Kapittel 7 Beskyttelse av driftskontrollsystem
|
|
- Greta Didriksen
- 8 år siden
- Visninger:
Transkript
1 Velkommen til sesjon om Kapittel 7 Beskyttelse av driftskontrollsystem Frank Skapalen og Øystein Gåserud Seksjon for beredskap Seminar om beredskapsforskriften 13. februar 2013
2 Forord Denne presentasjonen ble gitt 13. februar 2013 i forbindelse med NVEs konferanse om ny beredskapsforskrift I PDF-utgaven (den du ser på nå) er det lagt ved ytterligere presentasjonsark som ikke ble gjennomgått under konferansen Bakerst er det også lagt ved en litteraturliste knyttet til en rekke av temaene i denne presentasjonen.
3 Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen, send epost til: bfe@nve.no Alle spørsmål og innspill vi mottar til denne adressen mottas med takk! Ingen får direkte svar, men du kan påvirke teksten i veiledningen som kommer !
4 Det største kapittelet i ny forskrift 7-1. Generell plikt til å beskytte driftskontrollsystemet 7-2. Overordnede sikkerhetsregler 7-3. Dokumentasjon av driftskontrollsystemet 7-4. Kontroll med brukertilgang 7-5. Kontroll ved endringer i driftskontrollsystemet 7-6. Kontroll med utstyr i driftskontrollsystemet 7-7. Håndtering av feil, sårbarheter og sikkerhetsbrudd 7-8. Beredskap ved svikt i driftskontrollsystemet 7-9. Bemanning av driftssentral Ekstern tilkobling til driftskontrollsystem Systemredundans i driftskontrollsystemet Sammenkobling mellom avanserte måle- og styringssystem (AMS) og driftskontrollsystem Beskyttelse mot elektromagnetisk puls og interferens Særskilte krav til driftskontrollsystem klasse Særskilte krav til driftskontrollsystem klasse Vern av kraftsystem i regional- og sentralnett Mobile radionett driftsradio
5 Hvem skal oppfylle hva? Klasse 3 Klasse 2 Skal oppfylles av ALLE Alle med regional- og sentralnett Skal oppfylles av alle som er avhengig av mobil radiokommunikasjon
6 Hva er nytt? Mange av kravene i tidligere veileder er nå bestemmelser i ny bfe. Nye bestemmelser om brukertilgang, utstyr, endringer, systemredundans Helt nye krav om bemanning og EMP! Bestemmelsen er bygget opp rundt «forsvar i dybden»- prinsippet + ISO 27001, og NIST
7 Beskyttelse i dybden eksempel Mulig angrep SCADA Sikkerhet i anlegg Fysisk sikkerhet Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne sikkerhetsregler Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN Implementering av brannmurbasert tilgang til enklaver Kilde: Siemens Systemintegritet Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare Virus/malware-kontroll og hvitlisting
8 Beskyttelse i dybden eksempel Mulig angrep Kilde: Siemens SCADA Sikkerhet i anlegg Fysisk sikkerhet Kapittel 5 Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne 7-2, sikkerhetsregler 7-7, 7-8 Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ ( 7-6) Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN 7-3, 7-5, 7-6 Implementering av brannmurbasert tilgang til enklaver Systemintegritet 7-6, 2 ledd Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll 7-4, 7-10, 7-14 Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» 7-5 Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare 7-7, 7-14 Virus/malware-kontroll og hvitlisting
9 Definisjon av driftskontrollsystem Alle komponenter som ivaretar overvåking og styring Driftssentraler Sambandsanlegg Servere med programvare som benyttes til overvåking og styring av anlegg Infrastruktur som fører signaler i driftskontrollsystemet System, infrastruktur og sambandsanlegg som kan styre eller programmere vern med tilhørende komponenter enten gjennom driftskontrollsystemet eller gjennom andre kommunikasjonskanaler (direkte tilknytning)
10 Definisjon av driftskontrollsystem Med andre ord: ALT utstyr, infrastruktur, programvare med mer som benyttes til overvåking og styring av anlegg i energiforsyningen
11
12
13 Utøvelse av driftskontrollfunksjon Alle organisatoriske, administrative og tekniske tiltak som benyttes for å utøve overvåking og styring av anlegg i energiforsyningen
14 Hva med lokalt kontrollanlegg?
15 ALT skal beskyttes Driftskontrollsystem Lokalt kontrollanlegg Gjennomgående samband beskyttes som del av øvrig driftskontrollsystem Beskyttes iht forskriften Ingen eksplisitte krav i bfe MEN Mange komponenter i lokalt kontrollanlegg kan fjerninnstilles og fjerndiagnostiseres! DERFOR GJELDER KRAV TIL BESKYTTELSE OGSÅ HER! (jf 5-1 og 7-1) 15
16 Hva er kontrollordninger? Administrative og tekniske rutiner og tiltak. Eksempler administrative rutiner og tiltak : Passordrutiner Autorisasjon av brukere Konfigurasjonskontroll av utstyr/programvare Sikkerhetsavtaler med leverandører Eksempler på tekniske rutiner og tiltak Adgangskontrollsystem Autentisering av brukere/utstyr Bannmurer i nettverk Logging Fysisk sikring av utstyr Viruskontroll
17 7-1 Generell plikt til å beskytte driftskontrollsystemet «Alle virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser, herunder mot alle typer uautorisert tilgang for å hindre misbruk og spredning av skadelig programvare og lignende. Alle virksomheter med driftskontrollsystem er underlagt bestemmelsene om klassifisering og sikringsplikt etter kapittel 5.»
18 Med andre ord: Du skal beskytte driftskontrollsystemet og det er et ledelsesansvar!
19 Klassifisering driftskontrollsystem Prinsipp For selskap som kun drifter anlegg i klasse 1 blir driftskontrollsystemet uten vedtak klassifisert i klasse 1 For selskap som drifter anlegg i klasse 2 og 3, skal driftskontrollsystemet klassifiseres gjennom enkeltvedtak Skjønnsmessig vurdering i forhold til hvor mange anlegg som drives i de ulike klasser, samt generell vurdering av forsyningsområdets samfunnsmessige betydning. Vedtak gitt i medhold av tidligere beredskapsforskrift står fortsatt ved lag inntil de blir endret eller opphevet i medhold av denne forskrift
20 7-2 Overordnede sikkerhetsregler «Virksomheten skal fastsette sikkerhetskrav for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av energiforsyningen kan utføres på en sikker måte. Sikkerhetskravene skal gjennomgås minimum årlig for å klarlegge om de er hensiktsmessige i forhold til virksomhetens behov, om de etterleves, og om kravene gir tilfredsstillende beskyttelse av driftskontrollsystemet.»
21 Hva innebærer bestemmelsen? Utforme egne interne krav rundt driftskontrollsystemet; Drift Systemutvikling Vedlikehold Sikring Eksempler Regler for fjerntilgang Nettverks- og konfigurasjonskontroll Krav til kontroll med ekstern tilgang Krav til kontroll ved oppdateringer Krav til driftssikkerhet Retningslinjer for bruk av eksterne media Retningslinjer for tilgang for konsulenter Retningslinjer for tilgang til prosessutstyr Sikkerhetskopiering
22 Omfang og avgrensninger Hvorfor begrepet regler og ikke policy i forskriften? Bestemmelsen er ment for operativ/daglig drift Bør likevel inngå i generell policy/regelverk i virksomheten Viktig å definere virkeområde og avgrensning Hva reglene omfatter Hva reglene ikke omfatter Hvem som har ansvar for hva Klar målsetning Ikke relevant Relevant
23 Årlig gjennomgang Hvorfor? Hensiktsmessighet og etterlevelse For strenge eller for svake? Forstår alle reglene og hvorfor? Passer reglene for det som er definert som driftskontrollsystem? Har det skjedd endringer i system eller organisasjon som endrer forutsetningene? Kilder Avviksrapporter Tilbakemeldinger fra brukere Bør gjennomgås av ledelsen!
24 7-3 Dokumentasjon av driftskontrollsystemet «Virksomheten skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet. I dokumentasjonen skal det inngå en oversikt over alle sikkerhetstiltak som er implementert. Dokumentasjonen skal også omfatte en oppdatert skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og andre nettverk.»
25 Hva er nytt? Skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og Internett Oversikt over sikringstiltak
26 Hvordan dokumentere sikringstiltak? Vises på skissen (eksempler): Plassering av brannmur(er) Plassering av DMZ Plassering av sensorer for IDS/IPS I internkontrollsystemet (eksempel) Beskrivelse og instrukser av Konfigurasjoner av det ovennevnte Nettverkssikkerhet Instruks for kobling mellom adm-nett og prosessnett Etc, etc
27 7-4 Kontroll med brukertilgang «Virksomheten skal ha kontrollordninger for tildeling, endring, sletting og vurdering av korrekt tilgang til driftskontrollsystemet. Virksomheten skal til enhver tid kunne kontrollere hvilken person som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes. Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå.»
28 Hovedelementer Kontrollordning for Tildeling, endring, sletting og vurdering av korrekt tilgang Bør være rollebaserte tilgangsrettigheter Kontroll med hvem som har vært logget på driftskontrollsystemet Også ved ekstern tilgang Årlig gjennomgang av tilgangsrettigheter
29 Kontrollordning Eksempler Tildeling/vurdering Hvilke funksjoner skal personen ha tillatelse til å utføre? Er personen kvalifisert? Endring/vurdering Får personen få nye roller eller ansvar for andre oppgaver enn tidligere? Må tilgangsrettighetene endres? Sletting Når personen får en annen rolle eller slutter. I så fall skal tilgangsrettighetene tilbaketrekkes eller slettes. Prosedyre(r)
30 Administrering - eksempler Instruks for hvordan aksessrettighetene administreres Pek ut en ansvarlig for administrering av brukerrettigheter Der det er mulig individuelle brukerprofiler Man bør etterstrebe å gi rettigheter basert på funksjon Gi hver enkelt skriftlig tilbakemelding på hva slags rettigheter personen har Hver enkelt bør skrive under på en erklæring på at man har lest og forstått sikkerhetsregler knyttet til funksjonen
31 Logg Det forutsettes at man logger all pålogging til driftskontrollsystemet Hver enkelt må velge hvordan forskjell på selskapsstørrelse Loggene bør oppbevares sikkert Kun ansvarlig person bør ha tilgang til loggene.
32 7-5 Kontroll med endringer i driftskontrollsystemet «Virksomheten skal ha kontrollordninger for vurdering, testing og godkjenning av endringer i driftskontrollsystemet før disse utføres, for å hindre utilsiktede feil og påføring av nye sårbarheter.»
33 Hvorfor?
34 Hvorfor? Dette KAN skje etter en endring:
35 Fornuftig praksis «Kan denne endringen medføre fare for at driftskontrollsystemet feiler?» ALT trenger nødvendigvis ikke risikovurderes Små konfigurasjonsendringer? Vanskelig å sette terskel Leverandørene har som oftest testrutiner gjerne tilpasset hver enkelt installasjon avtale! Sett egne terskler
36 7-6 Kontroll med utstyr i driftskontrollsystemet «Utstyr som benyttes i driftskontrollsystemet tillates ikke brukt i andre nettverk eller løsninger utenom driftskontrollsystemet, heller ikke midlertidig. Utstyr som benyttes for å etablere logiske eller fysiske skiller mellom prosessnettverk i driftskontrollsystemet og andre nettverk, skal ha effektive kontrollordninger som hindrer uautorisert tilgang mellom skillene. Virksomheten skal ha en oppdatert oversikt over utstyr av vesentlig betydning for driftskontrollsystemets funksjon. Virksomheten skal ha en effektiv kontrollordning for sikker avhending av utstyr som har blitt benyttet i driftskontrollsystemet. Det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Bruk av trådløse datanettverk i driftskontrollsystemet er ikke tillatt. Beredskapsmyndigheten kan i særskilte tilfeller forby bruk av utstyr.»
37 Ikke bytte utstyr om hverandre Skal ikke brukes om hverandre!
38 Utstyr som lager logisk skille Eksempel DMZ For eksempel sikkerhetssjekk av filer/data
39 Liste over utstyr av vesentlig betydning Hva er vesentlig? Alt utstyr som dersom det svikter medfører tap av funksjonalitet i driftskontrollsystemet. Tap av overvåking Tap av styringsmuligheter Eksempel på oversikt Liste over alt vesentlig utstyr og hvor de er plassert Bør merkes spesielt slik at de ikke blandes sammen med utstyr som benyttes i administrativt nett. Dere må selv definere hva som er vesentlig utstyr
40 Personlig eid utstyr Enkelt og greit; det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Mitt nettbrett
41 Avhending av utstyr Sørg for at det ikke ligger sensitiv informasjon på utstyr som skal kasseres! Prosedyre Sletting av harddisker eksempler på verktøy Disk - Hard Drive Eraser (DoD M) Eraser Shredit for Windows Disk Wipe
42 Trådløst nettverk Den trådløse driftssentralen?
43 Forbud mot utstyr Infisering av utstyr på fabrikk Ondsinnet aktør ønsker å vite alt om ditt system Utstyret kommer til deg malware Alle dine hemmeligheter Ondsinnet aktør vet alt om ditt system
44 7-7 Håndtering av feil, sårbarheter og sikkerhetsbrudd «Virksomheten skal etablere kontrollordninger for å sikre effektiv håndtering av feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemets funksjon. Virksomheten skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd. Alle sikkerhetsbrudd og hendelser skal registreres. Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. også 2-6.»
45 Kontrollordningen Prosedyrer for hvordan der skal reagere og håndtere hendelser Hvordan? Viktig å forsøke å få informasjon om feil eller sårbarheter FØR det påvirker ditt system Leverandør, andre kilder Varsling internt ved unormal trafikk eller oppførsel av data Ha tilgjenglig nok personell eller ressurser til å håndtere feil eller andre hendelser Avtaler Registrér alle avvik Bør ha en «terskelverdi» Plassere ansvar
46 Eksempel prosedyre Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering
47 Eksempel prosedyre Varsling fra eksterne Varsel internt (overvåking) Plutselige hendelser Vurdere konsekvens av hendelsen Innkalle ressurser Hva gikk bra? Hva gikk ikke bra? Endre prosedyrer, planverk etc Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering Risikoanalyse/verdivurdering Opplæring/bevisstgjøring Etablering av ressurser Beredskapsplanlegging Øvelser Erfaring fra hendelser Lag flere håndteringsstrategier (malware, virus, DDoS)
48 Når skal NVE varsles? Ved forsøk på inntrengning og/eller manipulasjon av hele eller deler av driftskontrollsystemet og avanserte måle- og styringssystem (AMS). ( 2-6 a)
49 7-8 Beredskap ved svikt i driftskontrollsystemet «Virksomheten skal ha beredskap og forberedte tiltak for fortsatt drift av anlegg ved svikt i driftskontrollsystemet.»
50 Krav Innebærer i praksis at dere skal ha planer for manuell drift av anlegg dersom driftskontrollsystemet ikke virker. Se også vedlegg 2 og 3 om bemanning av kompetente personer i ekstraordinære situasjoner (2.1.4 og 3.1.4)
51 7-9 Bemanning av driftssentral «Virksomheten skal til enhver tid ha tilstrekkelig og tilgjengelig autorisert personell med nødvendig kompetanse, slik at driftskontrollfunksjonen kan utøves uten ugrunnet opphold. Virksomhetens risiko- og sårbarhetsanalyse skal ligge til grunn for valg av bemanningens størrelse samt omfang av ordninger for påkalling av ekstra personell ved behov, jf. 2-4 og 5-8.»
52 Om bestemmelsen Alle skal til enhver tid ha tilstrekkelig med kompetente folk som kan utøve driftskontrollfunksjoner Opplæring og intern godkjenning Risikoanalyse Generell bestemmelse
53 7-10 Ekstern tilkobling til driftskontrollsystem «Virksomheten skal ha kontrollordninger for å godkjenne, vedlikeholde og avvikle ordninger for ekstern tilkobling til driftskontrollsystemet, samt funksjoner for innstiling av vern. En særskilt vurdering skal ligge til grunn for godkjenning av løsning. Kun autorisert personell kan gis adgang til driftskontrollsystemet gjennom ekstern tilgang. Virksomheten skal ha kontrollordninger for vurdering, tildeling, endring og tilbaketrekking av autorisasjon. Virksomheten skal ha en oppdatert liste over alle som er autorisert. Det skal foreligge en egen forhåndsavtalt prosedyre for ekstern tilkobling til driftskontrollsystemet. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg. For fjernvarmeanlegg der hele eller deler av driftskontrollfunksjonen utføres av selskap som ikke er KBO-enhet, må vedkommende KBO-enhet påse at hele driftskontrollsystemet beskyttes etter relevante bestemmelser i denne forskrift.»
54 Kontrollordningen Det er metoden og sikringstiltakene for fjerntilgang som skal godkjennes internt Sikringstiltakene (autentisering) bør være noe sterkere enn det som gjelder internt Risikovurdering
55 Eksempel på metode (forenklet) Kilde: NERC
56 Eksempel på metode (forenklet) Brannmurregler sørger for tilgang kun til bestemt ressurs Brannmurregler sørger for tilgang kun til bestemt ressurs Logge på spesifikk ressurs i sikker sone Sikker pålogging SSL/VPN etc med begrenset tilgang (for eksempel kun til dedikert terminalserver) Pålogging terminalserver (for eksempel gjennom AD) Logge på arbeidsstasjon for tilgang til ressurser i beskyttet sone Logge på for tilgang til ressurser i beskyttet sone (feks to-faktor) Kilde: NERC
57 Kontroll med hvem For å ha kontroll med hvem som har tillatelse, kreves det godkjenning av personer.
58 Hvordan autorisere personell? Eksempler: Kreve at man setter seg inn i prosedyrene for fjerntilgang Bekrefte (underskrift på erklæring) at man har lest og forstått sikkerhetsreglene Sikkerhetssamtale Opplæring som dokumenteres Gi personlige brukernavn og passord Liste: Liste over autoriserte personer er vel uproblematisk..?
59 Prosedyre - eksempel Internett Adm-nettverk Medarbeider eller leverandør får utlevert to-faktor brikke av selskapet Selskapet kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Selskapet gir leverandør et engangspassord for å logge seg på Leverandør får tilgang til terminalserver i DMZ Sikker sone Leverandør gir beskjed om at arbeidet er utført Leverandør utfører arbeid Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Selskapet gir leverandør nytt engangspassord for å koble seg på sikker sone Internett Selskapet bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Selskapet terminerer forbindelsen mellom sikker sone og Internett Kilde: NERC
60 Om selskap som ikke er KBO-enheter Selskap som ikke er enhet i KBO har ikke lov til å drive driftssentralen Unntaket er for fjernvarmeanlegg der for eksempel forbenningsanlegget (som ikke er enhet i KBO) også styrer varmesentraler for fjernvarmeselskapet (som er enhet i KBO) KBO-enheten er ansvarlig for at kravene i forskriften oppfylles! Må stille krav
61 7-11 Systemredundans i driftskontrollsystemet «Virksomheten skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikoanalyse.»
62 Om bestemmelsen Generell bestemmelse, gjelder i første rekke klasse 1 Men ALLE må vurdere i hvilke grad de trenger systemredundans Risikoanalyse skal ligge til grunn
63 7-12 Sammenkobling mellom avanserte måleog styringssystem (AMS) og driftskontrollsystem «Dersom virksomheten har integrert funksjonalitet for bryting og begrensning av effektuttak i avanserte måle- og styringssystem (AMS), jf. forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester 4-2 e, i virksomhetens driftskontrollsystem, skal IKT-system med tilhørende utstyr som benyttes til denne funksjonen, sikres i henhold til driftskontrollsystemets klasse. Med integrert funksjonalitet menes at funksjonen for å bryte og begrense effekt ved AMS utøves fra virksomhetens driftssentral, og at man benytter samme utstyr og infrastruktur som virksomheten benytter i driftskontrollsystemet. Bestemmelsen gjelder til og med det utstyr eller punkt der signalene for å bryte og begrense effektuttak adskilles fra signalene i driftskontrollsystemet.»
64 Risiko - utredning Uønsket utkobling hos mange kunder Programvarefeil Sentralenhet feiler eller brukes i angrepet Utro tjener Beskyttelse av bryterfunksjonalitet er kritisk Gjelder både én-til-én og én-til mange funksjonalitet Mange målere ute av drift samtidig er også vurdert til å være kritisk. Dette er pga store kostnader for reparasjon/utskiftning av utstyr.
65 Dette handler bestemmelsen om: 65
66 Dette handler bestemmelsen om: 66
67 Sikring av bryterfunksjonalitet Segregering mellom innsamling/ bryterfunksjonalitet Fysisk sikring Forhold til driftssentralen? Tilgangskontroll Retningslinjer for bruk av bryterfunksjonalitet Sikkerhetsbevissthet Logging og overvåking Kontroll med fjernaksess
68 7-13 Beskyttelse mot elektromagnetisk puls og interferens «Virksomheten skal vurdere driftskontrollsystemets sårbarhet for elektromagnetisk puls (EMP) eller elektromagnetisk interferens (EMI). Dersom sårbarheter avdekkes, skal det gjennomføres sikrings- eller beredskapstiltak etter driftskontrollsystemets betydning for sikker drift og gjenoppretting av funksjon i energiforsyningen.»
69 Om bestemmelsen Generell bestemmelse ALLE skal vurdere sårbarhet knyttet til EMP/EMI Risikovurdering Tiltak hvis man er sårbare EMP-sikring Reservedeler Reparasjonsberedskap
70 EMP - trusselbilde De mest vanlige kildene for EMP er nukleær EMP (N-EMP) og radiofrekvente våpen (HPM). Det forskes mye på slike våpen Mobile våpen eksisterer Konsekvensene kan bli katastrofale (N-EMP) Usikkert hvem som har kapasiteter men finnes i kriminelle miljøer Solstorm!
71 7-14 Særskilte krav til driftskontrollsystem klasse 2
72 7-14 a) Sikkerhetskopier «Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten.»
73
74 Om bestemmelsen Husk at ALLE er pålagt å ta sikkerhetskopier etter 6-8! Testing av gjenoppretting av sikkerhetskopiene sikrer at man er trygg på at strategien for sikkerhetskopiering fungerer etter hensikten Bør gjøres minimum årlig, eller (helst) oftere Man bør vurdere å utarbeide en strategi for sikkerhetskopier
75 Strategi sikkerhetskopi eksempel Strategi for sikkerhetskopi Definere hva som skal sikkerhetskopieres Sette i drift Lessons learned Monitorere sikkerhetskopiering Kontroll av sikkerhetskopier Test av sikkerhetskopi i testmiljø
76 7-14 b) Sikkerhetsrevisjon «Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt.»
77 Hensikt og omfang Kontrollere at pålagte sikkerhetstiltak er etablert og fungerer etter sin hensikt Gjør at man hele tiden er godt kjent med eget driftskontrollsystem og dets mangler og sårbarheter Forlengelse av tidligere krav om kontroll og vedlikehold Trenger ikke være en fullstendig gjennomgang hver gang Pass på at revisjonen er noenlunde uavhengig Samarbeid gjerne med andre KBO-enheter Utarbeid en plan over flere år med ulike tema
78 Sikkerhetsrevisjon - risikostyring Sikkerhetsrevisjon - en del av risikostyring Risikostyring er et hjelpemiddel som kan integreres i eksisterende styringssystemer for å sikre en bedre måloppnåelse Avvik/ rapportering Kartlegging/ risikoanalyse Ledelse (forankring, kontroll, styring, rammebetingelser) Identifisere tiltak Kontroll og overvåking av tiltak Implementere tiltak etter ROS Sikkerhetsrevisjon Implementering av lovbestemte tiltak
79 Hva og hvordan - sikkerhetsrevisjon Hva skal revideres? I utgangspunktet ALLE pålagte tiltak etter bfe. Eksempler Ledelse og organisering av IKTsikkerhetsarbeidet Teknisk infrastruktur Informasjonsressurser Fysisk sikring av utstyr Sikkerhetspolicyer og prosedyrer Beredskaps- og kontinuitetsplaner Systemutvikling og innføring Risikostyring (risikovurdering) Applikasjonskontroller Kontroll med endringer Kontroll med utstyr EMP
80 Rammeverk - eksempel Planlegging Gjennomføring Rapportering Intern oppfølging Bestemme revisjonsobjekt Avklare målsetning Innhente dokumentasjon Gjennomgang av dokumentasjon Utarbeid spørsmål til revisjonen Åpningsmøte (avklaring av hensikt og rammer for revisjonen) Gjøre revisjonskontroller (testing, stikkprøver, observasjoner) Intervjuer Avslutningsmøte (presentasjon av funn) Lage revisjonsrapport Muntlig rapportering Registrere funn i avvikssystem Identifisere tiltak basert på funn Lage tids- og ansvarsfestet plan for gjennomføring av tiltak Kontroll av at tiltakene er gjennomført Lukking av avvik i avvikssystem
81 7-14 c) Overvåking og logging «Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet.»
82 Krav Det skal etableres automatisk overvåking av nettverkstrafikk i driftskontrollsystemet Trafikken skal analyseres og det skal varsles ved unormal trafikk
83 Hvorfor? Angrepsmetodene blir stadig mer avanserte Dagens brannmurer er svært effektive Sosial manipulering og infisering via e-post Viruskontroll holder ikke tritt Krever mekanismer som går utover tradisjonell beskyttelse Sammenkobling av nett og system gjør alt mye mer komplisert Mye inn/ut data gjør alt mer uoversiktlig lett å gjemmme seg Overvåking og logganalyse en viktig del av beskyttelsen i dybden
84 Verktøy - eksempler Eksempel på automatisk overvåking: Logganalyseverktøy IDS (Intrusion Detection System) passiv overvåking IPS (Intrusion Prevention System) aktiv blokkering
85 = sensor Sensorer i perimeter - eksempel Kilde: NIST Perimeter
86 Logging og overvåking - utfordringer Mye data blir produsert hvordan plukke ut de relevante? Man må vite hva man gjør risiko for mye false positives Ingen god idé å plassere sensor i selve prosessnettverket Styresignaler kan bli blokkert eller at man får unødige alarmer Monitorering kan være krevende Hva gjør du hvis det kommer inntrengningsalarm midt på natten?
87 Logging og overvåking - implementering Etabler overvåking basert på sikkerhetspolicy/regler Gjør en vurdering av hva dere vil beskytte Start i det små Vurder plassering Aktive sensorer (blokkering) ved kritiske system/data Passive sensorer (kun alarm) i nettverk Veldig komplisert! Vurder eksperthjelp hvis dere selv ikke har nødvendig kompetanse
88 7-14 d) Utilgjengelig driftssentral «Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.»
89 Hva gjør du hvis driftssentralen brenner ned? Anleggene skal kunne styres manuelt Hvis driftssentralen settes ut av drift i lang tid, skal dere ha planer for etablering av drift på alternativt sted Velge ut sted og klargjøre Reservedeler Dublering på et annet sted enn der driftssentralen er plassert? Øve på å etablere alternativ drift Man må ha talesamband!
90 7-14 e) Bemanning av driftssentral «Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold. Virksomheten skal senest innen én time kunne bemanne driftssentralen. Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.»
91 Krav Alle hendelser skal varsles og vurderes uten unødig opphold Umiddelbar varsel til hjemmevakt SMS er kanskje ikke nok! Umiddelbar vurdering av situasjonen Fra en situasjon oppstår til sentralen er bemannet 1 time. Vaktordning for påfyll av folk Kanskje jeg burde dra til driftssentralen?
92 7-14 f) Ekstern tilkobling til driftskontrollsystemet «Ved tilkobling fra leverandører skal driftssentralen være bemannet. Virksomheten skal ha kontrollordning for korrekt autentisering av de personene som er autorisert til å benytte ekstern tilkobling for adgang til driftskontrollsystemet. Virksomheten må sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheten skal utarbeide interne regler for hva som er et sikkert sted. Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk. Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling. Dersom KBO-enheten kan foreta styring av anlegg i energiforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person. Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.»
93 Tilkobling fra leverandør = bemanning + prosedyre Leverandør skal koble seg på DRIFTSSENTRALEN BEMANNES Medarbeider eller leverandør får utlevert to-faktor brikke av driftskontrolloperatør Operatør kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Operatør gir leverandør nytt engangspassord for å koble seg på sikker sone Leverandør får tilgang til terminalserver i DMZ Operatør gir leverandør et engangspassord for å logge seg på Leverandør utfører arbeid Leverandør gir beskjed om at arbeidet er utført Operatør bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Operatør terminerer forbindelsen mellom sikker sone og Internett
94 Sikker autentisering - eksempler Ikke ring oss, vi ringer deg prinsippet Passord gitt av driftssentralen Personlig relasjoner
95 Hva er sikkert sted? Ikke flyplassterminaler Ikke bussterminaler Ikke kaffesjappa Dere må bestemme hva som er sikkert sted! Lag kriterier for hva som ansees som sikkert sted Eksempler: krav til Lokasjon Fysisk beskyttelse/adgangskontroll Beskyttelse mot innsyn Erklæringer fra leverandør
96 Tilkobling og kobling i nett Terminér tilkoblingen når den ikke er i bruk Den som har hjemmevakt må gis tillatelse til å utføre kobling hvis man skal koble hjemme hvis ikke må autorisert person bemanne driftssentralen Kan være forhåndsavtalt - skriftlige retningslinjer godkjent av ansvarlig person
97 Logging All ekstern tilkobling skal loggføres eksempel Tidspunkt for påkobling Hvem som gav tillatelse Hvem som koblet seg på Hvorfor Tidspunkt for avkobling
98 7-14 g) Systemredundans «Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett. Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans. Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og 7-8.»
99 Uavhengighet Skal fungere uavhengig av offentlige tjenester Nødstrøm Reparasjonsberedskap Man bør vurdere alternative metoder for redundans Gjelder til alle anlegg i klasse 2 og 3 Reparasjonsberedskap Avtale med leverandør av linjer, utstyr, transmisjon Egenberedskap Vurder risiko for overbelastning i offentlig nett
100 Redundans prinsipp Ingen enkeltfeil eller hendelse skal kunne sette driftskontrollsystemet eller viktige funksjoner ut av drift. Det betyr at dersom feil eller hendelse setter et system ut av spill, skal et annet system overta viktige funksjoner. Skal være reell uavhengighet Redundansen skal gå helt frem til RTU også inne i selve anlegget (før RTU)
101 Redundans frem til RTU Eksempel basis redundans frem til det lokale kontrollanlegg 1 2
102 7-14 h) Særskilt om dublering «Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. 7-7.»
103 Om bestemmelsen Gjelder hvis dubleringen av SCADA er identisk Gjelder særlig ved oppdatering/patching Beste praksis: test oppdatering på et tredje system(testsystem) før det settes i produksjon Det tredje system er gjerne hos leverandøren Husk avtale!
104 7-14 i) Beskyttelse mot EMP og EMI «Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer.»
105 Ny bestemmelse Det er nå mulig å velge beredskapstiltak i stedet for EMP-sikring Betingelse: reservedeler i EMP-skap, kontainere etc MEN husk vedlikeholdsplikten i 5-1, 3 ledd Man skal kunne erstatte alt ødelagt utstyr i minst én sambandsvei På hvor lang tid? => Uten ugrunnet opphold «Fallback»: lokal bemanning og talesamband Der det etableres EMP-beskyttelse gjelder de samme tekniske krav til demping og frekvensbeskyttelse som tidligere Ref uoff vedlegg til forrige beredskapsforskrift
106 7-14 j) Sikker tidsreferanse «Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse.»
107 Krav Krever minst én klokke med stor nøyaktighet som kan synkroniseres mot andre sikre tidsreferanser Sikker tidsreferanse er også viktig i tilknytning til AMS og eventuell Smart Grid!
108 7-15 Særskilte krav til driftskontrollsystem klasse 3
109 7-15 a) Reserve driftssentral «Virksomheten skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge. Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner. Reserve driftssentral skal utføres med sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet for øvrig, jf. 5-6.»
110 Krav Sikker avstand betyr at reserve driftssentral skal være i et annet bygg (i GOD avstand) eller (aller helst) plasseres i et kraftforsyningsanlegg (får mye beskyttelse gratis). Når du flytter til reserve driftssentral, skal kontroll og styring kunne gjenopptas så fort du har kommet dit. Må øves! Reserve driftssentral skal oppfylle samme krav til sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet
111 7-15 b) Bemanning av driftssentral «Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.»
112 Krav Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.
113 7-15 c) Ekstern tilkobling til driftskontrollsystemet «Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.»
114 Mer om bestemmelsen Samme krav til sikkerhet ved oppkobling av leverandører som for 7-14 f)
115 7-15 d) Systemredundans «Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem. Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.»
116 Om å sikre god nok avstand Vanskelig å gardere seg mot store og omfattende stormer Samband på stolper i distribusjonsnettet er svært utsatt Større geografisk spredning på redundansen Bakdeler: lang linje, mange hopp, uoversiktlig Fordeler: mer robust mot uvær, flere leverandører (kan også være en bakdel.) Bruk ulik teknologi Har dere noen tanker rundt dette?
117 Eie, leie hva er det greie? Det er nå ikke påkrevd å eie eget samband. MEN du skal ha full kontroll og råderett over alt utstyr og komponenter (inkludert transmisjonsveien) Oversikt over føringsveiene DU bestemmer hvem som har tilgang Sørg for tilstrekkelig separasjon Reparasjonsberedskap
118 Kontroll og råderett Kjempeforenklet eksempel Samband du skal ha kontroll og råderett over Annet leid samband
119 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er
120 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er
Skjema for egen evaluering
Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig
DetaljerSikkerhet innen kraftforsyningen
Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd
DetaljerVeileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg. Frank Skapalen Seksjon for beredskap, energiavdelingen
Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg Frank Skapalen Seksjon for beredskap, energiavdelingen Agenda Hvorfor strenge regler til IKT-sikkerhet? Gjennomgang av de viktigste
DetaljerRisikovurdering av AMS
Risikovurdering av AMS Frank Skapalen Seksjon for beredskap, energiavdelingen NVEs BfK-seminar 11. januar 2012 Rekkefølge Formål med AMS, funksjoner Hva vi har jobbet med i risikovurderingen Scenarioer
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerHvordan sikre seg at man gjør det man skal?
Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no Tenk igjennom hva som kunne vært konsekvensene for ditt selskap
DetaljerSpørsmål ved revisjon Informasjonssikkerhet kapittel 6
Spørsmål ved revisjon Informasjonssikkerhet kapittel 6 AS 00.00.2019 MERKNAD: Tilsynslaget fra NVE ønsker at deltagere fra virksomheten skal være forberedt på spørsmålene som blir stilt under tilsynet.
DetaljerFOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE
FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET Eldri Naadland Holo Seksjonssjef beredskap, NVE Forsyningssikkerhet Kraftsystemets evne til kontinuerlig å levere strøm av en gitt kvalitet
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerNY KRAFTBEREDSKAPSFORSKRIFT (KBF)
NY KRAFTBEREDSKAPSFORSKRIFT (KBF) Seminar 28.11.2018 Ingunn Åsgard Bendiksen Direktør, Tilsyns- og beredskapsavdelingen NVE Hvorfor endringer? Forebyggende sikkerhet og beredskap i kraftforsyningen stadig
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerHøringssvar endringer i beredskapsforskriften
Side 1 av 5 Deres dato 2017-12-19 Vår dato 2018-03-20 Deres referanse 201709983-1 Vår referanse H 29781 kjv Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo Vår saksbehandler Kjersti
DetaljerBeredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen
Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap Helge Ulsberg Beredskapsseksjonen Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen,
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerIKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016
IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016 Otto.Rustand@glitreenergi.no Agenda Kort om Glitre Energi Nett Strategi for IKT sikkerhet Modernisering av
DetaljerSamarbeid om driftsradio i Buskerud. 10.02.2015 Otto Rustand
Samarbeid om driftsradio i Buskerud 10.02.2015 Otto Rustand Agenda Kort om EB Krav fra myndighetene i vår bransje Vurderinger rundt valg av DMR E-verkssamarbeidet Erfaringer fra bruk Vannkraftproduksjon
DetaljerHØRINGER GLITRE ENERGI NETT AS KOMMENTARERTIL NVE S FORSLAG TIL ENDRINGER AV BEREDSKAPSFORSKRIFTEN
NVE Middelthunsgate 29 0301 Oslo Kontaktperson: Deres referanse: Vår referanse: Dato: Ola Hermansen 201709983-1 1737879 16.03.2018 HØRINGER GLITRE ENERGI NETT AS KOMMENTARERTIL NVE S FORSLAG TIL ENDRINGER
DetaljerDriftsentralsamarbeid i Nordland
Driftsentralsamarbeid i Nordland Helgeland Kraft, Nordlandsnett og Salten kraftsamband Asle Evjen (asle.evjen@sks.no) Inge Pedersen (inge.pedersen@sks.no) Hvem er Salten Kraftsamband / SKS Salten Kraftsamband
DetaljerOversending av revisjonsrapport Fredrikstad Fjernvarme AS
Fredrikstad Fjernvarme AS Stabburveien 18 1617 FREDRIKSTAD Vår dato: 11.02.2016 Vår ref.: 201506574-7 Arkiv: 447 Deres dato: 05.02.2016 Deres ref.: Per Bolstad Saksbehandler: Amir Messiha ame@nve.no Oversending
DetaljerNORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.
NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 2. november 2018 kl. 13.50 PDF-versjon 6. november 2018 01.11.2018 nr. 1641 Forskrift om
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerHelgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet
Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig
DetaljerSvar på NEAS uttalelse til revisjonsrapport.
Adresseinformasjon fylles inn ved ekspedering. Se mottakerliste nedenfor. Vår dato: 30.01.2018 Vår ref.: 201705673-9 Arkiv: 447 Deres dato: 15.01.2018 Deres ref.: Saksbehandler: Hege Sveaas Fadum 1 Svar
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerSkytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE
Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet
DetaljerOversending av revisjonsrapport - Drammen Fjernvarme AS
Drammen Fjernvarme AS Jacob Borchs gate 5 3012 DRAMMEN Vår dato: 13.04.2016 Vår ref.: 201600688-7 Arkiv: 447 Deres dato: 12.04.201 Deres ref.: Saksbehandler: Amir Messiha ame@nve.no/98044707 Oversending
DetaljerGENERELL BRUKERVEILEDNING WEBLINE
Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...
Detaljer2.4 Bruk av datautstyr, databehandling
2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,
DetaljerHelhetlig strategi for kommunikasjon og samvirke
Helhetlig strategi for kommunikasjon og samvirke Glitre Energi Netts konsesjonsområde Regionalnett i hele Buskerud (ca 85%), inkl. deler av Voss i Hordaland og noe i Vestfold, samt kommunene Gran, Jevnaker
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerBeredskap i kraftforsyninga
Sikkerhetsdagene 2011 Beredskap i kraftforsyninga - tydelige krav fordi det er viktig for hele samfunnet - Arthur Gjengstø E-post: argj@nve.no Mobilnettet nede i Hordaland og Rogaland (VG Nett) Flere
DetaljerBeredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet
Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt. 2.8.5 IT-sikkerhet Versjonsnummer: #.# Oppdatert dato: ##.##.#### Ansvarlig for Navn: vedlikehold av Telefon: planen:
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerNødnett - status. Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012. Truls Sønsteby - NVE, Beredskapsseksjonen
Nødnett - status Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012 Truls Sønsteby - NVE, Beredskapsseksjonen Nye tilleggsopplysninger (pr 15 januar) Siden fordraget ble holdt
DetaljerGÅRSDAGENS TEKNOLOGI
VI PRØVER Å STOPPE MORGENDAGENS ANGREP MED GÅRSDAGENS TEKNOLOGI Energidagene 2016 Even Sverdrup Augdal Head of Network Security Analysis Phone: (+47) 991 59 607 Email: even@mnemonic.no Vi prøver å stoppe
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerKRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET
KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET Siv. Ing Arne J. Devold Norconsult AS September 2014 Operatørplass1 Operatørplass 2 Utalarmering Server Ethernet US002 US004 US001
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerOversending av revisjonsrapport - Andøy Energi AS
ANDØY ENERGI AS Postboks 3 8493 RISØYHAMN Vår dato: 09.05.2018 Vår ref.: 201709207-6 Arkiv: 447 Deres dato: Deres ref.: Kjell-Are Johansen Saksbehandler: Skule Nilsen 22959879 / sni@nve.no Oversending
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerIT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde
IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle
DetaljerSikring av industrielle automatiserte kontrollsystemer
Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerERFARINGER FRA ØVELSER OG REELLE HENDELSER
ERFARINGER FRA ØVELSER OG REELLE HENDELSER Beredskapskonferansen 2014 Geir Kaasa Beredskapsleder i Skagerak Nett KDS i Vestfold og Telemark Skagerak Nett AS - nøkkeltall -185 000 kunder -376 ansatte (01.04.2014)
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerOversending av revisjonsrapport og varsel om vedtak om retting, Nordkraft Nett AS
Nordkraft Nett AS Postboks 55 8501 NARVIK Vår dato: 01.12.2015 Vår ref.: 201505481-6 Arkiv: 447 Deres dato: Deres ref.: Saksbehandler: Amir Messiha ame@nve.no Oversending av revisjonsrapport og varsel
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerAVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]
V1.0 AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON i henhold til kraftberedskapsforskriften mellom Org.nr.: 000 000 000 og Org.nr.: 000 000 000 Dato: 20xx-xx-xx Side 1 av 5 1. Om avtalen
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerOversending av revisjonsrapport og varsel om vedtak om retting, Haugaland Kraft AS
Haugaland Kraft AS Postboks 2015 5504 HAUGESUND Vår dato: 21.10.2015 Vår ref.: 201503305-7 Arkiv: 447 Deres dato: Deres ref.: Geir A. Molland Saksbehandler: Amir Messiha ame@nve.no Oversending av revisjonsrapport
DetaljerSonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien
SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar
DetaljerSikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019 Status IT infrastruktur 2017 10000 9000 8000 7000 6000 Lagringskapasitet
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerOversending av revisjonsrapport - Sunndal Energi Kf
Sunndal Energi Kf Mongstugata 9 6600 SUNNDALSØRA Vår dato: 28.09.2016 Vår ref.: 201600691-6 Arkiv: 447 Deres dato: Deres ref.: Geir Sæther Saksbehandler: Amir Messiha ame@nve.no/98044707 Oversending av
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
DetaljerDen mobile arbeidshverdagen
Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
Detaljernetsense...making sense of IT
netsense...making sense of IT Netsense.. Netsense er et IT konsulentselskap som opererer innen fagområdene: IT utvikling IT forvaltning IT rådgivningstjenester Vi leverer understøttende teknologi og tjenester...så
DetaljerAnsvar og organisering
Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant
Detaljer2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014
CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon
DetaljerTilsynsrapport. Enhet i KBO: Vest-Telemark Kraftlag AS. Tilsynsdato: Høydalsmo, Tokke
Tilsynsrapport Enhet i KBO: Vest-Telemark Kraftlag AS Tilsynsdato: 10.4.2014 Sted: Medvirkende fra KBO-enhet: Høydalsmo, Tokke Ketil Kvaale, adm. dir., beredskapsleder og beredskapskoordinator Aslak Ofte,
DetaljerBilag 3: Beskrivelse av det som skal driftes
Bilag 3: Beskrivelse av det som skal driftes 1 Innledning I dette bilaget beskrives arkitektur og systemlandskap for Visma Flyt PPT. 2 Visma Flyt Plattform Visma Flyt PPT er bygget på Vismas Flyt Plattform
DetaljerVTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE
VTFs Vårmøte 2008 4. juni, Oslo Orientering om kraftforsyningsberedskap seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE epost: argj@nve.no; mobil: 48 12 74 98 Beredskap i kraftforsyningen skal:
DetaljerSikkerhetsinstruks bruker
Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerVeileder til sikkerhet i avanserte måle- og styringssystem
Veileder til sikkerhet i avanserte måle- og styringssystem Frank Skapalen, NVE Bjørn Jonassen, Deloitte 7 2012 kw kwh V E I L E D E R Veileder til sikkerhet i avanserte måle- og styringssystem Norges vassdrags-
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerVår dato :
Tilsynsrapport Enhet i KBO: Statkraft Varme AS Tilsynsdato: 17.09.2014 Sted: Heimdal varmesentral, Østre Rosten 82 Medvirkende fra KBO-enhet: Tilsynslag fra NVE: Arvid Wisløff, beredskapsleder Åmund Utne,
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerIKT- sikkerhet. Prosjektportefølje 2019
IKT- sikkerhet Prosjektportefølje 2019 Fagdag sikring 15.05.2019 Ptil Espen Seljemo Petroleumstilsynet espen.seljemo@ptil.no Robustgjøring av IKT-sikkerhet for de industrielle IKT-systemer for å kunne
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
Detaljer2.13 Sikkerhet ved anskaffelse
2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag
DetaljerSamling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 -
Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Arthur Gjengstø seksjonssjef, beredskapsseksjonen epost: argj@nve.no; mobil: 48 12 74 98 Velkommen Til Norges beste fylke Til informasjon,
DetaljerBeskyttelsesteknologier
Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:
DetaljerBrannforum 2012. Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg. Leif Vikane, Statnett
Brannforum 2012 Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg Leif Vikane, Statnett Beredskapsforskriften 5.5 C) Klasse 3 Anlegget skal være utført og utstyrt etter høye krav til sikring.
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerOversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS
Statkraft Varme AS Postboks 2400 7005 TRONDHEIM Vår dato: 26.09.2016 Vår ref.: 201600690-8 Arkiv: 447 Deres dato: 22.09.2016 Deres ref.: Arvid Wisløff Saksbehandler: Amir Messiha ame@nve.no Oversending
DetaljerROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert
Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:
DetaljerEkom og ekstremvær. Det verste kan skje, men. Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett
Ekom og ekstremvær Det verste kan skje, men Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett 1 2 Når Dagmar feide over Nordvestlandet Antall mobilbasestasjoner ute på Nordvestlandet
DetaljerF-Secure Mobile Security for Windows Mobile
F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,
DetaljerOversendelse av endelig revisjonsrapport etter tilsyn med vedlikehold, beredskap og rasjonering Valdres Energiverk AS
VALDRES ENERGIVERK AS Spikarmoen 16 2900 FAGERNES Vår dato: 05.02.2018 Vår ref.: 201703611-11 Arkiv: 447 Deres dato: Deres ref.: Saksbehandler: Lars Andreas Eriksson Oversendelse av endelig revisjonsrapport
DetaljerKDRS digitalt depot Spesifikasjon av tjenesten
KDRS digitalt depot Spesifikasjon av tjenesten Versjoner: 20110830 Versjon 1.0 Første versjon publisert Tor Eivind Johansen 20170823 Versjon 1.1 Oppdatert versjon Tor Eivind Johansen 20180619 Versjon 1.2
DetaljerMellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:
Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerRisikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning
Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Samfunnssikkerhetskonferansen 6. januar 2016 Ruth Østgaard
DetaljerGode råd til sikkerhetsansvarlige
Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet
Detaljer