Kapittel 7 Beskyttelse av driftskontrollsystem

Størrelse: px
Begynne med side:

Download "Kapittel 7 Beskyttelse av driftskontrollsystem"

Transkript

1 Velkommen til sesjon om Kapittel 7 Beskyttelse av driftskontrollsystem Frank Skapalen og Øystein Gåserud Seksjon for beredskap Seminar om beredskapsforskriften 13. februar 2013

2 Forord Denne presentasjonen ble gitt 13. februar 2013 i forbindelse med NVEs konferanse om ny beredskapsforskrift I PDF-utgaven (den du ser på nå) er det lagt ved ytterligere presentasjonsark som ikke ble gjennomgått under konferansen Bakerst er det også lagt ved en litteraturliste knyttet til en rekke av temaene i denne presentasjonen.

3 Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen, send epost til: Alle spørsmål og innspill vi mottar til denne adressen mottas med takk! Ingen får direkte svar, men du kan påvirke teksten i veiledningen som kommer !

4 Det største kapittelet i ny forskrift 7-1. Generell plikt til å beskytte driftskontrollsystemet 7-2. Overordnede sikkerhetsregler 7-3. Dokumentasjon av driftskontrollsystemet 7-4. Kontroll med brukertilgang 7-5. Kontroll ved endringer i driftskontrollsystemet 7-6. Kontroll med utstyr i driftskontrollsystemet 7-7. Håndtering av feil, sårbarheter og sikkerhetsbrudd 7-8. Beredskap ved svikt i driftskontrollsystemet 7-9. Bemanning av driftssentral Ekstern tilkobling til driftskontrollsystem Systemredundans i driftskontrollsystemet Sammenkobling mellom avanserte måle- og styringssystem (AMS) og driftskontrollsystem Beskyttelse mot elektromagnetisk puls og interferens Særskilte krav til driftskontrollsystem klasse Særskilte krav til driftskontrollsystem klasse Vern av kraftsystem i regional- og sentralnett Mobile radionett driftsradio

5 Hvem skal oppfylle hva? Klasse 3 Klasse 2 Skal oppfylles av ALLE Alle med regional- og sentralnett Skal oppfylles av alle som er avhengig av mobil radiokommunikasjon

6 Hva er nytt? Mange av kravene i tidligere veileder er nå bestemmelser i ny bfe. Nye bestemmelser om brukertilgang, utstyr, endringer, systemredundans Helt nye krav om bemanning og EMP! Bestemmelsen er bygget opp rundt «forsvar i dybden»- prinsippet + ISO 27001, og NIST

7 Beskyttelse i dybden eksempel Mulig angrep SCADA Sikkerhet i anlegg Fysisk sikkerhet Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne sikkerhetsregler Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN Implementering av brannmurbasert tilgang til enklaver Kilde: Siemens Systemintegritet Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare Virus/malware-kontroll og hvitlisting

8 Beskyttelse i dybden eksempel Mulig angrep Kilde: Siemens SCADA Sikkerhet i anlegg Fysisk sikkerhet Kapittel 5 Fysisk tilgang til anlegg og utstyr Regler og prosedyrer Sikkerhetsledelse Interne 7-2, sikkerhetsregler 7-7, 7-8 Beredskap og gjenopprettingsplaner Nettverkssikkerhet Domener og DMZ ( 7-6) Arkitektur basert på segmentering av nettverk (enklaver) Brannmurer og VPN 7-3, 7-5, 7-6 Implementering av brannmurbasert tilgang til enklaver Systemintegritet 7-6, 2 ledd Herding av systemer Tilpasse systemer basert på sikkerhet Tilgangskontroll 7-4, 7-10, 7-14 Regelbasert tilgangskontroll for brukere, system og utstyr «Patch Management» 7-5 Prosedyrer for sikkerhetsoppdateringer Kontroll med skadelig programvare 7-7, 7-14 Virus/malware-kontroll og hvitlisting

9 Definisjon av driftskontrollsystem Alle komponenter som ivaretar overvåking og styring Driftssentraler Sambandsanlegg Servere med programvare som benyttes til overvåking og styring av anlegg Infrastruktur som fører signaler i driftskontrollsystemet System, infrastruktur og sambandsanlegg som kan styre eller programmere vern med tilhørende komponenter enten gjennom driftskontrollsystemet eller gjennom andre kommunikasjonskanaler (direkte tilknytning)

10 Definisjon av driftskontrollsystem Med andre ord: ALT utstyr, infrastruktur, programvare med mer som benyttes til overvåking og styring av anlegg i energiforsyningen

11

12

13 Utøvelse av driftskontrollfunksjon Alle organisatoriske, administrative og tekniske tiltak som benyttes for å utøve overvåking og styring av anlegg i energiforsyningen

14 Hva med lokalt kontrollanlegg?

15 ALT skal beskyttes Driftskontrollsystem Lokalt kontrollanlegg Gjennomgående samband beskyttes som del av øvrig driftskontrollsystem Beskyttes iht forskriften Ingen eksplisitte krav i bfe MEN Mange komponenter i lokalt kontrollanlegg kan fjerninnstilles og fjerndiagnostiseres! DERFOR GJELDER KRAV TIL BESKYTTELSE OGSÅ HER! (jf 5-1 og 7-1) 15

16 Hva er kontrollordninger? Administrative og tekniske rutiner og tiltak. Eksempler administrative rutiner og tiltak : Passordrutiner Autorisasjon av brukere Konfigurasjonskontroll av utstyr/programvare Sikkerhetsavtaler med leverandører Eksempler på tekniske rutiner og tiltak Adgangskontrollsystem Autentisering av brukere/utstyr Bannmurer i nettverk Logging Fysisk sikring av utstyr Viruskontroll

17 7-1 Generell plikt til å beskytte driftskontrollsystemet «Alle virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser, herunder mot alle typer uautorisert tilgang for å hindre misbruk og spredning av skadelig programvare og lignende. Alle virksomheter med driftskontrollsystem er underlagt bestemmelsene om klassifisering og sikringsplikt etter kapittel 5.»

18 Med andre ord: Du skal beskytte driftskontrollsystemet og det er et ledelsesansvar!

19 Klassifisering driftskontrollsystem Prinsipp For selskap som kun drifter anlegg i klasse 1 blir driftskontrollsystemet uten vedtak klassifisert i klasse 1 For selskap som drifter anlegg i klasse 2 og 3, skal driftskontrollsystemet klassifiseres gjennom enkeltvedtak Skjønnsmessig vurdering i forhold til hvor mange anlegg som drives i de ulike klasser, samt generell vurdering av forsyningsområdets samfunnsmessige betydning. Vedtak gitt i medhold av tidligere beredskapsforskrift står fortsatt ved lag inntil de blir endret eller opphevet i medhold av denne forskrift

20 7-2 Overordnede sikkerhetsregler «Virksomheten skal fastsette sikkerhetskrav for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av energiforsyningen kan utføres på en sikker måte. Sikkerhetskravene skal gjennomgås minimum årlig for å klarlegge om de er hensiktsmessige i forhold til virksomhetens behov, om de etterleves, og om kravene gir tilfredsstillende beskyttelse av driftskontrollsystemet.»

21 Hva innebærer bestemmelsen? Utforme egne interne krav rundt driftskontrollsystemet; Drift Systemutvikling Vedlikehold Sikring Eksempler Regler for fjerntilgang Nettverks- og konfigurasjonskontroll Krav til kontroll med ekstern tilgang Krav til kontroll ved oppdateringer Krav til driftssikkerhet Retningslinjer for bruk av eksterne media Retningslinjer for tilgang for konsulenter Retningslinjer for tilgang til prosessutstyr Sikkerhetskopiering

22 Omfang og avgrensninger Hvorfor begrepet regler og ikke policy i forskriften? Bestemmelsen er ment for operativ/daglig drift Bør likevel inngå i generell policy/regelverk i virksomheten Viktig å definere virkeområde og avgrensning Hva reglene omfatter Hva reglene ikke omfatter Hvem som har ansvar for hva Klar målsetning Ikke relevant Relevant

23 Årlig gjennomgang Hvorfor? Hensiktsmessighet og etterlevelse For strenge eller for svake? Forstår alle reglene og hvorfor? Passer reglene for det som er definert som driftskontrollsystem? Har det skjedd endringer i system eller organisasjon som endrer forutsetningene? Kilder Avviksrapporter Tilbakemeldinger fra brukere Bør gjennomgås av ledelsen!

24 7-3 Dokumentasjon av driftskontrollsystemet «Virksomheten skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet. I dokumentasjonen skal det inngå en oversikt over alle sikkerhetstiltak som er implementert. Dokumentasjonen skal også omfatte en oppdatert skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og andre nettverk.»

25 Hva er nytt? Skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og Internett Oversikt over sikringstiltak

26 Hvordan dokumentere sikringstiltak? Vises på skissen (eksempler): Plassering av brannmur(er) Plassering av DMZ Plassering av sensorer for IDS/IPS I internkontrollsystemet (eksempel) Beskrivelse og instrukser av Konfigurasjoner av det ovennevnte Nettverkssikkerhet Instruks for kobling mellom adm-nett og prosessnett Etc, etc

27 7-4 Kontroll med brukertilgang «Virksomheten skal ha kontrollordninger for tildeling, endring, sletting og vurdering av korrekt tilgang til driftskontrollsystemet. Virksomheten skal til enhver tid kunne kontrollere hvilken person som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes. Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå.»

28 Hovedelementer Kontrollordning for Tildeling, endring, sletting og vurdering av korrekt tilgang Bør være rollebaserte tilgangsrettigheter Kontroll med hvem som har vært logget på driftskontrollsystemet Også ved ekstern tilgang Årlig gjennomgang av tilgangsrettigheter

29 Kontrollordning Eksempler Tildeling/vurdering Hvilke funksjoner skal personen ha tillatelse til å utføre? Er personen kvalifisert? Endring/vurdering Får personen få nye roller eller ansvar for andre oppgaver enn tidligere? Må tilgangsrettighetene endres? Sletting Når personen får en annen rolle eller slutter. I så fall skal tilgangsrettighetene tilbaketrekkes eller slettes. Prosedyre(r)

30 Administrering - eksempler Instruks for hvordan aksessrettighetene administreres Pek ut en ansvarlig for administrering av brukerrettigheter Der det er mulig individuelle brukerprofiler Man bør etterstrebe å gi rettigheter basert på funksjon Gi hver enkelt skriftlig tilbakemelding på hva slags rettigheter personen har Hver enkelt bør skrive under på en erklæring på at man har lest og forstått sikkerhetsregler knyttet til funksjonen

31 Logg Det forutsettes at man logger all pålogging til driftskontrollsystemet Hver enkelt må velge hvordan forskjell på selskapsstørrelse Loggene bør oppbevares sikkert Kun ansvarlig person bør ha tilgang til loggene.

32 7-5 Kontroll med endringer i driftskontrollsystemet «Virksomheten skal ha kontrollordninger for vurdering, testing og godkjenning av endringer i driftskontrollsystemet før disse utføres, for å hindre utilsiktede feil og påføring av nye sårbarheter.»

33 Hvorfor?

34 Hvorfor? Dette KAN skje etter en endring:

35 Fornuftig praksis «Kan denne endringen medføre fare for at driftskontrollsystemet feiler?» ALT trenger nødvendigvis ikke risikovurderes Små konfigurasjonsendringer? Vanskelig å sette terskel Leverandørene har som oftest testrutiner gjerne tilpasset hver enkelt installasjon avtale! Sett egne terskler

36 7-6 Kontroll med utstyr i driftskontrollsystemet «Utstyr som benyttes i driftskontrollsystemet tillates ikke brukt i andre nettverk eller løsninger utenom driftskontrollsystemet, heller ikke midlertidig. Utstyr som benyttes for å etablere logiske eller fysiske skiller mellom prosessnettverk i driftskontrollsystemet og andre nettverk, skal ha effektive kontrollordninger som hindrer uautorisert tilgang mellom skillene. Virksomheten skal ha en oppdatert oversikt over utstyr av vesentlig betydning for driftskontrollsystemets funksjon. Virksomheten skal ha en effektiv kontrollordning for sikker avhending av utstyr som har blitt benyttet i driftskontrollsystemet. Det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Bruk av trådløse datanettverk i driftskontrollsystemet er ikke tillatt. Beredskapsmyndigheten kan i særskilte tilfeller forby bruk av utstyr.»

37 Ikke bytte utstyr om hverandre Skal ikke brukes om hverandre!

38 Utstyr som lager logisk skille Eksempel DMZ For eksempel sikkerhetssjekk av filer/data

39 Liste over utstyr av vesentlig betydning Hva er vesentlig? Alt utstyr som dersom det svikter medfører tap av funksjonalitet i driftskontrollsystemet. Tap av overvåking Tap av styringsmuligheter Eksempel på oversikt Liste over alt vesentlig utstyr og hvor de er plassert Bør merkes spesielt slik at de ikke blandes sammen med utstyr som benyttes i administrativt nett. Dere må selv definere hva som er vesentlig utstyr

40 Personlig eid utstyr Enkelt og greit; det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet. Mitt nettbrett

41 Avhending av utstyr Sørg for at det ikke ligger sensitiv informasjon på utstyr som skal kasseres! Prosedyre Sletting av harddisker eksempler på verktøy Disk - Hard Drive Eraser (DoD M) Eraser Shredit for Windows Disk Wipe

42 Trådløst nettverk Den trådløse driftssentralen?

43 Forbud mot utstyr Infisering av utstyr på fabrikk Ondsinnet aktør ønsker å vite alt om ditt system Utstyret kommer til deg malware Alle dine hemmeligheter Ondsinnet aktør vet alt om ditt system

44 7-7 Håndtering av feil, sårbarheter og sikkerhetsbrudd «Virksomheten skal etablere kontrollordninger for å sikre effektiv håndtering av feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemets funksjon. Virksomheten skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd. Alle sikkerhetsbrudd og hendelser skal registreres. Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. også 2-6.»

45 Kontrollordningen Prosedyrer for hvordan der skal reagere og håndtere hendelser Hvordan? Viktig å forsøke å få informasjon om feil eller sårbarheter FØR det påvirker ditt system Leverandør, andre kilder Varsling internt ved unormal trafikk eller oppførsel av data Ha tilgjenglig nok personell eller ressurser til å håndtere feil eller andre hendelser Avtaler Registrér alle avvik Bør ha en «terskelverdi» Plassere ansvar

46 Eksempel prosedyre Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering

47 Eksempel prosedyre Varsling fra eksterne Varsel internt (overvåking) Plutselige hendelser Vurdere konsekvens av hendelsen Innkalle ressurser Hva gikk bra? Hva gikk ikke bra? Endre prosedyrer, planverk etc Forberede Oppdagelse og vurdering/ analyse Isolere, fjerne, gjenoppretting Evaluering Risikoanalyse/verdivurdering Opplæring/bevisstgjøring Etablering av ressurser Beredskapsplanlegging Øvelser Erfaring fra hendelser Lag flere håndteringsstrategier (malware, virus, DDoS)

48 Når skal NVE varsles? Ved forsøk på inntrengning og/eller manipulasjon av hele eller deler av driftskontrollsystemet og avanserte måle- og styringssystem (AMS). ( 2-6 a)

49 7-8 Beredskap ved svikt i driftskontrollsystemet «Virksomheten skal ha beredskap og forberedte tiltak for fortsatt drift av anlegg ved svikt i driftskontrollsystemet.»

50 Krav Innebærer i praksis at dere skal ha planer for manuell drift av anlegg dersom driftskontrollsystemet ikke virker. Se også vedlegg 2 og 3 om bemanning av kompetente personer i ekstraordinære situasjoner (2.1.4 og 3.1.4)

51 7-9 Bemanning av driftssentral «Virksomheten skal til enhver tid ha tilstrekkelig og tilgjengelig autorisert personell med nødvendig kompetanse, slik at driftskontrollfunksjonen kan utøves uten ugrunnet opphold. Virksomhetens risiko- og sårbarhetsanalyse skal ligge til grunn for valg av bemanningens størrelse samt omfang av ordninger for påkalling av ekstra personell ved behov, jf. 2-4 og 5-8.»

52 Om bestemmelsen Alle skal til enhver tid ha tilstrekkelig med kompetente folk som kan utøve driftskontrollfunksjoner Opplæring og intern godkjenning Risikoanalyse Generell bestemmelse

53 7-10 Ekstern tilkobling til driftskontrollsystem «Virksomheten skal ha kontrollordninger for å godkjenne, vedlikeholde og avvikle ordninger for ekstern tilkobling til driftskontrollsystemet, samt funksjoner for innstiling av vern. En særskilt vurdering skal ligge til grunn for godkjenning av løsning. Kun autorisert personell kan gis adgang til driftskontrollsystemet gjennom ekstern tilgang. Virksomheten skal ha kontrollordninger for vurdering, tildeling, endring og tilbaketrekking av autorisasjon. Virksomheten skal ha en oppdatert liste over alle som er autorisert. Det skal foreligge en egen forhåndsavtalt prosedyre for ekstern tilkobling til driftskontrollsystemet. Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg. For fjernvarmeanlegg der hele eller deler av driftskontrollfunksjonen utføres av selskap som ikke er KBO-enhet, må vedkommende KBO-enhet påse at hele driftskontrollsystemet beskyttes etter relevante bestemmelser i denne forskrift.»

54 Kontrollordningen Det er metoden og sikringstiltakene for fjerntilgang som skal godkjennes internt Sikringstiltakene (autentisering) bør være noe sterkere enn det som gjelder internt Risikovurdering

55 Eksempel på metode (forenklet) Kilde: NERC

56 Eksempel på metode (forenklet) Brannmurregler sørger for tilgang kun til bestemt ressurs Brannmurregler sørger for tilgang kun til bestemt ressurs Logge på spesifikk ressurs i sikker sone Sikker pålogging SSL/VPN etc med begrenset tilgang (for eksempel kun til dedikert terminalserver) Pålogging terminalserver (for eksempel gjennom AD) Logge på arbeidsstasjon for tilgang til ressurser i beskyttet sone Logge på for tilgang til ressurser i beskyttet sone (feks to-faktor) Kilde: NERC

57 Kontroll med hvem For å ha kontroll med hvem som har tillatelse, kreves det godkjenning av personer.

58 Hvordan autorisere personell? Eksempler: Kreve at man setter seg inn i prosedyrene for fjerntilgang Bekrefte (underskrift på erklæring) at man har lest og forstått sikkerhetsreglene Sikkerhetssamtale Opplæring som dokumenteres Gi personlige brukernavn og passord Liste: Liste over autoriserte personer er vel uproblematisk..?

59 Prosedyre - eksempel Internett Adm-nettverk Medarbeider eller leverandør får utlevert to-faktor brikke av selskapet Selskapet kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Selskapet gir leverandør et engangspassord for å logge seg på Leverandør får tilgang til terminalserver i DMZ Sikker sone Leverandør gir beskjed om at arbeidet er utført Leverandør utfører arbeid Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Selskapet gir leverandør nytt engangspassord for å koble seg på sikker sone Internett Selskapet bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Selskapet terminerer forbindelsen mellom sikker sone og Internett Kilde: NERC

60 Om selskap som ikke er KBO-enheter Selskap som ikke er enhet i KBO har ikke lov til å drive driftssentralen Unntaket er for fjernvarmeanlegg der for eksempel forbenningsanlegget (som ikke er enhet i KBO) også styrer varmesentraler for fjernvarmeselskapet (som er enhet i KBO) KBO-enheten er ansvarlig for at kravene i forskriften oppfylles! Må stille krav

61 7-11 Systemredundans i driftskontrollsystemet «Virksomheten skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikoanalyse.»

62 Om bestemmelsen Generell bestemmelse, gjelder i første rekke klasse 1 Men ALLE må vurdere i hvilke grad de trenger systemredundans Risikoanalyse skal ligge til grunn

63 7-12 Sammenkobling mellom avanserte måleog styringssystem (AMS) og driftskontrollsystem «Dersom virksomheten har integrert funksjonalitet for bryting og begrensning av effektuttak i avanserte måle- og styringssystem (AMS), jf. forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester 4-2 e, i virksomhetens driftskontrollsystem, skal IKT-system med tilhørende utstyr som benyttes til denne funksjonen, sikres i henhold til driftskontrollsystemets klasse. Med integrert funksjonalitet menes at funksjonen for å bryte og begrense effekt ved AMS utøves fra virksomhetens driftssentral, og at man benytter samme utstyr og infrastruktur som virksomheten benytter i driftskontrollsystemet. Bestemmelsen gjelder til og med det utstyr eller punkt der signalene for å bryte og begrense effektuttak adskilles fra signalene i driftskontrollsystemet.»

64 Risiko - utredning Uønsket utkobling hos mange kunder Programvarefeil Sentralenhet feiler eller brukes i angrepet Utro tjener Beskyttelse av bryterfunksjonalitet er kritisk Gjelder både én-til-én og én-til mange funksjonalitet Mange målere ute av drift samtidig er også vurdert til å være kritisk. Dette er pga store kostnader for reparasjon/utskiftning av utstyr.

65 Dette handler bestemmelsen om: 65

66 Dette handler bestemmelsen om: 66

67 Sikring av bryterfunksjonalitet Segregering mellom innsamling/ bryterfunksjonalitet Fysisk sikring Forhold til driftssentralen? Tilgangskontroll Retningslinjer for bruk av bryterfunksjonalitet Sikkerhetsbevissthet Logging og overvåking Kontroll med fjernaksess

68 7-13 Beskyttelse mot elektromagnetisk puls og interferens «Virksomheten skal vurdere driftskontrollsystemets sårbarhet for elektromagnetisk puls (EMP) eller elektromagnetisk interferens (EMI). Dersom sårbarheter avdekkes, skal det gjennomføres sikrings- eller beredskapstiltak etter driftskontrollsystemets betydning for sikker drift og gjenoppretting av funksjon i energiforsyningen.»

69 Om bestemmelsen Generell bestemmelse ALLE skal vurdere sårbarhet knyttet til EMP/EMI Risikovurdering Tiltak hvis man er sårbare EMP-sikring Reservedeler Reparasjonsberedskap

70 EMP - trusselbilde De mest vanlige kildene for EMP er nukleær EMP (N-EMP) og radiofrekvente våpen (HPM). Det forskes mye på slike våpen Mobile våpen eksisterer Konsekvensene kan bli katastrofale (N-EMP) Usikkert hvem som har kapasiteter men finnes i kriminelle miljøer Solstorm!

71 7-14 Særskilte krav til driftskontrollsystem klasse 2

72 7-14 a) Sikkerhetskopier «Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten.»

73

74 Om bestemmelsen Husk at ALLE er pålagt å ta sikkerhetskopier etter 6-8! Testing av gjenoppretting av sikkerhetskopiene sikrer at man er trygg på at strategien for sikkerhetskopiering fungerer etter hensikten Bør gjøres minimum årlig, eller (helst) oftere Man bør vurdere å utarbeide en strategi for sikkerhetskopier

75 Strategi sikkerhetskopi eksempel Strategi for sikkerhetskopi Definere hva som skal sikkerhetskopieres Sette i drift Lessons learned Monitorere sikkerhetskopiering Kontroll av sikkerhetskopier Test av sikkerhetskopi i testmiljø

76 7-14 b) Sikkerhetsrevisjon «Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt.»

77 Hensikt og omfang Kontrollere at pålagte sikkerhetstiltak er etablert og fungerer etter sin hensikt Gjør at man hele tiden er godt kjent med eget driftskontrollsystem og dets mangler og sårbarheter Forlengelse av tidligere krav om kontroll og vedlikehold Trenger ikke være en fullstendig gjennomgang hver gang Pass på at revisjonen er noenlunde uavhengig Samarbeid gjerne med andre KBO-enheter Utarbeid en plan over flere år med ulike tema

78 Sikkerhetsrevisjon - risikostyring Sikkerhetsrevisjon - en del av risikostyring Risikostyring er et hjelpemiddel som kan integreres i eksisterende styringssystemer for å sikre en bedre måloppnåelse Avvik/ rapportering Kartlegging/ risikoanalyse Ledelse (forankring, kontroll, styring, rammebetingelser) Identifisere tiltak Kontroll og overvåking av tiltak Implementere tiltak etter ROS Sikkerhetsrevisjon Implementering av lovbestemte tiltak

79 Hva og hvordan - sikkerhetsrevisjon Hva skal revideres? I utgangspunktet ALLE pålagte tiltak etter bfe. Eksempler Ledelse og organisering av IKTsikkerhetsarbeidet Teknisk infrastruktur Informasjonsressurser Fysisk sikring av utstyr Sikkerhetspolicyer og prosedyrer Beredskaps- og kontinuitetsplaner Systemutvikling og innføring Risikostyring (risikovurdering) Applikasjonskontroller Kontroll med endringer Kontroll med utstyr EMP

80 Rammeverk - eksempel Planlegging Gjennomføring Rapportering Intern oppfølging Bestemme revisjonsobjekt Avklare målsetning Innhente dokumentasjon Gjennomgang av dokumentasjon Utarbeid spørsmål til revisjonen Åpningsmøte (avklaring av hensikt og rammer for revisjonen) Gjøre revisjonskontroller (testing, stikkprøver, observasjoner) Intervjuer Avslutningsmøte (presentasjon av funn) Lage revisjonsrapport Muntlig rapportering Registrere funn i avvikssystem Identifisere tiltak basert på funn Lage tids- og ansvarsfestet plan for gjennomføring av tiltak Kontroll av at tiltakene er gjennomført Lukking av avvik i avvikssystem

81 7-14 c) Overvåking og logging «Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet.»

82 Krav Det skal etableres automatisk overvåking av nettverkstrafikk i driftskontrollsystemet Trafikken skal analyseres og det skal varsles ved unormal trafikk

83 Hvorfor? Angrepsmetodene blir stadig mer avanserte Dagens brannmurer er svært effektive Sosial manipulering og infisering via e-post Viruskontroll holder ikke tritt Krever mekanismer som går utover tradisjonell beskyttelse Sammenkobling av nett og system gjør alt mye mer komplisert Mye inn/ut data gjør alt mer uoversiktlig lett å gjemmme seg Overvåking og logganalyse en viktig del av beskyttelsen i dybden

84 Verktøy - eksempler Eksempel på automatisk overvåking: Logganalyseverktøy IDS (Intrusion Detection System) passiv overvåking IPS (Intrusion Prevention System) aktiv blokkering

85 = sensor Sensorer i perimeter - eksempel Kilde: NIST Perimeter

86 Logging og overvåking - utfordringer Mye data blir produsert hvordan plukke ut de relevante? Man må vite hva man gjør risiko for mye false positives Ingen god idé å plassere sensor i selve prosessnettverket Styresignaler kan bli blokkert eller at man får unødige alarmer Monitorering kan være krevende Hva gjør du hvis det kommer inntrengningsalarm midt på natten?

87 Logging og overvåking - implementering Etabler overvåking basert på sikkerhetspolicy/regler Gjør en vurdering av hva dere vil beskytte Start i det små Vurder plassering Aktive sensorer (blokkering) ved kritiske system/data Passive sensorer (kun alarm) i nettverk Veldig komplisert! Vurder eksperthjelp hvis dere selv ikke har nødvendig kompetanse

88 7-14 d) Utilgjengelig driftssentral «Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.»

89 Hva gjør du hvis driftssentralen brenner ned? Anleggene skal kunne styres manuelt Hvis driftssentralen settes ut av drift i lang tid, skal dere ha planer for etablering av drift på alternativt sted Velge ut sted og klargjøre Reservedeler Dublering på et annet sted enn der driftssentralen er plassert? Øve på å etablere alternativ drift Man må ha talesamband!

90 7-14 e) Bemanning av driftssentral «Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold. Virksomheten skal senest innen én time kunne bemanne driftssentralen. Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.»

91 Krav Alle hendelser skal varsles og vurderes uten unødig opphold Umiddelbar varsel til hjemmevakt SMS er kanskje ikke nok! Umiddelbar vurdering av situasjonen Fra en situasjon oppstår til sentralen er bemannet 1 time. Vaktordning for påfyll av folk Kanskje jeg burde dra til driftssentralen?

92 7-14 f) Ekstern tilkobling til driftskontrollsystemet «Ved tilkobling fra leverandører skal driftssentralen være bemannet. Virksomheten skal ha kontrollordning for korrekt autentisering av de personene som er autorisert til å benytte ekstern tilkobling for adgang til driftskontrollsystemet. Virksomheten må sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheten skal utarbeide interne regler for hva som er et sikkert sted. Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk. Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling. Dersom KBO-enheten kan foreta styring av anlegg i energiforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person. Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.»

93 Tilkobling fra leverandør = bemanning + prosedyre Leverandør skal koble seg på DRIFTSSENTRALEN BEMANNES Medarbeider eller leverandør får utlevert to-faktor brikke av driftskontrolloperatør Operatør kontakter leverandør for å sette i gang ekstern tilkobling Leverandør kobler seg opp via VPN etc fra sikkert sted Leverandør logger seg på tildelt ressurs/ applikasjon i sikker sone. Leverandør logger seg på sikker sone. Operatør gir leverandør nytt engangspassord for å koble seg på sikker sone Leverandør får tilgang til terminalserver i DMZ Operatør gir leverandør et engangspassord for å logge seg på Leverandør utfører arbeid Leverandør gir beskjed om at arbeidet er utført Operatør bekrefter at leverandør er ferdig Leverandør logger seg av selskapets nettverk Operatør terminerer forbindelsen mellom sikker sone og Internett

94 Sikker autentisering - eksempler Ikke ring oss, vi ringer deg prinsippet Passord gitt av driftssentralen Personlig relasjoner

95 Hva er sikkert sted? Ikke flyplassterminaler Ikke bussterminaler Ikke kaffesjappa Dere må bestemme hva som er sikkert sted! Lag kriterier for hva som ansees som sikkert sted Eksempler: krav til Lokasjon Fysisk beskyttelse/adgangskontroll Beskyttelse mot innsyn Erklæringer fra leverandør

96 Tilkobling og kobling i nett Terminér tilkoblingen når den ikke er i bruk Den som har hjemmevakt må gis tillatelse til å utføre kobling hvis man skal koble hjemme hvis ikke må autorisert person bemanne driftssentralen Kan være forhåndsavtalt - skriftlige retningslinjer godkjent av ansvarlig person

97 Logging All ekstern tilkobling skal loggføres eksempel Tidspunkt for påkobling Hvem som gav tillatelse Hvem som koblet seg på Hvorfor Tidspunkt for avkobling

98 7-14 g) Systemredundans «Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett. Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans. Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og 7-8.»

99 Uavhengighet Skal fungere uavhengig av offentlige tjenester Nødstrøm Reparasjonsberedskap Man bør vurdere alternative metoder for redundans Gjelder til alle anlegg i klasse 2 og 3 Reparasjonsberedskap Avtale med leverandør av linjer, utstyr, transmisjon Egenberedskap Vurder risiko for overbelastning i offentlig nett

100 Redundans prinsipp Ingen enkeltfeil eller hendelse skal kunne sette driftskontrollsystemet eller viktige funksjoner ut av drift. Det betyr at dersom feil eller hendelse setter et system ut av spill, skal et annet system overta viktige funksjoner. Skal være reell uavhengighet Redundansen skal gå helt frem til RTU også inne i selve anlegget (før RTU)

101 Redundans frem til RTU Eksempel basis redundans frem til det lokale kontrollanlegg 1 2

102 7-14 h) Særskilt om dublering «Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. 7-7.»

103 Om bestemmelsen Gjelder hvis dubleringen av SCADA er identisk Gjelder særlig ved oppdatering/patching Beste praksis: test oppdatering på et tredje system(testsystem) før det settes i produksjon Det tredje system er gjerne hos leverandøren Husk avtale!

104 7-14 i) Beskyttelse mot EMP og EMI «Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer.»

105 Ny bestemmelse Det er nå mulig å velge beredskapstiltak i stedet for EMP-sikring Betingelse: reservedeler i EMP-skap, kontainere etc MEN husk vedlikeholdsplikten i 5-1, 3 ledd Man skal kunne erstatte alt ødelagt utstyr i minst én sambandsvei På hvor lang tid? => Uten ugrunnet opphold «Fallback»: lokal bemanning og talesamband Der det etableres EMP-beskyttelse gjelder de samme tekniske krav til demping og frekvensbeskyttelse som tidligere Ref uoff vedlegg til forrige beredskapsforskrift

106 7-14 j) Sikker tidsreferanse «Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse.»

107 Krav Krever minst én klokke med stor nøyaktighet som kan synkroniseres mot andre sikre tidsreferanser Sikker tidsreferanse er også viktig i tilknytning til AMS og eventuell Smart Grid!

108 7-15 Særskilte krav til driftskontrollsystem klasse 3

109 7-15 a) Reserve driftssentral «Virksomheten skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge. Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner. Reserve driftssentral skal utføres med sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet for øvrig, jf. 5-6.»

110 Krav Sikker avstand betyr at reserve driftssentral skal være i et annet bygg (i GOD avstand) eller (aller helst) plasseres i et kraftforsyningsanlegg (får mye beskyttelse gratis). Når du flytter til reserve driftssentral, skal kontroll og styring kunne gjenopptas så fort du har kommet dit. Må øves! Reserve driftssentral skal oppfylle samme krav til sikringsnivå i henhold til vedtatt klasse for driftskontrollsystemet

111 7-15 b) Bemanning av driftssentral «Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.»

112 Krav Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. 7-9, andre ledd.

113 7-15 c) Ekstern tilkobling til driftskontrollsystemet «Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.»

114 Mer om bestemmelsen Samme krav til sikkerhet ved oppkobling av leverandører som for 7-14 f)

115 7-15 d) Systemredundans «Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem. Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.»

116 Om å sikre god nok avstand Vanskelig å gardere seg mot store og omfattende stormer Samband på stolper i distribusjonsnettet er svært utsatt Større geografisk spredning på redundansen Bakdeler: lang linje, mange hopp, uoversiktlig Fordeler: mer robust mot uvær, flere leverandører (kan også være en bakdel.) Bruk ulik teknologi Har dere noen tanker rundt dette?

117 Eie, leie hva er det greie? Det er nå ikke påkrevd å eie eget samband. MEN du skal ha full kontroll og råderett over alt utstyr og komponenter (inkludert transmisjonsveien) Oversikt over føringsveiene DU bestemmer hvem som har tilgang Sørg for tilstrekkelig separasjon Reparasjonsberedskap

118 Kontroll og råderett Kjempeforenklet eksempel Samband du skal ha kontroll og råderett over Annet leid samband

119 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er

120 Kontroll og råderett Kjempeforenklet eksempel Bare jeg skal bestemme hvem som får tilgang til linjen Bare jeg skal bestemme hvem som får adgang til knutepunktene Jeg skal vite hvor traséene er NØDSTRØM, FYSISK SIKRING ETC, ETC Samband du skal ha kontroll og råderett over Annet leid samband Det bør være nødstrøm, sørge for god fysisk sikring etc Du bør vite hvem som ellers har tilgang til linjen Du bør vite hvem som ellers har tilgang til knutepunktene Du bør vite hvor traséene er

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg. Frank Skapalen Seksjon for beredskap, energiavdelingen

Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg. Frank Skapalen Seksjon for beredskap, energiavdelingen Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg Frank Skapalen Seksjon for beredskap, energiavdelingen Agenda Hvorfor strenge regler til IKT-sikkerhet? Gjennomgang av de viktigste

Detaljer

Risikovurdering av AMS

Risikovurdering av AMS Risikovurdering av AMS Frank Skapalen Seksjon for beredskap, energiavdelingen NVEs BfK-seminar 11. januar 2012 Rekkefølge Formål med AMS, funksjoner Hva vi har jobbet med i risikovurderingen Scenarioer

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Hvordan sikre seg at man gjør det man skal?

Hvordan sikre seg at man gjør det man skal? Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no Tenk igjennom hva som kunne vært konsekvensene for ditt selskap

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen

Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap. Helge Ulsberg Beredskapsseksjonen Beredskapsforskriften kapittel 4: Ressurser og reparasjonsberedskap Helge Ulsberg Beredskapsseksjonen Trenger du veiledning? Dukker det opp spørsmål under foredraget du mener kan utdypes i veiledningen,

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Samarbeid om driftsradio i Buskerud. 10.02.2015 Otto Rustand

Samarbeid om driftsradio i Buskerud. 10.02.2015 Otto Rustand Samarbeid om driftsradio i Buskerud 10.02.2015 Otto Rustand Agenda Kort om EB Krav fra myndighetene i vår bransje Vurderinger rundt valg av DMR E-verkssamarbeidet Erfaringer fra bruk Vannkraftproduksjon

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Nødnett - status. Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012. Truls Sønsteby - NVE, Beredskapsseksjonen

Nødnett - status. Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012. Truls Sønsteby - NVE, Beredskapsseksjonen Nødnett - status Beredskapsforskrift for kraftforsyningen (BfK) Seminar - Oslo 11 januar 2012 Truls Sønsteby - NVE, Beredskapsseksjonen Nye tilleggsopplysninger (pr 15 januar) Siden fordraget ble holdt

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Sikring av industrielle automatiserte kontrollsystemer

Sikring av industrielle automatiserte kontrollsystemer Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Beredskap i kraftforsyninga

Beredskap i kraftforsyninga Sikkerhetsdagene 2011 Beredskap i kraftforsyninga - tydelige krav fordi det er viktig for hele samfunnet - Arthur Gjengstø E-post: argj@nve.no Mobilnettet nede i Hordaland og Rogaland (VG Nett) Flere

Detaljer

ERFARINGER FRA ØVELSER OG REELLE HENDELSER

ERFARINGER FRA ØVELSER OG REELLE HENDELSER ERFARINGER FRA ØVELSER OG REELLE HENDELSER Beredskapskonferansen 2014 Geir Kaasa Beredskapsleder i Skagerak Nett KDS i Vestfold og Telemark Skagerak Nett AS - nøkkeltall -185 000 kunder -376 ansatte (01.04.2014)

Detaljer

KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET

KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET KRAV TIL TRYGGE DRIFTSKONTROLLANLEGG, BEDRE DRIFT OG LEVERINGSSIKKERHET Siv. Ing Arne J. Devold Norconsult AS September 2014 Operatørplass1 Operatørplass 2 Utalarmering Server Ethernet US002 US004 US001

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

GENERELL BRUKERVEILEDNING WEBLINE

GENERELL BRUKERVEILEDNING WEBLINE Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014 CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon

Detaljer

Veileder til sikkerhet i avanserte måle- og styringssystem

Veileder til sikkerhet i avanserte måle- og styringssystem Veileder til sikkerhet i avanserte måle- og styringssystem Frank Skapalen, NVE Bjørn Jonassen, Deloitte 7 2012 kw kwh V E I L E D E R Veileder til sikkerhet i avanserte måle- og styringssystem Norges vassdrags-

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Den mobile arbeidshverdagen

Den mobile arbeidshverdagen Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk

Detaljer

Brannforum 2012. Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg. Leif Vikane, Statnett

Brannforum 2012. Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg. Leif Vikane, Statnett Brannforum 2012 Erfaringer med sikring mot inntrengning i kraftforsyningsanlegg Leif Vikane, Statnett Beredskapsforskriften 5.5 C) Klasse 3 Anlegget skal være utført og utstyrt etter høye krav til sikring.

Detaljer

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo KS'BedriftEnergi Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo Vår ref.: Deres ref.: 201106765-12 eb/ivm Vår dato.: l.oktober 2012 Høring - beredskapsforskriften Det vises til

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Pålitelighet i kraftforsyningen

Pålitelighet i kraftforsyningen NEK Elsikkerhetskonferansen 27. nov. 2013 Pålitelighet i kraftforsyningen Gerd Kjølle Seniorforsker SINTEF Energi/ professor II NTNU Inst for elkraftteknikk gerd.kjolle@sintef.no 1 Oversikt - problemstillinger

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Dokument 3:16 (2007-2008)

Dokument 3:16 (2007-2008) Riksrevisjonens undersøkelse av nordisk samarbeid om reparasjonsberedskap for kraftsystemet parallellrevisjon mellom norsk, dansk og finsk riksrevisjon Dokument 3:16 (2007-2008) Parallellrevisjon rettet

Detaljer

Ekom og ekstremvær. Det verste kan skje, men. Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett

Ekom og ekstremvær. Det verste kan skje, men. Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett Ekom og ekstremvær Det verste kan skje, men Fredrik W. Knudsen Seksjonssjef Seksjon for Sikkerhet og Beredskap i Nett 1 2 Når Dagmar feide over Nordvestlandet Antall mobilbasestasjoner ute på Nordvestlandet

Detaljer

7 2012 HØRINGSDOKUMENT

7 2012 HØRINGSDOKUMENT Forslag til revidering av regelverket for beredskap i energiforsyningen og forslag til forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskapsforskriften) 7 2012 HØRINGSDOKUMENT

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn

Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn Forum for koblingsanlegg Oslo 16. oktober 2012 Sikring av kraftanlegg, hvor står vi - hvor går vi? Beredskapsmyndighetens krav og tilsyn - info. om revidert energilov (beredskap) - revisjon av BfK - gjeldende

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

netsense...making sense of IT

netsense...making sense of IT netsense...making sense of IT Netsense.. Netsense er et IT konsulentselskap som opererer innen fagområdene: IT utvikling IT forvaltning IT rådgivningstjenester Vi leverer understøttende teknologi og tjenester...så

Detaljer

Beskyttelsesteknologier

Beskyttelsesteknologier Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer

Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer Oddvar Hoel, ABB Water, 12.03.2013 Fagtreff Vannforeningen IT-sikkerhet i driftskontrollsystemer Agenda Hva er IT-sikkerhet? Hva bør vi begynne med? Planlegging / ROS-analyse Fysisk sikring Nettverk Oppdatert

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Tema for tilsyn 2011

Tema for tilsyn 2011 Funn på tilsyn 2011 11. januar 2012 Johannes Sjo Steinsvåg Seksjon for beredskap Tema for tilsyn 2011 Standard tilsyn: Drift og ggjenoppretting gunder ekstraordinære forhold Risiko- og sårbarhetsanalyser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Typegodkjenning av. radioterminaler

Typegodkjenning av. radioterminaler Typegodkjenning av radioterminaler Prosedyrer og regelverk Versjon 4, 16.10.2015 Side 1 av 7 Innholdsfortegnelse 1. Typegodkjenningens hensikt... 3 2. Gjennomføring av typegodkjenning... 3 2.1. Sikkerhetsmessige

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Stikkord for innhold:

Stikkord for innhold: KS Område: Driftssentral Ansvarlig: Driftssentralen Opprettet: 01.01.06 KS Hovedprosedyre: Driftssentral - Nettbibliotek Godkjent: Seksjonsleder Driftskontoll KS Rutine: Driftssentralen Rutine for varsling,

Detaljer

Hvorfor valgte Hafslund Nødnett

Hvorfor valgte Hafslund Nødnett Hvorfor valgte Hafslund Nødnett Arne Mørkrid Hafslund Driftssentral arne.morkrid@hafslund.no www.hafslund.no Hafslund - mer enn 100 års historie Hafslund Driftssentral Nett Produksjon Varme Alltid til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 -

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Arthur Gjengstø seksjonssjef, beredskapsseksjonen epost: argj@nve.no; mobil: 48 12 74 98 Velkommen Til Norges beste fylke Til informasjon,

Detaljer

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret. 2.6 Fysisk sikring Formål Prosedyren skal sikre uautorisert adgang til objekter og utstyr benyttet til behandling av informasjon, særlig behandling av sensitive personopplysninger, eller at de ikke er

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Andre saksdokumenter (ikke utsendt): Del 1 Risiko- og sårbarhetsanalyse Del 2 - Beredskapsplan

Andre saksdokumenter (ikke utsendt): Del 1 Risiko- og sårbarhetsanalyse Del 2 - Beredskapsplan Ark.: M10 Lnr.: 7183/09 Arkivsaksnr.: 09/1226-1 Saksbehandler: Rolf Solberg BEREDSKAPSPLAN FOR VANNFORSYNINGEN I GAUSDAL Vedlegg: Ingen Andre saksdokumenter (ikke utsendt): Del 1 Risiko- og sårbarhetsanalyse

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Beredskapsplan ( 15/ 4) krav og kriterier

Beredskapsplan ( 15/ 4) krav og kriterier Beredskapsplan ( 15/ 4) krav og kriterier Loven gjelder for alle et avvik i Finnmark bør også være et avvik i Vestfold Men kommunenes størrelse forskjellig med henblikk på befolkning og virksomhet ulike

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

1. Forord. Lykke til videre med beredskapsarbeidet.

1. Forord. Lykke til videre med beredskapsarbeidet. 1. Forord Oppland fylkeskommune ser behovet for en «Veileder i krise- og beredskapsarbeid» til støtte for det arbeidet som skal gjennomføres i alle enheter. Veilederen er et arbeidsgrunnlag og verktøy

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Av Gerd Kjølle og Oddbjørn Gjerde, SINTEF Energi

Av Gerd Kjølle og Oddbjørn Gjerde, SINTEF Energi Av Gerd Kjølle og Oddbjørn Gjerde, SINTEF Energi Sammendrag Ekstraordinære hendelser i kraftsystemet som under ekstremværet Dagmar i 2011 og brannen på Oslo S i 2007, har store konsekvenser for samfunnet.

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Brannmur Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Rangerin g av prosess Evalueringsskjema for foretakets brannmur

Detaljer

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-25: Utarbeidelse av driftsinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

Sårbarhet i kraftforsyningen og forbedringsmuligheter

Sårbarhet i kraftforsyningen og forbedringsmuligheter SINTEF seminar 19. april 2012: Uten strøm også etter neste storm? Sårbarhet i kraftforsyningen og forbedringsmuligheter Gerd Kjølle, Seniorforsker, SINTEF Energi gerd.kjolle@sintef.no 1 Oversikt temaer

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Høringsnotat. Forslag til opphevelse av kompetanseforskriften og endringer i energilovforskriften

Høringsnotat. Forslag til opphevelse av kompetanseforskriften og endringer i energilovforskriften Olje- og energidepartementet Høringsnotat Forslag til opphevelse av kompetanseforskriften og endringer i energilovforskriften Innhold 1 Høringsnotatets hovedinnhold... 3 2 Gjeldende rett... 3 2.1 Krav

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Invitasjon til dialogkonferanse om innovative løsninger for sentral driftskontroll (SD-anlegg)

Invitasjon til dialogkonferanse om innovative løsninger for sentral driftskontroll (SD-anlegg) Invitasjon til dialogkonferanse om innovative løsninger for sentral driftskontroll (SD-anlegg) Fredag 29. august kl. 08.30, hos Omsorgsbygg Oslo KF, Sommerrogata 1, 0255 Oslo (inngang fra Inkognitogata).

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Guide for tilkobling til HIKT s Citrix løsning

Guide for tilkobling til HIKT s Citrix løsning Guide for tilkobling til HIKT s Citrix løsning Innhold Guide for tilkobling til HIKT s Citrix løsning... 1 Sjekk om Citrix er installert... 1 Tilgang til applikasjon fra kontoret... 2 Tilgang til applikasjon

Detaljer