FYSISK SIKRING HVA ER DET? NSM Sikkerhetskonferansen 2017, Oslo Sjefingeniør Rolf Jullum SLIDE 1
HVILKEN SITUASJON BEFINNER DU OG DIN VIRKSOMHET SEG I? For å bestemme riktig beskyttelse og sikringstiltak, må man vite hvor i samfunnsstrukturen man befinner seg. Er man i staten i privat virksomhet forpliktelser til staten? Har man bestemmende og styrende funksjon? Er man ressurs/tjenesteleverandør kraft og telekommunikasjon? Kjenner du alle koblinger til andre foretak og hvilke som er avhengigheter? Er dine sikringstiltak forholdsmessige til hele avhengighetskjeden sine behov? SLIDE 2
HVILKEN SITUASJON BEFINNER DU OG DIN VIRKSOMHET SEG I? Perspektiver 2 Hovedmål Mål for hvert virksomhetsområde med egen rapportering. 3 Styringsmål Mål for hvert virksomhetsområde som sikrer arbeid etter og styring mot hovedmålene. 4 Arbeidsmål Mål den enkelte organisasjonsenhet og medarbeider arbeider mot. Perspektiver Målnivå Mål Beskrivelse Samfunnsperspektivet 1 Visjon for virksomheten Her hensyn tas oppgaven til virksomheten med samfunnsperspektivet inntatt. Virksomhetsperspektivet Personperspektivet 5 Sikkerhet Trygghet - Trygghet mot farer og svikt. Sikring - sikring mot trusler SLIDE 3
HVILKEN SITUASJON BEFINNER DU OG DIN VIRKSOMHET SEG I? Anhengigheter SLIDE 4
Verdivurdering B.VERDIVURDERING- ANALYSE OG SYNTESE Leveranse 1 Funksjon 1.1 Funksjon 1.2 Skadevurdering Verdi 1.1.1 Verdi 1.1.2 Verdi 1.2.1 Verdi 1.2.2 Informasjon 1.1.1 (Integritet og tilgjengelighett) Objekt 1.1.2 1.1.2.1 1.1.2.2 CBRN x.x.x HMS x.x.x Informasjon x.x.x (Konfidensialitet) SIKRE SAMFUNNSVERDIER
AVHENGIGHETER. HVORDAN FRAMSKAFFE ALL INFORMASJON OM VIRKSOMHETEN? Hva SLIDE 6 Virksomhetsanalyse - VA Verdibeskrivelse - Beskrivelse av verdier og det som skal beskyttes Konsekvensbeskrivelse /skadebeskrivelse Beslutningstre Prosessoversikt Beskrivelse Ligger utenfor sikringsfaget, men gir rammen for sikringen gjennom kobling til styringssystemene. VA gir faktisk organisering, plassering av ressurser og verdier, den gir beskrivelse av infrastruktur og eksiterende beskyttelse, beslutningspunkter med mer. Dette gir forutsetninger for og inndata(inngangsverdier) til SRA. Samlet oversikt over og beskrivelse av hver verdi etter en mal, som gir alle relevante tema og kriterier. Dokumentet inneholder også beskrivelser av arbeidsprosesser og avhengigheter mellom disse, så vel interne som eksterne prosesser og leveranser. En beskrivelse av hvilke konsekvenser et helt eller delvis bortfall/skade av en verdi vil få. Beskrivelsen knyttes opp mot arbeidsprosessene med forutsetninger og leveranser. Ved at alle aktiviteter med koblinger er kartlagt og beskrevet, vil man ha grunnlag for å sette sammen arbeidsprosesser. I dette arbeidet er også beslutningspunkter identifisert og beskrevet med koblinger til aktiviteter og valg. Dette gir grunnlag for å tegne opp et beslutnings tre. Arbeidet over gir beskrivelse av den eller de arbeidsprosessene som er relevante og beskriver koblingene. Det beskrives også hvilke av koblingene som representerer avhengigheter
BANKRAN Oversikt over hendelser Kan ikke spå om nye hendelser Kan ikke estimere sannsynlighet for et nytt ran ut i fra tidligere hendelser Man skal alltid stå i virksomheten. Bruke info fra hendelser for å forstå hvordan aktørene tenker. Detsom styrer valg av beskyttelse er virkomheten ikke historien. SLIDE 7
DE FIRE + 1 SIKRINGSTILTAK Organisatoriske Administrative Mekaniske Elektrotekniske IKT sikkerhet SLIDE 8
KOMPLETT BESKYTTELSE? SLIDE 9
BESKRIVELSE AV HOVEDGRUPPER AV TILTAK Organisatoriske tiltak bygningsutforming, planløsning, soneinndeling, personellet, rutiner, kontroll og oppfølging, håndbøker, metoder Administrative tiltak Trening, vakt, resepsjon, faktisk utførelse, logger, håndtering av hendelser, Mekaniske tiltak alt det konkrete som gjerder, murer, tomteutforming, yttervegger, vinduer, dører, tak, innervegger, låser, oppbevaringsenheter, Elektrotekniske tiltak - detektorer og alarmer, adgangskontroll, TVO, SLIDE 10
SIKRINGSPRINSIPPER Prinsipp Beskrivelse 1 Avskrekke Få aktør til å la være å angripe, ut i fra virksomheten ser godt beskyttet ut eller informasjon om den gir samme inntrykk 2 Oppdage Sørge for at det er montert sensorer, alarmer, vakter og andre løsninger som gir informasjon til forvalter av sikringsløsningene straks noe starter å skje. 3 Verifisere De som forvalter sikringsløsningene må aktivt sjekke ut de alarmer og signaler de mottar, fra sensorer og kameraer med mer. De må gjennomføre en vurdering av hva som hender og hva som skal gjøres. Verifiseringen kan omfatte kontroll av informasjon i datasystemer og ved å sende ut personell for manuell kontroll av områder, låser med mer. 4 Forsinke Etablere barrierer, mellom aktøren og verdien, som forsinker aktøren så mye at reaksjonen kommer på plass. 5 Reagere Virksomheten må velge en type reaksjon på forhånd som blir forberedt i forkant og blir iverksatt alarmmottak beslutter. Dette kan være å ringe politi, aktivere sperretrinn i atkomstveiene. Det kan være å aktivere avlåsing med forberedte soneskiller. 6 Avvise Håndtering av aktøren under hendelsen. SLIDE 11
SIKRINGSPRINSIPPER Samvirkeprinsipp Balansert sikring Tilgangsbegrensning motstand mot inntrengning Sikring i dybden Konsentrering av verdiene For informasjon: konfidensialitet, integritet og tilgjengelighet SLIDE 12
DATAGRUNNLAG - FAGFILTRE Fagkriterium Relevans Fag filtre Sikring Beskrivelse Her avstemmes det om en term, metoder m.m., er egnet til bruk på fagtemaene med deres faktiske mekanismer, faglige innhold med mer. Det er avgjørende at man ikke bruker hjelpemidler som hentes fra andre områder uten at de er sjekket ut som egnet dvs. definisjoner og metoder ikke er i strid med det faglige, inklusiv kriteriene. Aktualitet Kontroll av om ønsket tilnærming er oppdatert på praksis, fagutvikling og samfunnsutvikling. Det innebærer også at man kan gå bort i fra fagforståelse, som ikke lenger er i tråd med fagutviklingen, regelverk med mer. Vekt - relativ betydning Etter at relevans er avklart må man avgjøre hvilken vekt forholdet skal ha i forhold til annen informasjon. Det at noe er relevant betyr ikke at det automatisk vil få avgjørende vekt. Historisk bruk Kontekst Avklaring om historisk bruk kan hjelpe til å avgjøre om det er relevant eller ikke også ut i fra situasjonen. I hvilken sammenheng og i hvilken situasjon man gjør vurderinger har betydning. Her under også vurderingstema hva saken gjelder. SLIDE 13
DATAGRUNNLAG - SANNSYNLIGHET Merknad Beregnet sannsynlighet Estimert sannsynlighet Bedømt sannsynlighet De tre kategoriene sannsynlighet, som dekker det samlede feltet innen safety og security Datatypen oppfyller matematiske kriterier numeriske data Data oppstått på tilsvarende måte Repeterbare data Mange nok data Benytter estimeringsteknikker Bedømmelse der datakvaliteten er svak eller av typen ikkematematisk Empiriske teknikker Engelske termer Probability Estimated Likelihood Ingen data med matematisk kvalitet, ikke-numeriske data Man bedømmer relevans, viktighet, rangering med mer i en vurderingssituasjon. Klassifisering brukes som referanse SLIDE 14
1990- årene NEW STANDARDS AND REFERENCES IN HISTORIC PERSPECTIVE 18 år 10 år 2000- årene 2010- årene 1991 1996 2012 2016 2014 2014 SLIDE 15
PROSESS FRAM TIL VALGT BESKYTTELSE Må forholde seg til alt i virksomheten og omgivelsene Må håndtere avstemming av sikringstiltak I hele avhengigheteskjeden mellom virksomheter og mellom sektorer Må sikre full oversikt over en aktuelle virksomheten og konsekvensene av skade/bortfall Det må gjennomføres SLIDE 16
HOVEDPROSESSER ETTER NS5830-SERIEN SLIDE 17
SIKRINGSRISIKOANALYSE SLIDE 18
post@nsm.stat.no 67864000 SLIDE 19