Kurs-HAN_5842_2-w1440h350

Endring i beredskapsforskriften fra 1.1.2019 – hva innebærer dette?

Forskrift om endring i forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskapsforskriften) ble endret 1.1.2019. Her er det mange endringer som i all hovedsak er tilknyttet kraftbransjen. Vi har tatt for oss § 6.9 Digitale informasjonssystemer.

Virksomheter skal sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas.
 
Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter det digitale informasjonssystemets type, oppbygging og funksjon.
 
Virksomheter skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder:
  • Identifisere og dokumentere. Virksomheter skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal holdes oppdatert.
  • Risikovurdering. Virksomheter skal gjennomføre risikovurdering ved systemendringer. Risikovurderingen skal holdes oppdatert.
  • Sikre og oppdage. Virksomheter skal sikre sine digitale informasjonssystemer for å motstå eller begrense skade fra uønskede hendelser. Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres. Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer. 
  • Håndtere og gjenopprette. Virksomheter skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.
  • Tjenesteutsetting. Virksomheter skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.
  • Sikkerhetsrevisjon. Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer. Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.
For de som er kjent med NSM grunnprinsipper så er det disse som er lagt til grunn for flere av de ovennevnte punktene, Grunnprinsippene er et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. 
 
NSMs grunnprinsippene er delt inn i fire kategorier:
  • Identifisere og kartlegge
  • Beskytte
  • Opprettholde og oppdage
  • Håndtere og gjenopprett
Som NSM selv nevner er disse kategoriene gjenkjennbare i «Cyber Essentials» og «CIS CSC Top 20» 
NSMs grunnprinsipper beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan. 
 
Vi ser at tjenesteutsetting og sikkerhetsrevisjon er tatt med som en del av lovteksten. Dette er svært viktige punkter.
Data Equipment er en CIS Consulting partner og med dette bidrar vi til at våre kunder kan få vurdert sin sikkerhetsstatus, overvåke sikkerhetsfaktorer over tid, utvikle tilpassede konfigurasjonspolicyer og rapporter, og dele compliancestatus med revisorer og samarbeidspartnere. Vi har tilgang på anbefalte konfigurasjonsoppsett på svært mange områder.
 
Noen av de områdene som er mest forespurt for tiden er:
  • Sikker konfigurasjon av «Cloud», herunder både Azure, Amazon og Google
  • Sikkert oppsett av programvare på arbeidstasjoner og OS
  • Sikkert oppsett av servere, både linux og Windows
  • Nettverk: brannmuroppsett og switchoppsett
 
Dersom nevnte punkter er interessante så ikke nøl med å ta kontakt med oss – vi bistår gjerne for en tryggere hverdag for deg og dine brukere i din virksomhet!