Az van, hogy minden adatkezelésre kell 13. vagy 14. cikk szerinti tájékoztató különben jogszerűtlen. Ha jogszabályi megfelelés a cél vagy közfeladat ellátása, akkor még talán elnézi a hatóság, de valszeg akkor sem, ha jogos érdek, akkor meg 100%, hogy nem. A tájékoztatónál a minimum az adatkezelő neve és az adatkezelés célja. Kovács Pista, vagyonvédelem, ennyi. Ezt rá lehet írni a matricára, aztán készen vagy. Ha meg belefutsz valami hülyébe, aki tiltakozik az adatkezelés ellen, akkor adsz neki rendes tájékoztatót 13. cikk szerintit, ahol legalább a tárolt adatok körét le kell írni, ami itt nyilvánvaló, és a tárolási időt le kell vezetni, hogy miért annyi, amennyi. Úgy tudom így van, de inkább olyan eseteket vettünk, ahol ismert az érintett, és nem csak random belesétál a képbe, aminél nehéz tájékoztatni. Az már más kérdés, hogyha így jársz el, akkor nyilvánosságra hozod, hogy abban a lakásban laksz, és te csinálod a kamerázást, de az előbbi valszeg amúgy is ismert, az utóbbit meg joga van tudni az érintetteknek. Én legalábbis így látom most.

Buliban hasznos! =]

Szerintem társasház esetben, ha megszavazzák, onnantól kezdve inkább az érintett hozzájárulása lesz a jogalapod (mint egy üzletben), illetve az adott jogszabály, amiben szabályozva van a társasházi kamerahasználat (ahogy az üzletekben is az Szvtv. a kamerázás alapja).
De egy kicsit OFF ez itt szvsz.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A december 2-ai sörözés kapcsán kérdezem az érintetteket:
1. A helyszínt akkor leüthetjük?
2. Időpont mi legyen? 17.00, esetben 18.00 óra? Vagy korábban?
3. Aki ismeri a helyet: kell asztalt foglalni, vagy mi a módi?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

1. Ha a helyszin az a KGB-s vagy milyen hely a XI. kerben, nekem jo.
2. 17.00 jo.
3. ----

https://www.coreinfinity.tech

KEG az a KGB, de nekem is jó. Valamint szervező kollégának: igen, ide mindenképp foglalj asztalt előre!

17:00-ra tuti nem fogok majd odaérni, inkább 19 körül de addig melegítsetek be

"Fuck the Kingsguard, fuck the city....Fuck the king!"

1. Igen (KGB, KEG, FBI nekem mindegy csak sör legyen. )
2. 17:00 nekem jó.
3. -

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Úgy gondolod hogy egy kamera megelőzte volna a lopást?

Szerintem hasonló elrettentő ereje van, mintha kiírod a kertkapura, hogy "harapós kutya". Mérsékli a kockázatot, de nem szüntetni vagy előzi meg.
(meg utána ki lehet írni a faliújságra, hogy vigyázzatok a Ödönék lopják a paprikát)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(meg utána ki lehet írni a faliújságra, hogy vigyázzatok a Ödönék lopják a paprikát)

Aztán meg Ödönék jól feljelentenek a személyiségi jogaik megsértéséért, és/vagy elkapnak az utcán, és fejbe vernek egy szívlapáttal...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A skála elég széles a Keepass, Syspass, Thycotic között.

A Thycotic az PAM szoftver, nem? Az is tud jelszómenedzsmentet?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Én úgy tudom a Thycotic is tud jelszavakat kezelni. Persze nem ez az elsődleges feladata.
Anno, mikor bejött Magyarországra még a disztributor tartott előadást róla, hogy jelszavak is kezel, meg a usernek nem is kell tudnia csak kb 1 jelszót, minden mást központilag kitud tolni a rendszer a VPN belépési jelszótól a webshop hozzáférésig. Mindenbe is be tud épülni (böngészők, VPN kliens, RDP, stb). És hasonló a Thales is.
Sajnos élőben egyiket sem láttam, nincs olyan ügyfelünk akinek lenne pénze és igénye egy ilyen rendszerre.

Egon: akkor nincs más lehetőség, minden tő paprika mellé kell egy doberman. Bár akkor meg jönnek az állatvédők, hogy nincs elég helye a kutyának szaladgálni.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Érdekes lenne hozzájárulásos jogalappal lekezelni a postást, villanyóra leolvasót, rokonokat, stb... Benne van az adatvédelem a topik nevében, szóval mitől off?

Buliban hasznos! =]

Véletlenül sem szabad nyilvánosságra hozni, hogy ki volt. Bűnügyi személyes adat, elég keményen bírságolják az ilyesmit. A rendőrségnek kell továbbítani a felvételt az illető nevével, ha felismered rajta, aztán vagy kezdenek vele valamit, vagy nem. Érték függő gondolom. Haveroknak meg lehet mutatni egyesével a felvételt a mobilodon, de csak úgy, hogy ne maradjon nyoma, aztán elterjed a faluban, azt ennyi. A célt úgy is eléred, de azt nem fogják tudni bizonyítani, hogy te hoztad nyilvánosságra. Ha kikerül egy facebook csoportba a felvétel, akkor megszívtad, mert simán feljelentenek, és a végén még te fizetsz a tolvajoknak. Voltak már hasonló ügyek, volt egy komplexebb ügy, ahol a munkahelyéről lopott a fazon, de nem tudták rábizonyítani, és 4.5M forint kártérítést kapott, mert kirúgták, stb. Ott az volt döntő, hogy a biztiőr, amikor kifele vitte a szajrét, akkor azt mondta neki, hogy motozás következik, amire a biztiőrnek nincs joga, csak rendőrnek. Aztán ráhúzták, hogy megijedt a fazon, hogy testüregmotozás lesz, és azért kezdett menekülni, és hogy az egész fegyelmi eljárás, hogy ezek után kirúgták teljesen jogtalan volt. Kénytelen volt a cég visszavenni a 4.5M forint kártérítés után, aztán másnap közös megegyezéssel távozott. Ilyen fantasztikus ez az európai jog.

[ Szerkesztve ]

Buliban hasznos! =]

Tudtok mondani infosec szempontjából elfogadható magyar domain szolgáltatót? Integrity és dotroll között vacillálok, persze lehet, hogy elengedem a témát, és külföldi nagy cég lesz.

Buliban hasznos! =]

A dotroll-t mondjuk pont tavaly nyomták fel, én nem biztos, hogy mennék hozzájuk.
Infotechna?
Ha IBTV-s szervezet, akkor nem biztos, hogy jó a külföldi.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Tulképp teljesen vegyes az ügyfél kör, de jogos érv, hogy nem fog Ibtv-s megbízni külföldi adatfeldolgozóval. Nem ismerem az Infotechnat, őszintén szólva nem vagyok képben magyar hoszting szolgáltatókkal, azért kérdem. Vennék 1-2 hónapon belül saját vállalkozáshoz, leginkább magyar ügyfelekkel. A dotrollt üzemeltetési szempontból mondta jónak rendszergazda ismerős, aki ott dolgozott, meg tetszett, hogy van náluk nodejs is és viszonylag olcsó, de akkor ezek szerint más szempontból meg nem jó.

[ Szerkesztve ]

Buliban hasznos! =]

Ha csak weboldal, meg domain akkor szerintem majdnem mindegy kinél van, feltéve ha nincs adatkezelés a weboldalon. Ha email is kell, akkor kell kicsit jobban belegondolni. (Bár vannak fizetős email szolgáltatók, meg a netszolgáltatók is adnak levelezést.)

A Telekom is ad domaint, meg tárhlyet, meg emailt is, csak velük az egyik ügyfelünk szívta meg. Elmondása szerint, egy DNS beállítás átlag 2 hét alatt van meg, de sajnos egyszer sem biztos, hogy azt és úgy állítják be, ahogy kéred.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Pont ez az, hogy van adatkezelés a weboldalon. Havi díjas webes szolgáltatást csinálok majd többfélét is, oda meg azért kellenek számlázási adatok legalább.

[ Szerkesztve ]

Buliban hasznos! =]

Ez esetben akkor azt kell megnézni, hogy van-e olyan előírás ami miatt a külföldi tárhely nem játszik, már ha külföldi tárhelyet akarsz használni.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Külföldit csak akkor használnák, ha nincs ilyen magyar, ami megfelel biztonsági szempontból.

Buliban hasznos! =]

Nem tudom mitöl felel meg neked valaki biztonsági szempontból, de a Dotrollnak pl van ISO 27001 tanúsítványa, az Integritynek nincs.

sh3d0w: Ez nálam is ott figyel a polcon, de sajnos még bontatlan.

Egyelőre még nem néztem utána egyik cégnek sem. Az ISO tanusítvány csak annyit jelent, hogy van irányítási rendszerük, azt nem vizsgálja, hogy megfelelő védelmi intézkedéseket hoztak, csak azt, hogy egyáltalán van valami. Mondjuk már ez is pozitívum. Írta valaki fentebb, hogy a dotrollnál nemrég volt incidens, esetleg megnézem annak a körülményeit, meg hogy hogyan kezelték, aztán abból eldönthető, hogy van e értelme foglalkozni velük. Ugye incidens mindenhol lehet. Mondjuk ilyenkor mindenki menekülni szokott az adott cégtől, én nem feltétlen.

[ Szerkesztve ]

Buliban hasznos! =]

És ez jól is van így. Isten ments, hogy egy szabvány döntse el, hogy milyen védelmi intézkedés megfelelö. Sajnos van olyan tanusítvánnyal tapasztalatom ami kötelezöen eldönti helyetted, hogy mit kellene csinálni, csak éppen az alkotók lemaradtak szük tíz évvel, tele van rossz gyakorlatokkal és modern környezetben ahol SaaS, containerek meg BYOD van ott nem lehet használni.

Én Cloudflare-t és Google Domain-t használok, mert nincs szükségem .hu domainre.

Valójában lehetne jó is, ha szakemberek írnák a szabványt és állandóan frissítenék úgy, mint a rolling release Linuxokat. Annyiból nagyon tetszene, hogy nem nekem kellene dönteni mindenről. Meg annyiból is, hogy nem nekem kellene győzködni a vezetést a költségekről.

[ Szerkesztve ]

Buliban hasznos! =]

A szabvány attól szabvány, hogy nem változik. Ha változik, pláne gyakran, akkor inkább csak process.

https://www.coreinfinity.tech

Múltkor volt szó a kamerákról.

Vajon ez így szabályos?

link

Nem

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Hát ezzel nagyon sokan nem értenek egyet. A HTML5 szabvány is rolling release jellegű. A szabvány attól szabvány, hogy mindenki azt követi.

[ Szerkesztve ]

Buliban hasznos! =]

Oke, adom, de az ISO-kra ez nagyon nem igaz. Egy ISO cert megszerzese eleg magas koltseg es senki nem varhatja el, hogy ezt a penzt 1-2 evente belefeccoljek a vallalkozasok, mikozben a masik oldalrol elvaras a szabvany meglete, kulonben nincs szerzodes.

https://www.coreinfinity.tech

Egy kicsit túlzásba estél.
Egy csavarméret vagy menetemelkedés szabvány lehet hogy soha nem változik. Az IT biztonság meg igen. Az SIO27K idén változott, előtte 2013-ban. 9 évente simán belefér egy ráncfelvarrás.
Btw türelmi idő szokott lenni az új verzióra való áttérésre, általában 2-3 év, ergo legrosszabb esetben 4 év múlva kell komolyabban hozzányúlni az IBIR-hez, ha valaki peches időszakban szerez tanúsítást. Ráadásul messze nem ugyanakkora összeget kell belefeccölni, mint amikor nulláról van felépítve az IBIR.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem nem azt akarja, hogy soha ne valtozzon, csak ramutatott, hogy egy security kovetelmenyrendszernel elegge irrealis a rolling release.

Idézem, kiemelés tőlem.

A szabvány attól szabvány, hogy nem változik. Ha változik, pláne gyakran, akkor inkább csak process.

Ezt elég nehéz másképp értelmezni...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem ertetted meg, amit mondtam.

Tegyuk fel, hogy a ceged gyart XYZ termeket, amit kiterjedten hasznalnak mindenfele iparban, ahol femet/muanyagot/fat/whatevert hasznalnak. Van 50 ugyfeled, akik kozul 5 vilagceg, 15 kozepes, meg 30 kicsi. A vilagcegek mindegyikenel, meg mondjuk a 15 kozepesbol 7-nel valtozik a szeljaras es az ottani felsovezetes kiadja, hogy mostantol csak olyan ceggel lehet szerzodni, akinek van ISO27K1-e. Ha nem csinalod meg, elveszited ezeket a megrendeloket, ha megcsinalod 1-2 evente, ahogy a szabvany valtozik, iszonyu tobbletkoltseged lesz.

Igen, 9 evente belefer a valtozas, 1-2 evente, ahogy inf3rno kollega szerint kellene, nem.

https://www.coreinfinity.tech

Koszonom, sikerult jobban megfogalmaznod, mint nekem (fuggetlenul attol, hogy egyetertesz-e ezzel).

https://www.coreinfinity.tech

Az ISO 27k sem véletlen annyira általános. Ami specifikusabb az gyorsabban is változik. Olyat pl. lehetne, hogy részleges audit, és csak azt a részt ellenőrzik, ami az utóbbi audit óta változott a teljes audithoz képest jóval olcsóbban. Illetve még a visszafele kompatibilitás is kiküszöböli részben, amit mondasz.

Mondjuk az eredeti téma nem az ISO 27k szabvány volt, hanem a biztonsági eszközöket gyártó cégeknél a szabványosítás, hogy egymással kompatibilisek legyenek.

[ Szerkesztve ]

Buliban hasznos! =]

Meg mindig nem beszelunk egy nyelvet.

Hiaba koveted a valtozasokat a legutobbi satisfactory audit eredmenye ota, a certed meghosszabbitasanak a koltsegein nem valtoztat. Nyilvan ertelmes ember igy csinalja - legalabbis ha nincs tul sok valtozas.

https://www.coreinfinity.tech

Az igaz. Olcsóbbnak kellene lennie a hosszabbításnak, hogy működjön.

Buliban hasznos! =]

Mondjuk lehet jó lenne ha mielőtt mindenféle javaslatokat tennénk azelőtt utánanéznénk, hogy hogyan épül fel a szabvány és a tanúsítási folyamat.

Melyik szabvány? Én általánosságban beszéltem róluk, aztán ki tudja miért ISO 27k lett belőle.

Buliban hasznos! =]

Nos, az elso ISO27K1 megszerzese felmehet akar $75000-ig is (3 eves cert cycle), nyilvan attol fugg, hogy csinalod-e belsoleg - ertsd: megvan a szukseges kompetencia - vagy perkalsz vmi kulso partnernek, aki megcsinalja helyetted.
A surveillance es recert auditok alkalmankent 20-23K-t kostolnak dollarban - elobbi minden nemauditos evben kell.

Ezek a penzek termeszetesen nem tartalmazzak az addicionalis koltsegeket, tehat ha szuksegesek atalakitasok, plusz alkalmazasok es alkalmazottak, plusz egyeb beszerzesek (pl. mantrap) azok ehhez meg hozzajonnek.

Ilyen kornyezetben irrealis elvarni, hogy 1-2 evente valtozzon a szabvany.

https://www.coreinfinity.tech

Szervezet mérettől és az informatika felépítésétől erősen függ ez összeg.
Példa: vezettem olyan projektet, ami (egyébként sikeres) ISO27K auditra készített fel egy pici, kb. 10 fős fejlesztőcéget, ami egyébként külföldre dolgozott, egy nagy online szerencsejáték platformon, nagyon minimális számú és kiterjedtségű IT rendszerrel. Ennek az összegnek a nagyon kis töredéke volt a bekerülési költség.
Btw ez a tanúsítvány (is) olyan, hogy jó eséllyel a tanúsítottak legalább fele csak a minimumra lő, hogy éppen úgy tűnjön mintha megfelelne a szabvány követelményeinek. Ez is csökkenti a költségeket (persze csak addig, amíg nincs gond).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az, hogy mennyibe kerül egy szabványnak megfelelés erősen függ:
- a tanúsító cég hozzáállásától (tényleg ellenőriznek, vagy csak darabra legyen meg minden)
- a tanúsítást igénylő cég hozzáállásától, (mennyire veszik komolyan)
- a tanúsítást igénylő cég magyarázkodó képességétől. (mennyire tudják kimagyarázni, elbagatelizálni a hiányosságokat)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Na ja, ezek is mind hozzájárulnak a végső összeghez.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Azért amikor az auditor a 20 oldalas IBSZ-re és az 5 oldalas DRP-re azt mondja, hogy oké rendben van, ott még én is csak pislogtam. De következő évben ennek megfelelően vettük komolyan a dolgot.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Erre mondják, hogy nem a méret a lényeg. Egy 20 oldalas érthető IBSZ jó mellékletekkel sokkal többet ér mint egy 80 oldalas monstrum amit senki sem olvas el/jegyez meg.