Projektplan ansökan om medel

(1)

Projektplan – ansökan om medel

1 Översikt projektplan

1.1 Namn

Projektnamn: Införande/anpassning av DNS och DNSSEC

1.2 Datum

Datum: ^ÅÅ-MM-DD: 2011-09-29

1.3 Kontaktuppgifter

Myndighet: Länsstyrelsen Kalmar genom Regionförbundet i Kalmar Län företräder följande kommuner:

Vimmerby, Västervik, Hultsfred, Högsby, Oskarshamn, Mönsterås, Kalmar, Nybro, Emmaboda, Torsås, Borgholm och Mörbylånga

Samverkansområde: SOGO, SOTI

Namn på projektets kontaktperson: Stephen Dorch, Regionförbundet (projektsamordnare) Telefonnummer projektets

kontaktperson: 0480-448343

E-post: Stephen.Dorch@rfkl.se

1.4 Tidplan

Projektet beräknas påbörjas: ^ÅÅ-MM-DD: 2012-01-01 Projektet beräknas avslutas: ÅÅ-MM-DD: 2012-12-30 Antal kalenderår projektet löper: 1

1.5 Kostnad

Kostnad 2012: 966 800 kr

(2)

Bilaga 3 Projektplan – ansökan om medel Sida: 2 (11)

Om projektet är flerårigt - specificera kostnaden per år samt ange total kostnad:

2013:

2014:

TOTALT:

966 800

2 Behov

2.1 Bakgrund och behov

Behovet finns definierat i följande dokument:

RSA (inklusive förmågebedömning):

dokument:

dnr:

år:

sidhänvisning:

Annat, specificera: rapport hälsoläget i .SE 2010, Rapport infosäk 2008-2010 Kalmar läns kommuner

Kompletterande text:

Beskriv kortfattat bakgrunden till projektet genom att tydliggöra det behov som ligger till grund för projektet.

Max 3000 tecken.

(3)

Detta projektet, och denna ansökan, omfattar Kalmar läns samtliga 12 kommuner. Dessa är Vimmerby, Västervik, Hultsfred, Högsby, Oskarshamn, Mönsterås, Kalmar, Nybro, Emmaboda, Torsås, Borgholm och Mörbylånga kommun. Denna ansökan avser samtliga kommuner.

Bakgrund:

Domännamnssystemet (DNS) är en av hörnstenarna på Internet och är till för att förenkla adressering av tjänster och resurser på Internet. Varje ansluten webbserver, e-postserver eller annan typ av enhet har en egen unik IP-adress som med hjälp av DNS kan kopplas till en adress presenterad i en form som är lättare att hantera för oss människor.

Men det finns brister i DNS som gör det möjligt att förfalska svaren på sådana DNS-frågor. Det öppnar för olika former av missbruk där /exempelvis/ intet ont anande nätanvändare leds in på falska webbplatser i syfte att bli lurade på pengar eller känslig information som exempelvis lösenord och kontokortsnummer eller där all e-post leds om och passerar någon annan server på vägen där alla meddelanden kopieras utan att vare sig avsändare eller mottagare märker det. För att motverka detta finns DNSSEC, något som infördes i den svenska toppdomänen .se redan 2005, men som behöver få större spridning även till nästa nivå, dvs. alla huvuddomäner under .se

Det är viktigt att verksamhetens DNS-infrastruktur ansluter till aktuell standard och att den är konstruerad på ett sätt som gör att den tillhandahåller en säker och robust tjänst med god nåbarhet vare sig man driver den själ eller lagt ut driften på extern partner. Det finns en branchstandard som definerar "god kvalitet" på DNS, som i korthet innebär:

• Att ha en robust DNS-infrastruktur med god nåbarhet.

• Att alla inblandade namnservrar svarar på frågor korrekt.

• Att domäner och servrar är korrekt uppsatta.

• Att data i domännamnssystemet om enskilda domäner är korrekta och äkta.

• Att domäner använder DNSSEC.

• Att verksamheten uppfyller de krav som ställs i relevanta Internet- och andra standarder.

Det är viktigt att kommunens DNS bygger på denna standard, vilket gör att den tillhandahåller en säker och robust tjänst med god nåbarhet vare sig man driver den själv eller har lagt ut driften på någon extern partner.

Både DNS och DNSSEC är mycket viktiga för att skapa robusta, pålitliga och tillgängliga tjänster i samhället. Därför har MSB låtit göra det möjligt att ansöka om anslag ur 2:4 Krisberedskap för 2012.

Inriktningen på prioriteringarna för 2012 omfattar förebyggande och förberedande arbete inom krisberedskapsområdet, där den förebyggande verksamheten syftar till att minimera antalet kriser och effekterna av dessa genom att de berörda aktörerna vidtat förebyggande och

sårbarhetsreducerande åtgärder.

Länets kommuner vill liksom övriga offentliga och privata verksamheter införa DNSSEC som en viktig sårbarhetsreducerande åtgärd i dagens och morgondagens informationssamhälle.

2.2 Inriktningen för anslag 2:4 Krisberedskap

Vi har tagit del av de generella förutsättningar som gäller för anslaget i kapitel 4 i inriktningen och intygar att projektet är förenliga med dessa. (markera med ett kryss)

Område i inriktningen (kap 5) som projektet avser:

Välj endast ett område, om projektet passar in under flera områden: välj det ni bedömer mest passande.

(4)

5.1.1 Utveckling av metoder och verktyg för skydd av samhällsviktig verksamhet 5.1.2 Standardisering

5.2.1 Informationsdelning, lägesbild och lägesuppfattning 2.2.2 Kriskommunikation

5.2.3 Regional samverkan 5.2.4 Förstärkningsresurser

2.2.5 Detektionsförmåga och tidig varning

5.2.6 Utvecklingen av förmågan att hantera CBRN-händelser 5.2.7 Evakuering och utrymning

2.2.8 Kunskapsuppbyggnad

2.3 Ansvarsprincipen

Motivera varför projektet inte ska finansieras av myndighetens ordinarie anslag och varför det bör finansieras av anslag 2:4 Krisberedskap.

Detta är en extraordinär gemensam kraftansträngning ledd av länsstyrelsen i Kalmar län i samverkan med Regionförbundet i Kalmar län, som ökar möjligheten till

>att snabbt kunna förstärka tillförlitligheten i kommunens Internet-baserade tjänster

>att förbättra möjligheter till en långsiktigt hållbar samverkan inom informationssäkerhetsområdet

>att få ett mer kostnadsfördelaktigt genomförande och successiv vidareutveckling

I det regionala informationssäkerhetsarbetet har bristerna i kommunernas DNS uppmärksammats.

Under senare år har incidenter som nyttjar svagheter i nuvarande DNS-konfigurationer inträffat, om än inte direkt mot Kalmar läns kommuner.

Brister i nuvarande DNS har hittills bedömts som alvarligta, dock inte som mycket alvarliga. Åtgärden har därför, efter beaktande av kostnaden för åtgärden, inte prioritats. Med hänsyn till nuvarande lägesbild, där förfalskade certifikat används i riktade attacker, är bristen nu att betrakta som mycket alvarlig.

Med medel från anslaget 2:4 krisberedskap ges kommunerna möjlighet att dels åtgärda bristen, dels säkerställa nödvändig kompetens, för att långsiktigt bygga upp hållbar förvaltning av rubust

DNSSEC.

3 Idé och mål

3.1 Projektmål

Beskriv projektets mål. Vad ska vara uppnått när projektet är avslutat?

Målformuleringen ska vara tydlig, realistisk och mätbar.

Om projektet är flerårigt, ange delmål för respektive år.

(5)

Huvudmål

Projektet ska resultera i att varje enskild kommun har :

- en förstärkt och tillförlitlig infrastruktur för DNS vilket leder till ökad robusthet och nåbarhet - en verifierad teknisk kompetens för vidare förvaltning och drift av DNSSEC över tid

- dokumenterade processer och rutiner för att upprätthålla infrastrukturen för DNS baserad på standarden DNSSEC

- förvaltningen av DNS ska ske utifrån fastställda standarder som iso 20000 och 27000, där vi i tillämpliga delar använder ramverket för ITIL respektive MSB processkarta för informationssäkerhet

Delmål

>En för länet gemensam strategi för drift, förvaltning och utveckling av DNS-funktionen ur perspektiven tillgänglighet, riktighet och konfidentialitet ska tas fram.

>Strategin ska godkännas av utsedd ansvarig person hos varje enskild kommun

>Ökad samverkan och kompetensdelning lokalt, regionalt och nationellt

>Systemägare, systemförvaltare samt driftplan för DNSSEC ska fastställas

>Kostnadseffektivisering genom samverkan

3.2 Effekter

Redovisa förväntade effekter av den verksamhet som ska bedrivas i förhållande till behovet.

Projektet syftar till att öka tillförlitligheten och höja robustheten på IT-infrastrukturen ur ett DNS- perspektiv.

Kommunens informationmängder ska skyddas utifrån aspekterna tillgänglighet( att rätt information är tillgänglig), riktighet (att information kommer från rätt källa) och konfidentialitet (att information inte röjs för obehöriga)

En förväntad effekt av projekt är ökad tillit och förtroende kring kommunens förmåga att upprätthålla en god informationssäkerhet.

Genom samverkansprojektet kring DNS uppnås synergier, främst som kompetensdelning genom teknikersamverkan, men också inom organisation, arkitektur och infrastruktur. Möjligheter att samverka kring drift och förvaltning av primär och sekundär DNS.

3.3 Avgränsningar

Förtydliga projektets mål genom att ange vad som inte ingår i projektet.

Projektet omfattar inte migrering till IPV6.

(6)

4 Samverkan

Är projektet diskuterat i berörda samverkansområden?

Ja Nej

Om ja, på vilket sätt? IT-chefen, som ägare av IT-infrastrukturen, har förankrat detta med systemägare och -förvaltare för kommunens publika webb- respektive e-postfunktioner.

Den regional IT-chefsgruppen har beslutat om samverkan förutsatt ett possitivt bifall på ansökan.

Genom MSB försorg är det förankrat i SOGO.

Regionförbundets informationssäkerhetssamordnare.

Om nej, varför inte?

Hur har projektet i övrigt förankrats? Dialog sker med Länsstyrelsen

Vilka andra aktörer är involverade i projektet och hur? Obs! Ange endast sådana aktörer som är informerade och aktivt involverade i projektet, inte sådana som kan komma att bli delaktiga men ännu inte är kontaktade.

Samverkanspartner och kontaktperson Delaktighet, ange hur (t.ex deltar, stöttar)

PTS, MSB, .SE och SKL, ingen utpekad person stöttar som kravställare Länsstyrelsen i Kalmar, ingen utpekad person stöttar som kravställare Regionförbundet i Kalmar län, Stephen Dorch deltar som samordnare Konsult (avropas efter beslut enligt ansökan) deltar i genomförandet

stöttar med specialitstkompetens

(7)

5 Plan för att införliva projektets resultat i ordinarie verksamhet

5.1 Egna organisationen

Ange hur projektets resultat ska tas till vara i den egna organisationen.

Hur kommer projektets resultat att införlivas i den ordinarie verksamheten?

Eftersom projektet handlar om en anpassning till en säkrare, mer tillförlitlig och framtidssäkrad teknik för en vital del av IT-infrastrukturen så kommer IT-chef, som ägare av IT-infrastrukturen, att vara lokal ägare av projektet och dess genomförande samt följa upp den långsiktiga effekten av projektets genomförde.

Genom att inom projektets ramar utbilda DNSansvarig personal, förstärks förutsättningarna för ett långsiktigt hållbart arbetssätt och teknisk lösning för DNSSEC.

Ägare- och förvaltare av system som är beroende av en fungerande DNS för extern kommunikation kommer att vara informerade inom ramen för interna driftsavtal.

På regionförbundet blir informationssäkerhetssamordnarens roll att löpande verifiera med IT-chef att DNS-lösningen (inkl DNSSEC) finns dokumenterad i erforderlig omfattning samt att ansvarig

personal har rätt kompetens.

Regionförbundet samordnar projektet och rapporterar till länsstyrelsen. Den ekonomiska förvaltningen inom projektet fastställs i projektplanen i samråd med länsstyrelsen.

5.2 Målgrupper

Ange hur resultatet ska spridas till andra målgrupper.

Regionförbundets informationssäkerhetssamordnare kommer att ha rollen att skapa en fungerande samverkan på olika nivåer inom DNS-området inkl DNSSEC i ett långsiktigt perspektiv.

Samverkande parter är primärt kommunerna, landstinget och regionförbundet i kalmar län samt i viss mån länsstyrelsen. Dessutom kommer samverkan att ske genom det nationella kommunala informationssäkerhetsnätverket KIS.

Det slutliga resultatet ska delges ledningen, kris och beredskapsorganisation, samt informeras om på politisk nivå.

Målgruppen för ökad kompetens kring drift, teknik och förvaltning är IT-chef samt ansvarig tekniker.

Målgruppen för ökad kompetens kring betydelsen av DNSSEC ur ett samhällsperspektiv är ledningen, politiken och säkerhetsansvariga, inkl beredskapsdirektör, medicinsk ansvarig sekreterar (MAS) och informationssäkerhetsansvarig samt personuppgiftsombud.

(8)

6 Aktivitetsplan

Redogör översiktligt för projektets tidplan och avstämningspunkter.

Om projektet är flerårigt bör det ingå avstämningspunkter minst en gång per år i tidplanen, förslagsvis i samband med att ny överenskommelse tas fram. Vid dessa tillfällen bör även projektplanen uppdateras. Kom ihåg att även lägga in tid för uppföljning och utvärdering i tidplanen.

Tidpunkt Aktivitet Kvartal 1 -

2012 Beslut om medfinnansiering meddelas. Från detta datum behövs 3 månaders ställtid, datumet är ett exempel, det förskjuts med motsvarande tid som beslut dröjer.

Projektstart

Berörda personer som ingår i projektet informeras.

Beslut om avrop externa tjänster, konsultinsats.

Kvartal 2 -

2012 Förstudie inkl detaljprojektering av ett tänkt genomförande

Förstudien genomförs länsgemensamt. Detaljprojektering av genomförandet görs av lokala IT-tekniker i samverkan med kommunens kommunikationstekniska partner Cygate och övriga samverkande parter i länet. Detta sker enligt den av regionförbundets informationssäkerhetssamordnare upprättade övergripande aktivitetsplanen i det länsövergripande samordningsprojektet.

Kvartal 2 -

2012 Beslut om genomförande

IT-chef beslutar i samråd med IT-cheferna i länet och regionförbundets informations- säkerhetssamordnare om genomförande utifrån förslag till genomförandeplan framtagen i förstudien.

Kvartal 3 -

2012 Genomförande inkl utbildning och test

Projektet genomförs enligt godkänd genomförandeplan och följs löpande upp i erforderlig omfattning.

Kvartal 3 - 2012

Beslut om produktionssättning

IT-chef beslutar i samråd med IT-cheferna i länet och regionförbundets informations- säkerhetssamordnare om produktionsstart utifrån resultatet från erforderliga tester.

Kvartal 3-4 2012

Produktionsstart

Kvartal 4 - 2012

Lokalt projektavslut

En rapport skrivs som sammanfattar erfarenheter och resultat av projektets genomförande. Rapporten redovisas för regionförbundets informationssäkerhets- samordnare för att ingå som en inlaga i det länsövergripande samordningsprojektet.

(9)

7 Projektkalkyl och finansieringsprinciper

Vi har tagit del av de finansieringsprinciper som gäller för anslaget och intygar att endast giltiga kostnader ingår i projektet. (markera med ett kryss)

7.1 Projektkalkyl

Endast giltiga kostnader enligt gällande finansieringsprinciper ska ingå. Redovisa översiktligt projektets huvudsakliga kostnader. Om projektet är flerårigt ska det framgå vilka kostnader som förväntas för respektive år. Infoga fler rader vid behov.

Kalkylpost Kostnad

Förstudie och detaljprojektering:

>intern tid 60 timmar á 200 sek per kommun, - 12 000 (11 kommuner )

>extern tid 10 timmar á 1000 sek per kommun, - 10 000 (11 kommuner )

>intern tid 20 timmar á 200 sek validering av existerande DNSSEC (1 kommun)

> extern tid 6 timmar á 1000 sek, validering av existerande DNSSEC (1 kommun

> synnergieffekt vid samverkansprojekt uppskattad till - 50 000 sek

12000 x 11 = 132 000 10 000 x 11 = 110 000 4 000 x 1 = 4 000 6 000 x 1 = 6 000

Summa = 252 000 - 50 000

Summa 202 000 kr Genomförande inkl utbildning och test

>intern tid 80 timmar á 200 sek = 16 000 ( 11 kommuner )

>extern tid 30 timmar á 1000 sek = 30 000 ( 11 kommuner )

> intern tid utbildning 24 timmar à 200 sek ( 1 kommun)

> extern tid utbildning 24 timmar á 1000 ( 1 kommun)

> synnergieffekt vid samordnad utbildning och test uppskattad till - 200 000 sek

16000 x 11 = 176 000 30000 x 11 = 330 000 4800 x 1 = 4 800 24 000 x 1 = 24 000 Summa = 534 800 -200 000

Summa 334 800

Inköp av programvara/hårdvara/certifikat (30 000 x 11 kommuner) 330 000

Informationssäkerhetssamordnarens tid 50 000

Adminstrativa kostnader 50 000

Summa: 966 800 sek exlusive moms

(10)

7.2 Fördelning av kostnader

Vid delfinansiering, ange hur stor del av totalkostnaden den egna myndigheten står för.

Vid samfinansiering, ange vilka andra myndigheter som är med och finansierar projektet och vilken deras roll är.

Myndighet Ansvar Finansiering¹

Övrig information.

Genom samverkan beräknas kostnaden minska med cirka 250 000 kronor.

Den ekonomiska beräkningen baseras på vad kommunerna anser att projektet i sin helhet kommer att kosta.

Om den beräknade kostanden överstiger utfallet från 2:4 anslaget till DNSSEC, kommer kommunerna att ta ställning till delfinansiering och eventuell avskalning av upplägget i projektet.

Detta kan dock inte göras, innan vi vet det ekonomiska utfallet av beslutet i denna ansökan.

8 Miljöpåverkan

Enligt ”Förordning (2009:907) om miljöledning i statliga myndigheter” ska myndigheter, inom ramen för sitt ordinarie uppdrag, ha ett miljöledningssystem som integrerar miljöhänsyn i myndighetens verksamhet så att man beaktar verksamhetens direkta och indirekta miljöpåverkan på ett systematiskt sätt. Detta kan exempelvis göras genom standardisering enligt ISO 14001.

Beskriv kort vilken direkt samt indirekt miljöpåverkan projektet kommer att få.

Direkt miljöpåverkan kan exempelvis vara den egna myndighetens miljöpåverkan kopplat till resor, inköp och så vidare. Indirekt miljöpåverkan avser exempelvis vilken miljöpåverkan som andra organisationer kan ge som en effekt av projektet. Beskriv också hur ni kommer att ta hänsyn till och minska projektets negativa miljöpåverkan?

Produkter köps med hänsyn till kommunens krav på att minimera belastningen på miljön.

Externa konsulter kommer i möjligaste mån att medverka i projektet på distans för minimera miljöbelastningen som uppstår i samband med resor.

Samtliga organisationr har en miljöplan / policy, och projektet kommer att följa denna.

1 Ange i tusen kronor, eller som procent av total kostnad

(11)

9 Jämställdhet och mångfald

Enligt Diskrimineringslagen (2008:567) ska alla myndigheter inom ramen för sin verksamhet bedriva ett målinriktat arbete för att aktivt främja lika rättigheter och möjligheter i arbetslivet oavsett kön, etnisk tillhörighet, religion eller annan trosuppfattning.

Beskriv kort hur jämställdhetsaspekter kommer att beaktas i projektet.

Kommunerna samt regionförbunder har en policy för jämställdhet och mångfald som.

10 Bilagor

Här redovisar du eventuella bilagor till projektplanen. Bilagor är dokument som kompletterar och förtydligar projektplanen, t.ex. risk- och sårbarhetsanalyser. Dessa bilagor ska inte skickas till MSB utan efterfrågas vid behov.

Bilag a

Dokumentnamn Utgåva, datum

1 Rapport Informationssäkerhet 2008-2010 20110303 ver 1,2 2

3