Systematiskt säkerhetsarbete från standarder till praktik Vattenstämman 2016 Göteborg, 11 maj Omar Harrami
Innehåll Handlingsplan Skydd av samhällsviktig verksamhet MSB:s deltagande i standardisering Stöd för Systematisk säkerhetsarbete Vägledning Kontinuitetshantering Vägledning Industriella informations och styrsystem
Systematiskt arbete med skydd av samhällsviktig verksamhet Stöd för arbete med riskhantering, kontinuitetshantering och hantera händelser
Stödet Konkretiserar vad som kan ingå i arbetet med riskhantering, kontinuitetshantering och att hantera händelser. Kan stödja aktörerna att nå handlingsplanens mål; att all samhällsviktig verksamhet har integrerat ett systematiskt arbete i sin verksamhet på lokal, regional och nationell nivå senast 2020. Vänder sig till privata och offentliga aktörer.
Hur stödet växt fram Standarder Aktörer Aktörerna har styrt arbetet Studie MSB Aktörsanspassat stöd
Så är stödet tänkt att användas Generiskt stöd Anpassas till behov och förutsättningar Inspirationskälla
Systematiskt arbete med skydd av samhällsviktig verksamhet
Systematiskt arbete
Övergripande komponenter Styrande dokument 1 Förutsättningar och utgångspunkter 2 Innehåll i styrande dokument 3 Interna och externa aktörer Utbildning och övning 4 Utbildning och övning av relevant personal Information och kommunikation 5 Etablerade metoder
Riskhantering 1 Roller och ansvar 2 Resurser för arbetet 3 Strategiska arbetet 4 Dagliga arbetet 5 Riskacceptans 6 Bedömning av risker och sårbarheter i verksamheten 7 Åtgärdsplan 8 Följa upp och utvärdera
Kontinuitetshantering 1 Roller och ansvar 2 Strategiska arbetet 3 Dagliga arbetet 4 Konsekvensanalys 5 Bedömning av risker som kan störa 6 Hantering av störningar 7 Kontinuitetsplan 8 Följa upp och utvärdera 9 Omhändertagande av erfarenheter
Hantera händelser 1 Metoder, former, ansvar och roller 2 Kontakter, nätverk eller forum 3 Kontaktpunkt 4 Omvärldsbevakning 5 Lägesbild 6 Tekniska system och utrustning 7 Dokumentation 8 Planer för hantering 9 Psykiskt och socialt omhändertagande 10 Uppföljning och utvärdering 11 Omhändertagande av erfarenheter
Vägledning kontinuitetshantering Framtagen av SIS i samverkan med privata och offentliga aktörer Ett led i MSB:s handlingsplan för skydd av samhällsviktig verksamhet MSB sprider den kostnadsfritt till offentliga aktörer
Vad är kontinuitetshantering? Process för att skapa robusthet i organisationen Minskar sårbarheten Ökar motståndskraft Utgångpunkt i kritiska verksamhetsprocesser, dess beroenden och konsekvenserna av ett avbrott
OPERATIV NIVÅ Hur fungerar kontinuitetshantering? Incident 100% Minska avbrottstiden Före introduktion av ett program för kontinuitetshantering Mildra konsekvenserna av händelsen Efter introduktion av ett program för kontinuitetshantering TID
PDCA-modellen tillämpad på processen för kontinuitetshantering Förbättringar (10) Act Plan Organisationens förutsättningar (4) Ledarskap (5) Planering (6) Stöd (7) Check Do Utvärdering av prestanda (9) Verksamhet (8)
Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301 (SS 22304:2014)
Syftet med vägledningen En grundförståelse för kontinuitetshantering Praktiska tips som knyter ihop hela kedjan från vad kontinuitetshantering är till varför man ska arbeta med det och hur det kan göras.
Vägledningens upplägg Kraven från 22301 med vägledande text Mål och förväntat resultat Tänk på att Exempel på tillämpning av kraven
Övergripande steg Upprätthålla Analys av verksamheten Styrande dokument Kontinuitetsplaner Kontinuitetsstrategi Bildkälla: FSPOS Vägledning för kontinuitetshantering (2013) Bildkälla: FSPOS Vägledning för kontinuitetshantering (2013)
Styrande dokument Policy Mål Avgränsning och omfattning Roller och ansvar Metoder och rutiner kriteriemodell
Styrande dokument - kriteriemodell KRITERIEMODELL Obetydlig Märkbar Allvarlig Ekonomi Förlust < 500 000 Förlust < 5 000 000 Förlust > 5 000 000 Förtroende Ingen förlust av kunder Förlust av låg andel kunder Förlust av stor andel kunder Leveransförmåga Ingen påverkan på leveransförmågan Låg påverkan på leverans-förmågan Stor påverkan på leveransförmågan Bildkälla: FSPOS Vägledning för kontinuitetshantering (2013)
EXTERNA RESURSER INTERNA RESURSER KRITISKA ARKIVITETER Analys av verksamheten - Konsekvensanalys Vattenrening i ytvattenverk 1. Vattenintag 2. Kemisk rening 3. Mekanisk rening 4. Justering av ph och/eller desinfektion 1-4 Personal 2,4 Kemikalier 1-4 IT-system 1-4 Pumpar 4 UV-filter 1 Vattentäkt 1 Ledningsnät 2 Transport/ leverans av kemikalier 1-4 El Layout: FSPOS Vägledning för kontinuitetshantering (2013)
Analys av verksamheten - Riskbedömning Kritisk resurs (mål för återställningstid) Händelser som kan påverka resursens tillgänglighet Befintlig redundans Sannolikhet att avbrott överstiger mål för återställningstid LÅG MEDEL HÖG Prio Kommentar Elavbrott Det finns reservkraft samt diesel för 3 dagars drift X 3 Viktigt med löpande test av reservkraft (ansvar: kontorschef) IT-system (2 h) Kabelfel Ingen redundans finns X 1 Utred möjliga redundanslösningar (ansvar: IT-chef, klart: innan årsskiftet) Skadlig kod Virusprogram finns, oklart om tillräckligt X 2 Se över befintlig redundanslösning (ansvar: IT-chef, klart: innan årsskiftet) Bildkälla: FSPOS Vägledning för kontinuitetshantering (2013) Bildkälla: FSPOS Vägledning för kontinuitetshantering (2013)
Kontinuitetsstrategi
Kontinuitetsplan Reservrutiner Hur arbetar vi på alternativa sätt under ett avbrott? Återställningsrutiner Hur återställer vi den kritiska resursen efter ett avbrott? Återgångsrutiner Hur återgår vi till normalläge då den kritiska resursen är tillgänglig igen?
Upprätthålla Granskning och revidering Test, övning och utbildning
Vägledning SCADA 17 tydliga rekommendationer Exempel på standarder, vägledningar och riktmärken för säkerhetsarbetet Gratis
17 rekommendationer 1. Säkra ledningens engagemang och ansvar för säkerheten 2. Tydliggör roller och ansvar för säkerheten i industriella informationsoch styrsystem. 3. Underhåll processer för systemkartläggningar och riskhantering 4. Säkerställ en systematisk förändringshantering 5. Säkerställ systematisk kontinuitetsplanering och incidenthantering 6. Inkludera säkerhetskrav från början i all planering och upphandling. 7. Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet 8. Arbeta med en säkerhetsarkitektur 9. Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök
17 rekommendationer 10. Genomför regelbundet riskanalyser 11. Genomför regelbunden teknisk säkerhetsgranskning 12. Utvärdera löpande det fysiska skyddet av industriella informations- och styrsystem. 13. Kontrollera regelbundet att endast säkra och relevanta anslutningar 14. Härda och uppgradera industriella informations- och styrsystem 15. Genomför utbildning och övning av it-incidenter 16. Följ upp incidenter och bevaka säkerhetsproblem i omvärlden. 17. Samverka i användarföreningar, standardiseringsorgan och andra nätverk
Ledningens engagemang Exempel på standarder 27001 27002 (Kap.5 6.1.1) IEC 62443-1-1 (Kap. 5.8.2) Säkra ledningens engagemang genom långsiktigt arbete, konkreta förändringsförslag och fokus på att prata effektivisering istället för teknik
Fysiskt skydd Exempel på standarder NERC CIP (006-4) NIST 800-82 (Kap. 6.2.2) 27002 (Kap. 9) IEC 62443-1-1 (Kap. 5.9) IEC 62443-2-1 (Kap. A.3.3.3, A.2.3.3.8.9) IEC 62443-3-1 (Kap. 10) Fysisk tillgång förenklar logisk tillgång till ett system
Säkerhetsarkitektur Exempel på standarder NERC CIP (005-4, 007-4) 27002 (Kap. 10, 11) ISA-95 IEC 62443-3-3 (Kap. 9.4) Lägg inte alla ägg i samma korg zoner och segmentering, redundans, djupledsskydd
Tack för uppmärksamheten! www.msb.se/samhallsviktigverksamhet www.msb.se/scada Omar Harrami omar.harrami@msb.se