Møte med IT-sikkerhet/jurist

Ein kort prat med IT-sikkerhet og IT-jurist, om prosjekt eValg 3.0, etter avtale med IT-sikkerhet i RT#2285480.

Mål for møtet: Få avklard IT-sikkerhet/jurist si rolle i prosjektet, og bli enig om vidare involvering i prosjektet.

Tid og sted: , KNH, 3419

Tilstades

  • Hans Kristian Fjeld
  • Ståle Johansen
  • Martin Bore
  • Espen Grøndahl
  • Maren Jegersberg
  • Dag-Erling Smørgrav
  • Märtha Felton
  • Joakim Hovlandsvåg (ref)
  • Robert Hamar

Sak 1: Intro om prosjektet [informasjon]

Joakim fortel kort om prosjektet, og tankar rundt teknisk løysing. Nokre punkt prosjektet ønsker tilbakemeldingar på:

  • Prosjektet har vald å gå for ei heilt ny teknisk løysing
  • Skal vere klar for nettsky
  • Opptellinga skal inn i nettlesaren, men framleis med nøkkelhandtering. Ønsker å gjere det så brukarvennlig som mulig for at valadmin kan bruke det
  • Dataporten
  • Manntal - integrasjon seinare

IT-jurist utredrer for tida Dataporten. Skal vere på plass før prodsetting. Spesielt delar av gateway-funksjonaliteten er uavklart.

Espen har i tillegg kommentert på "teknisk rare designvalg" i Dataporten.

Sak 2: Involvering frå IT-sikkerhet/jurist [diskusjon]

Kva er IT-sikkerhet og IT-jurist si rolle til prosjektet? Korleis ønsker IT-sikkerhet/jurist å vere oppdaterte i prosjektet? Må noko godkjennast?

IT-jus og IT-sikkerhet ønsker å bli oppdatert på løysingsforslag

Aksjonspunkt:

  • IT-jus informerer prosjektet når dei har utreda bruken av Dataporten.
  • Joakim sender løysingsforslag til IT-sikkerhet og IT-jus etter mandag, når førsteutkastet er på plass.
  • Joakim sender oppdatering i midten av utviklingsløpet om eventuelle endringar, og vurderer i fellesskap med IT-sikkerhet og IT-jus om vi treng møte.
  • Joakim sender oppdatering i slutten av utviklingsløpet om eventuelle endringar, og vurderer i fellesskap med IT-sikkerhet og IT-jus om vi treng møte.
  • Joakim bestiller miniROS når løysingsforslaget er klart, spesielt rundt nøkkelhandtering.
  • Joakim bestiller sikkerhetstesting mot slutten av utviklingsløpet.
  • Hans Kristian sjekker ePhorte etter formåls- og hjemmelsvurdering for løysinga.

Eventuelt

Om tid til overs:

  • Relatert til nettsky: Retningslinjer? Krav til avtaler el.a? Bruk av AWS?
  • Meiningar om forenkling av nøkkelhandteringa? Har blitt diskutert om USIT skal ha nøklar i backup, om valadmin berre skal ha passord og ikkje også nøkkel.

eValg kan vere god teknisk kandidat for nettsky, men det er likevel litt ullent - inneheld "vanskelege" data. Vi går difor ikkje for AWS for eValg.

Er ønskeleg med ein mini-ROS med ny løysing. Tek det med i midten av utviklingsløpet. Jus og IT-sikkerhet er med.

Prosjektet må vurdere om det er noko som brukarane må bekrefte - vilkår.

Snakka om grupper for tilgang til eValg-admin. Er ønskeleg å ta i bruk, men uavklart med Dataporten.

Ang. avtaler med andre i sektoren. Kan komme behov for endringar der. Hans Kristian ser på i løpet av våren.

Publisert 17. des. 2016 13:00 - Sist endret 24. jan. 2017 14:43
Del på e-post