10 Införande strategi - Färdplan

Analysfasen har identifierat att myndigheter inom Ena efterfrågar ett ramverk för loggning och spårbarhet som de kan luta sig mot. Det efterfrågas standarder på loggning och spårbarhet, vägledning och stöd för hur man tillämpar olika loggar och uppfyller krav på spårbarhet för olika nivåer av informationssäkerhet. Under analysfasen har ett förslag på koncept på ramverk för spårbarhet tagits fram och vår rekommendation för nästa steg är att ta det arbetet vidare och ta fram ett ramverk för loggning och spårbarhet inom Ena. Viktigt att poängtera är att enligt den rättsliga analysen för byggblocket bör/ska kravställningen i ramverket stämmas av med MSB för att säkerställa samsyn samt enlighet med MSB:s föreskrifter kopplat till loggning och spårbarhet.

Vidare rekommenderas arbetet med framtagandet av ramverket att utföras iterativt. Det vill säga att bryta upp scopet i mindre delar för att göra det mer hanterbart samt mindre monotont arbete för teamet. Förslagsvis test-implementeras färdigställda utkast på delar av ramverket på ett annat byggblock som utvecklar en digital tjänst, alternativt SDG, för att komma till insikter i vad som fungerar och vad som inte fungerar. På så sätt säkerställer man ramverkets effekt samt att det täcker hela Enas behovsbild under processen att ta fram ramverket snarare än vid slutgiltig implementation.

Då byggblock spårbarhet och tillgänglighet båda är ”förutsättningsskapande byggblock” som bör omfatta ramverk för logghantering resp. servicenivåer ser vi behovet att byggblocken medverkar i ett arbete att ta fram en gemensam kravkatalog för hela Ena tillsammans med gemensamma definitioner.

Båda byggblocken har även en viktig roll för att fastställa framtida operativa förmågor/processer inom Ena, så som framtida drift/förvaltning, support, incidenthantering, eskaleringsordning etc. Vi ser därför nyttan med att byggblocken koordineras i nästa fas samt att operativa förmågor/processer tas på en mer övergripande nivå inom Ena med hög delaktighet av infrastrukturansvarig för Ena. Vi ser dock inga hinder med att ta fram ett ramverk för loggning och spårbarhet som nästa steg och parallellt undersöka framtida drift/förvaltning, support etc., då vi anser att ramverket behöver finnas på plats, oavsett val av nästa steg.

10.1 Sammansättning av team

Uppdragsledare
Vår rekommendation är att en uppdragsledare utses för spårbarhet som förslagsvis även ansvarar för byggblock tillgänglighet. Uppdragsledaren kan då leda båda teamen och på så sätt identifiera och uppmärksamma synergier och överlapp mellan ramverken. Dennes uppgift rekommenderas även vara att öka samverkan med övriga byggblock inom kategorin Tillit och säkerhet för det fortsatta arbetet då detta behov har uppmärksammats av flera byggblock under analysfasen.

Team
Den kompetens som rekommenderas för framtagandet av ett ramverk för loggning och spårbarhet är en säkerhetsarkitekt och en IT-arkitekt. Vi ser även ett behov av stöd från en kravfångare samt en logganalytiker. Den totala beläggningen estimeras uppgå till två heltidsresurser enligt punkterna nedan.

  • 1 arkitekt (IT-arkitekt), 100%
  • 1 arkitekt (säkerhetsarkitekt), 75%
  • 1 kravfångare och logganalytiker, 25%

Vår rekommendation är att arkitekterna mer eller mindre jobbar heltid med detta för att minska risken att andra åtaganden med högre prioritering kommer emellan och hindrar det fortsatta arbetet.

Stödresurser

  • Juridisk kompetens: Arbetet berör i mångt och mycket juridiska frågor som behöver utredas vidare, varför en juridisk resurs rekommenderas att vara insatt i arbetet tidigt och ha en kontinuerlig dialog med projektgruppen för att kunna stötta vid behov. Projektet gynnas givetvis om denne resurs är en och samma person genom hela arbetet som då är insatt i arbetet och dess framfart.
  • Infrastrukturansvarig inom Ena: Koordinering av framtagandet av en gemensam kravkatalog för Ena samt operativa förmågor/processer kan kräva en högre delaktighet från infrastrukturansvarig inom Ena/KO-arkitektur m.fl. då det berör fler byggblock/grunddatadomäner än bara spårbarhet och tillgänglighet.
  • Försäkringskassan, MSB & Försvarsmakten: Under analysfasen har dessa identifierats som mest kunniga inom området och rekommenderas således vara delaktiga i det fortsatta arbetet för den utvecklande fasen i den utsträckning som möjligt.
  • KO-Informationssäkerhet: Enligt den rättsliga analysen ska kravställningen i ramverket stämmas av med MSB för att säkerställa samsyn samt enlighet med MSB:s föreskrifter kopplat till loggning och spårbarhet.

10.2 Projektmål

Det övergripande målet för byggblocket är att bidra till en ökad säkerhet för digitala tjänster inom Ena genom att säkerställa att samtliga anslutna myndigheter och organisationer kan återskapa och spåra händelser, spåra oönskade händelser och intrång samt utföra loggningsuppföljning. För att uppnå målet ämnar byggblocket ta fram ett ramverk för loggning och spårbarhet som ska säkerställa att samtliga ansluta myndigheter och organisationer skapar och upprätthåller de förutsättningar som krävs för att kunna spåra händelser inom Ena, oavsett informationens säkerhetsklassning. Det innebär att ramverket tydligt presenterar krav och principer för loggning för samtliga säkerhetsklassningar samt erbjuder vägledning för hur dessa krav uppfylls.

När projektet väl går in i en framtida förvaltningsfas krävs att någon myndighet tar ett ägandeskap för spårbarhet inom Ena samt eventuellt upprätthåller någon form av central tjänst för att kunna jämföra och analysera loggar från olika system och myndigheter. Men som nämndes tidigare är detta något som måste undersökas vidare för att avgöra om en framtida central tjänst ens är möjlig samt rimlig utifrån ett juridiskt- och säkerhetsperspektiv.

10.3 Nyckelaktiviteter

  • Sammansättning av projektgrupp
  • Sammanställa krav, principer och rekommendationer för loggning och spårbarhet
  • Tydliggörande av metodstöd för att fastställa nivå av loggning och spårbarhet på information
  • Fastställa rubriker/områden för ramverk
  • Skapa vägledning för hur man uppfyller krav, principer och rekommendationer
  • Fastställa operativa förmågor/processer för loggning och spårbarhet inom Ena
  • Kvalitetssäkra material (ramverk)
    • Kontinuerligt test-implementera/”provtrycka” material på andra byggblock och deras användarscenarion för att säkerställa att ramverket täcker alla områden/säkerhetsnivåer/perspektiv/etc. samt komma till insikter i vad som fungerar och inte

10.4 Identifierade milstolpar

Nr

Milstolpe

Klart datum

Klarkriterier

Ansvarig

Estimerad kostnad

1

Förslag på resurs- och kompetenssäkring klar

Q3-2022

Förutsättning för fortsatt leverans

Infrastrukturansvarig för Ena tillsammans med färdledande myndighet och uppdragsledare

N/A

2

Definition och utbildande material klar

Q4-2022

Besvara ”vad är loggning”, ”varför ska jag logga”, ”varför ska jag investera i spårbarhet”

Uppdragsledare / IT-arkitekter

650 000 kr

3

Kravställning klar

Q4-2022

Besvara ”vad ska loggas”

Uppdragsledare / IT-arkitekter

650 000 kr

4

Nivåer av spårbarhet fastställt

Q4-2022

Samtliga informationssäkerhetsklasser har beaktats och kan placeras i en spårbarhetnivå som uppfyller de krav och regler kopplat till loggning och spårbarhet som finns för respektive säkerhetsklass

Uppdragsledare / IT-arkitekter och infosäk-specialist

650 000 kr

5

Stödmaterial klar

Q4-2022

Besvara ”hur sätter jag upp mina loggar”, ”hur loggar man”

Rekommendationer på vilka typer av verktyg/system för loggningsanalys som bör användas inom Ena klart

Uppdragsledare / IT-arkitekter (med stöd av juridik)

650 000 kr

6

Operativa förmågor/processer fastställda

Q1-2023

Operativa förmågor/processer, så som drift, eskaleringsordning, incidenthantering och andra nödvändiga rutiner och processer för att efterkonstruera händelseförlopp fastställda

Uppdragsledare / IT-arkitekter med stöd av infrastrukturansvarig

650 000 kr

7

Implementation av ramverk samt operativa förmågor/processer

2023

Ramverket för loggning och spårbarhet implementeras inom Ena och operativa förmågor/processer realiseras

Uppdragsledare / IT-arkitekter

1 850 000 kr

8

Förvaltningsaktiviteter genomförda

2023–2026

Ramverket samt operativa förmågor/processer förvaltas och förbättras kontinuerligt baserat på insikter och behov från Ena

Uppdragsledare / IT-arkitekter

6 000 000 kr

10.5 Option

Som tidigare nämnts ser vi behovet att skapa en gemensam kravkatalog för Ena samt fastställa och formulera operativa förmågor/processer för loggning och spårbarhet, så som eskaleringsordning, incidenthantering och andra nödvändiga rutiner och processer för att skapa enhetliga förvaltningsprinciper för Ena. Detta ligger utanför det scoop som byggblocket har idag men vi föreslår en fortsättning där byggblock tillgänglighet och spårbarhet i samverkan gör ett fortsatt arbete för att även utveckla dessa processer och rutiner samt bidra till en gemensam kravkatalog för Ena.

10.6 Förslag på central tjänst inom Ena för att skapa loggar via API

I slutskedet av analysfasen, under framtagande av koncept för ramverk har ett förslag på en central tjänst inom Ena lagts fram för tjänster och system som utvecklas från grunden, där loggning är en del i utvecklingsprocessen. Denna lösning kan i förlängningen användas inom alla offentliga aktörer, som hanterar loggning på ett och samma sätt. Loggningen sker genom att framtagna tjänster och system anropar den centrala tjänsten via API som sedan loggar informationen på ett gemensamt sätt hos den egna myndigheten. Lösningen kan implementeras som en extern loggtjänst inom Ena alternativt som open source.

10.6.1 Extern loggtjänst inom Ena

Att skapa lösningen som en extern loggtjänst inom Ena skulle hjälpa myndigheter att logga på ett gemensamt sätt utan att själva behöva kontrollera de loggar som skapas i och med att den gemensamma loggtjänsten sköter detta utifrån det gällande format som loggtjänsten skapar. Detta implementeringsalternativ kräver dock fortsatt utredning kring att skapa och analysera loggar kopplat till ansvar och ägande av logginformation.

10.6.2 Open source

Lösningen för loggning kan publiceras som open source och kan då fritt användas av alla deltagare i Ena. Detta skulle innebära en komplettering till förslag på färdplan och resurssättning men skulle inte påverka den ursprungliga föreslagna färdplanen enligt ovan. I och med att detta kom in så tätt inpå avslut för utforskande utveckling för byggblocket presenteras detta som ett separat förslag som en komplettering till tidigare nämnda förslag.

Tidsplanen för framtagandet av open sourcelösningen estimeras uppgå till 9 månader, där de 3 första månaderna fokuserar på att sätta strukturen och grunden för arbetet samt kravfångst och arkitektur. Efter detta kan utvecklare komma in i projektet och påbörja utvecklingen.

Gällande resurssättning och milstolpeplan för tillägget med open sourcelösning estimeras detta kräva ytterligare 2 resurser till projektgruppen, 2 st utvecklare under 6 månader på 75% (cirka 1350 timmar), samt inkluderar Proof of Concept och framtagen open source-lösning.

Estimerad budget för framtagandet av ramverk och open sourcelösning för år 2022 (Q3 och Q4):

Personal

Antal

Beläggning

Timpris

Antal veckor

Total

Uppdragsledare

1

50%

950

23

437,000 kr

Arkitekt

1

100%

950

23

874,000 kr

Kravfångare

1

75%

950

23

655,500 kr

Logganalytiker

1

25%

950

23

218,500 kr

Utvecklare

2

75%

950

12

684,000 kr





Summa

2,869,000 kr

Oförutsett + 20%



Estimerad budget

3,442,800 kr

Estimerad budget för framtagandet av ramverk och open sourcelösning för Q1 under år 2023:

Personal

Antal

Beläggning

Timpris

Antal veckor

Total

Uppdragsledare

1

50%

950

12

228,000 kr

Arkitekt

1

100%

950

12

456,000 kr

Kravfångare

1

75%

950

12

342,000 kr

Logganalytiker

1

25%

950

12

114,000 kr

Utvecklare

2

75%

950

12

684,000 kr





Summa

1,824,000 kr

Oförutsett + 20%



Estimerad budget

2,188,800 kr

Senast uppdaterad: