It-beredskabsplan Frederiksberg Kommune

Transkript

1 It-beredskabsplan Frederiksberg Kommune

2 Indhold 1. Indledning Formål og målsætning Beredskabsplanens omfang og anvendelsesområde Dataejernes ansvar for internt it-nødberedskab Udarbejdelse, revision og vedligeholdelse af beredskabsplanen Beskrivelse af it-beredskabet It-beredskabsgruppen Aktivering af it-beredskabet It-beredskabsgruppens ansvar/opgaver Dagsorden for beredskabsgruppens første møde Tjeklister for beredskabsgruppen Hændelsen Indvirkning Sikkerhed Midlertidig drift Normal drift Andre praktiske forhold Kommunikation og information Ressourcer Personaleressourcer Tekniske ressourcer Eksterne samarbejdspartnere Detailplaner og actioncards Ophævelse af beredskabet og overgang til normal drift Evaluering af beredskabet Afprøvning af beredskabet Øvelsesniveauer Fuldskalaøvelser Afgrænsede øvelser Skrivebordsøvelser

3 1. Indledning Kommunens varetagelse af forpligtelser og samfundsmæssige opgaver er i høj grad understøttet og afhængig af kommunens it-funktioner. Det betyder, at nedbrud i itfunktionerne kan have alvorlige konsekvenser for kommunens varetagelse af de essentielle opgaver og funktioner, som er it-understøttede. Der er derfor af afgørende betydning, at kommunen har et it-beredskab, der kan sikre, at krisesituationer, med alvorlige og omfattede nedbrud i de vitale it-funktioner, kan håndteres bedst muligt Omfattende nedbrud i kommunens it-funktioner kan for eksempel ske som følge af: Vandskader som følge af skybrud/oversvømmelser Strømsvigt Brand- og eksplosionsulykker Virus- og hackerangreb Tyveri af vitalt it-udstyr Alvorlige hardwarefejl Terrorhandlinger 2. Formål og målsætning It-beredskabet tager udgangspunkt i kommunens informationssikkerhedspolitik, hvor det fremgår, at kommunen gennem beredskabsstyring skal sikre, at konsekvenserne af alvorlige sikkerhedsmæssige hændelser kan imødegås og begrænses bedst muligt. Det fremgår endvidere, at beredskabet skal omfatte formelle beredskabsplaner, og organisatorisk tilrettelæggelse af krisehåndtering i forbindelse med kritiske sikkerhedshændelser. It-beredskabsplanen skal overordnet sikre, at nedbrud i vitale it-funktioner kan håndteres hensigtsmæssigt, og at it-funktionerne kan reetableres og bringes tilbage til normal drift indenfor en acceptabel tidsramme. Ligeledes skal det i sammenhæng med planen sikres, at der i relevant omfang findes nødplaner for opretholdelse af kritiske kommunale opgaver under omfattede nedbrud i it-funktioner. It-beredskabsplanen skal endvidere sikre, at der er fastlagt ansvarsfordeling, og beskrevet procedurer for information og kommunikation til den øverste ledelse (Borgmesteren, Kommunalbestyrelsen og direktionen), samt medarbejder og samarbejdspartnere i forbindelse med alvorlige nedbrud i it-funktioner 3

4 3. Beredskabsplanens omfang og anvendelsesområde It-beredskabsplanen indgår som en del af det overordnede beredskab for kommunen, som er forankret hos beredskabschefen hos Frederiksberg Brandvæsen. Som udgangspunkt omfatter planen beredskabet for kommunens egen it-infrastruktur og de itsystemer som ejers af kommunen, og som It-afdelingen ved It-service har ansvaret for driften af. Mere specifikt drejer det sig om kommunens samlede it-netværk (aktivt udstyr og kabling), it-udstyr og systemer (primært placeret i kommunens serverrum) og telefonisystemerne. Beredskabsplanen er It-afdelingens grundlag for at kunne opretholde eller genetablere vitale it-funktioner i forbindelse med katastrofesituationer og andre alvorlige krisesituationer. I praksis må beredskabsplanen forventes især, at skulle finde anvendelse i mere normalt forekommende krisesituationer, og meget sjældent i situationer, hvor der et tale om deciderede katastrofer. Typisk vil være tale om krisesituationer, som opstår på grund af forsyningssvigt eller materielle ødelæggelser og skader på it-udstyr. Her skal planen gennem fastlæggelse af ledelsesansvar, koordination og kommunikation sætte It-afdelingen i stand til at håndtere videreførelse og/eller reetablere vitale it-funktioner inden for fastlagte tidsfrister. It beredskabsplanen skal være tilgængelig via kommunens fælles it-løsning for beredskab (C3) og skal til enhver tid ligeledes være tilgængelig i papirform i den seneste version. 3.1 Dataejernes ansvar for internt it-nødberedskab Systemejerne har ansvaret for, at der i relevant omfang tilrettelægges lokale nødprocedurer i forhold til den fortsat varetagelse af de it-understøttede forretningsprocesser/opgaveområder i krisesituationer. Nødprocedurerne skal sikre, at kritiske opgaver kan opretholdes i videst mulig omfang under større og længerevarende nedbrud, hvor itberedskabet træder i kraft. Behovet for eventuelle nødprocedurer kan blandt andet identificeres gennem de risikovurderinger af it-anvendelsen i kommune, som systemejerne løbende udarbejder i samarbejde med it-sikkerhedskoordinatoren. De specifikke nødprocedurer skal tilrettelægges, dokumenteres og vedligeholdes af de ansvarlige områder/afdelinger. Som udgangspunkt bør nødprocedurerne være tilgængelige i kommunens generelle it-beredskabssystem (C3). 4

5 3.2 Udarbejdelse, revision og vedligeholdelse af beredskabsplanen It-chefen og it-servicechefen er i samarbejde med it-sikkerhedskoordinatoren ansvarlige for at vedligeholde it-beredskabsplanen. Planen skal revideres i det omfang, ændringer i kommunens it-anvendelse gør det nødvendigt, og planen skal som minimum gennemgå revision én gang årligt. 4. Beskrivelse af it-beredskabet 4.1 It-beredskabsgruppen Der er etableret en fast it-beredskabsgruppe, som træder sammen, hvis der opstår kritiske hændelser i relation til kommunen it-funktioner, som medfører aktivering af beredskabet. Beredskabsgruppens medlemmer er: It-chefen It-servicechefen Digitaliseringschefen It-chefen fungerer som formand for beredskabsgruppen. Hvis it-chefen er fraværende indtræder it-servicechefen som formand. Gruppen udpeger en indsatskoordinator, og formanden skal afhængigt af den konkrete situation udvide gruppens medlemmer med de relevante faglige kompetence. Eksempelvis skal servicedirektøren og it-sikkerhedskoordinatoren indlemmes i beredskabsgruppen, hvis situationen har væsentlige og akutte konsekvenser for kommunens itsikkerhed, fx i situationer, hvor der sker brud på fortroligheden. Der er etableret en SMS-gruppe, som anvendes til underretning af beredskabsgruppen, når en hændelse opstår. 4.2 Aktivering af it-beredskabet It-beredskabet iværksættes ved hændelser, hvor der sker alvorlige nedbrud i vitale itfunktioner, som ikke kan håndteres inden for de normale driftsrutiner. Beredskabet kan også aktiveres forud for planlagte ændringer i it-infrastrukturen eller it-systemer, hvor der er betydelig risiko for alvorlige fejl/nedbrud, der vil kunne ramme vitale itfunktioner. Som udgangspunkt er det formanden for beredskabsgruppen, som beslutter om itberedskabet skal aktiveres. Imidlertid har enhver leder eller medarbejder i kommunen principielt ret til, at anmode It-afdelingen om at aktivere it-beredskabet, hvis der indtræffer alvorlige hændelser, som medfører nedbrud i it-funktioner. Som hovedregel vil 5

6 det dog være formanden for beredskabsgruppen som beslutter, om anmodningen skal følges, og om beredskabet skal aktiveres. Når It-afdelingens servicedesk, eller medarbejdere i afdelingen registrerer en alvorlig hændelse, skal it-chefen altid underrettes umiddelbart. Hvis det ikke er muligt at få kontakt til it-chefen, skal en af beredskabsgruppens øvrige medlemmer kontaktes. Itchefen (eller dennes stedfortræder) foretager herefter umiddelbart afdækning og vurdering af, om situationen kan håndteres inden for de normale driftsrutiner og ressourcer, eller om der reelt er tale om en krisesituation, hvor beredskabet skal aktiveres. Hvis formanden beslutter, at beredskabet skal aktiveres indkalder han beredskabsgruppen til et møde, som skal afholdes hurtigst muligt - som målsætning inden for en halv time. Alternativ arrangeres et telefonmøde mellem gruppens medlemmer. Formanden orienterer ligeledes borgmester og direktion om situationen via sms-gruppen. 4.3 It-beredskabsgruppens ansvar/opgaver Beredskabsgruppen er ansvarlig for, at der så hurtigt som muligt skabes et godt overblik over situationen, efter aktivering af it-beredskabet. Beredskabsgruppen skal foretage en vurdering af situationen, fastlægge indsatsen, og derefter sørge for, at de nødvendige handlinger bliver iværksat. Beredskabsgruppen skal derfor starte med at udarbejde en kortfattet beskrivelse af situationen, med udgangspunkt i nedenstående tjeklister: 4.4 Dagsorden for beredskabsgruppens første møde Der anvendes følgende faste dagsorden som ramme for beredskabsgruppens møde: 1. Beskrivelse af hændelsen 2. Fastlæggelse af handlingsplan for løsning 3. Udarbejdelse af kommunikationsplan 4. Aftaler om yderligere møder og kommunikation i gruppen. Der fastsættes mødetidspunkt for gruppens næste møde, samt hvordan formanden holder gruppen orienteret om situationen. 4.5 Tjeklister for beredskabsgruppen Hændelsen Der skal udarbejdes en kort generel beskrivelse af den kritiske hændelse og de problemer det medfører og er der evt. allerede iværksat tiltag for etablering af midlertidig drift: Hvad er der sket 6

7 Hvilke handlinger/tiltag er der aktuelt foretaget Hvad er status Indvirkning Klarlæggelse af hændelse indvirkning på it-funktioner og kommunens opgavevaretagelse: Hvilke it-funktioner er ramt I hvilket omfang er it-funktionerne ramt Hvor mange og hvilke brugere er berørt Sikkerhed Er der er tale om en sikkerhedsbrist, som kræver særlig forholdsregler og inddragelse særlige kompetencer på området: Er der sket brud på fortroligheden. Er der sket brug på systemer og datas integritet/pålidelighed Medfører situationen risiko for lovbrud Medfører situationen overtrædelse af kommunens sikkerhedsregler Midlertidig drift Et kvalificeret bud på den midlertidige driftssituation: Kan midlertidig drift sikres og hvordan. Nøddrift, alternative opkoblinger, mv. Hvor lang tid der går, før der kan reetablere midlertidig drift. Hvilke medarbejdere og evt. leverandører, skal involveres i løsningen, herunder evt. estimat på omfanget og evt. omkostninger til opgaven Normal drift Et kvalificeret bud på hvornår normal drift forventes genoptaget: Hvor lang tid der går inden normal drift kan iværksættes Hvordan normal drift kan sikres Hvilke medarbejdere og evt. leverandører, skal involveres i løsningen af problemet, herunder evt. estimat på omfanget og evt. omkostninger til opgaven Andre praktiske forhold Afdækning af praktiske forhold: Hvilke serviceaftaler og reaktionstidsgarantier er gældende for området Hvilke medarbejdere er på arbejde Hvor længe skal medarbejderne forvente at stå til rådighed Disponering af medarbejderressourcer kan nogen sendes hjem og indkaldes senere efter normal arbejdstid Behov for aftaler/orientering af medarbejder familie eller andre Hvordan er vi stillet, hvis næste dag er weekend eller helligdag Hvilke eksterne samarbejdspartnere er eventuelt involveret 7

8 Råder de eksterne samarbejdspartnere over de nødvendige ressourcer Er der etableret kontakt til de ansvarlige personer hos de eksterne samarbejdspartnere 5. Kommunikation og information Det er vigtigt, at der ved aktivering af beredskabet, og under hele beredskabssituationen foretages den nødvendige kommunikation af information i forhold til interessenter internt i organisationen, hos eksterne samarbejdspartnere og offentligheden generelt. Beredskabsgruppen skal derfor sørge for indledningsvist og løbende, at vurdere behovet kommunikation af information ud fra den konkrete situation. Beredskabsgruppen skal skitsere en kommunikationsplan ud fra i følgende punkter: Hvilke målgrupper skal der kommunikeres til om den konkrete situation det skal overvejes om der både er behov for intern og ekstern kommunikation. Hvem har ansvaret for, og hvem varetager kommunikation til de forskellige målgrupper. Hvilke informationer skal kommunikeres til målgrupperne. Hvilke kommunikationskanaler skal anvendes og med hvilken frekvens. It-afdelingens Servicedesk varetager som hovedregel altid den interne kommunikation i forhold til it-brugerne i organisationen, når en kritisk hændelse berører den gruppe. Formanden for beredskabsgruppen varetager kommunikationen i forhold til borgmester direktionen, og eksterne samarbejdspartnere I situationer, hvor der er behov for kommunikation i forhold til offentligheden, herunder borgerne og nyhedsmedier, skal formanden sikre at dette sker i samarbejde med kommunikationsafdelingen. 6. Ressourcer Frederiksberg Kommune råder over en række ressourcer, som kan inddrages i forbindelse med håndtering af beredskabssituationer 6.1 Personaleressourcer De relevante medarbejde i It-afdelingens It-service, ca. 20 personer, vil naturligt blive inddraget i beredskabssituationer, hvor der er behov for tekniske kompetencer og viden om kommunens tekniske it-installationer. Afhængigt af situationens karakter kan det endvidere være relevant at inddrage itkoordinatorerne og it-superbrugere i forvaltningsområderne. 8

9 6.2 Tekniske ressourcer It-afdelingen råder i begrænset omfang over ekstra it-udstyr og it-komponenter, som i relevant omfang kan inddrages i en beredskabssituationer. Konkret vil der være tale om følgende typer udstyr: Bærbare og stationære pc er Netværksudstyr routere, switche, kabler Printere Software 6.3 Eksterne samarbejdspartnere Kommunen har aktuelt en serviceaftale på drift og overvågning af kommunens netværk med den eksterne samarbejdspartner Netdesign. Det vil i et vist omfang være muligt at trække på tekniske ressourcer og kompetencer hos Netdesign i forbindelse med beredskabssituationer. 7. Detailplaner og actioncards It-service har ansvar for, at udarbejde og vedligeholde detailplaner for essentielle itinfrastrukturkomponenter og de kritiske it-systemer, som it-service varetager driften af. It-service skal ligeledes sikre, at der er udarbejdet opdaterede actioncards for håndtering af konkrete trusselsscenarier, som kan påvirke it-driften og medfører alvorlige nedbrud. Konkret er det på nuværende tidspunkt besluttet, at it-service skal sikre, at der foreligger actioncards på følgende scenarier: - Afbrydelser i den offentlige strømforsyning. - Vandindtrængning, primært som følge af voldsomme skybrud. It-service skal herudover i samarbejde med it-sikkerhedskoordinatoren og systemejerne løbende sikre, at der udarbejdes og tilrettelægges detailplaner og actioncards for relevante it-infrastrukturkomponenter og systemer. 8. Ophævelse af beredskabet og overgang til normal drift Beslutningen om at ophæve it-beredskabet i en situation, hvor det er aktiveret, kan udelukkende træffes af formanden for beredskabsgruppen. Beredskabet kan ophæves på følgende grundlag: - Den kritiske situation er håndteret, og det er mulig at overgå til normal drift og at eventuelle følgevirkninger kan håndteres inden for denne. 9

10 - Efter aktivering af beredskabet vurderes det, at situationens karakter og omfang alligevel kan håndteres inden for de normale driftsrutiner. 9. Evaluering af beredskabet Når it-beredskabet har været aktiveret skal der skal altid foretages en efterfølgende evaluering af forløbet og håndteringen situationen. Evalueringen skal påbegyndes senest tre dage efter at beredskabssituationen er ophævet. Det er beredskabsgruppen, som sammen med it-sikkerhedskoordinatoren gennemfører evalueringen. Evalueringen skal dokumenteres foretages med udgangspunkt i nedenstående tjekliste: Årsag Hvad var den konkrete årsag til fejlen/nedbruddet. Kan fejlen/nedbruddet opstå igen. Kan der gøres yderligere for forebygge fejlen/nedbruddet Kan der gøres yderligere for at minimere konsekvenser ved fejlen/nedbruddet Forløb i fejlrettelsen/reetableringen Var alle klar over fejlmeldeproceduren. Var de nødvendige telefonnumre, e-postadresser og dokumentation tilgængelig. Var de kendt af de involverede it-medarbejdere. Reagerede eksterne leverandører tilfredsstillende. Var varigheden for fejlrettelsen/reetableringen acceptabel. Kvaliteten af tilbagemeldinger fra superbrugere/brugere hvordan oplevede de forløbet i forbindelse med nedbrud, information, fejlretning, varighed og afledte konsekvenser i områderne. Ændring af serviceaftalers indhold - eventuel etablering af nye serviceaftaler Giver erfaringerne fra forløbet grund til at etablere nye serviceaftaler med eksterne samarbejdspartnere Er der behov for, at skærpe, præcisere, eller ændre indholdet af eksisterende serviceaftaler. Giver forløbet grund til at ændre procedurer og/eller aftaler i andre sammenhænge. Er der områder, som på baggrund af de nye erfaringer kræver en risikovurdering hurtigst muligt. Evaluering af selve it-beredskabets effektivitet justering Fungerede it-beredskabsplanen generelt set efter hensigten. Blev planen generelt set fulgt korrekt 10

11 Skal planen eventuelt udbygges med nye punkter. Skal der foretages andre justeringer i planen. 10. Afprøvning af beredskabet Beredskabsplanen skal regelmæssigt afprøves, for at sikre, at den til stadighed er fuldt opdateret og fungerer optimalt. Formålet med at afprøve planen er, at finde eventuelle fejl eller mangler i den, og at videreudvikle den. Ligeledes skal afprøvningen sikre at de personer, som er ansvarlige for at kunne anvende planen, er trænende i at håndtere beredskabssituationer. Herudover kan de være relevant at gennemføre øvelser i forbindelse med større ændringer eller implementering af nye it-systemer. Der skal rutinemæssigt gennemføres en passende øvelse i forhold it-beredskabet én gang årligt. It-sikkerhedskoordinatoren er er ansvarlig for at sikre, at den årlige øvelse iværksættes. Som udgangspunkt er afprøvningen specifik afgrænset i til selve it-beredskabsplanen. Men afprøvningen kan også indgå i øvelser i forbindelse med kommunens overordnede beredskab Øvelsesniveauer Afprøvning af it-beredskabsplanen kan ske på tre niveauer som spænder fra meget ressourcekrævende fuldskalaøvelser over afgrænser øvelser til simulerede skrivebordsøvelser Fuldskalaøvelser Her iværksættes en praktisk øvelse ud fra et scenarie, hvor et totalt og meget omfattende nedbrud i kommunens it-infrastruktur og it-systemer simuleres på mest mulig realistisk måde. Afprøvningen sker ved i praksis, at gennemføre reetablering af konkrete it-aktiver Der kan fx være tale om et scenarie, hvor kommunens serverrum er brændt eller andre kritiske centrale it-aktiver er ødelagt og sat ud af drift. Denne type afprøvning vil som regel være meget omkostningstung og ressourcekrævende for kommunen at gennemføre. Derfor vil der kun sjældent blive gennemført øvelser på dette niveau, som udgangspunkt hvert femte år Afgrænsede øvelser 11

12 Her iværksættes en praktisk øvelse ud fra et scenarie, hvor der sker nedbrud i enkelte it-systemer eller aktiver og der gennemføres fx konkrete reetableringstest af systemerne. Der kan fx være tale om simulering af strømafbrydelser, nedbrud i hardware, og reetablering at specifikke servere på evt. på andet hardware. Øvelserne kan også omfatte afprøvning af backups. Denne type øvelse vil typisk kunne gennemføres i forbindelse med andre større planlagte ændringer i forbindelse med it-driften, hvor der i forvejen er planlagt nedetid Skrivebordsøvelser Ved skrivebordsøvelser gennemføres afprøvningen af planen uden, at der foretages konkrete indgreb i forhold til it-systemerne eller den generelle it-drift. Øvelsen gennemføres ved simulering af en konkret situation, hvor beredskabsgruppens medlemmer foretager en gennemgang af en specifik og veldefineret beredskabssituation, som gennemspilles i mødeform. Øvelse skal give beredskabsgruppen mulighed for at træne retningslinjer for håndtering af konkrete beredskabssituationer, herunder at træne roller og ansvar i forbindelse med beredskabet. Versionshistorik Version Dato Udført af Godkendt af januar 2013 Peter Smidt Bjørn Thomsen 12