Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Információbiztonság:
"A bizalom alapja az ellenőrzés."
Krasznay Csaba
"Az információbiztonság sosem lehet önmagáért, vagy szakterületért. Az információbiztonságnak mindenkor az üzleti célok elérését kell szolgálnia, átfogóan. Hogy egyes területeken milyen technikai megoldások szükségesek, részletkérdés."
sh4d0w
"A kiberbiztonsági ipar a bizalomról szól. Például ha egy ezzel foglalkozó szervezet elrejti a korábbi incidensek nyomait, illetve, hogy hogyan kezelték azokat, akkor a bizalom könnyen szerte foszlik, és szinte lehetetlen visszaszerezni. Ha ez válik a gyakorlattá, akkor általában az állam közbelép, és jogszabályt alkot, illetve hatósági ellenőrzést tesz kötelezővé, hogy helyreálljon a bizalom, amit viszont az iparág szereplői nem kedvelnek."
inf3rno (sh4d0w hozzászólása alapján)
"Mindenkinél vannak csontvázak a szekrényben, Windows EOL szerver meglapulva valami rejtett zugban. Ezek időről időre előkerülnek incidensek kapcsán. Valahol az élet velejárói, hogy vannak incidensek, főleg ha azt nézzük, hogy nincs tökéletes védelem.."
inf3rno (section9 hozzászólása alapján)
"Kockázat arányos védelmet alakítunk ki, nem lövünk verébre ágyúval, nem költünk háromszor annyit az adat vagy szolgáltatás védelmére, mint amennyit az ér. A védelem olyan erős, mint a leggyengébb láncszem benne, ezért a kockázatértékelés alatt meghatározott minimum védelmi szint az információs rendszer minden elemére garantálva kell, hogy legyen. Ez igaz akkor is, amikor például költöztetjük az adatot, akkor sem biciklis futárral visszük a csilliárd dollár értékű adatot egyik helyről a másikra, tehát időben és térben is folytonosnak kell lennie a védelemnek. Az ilyesmit előre meg szoktuk tervezni."
inf3rno
Vonatkozó jogszabályok:
NIS direktíva
CIP direktíva
Ibtv.
BM41
Adatvédelem:
"Az adatvédelem sosincs önmagáért, mindig valamilyen szakmai probléma megoldásában segédkezünk, hogy a vele kapcsolatos adatkezelés jogszerű legyen. Minden adatvédelmi problémára létezik korrekt megoldás, ha hajlandóak vagyunk ráfordítani a szükséges időt."
inf3rno
"Az adatvédelem kialakításánál a lényeg, hogy az általunk kezelt személyes adatok mindegyikénél meglegyen a cél és a jogalap az adat kezelésére. Cél vagy jogalap nélkül az adatkezelésünk jogszerűtlen, törvény ellenes. Kell szükségességi vizsgálat minden adatkezeléshez, amiben bizonyítjuk, hogy a cél eléréséhez szükség van a személyes adat kezelésére, és nem oldható meg kevesebb személyes adat kezelésével. Például magánszemélyeknek való számlázáshoz törvény szerint szükség van névre és lakcímre legalább, és ezek nélkül nem megoldható, vagy az elektronikus kapcsolattartáshoz, a felhasználók egyedi azonosításához, a felhasználó ellenőrzéséhez, hogy természetes személyről van szó és nem botról, a számla elküldéséhez és még egy csomó másik dologhoz szükség van e-mail címre, és bár némelyik megoldható ezek közül a rendszeren kívüli személyes adat kezelése nélkül is, pl. generált felhasználói név és jelszó az azonosításhoz, összességében ezeket a célokat csak jóval több személyes adat bekérésével, jóval körülményesebben tudnánk elérni."
inf3rno
