Samarrbetsförslag Version 1.1 1(6) Utfärdare Claes-Olof Olsson Ert datum Er referens Leverantörsförslag till samarbete kring säkerhetstest Företag: Accolm AB Parter: Föreningen Sambruk + fem utvalda/frivilliga kommuner Syftet med projektet CVA är 1. Skapa tydligare riktlinjer för kommunens inleverans och interndebitering av förvaltnings överbryggande IT tjänster. 2. Främja kommunens engagemang i kvalitativt säkrade e-tjänster både internt samt mot kommunens individer. 3. Främjande av ett tydliggörande i kommunens incidenthanteringsprocess Visionen är att: 1. Sammanställa ett underlag vid upphandling och andra förvaltnings överbryggande IT lösningar samt bidra till en tydligare bild om hur kravställning och informationsflödet inom de förvaltningarna ser ut då deltagarna kommer från både verksamhet och IT. 2. Medverkande får en större insikt i de sårbarheter man står inför och samtidigt informeras om hur man bäst skyddar sig mot dessa. Genom workshops och utbildning få förhöjd intern IT säkerhetskunskap och kompetens i förebyggande åtgärder. Informationen skapar dialoger mellan kommuner och bidrar till det kommunala säkerhetsforumet. Fr a m st äll d fr ån en av F O R M so ft A B 3. Tydliggöra kommunens interna tekniska ansvarsområden samt tilldela verksamhetens driftstekniska resurser ägare som vid en akut situation snabbt kan identifieras.
2(6) Projektetförutsättningar Parterna avser genomföra ett projekt (Projektet), omfattande primärt applicerande av en av Accolms lösningar kallad Continuous Vulnerability Assessment (CVA) på Sambruks egen IT-miljö samt på motsvarande villkor för fem (5) av Sambruks valda medlemskommuner. Sambruk avser inkludera fem av sina medlemskommuner i projektet. Syftet med projektet är att demonstrera Accolms förmåga att hjälpa till med att upptäcka sårbarheter i webbapplikationer och / eller nätverk samt hjälpa säkra webbapplikationer och nätverk, bevisa Accolms kunnande inom området, förbättra Sambruks webbapplikationssäkerhet samt genom Accolms webbaserade verktyg Enterprise Security Console (ESC) synliggöra Applikation / Server / Nätverk /Infrastruktur sårbarheter i Sambruks IT-miljö för Sambruk, utbyta kunskap mellan parterna, och i vidare mening pröva parternas förmåga att främja varandras intressen. Projektets omfattning och utförande beskrivs i kommande stycken. Accolms prestation Projektet kommer att bestå av: 1. Skanning av valfria applikationer samt externt och internt nätverk 2. Presentation av identifierade sårbarhet och risker 3. Demonstration: Sambruks, respektive deltagande kommuners nytta i att använda ESC, t.ex. scan rapporter, scanhistorik, trendanalyser, översyn av publicerade sårbarheter relevant för Sambruk, och deltagande kommuner, anpassningsbarhet för Ledning, Utvecklare och Tekniska användare, hur ESC hjälper Sambruk samt deltagande kommuner följa MSB s incidenthanteringsprocess etc.. Projektet avses ge Sambruk och deltagande kommuner en förhöjd säkerhetsnivå samt en förnyad inblick i sin egen IT-miljö, dess styrkor och svagheter på samma sätt som inom Accolms kommersiella uppdrag. Sambruk och deltagande kommuner antas lägga ned en självvald mängd arbete för att åtgärda de sårbarheter som upptäckts. Kostnad Den monetära ersättningen är 0 kr, och består istället av Sambruks prestationer enligt nedan. Sambruks prestation Sambruk skall visa upp Accolm genom en logotyplänk och tillhörande sponsringsbudskap på sin hemsida, i samma stil som andra sponsrande leverantörer. Denna länk och budskap skall kvarstå under år 2015, med möjlighet till förlängning till sådan tidslängd som Sambruk anser står i proportion till projektets omfattning och den levererade nyttan.
3(6) Accolm får rätt att berätta om Projektet som pedagogiskt exempel i kontakter med t ex andra svenska kommuner, för att underlätta förståelsen av sitt budskap samt referenssyfte. Sambruk erbjuder sig ställa upp som referenskontakt i händelse av att organisation inom dess verksamhetsområde, dvs svenska kommuner, överväger att anlita Accolm och vill ställa frågor om Accolm. Accolm och Sambruk skall ger varandra ömsesidigt utrymme att föra ut sina budskap till relevant publik tex vid seminarier eller andra evenemang om relaterade ämnen, genom på platsmedverkan, utdelning av material eller liknande. Motsvarande gäller för tryckta publikationer eller motsvarande som parterna kan komma att publicera under 2015. Projektets genomförande Etapp 1 1. Identifiering av nyckelpersoner/resurser som omfattas i projektet. 2. Specificera implementationen av CVA, genom att sammanställa information för berörda tekniska system. 3. Upprättning av site to site IPSec VPN koppling. 4. Val av webapplikationer, nätverk, tid, frekvens för skanning. I de fall kommunens driftansvar även inkluderar utomstående system är det av yttersta vikt att dokumentationen innehåller uppgifter för de system som ej ska inkluderas i projektet, ex. livsuppehållande system etc. Etapp 2 1. Konkretisera samt fördela ansvar för aktuella verksamhetskritiska tekniska system. 2. CVA som aktivitet, workshop och utbildning i ESC. 3. Scanning av valda webapplikationer samt nätverk. 4. Resultatanalys av CVA 5. Genomgång av resultatanalys med sammanfattningsrapport, åtgärdsrapport och åtgärdsinstruktioner. 6. Implementation av åtgärdsrekommendationer. 7. Genomförande av etapp 2, pkt 3 6 igen.
4(6) Parallellt med Etapp 2 genomförs projektets del 3; Tydliggörande av Incidenthanteringsprocess. Etapp 3 1. Sammanställning av underlag för informationsflöde och interna kravställningar. 2. Gemensam genomgång av erfarenheter och lärdomar. 3. Sammanfattning, utvärdering och projektavslutning.
5(6) Appendix 1 1.1 De kommuner som inkluderas i projektet åtar sig uppdraget att dokumenterar vilka interna personer/positioner och verksamhetsområden/förvaltningar som berörs av projektet. Definiera de olika aktiviteterna inom dessa och skapa en aktivitetslista. 2.1 Projektet ger de medverkande kommunerna en större insikt i de sårbarheter man står inför och informerar samtidigt hur man bäst skyddar sig mot dessa. Utöver att höja säkerheten och få nöjdare användare även spara arbetstid. 3.1 I linje med SKL, MSB och PTS stödja införandet av säker adressering på internet. Detta inkluderar beskrivelse av vilka rutiner och säkerhetslösningar som måste etableras för att uppfylla de mål som beskrivs av MSB i bl.a styrdokumentet, Att hantera överbelastningsattacker. Systemförvaltningsmodellen ger förbättrad intern resursöverblick samt beskriver roller och ansvar kring systemförvaltning av kommunens ITsystem. Se beskrivning av roller i appendix 2
6(6) Appendix 2 Roller i systemförvaltningsorganisation Systemägare Systemägaren ansvarar för ett systemförvaltningsobjekt och beslutar om utveckling och avveckling av systemförvaltningsobjektet. Systemägaren tar beslut om mål och budget för systemförvaltningsobjektet i form av systemförvaltningsplan. Systemägaren utser systemförvaltare. Systemägaren tecknar överenskommelse, SLA, med systemägare IT. Systemägare IT Systemägare IT ansvarar för att tillgodose behov av infrastruktur och teknisk plattform för ett systemförvaltningsobjekt. Systemägare IT deltar i fastställande av systemförvaltningsplan. Systemägare IT utser teknisk systemförvaltare. Systemägare IT är IT-chefen. Om systemförvaltningsobjektet nyttjas gemensamt av flera förvaltningar skall det finnas skriftliga överenskommelser om villkoren för detta. Systemförvaltare En systemförvaltare ska, inom givna ekonomiska ramar, ta ett funktionellt ansvar för ett förvaltningsobjekt. Detta innefattar att driva utveckling enligt uppsatta systemförvaltningsplaner, följa upp efterlevnad av avtal mm. Teknisk systemförvaltare En teknisk systemförvaltare ska i samråd med systemförvaltaren ta ett tekniskt ansvar för förvaltningsobjektet. Detta förutsätter kompetens om de specifika tekniska förutsättningar som gäller för förvaltningsobjektet. Den tekniska systemförvaltaren är ett stöd till systemförvaltaren i tekniska frågeställningar. Informationsägare Informationsägaren har det övergripande och yttersta ansvaret för den information som används av ett eller flera system. Informationsägare fattar det avgörande besluten om informationen, om det behövs utveckling, förvaltning och avveckling av informationen.