Új hozzászólás Aktív témák
-
bambano
titán
1. hogy nincs az országban egy ember sem, aki fel merné vállalni, hogy értelmezi. Aki meg értelmezi, az saját fenekének védelme céljából téves értelmezést ad.
2. persze, benne van a garnitúra is, de a garnitúra zömében jogász, és olyan esetekben is marhaságot dönt, amikor nem tudok se mutyit, se politikai célt feltételezni mögötte. a garnitúra kisebbrészt közgazdász, a másik vörös posztó a szememben
-
Waikiki
tag
válasz
#06658560
#12
üzenetére
Ez a dolgok túlzott leegyszerűsítése egyetlen esetre.
Mert az is hackertámadás lesz, ha az évek óta nem frissített rendszert nyomják fel valamely egzotikus ország hackerei, márpedig ebben az esetben azért hadd lehessen már a frissítést elhanyagoló adatkezelő/adatfeldolgozó nyakába varrni a dolgot.
Szívesen fogadok bárkivel, hogy a hatóság teljesen másképp fogja értékelni azt az esetet, amikor az adatkezelő az adatfeldolgozótól megkövetel egy elvárható biztonsági szintet, az pedig ennek meg is felel, mégis mondjuk egy 0-day sebezhetőségen keresztül felnyomják a szervert - erre ugyanis a legnagyobb gondossággal sem készülhetett fel. A cikkben is hivatkozott ügyben - a határozatra a linket lásd fent - azonban marhára nem erről folt, hanem a fentebb említett trehányságról, ahol szerintem joggal kapta azt a büntetést, amit. Egy jogilag normálisan leszabályozott adakezelői-adatfeldolgozói szerződésben pedig ha a bírság az adatfeldolgozó tevékenységére vezethető vissza, akkor azt az adatkezelő izomból át tudja hárítani. A gond ott van, hogy az adatvédelmi-adatbiztonsági kérdések megítéléséhez szükséges (informatikai) szemlélet hiányzik a szerződést író jogászból, így nem kellően körültekintően írja meg a szerződést, aminek az eredménye az lesz, hogy az adatfeldolgozó sara végül az adatkezelőre fröccsen.
-
Waikiki
tag
-
#15
bambano
titán
dragon1993
#14
bambano
titán
válasz
dragon1993
#14
üzenetére
természetesen vonatkoznak.
-
#14
dragon1993
őstag
dragon1993
őstag
Ha jól tudom, külföldi szerveren végzett adatkezelésre nem vonatkoznak ezek a szabályok, így kb azt érik el, hogy ott lesz hostolva minden.
-
-
bambano
titán
"messze nem erről van szó": valóban nem erről van szó, hanem arról, hogy van egy csokor törvény, amit jogászok írtak és zömében rosszak, végrehajthatatlanok és/vagy tönkreteszik a vállalkozásokat, ha mégis. kapásból egyet mondok: jelenleg egyetlen egy embert sem tudok az országban (pedig elég nagy körben kerestem), aki az eht 142. paragrafusát felelősséggel hibátlanul hajlandó lenne értelmezni. emellett egy csomó törvény keresztbe tesz más törvényeknek, hagyományos szerepköröket kavar össze, stb. stb. hogy a bánatos francban van egy normális országban olyan, hogy a nav-ot adatbiztonsági szakértői és jogalkalmazói szerepbe hozzák???
a valós helyzet jelenleg az, hogy benne van a költségvetési törvényben, hogy x forintot be kell szedni bírságként, alábontva területenként, így törvény kötelez rá, hogy törvénysértő legyél. a hatóság kilométerekkel lemaradva kullog az élet után, és semmi más eszköze sincs, mert buta, mint a föld, csak a korbács.
most például olyat is hallottam, hogy azon megy az agyalás, hogy a cégek legyenek öntanusítók adatbiztonság területén. wtf???
egyre inkább úgy gondolom, hogy a jogászokat nem lenne szabad törvényalkotói helyre beengedni.
-
Waikiki
tag
Szerintem teljesen jó ez a gyakorlat, ez ugyanis megakadályozza azt, hogy az egymásramutogatások közt elvesszen a felelős. (Nem adatvédelmi jellegű eset, de például a BKV/BKK a köcsög ellenőrök viselkedése kapcsán pont ezt csinálja, miszerint az alvállalkozójára mutogat.)
Azt kell elfogadni egy informatikai portálon, hogy az adatvédelem nem informatikai kategória, hanem jogi; az adatbiztonság az informatikai fogalom. Éppen ezért jogi szempontból úgy néz ki, ahogy a cikk végén is leírták: az adatkezelő felel mindenért, az adatfeldolgozó pedig az adatkezelő utasításai szerint jár el. Ilyen esetben az adatkezelő felelőssége, hogy az adatfeldolgozóval kötött szerződésben bebiztosítsa magát a felelősség kérdésében is azáltal, hogy az adatkezelőtől megköveteli az adatbiztonsági előírások betartatását, esetleg konkrét eljárásokat is meghatároz. Pontosan azért kell mindez, amit ti is írtok: ha az adatfeldolgozó varázsol valamit az adatokon, akkor a felelősség egyértelműen megállapítható legyen.
És itt most lehet elméleti polémiát folytatni arról, hogy egy oprendszer 0-day bug-ja miatt miért is felel az adatkezelő, de ahogy a pár héttel ezelőtti, a hozzáférés-szabályozástól teljesen mentesen a weboldalra kipakolt, betegellátási adatokat tartalmazó Access fájl esete mutatja, messze nem erről van szó, hanem kifejezetten felelőtlen adatbiztonsági megközelítésről.
U.i.: Amúgy a konkrét eset ez lesz, ahol különösen ajánlom az 5.-7. oldalak közti részt áttanulmányozni, ami azért kissé túlmutat a jajszegényártatlan hozzáálláson.
-
dabadab
titán
"például most kellene auditáltatni a közüzemi számlázórendszereket, ahol sikerült úgy alakítani a jogszabályt, hogy egy darab cég jogosult auditálni"
Az gondolom még véletlenül se lehet, hogy az az egy cég valakinek a rokonáé, abban meg végképp biztos vagyok, hogy az auditálást magas szakmai színvonalon végzik.
Én egy másik területen kerültem kapcsolatba az állami szabályzással, ott még a szakkifejezéseket is sikerült újradefiniálni a kiváló állami szerveknek.
-
bambano
titán
-
#06658560
törölt tag
Kérdés: hogy legyen felelős valaki a használt szoftverek lyukaiért, ha a licenszek nem engedik a forráskód megismerését, buherálását? Amikor engedik, mi az az elvárható programozói tudás, amit mindenkinek tudnia kell ahhoz, hogy el lehessen mondani, megtette ami elvárható tőle? Egy kis kft. saját levelezőrendszerrel, nem google vagy egyéb részére kiadva mennyire kell védje magát? Milyen szoftvert használhasson? Ha google rendszert használ- fizetőset- és feltörik a googlet, akkor büntethető legyen?
Új hozzászólás Aktív témák
ph A NAIH bírságolási gyakorlata egyre szigorúbb, az elrettentés is fontos szerepet játszik ebben.
- MacBook, Apple M1 / M2 kompatibilis dokkolók, DisplayLink 4K, USB-C, Type-C
- Beszámítás! Dell Optiplex 3080 SFF asztali számítógép - i5 10505 8GB RAM 256GB SSD Intel UHD 630 IGP
- Samsung Galaxy S23 Ultra 256GB, Kártyafüggetlen, 1 Év Garanciával
- SAMSUNG DDR4 REG ECC 32GB 2666MHz RDIMM szerver RAM modulok, nettó 15740Ft+ÁFA, 1 év gar., több db
- LG 77B3 - 77" OLED - 4K 120Hz & 0.1ms - NVIDIA G-Sync - FreeSync Premium - HDMI 2.1 - 700 Nits
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest