4 Konceptuell lösningsarkitektur

4.1 Definition av spårbarhet

Spårbarhet innebär olika saker beroende på vem du pratar med vilket kan leda till att felaktiga förväntningar finns på vad som ska levereras inom ramen för byggblocket. I byggblock spårbarhet har följande definition av spårbarhet formulerats:

Spårbarhet är metoden som möjliggör att ha nödvändig information för varje steg i en processkedja tillgänglig. Det innebär att varje händelse av betydelse i processen är verifierbar, går att härleda samt är knuten till en identitet.

4.2 Övergripande användningsområden

Projektgruppen anser att byggblocket ska leverera ett ramverk som främst ämnar sig för hur loggning och spårbarhet bör implementeras för digitala tjänster och andra producenter av information inom infrastrukturen Ena. Utöver detta kommer ramverket även agera som stöd- och utbildningsmaterial för att främja kunskap och sprida information om loggning och spårbarhet samt skapa samsyn och gemensamma arbetssätt kring loggnings- och spårbarhetshantering inom Ena, som då även ämnar sig för konsumenter av data/information inom Ena. Byggblocket är inte ett centralt system för loggning, utan gemensamma rekommendationer och krav för hur aktörer inom Ena ska utforma sina loggsystem i praktiken. Ramverket för loggning och spårbarhet ämnar bl.a. möta de identifierade behoven från förstudien (standarder för loggning och spårbarhet, vägledning och stöd för hur man tillämpar olika loggar och uppfyller krav på spårbarhet för olika nivåer av informationssäkerhetsklasser).

Det finns nästan lika många användningsområden som det finns namn på loggtyper, här kommer några av de vanligaste med loggindelning inom parentes. Dessa kommer vidare att utredas och definieras för ramverket under framtagandet i utvecklingsfasen.

  • Systemanvändning (driftlogg)
  • Systemdiagnostik (driftlogg)
  • Missbruk av systemstöd (spårbarhets-/auditlogg)
  • Internutredning (spårbarhets-/auditlogg och driftlogg)
  • Incidentutredning, vid till exempel misstanke om intrångsförsök, skadlig programkod och annan IT- eller informations-säkerhetshändelse (spårbarhets-/auditlogg och driftlogg)

4.3 Definierade förmågor

Nedan listas och beskrivs de förmågor som byggblocket anser krävs för att ramverket ska få effekt och möjliggöra spårbarhet inom Ena. Förmågorna har delats upp enligt konsumentförmågor, producentförmågor eller gemensamma förmågor inom Ena.

4.3.1 Konsumentförmågor

Vara medveten om gällande förutsättningar kring loggning och spårbarhet inom Ena
Som konsument av data/information inom Ena behöver man vara medveten om vilka uppgifter som loggas samt hur de hanteras. Det kan även behövas en förståelse för krav och förutsättningar kring loggning och spårbarhet som gäller inom Ena för att ha rätt förväntan och tillit.

Ta del av och förstå de riktlinjer och rekommendationer som ramverket presenterar för hur loggning bör implementeras
För att säkerställa spårbarhet även utanför ekosystemet Ena och möjliggöra felsökningar (audit-trail) krävs att konsumenter av data/information hämtat från Ena loggar användningen av, och händelser kopplat till, denna data/information. Det är därför nödvändigt att konsumenten implementerar sin loggning på ett vederbörligt vis enligt ramverkets riktlinjer och rekommendationer och behöver således ha tillgång till information om loggning och hur dom kan få hjälp i dom operativa processerna.

Förstå vilka krav kopplat till loggning som ställs på konsumenten vid användning av data/information hämtat från Ena
En förutsättning för att få nyttja data, tjänster eller information från Ena bör rimligen vara att Ena ställer medföljande krav på loggning av händelser och användandet kopplat till denne data/information. Detta för att säkerställa att händelseförlopp kan spåras och efterkonstrueras vid t.ex. ett felsökningsscenario. Detta bör även innefatta gallringsbeslut kopplat till given data/information.

Detta blir även en juridisk fråga som behöver utredas vidare i nästa fas för att se i vilken utsträckning byggblock spårbarhet kan ställa krav alternativt rekommendera konsumenter om loggning och spårbarhet.

4.3.2 Producentförmågor

Hantera och samla in loggar och utföra logganalyser på IT-tjänster
Då Ena inte kommer erbjuda en central loggtjänst kommer samtliga loggar att hanteras lokalt hos de olika myndigheterna. Det är därför upp till den enskilda myndigheten att logga relevanta attribut, händelser etc. samt analysera och bevaka sina loggar för att identifiera och förebygga incidenter, missbruk, intrång etc.

Sätta upp loggar
Loggarkitekturen är en viktig del i att skapa de förutsättningar som krävs för att kunna spåra händelser. Producenter behöver därför sätta upp sina loggar på ett sätt som möjliggör gemensam spårbarhet inom Ena enligt ramverket som ska tas fram. Det innebär inte att alla producenter måste sätta upp sina loggar exakt likadant, utan snarare att all loggarkitektur inom Ena ska uppfylla de krav som framgår i ramverket för loggning och spårbarhet.

Förhindra otillbörlig förändring
För att kunna tillse att information är riktigt (bibehållen integritet, ej datakvalité) behövs förmågan att förhindra otillåten förändring, oaktat om denna är medveten eller ej. Vid informationsutbyte är det framför allt i transporten av information som mekanismer behöver finnas för att förhindra eller upptäcka sådana förändringar. Att skicka vidare loggevent till en central loggmiljö minskar risken för att loggar avsiktligen ändras/tas bort.

Administratörs/ operatörsloggar
Priviligierade användare (administratörer) och drift/förvaltning måste omfattas av samma krav på loggning, vilket inte alltid är fallet.

Klassa sin information
Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Klassificeringen fungera då även som ett stöd och beslutsunderlag för krav på loggning och spårbarhet för given information.
Analysera och jämföra olika loggar inom Ena

Att kunna jämföra loggar från flera olika delar i ett system ger möjlighet att efterkonstruera händelser och ge underlag för vilka åtgärder som ska genomföras för att minska risken att de sker igen. Producenter behöver därför ha förmågan att jämföra sina loggar med t.ex. en annan myndighets loggar för att kunna spåra och efterkonstruera händelser som sträcker sig utanför en enskild myndighets loggmiljö.

Ta fram underlag för brottsutredning vid behov/efterfrågan
Producenter behöver vid befogad efterfrågan kunna ta fram underlag för brottsutredning. Det kan t.ex. innebära att återskapa ett händelseförlopp, ge ett utdrag på vilka som tagit del av en viss information eller spåra en persons handlingar inom Ena.

Följa ett händelseförlopp
Det är viktigt att kunna återskapa (eller i alla fall utreda) ett händelseförlopp vid ett informationsutbyte i systemet. Ett händelseförlopp består av ett antal aktiviteter som initierats av en aktör i systemet eller ett schemalagt event. Som ett minimum bör det loggas vem som utförde händelsen, vilken aktivitet som utfördes och vid vilken tidpunkt den inträffade (vem, vad, när). Samt att man loggar viktiga aktiviteter som följer av händelsen.

Byggblock Spårbarhet bör begära mer information från Ena-ansvariga i nästa fas av arbetet om vilka incidentflöden som skall kunna följas samt ansvar och ägande kring loggar.

4.3.3 Gemensamma förmågor i Ena

Tillhandahålla ramverk för loggning och spårbarhet samt en gemensam kravkatalog inom Ena
För att säkerställa spårbarhet inom Ena behöver ett gemensamt ramverk för loggning och spårbarhet finnas framtaget som tydligt presenterar grunden för ett gemensamt arbetssätt med spårbarhet. Det innefattar t.ex. att beskriva och skilja på olika typer av loggar, beskriva ett händelseförlopp i exempelvis applikationsloggar samt audit-trail-loggar. Ramverket ämnar säkerställa att samtliga anslutna aktörer skapar de förutsättningar som krävs för att kunna spåra händelser, dvs tydligt presentera vad som bör loggas inom Ena. Vidare bör ramverket innehålla regler och riktlinjer för ansvarsfördelning och ägandeskap kopplat till loggning.

Ramverket kan bestå av t.ex. definition, kravkatalog, metamodell, mallar, vägledning, exempel m.m.

Tillhandahålla vägledning för att skapa förutsättningar som krävs för loggning och spårbarhet inom Ena
Det finns en rad olika krav och rekommendationer i form av lagar, regler och föreskrifter när det kommer till loggning och spårbarhet. Men det efterfrågas ett tydligare stöd i hur man uppfyller dessa krav. Ramverket ämnar därför möta detta behov och på ett tydligt och enkelt sätt vägleda både konsumenter och producenter av data, tjänster och/eller information i hur man kan gå till väga för att veta vilka krav som gäller för dem samt hur dessa krav kan uppfyllas.

Framtagande av loggtyper, loggformat och verktyg för logganalys
För att enkelt kunna jämföra loggar från olika system rekommenderas att gemensamma loggformat och loggtyper används. Men då ramverket ämnar implementeras i redan befintliga organisationer som nödvändigtvis inte använder exakt samma loggformat eller loggtyper kan ramverket rimligen inte ställa krav på vilka loggformat eller loggtyper som ska användas nu direkt. Istället kommer ramverket snarare ge förslag på tekniska förmågor och funktioner som ska återfinnas i verktyg för logganalys, och det är sedan upp till den enskilda myndigheten (konsument eller producent) att ta fram loggtyper och loggformat som kan hanteras av sådant verktyg som då säkerställer interoperabilitet mellan varandra.

Tillhandahålla metamodell för hur händelse och loggar kan sättas upp för producenter och konsumenter
Konsumenter och producenter bör få stöd i form av exempel/förslag på hur en implementation av ramverket kan tänkas se ut. En metamodell förklarar hur en implementation kan se ut på en konceptuell nivå och hjälper konsumenter och producenter att förstå hur ramverket kan användas i praktiken.

4.3.4 Sammanfattande bild för förmågor

Figuren nedan ämnar förtydliga vilka förmågor som förväntas finnas hos den anslutna myndigheten som producerar data/information, respektive vilka förmågor som ska finnas inom Ena samt hur dessa förmågor hänger ihop och bidrar till det övergripande målet.

Förtydligande av förväntade förmågor hos myndighet samt Ena
Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: