Retningslinjer for it-medarbejdere, it-brugere og systemejere

Transkript

1 Søjle A B - C Retningslinjer for it-medarbejdere, it-brugere og systemejere Bilag A8, B9, C3 Retningslinjer for nødberedskab for it-anvendelsen Beredskabsplanen Nødberedskab for it-anvendelsen i Holbæk Kommune skal udarbejdes som et generelt paradigme, der skal udmøntes i konkrete instrukser og forretningsgangsbeskrivelser. Fokus skal især være på stillingtagen til et beredskab for væsentlige systemer, herunder fastsættelse af manuelle forretningsgange. I kommunens beredskabsplan er der en overordnet beskrivelse af it-afdelingens opgaver i forbindelse med en beredskabssituation. I beredskabsplanen skal der efterfølgende tilføjes en henvisning til kommunen i-sikkerhedspolitik, i- sikkerhedshåndbog samt bilag A8/B9/C3*. 1 INDLEDNING It-systemerne i Holbæk Kommune danner baggrund for store dele af kommunens opgaveløsning og er medvirkende til at effektivisere forretningsgange. Samtidig er en række forretningsgange og en stor del af kommunens opgaveløsning, afhængig af velfungerende it-værktøjer. Selv et mindre nedbrud kan derfor have store konsekvenser. Nødberedskabet for it-anvendelsen skal skabe sikkerhed for, at Holbæk Kommune kan genskabe en normal driftssituation hurtigt, sikkert og i prioriteret rækkefølge. Endvidere skal relevante dele af nødberedskabet kommunikeres ud til kommunens it-brugere således, at alle er bekendt med den rolle, de har i en beredskabssituation. Konsekvensen af ikke at have et beredskab kan være, at opgaverne ikke kan løses med deraf følgende menneskelige, økonomiske, juridiske, omdømmemæssige konsekvenser med videre. Omfanget af kommunens beredskab fastlægges ud fra en forretningsmæssig risikovurdering, der i forretningsmæssige termer udtrykker konsekvensen af at være uden it-understøttelse. I Holbæk Kommune er der etableret en række i-sikkerhedsforanstaltninger. Det er dog ikke realistisk, at opnå 100% sikkerhed i forhold til alle de risici, der eksisterer i relation til kommunens it-anvendelse. Der er derfor en risiko for, at det - trods forebyggende foranstaltninger - kan gå galt. Nødberedskabet skal ses som en korrigerende foranstaltning, som skal finde anvendelse, hvis det alligevel går galt. Målet med nødberedskabet er således, at sikre rationel og effektiv handling i katastrofesituationer eller andre nødsituationer. Hændelser kan variere fra brand eller oversvømmelse, over tekniske systemnedbrud, til tilfældig hacking eller politisk motiverede angreb. 2 FORMÅL Nødberedskab for it-anvendelsen har til formål at sikre den fortsatte varetagelse af kommunens væsentlige forretningsprocesser i en nødsituation, hvor der kræves mere end almindelig problemløsning. Da der aldrig kan tages højde for alle tænkelige situationer, vil kommunens nødberedskab forholde sig til et realistisk worst-case scenario. 1

2 For at sikre, at nødberedskabet har rette fokus, skal der som ved alle forsikringsaftaler, foretages en vurdering af prisen for beredskabet i forhold til skadens sandsynlighed og hyppighed samt skadens effekt og konsekvens på organisationen og kommunens ydelser. Målet er at kunne videreføre væsentlige forretningsprocesser inden for en given tidsperiode i kontrolleret rækkefølge. Et katastrofeforløb kan normalt skitseres ved 7 faser: Mulighed for katastrofescenario, forhøjet beredskab. Katastrofen opstår, identifikation. Katastrofeberedskabet initieres og igangsættes. Katastrofen håndteres, brandslukning. Katastrofesituationen stabiliseres. Katastrofen afsluttes, overgang til normalsituation. Katastrofen og beredskabet evalueres. 2.1 Afgrænsning Reetablering af forretningsprocesser - hvor it-systemerne indgår - er ikke omfattet af det tekniske beredskab. Systemejerne har ansvaret for, at reetablering af processerne finder sted på betryggende vis. 2.2 Målgruppe Nødberedskabet for it-anvendelsen fastlægges af de medarbejdere, som enten har det overordnede ansvar for, at opgaverne løses eller som varetager den konkrete opgaveløsning: Direktionen, cheferne, systemejere og andre ansvarlige medarbejdere. Lederen af it-afdelingen. It-medarbejdere. Webmaster/webredaktører i forhold til information på hjemmeside og intranet til borgere og medarbejdere. Opgaveansvarlige - it-medarbejdere og andre medarbejdere, som løser opgaver i forlængelse af nødberedskabet. Beredskabschefen - har ansvaret for opgaveløsningen i overensstemmelse med kommunens beredskabsplan. 2.3 Forudsætninger Det forudsættes at krav og procedurer er defineret i kommunens i-sikkerhedspolitik, i-sikkerhedshåndbog og bilag samt andet relevant materiale efterleves. Eksempelvis forudsætter reetablering af it-driften, at procedurerne for sikkerhedskopiering til enhver tid efterleves. Nødberedskab for it-anvendelsen i Holbæk Kommune, vil endvidere være den konkrete udmøntning af itberedskabet. 3 KOMMUNIKATION Hvis der opstår et katastrofescenario er der informationspligt over for flere interessenter. Der skal således være taget stilling til, hvordan nødkommunikation håndteres, hvem der har ansvaret for formidlingen, og hvem der skal kommunikeres til. 2

3 Som udgangspunkt skal der ske formidling/kommunikation til: Medarbejdere - herunder ledelse, it-medarbejdere, systemejere samt relevante medarbejdere i afdelinger og institutioner. Forretningsforbindelser - herunder andre myndigheder og virksomheder. Offentligheden - kommunens borgere og andre berørte. Ad-hoc interessenter. Information i forbindelse med et katastrofescenario indgår som en naturlig del af kommunens overordnede kommunikationspolitik. Kommunikationen finder sted efter en afvejning i forhold til den aktuelle situation. 4 RISIKOANALYSE 4.1 Overordnede risici Overordnede risici og trusselsscenarioer, der kan true kommunens it-systemer, kan være: Sikkerhedsbrud, som virus- og hackerangreb, der skader it-anvendelsen. Planlagte ændringer i it-systemer, som introducerer fejl. Udstyr, som svigter eksempelvis på grund af slitage eller overkapacitet. Tyveri af vitalt it-udstyr. Strømudfald, uanset årsagen. Brud på netværksforbindelser eller andre kommunikationsforbindelser, eksempelvis på grund af overgravning eller strømsvigt hos leverandører. Brande og eksplosionsulykker, nedbrænding af serverrum eller nedbrænding af andre væsentlige lokationer. Naturkatastrofer eller andre forhold, der kan medføre vandskader eller strømsvigt. Terrorhandlinger der direkte eller indirekte skader it-anvendelsen. I forbindelse med en uheldssituation eller et katastrofescenario er der mange koordinerende funktioner, som skal understøttes primært for at begrænse skadens omfang og sekundært for at genskabe det oprindelige driftsmiljø. Itberedskabet og en krisestab har kompetencen i en nødsituation. 4.2 Risikovurdering i Holbæk Kommune Systemer og data, som indgår i kommunens opgaveløsning, risikovurderes med baggrund i system- og dataejernes tilkendegivelse om konsekvenser ved nedbrud med videre. Risikovurderingen skal gennemføres i henhold til den beskrevne metode. Med udgangspunkt i en konsekvensvurdering opdeles alle systemer i 3 kategorier efter en konkret prioritering. Prioriteringen finder sted i samarbejde med øverste i-sikkerhedskoordinator, system- og dataejerne og lederen af it-afdelingen. Efterfølgende indgår systemet i nødberedskabet med deraf følgende instrukser og vejledninger. System- og dataejere skal desuden meddele ændringer i risikobilledet vedrørende det enkelte system, til i- sikkerhedskoordinatoren. Systemejeren har ansvaret for, at der en gang årligt gennemføres en risikovurdering for alle væsentlige systemer og data i Holbæk kommune. Lederen af it-afdelingen har endvidere ansvaret for kvalitetssikring og vedligeholdelse af risikovurderingsmetoden. Ved væsentlige ændringer af systemer skal der foretages en fornyet risikovurdering, og det skal vurderes, om ændringerne skal medføre en revision af beredskabet. 3

4 5 ANSVAR OG KOMPETENCE 5.1 Kriseledelse Kriseledelsens opgave er at træffe beslutninger og informere i den aktuelle situation på baggrund af instruks i kommunens beredskabsplan og nødberedskab for it-anvendelsen. Kriseledelsen består af: En ledelsesrepræsentant, som beslutter om beredskabet skal iværksættes: a) Ved katastrofescenario eller politisk følsomme områder - kommunaldirektøren. b) Hvis katastrofescenario er afgrænset til en afdeling chef eller den pågældende afdelingsleder. Lederen af it-afdelingen. Relevante system- og dataejere. En repræsentant fra it-afdelingen, som har den nødvendige viden og kompetence til at etablere nøddrift. Kommunikationschef, som varetager information af interne og eksterne funktioner herunder presse. Repræsentanter fra afdelinger efter behov. Der skal for alle funktioner være udpeget suppleanter. 5.2 Arbejdsgrupper Til at varetage den konkrete problemløsning skal der etableres en række arbejdsgrupper, som har ansvaret for etablering af midlertidige forretningsprocesser og for retablering af it-understøttelsen. Afhængig af opgavestørrelsen kan arbejdsgrupperne opdeles i mindre enheder dog altid med suppleanter. Der skal etableres arbejdsgrupper med ansvar for følgende områder: Basissystemer Applikationer, herunder fagsystemer og brugersystemer Hardware og tekniske løsninger, herunder netværk I forbindelse med et eskaleret nødberedskab, varetager arbejdsgrupperne den nødvendige koordinering mellem systemejere, it-afdelingen og eventuelle leverandører. For hver arbejdsgruppe skal der udarbejdes en instruks. Endvidere udarbejdes en opgave- og alarmeringsliste, hvor medlemmerne i de forskellige arbejdsgrupper fremgår. 6 PRIORITERING AF DRIFTOPGAVER 6.1 Klassifikation af systemers væsentlighed Alle systemer skal klassificeres ud fra deres væsentlighed for kommunens fortsatte drift. I prioriteringen tages højde for indbyrdes afhængighed. Eksempelvis er alle systemer, som kræves for driftsafvikling af prioritet 1 system, som udgangspunkt også betegnet som prioritet 1. Udgangspunktet for prioriteringen er en risikovurdering af de enkelte systemer. I forbindelse med risikovurderingen af systemerne, er der endvidere taget stilling til manuelle eller midlertidig it-understøttelse af forretningsgange Prioritet 1 systemer Nogle kerneopgaver og forretningsgange kan ikke udføres uden it - eller kun udføres uden it ved anvendelse af uforholdsmæssigt store ressourcer. Systemer til løsning af disse opgaver har prioriteret 1. 4

5 Til sikring af den pågældende opgaveløsning, skal der derfor etableres et nødberedskab, som - i det væsentlige - sikrer fortsat drift. Samtidig skal der beskrives manuelle forretningsgange, som kan medvirke til at minimere konsekvenserne ved et egentligt katastrofescenario eller et mere begrænset systemnedbrud. Alle prioritet 1 systemer prioriteres indbyrdes med henblik på den mest effektive ressourceudnyttelse ved et katastrofescenario. Den indbyrdes prioritering foretages af systemejere, dataejere, it-afdelingen og i samarbejde med i-sikkerhedskoordinatoren. Prioritet 1 systemer garanteres normalt i drift indenfor højst en arbejdsdag Prioritet 2 systemer Nogle opgaver og forretningsgange kan udføres uden it i en kortere periode. Systemer til løsning af disse opgaver har prioritet 2. Til sikring af den pågældende opgaveløsning, skal der i forbindelse med et nedbrud etableres et nødberedskab, der dels beskriver en kortvarig manuel forretningsgang, dels - i det væsentlige - sikrer fortsat drift af systemet efter en kortere periode. En kortere periode defineres som 2-3 arbejdsdage Prioritet 3 systemer - øvrige En række opgaver og forretningsgange kan udføres manuelt - dog med nogen ulempe. Systemer til løsning af disse opgaver har prioritet 3. Til sikring af den pågældende opgaveløsning, skal der i forbindelse med et nedbrud etableres et nødberedskab, der dels beskriver en manuel forretningsgang og samtidig - i det væsentlige - sikrer fortsat drift. 6.2 Prioritering af kommunens systemer For at undgå tvivl om det enkelte systems væsentlighed for kommunen, skal alle systemer være prioriteret inden for de 3 kategorier, som er beskrevet ovenfor. Indplaceringen foretages med udgangspunkt i en sårbarheds- og afhængighedsvurdering i dialog mellem systemejere, chefgruppen og it-afdelingen. It-afdelingen, forretningskonsulenter og i-sikkerhedskoordinatoren vedligeholder oversigten over alle systemer i fællesskab. 6.3 Beskrivelse af faser Med henblik på at sikre kommunens it-driftsafvikling, er der defineret 3 driftssituationer: Nøddrift. Reservedrift. Normaldrift Nøddrift I forbindelse med en katastrofe, hvor kommunens it-driftsafvikling afbrydes, vil der automatisk ske en overgang til nøddrift. Nøddrift betyder, at der øjeblikkeligt skal foretages en vurdering af kommunens fortsatte it-driftsafvikling og - i fornødent omfang - etableres manuelle løsninger til sikring af opgavevaretagelsen. Som udgangspunkt vil fokus være på prioritet 1 systemer. Særlige aftaler med leverandører af materiel, programmel og forbrugsmaterialer skal overvejes Reservedrift Reservedrift kan dels forekomme i forlængelse af nøddrift, indtil systemerne er i normaldrift eller i forbindelse med mindre nødsituationer, hvor det kun er dele af systemanvendelsen, der rammes. 5

6 Når reservedrift er et produkt af nøddrift, kan der i en kortere eller længere periode, forekomme forstyrrelser i den egentlige it-driftsafvikling ligesom udviklings- og vedligeholdelsesopgaver sættes i bero. I forbindelse med mindre nødsituationer, kan der være behov for at etablere reservedrift, hvor dele af kommunens nødberedskab træder i kraft Normaldrift It-driften afvikles normalt. 7 TILTAG 7.1 Beskrivelse af beredskabet Beskrivelse af det konkrete beredskab: Ad-hoc løsninger, som vedrører midlertidige it-driftsløsninger, der etableres efter bedste evne. Aftaler med leverandører og samarbejdspartnere. Der er indgået aftaler med en række leverandører, som inden for en aftalt tidsfrist kan etablere normal driftssituation. Afhængig af omfanget af det pågældende katastrofescenario er der en risiko for, at leverandører også er ramt og derfor ikke kan levere den aftalte ydelse. Udgangspunktet for leverandøraftaler er en standardkontrakt med mulighed for eskaleret problemløsning. Inden for kommunen er der en forpligtigelse til at bistå ved katastrofesituationer. Backup, backupudstyr og backuplinjer med videre. Der er etableret en række løsninger med henblik på videreførelse af den administrative it-driftsafvikling, herunder sikkerhedskopiering og katastrofekopier, backupudstyr og backup-kommunikationslinjer. 7.2 Retableringsprocedurer Der skal i relevant omfang udarbejdes operationelle vejledninger til anvendelse ved håndtering af en katastrofesituation. Fokus skal være på prioritet 1 og prioritet 2 systemer. Ansvaret for udarbejdelse af vejledningernes indhold og opdatering påhviler de arbejdsgrupper, som er ansvarlige for løsning af opgaverne i en katastrofesituation. Lederen af it-afdelingen har ansvaret for, at vejledningerne er udarbejdes. 8 AFPRØVNING AF BEREDSKABET Kommunens nødberedskab skal løbende afprøves som papirtest, deltest eller fuld test. Målet er at sikre: Fuldstændighed, relevans og præcision. Vurdering af personalets indsats, herunder vurdering af træning og indsigt. Evaluering af koordination - mellem interne og eksterne parter. Måling af backupsites evne og kapacitet. Vurdering af evnen til at genskabe vitale data. 8.1 Papirtest og skrivebordsintegrationstest Papirtesten er en teoretisk gennemgang - på skrivebordsniveau - af kommunens nødberedskab. Der gennemgås en række scenarier med fokus på dokumentation og beredskabsplanernes operationalitet. Der skal foretages papirtest af 2 systemer om året - primært med fokus på prioritet 1 systemer. Systemejere har ansvaret for, at beredskabsplanen, herunder midlertidige forretningsgange testes. I-sikkerhedskoordinatoren modtager dokumentation for, at aftestning har fundet sted. 6

7 Hvis flere systemer er gensidigt afhængige, skal der foretages en skrivebordsintegrationstest af samspillet mellem de forskellige grupper/systemer. 8.2 Deltest Deltesten er en aftestning af nødberedskabet for delelementer af kommunens it-driftsafvikling. En deltest kan eksempelvis være reetablering af data fra databaser eller hele systemer, ligesom afprøvning af midlertidige forretningsgange omkring nødberedskabet kan ske som deltest. Som udgangspunkt fastsættes ikke krav til udførelse af deltests. Der kan efter behov iværksættes deltests af nødberedskabet for foruddefinerede systemer. 8.3 Fuld test En fuld test er en aftestning af kommunens samlede nødberedskab - i den udstrækning det er muligt, når der ikke er tale om en reel katastrofe. Der er ikke krav til udførelse af fuld test. Behovet herfor revurderes mindst en gang om året og ved større ændringer i it-anvendelsen eller it-driften. 9 EVALUERING AF NØDBEREDSKAB Senest 14 dage efter afslutning af et eskaleret nødberedskab, skal der ske en evaluering af forløbet. Følgende forhold indgår i evalueringen: Årsag Hvad var årsagen til nedbrud? Er fejlen entydigt identificeret? Kan fejlen opstå igen og hvordan kan den eventuelt undgås? Hvordan kan konsekvenserne ved en fejl reduceres? Forløb i fejlrettelsen Var der kendskab til fejlmeldeproceduren? Var nødvendig kontaktinformation tilgængelig og kendt af de involverede? Reagerede eksterne leverandører tilfredsstillende? Var varigheden af fejlrettelsen acceptabel? Kunne noget gøres anderledes/bedre? Serviceaftaler Giver forløbet grund til at etablere nye serviceaftaler med eksterne parter? Er der grund til at præcisere eller ændre indholdet i serviceaftaler? Ændring af procedurer og aftaler andre steder Kan lignende fejl opstå andre steder? Kan lignende konsekvenser opstå ved andre typer fejl? Er der områder, som på baggrund af erfaringerne kræver ny risikovurdering? Evaluering af nødberedskabets effektivitet Fungerede nødberedskabet efter hensigten og blev nødberedskabet fulgt? Skal nødberedskabet eventuelt suppleres med nye punkter og skal der foretages andre justeringer i planen? 7

8 Tilbagemelding til interessenter om årsag til problemet og erfaringer. Lederen af it-afdelingen er ansvarlig for at evalueringen finder sted. Evalueringen skal dokumenteres og behandles af direktionen. 10 VEDLIGEHOLDELSE AF NØDBEREDSKAB 10.1 Ansvar for vedligeholdelse Lederen af it-afdelingen, systemejer og dataejer har ansvaret for, at nødberedskab for it-anvendelsen i Holbæk Kommune vedligeholdes og ajourføres, i takt med tilvæksten af nye systemer, tekniske eller organisatoriske ændringer, ændringer i risikobilledet i øvrigt Kontrol af vedligeholdelse I-sikkerhedskoordinatoren har ansvaret for at kontrollere, at nødberedskab for it-anvendelsen i Holbæk Kommune vedligeholdes. 11 UDDANNELSE Det skal løbende sikres, at de nødvendige kompetencer til løsning af opgaverne forbundet med nødberedskabet er til stede i kommunen eller kan skaffes inden for fastsatte tidsfrister, eksempelvis ved brug af eksterne leverandører. Kommunens ledelse modtager relevant uddannelse og information i forbindelse med almindelige lederseminarer mv. mens øvrige interessenter deltager ved kompetencegivende uddannelser. For it-medarbejderne vil nødberedskabet være en del af den almindelige opgavevaretagelse. Det konkrete behov vurderes på baggrund af beredskabsplanen. Relevante dele af nødberedskabet skal kommunikeres ud i organisationen, så ingen er i tvivl om, hvad de skal gøre, herunder hvem de skal kontakte. Dette finder sted på HolBækken (kommunens intranet). 12 OPBEVARING Beredskabsplanen er tilgængelig på udvalgte lokationer. Alle relevante vejledninger og instrukser, skal være tilgængelige for nøglepersoner. Materialet skal findes følgende steder: Brandboks placeret i BOS. Hos lederen af it-afdelingen. ESDH Hos i-sikkerhedskoordinatoren Hos beredskabschefen. Kontaktlister skal findes dels som et bilag til beredskabsplanen, dels råder en række nøglemedarbejdere samt direktionen over en ajourført kontaktliste. 8

9 13 MATERIALE/BILAG Systemoversigt m/ prioritering/klassifikation samt kontaktliste. Foranstaltninger i forbindelse med beredskabet: Leverandøraftaler. Nødudstyr. Andet. Vejledninger. Risikovurderinger af udvalgte systemer, herunder manuelle forretningsgange 9