Praktisk bruk og innføring av OLF104 - Ifea
Praktisk bruk og innføring av OLF104 - Ifea
Praktisk bruk og innføring av OLF104 - Ifea
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Praktisk</strong> <strong>bruk</strong> <strong>og</strong> <strong>innføring</strong> <strong>av</strong><br />
<strong>OLF104</strong><br />
1 - Classification: Internal 2010-04-23
Innhold<br />
• Bakgrunn<br />
• Implementering<br />
− Tekniske kr<strong>av</strong><br />
− Retningslinjer/anbefalinger<br />
− Arbeidsprosesser<br />
• Kompetanse<br />
• Fundament<br />
2 - Classification: Internal 2011-10-04
<strong>OLF104</strong> – Bakgrunn <strong>og</strong> historikk<br />
• OLF er en interesse- <strong>og</strong> arbeidsgiverorganisasjon for oljeselskaper <strong>og</strong><br />
leverandørbedrifter knyttet til utforsking <strong>og</strong> produksjon <strong>av</strong> olje <strong>og</strong> gass på norsk<br />
kontinentalsokkel.<br />
• <strong>OLF104</strong> (Startet i 2004-2005, Godkjent utg<strong>av</strong>e 8.12.2006, Rev. 01 1.4.2007)<br />
Anbefalte retningslinjer <strong>og</strong> kr<strong>av</strong> til informasjonssikkerhetsnivå i IKT-baserte<br />
prosesskontroll-, sikkerhets- <strong>og</strong> støttesystemer<br />
• Målet:<br />
− Målet for retningslinjen er å forbedre informasjonssikkerheten i den h<strong>av</strong>baserte industrien <strong>og</strong><br />
derigjennom forbedre driftssikkerhet <strong>og</strong> regularitet på norsk sokkel.<br />
• Status i forhold til myndighetene:<br />
− Dette er ikke myndighetspålagte kr<strong>av</strong>. Likevel har både Oljedirektoratet (OD) <strong>og</strong> Petroleumstilsynet<br />
(Ptil) hatt deltakere i arbeidsgruppen som utarbeidet dette dokumentet.<br />
3 - Classification: Internal 2011-10-04
<strong>OLF104</strong><br />
Kr<strong>av</strong> til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets <strong>og</strong><br />
støttesystemer<br />
16 kr<strong>av</strong> (Information Security Baseline Requirement – ISBR)<br />
1. En informasjonssikkerhetspolicy for IKT-baserte prosesskontroll-, sikkerhets<strong>og</strong><br />
støttesystemer skal dokumenteres.<br />
2. Risikovurderinger skal gjennomføres for IKT-baserte prosesskontroll-,<br />
sikkerhets <strong>og</strong> støttesystemer <strong>og</strong> produksjonsnettverk.<br />
3. Det skal utpekes system- <strong>og</strong> dataeiere for IKT-baserte prosesskontroll-,<br />
sikkerhets- <strong>og</strong> støttesystemer.<br />
…<br />
4 - Classification: Internal 2011-10-04
Implementasjon i Statoil<br />
• Prosesseiere<br />
− Prosesseiere arbeider på tvers <strong>av</strong> organisasjonen <strong>og</strong> sikrer at vi oppnår<br />
kvalitet <strong>og</strong> høy standard på arbeidsprosessene.<br />
− Prosesseierens rolle handler om å fange opp beste praksis <strong>og</strong> erfaringer <strong>og</strong><br />
innarbeide dette i vårt globale arbeidsprosesser.<br />
5 - Classification: Internal 2010-04-23
Rammeverk for styrende dokumentasjon<br />
• Benytter eksisterende rammeverk for styrende dokumentasjon<br />
− Arbeidsprosesser<br />
• Drift <strong>og</strong> vedlikehold (OM)<br />
− Kr<strong>av</strong> & retningslinjer<br />
• Technical Requirements (TR)<br />
− TR1658 - Technical Network and Security of Automation Systems<br />
• Guidelines (GL)<br />
− Organisasjon<br />
− GL1658 - Technical Network Architecture<br />
• Organisation, management and control (OMC)<br />
− OMC01 - Development and production Norway (DPN)<br />
− OMC02 - Development and production international (DPI)<br />
− …<br />
6 - Classification: Internal 2010-04-23
Technical Requirements (TR1658)<br />
• ISBR 4: Nettverksinfrastrukturen skal være i stand til å kunne segregeres, <strong>og</strong> alle<br />
kommunikasjonskanaler skal være kontrollert.<br />
− IKT-infrastrukturen må kunne isolere nettverk, slik at IKT-systemer med forskjellig sikkerhetsnivå, sanntidssystemer<br />
som krever en garantert nettverksytelse, eller spesielt sensitive systemer kan installeres i separate, atskilte nettverk.<br />
• TR1658 (2.4.2.1 Network segregation)<br />
− Network segregation shall be based on the following criteria:<br />
7 - Classification: Internal 2010-04-23<br />
• Criticality of the system<br />
• Different vulnerabilities (e.g. systems which are not able to run an updated virus scan/Security patches regime<br />
are more vulnerable and shall be considered for a separate network segment)<br />
• Confidentiality reasons (e.g. <strong>av</strong>oid running systems from competitors on the same network segment)<br />
• Discipline (Telecom, Automation, Drilling, ,….)<br />
• Separate network for test systems and systems not yet in production<br />
− All communication between systems on different segments shall be controlled through a firewall.<br />
− All segments on the technical network shall be self-contained, i.e. continue to operate the systems’ primary<br />
functionality if communication across network segments or to the office network fails.
Automation systems<br />
Guidelines<br />
Technical Network Architecture (GL1658)<br />
• Shared equipment for the Technical Network<br />
− Network <strong>av</strong>ailability for Moderate Criticality systems should be provided by shared managed LAN equipment utilizing<br />
VLAN technol<strong>og</strong>y. The VLAN should be implemented using dedicated switches for the Technical Network, not<br />
shared with the office network.<br />
− …<br />
• Segregation recommendations<br />
Plant information systems<br />
Instrumented systems<br />
Safety and Automation System<br />
SIS<br />
Safety Instrumented System<br />
Control Class 3<br />
Control Class 1<br />
High<br />
Integrity<br />
Protection<br />
System<br />
SAS network<br />
Office network<br />
Technical network<br />
Fire & Gas<br />
detection<br />
System<br />
Field instrumentation<br />
Alarm<br />
Management<br />
Emergency<br />
ShutDown<br />
System<br />
Secure Access<br />
Solution<br />
Critical Action<br />
Panel<br />
Information<br />
Management System<br />
Plant Historian<br />
Process<br />
ShutDown<br />
System<br />
Condition<br />
Monitoring<br />
Operator<br />
Station<br />
Process Control System<br />
Control Class 1<br />
8 - Classification: Internal 2010-04-23<br />
Large Screen<br />
Display<br />
Basic Process<br />
Control System<br />
Integrated<br />
Operaton Suite<br />
Field device<br />
Management<br />
Engineering<br />
Work Station<br />
Power<br />
Distribution<br />
Control System<br />
Life-Cylce<br />
Simulator<br />
Information<br />
Management System<br />
Plant Historian<br />
Subsea<br />
Control Unit<br />
Subsea<br />
Production<br />
Control System<br />
SAS<br />
Gateway<br />
Marine<br />
Systems<br />
Contr class 1<br />
PCS<br />
Control Class 2<br />
Advanced<br />
Process<br />
Control<br />
Gas Turbine<br />
Control<br />
System<br />
Engineering<br />
Monitoring<br />
Station<br />
L<strong>og</strong>ic<br />
Solver<br />
Vibration<br />
Protection &<br />
Diagnostic<br />
System<br />
Engineering<br />
Monitoring<br />
Station<br />
L<strong>og</strong>ic<br />
Solver<br />
Marine<br />
Systems<br />
Contr Class 2<br />
Engineering<br />
Monitoring<br />
Station<br />
L<strong>og</strong>ic<br />
Solver<br />
Fiscal<br />
Metering<br />
System<br />
Human<br />
Machine<br />
Interface<br />
L<strong>og</strong>ic<br />
Solver<br />
Instrumented<br />
Monitoring<br />
Systems<br />
Human<br />
Machine<br />
Interface<br />
L<strong>og</strong>ic<br />
Solver<br />
PCS<br />
Control class 3<br />
Drilling<br />
Control<br />
System<br />
Engineering<br />
Monitoring<br />
Station<br />
L<strong>og</strong>ic<br />
Solver<br />
Pedestal<br />
cranes<br />
Control<br />
System<br />
Human<br />
Machine<br />
Interface<br />
L<strong>og</strong>ic<br />
Solver<br />
Telecom<br />
Systems<br />
Human<br />
Machine<br />
Interface<br />
Data l<strong>og</strong>ger<br />
O f f i c e N e t t w o r k<br />
T e c h n i c a l N e t w o r k<br />
Z o n e 1 Z o n e 2<br />
D M Z f o r T e c h n i c a l N e t w o r k<br />
Z o n e 1 Z o n e 2 Z o n e 3<br />
S e g r e g a t e d T e c h n i c a l N e t w o r k<br />
M e d i u m C r i t i c a l i t y<br />
Z o n e 4<br />
Z o n e 1 Z o n e 2 Z o n e 3<br />
Z o n e 1 Z o n e 2 Z o n e 3<br />
S e g r e g a t e d T e c h n i c a l N e t w o r k<br />
H i g h C r i t i c a l i t y<br />
S e g r e g a t e d T e c h n i c a l N e t w o r k<br />
V e r y H i g h C r i t i c a l i t y
Organisation, management and control (OMC)<br />
• ISBR 3: Det skal utpekes system- <strong>og</strong> dataeiere for IKT-baserte prosesskontroll-,<br />
sikkerhets- <strong>og</strong> støttesystemer.<br />
OMC01 - Development and production Norway (DPN)<br />
Teknisk Systemansvar<br />
69 – Distributed control<br />
9 - Classification: Internal 2010-04-23<br />
Ola Normann
Arbeidsprosesser<br />
• ISBR 2: Risikovurderinger skal gjennomføres for IKT-baserte prosesskontroll-,<br />
sikkerhets <strong>og</strong> støttesystemer <strong>og</strong> produksjonsnettverk.<br />
• Arbeidsprosesser:<br />
− PD03.70.02no - Utarbeide endringsunderlag for sikkerhets- <strong>og</strong> automasjons-system<br />
− OM01.08.02.01no - Sjekke IKT-utstyr for virus før tilkobling til teknisk nett<br />
− OM01.08.02.02no - Håndtere mistanke om virus/uønsket hendelse i teknisk nett<br />
Vurdere behov for tilkobling til teknisk nett<br />
Følgende punkter må som minimum vurderes før tilkobling til teknisk nett:<br />
- Foreligger det forhåndsgodkjenning <strong>av</strong> utstyr fra prosjekt etc?<br />
- Kan selskapets minnepenn etc. benyttes?<br />
- Finnes godkjent viruspr<strong>og</strong>ram på utstyret?<br />
- Finnes det permanent tilkoblet IKT-utstyr på anlegget som kan benyttes?<br />
- Finnes det bærbart IKT-utstyr på anlegget som kan benyttes?<br />
10 - Classification: Internal 2010-04-23
Implementasjon / Kompetanse<br />
• Arbeidsprosess<br />
• Kr<strong>av</strong><br />
− Integrasjonen mellom Statoil <strong>og</strong> Hydro Olje <strong>og</strong> Gass medførte en<br />
harmonisering <strong>og</strong> <strong>innføring</strong> <strong>av</strong> arbeidsprosesser. Implementert som en del <strong>av</strong><br />
«Pakke 4»<br />
− Gjennomgang <strong>av</strong> arbeidsprosessene med bl.a. systemansvarlige (onshore)<br />
− Gjennomgang <strong>av</strong> arbeidsprosessene med aktuelle fagpersoner på alle<br />
installasjoner & skift.(offshore)<br />
− Nye anlegg (TORG dokument)<br />
− Eksisterende anlegg <strong>og</strong> modifikasjon.<br />
− Oppkjøp <strong>av</strong> anlegg.<br />
11 - Classification: Internal 2010-04-23
Kr<strong>av</strong> <strong>og</strong> støtte<br />
• TR1658: «Risk and vulnerability assessment»<br />
− Mal for risikovurdering?<br />
• TR1658: «Network topol<strong>og</strong>y diagram»<br />
− Verktøy, innhold <strong>og</strong> format?<br />
− Sensitiv informasjon?
Fundament for nye prosjekter <strong>og</strong><br />
modifikasjoner<br />
13 - Classification: Internal 2010-04-23<br />
Organisasjon<br />
Kr<strong>av</strong><br />
Teknol<strong>og</strong>i<br />
Arbeidsprosess
Thank you<br />
<strong>Praktisk</strong> <strong>bruk</strong> <strong>og</strong> <strong>innføring</strong> <strong>av</strong><br />
<strong>OLF104</strong><br />
Lars N. Grøteide<br />
Advisor Information Technol<strong>og</strong>y<br />
www.statoil.com<br />
Classification: Internal 2010-04-23<br />
14 -