EMLÉKEZTETŐ Helyszín: MagiCom Kft. Időpont: 2014.03.23 15:00 – 17:00 Résztvevők: Cseh Zsolt, Csizmadia Attila, Csuka Dénes, Gasparetz András, Harsán Péter, Harsánné Mariann, Katzenbach Konrád, Dr. Kovács László, Móricz Pál, Potoczky András Pokó István, Sebők Viktória Napirendi pontok 1.MÁRCIUSI RENDEZVÉNY ÉRTÉKELÉSE............................................................................................................. 1 2.MÁJUSI RENDEZVÉNY SZERVEZÉSE................................................................................................................. 1 3.INFORMÁCIÓBIZTONSÁGI DIPLOMA PÁLYÁZAT................................................................................................... 2 4.HÉTPECSÉTES TÖRTÉNETEK II....................................................................................................................... 2 5.MÉDIA TÁMOGATÁS................................................................................................................................... 3 6.SZAKMAI PARTNEREK.................................................................................................................................. 3 7.EGYEBEK.................................................................................................................................................. 4
1. Márciusi rendezvény értékelése 65. Fórum – Levezető: Dr. Ködmön István– 2015.03.18. • Érkezés, regisztráció • Mobil eszköz menedzsment – (Magyar Nemzeti Bank) - TG • Személyes adatok a CRM rendszerben – (Dr. Szabó Endre Győző) - GA • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • Újságíró pályázat győztesének előadása – CSD, GA • Incidens jogi szemmel – Dr. Dósa Imre Terem: 50.000 Ft / alkalom Catering: 1.700 Ft / fő / alkalom (120 főre, 204.000 Ft) 240 Regisztrált 162 Résztvevő 54 Értékelőlap 45 Kiadott igazolás
2. Májusi rendezvény szervezése 66. Fórum – Levezető: Gasparetz András – 2015.05.20. • Érkezés, regisztráció
• • • •
A közösségi oldalak HR és jogi vonatkozásai (???) – Sebők Viktória Gyógyszeripari nyomon követés (Józsa Erika, Szűcs Vince) –GA Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) Magán és konténeres adatszétválasztása mobil eszközökön (Bozsó Júlia) – Sebők Viktória • BCP, DRP audit gyakorlatban, beleértve a cloud-ot is (Kákonyi András,[Stipkovits István] Serbán Dániel) - GA Tartalék Otti Csaba - IoT Felhő téma tovább feszegetése a következő előadások alkalmával. Közigazgatás, technológia, állambiztonság…
3. Információbiztonsági diploma pályázat Rónaszéki Pétertől várjuk a grafikai megvalósítást a plakátokhoz.
Korábbi Szenes Katalin – megkeresése, terjesztés miatt. HOA – költségmegosztás Céges tagok szerepelhetnének a felsőoktatási intézmények figyelemfelkeltő plakátjain Korábbi nyertesek témavezetőinek megkeresése – Harsán Péter 3 db, Dr. Czintula György, Bartók Sándor TG, Dr. Ködmön István, Muha Lajos, Serbán Dániel – Intézményekben hirdetik
4. Hétpecsétes történetek II. Sebők Viktória visz Mysec rendezvényre, ingyenesen szétosztani.
Korábbi • • • • • • • •
szerkesztői példány: 10 db írói példány 9*5 db 45 db támogatói példány 11*5 db 55 db ITBN: 575 db Piac és Profit – „Fő a biztonság!”: 40 db ISACA konferencia: 5 db Hétpecsét fórum előadói példány: 4 db Oktatási példány: 60 db
Összesen: 794 Oktatásokra, rendezvényekre… a tagok kérhetnek osztható példányokat. OKJ, szakközépiskolai könyvtáraknak felajánlás 300-400 db Kari könyvtár felajánlás az évi információbiztonsági szak- és diplomadolgozata levéllel
A 2000 példány nyomtatása (ITBN-re szept 23-24.) megvalósult. Regisztráltanként egy-egy példány. Közhasznúsági jelentéshez előkészítés. Adatvédelmi nyilatkozat. Mind Opener-be ITBN képek,videó E-book formátumban van béta verzió, a tagoknak ki ment tesztelésre. A könyvet nyilvánosságra hozatali szándékát a jelenlévő tagok kinyilvánították. E-book formátum (Harsán Péter készíti el) Vízjellel, védelemmel ellátjuk, ha ez technikailag lehetséges. Dr. Dósa Imre – Nyilvánosságra hozatal jogi kérdései (GA) Imre szerint nincs akadálya, a szerzőket mindig fel kell tüntetni. ITBN – részt vehetünk, a jelenlévőknek oszthatunk könyvet. Nagyjából 2000 példányra van szükség, ehhez még 2 új céges támogatót kell találnunk. (GA) Vésztartalék: Ha nem találunk támogatót a fennmaradó üres oldalakat információbiztonsággal kapcsolatos témájú reklám célokra is megpróbálhatjuk kiadni (pl.: Antivirus program) Részletes állapot a 2. mellékletben. Üres oldalak (esetek között) vagy reklám vagy jegyzet legyen a következő kiadásban.
5. Média Támogatás A Press Akadémia az értékelések alapján Dr. Dósa Imre anyagából készít sajtópublikációt, mely lehetőség szerint az Egyesület honlapján, és linkedin honlapján fog megjelenni. Illetve a diplomadolgozat nyertessel is készült egy rövid interjú. Ingyenes szolgáltatás jogi és adózási kérdése Sebők Viktória: Gaborral ma ismet felvetettuk a publikacios lehetoseget. Szivesen megcsinalom a tudositasokat, cserebe csak annyit kerek, hogy alakitsunk ki gyakornoki programot, szakmai muhelyeket a Press Akademianak. Ha gondoljatok, errol beszelgessunk. Euro Astra – Harmat Lajos
Korábbi Biztonságportál, IT café, Mysec, Computer World, IT Behavior, Biztonság Piac Média támogatók – anyagi juttatások nélküli. Kölcsönösen előnyös megállapodás. Hozhatják a média anyagjaikat, cserébe ők is megjelenítik a mi rendezvényeinket. FONTOS. A szakmai körtől teljes mértékben elszeparáltan működjön. Korlátok között működhessen. Egyelőre csak ötlet szinten, márciusi közgyűlésen lehessen róla szavazni.
6. Szakmai partnerek 6.1 Neumann Személyes megbeszélésen GA egyeztet a Neumann-nal a további együttműködésről.
Korábbi Neumann 1200-1400 fős címlista. Hívjunk el egy Neumann – Informatikai történelmi műhelytől egy képviselőt a következő megbeszélésre, megbeszélni a lehetséges közös együttműködés alapjait – Dr. Kovács László, Kesselyák Péter Szegedi múzeum
6.2 (ISC)2 A részleteket egyeztetetésre várnak, kb. arról van szó, hogy annak fejében, hogy kirakhatják majd az előadóteremben az Egyesület hirdetőtábláját, elküldik a SecureCEE meghívóját a címjegyzékükre. Azt már meg is engedték, hogy a múltkori rendezvényen felhívjam a figyelmet a konferenciánkra.
7. Egyebek 7.1 CISA pontok. A megjelent igénylőknek nem papír alapon adnánk oda, hanem online elküldjük a részükre.
7.2 DATA Destroy Kft Jelentkeznek céges pártoló tagnak, Alattyányi István közreműködésével. Következő találkozó időpontja: 2015.05.25. 15:00-17:00 Helyszín: Certop???
Mellékletek
számú melléklet LXV fórumról IBIRkérdések fontosságának megismertetése nem IT szakember kollégákkal. Cloud biztonság, mobil eszközök biztonsága, kérdései, Kiberbiztonság, Kiberbűnözés jogi aspektusai, Eljárások az információbiztonsági incidensekért felelősökkel szemben – Gyakorlati tapasztalatok mit, hogyan. Milyen hatással, hatékonysággal lehet alkalmazni? IBTV Módosítás Alkalmazás biztonság, alkalmazások fejlesztése biztonsági kritériumok figyelembe vételével, adatbiztonság. Internet, jog adatvédelem, Sérülékenység vizsgálat, BCP-DRP tesztek a gyakorlatban Ipari Infrastruktúrák Információ biztonsági védelme, specifikációk. 2013.L.tv. Gyakorlati alkalmazása, 77/2013 NFM. Stb., Adatvédelmi jog gyakorlat, konkrét esetek, IT-biztonság gyakorlat NEIH tapasztalatok a 2013.L. tv-ből. Személyes adatok kezelése, amikor, nem alkalmazotti státuszban történik a kapcsolat felvétel. Tiltható-e a közösségi oldalakon való megjelenés a munkaadó részéről, illetve a munkaidő alatti használat. Hálózat biztonság, Adatszivattyúk, Adatvagyon, adatlopás, piaci értéke. Eu szintű Informatikai eggyüttműködés (példák). Cyber Security 2013.L.tv. Kapcsolódó rendeletek, végrehalytása, hatékonysága. Gyógyszeriparra vonatkozó szabványok, minősítések értelmezése, használata,
SCADA biztonság, Ipari hálózatok Mobil kommunikációs eszközök biztonsági védelme. Ethical Hacking tapasztalatok (ügyfél oldal) Infóbiztonság az ügyvezetés szemszögéből (miért, felelősségek, partnerség, kitöl) Mennyire jogszerű a kiállításokon történő személyes adatok gyűjtése? Interneten történő vásárlásnál mennyire jogszerű a megajándékozni kívánt adatainak bekérése? Milyen adatok esetén lehet még elfogadni? Egy kedvezmény kártyán, törzsvásárlói kártyán, bérleten, milyen adatok az elfogadhatók megszemélyesítés esetén valamint adatbekérésnél?
? Licence IPRS (CSD) ? CERT működése az átszervezés után (TG) Facebook Business – védelmi vonatkozásai
IoT service 5. generációs számítógép ?? Gyebrovszky Tamás – Kormányzati Esemény kezelő ? TG Információbiztonsági oktatás, és visszajelzés - tartalék ? ISO 27019 Energia szektor LX. fórum kiértékelő lapjairól • Log managment, Password tárolás • Védelem a közösségi oldalakon • Biztonság a mindennapi életben
•
Kockázat elemzés
• •
Hálózatbiztonság, auditálás Elhangzott a FACEBOOK személyessége, milyen módon lehetne a felhasználást, korlátozni az oktatási intézményekből kitiltani. pl.: ha valaki nem akar ott jelen lenni, de cégek csak ott tesznek közzé információkat, ez hátrányos megkülönböztetés, személyességi jogok. Űrbéli információs tevékenység, biztonság technikai vonatkozásai pl.: Google Earth stb. Miért ilyen, kevés a tanusított rendszerek száma?
• •
LIX fórum kiértékelő lapjairól • Információ biztonsági incidensek elemzése. • Hozzáférés menedzsment • Jó volt a logelemzős előadás, de nem a mobileszközökről szólt – ezt érdemes lenne jövőre beütemezni
Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: • Network security, Malware és egyéb célokat támogató módszerek. • COBIT 5, ITIL, • Forensic SW-k, tesztek, összehasonlítások • BYOD cset tanulmány, Cloud biztonság, • Humánfaktor az Információ védelemben • Magánhasználók tudatosságát erősítő oktatási tervek. • Mobil eszköz védelem technikák, ajánlások, van-e • Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. • Információ biztonság „Cloud” könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: • Dörömbözy Csaba – Facebook és egyéb közösségi oldalak információ biztonsági kérdései • Quantum kulcs használat • NEK biztonsága, Egészségügyi kártya biztonsága • Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei • Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: • Föderatív Identiti managment • Magyar CERT-ek • Log gyűjtés, Log elemzés • IBTV – Rendelet • Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYOD- Soo privát cloud managmentre. • DLP jogi aspektusai (pro és kontra) • Információ biztonság átültetése a gyakorlatba • smart metering, adattest • Forensics • Wifi biztonság, okos telefon mint hacker • Azonosítás szolgáltatás felhasználás során
• • • • • • • • • •
Hálózati biztonság – nem jogi Nemzetbiztonság, hálózati biztonság ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím, ....... stb,) e-banking, bankkártya biztonság Adatszivárgás, Biztonság ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók Információbiztonsági törvény előkészítéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu Honvédelmi információvédelem
2. számú mellékelt Összes könyv:
300 db
Esemény/alkalom Hétpecsét fórum (XL) Társszerző, Redler Köteles példányszám Rendes tag, GA Társszerző, Móricz Pál Szenzor Kesselyák Péter Szerző, Ködmön István TG: Nemzeti közszolgálati Május 1000 forintos Májusi előadók
Dátum 2014.03.19 2014.03.19 2014.03.21 2014.03.24 2014.03.24 2014.03.24 2014.03.24 2014.03.25 2014.04.24 2014.05.21 2014.05.21
Raktáron: Kiosztott példányok száma 141 db 1 db 6 db 1 db 5 db 2 db 2 db 5 db 31 db 5 db 2 db
Tervezett osztások
Tervezett fennmaradó példányszám:
Eseméy/alkalom Szerzők (10 fő) Lektor Pártoló cégek (7 cég) Pártoló személyek Rendes tagok MSZT
Dátum
Tervezetten kiosztandó példányok száma 50 db 5 db 14 db 16 db 10 db 5 db
Következő nyomtatásból tervezett Esemény/alkalom Szerzők (10 fő) Lektor Pártoló cégek (7 fő) ITBN Szeptembertől, előadók
Dátum
Tervezetten kiosztandó példányok száma 50 db 5 db 56 db 1200 db 20 b
99 db
-1 db
3. számú mellékelt
Angol eredeti
Cobit 5
Allocation
allokáció, felosztás
Audit trial
audit nyomvonal
MSZ ISO/IEC 27001: 2006 kiosztás
audit lista
Awareness Tudatossági Tudatosítási progProgram program ram Change Control Változáskontroll változásszabályozás felkészültség, szakCompetency kompetencia értelem Control Kontroll Intézkedés Control Objective
Kontroll célkitűzés szabályozási cél
Cross-functional
Egymással öszszefüggő
interdiszciplináris
MSZ ISO/IEC 27001: 2014 draft -
Változáskontroll Intézkedés
HGK javaslat
HGK komment
költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal
szövegkörnyezettől függ
7P javaslat
Tudatosító program ok. szakértelem
kontroll intézkedési célki- kontroll célkitűzés tűzés szervezeti egységeken átívelő rendkívüli esemény / biztonsági esemény
incident
rendkívüli esemény (incidens) incidens
incidens
privacy Review
biztonság, védettség felülvizsgálás
felülvizsgálás
bizalmasság átvizsgálás
költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal Tudatosítási program Változáskontroll
szakértelem Elterjed a magyar nyelvben (belső ellenőrzés, IT ellenőr- kontroll zés, közszféra), a biztonsági szakembereknek is el kell Kontroll célkitűezt fogadni. zés szervezeti egységeken átívelő
Ezen lehetne filozofálni, de itt szerintem nincs bővebb jelentéstartalma az incidens fogalomnak a rendkívüli eseménynél. Jogszabály a kifejezetten security incidenteket pedig biztonsági eseményként definiálja: http://njt.hu/cgi_bin/njt_doc.cgi? docid=160206.259663 incidens szövegkörnyezettől magánélet, titoktartás is lehet bizalmasság, véfügg dettség ok. felülvizsgálás
risk assessment
kockázat-értékelés
ok. kockázatfelmérés
kockázat kiértéRisk Evaluation kelése kockázatértékelés
kockázat kezeRisk Treatment lés Roles and Responsibilities Root Cause
Upgrade Vulnerability
szerepek és felelősségek gyökérok
Frissítés sérülékenység
kockázatjavítás
kockázatfelmérés
kockázatfelmérés
-
kockázatértékelés
kockázat kezelés
kockázatkezelési risk management-et is így szokás fordítani. intézkedés / kockázati válaszintézkedés
feladat- és felelősé- szerepek és fele- ok. gi körök lősségek kiváltó ok bővítés / továbbfejlesztés Bővítés sebezhetőség
Fejlesztés sebezhetőség
szerepek és felelősségek gyökérok fejlesztés túl sok értelmű, célszerű egyértelműsíteni a magyar verziót
ok.
KONTROLL folyta- Régi cobitban irányítási és ellenőrzési mechanizmus volt, de váltottunk a kontroll fogalomra. tás Az intézkedés részben lefedi a control-t, de pl egy alkalmazásba épített automatizált kontroll (application control), az nehezen érthető, ha magyarul gépesített intézkedésként fordítanánk. Állami anyagokban is a kontroll fogalmat használják: ÁSZ: http://www.asz.hu/modszertan/iranyelvek-a-belso-kontroll-standardokhoz-a-kozszferaban-intosai-gov-9100/issai-9100.pdf NGM: http://njt.hu/cgi_bin/njt_doc.cgi?docid=143099.253971
kockázat kezelés
bővítés / továbbfejlesztés sebezhetőség
