DCISSund
v/ Søren Nielsen, SRNI@sundhedsdata.dk DCIS, SDN og strategien
Hvis du har brug for at læse dette dokument i et keyboard eller skærmlæservenligt format, så klik venligst på denne knap.
Den nationale strategi for cyber- og informationssikkerhed
2018-2021
Sundhedssektorens cyber- og informationssikkerhedsstrategi
2019-2022
CfCS
Sundhed DCIS
Sektorpart Sektorpart
Energi DCIS Finans DCIS Transport
DCIS Tele DCIS Søfart DCIS
Decentral Cyber- og Informationssikkerhedsenhed (DCIS)
Samlende kommunikationspunkt for sektoren (myndigheder, virksomheder og organisationer) og for CfCS Vedligeholder kontaktliste for sektoren til brug for hændelseshåndtering
Vedligeholder oversigt over sektorens kritiske infrastrukturelementer og tjenester Indgår i operative arbejdsgrupper ved tværgående hændelser
Formidler varsler fra CfCS
Programledelse
1. Forudse hændelser
2. Forebygge hændelser
3. Opdage hændelser
4. Håndtere hændelser
5. Styring og effekt Sekretariat
Styregruppe
Sundhedsdatastyrelsen
Sundheds- og Ældreministeriet, Danske Regioner, Region Midt, Region Nord, Region Hovedstaden, KL, Digitaliseringsstyrelsen, Center for Cybersikkerhed, MedCom, Sundhed.dk, PLO, Sundhedsstyrelsen
1.1 Identifikation af kritiske
forretningsprocesser og it-systemer på tværs af sektorens aktører 1.2 Bedre overblik over sundheds- sektorens sårbarheder og risici 1.3 Effektiv koordination af varsler 1.4 Klarhed over den enkelte aktørs rolle og ansvar
1.5 Deltagelse i relevante internationale fora om cyber- og
2.1 Sikkerhed starter med medarbejderne
2.2 Styrket teknisk sikkerhed i sektorens løsninger og it- infrastruktur
2.3 Håndtering af sikkerheden i ældre it-systemer og –udstyr 2.4 Øget sikkerhed i online medicinsk udstyr
2.5 Skærpede sikkerhedskrav til
3.1 Løbende tests af sikkerheden i
sundhedssektorens systemer og udstyr
3.2 Etablering af overvågnings- og analysefunktioner
3.3 Effektiv håndtering af mistanke om hændelser
4.1 Hændelseshåndtering 4.2 Tværgående
samarbejde om fælles it- og cyberberedskab
4.3 Beredskabsøvelser for fælles systemer og forsyningskæder
5A løbende opdatering af porteføljeoverblik 5B Årshjul cyklus
5C Forslag til kommende års review
5D Databaseret effektmåling 5E Løbende dialog med private aktører
Hovedinitiativerne
Organisationen
DCIS
2.2. Styrket teknisk sikkerhed i sektorens systemer og it-infrastruktur
Opgaver i DCIS
Den tekniske it-sikkerhed i den fælles it-infrastruktur og sikkerhed i adgangen til data skal baseres på
eksisterende tiltag og styrkes og prioriteres med udgangspunkt i en risikobaseret tilgang med henblik på at øge kapaciteten til at forebygge cyber- og
informationssikkerhedshændelse
B) Som led i en national målsætning om end-to-end- kryptering i sundhedsvæsenets it infrastrukturer,
gennemfører MedCom, i samarbejde med regionerne, en målrettet indsats for at endepunktskryptere (eller begrundet fravælge) de services, som regionerne
udstiller via Sundhedsdatanettet. Indsatsen forankres i samarbejdsaftaler mellem MedCom og de enkelte regioner. Indsatsen kan senere udvides til at omfatte yderligere endtoend-kryptering, herunder af
sektorens samlede forsyningskæder
DCIS overtager den løbende opfølgning, og der nedsættes en arbejdsgruppe til at kigge på
udfordringerne og standardisering.
2.5 Skærpede sikkerhedskrav til it-leverandører
Opgaver i DCIS
For at sikre ensartethed i styring med leverandører og eksterne samarbejdspartnere og dermed et højere sikkerhedsniveau er der behov for at fastlægge fælles sikkerhedskrav til leverandørstyring,herunder i relevant omfang understøttende processer, skabeloner og
værktøjer.
C) Afdækning og afprøvning af netværkssegmentering af leverandørstyring gennem Sundhedsdatanettet
Det er vedtaget at der nedsættes en arbejdsgruppe, der skal afklare formålet med dette initiativ.
Det er på nuværende tidspunkt muligt at benytte SDN til styring af leverandøradgange
2.6 Udbygning af sektorens sikkerhedsarkitektur
Opgaver i DCIS
Arbejde ensartet med it-sikkerhedsmæssige krav Opdatere den samlede sikkerhedsarkitektur for sektoren inkl. fastlæggelse af standarder og udarbejdelse af værktøjer og vejledninger
Understøttelse af arkitektur og standarder med vejledninger
I plan
Rapport og analyse om privatlivssikring som standardindstilling
Arbejdsgruppe vedr. sikkerhedsarkitektur Roadmap for Implementering af NSIS krav
Initiativ Q1 2019
Q2 2019
Q3 2019
Q4 2019
Q1 2020
Q2 2020
Q3 2020
Q4 2020
Q1 2021
Q2 2021
Q3 2021
Q4 2021
Q1 2022
Q2 2022
Q3 2022
Q4 2022 2.5 Skærpede
sikkerhedskrav til it-
leverandører
C. Afdækning og afprøvning af netværkssegmentering af leverandørstyring gennem Sundhedsdatanettet 2.6 Udbygning af
sektorens sikkerheds- arkitektur
A. Revision af sundhedsområdets referencearkitektur for
informationssikkerhed
B. Afprøvning af referencearkitektur i et konkret projekt (pilot) med efterfølgende evaluering og og tilretning ud fra de indhøstede erfaringer
C. Fastlæggelse af nationale standarder
D. Understøttelse af arkitektur og
Kontakt
DCIS Sekretariatet
Susanne Reimann Lyngby Christa Wulff Sarby
DCISSUND@sundhedsdata.dk
DCISSund på Twitter
@dcissund
DCISSund information og nyhedsbrev
www.sundhedsdata.dk/informationssikkerhed
Facilitering af vidensdeling
I flere af initiativerne er der indlagt krav til at DCIS skal sørge for at dele relevant viden med aktørerne. (det er parterne i sundhedsvæsenet)
Vi forestiller os også at vi kan lave kortere temamøder med mere eller mindre teknisk indhold.
Forslag:
Zero trust IP V6
Mail beskyttelse (SPF/DKIM/DMARC) erfaring, anbefalinger, implementering.
Sikring af cloud løsninger (O365?)