Peder Illum, konsulent, pi@medcom.dk
Systemforvaltning for SDN
Temadag om SDN og VDX den 9. november 2016
• Vi fik besøg af Rigsrevisionen……..
• Hvordan forløb det, hvordan var det, og hvad blev resultatet?
• Hvad har vi gjort og hvorfor?
• Betyder det noget for jer?
• Debat / Spørgsmål?
Agenda
• Nuværende driftskontrakt med NetDesign indgået 2009
• Pragmatisk samarbejde – ”lean”?
• ISO27001 proces startet i MedCom efter SDN- risikovurdering i 2014
• Første møde med Rigsrevisionen 28/8-2015, herefter en del møder, også sammen med NetDesign/Netic
• God informativ proces – foreløbig resultat december 2015
Hvordan forløb det?
Hvordan var det?
Hvad blev resultatet?
• Behov for klarere governance
• Behov for øget dokumenteret leverandørstyring
• Behov for større fokus på sikkerheden for SDNs støttesystemer
• Backup, logning og overvågning af SDN er tilstrækkelig
• Trods alt stabil drift med høj oppetid
Anbefalinger
• MedComs styregruppe udarbejdede et svar og en handleplan til udbedring med konkrete initiativer
• Vi satte turbo på anvendelse af ISO27001 som rammeværk for MedComs forvaltning
• Tæt opfølgning på handleplan i MedCom styregruppe
Hvad har vi gjort?
Handleplan og opfølgning
Forår 2016
• Årshjul for informationssikkerhed version 1
• Overvågning på støttesystemer
• Skærpede aftaler om proces og dokumentation for:
• Patch management
• Configuration management
• Log management
• Opfølgning på administratorer i aftalesystemet
• Opfølgning på tilslutningsaftaler inkl. databehandleraftaler
Forår 2016
• SDN/VDX-risikovurdering – input fra forretningen (NSP, FMK, PPJ)
• It-revision og erklæring
• Beredskabsstrategi og beredskabsplan
• Sikkerhedskrav i kravspecifikation til SDN-udbud
=> Fundament for efteråret arbejde 2016
• Beredskabet gælder for:
• SDN – dvs. netværk og fysisk infrastruktur i form af datalinjer bestående af VPN- linjer og SDN-MPLS-forbindelse samt aktive netværkskomponenter
• SDNs støttesystemer vurderes som ikke-kritiske for at kunne afvikle services på SDN
Beredskabsplan
Visitation og vurdering af beredskab
• Major incident, der vurderes ikke at kunne løses inden for aftalt SLA og RTO
• Ukontrollerede og uidentificerede hændelser med uoverskuelige konsekvenser
• Alvorligt brud på tilgængelighed
• Alvorligt brud på fortrolighed
Tjekliste ved brud på tilgængelighed
Før iværksættelse af beredskabet vurderes følgende:
Angår bruddet på tilgængelighed en kritisk service?
Angår bruddet på tilgængelighed en service med mange aftaler
Angår bruddet på tilgængelighed en organisation, der repræsenterer med mange brugere?
Tjekliste ved brud på fortrolighed
Før iværksættelse af beredskabet vurderes følgende:
Angår bruddet følsomme oplysninger?
Er bruddet ukontrolleret – dvs. der mangler viden om, hvor meget der er kompromitteret?
Selvom en hændelse vedrørende brud på fortrolighed ikke umiddelbart opfylder kriterierne for at iværksætte det fulde
beredskab, kan dele af de operationelle handlingsplaner benyttes - fx kommunikationsplanen af hensyn til håndtering af interessenter.
Processer
i samarbejdet
• Husk at slå alarmer til
Emne
Hvad Hvorfor Hvordan
Kontaktoplysning er
De tilsluttede parter skal bidrage med
kontaktoplysninger til nøglemedarbejdere og gerne personuafhængig vagtordning.
Kommunikation ved en
beredskabssituation – både for MedCom og leverandøren.
Del af tilslutning til SDN og registrering i aftalesystem
(fremtidig).
Registrering af skal opdateres ved ændringer.
Klassificering
De tilsluttede parter for SDN skal bidrage med klassificering af udstillede services på SDN
(fremtidigt).
Overblik for både leverandører og MedCom i relation til en potentiel
beredskabssituation samt ift. support.
Del af tilslutning til SDN og registrering i aftalesystem
(fremtidig).
Registrering skal opdateres ved ændringer.
Rapportering De tilsluttede parter skal rapportere brud på fortrolighed og
tilgængelighed i relation til SDN til MedCom.
For at MedCom kan varetage sit ansvar i tilfælde af kritiske hændelser og kunne igangsætte og koordinere en eventuel indsats.
Kontaktoplysninger / vagtordning hos MedCom og leverandør
It-sikkerhedsforvaltningskrav i SDN-udbud – bl.a.
• Fysisk sikkerhed – adgangskontrol, overvågning af gæster, indbrudssikring, etc.
• Efterlevelse af ISO27001 og kontinuerlig overvågning af cybertrusler, risikostyring, løbende sikkerhedstests, løbende evaluering og optimering af SDNs sikkerhedsmæssige niveau, forebyggende sikkerhedsforanstaltninger
• Medvirke til SDN-risikovurderinger + mitigering af eventuelle risici
• Egen beredskabsplan og test + indgå i beredskabsplanlægningen for SDN
• Automatiserede sårbarhedsskanninger + afrapportering
• Logning på alt aktivt udstyr
• Risikolog
• Sikkerhedsrapportering og udbedring af sikkerhedshændelser
• Udlevering af informationssikkerhedsmaterialer
Efterår 2016
• Udarbejdelse af politikker, procedurer og skabeloner inden for rammen af ISO27001
• Test af beredskabsplan
ISO27001 – ikke til at komme uden om….
• Referencer til ISO i Rigsrevision og risikovurdering
• Den fællesoffentlige digitaliseringsstrategi 2016 – 2020: Initiativ 7.1: Styr på informationssikkerhed i alle myndigheder – ‘følge principperne ISO27001…’
• Krav til regioner og kommuner (ØA) – dermed også krav i databehandleraftaler (RSI)
• I MedComs svar til Rigsrevisionen
• Måde at strukturere og dokumentere arbejdet omkring informationssikkerhed – og til dels forvaltning af it-systemer
• Klar til den nye databeskyttelsesforordning
Hvorfor:
• Struktur, dokumentation, gennemsigtighed – ikke plads længere til kun ildsjæle
• Fra tillid til kontrol – et krav
• Risikobilledet er ændret og ændrer sig hele tiden – systematisk tilgang via ISO27001
ISO27001 for MedCom
Hvor meget:
• Det nødvendige / ikke for meget
• Fornuftig balance
Omfang:
• Udvalgte dele – dvs. de tre systemer i MedComs
portefølje som fællesoffentlig systemforvalter: SDN, VDX og KIH
• Så generisk som muligt
• Efterlevelse som mål
Hvor vil vi hen:
Roadmap over prioriterede politikker
Betydning for interessenter /brugere Stor
Medium
Lille
Lille Medium Stor
Kommunikationssikkerhed Kryptering
Driftssikkerhed Beredskabsstyring Adgangsstyring Compliance
Styring af sikkerhedshændelser
ISMS
Leverandørstyring Risikostyring
ISMS - intern
Betydning for MedCom
Måling, test og rapportering af sikkerheden Ændringer af
sikkerhedsarbejdet Risikovurdering Informations- sikkerhedspolitik handlingsplan
Implementer og operationaliser sikkerhedspolitik beredsk.plan (Ledelse)
ISO-27001
Årshjul
2017
• Implementering af politikker og procedurer
• Relancering af SDN-brugergruppe
• Udvikling af aftalesystem
SDN-brugergruppen – relancering
Udvikling af aftalesystem – ønsker
• Dokumentation
• Netværksopsætning, patch level, IP-scopes, kontaktpersoner, vagtnumre
• Notifikationer
• Servicevinduer, changes, udløb af aftaler, log management, incidents, opfølgning på kontaktpersoner
• Fuld audit – herunder funktionsadskillelse
• Overvågning og statistik
• Trafik på aftaler, SIEM
• På baggrund af brugerønsker, Rigsrevision, risikovurdering, it-revision, beredskabsplan
• Brugergruppekvalificering, prioritering og beslutningsproces
+ -
Frihed i opgaveudførelse og prioritering
Sårbart
Hurtig reaktionstid på brugerønsker og brugerhenvendelser
For meget arbejde - ingen back up.
+ -
Mulighed for at holde helt fri – pga. back up
Mindre agilt
Unik mulighed for at forbedre vores processer
Ressourcekrævende
Bedre ledelsesinformation Øget udgift Tidssvarende
sikkerhedsmodel
Dræbende bureaukrati
Procedurer med mening og værdi
‘Spild’ af tid
Leve op til Rigsrevision Videndeling – ikke så sårbare
Ende med at blive glade for processen
NU FREMTID