- Huawei P30 Pro - teletalálat
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- iPhone topik
- Milyen okostelefont vegyek?
- Atlasszal készül a HMD a középkategóriába
- Samsung Galaxy S23 Ultra - non plus ultra
- Redmi Watch 4 - olcsó hús, sűrű a leve
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy A55 - új év, régi stratégia
- Sony Xperia 1 V - kizárólag igényeseknek
Hirdetés
-
Donald Trump lehet a kriptobajnok elnök az USA-ban
it Egy tech-adománygyűjtő rendezvény alkalmából kritizálta a demokraták szabályozási kísérleteit Trump, magát pedig a kriptopénzek bajnokának mutatta be.
-
Poco M6 4G-ként érkezik a Redmi 13 4G
ma Csak a szokásos: globális piac, másik brand, új név, de a készülék ugyanaz.
-
Megjelenési dátumot kapott a MechWarrior 5: Clans
gp Az óriásrobotok kedvelőinek egészen az őszi időszakig kell várniuk a sorozat új részére.
-
Mobilarena
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
Egon
nagyúr
Nyilván típushibák vannak, szóval azért nem kell nagyon durva törésre gondolni.
Nem azt mondom, hogy nem kemény, de messze nem teljesíthetetlen (nálunk - illetve alvállalkozónál - elég közepes (max. gyenge négyes alá) képességű embereknek is sikerült)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
-
-
-
Nem igaz.
Attól, hogy outsource-olod, még van felelősséged, méghozzá az, hogy számonkérd rajtuk, hogy ők compliantek-e, ha a Tiéd a számla az acquiring banknál. Ha csak egyetlen ilyen outsource-os partnered nem PCI compliant, akkor Te sem vagy az. A PCI bináris: vagy compliant vagy (100% mindenből, ami vonatkozik Rád/partnerre), vagy nem (ha csak egy szabály/partner nem oké), 95%-os PCI nincs.[ Szerkesztve ]
https://www.coreinfinity.tech
-
Nem vitás, de ez Téged nem mentesít. Minden évben el kell kérned tőlük az AoC-t, azt egy audit során be kell tudnod mutatni.
Ez még a könnyebbik fele, mert tegyük fel, hogy outsource-olod a webshopot, akkor a webshop providernek is PCI compliantnek kell lennie, plusz egy audit azt is megkérdezi, kinek milyen hozzáférése van a rendszerhez, a webshop forráskódjához stb.
https://www.coreinfinity.tech
-
Egon
nagyúr
Ez ott bukik meg, hogy ha beállítasz egy kényelmi szolgáltatást, hogy az oldal megjegyezze a kártyaadatait (hogy a következő vásárláskor ne kelljen újra megadnia), akkor nyilván el kell tárolnod ezeket.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
A NAIH ritkán mond ilyeneket. Fontosabb hogy az adatkezelés paraméterei, úgymond elvi részei (célhoz kötöttség, jogalap, időtartam stb.) rendben legyenek - no meg legyen egy jó adatkezelési tájékoztató.
Egyébként ha külön szerveren külön adatbázisban vannak ezek az adatok, nem hiszem hogy belekötnek (azért az egészségügyi adatokat illik titkosítani, de a tranzakció idejére ki tudod bontani).
Egyébként van külön törvény az Eü- adatok kezeléséről: [link][ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Bubee82
őstag
Sok sikert hozza. En lehuztam 10 evet az elemiszeriparban es mondhatni a vegen a kezmuves sajtkeszites expert-je lettem (Anglianak fejlesztettem egy uj sajtot, ami szep arany es ezust dijakat zsebelt be hazai es nemzetkozi vizeken). Jo lett volna ha sajat vallalkozast tudok alapitani, de az itt egy jo 30M forint korul indult volna, magas riziko faktorral, amit nem tudtam bevallalni. De meg nem teljesen adtam fel a remenyt
Egyebkent nem tul rizikos ez a terv nektek, olyan nev mellett, mint a ChocoMe?
[ Szerkesztve ]
-
-
Egon
nagyúr
Az NTG-ről van szó jelen esetben, amit a NISZ üzemeltet, a szolgáltató az MVM-NET. Ez egy optikai hálózat, ami elvileg az MVM kihasználatlan kapacitására épül. Egyébként mindazon rendszerek vonatkozásában, amik rá vannak kötve, szigorúan tilos más netes kijáratot alkalmazni... Erről van valami jogszabály is, most korán van ahhoz hogy megkeressem. Jah, a NISZ osztja az elérhető sávszélt, ami általában elég alacsony.
Mi a konkrét kérdés? A NISZ egészen biztosan alkalmaz pl. plusz szűréseket, blacklisten vannak oldalak (pl. az erepublik.com egészen biztosan... ), és nyilván a portok egy része is szűrt.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Az első kérdésre nem tudom a választ, de aligha van rá szükség.
az NTG úgy működik, hogy vannak csatlakozásra kötelezett szervezetek, akiknek kötelező azt igénybe venni, és vannak akik csatlakozhatnak, ha akarnak: ebben az esetben viszont be kell tartani a szabályokat.
Ha kell tartalék net, akkor lehet hogy a NISZ is tud segíteni, illetve csak egyidőben nem lehet két netes kijárat, ergo valami váltókapcsolóval kell ez esetben operálni."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
No megkérdeztem az OSCP-s dolgokat.
Csak Windows és Linux van, egzotikus oprendszer nincs (túl sok variáns se van: elvileg csak Windows 10 és általában Debian alapú rendszerek vannak).
Az ismerősöm melegen javasolja, hogy használd ki maximálisan a labor-időt, az összes gyakorló feladatok oldd meg (és értsd is meg, hogy mi történik): ha így teszel, akkor nem fog problémát okozni a vizsga, sőt, szerinte a 24 órás etap akár 5-6 óra alatt is teljesíthető (neki értelemszerűen megvan ez a vizsga, az OSWP is)..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Normál esetben azt mondanám: a titkosszolgálatok munkája, hogy jól meghatározott és rendkívül szűkre szabott határok között, minden esetben bírói engedéllyel, célzottan végezzenek lehallgatásokat.
Azaz nem úgy, ahogy a magyar szolgálatok csinálják, ebbe a teljes államvezetésnek bele kéne buknia.
https://www.coreinfinity.tech
-
-
-
-
Valójában végig kellene olvasni az AI jelentését, ott sok felmerülő kérdésre válasz van.
Én most éppen nyaralok, úgyhogy ez egy ideig részemről nem fog megtörténni.
Hogy az NSO mit állít - szerintem érdemes hanyagolni. Bizonyított, hogy az izraeliek nagyon ügyesek és ezzel egyidőben tudnak nagyon balf.aszok is lenni - lásd Stuxnet.
Egyébként meg igen, teljes részletességgel sosem fogjuk megtudni a részleteket.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
FEOR számot már találtam: [link]
2159 Egyéb adatbázis- és hálózati elemző, üzemeltető
Jellemző munkakörök:
Adatbiztonsági felelős
Adatbiztonsági mérnök
Adatvédelmi és -biztonsági felelős
Biztonsági elemző, adatfeldolgozás és informatika
Hozzáférési ellenőr, adatfeldolgozás és informatika
Informatikai auditorÖVTJ számnál ugyanezt már nem írják hasonló elnevezésű dologra. Azt sem értem, hogy minek csillió féle szakma kód, miért nem lehet csak egy???
[ Szerkesztve ]
Buliban hasznos! =]
-
-
Egon
nagyúr
Felsőfokú végzettség kell hozzá és annyi.
Az Infotv. korábban 3 különböző felsőfokú végzettségfajtát azonosított, amivel el lehetett látni belső adatvédelmi felelősi pozíciót, a GDPR miatt azonban felpuhították ezt a rendelkezést."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Igen, tudom. Elvileg volt ilyen a szegedi és a miskolci egyetemen is (lehet hogy most is van).
Ez tulajdonképpen az adatvédelmi szakjogász képzéssel rokon, csak utóbbit kizárólag jogászok végezhetik.
Szerintem túltolt dolog ez, vannak 1-2 hetes, viszonylag jó képzések a területen. Ha képes vagy jogszabályt értelmezni, az is elég egy korrekt DPO-szaktudáshoz."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
1-2 napos képzés valóban nem ér sokat, de 1-2 hetes azért más tészta. ISO27K LA képzés is csak egy hetes, meg még lehetne sorolni...
Adatvédelmi szakjogász persze hogy ezt ajánlja. Egyébként a jogászok 90%-a utálja az adatvédelmi témát, szóval a jegyzőnél biztosan többet tudsz a kérdésről..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
szaszayanou
aktív tag
Igen, fenn van a neten, csak egy könyvtárnyi határozatot és állásfoglalást átbogarászni önmagában is kihívás. Főleg úgy, hogy közben változott a jogszabályi háttér. Az ELTE-s képzést nem ismerem. Amit javasolni tudok, az a GDPR kommentárja. Van több is, nekem az előző adatvédelmi biztos által szerkesztett kiadvány tetszett.
Still stands Thine ancient sacrifice, An humble and a contrite heart.
-
Egon
nagyúr
Azért ez egy kicsit bonyolultabb.
Első lépésben nyilván azonosítani kell az adatkezeléseket. Alapvetően kétféleképpen lehet hozzáfogni a feladathoz: a melósabb, de pontosabb és célravezetőbb verzió az, ha interjúzol kb. minden területtel, és kérdezgeted őket arról, hogy mit is csinálnak egész nap. Ergo felméred a folyamataikat, a tevékenységüket. Minden egyes tevékenységnél azonosítod, hogy milyen adatokat kezelnek: ami személyes adat, DPO-ként csak az érdekes. A másik verzió, hogy tartasz egy oktatást, ahol nagyon alaposan, példákkal alátámasztva elmagyarázod, hogy mi számít személyes adatnak, és minden területnek megküldesz egy táblázatot, amiben felsorolod az adatkezelések legfontosabb paramétereit (adatkezelés neve, célja, jogalapja, időtartama, kezelt adatok köre, esetleges adattovábbítások stb.), és kéred hogy próbálják meg kitölteni (ez a kényelmesebb, ugyanakkor kevésbé jó módszer, mert így általában elsikkadnak adatkezelések).
Nagyon fontos, hogy az úgymond összetartozó adatkezeléseket egy adatkezelésként célszerű kezelni. Sokan csinálják úgy, hogy ha két adatkezelés célja és jogalapja megegyezik, akkor azt "összevonják", és egy adatkezelésként kezelik. Hasonló pl. a bérszámfejtéshez kapcsolódó adatkezelés: egy jól megfogalmazott céllal, egyetlen adatkezelésnek lehet tekinteni (és nem különvenni pl. a cafeteria-t, külön adatkezelésnek, mert kb. semmi értelme). Munkaügyi adatkezelés dettó.
Egyébként a probléma nem a kötelező adatkezelésekkel van (amiknek van jogszabályi jogalapja). Sokkal inkább pl. a jogos érdeken alapuló adatkezelések neccesek. Persze pl. a megőrzési idővel elé lehet csúszni a kötelező adatkezelésekkel is (ha nem törlik időben az adatokat)...[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sztanozs
veterán
Inkább arról kell nyilatkoznod, hogy milyen adatot kérhet el az adott szervezet tevékenységhez (illetve megtiltani bizonyos adatok tárolását/feldolgozását, ha az nem tartozik/szükséges az adott folyamathoz). Persze jó politikusnak kell lenni, hiszen az üzleti területekkel nem akasz rosszban lenni (hiszen ők termelik ki a fizetésedet).
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Egon
nagyúr
A logika az benne, hogy a legfontosabb elvnek (ami még ad absurdum a jogalapnál is fontosabb), a célhoz kötöttség elvének meg kell felelni - nem csak az adott adatkezelés, hanem minden egyes kezelt adat (illetve az adatkezelés minden paramétere) vonatkozásában...
Példa. Az IT szeretné mondjuk a hálózati forgalom logjait 5 évig megtartani. Ebben vannak (illetve lehetnek) személyes adatok: pl. Gipsz Jakab rendszeresen kecskepornót néz stb. Az ilyen típusú adatkezelések jogalapja a jogos érdek, így kell érdekmérlegelési teszt (ezt nem részletezném, nézz utána a NAIH-nál), és nagyon fontos az érintettek tájékoztatása. A lehető legjobban szűkíteni kell az adatkezeléseket, így a logokhoz a lehető legkevesebb embernek szabad hozzáférést biztosítani. Nézegetni csak indokolt esetben (pl. biztonsági incidens kivizsgálásával összefüggésben) szabad. Jó ha valamilyen szinten anonimizálva van a történet (pl. ha a logban látható IP címet, esetleg felhasználónevet nem tudja automatikusan az érintetthez rendelni az, aki hozzáfér a logokhoz, hanem az egy másik szereplő dolga, aki viszont csak annyit tud, hogy Gipsz Jakab nem engedélyezett tevékenységet folytatott a neten, azt nem hogy konkrétan kecskepornót nézett stb.). Ha ezeken a buktatókon túllendültél, akkor jöhet a példában említett probléma: 5 évig meg akarják tartani a logokat. Ezt indokolni kell. Nem neked: nekik. Olyan indokkal, ami egy hatósági vizsgálat próbáját is kiállja. A kérdés: mi a célja a logok 5 éves megőrzésének? Utólagos incidens felderítés? Illeszkedik ez az adott szervezet logelemzéséhez, és egyéb kapcsolódó adatkezeléseihez (ha mondjuk kilépés után egy évvel törlik a felhasználót az AD-ból, akkor mi van?)? Van értelme egy bűncselekmény elévülési idején túl tárolni (ha mondjuk 3 év alatt elévül a számítógépes rendszer elleni bűncselekmény - nem tudom mennyi idő múlva évül el, csak sorolom a buktatókat)? Lehet hogy van, mert ha mondjuk Gipsz Jakab még mindig a cégnél dolgozik, akkor ha elévült is egy általa elkövetett bűncselekmény, attól még ki lehet rúgni utólag... Lehet esetleg érvelni a hírközlési törvényben szereplő adatmegőrzési kötelezettségekre vonatkozó időkkel (fél illetve egy év), de Péterfalvi Úr ezt már megkifogásolta egy, ha jól rémlik az igazságügyminiszternek írt levélben: még ott is túlzásnak érzi ezt az időszakot, így az 5 évre biztosan hülyét kapna...
Szóval nem egyszerű ez.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Olyat, ami mindezt egy eszközben tudja, nem ismerek. Vannak inventory eszközök, de abban nem lesznek frissítések és accessek. Van SCCM Windows-ra, amiben a frissítések követhetők, AD-ben meg a hozzáférések.
Persze lehet csinálni healthcheck eszközöket pl. Pythonban, de annak is lesz olyan része, ami Windows alatt powershellt futtat, de más gondok is felmerülhetnek, pl. EDR riasztás.
https://www.coreinfinity.tech
-
Egon
nagyúr
Nekünk is van ilyen fejlesztésünk, az árazást nem tudom (szerintem egyedi árat adunk), de milliós tétel, az biztos.
Egyébként fordítva is berakhatod, és akkor bármi kijöhet, be meg semmi...."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
sztanozs
veterán
Ha vezetéknélküli, és állandóan megy, akkor egy vezetéknélküli szkennerrel (RF detektor) lehetne megtalálni (ha nagyjából ismert az eszköz/frekvencia), esetleg valami érzékenyebb fémdetektorral (ha olyan helyen van elrejtve, ahol amúgy nem volnának fém eszközök), lencsetükröződést érzékelő detektor, vagy hőkamera.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
-
sztanozs
veterán
Kockázattól függ, mit érdemes (nem teljes lista, csak példák a logolási szintekre):
Mindenhol:
- sikeres/sikertelen belépés
- távoli elérés (fájl vagy terminal server)
Közepes kockázatú rendszerek:
- powershell futtatás, vagy
- minden process indítás logolása
- registry módosítások logolása
Magas kockázatú rendszerek:
- fájl elérések logolásaAmúgy ezt a kockázatelemzésnek kell egyedileg kiderítenie, hogy az azott folyamathoz, az adott rendszerben mit érdemes:
- felmérni a folymatokat (Processes)
- felmérni a kulcs kockázatokat (Key Risks)
- meghatározni "kockázati étvágyat" (Risk Appetite)
- felmérni és kiegészíteni a már működő kontrollokat (megelőző, detektáló, mitigtáló - nem tudom hogy van szépen magyarul)Pl egy kis kockázatú szerveren, ahova nincs felhasználói belépés, más a logolási igény, mint pl a központi AD szerverein, amit ha megtörnek, akkor komoly a gond.
Érdemes számításba venni azt is, hogy a logoknak két szerepe is van:
- azonnali reakció
- nyomozásnál bizonyíték
Tehát érdemes nem csak generálni, de feldolgozni, és úgy tárolni, hogy szükség esetén hozzá is lehessen férni.[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
-
addikt
Graylog is jó.
A szükséges hardver erőforrás függ attól, hogy mennyi logforrásod van, és mennyi ideig akarod őrizgeti a logokat, illetve milyen időközönként archiválod őket.Naplógyűjtésnél, elemzésnél annak meghatározása, hogy mit kell gyűjteni erősen függ, hogy mi célból kell gyűjteni/elemezni (jogszabályi előírás, szabvány előírás, stb.)
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
addikt
Log forrás nem egyenlő a gépek számával. Általában szerver, szerver oprendszer, adatbáziskezelők, adatkezelő alkalmazások, tűzfal eszközök, IPS/IDS eszközök naplóit szokás gyűjteni.
Kb így kezd a naplózás tervezést:
0. milyen célból kell a napló - segít eldönteni milyen eseményeket kell naplózni, milyen szabályzat kell hozzá
1. mit kell naplózni (SQL, tűzfal, oprendszer, adatkezelő alkalmazás, fájlműveletek) - segít meghatározni a naplózó szoftver típusát (többféle naplóformátum van, és nem tud minden rendszer minden formátumot kezelni) és a szükséges CPU, RAM eőforrást
2. mennyi ideig kell megőrizni online, offline - segít meghatározni a szükséges tárhelyet15 munkaállomás + 2 szerver infó kevés.
Miért kell naplózás? Jogszabály, szabvány, belső szabályzat (pl IBSZ) írja elő?
Milyen napló infókat kell gyűjteni? Rendszer, biztonsági, alkalmazás, SQL, adatkezelő alkalmazás, fájl security, system state stb?
Mennyi ideig kell őrizni?
Linux, Windows eszközökön kell gyűjteni?A naplógyűjtés nem úgy megy, hogy fogok egy kiselejtezett gépet és beállítom naplót gyűjteni. Ha alul van tervezve az erőforrás akkor nem tudja ellátni a feladatát, és a naplózásnak így nincs értelme, a túl van tervezve akkor nem fog megvalósulni, mert baromi drága lesz.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen