Praktisk bruk og innføring av OLF104 - Ifea

Praktisk bruk og innføring av
OLF104
1 - Classification: Internal 2010-04-23

Innhold
• Bakgrunn
• Implementering
− Tekniske krav
− Retningslinjer/anbefalinger
− Arbeidsprosesser
• Kompetanse
• Fundament
2 - Classification: Internal 2011-10-04

OLF104 – Bakgrunn og historikk
• OLF er en interesse- og arbeidsgiverorganisasjon for oljeselskaper og
leverandørbedrifter knyttet til utforsking og produksjon av olje og gass på norsk
kontinentalsokkel.
• OLF104 (Startet i 2004-2005, Godkjent utgave 8.12.2006, Rev. 01 1.4.2007)
Anbefalte retningslinjer og krav til informasjonssikkerhetsnivå i IKT-baserte
prosesskontroll-, sikkerhets- og støttesystemer
• Målet:
− Målet for retningslinjen er å forbedre informasjonssikkerheten i den havbaserte industrien og
derigjennom forbedre driftssikkerhet og regularitet på norsk sokkel.
• Status i forhold til myndighetene:
− Dette er ikke myndighetspålagte krav. Likevel har både Oljedirektoratet (OD) og Petroleumstilsynet
(Ptil) hatt deltakere i arbeidsgruppen som utarbeidet dette dokumentet.
3 - Classification: Internal 2011-10-04

OLF104
Krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets og
støttesystemer
16 krav (Information Security Baseline Requirement – ISBR)
1. En informasjonssikkerhetspolicy for IKT-baserte prosesskontroll-, sikkerhetsog
støttesystemer skal dokumenteres.
2. Risikovurderinger skal gjennomføres for IKT-baserte prosesskontroll-,
sikkerhets og støttesystemer og produksjonsnettverk.
3. Det skal utpekes system- og dataeiere for IKT-baserte prosesskontroll-,
sikkerhets- og støttesystemer.
…
4 - Classification: Internal 2011-10-04

Implementasjon i Statoil
• Prosesseiere
− Prosesseiere arbeider på tvers av organisasjonen og sikrer at vi oppnår
kvalitet og høy standard på arbeidsprosessene.
− Prosesseierens rolle handler om å fange opp beste praksis og erfaringer og
innarbeide dette i vårt globale arbeidsprosesser.
5 - Classification: Internal 2010-04-23

Rammeverk for styrende dokumentasjon
• Benytter eksisterende rammeverk for styrende dokumentasjon
− Arbeidsprosesser
• Drift og vedlikehold (OM)
− Krav & retningslinjer
• Technical Requirements (TR)
− TR1658 - Technical Network and Security of Automation Systems
• Guidelines (GL)
− Organisasjon
− GL1658 - Technical Network Architecture
• Organisation, management and control (OMC)
− OMC01 - Development and production Norway (DPN)
− OMC02 - Development and production international (DPI)
− …
6 - Classification: Internal 2010-04-23

Technical Requirements (TR1658)
• ISBR 4: Nettverksinfrastrukturen skal være i stand til å kunne segregeres, og alle
kommunikasjonskanaler skal være kontrollert.
− IKT-infrastrukturen må kunne isolere nettverk, slik at IKT-systemer med forskjellig sikkerhetsnivå, sanntidssystemer
som krever en garantert nettverksytelse, eller spesielt sensitive systemer kan installeres i separate, atskilte nettverk.
• TR1658 (2.4.2.1 Network segregation)
− Network segregation shall be based on the following criteria:
7 - Classification: Internal 2010-04-23
• Criticality of the system
• Different vulnerabilities (e.g. systems which are not able to run an updated virus scan/Security patches regime
are more vulnerable and shall be considered for a separate network segment)
• Confidentiality reasons (e.g. avoid running systems from competitors on the same network segment)
• Discipline (Telecom, Automation, Drilling, ,….)
• Separate network for test systems and systems not yet in production
− All communication between systems on different segments shall be controlled through a firewall.
− All segments on the technical network shall be self-contained, i.e. continue to operate the systems’ primary
functionality if communication across network segments or to the office network fails.

Automation systems
Guidelines
Technical Network Architecture (GL1658)
• Shared equipment for the Technical Network
− Network availability for Moderate Criticality systems should be provided by shared managed LAN equipment utilizing
VLAN technology. The VLAN should be implemented using dedicated switches for the Technical Network, not
shared with the office network.
− …
• Segregation recommendations
Plant information systems
Instrumented systems
Safety and Automation System
SIS
Safety Instrumented System
Control Class 3
Control Class 1
High
Integrity
Protection
System
SAS network
Office network
Technical network
Fire & Gas
detection
System
Field instrumentation
Alarm
Management
Emergency
ShutDown
System
Secure Access
Solution
Critical Action
Panel
Information
Management System
Plant Historian
Process
ShutDown
System
Condition
Monitoring
Operator
Station
Process Control System
Control Class 1
8 - Classification: Internal 2010-04-23
Large Screen
Display
Basic Process
Control System
Integrated
Operaton Suite
Field device
Management
Engineering
Work Station
Power
Distribution
Control System
Life-Cylce
Simulator
Information
Management System
Plant Historian
Subsea
Control Unit
Subsea
Production
Control System
SAS
Gateway
Marine
Systems
Contr class 1
PCS
Control Class 2
Advanced
Process
Control
Gas Turbine
Control
System
Engineering
Monitoring
Station
Logic
Solver
Vibration
Protection &
Diagnostic
System
Engineering
Monitoring
Station
Logic
Solver
Marine
Systems
Contr Class 2
Engineering
Monitoring
Station
Logic
Solver
Fiscal
Metering
System
Human
Machine
Interface
Logic
Solver
Instrumented
Monitoring
Systems
Human
Machine
Interface
Logic
Solver
PCS
Control class 3
Drilling
Control
System
Engineering
Monitoring
Station
Logic
Solver
Pedestal
cranes
Control
System
Human
Machine
Interface
Logic
Solver
Telecom
Systems
Human
Machine
Interface
Data logger
O f f i c e N e t t w o r k
T e c h n i c a l N e t w o r k
Z o n e 1 Z o n e 2
D M Z f o r T e c h n i c a l N e t w o r k
Z o n e 1 Z o n e 2 Z o n e 3
S e g r e g a t e d T e c h n i c a l N e t w o r k
M e d i u m C r i t i c a l i t y
Z o n e 4
Z o n e 1 Z o n e 2 Z o n e 3
Z o n e 1 Z o n e 2 Z o n e 3
S e g r e g a t e d T e c h n i c a l N e t w o r k
H i g h C r i t i c a l i t y
S e g r e g a t e d T e c h n i c a l N e t w o r k
V e r y H i g h C r i t i c a l i t y

Organisation, management and control (OMC)
• ISBR 3: Det skal utpekes system- og dataeiere for IKT-baserte prosesskontroll-,
sikkerhets- og støttesystemer.
OMC01 - Development and production Norway (DPN)
Teknisk Systemansvar
69 – Distributed control
9 - Classification: Internal 2010-04-23
Ola Normann

Arbeidsprosesser
• ISBR 2: Risikovurderinger skal gjennomføres for IKT-baserte prosesskontroll-,
sikkerhets og støttesystemer og produksjonsnettverk.
• Arbeidsprosesser:
− PD03.70.02no - Utarbeide endringsunderlag for sikkerhets- og automasjons-system
− OM01.08.02.01no - Sjekke IKT-utstyr for virus før tilkobling til teknisk nett
− OM01.08.02.02no - Håndtere mistanke om virus/uønsket hendelse i teknisk nett
Vurdere behov for tilkobling til teknisk nett
Følgende punkter må som minimum vurderes før tilkobling til teknisk nett:
- Foreligger det forhåndsgodkjenning av utstyr fra prosjekt etc?
- Kan selskapets minnepenn etc. benyttes?
- Finnes godkjent virusprogram på utstyret?
- Finnes det permanent tilkoblet IKT-utstyr på anlegget som kan benyttes?
- Finnes det bærbart IKT-utstyr på anlegget som kan benyttes?
10 - Classification: Internal 2010-04-23

Implementasjon / Kompetanse
• Arbeidsprosess
• Krav
− Integrasjonen mellom Statoil og Hydro Olje og Gass medførte en
harmonisering og innføring av arbeidsprosesser. Implementert som en del av
«Pakke 4»
− Gjennomgang av arbeidsprosessene med bl.a. systemansvarlige (onshore)
− Gjennomgang av arbeidsprosessene med aktuelle fagpersoner på alle
installasjoner & skift.(offshore)
− Nye anlegg (TORG dokument)
− Eksisterende anlegg og modifikasjon.
− Oppkjøp av anlegg.
11 - Classification: Internal 2010-04-23

Krav og støtte
• TR1658: «Risk and vulnerability assessment»
− Mal for risikovurdering?
• TR1658: «Network topology diagram»
− Verktøy, innhold og format?
− Sensitiv informasjon?

Fundament for nye prosjekter og
modifikasjoner
13 - Classification: Internal 2010-04-23
Organisasjon
Krav
Teknologi
Arbeidsprosess

Thank you
Praktisk bruk og innføring av
OLF104
Lars N. Grøteide
Advisor Information Technology
www.statoil.com
Classification: Internal 2010-04-23
14 -