KLASSA Användarforum 12/6

Frågor

Svar

Vi är precis på G att uppdatera vår kravmall, ska vi invänta 5,0? När kommer den?

Allt arbete som görs i KLASSA 4.0 kommer att föras över till KLASSA 5.0, så det är bättre att börja nu och inte vänta på KLASSA 5.0.

Innebär "bolag" även kommunala bolag?

Ja

Antal medarbetare som beräkningsgrund för avgift?

Vi utgår från inrapporterat antal årsarbetare i Kolada.

Kan man i den nya versionen koppla säkerhetsåtgärder relaterat till precis informationsklassnings resultat.  exp: KTR: 2-2-1 koppla till detta relaterade infosäkerhetsåtgärdet. Är det processbaserat och man kan koppla klassa 2processstruktur  till klassa5?

Det går att utforma relationer till t.ex. informationstillgångar med klassificeringsstrukturen i Klassa 2.1 ("arkiv KLASSA") i KLASSA 5.0. Det är sedan möjligt att informationsklassa en sådan relation (ex annotering 3.7.2.2 ekonomiskt bistånd) med K=3, R=3, T=2 och få ett förslag på säkerhetsåtgärder likt hur KLASSA 4.0 fungerar. Det går också att använda de nya färdigheterna i KLASSA 5.0 med det regulatoriska stödet kopplat till säkerhetsåtgärder.

Om en kommun har flera helägda bolag kan totalkostnaden för att använda Klassa bli hög. Finns det något sätt att lösa det på?

Vi tittar på möjligheten till ett ”koncernpris”. Information om hur detta utformas kommer i samband med inbjudan att teckna avtal.

Finns det någon risk att blanda privata aktörer med myndighets Sverige i samma båt?

Vi kommer inte att blanda privata och offentliga verksamheter i KLASSA, det första steget blir att släppa in konsultföretag som tillhandahåller tjänster (inom informations- och cybersäkerhet) till organisationerna som tecknat avtal för KLASSA.

Jag hänger inte riktigt med, får medlemmar rabatt?

SKR:s medlemmar har via medlemsavgiften finansierat KLASSA:s utveckling under drygt 10 år. Vi anser därför att medlemmar under en övergångsperiod ska bära en mindre andel av utvecklingskostnaden än ickemedlemmar. Därför har en rabatt räknats in i kommuner och regioners pris.

Är det kostnad för SaaS endast? Eller även PaaS version av Klassa?

Kostnaden är densamma oavsett vilken driftsform man väljer. Om man väljer att drifta KLASSA on-prem så har man ändå tillgång till tjänsten. Detta för att releaser och innehållsuppdateringar alltid kommer att komma först till tjänsten.

När du säger "alla befintliga användarorganisationer" - skickas det även ut information till kontaktperson i ex en kommun?

Ja, det är till kontaktpersonerna som information kommer att gå ut.

Vilket operativsystem stödjer Klassa 5? Tänker så att jag kan förbereda en server för detta ändamål

On-prem kommer levereras som en linuxbaserad docker/OCI container. Finns det behov av Windowsbaserade OCI containers är det något vi kan kika närmare på.

Ni nämnde under ett tidigare seminarium att stödet för ISO 27001 i KLASSA kan komma att innebära extra kostnader för er. Hur påverkar det oss som användare?

För att kunna basera kraven på ISO-standarden måste SKR betala en licensavgift (SKR anses förädla standarden). Om vi istället baserar kraven på NIS2 artikel 21 och sen refererar till ISO, men även andra standarder, hoppas vi att kunna sänka den kostnaden. Det kommer inte att påverka er annat än att kraven följ NIS2-regleringen, inte av standardiseringen.

Om ni släpper ver 5.0 i Oktober, kostnaden finns inte den i våra budgetar för 2025.

Vi informerar om priserna nu och avtalsförfrågan kommer i augusti. Man kommer att ha möjlighet att teckna avtal som startar mellan 1 oktober – 31 januari.

Kommer det att finnas demomiljö för 5.0?

Vi planerar för en demo av KLASSA 5.0 vid nästa Användarforum den 18 september kl. 13:00-15:00

År kostnaden indexbaserad så den kommer öka per år eller är den statisk över en viss period framåt?

Prissättningen för KLASSA utgår från principen ”självfinansierad”, d.v.s. intäkten ska täcka kostnaden för KLASSA:s drift, förvaltning och vidareutveckling. Det innebär att om antalet betalande användare ökar så kan priserna sänkas och tvärtom. Men vi kommer alltid att informera om eventuella ändringar i god tid inför budgetprocess.

Hur är rabatten uträknad och hur länge gäller den?

Rabatten innebär att kommuner och regioner, som till antalet utgör en majoritet av dagens användare av KLASSA, täcker en mindre andel av kostnaden för KLASSA:s drift, förvaltning och vidareutveckling än andra organisationstyper. Rabatten kommer att gälla under de tre första åren.

Det finns många olika verktyg på marknaden. Vad är fördelen med Klass5? Kan ni beskriva lite ?

All utveckling, funktionalitet och kravkatalog sker nära användarna.

På annat tema, har ni en ungefärlig uppfattning om hur många klassningar som genomförs per år per organisation? Exempelvis något medelvärde?

Nej, SKR har inte åtkomst (behörighet) till de olika organisationerna som använder KLASSA idag.

Viktigt att poängtera att hela syftet med ISO 27001 är att kontinuerligt fånga alla lagkrav eller andra verksamhetskrav för att skapa en standard kravkatalog för sin organisation. Det är inte bara en "referens".

Målbilden är att den kravkatalog som levereras med KLASSA 5.0 har den djup och den bredd som lagstiftaren förväntar sig. Det finns inget självändamål att just utgå från de normativa kraven i ISO 27000 som egentligen ligger till grund för en certifiering. Det är den som certifierar sig som bestämmer höjden på ribban. Här har lagstiftaren en annan syn. Det var rätt kring 2012-2013 och utgår från strukturen i de normativa kraven i ISO 27000. Idag är regleringen en annan som också kräver mer av kravkatalogen. För att inte tappa perspektivet från KLASSA 4.0 är det fullt möjligt att se kravkatalogen i KLASSA 5.0 i en ISO27000-vy, även om man då kanske inte ser alla krav, för den som önskar det. Allt för att igenkänningen ska vara så hög som möjligt.

Kommer man att kunna skapa egna kravmallar på verksamhetsnivå, alltså som ett tillägg  till kravmallar på organisationsnivå?

KLASSA 5.0 ger nya möjligheter som gör att kravmallarna inte behövs på samma sätt. Nu går det att själv bestämma vilka krav som ska hamna på respektive nivå eller del i organisationen.

Kommer ni införa en modul i form av en relationsdatabas? Där registrerade informationstillgångar går att köppla till objekt och tillhörande riskanalyser?

Det enkla svaret är ja. KLASSA 5.0 har möjlighet att bygga relationer mellan t.ex. verksamhetsprocesser, behandlingar, informationstillgångar, informationsbehandlingsresurser o.s.v.

Innebär Klassa 5 någon förändring avseende värderingssteget i klassningen ( rankning av konfidentialitet, tillgänglighet och riktighet), eller är det endast förändringar i den kravkatalog och handlingsplan (enkät-del) som genereras utifrån värderingen?

Det är möjligt att köra KLASSA 5.0 som om det vore KLASSA 4.0. KLASSA 5.0 innehåller så mycket mer som egentligen gör att kopplingen från KRT till säkerhetskrav luckras upp. Lagstiftaren har en tydlig uppfattning hur rätt säkerhetsåtgärder bör påföras vilket KLASSA 5.0 stödjer.

I Stockholms stad kan vi ibland se behov av ytterligare en nivå utöver organisation och verksamhetsnära. Vi har vissa rutiner och policys på förvaltningsnivå och inte för hela staden (organisationsnivå). Finns det stöd för det?

Ja, men det kommer att krävas en viss omkonfiguration för att gå från två nivåer (organisation/verksamhet) till fler nivåer. Men det är hela poängen att bättre kunna anpassa verktyget till ert behov.

Jag hade lite tekniskt strul. Vad sades om GDPR och utvecklingsplanen? Kommer Klassa 5 att på sikt ha stöd för att registrera personuppgiftsbehandlingar? Eller var det stöd för konsekvensbedömningar?

All information som matas in i de regulatoriska processerna, exempelvis GDPR, kopplas till analysobjektet. Exempelvis är det känsliga personuppgifter (J/N), vilken är det lagliga grunden för behandlingen, vad behandlas osv. Det innebär att rätt utformat så finns registerförteckningen i KLASSA 5.0.

Det ser ut som att klassa 5 kommer kunna stötta i arbetet med ansvarsfrågan och delegeringen av arbete utifrån linjeansvar, enligt nis2. Det är mycket bra, det är ofta något som kräver rätt mkt arbete utan bra stöd.

KLASSA 5.0 är tänkt att kunna stötta utifrån lagstiftarens krav i större grad än vad KLASSA 4.0 gjorde. Detta är ett bra exempel på en sådan förbättring.

Jag ser ett behov av samordning mellan flera regulatoriska processer, finns ett växande behov av att kunna hantera krav från t ex nis2, GDPR och framtida AI regler. KLASSA 5 bör därför erbjuda strukturer där man kan kartlägga överlappande krav och hantera dem integrerat.

Detta är exakt syftet med KLASSA 5.0. Att kunna lägga regleringar på varandra, hitta synergier, förenkla där det går o.s.v. för att i slutändan påföra rätt säkerhetsåtgärder.

Kommer behörighetsstyrningen att vara annorlunda i KLASSA 5?

Ja, den är betydligt mer granulär och har en starkare koppling till organisationsstrukturen än KLASSA 4.0.

Registerförteckning är önskad funktionalitet för att samla allt på samma plats. Idag betalar vi för ett seperat IT-stöd för registerförteckningen. Tar vi bort den kostnaden så kommer det inte vara så svårt att motivera den nya kostnaden för KLASSA som uppstår.

All information som matas in i de regulatoriska processerna, exempelvis GDPR, kopplas till analysobjektet. Exempelvis är det känsliga personuppgifter (J/N), vilken är det lagliga grunden för behandlingen, vad behandlas o.s.v. Det innebär att rätt utformat så finns registerförteckningen i KLASSA 5.0.

Önskad funktion är större möjlighet för systemförvaltning, att kunna ha metadata kring system, lägga in dokumentation tex kontinuitetsplan och att kunna lägga in avtal för uppföljning

KLASSA 5.0 har absolut stöd för det.

Finns det ett öppet API för att nå och hantera samtlig data i KLASSA?

I dagsläget finns inga planerade API:er för KLASSA 5.0. När det finns ett tydligt användarfall vad ett API skulle kunna användas till, är det något vi kan titta närmare på. Observera att ett framtida API är mest sannolikt att införas för on-prem versionen på grund av de striktare säkerhetskraven i onlineversionen.

Kommer det stöd för MSSQL?

I dagsläget är det PostgreSQL som stödjs, finns ett stort intresse för andra databaser är det något vi kan titta närmare på.

på vilket sätt integreras on-prem versionen med online versionen om man vill köra båda?

I dagsläget planeras ingen integration mellan online och on-Prem versionerna, det är två separata system. Detta för att hålla nere komplexiteten och öka säkerheten i applikationen.

Finns det organisatorisk åtskillnad mellan olika förvaltningar (i en kommun) i klassa?

I KLASSA 5.0 kan ni själva välja hur ni bygger behörighetsstrukturen och kopplingen till organisationstillhörigheten.

Eftersom både on-prem och molnlösning finns kan pentester behöva göras separat. Om brister hittas, ingår patchningen av dom i den tidigare presenterade tidsplanen?

Det bär emot alla principer att inte penetrationstesta det som tillgängliggörs. I takt med tillgängliggöranden och förändringar samt på regelbunden basis görs penetrationstester mm. Brister som upptäcks åtgärdas innan något tillgängliggörs.

Frågan rörde inte om patchningen sker :) frågan rörde om rättningen är inkluderade i tidsplanen ni visade oss.

Tack i övrigt för en toppen presentation!

Brister som upptäcks åtgärdas innan något tillgängliggörs.

Kommer det att finnas djupare teknisk dokumentation någonstans för att t ex kunna planera för en on prem installation?

Under hösten kommer det finnas mer detaljerade installationsinstruktioner med steg-för-steg.

Datumen för utbildningar avser det endast 4.0

Sidan är uppdaterad!

All utbildning efter sommaren sker i KLASSA 5.0.