Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 7.2 Interne sikkerhetsregler

Virksomheter skal ha sikkerhetsregler for driftskontrollsystemet.

Virksomheter skal fastsette sikkerhetsregler for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av kraftforsyningen kan utføres på en sikker måte.

Virksomheter skal gjennomgå sikkerhetsreglene minimum årlig for å sikre at de etterleves og at de gir tilfredsstillende beskyttelse.

Hvordan oppfylle kravet?

Virksomheter må omsette forskriftskravene til sikkerhetsregler som er tilpasset virksomheten. Sikkerhetsreglene må sørge for at virksomheten kan overvåke og kontrollere komponenter og anlegg i kraftforsyningen uten at dette arbeidet går på bekostning av sikkerheten. Virksomheten må også definere hva som er sikker drift av driftskontrollsystemet.

Sikkerhetsreglene er virksomhetens eget verktøy for å følge både kravene i forskriften og egne rutiner. Sikkerhetsreglene må være lett tilgjengelig der de skal brukes og bli gjort kjent for brukerne av reglene. Minst en gang i året skal virksomheten gjennomgå sikkerhetsreglene og vurdere behovet for å gjennomføre nødvendige endringer. I dette arbeidet kan det være hensiktsmessig å ta lærdom fra siste års arbeid og rette opp mangler man har erfart, se eksempel på sikkerhetsregler.

Eksempel: Sikkerhetsregler

Kraftkonsernet AS har utarbeidet et sett med sikkerhetsregler for følgende temaer i driftskontrollsystemet: 

  • ansvarsforhold og sikkerhetsinstruks for driftssentralen 
  • inndeling i sikkerhetssoner og segmentering av datanettverk 
  • tilgangsstyring – rollebasert tilgang logisk og fysisk samt passordregler 
  • hvitelisting av applikasjoner og tilganger – minimering av rettigheter 
  • styring og kontroll av lisenser 
  • minimering av eksponering av driftskontrollsystemet på internett 
  • tilgangsstyring og krav til rettmessige brukere, inklusive brukere hos leverandører 
  • testing, overvåkning og kontroll av sikkerhet 
  • sikkerhetskopiering og forsvarlig sletting av driftskritisk informasjon og kraftsensitiv informasjon 
  • håndtering av og sikring av bevis/dokumentasjon i uønskede hendelser, sikkerhetsbrudd og ekstraordinære situasjoner 

Disse temaene er dokumentert, og dokumentene blir gjennomgått årlig for å vurdere relevans og gjennomføre forbedringer. 

Standarder

§ 7-2 inneholder deler av mange standarder som et tiltak eller en kontroll:

  • NS-EN ISO/IEC 27002:2017 Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring, se www.standard.no
  • ISO/IEC 27002:2017 - Tiltak for informasjonssikring 
  • 5.1.1 Policies for information security 
  • 5.1.2 Review of the policies for information security 
  • IEC 62443-2-1 – Establishing an industrial automation and control system security program 
  • 4.3.2.6 Security policies and procedures 
  • NIST 800-100 - Information Security Handbook: A Guide for Managers 
  • 2.2.5 Information Security Policy and Guidance 
  • NERC CIP-003-7 Security Management Controls 
  • R1 Cyber security policies 

Veiledere 

Guide to Increased Security in Industrial Control Systems, MSB, Sverige  

21 Steps to improve Cyber Security of SCADA networks, Department of Energy, USA 

Krysskoblinger

Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv § 4-2 Funksjonskrav og § 4-6 krav til sikkerhet for AMS