Załóżmy, że jestem Menedżerem IT w szpitalu, który stoi przed wyzwaniem przygotowania się do spełnienia wymogów dyrektywy NIS2. Jednym z pierwszych kroków, które wykonam jest inwentaryzacja aktywów, którymi zarządzam. Moim celem jest stworzenie struktury #CMDB (Configuration Management Database), która będzie zarządzać i monitorować kluczowe elementy infrastruktury IT takie jak: przełączniki, porty, macierze dyskowe, serwery, bazy danych (Oracle), serwery aplikacyjne (JBoss) oraz system HIS, np: AMMS związany z usługą “ruch chorych” czy e-Usługami. Oto kroki, które należy podjąć, by osiągnąć ten cel:
1. Planowanie 📋
Definiujemy cel: zwiększenie efektywności zarządzania infrastrukturą IT, usprawnienie reakcji na incydenty oraz poprawna / wdrożenie analizy ryzyka.
2. Identyfikacja i klasyfikacja CI (Configuration Items) 🔍
Za pomocą narzędzi automatycznego wykrywania skanujemy sieć szpitalną, identyfikując wszystkie elementy IT.
Inwentaryzacja kluczowych zasobów
Przykład:
Przełączniki: Znajdujemy przełącznik sieciowe rozlokowane w całym szpitalu. Każdy przełącznik posiada unikalny adres IP i MAC. 🔌
Porty: Dokumentujemy liczne porty w przełącznikach, określając ich status (aktywny/nieaktywny), przypisane urządzenia, VLAN, itp. 🌐
Macierze dyskowe: Identyfikujemy macierze dyskowe używane do przechowywania danych pacjentów i aplikacji krytycznych. 💾
Serwery: Rejestrujemy serwery, w tym serwery bazy danych i aplikacji. 🖥️
Bazy danych: Wykrywamy różne instancje baz danych SQL, np: Oracle Database, służące do przechowywania informacji medycznych. 📚
JBoss: Znajdujemy instancje aplikacji JBoss hostujących różne aplikacje medyczne – np: AMMS. 📦
System AMMS: Rejestrujemy system AMMS zarządzający logistyką i ruchem chorych w szpitalu. 🏥
Usługa “ruch chorych”: Jest to złożona usługa zależna od serwerów, baz danych i aplikacji serwerowych. 🚑
3. Zbieranie danych 📊
Dokumentujemy wszystkie niezbędne informacje o każdym CI, włączając w to modele urządzeń, wersje oprogramowania, konfiguracje oraz zależności między elementami.
Atrybuty CI
4. Definiowanie relacji i zależności 🔗
Tworzymy schematy pokazujące, jak usługa “ruch chorych” zależy od serwerów, które z kolei są zależne od konkretnej macierzy dyskowej i połączeń sieciowych.
Topologia CI
5. Implementacja bazy CMDB 💻
Wprowadzanie danych do CMDB: Za pomocą interfejsu aplikacji #Capam wprowadzamy zebrane informacje, tworząc rekordy dla każdego CI.
Konfiguracja widoków i raportów: Ustawiamy niestandardowe widoki, które umożliwiają śledzenie statusu i wydajności kluczowych elementów infrastruktury.
6. Integracja z procesami ITIL 🔄
Zarządzanie incydentami: Konfigurujemy procesy, które automatycznie powiadamiają zespół IT o problemach z CI, np. awarii serwera wpływającej na dostępność usługi “ruch chorych”.
Zarządzanie zmianami: Wprowadzamy procedury oceny wpływu planowanych zmian na kluczowe CI i związane z nimi usługi.
Analiza ryzyka zasobu powiązanego z CI
7. Utrzymanie i aktualizacja CMDB 🛠️
Regularnie przeprowadzamy przeglądy aktywów i wykonujemy aktualizacje CMDB, aby upewnić się, że odzwierciedla ona rzeczywisty stan infrastruktury IT.
Poprzez zastosowanie się do powyższego przykładu, administracja szpitala może znacząco poprawić zarządzanie swoją infrastrukturą IT, zwiększyć gotowość na incydenty oraz usprawnić procesy ITIL, co przekłada się na lepszą opiekę nad pacjentami i zgodność z dyrektywą #NIS2.