Download   Report
  1. No category

Veileder i planlegging og gjennomføring av IKT-øvelser

Veileder i planlegging og gjennomføring
av IKT-øvelser
Denne veilederen tar for seg hvordan man kan planlegge og gjennomføre øvelser med tema
informasjonssikkerhet. Det forutsettes ikke at leseren har noen forkunnskaper om planlegging og
gjennomføring av øvelser. Dette er første versjon av veilederen og dokumentet vil i praksis fungere
som en høringsutgave fram til mars 2016. Neste utgave vil bli publisert i løpet av april 2016.
Innholdsfortegnelse:
0.
1.
2.
3.
4.
5.
6.
7.
8.
Innledning
Hovedformål med øvelser?
Øvelsesformer
Valg av scenario
Øvelsesdirektiv
Dreiebok
Gjennomføring av øvelsen
Evaluering av øvelsen
Kobling til ledelsessystem
Vedlegg 1: Øvelsesdirektiv (mal)
Vedlegg 2: Øvelsesplanlegging - Sjekklister
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
1
0 Innledning
Denne veilederen er ment som en hjelp til å planlegge og gjennomføre øvelser med tema
informasjonssikkerhet. I dette perspektivet er beredskapsøvelser en aktivitet som er tett knyttet til
både ledelsessystem for informasjonssikkerhet og til arbeidet med virksomhetskontinuitet1.
Veilederen er først og fremst laget for slike virksomheter og fagmiljøer som ikke har tradisjon for å
øve regelmessig og det er derfor ikke noen forutsetning at leseren har forkunnskaper om planlegging
og gjennomføring av øvelser.
For informasjonssikkerhet kan øvelser bidra til å oppfylle flere formål.
 Først og fremst kan øvelser brukes til å evaluere og forbedre virksomhetens sikkerhetstiltak.
 Øvelser bidrar til å evaluere og forbedre virksomhetens beredskapsplan.
 Øvelser kan bidra til kompetanseutvikling for dem som deltar i øvelsen. Når medarbeidere
kjenner til planer og tiltak vil sannsynligheten øke for at virksomheten reagerer som planlagt
på en uønsket hendelse. Dette omfatter kunnskap og ferdigheter på individnivå og evnen til
å samarbeide på operativt og strategisk nivå.
 Arbeidet med å planlegge øvelser kan bidra til å forbedre virksomhetens arbeid med
risikovurderinger fordi planleggingsarbeidet som regel omfatter en gjennomgang av
forløpene til en eller flere uønskede hendelser.
Det er en målsetning at flere virksomheter skal gjennomføre årlige øvelser med tema
informasjonssikkerhet. En viktig målgruppe er derfor de som ikke gjennomfører regelmessige øvelser
i dag. Derfor avgrenses denne veilederen til relativt enkle øvelser, men vektlegger hvordan øvelser
formelt skal planlegges, forankres i virksomhetens ledelse og fungere som en del av ledelsessystem
for informasjonssikkerhet. For at dette skal fungere er det også viktig at planleggingsprosessen
understøtter en evaluering av øvelsen som har nytteverdi i videreutviklingen av ledelsessystemet for
informasjonssikkerhet.
Målsetningen med denne veilederen er at den skal være tilstrekkelig som en første innføring i å
planlegge og gjennomføre øvelser på området informasjonssikkerhet. Begreper og metode som er
beskrevet i denne enkle veilederen er hentet fra dokumenter som er publisert av Direktoratet for
samfunnssikkerhet og beredskap (DSB). Virksomheter som ønsker å delta i større øvelser, eller selv å
planlegge og gjennomføre større øvelser henvises til det kurs- og veiledningsmaterialet DSB har
utviklet2.
Øvelser forutsetter som regel at virksomheten har beredskapsplaner. Dette er i praksis de
sikkerhetstiltak og planer for hendelseshåndtering som er et resultat av at virksomheten har
ledelsessystemer for informasjonssikkerhet og virksomhetskontinuitet. Øvelser vil ofte være planlagt
med tanke på å bruke utvalgte deler av beredskapsplanene, men kan også være planlagt for å øve på
situasjoner hvor det er nødvendig å improvisere for å tilpasse planlagte tiltak og aktiviteter til en
uforutsett hendelse eller situasjon.
1
Ledelsessystem for virksomhetskontinuitet er beskrevet i standarden ISO/IEC 22301 (krav til ledelsessystem
for virksomhetskontinuitet).
2
DSB tilbyr flere relevante kurs gjennom Nasjonalt utdanningssenter for samfunnssikkerhet og beredskap
(NUSB): http://www.dsb.no/nusb
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
2
1
Hovedformål med øvelser
En øvelse har ett eller flere av følgende hovedformål:
 Utvikle og forbedre evnen til kriseledelse (dvs. strategisk nivå).
 Utvikle og forbedre virksomhetens, enhetens eller teamets evne til å iverksette tiltak og løse
problemer (dvs. operativt nivå)
 Utvikle og forbedre enkeltindividers ferdigheter (dvs. individnivå)
 Evaluere og forbedre sikkerhetstiltak
 Evaluere og forbedre beredskapsplaner
Det må understrekes at en øvelse ikke skal være en test av den enkelte deltagers ferdigheter eller
kompetanse. Det overordnede mål med øvelser er å lære. Øvelser skal brukes til å forbedre
ferdigheter og kompetanse, og til å evaluere og forbedre sikkerhetstiltak og beredskapsplaner.
Når formålet med en øvelse er ett eller flere punkter fra listen over blir det en generell beskrivelse,
og det er nødvendig å fastsette et konkret mål for øvelses som planlegges. Dette skal formuleres slik
at det er mulig å evaluere øvelsen. Det vil øke sannsynligheten for at det blir en vellykket øvelse
dersom man begrenser seg til ett mål per øvelse. Dette målet kan igjen deles opp i en kort liste med
læringspunkter. Et læringspunkt er kort forklart et moment det er ønskelig å vektlegge i øvelsen.
En øvelse kan favne over alle faser i håndtering av en uønsket hendelse eller være avgrenset til kun
en eller noen få faser. Med faser menes i denne sammenheng:
 Deteksjon,
 Varsling,
 Respons og
 Gjenoppretting av normal situasjon.
Det er ingen grunn til å gjøre en øvelse mer omfattende enn det som er nødvendig for å nå de på
forhånd definerte læringsmål for øvelsen.
Hvordan deles en uønsket hendelse opp i faser?
Håndtering av uønskede hendelser er et omfattende tema og det finnes en egen standard for ledelse
av informasjonssikkerhetsbrudd3. Det følgende er en kort og uformell beskrivelse til bruk i
planlegging av øvelser av hvordan en uønsket hendelse kan deles opp i seks faser.
1. Opptakt
For mange uønskede hendelser har det vært en forberedende aktivitet før selve hendelsen.
For eksempel kan en trusselaktør ha gjort kartlegging (informasjonsinnsamling) for å finne
sårbarheter eller et flomvarsel kan ha endret risikobildet og indikert behov for høyere
beredskap.
2. En uønsket hendelse inntreffer
Den uønskede hendelsen vil i noen tilfeller være starten på en hendelsesrekke, for eksempel
at et system infiltreres med skadevare som på et senere tidspunkt aktiveres og forårsaker
skade.
3
ISO/IEC 27035 Information Security Incident Management
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
3
3. Oppdagelse av en unormal situasjon
Det er først ved oppdagelse at håndteringen av en mulig hendelse starter. Den første delen
av denne fasen er å identifisere hva slags hendelse som er oppdaget og vurdere
alvorlighetsgraden. Det bør utarbeides et kortfattet situasjonsbilde for å sikre at de som skal
ta beslutninger om den videre håndteringen raskt forstår hva saken gjelder. Virksomheter
bør ha etablert prosedyrer for hva som skal gjøres når en mulig uønsket hendelse oppdages
eller virksomheten mottar varsling fra andre om dette.
4. Varsling
Dersom det besluttes at det skal iverksettes respons, at virksomhetens ledelse skal varsles
eller at andre aktører skal varsles om hendelsen er man over i varslingsfasen. Varigheten av
denne fasen avhenger av hva slags hendelse som er oppdaget, om virksomheten må tilkalle
ekstra ressurser for å starte responsarbeid og om det er nødvendig å etablere kriseledelse.
5. Respons
Umiddelbart etter at det er besluttet å iverksette respons starter responsfasen. Denne har til
formål å få den uønskede hendelsen under kontroll og begrense eventuelle skader.
Responsfasen må også håndtere virksomhetskontinuitet, koordinering med andre aktører i
en krisesituasjon, informasjonsarbeid og mediekontakt. Responsfasen avsluttes når
hendelsen er under kontroll og håndteringen av den uønskede hendelsen er dokumentert,
evaluert og eventuelle forbedringspunkter beskrevet.
6. Eskalering
Dersom det besluttes at virksomhetsledelsen eller f.eks. sektormyndighet skal varsles, eller
at det skal etableres kriseledelse medfører dette gjerne en eskalering. Eskalering kan også bli
besluttet i løpet av responsfasen. Dette er egentlig ikke noen fase ettersom responsarbeidet
fortsetter uavbrutt til hendelsen er under kontroll, men det kan medføre justeringer i
hvordan responsarbeidet organiseres og ledes.
7. Gjenoppretting av normal drift
Selv om håndteringen av den uønskede hendelsen er avsluttet kan virksomheten fremdeles være
hensatt i en ekstraordinær situasjon som krever at en fortsatt må følge opp virksomhetskontinuitet
til en normal driftssituasjon er gjenopprettet. Er den ekstraordinære situasjonen alvorlig så kan det
være behov for å opprettholde en kriseledelse også etter at håndteringen av den uønskede
hendelsen er avsluttet.
2 Øvelsesformer
Det er flere måter å øve på, og valg av øvelsesform avhenger av formålet med øvelsen. Det
kan være hensiktsmessig å starte dette kapittelet med et eksempel på en øvelse.
Eksempel – enkel og avgrenset øvelse
Det følgende er et eksempel på en enkel og avgrenset øvelse med formål å evaluere og forbedre
beredskapsplaner. Målet for denne øvelsen er å verifisere at beredskapsplanens varslingsliste med
kontaktinformasjon er oppdatert. En slik øvelse kan f.eks. ha de to følgende læringspunkter:
1. Er varslingsliste er korrekt og kontaktinformasjon oppdatert?
2. Er personene på varslingslisten informert om sin rolle i virksomhetens beredskapsplaner?
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
4
Denne øvelsen kan gjennomføres ved å bruke virksomhetens eksisterende kontaktliste, få bekreftet
at en har fått kontakt med rette vedkommende og stille spørsmål vedrørende læringspunkt 2 til
personene på denne listen.
Det kan kanskje være fristene å utvide øvelsen med et tredje læringspunkt:
3. Ble varslingen gjennomført innenfor virksomhetens tidskrav for varsling?
Læringspunkt 3 er valgt i beste hensikt og vil sannsynligvis bidra til å forbedre
beredskapsplanene, men det er strengt tatt utenfor målet som er fastsatt for øvelsen. En
ulempe det nye læringspunktet kan medføre er at vektlegging på å nå et tidskrav kan gå på
bekostning av læringspunkt 1 og 2.
Øvelsesformer
Det er mange måter å gjennomføre øvelser på. Noen fagområder har i større grad tilpasset
øvelsesformene til sine egne utfordringer og ferdighetskrav enn andre fagområder. Denne veilederen
er først og fremst laget for slike virksomheter og fagmiljøer som ikke har tradisjon for å øve
regelmessig og tar derfor sikte på å beskrive noen forskjellige øvelsesformer på et overordnet nivå.
Det kan være hensiktsmessig å dele øvelsesformer inn i tre hovedkategorier:
 Diskusjonsøvelser
 Spilløvelser
 Fullskala øvelser
Det er en glidende overgang mellom disse øvelsesformene, og en større øvelse kan gjerne settes
sammen av flere deler som bruker forskjellige øvelsesform.
Diskusjonsøvelser
Den enkleste formen for øvelse kan gjennomføres som en diskusjon i en gruppe med
øvelsesdeltagere. Deltagerne får en eller flere oppgaver. En oppgave kan være å sammenstille, drøfte
og vurdere opplysninger i tilknytning til en uønsket hendelse, hvor gruppen skal komme fram til et
situasjonsbilde. En annen oppgave kan være å velge mulige tiltak som respons på dette
situasjonsbildet. Når en diskusjonsøvelse er satt sammen av flere oppgaver som følger en tidslinje så
er øvelsen som regel planlagt med en dreiebok4.
Diskusjonsøvelser er godt egnet til avgrensede øvelser med øvelsesformål som:
 Strategisk ledelse,
 Problemløsing og beslutningsprosesser på operativt nivå, og
 Evaluering og forbedring av beredskapsplaner.
Dersom øvelsen skal ha mange deltagere bør de deles inn i mindre grupper som diskuterer hver for
seg, og det bør settes av tid slik at øvelsen kan diskuteres i plenum. Det er mulig å dele inn slike
grupper etter for eksempel organisasjons- eller sektortilhørighet, men hensynet til øvelsers
læringsformål kan også tale for å vektlegge andre faktorer når en planlegger hvordan
øvelsesdeltagere skal deles inn i grupper.
4
Begrepet dreiebok blir forklart i kapittel 4
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
5
Øvelsesledelsens oppgaver under selve diskusjonsøvelsen er å:
 Orientere om scenarioet,
 Presentere problemstillingen(e) som skal diskuteres,
 Svare på spørsmål og følge opp diskusjonsgruppene underveis.
Når diskusjonsøvelsen er satt sammen av flere deler som følger en tidslinje er det øvelsesledelsens
oppgave å sikre fremdriften.
Spilløvelser
Det som skiller en spilløvelse fra en diskusjonsøvelse er at de enkelte innspill fra øvelsesledelsen kan
tilpasses de beslutninger øvelsesdeltagerne har tatt så langt. I en spilløvelse kan også
øvelsesdeltagere eller grupper av øvelsesdeltagere kommunisere direkte for å innhente informasjon
og iverksette beslutninger.
Spilløvelser kan brukes til å øve samspillet mellom forskjellige enheter i en virksomhet, og de kan
brukes til å øve samspillet mellom flere virksomheter. Et eksempel kan være en øvelse hvor en
virksomhet øver sammen med en eller flere tjenesteleverandører på håndtering av en uønsket
hendelse.
Øvelsesledelsen får flere oppgaver i en spilløvelse. Det er hensiktsmessig å dele øvelsesledelsen i
flere grupper. En gruppe har ansvaret for at øvelsen følger dreieboka og beslutter hvilke innspill som
skal brukes og når de skal spilles inn. Et innspill kan være en opplysning om en hendelse, en oppgave
eller en avklaring av en problemstilling. Et innspill kan sendes til en enkelt øvelsesdeltager eller
gruppe, til et utvalg av øvelsesdeltagerne eller til samtlige.
For spilløvelser er det viktig å ha en godt forberedt dreiebok. Denne beskriver tidslinjen i øvelsen og
inneholder alle planlagte innspill. De som deltar i øvelsen kjenner kun scenarioet, ikke innholdet i
dreieboka. Øvelsesledelsen skal ha god kjennskap til dreieboka, og kan tilpasse innspillene underveis
i forhold til fremdriften i øvelsen.
Om nødvendig kan en annen gruppe av øvelsesledelsen simulere virksomheter eller myndigheter
som ikke deltar i øvelsen. Det er viktig at den enkelte som deltar i denne gruppen har tilstrekkelig
kunnskap om den virksomheten eller myndigheten hun eller han skal representere til å spille den
tildelte rollen. For større øvelser kan det være en mulig løsning å be virksomheten eller myndigheten
det gjelder å delta, for eksempel ved at en ansatt deltar i denne delen av øvelsesledelsen.
Fullskala øvelser
Det som kalles fullskala øvelser i denne veilederen tilsvarer det som i andre sammenhenger kalles
feltøvelser. En fullskala øvelse er en spilløvelse hvor de som deltar bruker det tekniske utstyret og
utfører de oppgaver som skal utføres under en virkelig hendelse. Slike øvelser kan gjennomføres for å
sjekke at beredskapstiltak lar seg gjennomføre i praksis og kan iverksettes i løpet av forventet tid, og
at utstyret som skal brukes virker.
En fullskalaøvelse kan være enkel og avgrenset. Eksempelet i starten av dette kapittelet er etter den
definisjonen vi har valgt en fullskalaøvelse. Skal vi gi øvelsen i eksempelet en mer presist navn så kan
vi kalle den en varslingsøvelse.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
6
Fullskala øvelser kan utløse behov for at beredskapsutstyr må vedlikeholdes og medfører en risiko for
at beredskapsutstyr blir skadet. Dersom man gjennomfører en fullskala øvelse i forbindelse med at
beredskapsutstyr skal kontrolleres og vedlikeholdes kan dette være en måte å begrense kostnaden
ved denne typen øvelser.
I noen tilfeller vil fullskala øvelser føre til at det oppstår behov for overtidsarbeid som må avklares og
forhandles før øvelsen. Høyere kostnader ved å gjennomføre fullskala øvelser understreker at denne
øvelsesformen bør begrenses til de tilfeller hvor øvelsesmål og læringspunkter gjør det nødvendig.
Kombinerte øvelsesformer
For mindre øvelser kan det være hensiktsmessig at kun noen momenter i en øvelse gjennomføres
som fullskala. Dette kan for eksempel være å gjennomføre et enkelt tiltak som å etablere
arbeidsplasser på en midlertidig lokasjon, å utarbeide teksten i vedtak som må iverksettes raskt eller
å lage pressemeldinger og gjennomføre intervjuer med journalister. I slike tilfeller blir utfordringen
tidsbruk, og den helhetlige øvelsen må planlegges slik at fullskala øvingsmomenter for noen av
deltagerne ikke blir dødtid for de andre deltagerne.
Vær oppmerksom på at planlagte hendelser som for eksempel vedlikehold, oppgradering eller
utskifting av utstyr og lignende som vil påvirke virksomhetens regulære drift i mange tilfeller kan
utnyttes til å gjennomføre en øvelse. På denne måten vil en del av kostnaden ved å gjennomføre
øvelsen dekkes av den planlagte hendelsen.
Øvelsers omfang
Øvelser varierer i omfang: fra små, korte øvelser til store, ressurskrevende øvelser som involverer
mange mennesker. Noen øvelser handler om en sikkerhetstruende hendelse eller en uønsket
hendelse med begrenset omfang, andre er krise- eller katastrofeøvelser hvor virksomhetens
kjerneoppgaver er truet. Noen øvelser er rettet mot å avverge eller håndtere en uønsket hendelse,
og andre øvelser vektlegger å opprettholde virksomhetskontinuitet over et lengre tidsrom.
Diskusjonsøvelser er gjerne små og avgrensede. Små spilløvelser kan være like kortvarige som en
diskusjonsøvelse, men store spilløvelser kan pågå i flere dager. Det samme gjelder omfanget til
fullskala øvelser. Kombinerte øvelser kan i noen tilfeller brytes opp i flere selvstendige deler som
gjennomføres hver for seg.
3 Valg av scenario
For å lage en god øvelse er man avhengig av å ha et godt scenario. Scenarioet må være tilpasset
øvelsesmålet som er fastsatt. Viktige spørsmål å ta med i vurdering og valg av scenario er:
 Er det relevant for virksomheten og troverdig for dem som skal øve?
 Er det egnet til å oppnå øvelsens formål?
 Blir omfanget riktig med tanke på øvelsesmål og ressursbruk?
Scenarioet er utgangspunktet for øvelsesplanleggingen og scenarioet vil ofte være den eneste
informasjonen deltagere har fått vite før øvelsen starter. Derfor er scenarioet gjerne den viktigste
forutsetningen for hvordan øvelsen vil forløpe.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
7
Scenario må være relevant
Scenarioet må være relevant for virksomheten, og for de som skal øve må det også være troverdig. Et
relevant og troverdig scenario bidrar til å motivere deltakerne for øvelsen. Det gir større sjanse for at
deltakerne får utbytte av øvelsen og føler at den er nyttig.
Det er naturlig å ta utgangspunkt i virksomhetens risikovurderinger, da de vil være et godt sted å se
etter aktuelle scenarioer. Der vil man finne hendelser som det har vært vurdert risiko for, sortert fra
høy til lav risiko. En kan se etter spesifikke hendelser som virksomheten er opptatt av, eller en kan se
etter typer hendelser som er relevante. Man kan også se på hendelser i «beredskapshjørnet» av en
typisk risikomatrise — dvs. hendelser med potensielt store konsekvenser som det er lav
sannsynlighet for at skal inntreffe i nærmeste fremtid.
Dersom det er en bestemt enhet eller del av virksomheten som skal øve bør en selvfølgelig se på
risikovurderinger relatert til denne delen av virksomheten, f.eks. vurderinger tilknyttet
arbeidsoppgaver som utføres og informasjonssystemer som benyttes.
Dersom man ser nærmere på risikohåndteringen i etterkant av risikovurderingene vil man finne
sikkerhetstiltakene som virksomheten har etablert for de aktuelle risikoene. Her kan man finne
spesifikke sikkerhetstiltak som man ønsker å ha med i øvelsen.
Dersom dokumenterte risikovurderinger ikke er tilgjengelig kan en benytte andre måter for å finne ut
av hva de som skal øve er opptatt av — og «bekymret for». En kan f.eks. intervjue nøkkelpersoner
som kjenner virksomheten og oppgavene godt.
Andre kilder for scenarioer er øvelser andre virksomheter har gjennomført, reelle hendelser andre
virksomheter i sektoren eller lokale virksomheter har opplevd. Det kan være lurt å spørre et variert
utvalg mennesker både i og utenfor egen virksomhet om scenarioskisser eller idéer. Husk at det vi er
på jakt etter til øvelser ikke er det første og beste innfallet folk får. Vi skal helst øve på slike
situasjoner som ikke hender så ofte, og som ikke oppfattes som enkle å håndtere for de som skal øve.
Det vil være tilfeller hvor scenario for en øvelse ikke er noe virksomhetens risikovurderinger og
beredskapsplanlegging har vurdert tidligere, men scenarioet kan likevel være relevant. Øvelser med
slike scenarioer vil gjerne utfordre evnen til å improvisere og tilpasse eksisterende beredskapsplaner.
De som planlegger øvelsen må ha tilstrekkelig kjennskap til virksomheten til å kunne gjøre gode
vurderinger når et scenario skal bearbeides og tilpasses.
Øvelsens omfang gir føringer for scenarioets lengde
Øvelsens omfang og alvorlighetsgrad på hendelser må være med i vurderingene når en velger hvor
detaljert et scenario skal skrives ut. En annen faktor som påvirker lengden på scenarioet som skal
brukes i en øvelse er en vurdering av grensen mellom hva som skal skrives ut i den scenarioteksten
som øvelsesdeltagerne får lese før øvelsen starter og hva som kan utnyttes i en dreiebok. Et godt
scenario for en øvelse er kortfattet, men må gi deltagerne tilstrekkelig informasjon til å forstå
innspillene som vil komme fra dreieboken.
Det skader ikke om scenarioet blir litt for omfattende i et tidlig utkast. Det som redigeres bort når
den endelige versjonen av scenarioet skrives kan kanskje brukes i dreieboken.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
8
Scenariobank
En samling med scenariobeskrivelser kan vi kalle en scenariobank. En virksomhet kan bygge opp sin
egen scenariobank, og en kan bruke en ekstern scenariobank satt sammen av noen andre.
I en stor virksomhet, hvor planlegging og gjennomføring av øvelser er distribuert rundt i
organisasjonen, kan en vedlikeholde en sentral scenariobank som hjelp og støtte til de som skal
planlegge øvelser. En scenariobank behøver ikke være veldig stor og omfattende, og en liten
virksomhet kan selvfølgelig også ha god nytte av å bruke en scenariobank.
DSB vedlikeholder «Nasjonalt risikobilde». Det er en rapport som inneholder alvorlige hendelser som
det norske samfunnet bør være forberedt på å møte. Noen av disse scenarioene er «cyber»scenarioer, og kan benyttes som inspirasjon til øvelser i en virksomhet.
Dersom man henter scenario fra eksterne scenariobanker må en vurdere:
 Relevans,
 Omfang og
 Øvelsens formål.
Et scenario som velges fra en scenariobank må tilpasses den planlagte øvelsens formål, øvelsesmål,
øvelsesform og omfang.
4 Øvelsesdirektiv
Øvelsesdirektivet er det overordnede dokumentet som beskriver øvelsen, som gir mandat og
budsjettramme for planlegging og gjennomføring av øvelses, og som inneholder de administrative
bestemmelser for gjennomføring av øvelsen.
Øvelsesdirektivet er dermed styringsdokument for øvelsen, og skal på en klar og tydelig måte
beskrive hvordan både deltagere og utenforstående skal skille mellom øvelse og virkelighet.
Direktivet skal være kjent for deltagerne i forkant av øvelsen. Det er en fordel å ha denne
informasjonen i ett dokument, men utfyllende informasjon kan gjerne legges egne dokumenter.
Vedlegg 1 til denne veilederen er et forslag til mal for øvelsesdirektiv som kan brukes til den typen
øvelser denne veiledningen er rettet mot.
Øvelsesdirektivets fire deler
Forslaget til mal for øvelsesdirektiv er delt inn i fire hoveddeler:
 Informasjon om øvelsen,
 Organisering av øvelsen,
 Økonomi og
 Logistikk.
Normalt vil et første utkast av direktivet ligge til grunn for å forankre øvelsen hos virksomhetens
ledelse og få godkjent et budsjett og ressursbruk. Under planleggingen av øvelsen vil
øvelsesdirektivet utvikles til en endelig versjon som godkjennes og distribueres før øvelsen
gjennomføres.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
9
Hvor omfattende og detaljert et øvelsesdirektiv blir avhenger av den aktuelle øvelse. En enkel
diskusjonsøvelse kan beskrives ganske kort, selv om det forberedende arbeidet til selv enkle øvelser
ikke bør undervurderes.
Et viktig punkt i øvelsesdirektivet er beskrivelsen av øvelsesmål og læringspunkter, for dette vil være
det sentrale temaet når øvelsen skal evalueres. Øvingsmål og læringspunkter vil som regel være
kjernen i koblingen mellom øvelsesaktivitet og ledelsessystem for informasjonssikkerhet.
5 Dreiebok
Dreieboken er øvelsens manus og er som regel laget som en opplisting av innspill5 som følger
øvelsens tidslinje. Hvert enkelt innspill er beskrevet og om nødvendig supplert med anførsler om
hvilke utfordringer innspillene skal fokusere på og eventuelle suksesskriterier for at innspillets
utfordringer kan regnes som fullført. I dreieboken er hvert innspill nummerert og tidspunkt for når
det skal spilles inn til deltagerne er angitt. Dette gir øvingsleder god og rask oversikt over øvelsens
fremdrift.
Hvert av de nummererte innspill beskriver:
 Hvilken hendelse som spilles inn,
 Hvilket tidspunkt hendelsen skal spilles inn,
 Hvem i øvelsesledelsen som er ansvarlig for innspillet,
 Hvilke øvingsdeltagere informasjonen skal spilles inn til,
 Ønsket fokus fra øvelsesledelsen og
 Forventet reaksjon fra øvelsesdeltagerne.
Arbeidet med dreiebok starter gjerne med å utvikle en tidslinje hvor løst formulerte innspill kan
plasseres og flyttes etter hvert som beskrivelsene utvikles og de settes i sammenheng med nye
innspill. Innspill kan være rettet til samtlige deltagere i øvelsen eller til noen få deltagere. En praktisk
løsning for å beholde oversikten i startfasen av arbeidet med dreiebok er å tegne flere parallelle
tidslinjer slik at en har en linje for hver interessegruppe, virksomhet eller fagmiljø som skal delta i
øvelsen.
For at dreieboken skal fungere som et redskap for øvelsesledelsen, må forventet respons fra
øvelsesdeltagerne og supplerende spørsmål til hvert innspill diskuteres under planleggingen. Videre
beskrives hva som er ønsket respons fra øvelsesdeltagerne, både de kortsiktige og langsiktige
beslutninger, tiltak og prioriteringer. Planleggingsgruppen må også vurdere hvor lang tid man skal
forvente at øvelsesdeltagerne bruker på hvert enkelt innspill. Etter hvert som innspillene utvikles og
vurderes må man vurdere hvor mange innspill det er realistisk å vente at kan få plass innenfor
øvelsens tidsramme.
For at dreieboken skal være troverdig er det viktig at den er korrekt med hensyn til fakta. Øvelser tar
gjerne for seg hypotetiske hendelser, men bør ikke basere seg på alternative virkeligheter.
Unngå å legge inn elementer som krever at øvelsesdeltagere beslutter spesielle tiltak eller at
framdrift i øvelsen avhenger av at øvingsdeltagerne ikke kommer fram til den rette responsen
5
Et innspill er en hendelse, et spørsmål eller en oppgave som spilles inn fra øvingsledelsen til en eller flere
deltagere.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
10
Utviklingen av dreieboken krever gjerne at planleggingsgruppen gjennomgår flere alternative
tilnærminger for å håndtere en hendelse. Prosessen med å utvikle en dreiebok kan derfor være en
god læringsprosess og resultere i at virksomhetens risikovurderinger og planer for risikohåndtering
forbedres.
For diskusjonsøvelser blir dreieboken som regel meget kort når det gjelder antall innspill. I noen
tilfeller vil det kun være ett innspill som skal starte diskusjonen. Dreiebok er likevel viktig også for
diskusjonsøvelser ettersom dreieboken skal inneholde slik informasjon øvingsleder kan bruke for å
hjelpe deltagerne dersom diskusjonen stopper opp eller sporer av.
Dreiebokens innhold
Dreieboken kan utarbeides som en tabell som dette:
Innspill
nr
Tid Hendelse
Mottager(e)
av innspill
Fokus/
Tiltak/
suksesskriterier spørsmål/
forventet reaksjon
Ansvar
innspill
Øvelsesleder skal ved behov stille deltagerne spørsmål som skal lede dem inn på deres roller og
ansvar, og hvilke beslutninger som de ønsker å ta ut ifra det. Disse spørsmålene bør stå i dreieboken,
slik at øvelsesleder umiddelbart kan sette fokus på riktig tema
Ikke bli bekymret dersom øvelsesdeltagerne er stille i noen minutter. Går det likevel mer enn noen få
minutter, bruk fokuspunktene i dreieboken til å få fart på diskusjonen.
6 Gjennomføring av øvelsen
Det kan være hensiktsmessig å dele opp gjennomføringen av en øvelse i to faser. Den første fasen er
å forberede de som skal delta i øvelsen. Den neste fasen er gjennomføringen av selve øvelsen og
denne fasen avsluttes med at deltagerne gir tilbakemelding for evaluering av øvelsen6.
Forberedende fase
Det er viktig at deltagerne er kjent med scenarioet for øvelsen, og det er viktig at de kjenner de
administrative bestemmelsene. Øvelsen må også være kjent for andre i virksomheten slik at den ikke
forstyrrer virksomhetens normale aktivitet. Kommunikasjon innad i øvelsen må heller ikke bli
oppfattet som virkelige hendelser av utenforstående.
I forkant av en øvelse kan deltagerne ha et godt faglig utbytte av et forberedende øvelsesseminar.
Dette vil være et tiltak for å bedre kompetansen på problemstillinger knyttet til det valgte scenarioet
for øvelsen. Øvelsesseminaret kan også omfatte en gjennomgang av verktøy som brukes ved
krisehåndtering. Det er også en måte å motivere deltagerne til å forberede seg til den rollen de skal
ha i øvelsen. Et øvelsesseminar bør gjennomføres en stund før selve øvelsen og ikke umiddelbart før
øvelsen starter. Da får deltagerne tid til å forberede seg med den nye informasjon de har fått på
øvelsesseminaret.
6
Se kapittel 7
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
11
Selve øvelsen
Gjennomføring av selve øvelsen krever at logistikken er i orden og at øvelsesledelsen er godt
forberedt. Det kan være nyttig for øvelsesledelsen å ha en gjennomgang av dreiebok dagen før
øvelsen skal starte. Når øvelsen er basert på en dreiebok med tidslinje er det viktig at øvelsesledelsen
har en plan for å sikre fremdrift under øvelsen.
For spilløvelser må øvelsesledelsen være forberedt på at enkelte responser fra deltagere kan lede
vekk fra de alternativer for fremdrift som dekkes av dreieboken. Uansett hvor interessant og
innovativ en respons er må øvelsesledelsen være forberedt på å tilpasse nye innspill slik at øvelsen
ikke sporer av. Øvingsdeltagere skal ikke spille inn egne hendelser i øvelsen ut over beslutninger som
tas eller tiltak som iverksettes i egenskap av den rollen de har i øvelsen og de ressurser denne rollen
råder over.
7 Evaluering av øvelsen
Det er viktig å evaluere øvelsen når den er gjennomført. Planlegging av måling og evaluering av
øvelsen er en del av den planleggingen som gjøres før øvelsen gjennomføres. Målet med
evalueringen er å dokumentere om øvelsen har hatt den ønskede effekt.
Evalueringen skal først og fremst gi grunnlag for å vurdere øvelsen opp mot øvingsmålet og
læringspunktene. Den skal også avdekke erfaring og forslag til forbedringer i kompetanse,
sikkerhetstiltak og beredskapsplaner. Dette kan brukes videre i forbedringsaktiviteter7. Evalueringen
skal også brukes til å forbedre planlegging og gjennomføring av fremtidige øvelser.
Det kan være hensiktsmessig å gjennomføre evalueringen i to deler. Først be om muntlige
tilbakemeldinger fra deltagerne umiddelbart etter at øvelsen er gjennomført. Deretter ved å bruke et
skjema med spørsmål for å sikre at flest mulig gir tilbakemelding om øvingsmålet og
læringspunktene.
Evalueringen av den enkelte øvelse skal sammenstilles med målene og rammene i øvelsesdirektivet.
Det bør vektlegges om tilbakemeldingene fra deltagerne avdekker at læringspunktene er oppfylt. Det
bør også komme tydelig fram om øvelsen har avdekket opplysninger om kan brukes til å forbedre
beredskapsplaner, sikkerhetstiltak, risikovurderinger og annen informasjon som kan brukes til
forbedring av ledelsessystemene for informasjonssikkerhet og virksomhetskontinuitet.
8 Kobling til ledelsessystem
Planlegging og gjennomføring av øvelser skjer ikke i et vakuum, men er aktiviteter som henger
sammen med andre prosesser og aktiviteter i virksomheten.
Det er to andre områder innen en virksomhets internkontroll som er spesielt relevante i forbindelse
med IKT-beredskapsøvelser:
 Ledelse av informasjonssikkerhet
 Ledelse av virksomhetskontinuitet
7
Kontinuerlig forbedring i ledelsessystemene for informasjonssikkerhet og for virksomhetskontinuitet, jf.
Internkontrollveileder.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
12
Internasjonale standarder som er vanlig å bruke for disse områdene er ISO/IEC 27001 og ISO 22301.
En virksomhet bør ha et integrert og helhetlig ledelsessystem. Dette er noe som bl.a.
eForvaltningsforskriften §15 anbefaler. I et helhetlig system ses forskjellige områder i sammenheng,
og en benytter felles prosesser for ledelse av flere områder der dette er effektivt og hensiktsmessig.
Vi vil her kort redegjøre for to steder hvor det vil være naturlig å se beredskapsøvelser i sammenheng
med andre ledelsesprosesser:


Risikovurderinger
Kontinuerlig forbedring
Risikovurderinger
I forbindelse med virksomhetskontinuitetsledelse gjøres det risikovurderinger relatert til hendelser
som kan føre til kontinuitetsutfordringer for virksomheten. I forbindelse med
informasjonssikkerhetsledelse gjøres det risikovurderinger relatert til hendelser som kan påvirke
informasjonssikkerheten.
Resultater fra begge disse typene vurderinger kan benyttes i forbindelse med planlegging av øvelser,
og bidra til at øvingsscenarioer er gode og relevante for virksomheten og de som skal øve.
I planleggingen av en øvelse vil man bearbeide informasjon og vurderinger fra risikovurderinger, og
man kan avdekke behov for bedre eller grundigere risikovurderinger. Dette kan føre til at det settes i
gang nye risikovurderingsaktiviteter, og informasjon fra øvelsesplanlegging kan benyttes i disse8.
Kontinuerlig forbedring
Et viktig element i internkontroll er kontinuerlig forbedring. Dette vektlegges i begge de tidligere
nevnte ISO-standardene — og i grunn alle standarder for ledelsessystemer fra ISO. Virksomheten
benytter informasjon fra evalueringer, målinger, resultat fra revisjoner og læring etter hendelser til å
forbedre internkontrollen.
Som en del av risikohåndtering i etterkant av risikovurderinger har virksomheten etablert diverse
sikkerhetstiltak. Det er som regel disse tiltakene man øver på.
Beredskapsøvelser er godt egnet som kilde til informasjon om svakheter, feil, behov for utbedringer,
og ting som kan gjøres bedre eller mer effektivt. I tillegg til læringen som den enkelte som deltar i en
øvelse opplever vil god og systematisk evaluering i etterkant av øvelser kunne avdekke
forbedringsmuligheter i flere elementer av internkontrollen: prosedyrer, roller og ansvar, og
sikkerhetstiltak9.
8
9
Se kapittel 3 om valg av scenarioer for øvelser
Se kapittel 7 om evaluering av øvelser.
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
13
Direktoratet for
forvaltning og IKT (Difi)
infosikkerhet.difi.no
[email protected]
14
Fysiske krav for lærlinger i ambulansefaget i Helse Midt

Fysiske krav for lærlinger i ambulansefaget i Helse Midt

Informasjonssikkerhet i offentlig sektor Hvor står vi og hvor går vi?

Informasjonssikkerhet i offentlig sektor Hvor står vi og hvor går vi?

Pedagogisk sol for tilrettelegger

Pedagogisk sol for tilrettelegger

Helsekoppen for tilretteleggere

Helsekoppen for tilretteleggere

Nyhetsbrev fra seksjon for informasjonssikkerhet

Nyhetsbrev fra seksjon for informasjonssikkerhet

Måling av farten til en luftgeværkule

Måling av farten til en luftgeværkule

Matte - Sportsmaster

Matte - Sportsmaster

Hvordan komme i gang med leverandøraktivering ved bruk av

Hvordan komme i gang med leverandøraktivering ved bruk av

Månedsinformasjon AUGUST og SEPTEMBER 2015

Månedsinformasjon AUGUST og SEPTEMBER 2015

Fysiske krav for opptak til Grenader Våren 2015

Fysiske krav for opptak til Grenader Våren 2015

abcdocz.com

© Copyright 2024