Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Innfør sikkerhetstiltak

Sikkerhetstiltak er de konkrete tiltakene som beskytter virksomhetens systemer og informasjon. Dette kapitlet viser hvordan virksomheten får oversikt over hvilke tiltak som kreves, vurderer status og lager en plan for å lukke gap.

Nivå 1 – Få oversikt og lag tiltaksplan

1. Identifiser krav til sikkerhetstiltak

Krav til sikkerhetstiltak kommer fra to kilder:

  • Regelverket: Obligatoriske krav i kraftberedskapsforskriften (hovedsakelig Kapittel 6) og forskrift om kraftomsetning og nettjenester (§ 4-6 for AMS og § 6-21 for Elhub) og krav fra eventuelt andre relevante regelverk.

  • Risikovurderinger: Tiltak basert på virksomhetens egen risikovurdering

Start med de obligatoriske kravene, se sjekklisten i «Hjelpeverktøy».

 

2. Gjennomfør en gap-analyse

En gap-analyse gir oversikt over hvilke krav virksomheten oppfyller og hvor det er mangler.

Fremgangsmåte:

  1. List opp relevante krav fra regelverket
  2. Vurder status for hvert krav (oppfylt / delvis oppfylt / ikke oppfylt)
  3. Dokumenter hva som finnes av tiltak og dokumentasjon
  4. Identifiser gap som må lukkes

Eksempel på gap-analyse:

Krav Tema Status Dokumentasjon Gap
KBF § 6-9 bokstav a Dokumentasjon av systemer Delvis oppfylt Systemoversikt finnes Mangler nettverksdiagram
KBF § 6-9 bokstav c Tilgangskontroll Oppfylt Tilgangsmatrise, rutine -
KBF § 6-10 bokstav a Fjernstyring AMS Ikke oppfylt - Mangler adgangskontrollert sone

 

3. Lag tiltaksplan

For hvert gap, definer tiltak med ansvarlig og frist.

Eksempel på tiltaksplan:

Gap Tiltak Ansvarlig Frist Status
Mangler nettverksdiagram Tegne nettverksdiagram for HES IT-ansvarlig 01.03.202X Påbegynt
Mangler adgangskontrollert sone Etablere segmentert sone for AMS-styring Driftsleder 01.06.202X Ikke startet

 

4. Koble til risikovurderingen

Risikovurderingen kan identifisere behov for tiltak utover minimumskravene. Legg disse til i tiltaksplanen og prioriter basert på risiko.

Se kapittel "Risikovurdering".

 

5. Dokumenter og følg opp

  • Lagre gap-analyse og tiltaksplan i internkontrollsystemet
  • Gjennomgå status på tiltak i faste oppfølgingsmøter
  • Oppdater status etter hvert som tiltak gjennomføres

 

Sjekkliste: Grunnleggende tiltaksoversikt

☐ Gap-analyse gjennomført mot relevante krav

☐ Status vurdert for hvert krav

☐ Tiltaksplan med ansvarlig og frist utarbeidet

☐ Kobling til risikovurdering etablert

☐ Dokumentasjon lagret i internkontrollsystemet

 

Nivå 2 – Utdypning

Ta utgangspunkt i kartleggingen

Start med oversikten over kritiske funksjoner og systemer fra kapitlet "Kartlegg kritiske funksjoner". Denne viser hva som er viktigst å beskytte. Sikkerhetstiltak skal prioriteres deretter.

Gjennomføre gap-analyse

  1. En gap-analyse sammenligner nåsituasjonen med kravene i regelverket:
  2. Bruk sjekklisten i «Hjelpeverktøy» som utgangspunkt
  3. For hvert krav: Vurder om tiltak er etablert, delvis etablert eller mangler
  4. For etablerte tiltak: Vurder om de fungerer etter hensikten
  5. Dokumenter funn og plan for oppfølging
Paragraf Krav Status hos oss Vurdering Plan
KBF § 6-3 Tilgangskontroll Rutine finnes, men er ikke oppdatert Delvis oppfylt Oppdatere innen Q2
KBF § 6-8 Backup Daglig backup, testet årlig Oppfylt Fortsett
KBF § 6-9 d Hendelses-håndtering Ingen rutine Ikke oppfylt Prioritet 1

 

Bruke risikovurderingen

Gap-analysen viser hva som mangler i forhold til regelverket. Risikovurderingen viser andre aktuelle tiltak. Bruk begge som input til tiltaksplanen:

  • Gap-analyse → Hva må på plass for å oppfylle kravene?
  • Risikovurdering → Hvor haster det mest?

Tiltak som både lukker gap og reduserer høy risiko, bør prioriteres først.

 

Prioritere og planlegge

Ikke alt kan gjøres samtidig. Prioriter etter:

  • Prioritet 1: Grunnleggende tiltak som må på plass først (se sjekklisten i «Hjelpeverktøy»)
  • Prioritet 2: Tiltak som lukker vesentlige gap eller reduserer høy risiko
  • Prioritet 3: Tiltak som styrker sikkerheten ytterligere

Lag en tiltaksplan med ansvarlig, frist og status. Følg opp jevnlig til tiltakene er implementert. Når et tiltak er ferdig, overføres oppfølgingsansvaret til ordinær drift.

 

Verktøy

NSMs cybersjekk gir et raskt overblikk over virksomhetens sikkerhetstilstand. Sjekken bygger på NSMs grunnprinsipper for IKT-sikkerhet. Funn fra cybersjekken kan tas inn i tiltaksplanen.

Se også sjekklisten i «Hjelpeverktøy» for oversikt over krav med eksempler på dokumentasjon.