Update DK-TSK-2025-01_Overordnede_tekniske_sikkerhetskrav.md #1
No reviewers
Labels
No labels
No milestone
No project
No assignees
3 participants
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
datakollektivet/sikkerhet!1
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "atluxity-loomio-oppfolging-1"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Clarifications and adjustments based on lessons learned after a workshop.
See also https://forge.hornwitser.no/datakollektivet/systemer/src/branch/main/loomio/docs/avvik.md
@ -79,1 +78,3 @@Kjente sårbarheter skal kunne identifiseres og vurderes, slik at risiko kan prioriteres og håndteres.Operativsystem, programvare og tekniske avhengigheter skal holdes oppdatert med sikkerhetsfikser innen rimelig tid etter publisering.For å kunne identifisere kjente sårbarheter skal det finnes en dokumentert oversikt over OS, programvare og tekniske avhengigheter, inkludert versjoner.Ser ut at det er mulig å oppnå dette med å generere en SBOM file med programvare som syft
@ -83,3 +86,3 @@### 3.3 Vurdering av standardoppsettStandardkonfigurasjoner skal være gjennomgått før produksjonsbruk, for å sikre at de er egnet for formålet og ikke inneholder kjente usikre valg.Standardkonfigurasjoner skal være gjennomgått før produksjonsbruk, for å sikre at de er egnet for formålet og ikke inneholder kjente usikre valg.Sa vi at standardkonfigurasjoner i OS som Debian var noe vi kunne stole på?
Ja det var essensen.
@ -94,6 +98,7 @@ for å redusere risiko for menneskelige feil og manglende etterlevelse.### 3.5 EndringshåndteringSom en del av endringshåndtering bør vi ha krav om at endringen er gjennomgått av en annen person enn forfatteren?
Ut fra min erfaring er dette en viktig del av sikkerhetsrutinene for endringer som leveres til produksjon med en CD pipeline. Dette bidrar til at en ondsinnet aktør ikke kan endre systemer om bare en person er hacket. Dette er mest relevant for nettsiden vår. Det er mindre relevant når man har direkte tilgang til en server, men jeg mener det er en fin rutine å ha for kunnskapsdeling.
Enig i dette. Men det må imho fortsatt være mulig å kunne gjøre nødvendige endringer alene, så lenge det dokumenteres og evt. ettergåes i etterkant.
@ -94,6 +98,7 @@ for å redusere risiko for menneskelige feil og manglende etterlevelse.### 3.5 EndringshåndteringEndringer i systemer, konfigurasjon eller infrastruktur som kan påvirke sikkerhet, skal vurderes før produksjonssetting, for å sikre at etablert sikkerhetsnivå opprettholdes. Vurderingen skal dokumenteres.Eksempel: Beskriv endring og vurdering i et issue eller en pull-request.Vi snakket også om en mal, som Forgejo støtter, man kan fylle ut.
@ -102,6 +107,7 @@ Endringer i systemer, konfigurasjon eller infrastruktur som kan påvirke sikkerh### 4.1 Kryptering i transittAll kommunikasjon over nettverk skal være kryptert med anerkjente og oppdaterte protokoller, for å beskytte mot avlytting og manipulering.Kan være nyttig å legge til "kryptert og autentisert" her, siden sistnevnte ofte er viktigere en konfidensialitet.
Betyr "autentisert" at vi ikke kan ha tjenester som ikke krever innlogging? Vi bruker tjenester som Padnote i dag som ikke krever innlogging.
Dette var godkjent av styret her https://forge.hornwitser.no/datakollektivet/dokumenter/src/branch/main/styre/2026-02-16%20Styremøtereferat.md#sikkerhet