Planlegging av øvelser

Like dokumenter
Veileder i planlegging og gjennomføring av IKT-øvelser

Tilsiktede uønskede handlinger

Øve Enkelt. Enkle og tilgjengelige beredskapsøvelser. 14. November Mathias Johnsen, Seniorrådgiver NUSB.

Spørreundersøkelse om informasjonssikkerhet

Krav til utførelse av Beredskapsøvelser

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Presentert av Dag Auby-Hagen

ØVELSER. Gjennomføring Evaluering Øvingsseminar Telemark

Øvingsseminar

Psykososial beredskap -Trening og øvelser Venke A. Johansen, RVTS Vest og Kirsti Silvola, RVTS Øst

Beredskapsøvelser rammeverket

Beredskapsøvelser. Hvordan lage og gjennomføre øvelser i egen virksomhet? 10. April 2018

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Øvelser som effektivt læringsverktøy DSBs bidrag

Mai Dette er SINTEF. Teknologi for et bedre samfunn

Aggregering av risiko - behov og utfordringer i risikostyringen

Hvordan komme i gang med beredskapsøvelser

Øvelse som arena for læring

Beredskapsøvelser - vannverk. Marit Hagen Johansen, seniorinspektør Distriktskontoret i Ofoten

Øvingsdirektiv - Øvelse Sodd Beredskapsøvelse for kommunene i Sør- og Nord-Trøndelag

Delprosjekt 2 BEREDSKAPSPLANER OG KRISEHÅNDTERING

Orkan12 Sivil nasjonal øvelse 2012

Beredskapsøvelser og beredskapsplaner for vannforsyningen

Tittel 30 pt for. rapportmaler. skrives inni Oktober denne boksen. Metodehefte: Funksjonsøvelse

Tittel Sted Form Formål og scenario Aktører Eier

Sørfold kommune. Plan for oppfølging av beredskapsarbeidet

Nordisk samarbeid Ingunn Moholt Direktoratet for samfunnssikkerhet og beredskap (DSB) Et trygt og robust samfunn - der alle tar ansvar

Tittel Sted Form Formål og scenario Aktører Eier

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Hvordan bruke øvelser til læring og oppfølging?

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Varslingsøvelse Evalueringsrapport

Retningslinje for Beredskap innen Sikkerhetsstyring

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Øvelse Orkan konsekvenser av svikt i kritisk infratsruktur

Informasjonssikkerhet i Norge digitalt Teknologiforum

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Overordnet IT beredskapsplan

Øyvind Grinde, seksjonssjef

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Strategitips til språkkommuner

NASJONAL SIKKERHETSMYNDIGHET

Erfaringer fra Beredskapsøvelse vann 2009 Kristiansund kommune

Retningslinje for risikostyring for informasjonssikkerhet

Aure kommune KRISEPLAN. Overordnet ROS-analyse. Overordnet kriseplan. Plan for kriseledelse

Forvaltningsrevisjon IKT sikkerhet og drift 2017

3.1 Prosedyremal. Omfang

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

«Øvelse Nordland 2017» Evalueringsrapport

Årskonferanse NEMFO Alta 6.-7 juni 2018 Kommuneberedskap som deler og helhet. Å jobbe med systemet.

Kommunikasjon med ledelsen hva kan Difi bidra med?

Oppsummering av Øving Hordaland 2013

Anbefalinger om åpenhet rundt IKT-hendelser

Uke 4, januar ( )

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Innhold. Beredskapsøvelser. Om denne samlingen. Om denne samlingen. Hvorfor skal vi øve? Om denne samlingen. Hvorfor gjennomføre øvelser?

1. Forord. Lykke til videre med beredskapsarbeidet.

Mål for øvelsen del 1 og 2

Brudd på personopplysningssikkerheten

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Øvelser. En veiledning i hvordan planlegge og gjennomføre øvelser innen energiforsyningen

Versjon NTNU beredskap. Politikk for beredskap ved NTNU UTKAST

Tittel 30 pt for. rapportmaler. skrives inni denne boksen. Metodehefte: Lokal øvingsleder TEM A GJENNOMFØR ING OG EVALUER ING AV ØVELSER.

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune

Delprosjekt 2 BEREDSKAPSPLANER OG KRISEHÅNDTERING

Delprosjekt 2 BEREDSKAPSPLANER OG KRISEHÅNDTERING

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

BEREDSKAPSPLAN, HVORDAN ØVE PÅ PSYKOSOSIAL BEREDSKAP?

Hva er sikkerhet for deg?

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Ruters beredskapsplan. Strategiforum v/ Jorunn Brunstad Ekberg kvalitets- og beredskapssjef

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

FYLKESMANNEN I SØR-TRØNDELAG. Evalueringsrapport. Øvelse Sodd 2017 Beredskapsøvelse for kommunene i Trøndelag

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

FYLKESMANNEN I SØR-TRØNELAG. Evalueringsrapport. Varslingstest for kommunene i Sør-Trøndelag februar 2017

RAPPORT FRA BEREDSKAPSØVELSE TANA KOMMUNE

Regional IKT beredskapsplan

Internkontroll i praksis (styringssystem/isms)

Hendelser skjer - hvordan håndterer vi dem?

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

OPPDRAGSDOKUMENT 2014

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Inspeksjonsrapport: Inspeksjon ved Ekeberg Oljelager

Forventningsavklaring. Forbedringskunnskap Innføring av et innsatsområdet Forbedringsmodellen og andre nyttige verktøy Suksesskriterier

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

ERFARINGER FRA ØVELSER OG REELLE HENDELSER

Tittel 30 pt for. rapportmaler. skrives inni Oktober denne boksen. Metodehefte: Diskusjonsøvelse

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Regional IKT-beredskapsplan

«Øvelse Nordland 2016» Evalueringsrapport

Sikker drift - foreløpig risikovurdering - foreløpige tiltaksområder

Risikoanalyse i arkivarbeidet Ta sjansen?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Retningslinje for Sikring innen Sikkerhetsstyring

Thomas Trier. Prosessoptimalisering og kontinuerlig forbedring. Leder Digitalisering og IT Hovedorganisasjonen Virke 1,5 år

Transkript:

Planlegging av øvelser Håkon Styri Seniorrådgiver Seksjon for informasjonssikkerhet og datadeling

Målsetning IKT-beredskapsøvelse gjennomføres minst en gang per år 29,2 prosent i 2014 33,3 prosent i 2016 43,6 prosent i 2017 (SSB, Bruk av IKT i staten) Flere må øve, minst en gang i året Planlegg flere mindre øvelser hvert år Knytt evaluering av øvelsene til internkontroll for informasjonssikkerhet for å sikre at øvelsene kan bidra til forbedring.

Hva oppnår vi ved å øve? Bli kjent med virksomhetens beredskapsplan Eller avdekke mulig behov for at beredskapsplanen omfatter særskilte uønskede hendelser Gjøre beslutninger/tiltak i hensiktsmessig rekkefølge Bli fortrolig med når håndtering av en hendelse bør eskaleres Sjekke at all kontaktinformasjon i beredskapsplan er oppdatert Sjekke at eventuelt beredskapsmateriell virker Teste iverksetting av midlertidige sikkerhetstiltak Prøve ut deler av virksomhetens risikobilde Finne mulige forbedringer 2017-10-02 Direktoratet for forvaltning og IKT

Øvelser og styringssystem (1) Risikovurdering Evaluering Forbedring Risikohåndtering Hendelser Øvelser Testing

Øvelser og styringssystem (2)

Hovedmål for øvelsesaktivitet Utvikle og forbedre evnen til kriseledelse (strategisk nivå). Utvikle og forbedre virksomhetens, enhetens eller teamets evne til å iverksette tiltak og løse problemer (operativt nivå) Utvikle og forbedre enkeltindividers ferdigheter (individnivå) Evaluere og forbedre sikkerhetstiltak Evaluere og forbedre beredskapsplaner

Hvorfor øver vi? Vi må dokumentere at kompetanse, rutiner, ferdigheter og bemanning på plass for et ønsket beredskapsnivå. Vi skal lære, bli bedre til å samarbeide, fortrolige med å tilpasse sikkerhetstiltak og med å improvisere når det er nødvendig. Vi får mulighet til forbedring (jf internkontroll).

Øvelse eller trening? «Med trening menes når individers kunnskaper og ferdigheter prøves og videreutvikles, mens øvelser omhandler organisasjoners kunnskaper og ferdigheter» (DSB)

Hva øver vi på? Uønskede hendelser som ikke forekommer ofte og som kan få alvorlige konsekvenser Deler av hendelseshåndtering hvor det er mulig å forbedre effektiv gjennomføring og / eller redusere forstyrrelser av normal drift Krevende sikkerhetstiltak og respons Deteksjon og varslingsrutiner

Enkle øvelser Enkle øvelser gir ofte godt utbytte Ett konkret mål for øvelsen, og et begrenset antall læringspunkter Enklere å dokumentere / rapportere funn / foreslå forbedringer Enkle øvelser gir mulighet til å øve oftere Avgrens hvor stor del av hendelseshåndteringen som skal inngå i en øvelse. Hvor stor del av virksomheten skal delta? Hvilken eller hvilke faser av hendelsen skal det øves på?

«Gjenbruk» av øvelser En øvelse kan gjerne brukes flere ganger for å øve flere fagmiljøer. Vi bruker samme scenario og hendelser, men hvert fagmiljø har forskjellige læringsmål og vil derfor bruke litt forskjellige opplegg for øvelsen. Eksempel IT-avdeling øver deteksjon, årsaksanalyse og tekniske tiltak Kommunikasjonsavdeling og ledelse øver mediehåndtering

Øvelsesplan Alle virksomheter bør lage og oppdatere en øvelsesplan for minst tre år fremover. Informasjonssikkerhet er bare en del av det en virksomhet bør øve på, og det er hensiktsmessig at en virksomhet koordinerer alle typer øvelser. Større øvelser krever som regel mye planlegging, og dette arbeidet bør starte i god tid. En øvelsesplan bør koordineres med nasjonal øvelsesplan.

Hendelser og øvelser Hendelsesforløp Deteksjon og varsling Vurdering av situasjon og beslutning Respons og eskalering Gjenoppretting av normal situasjon Læring og forbedring Øvelse Oppspill Øve begrenset fase av hendelsesforløp Læring og forbedring

Relevante standarder Hendelseshåndtering ISO/IEC 27035-1:2016 Incident management (principles) ISO/IEC 27035-2:2016 Incident management (guidelines) NSM: Nasjonalt rammeverk for digital hendelseshåndtering Kontinuitetsplanlegging NS-EN ISO/IEC 22301:2014 Systemer for kontinuitetsplanlegging (krav) NS-EN ISO/EIC 22313:2014 (veiledning)

Øvelsesformer Funksjonsøvelse Diskusjonsøvelse (skrivebordsøvelse) Spilløvelse Fullskala øvelse og en øvelse kan være en kombinasjon av de fire øvelsesformene i denne listen

«Osteklokken» En øvelse skal ha et klart skille til omverdenen.

Øvelsesdirektiv Overordnet dokument NB! Mandat og budsjettramme for planlegging og gjennomføring av øvelsen Beskriver organisering av øvelsen, formål og hensikt med øvelsen, øvingsmål (delmål) og læringspunkter Administrative bestemmelser for øvelsen HMS: dersom øvelsen medfører arbeidsoperasjoner eller situasjoner ut over det vanlige er risikovurdering nødvendig. Arbeidstid: dersom øvelse går ut over vanlig arbeidstid må kompensasjon avtales, i enkelte tilfeller forhandles (fagforening)

Hensikt og formål Hensikt Hvorfor skal vi øve? Hva er anledningen eller årsaken til denne øvelsen? Hensikten skal «selge inn» øvelsen til virksomhetens ledelse. Formål Hva skal vi oppnå med øvelsen? SMART: Spesifikt (tydelig og konkret) Målbart Akseptert (formålet må være forankret i organisasjonen) Realistisk (målene må være oppnåelige) Tidsbundet (tidsramme før øvelsen)

Eksempel (1) Hensikt Hensikten med øvelsen er å sjekke beredskapsplan for uønsket hendelse med vekt på IT-avdelingen, samspillet med underleverandør og kommunikasjonsavdelingens oppgaver ved hendelseshåndtering. Formål IT-avdelingen skal bruke rutiner for deteksjon og analyse av hendelse, utarbeidelse av situasjonsbilder til bruk for ledelse og kommunikasjonsavdeling, og rutiner for koordinering av hendelseshåndtering med underleverandør.

Scenario og dreiebok Scenarioet er utgangspunktet for planleggingen og beskriver en ramme for øvelsen. I prinsippet kan scenarioet være kjent for de som skal øves før øvelsen starter. Dreieboken er en detaljert beskrivelse av øvelsen med tidslinje for planlagte hendelser og beskrivelse av forventet respons fra de som skal øves. De som skal øves kjenner ikke innholdet i dreieboken.

Eksempel (2) Forutsetning (beskrivelse av virksomhet) Virksomheten har et saksbehandlingssystem med automatisk publisering av journal og et delvis selvbetjent dokumentinnsyn. Dokumenter som ikke er unntatt offentlighet er tilgjengelige direkte fra journal. Scenario Det er høstferie, både direktør og leder for kommunikasjonsenheten har tatt fri. IT-avdelingen har planlagt å gjennomføre enkelte oppgraderinger og årlig gjennomgang av beredskapsplaner.

Dreiebok Dreieboken er øvelsens «manus» og består av nummererte innspill og sjekkpunkter som følger øvelsens tidslinje Hvert enkelt innspill er beskrevet og skal også angi suksesskriterier for at innspillets utfordringer kan regnes som fullført Et sjekkpunkt er en kontroll av fremdrift i øvelsen

Eksempel (3) Første innspill Journalist fra NRK tar kontakt med virksomheten i anledning sak som skal publiseres senere på dagen. Når journalisten har fått tilgang til saksdokument via innsynssystemet har han endret URL og fått tilgang på andre dokumenter med sensitive opplysninger som etter journalistens oppfatning er unntatt offentlighet.

Innspill For hvert innspill i dreieboken bør følgende beskrives Hvilken hendelse som spilles inn, Hvilket tidspunkt hendelsen skal spilles inn, Hvem i øvelsesledelsen som er ansvarlig for innspillet, Hvilke øvingsdeltagere informasjonen skal spilles inn til, Ønsket fokus fra øvelsesledelsen og Forventet reaksjon fra øvelsesdeltagerne

Tips for diskusjonsøvelse Diskusjonsøvelse tar utgangspunkt i en problemstilling En større problemstilling kan gjerne brytes ned i en serie innspill (vanligvis bruker vi ikke dreiebok for diskusjonsøvelser) For hvert innspill som planlegges bør man beskrive et læringspunkt for innspillet. Nyttig både for øvingsleder og ikke minst nyttig for evaluering av øvelsen.

Ressurser DSB Veileder i planlegging, gjennomføring og evaluering av øvelser (2016) Grunnhefte + 4 metodehefter DSB NUSB kurs i øvelsesplanlegging Difi Veileder i planlegging og gjennomføring av IKT-øvelser (2015) https://www.dsb.no/veiledere-handboker-oginformasjonsmateriell/grunnbok-oving/ https://www.difi.no/sites/difino/files/veileder_- _planlegging_og_gjennomforing_av_ikt-ovelser.pdf

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding