Kapittel 7 Beskyttelse av driftskontrollsystem

Størrelse: px
Begynne med side:

Download "Kapittel 7 Beskyttelse av driftskontrollsystem"

Transkript

1 Velkommen til sesjon om Kapittel 7 Beskyttelse av driftskontrollsystem Frank Skapalen og Øystein Gåserud Seksjon for beredskap Seminar om beredskapsforskriften 13. februar 2013

2 Forord Denne presentasjonen ble gitt 13. februar 2013 i forbindelse med NVEs konferanse om ny beredskapsforskrift I PDF-utgaven (den du ser på nå) er det lagt ved ytterligere presentasjonsark som ikke ble gjennomgått under konferansen Bakerst er det også lagt ved en litteraturliste knyttet til en rekke av temaene i denne presentasjonen.

3 Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen, send epost til: Alle spørsmål og innspill vi mottar til denne adressen mottas med takk! Ingen får direkte svar, men du kan påvirke teksten i veiledningen som kommer !

4 Det største kapittelet i ny forskrift 7-1. Generell plikt til å beskytte driftskontrollsystemet 7-2. Overordnede sikkerhetsregler 7-3. Dokumentasjon av driftskontrollsystemet 7-4. Kontroll med brukertilgang 7-5. Kontroll ved endringer i driftskontrollsystemet 7-6. Kontroll med utstyr i driftskontrollsystemet 7-7. Håndtering av feil, sårbarheter og sikkerhetsbrudd 7-8. Beredskap ved svikt i driftskontrollsystemet 7-9. Bemanning av driftssentral Ekstern tilkobling til driftskontrollsystem Systemredundans i driftskontrollsystemet Sammenkobling mellom avanserte måle- og styringssystem (AMS) og driftskontrollsystem Beskyttelse mot elektromagnetisk puls og interferens Særskilte krav til driftskontrollsystem klasse Særskilte krav til driftskontrollsystem klasse Vern av kraftsystem i regional- og sentralnett Mobile radionett driftsradio

5 Hvem skal oppfylle hva? Klasse 3 Klasse 2 Skal oppfylles av ALLE Alle med regional- og sentralnett Skal oppfylles av alle som er avhengig av mobil radiokommunikasjon

6 Hva er nytt? Mange av kravene i tidligere veileder er nå bestemmelser i ny bfe. Nye bestemmelser om brukertilgang, utstyr, endringer, systemredundans Helt nye krav om bemanning og EMP! Bestemmelsen er bygget opp rundt «forsvar i dybden»- prinsippet + ISO 27001, og NIST

7 Beskyttelse i dybden eksempel Mulig angrep SCADA Sikkerhet i anlegg Fysisk sikkerhet Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne sikkerhetsregler Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN Implementering av brannmurbasert tilgang til enklaver Kilde: Siemens Systemintegritet Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare Virus/malware-kontroll og hvitlisting

8 Beskyttelse i dybden eksempel Mulig angrep Kilde: Siemens SCADA Sikkerhet i anlegg Fysisk sikkerhet Kapittel 5 Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne 7-2, sikkerhetsregler 7-7, 7-8 Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ ( 7-6) Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN 7-3, 7-5, 7-6 Implementering av brannmurbasert tilgang til enklaver Systemintegritet 7-6, 2 ledd Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll 7-4, 7-10, 7-14 Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» 7-5 Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare 7-7, 7-14 Virus/malware-kontroll og hvitlisting

9 Definisjon av driftskontrollsystem Alle komponenter som ivaretar overvåking og styring Driftssentraler Sambandsanlegg Servere med programvare som benyttes til overvåking og styring av anlegg Infrastruktur som fører signaler i driftskontrollsystemet System, infrastruktur og sambandsanlegg som kan styre eller programmere vern med tilhørende komponenter enten gjennom driftskontrollsystemet eller gjennom andre kommunikasjonskanaler (direkte tilknytning)

10 Definisjon av driftskontrollsystem Med andre ord: ALT utstyr, infrastruktur, programvare med mer som benyttes til overvåking og styring av anlegg i energiforsyningen

11

12

13 Utøvelse av driftskontrollfunksjon Alle organisatoriske, administrative og tekniske tiltak som benyttes for å utøve overvåking og styring av anlegg i energiforsyningen

14 Hva med lokalt kontrollanlegg?

15 ALT skal beskyttes Driftskontrollsystem Lokalt kontrollanlegg Gjennomgående samband beskyttes som del av øvrig driftskontrollsystem Beskyttes iht forskriften Ingen eksplisitte krav i bfe MEN Mange komponenter i lokalt kontrollanlegg kan fjerninnstilles og fjerndiagnostiseres! DERFOR GJELDER KRAV TIL BESKYTTELSE OGSÅ HER! (jf 5-1 og 7-1) 15

16 Hva er kontrollordninger? Administrative og tekniske rutiner og tiltak. Eksempler administrative rutiner og tiltak : Passordrutiner Autorisasjon av brukere Konfigurasjonskontroll av utstyr/programvare Sikkerhetsavtaler med leverandører Eksempler på tekniske rutiner og tiltak Adgangskontrollsystem Autentisering av brukere/utstyr Bannmurer i nettverk Logging Fysisk sikring av utstyr Viruskontroll

17 7-1 Generell plikt til å beskytte driftskontrollsystemet «Alle virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser, herunder mot alle typer uautorisert tilgang for å hindre misbruk og spredning av skadelig programvare og lignende. Alle virksomheter med driftskontrollsystem er underlagt bestemmelsene om klassifisering og sikringsplikt etter kapittel 5.»

18 Med andre ord: Du skal beskytte driftskontrollsystemet og det er et ledelsesansvar!

19 Klassifisering driftskontrollsystem Prinsipp For selskap som kun drifter anlegg i klasse 1 blir driftskontrollsystemet uten vedtak klassifisert i klasse 1 For selskap som drifter anlegg i klasse 2 og 3, skal driftskontrollsystemet klassifiseres gjennom enkeltvedtak Skjønnsmessig vurdering i forhold til hvor mange anlegg som drives i de ulike klasser, samt generell vurdering av forsyningsområdets samfunnsmessige betydning. Vedtak gitt i medhold av tidligere beredskapsforskrift står fortsatt ved lag inntil de blir endret eller opphevet i medhold av denne forskrift

20 7-2 Overordnede sikkerhetsregler «Virksomheten skal fastsette sikkerhetskrav for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av energiforsyningen kan utføres på en sikker måte. Sikkerhetskravene skal gjennomgås minimum årlig for å klarlegge om de er hensiktsmessige i forhold til virksomhetens behov, om de etterleves, og om kravene gir tilfredsstillende beskyttelse av driftskontrollsystemet.»

21 Hva innebærer bestemmelsen? Utforme egne interne krav rundt driftskontrollsystemet; Drift Systemutvikling Vedlikehold Sikring Eksempler Regler for fjerntilgang Nettverks- og konfigurasjonskontroll Krav til kontroll med ekstern tilgang Krav til kontroll ved oppdateringer Krav til driftssikkerhet Retningslinjer for bruk av eksterne media Retningslinjer for tilgang for konsulenter Retningslinjer for tilgang til prosessutstyr Sikkerhetskopiering

22 Omfang og avgrensninger Hvorfor begrepet regler og ikke policy i forskriften? Bestemmelsen er ment for operativ/daglig drift Bør likevel inngå i generell policy/regelverk i virksomheten Viktig å definere virkeområde og avgrensning Hva reglene omfatter Hva reglene ikke omfatter Hvem som har ansvar for hva Klar målsetning Ikke relevant Relevant

23 Årlig gjennomgang Hvorfor? Hensiktsmessighet og etterlevelse For strenge eller for svake? Forstår alle reglene og hvorfor? Passer reglene for det som er definert som driftskontrollsystem? Har det skjedd endringer i system eller organisasjon som endrer forutsetningene? Kilder Avviksrapporter Tilbakemeldinger fra brukere Bør gjennomgås av ledelsen!

24 7-3 Dokumentasjon av driftskontrollsystemet «Virksomheten skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet. I dokumentasjonen skal det inngå en oversikt over alle sikkerhetstiltak som er implementert. Dokumentasjonen skal også omfatte en oppdatert skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og andre nettverk.»

25 Hva er nytt? Skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og Internett Oversikt over sikringstiltak

26 Hvordan dokumentere sikringstiltak? Vises på skissen (eksempler): Plassering av brannmur(er) Plassering av DMZ Plassering av sensorer for IDS/IPS I internkontrollsystemet (eksempel) Beskrivelse og instrukser av Konfigurasjoner av det ovennevnte Nettverkssikkerhet Instruks for kobling mellom adm-nett og prosessnett Etc, etc

27 7-4 Kontroll med brukertilgang «Virksomheten skal ha kontrollordninger for tildeling, endring, sletting og vurdering av korrekt tilgang til driftskontrollsystemet. Virksomheten skal til enhver tid kunne kontrollere hvilken person som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes. Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå.»

28 Hovedelementer Kontrollordning for Tildeling, endring, sletting og vurdering av korrekt tilgang Bør være rollebaserte tilgangsrettigheter Kontroll med hvem som har vært logget på driftskontrollsystemet Også ved ekstern tilgang Årlig gjennomgang av tilgangsrettigheter

29 Kontrollordning Eksempler Tildeling/vurdering Hvilke funksjoner skal personen ha tillatelse til å utføre? Er personen kvalifisert? Endring/vurdering Får personen få nye roller eller ansvar for andre oppgaver enn tidligere? Må tilgangsrettighetene endres? Sletting Når personen får en annen rolle eller slutter. I så fall skal tilgangsrettighetene tilbaketrekkes eller slettes. Prosedyre(r)

30 Administrering - eksempler Instruks for hvordan aksessrettighetene administreres Pek ut en ansvarlig for administrering av brukerrettigheter Der det er mulig individuelle brukerprofiler Man bør etterstrebe å gi rettigheter basert på funksjon Gi hver enkelt skriftlig tilbakemelding på hva slags rettigheter personen har Hver enkelt bør skrive under på en erklæring på at man har lest og forstått sikkerhetsregler knyttet til funksjonen

31 Logg Det forutsettes at man logger all pålogging til driftskontrollsystemet Hver enkelt må velge hvordan forskjell på selskapsstørrelse Loggene bør oppbevares sikkert Kun ansvarlig person bør ha tilgang til loggene.

32 7-5 Kontroll med endringer i driftskontrollsystemet «Virksomheten skal ha kontrollordninger for vurdering, testing og godkjenning av endringer i driftskontrollsystemet før disse utføres, for å hindre utilsiktede feil og påføring av nye sårbarheter.»

33 Hvorfor?

34 Hvorfor? Dette KAN skje etter en endring:

35 Fornuftig praksis «Kan denne endringen medføre fare for at driftskontrollsystemet feiler?» ALT trenger nødvendigvis ikke risikovurderes Små konfigurasjonsendringer? Vanskelig å sette terskel Leverandørene har som oftest testrutiner gjerne tilpasset hver enkelt installasjon avtale! Sett egne terskler

36 7-6 Kontroll med utstyr i driftskontrollsystemet «Utstyr som benyttes i driftskontrollsystemet tillates ikke brukt i andre nettverk eller løsninger utenom driftskontrollsystemet, heller ikke midlertidig. Utstyr som benyttes for å etablere logiske eller fysiske skiller mellom prosessnettverk i driftskontrollsystemet og andre nettverk, skal ha effektive kontrollordninger som hindrer uautorisert tilgang mellom skillene. Virksomheten skal ha en oppdatert oversikt over utstyr av vesentlig betydning for driftskontrollsystemets funksjon. Virksomheten skal ha en effektiv kontrollordning for sikker avhending av utstyr som har blitt benyttet i driftskontrollsystemet. Det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Bruk av trådløse datanettverk i driftskontrollsystemet er ikke tillatt. Beredskapsmyndigheten kan i særskilte tilfeller forby bruk av utstyr.»

37 Ikke bytte utstyr om hverandre Skal ikke brukes om hverandre!

38 Utstyr som lager logisk skille Eksempel DMZ For eksempel sikkerhetssjekk av filer/data

39 Liste over utstyr av vesentlig betydning Hva er vesentlig? Alt utstyr som dersom det svikter medfører tap av funksjonalitet i driftskontrollsystemet. Tap av overvåking Tap av styringsmuligheter Eksempel på oversikt Liste over alt vesentlig utstyr og hvor de er plassert Bør merkes spesielt slik at de ikke blandes sammen med utstyr som benyttes i administrativt nett. Dere må selv definere hva som er vesentlig utstyr

40 Personlig eid utstyr Enkelt og greit; det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Mitt nettbrett

41 Avhending av utstyr Sørg for at det ikke ligger sensitiv informasjon på utstyr som skal kasseres! Prosedyre Sletting av harddisker eksempler på verktøy Disk - Hard Drive Eraser (DoD M) Eraser Shredit for Windows Disk Wipe

42 Trådløst nettverk Den trådløse driftssentralen?

43 Forbud mot utstyr Infisering av utstyr på fabrikk Ondsinnet aktør ønsker å vite alt om ditt system Utstyret kommer til deg malware Alle dine hemmeligheter Ondsinnet aktør vet alt om ditt system

44 7-7 Håndtering av feil, sårbarheter og sikkerhetsbrudd «Virksomheten skal etablere kontrollordninger for å sikre effektiv håndtering av feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemets funksjon. Virksomheten skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd. Alle sikkerhetsbrudd og hendelser skal registreres. Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. også 2-6.»

45 Kontrollordningen Prosedyrer for hvordan der skal reagere og håndtere hendelser Hvordan? Viktig å forsøke å få informasjon om feil eller sårbarheter FØR det påvirker ditt system Leverandør, andre kilder Varsling internt ved unormal trafikk eller oppførsel av data Ha tilgjenglig nok personell eller ressurser til å håndtere feil eller andre hendelser Avtaler Registrér alle avvik Bør ha en «terskelverdi» Plassere ansvar

46 Eksempel prosedyre Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering

47 Eksempel prosedyre Varsling fra eksterne Varsel internt (overvåking) Plutselige hendelser Vurdere konsekvens av hendelsen Innkalle ressurser Hva gikk bra? Hva gikk ikke bra? Endre prosedyrer, planverk etc Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering Risikoanalyse/verdivurdering Opplæring/bevisstgjøring Etablering av ressurser Beredskapsplanlegging Øvelser Erfaring fra hendelser Lag flere håndteringsstrategier (malware, virus, DDoS)

48 Når skal NVE varsles? Ved forsøk på inntrengning og/eller manipulasjon av hele eller deler av driftskontrollsystemet og avanserte måle- og styringssystem (AMS). ( 2-6 a)

49 7-8 Beredskap ved svikt i driftskontrollsystemet «Virksomheten skal ha beredskap og forberedte tiltak for fortsatt drift av anlegg ved svikt i driftskontrollsystemet.»

50 Krav Innebærer i praksis at dere skal ha planer for manuell drift av anlegg dersom driftskontrollsystemet ikke virker. Se også vedlegg 2 og 3 om bemanning av kompetente personer i ekstraordinære situasjoner (2.1.4 og 3.1.4)

51 7-9 Bemanning av driftssentral «Virksomheten skal til enhver tid ha tilstrekkelig og tilgjengelig autorisert personell med nødvendig kompetanse, slik at driftskontrollfunksjonen kan utøves uten ugrunnet opphold. Virksomhetens risiko- og sårbarhetsanalyse skal ligge til grunn for valg av bemanningens størrelse samt omfang av ordninger for påkalling av ekstra personell ved behov, jf. 2-4 og 5-8.»

52 Om bestemmelsen Alle skal til enhver tid ha tilstrekkelig med kompetente folk som kan utøve driftskontrollfunksjoner Opplæring og intern godkjenning Risikoanalyse Generell bestemmelse

53 7-10 Ekstern tilkobling til driftskontrollsystem «Virksomheten skal ha kontrollordninger for å godkjenne, vedlikeholde og avvikle ordninger for ekstern tilkobling til driftskontrollsystemet, samt funksjoner for innstiling av vern. En særskilt vurdering skal ligge til grunn for godkjenning av løsning. Kun autorisert personell kan gis adgang til driftskontrollsystemet gjennom ekstern tilgang. Virksomheten skal ha kontrollordninger for vurdering, tildeling, endring og tilbaketrekking av autorisasjon. Virksomheten skal ha en oppdatert liste over alle som er autorisert. Det skal foreligge en egen forhåndsavtalt prosedyre for ekstern tilkobling til driftskontrollsystemet. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg. For fjernvarmeanlegg der hele eller deler av driftskontrollfunksjonen utføres av selskap som ikke er KBO-enhet, må vedkommende KBO-enhet påse at hele driftskontrollsystemet beskyttes etter relevante bestemmelser i denne forskrift.»

54 Kontrollordningen Det er metoden og sikringstiltakene for fjerntilgang som skal godkjennes internt Sikringstiltakene (autentisering) bør være noe sterkere enn det som gjelder internt Risikovurdering

55 Eksempel på metode (forenklet) Kilde: NERC

56 Eksempel på metode (forenklet) Brannmurregler sørger for tilgang kun til bestemt ressurs Brannmurregler sørger for tilgang kun til bestemt ressurs Logge på spesifikk ressurs i sikker sone Sikker pålogging SSL/VPN etc med begrenset tilgang (for eksempel kun til dedikert terminalserver) Pålogging terminalserver (for eksempel gjennom AD) Logge på arbeidsstasjon for tilgang til ressurser i beskyttet sone Logge på for tilgang til ressurser i beskyttet sone (feks to-faktor) Kilde: NERC

57 Kontroll med hvem For å ha kontroll med hvem som har tillatelse, kreves det godkjenning av personer.

58 Hvordan autorisere personell? Eksempler: Kreve at man setter seg inn i prosedyrene for fjerntilgang Bekrefte (underskrift på erklæring) at man har lest og forstått sikkerhetsreglene Sikkerhetssamtale Opplæring som dokumenteres Gi personlige brukernavn og passord Liste: Liste over autoriserte personer er vel uproblematisk..?

59 Prosedyre - eksempel Internett Adm-nettverk Medarbeider eller leverandør får utlevert to-faktor brikke av selskapet Selskapet kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Selskapet gir leverandør et engangspassord for å logge seg på Leverandør får tilgang til terminalserver i DMZ Sikker sone Leverandør gir beskjed om at arbeidet er utført Leverandør utfører arbeid Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Selskapet gir leverandør nytt engangspassord for å koble seg på sikker sone Internett Selskapet bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Selskapet terminerer forbindelsen mellom sikker sone og Internett Kilde: NERC

60 Om selskap som ikke er KBO-enheter Selskap som ikke er enhet i KBO har ikke lov til å drive driftssentralen Unntaket er for fjernvarmeanlegg der for eksempel forbenningsanlegget (som ikke er enhet i KBO) også styrer varmesentraler for fjernvarmeselskapet (som er enhet i KBO) KBO-enheten er ansvarlig for at kravene i forskriften oppfylles! Må stille krav

61 7-11 Systemredundans i driftskontrollsystemet «Virksomheten skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikoanalyse.»

62 Om bestemmelsen Generell bestemmelse, gjelder i første rekke klasse 1 Men ALLE må vurdere i hvilke grad de trenger systemredundans Risikoanalyse skal ligge til grunn

63 7-12 Sammenkobling mellom avanserte måleog styringssystem (AMS) og driftskontrollsystem «Dersom virksomheten har integrert funksjonalitet for bryting og begrensning av effektuttak i avanserte måle- og styringssystem (AMS), jf. forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester 4-2 e, i virksomhetens driftskontrollsystem, skal IKT-system med tilhørende utstyr som benyttes til denne funksjonen, sikres i henhold til driftskontrollsystemets klasse. Med integrert funksjonalitet menes at funksjonen for å bryte og begrense effekt ved AMS utøves fra virksomhetens driftssentral, og at man benytter samme utstyr og infrastruktur som virksomheten benytter i driftskontrollsystemet. Bestemmelsen gjelder til og med det utstyr eller punkt der signalene for å bryte og begrense effektuttak adskilles fra signalene i driftskontrollsystemet.»

64 Risiko - utredning Uønsket utkobling hos mange kunder Programvarefeil Sentralenhet feiler eller brukes i angrepet Utro tjener Beskyttelse av bryterfunksjonalitet er kritisk Gjelder både én-til-én og én-til mange funksjonalitet Mange målere ute av drift samtidig er også vurdert til å være kritisk. Dette er pga store kostnader for reparasjon/utskiftning av utstyr.

65 Dette handler bestemmelsen om: 65

66 Dette handler bestemmelsen om: 66

67 Sikring av bryterfunksjonalitet Segregering mellom innsamling/ bryterfunksjonalitet Fysisk sikring Forhold til driftssentralen? Tilgangskontroll Retningslinjer for bruk av bryterfunksjonalitet Sikkerhetsbevissthet Logging og overvåking Kontroll med fjernaksess

68 7-13 Beskyttelse mot elektromagnetisk puls og interferens «Virksomheten skal vurdere driftskontrollsystemets sårbarhet for elektromagnetisk puls (EMP) eller elektromagnetisk interferens (EMI). Dersom sårbarheter avdekkes, skal det gjennomføres sikrings- eller beredskapstiltak etter driftskontrollsystemets betydning for sikker drift og gjenoppretting av funksjon i energiforsyningen.»

69 Om bestemmelsen Generell bestemmelse ALLE skal vurdere sårbarhet knyttet til EMP/EMI Risikovurdering Tiltak hvis man er sårbare EMP-sikring Reservedeler Reparasjonsberedskap

70 EMP - trusselbilde De mest vanlige kildene for EMP er nukleær EMP (N-EMP) og radiofrekvente våpen (HPM). Det forskes mye på slike våpen Mobile våpen eksisterer Konsekvensene kan bli katastrofale (N-EMP) Usikkert hvem som har kapasiteter men finnes i kriminelle miljøer Solstorm!

71 7-14 Særskilte krav til driftskontrollsystem klasse 2

72 7-14 a) Sikkerhetskopier «Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten.»

73

74 Om bestemmelsen Husk at ALLE er pålagt å ta sikkerhetskopier etter 6-8! Testing av gjenoppretting av sikkerhetskopiene sikrer at man er trygg på at strategien for sikkerhetskopiering fungerer etter hensikten Bør gjøres minimum årlig, eller (helst) oftere Man bør vurdere å utarbeide en strategi for sikkerhetskopier

75 Strategi sikkerhetskopi eksempel Strategi for sikkerhetskopi Definere hva som skal sikkerhetskopieres Sette i drift Lessons learned Monitorere sikkerhetskopiering Kontroll av sikkerhetskopier Test av sikkerhetskopi i testmiljø

76 7-14 b) Sikkerhetsrevisjon «Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt.»

77 Hensikt og omfang Kontrollere at pålagte sikkerhetstiltak er etablert og fungerer etter sin hensikt Gjør at man hele tiden er godt kjent med eget driftskontrollsystem og dets mangler og sårbarheter Forlengelse av tidligere krav om kontroll og vedlikehold Trenger ikke være en fullstendig gjennomgang hver gang Pass på at revisjonen er noenlunde uavhengig Samarbeid gjerne med andre KBO-enheter Utarbeid en plan over flere år med ulike tema

78 Sikkerhetsrevisjon - risikostyring Sikkerhetsrevisjon - en del av risikostyring Risikostyring er et hjelpemiddel som kan integreres i eksisterende styringssystemer for å sikre en bedre måloppnåelse Avvik/ rapportering Kartlegging/ risikoanalyse Ledelse (forankring, kontroll, styring, rammebetingelser) Identifisere tiltak Kontroll og overvåking av tiltak Implementere tiltak etter ROS Sikkerhetsrevisjon Implementering av lovbestemte tiltak

79 Hva og hvordan - sikkerhetsrevisjon Hva skal revideres? I utgangspunktet ALLE pålagte tiltak etter bfe. Eksempler Ledelse og organisering av IKTsikkerhetsarbeidet Teknisk infrastruktur Informasjonsressurser Fysisk sikring av utstyr Sikkerhetspolicyer og prosedyrer Beredskaps- og kontinuitetsplaner Systemutvikling og innføring Risikostyring (risikovurdering) Applikasjonskontroller Kontroll med endringer Kontroll med utstyr EMP

80 Rammeverk - eksempel Planlegging Gjennomføring Rapportering Intern oppfølging Bestemme revisjonsobjekt Avklare målsetning Innhente dokumentasjon Gjennomgang av dokumentasjon Utarbeid spørsmål til revisjonen Åpningsmøte (avklaring av hensikt og rammer for revisjonen) Gjøre revisjonskontroller (testing, stikkprøver, observasjoner) Intervjuer Avslutningsmøte (presentasjon av funn) Lage revisjonsrapport Muntlig rapportering Registrere funn i avvikssystem Identifisere tiltak basert på funn Lage tids- og ansvarsfestet plan for gjennomføring av tiltak Kontroll av at tiltakene er gjennomført Lukking av avvik i avvikssystem

81 7-14 c) Overvåking og logging «Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet.»

82 Krav Det skal etableres automatisk overvåking av nettverkstrafikk i driftskontrollsystemet Trafikken skal analyseres og det skal varsles ved unormal trafikk

83 Hvorfor? Angrepsmetodene blir stadig mer avanserte Dagens brannmurer er svært effektive Sosial manipulering og infisering via e-post Viruskontroll holder ikke tritt Krever mekanismer som går utover tradisjonell beskyttelse Sammenkobling av nett og system gjør alt mye mer komplisert Mye inn/ut data gjør alt mer uoversiktlig lett å gjemmme seg Overvåking og logganalyse en viktig del av beskyttelsen i dybden

84 Verktøy - eksempler Eksempel på automatisk overvåking: Logganalyseverktøy IDS (Intrusion Detection System) passiv overvåking IPS (Intrusion Prevention System) aktiv blokkering

85 = sensor Sensorer i perimeter - eksempel Kilde: NIST Perimeter

86 Logging og overvåking - utfordringer Mye data blir produsert hvordan plukke ut de relevante? Man må vite hva man gjør risiko for mye false positives Ingen god idé å plassere sensor i selve prosessnettverket Styresignaler kan bli blokkert eller at man får unødige alarmer Monitorering kan være krevende Hva gjør du hvis det kommer inntrengningsalarm midt på natten?

87 Logging og overvåking - implementering Etabler overvåking basert på sikkerhetspolicy/regler Gjør en vurdering av hva dere vil beskytte Start i det små Vurder plassering Aktive sensorer (blokkering) ved kritiske system/data Passive sensorer (kun alarm) i nettverk Veldig komplisert! Vurder eksperthjelp hvis dere selv ikke har nødvendig kompetanse

88 7-14 d) Utilgjengelig driftssentral «Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.»

89 Hva gjør du hvis driftssentralen brenner ned? Anleggene skal kunne styres manuelt Hvis driftssentralen settes ut av drift i lang tid, skal dere ha planer for etablering av drift på alternativt sted Velge ut sted og klargjøre Reservedeler Dublering på et annet sted enn der driftssentralen er plassert? Øve på å etablere alternativ drift Man må ha talesamband!

90 7-14 e) Bemanning av driftssentral «Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold. Virksomheten skal senest innen én time kunne bemanne driftssentralen. Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.»

91 Krav Alle hendelser skal varsles og vurderes uten unødig opphold Umiddelbar varsel til hjemmevakt SMS er kanskje ikke nok! Umiddelbar vurdering av situasjonen Fra en situasjon oppstår til sentralen er bemannet 1 time. Vaktordning for påfyll av folk Kanskje jeg burde dra til driftssentralen?

92 7-14 f) Ekstern tilkobling til driftskontrollsystemet «Ved tilkobling fra leverandører skal driftssentralen være bemannet. Virksomheten skal ha kontrollordning for korrekt autentisering av de personene som er autorisert til å benytte ekstern tilkobling for adgang til driftskontrollsystemet. Virksomheten må sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheten skal utarbeide interne regler for hva som er et sikkert sted. Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk. Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling. Dersom KBO-enheten kan foreta styring av anlegg i energiforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person. Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.»

93 Tilkobling fra leverandør = bemanning + prosedyre Leverandør skal koble seg på DRIFTSSENTRALEN BEMANNES Medarbeider eller leverandør får utlevert to-faktor brikke av driftskontrolloperatør Operatør kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Operatør gir leverandør nytt engangspassord for å koble seg på sikker sone Leverandør får tilgang til terminalserver i DMZ Operatør gir leverandør et engangspassord for å logge seg på Leverandør utfører arbeid Leverandør gir beskjed om at arbeidet er utført Operatør bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Operatør terminerer forbindelsen mellom sikker sone og Internett

94 Sikker autentisering - eksempler Ikke ring oss, vi ringer deg prinsippet Passord gitt av driftssentralen Personlig relasjoner

95 Hva er sikkert sted? Ikke flyplassterminaler Ikke bussterminaler Ikke kaffesjappa Dere må bestemme hva som er sikkert sted! Lag kriterier for hva som ansees som sikkert sted Eksempler: krav til Lokasjon Fysisk beskyttelse/adgangskontroll Beskyttelse mot innsyn Erklæringer fra leverandør

96 Tilkobling og kobling i nett Terminér tilkoblingen når den ikke er i bruk Den som har hjemmevakt må gis tillatelse til å utføre kobling hvis man skal koble hjemme hvis ikke må autorisert person bemanne driftssentralen Kan være forhåndsavtalt - skriftlige retningslinjer godkjent av ansvarlig person

97 Logging All ekstern tilkobling skal loggføres eksempel Tidspunkt for påkobling Hvem som gav tillatelse Hvem som koblet seg på Hvorfor Tidspunkt for avkobling

98 7-14 g) Systemredundans «Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett. Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans. Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og 7-8.»

99 Uavhengighet Skal fungere uavhengig av offentlige tjenester Nødstrøm Reparasjonsberedskap Man bør vurdere alternative metoder for redundans Gjelder til alle anlegg i klasse 2 og 3 Reparasjonsberedskap Avtale med leverandør av linjer, utstyr, transmisjon Egenberedskap Vurder risiko for overbelastning i offentlig nett

100 Redundans prinsipp Ingen enkeltfeil eller hendelse skal kunne sette driftskontrollsystemet eller viktige funksjoner ut av drift. Det betyr at dersom feil eller hendelse setter et system ut av spill, skal et annet system overta viktige funksjoner. Skal være reell uavhengighet Redundansen skal gå helt frem til RTU også inne i selve anlegget (før RTU)

101 Redundans frem til RTU Eksempel basis redundans frem til det lokale kontrollanlegg 1 2

102 7-14 h) Særskilt om dublering «Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. 7-7.»

103 Om bestemmelsen Gjelder hvis dubleringen av SCADA er identisk Gjelder særlig ved oppdatering/patching Beste praksis: test oppdatering på et tredje system(testsystem) før det settes i produksjon Det tredje system er gjerne hos leverandøren Husk avtale!

104 7-14 i) Beskyttelse mot EMP og EMI «Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer.»

105 Ny bestemmelse Det er nå mulig å velge beredskapstiltak i stedet for EMP-sikring Betingelse: reservedeler i EMP-skap, kontainere etc MEN husk vedlikeholdsplikten i 5-1, 3 ledd Man skal kunne erstatte alt ødelagt utstyr i minst én sambandsvei På hvor lang tid? => Uten ugrunnet opphold «Fallback»: lokal bemanning og talesamband Der det etableres EMP-beskyttelse gjelder de samme tekniske krav til demping og frekvensbeskyttelse som tidligere Ref uoff vedlegg til forrige beredskapsforskrift

106 7-14 j) Sikker tidsreferanse «Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse.»

107 Krav Krever minst én klokke med stor nøyaktighet som kan synkroniseres mot andre sikre tidsreferanser Sikker tidsreferanse er også viktig i tilknytning til AMS og eventuell Smart Grid!

108 7-15 Særskilte krav til driftskontrollsystem klasse 3

109 7-15 a) Reserve driftssentral «Virksomheten skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge. Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner. Reserve driftssentral skal utføres med sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet for øvrig, jf. 5-6.»

110 Krav Sikker avstand betyr at reserve driftssentral skal være i et annet bygg (i GOD avstand) eller (aller helst) plasseres i et kraftforsyningsanlegg (får mye beskyttelse gratis). Når du flytter til reserve driftssentral, skal kontroll og styring kunne gjenopptas så fort du har kommet dit. Må øves! Reserve driftssentral skal oppfylle samme krav til sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet

111 7-15 b) Bemanning av driftssentral «Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.»

112 Krav Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.

113 7-15 c) Ekstern tilkobling til driftskontrollsystemet «Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.»

114 Mer om bestemmelsen Samme krav til sikkerhet ved oppkobling av leverandører som for 7-14 f)

115 7-15 d) Systemredundans «Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem. Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.»

116 Om å sikre god nok avstand Vanskelig å gardere seg mot store og omfattende stormer Samband på stolper i distribusjonsnettet er svært utsatt Større geografisk spredning på redundansen Bakdeler: lang linje, mange hopp, uoversiktlig Fordeler: mer robust mot uvær, flere leverandører (kan også være en bakdel.) Bruk ulik teknologi Har dere noen tanker rundt dette?

117 Eie, leie hva er det greie? Det er nå ikke påkrevd å eie eget samband. MEN du skal ha full kontroll og råderett over alt utstyr og komponenter (inkludert transmisjonsveien) Oversikt over føringsveiene DU bestemmer hvem som har tilgang Sørg for tilstrekkelig separasjon Reparasjonsberedskap

118 Kontroll og råderett Kjempeforenklet eksempel Samband du skal ha kontroll og råderett over Annet leid samband

119 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er

120 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg. Frank Skapalen Seksjon for beredskap, energiavdelingen

Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg. Frank Skapalen Seksjon for beredskap, energiavdelingen Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg Frank Skapalen Seksjon for beredskap, energiavdelingen Agenda Hvorfor strenge regler til IKT-sikkerhet? Gjennomgang av de viktigste

Detaljer

Risikovurdering av AMS

Risikovurdering av AMS Risikovurdering av AMS Frank Skapalen Seksjon for beredskap, energiavdelingen NVEs BfK-seminar 11. januar 2012 Rekkefølge Formål med AMS, funksjoner Hva vi har jobbet med i risikovurderingen Scenarioer

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Hvordan sikre seg at man gjør det man skal?

Hvordan sikre seg at man gjør det man skal? Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no Tenk igjennom hva som kunne vært konsekvensene for ditt selskap

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016 IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016 Otto.Rustand@glitreenergi.no Agenda Kort om Glitre Energi Nett Strategi for IKT sikkerhet Modernisering av

Detaljer

Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen

Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap Helge Ulsberg Beredskapsseksjonen Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen,

Detaljer

Samarbeid om driftsradio i Buskerud. 10.02.2015 Otto Rustand

Samarbeid om driftsradio i Buskerud. 10.02.2015 Otto Rustand Samarbeid om driftsradio i Buskerud 10.02.2015 Otto Rustand Agenda Kort om EB Krav fra myndighetene i vår bransje Vurderinger rundt valg av DMR E-verkssamarbeidet Erfaringer fra bruk Vannkraftproduksjon

Detaljer

Oversending av revisjonsrapport Fredrikstad Fjernvarme AS

Oversending av revisjonsrapport Fredrikstad Fjernvarme AS Fredrikstad Fjernvarme AS Stabburveien 18 1617 FREDRIKSTAD Vår dato: 11.02.2016 Vår ref.: 201506574-7 Arkiv: 447 Deres dato: 05.02.2016 Deres ref.: Per Bolstad Saksbehandler: Amir Messiha ame@nve.no Oversending

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Oversending av revisjonsrapport - Drammen Fjernvarme AS

Oversending av revisjonsrapport - Drammen Fjernvarme AS Drammen Fjernvarme AS Jacob Borchs gate 5 3012 DRAMMEN Vår dato: 13.04.2016 Vår ref.: 201600688-7 Arkiv: 447 Deres dato: 12.04.201 Deres ref.: Saksbehandler: Amir Messiha ame@nve.no/98044707 Oversending

Detaljer

Helhetlig strategi for kommunikasjon og samvirke

Helhetlig strategi for kommunikasjon og samvirke Helhetlig strategi for kommunikasjon og samvirke Glitre Energi Netts konsesjonsområde Regionalnett i hele Buskerud (ca 85%), inkl. deler av Voss i Hordaland og noe i Vestfold, samt kommunene Gran, Jevnaker

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

2.4 Bruk av datautstyr, databehandling

2.4 Bruk av datautstyr, databehandling 2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,

Detaljer

Nødnett - status. Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012. Truls Sønsteby - NVE, Beredskapsseksjonen

Nødnett - status. Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012. Truls Sønsteby - NVE, Beredskapsseksjonen Nødnett - status Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012 Truls Sønsteby - NVE, Beredskapsseksjonen Nye tilleggsopplysninger (pr 15 januar) Siden fordraget ble holdt

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

GENERELL BRUKERVEILEDNING WEBLINE

GENERELL BRUKERVEILEDNING WEBLINE Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...

Detaljer

KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET

KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET Siv. Ing Arne J. Devold Norconsult AS September 2014 Operatørplass1 Operatørplass 2 Utalarmering Server Ethernet US002 US004 US001

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

Sikring av industrielle automatiserte kontrollsystemer

Sikring av industrielle automatiserte kontrollsystemer Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

GÅRSDAGENS TEKNOLOGI

GÅRSDAGENS TEKNOLOGI VI PRØVER Å STOPPE MORGENDAGENS ANGREP MED GÅRSDAGENS TEKNOLOGI Energidagene 2016 Even Sverdrup Augdal Head of Network Security Analysis Phone: (+47) 991 59 607 Email: even@mnemonic.no Vi prøver å stoppe

Detaljer

Beredskap i kraftforsyninga

Beredskap i kraftforsyninga Sikkerhetsdagene 2011 Beredskap i kraftforsyninga - tydelige krav fordi det er viktig for hele samfunnet - Arthur Gjengstø E-post: argj@nve.no Mobilnettet nede i Hordaland og Rogaland (VG Nett) Flere

Detaljer

ERFARINGER FRA ØVELSER OG REELLE HENDELSER

ERFARINGER FRA ØVELSER OG REELLE HENDELSER ERFARINGER FRA ØVELSER OG REELLE HENDELSER Beredskapskonferansen 2014 Geir Kaasa Beredskapsleder i Skagerak Nett KDS i Vestfold og Telemark Skagerak Nett AS - nøkkeltall -185 000 kunder -376 ansatte (01.04.2014)

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Oversending av revisjonsrapport og varsel om vedtak om retting, Haugaland Kraft AS

Oversending av revisjonsrapport og varsel om vedtak om retting, Haugaland Kraft AS Haugaland Kraft AS Postboks 2015 5504 HAUGESUND Vår dato: 21.10.2015 Vår ref.: 201503305-7 Arkiv: 447 Deres dato: Deres ref.: Geir A. Molland Saksbehandler: Amir Messiha ame@nve.no Oversending av revisjonsrapport

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Oversending av revisjonsrapport - Sunndal Energi Kf

Oversending av revisjonsrapport - Sunndal Energi Kf Sunndal Energi Kf Mongstugata 9 6600 SUNNDALSØRA Vår dato: 28.09.2016 Vår ref.: 201600691-6 Arkiv: 447 Deres dato: Deres ref.: Geir Sæther Saksbehandler: Amir Messiha ame@nve.no/98044707 Oversending av

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Tilsynsrapport. Enhet i KBO: Vest-Telemark Kraftlag AS. Tilsynsdato: Høydalsmo, Tokke

Tilsynsrapport. Enhet i KBO: Vest-Telemark Kraftlag AS. Tilsynsdato: Høydalsmo, Tokke Tilsynsrapport Enhet i KBO: Vest-Telemark Kraftlag AS Tilsynsdato: 10.4.2014 Sted: Medvirkende fra KBO-enhet: Høydalsmo, Tokke Ketil Kvaale, adm. dir., beredskapsleder og beredskapskoordinator Aslak Ofte,

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Vår dato :

Vår dato : Tilsynsrapport Enhet i KBO: Statkraft Varme AS Tilsynsdato: 17.09.2014 Sted: Heimdal varmesentral, Østre Rosten 82 Medvirkende fra KBO-enhet: Tilsynslag fra NVE: Arvid Wisløff, beredskapsleder Åmund Utne,

Detaljer

VTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE

VTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE VTFs Vårmøte 2008 4. juni, Oslo Orientering om kraftforsyningsberedskap seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE epost: argj@nve.no; mobil: 48 12 74 98 Beredskap i kraftforsyningen skal:

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Veileder til sikkerhet i avanserte måle- og styringssystem

Veileder til sikkerhet i avanserte måle- og styringssystem Veileder til sikkerhet i avanserte måle- og styringssystem Frank Skapalen, NVE Bjørn Jonassen, Deloitte 7 2012 kw kwh V E I L E D E R Veileder til sikkerhet i avanserte måle- og styringssystem Norges vassdrags-

Detaljer

Den mobile arbeidshverdagen

Den mobile arbeidshverdagen Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk

Detaljer

Bilag 3: Beskrivelse av det som skal driftes

Bilag 3: Beskrivelse av det som skal driftes Bilag 3: Beskrivelse av det som skal driftes 1 Innledning I dette bilaget beskrives arkitektur og systemlandskap for Visma Flyt PPT. 2 Visma Flyt Plattform Visma Flyt PPT er bygget på Vismas Flyt Plattform

Detaljer

Brannforum 2012. Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg. Leif Vikane, Statnett

Brannforum 2012. Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg. Leif Vikane, Statnett Brannforum 2012 Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg Leif Vikane, Statnett Beredskapsforskriften 5.5 C) Klasse 3 Anlegget skal være utført og utstyrt etter høye krav til sikring.

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

2.13 Sikkerhet ved anskaffelse

2.13 Sikkerhet ved anskaffelse 2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

netsense...making sense of IT

netsense...making sense of IT netsense...making sense of IT Netsense.. Netsense er et IT konsulentselskap som opererer innen fagområdene: IT utvikling IT forvaltning IT rådgivningstjenester Vi leverer understøttende teknologi og tjenester...så

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014 CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon

Detaljer

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Samfunnssikkerhetskonferansen 6. januar 2016 Ruth Østgaard

Detaljer

Pålitelighet i kraftforsyningen

Pålitelighet i kraftforsyningen NEK Elsikkerhetskonferansen 27. nov. 2013 Pålitelighet i kraftforsyningen Gerd Kjølle Seniorforsker SINTEF Energi/ professor II NTNU Inst for elkraftteknikk gerd.kjolle@sintef.no 1 Oversikt - problemstillinger

Detaljer

Oversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS

Oversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS Statkraft Varme AS Postboks 2400 7005 TRONDHEIM Vår dato: 26.09.2016 Vår ref.: 201600690-8 Arkiv: 447 Deres dato: 22.09.2016 Deres ref.: Arvid Wisløff Saksbehandler: Amir Messiha ame@nve.no Oversending

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Ekom og ekstremvær. Det verste kan skje, men. Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett

Ekom og ekstremvær. Det verste kan skje, men. Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett Ekom og ekstremvær Det verste kan skje, men Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett 1 2 Når Dagmar feide over Nordvestlandet Antall mobilbasestasjoner ute på Nordvestlandet

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Beskyttelsesteknologier

Beskyttelsesteknologier Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:

Detaljer

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo KS'BedriftEnergi Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo Vår ref.: Deres ref.: 201106765-12 eb/ivm Vår dato.: l.oktober 2012 Høring - beredskapsforskriften Det vises til

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 -

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Arthur Gjengstø seksjonssjef, beredskapsseksjonen epost: argj@nve.no; mobil: 48 12 74 98 Velkommen Til Norges beste fylke Til informasjon,

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Norges vassdrags- og energidirektorat

Norges vassdrags- og energidirektorat Norges vassdrags- og energidirektorat Helhetlig tilnærming til beredskapsarbeidet Orientering på seminar i regi av EBL 22 okt. 2008 Roger Steen beredskapsseksjonen rost@nve.no www.nve.no Disposisjon Hvorfor

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

Stikkord for innhold:

Stikkord for innhold: KS Område: Driftssentral Ansvarlig: Driftssentralen Opprettet: 01.01.06 KS Hovedprosedyre: Driftssentral - Nettbibliotek Godkjent: Seksjonsleder Driftskontoll KS Rutine: Driftssentralen Rutine for varsling,

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Oversending av revisjonsrapport Bindal Kraftlag SA

Oversending av revisjonsrapport Bindal Kraftlag SA Bindal Kraftlag SA Postboks 34 7980 TERRÅK Vår dato: 17.10.2016 Vår ref.: 201603376-5 Arkiv: 447 Deres dato: 29.09.2016 Deres ref.: Frode Næsvold Saksbehandler: Amir Messiha ame@nve.no/98044707 Oversending

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Tema for tilsyn 2011

Tema for tilsyn 2011 Funn på tilsyn 2011 11. januar 2012 Johannes Sjo Steinsvåg Seksjon for beredskap Tema for tilsyn 2011 Standard tilsyn: Drift og ggjenoppretting gunder ekstraordinære forhold Risiko- og sårbarhetsanalyser

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn

Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn - info. om revidert energilov (beredskap) - revisjon av BfK - gjeldende

Detaljer

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0. SØR-TRØNDELAG FYLKESKOMMUNE RETNINGSLINJE FOR INFORMASJONSSIKKERHET Nettvett i STFK Retningslinjer og etiske regler for bruk av datanett i STFK Erstatter: - Utarbeidet ved: IKT-tjenesten Vedtatt/godkjent

Detaljer

Dokument 3:16 (2007-2008)

Dokument 3:16 (2007-2008) Riksrevisjonens undersøkelse av nordisk samarbeid om reparasjonsberedskap for kraftsystemet parallellrevisjon mellom norsk, dansk og finsk riksrevisjon Dokument 3:16 (2007-2008) Parallellrevisjon rettet

Detaljer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer

Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer Agenda Hva er IT-sikkerhet? Hva bør vi begynne med? Planlegging / ROS-analyse Fysisk sikring Nettverk Oppdatert

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer