EMLÉKEZTETŐ Helyszín: Magicom Időpont: 2013.11.25. 15:00 17:00 Résztvevők: Dr. Czintula György, Cseh Zsolt, Csuka Dénes, Gasparetz András, Harsán Péter, Harsánné Mariann, Katzenbach Konrád, Kesselyák Péter, Dr. Kovács Lászlóm Móricz Pál, Potóczky András Napirendi pontok 1.NOVEMBERI RENDEZVÉNY ÉRTÉKELÉSE...1 2.JANUÁRI RENDEZVÉNY SZERVEZÉSE...2 3.HÉTPECSÉTES TÖRTÉNETEK V2...2 4. KÖZÖSSÉGI MÉDIA...4 5.EGYÉB 4 6. MELLÉKLETEK...5 1. Novemberi rendezvény értékelése 58. Fórum Levezető: Gasparetz András 2013. november 20. Érkezés, regisztráció Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Gasparetz András (Hétpecsét Inf.bizt. Egyesület) elnök. Crysys - szakmai előadás Félegyházi Márk (BME) Bring your own device Mozsik Tibor Eurocloud Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) Az "Év információvédelmi diplomadolgozata" cím nyertesének előadása: Dinya Péter: Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése ISO/IEC 27001:2013 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató 191 regisztráló, 125 résztvevő. (ebből 24 (31) ZSKF-es diák) 28 kitöltött értékelő lap. Markáns kritika érte az állandó és hosszú Hétpecsétről szóló bevezetőt az előző fórumon, most nem érte kritika, a változtatást eredményesnek találtuk. Talonban maradt, illetve újonnan felmerült előadás ötleteket lásd az 1. mellékletben Tagdíj pénztár felállítása a rendezvényen.
2. Januári rendezvény szervezése 59. Fórum Levezető: 2014.január 15. Érkezés, regisztráció Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén Dr. Ködmön István (Hétpecsét Inf.bizt. Egyesület) Alapító tag Kávé szünet (kávé, üdítő, pogácsa, aprósütemény) ISO 27014:2013 Governance on information security Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató Javaslatok: Dr. Gaál Zoltán vezetőség felelőssége (GA) Balabit log elemzés - gyűjtés Mobil eszközöknél (CSD) Pénztárgép (CSZS) Vágújhelyi Ferenc tartalék: Govcert (CZGY) Kávégép, és sütemények terítése (túl nagy tömeg gyűlik fel) Kávé minőség javítása Időjelzés az előadóknak 3. Hétpecsétes történetek v2 Kérdőívek értékelése 45 válaszadó Nagyrész a már megjelent szabványok után van érdeklődés (az összes válaszra vetítve a válaszok 85%) A 27000-ben nevesített szabványokra a válaszadók fele mutat érdeklődést (az összes válaszra vetítve a válaszok 54%) Értékelés összefoglaló diagramjai az 2. mellékletben. A kérdőívek alapján úgy döntöttünk, hogy a már megjelent szabványokat dolgozzuk fel. A kérdőívben írónak jelentkezők: Nagy Péter: 20/952-1483, penagy@eastron.hu (ISO 27019, 27032) Molnár László: 30/488-5991 laszlo4.molnar@vipmail.hu Írónak jelentkezők Nagy Péter a két megjelölt szabványra jelentkezett, Molnár László esetében a rövid bemutatkozása alapján jelöltünk szabványokat, a kapcsolatfelvétel még nem történt meg.
Kérdőíven szereplő sorszám Szabvány száma Szabvány megnevezése Jelentkező 1 ISO/IEC 27000:2012 2 ISO/IEC 27001:2013 3 ISO/IEC 27002:2013 4 ISO/IEC 27003:2010 5 ISO/IEC 27004:2009 6 ISO/IEC 27005:2011 7 ISO/IEC 27006:2011 8 ISO/IEC 27007:2011 9 ISO/IEC TR 27008:2011 management systems -- Overview and vocabulary management systems Requirements Information technology -- Security techniques -- Code of practice for information security controls management system implementation guidance management -- Measurement risk management Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems Information technology -- Security techniques -- Guidelines for information security management systems auditing Information technology -- Security techniques -- Guidelines for auditors on information security controls 11 ISO/IEC 27010:2012 management for inter-sector and inter-organizational communications 12 ISO/IEC 27011:2008 management guidelines for telecommunications organizations based on ISO/IEC 27002 13 ISO/IEC 27013:2012 Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 14 ISO/IEC 27014:2013 Information technology -- Security techniques -- Governance of information security 15 ISO/IEC TR 27015:2012 management guidelines for financial services 19 ISO/IEC TR 27019:2013 management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry 20 ISO/IEC 27031:2011 Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity 21 ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity 22 ISO/IEC 27033- Information technology -- Security techniques -- Network security -- Part 1:2009 1: Overview and concepts 23 24 25 26 ISO/IEC 27033-2:2012 ISO/IEC 27033-3:2010 ISO/IEC 27033-5:2013 ISO/IEC 27034-1:2011 27 ISO/IEC 27035:2011 Information technology -- Security techniques -- Network security -- Part 2: Guidelines for the design and implementation of network security Information technology -- Security techniques -- Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs) Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts incident management 28 ISO/IEC 27037:2012 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence 37 ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 MP MP TG TG Molnár László? MP Molnár László? Nagy Péter Molnár László? Nagy Péter Kesselyák Péter Kesselyák Péter Kesselyák Péter Balabit? CSZS Dósa Imre Muha Lajos
38 ISO 19011:2011 Guidelines for auditing management systems Lektorálónak: Dr. Bartók Sándor P., Harsán Péter, Potóczky András Hétpecsétes történetek v2 előzmények Ködmön István összefoglalta a Hétpecsétes történetek II tervezésének az állását. Tervezett cím: Hétpecsétes történetek II. Kiadás ismét papír alapon történik az első résznek megfelelő formátumban, tervezetten 80-100 oldal terjedelemben. István kért ár ajánlatott a korábbi nyomdától, példányszámról a szeptemberi találkozón döntünk. Tervezett megjelenési időpont a novemberi (LVIII) fórum. - Nem valósult meg. István ismertette a tervezett tartalomjegyzéket, lásd 3. számú melléklet István megírt a könyvből kb 30 oldalt, de még átolvasandó, finomítandó, ennek tartalma: első lapok - bevezetés Menedzsmentszabványok rész Szabványcsalád rész ISO/IEC 27000 eset ISO/IEC 27001 példa az elnevezésre 4. Közösségi média Linked In-es oldal elkészült, a fórumon megadtuk az elérhetőségét. A weblapfejlesztéssel kapcsolatban még folynak a tárgyalások az egyetemekkel. 5. Egyéb Következő találkozó időpontja: 2014.01.20. 15:00-17:00 Helyszín: SGS
6. Mellékletek 1. számú melléklet Újonnan felmerült előadás-ötletek LVIII fórúm értékelő lapjairól: Network security, Malware és egyéb célokat támogató módszerek. COBIT 5, ITIL, Forensic SW-k, tesztek, összehasonlítások BYOD cset tanulmány, Cloud biztonság, Humánfaktor az Információ védelemben Magánhasználók tudatosságát erősítő oktatási tervek. Mobil eszköz védelem technikák, ajánlások, van-e Az információhoz való hozzáférés jogainak pl.: YouTube-ról milyen biztonsági kritériumok figyelembevételével lehet le és feltölteni a nézői jogok figyelembevételével. Információ biztonság Choud könyvelői szolgáltatás esetén Korábbról talonban maradt illetve újonnan felmerült előadás-ötletek: Dörömbözy Csaba Facebook és egyéb közösségi oldalak információ biztonsági kérdései NEK biztonsága, Egészségügyi kártya biztonsága Informatikai rendszerek átadás/átvételének gyakorlati tapasztalatai, megvalósítási módjai, előfeltételei Információbiztonsággal kapcsolatos országos versenyek (áttekintés) Fórumon kitöltött lapokból: Föderatív Identiti managment Magyar CERT-ek Log gyűjtés, Log elemzés IBTV Rendelet Hatékony oktatási (tudatosság-növelő) módszerek, élő példa egy komplex BYOD- Soo privát cloud managmentre. DLP jogi aspektusai (pro és kontra) Információ biztonság átültetése a gyakorlatba smart metering, adattest Forensics Wifi biztonság, okos telefon mint hacker Azonosítás szolgáltatás felhasználás során Hálózati biztonság nem jogi Nemzetbiztonság, hálózati biztonság ORFK; BRFK lekérdezés okmányos rendszeréből (gk, lakcím,... stb,) e-banking, bankkártya biztonság Adatszivárgás, Biztonság ISO 27001 szabvány kiépítése és problémái, trendek, IBSZ, humán erőforrás fenyegetettségei Nukleáris katasztrófák hatása az információ biztonságban a szalagos mentések egyéb adathordozók Információbiztonsági törvény előkészítéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól., Digitális aláírás, ügyfélkapu,hivatali kapu
Honvédelmi információvédelem
2. számú melléklet A fenti diagram a már megjelent (második fő kérdés) utáni érdeklődést ábrázolja. A fenti diagram a 27000-ben nevesített (első főkérdés) utáni érdeklődést ábrázolja. A nevestett és a megjelent szabványok részben megyegyeznek, ezért készült 2 diagram.
3. számú melléklet TARTALOM ELŐSZÓ.... 6 1. A MENEDZSMENTSZABVÁNYOKRÓL... 7 1.1. Szabványosított menedzsment rendszerek rövid története... 7 1.2. Az ISO 9000-es szabványcsalád... 8 1.3. Egyéb szabványosított menedzsmentrendszerek... 10 1.4. Szabványosított menedzsment rendszerek közös jellemzői... 11 2. INFORMÁCIÓ- ÉS ADATVÉDELMI MENEDZSMENT RENDSZEREK - ISMS... 13 2.1. Az ISMS szerepe egy szervezet életében... 13 2.2. Az ISMS rendszerszabványok rövid története... 14 2.3. Az ISO 27000 szabványcsaládhoz kapcsolódó alapfogalmak... 15 2.4. Az ISO/IEC 27001:2005 menedzsment-specifikus követelményei... 17 2.5. Az ISO 27000-es szabványcsalád... 23 3. ESETLEÍRÁSOK A SZABVÁNYCSALÁD ELEMEINEK TÜKRÉBEN... 26 3.1. Feljegyzés!? Ez már a XXI. Század! ISO/IEC 27000:2008... 26 3.2. ISO/IEC 27001:2005 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények... 30 JEGYZETEK... 34