-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
inf3rno
Topikgazda
Beszélgettünk kicsit ma az OSCP-ről. Azt mondják a minimum 1 év gyakorlás, ami kell hozzá és napi 3 órát kell törni a rendszereket. A vizsga valami olyasmi, hogy 1 nap alatt 30 különböző rendszert kell megtörni. Szóval elég kemény az egész.
Ma volt az EIV záróvizsga, egyelőre még nincs eredmény. Eléggé elúsztam az idővel sajnos, és kb. a kérdések felét az utolsó negyed órában csaptam össze néhány mondatos válaszokkal, hátha adnak rá pontot, mert ugye a semminél az is több. Remélem azért meglesz. Holnapra kiderül. Utána már csak a pénteki szakdolgozat védés van, és ennyi volt.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Olyan 15 kérdés volt, mind kifejtős. 90 perc volt rá, kellett volna még legalább 30 perc, ha nem 60. Egyébként alig volt olyan, amit ne tudtam volna úgy nagyjából, csak nem mindegyiknél emlékeztem a részletekre, és időbe telt előkeresni. Mondták amúgy, hogy a csoport nagy része ki fog futni az időből, és olyan 3-4 a reális, csak aki nagyon jó, annak lesz 5. Hát nekem talán 2. Végülis olyan szempontból igazuk van, hogyha tényleg incidens van, akkor gyorsan kell dönteni és nincs idő nagyon utánajárni. Olyan szempontból nincs, hogy jó esetben előre megírt válságforgatókönyv van, és csak követni kell a lépéseket, nem ott helyben kitalálni. Én pl egyáltalán nem szeretek improvizálni, persze van, hogy muszáj.
A védésnél csak be kell mutatni, hogy miről szól a szakdolgozat, és válaszolni az opponens kérdéseire, amit előre megadnak. Remélem másba nem kérdeznek bele, de majd meglátjuk. Igazából maga a szakdolgozat is annyira széles nálam, hogy már van olyan, amit elfelejtettem belőle. Muszáj lesz egy vázlatot írnom, különben kimaradnak belőle részek. Mondjuk szerintem nem nagyon olvassák el, akik ott lesznek.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Na én végeztem az EIV-el, záróvizsga 3-as gyakorlatilag tanulás nélkül (tanulással talán 4-ig tudtam volna feltornászni), szakdolgozat és védés 5, átlag 4. A többi tárgynál sok az 5-ös, van néhány 3 előző félévből, szóval a kumulált átlag talán 4.5 felett van, ha ez számít valahol. Nagyjából ennyi. Így utólag jobb lett volna tanulni a záróvizsgára, és akkor jobbak lennének az esélyeim egy kibermester felvételin, ha megyek rá néhány év múlva.
Maguk a tárgyak a második félévben jobbak voltak, mint az elsőben szerintem. Jogi szempontból bár rühelltem azt a tárgyat az összefüggéstelen előadás és a rossz diák miatt, azért az EUs jogszabályi környezet meg a magyar implementációjának bemutatása elég sokat adott. A stratégiás tárgy is hiánypótló volt, tudom majd használni önkormányzatnál. Volt kommunikáció és válságkezelés is, ami végülis hasznos, de nem életbevágó, ha van a cégnél erre ember. Azért az alapelvek újdonságot jelentettek azzal kapcsolatban. Én eddig inkább a tényközlést tartottam fontosnak, de nagyon nem mindegy, hogy mit hogyan mondunk, mert az emberek ilyen kis érzékenyek, és érzelmi alapon ítélnek meg helyzeteket. Az incidensmenedzsment és biztonsági tesztelés kimondottan hasznos tárgyak, az utóbbiból én viszont hiányoltam a gyakorlatot. Az IR és hálózatbiztonság folytatódott előző félévből, az alap, hogy kell. Ezek azért már jobban hozzá tartoznak a gyakorlathoz, mint az előző félév tárgyai.
Amit én hiányoltam a képzésből, hogy nincs olyan átfogó tárgy, ami az összeset alkalmazná lépésről lépésre néhány szervezet példáján, hogy legyen valami átfogó képünk a munkafolyamatról. Pl politika -> stratégia -> IBSZ írása: kockázatelemzés -> védelmi intézkedések választása -> konkrét eszközök választása -> eszközök beállítása -> incidens kezelésre felkészülés -> incidens kezelése, stb. Kicsit a záróvizsgára való közös felkészülés volt hiánypótló ilyen szempontból, de jó lett volna, ha ez egy tárgy keretében megy. Majd gondolom a munka során élesben lesz időm gyakorolni ezeket eleget.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Nekem sem tart már sokáig 1-2 hét, megjön a papír, aztán mehetek önkormányzathoz. Közben összeütöttem egy csoki manufaktúra üzleti tervét, munkafolyamatait, stb. is, erősen agyalok rajta, hogyha lesz 5M tőkém rá, akkor belekezdek abba is. Kezdjek már valamit a másik diplomámmal is. :-)
Mellette még van egy eüs jellegű havidíjas webes szolgáltatás is tervben. Annál szívok az adatvédelemmel, mert egészségügyi adatokat tárol. Megpróbálnám anonimizálni, de ha jól csinálom, akkor a fizetéseket elég nehéz összekötni az adatbázissal úgy, hogy ne legyen azonosítható a számlák alapján, hogy melyik fiók kihez tartozik. Nem tudom, hogy ez megoldható e egyáltalán elméletben vagy honnantól számít kellően anonimizáltnak a dolog. Mondjuk ha külön szerveren külön adatbázisban vannak a számlázási adatok és külön az egészségügyi adatok, az kellő szeparáció e vagy mit várna el ilyenkor a NAIH adatvédelmi szempontból?
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Nem tudom, többet kell olvasnom a jogi részéről és a követelményekről, de jó lenne egy ilyen szolgáltatás elindítása, mert még nem találkoztam semmi hasonlóval, szóval talán piaci rés. Amúgy van egy csomó tök jó webes ötletem, csak mindegyik elhasal valahol a GDPR környékén.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
A PCI annyira nem para, ha OTP-nek vagy PayPal-nak kiszervezzük a fizetést. Olyankor elég, ha az ő rendszerük teljesíti, mi meg csak kapunk egy üzit, hogy az x számú tranzakció végbement. Talán ez a megoldás a problémára, hogy a PayPal rendszerében vissza tudom keresni, hogy ki fizetett, és ott lesznek az ügyfél adatok, a szolgáltatás adatbázisában meg csak a random azonosító szám, esetleg a tranzakció számok. Aztán ha a PayPal-tól is kikerül a fizetési adatbázis, akkor valamennyire az ő hibájuk, hogy össze tudják kötni őket a szolgáltatás adatbázisában tárolt eüs adatokkal. Legalábbis ebben reménykedtem, amikor terveztem a projektet, de még nem volt időm megnézni, hogy a valóság is ilyen, és hogy ez számít e egyáltalán jogi szempontból, vagy tekinthető e így anonimizáltnak, hogy elvi lehetőség van az azonosításra egy másik adatbázis megszerzésével, de a gyakorlatban ez eléggé valószínűtlen, hogy megtörténik.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Ez egy helyi mikrovállalkozás lesz, ha meglesz rá a kezdőtőke. Legalább 5 milla fog kelleni hozzá gépekre, plusz 2-3 alkalmazott. Elsősorban bonbonokat és csoki alapú egyedi kézműves termékeket fogunk gyártani. Még nagyon az alapoknál vagyok vele, éppen munkafolyamatokat tervezek. Kell még piackutatás, kellenek receptek, kell minőségbiztosítási teszteket fejlesztenem, ha lehet automatizálnom, kell üzletmenet folytonossági terv, és így tovább. Rengeteg dologgal jár még, ha profin akarom csinálni, ha meg nem, akkor úgy nincs értelme, mert nem lesz versenyképes.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Nem outusource-olom, írtam már egyedi webshopot nulláról. Inkább az üzemeltetés aggaszt, mert ott simán félrecsúszhatnak a dolgok, és arra nincs ráhatásom.
Nem tudok saját infrastruktúrát építeni, legalábbis olyat nem, aminek van rendelkezésre állása, és megérné megcsinálni. Kezdésnek esetleg IaaS valamelyik cloud szolgáltatónál pl Amazon EC2, vagy megbízok valamelyik hazai hosting szolgáltatóban, bár ők általában Apache+PHP-t adnak, amit rühellek. Később lehet esetleg saját szerver, amit beviszek valamelyik szerver parkba.
Ha kiszivárog az adatbázis, akkor csak tranzakció azonosítók lesznek benne az eüs adatok mellett. A tranzakció azonosítókkal lehet megnézni az OTP rendszerében, hogy kiről is van szó, vagy legalábbis ki fizette be a szolgáltatást, ha pl számlázni kell. Bár elméletben vannak olyan megoldások, amiknél az egész teljesen outsource-olva van, és én csak annyit kapok, hogy teljesült a tranzakció, és azt se tudom, hogy ki fizette be, igaz azoknak még durvább a felára. Annyiból jobb az olyan biztonsági szempontból, hogy még ha hozzáférnek a fizetési szolgáltatós fiókomhoz, akkor sem tudják meg, hogy melyik tranzakcióhoz ki tartozik. Csak ha feltörik a fizetési szolgáltató rendszerét, akkor jutnak hozzá ehhez az infohoz, ami irreális erőfeszítés. Ami még esetleg előfordulhat, hogyha injektálnak kódot az alkalmazásba, akkor az IP címeket össze tudják kötni a felhasználó azonosítókkal. Ez már reálisabb veszély.
Utána kell járnom, hogy mi vonatkozik az eüs adatokra, de könnyen lehet, hogy ez is meghiúsul, mert túl drága lesz megvédeni.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Ha teljes adatbázis titkosításnak szerintem akkor van értelme, ha attól tartok, hogy az üzemeltető lopja el fájl másolással, mert hozzáfér a fájlrendszerhez. Vagy legalábbis nem igazán látok más fogatókönyvet, ami ellen védene. Ha a webalkalmazásból SQL injectionnel másolják, akkor fel van oldva rajta a titkosítás. Ha minden felhasználó adatait egyedi kulccsal titkosítom, amihez a passphrase a jelszavuk, akkor meg nem férek hozzá az adatokhoz, és nem tudok szolgáltatást nyújtani.
Köszi! Megnézem a törvényt, hátha okosabb leszek.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Jó ez a chocome, igazából nem akkora probléma, mert egész más csokikat csinálnak, mint én fogok, és egész más a célközönségük is. Abban igazad van, hogy baromi nagy a konkurencia, és kockázatos az egész, de ez kb. az összes vállalkozásnál elmondható. Vannak ötleteim hogyan tudnánk kitűnni a tömegből. Majd az idő eldönti, hogy beválnak e.
Buliban hasznos! =]
-
inf3rno
Topikgazda
A NISZ-es netről tudtok nekem valami bővebb infot mondani? Igazából itt van egy anomália, amit most nem tudok hova tenni amíg nem alkalmaznak az önkormányzatnál és kérdezek rá. Szóval az van, hogy van ASP rendszerük, ami ilyen felhő alapú ügyviteli rendszer önkormányzatoknak, és azt olvasom, hogy elvileg csak NISZ-es nettel lehet használni. Na most panaszkodtak, hogy a Vodafonos net sokszor elmegy, és akkor nincs ügyvitel. Nem áll össze nálam, hogyha egyszer a NISZ-es net van bekötve, akkor miért függenek a Vodafone-tól?
Buliban hasznos! =]
-
inf3rno
Topikgazda
Elvileg úgy van, hogy az ASP rendszerhez a NISZ a szolgáltató, minden máshoz meg a Voda, legalábbis így tűnik logikusnak az alapján, amit olvastam, de majd elválik a gyakorlatban. Egyelőre még nincs papír, szerződés, lövésem sincs, hogy egyből kezdek e vagy sem. Mindenesetre már rákészülök, van még kb. 2 hetem az oklevél átadóig, addig megpróbálok utánajárni az önkormányzati információbiztonságnak, mert hogy egy átlag helyen milyen rendszerek fordulnak elő náluk, hogy ne érjenek nagy meglepetések.
Buliban hasznos! =]
-
inf3rno
Topikgazda
A kérdés az, hogy ahol ilyen rendszer van, ott csak NISZ-es net lehet, és azt is lehet használni a mindennapi ügyintézésre (értsd: facebook nézegetésre) vagy muszáj, hogy legyen a Vodás net mellé?
Gondolom akkor ezek az ASP-s kliens gépek külön hálózatot alkothatnak, ha más netre nem lehetnek rákötve. Mondjuk mindig felmerül a szokásos kérdés, hogyha kell tartalék net előírás szerint bizonyos rendszerekre, akkor hogyan oldható meg, ha a NISZ az egyedüli engedélyezett szolgáltató.[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Nagy a csend itt a Pegazus kapcsán. Ti mit gondoltok róla?
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Ez így nekem nem túl konkrét, de gondolom nem fognak kiderülni ilyen részletek a nyomozásról. Csak azért lett volna érdekes, mert az NSO szerint a Pegasus nem hagy ilyen nyomokat. Nyilván nekik meg érdekük, hogy védjék a cég becsületét, különben lelépnek a vásárlóik.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Vállalkozásnál a TEÁOR (vagy minek nevezik most) számok azok micsodák EIV-re és DPO-ra? Nem igazán találtam eddig semmit, de még nézegetem.
Buliban hasznos! =]
-
inf3rno
Topikgazda
FEOR számot már találtam: [link]
2159 Egyéb adatbázis- és hálózati elemző, üzemeltető
Jellemző munkakörök:
Adatbiztonsági felelős
Adatbiztonsági mérnök
Adatvédelmi és -biztonsági felelős
Biztonsági elemző, adatfeldolgozás és informatika
Hozzáférési ellenőr, adatfeldolgozás és informatika
Informatikai auditorÖVTJ számnál ugyanezt már nem írják hasonló elnevezésű dologra. Azt sem értem, hogy minek csillió féle szakma kód, miért nem lehet csak egy???
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Jó, aki ugyanígy vállalkozóként szeretné, annak azt javaslom, hogy hagyja a francba a katalógusokat, mert csak elmegy a semmire a fél napja. Kell keresni egy céget vagy vállalkozót, aki ezzel foglalkozik, és lekérdezni a tevékenységi köreit a NAV-tól: [link]
A Hanganovra pl ezt dobta:
TEÁOR'08:
8559 M.n.s. egyéb oktatás
7022 Üzletviteli, egyéb vezetési tanácsadás
6311 Adatfeldolgozás, web-hoszting szolgáltatás
6209 Egyéb információ-technológiai szolgáltatás
6203 Számítógép-üzemeltetés
6202 Információ-technológiai szaktanácsadás
6201 Számítógépes programozásElvileg a TESZOR és az ÖVTJ ebből származik, és csak plusz számjegy(ek)et csapnak hozzá a végéhez. [link]
A 2159 FEOR, amit találtam, annak úgy tűnik nincs megfelelője a TEÁOR rendszerében. A FEOR elvileg foglalkoztatottak munkaköreit írja le, a TEÁOR pedig vállalkozók, cégek tevékenységeit. Szóval szerintem marad az, hogy mint a Hanganov én is beikszelem a fentiekből azt, ami hozzá kapcsolódik a szakmához, aztán kész. Remélhetőleg csak valami infos kamarának kell majd fizetni évi 5 pénzt és nem 20 féle kamara húz le majd miatta egyszerre.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Ja, így legalább 10-re van szükség. A kamaráknál is ugyanezt látom. Van kereskedelmi kamara, ahova elvileg kötelező a tagság meg vannak szakmák szerinti kamarák, amik szintén lehúzzák az embert. Ezek után már megnézem, hogy mit nyújtanak, ha kötelező fizetnem. Bár kétlem, hogy sok hasznuk lenne.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Azt bírom még, hogy minden ilyen fosnál az egészet magától értetődőnek veszik. Pl itt van a csoda kereső mind a 4 számhoz, ahol egy szó nem esik róla, hogy melyik szám mire jó, vagy egyáltalán mi a franc ez az egész. [link] Nagyjából ugyanezt tapasztalom a kamaránál. Eléd hánynak valamit, aztán találd ki, hogy mit kell csinálni. Mondjuk ott legalább egy törvényt beidéztek, hogy a kereskedelmi és iparkamarába kötelező regisztrálni minden vállalkozónak, kivéve ha mezőgazdasági a fő tevékenysége. Az adózás a KATA előtt ugyanilyen volt. Illetve a magyarorszag.hu weboldalon is ugyanezt látom, hogy teljesen következetlen az egész, és talán 20 menüpont mélységben megtalálom azt, amit keresek. Fájdalmas az egész, de ez van. Az egész aktatologatásnak pont ez a lényege, hogy sok legyen az aktatologató és hogy belefuss egy csomó random szabályba és fizesd a büntit, kivéve ha te találtad ki a szabályokat a haverjaiddal, mert akkor ismered a kiskapukat az adó elkerüléshez.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Azt tudja valaki, hogy a DPO-nál még mindig érvényes e az a régebbi NAIH állásfoglalás, hogy nem kell hozzá külön végzettség, mert a GDPR sem írta elő, csak annyi, hogy el tudja látni az illető a feladatot?
Buliban hasznos! =]
-
inf3rno
Topikgazda
Szerintem is egy kicsit túltolt, de szakjogász ismerős ezt ajánlotta. Azt mondta, hogy az ilyen 1-2 napos 100.000 Forintos képzések nem érik meg a pénzt, és végülis igazat adok neki, ha máshol 3-400-ból egy másfél éves képzés kijön heti 1 nap előadással. A másik, ami miatt fontosabb, hogy jó lenne, ha többet tudnék a témáról, mint a helyi jegyző, különben tök felesleges alkalmazniuk... Amíg ez lemegy, addig meg legalább tudok az információbiztonsággal foglalkozni, mert bőven van mit csinálni, illetve az önkormányzat mellett ott céges munkák is lesznek.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz szaszayanou #438 üzenetére
Azért a hatósági gyakorlatot meg lehet nézni netről is, ha valaki hajlandó sokat keresgélni és olvasgatni. Nekem pont azért lenne jó egy levelezős képzés, mert a Péterfalvi, aki a szakfelelős a NAIH elnöke, szóval biztosan tudják, hogy mit csinálnak, illetve össze is szedik nekem, és nem kell heteket, hónapokat ezzel töltenem. Inkább fizetek azért, hogy ne essen ki ez az idő.
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz szaszayanou #440 üzenetére
Linkeld be légyszi! Én meg megpróbálok topikgazda lenni, aztán betenni ezeket az összefoglalóba.
Buliban hasznos! =]
-
inf3rno
Topikgazda
-
inf3rno
Topikgazda
Ha jól értem, akkor muszáj az adatvagyon leltár mellé a folyamatokat és a szerepköröket is összeírni, különben lövésem sem lesz, hogy az adott adatkezelésnek van e jogalapja vagy sem. Akkor viszont már kb ISO 9001-et csinálok, amit szerettem volna elkerülni és inkább csak az adatokra koncentrálni meg hogy mi az értékes, mire kell külön figyelmet fordítani, hogy megvédjük. Szerintem megállok azon a szinten, hogy megnézem mik az értékes adatok, utána pedig csak azokat a folyamatokat és szerepköröket szedem össze, ahol ezekhez hozzáférés van, a többivel meg vagy nem foglalkozok, vagy esetleg később foglalkozok velük. Tulképp akkor egész jól összeköthető ez az egész az IBF munkájával.
Buliban hasznos! =]
-
inf3rno
Topikgazda
-
inf3rno
Topikgazda
Létezik olyan szoftver, ami segíti az információs rendszerek összeírását, pl gépek, szoftverek, hálózatok, szoftver frissítések, személyek, hozzáférések, és így tovább? Elkezdtem tervezni egy ilyet IBSZ készítéshez, de egy kész megoldással előrébb lennék, feltéve, hogy mindent lefed.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Akartam még egy pendrive-ot, amin van írásvédettségre fizikai kapcsoló. Találtam közben ilyen forensics-es cuccokat, amikre bármit rá lehet dugni, és akadályozzák az írást: [link] Nekem csak azért kell, hogy egyirányú adatforgalmat tudjak csinálni egy szervezet és a laptopom között, szóval, hogy itthonról még csak véletlenül se kerüljön oda vírus és hogy ne kelljen felcsatlakoznom a hálózatukra, ha nem muszáj. Mik a tapasztalatok ilyen téren, mit érdemes venni, esetleg van valami best practice, amit érdemes követni?
Közben visszajeleztek, hogy a DPO-s képzésre felvettek. [link] Nem sikerült végül elérni a szakfelelőst vagy bárki mást, egyszerűen kitöltöttem az űrlapot talán egy hete, és most jeleztek vissza. Péntek 10-16 lesznek órák, ELTE, de lehet Teams-en is online nézni őket, mint az NKE-s képzésnél, amit majd igénybe is veszek, mert jóval kényelmesebb, mint 5-6 órát utazni, hogy személyesen ott legyek.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Érdekes. Mondjuk árat nem látni, gondolom levélben kéne rákérdeznem, aztán mondanának olyan összeget, hogy kiesnének a szemeim.
Maga az elgondolás tök érdekes, hogy bármi bemehet, de adat nem jöhet ki. Teljesen az ellentéte annak, amire én gondoltam, hogy bármi kijöhet, csak vírus ne menjen be.
[ Szerkesztve ]
Buliban hasznos! =]
Új hozzászólás Aktív témák
- Sony FE 300mm f/2.8 GM OSS ( SEL300F28GM )
- HP VICTUS 16,1" Full HD 144 Hz, i7-11800H, 16 GB, 512 GB SSD, RTX 3060 6 GB
- Eladó bontott dell, lenovo, hp alaplapok
- ASUS ROG STRIX Z690-A DDR4 White fehér garanciával
- 1060 6GB, Logitech G PRO X Superlight - Nem használt, hibátlan cuccok eladása brutálisan áron alul.
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen