Beredskabsstrategi for SDN

Transkript

1 Beredskabsstrategi for SDN Indholdsfortegnelse FORMÅL OG MÅLSÆTNINGER... 2 DEFINITIONER... 3 AFGRÆNSNING... 4 ORGANISERING, ROLLER, ANSVAR OG KOMPETENCE... 5 KONSEKVENSVURDERING FOR FORRETNINGEN OG RETABLERINGSSTRATEGIER... 6 SAMMENHÆNGE TIL ANDRE BEREDSKABSPLANER... 8 PROCESSER MELLEM INCIDENT HÅNDTERING, KUNDER OG LEVERANDØRER... 9 FORRETNINGSNØDPLANER... 9 AKTIVERING AF BEREDSKAB, STYRING OG DEAKTIVERING DOKUMENTATION UNDER BEREDSKAB ANALYSE AF IVÆRKSAT BEREDSKAB, SKADESVURDERING OG RAPPORTERING VEDLIGEHOLDELSE, VEDLIGEHOLDELSESAKTIVITETER OG TEST IMPLEMENTERING OG TILGÆNGELIGHED AF BEREDSKABSPLAN REVISIONSHISTORIK... 12

2 Side 2 af 12 Formål og målsætninger MedCom er fællesoffentlig systemforvalter for SDN. SDN er et sikret netværk til transmission af data i og på tværs af parter og services i sundhedsvæsenet. Formålet med denne it-beredskabsstrategi er at fastlægge de overordnede rammer for Med- Coms arbejde med og implementering af it-beredskabet for Sundhedsdatanettet (SDN). Den operationelle udmøntning af strategien beskrives særskilt i it-beredskabetplanen. Målet for beredskabet er, at tilgængeligheden for SDN opretholdes eller genetableres, før parterne på SDN lider uacceptable tab på områder så som menneskeliv, omdømme og omkostninger. Endvidere skal beredskabet medvirke til, at MedCom ikke selv lider et uacceptabelt tab på omdømme. Beredskabet skal sikre, at MedCom kan: Varetage sit ansvar i tilfælde af kritiske hændelser på SDN med tab af tilgængelighed og/eller fortrolighed Være beslutningsdygtige og kunne igangsætte en indsats ift. at håndtere hændelserne og begrænse skadevirkninger i samarbejde med leverandørerne og brugerne Identificere og håndtere hændelser så tidligt som muligt med henblik på at begrænse konsekvenserne Sikre en koordineret indsats for håndtering af hændelserne og afkortning af reetableringstiden Beredskabsstrategien er klassificeret som ikke-fortrolig. It-beredskabet er udarbejdet med udgangspunkt i en risikovurdering baseret på de forretningsmæssige behov eller krav.

3 Side 3 af 12 Definitioner Emne Definition Normal drift Alle kritiske it-services og it-systemer fungerer, som forventet. Der kan indtræffe mindre hændelser, men disse løses rutinemæssigt. Incident Hvis en service ikke kan tilgås, eller en organisation ikke har forbindelse til SDN. Major incident Nedbrud på enten en kritisk organisation eller en kritisk service, som kan genetableres inden for de fastlagte tidsmæssige kriterier (SLA og RTO). Kritisk service En service, som anvendes af mange organisationer, eller hvor tab af tilgængelighed er kritisk for patientbehandling. Kritisk organisation En stor organisation med mange brugere (eksempelvis regioner, KMD for kommuner) eller en organisation med mange services (eksempelvis Region Nordjylland, Sundhedsdatastyrelsen).

4 Side 4 af 12 Afgrænsning Beredskabet gælder for: SDN dvs. netværk og fysisk infrastruktur i form af datalinjer bestående af VPN-linjer og SDN-MPLS-forbindelse samt aktive netværkskomponenter SDNs støttesystemer vurderes som ikke-kritiske for at kunne afvikle services på SDN. Beredskabet dækker således ikke følgende systemer: Aftalesystem: Bruges til at oprette og vedligeholde/ændre kørende services, klienter og IP-aftaler mellem disse Testserver: Viser, om man har adgang til SDN og kan pinge services Timeserver: Giver fælles timestamps på tværs af logs Smokeping: Viser tilgængelighed på forbindelser og services DNS og DNS cache: Opløser.medcom-domæne i tillæg til.dsdn.dk-domæne Trafik: Opsamler netflow fra routere til trafikstatistik Solarwinds: Overvåger routere Fremadrettet med indgåelse af ny kontrakt forventes både timeserver og netflowopsamling at udgøre kritiske systemer ift. sikkerhed. Både leverandører og tilsluttede parter på SDN er ansvarlige for at have egne beredskabsplaner og teste disse. MedCom udgør i den henseende den mellemliggende led med ansvar for at koordinere og kommunikere i en beredskabssituation. Beredskabet forventes at fungere effektivt under forudsætning af, at en beredskabssituation ikke er sammenfaldende med flere af beredskabsorganisationens nøgleaktørers fratræden fra deres stillinger.

5 Side 5 af 12 Organisering, roller, ansvar og kompetence MedComs beredskabsorganisation er baseret på følgende hovedfunktioner: Rolle Ansvar Hvem Kompetence Overordnet ansvarlig Overordnet ansvarlig for beredskabet herunder godkendelse af strategien. MedComs styregruppe Ledelse Praktisk ansvarlig Ansvarlig for den praktiske implementering af beredskabet. MedComs ledelse Ledelse Ansvarlig for ledelse i beredskabet. Løsningsteam Planlægger og udfører af løsningsindsatsen i samarbejde med leverandørerne. MedComs systemforvaltningsteam Teknisk viden. Viden om leverandørforhold. Leverandører Planlægger og udfører. Netic og TDC NetDesign Teknisk viden. Viden om eget beredskab. Kommunikationsteam Planlægger og varetager intern og ekstern kommunikation. Varetage koordination i beredskabet. Opdatere hændelseslog. MedComs systemforvaltningsteam Viden om aftalte kommunikationskanaler og kommunikationsaktiviteter. Adgang til kontaktlister. Koordination. Faciliteringsteam Varetagelse af serviceog logistikopgaver. Sekretariat hos Med- Com Viden om mødebooking, bestilling af forplejning m.v. Roller og ansvar er nærmere beskrevet i beredskabsplan og action cards.

6 Side 6 af 12 Konsekvensvurdering for forretningen og retableringsstrategier Formålet med retableringsstrategien er at planlægge, hvordan systemet overordnet set retableres i en beredskabssituation med hensyn til de forretningsmæssige behov, der er af krav til tilgængelighed (Recovery Time Objective / RTO). Reetablering foregår ud fra følgende prioritering: SDN dvs. datalinjer / netværk og aktive netværkskomponenter DNS og DNS cache Solarwinds Timeserver Trafik Aftalesystem Testserver Smokeping Beredskabsledelsen fastlægger i en konkret situation den aktuelle prioritering.

7 Side 7 af 12 Reetableringsstrategien bygger på nedenstående: System RTO Reetableringsstrategi SDN 2 t Driftes af ekstern leverandør. SDN er redundant opbygget. I en beredskabssituation foretages failover. Fejlbehæftet udstyr udskiftes inden for planlagt 2 t. DNS og DNS cache 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Solarwinds 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Timeserver 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Trafik 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Aftalesystem 4 t Systemet driftes og udvikles af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Testserver 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform. Smokeping 4 t Systemet driftes af ekstern leverandør og afvikles på virtuel server. Der foretages back up. I en beredskabssituation vil leverandøren reetablere systemet fra back up og blive afviklet på ny virtuel platform.

8 Side 8 af 12 Sammenhænge til andre beredskabsplaner MedComs krav til sikkerhed og tilgængelighed skal opfyldes, også selvom MedCom er afhængig af eksterne leverandører. MedComs konkrete krav til retableringsmål (RTO) vil fremgå af driftsaftalerne og består af følgende kontrol: SLA-aftaler og løbende rapportering Revisionserklæringer Der stilles krav om ovenstående ved udbud. Endvidere stilles der ved udbud krav til leverandøren om at have egen beredskabsplan herunder en årlig test af deres beredskabsplan, som leverandøren skal være kontraktslig forpligtet til at rapportere resultatet af til MedCom. Endvidere stilles krav til leverandøren om, at de er forpligtiget til at indgå i samarbejde om beredskabsplanlægningen og en årlig test af MedComs beredskabsplan for SDN herunder test og opdatering af kommunikationsplan.

9 Side 9 af 12 Processer mellem incident håndtering, kunder og leverandører I nedenstående er der en oversigt over, hvilke processer skal der være i samarbejdet. Emne Hvad Hvorfor Hvordan Kontaktoplysninger De tilsluttede parter skal bidrage med kontaktoplysninger til nøglemedarbejdere og gerne personuafhængig vagtordning. Kommunikation ved en beredskabssituation både for Med- Com og leverandøren. Del af tilslutning til SDN og registrering i aftalesystem (fremtidig). Registrering af skal opdateres ved ændringer. Klassificering De tilsluttede parter for SDN skal bidrage med klassificering af udstillede services på SDN (fremtidigt). Overblik for både leverandører og MedCom i relation til en potentiel beredskabssituation samt ift. support. Del af tilslutning til SDN og registrering i aftalesystem (fremtidig). Registrering skal opdateres ved ændringer. Rapportering De tilsluttede parter skal rapportere brud på fortrolighed og tilgængelighed i relation til SDN til Med- Com. For at MedCom kan varetage sit ansvar i tilfælde af kritiske hændelser og kunne igangsætte og koordinere en eventuel indsats. Kontaktoplysninger / vagtordning hos MedCom og leverandør Der skal på baggrund af ovenstående udarbejdes veldefinerede retningslinjer for incidenthåndtering i samarbejdet mellem kunder, leverandører og MedCom. Disse skal følges i forbindelse med en beredskabssituation. Forretningsnødplaner Der er i MedComs systemforvaltningsteam ingen forretningskritiske processer, som kræver en forretningsnødplan.

10 Side 10 af 12 Aktivering af beredskab, styring og deaktivering Beredskabet skal iværksættes ved: Major incident, hvor der ikke er udsigt til, at genetableringen kan ske inden for de fastlagte tidsmæssige kriterier (SLA og RTO). Alvorligt brud på fortrolighed Alvorligt brud på tilgængelighed Ukontrollerede og uidentificerede hændelser med uoverskuelige konsekvenser Det er ledelsen eller nøglemedarbejdere i MedComs systemforvaltningsteam, der vurderer, om beredskabet skal iværksættes. Selvom en hændelse vedrørende brud på fortrolighed ikke umiddelbart opfylder kriterierne for at iværksætte det fulde beredskab, kan dele af de operationelle handlingsplaner benyttes, fx kommunikationsplanen af hensyn til håndtering af interessenter. Kriterier for aktivering af beredskabsplanen skal aftales med leverandøren, som kan have egne kriterier. Beredskabet kan deaktiveres af ledelsen eller nøglemedarbejdere i MedComs systemforvaltningsteam, når: Leverandørerne fortæller, at SDN er oppe at køre igen Når det på smokeping kan verificeres, at SDN er oppe igen Brugerne af services bekræfter, at services er tilgængelige igen Dokumentation under beredskab Der skal i en beredskabssituation vedligeholdes en hændelseslog. Her skal indsamles information og dokumentation i forløbet og til evaluering af beredskabssituationen. Skabelon til hændelseslog fremgår i beredskabsplanen som bilag. Der skal foreligge opdaterede og tilgængelig system- og driftsinformation for SDN.

11 Side 11 af 12 Analyse af iværksat beredskab, skadesvurdering og rapportering Der skal til MedComs ledelse udarbejdes en rapportering efter en beredskabssituation med henblik på vurdering af skade, årsag samt læring for eventuel iværksættelse af udbedringstiltag herunder opdatering af beredskabsplanen. Analysen skal udarbejdes på baggrund af hændelsesloggen og møde med løsningsteamet. I rapporten skal indgå følgende: Hvad var årsag til hændelsen og til iværksættelsen af beredskabet? Hvem var påvirket af hændelsen, og hvad var betydningen (skadeomfang/omkostning)? Hvad blev iværksat for at håndtere hændelsen? Hvad lærte vi? Er der forslag til forbedringer (teknik, kommunikation, beredskabsplan)? Kommunikationsteamet har ansvar for udarbejdelsen af rapporten. Vedligeholdelse, vedligeholdelsesaktiviteter og test Beredskabsplanen revideres årligt og ved behov. Der afholdes årligt en beredskabsøvelse i form af en skrivebordsøvelse med deltagelse af de forskellige roller og teams i beredskabet samt eventuel leverandøren og repræsentationer fra de tilsluttede organisationer i SDN. Der stilles i udbud krav til leverandøren om at lave en årlig fysisk test for vished om, at forudsætninger i en beredskabssituation er til stede dvs. test af genetablering/failover af SDN. Planlagt revision af beredskabsplanen vil ligge i forlængelse af den årlige risikovurdering for SDN. Herudover skal revision udarbejdes og vurderes: Ved leverandørskift Efter test af beredskabsplanen Kontaktoplysninger i beredskabsplanen revideres årligt og løbende. Dette omfatter både kontaktlister, der skal anvendes af beredskabsledelse, kommunikationsteam og løsningsteam. Kommunikationsteamet har ansvar for revisionen. Revisioner godkendelse af MedComs ledelse.

12 Side 12 af 12 Implementering og tilgængelighed af beredskabsplan Alle i beredskabsorganisationen skal kende beredskabsplanen, deres rolle og indgå i den årlige test. Beredskabsplanen findes elektronisk på MedComs interne drev: T:\MEDCOM\Igangværende opgaver\systemforvaltning\sdn\styringsdokumenter\beredskab\beredskabsplan Beredskabsplanen findes desuden i en fysisk version, som opbevares på sekretariatet i en rød mappe. Den vil således kunne anvendes, hvis der er sammenhæng mellem en beredskabssituation for SDN og et nedbrud af mail og adgang til drev hos MedCom. Kommunikationsteamet er ansvarlig for print af det fysiske eksemplar til mappen ved revisioner. Alle i beredskabsorganisationen skal kende deres rolle og indgå i den årlige test. Revisionshistorik Dato Version Rettelse Forfatter Godkendt af Tanja Jusslin Små rettelser Jens Rahbek Nørgaard Små rettelser Tanja Jusslin