EMLÉKEZTETŐ Helyszín: Balabit Időpont: 2014.01.20. 15:00 – 17:00 Résztvevők: Dr. Bartók Sándor Péter, Dr. Czintula György, Cseh Zsolt, Csuka Dénes, Katzenbach Konrád, Kesselyák Péter, Dr. Kovács László, Nagy Péter, Pádár Péter, Potóczky András, Tarján Gábor, Napirendi pontok 1.HÉTPECSÉTES TÖRTÉNETEK V2..............................................................................................................1 2.MÁRCIUSI RENDEZVÉNY SZERVEZÉSÉNEK ÁLLAPOTA...........................................................................3 3.MÁJUSI RENDEZVÉNY SZERVEZÉSE........................................................................................................4 4.KÖZGYŰLÉS:...........................................................................................................................................4 5.EGYÉB 4 6. MELLÉKLETEK.......................................................................................................................................6
1. Hétpecsétes történetek v2 Állapot kész
17
folyamatban hiányzik
2 7
Kérdőíven szereplő sorszám
Szabvány száma
Szabvány megnevezése
Jelentkező
1
ISO/IEC Information technology -- Security techniques -- Information 27000:2012 security management systems -- Overview and vocabulary
István
igen
2
ISO/IEC Information technology -- Security techniques -- Information 27001:2013 security management systems – Requirements
TG
igen
3
ISO/IEC Information technology -- Security techniques -- Code of 27002:2013 practice for information security controls
TG
nem
4
ISO/IEC Information technology -- Security techniques -- Information 27003:2010 security management system implementation guidance
TG
nem
5
ISO/IEC Information technology -- Security techniques -- Information 27004:2009 security management -- Measurement
MP
igen
6
ISO/IEC Information technology -- Security techniques -- Information 27005:2011 security risk management
MP
igen
7
Information technology -- Security techniques -- RequireISO/IEC ments for bodies providing audit and certification of informa27006:2011 tion security management systems
TG
igen
8
ISO/IEC Information technology -- Security techniques -- Guidelines 27007:2011 for information security management systems auditing
TG
igen
9
ISO/IEC TR Information technology -- Security techniques -- Guidelines 27008:2011 for auditors on information security controls
((TG))
nem
11
Information technology -- Security techniques -- Information ISO/IEC security management for inter-sector and inter-organizatio27010:2012 nal communications
x
nem
12
Information technology -- Security techniques -- Information ISO/IEC security management guidelines for telecommunications or27011:2008 ganizations based on ISO/IEC 27002
13
Information technology -- Security techniques -- Guidance ISO/IEC on the integrated implementation of ISO/IEC 27001 and 27013:2012 ISO/IEC 20000-1
14
ISO/IEC Information technology -- Security techniques -- Gover27014:2013 nance of information security
15
MP
nem
Molnár László
igen
MP
nem
ISO/IEC TR Information technology -- Security techniques -- Information 27015:2012 security management guidelines for financial services
Molnár László
igen
19
Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 ISO/IEC TR for process control systems specific to the energy utility in27019:2013 dustry
Nagy Péter? (István)
igen
20
Information technology -- Security techniques -- Guidelines ISO/IEC for information and communication technology readiness for 27031:2011 business continuity
21
ISO/IEC Information technology -- Security techniques -- Guidelines 27032:2012 for cybersecurity
Molnár László Nagy Péter? (István)
igen igen
22
ISO/IEC 27033- Information technology -- Security techniques -- Network se1:2009 curity -- Part 1: Overview and concepts
Kesselyák Péter
igen
23
Information technology -- Security techniques -- Network seISO/IEC 27033- curity -- Part 2: Guidelines for the design and implementati2:2012 on of network security
Kesselyák Péter
igen
24
Information technology -- Security techniques -- Network seISO/IEC 27033- curity -- Part 3: Reference networking scenarios -- Threats, 3:2010 design techniques and control issues
Kesselyák Péter
igen
25
Information technology -- Security techniques -- Network seISO/IEC 27033- curity -- Part 5: Securing communications across networks 5:2013 using Virtual Private Networks (VPNs)
x
nem
26
ISO/IEC 27034- Information technology -- Security techniques -- Application 1:2011 security -- Part 1: Overview and concepts
Lengré Tamás
nem
27
ISO/IEC Information technology -- Security techniques -- Information 27035:2011 security incident management
CSZS
igen
28
Information technology -- Security techniques -- Guidelines ISO/IEC for identification, collection, acquisition and preservation of 27037:2012 digital evidence
Dósa Imre
igen
Muha Lajos István
nem igen
37 38
ISO/IEC Health informatics -- Information security management in 27799:2008 health using ISO/IEC 27002 ISO 19011:2011 Guidelines for auditing management systems
Aktuális döntések Primerate nyomda készíti. Határidők: Esetek el készületének új határideje február 21. Istvánnál átküldi a lektorálóknak február 28-ig Lektorálás március 7 Nyomda március 14
Előzmények Határidők:
Március 14 kikel jönnie a nyomdából! Február 7-re az esetek álljanak össze nyersanyag formájában, legyenek elküldve Istvánnak Példányszám 300 példány, későbbiekben ITBN miatt lehetséges utánnyomás 1000-1500 db Reklám Céges Pártoló, MSZT: 1 oldal reklám lehetőség felajánlása. Hétpecsét bemutatkozó anyag. Partner szervezeteknek nem ajánlunk fel. Nyomda Göncöl Print – referencia anyag kérése, Potóczky András ellenőrzésre. Ködmön István összefoglalta a Hétpecsétes történetek II tervezésének az állását. Tervezett cím: Hétpecsétes történetek II. Kiadás ismét papír alapon történik az első résznek megfelelő formátumban, tervezetten 80100 oldal terjedelemben. István kért árajánlatot a korábbi nyomdától, példányszámról a szeptemberi találkozón döntünk. Tervezett megjelenési időpont a novemberi István ismertette a tervezett tartalomjegyzéket, lásd 2. számú melléklet István megírt a könyvből kb 30 oldalt, de még átolvasandó, finomítandó, ennek tartalma: • első lapok - bevezetés • Menedzsmentszabványok rész • Szabványcsalád rész • ISO/IEC 27000 eset • ISO/IEC 27001 példa az elnevezésre
2. Márciusi rendezvény szervezésének állapota 60. Fórum – Levezető:Tarján Gábor– 2014. március 19. • Érkezés, regisztráció • Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Tarján Gábor (Hétpecsét Inf.bizt. Egyesület) alelnök • 77/2013 - Követelmények és a gyakorla Dr. Krasznay Csaba (Nemzeti Közszolgálati Egyetem) egyetemi adjunktus • Kliens oldali titkosítás a felhőben? miért más, mint az SSL? Lám István (Tresorit Kft.) ügyvezető igazgató • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • Az év információbiztonsági újságírójának előadása () • ISO 27011:2008 Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató
Linkedin-es próba jelentkezés (rövid ideig nem volt meghívó, csak azon a felületen) 18 jelentkező 60-as tábla készítetése. Kész van. MSZT-vel kommunikáció, árusítás a LX. fórumon, kedvezménnyel.
3. Májusi rendezvény szervezése 61. Fórum – Levezető: Gasparetz András– 2014. • Érkezés, regisztráció • Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Gasparetz András (Hétpecsét Inf.bizt. Egyesület) elnök • ? • ? • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • ? • ISO 27019 Energia szektor Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató ? CobIT szótár összevetése az ISO 27000-el Horváth Gergely Krisztián (TG) ? Hatósági eljárási tapasztalatok Dr Szabó Endre Győző ? Adatvédelmi audit, visszatekintés az első évre Dr Árvay Viktor ? Gyebrovszky Tamás – Kormányzati Esemény kezelő ? E-mail letagadás – GA ? Szoftver megbízhatóság ? TG Információbiztonsági oktatás, és visszajelzés - tartalék ? TG 27001:2013 audit, összehasonlítás a régivel ? 77/2013 NFM rendelet, esettanulmány, 1 önkormányzat példáján keresztül Padár Péter ? LinkedIn, BYOD jogi aspektus (GA) Szak, és diplomadolgozat meghirdetése.
4. Közgyűlés: Tervezett témák: Elnökségválasztás még nem aktuális, jövőre jár le az 5 éves periódus. Tagi pontszámok Közhasznúsági jelentés
5. Egyéb Cobit 5 lektorálás, terminológia – Sándor, Pál (LinkedIn-en érdekes kérdések) (CSZS)
Következő találkozó időpontja: Március 24 15:00 Helyszín: MagiCom
6. Mellékletek 1. számú melléklet LIX fórum kiértékelő lapjairól • Compliance • Információ biztonsági incidensek elemzése. • Kockázatértékelés • Hozzáférés menedzsment • Jó volt a logelemzős előadás, de nem a mobileszközökről szólt – ezt érdemes lenne jövőre beütemezni • ISO IEC 27001:2013 áttérés tapasztalatai
Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: • Network security, Malware és egyéb célokat támogató módszerek. • COBIT 5, ITIL, • Forensic SW-k, tesztek, összehasonlítások • BYOD cset tanulmány, Cloud biztonság, • Humánfaktor az Információ védelemben • Magánhasználók tudatosságát erősítő oktatási tervek. • Mobil eszköz védelem technikák, ajánlások, van-e • Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. • Információ biztonság „Cloud” könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: • Dörömbözy Csaba – Facebook és egyéb közösségi oldalak információ biztonsági kérdései • Quantum kulcs használat • NEK biztonsága, Egészségügyi kártya biztonsága • Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei • Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: • Föderatív Identiti managment • Magyar CERT-ek • Log gyűjtés, Log elemzés • IBTV – Rendelet • Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYODSoo privát cloud managmentre. • DLP jogi aspektusai (pro és kontra) • Információ biztonság átültetése a gyakorlatba • smart metering, adattest • Forensics • Wifi biztonság, okos telefon mint hacker • Azonosítás szolgáltatás felhasználás során • Hálózati biztonság – nem jogi • Nemzetbiztonság, hálózati biztonság
• • • • • • • •
ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím, ....... stb,) e-banking, bankkártya biztonság Adatszivárgás, Biztonság ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók Információbiztonsági törvény előkészítéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu Honvédelmi információvédelem
2. számú melléklet
TARTALOM ELŐSZÓ. ...................................................................................................................... 6 1. A MENEDZSMENTSZABVÁNYOKRÓL....................................................................... 7 1.1. Szabványosított menedzsment rendszerek rövid története.............................. 7 1.2. Az ISO 9000-es szabványcsalád...................................................................... 8 1.3. Egyéb szabványosított menedzsmentrendszerek........................................... 10 1.4. Szabványosított menedzsment rendszerek közös jellemzői........................... 11 2. INFORMÁCIÓ- ÉS ADATVÉDELMI MENEDZSMENT RENDSZEREK - ISMS................ 13 2.1. Az ISMS szerepe egy szervezet életében....................................................... 13 2.2. Az ISMS rendszerszabványok rövid története............................................... 14 2.3. Az ISO 27000 szabványcsaládhoz kapcsolódó alapfogalmak........................ 15 2.4. Az ISO/IEC 27001:2005 menedzsment-specifikus követelményei................ 17 2.5. Az ISO 27000-es szabványcsalád................................................................... 23 3. ESETLEÍRÁSOK A SZABVÁNYCSALÁD ELEMEINEK TÜKRÉBEN............................... 26 3.1. „Feljegyzés!? – Ez már a XXI. Század!” – ISO/IEC 27000:2008.................. 26 3.2. ISO/IEC 27001:2005 – Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények............................ 30 JEGYZETEK................................................................................................................. 34
