Risikovurderinger i drift

Med risikovurderinger i drift menes risikovurdering som gjennomføres mens det digitale systemet brukes drift.

Sikre bryterfunksjonen for AMS

Som forberedelse til risikovurderingen, kartlegg hva som må fungere for at bryterfunksjonen ikke skal bli kompromittert. Del inn i systemer og delsystemer

Eksempler:

AMS-måleren
- Lastbryter
- Firmware
- Lokal målelogikk
- Strømforsyning
Kommunikasjonsinfrastruktur
- Mobilkommunikasjon
- Kommunikasjonsprotokoller
Head-end system (HES)
Driftskontrollsystem (hvis relevant)
Sikkerhetssystemer

Gjennomfør risikovurderingen i tre møter som anbefalt i Veileder til internkontroll for informasjonssikkerhet:

Møte 1: Identifiser uønskede hendelser og sårbarheter for hvert system/delsystem (kolonnene ID, funksjon, system/delsystem, uønskede hendelser og sårbarheter i tabellen)

Møte 2: Vurder risiko og foreslå nye tiltak (kolonnene eksisterende barrierer/ tiltak, konsekvens, sannsynlighet, kunnskapsstyrke, risiko og nye tiltak i tabellen)

Møte 3: Prioriter tiltakene og sett frist for oppfølging (kolonnene prioritering, ansvarlig og frist i tabellen)

Gjennomføring:

Gjør dere kjent med trusselbildet.
Fyll ut tabellen for risikovurdering med alle relevante uønskede hendelser for alle systemene/delsystemene.
Bruk konsekvenskategoriene for tilgjengelighet når konsekvensene skal vurderes
Fremstill risikobildet grafisk i en risikomatrise
Bruk risikomatrisen og eventuelt en kost/effektivitetsanalyse (se under) til å prioritere tiltak
Oppdater risikobildet etter hvert som nye tiltak blir innført. Dette innebærer at:
- Nye tiltak flyttes fra kolonnen «nye tiltak» til «eksisterende barrierer/tiltak» i skjemaet for risikovurdering
- Vurdering av konsekvens, sannsynlighet og kunnskapsstyrke oppdateres med de nye barrierene/tiltakene på plass
- Uønskede hendelser som påvirkes av tiltaket plottes på nytt i risikomatrisen.

Konsekvenskategoriene for tilgjengelighet er vist under. Se også kapittelet «Risikovurdering og prioritering av tiltak» i Veileder for internkontroll for informasjonssikkerhet.

Sikre korrekt avregning

Som forberedelse til risikovurderingen kartlegg hva som må fungere for at avregning skal bli korrekt. Del inn i systemer og delsystemer.

Eksempler:

Meter data management system
Kommunikasjonsinfrastrukturen, inkludert firmware på måleren og kommunikasjonen med Elhub
Kundeinformasjonssystem

Gjennomfør risikovurderingen i tre møter som anbefalt i Veileder til internkontroll for informasjonssikkerhet.

Møte 1: Identifiser uønskede hendelser og sårbarheter for hvert system/delsystem (kolonnene ID, funksjon, system/delsystem, uønskede hendelser og sårbarheter i tabellen)

Møte 2: Vurder risiko og foreslå nye tiltak (kolonnene eksisterende barrierer/ tiltak, konsekvens, sannsynlighet, kunnskapsstyrke, risiko og nye tiltak i tabellen)

Møte 3: Prioriter tiltakene og sett frist for oppfølging (kolonnene prioritering, ansvarlig og frist i tabellen)

Gjennomføring:

Gjør dere kjent med trusselbildet
Fyll ut tabellen for risikovurdering med alle relevante uønskede hendelser for alle systemene/delsystemene
Bruk konsekvenskategoriene for integritet når konsekvensene skal vurderes
Fremstill risikobildet grafisk i en risikomatrise
Bruk risikomatrisen og eventuelt en kost/effektivitetsanalyse (se under) til å prioritere tiltak
Oppdater risikobildet etter hvert som nye tiltak blir innført. Dette innebærer at:
- Nye tiltak flyttes fra kolonnen «nye tiltak» til «eksisterende barrierer/tiltak» i skjemaet for risikovurdering
- Vurdering av konsekvens, sannsynlighet og kunnskapsstyrke oppdateres med de nye barrierene/tiltakene på plass
- Uønskede hendelser som påvirkes av tiltaket plottes på nytt i risikomatrisen.

Konsekvenskategoriene for integritet er vist under. Se også kapitlet «Risikovurdering og prioritering av tiltak» i Veileder til internkontroll for informasjonssikkerhet.