EMLÉKEZTETŐ Helyszín: Magicom Időpont: 2013.11.25. 15:00 – 17:00 Résztvevők: Dr. Czintula György, Cseh Zsolt, Csuka Dénes, Gasparetz András, Harsán Péter, Harsánné Mariann, Katzenbach Konrád, Kesselyák Péter, Dr. Kovács Lászlóm Móricz Pál, Potóczky András Napirendi pontok 1.NOVEMBERI RENDEZVÉNY ÉRTÉKELÉSE................................................................................................1 2.JANUÁRI RENDEZVÉNY SZERVEZÉSE......................................................................................................2 3.HÉTPECSÉTES TÖRTÉNETEK V2..............................................................................................................2 4. KÖZÖSSÉGI MÉDIA.................................................................................................................................4 5.EGYÉB 4 6. MELLÉKLETEK.......................................................................................................................................5
1. Novemberi rendezvény értékelése 58. Fórum – Levezető: Gasparetz András– 2013. november 20. • Érkezés, regisztráció • Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Gasparetz András (Hétpecsét Inf.bizt. Egyesület) elnök. • Crysys - szakmai előadás Félegyházi Márk (BME) • Bring your own device Mozsik Tibor Eurocloud • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • Az "Év információvédelmi diplomadolgozata" cím nyertesének előadása: Dinya Péter: Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése • ISO/IEC 27001:2013 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató 191 regisztráló, 125 résztvevő. (ebből 24 (31) ZSKF-es diák) 28 kitöltött értékelő lap. Markáns kritika érte az állandó és hosszú Hétpecsétről szóló bevezetőt az előző fórumon, most nem érte kritika, a változtatást eredményesnek találtuk. Talonban maradt, illetve újonnan felmerült előadás ötleteket lásd az 1. mellékletben Tagdíj pénztár felállítása a rendezvényen.
2. Januári rendezvény szervezése 59. Fórum – Levezető:– 2014.január 15. • Érkezés, regisztráció • Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Dr. Ködmön István (Hétpecsét Inf.bizt. Egyesület) Alapító tag • Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) • ISO 27014:2013 Governance on information security Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató Javaslatok: • Dr. Gaál Zoltán – vezetőség felelőssége (GA) • Balabit log elemzés - gyűjtés Mobil eszközöknél (CSD) • Pénztárgép (CSZS) Vágújhelyi Ferenc • tartalék: Govcert (CZGY) Kávégép, és sütemények terítése (túl nagy tömeg gyűlik fel) Kávé minőség javítása Időjelzés az előadóknak
3. Hétpecsétes történetek v2 Kérdőívek értékelése 45 válaszadó • Nagyrész a már megjelent szabványok után van érdeklődés (az összes válaszra vetítve a válaszok 85%) • A 27000-ben nevesített szabványokra a válaszadók fele mutat érdeklődést (az összes válaszra vetítve a válaszok 54%) Értékelés összefoglaló diagramjai az 2. mellékletben. A kérdőívek alapján úgy döntöttünk, hogy a már megjelent szabványokat dolgozzuk fel. A kérdőívben írónak jelentkezők: Nagy Péter: 20/952-1483,
[email protected] (ISO 27019, 27032) Molnár László: 30/488-5991
[email protected]
Írónak jelentkezők Nagy Péter a két megjelölt szabványra jelentkezett, Molnár László esetében a rövid bemutatkozása alapján jelöltünk szabványokat, a kapcsolatfelvétel még nem történt meg.
Kérdőíven szereplő sorszám 1 2
Szabvány száma
Szabvány megnevezése
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary Information technology -- Security techniques -- Information security ISO/IEC 27001:2013 management systems – Requirements ISO/IEC 27000:2012
3
ISO/IEC 27002:2013
Information technology -- Security techniques -- Code of practice for information security controls
4
ISO/IEC 27003:2010
Information technology -- Security techniques -- Information security management system implementation guidance
5
ISO/IEC 27004:2009
Information technology -- Security techniques -- Information security management -- Measurement
6
ISO/IEC 27005:2011
7 8 9
Information technology -- Security techniques -- Information security risk management Information technology -- Security techniques -- Requirements for bodiISO/IEC 27006:2011 es providing audit and certification of information security management systems Information technology -- Security techniques -- Guidelines for informaISO/IEC 27007:2011 tion security management systems auditing
Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Information technology -- Security techniques -- Governance of information security Information technology -- Security techniques -- Information security management guidelines for financial services
ISO/IEC 27010:2012
12
ISO/IEC 27011:2008
13
ISO/IEC 27013:2012
14
ISO/IEC 27014:2013
15
ISO/IEC TR 27015:2012
19
Information technology -- Security techniques -- Information security ISO/IEC TR management guidelines based on ISO/IEC 27002 for process control 27019:2013 systems specific to the energy utility industry
21 22 23 24 25 26
Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity Information technology -- Security techniques -- Guidelines for cyberseISO/IEC 27032:2012 curity ISO/IEC 27033- Information technology -- Security techniques -- Network security -- Part 1:2009 1: Overview and concepts ISO/IEC 27031:2011
ISO/IEC 27033- Information technology -- Security techniques -- Network security -- Part 2:2012 2: Guidelines for the design and implementation of network security Information technology -- Security techniques -- Network security -- Part ISO/IEC 270333: Reference networking scenarios -- Threats, design techniques and 3:2010 control issues Information technology -- Security techniques -- Network security -- Part ISO/IEC 270335: Securing communications across networks using Virtual Private Net5:2013 works (VPNs) ISO/IEC 27034- Information technology -- Security techniques -- Application security -1:2011 Part 1: Overview and concepts
27
ISO/IEC 27035:2011
28
ISO/IEC 27037:2012
37
MP MP TG TG
ISO/IEC TR Information technology -- Security techniques -- Guidelines for auditors 27008:2011 on information security controls
11
20
Jelentkező
Information technology -- Security techniques -- Information security incident management
Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence Health informatics -- Information security management in health using ISO/IEC 27799:2008 ISO/IEC 27002
Molnár László? MP Molnár László? Nagy Péter Molnár László? Nagy Péter Kesselyák Péter Kesselyák Péter Kesselyák Péter Balabit ?
CSZS Dósa Imre Muha Lajos
38
ISO 19011:2011 Guidelines for auditing management systems
Lektorálónak: Dr. Bartók Sándor P., Harsán Péter, Potóczky András
Hétpecsétes történetek v2 előzmények Ködmön István összefoglalta a Hétpecsétes történetek II tervezésének az állását. Tervezett cím: Hétpecsétes történetek II. Kiadás ismét papír alapon történik az első résznek megfelelő formátumban, tervezetten 80100 oldal terjedelemben. István kért ár ajánlatott a korábbi nyomdától, példányszámról a szeptemberi találkozón döntünk. Tervezett megjelenési időpont a novemberi (LVIII) fórum. - Nem valósult meg. István ismertette a tervezett tartalomjegyzéket, lásd 3. számú melléklet István megírt a könyvből kb 30 oldalt, de még átolvasandó, finomítandó, ennek tartalma: • első lapok - bevezetés • Menedzsmentszabványok rész • Szabványcsalád rész • ISO/IEC 27000 eset • ISO/IEC 27001 példa az elnevezésre
4. Közösségi média Linked In-es oldal elkészült, a fórumon megadtuk az elérhetőségét. A weblapfejlesztéssel kapcsolatban még folynak a tárgyalások az egyetemekkel.
5. Egyéb Következő találkozó időpontja: 2014.01.20. 15:00-17:00 Helyszín: SGS
6. Mellékletek 1. számú melléklet Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: • Network security, Malware és egyéb célokat támogató módszerek. • COBIT 5, ITIL, • Forensic SW-k, tesztek, összehasonlítások • BYOD cset tanulmány, Cloud biztonság, • Humánfaktor az Információ védelemben • Magánhasználók tudatosságát erősítő oktatási tervek. • Mobil eszköz védelem technikák, ajánlások, van-e • Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. • Információ biztonság „Choud” könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: • Dörömbözy Csaba – Facebook és egyéb közösségi oldalak információ biztonsági kérdései • NEK biztonsága, Egészségügyi kártya biztonsága • Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei • Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: • Föderatív Identiti managment • Magyar CERT-ek • Log gyűjtés, Log elemzés • IBTV – Rendelet • Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYODSoo privát cloud managmentre. • DLP jogi aspektusai (pro és kontra) • Információ biztonság átültetése a gyakorlatba • smart metering, adattest • Forensics • Wifi biztonság, okos telefon mint hacker • Azonosítás szolgáltatás felhasználás során • Hálózati biztonság – nem jogi • Nemzetbiztonság, hálózati biztonság • ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím, ....... stb,) • e-banking, bankkártya biztonság • Adatszivárgás, Biztonság • ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei • Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók • Információbiztonsági törvény előkészítéséről • 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu
•
Honvédelmi információvédelem
2. számú melléklet
A fenti diagram a már megjelent (második fő kérdés) utáni érdeklődést ábrázolja.
A fenti diagram a 27000-ben nevesített (első főkérdés) utáni érdeklődést ábrázolja. A nevestett és a megjelent szabványok részben megyegyeznek, ezért készült 2 diagram.
3. számú melléklet
TARTALOM ELŐSZÓ. ...................................................................................................................... 6 1. A MENEDZSMENTSZABVÁNYOKRÓL....................................................................... 7 1.1. Szabványosított menedzsment rendszerek rövid története.............................. 7 1.2. Az ISO 9000-es szabványcsalád...................................................................... 8 1.3. Egyéb szabványosított menedzsmentrendszerek........................................... 10 1.4. Szabványosított menedzsment rendszerek közös jellemzői........................... 11 2. INFORMÁCIÓ- ÉS ADATVÉDELMI MENEDZSMENT RENDSZEREK - ISMS................ 13 2.1. Az ISMS szerepe egy szervezet életében....................................................... 13 2.2. Az ISMS rendszerszabványok rövid története............................................... 14 2.3. Az ISO 27000 szabványcsaládhoz kapcsolódó alapfogalmak........................ 15 2.4. Az ISO/IEC 27001:2005 menedzsment-specifikus követelményei................ 17 2.5. Az ISO 27000-es szabványcsalád................................................................... 23 3. ESETLEÍRÁSOK A SZABVÁNYCSALÁD ELEMEINEK TÜKRÉBEN............................... 26 3.1. „Feljegyzés!? – Ez már a XXI. Század!” – ISO/IEC 27000:2008.................. 26 3.2. ISO/IEC 27001:2005 – Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények............................ 30 JEGYZETEK................................................................................................................. 34
