dc.contributor.author | Myrestrand, Marius | |
dc.date.accessioned | 2011-10-10T15:07:49Z | |
dc.date.available | 2011-10-10T15:07:49Z | |
dc.date.issued | 2011 | |
dc.identifier.uri | http://hdl.handle.net/11250/182028 | |
dc.description | Master's thesis in Risk management | en_US |
dc.description.abstract | Denne oppgaven vil kartlegge hvorvidt det er et behov for bedre risikoanalyser og rutiner ettersom offshoreinstallasjonene på norsk sokkel får stadig økt innføring av digitaliserte styrings- og sikkerhetssystemer. Oppsiden av denne utviklingen er stor, der reserveøkning og produksjonsoptimalisering representerer et potensiale på 250 milliarder norske kroner. Oppgaven har belyst hvilke eksisterende rutiner og krav som er iverksatt for å sørge for sikkerheten til disse systemene. Den har kommet fram til at selv om det finnes styrende dokumenter som anbefaler utførelse av risikoanalyser for IT-systemene, finnes det ingen konsensus i bransjen på hvordan de skal gjennomføres.
Oppgaven har undersøkt hvilke trusler som er med å utgjøre en risiko på offshoreinstallasjoner, og samlet relevante hendelser som er med å bygge opp om argumentasjonen for grundigere analyser. Det identifiseres en mangel på dokumentasjon av uavhengighet mellom systemer, samt en manglende forståelse for hvilke konsekvenser et angrep eller svikt i IT-systemene kan forårsake.
Med utgangspunkt i en tradisjonell risikoanalyse for offshoreinstallasjoner har oppgaven undersøkt hvilke metoder og verktøy som er mest hensiktsmessig å inkludere i en IT-risikoanalyse. Forutsetningene for å analysere tradisjonell risiko er annerledes enn for IT-risiko, der en har en kontinuerlig innføring av ny teknologi og arbeidsrutiner. Det er stor usikkerhet involvert i kartlegging og analysering av IT-risiko, og det er behov for en metode som tar høyde for den usikkerheten gjennom å belyse faktorene som kan produsere avvik mellom prediksjonene og de faktiske konsekvensene av en hendelse.
En økonomisk modell som baserer seg på forventet nytteteori er konstruert for å vise hva som skjer hvis en operatør ikke har mulighet til å vurdere eventuell IT-risiko når de skal investere i sikkerhetstiltak. Denne demonstrerer at vi får en overinvestering i eventuelle sikkerhetstiltak dersom IT ikke betraktes som et alternativ. | en_US |
dc.description.sponsorship | DNV | en_US |
dc.language.iso | nob | en_US |
dc.publisher | University of Stavanger, Norway | en_US |
dc.relation.ispartofseries | Masteroppgave/UIS-TN-IØRP/2011; | |
dc.subject | risikostyring | en_US |
dc.subject | informasjonssikkerhet | en_US |
dc.subject | IT-risikostyring | en_US |
dc.subject | prosesskontrollsystem | en_US |
dc.title | IT-risikostyring av offshoreinstallasjoner | en_US |
dc.type | Master thesis | en_US |
dc.subject.nsi | VDP::Technology: 500 | en_US |