Projektplan ansökan om medel

Transkript

1 Bilaga 3 Projektplan ansökan om medel Sida: 1 (11) Projektplan ansökan om medel 1 Översikt projektplan 1.1 Namn Projektnamn: Införande/anpassning av DNS och DNSSEC 1.2 Datum Datum: ÅÅ-MM-DD: Kontaktuppgifter Myndighet: Samverkansområde: Länsstyrelsen Kalmar genom Regionförbundet i Kalmar Län företräder följande kommuner: Vimmerby, Västervik, Hultsfred, Högsby, Oskarshamn, Mönsterås, Kalmar, Nybro, Emmaboda, Torsås, Borgholm och Mörbylånga SOGO, SOTI Namn på projektets kontaktperson: Stephen Dorch, Regionförbundet (projektsamordnare) Telefonnummer projektets kontaktperson: E-post: Stephen.Dorch@rfkl.se 1.4 Tidplan Projektet beräknas påbörjas: ÅÅ-MM-DD: Projektet beräknas avslutas: ÅÅ-MM-DD: Antal kalenderår projektet löper: Kostnad Kostnad : kr

2 Bilaga 3 Projektplan ansökan om medel Sida: 2 (11) Om projektet är flerårigt - specificera kostnaden per år samt ange total kostnad: 2013: 2014: TOTALT: Behov 2.1 Bakgrund och behov Behovet finns definierat i följande dokument: RSA (inklusive förmågebedömning): dokument: dnr: år: sidhänvisning: Annat, specificera: rapport hälsoläget i.se 2010, Rapport infosäk Kalmar läns kommuner Kompletterande text: Beskriv kortfattat bakgrunden till projektet genom att tydliggöra det behov som ligger till grund för projektet.

3 Bilaga 3 Projektplan ansökan om medel Sida: 3 (11) Detta projektet, och denna ansökan, omfattar Kalmar läns samtliga 12 kommuner. Dessa är Vimmerby, Västervik, Hultsfred, Högsby, Oskarshamn, Mönsterås, Kalmar, Nybro, Emmaboda, Torsås, Borgholm och Mörbylånga kommun. Denna ansökan avser samtliga kommuner. Bakgrund: Domännamnssystemet (DNS) är en av hörnstenarna på Internet och är till för att förenkla adressering av tjänster och resurser på Internet. Varje ansluten webbserver, e-postserver eller annan typ av enhet har en egen unik IP-adress som med hjälp av DNS kan kopplas till en adress presenterad i en form som är lättare att hantera för oss människor. Men det finns brister i DNS som gör det möjligt att förfalska svaren på sådana DNS-frågor. Det öppnar för olika former av missbruk där /exempelvis/ intet ont anande nätanvändare leds in på falska webbplatser i syfte att bli lurade på pengar eller känslig information som exempelvis lösenord och kontokortsnummer eller där all e-post leds om och passerar någon annan server på vägen där alla meddelanden kopieras utan att vare sig avsändare eller mottagare märker det. För att motverka detta finns DNSSEC, något som infördes i den svenska toppdomänen.se redan 2005, men som behöver få större spridning även till nästa nivå, dvs. alla huvuddomäner under.se Det är viktigt att verksamhetens DNS-infrastruktur ansluter till aktuell standard och att den är konstruerad på ett sätt som gör att den tillhandahåller en säker och robust tjänst med god nåbarhet vare sig man driver den själ eller lagt ut driften på extern partner. Det finns en branchstandard som definerar "god kvalitet" på DNS, som i korthet innebär: Att ha en robust DNS-infrastruktur med god nåbarhet. Att alla inblandade namnservrar svarar på frågor korrekt. Att domäner och servrar är korrekt uppsatta. Att data i domännamnssystemet om enskilda domäner är korrekta och äkta. Att domäner använder DNSSEC. Att verksamheten uppfyller de krav som ställs i relevanta Internet- och andra standarder. Det är viktigt att kommunens DNS bygger på denna standard, vilket gör att den tillhandahåller en säker och robust tjänst med god nåbarhet vare sig man driver den själv eller har lagt ut driften på någon extern partner. Både DNS och DNSSEC är mycket viktiga för att skapa robusta, pålitliga och tillgängliga tjänster i samhället. Därför har MSB låtit göra det möjligt att ansöka om anslag ur 2:4 Krisberedskap för. Inriktningen på prioriteringarna för omfattar förebyggande och förberedande arbete inom krisberedskapsområdet, där den förebyggande verksamheten syftar till att minimera antalet kriser och effekterna av dessa genom att de berörda aktörerna vidtat förebyggande och sårbarhetsreducerande åtgärder. Länets kommuner vill liksom övriga offentliga och privata verksamheter införa DNSSEC som en viktig sårbarhetsreducerande åtgärd i dagens och morgondagens informationssamhälle. 2.2 Inriktningen för anslag 2:4 Krisberedskap Vi har tagit del av de generella förutsättningar som gäller för anslaget i kapitel 4 i inriktningen och intygar att projektet är förenliga med dessa. (markera med ett kryss) Område i inriktningen (kap 5) som projektet avser: Välj endast ett område, om projektet passar in under flera områden: välj det ni bedömer mest passande.

4 Bilaga 3 Projektplan ansökan om medel Sida: 4 (11) Utveckling av metoder och verktyg för skydd av samhällsviktig verksamhet Standardisering Informationsdelning, lägesbild och lägesuppfattning Kriskommunikation Regional samverkan Förstärkningsresurser Detektionsförmåga och tidig varning Utvecklingen av förmågan att hantera CBRN-händelser Evakuering och utrymning Kunskapsuppbyggnad 2.3 Ansvarsprincipen Motivera varför projektet inte ska finansieras av myndighetens ordinarie anslag och varför det bör finansieras av anslag 2:4 Krisberedskap. Detta är en extraordinär gemensam kraftansträngning ledd av länsstyrelsen i Kalmar län i samverkan med Regionförbundet i Kalmar län, som ökar möjligheten till >att snabbt kunna förstärka tillförlitligheten i kommunens Internet-baserade tjänster >att förbättra möjligheter till en långsiktigt hållbar samverkan inom informationssäkerhetsområdet >att få ett mer kostnadsfördelaktigt genomförande och successiv vidareutveckling I det regionala informationssäkerhetsarbetet har bristerna i kommunernas DNS uppmärksammats. Under senare år har incidenter som nyttjar svagheter i nuvarande DNS-konfigurationer inträffat, om än inte direkt mot Kalmar läns kommuner. Brister i nuvarande DNS har hittills bedömts som alvarligta, dock inte som mycket alvarliga. Åtgärden har därför, efter beaktande av kostnaden för åtgärden, inte prioritats. Med hänsyn till nuvarande lägesbild, där förfalskade certifikat används i riktade attacker, är bristen nu att betrakta som mycket alvarlig. Med medel från anslaget 2:4 krisberedskap ges kommunerna möjlighet att dels åtgärda bristen, dels säkerställa nödvändig kompetens, för att långsiktigt bygga upp hållbar förvaltning av rubust DNSSEC. 3 Idé och mål 3.1 Projektmål Beskriv projektets mål. Vad ska vara uppnått när projektet är avslutat? Målformuleringen ska vara tydlig, realistisk och mätbar. Om projektet är flerårigt, ange delmål för respektive år.

5 Bilaga 3 Projektplan ansökan om medel Sida: 5 (11) Huvudmål Projektet ska resultera i att varje enskild kommun har : - en förstärkt och tillförlitlig infrastruktur för DNS vilket leder till ökad robusthet och nåbarhet - en verifierad teknisk kompetens för vidare förvaltning och drift av DNSSEC över tid - dokumenterade processer och rutiner för att upprätthålla infrastrukturen för DNS baserad på standarden DNSSEC - förvaltningen av DNS ska ske utifrån fastställda standarder som iso och 27000, där vi i tillämpliga delar använder ramverket för ITIL respektive MSB processkarta för informationssäkerhet Delmål >En för länet gemensam strategi för drift, förvaltning och utveckling av DNS-funktionen ur perspektiven tillgänglighet, riktighet och konfidentialitet ska tas fram. >Strategin ska godkännas av utsedd ansvarig person hos varje enskild kommun >Ökad samverkan och kompetensdelning lokalt, regionalt och nationellt >Systemägare, systemförvaltare samt driftplan för DNSSEC ska fastställas >Kostnadseffektivisering genom samverkan 3.2 Effekter Redovisa förväntade effekter av den verksamhet som ska bedrivas i förhållande till behovet. Projektet syftar till att öka tillförlitligheten och höja robustheten på IT-infrastrukturen ur ett DNSperspektiv. Kommunens informationmängder ska skyddas utifrån aspekterna tillgänglighet( att rätt information är tillgänglig), riktighet (att information kommer från rätt källa) och konfidentialitet (att information inte röjs för obehöriga) En förväntad effekt av projekt är ökad tillit och förtroende kring kommunens förmåga att upprätthålla en god informationssäkerhet. Genom samverkansprojektet kring DNS uppnås synergier, främst som kompetensdelning genom teknikersamverkan, men också inom organisation, arkitektur och infrastruktur. Möjligheter att samverka kring drift och förvaltning av primär och sekundär DNS. 3.3 Avgränsningar Förtydliga projektets mål genom att ange vad som inte ingår i projektet. Projektet omfattar inte migrering till IPV6.

6 Bilaga 3 Projektplan ansökan om medel Sida: 6 (11) 4 Samverkan Är projektet diskuterat i berörda samverkansområden? Ja Nej Om ja, på vilket sätt? IT-chefen, som ägare av IT-infrastrukturen, har förankrat detta med systemägare och -förvaltare för kommunens publika webb- respektive e-postfunktioner. Den regional IT-chefsgruppen har beslutat om samverkan förutsatt ett possitivt bifall på ansökan. Genom MSB försorg är det förankrat i SOGO. Regionförbundets informationssäkerhetssamordnare. Om nej, varför inte? Hur har projektet i övrigt förankrats? Dialog sker med Länsstyrelsen Vilka andra aktörer är involverade i projektet och hur? Obs! Ange endast sådana aktörer som är informerade och aktivt involverade i projektet, inte sådana som kan komma att bli delaktiga men ännu inte är kontaktade. Samverkanspartner och kontaktperson Delaktighet, ange hur (t.ex deltar, stöttar) PTS, MSB,.SE och SKL, ingen utpekad person Länsstyrelsen i Kalmar, ingen utpekad person Regionförbundet i Kalmar län, Stephen Dorch Konsult (avropas efter beslut enligt ansökan) stöttar som kravställare stöttar som kravställare deltar som samordnare deltar i genomförandet stöttar med specialitstkompetens

7 Bilaga 3 Projektplan ansökan om medel Sida: 7 (11) 5 Plan för att införliva projektets resultat i ordinarie verksamhet 5.1 Egna organisationen Ange hur projektets resultat ska tas till vara i den egna organisationen. Hur kommer projektets resultat att införlivas i den ordinarie verksamheten? Eftersom projektet handlar om en anpassning till en säkrare, mer tillförlitlig och framtidssäkrad teknik för en vital del av IT-infrastrukturen så kommer IT-chef, som ägare av IT-infrastrukturen, att vara lokal ägare av projektet och dess genomförande samt följa upp den långsiktiga effekten av projektets genomförde. Genom att inom projektets ramar utbilda DNSansvarig personal, förstärks förutsättningarna för ett långsiktigt hållbart arbetssätt och teknisk lösning för DNSSEC. Ägare- och förvaltare av system som är beroende av en fungerande DNS för extern kommunikation kommer att vara informerade inom ramen för interna driftsavtal. På regionförbundet blir informationssäkerhetssamordnarens roll att löpande verifiera med IT-chef att DNS-lösningen (inkl DNSSEC) finns dokumenterad i erforderlig omfattning samt att ansvarig personal har rätt kompetens. Regionförbundet samordnar projektet och rapporterar till länsstyrelsen. Den ekonomiska förvaltningen inom projektet fastställs i projektplanen i samråd med länsstyrelsen. 5.2 Målgrupper Ange hur resultatet ska spridas till andra målgrupper. Regionförbundets informationssäkerhetssamordnare kommer att ha rollen att skapa en fungerande samverkan på olika nivåer inom DNS-området inkl DNSSEC i ett långsiktigt perspektiv. Samverkande parter är primärt kommunerna, landstinget och regionförbundet i kalmar län samt i viss mån länsstyrelsen. Dessutom kommer samverkan att ske genom det nationella kommunala informationssäkerhetsnätverket KIS. Det slutliga resultatet ska delges ledningen, kris och beredskapsorganisation, samt informeras om på politisk nivå. Målgruppen för ökad kompetens kring drift, teknik och förvaltning är IT-chef samt ansvarig tekniker. Målgruppen för ökad kompetens kring betydelsen av DNSSEC ur ett samhällsperspektiv är ledningen, politiken och säkerhetsansvariga, inkl beredskapsdirektör, medicinsk ansvarig sekreterar (MAS) och informationssäkerhetsansvarig samt personuppgiftsombud.

8 Bilaga 3 Projektplan ansökan om medel Sida: 8 (11) 6 Aktivitetsplan Redogör översiktligt för projektets tidplan och avstämningspunkter. Om projektet är flerårigt bör det ingå avstämningspunkter minst en gång per år i tidplanen, förslagsvis i samband med att ny överenskommelse tas fram. Vid dessa tillfällen bör även projektplanen uppdateras. Kom ihåg att även lägga in tid för uppföljning och utvärdering i tidplanen. Tidpunkt Aktivitet Kvartal 1 - Beslut om medfinnansiering meddelas. Från detta datum behövs 3 månaders ställtid, datumet är ett exempel, det förskjuts med motsvarande tid som beslut dröjer. Projektstart Berörda personer som ingår i projektet informeras. Beslut om avrop externa tjänster, konsultinsats. Kvartal 2 - Förstudie inkl detaljprojektering av ett tänkt genomförande Förstudien genomförs länsgemensamt. Detaljprojektering av genomförandet görs av lokala IT-tekniker i samverkan med kommunens kommunikationstekniska partner Cygate och övriga samverkande parter i länet. Detta sker enligt den av regionförbundets informationssäkerhetssamordnare upprättade övergripande aktivitetsplanen i det länsövergripande samordningsprojektet. Kvartal 2 - Beslut om genomförande IT-chef beslutar i samråd med IT-cheferna i länet och regionförbundets informationssäkerhetssamordnare om genomförande utifrån förslag till genomförandeplan framtagen i förstudien. Kvartal 3 - Genomförande inkl utbildning och test Projektet genomförs enligt godkänd genomförandeplan och följs löpande upp i erforderlig omfattning. Kvartal 3 - Beslut om produktionssättning IT-chef beslutar i samråd med IT-cheferna i länet och regionförbundets informationssäkerhetssamordnare om produktionsstart utifrån resultatet från erforderliga tester. Kvartal 3-4 Kvartal 4 - Produktionsstart Lokalt projektavslut En rapport skrivs som sammanfattar erfarenheter och resultat av projektets genomförande. Rapporten redovisas för regionförbundets informationssäkerhetssamordnare för att ingå som en inlaga i det länsövergripande samordningsprojektet.

9 Bilaga 3 Projektplan ansökan om medel Sida: 9 (11) 7 Projektkalkyl och finansieringsprinciper Vi har tagit del av de finansieringsprinciper som gäller för anslaget och intygar att endast giltiga kostnader ingår i projektet. (markera med ett kryss) 7.1 Projektkalkyl Endast giltiga kostnader enligt gällande finansieringsprinciper ska ingå. Redovisa översiktligt projektets huvudsakliga kostnader. Om projektet är flerårigt ska det framgå vilka kostnader som förväntas för respektive år. Infoga fler rader vid behov. Kalkylpost Förstudie och detaljprojektering: >intern tid 60 timmar á 200 sek per kommun, (11 kommuner ) >extern tid 10 timmar á 1000 sek per kommun, (11 kommuner ) >intern tid 20 timmar á 200 sek validering av existerande DNSSEC (1 kommun) > extern tid 6 timmar á 1000 sek, validering av existerande DNSSEC (1 kommun > synnergieffekt vid samverkansprojekt uppskattad till sek Genomförande inkl utbildning och test >intern tid 80 timmar á 200 sek = ( 11 kommuner ) >extern tid 30 timmar á 1000 sek = ( 11 kommuner ) > intern tid utbildning 24 timmar à 200 sek ( 1 kommun) > extern tid utbildning 24 timmar á 1000 ( 1 kommun) > synnergieffekt vid samordnad utbildning och test uppskattad till sek Kostnad x 11 = x 11 = x 1 = x 1 = Summa = Summa kr x 11 = x 11 = x 1 = x 1 = Summa = Summa Inköp av programvara/hårdvara/certifikat ( x 11 kommuner) Informationssäkerhetssamordnarens tid Adminstrativa kostnader Summa: sek exlusive moms

10 Bilaga 3 Projektplan ansökan om medel Sida: 10 (11) 7.2 Fördelning av kostnader Vid delfinansiering, ange hur stor del av totalkostnaden den egna myndigheten står för. Vid samfinansiering, ange vilka andra myndigheter som är med och finansierar projektet och vilken deras roll är. Myndighet Ansvar Finansiering 1 Övrig information. Genom samverkan beräknas kostnaden minska med cirka kronor. Den ekonomiska beräkningen baseras på vad kommunerna anser att projektet i sin helhet kommer att kosta. Om den beräknade kostanden överstiger utfallet från 2:4 anslaget till DNSSEC, kommer kommunerna att ta ställning till delfinansiering och eventuell avskalning av upplägget i projektet. Detta kan dock inte göras, innan vi vet det ekonomiska utfallet av beslutet i denna ansökan. 8 Miljöpåverkan Enligt Förordning (2009:907) om miljöledning i statliga myndigheter ska myndigheter, inom ramen för sitt ordinarie uppdrag, ha ett miljöledningssystem som integrerar miljöhänsyn i myndighetens verksamhet så att man beaktar verksamhetens direkta och indirekta miljöpåverkan på ett systematiskt sätt. Detta kan exempelvis göras genom standardisering enligt ISO Beskriv kort vilken direkt samt indirekt miljöpåverkan projektet kommer att få. Direkt miljöpåverkan kan exempelvis vara den egna myndighetens miljöpåverkan kopplat till resor, inköp och så vidare. Indirekt miljöpåverkan avser exempelvis vilken miljöpåverkan som andra organisationer kan ge som en effekt av projektet. Beskriv också hur ni kommer att ta hänsyn till och minska projektets negativa miljöpåverkan? Produkter köps med hänsyn till kommunens krav på att minimera belastningen på miljön. Externa konsulter kommer i möjligaste mån att medverka i projektet på distans för minimera miljöbelastningen som uppstår i samband med resor. Samtliga organisationr har en miljöplan / policy, och projektet kommer att följa denna. 1 Ange i tusen kronor, eller som procent av total kostnad

11 Bilaga 3 Projektplan ansökan om medel Sida: 11 (11) 9 Jämställdhet och mångfald Enligt Diskrimineringslagen (2008:567) ska alla myndigheter inom ramen för sin verksamhet bedriva ett målinriktat arbete för att aktivt främja lika rättigheter och möjligheter i arbetslivet oavsett kön, etnisk tillhörighet, religion eller annan trosuppfattning. Beskriv kort hur jämställdhetsaspekter kommer att beaktas i projektet. Kommunerna samt regionförbunder har en policy för jämställdhet och mångfald som. 10 Bilagor Här redovisar du eventuella bilagor till projektplanen. Bilagor är dokument som kompletterar och förtydligar projektplanen, t.ex. risk- och sårbarhetsanalyser. Dessa bilagor ska inte skickas till MSB utan efterfrågas vid behov. Bilag a Dokumentnamn Utgåva, datum 1 Rapport Informationssäkerhet ver 1,2 2 3