It forum 05.06.13 Oppland fylkeskommune beredskaps- og katastrofeplan IKT ved Petter Kolstad
1. Mulighetenes Oppland
Beredskap og katastrofeplan IKT
- trenger vi det?
Petter Kolstad
IKT-leder
Fylkeskommunalt IT-forum i Østfold fylkeskommune 5. juni 2013
2. Mulighetenes Oppland
Mål og rammer
Fagenhet IKT sin beredskaps- og katastrofeplan skal bidra til å sikre
Oppland fylkeskommunes virksomhet ved kriser og ulykker slik at
skadeomfanget minimaliseres, tjenesteproduksjonen opprettholdes så
langt som mulig og fylkeskommunens informasjonsbehov og omdømme
ivaretas.
Klargjøre hvilke trusler som til enhver tid vurderes som de mest risikofylte samt gi føringer for
beredskapsarbeidet.
Fagenhet IKT sin beredskaps- og varslingsplan skal forankres i fylkeskommunens overordnet
beredskaps- og varslingsplan og tas i bruk når virksomheten er i en krisesituasjon og ordinære tiltak
ikke fungerer.
Beredskapsarbeidet skal inkludere skadeforebyggende tiltak som kan bidra til å redusere
sannsynligheten for at en uønsket hendelse oppstår og dermed senke risikoen på området.
Risikovurdering skal bidra til å avdekke hvilke konsekvenser en uønsket hendelse kan få og hvilke
skadebegrensende tiltak som må iverksettes for å avgrense omfanget av den uønskete hendelsen.
Hensynet til liv og helse skal gå foran øvrige hensyn og interesser.
Mandat for krise- og beredskap IKT
3. Mulighetenes Oppland
Definisjon alvorlig driftsavbrudd, krise/katastrofe
Varslingsplan skal medvirke til å ivareta innledende varsling slik at tiltak
kan iverksettes raskest mulig, samt at alle berørte i en situasjon får
raskest og best mulig informasjon. Varslingsplanen skal sikre korrekt
handling hos både ledere og ansatte når uønskede eller uforutsette
hendelser er i ferd med å skje eller har skjedd.
En krise eller katastrofe er en større uheldig hendelse som bringer med
seg problemer som ikke kan løses gjennom ordinær organisering og
handlekraft.
En uønskede eller uforutsett hendelse er en situasjon som kan
som vil kunne føre til fullstendig bortfall av alle IKT-tjenester til
alle brukere/ kunder i en periode på over 24 timer.
Varslingsrutine iverksettes når en uønskede eller uforutsette hendelser
er i ferd med å skje eller har skjedd.
4. Mulighetenes Oppland
Års hjul for beredskapsarbeid i fagenhet IKT
Oppstart/
forberedelser
Oppdatere
beredskaps-
dokumentasjon
Etablere rutiner
og løsninger
Gjennomføre
øvelse
Gjennomgang av
resultat
5. Mulighetenes Oppland
Beredskaps- og katastrofeplan for fagenhet IKT
MP3 Etablere rutiner og løsninger for bruk ved krise og
katastrofe
Etablere kriseledelse og beredskapsorganisasjon
Etablere systemdokumentasjon samling
Etablere sikkert nettsted for krisedokumentasjon
Etablere rutine for SMS varsling og varsling til
beredskapsorganisasjon
Etablere beredskapsløsninger, teknisk
Inngå beredskapsavtaler med systemeleverandører og
samarbeidspartnere
Rutiner og løsninger for krise og katastrofe etablert
MP4 Gjennomføre øvelse
Bestemme scenario for øvelsen
Utarbeide manus og detaljplan for øvelsen
Gjennomfør øvelsen
Utarbeide rapport fra kriseteamet
Evaluering
Rapportering til fylkesrådmannen
Øvelse gjennomført
MP5 Gjennomgang av resultat
Utarbeide rapport med forbedringsforslag
Gjennomgang av rapport med kriseteamet
Planlegge videre arbeid med beredskapsløsninger
Planlegge neste kriseøvelse
Sluttrapport til fylkesrådmannen
Kriseberedskap etablert
6. Mulighetenes Oppland
Faser ved kritisk hendelse med bortfall av IKT-systemer:
1. Grovkartlegging av hendelsen.
2. Etablere midlertidig drift gjennom driftsavbrudd eller krise, ref. prioriteringsliste
3. Gjenopprette berørte systemer til normal drift
Enhetsledere/virksomhetsledere skal sammen med enhetens representanter for
systemeier rangere hvor viktig eller kritisk systemer er i forhold til manglene tilgjengelighet.
Foreta en rangering og prioritering av hvor viktig eller kritisk systemer er i forhold til manglene
tilgjengelighet vurdert i forhold til:
liv og helse
samfunnsviktige funksjoner, tjenesteproduksjon, økonomi
omdømme
Dokumentere SLA krav og prioritet
7. Mulighetenes Oppland
Suksessfaktorer og risikoanalyse, eksempel:
Risikoanalyse 2009
3 Skade eller havari i sentralt maskinrom IKT,
lenger driftsavbrudd på kommunikasjon mot
Eidsiva
- Større skade på maskinrom inntreffer, brann
- Skade på strømkabel/trafo i maskinrom
- Brudd på kommunikasjon mot Eidsiva
bredbånd
- Havari i dagens kjøleanlegg i maskinrom
- Større feilsituasjon eller havari i
maskinrom
- Større feilsituasjon eller havari på viktige
komponenter i maskinparken eller nettverk
1
3
2
4
2
3
5
4
5
5
5
4
5
12
10
20
10
12
God sikring med halonanlegg
Stabil strømsituasjon, nytt inntak
Etablere reserveløsning for
kommunikasjon til Eidsiva
Reserveanlegg må anskaffes
Etablere alternativt driftsted
Kritiske komponenter gjennomgås
mht service/beredskapsavtaler med
leverandør
Etablere rutiner og dokumentasjon
for å reetablere drift
Faktor S K RF Tiltak
8. Mulighetenes Oppland
Tiltak: Risikoanalyse
Risikoanalyse i OFK
UFARLIG EN VISS FARE FARLIG KRISTISK KATASTROFE
Personskade: Ingen Få / små 2+ alvorlige
Døde: 3+
Skadde: 5+ alvorlig
Evakuerte: > 50
Døde: 20+
Skadde: 30+ alvorlig
Evakuerte: > 100
Økonomi: < kr. 0,1 mill < kr. 1 mill. < kr. 10 mill. < kr. 50 mill. > kr 100 mill.
Krit.infr/samf: Ingen Kan skade Driftsstans kortere tid Ute av drift lang tid Permanent
Miljø: Ingen skade Mindre skade Alvorlig skade Omfattende skade Svært alvorlige
Svært sannsynlig
< 1 år
Meget sannsynlig
1 - 5 år
Sannsynlig
5 - 15 år
Mindre sannsynlig
15 - 50 år
Lite sannsynlig
> 50 år
Hendelser med lav risiko Akseptert risiko Normalt ingen tiltak
Hendelser med middels risiko Mindre akseptert Tiltak bør iverksettes (kost/nyttevurdering)
Hendelser med høy risiko Uakseptabel Tiltak MÅ iverksettes
Konskvens
Sannsynlighet
9
16
10. Mulighetenes Oppland
Tiltak:
Anskaffe og etablere tekniske løsninger gjør det mulig
å reetablere avtalte IKT-systemer innen avtalt tid.
Beredskap og katastrofeplan for IKT
13. Mulighetenes Oppland
Plan som iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en krise eller katastrofe
Beredskap og katastrofeplan for IKT
Forord
Definisjon av alvorlig hendelse, krise eller katastrofe innen IKT
Kriseledelse, organisering og ansvar
Varslingsrutine for bruk ved alvorlig driftsavbrudd, krise eller
katastrofe
Handlingsplan og hjelpemidler ved alvorlig driftsavbrudd, krise eller
katastrofe
Risiko og sårbarhetsanalyse, trusselvurdering
Prioriteringsliste ved alvorlig hendelse, krise eller katastrofe innen IKT
Scenarier beskrivelse med tiltaksplan for bruk ved alvorlig
driftsavbrudd, krise eller katastrofe
Struktur og tilgang til beredskapsdokumentasjon
Informasjonsplan for bruk ved alvorlig driftsavbrudd, krise eller
katastrofe
Rapportering av sikkerhetshendelser
Beredskapsøvelser
Forebyggende tiltak for systemer og tjenester
Plan for opplæring
Rutiner og tiltak for revisjon av krise- og beredskapsplaner
14. Mulighetenes Oppland
Diverse nyttig informasjon og kilder
Datatilsynets mal for overordnet beredskapsplan
http://www.datatilsynet.no/Global/04_veiledere/internkontroll/maler_enkeltvis/pdf_filer/2-23_Overordnet_IT_beredskapsplan.pdf
HiST lærehefte om standarder vi må ta hensyn til for å ivareta datasikkerhet
http://aitel.hist.no/fag/sfv/sfv-leksjon02/sfv-ls02-standarder(ITIL).pdf
Difi utredning av standarder for styring av informasjonssikkerhet
http://standard.difi.no/filearchive/rapport-standarder-for-styring-av-informasjonssikkerhet_v08.pdf
ISO 27001 Security: ISO/IEC 27002 Code of practice for information security management
http://www.iso27001security.com/html/27002.html
TISIP/HiST lærestoff om Informasjonssikkerhet og sikkerhetsledelse
http://fagwiki-ish.wikispaces.com/file/view/ISH-policy-ny.pdf
Standarder for informasjonssikkerhet, Rune Ask, IT Risk & Compliance Manager
Det Norske Veritas
http://www.standard.no/Global/PDF/IT/Ask%20-%20ISO%2027000-standarder.pdf
DSB Veileder i kriseplanlegging for kommunens kriseledelse
http://www.dsb.no/Global/Publikasjoner/2003/Tema/veilederkriseplan.pdf