Ez így csak akkor igaz, ha az IBSZ kicsit több mint egy a tartalom jegyzék, és ehhez kapcsolódnak különböző további szabályzatok, eljárásrendek.

Egy normálisabb IBSZ minimum 50 oldal, attól függően, mennyire használható doksit akar csinálni az ember, és mennyi külső szabályzatot, eljárásrendet akar külön.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Szerintem azért léteznek külön policy-k, procedure-ök, standard-ek és guideline-ok, hogy ne mindent egy dokumentumba kelljen belezsúfolni.

Először is, minek veszekedni, ha verekedni is lehet?!?
Másodszor: minden betűméret kérdése csak...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem bántjuk a kollégát.. még.

section9: hú de jó is az, amikor egyik szabályzatból a másikra hivatkozunk, majd utána egy harmadikra és mire meg van az infó el is felejti az ember mit keres. Ráadásul egy ilyen szabályzatrendszert frissíteni is felemelő érzés.

Nekem jobban bejön, hogy van 1 doksi és abban minden benne van ami az IBSZ témakörébe kell legyen. Persze BCM-BCP, DRP, meg még 1-2 eljárásrend külön van, mert külön kell, az IBSZ legyen egy helyen. Max kegyen egy kivonat amit a felhasználóknak oda lehet adni, hogy tessék ez vonatkozik rátok, ez van az oktatási anyagban is, ezt kell tudni.

De az, hogy 20 oldalba beleférjen minden bármilyen követelmény (ISO, IBTV, MNB, stb) szerint azt biztos nem valid.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ha tartja magát az ember a DRY-hoz (don't repeat yourself), akkor csak ott kell frissíteni ahol a változás történt. Ráadásul így egy cryptography guideline változás miatt nem kell végigverni az egész dokumentumot a vezetöségen. De kinek, hogy. Nekem az a lényeg, hogy a felhasználók ne tépjék ki a hajukat egy 80 oldalas doksitól és tudják, hogy kit kell zaklatni, ha valami büzlik dániában.

Nekem más tapasztalataim vannak.
A vezetőség örül, ha csak 1 doksit kell hatályba léptetnie, nem 30-at.
A userek meg nem fogják keresni az infót. Pont nem érdekli őket az egész, nem számít, hogy 1 vagy 30 doksi van. Az oktatásból valamit megjegyeznek, a többi nem létezik számukra.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ezért kell kivonatolni az IBSZ-t, 3-5 oldalban, a felhasználók részére, amiben a legfontosabb, rájuk tartozó infók benne vannak.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Eddig bárhol dolgoztam ott a policy alatti dolgokat soha nem futtattuk meg a leadershipnél. Valószínüleg a usereink is mások, mert ahol én dolgozom ott rendszeresen elökerül, hogy mi az SLA a sérülékenységek kapcsán, milyen cryptot használhatnak, mi a process a 3rd party libek kapcsán, stb. De ahogy már korábban írtam én B2B/B2G területen mozgok, kizárólag külföldi cégeknél, szerencsére jó messze bármilyen magyar szabályozástól.

Egon: Az ISO 27001 a teljes infosec policy kommunikálását teszi meg követelménynek, de szerintem sehol sem elég a kivonat.

Kapnak egy 15 diából álló PPT-t, az oktatás után, amin rajta vannak a legszükségesebbek.
"Best practice" szerint kellene lennie egy Felhasználói szabályzatnak és azt kellene olvasgatnia a tisztelt usernek, de nem éri meg a fáradtságot.

section9: Szintén B2B és B2G terület (elsősorban IBTV és MNB alá tartozó szervezetek), de a partnereink magyar cégek, magyar szervezetek. Multi nincs. Ebben a környezetben kicsit másképp mennek a dolgok. Van olyan partnerünk, ahol az IBSZ csak akkor hatályos, ha vezérigazgató, belső ellenőr, gazdasági igazgató (alá tartozik az IT csoport) és az ITcsoport vezető is aláírta.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Egon: Az ISO 27001 a teljes infosec policy kommunikálását teszi meg követelménynek, de szerintem sehol sem elég a kivonat.

Az információbiztonságpolitika egy lap, kint lóg a falon a titkárságon, bárki elolvashassa...
Komolyra fordítva a szót: kommunikáció az is, ha X órás előadás során végig veszed, meg az is ha kint van a fájlszerveren, ahol bárki hozzáfér... Ugyanakkor nem árt, ha van valami olyan is, aminél van arra is esély, hogy ténylegesen el is olvassák...
A gyakorlatból kellene kiindulni, és eltalálni azt a k*rva keskeny ösvényt, ahol még elégséges a biztonság, ugyanakkor a felhasználók 90+ %-a is képes és hajlandó azt betartani (a maradék 10%-ot meg kell találni, megpróbálni meggyőzni/betörni, és ha nem megy másképp, akkor kirúgni a fenébe).
Ez olyan mint a jelszó policy. K*rva biztonságos lenne egy minimum 48 karakteres, legalább 20 speciális karaktert tartalmazó, hetente megváltoztatandó jelszó, ami legalább 15 karakterben el kell térjen az előző jelszótó, és egyébként az előző 1.000.000 jelszó nem felhasználható. A userek 99%-a két hét után mondaná be az unalmast, és kezdene centizni, jelszó.txt-zni, stb. A másik véglet az 1 karakteres password, aminek nyilván lenne aki tapsolna felhasználói oldalról. Namost ezen két véglet között kell megtalálni a még éppen biztonságost, adott esetben akár az érintett intézmény specialitásainak (érettségének) figyelembe vételével - ez a legnagyobb művészet ebben a szakmában meglátásom szerint.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A gyakorlatbol indulok ki, ezert nem tamogatom a nyolcvan oldalas policyt es mivel az auditornak valahogy demonstralni is kell, hogy megfeleloen kommunikalva lett, ezert szerintem nem eleg az sem, hogy csak kint log a falon.

Egyetertunk, csak az a biztonsagos, amit be is tartanak az emberek. A kerdest neheziti, hogy sok esetben pl az ugyfelek talalnak ki olyan biztonsagi kovetelmenyeket amik mar evek ota nem jo gyakorlatok, de valami boomer Excel-huszar GRC-s husz eve igy szokta meg, ugyhogy most az osszes beszallitonal kotelezo harom havonta jelszot cserelni es termeszetesen nem lehet az elozo husz jelszavad egyike sem.

Na ja.
Nagyobb baj, hogy az ostobák az elvileg legvédettebb, legérzékenyebb adatkör vonatkozásában is ezt tolják: [link]
A NATO-s policytól meg lett egy laza 4.5 napos kiesés Kecskeméten a seregben, mert annyira túltolták a biztonságot, hogy az már a működést akadályozta...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Néhány IBSz már megfordult a kezem alatt. És én azt tapasztaltam, hogy ha sok a doksi akkor:
- sokszor ellentmondanak egymásnak,
- senki nem tudja megmondani, mik a rendszeresen elvégzendő IBSz szerinti feladatai (alkalmazás gazda, rendszergazdák, IBF, adatgazdák, vezetők, stb),
- időnként egymással összefüggő dolgok is külön doksiban vannak (külön doksiban szerepel az általános jelszó policy meg külön doksiban a rendszergazdákra, technikai userekre vonatkozó jelszó policy, de a doksi úgy kezdődik, hogy az általános jelszóelőírásokon kívül a továbbiakat kell betartani)
- összemosnak olyan dolgokat, amiknek nem is együtt kellene lennie.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Tegnaptól adatbiztonsági és adatvédelmi jogi szakokleveles szakember is vagyok. :-)

Buliban hasznos! =]

Gratulálok.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Köszi! Hát nem volt egyszerű az utóbbi 3 hónap, először szakdolgozat, utána záróvizsga készülés plusz meló 24/7, kb. nulla időm volt másra. Holnapig még adok időt magamnak, aztán folytatódik a daráló. Le kell fejlesztenem egy hónapon belül két szoftvert is. Ránézésre teljesen esélytelennek tűnik most, inkább négy hónap kellene rá, de volt már rosszabb.

Buliban hasznos! =]

Drakula!

https://www.coreinfinity.tech

Köszi!

Buliban hasznos! =]

Úgy tűnik a DockerHub sem teljesen tiszta a kártevőktől: [link]

Buliban hasznos! =]

Semmi meglepő nincs benne, minden olyan hub fertőzött lehet, ahová ellenőrizetlenül kerülhetnek fel a cuccok. pypi, npm repository-k, ruby gemek, minden.

Egy csóka 30e USD-t kasszírozott a legnagyobb cégektől, mert mindegyikbe betört a saját kamu moduljaival.

https://www.coreinfinity.tech

Kérdés.
Pénteken, akkor auditáljuk a KEG sörkészletét, ugye?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Változás van, nem volt már hely a KEG-ben sajnos, a Rizmájer Móricz lett a befutó

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Rendben, nekem megfelelő az is.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Kösz hogy intézted! Jutalmadról emailben fog értesíteni a nigériai herceg, részletek majd a csatolt fájlban.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Nem tudok pénteken megjelenni

https://www.coreinfinity.tech

Fcukme.

Te lettél volna az egyetlen akit ismerek. + akivel ott kiderül, hogy láttuk már egymást.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Sry mate

https://www.coreinfinity.tech

Báááz, akkor küldjél magad helyett két embert...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az NKI elmehet melegebb éghajlatra.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Egyetértek...
Bővebben?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Most nem tudok szépen írni róluk. A lényeg, hogy kb 1 havi melóm megy a levesbe, mert nem fogadják el az osztályba sorolást az egyik ügyfelünknél, és emiatt egy másiknál is újrakezdhetem az egészet De arra a kérdésre, hogy mi számít nagy mennyiségű adatnak, vagy hogy milyen extra infók kellenek nekik az egyes EIR-ről nem adnak választ.
Ja és az osztályba sorolásra vonatkozóan tök ellentétes infókat adtak, mint amit kb 1 évvel ezelőtt.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Sajnos. Viszont írásban kaptunk hivatalos infókat, így arra hivatkozva legalább abba nem tudnak belekötni. (dehogynem)

Ja és mellesleg 3 hete ülnek az ASR rendszerrel kapcsolatban feltett 3 kérdésünkön.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

https://taggartinstitute.org/p/responsible-red-teaming

Ha valakit erdekel - most eppen ingyenes.

https://www.coreinfinity.tech

Humbi bumblis könyvpakk a témában, ha valakit érdekel: [link]

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

LastPass Suffers Another Security Breach; Exposed Some Customers Information

Well...

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Kérdés.
Mivel személyesen még nem találkoztunk, és gyanítom nem az egész söröző lett kibérelve, hogy fogjuk egymást magtalálni?
Vagy ez a beugró, hogy social engineering-gel kell megtalálni a helyes asztalt?
Vagy szerver, esetleg Mitnick kép lesz az asztalon?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Igen, ez már bennem is felmerült.
Sztem írok privátot a résztvevőknek holnap délelőtt. Végül is csak hárman leszünk?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Megírtam a privátot annak a kemény kettő darab embernek, aki ígérte hogy ott lesz, és nem mondta le azóta.
A többieknek: last chance egy egyedülálló alkalomra történő jelentkezésre illetve részvételre: az I. pH! ITSEC találkozóból nem lesz több...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Lehet, hogy kevesen leszünk, de ehhez képest egy Hacktivity, vagy ITBN csak teadélután lesz.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Nagyon jó hangulatú sörözésen vagyunk túl, élmény volt két kollégát megismerni...
Sajnálhatja aki nem tudott eljönni...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Köszönjük! + Külön köszönöm, hogy a privát üzenet miatt kiléptem a komfortzónámból.

Igaza volt az Interpolos kapcsolattartómnak, tényleg jó arcok vagytok.

[ Szerkesztve ]

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Egyebkent ha meg valaki ramozdulna a CASP+ -ra, Udemy-n talan szerencset lehet probalni, nekem 15 euromba kerult a materia - meg 5 oran keresztul, de mas kurzusokat is be lehet huzni ennyiert.

https://www.coreinfinity.tech

Köszcsi, bár nekem az udemy-s már megvan. Ez a következő kiszemelt CERT, hogy belépjek az engineer/architect titkos társaságba.
Legalább majd tudok kivel jegyzetet cserélni.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Hja, az architect moka engem is erdekel - de az biztos, hogy a 4 domainbol 1 megrikat majd.

https://www.coreinfinity.tech

Köszi, a sörözést.
Szerintem szuper volt.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az elmult napokban tobbszor is belebotlottam valamibe, amit nem ertek, ezert megkerdezem az erto kozonseget: mi ertelme van Linux desktop rendszeren a nagyvilag fele kinyitni a 80, 443 portokat? Nem csak blogbejegyzesekben lattam, hanem meg nem-azsiai YT videokban is...

https://www.coreinfinity.tech

Szerintem semmi.

Buliban hasznos! =]

Mint nem kimondott hozzáértő, csak annyit jegyeznék meg, hogy amikor sok sok évvel ezelőtt még használtam Viber nevű csetet desktopon, ha tiltva volt a 80-as port, akkor nem tudott csatlakozni a szerverhez egyáltalán. Ma már nem világos hogy van, de talán valahol itt lehet a dolog elásva...

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.