Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de it-sikkerhedsmæsige krav og foranstaltninger for retablering af systemer og data i Banedanmark. Mål Banedanmarks kritiske systemer og data skal kunne gendannes i tilfælde af fejl eller uheld. Faciliteterne til sikkerhedskopiering skal være omfattet af de krav der er fastsat i it-beredskabsplanerne og de specifikke aftaler for sikkerhedskopiering skal fastsættes i de SLA er som indgås mellem It og system og dataejere. It-sikkerhedskrav I henhold til retningslinjer for it-beredskabet er det fastsat at backupmedier til retablering af de kritiske aktiver skal opbevares uden for Banehuset, således at restore af data er mulig fra ekstern lokation. Der skal være fastsat procedurer for: Hvilke data og programmer der skal sikkerhedskopieres Med hvilke intervaller der skal foretages sikkerhedskopiering I hvor mange eksemplarer der skal tages sikkerhedskopiering På hvilke medier sikkerhedskopiering skal lagres Mærkning og entydig identifikation Hvor sikkerhedskopier skal opbevares og for hvilken periode Udlevering af sikkerhedskopier Genstarts og retableringsprocedurer der anvendes, hvis der opstår fejl i driftsafviklingen Overvågning af om sikkerhedskopiering er sket som fastsat Test af sikkerhedskopiering Sikkerhedskopier skal være klassificeret og beskyttet på samme vis som de originale data. Kravene til opbevaring af sikkerhedskopier er omfattet af de samme fysiske krav, som gælder for it-tekniske anlæg. Ved opbevaring i et fjernarkiv (hos Banedanmark eller arkivhotel) skal dette ske i henhold til retningslinjer for fysisk sikring af bygninger, lokaler og installationer. Økonomi Telefon Telefax Journalnr. It 8234 0000 051-0004/Maa Amerika Plads 15 Direkte maa@bane.dk Notat 2100 København Ø 82345803 www.banedanmark.dk Side 1(5)
Liste over hvem der kan rekvirere sikkerhedskopier skal findes. Ved ibrugtagning af nye systemer skal der indgås aftale om hvorledes sikkerhedskopiering skal ske inden systemet tages i drift. Der skal forefindes en opdateret oversigt over alle kritiske aktivers sikkerhedskopier og deres placering. Denne skal indgå som et bilag til it-beredskabsplanen. Sikkerhedskopier skal testes for at sikre at de stadig kan bruges. Testplan skal udarbejdes mindst én gang årligt. Sikringsforanstaltninger Retablering af systemer og data sker ved hjælp af Banedanmarks backup platform, bestående af en DataDomain med tilhørende diske. Systemet er redundant, med den primære DataDomain placeret i Serverrummet i Banehuset og en redundant (kopi) i Eitzen IT s serverrum, Amerika Plads 38. Data Domain reducerer mængden af diskplads til opbevarelse af data, gennem logisk at genbruge data der tidligere er skrevet på diske. Backup er i perioden fra 14/7 2010 til 1.10. 2010 skiftet fra båndmedie til diske. Retablering af data fra backup udført tidligere end denne periode, kan fortsat genskabes fra båndmedie via båndstation i serverrummet i Banehuset. Kravet om at kunne retablere systemer og data på ekstern lokation, kan på lignende vis efterleves ved at genskabe data fra båndstation på lokaliteten. Omfang Omfang af backup er afstemt med SLA er for de pågældende systemer og data. For de systemer som driftes af It, som der ikke er indgået SLA for, tages standard backup således: Filer: Kvartalsvis: Fuld backup Daglig: Incremental (af ændringer siden sidste backup). Databaser (Exchange, SQL, SAP, Oracle): Kvartalsvis: Fuld backup Månedlig: Fuld backup Ugentlig: Fuld backup Daglig: Backup af database log (loggen indeholder ændringer i data siden sidste backup). SAP Logs: Daglig: Backup hver 3. time af logs Backup tages af: Side 2(5)
Hel server + System State for Windows 2000 (flad fil) Hel server for unix/linux (flad fil) MSSql database Oracle database Konfiguration af backup miljø, regelsæt og rapporteringer af gennemførte backup findes i Netbackup Administration Console. Overvågning af sikkerhedskopiering og kontrol af backup: It-driftleverandør tager action på om system melder om fejl. System melder om fejl, hvis validering ikke lykkes. Der er pt. ikke procedurer for test af restore. Lagring Lagring sker på DataDomain server. Backup gemmes således: Kvartalsbackup: 5 år, og i øvrigt iht. ESDH-instruks Måneds backup: Gemmes i 12 måneder Uge backup: Gemmes i 3 mdr. Daglig backup: Database backup gemmes i 1 måned. Fil backup gemmes i 12 måneder. Mærkning Mærkning af bånd fra backup før 1/10 2010, sker med stregkoder. Overvågning af backupmedier Backupmedier er klassificeret som fortrolige/følsomme og skal opbevares som kritisk udstyr i henhold til retningslinjer for fysisk sikring af bygninger, lokaler og installationer gældende. It-driftleverandør overvåger de lokaler i Banehuset, hvor der er backupmateriale. Itdriftleverandør sikrer at kun godkendt personale har adgang til de lokaler hvor der er opbevares bånd i Banehuset. Liste over personale der har adgang, opbevares hos itdriftleverandøren. It-driftleverandør sørger for sikker transport af backup bånd til fjernarkiv, herunder at båndene bliver transporteret under overvågning og at uvedkommende ikke får adgang til dem. Denne procedure er under udfasning, se ovenfor. It-driftleverandør står for sikring og overvågning af fjernarkivet herunder at backupmedier opbevares i henhold til sikkerhedskravene i fjernarkivet. It-driftschefen er ansvarlig for at der findes en procedure for håndtering af backupmedier, herunder at der er en procedure for fysisk håndtering og udlevering/anmodning af backup. Udlevering af sikkerhedskopier: Side 3(5)
Systemejer eller dataejer kan bede om at få foretaget restore af egne data og systemer. Henvendelse sker via Help desk. Restore af et system vil altid ske efter nærmere vurdering af de risici der kan være forbundet hermed Systemændringer og udfasning af backup udstyr Change Management proceduren følges ved ændringer af system. Gamle båndstationer skal gemmes af hensyn til retablering af gamle data i en begrænset periode (3 mdr). Der foretages fysisk test af båndstation 1 gang årligt. Gennemført test skal kunne dokumenteres. Nødprocedurer Ved retablering af server er restore af data først mulig efter installation af styresystem, netbackup klient og katalog (index). Ved katalog forstås her backupsystemets interne database for databackup. Der henvises til driftsdokumentation for systemet. Roller It-driftsleverandør er overfor Banedanmarks it-driftschef, ansvarlig for sikker back up og restore af data og systemer. It-driftsleverandøren skal sikre at der sker test backupmedier mindst 1 gang årligt. It-driftsleverandør er ansvarlig for at vedligeholde fortegnelse over backupmediers placering It-driftsleverandør er ansvarlig for at vedligeholde oversigt over bemyndigede personer der kan få udleveret backupmedier It-driftsleverandør er ansvarlig for at underrette om uregelmæssigheder i henhold til aftalte procedurer It-chefen er ansvarlig for at de fastsatte it-sikkerhedskrav overholdes Informationssikkerhed tilser at it-sikkerhedskravene overholdes Informationssikkerhed er ansvarlig for at der foretages stikprøvekontrol og audit ChangeManagement funktionen er ansvarlig for at sikre styring af ændringer i systemet, herunder sikre at opbevaring af gammel teknologi sker. It-driftsleverandøren er ansvarlig for at backup-medier i fjernarkiv opbevares som foreskrevet og at backup-medier kun udleveres til bemyndigede hos itdriftsleverandøren. Referencer Banedanmarks informationssikkerhedspolitik DS 484 It-beredskabsplan Retningslinjer for fysisk sikring af bygninger, lokaler og installationer Retningslinjer for sletning og kassation Side 4(5)
Kontrol Informationssikkerhed i Banedanmark er ansvarlig for at: Godkendelse Der mindst 1 gang årligt foretages audit af om konfiguration er i overensstemmelse med godkendt dokumentation. Der foretages kontrol af om backupmedier rent fysisk er til stede mindst 2 gange årligt. Der foretages stikprøvekontrol af opsætning efter behov. Godkendt af It-chef Kenneth Lau Rentius den 29.9.2010 Side 5(5)