Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Transkript

1 Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent,

2 Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet? Hvad har vi gjort og hvorfor? Betyder det noget for jer? Debat / Spørgsmål?

3 Hvordan forløb det? Nuværende driftskontrakt med NetDesign indgået 2009 Pragmatisk samarbejde lean? ISO27001 proces startet i MedCom efter SDNrisikovurdering i 2014 Første møde med Rigsrevisionen 28/8-2015, herefter en del møder, også sammen med NetDesign/Netic God informativ proces foreløbig resultat december 2015

4 Hvordan var det?

5 Hvad blev resultatet?

6 Anbefalinger Behov for klarere governance Behov for øget dokumenteret leverandørstyring Behov for større fokus på sikkerheden for SDNs støttesystemer Backup, logning og overvågning af SDN er tilstrækkelig Trods alt stabil drift med høj oppetid

7

8 Hvad har vi gjort? MedComs styregruppe udarbejdede et svar og en handleplan til udbedring med konkrete initiativer Vi satte turbo på anvendelse af ISO27001 som rammeværk for MedComs forvaltning Tæt opfølgning på handleplan i MedCom styregruppe

9 Handleplan og opfølgning

10 Forår 2016 Årshjul for informationssikkerhed version 1 Overvågning på støttesystemer Skærpede aftaler om proces og dokumentation for: Patch management Configuration management Log management Opfølgning på administratorer i aftalesystemet Opfølgning på tilslutningsaftaler inkl. databehandleraftaler

11 Forår 2016 SDN/VDX-risikovurdering input fra forretningen (NSP, FMK, PPJ) It-revision og erklæring Beredskabsstrategi og beredskabsplan Sikkerhedskrav i kravspecifikation til SDN-udbud => Fundament for efteråret arbejde 2016

12 Beredskabsplan Beredskabet gælder for: SDN dvs. netværk og fysisk infrastruktur i form af datalinjer bestående af VPNlinjer og SDN-MPLS-forbindelse samt aktive netværkskomponenter SDNs støttesystemer vurderes som ikke-kritiske for at kunne afvikle services på SDN

13 Visitation og vurdering af beredskab Major incident, der vurderes ikke at kunne løses inden for aftalt SLA og RTO Ukontrollerede og uidentificerede hændelser med uoverskuelige konsekvenser Alvorligt brud på tilgængelighed Alvorligt brud på fortrolighed Tjekliste ved brud på fortrolighed Før iværksættelse af beredskabet vurderes følgende: Tjekliste ved brud på tilgængelighed Før iværksættelse af beredskabet vurderes følgende: Angår bruddet på tilgængelighed en kritisk service? Angår bruddet på tilgængelighed en service med mange aftaler Angår bruddet på tilgængelighed en organisation, der repræsenterer med mange brugere? Angår bruddet følsomme oplysninger? Er bruddet ukontrolleret dvs. der mangler viden om, hvor meget der er kompromitteret? Selvom en hændelse vedrørende brud på fortrolighed ikke umiddelbart opfylder kriterierne for at iværksætte det fulde beredskab, kan dele af de operationelle handlingsplaner benyttes - fx kommunikationsplanen af hensyn til håndtering af interessenter.

14 Processer i samarbejdet Husk at slå alarmer til Emne Hvad Hvorfor Hvordan Kontaktoplysning er Klassificering Rapportering De tilsluttede parter skal bidrage med kontaktoplysninger til nøglemedarbejdere og gerne personuafhængig vagtordning. De tilsluttede parter for SDN skal bidrage med klassificering af udstillede services på SDN (fremtidigt). De tilsluttede parter skal rapportere brud på fortrolighed og tilgængelighed i relation til SDN til MedCom. Kommunikation ved en beredskabssituation både for MedCom og leverandøren. Overblik for både leverandører og MedCom i relation til en potentiel beredskabssituation samt ift. support. For at MedCom kan varetage sit ansvar i tilfælde af kritiske hændelser og kunne igangsætte og koordinere en eventuel indsats. Del af tilslutning til SDN og registrering i aftalesystem (fremtidig). Registrering af skal opdateres ved ændringer. Del af tilslutning til SDN og registrering i aftalesystem (fremtidig). Registrering skal opdateres ved ændringer. Kontaktoplysninger / vagtordning hos MedCom og leverandør

15

16 It-sikkerhedsforvaltningskrav i SDN-udbud bl.a. Fysisk sikkerhed adgangskontrol, overvågning af gæster, indbrudssikring, etc. Efterlevelse af ISO27001 og kontinuerlig overvågning af cybertrusler, risikostyring, løbende sikkerhedstests, løbende evaluering og optimering af SDNs sikkerhedsmæssige niveau, forebyggende sikkerhedsforanstaltninger Medvirke til SDN-risikovurderinger + mitigering af eventuelle risici Egen beredskabsplan og test + indgå i beredskabsplanlægningen for SDN Automatiserede sårbarhedsskanninger + afrapportering Logning på alt aktivt udstyr Risikolog Sikkerhedsrapportering og udbedring af sikkerhedshændelser Udlevering af informationssikkerhedsmaterialer

17 Efterår 2016 Udarbejdelse af politikker, procedurer og skabeloner inden for rammen af ISO27001 Test af beredskabsplan

18 ISO27001 ikke til at komme uden om. Referencer til ISO i Rigsrevision og risikovurdering Den fællesoffentlige digitaliseringsstrategi : Initiativ 7.1: Styr på informationssikkerhed i alle myndigheder følge principperne ISO27001 Krav til regioner og kommuner (ØA) dermed også krav i databehandleraftaler (RSI) I MedComs svar til Rigsrevisionen Måde at strukturere og dokumentere arbejdet omkring informationssikkerhed og til dels forvaltning af it-systemer Klar til den nye databeskyttelsesforordning

19 ISO27001 for MedCom Hvorfor: Struktur, dokumentation, gennemsigtighed ikke plads længere til kun ildsjæle Fra tillid til kontrol et krav Risikobilledet er ændret og ændrer sig hele tiden systematisk tilgang via ISO27001 Hvor meget: Det nødvendige / ikke for meget Fornuftig balance Hvor vil vi hen: Omfang: Udvalgte dele dvs. de tre systemer i MedComs portefølje som fællesoffentlig systemforvalter: SDN, VDX og KIH Så generisk som muligt Efterlevelse som mål

20 Roadmap over prioriterede politikker

21 Betydning for interessenter /brugere Stor Kommunikationssikkerhed Kryptering Driftssikkerhed Beredskabsstyring Adgangsstyring Compliance Styring af sikkerhedshændelser Medium ISMS Leverandørstyring Risikostyring ISMS - intern Lille Betydning for MedCom Lille Medium Stor

22 ISO Årshjul Risikovurdering Informationssikkerhedspolitik handlingsplan Implementer og operationaliser sikkerhedspolitik beredsk.plan (Ledelse) Ændringer af sikkerhedsarbejdet Måling, test og rapportering af sikkerheden

23 2017 Implementering af politikker og procedurer Relancering af SDN-brugergruppe Udvikling af aftalesystem

24 SDN-brugergruppen relancering

25 Udvikling af aftalesystem ønsker Dokumentation Netværksopsætning, patch level, IP-scopes, kontaktpersoner, vagtnumre Notifikationer Servicevinduer, changes, udløb af aftaler, log management, incidents, opfølgning på kontaktpersoner Fuld audit herunder funktionsadskillelse Overvågning og statistik Trafik på aftaler, SIEM På baggrund af brugerønsker, Rigsrevision, risikovurdering, it-revision, beredskabsplan Brugergruppekvalificering, prioritering og beslutningsproces

26 + - Frihed i opgaveudførelse og prioritering Hurtig reaktionstid på brugerønsker og brugerhenvendelser NU Sårbart For meget arbejde - ingen back up. Mulighed for at holde helt fri pga. back up Unik mulighed for at forbedre vores processer Bedre ledelsesinformation FREMTID + - Mindre agilt Ressourcekrævende Øget udgift Tidssvarende sikkerhedsmodel Procedurer med mening og værdi Leve op til Rigsrevision Dræbende bureaukrati Spild af tid Videndeling ikke så sårbare Ende med at blive glade for processen

27 Tak for opmærksomheden