Jezus ereje a mennyben, inkabb menekulj valami normalis szervezethez.

Az lesz, de szeretnék vállalkozó maradni. Most inkább adatvédelem felé tendálok, talán minimális információbiztonság, és online tanácsadás, tájékoztató készítés, stb. Ha befutnak azok a projektek, amiket tervezek, akkor nem kell többet szenvednem. Mondjuk először meg kell védenem az adatvédelmis szakdolgozatom és le kell államvizsgáznom, aztán akkor szerintem sínen vagyok. Jó lett volna még idén átállni, mert határozott idejű szerződésem van, de kb. nulla időm van terméket fejleszteni az államvizsgára készülés és a meló mellett.

[ Szerkesztve ]

Buliban hasznos! =]

Köszi!

Buliban hasznos! =]

Yubikey és társai? Sokmindenre lehet megoldás.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Köszi! Ránézek.

Buliban hasznos! =]

Amúgy gondolkodok rajta, hogy az információbiztonságot leadom, az adatvédelmet meg viszem tovább ugyanitt más jellegű szerződéssel, mert abban teljes mértékben kooperálnak az ügyintézős kollégák, és jobban is szeretem csinálni emiatt. Nem tudom, hogy erre lesz e lehetőség, majd kiderül.

[ Szerkesztve ]

Buliban hasznos! =]

Nalunk kifejezetten tiltott es nincs is tamogatott jelszomendzser (a felhasznalok szamara).

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Van ennek szakmai indoka?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Gondolom van - egyreszt az SSO hasznalata kivaltja a jelszavak tobbseget, masreszt szvsz a jelszomenedzser tiltasa tolja is a fejlesztoket a SSO-ba valo integralas iranyaba.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Miért gondoljátok jobbnak az SSO-t? Olyan a scenario, hogy bárki leülhet bármelyik workstation-höz, és végezheti a munkáját? Ha igen, akkor teljesen megértem. Nálunk mindenkinek megvan a dedikált gépe, csak ha tönkremegy, akkor lehet ilyesmi, hogy a tartalék géphez ül át, szóval itt nem old meg fiókkezelési problémát az SSO. Ha úgy lenne, hogy bárki használhatja bármelyik gépet, akkor egyértelmű lenne, hogy váltani kell rá, vagy valami hardver kulcsos, pendrive-os megoldásra, hogy mindenki tudja hordozni a jelszavait. Az utóbbit én úgy képzelem el, hogy személyi igazolvánnyal és passphrase-el oldható fel a tárolt jelszavak titkosítása. Elvileg van rá lehetőség, legalábbis létezik USB-s személyi leolvasó, ellenőrző.

[ Szerkesztve ]

Buliban hasznos! =]

Azért, mert a jogosultságok kezelése sokkal egyszerűbb a beállítás-nyilvántartás-ellenőrzés vonalon.Arról nem is beszélve, hogy kevesebb jelszót kell a usernek használnia, és a jelszó policy is minden csatlakoztatott szoftverben ki van kényszerítve.
Csak berakod a usert a megfelelő csoportba és kész a beállítás.
Lekéred a user csoport tagságait, összeveted a nyilvántartással és kész az ellenőrzés az összes szoftverben.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az SSO nem a workstationhöz kapcsolódik, hanem a millió egyéb alkalmazáshoz, ami egy szervezetnél használatban van. Egy credentiallal eléred mindet, ami a szervezeten belül van (legalábbis ez a jól hangzó elmélet).

https://www.coreinfinity.tech

Az a helyzet, hogy simán telepíteném még ma, ha én lennék az üzemben tartó...

Buliban hasznos! =]

Amugy ezert ongyilkossag karrier szempontbol, hogy ilyen szervezetnel vagy ahelyett, hogy tenyleges iparagi tapasztalatot szereznel, mert nincs ralatasod a tenyleges jo gyakorlatokra.

Lekéred a user csoport tagságait, összeveted a nyilvántartással és kész az ellenőrzés az összes szoftverben.
Amennyiben az adott szoftver ezt tamogatja.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Én már valamennyire elengedtem, hogy információbiztonságban helyezkedjek el. Érdekel, meg minden, de talán Pataki Gábort tudnám idézni (ELTE adatvédelem), hogy az adatvédelem nincs önmagátért, mindig valamilyen szakterület adatvédelmi problémáit kell megoldani. Az információbiztonság sincsen önmagáért, valamilyen szolgáltatást, információs rendszert kell tudni levédeni, és így nekem valahogy nem eléggé építő jellegű. A szoftverfejlesztést sem szerettem, mert annál meg mások határozták meg a célokat és eszközöket, általában kész tények elé állítottak, hogy PHP-ban valamelyik CMS-ben összekattintottak egy weboldalt, és írjak hozzá plugint, mert van, amit nem tudtak megcsinálni a meglévőkkel. Az ő szempontjukból érthető, az én szempontomból meg utálom a PHP-t, mint nyelvet, az egész thread-based architecturet sem szeretem, a CMS-eket sem szeretem, mert szar általában az extension API-juk, és még pluszban megköti a kezem, aztán ilyen eszközökkel, amiket alapból utálok kódoljak le a kedves ügyfélnek tegnapra valamit feléből mennyit engedsz alapon. Összességében ezzel a három szakmával arra jutottam, hogy összerakom mindhármat, és csinálok saját adatvédelmis webes szolgáltatást első körben, weboldalba épülő pluginnel, űrlapokba beépülő tájékoztatókkal, és így tovább, aztán havi díjat szedek a használatáért, plusz vállalok ezen felül egyedi megbízásokat, ha valaki nem tudja ezeket az eszközöket használni, akkor megcsinálom helyette. Most ez az egyik projekt terv decemberre és jövőre, aztán elválik, hogy ezeket a termékeket mennyire árazza be a piac. Voltam alkalmazott is laborban, de nem hiányzik a reggel 5-kor kelés, bemenni 7-re, lemérni ötszáz vérmintát, hazaérni 4-5 körül, aztán csak nézek ki a fejemből estig, annyira lefáraszt a monoton munka. Sosem voltam ebben jó, nem is értem, hogy miért írtam bele anno önéletrajzokba, hogy jó a monotónia tűrésem. Talán néhány hónapig, esetleg 1-2 évig tűröm, aztán azt mondom, hogy ideje váltani.

[ Szerkesztve ]

Buliban hasznos! =]

Léteznek biztonsági szabványok, amiket ha teljesít a szoftver, akkor kompatibilis bármelyik ilyen SSO rendszerrel? Ha nem, akkor én azért lobbiznék első körben, hogy legyen ilyen szabvány. Ha egyedi fejlesztések az alkalmazások, akkor is első körben valami belső szabványt, ajánlást, API-t csinálnék, ami lefed minden szóba jöhető problémát, és ahhoz igazítanám az összes alkalmazást.

[ Szerkesztve ]

Buliban hasznos! =]

Szabvanyok jogi ertelemben (ha jol tudom) nincsenek, de vannak kvazi szabvanyok/protokolok (LDAP, Kerberos, OAUTH, SAML, stb), amiket meg lehet valositani, illetve vannak kesz modulok amik ezeket megvalositjak egy az egyben (persze akkor a fuggoseget kell pluszban kezelni).

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Az információ biztonság sosem lehet önmagáért, vagy szakterületért. Az információ biztonságnak mindenkor az üzleti célok elérését kell szolgálnia, átfogóan. Hogy egyes területeken milyen technikai megoldások szükségesek, részletkérdés.

https://www.coreinfinity.tech

Nincsenek. Régi probléma, de a jelenlegi, vagy még gyorsabb fejlődés mellett mire elkészül, el is avul.

https://www.coreinfinity.tech

Azt hiszem, hogy ezt bele is teszem az összefoglalóba, annyira alapvető.

Buliban hasznos! =]

Tökéletes összefoglalás. Hozzáteszem, hogy ez természetesen az IT-ra is igaz (pár üzemeltető magába szállhatna néha).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Elméletben van - OAuth, SAML -, de senki nem akadályozza a gyártókat, hogy elé tegyenek egy proprietary cuccot, lásd AD. Elméletben szabványos Kerberos, de ha az lenne, nem lenne állandó szopás Linuxról, Mac OS-ről kapcsolódni. Mögötte már SAML van SSO-ra, az okés.

Ha vmiben tévedek a leírtakban, elnézést érte.

https://www.coreinfinity.tech

Beszórtam az összefoglalóba. Ha esetleg vannak még ötletek, hogy mik kerüljenek bele, akkor írjátok meg, aztán frissítem.

Lehetőleg copy-paste, mert most szinte nulla időm van rá.

[ Szerkesztve ]

Buliban hasznos! =]

https://www.coreinfinity.tech

Régebbi ötlet, most nézem vissza a jegyzeteimet. Ti melyik azonosítási faktor alá tennétek be azt, hogy valaki tanúsítja az én személyazonosságomat és aki az azonosságomra kíváncsi, az megbízik az illetőben. Valahogy nekem mindegyik faktorból kilóg, mert persze, aki tanúsít, az a saját módszerével azonosít valahogyan, de ez ugye nincs benne a történetben, ez itt szimplán bizalmi alapú, és nem rólam szól. Vagy akkor ez átmegy abba, hogy a tanúsítót azonosítjuk ilyenkor faktorokkal? Kicsit csavaros a kérdés.

[ Szerkesztve ]

Buliban hasznos! =]

+1 Respect

"Fuck the Kingsguard, fuck the city....Fuck the king!"

https://www.coreinfinity.tech

Federated identity erre a jó kifejezés. Az autentikáció csak egy lépése ennek a sémának.

Az alápörkölést úgy értettem, hogy a vezetőséget ha sikerül meggyőzni, akkor ők tudnak esetleg hatni az IT-ra. Az ilyen beszélgetést általában a büntetés, gazdasági károldalról érdemes kezdeni és a 0 Ft-ból megoldható dolgokkal kell szembe állítani.

Jól hangzik, csak aztán szembejön a valóság... A vezetőség elvégzi a maga kis mini kockázatelemzését, és kihozza, hogy hiába lehet nagy a kihatása egy biztonsági incidensnek, a gyakoriság 0 vagy még kevesebb (hiszen "miért pont velünk történne meg"), ergo a (maradvány)kockázat elfogadható mértékű...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ez ismerős. De most kapóra jöhet a Kréta. :)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja ez ismerős. Amúgy nem nulla költsége van, mert az IT üzemeltetés kiszervezett, és kb. mindenre kiszállási díjat szednek. Mondok egy példát, áramszünet volt, aztán a fájlrendszert is érintette az egyik gépen. Talán néhány hét múlva elvitték volna a gépet, aztán egy hónap múlva visszahozták volna. Odamentem, megkerestem a boot menüben valami csodálatos módon a fájlrendszer javítását, aztán rányomtam, ennyi. Nem értem, hogy ez a fajta kiszervezés miért jó nekünk. Nálam nyilván összeférhetetlen az IT üzemeltetés, de van itt helyben informatikus srác, aki simán megcsinálná még aznap, csak neki meg nincs üzemeltetős papírja. Tavaly még összeszedtem év végén egy több oldalas helyzetjelentésben, hogy nekem ez az egész miért nem fekszik, és kit meg mit javaslok helyettük, azóta sem változott semmi. Úgyhogy inkább elengedem ezt az információbiztonsági pozit. Így nem tudok dolgozni, annak meg előbb-utóbb következménye lesz. Az adatvédelem az más, ott az ügyintézőkkel kell beszélnem, oktatást tartani, tájékoztatókban segíteni, az az eddigiek alapján teljes mértékben megoldható. Néztem NAIH statisztikákat nemrég, hogy mások mik nyilatkoztak, milyen jellegű adatvédelmi munkákkal találkoztak tavaly az év során, stb. és ez is megerősített benne, hogy legalább az átlag szintjét hozom.

[ Szerkesztve ]

Buliban hasznos! =]

Max a kretanal - tapasztalatbol mondom, hogy meg a komoly iparagi esemenyek sem tudnak kivaltani jelentos hatast. Ket komoly faktor van, mi a IS budzset novelni tudja:
- benyalt komoly hatasu incidens
- rossz felugyeleti vizsgalati eredmeny (buntetes)

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ezért szoktuk mondani a kollégával, hogy az lelkismeretesen elvégzett audit mellett legalább ilyen fontos a kommunikáció. Hiába vizsgálsz meg mindent alaposan és teszed a legköltéshatékonyabb kezelési javaslatot, ha nem tudod a vezetőséget meggyőzni, nem fognak vele foglalkozni. Ehhez az ellenséges IT csak hab a tortán. Ilyenkor nincs más, mossuk kezünket ha gond van. Akkor volt pofára esés, mikor kijött az NKI és pont ugyanazokat a problémákat jelezték amiket mi is.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Azt hiszem a jogi topikból áthozom ide az adatvédelmet. Amúgy is ez a neki dedikált topik, ha már össze tettük az információbiztonsággal.

A kamerás megfigyelések kapcsán sokáig úgy ment, hogy nem lehetett közterületet megfigyelni. Ez ma is így van, viszont van egy csomó helyzet, amikor nem lehet máshogy megoldani, csak úgy, hogy a kamera kilásson a közterületre, pl. kis ruha bolt a boltba belépőket kamerázza. A NAIH szerint ma már ilyet lehet, viszont tudni kell indokolni. Ha nem céges, hanem magánterület van, akkor is lehet ilyet, de akkor már nem magáncélú adatkezelésről beszélünk, és kell jogalapot találni, ami valszeg jogos érdek lesz, és érdekmérlegelni kell, utána pedig 13. cikk szerinti tájékoztatót írni, matricázni, stb. Elvileg még ezen kívül is van egy csomó papírmunka vele, de ez lenne a minimum.

"Ezt a gyakorlatot tartotta fenn az Európai Adatvédelmi Testület a video-eszközökkel történő személyes adatkezelésről szóló 3/2019-es iránymutatásában2. Az iránymutatás amellett, hogy megállapítja, hogy általánosságban a saját tulajdonú terület megfigyelése céljából kialakított kamerás megfigyelőrendszer alkalmazása a terület határáig terjedhet, elismeri, hogy kivételes esetben felmerülhet olyan helyzet, hogy a kamerás megfigyelés terjedelme nem szűkíthető le a saját tulajdonú területen belülre, mivel ilyen módon az nem biztosítana kellően hatékony védelmet. Megfelelő technikai vagy szervezési intézkedések (például a megfigyelés céljának szempontjából nem releváns terület kitakarása vagy a megfigyelt rész informatikai eszközökkel történő szűrése) alkalmazása mellett a magánszemély jogosult kiterjeszteni a kamerás megfigyelést a saját tulajdonú terület közvetlen környezetére is.
Ugyanakkor abban az esetben, ha a magánszemély nem alkalmaz a kamera látóterébe eső más magánterületét – kitakaró megoldásokat, vagy aki célirányosan más magánterületét megfigyelő kamerarendszert üzemeltet már adatkezelővé válik, továbbá tevékenysége nem minősül magáncélú adatkezelésnek, így tehát alkalmaznia kell a GDPR adatkezelők számára meghatározott valamennyi előírását.
Maszkolás alkalmazásával tehát szűkíthető a kamera által megfigyelt terület arra a területre, ami az adatkezelő birtokában van. Amennyiben azonban a kamerák látószöge a kamerás megfigyelő-rendszerrel adatkezelést végző személy magánszféráján kívülre – például közterületre, társasház közös tulajdonában álló területre, vagy más harmadik személy tulajdonában álló területre – irányul, úgy nem tekinthető a fenti kivétel alá tartozó „személyes, illetve otthoni” tevékenységnek."
[link]

[ Szerkesztve ]

Buliban hasznos! =]

Masok a tapasztalataink. Nalunk mindig soron kivul jott a budget, ha valami nagy security botrany volt mashol es esszeru mennyisegu penzbol meg lehetne elozni. Mondjuk ezek mind nemzetkozi startupok vagy nagy szoftvercegek voltak.

"magánterület van, akkor is lehet ilyet, de akkor már nem magáncélú adatkezelésről beszélünk, és kell jogalapot találni, ami valszeg jogos érdek lesz, és érdekmérlegelni kell, utána pedig 13. cikk szerinti tájékoztatót írni, matricázni,"

Ebből mekkora feljelentési hullámot lehetne csinálni. NAIH-hoz csak úgy dőlne a lé.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Lehet el kellene kezdenem feljelentgetni, mert akkor hozzám is dőlne a lé, mert mindenki ilyen tájékoztatót akarna.

De amúgy a jogi topikban egy hét alatt két ilyen esetről is szó volt, hogy a szomszéd kamerázza a hátsó kertem, stb. Nem akartam mondani, hogy a hivatali munkát nagyban felgyorsítaná, ha úgy jelenti be, hogy a szomszéd kamerázza a hátsó kerben a gyerekeimet. Csak lehet, hogy úgy szállna ki ilyenkor a rendőrség a szomszédhoz, hogy véletlen kitörne pár foga úgyhogy nem biztos, hogy jó ötlet. Azért bele lehet szőni a történetbe nem ennyire direkt, hogy kiskorúak is érintettek a kamerás megfigyelésben, és akkor komolyabban veszi a hatóság. Szóval rengeteg ilyen ügy van már most, mert simán felrakják a kamerát anélkül, hogy belegondolnának, hogy mit csinálnak. Nagyon sok adatkezelés megoldható jogszerűen is, csak érteni kell hozzá.

[ Szerkesztve ]

Buliban hasznos! =]

A kamerákat a NAIH valamiét baromi komolyan veszi. Nekünk több partnernél is volt levelezésünk a hatósággal, de szerencsére mindig megúsztuk a büntit, mert időben reagált a partner és komolyan vette az ezzel kapcsolatos észrevételeinket, így megelőzhettük a bajt.

Amúgy ja, hogyan csinálj keresletet level 100.

Én is gondolkoztam, hogy veszek 2 kamerát a lakás utca felőli oldalára, de végig gondoltam és nem akarok abba a bizonyos erdőbe tátott szájjal szaladgálni. Társasházban lakok, és ugyan van a járda és a lakás között egy 2m széles kert, de nem biztos, hogy megéri nekem a problémát. (Szerencsére olyan a környék, hogy nem létszükséglet a kamera.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ha feljelent valaki miatta, akkor tényleg csak pislogni fogsz. Nem éri meg. Nekem már lopták el valamelyik évben a paprikát a kertből, 4 tő chili volt, az érzelmi kár magasabb volt, mint az anyagi, mert úgy vártam, hogy beérjen, és legyen saját piros chilim, aztán amikor már majdnem megvolt, akkor egyszer csak eltűnt a kertből. Gondolkodtam én is, hogy kiteszek kamerát, ez is társasház, de kb. 30x annyiba került volna a kamera, mint a paprika. Társasházban közösen kitenni kamerát sem egyszerű, mert arra meg a társasházi törvény vonatkozik, és vagyonvédelmi szakembernek kell lennie az üzemeltetőnek aszerint.

Ilyen célra nincs is sok értelme, oda célszerű, ahol komoly kárt okozhatnak. Az meg vagy a kocsi vagy a lakáson belül van, ahova meg simán tehetsz. Ismerős pl. amikor Londonban volt, akkor tett fel fotocellás kamerát a bejárati ajtóhoz, aztán ha betört valaki, akkor csinált róla pár képet, ami ment egyből a szerverre. Mondjuk maszkos betörőnél ez sem ér semmit, de mindegy, legalább értesült róla, meg általában még ennyi eszük sem szokott lenni. Ahol komoly értéket védesz vele ott meg indokolni is tudod, és a GDPR-nak ez a lényege, hogy tudjad indokolni, hogy miért szükséges az adatkezelés.

Amúgy gondolkodok rajta, hogy nézem a NAIH éves tájékoztatókat, aztán megnézem, hogy hogyan lehetett volna jogszerűen megoldani az adatkezelést az egyes ügyekben, és ha gyakran előfordul valamilyen forgatókönyv, akkor árulok sablont rá.

[ Szerkesztve ]

Buliban hasznos! =]

Rakjal ki dummy kamerat, a pszichologiai hatasa meglenne, de nem kene papirozni.

https://www.coreinfinity.tech

Ja, az egy jó megoldás szerintem is. Amúgy már máshol kertészkedek, úgyhogy már nem érint a dolog.

A kedvencem a rejtett álkamera.

[ Szerkesztve ]

Buliban hasznos! =]

Közös kamerát biztos nem tennék. De mint írtam is, a saját kamerát is elvetettem. Ettől sokkal fontosabb dolgokkal is problémák vannak. (Lakáson belülre meg biztos nem rakok kamerát. Annak úgy lenne értelme, ha nem lakáson belül tárolódnak a felvételek, de a belső hálón kívülre én biztos nem engedek ilyen adatokat.)
.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Hát ja, onnantól ha megtörik a külső tárhelyet, akkor egyenes adásban nézik, hogy mi megy a lakásban. Esetleg az ajtóhoz tennék, hogy lássam ki jön be. Mondjuk szerintem nem indokolt magánlakásban, csak a tényleg szar helyeken. Kívül sajáttal ilyen társasházban arra tudsz hivatkozni, hogy a rendőrségi statisztikák, vagy a helyi statisztika, pl. a hónapban már 3x törtek be vagy lopták el a kocsiból az aksit, indokolja a kamera használatát, és jogos érdek jogalappal, érdekmérlegelési teszttel, tájékoztatóval, plusz mondjuk a saját kocsid beállójára vagy a saját bejáratotokra irányítva. Jelenleg jogszerűen úgy tűnik így mehet, de még én is kezdő vagyok ebben a kamerás adatkezelés témában. El kéne olvasnom pár tucat NAIH határozatot, aztán akkor már világosabb lenne.

[ Szerkesztve ]

Buliban hasznos! =]

Nálunk 3 ablak néz csak az utcára ami probléma lehet.
A bejárati ajtó az udvar felől van, és a kocsi is bent áll az udvarban, így ott nagyobb a kockázata a lebukásnak ha valaki ismeretlen személy mászkál.

Magán személyekkel mi nem foglalkoztunk, csak szervezetekkel, ott pedig a jogos érdek + érdekmérlegelési teszt ami elég. De szerintem magánszemélynél is az általad említett jogos érdek + érdekmérlegelés elegendő lehet annyi különbséggel, hogy szerintem nem kell tájékoztató, meg szabályzat, elég a kamera matricázás.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.