Hirdetés

2024. március 29., péntek

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2023-08-02 13:42:36

LOGOUT.hu

Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.

Összefoglaló kinyitása ▼

Hozzászólások

(#601) inf3rno


inf3rno
Topikgazda

"A server running the Active Directory Domain Service (AD DS) role is called a domain controller. It authenticates and authorizes all users and computers in a Windows domain type network, assigning and enforcing security policies for all computers, and installing or updating software. For example, when a user logs into a computer that is part of a Windows domain, Active Directory checks the submitted password and determines whether the user is a system administrator or normal user.[4] Also, it allows management and storage of information, provides authentication and authorization mechanisms, and establishes a framework to deploy other related services: Certificate Services, Active Directory Federation Services, Lightweight Directory Services, and Rights Management Services.[5]" [link]

Ja úgy tűnik tényleg, hogy valamit valamiért. Baromi kényelmes ezen hozzáadogatni a dolgozókat és jogköröket, állítani a jelszavakat, szoftvereket, konfigurációt, de ha nem működik a szerver, akkor megáll az élet a szervezetnél, és valószínűleg még belépni sem tudnak a munkaállomásokra. Általában egy nagy cégnél ez nem gond, mert tudják a rendelkezésre állást garantálni, viszont itt ki van szervezve az IT, és akár több nap is eltelhet úgy, hogy nem tud dolgozni senki. Azt hiszem ez a része már túlmutat rajtam valamelyest és vagy a menedzsmentnek kéne meghozni ezt a döntést, vagy a törvény az irányadó.

[ Szerkesztve ]

Buliban hasznos! =]

(#602) _NCT válasza inf3rno (#601) üzenetére


_NCT
őstag

Én egy kockázatelemzést is készítenék ezek alapján és azt odatenni a vezetőség elé, mérlegeljék, ízlelgessék. Olvasom egy ideje mik vannak nálatok, hát le a kalappal a kitartásodhoz.

(#603) sh4d0w válasza inf3rno (#599) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Nem erre gondoltam, hanem arra, hogy ha csak syslog-ng, akkor nekik kell üzemeltetni, miközben nem értenek hozzá.

AD: a Windows client cache-eli a hozzáféréseket lokálisan, tehát bejelentkezni lehet, de a hálózati meghajtók persze nem lesznek elérhetőek, ha ledöglik a azerver.

https://www.coreinfinity.tech

(#604) Egon válasza inf3rno (#600) üzenetére


Egon
nagyúr

Nyilván kell két domain controller, ha az egyik kiesik a másik átveszi a szerepét.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#605) Egon válasza sh4d0w (#603) üzenetére


Egon
nagyúr

AD: a Windows client cache-eli a hozzáféréseket lokálisan,
Tegyük hozzá: alapértelmezetten. Ami persze egy biztonsági kockázat is egyben.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#606) sh4d0w válasza Egon (#604) üzenetére


sh4d0w
nagyúr
LOGOUT blog

És igazából még mindig nem golyóálló, de ennyi gépre a 3 DC már ágyúval verébre.

Ha kettő van, az egyiket elviszed maintenance-be, a másik meg ledöglik, ugyanott vagy, mint 1-el.

https://www.coreinfinity.tech

(#607) inf3rno válasza sh4d0w (#603) üzenetére


inf3rno
Topikgazda

Azok amúgy se. Ha kesselve vannak a bejelentkezések, akkor végülis nincs ilyen hátrány. Azért rákérdezek redditen is, kíváncsi vagyok. [link]

Buliban hasznos! =]

(#608) inf3rno válasza _NCT (#602) üzenetére


inf3rno
Topikgazda

Nincs igazán összehasonlítási alapom. Azt tudtam előre, hogy szinte nulláról kell építeni egy működő rendszert, szóval annyira ez a része nem meglepő. Ha hosszú távon nem lesz benne partner az informatika, akkor hagyom a francba az egészet, és januártól nem kötünk új szerződést, mert nélkülük nem tudok dolgozni csak elméleti síkon. Átvenni nem akarom az üzemeltetést tőlük, mert túl sok munka lenne túl kevés pénzért, és amúgy sem értek hozzá annyira, mint kellene.

Buliban hasznos! =]

(#609) inf3rno válasza inf3rno (#607) üzenetére


inf3rno
Topikgazda

No én erre közben kaptam választ, valóban kesseli. Utánajártam, és nem lejárási idő van erre a kessre, vagy legalábbis arról nem tudok, hogy konfigurálható lenne, hanem az utolsó 10 bejelentkezést gyűjti össze, és azon lehet állítani, hogy ne 10 legyen, hanem mondjuk 1. Már értem, hogy miért akar AD-t az informatikus, gondolom könnyebb nekik úgy megcsinálni, hogy több fiók legyen, és egyszerre változzon a jelszó minden gépen, ahogy Shadow kolléga is írta fentebb. Nekem végülis jó így is.

Arról mi a véleményetek, hogy összeszedem egy írásblokkolható adathordozóra a logokat, és otthon elemzem ki őket, hogy van e ismert támadó IP cím, C&C kommunikáció, riasztás, malware-re utaló shell exec, stb. bennük? Olyan szempontból szívesen elkerülném mindezt, hogy biztosítani kell itthon is a biztonságot, illetve megvan a veszélye egy adatszivárgásnak. Gondolom előtte érdemes átnézni őket, hogy lehet e bennük szenzitív adat.

[ Szerkesztve ]

Buliban hasznos! =]

(#610) sh4d0w válasza inf3rno (#609) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Millió okot tudnék mondani, miért ne tedd, de inkább hagyom, hogy megtapasztald :D

https://www.coreinfinity.tech

(#611) inf3rno válasza sh4d0w (#610) üzenetére


inf3rno
Topikgazda

Ja pedig abból lehetne tanulni. A tapasztalat az elég hosszadalmas...

Buliban hasznos! =]

(#612) sh4d0w válasza inf3rno (#611) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Először is: nem keverjük a céges és magán információkat. Másodszor: az otthoni géped nem felel meg a munkahelyi security standardeknek (normál esetben). Harmadszor: GDPR. Negyedszer: PCI. Ötödször: megfizetnek azért, hogy munkaidő után is ezzel foglalkozz? Hatodszor: hogyan biztosítod, hogy ha kikerül Tőled az adat, az nem hozzáférhető? Hetedszer: bizonyos incidensek azonnali reagálást követelnek, ezt hogyan valósítod meg, ha majd munka után, otthon elemzel?

https://www.coreinfinity.tech

(#613) Xpod válasza inf3rno (#601) üzenetére


Xpod
addikt

Bocsi, de amiket eddig írtál az alapján én azt javasolnám, hogy keressetek egy szakembert, mert úgy érzem IT üzemeltetői és IBF oldalól is vannak kezelendő hiányosságok. Legalább egy független auditot csináltassatok cselekvési tervvel, IBSz-szel. Könnyebb lesz a vezetőségen is átvinni, mert egy független személy csinálja, a cselekvési terv végrehajtása során lesz időd beletanulni az IBF témakörbe.
Az alapján amit eddig leírtál 15-20 fős polgármesteri hivatalra tippelek, akinek 3. biztonsági szintet és a 2-3 biztonsági osztályt kell teljesíteniük. Ezen a szinten a szabályzatok megléte, jogosultságok megfelelő kezelése, sokkal előrébb való, mint egy központi naplókezelő vagy naplógyűjtő rendszer bevezetése.
Kicsit úgy érzem csinálni akarsz valamit de nem tudod hol kezd.
Sajnos sok hasonlóval találkoztam a munkám során amikor tapasztalat, ismeretek hiányában elkezdtek valamit csinálni és a munka egy része felesleges pénz és idő volt.

Van IBSz nálatok? Tapasztalatok szerint egy használható, a jogszabályi előírások jelentős részét lefedő IBSz 50-60 oldalnál kezdődik.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#614) Egon válasza Xpod (#613) üzenetére


Egon
nagyúr

Tapasztalatok szerint egy használható, a jogszabályi előírások jelentős részét lefedő IBSz 50-60 oldalnál kezdődik.

És mennyinél végződik? ;] 100+ oldalas szabályozó rendszer ritkán jó, célravezető és használható.
Egyébként baromira nem mindegy, hogy a 41-es rendelet által megkövetelt csillió eljárásrend az IBSZ része, avagy külön doksi (incidenskezelést, BCP/DPR-t stb. nyilván célszerű külön kezelni).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#615) Xpod válasza Egon (#614) üzenetére


Xpod
addikt

Értem a célzást. :DDD
Sok éves piaci tapasztalat és NKI auditok alapján kb 75-80 oldal már elég részletes és még it ismeretekkel nem annyira rendelkezők számára (informatikuson kívül mindenki) érthető ahhoz, hogy alkalmazható legyen. Természetesen BCP, DRP, incidenskezelés, beszerzés, kockázatelemzés eljárásrendek, meg a kb 3-4 vezetői utasítás külön doksi.

(Persze vannak kivételek, láttam olyan szabályzatrendszert amit egy az egyben javasoltunk a kukába tenni, mert pl az IBSZ kb 70%-a az jogszabály szövege volt bemásolva.)

(Most kellett IBSz-t felülvizsgálnom (3. bizt. szint és osztály) egy szervezetnél, kb 140 oldalba a BDP és DRP doksikon kívül az összes eljárásrendet bele lehet sűríteni. Elég húzós meló volt, de ők minden áron így szerették volna, mert eddig is így volt és ragaszkodtak hozzá.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#616) inf3rno válasza sh4d0w (#612) üzenetére


inf3rno
Topikgazda

Ja nem úgy gondoltam, hogy egy random gépre itthon, hanem külön építenék erre a célra egyet. A hálózat biztonságon most dolgozom itthon, ahogy az OS-ek cseréjén és hardeningen is. Valószínűleg hosszú távon jóval magasabb szint lesz itthon, mint bármelyik szervezetnél, ahol dolgozom. Vállalkozóként dolgozom, nincs ilyenem, hogy munkaidő, és nem is tervezem, hogy visszamegyek valaha is alkalmazottnak bárhová. Ha valami azonnali reagálást követel, akkor vagy olyan, ami nekik tűnik fel, és behívnak, vagy ha a naplókból derül ki és munkaidőn kívül vagyunk, akkor kinyittatom velük az épületet és a szerver szobát.

Buliban hasznos! =]

(#617) inf3rno válasza Xpod (#613) üzenetére


inf3rno
Topikgazda

Szerintem félreérted a munkaszervezésem, általában nem sorban szoktam haladni, hanem több dolgot csinálok párhuzamosan.
IBSZ természetesen van, oldalszámra nagyjából annyi, amennyit írsz, a felülvizsgálata folyamatban van, vannak dolgok, amikkel ki szeretném egészíteni.
Maga a központi naplózás nem prioritás, csak mellékszál, amit viszont súlyosnak tartok, és úgy gondolom, hogy azonnal reagálni kell rá, hogy a felhasználók egy része tudja egymás jelszavát és egymás fiókjaiban lépkednek be. Aztán ha már ezt megoldjuk pl egy AD-vel, akkor jó lenne legalább a naplókat összeszedni egy a munkaállomásoknál védettebb helyre, mert onnan bármelyik malware lazán törli őket, hogyha esetleg egy incidens van, akkor vissza lehessen nyomozni, hogy miből és kitől indult.
Szerintem az idei évben elmolyolok az itteni rendszerrel, bőven lesz időm beletanulni az IBF témakörbe, annyi munkát látok magam előtt. Ha viszont egyszer rendbe raktam, akkor onnantól már nem lesz olyan sok meló vele, és csinálhatok mellette másikat. Nagyjából ez a terv. Fizetni biztosan nem fognak más cégnek auditért, mert ennyi erővel szerződést is bonthatnánk, aztán megcsinálja más helyettem. Betanítani sem fognak mások konkurenciának. Nekem kell kitapasztalni.

[ Szerkesztve ]

Buliban hasznos! =]

(#618) inf3rno


inf3rno
Topikgazda

Ja amúgy a cselekvési terv az jó ötlet, én is gondoltam rá, hogy lassan össze kellene írni a dolgokat, de amíg az IBSZ felülvizsgálata nincs meg, addig nehéz bármilyen tervet prezentálni. Ez a fiókos AD-s móka csak azért lett külön szál, mert annyira súlyos hibának tartom, hogy muszáj foglalkozni vele kb. azonnal.

Buliban hasznos! =]

(#619) Xpod válasza inf3rno (#617) üzenetére


Xpod
addikt

Valami jobban konfigurálható vírusvédelem van? Azzal megoldható az url szűrés, adathordozók letiltása, vírusvédelem, spam szűrés, tűzfal. Így a vírusok, malware-ek jelentős része ellen van védelem. AD-vel megoldodik a jogok kezelése, 3 havi jelszócsere, erős jelszó használat, fájlshare hozzáférés korlátozás. A userek lokális admin jogainak visszavonásával a naplók védelme is alapszinten megvalósul. Ez kb a kezdet. Egy 15-20 fős szervezetnél azért nem pilótavizsga az AD összerakása.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#620) inf3rno válasza Xpod (#619) üzenetére


inf3rno
Topikgazda

Az AD-vel van tapasztalata a cégnek, megoldják, ha sikerül összeszedetnem, hogy ki melyik géphez és milyen szoftverekhez akar hozzáférni. Ami kimondottan frusztráló, hogy extrém lassan haladnak a dolgok minden téren, ezért is megyek be holnap, hogy egy kicsit cseszegessem őket.

Buliban hasznos! =]

(#621) Xpod


Xpod
addikt

Az AD-vel van tapasztalata a cégnek, megoldják, ha sikerül összeszedetnem, hogy ki melyik géphez és milyen szoftverekhez akar hozzáférni.

Hogy mi van? Az AD-nek pont az egyik lényege, hogy a user a saját accountjával bármelyik gépre be tud lépni, de csak a saját profiljába, saját nevével éri el a fájlokat.

Miért is kell olyan doksi, hogy ki melyik gépet és programokat használhatja és ezt miért is kell az AD userhez hozzárendelni?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#622) inf3rno válasza Xpod (#621) üzenetére


inf3rno
Topikgazda

Van olyan hardver, ami csak néhány gépben van, és van olyan szoftver is, és csak néhány embernek van hozzáférése ezekhez a gépekhez, és nem szeretnénk ezen változtatni. Egyébként úgy olvasom, hogy az AD már nagyon régóta tud ilyet is: [link]

Buliban hasznos! =]

(#623) Xpod válasza inf3rno (#622) üzenetére


Xpod
addikt

Igen, ez is megvalósítható. De van annyi hozzáadott értéke, hogy érdemes vele foglalkozni? Egyszerre annyi változást akarsz csinálni, hogy ennek könnyen bukás lehet a vége.
Továbbra is audit majd cselekvési terv amit javaslok.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#624) inf3rno válasza Xpod (#623) üzenetére


inf3rno
Topikgazda

Én nem érzem ezt egyáltalán soknak, a jelenlegi működéshez próbálom igazítani a biztonságot, ennyi történik. Ha valaki nem dolgozik egy gépen soha, akkor miért kéne, hogy hozzáférése legyen bármihez is rajta?

Buliban hasznos! =]

(#625) Xpod válasza inf3rno (#624) üzenetére


Xpod
addikt

Egyrészt attól, hogy be tud lépni a gépre a saját userével, még nem fér hozzá a másik user adataihoz. A programokat hiába indítja el, ha nincs usere hozzá nem fér hozzá az adatokhoz.

Másrészt, a helyettesítés, munkakör módosítás, esetleg a gépcsere esetén felesleges feladatokat pakolsz a rendszergazda vállára, nem fognak szeretni.

Meglátásom szerint a jogok dokumentálását és az AD kialakitást/karbantartást feleslegesen bonyolítod.

Nem árt, ha az IBF és a rendszergazda nem ellenségek.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#626) inf3rno válasza Xpod (#625) üzenetére


inf3rno
Topikgazda

Kösz a tanácsot, igyekszem majd ezt is figyelembe venni. Holnap beszélek a jegyzővel, hogy ő hogy látja, hogyan lehetne jól szerepkörökre bontani a gárdát és utána újra az informatikusokkal, hogy milyen ütemezéssel lehetne ezt bevezetni. Ami nálam igény biztonsági szempontból, és amiből nem engedek, hogy mindenki csak a saját fiókjába tudjon belépni.

[ Szerkesztve ]

Buliban hasznos! =]

(#627) Xpod válasza inf3rno (#626) üzenetére


Xpod
addikt

Az esetek többségében az SZMSZ alapján célszerű az AD user csoportokat és a fileshare-t kialakítani. Rendszergazda jogok visszavonása, minden adathordozó letiltása és csak annak engedélyezése aki meg tudja indokolni, hogy miért kell neki, majd url szűrés, kb ez a sorrend. A VLAN, eszköz felügyelet, patch management, 802.1x/ MAC szűrés, stb csak ez után.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#628) inf3rno válasza Xpod (#627) üzenetére


inf3rno
Topikgazda

Az SZMSZ-t most olvasom pont emiatt. A felhasználói csoportok már megvannak a megosztott mappák miatt szükség volt rájuk, valszeg tovább lehet vinni AD-re ugyanazt, a rendszergazdai jogok így sincsenek sehol normál felhasználóknál. Igen, a hálózat szegmentálására gondoltam, mint következő lépésre, de ahhoz majd hardver is kelleni fog, és eléggé odébb van még. A többinek, amit említettél majd utána járok, hogy hogyan áll. Nem mondanám, hogy nulla védelmünk van, de azt sem, hogy szakértők lennének a rendszergazdák ilyen téren. Van 1-2 nyilvánvaló hiba, amit korrigálok, mert úgyis úgy lesz, minden mást az IBSZ és az osztályok felülvizsgálata után csinálok majd.

[ Szerkesztve ]

Buliban hasznos! =]

(#629) sztanozs válasza Egon (#605) üzenetére


sztanozs
veterán

Laptopok esetében (főleg VPN) túl sok lehetőség nincs. Cached AD + Bitlocker...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#630) Egon válasza sztanozs (#629) üzenetére


Egon
nagyúr

Na ja, igazad van, alapból még mindig asztali gépekben és lokális hozzáférésekben gondolkodom... :R
Mondjuk nálunk a laptopok nincsenek AD-ba léptetve, és jumping host van.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#631) inf3rno


inf3rno
Topikgazda

Access control terén egyébként ez az RBAC a bevett gyakorlat manapság mindenhol? Sok éve nézegettem olyat, hogy ABAC és PBAC, amik elvileg fejlettebbek, és attribútumok alapján lehet szabályokat hozni velük, ahelyett, hogy csak azt mondanánk, hogy ilyen szerepkörben lévők ehhez férhetnek hozzá. Használja valaki közületek ezeket? Mik a tapasztalatok? Mikor éri meg továbblépni az RBAC-ról?

Buliban hasznos! =]

(#632) sztanozs válasza inf3rno (#631) üzenetére


sztanozs
veterán

Régesrég szerettünk volna PBAC-t bevezetni (előző előtti munkahelyen). Hát nem írom le hosszan mekkora szívás volt; röviden:
Borzasztóan, elnyúlósan hosszan nagy.

Ha jól tudom (akkorra már nem voltam ott), 2-3 év után kidobták a kb ennyi idő alatt bevezetett rendszert, ami fullban megvalósította a PBAC-t.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#633) inf3rno válasza sztanozs (#632) üzenetére


inf3rno
Topikgazda

Nekem is úgy tűnik, hogy nem kicsit túlbonyolított. Egészségügyi példát láttam rá. Hát ember legyen a talpán, aki összeszedi a szabályokat hozzá.

Buliban hasznos! =]

(#634) inf3rno válasza Xpod (#627) üzenetére


inf3rno
Topikgazda

Beszélgettem közben a jegyzővel az osztályozás felülvizsgálatáról és hogy csináljunk egy RBAC jellegű rendszert, szedjük össze a szerepköröket, és hogy ki mihez férhet hozzá, aztán majd a rendszergazdákkal megtárgyaljuk, hogy mi legyen a konkrét megvalósítás. Úgy érzem, hogy haladunk, úgyhogy ez egy jó nap volt.

Ami szóba került még, hogy le kéne papírozni ezeket a javaslatokat. Létezik erre valami forma nyomtatvány, vagy ti milyen formában szoktátok? Az a bajom, hogy információ hiány van sok dologgal kapcsolatban. Pl hogy van e VPN szerverünk vagy nincsen. Ha nincsen, akkor a laptopok miatt kell egy, ha van, akkor meg nincs teendő. Nekem az a benyomásom, hogy egy cselekvési tervben nem szerepel az a szó, hogy "ha", de lehet én gondolom rosszul. Én inkább az ilyen eldöntendő dolgokat valami issue trackerben szedném össze, és csak ha bejött az információ, akkor csinálnék cselekvési tervet belőlük.

Egyébként is kellene valamilyen issue tracker ez alá az egész alá, mert lassan annyi minden felgyűlik, hogy már nehezen látom át, hogy mivel kéne foglalkozni milyen határidővel. Talán nem elvetélt ötlet betenni egy verziókezelőt mondjuk egy git-et és a hozzá való issue trackert, pl gitea-t használni, de mondjuk egy DOC vagy egy PDF azért elég rosszul verziózható egy gittel, amit inkább forráskód verziózásra fejlesztettek. TODO list, amire még gondoltam, de az meg túl fapados. Esetleg tudtok valamit, amit direkt ilyen célra fejlesztettek?

[ Szerkesztve ]

Buliban hasznos! =]

(#635) sztanozs válasza inf3rno (#633) üzenetére


sztanozs
veterán

Szerintem igazából egyik sem megvalósítható (RBAC/ABAC/PBAC) a gyakorlatban.
Sokkal fontosabb, hogy az összes hozzáférés regisztrálva (és jóváhagyva legyen) mind az Access Ownerrel (ha high risk access), mind az adott személy funkcionális főnökével.
Ezek után a hozzáféréseket mind az Access Ownerek, mind a Managerek rendszeresen átnézzék és a szükségtelen hozzáféréseket visszavonják (és a visszavonások gyakorlatban is megtörténjenek).

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#636) inf3rno válasza sztanozs (#635) üzenetére


inf3rno
Topikgazda

Ja ezt mindenki kiemeli, hogy figyelni kell rá, hogy ne ragadjon be így ember és hogy ez szabályozva legyen, mert az elégedetlen munkavállaló elég nagy kockázat.

Buliban hasznos! =]

(#637) Xpod válasza inf3rno (#634) üzenetére


Xpod
addikt

"Ami szóba került még, hogy le kéne papírozni ezeket a javaslatokat. Létezik erre valami forma nyomtatvány, vagy ti milyen formában szoktátok?"
Hivatalos formanyomtatvány nincs, nem is kell. A dokumentum tartalmát, kinézetét egyedileg határozza meg mindenki.

"Az a bajom, hogy információ hiány van sok dologgal kapcsolatban."
Erre jó az audit, mert ott kiderülnek a dolgok, mi van és mi nincs.

"Pl hogy van e VPN szerverünk vagy nincsen. Ha nincsen, akkor a laptopok miatt kell egy, ha van, akkor meg nincs teendő"
Ez mondjuk nem igaz, hogy nincs teendő. Annak megfelelőssgét is ellenőrizni kell. Mondjuk egy sima PPTP szervert úgy vágnék ki az ablakon, hogy kerettel együtt menne.

Cselekvési tervben nincs ha, ott csak a hiányosságok kezelésére előírt megoldás szerepel + 1-2 szükséges infó.

"Egyébként is kellene valamilyen issue tracker ez alá az egész alá, mert lassan annyi minden felgyűlik, hogy már nehezen látom át, hogy mivel kéne foglalkozni milyen határidővel"
Na erre való a kockázatelemzés, hogy meghatározd a prioritásokat, határidőket.

Cselekvési tervnek egy sima Excel tábla vagy Wordfájlban egy táblázat bőven elég. Úgyis csak 1 ember módosíthatja a tartalmát.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#638) inf3rno válasza Xpod (#637) üzenetére


inf3rno
Topikgazda

"Erre jó az audit, mert ott kiderülnek a dolgok, mi van és mi nincs."
Ja én arra gondoltam, hogy megkérdem a rendszergazdát, hogy mi hogyan van beállítva, vagy megkérem, hogy adjon jogot a megnézésére. :D

"Ez mondjuk nem igaz, hogy nincs teendő. Annak megfelelőssgét is ellenőrizni kell. Mondjuk egy sima PPTP szervert úgy vágnék ki az ablakon, hogy kerettel együtt menne."
Ja igazad van.

"Cselekvési tervben nincs ha, ott csak a hiányosságok kezelésére előírt megoldás szerepel + 1-2 szükséges infó."
Én is így gondoltam.

"Na erre való a kockázatelemzés, hogy meghatározd a prioritásokat, határidőket."
Jó, de milyen dokumentum ennek a kimenete? Én azt tudom, hogy például szoftverfejlesztésben vagy akár csak security-ben a ticketingnél erre vannak célszoftverek, amiknél hozzáadhatsz egy új issuet vagy ticketet és végig lehet követni, hogy hogyan oldottad meg a problémát, milyen határidőt tűztél ki, mikor zártad le. Biztos, hogy létezik erre is célszoftver, aminél hozzá tudom csapni a feladatokat és a határidőket vagy legalább a prioritásokat. Az excelt messzire kerülöm ilyen célokra. Legrosszabb esetben gitea lesz és a doksikat gittel verziózom egy repoban, csak akkor HTML vagy MD formátumok kell használnom náluk, hogy szöveges, ne bináris legyen. Viszont az issue trackereket sem kimondottan erre találták ki, kell, hogy legyen valami jobb. Rákérdezek máshol, kíváncsi vagyok.

[ Szerkesztve ]

Buliban hasznos! =]

(#639) Xpod válasza inf3rno (#638) üzenetére


Xpod
addikt

"Ja én arra gondoltam, hogy megkérdem a rendszergazdát, hogy mi hogyan van beállítva, vagy megkérem, hogy adjon jogot a megnézésére."
Igen, erről szól az audit. Képernyőképet és reportot kérsz a beállításokról, ellenőrzök a dokumentációk meglétét, és annak tartalmát.

A kockázatelemzés kimenete a cselekvési terv prioritás oszlopa, valamint a feladat elvégzésének határideje. Amit egy egyszerű excel táblában meg lehet csinálni arra ne akarj szoftver keresni, mert csak szívatod magad és telik az idő vele feleslegesen.

A Ticketing rendszernek tök más a feladata, az audit illetve a security nem szoftver fejlesztés vagy üzemeltetés. Más szemlélet kell hozzá. Persze használhatsz ilyen szoftvereket, de ha épp összedőlni készül a ház, biztos a melléképület építéséhez akarsz hozzáfogni?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#640) inf3rno válasza Xpod (#639) üzenetére


inf3rno
Topikgazda

Szerintem eléggé túlbecsülöd, hogy mennyire nehézkes egy ilyen szoftver használata. Egyáltalán nem az, és én ezekhez szoktam az elmúlt 10-15 évben.

Buliban hasznos! =]

(#641) Egon válasza inf3rno (#640) üzenetére


Egon
nagyúr

Nem erről van szó, egyszerűen felesleges és nem célszerű (pontosabban másik fázisban célszerű).
A folyamat a következő: kockázatelemzés, a nem elfogadható kockázatok priorizálása, kezelésük meghatározása és beütemezése (ez már a cselekvési terv), és végül az egyes feladatokról már lehet ticketeket gyártani.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#642) inf3rno válasza Egon (#641) üzenetére


inf3rno
Topikgazda

Értem. Hát én szoftvernél is úgy szoktam, hogy már a terveket is dokumentálom, amin agyalok, mert sokszor akkora méretű a dolog, hogy nem lehet minden részletet fejben tartani. Ott sem szokás ez, vagy UML diagramokat szokás csinálni, esetleg már eleve teszteket írni. Ízlések is pofonok. Én mindenesetre kipróbálom ezt a Jirát, amit ajánlottak, aztán meglátom, hogy kell e ez nekem a szekus munkához is, vagy csak a szoftvereshez. [link]

Buliban hasznos! =]

(#643) inf3rno


inf3rno
Topikgazda

Közben új dolog, hogy valaki több száz önkormányzatnak kiküldött közérdekű adatigénylést. Biztos sok ideje van, vagy szivatni akarja az embereket, passz. Hozzánk is jött ilyen, de az összes környező önkormányzatnak is. Szerződéseket, szabályzatokat kérnek, de csak holnap fogok konkrétumokat tudni.

[ Szerkesztve ]

Buliban hasznos! =]

(#644) Xpod válasza inf3rno (#642) üzenetére


Xpod
addikt

Miért jó ha egy doksiból van 15-20 verziód? A dokumentumok változáskövetéséhez mondok jobb szoftvert. Word, Excel bekapcsolt változáskövetéssel. 1 doksi, de minden változás percre pontosan benne van.

Erre mondtam, hogy az audit téma tök más munkamódszert, gondolkodást igényel. Ha valamit 1 nap alatt meg lehet oldani papíron ceruzával arra minek bevezetni új IT rendszert, szolgáltatást? Nem csoda, ha a rendszergazdáknak nem akaródzik segiteni.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#645) Xpod válasza inf3rno (#643) üzenetére


Xpod
addikt

Nem szerződést, csak kivonatot, plusz szabályzatokat, és tanulmányt.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#646) inf3rno válasza Xpod (#644) üzenetére


inf3rno
Topikgazda

"Miért jó ha egy doksiból van 15-20 verziód? A dokumentumok változáskövetéséhez mondok jobb szoftvert. Word, Excel bekapcsolt változáskövetéssel. 1 doksi, de minden változás percre pontosan benne van."

Azért, mert tudom belőle, hogy melyik módosítás mikor és miért került bele ellentétben a word verziókezelésével, ami full automatikus, és nem írok hozzá megjegyzést.

"Ha valamit 1 nap alatt meg lehet oldani papíron ceruzával arra minek bevezetni új IT rendszert, szolgáltatást? Nem csoda, ha a rendszergazdáknak nem akaródzik segiteni."

Értettem elsőre is, hogy szerinted a papír és ceruza vagy az MS Office jobb egy project tracking rendszernél, amit direkt ilyen célra terveztek, de továbbra sem értek egyet vele. És ez úgy az elmúlt 10 év tapasztalata mióta gitet és githubot használok. Számomra nyilvánvaló, hogy elég hasonló elveket rá lehet húzni bármilyen projektre és tasklistre. Azért a vitakultúrádról sokat elmond, hogy egy ettől teljesen független témát próbálsz beemelni, mint érvet, mert a kérdés a munkavégzésemre vonatkozik, mint vállalkozó úgy általában, amit felhoztál, az meg az információbiztonságra egy konkrét szervezetnél, és úgy kb. köszönőviszonyban nincs a kettő egymással.

[ Szerkesztve ]

Buliban hasznos! =]

(#647) Xpod válasza inf3rno (#646) üzenetére


Xpod
addikt

Én csak a saját tapasztalataimat írtam le segítő szándékkal a doksi verziózáshoz. Elvégre folyamatosan "best practice" megoldásokat kérdezel. Sok sikert a dokumentum kezelőhöz.

A verziókövetést azt hittem csak ennél az egy ügyfelednél akarod bevezetni, nem pedig saját magadnál. Erre írtam a rendszergazda részt.

"Értettem elsőre is, hogy szerinted a papír és ceruza vagy az MS Office jobb egy project tracking rendszernél, amit direkt ilyen célra terveztek, de továbbra sem értek egyet vele."
Nem is kell egyet értened. A project tracking rendszer tök jó, csak szerintem ágyúval verébre lenne ebben az esetben, de mivel írtad hogy nem csak erre az egy ügyfélre alkalmaznád, lehet beválik.

Nem tudtam, hogy vitázunk. Én abban a hiszemben voltam, hogy tapasztalatok alapján segítünk a feladatod minél egyszerűbb elvégzésében. De ezek szerint tévedtem.

Sok sikert a munkádhoz.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#648) sh4d0w válasza inf3rno (#646) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Ha verziókezelés kell, használj git-et. Ha syncelsz Githubra, vagy más online szolgáltatásra, még backupod is lesz.

https://www.coreinfinity.tech

(#649) inf3rno válasza Xpod (#647) üzenetére


inf3rno
Topikgazda

Jó, akkor ezek szerint én kezeltem túl érzékenyen a dolgot, bocsánat!

Buliban hasznos! =]

(#650) inf3rno válasza sh4d0w (#648) üzenetére


inf3rno
Topikgazda

Ja szoktam gittel verziózni, hosszú távon mindenkinek melegen ajánlom, nagyon jó, főleg ha csapatban kell szerkeszteni bármilyen szöveges formátumú dokumentumot, forráskódot, stb. A privát repoba syncelés is jó ötlet backupra, ha olyan a dolog, ami felmehet felhőbe.

[ Szerkesztve ]

Buliban hasznos! =]

Copyright © 2000-2024 PROHARDVER Informatikai Kft.