Tiltak e ROS

[leogasnier]

Vi må identifisere og og dokumentere rutiner for:
Avikshandtering - kjente cases
Innsynsforespørsler - fra brukere og tilsyn/justis
Personvernvurderinger - dokumentasjon
Informasjonssikkerhet
Andre ting ref. risikoregister?

Skal dokumenteres på vårt confluenceområde.

Tabell over tiltak fra ROS (må refines):

• Innfør strengere tilgangsstyring (four eyes policy)
• Øk bevisstheten i teamet om tilgangen teammedlemmene har til sensitiv informasjon
• Tilby alternative måter å laste ned data på
• Tilby varsling og revarsling som del av broker-forsendelse
• Dokumenter best practice på oppsett og bruk av formidlingstjenesten, for å sikre at avsender sjekker at forsendelsen mottas
• Beredskapsapparat for å håndtere hendelser 24-7
• Øve på beredskapsrutiner
• Ytelses- og robusthetstesting
• Utarbeid klare rammer for når antivirus kan skrus av
• Påkrev antivirus-scanning der det er mulig
• Dokumenter vår bruk av antivirus
• Dokumenter beste praksis ved nedlasting av fil hos mottaker (anbefal malware-scanning og checksum-validering, ++)
• Innfør overvåkning på kjente typer feil som indikerer datatap
• Innfør rutiner for oppfølging av feil med TE
• Innføre krav om predefinerte mottakere for TE med sensitive data (for gitte formidlingstjenester er det kun et definert sett mottakere)
• Krav om ende til ende-kryptering mellom avsender og mottaker ved forsendelser med sensitiv data 
• Dokumenter tjenesteeiers ansvar når feilsending oppstår. Gjøre tiltak som gjør TE i stand til å håndtere slike hendelser. 
• Oppdater Altinn sine hjelpesider til å informere om tilgangsstyring og konsekvenser av feil
• Formidling tilbyr kursing mot spesifikke brukergrupper, og nye brukergrupper
• Innfør rutiner for QA av sikkerhetskonfig
• Forbedre interne prosesser for code review og DoD
• POC av alternative skyleverandører
• Utarbeide og beskrive rutine av fallback til andre løsninger

[leogasnier]

Sees i sammenheng med correspondance.

[leogasnier]

@Ceredron - har pasta inn tiltak fra ROS i tasklist på denne issuen. Noen av tiltakene er implementeringstiltak, og behøver som sådan egen issue. Forslag: vi huker ikke av i tasklist før tiltaket er: 1. representert som egen (prioritert) issue i backlogg, og issue er referert til i risikoregister.