Your SlideShare is downloading. ×
Információbiztonság alulnézetből
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Információbiztonság alulnézetből

543
views

Published on

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
543
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2010
    Oláh Tamás - INFOBIZ
    1
    Információbiztonság alulnézetből
    (Mit lát a kívülálló?)
  • 2. 2010
    Oláh Tamás - INFOBIZ
    2
    Az ESET
    (párhuzamosan két nagy távközlési szolgáltatónál, céges és magánszemélyi státuszban is előfizetések „kötődtek”)
    Szolgáltatói értesítés:
    "Üdvözöljük előfizetőink körében!"
    Szolgáltatói számla:
    Hóközi számla
  • 3. 2010
    Oláh Tamás - INFOBIZ
    3
    Telefonos ügyfélszolgálatok reakciói
    Adjam meg az „ügyfél azonosítómat”, különben a telefonos bejelentésekre nem tudnak reagálni.
    Érthető: mert a telefonáló nem azonosítható.
    Nem érthető: mert a "károkozás" nyugodtan folytatódhat tovább.
  • 4. 2010
    Oláh Tamás - INFOBIZ
    4
    Személyes ügyfélszolgálatok reakciói
    … tulajdonképpen mi közöm nekem a szolgáltatóhoz?
    Az adatai nem egyeznek a szerződéses adatokkal - további felvilágosítást nem adunk (adatvédelmi okok).
    Tegyen feljelentést a rendőrségen, majd a nyomtatványunkon kérelmezze, hogy ÖN nem azonos ÖNNEL.
    Addig a bejelentést nem tudjuk fogadni, fizesse a számlákat, mert...(a Behajtási osztály intézkedik).
    És a "károkozás" nyugodtan folytatódhat tovább.
  • 5. 2010
    Oláh Tamás - INFOBIZ
    5
    Közbevetés 1
    A szolgáltatónak van információbiztonsági rendszere (és egyéb ISO rendszerei).
    B szolgáltatónak nincs információbiztonsági rendszere.
    A két szolgáltatónak kísértetiesen egyező az alkalmazott eljárása, de B-nél mégis gördülékenyebben megy az ügyintézés.
  • 6. 2010
    Oláh Tamás - INFOBIZ
    6
    Közbevetés 2
    Feljelentés a szolgáltató(k) ellen:
    fiktív számlamanipuláció,
    zaklatás (Btk. 176/A §),
    személyes adatokkal való visszaélés (Btk. 177/A §),
    kényszerítés (kísérlete) (Btk. 174§).
    A feljelentés után "nyugalmam" van, de...
    a "károkozás" nyugodtan folytatódhat tovább.
  • 7. 2010
    Oláh Tamás - INFOBIZ
    7
    Mit mondanak a szabályok? (1)
    Általános Üzletszabályzat (internetről letöltve)
    Az Előfizetői Szerződés létrejöttéhez szükséges adatok, igazolások (cím a 2.2.1. pontban)
    Természetes személy esetén (Eht 157. § (2))
    Előfizető neve, leánykori neve,
    állandó lakcíme, tartózkodási helye,
    születési helye, -ideje, anyja neve (önkéntesen megadandó), (?!)
    személyi igazolvány vagy útlevél illetve a személyazonosságot igazoló egyéb dokumentum, annak száma,
    továbbá a lakcímet igazoló hatósági igazolvány,
    valamint ezek mellett egy, az Előfizetőt azonosító egyéb okmány (pl.: útlevél, társadalombiztosítási igazolvány, jogosítvány, adóigazolvány, bankkártya, stb.), annak száma,
    és az Előfizető egyéb elérhetősége (telefonszám, e-mail cím).
  • 8. 2010
    Oláh Tamás - INFOBIZ
    8
    Mit mondanak a szabályok? (2)
    Nem természetes személy esetén (Eht 157. § (2))
    Előfizető neve, székhelye, levelezési címe,
    cégbejegyzési - ha nincs, más nyilvántartási - száma,
    adószáma, bankszámlaszáma, a képviselő(k) vagy meghatalmazott(ak) neve, valamint egyéb elérhetősége (telefonszám, e-mail cím), és az igazoló dokumentumok sorszáma.
    A szerződéskötéskor be kell mutatni képviselő(k) vagy meghatalmazott(ak) személyi igazolványát vagy útlevelét illetve a személyazonosságot igazoló egyéb dokumentumát (pl.: ideiglenes személyi igazolvány, stb.), a cégbírósági végzést (ha nincs, más nyilvántartásba vételt igazoló dokumentumot), az adóbejelentkezési lapot, bankszámla szerződést, a képviselő(k) aláírási címpéldányát és...
  • 9. 2010
    Oláh Tamás - INFOBIZ
    9
    Mit mondanak a szabályok? (3)
    Részleges szolgáltatás (cím az 1.1. pontban)
    Az Egyedi értékhatár (első 4 hónapban nettó 10.000,- Ft/hó) elérését követően a Szolgáltató által nyújtott csökkentett értékű szolgáltatás, amelynek körében a Szolgáltató biztosítja:
    - az Előfizető hívhatóságát belföldön
    - segélykérő hívások továbbítását
    - a Szolgáltató Ügyfélszolgálatának, hibabejelentőjének elérését.
    A hóközi számla ennek értelmében jött és 17.000 Ft-ról szólt.
    És a "károkozás" nyugodtan folytatódhat tovább.
  • 10. 2010
    Oláh Tamás - INFOBIZ
    10
    2.4. A Szolgáltató minőségügyi rendszere
    2.4.1. A Szolgáltató átfogó minőségbiztosítási rendszert működtet és elnyerte az ISO 9001:2000 minőségbiztosítási tanúsítványt. A rendszer szabályozott folyamatokon keresztül biztosítja a minőségi jellemzők rendszeres mérését, dokumentálását és archiválását. A minőségbiztosítási rendszer folyamatos működését a xxx tanúsító meghatározott rendszerességgel ellenőrzi és tanúsítja.
    A honlapon fel van tüntetve az ISO 9001:2000, ISO 14001:2004, és ISO/IEC 27001:2005 tanúsítvány is.
  • 11. 2010
    Oláh Tamás - INFOBIZ
    11
    A "kívülálló" gondolatai (általában)
    1. Szép nagy cég - legalább egy jogászt is alkalmazhatna.
    kinek kell feljelentést tenni,
    az ÁÜsz pontjai és a hivatkozott törvényhelyek között legyen összefüggés,
    a Behajtási osztály kivel szemben járjon el.
    2. Ha van szabályozás (ÁÜsz), azt be kéne tartani.
  • 12. 2010
    Oláh Tamás - INFOBIZ
    12
    A "kívülálló" gondolatai (ISO 27001 szemszögből)
    1. A törvényi megfelelés nem feltétele-e az ISO rendszereknek?
    2. A becsapott szervezet nem érzi-e magát hamis biztonságban?
    (… És a "károkozás" nyugodtan folytatódhat tovább.)
    3. A szervezet – a hamis biztonság miatt – nem csapja-e be a partnereit?
    (A károkozás bennünket is érint: tiltólistákon való megjelenés, kiesett munkaidők, rendőrségi idézések, stb. formájában. A szolgáltatóknak okozott kár kb. 300.000 Ft. A szolgáltatók eljárásaiból adódó kárunk ennek kb. a duplája. Lehet, hogy jobban jártunk volna, ha kifizetjük a számlákat?  )
    4. A felkészítőnek felelőssége-e a "helyes" rendszerkiépítés? (... no és a szakma becsülete … ?)
    5. A tanúsítónak felelőssége-e, hogy ilyen esetek megtörténhetnek? (Kiderülhet-e ez auditáláskor? Kell-e eljárásának lennie, ha felhívják erre a figyelmét – pl. bejelentés formájában? Akkor is belefér-e az a működés a tanúsításba?)
  • 13. A „szakma” becsülete?
    Sajnálatos tény, hogy – hasonlóan az ISO 9001-es rendszerek leértékelődéséhez – az ISO 27001-es rendszerek leértékelődése is elkezdődött a piacon. ///tanúsítvány (= papír) megvétele a legolcsóbban (felkészítőtől + tanúsítótól)
    Tanúsított cégnek nincs jobb biztonsága (nem is akart!), csak „megvásárolt” papírja!
    Kívülálló nem tapasztalja a tanúsítvány mögött a jól működő rendszert, csak a problémákat – mire jó akkor a tanúsítás?
    Szerezzük vissza a SZAKMA becsületét! HIRDESSE ezt az információbiztonsági szakma fóruma: A HÉTPECSÉT!
    2010
    Oláh Tamás - INFOBIZ
    13
  • 14. 2010
    Oláh Tamás - INFOBIZ
    14
    Köszönöm megtisztelő figyelmüket!
    Oláh Tamás
    (30) 9797937
    olaht@infobiz.hu