Svenskt Vatten Säkerhetshandbok för dricksvattenproducenter Bertil Johansson
2018-10-17 2
Innehåll Lagkrav Organisation och ansvar Hotbild och säkerhetsanalys Personal och säkerhet Fysisk säkerhet Säkerhet i IT-system Säkerhet i industriella kontrollsystem Informationssäkerhet Skyddsobjekt SUA-upphandling
Lagkrav Lås och Bom föreskrifter LIVSFS 2008:13 Säkerhetsskyddslagen 1996:627 Lag(2018:1074) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-direktivet Civilt försvar, försvarsberedningens delrapport Lag (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap Skyddslagen 2010:305
Organisation och ansvar Ledningsgrupp Säkerhetsansvarig / Säkerhetschef / VA-Chef Policy Strategi Handlingsplan Ekonomiska resurser Säkerhetsanalys Samordning och rådgivning Organisera säkerhetsarbetet Utbildningsplaner Drift Revision, incidentrapportering Dagliga säkerhetsarbetet
Hotbild och säkerhetsanalys Hotbildsanalys, vilka är hotbilderna? Inventering av anläggningsobjekt Konsekvensanalys anläggningsobjekt Skyddsklassificering av samtliga objekt Redogör för nuvarande skyddsnivå, upprätta GAP-lista Underlag handlingsplan 6
Exempel skyddsnivå Föreslagen åtgärd Skyddsnivå 1 Skyddsnivå 2 Skyddsnivå 3 Kommentar Områdesskydd Skyltning tillträde förbjudet X X X Stängsel 1 höjd 120 cm. Stängsel 2 höjd 200 cm. Stängsel 3 höjd 240 cm., med topplarm Fjärrstyrd grind med belysning och kamera Områdesövervakning med kamera X X Belysning 1, klass CE5 Belysning 2, klass CE3 Lagerhållning av kemikalier inhägnat och låst Markområde fritt från hinder, fri sikt X X X X X X X X X X 2018-10-17 7
Personal och säkerhet Egen personal, entreprenörer, bevakningsföretag mfl Innan anställning Under anställning utbildning-information Avslut av anställning Hot mot egen personal Missbruksproblem Säkerhetsklassning och registerkontroll 2018-10-17 8
Fysisk säkerhet Områdesskydd Skalskydd Sektionering Larm Bevakning Underhåll och test 2018-10-17 9
Fysiskt skydd exempel 2018-10-17 10
Säkerhet i IT-system Anpassa VA-organisationens arbete med IT-säkerhet till det övergripande ITsäkerhetsarbete som bedrivs inom organisationen Systemägarskap Specifika säkerhetskrav Tillgänglighet 2018-10-17 11
Ett färskt exempel. DN. 2018 10 16 2018-10-17 12
CLARiiON CLARiiON CLARiiON Säkerhet i industriella kontrollsystem Systembeskrivning Operatörsarbetsplatser Avancerade operatörsplatser DMZ LAN Administrativt LAN 5 Sårbarhetsanalys Fysiskt skydd Säkerhetsgranskning Återställning rutiner Utbildning A SCADA Server (Online/Standby) B Automationssystem för understationer 2 SCADA LAN Kommunikationsutrustning (Front-End) Kommunikationsnätverk ex vis via egna eller förhyrda linjer, trådlös, eller fiber RTU / PLC 1 RTU / PLC RTU / PLC Applikationsservrar Modem Systemleverantörer Brandvägg ICCP 3 4 Andra driftcentraler Historik Webserver Brandvägg Brandvägg 6 INTERNET WAN Brandvägg Geografiskt distribuerad process 2018-10-17 13
Informationssäkerhet Analog som digital information Modell för klassificering av handlingar Offentlig-Sekretess-Hemlig Utlämning av handling Etablerade rutiner och instruktioner Information till anställda Incidentrapportering SFS 2018:1075 2018-10-17 14
Skyddsobjekt Ökat juridiskt skydd mot sabotage, terrorism och spionage Obehöriga har inte tillträde, kameraövervakning Direktkontakt med ansvariga inom polismyndigheten för att informera om objekten 2018-10-17 15
SUA-Upphandling Säkerhetsskyddad upphandling med säkerhetsskyddsavtal = SUA 3 avtalsnivåer för SUA-upphandling Säkerhetsprövning med registerkontroll Säkerhetsskyddsavtal Tidskrävande 2018-10-17 16
Tack! SBJ-Konsult Bertil Johansson 070 211 21 74 sbjkonsult@outlook.com