§ 7.2 Interne sikkerhetsregler
Virksomheter skal fastsette sikkerhetsregler for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av kraftforsyningen kan utføres på en sikker måte.
Virksomheter skal gjennomgå sikkerhetsreglene minimum årlig for å sikre at de etterleves og at de gir tilfredsstillende beskyttelse.
Hvordan oppfylle kravet?
Virksomheter må omsette forskriftskravene til sikkerhetsregler som er tilpasset virksomheten. Sikkerhetsreglene må sørge for at virksomheten kan overvåke og kontrollere komponenter og anlegg i kraftforsyningen uten at dette arbeidet går på bekostning av sikkerheten. Virksomheten må også definere hva som er sikker drift av driftskontrollsystemet.
Sikkerhetsreglene er virksomhetens eget verktøy for å følge både kravene i forskriften og egne rutiner. Sikkerhetsreglene må være lett tilgjengelig der de skal brukes og bli gjort kjent for brukerne av reglene. Minst en gang i året skal virksomheten gjennomgå sikkerhetsreglene og vurdere behovet for å gjennomføre nødvendige endringer. I dette arbeidet kan det være hensiktsmessig å ta lærdom fra siste års arbeid og rette opp mangler man har erfart, se eksempel på sikkerhetsregler.
Eksempel: Sikkerhetsregler
Kraftkonsernet AS har utarbeidet et sett med sikkerhetsregler for følgende temaer i driftskontrollsystemet:
- ansvarsforhold og sikkerhetsinstruks for driftssentralen
- inndeling i sikkerhetssoner og segmentering av datanettverk
- tilgangsstyring – rollebasert tilgang logisk og fysisk samt passordregler
- hvitelisting av applikasjoner og tilganger – minimering av rettigheter
- styring og kontroll av lisenser
- minimering av eksponering av driftskontrollsystemet på internett
- tilgangsstyring og krav til rettmessige brukere, inklusive brukere hos leverandører
- testing, overvåkning og kontroll av sikkerhet
- sikkerhetskopiering og forsvarlig sletting av driftskritisk informasjon og kraftsensitiv informasjon
- håndtering av og sikring av bevis/dokumentasjon i uønskede hendelser, sikkerhetsbrudd og ekstraordinære situasjoner
Disse temaene er dokumentert, og dokumentene blir gjennomgått årlig for å vurdere relevans og gjennomføre forbedringer.
Standarder
§ 7-2 inneholder deler av mange standarder som et tiltak eller en kontroll:
- NS-EN ISO/IEC 27002:2017 Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring, se www.standard.no
- ISO/IEC 27002:2017 - Tiltak for informasjonssikring
- 5.1.1 Policies for information security
- 5.1.2 Review of the policies for information security
- IEC 62443-2-1 – Establishing an industrial automation and control system security program
- 4.3.2.6 Security policies and procedures
- NIST 800-100 - Information Security Handbook: A Guide for Managers
- 2.2.5 Information Security Policy and Guidance
- NERC CIP-003-7 Security Management Controls
- R1 Cyber security policies
Veiledere
Guide to Increased Security in Industrial Control Systems, MSB, Sverige
21 Steps to improve Cyber Security of SCADA networks, Department of Energy, USA
Krysskoplinger
- § 2.10 Internkontroll
- § 5.1 Sikringsplikt
- § 5.3, 5.4, 5.5 og 5.6 Sikringstiltak for klassifiserte anlegg avhengig av klasse
- § 6.9 Digitale informasjonssystemer
- § 6.10 Brytefunksjonalitet i avanserte måle- og styringssystem (AMS)
- § 7.14 b) sikkerhetsrevisjon - for klasse 2 og klasse 3 driftskontrollsystem
Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv § 4-2 Funksjonskrav og § 4-6 krav til sikkerhet for AMS