsplan zur Verfügung gestellten Kontaktdaten kontaktiert werden; und
4. wenn die betreffende Systemkomponente nach direkter Kontaktaufnahme nicht in der Lage ist, das Problem zu beheben, oder wenn die Systemkomponente sich über die Ursache des Problems nicht sicher ist und wenn das Problem die Funktionsfähigkeit des Systems herabsetzt oder dazu führt, dass das LRIT-System nicht entwurfsgetreu funktioniert, muss diese Systemkomponente die oben in den Absätzen 3.8 bis 3.10 wiedergegebenen Verfahren befolgen.

Routineprobleme

3.13 Nach den Technischen Spezifikationen für die Kommunikation innerhalb des LRIT-Systems (Anlage 3 der Anlage von MSC.1/Rundschreiben 1259, in seiner überarbeiteten Fassung), müssen die Datenzentren und gegebenenfalls der LRIT-Datenverteilungsplan-Server alle 30 Minuten Systemstatus-Meldungen an den internationalen LRIT-Datenaustausch senden. Diese werden übermittelt, um dem internationalen LRIT-Datenaustausch Informationen über den Betriebsstatus der betroffenen Systemkomponente zur Verfügung zu stellen.

3.14 Wenn der internationale LRIT-Datenaustausch acht (8) aufeinanderfolgende Systemstatus-Meldungen von einem bestimmten Datenzentrum nicht empfängt oder acht (8) aufeinanderfolgende Systemstatus-Meldungen mit dem Systemstatus-Wert "1" (nicht voll funktionsfähig), unbekannten Werten oder einer inkorrekten Versionsnummer des LRIT-Datenverteilungsplans empfängt oder wenn der internationale LRIT-Datenaustausch aufgrund eines Problems seitens des Empfängers acht (8) aufeinanderfolgende Systemstatus-Meldungen nicht erfolgreich an ein bestimmtes Datenzentrum oder den LRIT-Datenverteilungsplan-Server senden kann und von dem betroffenen Datenzentrum oder dem internationalen LRIT-Datenverteilungsplan-Server keine planmäßige oder unplanmäßige Benachrichtigung bzw. kein planmäßiger oder unplanmäßiger Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekannt gegeben wurde, muss der Betreiber des internationalen LRIT-Datenaustausches einen Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekannt geben und die oben in Absatz 3.12 wiedergegebenen Verfahren befolgen. Nach erfolgter Benachrichtigung muss das betroffene Datenzentrum bzw. der LRIT-Datenverteilungsplan-Server die oben in Absatz 3.9 wiedergegebenen Verfahren befolgen.

Probleme im Zusammenhang mit der Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans

3.15 Nach den Technischen Spezifikationen für den internationalen LRIT-Datenaustausch (Anlage 1 der Anlage von MSC.1/Rundschreiben 1259, in seiner überarbeiteten Fassung) muss der internationale LRIT-Datenaustausch funktionell in der Lage sein, die in allen LRIT-Meldungen enthaltene Versionsnummer des LRIT-Datenverteilungsplans mit der Versionsnummer der aktuell verfügbaren Version des LRIT-Datenverteilungsplans abzugleichen.

3.16 Der Betreiber des internationalen LRIT-Datenaustausches ist unter Umständen, die dazu führen können oder dazu geführt haben, dass eine größere Anzahl von Datenzentren und ihre jeweiligen) SOLAS-Vertragsregierungen) nicht mit der aktuell verfügbaren, vom internationalen LRIT-Datenausschuss umgesetzten Version des LRIT-Datenverteilungsplans übereinstimmen, berechtigt, die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans zu deaktivieren.

3.17 Nach Deaktivierung der Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans muss der Betreiber des internationalen LRIT-Datenaustausches die oben in Absatz 3.12 wiedergegebenen Verfahren befolgen.

3.18 Nach Behebung des Problems muss der internationale LRIT-Datenaustausch die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans aktivieren und alle Systemkomponenten entsprechend informieren.

Hochladen ungültiger Dateien aus dem LRIT-Datenverteilungsplan (böswillig oder versehentlich)

3.19 Die Fälle, in denen eine Datei des LRIT-Datenverteilungsplans, die vom LRIT-Datenverteilungsplan-Server zur Verfügung gestellt wird, ungültig ist oder nicht ordnungsgemäß verarbeitet werden kann, lassen sich in zwei Kategorien einteilen:

1. nicht korrekt abgebildeter Inhalt des LRIT-Datenverteilungsplans (d. h. invertierte Polygone oder andere im LRIT-Datenverteilungsplan enthaltene Daten, wobei der LRIT-Datenverteilungsplan nach dem XML-Schema gültig bleibt); und
2. eine Datei des LRIT-Datenverteilungsplans, die beschädigt oder auf sonstige Weise bezüglich des XML-Schemas ungültig ist.

3.20 Zusätzlich zu den in den Abschnitten 2.3.2 und 2.3.2A der Technischen Spezifikationen für die Kommunikation innerhalb des LRIT-Systems (Anlage 3 der Anlage von MSC.1/Rundschreiben 1259, in seiner überarbeiteten Fassung) sowie den oben in Absatz 3.12 wiedergegebenen Verarbeitungsverfahren des LRIT-Datenverteilungsplans, muss der Betreiber des LRIT-Datenverteilungsplan-Servers, nachdem er über ein Problem informiert wurde, folgende Maßnahmen ergreifen:

1. das gemeldete Problem analysieren und es bestätigen. Falls erforderlich, muss der Betreiber des LRIT-Datenverteilungsplan-Servers den internationalen LRIT-Datenaustausch auffordern, die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans zu deaktivieren;
2. alle Datenzentren, den internationalen LRIT-Datenaustausch und den LRIT-Koordinator müber das Problem informieren;
3. alle erforderlichen Maßnahmen ergreifen, damit alle betroffenen Versionen des LRIT-Datenverteilungsplans wieder gültig sind, wozu auch gehört, die nationalen Kontaktstellen der SOLAS-Vertragsregierungen) für LRIT-Angelegenheiten zu kontaktieren oder mit dem Problem zusammenhängende Daten zu entfernen oder zu ändern;
4. den internationalen LRIT-Datenaustausch kontaktieren und bestätigen, dass das Problem behoben ist; und
5. den normalen Betrieb wiederherstellen und alle Datenzentren, den internationalen LRIT-Datenaustausch und den LRIT-Koordinator informieren und auf alle notwendigen Maßnahmen, die beachtet oder ausgeführt werden müssen, hinweisen.

3.21 Das Sekretariat muss entsprechend an den Schiffssicherheitsausschuss über alle mit dem LRIT- Datenverteilungsplan zusammenhängende Probleme sowie ergriffene Maßnahmen berichten.

Sicherheitsgefährdung von PKI-Zertifikaten

3.22 Die Organisation, die als PKI-Zertifizierungsstelle (CA) handelt, stellt für die Test- und Produktionsumgebungen des LRIT-Systems zur Nutzung durch Datenzentren, den internationalen LRIT- Datenaustausch und den LRIT-Datenverteilungsplan-Server PKI-Zertifikate für die Kommunikation innerhalb des LRIT-Systems aus.

3.23 Wenn eine Systemkomponente ein Problem feststellt, durch das die Sicherheit eines PKI-Zertifikats gefährdet werden kann, muss die Zertifizierungsstelle, nachdem sie über dieses Problem informiert wurde, folgende Maßnahmen ergreifen:

1. sobald eine Sicherheitsverletzung im Zusammenhang mit einem PKI-Zertifikat bzw. Zertifikaten festgestellt wird, muss die Zertifizierungsstelle die Betreiber des internationalen LRIT-Datenaustausches und des LRIT-Datenverteilungsplan-Servers informieren. Die Betreiber des internationalen LRIT-Datenaustausches und des LRIT-Datenverteilungsplan-Servers müssen umgehend handeln und alle Kommunikationsvorgänge mit dem bzw. den sicherheitsgefährdeten PKI-Zertifikaten) deaktivieren;
2. das bzw. die sicherheitsgefährdeten PKI-Zertifikate) zu gegebener Zeit widerrufen und eine aktualisierte Liste der widerrufenen Zertifikate veröffentlichen. Falls erforderlich, muss die Zertifizierungsstelle die zuständige Person bei der betroffenen Komponente kontaktieren und weitere Informationen bezüglich des Problems anfordern. Die betroffene Systemkomponente kann nach den von der Organisation festgelegten Verfahren bei der Zertifizierungsstelle die Ausstellung eines neuen PKI-Zertifikats beantragen; und
3. ein neues PKI-Zertifikat bzw. neue PKI-Zertifikate für die betroffene Systemkomponente ausstellen, damit diese den normalen Betrieb wieder aufnehmen kann.

3.24 Jede Benachrichtigung über eine Sicherheitsgefährdung der PKI muss von der leitenden Person des Datenzentrums, des internationalen LRIT-Datenaustausches bzw. des LRIT-Datenverteilungsplan-Servers oder von einer benannten nationalen Kontaktstelle für LRIT-Angelegenheiten einer SOLAS-Vertragsregierung ausgehen.

3.25 Die betroffene Systemkomponente muss auch die Verfahren befolgen, die oben in Absatz 3.9 wiedergegeben werden.

3.26 Das Sekretariat muss entsprechend über jedes Problem im Zusammenhang mit PKI-Zertifikaten sowie alle ergriffenen Maßnahmen an den Schiffssicherheitsausschuss berichten.

PKI-Umstellungsverfahren

3.27 Folgende Verfahren müssen bei der PKI-Umstellung befolgt werden:

1. alle PKI-Zertifikate müssen zum gleichen Datum ablaufen;
2. die Zertifizierungsstelle muss vor, während und nach der Umstellung verfügbar sein;
3. das PKI-Umstellungsdatum muss mindestens zwei (2) Wochen vor dem Ablaufdatum der PKI-Zertifikate liegen;
4. neue PKI-Zertifikate müssen mindestens zwei (2) Wochen vor dem Umstellungsdatum verteilt werden; und
5. Anträge auf Ausstellung von neuen PKI-Zertifikaten müssen mindestens sechs (6) Wochen vor dem PKI-Umstellungsdatum eingereicht werden.

4 LRIT-Notfallwiederherstellung
(Disaster Recovery (DR))

4.1 Notfallwiederherstellung des internationalen LRIT-Datenaustausches

Kritische Fehlerfälle

4.1.1 Ein kritischer Fehlerfall kann sich ergeben, wenn ein kritischer Fehler (z.B. ein anhaltender Stromausfall, eine anhaltende Verschlechterung der Netzwerkverbindung usw.) am Hauptstandort (host site) des internationalen LRIT-Datenaustausches auftritt und eine Wiederherstellung auf Hardware am lokalen Hauptstandort nicht möglich ist und deshalb auf die Hardware am Notfallwiederherstellungs-Standort (disaster recovery site) des internationalen LRIT-Datenaustausches umgeschaltet werden muss.

4.1.2 Es ist davon auszugehen, dass die Fähigkeit zur Notfallwiederherstellung (DR) des internationalen LRIT-Datenaustausches entweder vom Hauptbetreiber des internationalen LRIT-Datenaustausches oder einer anderen Stelle bereitgestellt wird.

Planungsaspekte für die Notfallwiederherstellung (DR) des internationalen LRIT-Datenaustausches

4.1.3 Nach der Technischen Dokumentation zum System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (Teil I) (MSC.1/ Rundschreiben 1259, in seiner überarbeiteten Fassung) muss der internationale LRIT-Datenaustausch einen Notfallwiederherstellungs-Standort haben, der ganzjährig 24 Stunden am Tag zugänglich ist.

4.1.4 Der Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches muss:

1. abgesehen von einem teilweisen Zugang zum Protokoll des internationalen LRIT-Datenaustausches während des Zeitraums der Notfallwiederherstellung voll funktionsfähig sein;
2. über externe Speicherung sowohl vollständiger als auch inkrementeller Backups verfügen, einschließlich Backups des Protokolls; und
3. mindestens alle sechs (6) Stunden eine Daten- und PKI-Synchronisierung mit der Produktionsumgebung des LRIT-Systems vornehmen. Der internationale LRIT-Datenaustausch darf nur für einen Zeitraum von maximal vier (4) Stunden offline sein. Wird der Zeitraum für die Synchronisierung auf sechs (6) Stunden gesetzt, besteht für den internationalen LRIT-Datenaustausch ein bekanntes Risiko für einen Verlust der Protokolldaten eines Zeitraums von bis zu 10 Stunden.

4.1.5 Der Betreiber des internationalen LRIT-Datenaustausches muss sich der bestehenden Firewall-Beschränkungen beim Notfallwiederherstellungs-Standort bewusst sein und er muss sicherstellen, dass für die IP-Adressen, die auf das Produktionssystem zugreifen, keine Beschränkungen für den Notfallwiederherstellungs-Standort bestehen.

4.1.6 Um eine Umschaltung im Fehlerfall zum Notfallwiederherstellungs-Standort einzurichten, ist eine Änderung des Domänennamen-Servers (DNS) erforderlich. Die meisten Systeme sind so eingerichtet, dass sie alle 15 Minuten automatisch aktualisiert werden. Der DNS-Eintrag für den internationalen LRIT-Datenaustausch muss so eingerichtet sein, dass er alle 10 Minuten abläuft und aktualisiert wird. Sollte dies jedoch nicht automatisch erfolgen, kann ein Neustart einiger Systemkomponenten erforderlich sein, um die Aktualisierung auszulösen. Nach der Aktualisierung oder dem Neustart müssen alle Systemkomponenten betriebsbereit sein.

4.1.7 Während der internationale LRIT-Datenaustausch zum Notfallwiederherstellungs-Standort umschaltet, muss die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans deaktiviert werden, bis der Betreiber des internationalen LRIT-Datenaustausches bestätigt, dass das System stabil ist.

Notfallwiederherstellungs-Testplan für den internationalen LRIT-Datenaustausch

4.1.8 Die Notfallwiederherstellung (DR) für den internationalen LRIT-Datenaustausch muss in der Produktionsumgebung nach Festlegung des Betreibers des internationalen LRIT-Datenaustausches einmal im Jahr getestet werden. Der internationale LRIT-Datenaustausch muss die in den Verfahren für eine vorübergehende Aussetzung des Betriebs und Reduzierung des Dienstumfangs festgelegten Benachrichtigungsverfahren befolgen. Die Umstellung des internationalen LRIT-Datenaustausches auf Notfallwiederherstellung in der Produktionsumgebung muss dem betrieblichen Lenkungsorgan für LRIT ² im Voraus angekündigt werden. Über kritische Faktoren für den Erfolg des geplanten Tests muss ebenfalls im Rahmen des Benachrichtigungsverfahrens informiert werden.

Notfallwiederherstellungs-Management für den internationalen LRIT-Datenaustausch

4.1.9 Der internationale LRIT-Datenaustausch muss auf den Notfallwiederherstellungs-Standort umgeschaltet werden, wenn nach Schätzung des Betreibers des internationalen LRIT-Datenaustausches mehr als zwei (2) Stunden benötigt werden, um einen ungeplanten Ausfall zu beheben. Die Umstellung kann bis zu zwei (2) Stunden dauern. Das führt im Falle eines kritischen Fehlers des internationalen LRIT-Datenaustausches am Hauptstandort zu einer Nichtverfügbarkeit der Leistung von bis zu vier (4) Stunden, bevor der normale Betrieb am Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches wieder aufgenommen wird.

Benachrichtigungsverfahren

4.1.10 Nach Aktivierung des Notfallwiederherstellungs-Verfahrens für den internationalen LRIT-Datenaustausch, muss der Betreiber des internationalen LRIT-Datenaustausches alle Datenzentren, den LRIT-Datenverteilungsplan-Server und den LRIT-Koordinator darüber informieren, dass die Notfallwiederherstellung des internationalen LRIT-Datenaustausches aktiviert wird. Sollte aus irgendwelchen Gründen der internationale LRIT-Datenaustausch diese Kommunikation nicht vornehmen können, muss der Betreiber des internationalen LRIT-Datenaustausches den Betreiber des LRIT-Datenverteilungsplan-Servers kontaktieren und ihn auffordern, die Kommunikation vorzunehmen.

4.1.11 Wenn der Betreiber des Notfallwiederherstellungs-Standorts des internationalen LRIT-Datenaustausches feststellt, dass drei (3) oder mehr Systemstatus-Meldungen nicht erfolgten und keine geplante oder ungeplante Benachrichtigung bzw. kein geplanter oder ungeplanter Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekanntgegeben wurde, muss der Betreiber des Notfallwiederherstellungs-Standorts des internationalen LRIT-Datenaustausches versuchen, den Betreiber des internationalen LRIT-Datenaustausches zu kontaktieren, um die Ursache des Problems herauszufinden. Wenn der Betreiber des Notfallwiederherstellungs-Standorts des internationalen LRIT-Datenaustausches den internationalen LRIT-Datenaustausch nicht innerhalb von 30 Minuten kontaktieren kann, müssen über den Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches alle Datenzentren und der LRIT-Koordinator darüber informiert werden, dass es ein Problem beim internationalen LRIT-Datenaustausch gibt und dass das Verfahren für die Umschaltung im Fehlerfall zum Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches eingeleitet wird.

4.1.12 Sobald der Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches in Betrieb gesetzt wurde, muss der internationale LRIT-Datenaustausch alle Datenzentren, den LRIT-Datenverteilungsplan-Server und den LRIT-Koordinator informieren und darauf hinweisen, dass die Notfallwiederherstellung des internationalen LRIT-Datenaustausches betriebsbereit ist und begonnen wird, dass jetzt der Notfallwiederherstellungsplan Anwendung findet und die zuvor vereinbarten und dokumentierten Anweisungen umgesetzt werden müssen.

4.1.13 Der Betrieb des internationalen LRIT-Datenaustausches muss am Notfallwiederherstellungs-Standort des internationalen LRIT-Datenaustausches verbleiben, solange dies notwendig ist und bis der Betreiber des internationalen LRIT-Datenaustausches bestätigt, dass der Hauptstandort für eine Wiederaufnahme des normalen Betriebs bereit ist. Sobald der Hauptstandort betriebsbereit ist, muss der Betreiber des internationalen LRIT-Datenaustausches mindestens 24 Stunden vor der Wiederumstellung des Betriebs zum Hauptstandort alle Datenzentren, den LRIT-Datenverteilungsplan-Server und den LRIT-Koordinator informieren.

4.1.14 Nach Wiederaufnahme des Betriebs am Hauptstandort muss der Betreiber des internationalen LRIT-Datenaustausches einen Bericht in der Form, wie es in den Verfahren für die vorübergehende Aussetzung des Betriebs und Reduzierung des Dienstumfangs gefordert wird, erstellen.

Notwendige Voraussetzungen für die Notfallwiederherstellung des internationalen LRIT-Datenaustausches

4.1.15 Umfassende 24/7-Unterstützung und 24/7-Betrieb des LRIT-Datenverteilungsplan-Servers, um die Aktualisierung des Endpunktes für die PKI zu ermöglichen und das Benachrichtigungsverfahren, falls notwendig, zu unterstützen.

4.1.16 Synchronisierung mit der Produktionsumgebung des LRIT-Systems (Daten, PKI-Zertifikate).

4.2 Notfallwiederherstellung des LRIT-Datenverteilungsplan-Servers

Kritische Fehlerfälle

4.2.1 Ein kritischer Fehlerfall kann sich ergeben, wenn ein kritischer Fehler, der den normalen Betrieb innerhalb des LRIT-Systems verhindert (z.B. ein anhaltender Stromausfall, eine anhaltende Verschlechterung der Netzwerkverbindung usw.) am Hauptstandort (host site) des LRIT-Datenverteilungsplan-Servers auftritt und eine Wiederherstellung auf Hardware am lokalen Hauptstandort nicht möglich ist und deshalb auf die Hardware am Notfallwiederherstellungs-Standort (disaster recovery site) des LRIT-Datenverteilungsplan-Servers umgeschaltet werden muss.

4.2.2 Es ist davon auszugehen, dass die Fähigkeit zur Notfallwiederherstellung (DR), einschließlich einer 24-Stunden-Überwachung des Betriebssystems zur Problemlösung und der Handhabung der Umschaltung im Fehlerfall auf Notallwiederherstellung des LRIT-Datenverteilungsplan-Servers, von der Organisation bereitgestellt wird.

Planungsaspekte für den Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers

4.2.3 Nach der Technischen Dokumentation zum System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (Teil I) (MSC.1/ Rundschreiben 1259, in seiner überarbeiteten Fassung) muss der Zugang zu einem Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers ganzjährig 24 Stunden am Tag zur Verfügung stehen.

4.2.4 Im Falle eines ungeplanten Ausfalls hat der Betreiber des LRIT-Datenverteilungsplan-Servers zwei (2) Stunden Zeit, das Problem zu beheben und die Funktionsfähigkeit des LRIT-Datenverteilungsplan-Servers wiederherzustellen. Wenn von Anfang an geschätzt wird, dass mehr als zwei (2) Stunden zur Behebung des Problems benötigt werden oder wenn nach zwei (2) Stunden die Funktionsfähigkeit nicht wiederhergestellt werden kann, muss die Umstellung auf den Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers eingeleitet werden. Die Umstellung kann bis zu zwei (2) Stunden dauern. Das kann im Falle eines kritischen Fehlers am Hauptstandort des LRIT-Datenverteilungsplan-Servers zu einer Nichtverfügbarkeit des Dienstes von bis zu vier (4) Stunden führen, bis der normale Betrieb am Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers wieder aufgenommen wird.

Die Infrastruktur der Notfallwiederherstellung

4.2.5 Das am Notfallwiederherstellungs-Standort verortete System des LRIT-Datenverteilungsplan-Servers muss betrieblich voll funktionsfähig sein und alle Leistungen, die während eines normalen Betriebs am Hauptstandort verfügbar sind, zur Verfügung stellen. Der Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers muss fortlaufend aufrecht erhalten und mit dem System des LRIT-Datenverteilungsplan-Servers am Hauptstandort synchronisiert werden, damit eine Notfallumschaltung jederzeit möglich ist.

4.2.6 Um die technischen Herausforderungen innerhalb angemessener Grenzen zu halten, kann der Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers bis zu sechs (6) Stunden hinter dem LRIT-Datenverteilungsplan-Server am Hauptstandort während des normalen Betriebs zeitverzögert laufen. Folglich können Systemdaten von bis zu sechs (6) Stunden unwiderruflich verloren gehen, wenn der Notfallwiederherstellungsplan zur Anwendung kommt.

4.2.7 Die Umstellung auf den Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers während einer Umschaltung im Fehlerfall muss so nahtlos wie möglich vor sich gehen, um die Auswirkungen auf das LRIT-System so gering wie möglich zu halten. Der DNS-Eintrag des LRIT-Datenverteilungsplan-Servers muss so eingerichtet werden, dass er alle 10 Minuten abläuft und aktualisiert wird, um seine IP-Adresse am Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers anzuzeigen. Dadurch wird vermieden, dass die Webservice-URI des LRIT-Datenverteilungsplan-Servers geändert und somit ein gesondertes PKI-Zertifikat für den Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers ausgestellt werden muss. Die IP-Adresse des Notfallwiederherstellungs-Standorts des LRIT-Datenverteilungsplan-Servers muss allen Komponenten des LRIT-Systems rechtzeitig im Voraus mitgeteilt werden, damit Firewalls und andere Routing-Geräte so eingestellt werden können, dass sie die normale Kommunikation mit dem LRIT-Datenverteilungsplan-Server an seinem Notfallwiederherstellungs-Standort zulassen.

4.2.8 Der LRIT-Datenverteilungsplan-Server muss an geplanten Tests zur Umschaltung des LRIT-Systems auf Notfallwiederherstellung teilnehmen und diese zusammen mit allen anderen Komponenten nach den für diese Tests beschlossenen Verfahren ausführen.

4.2.9 Es wird darauf hingewiesen, dass der LRIT-Datenverteilungsplan-Server als eine Komponente des GISIS-Systems eingesetzt wird und alle Bestimmungen für die Notfallwiederherstellung und die mit Tests der Notfallwiederherstellung zusammenhängenden Ausfallzeit für das gesamte GISIS-System gelten, einschließlich des Zugangs zu allen Modulen durch die Mitgliedstaaten und die Öffentlichkeit.

Benachrichtigungsverfahren

4.2.10 Bei Einleitung des Verfahrens der Notfallwiederherstellung des LRIT-Datenverteilungsplan-Servers muss der Betreiber des LRIT-Datenverteilungsplan-Servers alle Datenzentren, den internationalen LRIT-Datenaustausch und den LRIT-Koordinator darüber informieren, dass die Notfallwiederherstellung des LRIT-Datenverteilungsplan-Servers in Betrieb gesetzt wird. Wenn der LRIT-Datenverteilungsplan-Server aus irgendwelchen Gründen die Kommunikation nicht vornehmen kann, muss der Betreiber des LRIT-Datenverteilungsplan-Servers den Betreiber des internationalen LRIT-Datenaustausches kontaktieren und auffordern, die Kommunikation vorzunehmen. Falls erforderlich, muss der Betreiber des LRIT-Datenverteilungsplan-Servers den internationalen LRIT-Datenaustausch auffordern, die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans zu deaktivieren.

4.2.11 Wenn der Betreiber des internationalen LRIT-Datenaustausches feststellt, dass drei (3) oder mehr Systemstatus-Meldungen nicht erfolgten und keine geplante oder ungeplante Benachrichtigung oder kein geplanter oder ungeplanter Hinweis auf der administrativen Schnittstelle des internationalen LRIT-Datenaustausches bekanntgegeben wurde, muss der Betreiber des internationalen LRIT-Datenaustausches versuchen, den Betreiber des LRIT-Datenverteilungsplan-Servers zu kontaktieren, um die Ursache des Problems herauszufinden. Wenn der Betreiber des internationalen LRIT-Datenaustausches nicht innerhalb von 30 Minuten in der Lage ist, den LRIT-Datenverteilungsplan-Server zu kontaktieren, muss der internationale LRIT-Datenaustausch alle Datenzentren und den LRIT-Koordinator darüber informieren, dass es ein Problem mit dem LRIT-Datenverteilungsplan-Server gibt und dass das Verfahren für die Umschaltung im Fehlerfall des LRIT-Datenverteilungsplan-Servers zum Notfallwiederherstellungs-Standort eingeleitet werden könnte.

4.2.12 Sobald der Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers in Betrieb gesetzt wurde, muss der Betreiber des LRIT-Datenverteilungsplan-Servers alle Datenzentren, den internationalen LRIT-Datenaustausch und den LRIT-Koordinator darüber informieren, dass die Notfallwiederherstellung des LRIT-Datenverteilungsplan-Servers betriebsbereit ist und begonnen wird, dass jetzt der Notfallwiederherstellungsplan Anwendung findet und die zuvor vereinbarten und dokumentierten Anweisungen umgesetzt werden müssen.

4.2.13 Der Betreiber des LRIT-Datenverteilungsplan-Servers muss auch den internationalen LRIT-Datenaustausch kontaktieren und bestätigen, dass die Versionsnummern des LRIT-Datenverteilungsplans sich in der richtigen Reihenfolge befinden. Wenn nach der Wiederherstellung der Funktionsfähigkeit des LRIT-Datenverteilungsplan-Servers am Notfallwiederherstellungs-Standort die Versionen des LRIT-Datenverteilungsplans des internationalen LRIT-Datenaustausches und/oder der Datenzentren nicht mehr mit der aktuellen durch den LRIT-Datenverteilungsplan-Server bereitgestellten Version synchronisiert werden, muss der Betreiber des LRIT-Datenverteilungsplan-Servers die notwendigen Maßnahmen ergreifen, um eine neue Version des LRIT-Datenverteilungsplans mit einer geeigneten Versionsnummer zu veröffentlichen, um sicherzustellen, dass alle Komponenten die neue Version des LRIT-Datenverteilungsplans abrufen und einheitlich nutzen können. Währenddessen muss die Prüffunktion für die Versionsnummer des LRIT-Datenverteilungsplans so lange deaktiviert bleiben, bis alle Datenzentren und der internationale LRIT-Datenaustausch die aktuelle/ neue Version des LRIT-Datenverteilungsplans einsetzen können.

4.2.14 Der LRIT-Datenverteilungsplan-Server muss am Notfallwiederherstellungs-Standort des LRIT-Datenverteilungsplan-Servers verbleiben, solange dies notwendig ist und bis der Betreiber des LRIT-Datenverteilungsplan-Servers bestätigt, dass der Hauptstandort für eine Wiederaufnahme des normalen Betriebs bereit ist. Sobald der Hauptstandort betriebsbereit ist, muss der Betreiber des LRIT-Datenverteilungsplan-Servers mindestens 24 Stunden vor der Wiederumstellung des Betriebs zum Hauptstandort alle Datenzentren, den internationalen LRIT-Datenaustausch und den LRIT-Koordinator informieren.

4.2.15 Nach Wiederaufnahme des Betriebs am Hauptstandort muss der Betreiber des LRIT-Datenverteilungsplan-Servers einen Bericht erstellen, wie es in den Verfahren für die vorübergehende Aussetzung des Betriebs und Reduzierung des Dienstumfangs gefordert wird.

Notwendige Voraussetzungen für die Notfallwiederherstellung des LRIT-Datenverteilungsplan-Servers

4.2.16 Umfassende 24/7-Unterstützung und 24/7-Betrieb des internationalen LRIT-Datenaustausches, um das Benachrichtigungsverfahren, falls notwendig, zu unterstützen.

4.2.17 Synchronisierung mit der Produktionsumgebung des LRIT-Systems (Daten, PKI-Zertifikate).

.

1 Das LRIT-System erfordert als internationales Betriebssystem eine festgeschriebene Lenkungsstruktur. Es gab und wird Probleme beim Betrieb des LRIT-Systems geben, die umgehende Entscheidungen oder Maßnahmen zur Sicherung des Systems notwendig machen. Die Probleme, mit denen das System konfrontiert werden kann, können zahlreicher Natur sein. Sie reichen von der Frage, wann es erforderlich ist, ein LRIT-Datenzentrum (DC) vom internationalen LRIT-Datenaustausch (IDE) zu trennen, über die Frage, wie die Testverfahren zur Änderung und Einführung neuer Schemata zu prüfen sind, bis hin zu der Frage, ob eine neue Meldung oder Funktion dem System hinzugefügt werden sollte, und so weiter. Einige dieser Fragen erfordern umgehende Maßnahmen, andere weitere Analysen, und wieder andere eine Entscheidung auf hoher Ebene.

2 Für die Beschäftigung mit diesen verschiedenartigen Fragen wurden die folgenden vier Lenkungsebenen festgelegt:

1. .Umgehende Entscheidung: Die verschiedenen Komponenten des LRIT-Systems werden ständig von den einzelnen Betreibern überwacht. Unter bestimmten Umständen müssen die Betreiber des internationalen LRIT-Datenaustausches, des LRIT-Datenverteilungsplan-Servers und der Datenzentren umgehende Entscheidungen zur Problembehebung und Stabilisierung der betroffenen Komponente treffen.
2. Betriebliche Lenkung: Nachdem durch die Betreiber eine umgehende Entscheidung getroffen wurde, muss, wenn der normale Betrieb innerhalb von 24 Stunden nicht wieder aufgenommen werden kann, das betriebliche Lenkungsorgan für LRIT, wie unten festgelegt, hinzugezogen werden, um zu entscheiden, wie am besten zu verfahren ist.
3. .3 Kontrolle von Änderungen: Die Architektur, der Entwurf und der Betrieb des LRIT-Systems werden im Rahmen der SOLAS-Regel V/19-1, der Überarbeiteten Leistungsanforderungen (Entschließung MSC.263(84), in ihrer zuletzt geänderten Fassung) und der Technischen Dokumentation zum System zur Identifizierung und Routenverfolgung von Schiffen über große Entfernungen (Teil I und II) (MSC.1/Rundschreiben 1259 bzw. MSC.1/ Circ.1294, jeweils in der überarbeiteten Fassung) festgelegt. Die SOLAS-Regel V/19-1 und die Überarbeiteten Leistungsanforderungen fallen in den Zuständigkeitsbereich des Ausschusses. Die technischen Spezifikationen für das LRIT-System können vom NCSR-Unterausschuss, vorbehaltlich der Prüfung und Annahme der entsprechenden Änderungen) durch den Ausschuss, vorläufig geändert und angenommen werden.
4. Aufsicht: Der Schiffssicherheitsausschuss ist das Aufsichtsorgan für das gesamte LRIT-System. Alle wichtigen Fragen müssen dem Ausschuss regelmäßig berichtet werden, damit dieser die jeweiligen) Fragen) prüft und über die geeignetsten) Maßnahmen) befindet.

Das betriebliche Lenkungsorgan für LRIT

3 Das betriebliche Lenkungsorgan für LRIT besteht aus einem Vertreter des internationalen LRIT-Datenaustausches, einem Vertreter des Notfallwiederherstellungs-Standorts des internationalen LRIT-Datenaustausches und einem Vertreter des IMO-Sekretariats.

4 Wenn das LRIT-System mit einer Notfallsituation oder einem böswilligen Angriff konfrontiert wird, muss das betriebliche Lenkungsorgan für LRIT die zu ergreifenden Maßnahmen festlegen, um das System bestmöglich zu schützen, die Ausweitung des Problems bzw. der Probleme auf andere Komponenten des Systems einzudämmen, die Aufrechterhaltung des Dienstes zu gewährleisten und den normalen Betrieb wiederherzustellen.

5 Das betriebliche Lenkungsorgan für LRIT kann auch wichtige technische Empfehlungen zur Verbesserung der Leistungsfähigkeit, Wirksamkeit und Sicherheit des LRIT-Systems abgeben. Alle relevanten Ergebnisse oder Empfehlungen des betrieblichen Lenkungsorgans für LRIT müssen dem NCSR-Unterausschuss durch das Sekretariat vorgelegt werden.

6 Die Zusammensetzung des betrieblichen Lenkungsorgans für LRIT könnte in Zukunft überprüft werden. Für eine effektive und effiziente Arbeit des Organs muss die Mitgliederzahl relativ klein sein, Mitglieder sollten vorzugsweise Einzelpersonen sein und Beschlüsse müssen einvernehmlich getroffen werden. Diesem Organ muss immer ein Vertreter des internationalen LRIT-Datenaustausches und des Notfallwiederherstellungs-Standorts des internationalen LRIT-Datenausschusses angehören, da der internationale LRIT-Datenaustausch eine wichtige zentrale Komponente des Systems ist, sowie ein Vertreter des Sekretariats. Die Frage, ob weitere Mitglieder notwendig wären, muss noch weiter besprochen werden.

7 Das betriebliche Lenkungsorgan für LRIT muss regelmäßig (möglicherweise in zweiwöchentlichen Abständen über Telefonkonferenz, falls erforderlich) zusammenkommen, um den Betrieb des LRIT-Systems zu besprechen und sicherzustellen, dass alle betrieblichen Fragen besprochen werden.

_____
*) Durch die Dienststelle Schiffssicherheit der BG Verkehr wird hiermit das Rundschreiben des Schiffssicherheitsausschusses MSC der IMO MSC.1/Rundschreiben 1376/Rev.4, "Plan zur Aufrechterhaltung des Dienstes für das LRIT-System", in deutscher Sprache amtlich bekannt gemacht.

ENDE