EMLÉKEZTETŐ Helyszín: HOA Időpont: 2013.08.27. 15:00 – 18:00 Résztvevők: Dr. Bartók Sándor Péter; Dr. Dósa Imre, Dörömbözy Csaba, Gasparetz András (GA), Gulyás Gábor (BME); Harsán Péter (HP), Harsánné Mariann (HM), Katzenbach Konrád (KK), Dr. Kovács László (KL), Dr. Ködmön István; Móricz Pál (MP), Dr.Muha Lajos; Orbán József, Potóczky András (PA), Szabó Zoltán (HOA), Tarján Gábor (TG)
1. Napirendi pontok 1.NAPIRENDI PONTOK................................................................................................................................1 2.SZEPTEMBERI RENDEZVÉNY SZERVEZÉSÉNEK ÁLLÁSA..........................................................................1 3.DOLGOZATOK BÍRÁLATA........................................................................................................................2 4.TAGFELVÉTEL.........................................................................................................................................2 5.TAGSÁG..................................................................................................................................................2 6.HÉTPECSÉTES TÖRTÉNETEK V2..............................................................................................................3 7.HÉTPECSÉT WEBLAPJA ÉS KÖZÖSSÉGI OLDALON VALÓ MEGJELENÉSE, PROFILJA..................................3 8.PÉNZÜGYEK............................................................................................................................................3 9.EGYÜTTMŰKÖDÉS MÁS SZERVEZETEKKEL.............................................................................................4 10.EGYÉB..................................................................................................................................................4 11. MELLÉKLETEK.....................................................................................................................................5
2. Szeptemberi Rendezvény szervezésének állása 57. Fórum – Levezető: Tarján Gábor – 2013. szeptember 18. • Érkezés, regisztráció • Köszöntő és bevezető gondolatok - Aktualitások azinformációvédelem területén Tarján Gábor (Hétpecsét Inf.bizt. Egyesület) alelnök • Az Identity management aktuális kihívásai. Jogosultságok a mobil eszközökön és a felhőben. Hargitai Zsolt (NetIQ Novell SUSE Magyarországi Képviselet) üzletfejlesztési vezető • Aktualitások az elektronikus információszabadságról szóló törvény kapcsán - hol tartunk most Dr. Muha Lajos (Nemzeti Közszolgálati Egyetem) főiskolai tanár • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • Az "Év információvédelmi szak- és diplomadolgozata" cím nyerteseinek előadása • Információbiztonság menedzsment útmutató a pénzügyi szolgáltatásokra - ISO/IEC TR 27015:2012 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató Időarányosan megfelelő, jelenleg 122 jelentkező. Talonban maradt, illetve újonnan felmerült előadás ötleteket lásd az 1. mellékletben
3. Dolgozatok bírálata Bírált dolgozatok: Szakdolgozatok (BSC) kategóriában: • Paráda István: A hálózatbiztonság vizsgálata a hálózati eszközöket érintő támadások gyakorlati szimulációin keresztül • Oláh Sándor: Házilag készíthető irányított energiájú mikrohullámú fegyverek az informatikai rendszerek ellen Diplomadolgozatok (MSC) kategóriában: • Dinya Péter: Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése • Andor Imre: Számítási felhő biztonság Győztesek: Szakdolgozatok (BSC) kategóriában: Paráda István: A hálózatbiztonság vizsgálata a hálózati eszközöket érintő támadások gyakorlati szimulációin keresztül Diplomadolgozatok (MSC) kategóriában: Dinya Péter: Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése Szavazatok eredményét lásd a 2. számú mellékletben. Az előzetese szöveges bírálatokat lásd a 3. számú mellékletben. Felajánlott díjak: • Herendi Porcelán Manufaktúra idén is felajánlott 2 márkázott baglyot a nyertesek részére. • Quastor utazási utalvány (50.000 Ft értékben) mindkettő nyertesnek. • Oklevelet kell még készíteni, idén kapjon a témavezető is!!!
4. Tagfelvétel Új tagnak jelentkezett Katzenbach Konrád, ajánló tagok: Cseh Zsolt és Tarján Gábor. Rövid bemutatkozását meghallgattuk (Óbudai Egyetem hallgatója, utolsó éves Minőségirányitó és rendszerfejlesztő, mérnökhallgató, és a MagiCom dolgozója) Jelentkezési kérelmét együttértésben elfogadtuk.
5. Tagság • • •
ISACA mint támogató (WJ és TG) BCM – Business Continuity Management Academy (Rónaszéki Péter) – (TG) T-Systems-tárgyalások voltak, céges pártoló tagként belépnek, várhatóan 2014 elejéig. (GA)
A múltbéli tagdíjtartozások eltörlésre kerültek a magán pártoló tagok esetén. Minden tagnak 2011.12.31. lett a lejárati ideje a nyilvántartásban kivéve aki megfizette a 2012-es tagdíját is. Tagdíj emlékeztető küldése az év végén
6. Hétpecsétes történetek v2 Ködmön István összefoglalta a Hétpecsétes történetek II tervezésének az állását. Tervezett cím: Hétpecsétes történetek II. Kiadás ismét papír alapon történik az első résznek megfelelő formátumban, tervezetten 80100 oldal terjedelemben. István kért ár ajánlatott a korábbi nyomdától, példányszámról a szeptemberi találkozón döntünk. Tervezett megjelenési időpont a novemberi (LVIII) fórum. István ismertette a tervezett tartalomjegyzéket, lásd 4. számú melléklet István megírt a könyvből kb 30 oldalt, de még átolvasandó, finomítandó, ennek tartalma: • első lapok - bevezetés • Menedzsmentszabványok rész • Szabványcsalád rész • ISO/IEC 27000 eset • ISO/IEC 27001 példa az elnevezésre Jelenlevők közül tájoktató jelleggel a következő személyek jelentkeztek. Írónak: Dr. Dósa Imre, Kesselyák Péter, Dr. Ködmön István, Móricz Pál, Dr. Muha Lajos, Tarján Gábor. Lektorálónak: Dr. Bartók Sándor P., Harsán Péter, Potóczky András
7. Hétpecsét weblapja és közösségi oldalon való megjelenése, profilja Vitaindító ötletekkel Dörömbözy Csaba készült: • Weblap fejlesztése a kor designe-jának megfelelően • Weblap angol nyelvű változatának elkészítése. • Facebookon és Linked in-en való megjelenés ötlete felmerült, Facebookon a fiatal korosztálynak címezve, Linked in-en szakmai formában megjelenítve Döntés egyik kérdésben sem született, egyetértés sem volt. A következő (LVIII) fórúmon Facebookon és Linked In-en való megjelenésünkkel kapcsolatban igény és vélemény felmérést végzünk kérdőíves formában. A kérdőív elkészítését Dörömbözy Csaba vállalta.
8. Pénzügyek NEA-KK-13-M-0388 pályázaton– indultunk – beadás határidő: december 11 volt. „Tavalyi összeggel megegyező költségtérítést nyújthat be az a cég, aki a 2012-es évben az Egyesületnek szolgáltatást nyújtott (például nyomtatás – Szenzor)” Eredetileg várólistára kerül pályázatunk, Nyert! Ily módon kapott összeg 250.000 Ft. Várhatóan kb. 400eFt „eredménnyel’ zárjuk a 2013-as esztendőt, kb. ez fordítható a könyvre.
9. Együttműködés más szervezetekkel Eredeti sajtóanyag ismertetésünk az alábbiakban olvasható: 2013. május 30. - A mai napon együttműködési szándéknyilatkozatot írtak alá hazánk legjelentősebb információbiztonsággal foglalkozó szakmai szervezetei. Az infokommunikáció, mint a gazdaság egyik húzóágazata a társadalom minden rétegében kifejti hatását, szolgáltatásait mindennapi életünkben, mint felhasználók kisebb részben, mint szolgáltatást nyújtók tapasztalhatjuk. Ezek a szolgáltatások olyan, akár a személyes életünket is érintő érzékeny adatokat kezelnek, melyeknek a védelme már nem csak egyéni, sokkal inkább társadalmi érdek. Hazánkban az információbiztonsággal foglalkozó szervezetek nagy örömmel fogadták az Országgyűlés által ezen adatok és kritikus infrastruktúrák védelme érdekében elfogadott, az állami és önkormányzati szervezetek elektronikus információbiztonságával foglalkozó törvényt, és jelen nyilatkozatukkal demonstrálni szeretnék a kormányzati törekvésekkel való egyetértésüket, és együttműködési szándékukat a kormányzati szereplőkkel. Az aláírók megállapodtak az alábbiakban: • az infokommunikáció szolgáltatásai manapság alapszolgáltatássá váltak, melyek megbízhatósága és védelme kiemelt figyelmet igényel • szakértelmüket közös fellépéssel és együttműködéssel ennek szolgálatába állítják • szakmai kérdésekben a mindenkori hatályos jogszabályok adta kereteken belül egyeztetnek • az információbiztonságot érintő kutatásokban, felmérésekben együttműködnek, eredményeiket a lehetőségeikhez mérten megosztják egymással • azok a kollégák, akik több szervezetnek is tagjai, segítenek élénkíteni az információáramlást • rendezvényeiken megjelenési lehetőséget biztosítanak a többi szervezetnek, tagjaiknak kedvezményeket biztosítanak • szorgalmazzák egyéb, hasonló területen működő szakmai szervezetek csatlakozását a nyilatkozathoz Hétpecsét Információbiztonsági Egyesület – http://hetpecset.hu/ KIBEV Önkéntes Kibervédelmi Összefogás – http://www.kibev.hu ISACA Magyarország Egyesület – http://www.isaca.hu IVSZ ICT Security munkacsoport – http://www.ivsz.hu MISZK Számítástechnikai és Informatikai Szakbizottság – http://www.miszk.hu
10.Egyéb Következő találkozó időpontja: 2013.09.23. 15:00-17:00 Helyszín: Meghatározás folyamatban.
11. Mellékletek 1. számú melléklet Talonban maradt illetve újonnan felmerült előadás-ötletek: • Dörömbözy Csaba – Facebook és egyéb közösségi oldalak információ biztonsági kérdései • Félegyházi Márk (BME) – Crysys – szakmai előadás • NEK biztonsága, Egészségügyi kártya biztonsága • Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei • Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: • DLP jogi aspektusai (pro és kontra) • Információ biztonság átültetése a gyakorlatba • smart metering, adattest • Wifi biztonság, okos telefon mint hacker • Azonosítás szolgáltatás felhasználás során • Hálózati biztonság – nem jogi • Nemzetbiztonság, hálózati biztonság • ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím, ....... stb,) • e-banking, bankkártya biztonság • Adatszivárgás, Biztonság • ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei • Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók • Információbiztonsági törvény előkészítéséről • 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu, • Honvédelmi információvédelem • Forensics •
2. számú melléklet Diplomadolgozatok (MSC)
Szakdolgozatok (BSC)
Dinya Péter: Jelszavak használatával Andor Imre: Számítákapcsolatos megolsi felhő biztonság dások, módszerek és szokások elemzése
Összesen: Dr. Bartók Sándor P. Dr. Dósa Imre Dr. Kovács László Dr. Ködmön István Dr. Muha Lajos Gasparetz András Gulyás Gábor György Harsán Péter Móricz Pál Potóczky András Tarján Gábor
1 1
Tartózkodó, de jelenlévő tagok neve nincs feltüntetve.
10 1 1 1 1 1 1 1 1 1 1
Paráda István: A háOláh Sándor: Házilag kélózatbiztonság vizsszíthető irányított energiáNe legyen dí- gálata a hálózati eszNe legyen díjú mikrohullámú fegyverek jazott közöket érintő támajazott az informatikai rendszerek dások gyakorlati sziellen mulációin keresztül 0
5
2 1
1
1 1 1 1 1 1 1
3. számú melléklet
Diplomadolgozatok Andor Imre: Számítási felhő biztonság - A címben sajnos a sikertelen magyar fordítást használta! - Kicsit sok benne egy gyártó terméke, vagyis a CISCO! (Dr. Bartók Sándor Péter) - Legjobban átgondolt struktúrájú. (Dr. Bartók Sándor Péter) A PRISM botrányt tekintve nagy hiányosságnak találom, hogy a privacy/személyes adatvédelem kérdését elméleti és említés szintjén is kerüli a dolgozata (csak az ipari kémkedést és szerzői jogsértést írja), annak ellenére, hogy konkrét megvalósításokat mégis tartalmaz (pl. Tresorit). (Gulyás Gábor György) Munkája sem rossz, de nekem (is) nagyon gyártó specifikus. (Muha Lajos) A témaválasztás mindenképpen aktuálisnak tekinthető. A szolgáltatási modellek összefoglalása példaértékű. Jól keveredik a műszaki és gazdasági szemlélet. A biztonsági és védelmi fejezetek jól tagolt, és strukturált részek. A végrehajtott tesztek és elemzésük kellően „tudományosak”. Alapos munka, de igazi nóvum vagy speciális hozzáadott érték nem fellelhető benne. Precíz, pontos iparos munka. (Tarján Gábor) Látszik, hogy van mögötte munka. Negatívum: Sokat dolgozott a kisérleti környezet felállításával, de kevésnek találom a saját eredményt. Nem válnak el a logikai egységek. Például a kutatáshoz felhasznált eszközök ismertetése "egyszer csak" minden utalás nélkül elkezdődik Főleg a 3. fejezetben több értelemzavaró megfogalmazással találkoztam. Akadt mondat szerkesztési hiba is. Pl.: "Az iSCSI támogatja a Challenge Handshake Authentication Protokolt (CHAP) amivel kilehet kényszeríteni az authentikációt és biztosítani fogja a feleket." (Harsán Péter)
Dinya Péter: Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése - Bár hangsúlyozta, hogy amerikai anyagokat vesz alapul, ez mégiscsak egy magyar dolgozat. Igaz volt egy 273 fős felmérése. - Irodalomkutatás volt, némi kritikával. - "kompromizálódhat", "számos legacy rendszer". - Érdekes, hogy szinte nincs is különbség az informatikusok és nem-informatikusok között! - Átgondolatlan struktúra: pl. Kitekintés. (Dr. Bartók Sándor Péter) A dolgozata valamennyi szempontból színvonalas diplomatervnek tekinthető (szerkesztés és nyelvezet, irodalomkutatás, támadó oldal és védekezési lehetőségek alapos bemutatása). Bár igazán átütő újdonságot sajnos ez a mű sem tartalmaz, a magyar jelszóválasztási szokások, nyelvi lehetőségek elemzése (feltételezhetően) újdonság. (Gulyás Gábor György) A témaválasztás jó. Olvasmányos. Relatíve kicsi a magyar minta (273 felhasználó), de egy dolgozathoz képest mégis nagy, mert ritkán dolgoznak ilyen elemszámú mintával egy dolgozatban. A mintához köthető következtetések pontosak. A támadói rendszerek összevetését taglaló fejezet (5.1) is számos saját gondolatot tartalmaz. A végső kitekintés (jövő) kifejezetten izgalmas. (Tarján Gábor) Pozitívum: A kitűzött célt, az olvasmányosságot és a "nevelő" hatást, felém elérte. Témájában, a kitűzött cél tekintetében jól illeszkedik egyesületünk szándékaihoz. Negatívum: Talán, kicsit több saját munka lehetett volna benne. (Harsán Péter)
Szakdolgozatok Práda István: A hálózatbiztonság vizsgálata a hálózati eszközöket érintő támadások gyakorlati szimulációin keresztül - Téma irodalmi összegzése. - Vizsgálandó hálózat leírása. - Végrehajtotta a talált módszereket a saját hálózaton. (Dr. Bartók Sándor Péter) Dolgozata behatolás védelem területével foglalkozik, azon belül - fő munkájaként - egy etikus hackelési esettanulmányt mutat be egy általa felépített rendszerbe való betörésről, feltérképezésről. Ezt a dolgozat színvonalasan teszi (noha ez nem tekintető nóvumnak), de arányaiban túl kis részt tesz ki (a nettó tartalom 1/3-a, míg a többi főleg alapdefiníciók tisztázására és irodalomkutatására megy el), és ráadásul túl sok benne az ábrák aránya. (Gulyás Gábor György) A dolgozat terjedelmét és igényességét (tartalmát) is tekintve jó színvonalú. A nyelvezet kicsit „civil”. Költői kérdések, élőbeszédhez közeli szófűzési gyakorlat… A 71 oldalas dolgozat 39. számozott oldalán kezdődik a saját teszt, előtte egy szakmailag pontos leírást kapunk hálózati elemekről és sebezhetőségeikről. A kísérleti infrastruktúra és a támadások leírása pontos és szabatos. A dolgozat különösen értékes részei: 53. számozott oldaltól (támadások elleni védelem) illetve 55. oldaltól (MH hálózatának elemzése). (Tarján Gábor) Korrekt. Saját mérések. Negatívum: Nem jut eszembe ilyen. Visszagondolva nem tudok sem pro sem kontra érveket felsorakoztatni. (Harsán Péter)
Oláh Sándor: Házilag készíthető irányított energiájú mikrohullámú fegyverek az informatikai rendszerek ellen Dolgozata izgalmas kérdést dolgoz fel, de a mű kissé rövidre sikerült, és arányaiban túl sok idézetet, illetve képet tartalmaz (van, hogy több oldalon keresztül csak idézetek és képek váltják egymást!). A dolgozat területe sok izgalmas lehetőséget magába foglal, amelyet az irodalomkutatásba bele lehetett volna foglalni (így szakmai, nem webes művekkel bővítve a referenciajegyzéket). (Gulyás Gábor György) A témafelvetés érdekes, és akár színvonalas kutatómunka irányába is vihette volna a dolgozat készítőjét. A felkiáltójeles mondatok tömkelege kicsit furcsa egy szakdolgozat stílusához. A felhasznált szerszámok és munkavédelmi eszközök fényképe kissé abszurd egy „tudományos” munka esetében (lásd 15. ábra). Az egyes részműveletek részletes bemutatása túlzó részletességhez vezet. (Pl. „lemez kilyukasztása árral” művelet fényképes bemutatása gyermekded és oldal-kitöltő műveletnek tűnik) A tesztelírások azokra az áltudományos „kísérletekre” emlékeztetnek, melyekkel a különböző népszerűséghajhász „tudományos” csatornák operálnak. A 14 db teszt eredményei gyakorlatilag azt mutatták, hogy fegyvernek csak akkor tekinthetőek a kipróbált eszközök, ha valakihez hozzávágjuk őket. Érdemi konklúziója a dolgozatnak nincsen, vagy csak a kísérletek elvégzése nélkül is megjósolható végkimenetelt rögzítik. A dolgozatot díjazásra nem javasolom. (Tarján Gábor) - Érdekes téma. - Végrehajtott kísérletek saját eredményekkel/eredménytelenségekkel. - Interneten található kísérletekkel kezdte. (Dr. Bartók Sándor Péter) A témaválasztás érdekes, szokatlan. Az elvégzett gyakorlati kutatás nem elvárt BSC szinten. Negatívum: Sem a dolgozat elkészítésére, sem a kísérletek megtervezésére nem fordított megfelelő gondosságot. Nem a népszerű ismeretterjesztő hangvételt kifogásolom. (Harsán Péter)
4. számú meléklet
TARTALOM ELŐSZÓ. ...................................................................................................................... 6 1. A MENEDZSMENTSZABVÁNYOKRÓL....................................................................... 7 1.1. Szabványosított menedzsment rendszerek rövid története.............................. 7 1.2. Az ISO 9000-es szabványcsalád...................................................................... 8 1.3. Egyéb szabványosított menedzsmentrendszerek........................................... 10 1.4. Szabványosított menedzsment rendszerek közös jellemzői........................... 11 2. INFORMÁCIÓ- ÉS ADATVÉDELMI MENEDZSMENT RENDSZEREK - ISMS................ 13 2.1. Az ISMS szerepe egy szervezet életében....................................................... 13 2.2. Az ISMS rendszerszabványok rövid története............................................... 14 2.3. Az ISO 27000 szabványcsaládhoz kapcsolódó alapfogalmak........................ 15 2.4. Az ISO/IEC 27001:2005 menedzsment-specifikus követelményei................ 17 2.5. Az ISO 27000-es szabványcsalád................................................................... 23 3. ESETLEÍRÁSOK A SZABVÁNYCSALÁD ELEMEINEK TÜKRÉBEN............................... 26 3.1. „Feljegyzés!? – Ez már a XXI. Század!” – ISO/IEC 27000:2008.................. 26 3.2. ISO/IEC 27001:2005 – Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények............................ 30 JEGYZETEK................................................................................................................. 34
