Planlegging av øvelser Håkon Styri Seniorrådgiver Seksjon for informasjonssikkerhet og datadeling
Målsetning IKT-beredskapsøvelse gjennomføres minst en gang per år 29,2 prosent i 2014 33,3 prosent i 2016 43,6 prosent i 2017 (SSB, Bruk av IKT i staten) Flere må øve, minst en gang i året Planlegg flere mindre øvelser hvert år Knytt evaluering av øvelsene til internkontroll for informasjonssikkerhet for å sikre at øvelsene kan bidra til forbedring.
Hva oppnår vi ved å øve? Bli kjent med virksomhetens beredskapsplan Eller avdekke mulig behov for at beredskapsplanen omfatter særskilte uønskede hendelser Gjøre beslutninger/tiltak i hensiktsmessig rekkefølge Bli fortrolig med når håndtering av en hendelse bør eskaleres Sjekke at all kontaktinformasjon i beredskapsplan er oppdatert Sjekke at eventuelt beredskapsmateriell virker Teste iverksetting av midlertidige sikkerhetstiltak Prøve ut deler av virksomhetens risikobilde Finne mulige forbedringer 2017-10-02 Direktoratet for forvaltning og IKT
Øvelser og styringssystem (1) Risikovurdering Evaluering Forbedring Risikohåndtering Hendelser Øvelser Testing
Øvelser og styringssystem (2)
Hovedmål for øvelsesaktivitet Utvikle og forbedre evnen til kriseledelse (strategisk nivå). Utvikle og forbedre virksomhetens, enhetens eller teamets evne til å iverksette tiltak og løse problemer (operativt nivå) Utvikle og forbedre enkeltindividers ferdigheter (individnivå) Evaluere og forbedre sikkerhetstiltak Evaluere og forbedre beredskapsplaner
Hvorfor øver vi? Vi må dokumentere at kompetanse, rutiner, ferdigheter og bemanning på plass for et ønsket beredskapsnivå. Vi skal lære, bli bedre til å samarbeide, fortrolige med å tilpasse sikkerhetstiltak og med å improvisere når det er nødvendig. Vi får mulighet til forbedring (jf internkontroll).
Øvelse eller trening? «Med trening menes når individers kunnskaper og ferdigheter prøves og videreutvikles, mens øvelser omhandler organisasjoners kunnskaper og ferdigheter» (DSB)
Hva øver vi på? Uønskede hendelser som ikke forekommer ofte og som kan få alvorlige konsekvenser Deler av hendelseshåndtering hvor det er mulig å forbedre effektiv gjennomføring og / eller redusere forstyrrelser av normal drift Krevende sikkerhetstiltak og respons Deteksjon og varslingsrutiner
Enkle øvelser Enkle øvelser gir ofte godt utbytte Ett konkret mål for øvelsen, og et begrenset antall læringspunkter Enklere å dokumentere / rapportere funn / foreslå forbedringer Enkle øvelser gir mulighet til å øve oftere Avgrens hvor stor del av hendelseshåndteringen som skal inngå i en øvelse. Hvor stor del av virksomheten skal delta? Hvilken eller hvilke faser av hendelsen skal det øves på?
«Gjenbruk» av øvelser En øvelse kan gjerne brukes flere ganger for å øve flere fagmiljøer. Vi bruker samme scenario og hendelser, men hvert fagmiljø har forskjellige læringsmål og vil derfor bruke litt forskjellige opplegg for øvelsen. Eksempel IT-avdeling øver deteksjon, årsaksanalyse og tekniske tiltak Kommunikasjonsavdeling og ledelse øver mediehåndtering
Øvelsesplan Alle virksomheter bør lage og oppdatere en øvelsesplan for minst tre år fremover. Informasjonssikkerhet er bare en del av det en virksomhet bør øve på, og det er hensiktsmessig at en virksomhet koordinerer alle typer øvelser. Større øvelser krever som regel mye planlegging, og dette arbeidet bør starte i god tid. En øvelsesplan bør koordineres med nasjonal øvelsesplan.
Hendelser og øvelser Hendelsesforløp Deteksjon og varsling Vurdering av situasjon og beslutning Respons og eskalering Gjenoppretting av normal situasjon Læring og forbedring Øvelse Oppspill Øve begrenset fase av hendelsesforløp Læring og forbedring
Relevante standarder Hendelseshåndtering ISO/IEC 27035-1:2016 Incident management (principles) ISO/IEC 27035-2:2016 Incident management (guidelines) NSM: Nasjonalt rammeverk for digital hendelseshåndtering Kontinuitetsplanlegging NS-EN ISO/IEC 22301:2014 Systemer for kontinuitetsplanlegging (krav) NS-EN ISO/EIC 22313:2014 (veiledning)
Øvelsesformer Funksjonsøvelse Diskusjonsøvelse (skrivebordsøvelse) Spilløvelse Fullskala øvelse og en øvelse kan være en kombinasjon av de fire øvelsesformene i denne listen
«Osteklokken» En øvelse skal ha et klart skille til omverdenen.
Øvelsesdirektiv Overordnet dokument NB! Mandat og budsjettramme for planlegging og gjennomføring av øvelsen Beskriver organisering av øvelsen, formål og hensikt med øvelsen, øvingsmål (delmål) og læringspunkter Administrative bestemmelser for øvelsen HMS: dersom øvelsen medfører arbeidsoperasjoner eller situasjoner ut over det vanlige er risikovurdering nødvendig. Arbeidstid: dersom øvelse går ut over vanlig arbeidstid må kompensasjon avtales, i enkelte tilfeller forhandles (fagforening)
Hensikt og formål Hensikt Hvorfor skal vi øve? Hva er anledningen eller årsaken til denne øvelsen? Hensikten skal «selge inn» øvelsen til virksomhetens ledelse. Formål Hva skal vi oppnå med øvelsen? SMART: Spesifikt (tydelig og konkret) Målbart Akseptert (formålet må være forankret i organisasjonen) Realistisk (målene må være oppnåelige) Tidsbundet (tidsramme før øvelsen)
Eksempel (1) Hensikt Hensikten med øvelsen er å sjekke beredskapsplan for uønsket hendelse med vekt på IT-avdelingen, samspillet med underleverandør og kommunikasjonsavdelingens oppgaver ved hendelseshåndtering. Formål IT-avdelingen skal bruke rutiner for deteksjon og analyse av hendelse, utarbeidelse av situasjonsbilder til bruk for ledelse og kommunikasjonsavdeling, og rutiner for koordinering av hendelseshåndtering med underleverandør.
Scenario og dreiebok Scenarioet er utgangspunktet for planleggingen og beskriver en ramme for øvelsen. I prinsippet kan scenarioet være kjent for de som skal øves før øvelsen starter. Dreieboken er en detaljert beskrivelse av øvelsen med tidslinje for planlagte hendelser og beskrivelse av forventet respons fra de som skal øves. De som skal øves kjenner ikke innholdet i dreieboken.
Eksempel (2) Forutsetning (beskrivelse av virksomhet) Virksomheten har et saksbehandlingssystem med automatisk publisering av journal og et delvis selvbetjent dokumentinnsyn. Dokumenter som ikke er unntatt offentlighet er tilgjengelige direkte fra journal. Scenario Det er høstferie, både direktør og leder for kommunikasjonsenheten har tatt fri. IT-avdelingen har planlagt å gjennomføre enkelte oppgraderinger og årlig gjennomgang av beredskapsplaner.
Dreiebok Dreieboken er øvelsens «manus» og består av nummererte innspill og sjekkpunkter som følger øvelsens tidslinje Hvert enkelt innspill er beskrevet og skal også angi suksesskriterier for at innspillets utfordringer kan regnes som fullført Et sjekkpunkt er en kontroll av fremdrift i øvelsen
Eksempel (3) Første innspill Journalist fra NRK tar kontakt med virksomheten i anledning sak som skal publiseres senere på dagen. Når journalisten har fått tilgang til saksdokument via innsynssystemet har han endret URL og fått tilgang på andre dokumenter med sensitive opplysninger som etter journalistens oppfatning er unntatt offentlighet.
Innspill For hvert innspill i dreieboken bør følgende beskrives Hvilken hendelse som spilles inn, Hvilket tidspunkt hendelsen skal spilles inn, Hvem i øvelsesledelsen som er ansvarlig for innspillet, Hvilke øvingsdeltagere informasjonen skal spilles inn til, Ønsket fokus fra øvelsesledelsen og Forventet reaksjon fra øvelsesdeltagerne
Tips for diskusjonsøvelse Diskusjonsøvelse tar utgangspunkt i en problemstilling En større problemstilling kan gjerne brytes ned i en serie innspill (vanligvis bruker vi ikke dreiebok for diskusjonsøvelser) For hvert innspill som planlegges bør man beskrive et læringspunkt for innspillet. Nyttig både for øvingsleder og ikke minst nyttig for evaluering av øvelsen.
Ressurser DSB Veileder i planlegging, gjennomføring og evaluering av øvelser (2016) Grunnhefte + 4 metodehefter DSB NUSB kurs i øvelsesplanlegging Difi Veileder i planlegging og gjennomføring av IKT-øvelser (2015) https://www.dsb.no/veiledere-handboker-oginformasjonsmateriell/grunnbok-oving/ https://www.difi.no/sites/difino/files/veileder_- _planlegging_og_gjennomforing_av_ikt-ovelser.pdf