riktlinjer för upphandling av molntjanster [fmv]
![Download Riktlinjer för upphandling av molntjanster [FMV]](https://vdocuments.mx/public/t1/desktop/images/cloud_download_icon2.png)
DESCRIPTION
UppsatsTRANSCRIPT
-
Datum
2013-06-06
Sida
1(22)
Riktlinjer vid upphandlingar av molntjnster hos
kommunala och statliga myndigheter
En guide mnad att tillgodose befintlig lagstiftning och uppfylla adekvata krav fr
informationsskerhet ur ett myndighetsperspektiv.
Daniel Cederqvist
-
Datum
2013-06-06
Sida
2(22)
-
Datum
2013-06-06
Sida
3(22)
-
Datum
2013-06-06
Sida
4(22)
Frord
-
Datum
2013-06-06
Sida
5(22)
Abstrakt
-
Datum
2013-06-06
Sida
6(22)
(Denna sida har avsiktligt lmnats tom)
-
Datum
2013-06-06
Sida
7(22)
Innehllsfrteckning
1 Introduktion .......................................................................................................... 10
1.1 Bakgrund .................................................................................................... 10
1.3 Problem ...................................................................................................... 10
1.4 Syfte och Frgestllning ............................................................................. 11
1.5 Definitioner ................................................................................................. 11
1.5.1 Juridiska begrepp .................................................................................... 12
1.5.2 Tekniska begrepp .......................................... Error! Bookmark not defined.
1.3 Avgrnsningar ............................................................................................ 11
2 Frdjupad bakgrund ............................................................................................ 11
2.1 Uppdragsgivare .......................................................................................... 12
2.2 Svensk Lagstiftning .................................................................................... 13
2.3 Europa Kommissionen ................................................................................ 14
2.3.1 Modellavtal ............................................................................................. 14
2.3.2 Beslut 2004/915/EG ................................................................................ 15
2.3.3 Beslut 2010/87/EU .................................................................................. 15
2.4 Informationsskerhet ................................................................................. 15
2.4.2 Fr- och nackdelar kring molnet ................................................................ 15
3.3.4 Ledningssystem ...................................................................................... 15
3.3.6 Ackreditering och riktlinjer ....................................................................... 15
3 Metodval ............................................................................................................... 15
3.1 Underrttelsecykeln .................................................................................... 15
3.2 Designforskning .......................................................................................... 16
3.2.1 Ramverk ................................................................................................ 16
3.4 Data-analys ................................................................................................ 17
3.4.1 Grounded theory ..................................................................................... 17
3.3 Alternativa forskningsmetoder ................................................................... 17
3.3.1 Insamlingsmetoder .................................................................................. 17
3.3.2 Metoder fr data-analys ........................................................................... 17
3.4 Relaterad forskning .................................................................................... 17
4 Metodtillmpning ................................................................................................. 17
4.1 Empiriska intervjuer ................................................................................... 17
4.1.1 Frgeformulr ......................................................................................... 18
4.2 Validitet och reliabilitet .............................................................................. 18
4.2.1 Validering ............................................................................................... 18
-
Datum
2013-06-06
Sida
8(22)
4.2.2 Hur validering skerstlls ......................................................................... 18
4.2.1 Reliabilitet .............................................................................................. 18
4.2.2 Hur reliabilitet skerstlls ......................................................................... 18
4.3 Mall fr intervjuer ....................................................................................... 19
4.4 Genomfrande ............................................................................................ 19
4.4 Etiska aspekter ........................................................................................... 19
4.4.1 Konfentialitet .......................................................................................... 19
4.4.2 Integritet ............................................................................................... 19
4.4.3 Tillgnglighet .......................................................................................... 19
5 Analys ................................................................................................................... 19
5.1 Diskussion .................................................................................................. 19
5.1.1 Argumentation ........................................................................................ 19
5.1.2 Framtida forskning .................................................................................. 19
6 Resultat ................................................................................................................. 20
6.1 Nya Riktlinjer .............................................................................................. 20
6.2 Utvrdering................................................................................................. 20
Kllfrteckning ........................................................................................................ 20
Figurfrteckning ..................................................................................................... 21
Bilagefrteckning .................................................................................................... 21
Exempelavtal A ................................................................................................. 21
Exempelavtal B ................................................................................................. 21
-
Datum
2013-06-06
Sida
9(22)
Figurfrteckning
Figur 1: Logotyp ..................................................................................................................................... 13
-
Datum
2013-06-06
Sida
10(22)
1 Introduktion
1.1 Bakgrund
Molntjnster r en av de stora trenderna inom dagens ICT. En av anledningarna till trenden r det finns stora mjligheter med molnlsningar. Moln r mycket skalbara och man kan dra nytta av bde prestanda och ekonomisk lnsamhet. (The Open Group, 2014) Statliga myndigheter som ska upphandla molntjnster, liksom andra IT-tjnster ska enligt lagstadgat (2007:1091) avtala fram den frmnligaste lsningen till bsta mjliga pris. D r det av vikt att man har en frmga att selektera det lmpligaste alternativet. Hos frsvarsmakten och andra statliga myndigheter finns det dessutom ytterligare krav och tillmpad lagstiftning att ta hnsyn till. Lagstiftningen ter sig dessutom annorlunda nr det rr molntjnster n nr det rr andra IT-tjnster. Bortsett frn tillmpad lagstiftning s finns det ven skerhetsaspekter kring knsligt material och etiska aspekter att ta hnsyn till. Hr finns det ett flertal olika regelverk och standarder att tillg. Det hr r ett examensarbete skrivs som C-uppsats p Data- och Systemvetenskapliga institutionen vid Stockholms Universitet men ven i uppdrag till Frsvarets Materielverk. Arbetet ska tillmpas inom ramen fr myndigheten men kan ven vara till nytta fr andra upphandlande instanser.
1.2 Problem
Svenska myndigheter ska enligt lagstiftning (1996:627) skydda och frebygga mot brott som kan
vara ett hot mot rikets skerhet. Upphandlingar av frsvarslogistik i Sverige r ocks
upphandlingar som berr rikets skerhet.
I en rapport (Hallberg et al., 2010) ur ett aktuellt forskningsprojekt kring den bristande
informationsskerheten hos statliga myndigheter, s finns det problem att uppn adekvata
skerhetsniver. Det frekommer ocks brist p reell kunskap till att efterleva nuvarande
lagstiftning. Ett uppmrksammat fall (Grslund et al., 2011) r Salems kommun som tvingats att
vidta tgrder efter kritik frn Datainspektionen. En mjlig orsak (Ulfvarson, 2012) till den
bristande kunskapen skulle kunna vara att det akademiska omrdet i offentlig rtt r smalt.
Sveriges frsta doktor disputerade s sent som r 2012 inom omrdet.
Myndigheten fr Samhllsberedskap (MSB) har med den utgngspunkt frn den lpande
omvrldsanalys som sker vid MSB kartlagt (MSB, 2012) skerhetsrisker vid centraliserad IT-
drift. MSB beskriver att det finns risk till att bristflliga lsningar och alltfr vaga
upphandlingskrav bidrar till att informationsskerheten frsmras istllet.
-
Datum
2013-06-06
Sida
11(22)
Detta r ett praktiskt exempel p hur offentlig rtt och informationsskerhet vid upphandling av
molntjnster gr hand i hand. Det har saknats underlag vid upphandlingar hos FMV, vilket r
problemet som ligger till grund fr den hr uppsatsen.
1.3 Syfte och Frgestllning
Syftet med det hr arbetet r att frska tcka hlet fr den kunskap som saknas vid
upphandlingar av molntjnster inom offentlig sektor.
Frgestllningen lyder:
Hur skerstller FMV och andra statliga myndigheter att krav p informationsskerhet och
lagstiftning vid (offentlig) upphandling av molntjnster efterlevs?
Fr att skerstlla informationsskerheten och lagstiftningen s har aktuella krav och behov
sammanstllts, nya konkreta riktlinjer (en artefakt) tagits fram och tv exempel p ramavtal som
uppfyller kriterierna har bifogats. Detta r tnkt som vgledning fr kommande upphandlingar.
1.4 Avgrnsningar
Det finns gott om tillgngliga kllor inom omrdet. Dribland ett flertal olika regelverk, bland annat frn SPO och Frsvarsmakten. ven fysiskt skydd avgrnsas. Det finns material som rr etik, exempelvis inom ISO 27000. Detta arbete tar i frsta hand upp lagstiftning och i andra hand aspekter vid informationsskerhet. Sklet till detta r det r varken mjligt eller skligt att ta upp allt detta i en uppsats p C-niv.
Valideringen var tvungen att ske genom intervjuer som alternativ till implementering p grund av arbetsmngd och tidsbrist samt otillrckliga kunskaper kring mjukvaruutveckling. En djupare beskrivning av Validering genom implementation ges under avsnitt 3.4.1.
2 Defintioner
Definitioner kommer enbart att finnas i FMVs version.
2.1 Skalbarhet
2.1.1 Horisiontiell
2.1.2 Vertikal
-
Datum
2013-06-06
Sida
12(22)
2.2 Distributionsmodeller
En molntjnst r en tjnst dr stora, skalbara och centraliserade IT-resurser tillhandahlls genom internet. Ett publikt moln r ett moln som r tillgngligt fr allmnheten och ett privat moln r ett moln som inte r offentligt tillgngligt. Ett moln som r vare sig r privat eller publikt kallas hybridmoln. Ett bransch- /samgt moln r ett moln som r dedikerat t aktrer med en likvrdig kravbild. (Datafreningen i Sverige, 2013)
2.3 Servicemodeller
Software as a Service som frkortas SaaS r en molntjnst dr leverantren tillhandahller mjukvara eller egna tjnster. Platform as a Service som frkortas PaaS r en molntjnst dr leverantren ansvarar fr den fysiska sssdriften men tillhandahller sjlva plattformen. Infrastructure as a Service som frkortas IaaS r en molntjnst dr leverantren erbjuder hrdvara eller virtuella maskiner som t.ex. OpenStack.
2.4 Offentlig rtt
Innebrden av en upphandling r enligt konkurrensverket (Konkurrensverket, 2013) de tgrder som vidtas av en upphandlande enhet fr att tilldela ett kontrakt eller ing ett ramavtal fr varor, tjnster eller byggentreprenader. Enligt samma klla frn konkurrensverket s offentlig upphandling r den formella skillnaden mellan upphandling och offentlig upphandling att offentlig upphandling grs inom den offentliga sektorn. Enligt lagboken (LoU 2007:1091) avses ett ramavtal som ett avtal som ings mellan en eller flera upphandlande myndigheter och en eller flera leverantrer i syfte att faststlla villkoren fr senare tilldelning av kontrakt under en given tidsperiod. Ett avropsavtal innebr att kparen under viss bestmd tid har rtt och vanligen ocks skyldighet att hos sljaren vid olika tidpunkter under avtalstiden bestlla, avropa, vissa delar av den i avropsavtalet bestmda kvantiteten. (Nationalencyklopedin, 2013)
2 Frdjupad bakgrund
2.1 Uppdragsgivare
Frsvarets Materielverk (FMV) r en oberoende statlig myndighet som sorterar under frsvarsdepartementet och som har i uppgift (2007:857) att infrskaffa och gra sig av med
-
Datum
2013-06-06
Sida
13(22)
frsvarsmateriel och frndenheter p uppdrag av Frsvarsmakten. Utver detta s finns andra arbetsuppgifter ssom att bist Frsvarsmakten med materielfrsrjningsplanering och materielsystemkunskap samt genomfra upphandlingar till andra myndigheter och organisationer.
Figur 1: Logotyp
I frsta delen av detta avsnitt redovisas hur lagstiftningen ser ut inom Sverige och EU. I andra delen
redovisas relevanta skerhetsaspekter fr tecknande av avtal.
2.2 Svensk Lagstiftning
2.2.1 Krav fr den offentliga sektorn
Lagstiftningen skiljer sig markant vad gller den privata respektive den offentliga sektorn. Inom
den privata sektorn finns bland annat lagstiftning som bokfringslagen (1999:1078),
personuppgiftslagen (1998:204) (PuL) och lag om skydd fr fretagshemligheter (1990:409) att
ta hnsyn till.
Inom den offentliga sektorn finns personuppgiftslagen, tryckfrihetsfrordningen (1949:105),
offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782), arkivfrordningen
(1991:446), Riksarkivets freskrift (RA-FS 1997:6), frvaltningslagen (1986:223) samt
frordning (200:606) om myndigheters bokfring,
2.2.2 Personuppgiftslagen
Personuppgifter behandlas ofta i molnet oavsett om det r en IaaS-, PaaS- eller SaaS-lsning och i
s fall br lagen tillmpas. Enligt personuppgiftslagen finns en personuppgiftsansvarig och ett
personuppgiftsbitrde.
-
Datum
2013-06-06
Sida
14(22)
Den personuppgiftsansvarige r den juridiska person eller myndighet som behandlar
personuppgifter i sin verksamhet och personuppgiftsbitrdet r den som behandlar
personuppgifter fr den personuppgiftsansvariges rkning.
Ansvarsomrden:
Personuppgiftsansvarige ansvarar fr att personuppgiftsbitrdet vidtar skerhetstgrder (31)
Personuppgiftsansvarige ansvarar fr tekniska och organisatoriska tgrder fr skydd och
skerhetsniv (31)
2.2.3 verfring av skyddad data
Enligt personuppgiftslagen s rder det frbud (33) mot att verfra personuppgifter till tredje land om landet har bristande personuppgiftsskydd. Med tredje land menas en stat som varken r ansluten till EU eller till det Europeiska ekonomiska samarbetsomrdet.
2.2.4 Tryckfrihetsfrordningen
2.2.5 Arkivlagen
2.2.6 Arkivfrordningen
2.2.7 Offentlighets- & Sekretesslagen
2.2.8 Frvaltningslagen
2.2.9 Frordning 2000:606
2.2.10 Freskrift 1997:6 ur Riksarkivet
2.3 Europa Kommissionen
2.3.1 Modellavtal
-
Datum
2013-06-06
Sida
15(22)
2.3.2 Beslut 2004/915/EG
2.3.3 Beslut 2010/87/EU
2.4 Informationsskerhet
2.4.2 Fr- och nackdelar kring molnet
Flexibilitet vid verbelastningsattacker Problematik vid IT-forensiska utredningar
3.3.4 Ledningssystem
ISO 27000
3.3.6 Ackreditering och riktlinjer
National Institute of Technology har tagit fram riktlinjer (NIST, 2010)
3 Metodval
3.1 Underrttelsecykeln
I projekt hos myndigheter som bedriver underrttelsetjnst eller i vissa fall polisira insatser s
finns det en tillmpbar metod som kallas fr underrttelsecykeln. Det r en metod som anvnds
myndigheter som till exempel Amerikanska CIA (CIA, 2013) och FBI (FBI, n.d).
Underttelsecykeln har varit sedan brjan av detta examensarbete varit en utgngspunkt.
Underrttelsecykeln bestr av fem steg...
Behovsanalys - Behovsanalys och kartlggning av behov fr den aktuella verksamheten och vilket resultat som ska uppns. Ledare och chefer beslutar om man ska genomfra en aktion.
Datainsamling - Insamling av information och rdata, dr exempel kan vara inspelade intervjuer, ramverk eller tekniska specifikationer,
-
Datum
2013-06-06
Sida
16(22)
Bearbetning - Materialet frn datainsamlingen struktureras upp och bearbetas. Det bearbetade materialet valideras, kontrolleras fr reliabilitet (fotnot) samt genomgr vrig analys tills produktionen av materialet har lett till ett konkret resultat.
Utvrdering - Man utvrderar resultatet fr att se hur det hnger ihop och om bitarna har fallit p plats.
Redovisning - Det frdiga resultatet presenteras och delas ut till de aktrer som ska ta del det. Det kan rra sig om till exempel forskningskonferenser, uppdragsgivare eller statliga myndigheter. Underrttelsecykeln togs upp p ett mte hos Frsvarets Materielverk eftersom att det ansgs som en lmplig metod fr ett praktiskt genomfrande.
3.2 Designforskning
3.2.1 Ramverk
I A Design Science Primer finns ett ramverk fr designforskning frfattat av professor Paul Johannsson och forskningsingenjr Erik Perjons.
Ramverket innehller fem huvudaktiviteter kring hur artefakten skapas...
1. Utforska Problemet 2. Skissa och Definiera Krav 3. Design och Utveckling 4. Demonstration 5. Utvrdering
Utforska Problemet Den frsta delen r att utforska och analysera det olsta problemet. Efter att tidigare ha uppmrksammat de generella skerhetsbrister som finns hos molnet, s har det specificerats till att det finns ett srskilt behov av att ta fram nya riktlinjer fr molntjnster i upphandlingsprocessen. Skissa och Definiera Krav I denna fas pbrjas ett frarbete till de nya riktlinjerna dr krav och brister sammanstlls. Detta sker med hjlp av transkriberade och validerade intervjuer samt vrig data. Design och Utveckling Hr skapas riktlinjerna utifrn de sammanstllda kraven. Drefter sker validering och rttelse frn de transkriberade intervjuerna. Demonstration Riktlinjerna demonstreras tillsammans med en verklig fallstudie fr att bevisa att riktlinjerna r tillmpbara. Utvrdering En utvrdering grs i efterhand fr att se hur bra problemet lstes i praktiken.
-
Datum
2013-06-06
Sida
17(22)
3.4 Data-analys
3.4.1 Grounded theory
Defintionen av det engelska begreppet Grounded Theory beskriver processen, nr en forskare tar fram olika teorier eller hypoteser frn data. Forskaren resonerar kring dessa strukturer och mnster s kommer tar fram ett slutresultat. I denna process r det viktigt att forskaren inte tillmpar egna erfarenheter eller frkunskaper fr att experimentet ska lyckas. Nr Grounded Theory tillmpas i detta arbete s r det kllorna (rapporter, litteratur, ledningssystem etcetera) som betraktas som den data dr mnster och strukturer identifieras.
3.3 Alternativa forskningsmetoder
3.3.1 Insamlingsmetoder
Ytterligare metoder ett par metoder (The Good Research Guide, 1998) fr datainsamling som kan anvndas r frgeformulr och observation. Fr att frgeformulr ska vara en effektiv forskningsmetod s krvs en strre mngd insamlad data. I detta arbete anvnds ett frgeformulr som grund fr varje intervju. Men generellt nr frgeformulr anvnds som forskningsmetod s delegeras frgeformulren ut till allmnheten eller ngon annan mlgrupp. I det hr fallet vore det inte applicerbart eftersom att det eftersks inriktad kompentens som r sllsynt eller skulle kunna vara svrtkomlig hos allmnheten. P s stt vore inte ett frgeformulr, ett lmpligt medel. Dremot finns det mjligheter att fokusera p en specifik mlgrupp av experter. Fr att ta ett exempel s finns det relevanta facktidningar. Men dr kommer problematiken kring avgrnsning in. Observation som forskningsmetod vore inte heller applicerbart eftersom att detta r ett teoretiskt- och inte ett praktiskt arbete. Eftersom att upphandlingskraven inte r fysiska s r inte observeration den mest relevanta insamlingsmetoden.
3.3.2 Metoder fr data-analys
3.4 Relaterad forskning
4 Metodtillmpning
4.1 Empiriska intervjuer
Som empirisk metod fr datainsamlingen s genomfrdes 6 intervjuer som sedan validerades.
-
Datum
2013-06-06
Sida
18(22)
Figur 1: listar intervjuer
Namn Organisation Befattning Erfarenhet
(r)
Expertis
? Datainspektionen ? ?
? FMV Jurist ? Offentlig Rtt
? FMV Jurist ? Offentlig Rtt
Thomas
Lundberg
LRQA Sverige VD ? Assurance
Jan Lundh Kammarkollegiet Upphandlingsansvarig ? Ramavtal
4.1.1 Frgeformulr
Datainspektionen
Intervjufrgor
LRQA
Intervjufrgor
Kammarkollegiet
Intervjufrgor
4.2 Validitet och reliabilitet
4.2.1 Validering
4.2.2 Hur validering skerstlls
4.2.1 Reliabilitet
4.2.2 Hur reliabilitet skerstlls
-
Datum
2013-06-06
Sida
19(22)
4.3 Mall fr intervjuer
4.4 Genomfrande
4.4 Etiska aspekter
Fr att godtyckligt skerstlla att genomfrandet av forskningsetiken s har CIA-modellen anvnts. Det r modell dr hnsynstagande till konfentialitet, integritet och tillgnglighet bidrar till strkt informationsskerhet. Enbart godtyckligt eftersom att policys och skerhetsmodeller inte brukar anses explicita. (Bishop, 2004)
4.4.1 Konfentialitet
Det framgr i avtalet att inspelningen sker med en diktafon av mrke och modell, Olympus VN-
711PC fr att sedan lagras p en dedikerad USB-Sticka med Truecrypts 256-bitars AES-
kryptering.
4.4.2 Integritet
Fr att informanten ska knna en trygghet kring intervjuen s har ett avtal fr tystnadsplikt
erbjudits. Informanterna har ven tillfrgats i mycket god tid.
4.4.3 Tillgnglighet
Inspelningen med Thomas Lundberg har genomfrts p Skype till skillnad frn vriga intervjuer
som skett p plats i Stockholm. I avtalet str ven att materialet kommer att bearbetas och
transkriberas men att kllmaterialet ej ska delas ut till 3:e part utan kllornas godknnande.
5 Analys
5.1 Diskussion
5.1.1 Argumentation
5.1.2 Framtida forskning
-
Datum
2013-06-06
Sida
20(22)
6 Resultat
6.1 Nya Riktlinjer
6.2 Utvrdering
Kllfrteckning
The Open Group, Building Return on Investment from Cloud Computing : Cloud Computing Key Performance Indicators and Metrics, 17 Februari 2014,
Totalfrsvarets Forskningsinstitut. Controlled Information Security. (2008 2011). Controlled Information Security: How to recognize and improve organizational information security status 2010. Stockholm: FOI MEMO 3102.
Offentliga Affrer, Sveriges frsta doktor i offentlig upphandling, 22 maj 2013,
U.S Central Intelligence Agency [CIA]. The Intelligence Cycle 2013, 17 maj 2013,
U.S Federal Bureau of Investigation [FBI]. Intelligence Cycle, 17 maj 2013,
Nationalencyklopedin. Avropsavtal, 2 juni 2013,
Nationalencyklopedin. Avropsavtal, 2 juni 2013,
Konkurrensverket, Vad r offentlig upphandling?, 2 Juni 2013,
Datainspektionen, Vem r personuppgiftsansvar?, 5 november 2011,
-
Datum
2013-06-06
Sida
21(22)
National Institute of Technology [NIST], 9 decemeber 2011, Datafreningen i Sverige, November 5 mars 2013,
PuL 1998:204. Personuppgiftslag. Stockholm: Justitiedepartementet.
OSL 2009:400. Offentlighets- och sekretesslag. Stockholm: Justitiedepartementet. LOU 2007:1091. Lag om offentlig upphandling. Stockholm: Justitiedepartementet. SFS 1996:627. Skerhetsskyddslag. Stockholm: Justitiedepartementet. FL 1986:223. Frvaltningslag. Stockholm: Justitiedepartementet. SFS 2000:606. Frordning om myndigheters bokfring. Stockholm: Justitiedepartementet. RA-FS 1997:6 Allmnna rd om gallring av ringa eller tillfllig betydelse Stockholm: Justitiedepartementet Bishop, M., 2004. Introduction to Computer Security, Security Policies. New Jersey: Prentice Hall PTR.
Figurfrteckning
Charlotte S., 2011, Bilder och Logotyper, FMV:s logotyp med svensk devis i bildformatet CMYK och EPS,
Bilagefrteckning
Exempelavtal A
Exempelavtal B
-
Datum
2013-06-06
Sida
22(22)