EMLÉKEZTETŐ Helyszín: Tarján birtok Időpont: 2014.08.26 15:00 – 17:00 Résztvevők: Csuka Dénes, Dr. Dósa Imre,, Gasparetz András, Harsán Péter, Harsánné Mariann, Katzenbach Konrád, Kesselyák Péter, Dr. Kovács László, Móricz Pál, Dr Muha Lajos, Potoczky András, Tarján Gábor Napirendi pontok 1. 2. 3. 4.
5. 6. 7.
SZEPTEMBERI RENDEZVÉNY SZERVEZÉSE..................................................................................1 SZAK ÉS DIPLOMA PÁLYÁZAT EREDMÉNYEI, ÉRTÉKELÉSE........................................................1 SAJTÓKÖZLEMÉNY.....................................................................................................................2 HÉTPECSÉTES TÖRTÉNETEK II...................................................................................................2 Aktuális...........................................................................................................................2 Korábbi............................................................................................................................2 PÉNZÜGYEK...............................................................................................................................2 EGYÉB........................................................................................................................................3 MELLÉKLETEK...........................................................................................................................4 1. számú melléklet...........................................................................................................4 2. számú mellékelt...........................................................................................................6 3. számú mellékelt...........................................................................................................7
1. Szeptemberi rendezvény szervezése 62. Fórum – Levezető: Dr. Ködmön István– 2014. 09.17. Érkezés, regisztráció Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Dr. Ködmön István (Hétpecsét Inf.bizt. Egyesület) alelnök PCI DSS / Bankkártya biztonság Szeip Attila K&H Bank (GA) E-mail letagadás – Pók László - GA Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) Keleti Arthur (ITBN szervezője, könyvosztásról) - TG Szakdolgozat nyeremény átadás, a nyertesek előadásai (Szerencsés Ákos) EI vezető képzés bemutatása (TG) Tartalék: ? 77/2013 NFM rendelet, esettanulmány, önkormányzat példáján keresztül Pádár Péter – TG ? Application seurity ISO 27034 -1 (GA) Vezetéknélküli mikrofonötlete ismét felmerült megpróbáljuk megjavítani a meglévő mikrofont. Harsán Péter dolgozik rajta.
2. Szak és diploma pályázat eredményei, értékelése Egy darab szakdolgozat pályázat érkezett be: Szerencsés Ákos WEB-es egér hőtérképek készítése és elemzése A jelenlévő bíráló tagok, egyetértenek a következőkben: A szakdolgozat csak érinti az információ biztonság területét. A szakdolgozat az elvárások felett teljesít. Továbbfejlesztési lehetőségek ígéretesek lehetnek A mérési minta kicsinek mondható Szavazatok: 9 IGEN 2 tartózkodás 0 NEM Felsőoktatási kapcsolatokat be kel vetni, hogy jövőre több szakdolgozatunk lehessen. Címjegyzékek Krasznai Csabától. Korábbi győztesek és konzulenseiket a levelező listákra.
3. Sajtóközlemény Diploma nyertes szept 17. E-book formátum szept 19.
4. Hétpecsétes történetek II. Aktuális A 2000 példány nyomtatása (ITBN-re szept 24.) még kérdéses. E-book formátumban van béta verzió, a tagoknak ki megy tesztelésre. István ellenőrzi.
Korábbi A könyvet nyilvánosságra hozatali szándékát a jelenlévő tagok kinyilvánították. E-book formátum (Harsán Péter készíti el) Vízjellel, védelemmel ellátjuk, ha ez technikailag lehetséges. Dósa Imre – Nyilvánosságra hozatal jogi kérdései (GA) Imre szerint nincs akadálya, a szerzőket mindig fel kell tüntetni. ITBN – részt vehetünk, a jelenlévőknek oszthatunk könyvet. Nagyjából 2000 példányra van szükség, ehhez még 2 új céges támogatót kell találnunk. (GA) Vésztartalék: Ha nem találunk támogatót a fennmaradó üres oldalakat információbiztonsággal kapcsolatos témájú reklám célokra is megpróbálhatjuk kiadni (pl.: Antivirus program) Részletes állapot a 2. mellékletben. Üres oldalak (esetek között) vagy reklám vagy jegyzet legyen a következő kiadásban.
5. COBIT A ISACA felkérésére (COBIT 5 fordítása, magyarosítása) teljes egészben nem vállalkozunk. Rész feladatokat egyeztetünk. Házon belül lehet rá vállalkozni.
6. Pénzügyek Potenciális pártoló tagok: Honlapon, Linkedinen reklámozzuk a könyvtámogatási lehetőséget ÉMI-TÜV-SÜD ITServices ComputerLinks Marton János (GA) NEIH Fortinet Hirsch Gábor
7. Egyéb Következő találkozó időpontja: 09.22. 15:00-17:00 Helyszín: MagiCom 4.emeleti tárgyaló.
8. Mellékletek 1. számú melléklet ? CobIT szótár összevetése az ISO 27000-el Horváth Gergely Krisztián (TG) ? Hatósági eljárási tapasztalatok Dr Szabó Endre Győző ?? Gyebrovszky Tamás – Kormányzati Esemény kezelő ? Szoftver megbízhatóság ? TG Információbiztonsági oktatás, és visszajelzés - tartalék ? ISO 27019 Energia szektor LX. fórum kiértékelő lapjairól Log managment, Password tárolás Védelem a közösségi oldalakon Biztonság a mindennapi életben Kockázat elemzés L/2013. tv. Alkalmazása BOYD, Mobile device managment Hálózatbiztonság, auditálás Elhangzott a FACEBOOK személyessége, milyen módon lehetne a felhasználást, korlátozni az oktatási intézményekből kitiltani. pl.: ha valaki nem akar ott jelen lenni, de cégek csak ott tesznek közzé információkat, ez hátrányos megkülönböztetés, személyességi jogok. Űrbéli információs tevékenység, biztonság technikai vonatkozásai pl.: Google Earth stb. Miért ilyen, kevés a tanusított rendszerek száma? LIX fórum kiértékelő lapjairól Compliance Információ biztonsági incidensek elemzése. Kockázatértékelés Hozzáférés menedzsment Jó volt a logelemzős előadás, de nem a mobileszközökről szólt – ezt érdemes lenne jövőre beütemezni ISO IEC 27001:2013 áttérés tapasztalatai
Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: Network security, Malware és egyéb célokat támogató módszerek. COBIT 5, ITIL, Forensic SW-k, tesztek, összehasonlítások BYOD cset tanulmány, Cloud biztonság, Humánfaktor az Információ védelemben Magánhasználók tudatosságát erősítő oktatási tervek. Mobil eszköz védelem technikák, ajánlások, van-e Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. Információ biztonság „Cloud” könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: Dörömbözy Csaba – Facebook és egyéb közösségi oldalak információ biztonsági kérdései Quantum kulcs használat
NEK biztonsága, Egészségügyi kártya biztonsága Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: Föderatív Identiti managment Magyar CERT-ek Log gyűjtés, Log elemzés IBTV – Rendelet Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYODSoo privát cloud managmentre. DLP jogi aspektusai (pro és kontra) Információ biztonság átültetése a gyakorlatba smart metering, adattest Forensics Wifi biztonság, okos telefon mint hacker Azonosítás szolgáltatás felhasználás során Hálózati biztonság – nem jogi Nemzetbiztonság, hálózati biztonság ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím, ....... stb,) e-banking, bankkártya biztonság Adatszivárgás, Biztonság ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók Információbiztonsági törvény előkészítéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu Honvédelmi információvédelem
2. számú mellékelt Összes könyv:
300 db
Esemény/alkalom Hétpecsét fórum (XL) Társszerző, Redler Köteles példányszám Rendes tag, GA Társszerző, Móricz Pál Szenzor Kesselyák Péter Szerző, Ködmön István TG: Nemzeti közszolgálati Május 1000 forintos Májusi előadók
Dátum 2014.03.19 2014.03.19 2014.03.21 2014.03.24 2014.03.24 2014.03.24 2014.03.24 2014.03.25 2014.04.24 2014.05.21 2014.05.21
Raktáron: Kiosztott példányok száma 141 db 1 db 6 db 1 db 5 db 2 db 2 db 5 db 31 db 5 db 2 db
Tervezett osztások
Tervezett fennmaradó példányszám:
Eseméy/alkalom Szerzők (10 fő) Lektor Pártoló cégek (7 cég) Pártoló személyek Rendes tagok MSZT
Dátum
Tervezetten kiosztandó példányok száma 50 db 5 db 14 db 16 db 10 db 5 db
Következő nyomtatásból tervezett Esemény/alkalom Szerzők (10 fő) Lektor Pártoló cégek (7 fő) ITBN Szeptembertől, előadók
Dátum
Tervezetten kiosztandó példányok száma 50 db 5 db 56 db 1200 db 20 b
99 db
-1 db
3. számú mellékelt
Angol eredeti
Cobit 5
Allocation
allokáció, felosztás
Audit trial
audit nyomvonal
MSZ ISO/IEC 27001: 2006 kiosztás
audit lista
Awareness Tudatossági Tudatosítási progProgram program ram Change Control Változáskontroll változásszabályozás felkészültség, szakCompetency kompetencia értelem Control Kontroll Intézkedés Control Objective
Kontroll célkitűzés szabályozási cél
Cross-functional
Egymással öszszefüggő
interdiszciplináris
MSZ ISO/IEC 27001: 2014 draft -
Változáskontroll Intézkedés
HGK javaslat
HGK komment
költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal
szövegkörnyezettől függ
7P javaslat
Tudatosító program ok. szakértelem
kontroll Elterjed a magyar nyelvben (belső ellenőrzés, IT ellenintézkedési célki- kontroll célkitűzés őrzés, közszféra), a biztonsági szakembereknek is el kell ezt fogadni. tűzés szervezeti egységeken átívelő rendkívüli esemény / biztonsági esemény
incident
rendkívüli esemény (incidens) incidens
incidens
privacy Review
biztonság, védettség felülvizsgálás
felülvizsgálás
bizalmasság átvizsgálás
költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal Tudatosítási program Változáskontroll szakértelem kontroll Kontroll célkitűzés szervezeti egységeken átívelő
Ezen lehetne filozofálni, de itt szerintem nincs bővebb jelentéstartalma az incidens fogalomnak a rendkívüli eseménynél. Jogszabály a kifejezetten security incidenteket pedig biztonsági eseményként definiálja: http://njt.hu/cgi_bin/njt_doc.cgi? docid=160206.259663 incidens szövegkörnyezettől magánélet, titoktartás is lehet bizalmasság, véfügg dettség ok. felülvizsgálás
risk assessment
kockázat-értékelés
ok. kockázatfelmérés
kockázat kiértéRisk Evaluation kelése kockázatértékelés
kockázat kezeRisk Treatment lés Roles and Responsibilities Root Cause
Upgrade Vulnerability
szerepek és felelősségek gyökérok
Frissítés sérülékenység
kockázatjavítás
kockázatfelmérés
kockázatfelmérés
-
kockázatértékelés
kockázat kezelés
kockázatkezelési risk management-et is így szokás fordítani. intézkedés / kockázati válaszintézkedés
feladat- és felelősé- szerepek és fele- ok. gi körök lősségek kiváltó ok bővítés / továbbfejlesztés Bővítés sebezhetőség
Fejlesztés sebezhetőség
szerepek és felelősségek gyökérok fejlesztés túl sok értelmű, célszerű egyértelműsíteni a magyar verziót
ok.
KONTROLL folyta- Régi cobitban irányítási és ellenőrzési mechanizmus volt, de váltottunk a kontroll fogalomra. tás Az intézkedés részben lefedi a control-t, de pl egy alkalmazásba épített automatizált kontroll (application control), az nehezen érthető, ha magyarul gépesített intézkedésként fordítanánk. Állami anyagokban is a kontroll fogalmat használják: ÁSZ: http://www.asz.hu/modszertan/iranyelvek-a-belso-kontroll-standardokhoz-a-kozszferaban-intosai-gov-9100/issai-9100.pdf NGM: http://njt.hu/cgi_bin/njt_doc.cgi?docid=143099.253971
kockázat kezelés
bővítés / továbbfejlesztés sebezhetőség
