-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
inf3rno
Topikgazda
Amennyire én tudom gyakorlatilag ezt kapta az összes önkormányzat:
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 28. § (1) bekezdése alapján a következő adatigénylést terjesztem elő.
Kérem, szíveskedjen megküldeni a következő adatokat:
Az Infotv. 30. § (6) bekezdése szerinti, közérdekű adatok megismerésére irányuló igények teljesítésének rendjére vonatkozó szabályzat.
Az Infotv. 35. § (3) bekezdése szerinti, közérdekű adatok elektronikus közzétételére vonatkozó szabályzat.
Az Infotv. 1. melléklet II. 13. pont szerinti illetékes szervezeti egység neve, elérhetősége, valamint az információs jogokkal foglalkozó személy neve.
A nyilvánosság környezeti információkhoz való hozzáférésének rendjéről szóló 311/2005. (XII. 25.) Korm. rendelet 3. § szerinti legutóbbi éves környezetállapot-jelentést;
A szervezet által megkötött, az államháztartás pénzeszközei felhasználásával, az államháztartáshoz tartozó vagyonnal történő gazdálkodással összefüggő, egymillió és ötmillió forint közötti értékű árubeszerzésre, építési beruházásra, szolgáltatás megrendelésre, vagyonértékesítésre, vagyonhasznosításra, vagyon vagy vagyoni értékű jog átadására, valamint koncesszióba adásra vonatkozó szerződések alábbi adatait:a. a szerződés megnevezését,
b. a szerződés tárgyát,
c. a szerződést kötő felek nevét,
d. a szerződés értékét,
e. határozott időre kötött szerződés esetében annak időtartamát, valamint
f. az említett adatok változásait.A szerződés értékeként a szerződés tárgyáért kikötött – általános forgalmi adó nélkül számított – ellenszolgáltatást kérem feltüntetni, ingyenes ügylet esetén a vagyon piaci vagy könyv szerinti értéke közül a magasabb összeget kérem figyelembe venni. Az időszakonként visszatérő – egy évnél hosszabb időtartamra kötött – szerződéseknél az érték kiszámításakor az ellenszolgáltatás egy évre számított összegét kérem alapul venni. Az egy költségvetési évben ugyanazon szerződő féllel kötött azonos tárgyú szerződések értékét kérem egybeszámítani.
Az adatokat a szervezet által a 2020. évben megkötött szerződések vonatkozásában kérem megküldeni.
6. Az önkormányzat feladatkörébe tartozó közszolgáltatások ellátására irányuló, Mötv. 41. § (6) szerinti hatályban lévő szerződések alábbi adatait:a. a szerződés megnevezését,
b. a szerződés tárgyát,
c. a szerződést kötő felek nevét,
d. a szerződés értékét,
e. határozott időre kötött szerződés esetében annak időtartamát, valamint
f. az említett adatok változásait.Az Infotv. 30. § (2) bekezdése szerint kérem, hogy az igényelt adatokat elektronikusan kereshető másolatban a feladó e-mail címére szíveskedjék megküldeni.
Segítő együttműködését előre is köszönöm.
Első blikkre úgy tűnik, hogy ezeket kérhetik is, de majd utána nézek mindnek egyesével. Mi azt mondjuk majd első körben, hogy túlórával járna az alkalmazottaknak, mert nem vagyunk sokan, és x összeget fizessenek érte. A "kereshető formátum" alatt gondolom azt értik, hogy ne valami képként szkennelt dolgot küldjünk. Végülis ezek ránézésre excel táblákba bemehetnek, úgyhogy ez talán nem lesz probléma.
Ami még izgi, hogy ezzel kapcsolatban szinte azonnal kaptunk olyan levelet is, hogy a "Nemzeti Adatvédelmi Szövetség" szívesen segít nekünk az anyag összeállításában, ha valami kérdésünk van. Lövésem sincs, hogy mennyire "legit" ez a szervezet.
Buliban hasznos! =]
-
-
-
Ha lehetőségetek adódik rá, vegyetek részt cyber siege-en. Nagyon technikai és nagyon sokat lehet belőle tanulni.
https://www.coreinfinity.tech
-
Egon
nagyúr
Kis színes olvasnivaló: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Ha már szóba került a felhő. Mi a folyamata annak, ha egy állami szervezet Azure-ba akar áttelepíteni dolgokat, pl a teljes levelezést, ilyesmiket? Úgy tudjuk, hogy már egy ideje lehetséges ez, mert a Microsoft Európában tartja az adatokat december óta és kórházaknak már csináltak ilyet és az NKI megengedte pl a MedinnoScan felhős működését, de konkrétumot nem nagyon tudni ennek az egésznek a mikéntjéről információbiztonsági szempontból...
Buliban hasznos! =]
-
Egon
nagyúr
válasz VágniValó #658 üzenetére
Egyelőre még én sem iratkoztam fel/töltöttem le.
inf3rno: mi a konkrét kérdés? Semmi különös folyamata nincs IT biztonsági szempontból, legalábbis én ezt látom (egyik ügyfelünk, egy négybetűs, cikkekben sokat (és nem pozitív kontextusban) szereplő állami Zrt. is most költözteti a levelezését). Az Azure és társai nyilván nem auditálhatók, a felhasználó szempontjából eléggé fekete dobozként működnek az OVI tábla-szintű biztonsági megoldásaik, ergo max. elhinni lehet hogy megvalósulnak a szükséges védelmi kontrollok.
Egyébként max. 3. biztonsági osztályú rendszert tennék ilyen felhőbe.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Melack
veterán
Most mi is vizsgáljuk, hogy hivatali szinten (állami) hogyan tudnánk az O365-ót használni. Csütörtökön beszéltünk az MS-sel, szintén jött az EU-s direktíva, adattárolás mikéntje (erről tudnak adni papírt, hogy tényleg így van [papír mindent elbír]), de az, hogy ezt a NAIH/NBSZ-NKI felé hogyan kell lejelenteni, azt még nem tudjuk, és ebben ők se tudnak segíteni. Én szívem szerint nekimennék, aztán ha lesz ellenőrzés, majd papírozunk, de ezt nem lehet.
Ex-Informatikai Szolgáltató Asztali Munkatárs
-
Xpod
addikt
Első körben az NKI-től kell engedélyt kérni a formanyomatávnyukon. Ha meg van az engedély, akkor lehet elkezdeni dolgozni a technikai megvalósításon. De az adatmentésről ilyen esetben is gondoskodni kell, meg legalább 2FA az admin felületen, stb.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
" 2FA kell nem csak az admin, de a szakrendszerek kapcsán is"
Ez így nem teljesen pontos.
2. biztonsági osztályba sorolt alkalmazás esetén elegendő az admin 2FA védelme, valamint ha az EIR elérhető a net felől, akkor oda is kell, vagy magát a távoli elérést kell 2FA-val is védeni (pl: VPN)
3. biztonsági osztályba sorolt alkalmazás esetén minden usernek kell a 2FA.A formanyomtatvány tényleg nincs kint, pedig volt hozzá, nem tudom miért szüntették meg. (Mi sosem használtuk, így az engedélyeztetés mentében nincs tapasztalatom.)
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
inf3rno
Topikgazda
Nem teljesen ide vág, vagy talán egy kicsit a 2FA-hoz. Én most csináltattam újra személyit, és olyat kértem, ami tud digitális aláírást. Második faktornak tudom ezt használni valahogyan, vagy jobb vennem valami USB-s kulcsos micsodát? Ha az utóbbi, akkor tudtok ajánlani valamit? Egész konkrétan magán célra kell ez, az itthoni VPN-re akarok így bejelentkezni, hogy ne csak jelszó legyen. Illetve később valószínűleg kelleni fog melóhoz is, hogy értsek hozzá. Még biztonsági szempontból is kérdés ez, hogy vajon jobb e a személyit ilyen kevésbé fontos célokra felhasználni? Mert gondolom minél többet használja az ember ilyen kevésbé fontos célokra, annál jobban kompromittálódik úgymond, és talán egy picit könnyíti a kulcs kitalálását, ha egy hozzá értő sok aláírást lát vele.
[ Szerkesztve ]
Buliban hasznos! =]
-
Egon
nagyúr
A vicces az, hogy szerintem a [link] 2021. évi XCI. törvény 13. §-a értelmében egyáltalán nem lehetne O365-öt használni a közszférában (kivéve ha az MS a magyar ügyfeleknek magyarországi felhőús tárhelyet biztosít, de ezt kétlem).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Melack
veterán
Ez onnantól érdekes ,hogy egy szakrendszert akarnék felhőbe feltolni. De a mi esetünkben (és úgy az egész közigazgatás tekintetében) a napi munkavégzéshez szükséges excel és word fileok egyidejű szerkesztése lenne a cél a Teamshez kötve. Erre viszont nem tér ki egyik törvény sem így konkrétan. Ami nem tilos, azt szabad - az én felfogásom szerint.
Ex-Informatikai Szolgáltató Asztali Munkatárs
-
Xpod
addikt
Nem szerintem írja elő a rendelet, hanem sajnos az NKI ezt követeli meg. 2. osztály esetén elég csak távoli elérés, 3 osztály esetén minden rendszernek tudnia kell. Persze kiváltható más környezeti eszközzel is. (pl ha a VPN 2FA-val hitelesít, akkor nem kell a belső rendszerekhez még külön 2FA)
Mellesleg a BM rendelet 3.3.9.5 végig hitelesítő eszközről beszél. (tudom eszköz nem csak fizikai eszköz lehet)Melack #670
Attól hogy word és excel fájlokat akarsz kezelni, az attól még tartalmazhat nemzeti adavagyont. Így nem teheted EU-n kívülre. Egyébként ezért kell az NKI bejelentés. Ha ők engedik, akkor ti moshatjátok a kezeteket, nem kaphattok érte elmarasztalást.[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
Kérdés, ti a jogosultságok kezelését (igénylés, megszüntetés, törlés, jóváhagyás), nyilvántartását miben oldjátok meg? 15-20 alkalmazás esetén 50-80 usenrél már az excel táblázat, meg a papírozás nem túl hatékony, viszont egy 3-5 milliós jogosultságkezelő rendszer bevezetés esélytelen.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
-
Xpod
addikt
-
-
Xpod
addikt
Nem akarok semmit automatizálni. A legtöbb szervezetnél (és itt nem csak az IBTV-s szervezetekre gondolok) csak annyi kell, hogy bejön a jog igény, ezt valaki jóváhagyja az IT meg beállítva és lezárja. Ha kell lekérdezhető a report, hogy kinek milyen jog mikor lett jóváhagyva és ennek beállítását az IT mikor igazolta vissza. Max értesítő email küldjön a rendszer, hogy valakinek új igénylése van, jó kell hagyni, be kell állítani. Nem kell AD integráció, meg email feldolgozás, meg kiskutya füle, mert eleve sok rendszerhez nem is lehet hozzákapcsolni semmit.
Pl önkori esetén használnak kb 15-20 rendszert, jó esetben van AD tehát max ahhoz lehetne hozzákötni a jogosultság kezelőt, aminek ebben az esetben kb semmi értelme, mert nincs vele előrébb senki.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Egon
nagyúr
Voltam ma egy bemutatón, egy cég teljes termékpalettáját mutatták be. Ezekből bizonyos részeket csak kormányzati megrendelőknek adnak el. Konkrétumot nem mondhatok, mert NDA-t írtunk alá, de annyit elárulok: nagggyon durva cuccok vannak (aki paranoiás, joggal az... ).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Apollyon
Korrektor
Akkor csak annyit mondjatok már meg, hogy az encrypted lemezeket is fel tudják törni a jelszó bármilyen előzetes ismerete híján? (A feloldókulcsot ismerő személy kínvallatása stb. nem ér.)
[ Szerkesztve ]
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
-
válasz Apollyon #683 üzenetére
Lehetséges pár eset:
- ha használatban van a lemez, akkor a kulcs a memóriában van, tehát kiolvasható vmilyen formában
- ha a fiókban pihen, akkor a titkosítási algoritmusban, vagy az adott implementációban lehet hiba, ami hozzáférést adhat az adatokhoz, esetleg backdoor (ezért mellőzöm az RSA kulcsok használatát).A második elméleti eset, publikusan ilyen hiba nem ismert - ami nem jelenti azt, hogy titkosszolgálatoknak nincs ilyen 0day a kezükben. Az első is elég nehéz, de talán nem megvalósíthatatlan.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Egon
nagyúr
válasz Apollyon #683 üzenetére
Nyilván attól függ hogy mivel van kódolva.
Szerintem jelentős számú enkriptáló eszközben vagy van backdoor, esetleg mesterkulcs, vagy ismert a titkosszolgálatok számára valamilyen törést segítő sérülékenység."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
inf3rno
Topikgazda
Ha már szóba került, van egy olyan problémánk aminél adatot kérnénk be, és sajnos ez tartalmaz elég sok személyes adatot. Most emailben megy mindez, amit én kimondottan rossznak gondolok személyes adat küldésre, mert titkosítatlan. Inkább átvinném a honlapra, mert ott van SSL, viszont nem szeretném a honlapon adatbázisban tárolni, mert valahol felhőben vagy ki tudja hol van, még nem beszélgettem az üzemeltetővel, de nincs is értelme ott tárolni, mert nem társul hozzá semmilyen webes szolgáltatás, csak a covid miatt kérjük be most így. Inkább valami olyasmi lenne jó, mint egy kapcsolatfelvételi űrlap, ami küld egy emailt egy megadott címre. Arra gondoltam, hogy aszimmetrikusan titkosítanánk még a böngészőben egy publikus kulccsal javascripttel, elküldené a szerver emailben, és csak az email fogadója tudná a privát kulcsot a kibontásához. Ez így szerinted korrekt megoldás a problémára? Van erre ajánlott algoritmus, ha már az RSA nem annyira fájn?
[ Szerkesztve ]
Buliban hasznos! =]
-
Sok összetevős a probléma.
Először is olyan mailszerver kell, ami tud publikus kulccsal titkosítani, másodszor sok manuális munkát igényel a kézi decryptálás.
Harmadszor, a feloldott adatokat is vmilyen titkosítással kell ellátni (encrypted in rest).
Ezenkívül a formot is védeni kell, hogy ne használhassák spamelésre (recaptcha, throttling a web alkalmazásban, whatever).https://www.coreinfinity.tech
-
Egon
nagyúr
Kicsit (?) érintőleges a téma, de hátha.
Van valakinek tapasztalata fraud management témakörben? Kifejezetten biztosítóknak (tehát nem bankoknak) fejlesztett, csalásmegelőző alkalmazást keresnék, ami széles körben paraméterezhető, és rendelkezik némi AI-el is (gépi tanulás, stb.). Valami olyan kellene, mint a SIS.Net 10, de kellene hazai képviselet vagy forgalmazó.
Jah, és lehetőleg ne legyen felhős a cucc."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Nem tudom ismeritek-e, egy kis olvasnivaló: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
inf3rno
Topikgazda
Próbálom a minimumra leszorítani a függőségeket, azért nem akarok ilyen multikat bevonni. Én le tudom ezeket fejleszteni egyedileg, csak összeférhetetlenség van, mert én mint IBF javasolnám az alábbi alkalmazást saját magamtól megrendelni...
[ Szerkesztve ]
Buliban hasznos! =]
-
Valójában hamar el lehet jutni arra a pontra - használattól függően - ahol az outsource-olt szolgáltatás olcsóbb, mint a házon belüli megoldás, még akkor is, ha függőség van. Utóbbit egyébként lokális backuppal lehet csökkenteni, ha nagyon muszáj.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Inkább a bizalmasság indokolja szerintem, mint a rendelkezésre állás. A bekért adatok között van úgy egy tucat személyes adat és van közte különleges személyes adat is. Arra gondoltam, hogy menjen az egész úgy, hogy már a böngésző titkosítja, utána vagy emailben vagy egy REST API-n oda kerül a helyi gépre, aztán akkor már ott is titkosítva tárolom, és csak a memóriába bontom ki amíg felviszik egy másik rendszerbe, utána pedig törlésre is kerül. Közben bejött egy olyan input, hogy az email-nél nem garantált a kézbesítés, és talán jobb a szerveren tárolni ideiglenesen a ciphertext-et. Ennek van egy minimális kockázata, mert mégiscsak letároljuk, de van előnye is, hogy garantált a kézbesítés, és a kézbesítés HTTPS-el is le van titkosítva.
[ Szerkesztve ]
Buliban hasznos! =]
Új hozzászólás Aktív témák
- AMD Radeon Pro W7900 48GB GDDR6
- ZBook Firefly 14 G9 14" FHD+ IPS i7-1255U T550 32GB 512GB NVMe SSD IR kam gar
- PowerColor RX 6800 XT Red Dragon 16GB GDDR6 256bit - Számla + Garancia, Ár alatt! BeszámítOK!
- MacBook Pro M1MAX 64gb ram 1TB SSD Áfás
- Konzolok karbantartása - hűtőpaszta csere - takarítás (minden 10. karbantartás INGYENES)