• Ingen resultater fundet

Systemforvaltning for SDN

N/A
N/A
Info
Hent
Protected

Academic year: 2022

Del "Systemforvaltning for SDN"

Copied!
27
0
0

Indlæser.... (se fuldtekst nu)

Hent nu ( 27 Sider )

Hele teksten

(1)

Peder Illum, konsulent, pi@medcom.dk

Systemforvaltning for SDN

Temadag om SDN og VDX den 9. november 2016

(2)

• Vi fik besøg af Rigsrevisionen……..

• Hvordan forløb det, hvordan var det, og hvad blev resultatet?

• Hvad har vi gjort og hvorfor?

• Betyder det noget for jer?

• Debat / Spørgsmål?

Agenda

(3)

• Nuværende driftskontrakt med NetDesign indgået 2009

• Pragmatisk samarbejde – ”lean”?

• ISO27001 proces startet i MedCom efter SDN- risikovurdering i 2014

• Første møde med Rigsrevisionen 28/8-2015, herefter en del møder, også sammen med NetDesign/Netic

• God informativ proces – foreløbig resultat december 2015

Hvordan forløb det?

(4)

Hvordan var det?

(5)

Hvad blev resultatet?

(6)

• Behov for klarere governance

• Behov for øget dokumenteret leverandørstyring

• Behov for større fokus på sikkerheden for SDNs støttesystemer

• Backup, logning og overvågning af SDN er tilstrækkelig

• Trods alt stabil drift med høj oppetid

Anbefalinger

(7)
(8)

• MedComs styregruppe udarbejdede et svar og en handleplan til udbedring med konkrete initiativer

• Vi satte turbo på anvendelse af ISO27001 som rammeværk for MedComs forvaltning

• Tæt opfølgning på handleplan i MedCom styregruppe

Hvad har vi gjort?

(9)

Handleplan og opfølgning

(10)

Forår 2016

• Årshjul for informationssikkerhed version 1

• Overvågning på støttesystemer

• Skærpede aftaler om proces og dokumentation for:

• Patch management

• Configuration management

• Log management

• Opfølgning på administratorer i aftalesystemet

• Opfølgning på tilslutningsaftaler inkl. databehandleraftaler

(11)

Forår 2016

• SDN/VDX-risikovurdering – input fra forretningen (NSP, FMK, PPJ)

• It-revision og erklæring

• Beredskabsstrategi og beredskabsplan

• Sikkerhedskrav i kravspecifikation til SDN-udbud

=> Fundament for efteråret arbejde 2016

(12)

• Beredskabet gælder for:

• SDN – dvs. netværk og fysisk infrastruktur i form af datalinjer bestående af VPN- linjer og SDN-MPLS-forbindelse samt aktive netværkskomponenter

• SDNs støttesystemer vurderes som ikke-kritiske for at kunne afvikle services på SDN

Beredskabsplan

(13)

Visitation og vurdering af beredskab

• Major incident, der vurderes ikke at kunne løses inden for aftalt SLA og RTO

• Ukontrollerede og uidentificerede hændelser med uoverskuelige konsekvenser

• Alvorligt brud på tilgængelighed

• Alvorligt brud på fortrolighed

Tjekliste ved brud på tilgængelighed

Før iværksættelse af beredskabet vurderes følgende:

Angår bruddet på tilgængelighed en kritisk service?

Angår bruddet på tilgængelighed en service med mange aftaler

Angår bruddet på tilgængelighed en organisation, der repræsenterer med mange brugere?

Tjekliste ved brud på fortrolighed

Før iværksættelse af beredskabet vurderes følgende:

Angår bruddet følsomme oplysninger?

Er bruddet ukontrolleret – dvs. der mangler viden om, hvor meget der er kompromitteret?

Selvom en hændelse vedrørende brud på fortrolighed ikke umiddelbart opfylder kriterierne for at iværksætte det fulde

beredskab, kan dele af de operationelle handlingsplaner benyttes - fx kommunikationsplanen af hensyn til håndtering af interessenter.

(14)

Processer

i samarbejdet

Husk at slå alarmer til

Emne

Hvad Hvorfor Hvordan

Kontaktoplysning er

De tilsluttede parter skal bidrage med

kontaktoplysninger til nøglemedarbejdere og gerne personuafhængig vagtordning.

Kommunikation ved en

beredskabssituation – både for MedCom og leverandøren.

Del af tilslutning til SDN og registrering i aftalesystem

(fremtidig).

Registrering af skal opdateres ved ændringer.

Klassificering

De tilsluttede parter for SDN skal bidrage med klassificering af udstillede services på SDN

(fremtidigt).

Overblik for både leverandører og MedCom i relation til en potentiel

beredskabssituation samt ift. support.

Del af tilslutning til SDN og registrering i aftalesystem

(fremtidig).

Registrering skal opdateres ved ændringer.

Rapportering De tilsluttede parter skal rapportere brud på fortrolighed og

tilgængelighed i relation til SDN til MedCom.

For at MedCom kan varetage sit ansvar i tilfælde af kritiske hændelser og kunne igangsætte og koordinere en eventuel indsats.

Kontaktoplysninger / vagtordning hos MedCom og leverandør

(15)
(16)

It-sikkerhedsforvaltningskrav i SDN-udbud – bl.a.

• Fysisk sikkerhed – adgangskontrol, overvågning af gæster, indbrudssikring, etc.

• Efterlevelse af ISO27001 og kontinuerlig overvågning af cybertrusler, risikostyring, løbende sikkerhedstests, løbende evaluering og optimering af SDNs sikkerhedsmæssige niveau, forebyggende sikkerhedsforanstaltninger

• Medvirke til SDN-risikovurderinger + mitigering af eventuelle risici

• Egen beredskabsplan og test + indgå i beredskabsplanlægningen for SDN

• Automatiserede sårbarhedsskanninger + afrapportering

• Logning på alt aktivt udstyr

• Risikolog

• Sikkerhedsrapportering og udbedring af sikkerhedshændelser

• Udlevering af informationssikkerhedsmaterialer

(17)

Efterår 2016

• Udarbejdelse af politikker, procedurer og skabeloner inden for rammen af ISO27001

• Test af beredskabsplan

(18)

ISO27001 – ikke til at komme uden om….

• Referencer til ISO i Rigsrevision og risikovurdering

• Den fællesoffentlige digitaliseringsstrategi 2016 – 2020: Initiativ 7.1: Styr på informationssikkerhed i alle myndigheder – ‘følge principperne ISO27001…’

• Krav til regioner og kommuner (ØA) – dermed også krav i databehandleraftaler (RSI)

• I MedComs svar til Rigsrevisionen

• Måde at strukturere og dokumentere arbejdet omkring informationssikkerhed – og til dels forvaltning af it-systemer

• Klar til den nye databeskyttelsesforordning

(19)

Hvorfor:

Struktur, dokumentation, gennemsigtighed – ikke plads længere til kun ildsjæle

Fra tillid til kontrol – et krav

Risikobilledet er ændret og ændrer sig hele tiden – systematisk tilgang via ISO27001

ISO27001 for MedCom

Hvor meget:

Det nødvendige / ikke for meget

Fornuftig balance

Omfang:

Udvalgte dele – dvs. de tre systemer i MedComs

portefølje som fællesoffentlig systemforvalter: SDN, VDX og KIH

Så generisk som muligt

Efterlevelse som mål

Hvor vil vi hen:

(20)

Roadmap over prioriterede politikker

(21)

Betydning for interessenter /brugere Stor

Medium

Lille

Lille Medium Stor

Kommunikationssikkerhed Kryptering

Driftssikkerhed Beredskabsstyring Adgangsstyring Compliance

Styring af sikkerhedshændelser

ISMS

Leverandørstyring Risikostyring

ISMS - intern

Betydning for MedCom

(22)

Måling, test og rapportering af sikkerheden Ændringer af

sikkerhedsarbejdet Risikovurdering Informations- sikkerhedspolitik handlingsplan

Implementer og operationaliser sikkerhedspolitik beredsk.plan (Ledelse)

ISO-27001

Årshjul

(23)

2017

• Implementering af politikker og procedurer

• Relancering af SDN-brugergruppe

• Udvikling af aftalesystem

(24)

SDN-brugergruppen – relancering

(25)

Udvikling af aftalesystem – ønsker

• Dokumentation

• Netværksopsætning, patch level, IP-scopes, kontaktpersoner, vagtnumre

• Notifikationer

• Servicevinduer, changes, udløb af aftaler, log management, incidents, opfølgning på kontaktpersoner

• Fuld audit – herunder funktionsadskillelse

• Overvågning og statistik

• Trafik på aftaler, SIEM

• På baggrund af brugerønsker, Rigsrevision, risikovurdering, it-revision, beredskabsplan

• Brugergruppekvalificering, prioritering og beslutningsproces

(26)

+ -

Frihed i opgaveudførelse og prioritering

Sårbart

Hurtig reaktionstid på brugerønsker og brugerhenvendelser

For meget arbejde - ingen back up.

+ -

Mulighed for at holde helt fri – pga. back up

Mindre agilt

Unik mulighed for at forbedre vores processer

Ressourcekrævende

Bedre ledelsesinformation Øget udgift Tidssvarende

sikkerhedsmodel

Dræbende bureaukrati

Procedurer med mening og værdi

‘Spild’ af tid

Leve op til Rigsrevision Videndeling – ikke så sårbare

Ende med at blive glade for processen

NU FREMTID

(27)

Tak for opmærksomheden

Referencer

Hent nu ( PDF - 27 Sider - 1.14 MB )

RELATEREDE DOKUMENTER

Indkaldelse og dagsorden til 8. møde i styregruppen for MedCom10 den 13. december 2017

På den baggrund er det i ØA2018 aftalt, at SDN/VDX og KIH Databasen fremadrettet indgår som del af finansierings- og styringsmodellen for de fællesoffentlige

Ligebehandlingslovens § 9 i relation til fertilitetsbehandling

265 Andersen, A.. Lønmodtageren blev i december 2004 henvist til fertilitetsbehandling, hvilket hun oplyste arbejdsgiveren om 14. februar 2005 oplyste lønmodtageren arbejdsgiveren

Parterne Underdatabehandleraftale

10.1 Underdatabehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse

parter Hvad betyder databeskyttelsesforordningen for SDN, VDX og de tilsluttede

identiteten samt kontaktoplysninger på DPO’en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning samt indsigt i de oplysninger, der behandles om ens

Siden Sidst Statusnotat 7/5 2010

Arbejdet med at få flyttet de sidste forbindelser fortsætter ufortrødent i tæt samarbejde mellem NetDesign og MedCom, men det indstilles til MedComs styregruppe, at

1 Velkomst og præsentation (O) v/Peder Illum

Lars Helsberg, Sundhedsdatastyrelsen Peter Spanggaard, Sundhedsdatastyrelsen Ole Fisker, Sundhedsdatastyrelsen, DCIS Søren Nielsen, Sundhedsdatastyrelsen, DCIS Peder

Princip 1 Driften skal være uden omkostninger for MedCom-projektet. Det betyder, at følgende omkostninger skal dækkes af de parter, der tilslutter sig: -

- MedComs administrative omkostninger ved tilslutning, statistik og vedligeholdelse af aftaler - Teknisk udvikling og vedligeholdelse af SDN og VDX, herunder udskiftning

Affødte krav til SDN fra Arkitekturen

enkelte nationale services kan føre til justering af krav til infrastruktur (evt. forskubbe