EMLÉKEZTETŐ Helyszín: Szenzor Időpont: 2015.03.09 15:00 17:00 Résztvevők: Csuka Dénes, Gasparetz András, Harsán Péter, Harsánné Mariann, Kesselyák Péter, Dr Kovács László, Móricz Pál, Potoczky András, Tarján Gábor, Rónaszéki Péter Napirendi pontok 1. JANUÁRI RENDEZVÉNY ÉRTÉKELÉSE...1 2. MÁRCIUSI RENDEZVÉNY SZERVEZÉSE...2 3. ÚJSÁGÍRÓ PÁLYÁZAT...2 4. MÁRCIUSI TISZTÚJÍTÓ KÖZGYŰLÉS...2 5. HÉTPECSÉTES TÖRTÉNETEK II...2 Korábbi...3 6. MÉDIA TÁMOGATÁS...3 Korábbi...4 7. SZAKMAI PARTNEREK...4 8. EGYEBEK...4 1. számú melléklet...5 2. számú mellékelt...7 3. számú mellékelt...8 1. Együttműködés az Információ Története Fórummal Kovács László kezdeményezésére eljött Megyery Károly bemutatni a 2009-ben a Neumann János Számítógép-tudományi Társaság (NJSZT) keretein belül alakult Informatikatörténeti Fórum (itf) szakmai közösséget, amely a magyar informatika történetével foglalkozik. http://itf.njszt.hu/ Megállapodtunk egy rövidtávú konkrét együttműködésben. A márciusi szakmai fórumunkon, és azt követő körlevélben lehetőséget biztosítunk nekik, hogy látogatóink között keressenek partnereket, aki segítheti munkájukat. Ők pedig a májusi fórumunk meghívóját kiküldik a saját címlistájukra, ezzel lehetőséget teremtve, hogy újabb informatikai vénájú emberek ismerjék meg a mi munkánkat. A hogyan továbbra is sok ötlet felmerült, de ezekről majd május után egyeztetünk. Linkedinen biztosítunk megjelenítési felületet. Valamelyik fórumon szívesen hallanánk korai információbiztonsági témában előadásokat. 1990- évek előtt járnak az előadásokkal, információ biztonsággal kapcsolatban nem volt még témájuk, általánosságok vannak. 93-94 IT biztonság kezdete. 3-4 fóliába elküldik 03.13.-ára mi az ITF, milyen céllal, milyen segítséget várnak. Következő lépésként hasznosabb együttműködés, levelező lista átadása. Értékelő lap hátulján információk, adatgyűjtési felhívás, elérhetőségeket adhatnak meg. Előzetes adatgyűjtésként bemutatjuk a ppt-t a következő fórumon. Információ védelmi incidensek, mi mindenre nem gondoltunk előadással készülnének. Áprilisban egyeztetnek az ITF-en belül. Májusi 7p fórumot ők promotálnák.
Ötlet: Nyári fórumot kihelyeznénk Szegedre az Informatikai Történelmi múzeumba, lehetne egy előadás megbeszélés. 2. Újságíró Pályázat Molnár József közfelkiáltással megnyerte az idei pályázatot. 3. Információbiztonsági diploma pályázat Az eddigi nyertesek konzulenseinek megkeresése megtörtént, az alábbiakban olvashatjátok az eredményeket. Bartók Sándor P.: Pannon Egyetem: Dr. Kosztyán Zsolt Tibor (Spilák Viktor/2011) - terjeszti, de idén nem várható megfelelő szintű; Dunaújvárosi Főiskola: Dr. Buza Antal (Fazekas Péter/2012) még nem sikerült elérnem. Corvinus: dr. Lovrics László (Fülöp Árpád, Virág Péter/2012) - még nem sikerült elérnem. Corvinus: Dr. Fehér Péter (Dinya Péter/2013) - neki nincs jó diplomázója, de kollégái között köröztetni fogja. Nemzeti Közszolgálati Egyetem: Prof. Dr.. Haig Zsolt mk. ezredes, PhD (Szentgáli Gergely/2012 idén is várhatóak megfelelőek; Nemzeti Közszolgálati Egyetem: Jobbágy Szabolcs (Paráda István/2013) - idén várhatóan lesz egy jó Harsán Péter Eddig dr. Buttyán Leventével és Gádor Győzővel beszéltem. Mindketten készségesek voltak. Dr. Buttyán felhívta figyelmemet, hogy a BME-n a BSC 3.5 éves. Így azok a hallgatók Januárban adják be dolgozatukat. A tavalyi kiírás az abban megjelölt beadási idő miatt kizárta ezeket a hallgatókat. Szerintem, sürgősen orvosolni kell ezt. Mivel ígértem visszajelzést, és is kérek a döntésről. Dr. Czintula György Már sikerült beszélnem Kovács Lászlóval; Gulyás Györggyel; Schulcz Róberttel, Muha Lajossal. A visszajelzések szerint köszönik a megkeresést, az előzetes információkat megköröztették, várják a kiírást, az általuk ismertek szerint lehetséges pályamű elkészítése (Lajos biztosra jelezte). Egyébként minden, nekem kiosztott konzulens kapott elektronikus levelet is. Szenes Katalin megkeresése, terjesztés miatt. HOA költségmegosztás Céges tagok szerepelni fognak a felsőoktatási intézmények figyelemfelkeltő plakátjain, Rónaszéki Péter elkészíti, közvetlen, modern, figyelemfelkeltő plakát terveket. Korábbi nyertesek témavezetőinek megkeresése Harsán Péter 3 db, Dr. Czintula György, Bartók Sándor TG, Dr. Ködmön István, Muha Lajos, Serbán Dániel Intézményekben hirdetik 4. Márciusi Tisztújító Közgyűlés
A meghívók kimentek. Levezető: Dr. Dósa Imre 5. Hétpecsétes történetek II. Dr. Kovács László, 5 példány az Informatika történelmi fórumnak. Korábbi szerkesztői példány: 10 db írói példány 9*5 db 45 db támogatói példány 11*5 db 55 db ITBN: 575 db Piac és Profit Fő a biztonság! : 40 db ISACA konferencia: 5 db Hétpecsét fórum előadói példány: 4 db Oktatási példány: 60 db Összesen: 794 Oktatásokra, rendezvényekre a tagok kérhetnek osztható példányokat. OKJ, szakközépiskolai könyvtáraknak felajánlás 300-400 db Kari könyvtár felajánlás az évi információbiztonsági szak- és diplomadolgozata levéllel A 2000 példány nyomtatása (ITBN-re szept 23-24.) megvalósult. Regisztráltanként egy-egy példány. Közhasznúsági jelentéshez előkészítés. Adatvédelmi nyilatkozat. Mind Opener-be ITBN képek,videó E-book formátumban van béta verzió, a tagoknak ki ment tesztelésre. A könyvet nyilvánosságra hozatali szándékát a jelenlévő tagok kinyilvánították. E-book formátum (Harsán Péter készíti el) Vízjellel, védelemmel ellátjuk, ha ez technikailag lehetséges. Dr. Dósa Imre Nyilvánosságra hozatal jogi kérdései (GA) Imre szerint nincs akadálya, a szerzőket mindig fel kell tüntetni. ITBN részt vehetünk, a jelenlévőknek oszthatunk könyvet. Nagyjából 2000 példányra van szükség, ehhez még 2 új céges támogatót kell találnunk. (GA) Vésztartalék: Ha nem találunk támogatót a fennmaradó üres oldalakat információbiztonsággal kapcsolatos témájú reklám célokra is megpróbálhatjuk kiadni (pl.: Antivirus program) Részletes állapot a 2. mellékletben. Üres oldalak (esetek között) vagy reklám vagy jegyzet legyen a következő kiadásban. 6. Média Támogatás Ingyenes szolgáltatás jogi és adózási kérdése Sebők Viktória:
Gaborral ma ismet felvetettuk a publikacios lehetoseget. Szivesen megcsinalom a tudositasokat, cserebe csak annyit kerek, hogy alakitsunk ki gyakornoki programot, szakmai muhelyeket a Press Akademianak. Ha gondoljatok, errol beszelgessunk. Euro Astra Harmat Lajos Korábbi Biztonságportál, IT café, Mysec, Computer World, IT Behavior, Biztonság Piac Média támogatók anyagi juttatások nélküli. Kölcsönösen előnyös megállapodás. Hozhatják a média anyagjaikat, cserébe ők is megjelenítik a mi rendezvényeinket. FONTOS. A szakmai körtől teljes mértékben elszeparáltan működjön. Korlátok között működhessen. Egyelőre csak ötlet szinten, márciusi közgyűlésen lehessen róla szavazni. 7. Szakmai partnerek Neumann 1200-1400 fős címlista. Hívjunk el egy Neumann Informatikai történelmi műhelytől egy képviselőt a következő megbeszélésre, megbeszélni a lehetséges közös együttműködés alapjait Dr. Kovács László, Kesselyák Péter Szegedi múzeum Bartók Péter Sándor Cyber csoport 03.03. Abi megbeszélés, Fehér Andrással, Kapitány Sándorral beszéltünk Otti Csaba közvetítésével. Biztonsági rendszerek tesztelése. PressAkadémia Megtörtént az egyeztetés Sebők Viktóriával (02.26), A kiválasztott előadásról készít a Press Akadémia szakmai cikket, amit elhelyezünk a honlapunkon. Az elkészített cikket a Hétpecsét a LinkedIn-en és MTI hír formájában promotálja. A Press Akadémia pedig a saját Facebook, Twitter és Instagram oldalán hirdeti. Ettől azt várjuk, hogy a fórumaink legértékesebb témái jobban kifejtésre kerülnek. Továbbá a a szakmaiságuk növelése is céljuk. A március április időszak tesztidőszak, aztán a számok alapján (mennyien látogatják) meglátjuk érdemes-e folytatni. 8. Egyebek 3 MTI hír: - 03.18. Év információvédelmi újságíró pályázatának nyertese - 03.20. Tisztújítás eredménye - 03.25. Szak- és diplomadolgozat pályázati felhívás Honlap készítés van egy ajánlatunk a keretrendszer kidolgozására, kivizsgáljuk. Debreceni Egyetem, Harsán Péter Kibukott az egyetemistánk, más megoldást szükséges keresnünk. Következő találkozó időpontja: 2015.03.23. 15:00-17:00 Helyszín: MagiCom Kft.
Mellékletek 1. számú melléklet SCADA biztonság, Ipari hálózatok Mobil kommunikációs eszközök biztonsági védelme. Ethical Hacking tapasztalatok (ügyfél oldal) Infóbiztonság az ügyvezetés szemszögéből (miért, felelősségek, partnerség, kitöl) Mennyire jogszerű a kiállításokon történő személyes adatok gyűjtése? Interneten történő vásárlásnál mennyire jogszerű a megajándékozni kívánt adatainak bekérése? Milyen adatok esetén lehet még elfogadni? Egy kedvezmény kártyán, törzsvásárlói kártyán, bérleten, milyen adatok az elfogadhatók megszemélyesítés esetén valamint adatbekérésnél?? Licence IPRS (CSD)? CERT működése az átszervezés után (TG) Facebook Business védelmi vonatkozásai IoT service 5. generációs számítógép?? Gyebrovszky Tamás Kormányzati Esemény kezelő? TG Információbiztonsági oktatás, és visszajelzés - tartalék? ISO 27019 Energia szektor LX. fórum kiértékelő lapjairól Log managment, Password tárolás Védelem a közösségi oldalakon Biztonság a mindennapi életben Kockázat elemzés Hálózatbiztonság, auditálás Elhangzott a FACEBOOK személyessége, milyen módon lehetne a felhasználást, korlátozni az oktatási intézményekből kitiltani. pl.: ha valaki nem akar ott jelen lenni, de cégek csak ott tesznek közzé információkat, ez hátrányos megkülönböztetés, személyességi jogok. Űrbéli információs tevékenység, biztonság technikai vonatkozásai pl.: Google Earth stb. Miért ilyen, kevés a tanusított rendszerek száma? LIX fórum kiértékelő lapjairól Információ biztonsági incidensek elemzése. Hozzáférés menedzsment Jó volt a logelemzős előadás, de nem a mobileszközökről szólt ezt érdemes lenne jövőre beütemezni Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: Network security, Malware és egyéb célokat támogató módszerek. COBIT 5, ITIL, Forensic SW-k, tesztek, összehasonlítások BYOD cset tanulmány, Cloud biztonság, Humánfaktor az Információ védelemben Magánhasználók tudatosságát erősítő oktatási tervek.
Mobil eszköz védelem technikák, ajánlások, van-e Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. Információ biztonság Cloud könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: Dörömbözy Csaba Facebook és egyéb közösségi oldalak információ biztonsági kérdései Quantum kulcs használat NEK biztonsága, Egészségügyi kártya biztonsága Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: Föderatív Identiti managment Magyar CERT-ek Log gyűjtés, Log elemzés IBTV Rendelet Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYOD- Soo privát cloud managmentre. DLP jogi aspektusai (pro és kontra) Információ biztonság átültetése a gyakorlatba smart metering, adattest Forensics Wifi biztonság, okos telefon mint hacker Azonosítás szolgáltatás felhasználás során Hálózati biztonság nem jogi Nemzetbiztonság, hálózati biztonság ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím,... stb,) e-banking, bankkártya biztonság Adatszivárgás, Biztonság ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók Információbiztonsági törvény előkészítéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu Honvédelmi információvédelem
2. számú mellékelt Összes könyv: 300 db Raktáron: 99 db Esemény/alkalom Dátum Kiosztott példányok száma Hétpecsét fórum (XL) 2014.03.19 141 db Társszerző, Redler 2014.03.19 1 db Köteles példányszám 2014.03.21 6 db Rendes tag, GA 2014.03.24 1 db Társszerző, Móricz Pál 2014.03.24 5 db Szenzor 2014.03.24 2 db Kesselyák Péter 2014.03.24 2 db Szerző, Ködmön István 2014.03.25 5 db TG: Nemzeti közszolgálati 2014.04.24 31 db Május 1000 forintos 2014.05.21 5 db Májusi előadók 2014.05.21 2 db Tervezett osztások Tervezett fennmaradó példányszám: -1 db Eseméy/alkalom Dátum Tervezetten kiosztandó példányok száma Szerzők (10 fő) 50 db Lektor 5 db Pártoló cégek (7 cég) 14 db Pártoló személyek 16 db Rendes tagok 10 db MSZT 5 db Következő nyomtatásból tervezett Esemény/alkalom Dátum Tervezetten kiosztandó példányok száma Szerzők (10 fő) 50 db Lektor 5 db Pártoló cégek (7 fő) 56 db ITBN 1200 db Szeptembertől, előadók 20 b
3. számú mellékelt Angol eredeti Cobit 5 Allocation MSZ ISO/IEC 27001: 2006 allokáció, felosztás kiosztás - audit nyomvonal audit lista - MSZ ISO/IEC 27001: 2014 draft HGK javaslat költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal HGK komment szövegkörnyezettől függ 7P javaslat költségfelosztás, feladat kiosztás audit nyomvonal, ellenőrzési nyomvonal Audit trial Awareness Tudatossági Tudatosítási program - ram program Tudatosító prog- Tudatosítási Program program Change Control Változáskontroll változásszabályozás Változáskontroll ok. Változáskontroll felkészültség, szakértelem szakértelem Competency kompetencia - szakértelem Control Kontroll Intézkedés Intézkedés kontroll Elterjed a magyar nyelvben (belső ellenőrzés, IT ellenőrzés, kontroll közszféra), a biztonsági szakembereknek is el kell Kontroll célkitű- Control Objectivzés szabályozási cél tűzés ezt fogadni. Kontroll célkitű- intézkedési célki- kontroll célkitűzés zés Cross-functional Egymással öszszefüggő interdiszciplináris - rendkívüli esemény (incidens) incidens incidens szervezeti egységeken átívelő rendkívüli esemény / biztonsági esemény Ezen lehetne filozofálni, de itt szerintem nincs bővebb jelentéstartalma az incidens fogalomnak a rendkívüli eseménynél. Jogszabály a kifejezetten security incidenteket pedig biztonsági eseményként definiálja: http://njt.hu/cgi_bin/njt_doc.cgi? docid=160206.259663 magánélet, titoktartás is lehet szervezeti egységeken átívelő incident incidens biztonság, védettség bizalmasság - függ dettség szövegkörnyezettől bizalmasság, vé- privacy Review felülvizsgálás átvizsgálás felülvizsgálás ok. felülvizsgálás
risk assessment kockázat-értékelés kockázatfelmérés kockázatfelmérés ok. kockázatfelmérés Risk Evaluation kockázat kiértékelése kockázatértékelés - kockázatértékelés kockázatkezelési risk management-et is így szokás fordítani. intézkedés / kockázati válaszintézkedés kockázat kezelés kockázatjavítás kockázat kezelés kockázat kezelés Risk Treatment Roles and Responsibilities szerepek és felelősségek feladat- és felelőségi körök szerepek és felelősségek ok. szerepek és felelősségek Root Cause gyökérok kiváltó ok - gyökérok bővítés / továbbfejlesztés fejlesztés túl sok értelmű, célszerű egyértelműsíteni a magyar verziót bővítés / továbbfejlesztés Upgrade Frissítés Bővítés Fejlesztés Vulnerability sérülékenység sebezhetőség sebezhetőség ok. sebezhetőség KONTROLL folytatás Régi cobitban irányítási és ellenőrzési mechanizmus volt, de váltottunk a kontroll fogalomra. Az intézkedés részben lefedi a control-t, de pl egy alkalmazásba épített automatizált kontroll (application control), az nehezen érthető, ha magyarul gépesített intézkedésként fordítanánk. Állami anyagokban is a kontroll fogalmat használják: ÁSZ: http://www.asz.hu/modszertan/iranyelvek-a-belso-kontroll-standardokhoz-a-kozszferaban-intosai-gov-9100/issai-9100.pdf NGM: http://njt.hu/cgi_bin/njt_doc.cgi?docid=143099.253971