-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
Egon
nagyúr
Nyilván sokkal jobb egy 7/24-es SOC-ban 3 műszakban dolgozni - oh wait...
Legalábbis arról ment a diskurzus, hogy pályakezdő ITSEC-es hol helyezkedjen el - márpedig nyilván nem L3 szinten fog kezdeni.
Meg az is biztos sokkal vidámabb, hogy ülhet bent egy sok-sok ipari tévével zsúfolt szobában, míg az etikus hacker vidáman dolgozik otthonról. Jah, és jó is az amikor vasárnap este hét órakor hívnak fel egy azonnali-kritikus hibaüzenettel, mondjuk L2-es szakértőként, hogy oldd meg...
Persze a fentiek unalmasnak nem nevezhetők, ez kétségtelen (leszámítva a 3 műszakban történő üldögélést, amikor adott esetben órákig-napokig semmi nem történik egy SOC-ban - persze az ilyen okoskodások nem tesznek különbséget blue és red team között, én alapvetően az előbbiből indulok ki): nyilván van aki szeret nyitott szájjal szaladgálni abban az bizonyos erdőben..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Egon
nagyúr
Nem tudom hogy a kies Angliában mi a módi, kis hazánkban valahány SOC-ot láttam, ott benn ültek a népek.
Egyébként vélhetőleg azért ülnek benn, mertt otthon ritkán van 6-10 monitorod, hogy egyszerre lásd legalább a fontosabb dashboard-okat...
7/24-es szolgáltatást elég nehéz nem 3 műszakban nyújtani (persze lehet két 12 órás műszak is... )."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Ez szerintem inkább visszavezethető arra, hogy a munkáltatók nem szeretik, ha a munkaerő nincs szem előtt - tudod, ha a főnök nem látja a melóst, akkor az biztos lóg.
Nálunk egyébként az van, hogy ha otthonról dolgozol, akkor a cég ellát minden eszközzel, ami a munkához kell: laptop, dokkoló, monitorok (2-3), rendes irodai szék (tudom, ez megint nem divat otthon). Ha a SOC tagjai elosztják egymás között a dashboardokat, akkor bőven lefedhető mindegyik. Ezenkívül a világ egyéb részein lévő IT-k szintén nézhetik azokat és riaszthatják az oncallost, ha kell.
Szóval sem bemenni nem kell, sem 3 műszakra nincs szükség.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Bubee82
őstag
Jo lesz oda egy 49" ultrawide monitor isSzóval sem bemenni nem kell, sem 3 műszakra nincs szükség.
Epp ma volt interjum egy Service Desk Technician melora. Globalis ceg, hibrid muszakban dolgoznak az ops teamben, inkabb tavol az irodatol (ejszakai muszak es hetvege), mint az irodaban. Csak heti kb. 2x kell bemenni, hetkoznap es nappal. 2 on 1 off 2on 3off.
[ Szerkesztve ]
-
Egon
nagyúr
Namost ebből amit felsoroltál, kábé nulla feltétel teljesül itthon.
Nem csak multi cégek léteznek (vagy ha éppen multi, sok az EU only), így az pláne nem megoldás a 7/24-re, hogy majd az indiai meg az USA-beli kolléga lefedi a délutános meg az éjszakai műszakot."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Egon
nagyúr
No megkérdeztem az OSCP-s dolgokat.
Csak Windows és Linux van, egzotikus oprendszer nincs (túl sok variáns se van: elvileg csak Windows 10 és általában Debian alapú rendszerek vannak).
Az ismerősöm melegen javasolja, hogy használd ki maximálisan a labor-időt, az összes gyakorló feladatok oldd meg (és értsd is meg, hogy mi történik): ha így teszel, akkor nem fog problémát okozni a vizsga, sőt, szerinte a 24 órás etap akár 5-6 óra alatt is teljesíthető (neki értelemszerűen megvan ez a vizsga, az OSWP is)..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Bubee82
őstag
Breaking [link]
Elso talalat a Kaseya-ra Nem szarakodik a versenytars, most aztan dolni fog a biznisz, velhetoen
-
inf3rno
Topikgazda
Nagy a csend itt a Pegazus kapcsán. Ti mit gondoltok róla?
Buliban hasznos! =]
-
Normál esetben azt mondanám: a titkosszolgálatok munkája, hogy jól meghatározott és rendkívül szűkre szabott határok között, minden esetben bírói engedéllyel, célzottan végezzenek lehallgatásokat.
Azaz nem úgy, ahogy a magyar szolgálatok csinálják, ebbe a teljes államvezetésnek bele kéne buknia.
https://www.coreinfinity.tech
-
-
-
-
-
inf3rno
Topikgazda
Ez így nekem nem túl konkrét, de gondolom nem fognak kiderülni ilyen részletek a nyomozásról. Csak azért lett volna érdekes, mert az NSO szerint a Pegasus nem hagy ilyen nyomokat. Nyilván nekik meg érdekük, hogy védjék a cég becsületét, különben lelépnek a vásárlóik.
[ Szerkesztve ]
Buliban hasznos! =]
-
Valójában végig kellene olvasni az AI jelentését, ott sok felmerülő kérdésre válasz van.
Én most éppen nyaralok, úgyhogy ez egy ideig részemről nem fog megtörténni.
Hogy az NSO mit állít - szerintem érdemes hanyagolni. Bizonyított, hogy az izraeliek nagyon ügyesek és ezzel egyidőben tudnak nagyon balf.aszok is lenni - lásd Stuxnet.
Egyébként meg igen, teljes részletességgel sosem fogjuk megtudni a részleteket.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Vállalkozásnál a TEÁOR (vagy minek nevezik most) számok azok micsodák EIV-re és DPO-ra? Nem igazán találtam eddig semmit, de még nézegetem.
Buliban hasznos! =]
-
inf3rno
Topikgazda
FEOR számot már találtam: [link]
2159 Egyéb adatbázis- és hálózati elemző, üzemeltető
Jellemző munkakörök:
Adatbiztonsági felelős
Adatbiztonsági mérnök
Adatvédelmi és -biztonsági felelős
Biztonsági elemző, adatfeldolgozás és informatika
Hozzáférési ellenőr, adatfeldolgozás és informatika
Informatikai auditorÖVTJ számnál ugyanezt már nem írják hasonló elnevezésű dologra. Azt sem értem, hogy minek csillió féle szakma kód, miért nem lehet csak egy???
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Jó, aki ugyanígy vállalkozóként szeretné, annak azt javaslom, hogy hagyja a francba a katalógusokat, mert csak elmegy a semmire a fél napja. Kell keresni egy céget vagy vállalkozót, aki ezzel foglalkozik, és lekérdezni a tevékenységi köreit a NAV-tól: [link]
A Hanganovra pl ezt dobta:
TEÁOR'08:
8559 M.n.s. egyéb oktatás
7022 Üzletviteli, egyéb vezetési tanácsadás
6311 Adatfeldolgozás, web-hoszting szolgáltatás
6209 Egyéb információ-technológiai szolgáltatás
6203 Számítógép-üzemeltetés
6202 Információ-technológiai szaktanácsadás
6201 Számítógépes programozásElvileg a TESZOR és az ÖVTJ ebből származik, és csak plusz számjegy(ek)et csapnak hozzá a végéhez. [link]
A 2159 FEOR, amit találtam, annak úgy tűnik nincs megfelelője a TEÁOR rendszerében. A FEOR elvileg foglalkoztatottak munkaköreit írja le, a TEÁOR pedig vállalkozók, cégek tevékenységeit. Szóval szerintem marad az, hogy mint a Hanganov én is beikszelem a fentiekből azt, ami hozzá kapcsolódik a szakmához, aztán kész. Remélhetőleg csak valami infos kamarának kell majd fizetni évi 5 pénzt és nem 20 féle kamara húz le majd miatta egyszerre.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Ja, így legalább 10-re van szükség. A kamaráknál is ugyanezt látom. Van kereskedelmi kamara, ahova elvileg kötelező a tagság meg vannak szakmák szerinti kamarák, amik szintén lehúzzák az embert. Ezek után már megnézem, hogy mit nyújtanak, ha kötelező fizetnem. Bár kétlem, hogy sok hasznuk lenne.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Azt bírom még, hogy minden ilyen fosnál az egészet magától értetődőnek veszik. Pl itt van a csoda kereső mind a 4 számhoz, ahol egy szó nem esik róla, hogy melyik szám mire jó, vagy egyáltalán mi a franc ez az egész. [link] Nagyjából ugyanezt tapasztalom a kamaránál. Eléd hánynak valamit, aztán találd ki, hogy mit kell csinálni. Mondjuk ott legalább egy törvényt beidéztek, hogy a kereskedelmi és iparkamarába kötelező regisztrálni minden vállalkozónak, kivéve ha mezőgazdasági a fő tevékenysége. Az adózás a KATA előtt ugyanilyen volt. Illetve a magyarorszag.hu weboldalon is ugyanezt látom, hogy teljesen következetlen az egész, és talán 20 menüpont mélységben megtalálom azt, amit keresek. Fájdalmas az egész, de ez van. Az egész aktatologatásnak pont ez a lényege, hogy sok legyen az aktatologató és hogy belefuss egy csomó random szabályba és fizesd a büntit, kivéve ha te találtad ki a szabályokat a haverjaiddal, mert akkor ismered a kiskapukat az adó elkerüléshez.
[ Szerkesztve ]
Buliban hasznos! =]
-
Fecogame
veterán
Jogász topikból irányítottak ide a kérdésemmel:
Ha valaki megtudja a személyes adataim (de csak azt, plain text), azzal vissza tud élni?
Ezekre gondolok így egyben: teljes név, lakcím, személyigazolvány szám, lakcímkártya száma, adószám, anyja neve, születési hely/idő.
Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak
-
inf3rno
Topikgazda
Azt tudja valaki, hogy a DPO-nál még mindig érvényes e az a régebbi NAIH állásfoglalás, hogy nem kell hozzá külön végzettség, mert a GDPR sem írta elő, csak annyi, hogy el tudja látni az illető a feladatot?
Buliban hasznos! =]
-
Egon
nagyúr
Felsőfokú végzettség kell hozzá és annyi.
Az Infotv. korábban 3 különböző felsőfokú végzettségfajtát azonosított, amivel el lehetett látni belső adatvédelmi felelősi pozíciót, a GDPR miatt azonban felpuhították ezt a rendelkezést."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Igen, tudom. Elvileg volt ilyen a szegedi és a miskolci egyetemen is (lehet hogy most is van).
Ez tulajdonképpen az adatvédelmi szakjogász képzéssel rokon, csak utóbbit kizárólag jogászok végezhetik.
Szerintem túltolt dolog ez, vannak 1-2 hetes, viszonylag jó képzések a területen. Ha képes vagy jogszabályt értelmezni, az is elég egy korrekt DPO-szaktudáshoz."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Szerintem is egy kicsit túltolt, de szakjogász ismerős ezt ajánlotta. Azt mondta, hogy az ilyen 1-2 napos 100.000 Forintos képzések nem érik meg a pénzt, és végülis igazat adok neki, ha máshol 3-400-ból egy másfél éves képzés kijön heti 1 nap előadással. A másik, ami miatt fontosabb, hogy jó lenne, ha többet tudnék a témáról, mint a helyi jegyző, különben tök felesleges alkalmazniuk... Amíg ez lemegy, addig meg legalább tudok az információbiztonsággal foglalkozni, mert bőven van mit csinálni, illetve az önkormányzat mellett ott céges munkák is lesznek.
[ Szerkesztve ]
Buliban hasznos! =]
-
Egon
nagyúr
1-2 napos képzés valóban nem ér sokat, de 1-2 hetes azért más tészta. ISO27K LA képzés is csak egy hetes, meg még lehetne sorolni...
Adatvédelmi szakjogász persze hogy ezt ajánlja. Egyébként a jogászok 90%-a utálja az adatvédelmi témát, szóval a jegyzőnél biztosan többet tudsz a kérdésről..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
szaszayanou
aktív tag
Szerintem az adatvédelem éppen nem az a téma, amihez elég a józan paraszti ész és a jogszabály értelmezési képesség. Maga a törvény tele van gumiszabályokkal, amiket a hatósági gyakorlat töltött meg tartalommal, amivel tisztában kell lenni. Ezen kívül a teljes jogrendszerben szétszórva vannak a különböző jogalapok az adatkezelésre, ami megint nem az elolvasunk két jogszabályt és utána mindent tudunk szint.
Still stands Thine ancient sacrifice, An humble and a contrite heart.
-
inf3rno
Topikgazda
válasz szaszayanou #438 üzenetére
Azért a hatósági gyakorlatot meg lehet nézni netről is, ha valaki hajlandó sokat keresgélni és olvasgatni. Nekem pont azért lenne jó egy levelezős képzés, mert a Péterfalvi, aki a szakfelelős a NAIH elnöke, szóval biztosan tudják, hogy mit csinálnak, illetve össze is szedik nekem, és nem kell heteket, hónapokat ezzel töltenem. Inkább fizetek azért, hogy ne essen ki ez az idő.
Buliban hasznos! =]
-
szaszayanou
aktív tag
Igen, fenn van a neten, csak egy könyvtárnyi határozatot és állásfoglalást átbogarászni önmagában is kihívás. Főleg úgy, hogy közben változott a jogszabályi háttér. Az ELTE-s képzést nem ismerem. Amit javasolni tudok, az a GDPR kommentárja. Van több is, nekem az előző adatvédelmi biztos által szerkesztett kiadvány tetszett.
Still stands Thine ancient sacrifice, An humble and a contrite heart.
-
inf3rno
Topikgazda
válasz szaszayanou #440 üzenetére
Linkeld be légyszi! Én meg megpróbálok topikgazda lenni, aztán betenni ezeket az összefoglalóba.
Buliban hasznos! =]
-
inf3rno
Topikgazda
-
Egon
nagyúr
válasz szaszayanou #438 üzenetére
Nem hiszem hogy van olyan DPO, aki vágja az összes lehetséges személyes adat kezelés jogalapját. Ez az egyes szakterületek feladata és felelőssége, a DPO-nak ellenőriznie kell tudnia (illetve megkövetelnie, hogy minden egyes adatkezeléshez tartozzon jogalap - persze első lépésben nem árt tudatosítani, hogy egyáltalán mit is nevezünk adatkezelésnek). Egy gyakorlott bérszámfejtő pontosan tudja, hogy milyen jogszabályok mentén kezel adatot, stb.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Ha jól értem, akkor muszáj az adatvagyon leltár mellé a folyamatokat és a szerepköröket is összeírni, különben lövésem sem lesz, hogy az adott adatkezelésnek van e jogalapja vagy sem. Akkor viszont már kb ISO 9001-et csinálok, amit szerettem volna elkerülni és inkább csak az adatokra koncentrálni meg hogy mi az értékes, mire kell külön figyelmet fordítani, hogy megvédjük. Szerintem megállok azon a szinten, hogy megnézem mik az értékes adatok, utána pedig csak azokat a folyamatokat és szerepköröket szedem össze, ahol ezekhez hozzáférés van, a többivel meg vagy nem foglalkozok, vagy esetleg később foglalkozok velük. Tulképp akkor egész jól összeköthető ez az egész az IBF munkájával.
Buliban hasznos! =]
-
Egon
nagyúr
Azért ez egy kicsit bonyolultabb.
Első lépésben nyilván azonosítani kell az adatkezeléseket. Alapvetően kétféleképpen lehet hozzáfogni a feladathoz: a melósabb, de pontosabb és célravezetőbb verzió az, ha interjúzol kb. minden területtel, és kérdezgeted őket arról, hogy mit is csinálnak egész nap. Ergo felméred a folyamataikat, a tevékenységüket. Minden egyes tevékenységnél azonosítod, hogy milyen adatokat kezelnek: ami személyes adat, DPO-ként csak az érdekes. A másik verzió, hogy tartasz egy oktatást, ahol nagyon alaposan, példákkal alátámasztva elmagyarázod, hogy mi számít személyes adatnak, és minden területnek megküldesz egy táblázatot, amiben felsorolod az adatkezelések legfontosabb paramétereit (adatkezelés neve, célja, jogalapja, időtartama, kezelt adatok köre, esetleges adattovábbítások stb.), és kéred hogy próbálják meg kitölteni (ez a kényelmesebb, ugyanakkor kevésbé jó módszer, mert így általában elsikkadnak adatkezelések).
Nagyon fontos, hogy az úgymond összetartozó adatkezeléseket egy adatkezelésként célszerű kezelni. Sokan csinálják úgy, hogy ha két adatkezelés célja és jogalapja megegyezik, akkor azt "összevonják", és egy adatkezelésként kezelik. Hasonló pl. a bérszámfejtéshez kapcsolódó adatkezelés: egy jól megfogalmazott céllal, egyetlen adatkezelésnek lehet tekinteni (és nem különvenni pl. a cafeteria-t, külön adatkezelésnek, mert kb. semmi értelme). Munkaügyi adatkezelés dettó.
Egyébként a probléma nem a kötelező adatkezelésekkel van (amiknek van jogszabályi jogalapja). Sokkal inkább pl. a jogos érdeken alapuló adatkezelések neccesek. Persze pl. a megőrzési idővel elé lehet csúszni a kötelező adatkezelésekkel is (ha nem törlik időben az adatokat)...[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sztanozs
veterán
Inkább arról kell nyilatkoznod, hogy milyen adatot kérhet el az adott szervezet tevékenységhez (illetve megtiltani bizonyos adatok tárolását/feldolgozását, ha az nem tartozik/szükséges az adott folyamathoz). Persze jó politikusnak kell lenni, hiszen az üzleti területekkel nem akasz rosszban lenni (hiszen ők termelik ki a fizetésedet).
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Egon
nagyúr
A logika az benne, hogy a legfontosabb elvnek (ami még ad absurdum a jogalapnál is fontosabb), a célhoz kötöttség elvének meg kell felelni - nem csak az adott adatkezelés, hanem minden egyes kezelt adat (illetve az adatkezelés minden paramétere) vonatkozásában...
Példa. Az IT szeretné mondjuk a hálózati forgalom logjait 5 évig megtartani. Ebben vannak (illetve lehetnek) személyes adatok: pl. Gipsz Jakab rendszeresen kecskepornót néz stb. Az ilyen típusú adatkezelések jogalapja a jogos érdek, így kell érdekmérlegelési teszt (ezt nem részletezném, nézz utána a NAIH-nál), és nagyon fontos az érintettek tájékoztatása. A lehető legjobban szűkíteni kell az adatkezeléseket, így a logokhoz a lehető legkevesebb embernek szabad hozzáférést biztosítani. Nézegetni csak indokolt esetben (pl. biztonsági incidens kivizsgálásával összefüggésben) szabad. Jó ha valamilyen szinten anonimizálva van a történet (pl. ha a logban látható IP címet, esetleg felhasználónevet nem tudja automatikusan az érintetthez rendelni az, aki hozzáfér a logokhoz, hanem az egy másik szereplő dolga, aki viszont csak annyit tud, hogy Gipsz Jakab nem engedélyezett tevékenységet folytatott a neten, azt nem hogy konkrétan kecskepornót nézett stb.). Ha ezeken a buktatókon túllendültél, akkor jöhet a példában említett probléma: 5 évig meg akarják tartani a logokat. Ezt indokolni kell. Nem neked: nekik. Olyan indokkal, ami egy hatósági vizsgálat próbáját is kiállja. A kérdés: mi a célja a logok 5 éves megőrzésének? Utólagos incidens felderítés? Illeszkedik ez az adott szervezet logelemzéséhez, és egyéb kapcsolódó adatkezeléseihez (ha mondjuk kilépés után egy évvel törlik a felhasználót az AD-ból, akkor mi van?)? Van értelme egy bűncselekmény elévülési idején túl tárolni (ha mondjuk 3 év alatt elévül a számítógépes rendszer elleni bűncselekmény - nem tudom mennyi idő múlva évül el, csak sorolom a buktatókat)? Lehet hogy van, mert ha mondjuk Gipsz Jakab még mindig a cégnél dolgozik, akkor ha elévült is egy általa elkövetett bűncselekmény, attól még ki lehet rúgni utólag... Lehet esetleg érvelni a hírközlési törvényben szereplő adatmegőrzési kötelezettségekre vonatkozó időkkel (fél illetve egy év), de Péterfalvi Úr ezt már megkifogásolta egy, ha jól rémlik az igazságügyminiszternek írt levélben: még ott is túlzásnak érzi ezt az időszakot, így az 5 évre biztosan hülyét kapna...
Szóval nem egyszerű ez.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Új hozzászólás Aktív témák
- Bontatlan Seagate & Western Digital HDD-k 3TB - 12TB -ig - Számla + Garancia, Ár alatt! BeszámítOK!
- DJI Mini 4 pro FMC drón - 3 akku, RC2 táv, 2 táska, Filterek, 2025. decemberig garancia, DJI Care
- HP EliteBook 840 G6 i5-8365U 16GB RAM 256GB SSD világító MAGYAR billentyűzet
- Eizo Flexscan EV2450 IPS HDMI 2Év Garanciával MONITORCENTER
- 4070 Ti Aorus Master //KERESEM!!//