Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] eBay-es kütyük kis pénzért
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Lalikiraly:] Gigabyte G5 MF notebook bemutató
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] Gurulunk, WAZE?!
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
Xpod
addikt
Ez így csak akkor igaz, ha az IBSZ kicsit több mint egy a tartalom jegyzék, és ehhez kapcsolódnak különböző további szabályzatok, eljárásrendek.
Egy normálisabb IBSZ minimum 50 oldal, attól függően, mennyire használható doksit akar csinálni az ember, és mennyi külső szabályzatot, eljárásrendet akar külön.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
section9
őstag
Szerintem azért léteznek külön policy-k, procedure-ök, standard-ek és guideline-ok, hogy ne mindent egy dokumentumba kelljen belezsúfolni.
Egon
nagyúr
Először is, minek veszekedni, ha verekedni is lehet?!?
Másodszor: minden betűméret kérdése csak...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Nem bántjuk a kollégát.. még.
section9: hú de jó is az, amikor egyik szabályzatból a másikra hivatkozunk, majd utána egy harmadikra és mire meg van az infó el is felejti az ember mit keres. Ráadásul egy ilyen szabályzatrendszert frissíteni is felemelő érzés.
Nekem jobban bejön, hogy van 1 doksi és abban minden benne van ami az IBSZ témakörébe kell legyen. Persze BCM-BCP, DRP, meg még 1-2 eljárásrend külön van, mert külön kell, az IBSZ legyen egy helyen. Max kegyen egy kivonat amit a felhasználóknak oda lehet adni, hogy tessék ez vonatkozik rátok, ez van az oktatási anyagban is, ezt kell tudni.
De az, hogy 20 oldalba beleférjen minden bármilyen követelmény (ISO, IBTV, MNB, stb) szerint azt biztos nem valid.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
section9
őstag
Ha tartja magát az ember a DRY-hoz (don't repeat yourself), akkor csak ott kell frissíteni ahol a változás történt. Ráadásul így egy cryptography guideline változás miatt nem kell végigverni az egész dokumentumot a vezetöségen. De kinek, hogy. Nekem az a lényeg, hogy a felhasználók ne tépjék ki a hajukat egy 80 oldalas doksitól és tudják, hogy kit kell zaklatni, ha valami büzlik dániában.
Xpod
addikt
Nekem más tapasztalataim vannak.
A vezetőség örül, ha csak 1 doksit kell hatályba léptetnie, nem 30-at.
A userek meg nem fogják keresni az infót. Pont nem érdekli őket az egész, nem számít, hogy 1 vagy 30 doksi van. Az oktatásból valamit megjegyeznek, a többi nem létezik számukra.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Ezért kell kivonatolni az IBSZ-t, 3-5 oldalban, a felhasználók részére, amiben a legfontosabb, rájuk tartozó infók benne vannak.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
Eddig bárhol dolgoztam ott a policy alatti dolgokat soha nem futtattuk meg a leadershipnél. Valószínüleg a usereink is mások, mert ahol én dolgozom ott rendszeresen elökerül, hogy mi az SLA a sérülékenységek kapcsán, milyen cryptot használhatnak, mi a process a 3rd party libek kapcsán, stb. De ahogy már korábban írtam én B2B/B2G területen mozgok, kizárólag külföldi cégeknél, szerencsére jó messze bármilyen magyar szabályozástól.
Egon: Az ISO 27001 a teljes infosec policy kommunikálását teszi meg követelménynek, de szerintem sehol sem elég a kivonat.
Xpod
addikt
Kapnak egy 15 diából álló PPT-t, az oktatás után, amin rajta vannak a legszükségesebbek.
"Best practice" szerint kellene lennie egy Felhasználói szabályzatnak és azt kellene olvasgatnia a tisztelt usernek, de nem éri meg a fáradtságot.
section9: Szintén B2B és B2G terület (elsősorban IBTV és MNB alá tartozó szervezetek), de a partnereink magyar cégek, magyar szervezetek. Multi nincs. Ebben a környezetben kicsit másképp mennek a dolgok. Van olyan partnerünk, ahol az IBSZ csak akkor hatályos, ha vezérigazgató, belső ellenőr, gazdasági igazgató (alá tartozik az IT csoport) és az ITcsoport vezető is aláírta.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Egon: Az ISO 27001 a teljes infosec policy kommunikálását teszi meg követelménynek, de szerintem sehol sem elég a kivonat.
Az információbiztonságpolitika egy lap, kint lóg a falon a titkárságon, bárki elolvashassa...
Komolyra fordítva a szót: kommunikáció az is, ha X órás előadás során végig veszed, meg az is ha kint van a fájlszerveren, ahol bárki hozzáfér... Ugyanakkor nem árt, ha van valami olyan is, aminél van arra is esély, hogy ténylegesen el is olvassák...
A gyakorlatból kellene kiindulni, és eltalálni azt a k*rva keskeny ösvényt, ahol még elégséges a biztonság, ugyanakkor a felhasználók 90+ %-a is képes és hajlandó azt betartani (a maradék 10%-ot meg kell találni, megpróbálni meggyőzni/betörni, és ha nem megy másképp, akkor kirúgni a fenébe).
Ez olyan mint a jelszó policy. K*rva biztonságos lenne egy minimum 48 karakteres, legalább 20 speciális karaktert tartalmazó, hetente megváltoztatandó jelszó, ami legalább 15 karakterben el kell térjen az előző jelszótó, és egyébként az előző 1.000.000 jelszó nem felhasználható. A userek 99%-a két hét után mondaná be az unalmast, és kezdene centizni, jelszó.txt-zni, stb. A másik véglet az 1 karakteres password, aminek nyilván lenne aki tapsolna felhasználói oldalról. Namost ezen két véglet között kell megtalálni a még éppen biztonságost, adott esetben akár az érintett intézmény specialitásainak (érettségének) figyelembe vételével - ez a legnagyobb művészet ebben a szakmában meglátásom szerint.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
A gyakorlatbol indulok ki, ezert nem tamogatom a nyolcvan oldalas policyt es mivel az auditornak valahogy demonstralni is kell, hogy megfeleloen kommunikalva lett, ezert szerintem nem eleg az sem, hogy csak kint log a falon.
Egyetertunk, csak az a biztonsagos, amit be is tartanak az emberek. A kerdest neheziti, hogy sok esetben pl az ugyfelek talalnak ki olyan biztonsagi kovetelmenyeket amik mar evek ota nem jo gyakorlatok, de valami boomer Excel-huszar GRC-s husz eve igy szokta meg, ugyhogy most az osszes beszallitonal kotelezo harom havonta jelszot cserelni es termeszetesen nem lehet az elozo husz jelszavad egyike sem.
Egon
nagyúr
Na ja.
Nagyobb baj, hogy az ostobák az elvileg legvédettebb, legérzékenyebb adatkör vonatkozásában is ezt tolják: [link]
A NATO-s policytól meg lett egy laza 4.5 napos kiesés Kecskeméten a seregben, mert annyira túltolták a biztonságot, hogy az már a működést akadályozta...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Néhány IBSz már megfordult a kezem alatt. És én azt tapasztaltam, hogy ha sok a doksi akkor:
- sokszor ellentmondanak egymásnak,
- senki nem tudja megmondani, mik a rendszeresen elvégzendő IBSz szerinti feladatai (alkalmazás gazda, rendszergazdák, IBF, adatgazdák, vezetők, stb),
- időnként egymással összefüggő dolgok is külön doksiban vannak (külön doksiban szerepel az általános jelszó policy meg külön doksiban a rendszergazdákra, technikai userekre vonatkozó jelszó policy, de a doksi úgy kezdődik, hogy az általános jelszóelőírásokon kívül a továbbiakat kell betartani)
- összemosnak olyan dolgokat, amiknek nem is együtt kellene lennie.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
inf3rno
Topikgazda
Tegnaptól adatbiztonsági és adatvédelmi jogi szakokleveles szakember is vagyok. :-)
Buliban hasznos! =]
Xpod
addikt
Gratulálok.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
inf3rno
Topikgazda
Köszi! Hát nem volt egyszerű az utóbbi 3 hónap, először szakdolgozat, utána záróvizsga készülés plusz meló 24/7, kb. nulla időm volt másra. Holnapig még adok időt magamnak, aztán folytatódik a daráló. Le kell fejlesztenem egy hónapon belül két szoftvert is. Ránézésre teljesen esélytelennek tűnik most, inkább négy hónap kellene rá, de volt már rosszabb.
Buliban hasznos! =]
Drakula!
https://www.coreinfinity.tech
inf3rno
Topikgazda
Köszi!
Buliban hasznos! =]
inf3rno
Topikgazda
Úgy tűnik a DockerHub sem teljesen tiszta a kártevőktől: [link]
Buliban hasznos! =]
Semmi meglepő nincs benne, minden olyan hub fertőzött lehet, ahová ellenőrizetlenül kerülhetnek fel a cuccok. pypi, npm repository-k, ruby gemek, minden.
Egy csóka 30e USD-t kasszírozott a legnagyobb cégektől, mert mindegyikbe betört a saját kamu moduljaival.
https://www.coreinfinity.tech
Xpod
addikt
Kérdés.
Pénteken, akkor auditáljuk a KEG sörkészletét, ugye?
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Változás van, nem volt már hely a KEG-ben sajnos, a Rizmájer Móricz lett a befutó
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Rendben, nekem megfelelő az is.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
VágniValó
addikt
Kösz hogy intézted! Jutalmadról emailben fog értesíteni a nigériai herceg, részletek majd a csatolt fájlban.
"Fuck the Kingsguard, fuck the city....Fuck the king!"
Nem tudok pénteken megjelenni
https://www.coreinfinity.tech
VágniValó
addikt
Fcukme.
Te lettél volna az egyetlen akit ismerek. + akivel ott kiderül, hogy láttuk már egymást.
"Fuck the Kingsguard, fuck the city....Fuck the king!"
Sry mate
https://www.coreinfinity.tech
Egon
nagyúr
Báááz, akkor küldjél magad helyett két embert...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Az NKI elmehet melegebb éghajlatra.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Egyetértek...
Bővebben?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Most nem tudok szépen írni róluk. A lényeg, hogy kb 1 havi melóm megy a levesbe, mert nem fogadják el az osztályba sorolást az egyik ügyfelünknél, és emiatt egy másiknál is újrakezdhetem az egészet De arra a kérdésre, hogy mi számít nagy mennyiségű adatnak, vagy hogy milyen extra infók kellenek nekik az egyes EIR-ről nem adnak választ.
Ja és az osztályba sorolásra vonatkozóan tök ellentétes infókat adtak, mint amit kb 1 évvel ezelőtt.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Nemrégiben beszélgettünk velük személyesen is.
Sajnos van 1-2 akkora nagyarcú gyökér közöttük, hogy párját ritkítja.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Sajnos. Viszont írásban kaptunk hivatalos infókat, így arra hivatkozva legalább abba nem tudnak belekötni. (dehogynem)
Ja és mellesleg 3 hete ülnek az ASR rendszerrel kapcsolatban feltett 3 kérdésünkön.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
https://taggartinstitute.org/p/responsible-red-teaming
Ha valakit erdekel - most eppen ingyenes.
https://www.coreinfinity.tech
Apollyon
Korrektor
Humbi bumblis könyvpakk a témában, ha valakit érdekel: [link]
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
VágniValó
addikt
LastPass Suffers Another Security Breach; Exposed Some Customers Information
Well...
"Fuck the Kingsguard, fuck the city....Fuck the king!"
Xpod
addikt
Kérdés.
Mivel személyesen még nem találkoztunk, és gyanítom nem az egész söröző lett kibérelve, hogy fogjuk egymást magtalálni?
Vagy ez a beugró, hogy social engineering-gel kell megtalálni a helyes asztalt?
Vagy szerver, esetleg Mitnick kép lesz az asztalon?
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Igen, ez már bennem is felmerült.
Sztem írok privátot a résztvevőknek holnap délelőtt. Végül is csak hárman leszünk?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Egon
nagyúr
Megírtam a privátot annak a kemény kettő darab embernek, aki ígérte hogy ott lesz, és nem mondta le azóta.
A többieknek: last chance egy egyedülálló alkalomra történő jelentkezésre illetve részvételre: az I. pH! ITSEC találkozóból nem lesz több...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Lehet, hogy kevesen leszünk, de ehhez képest egy Hacktivity, vagy ITBN csak teadélután lesz.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Nagyon jó hangulatú sörözésen vagyunk túl, élmény volt két kollégát megismerni...
Sajnálhatja aki nem tudott eljönni...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
VágniValó
addikt
Köszönjük! + Külön köszönöm, hogy a privát üzenet miatt kiléptem a komfortzónámból.
Igaza volt az Interpolos kapcsolattartómnak, tényleg jó arcok vagytok.
[ Szerkesztve ]
"Fuck the Kingsguard, fuck the city....Fuck the king!"
Egyebkent ha meg valaki ramozdulna a CASP+ -ra, Udemy-n talan szerencset lehet probalni, nekem 15 euromba kerult a materia - meg 5 oran keresztul, de mas kurzusokat is be lehet huzni ennyiert.
https://www.coreinfinity.tech
VágniValó
addikt
Hja, az architect moka engem is erdekel - de az biztos, hogy a 4 domainbol 1 megrikat majd.
https://www.coreinfinity.tech
Xpod
addikt
Köszi, a sörözést.
Szerintem szuper volt.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Az elmult napokban tobbszor is belebotlottam valamibe, amit nem ertek, ezert megkerdezem az erto kozonseget: mi ertelme van Linux desktop rendszeren a nagyvilag fele kinyitni a 80, 443 portokat? Nem csak blogbejegyzesekben lattam, hanem meg nem-azsiai YT videokban is...
https://www.coreinfinity.tech
inf3rno
Topikgazda
Szerintem semmi.
Buliban hasznos! =]
Rimuru
veterán
De azokban a blogbejegyzesekben/videokban elmagyarazzak nem?
Vigyázat, csalok!
Apollyon
Korrektor
Mint nem kimondott hozzáértő, csak annyit jegyeznék meg, hogy amikor sok sok évvel ezelőtt még használtam Viber nevű csetet desktopon, ha tiltva volt a 80-as port, akkor nem tudott csatlakozni a szerverhez egyáltalán. Ma már nem világos hogy van, de talán valahol itt lehet a dolog elásva...
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.