InnoCube - Információbiztonsági Megoldások

Bemutatkozás

Az InnoCube Információbiztonsági Megoldások Kft. széles körű szakmai tapasztalatokkal és szolgáltatási körrel rendelkezik az információ- és adatbiztonsággal kapcsolatos problémák feltárásában, kezelésében, illetve hatékony megoldások nyújtásában.

Tanácsadói tevékenységünk keretében a hatályos és releváns jogszabályi környezet (2013. évi L. tv. - Ibtv., 41/2015. (VII.15.) BM rendelet, GDPR, 2011. évi CXII. tv. - Infotv.), valamint a nemzetközi szabványok (ISO/IEC 27001, ITIL, NIST, Common Criteria) előírásait figyelembe véve vizsgáljuk a megfelelősséget és adunk ajánlásokat, értékeléseket, megoldási módszereket.

Penetration test: a szolgáltatási körünkben szereplő sérülékenység vizsgálat egy olyan engedélyezett (legális) támadás, mely a hálózatok biztonsági hiányosságainak kihasználásával eléri a rendszerben tárolt adatokat, de rosszindulatú hackertámadásokkal ellentétben kárt nem okoz. Társaságunk tevékenységének legális alapját adja, hogy szerepel a sérülékenység-vizsgálat lefolytatására jogosult gazdasági társaságok jegyzékén.

A fenti, klasszikusnak nevezhető tevékenységi kör mellett, számos egyéb progresszív, egyedi szolgáltatást is nyújtunk: human engineering, megbízhatósági (cégek, munkavállalók) vizsgálatok, OSINT, valamint kibertérben történő információgyűjtés, TBT eljárással kapcsolatos tanácsadás, awareness-oktatás, felkészítés.

Miért mi?

Az InnoCube Információbiztonsági Megoldások Kft. munkatársai több éves, kiterjedt szakmai tapasztalatokkal rendelkeznek az informatikai- és információbiztonság, valamint az adatvédelem területén, elismert hazai IT biztonsági tanácsadó cégek kötelékében, több szakterületi projekt sikeres megvalósításában, biztonsági incidens felszámolásában és kivizsgálásában, információbiztonsági audit végrehajtásában, IT biztonsági és felügyeleti rendszer tervezésében, kialakításában, üzemeltetésében és a kapcsolódó képzések lebonyolításában vettek részt.

Munkatársaink az informatikai és információbiztonság területén többéves gyakorlattal, felsőfokú szakirányú informatikai, műszaki (rendszermérnöki) és jogi végzettséggel, jogi szakvizsgával, gazdasági büntető szakjogászi képzettséggel, illetve az alábbi szakmai képesítésekkel rendelkeznek:

  • Electronic Information Security Manager
  • CEH - Certified Ethical Hacker
  • BalaBit Syslog-ng PE support mérnök
  • Zabbix Certified Specialist és Large Environments Certified Specialist
  • MCSE - Microsoft Certified Systems Engineer
  • MCSA - Microsoft Certified Systems Administrator
  • MCTS SQL Server - Microsoft Certified Technology Specialist
  • MCP - Microsoft Certified Professional
  • AIS (Accredited Integration Specialist) – HP OpenView Systems and Servers v7 for Windows
  • Java SE Fejlesztő
  • Információbiztonság-irányítási Vezető Auditor (MSZ ISO/IEC 27001)
  • Offensive Security Certified Professional
  • Forensics Expert

Awareness

Előadásaink, biztonságtudatossági programjaink keretében gyakorlati példákon keresztül hívjük fel az érintett munkatársak figyelmét a lehetséges veszélyekre, ezek tényezőire, megvalósítási módszerekre és a következményekre.

Az információs társadalomban élő embernek, a „homo digitalis”-nak (a.k.a. „netizen”) amellett, hogy egyre többet létezik online és tudása nagy részét onnan szerzi, tisztában kell lennie azzal, hogy vannak olyan entitások (versenytárs, idegen hatalom, bűnözői kör stb.), amelyek – sajátos érdekeiknek megfelelően – akár jogellenes módszerek segítségével próbálnak adatokat, információt, technológiát szerezni. A vállalati környezetben is számos olyan példa akad, amely bizonyítja azt, hogy Magyarország területén is történnek az üzleti hírszerzés sötét oldalába tartozó adatlopások, amelyekkel az adott gazdasági társaság üzleti titkait, know how-ját akarják megszerezni. Figyelemfelhívó előadásaink keretében – a büntetőjogi aspektusokon keresztül is - kihangsúlyozzuk ezeknek a cselekedeteknek a különös veszélyeit.

Külön hangsúlyt fektetünk az ún. human engineering folyamatának bemutatására, az emberi bizalom kihasználásában rejlő kockázatokra. Emellett - ugyancsak gyakorlati példákon keresztül – érzékenyítjük a munkatársakat a „süti-törvény” (GDPR) és az e-privacy használatára, illetve megértésére.

Biztonságtudatosság-programunk célja: figyelemfelhívás, megelőzés, információbiztonsági tudatosság növelése, jogszabályi környezet megismertetése, de legfőképpen a valós idejű veszélyekre történő felkészítés, módszereink: gyakorlati esettanulmányok bemutatása, játékos, valós idejű demonstrációk tartása, személyes interakciók.

Információbiztonsági stratégia kialakítása

Az elektronikus információs rendszerek biztonsági osztályba sorolása

Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor az elektronikus információs rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának követelményeit a rendszer funkcióira tekintettel, és azokhoz igazodó súllyal érvényesíti;

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet az érintett szervezet vezetője hagy jóvá, kockázatelemzés alapján kell elvégezni.

Biztonsági osztályok kialakítása

Az Ibtv. végrehajtási rendelete (továbbiakban: vhr) meghatározza az információbiztonsági kockázatkezelési szabályzat tartalmát, hiszen a jogszabályi megfelelés minden esetben elsődleges szempont. Ugyanakkor azt is fontos megemlíteni, hogy a jogszabály sok kérdés esetében a döntést (vagy a pontosítást, vagy a konkrét megoldást) a szervezetre bízza. A biztonsági osztályok meghatározásánál is így járt el, ahhoz csak irányelveket fogalmaz meg, így lehetővé teszi a szervezet számára fontos szempontok alkalmazását is.

Az osztályba sorolás szempontjai elsődlegesen az Ibtv. vhr. és a szervezet kockázatkezelési szabályzata alapján kerülhetnek kialakításra. Mindkét forrásból figyelembevételre kerülhetnek a lényeges szempontok, célszerű összerendelni az egyes kárérték-kategóriákat az egyes biztonsági osztályok összeghatáraival.

A káresemények mértékének meghatározása során az adattípusokhoz és adatmennyiségekhez elsődlegesen a jogszabály, míg az összeghatárokhoz elsődlegesen a vállalati kockázatkezelési szabályzat szolgálhat forrásként.

A biztonsági osztályok kialakításánál fontos szempontok a következők:

  • a vhr. 5 osztályt határoz meg az EIR-ek biztonsági osztályba sorolásához
  • üzemeltet a szervezet létfontosságú rendszerelemeket
  • mi a szervezet általános kockázatkezelési gyakorlata
  • melyek a szervezet pénzügyi mutatószámai
  • milyen típusú adatokat kezel a szervezet
  • milyen mennyiségben kezeli az adott adatokat
  • milyen forrásokból jut az adatokhoz
  • kiknek továbbítja az adatokat?

Információs vagyonelemek meghatározása

A szervezeti keretek definiálása után következő lépésként azonosítani kell azon adatforrásokat, melyek alkalmazhatók az információs vagyonelemek felmérése során. A szervezetek (tevékenységükből és méretükből adódóan is) számtalan nyilvántartással rendelkeznek, melyek általában sajnos nincsenek összekötve, integrálva, nem egységesek és csak manuálisan hozhatók kapcsolatba egymással.

Nagyon fontos szempont, hogy a vagyonelemek felmérését rendszeresen el kell végezni, annak kellően pontosnak, részletesnek kell lennie, hogy elősegítse a kockázatmenedzsment feladatának elvégzését.

Bizalmasság (B)/Sértetlenség (S)/Rendelkezésre állás (R) értékek meghatározása

A vhr alapján a B/S/R értékeket ötfokozatú skálán kell meghatározni, valamint a veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárértékszinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő. Az elsődleges információs vagyonelemek B/S/R értékeinek meghatározásában kompetenciával elsődlegesen a folyamat üzemeltetője, az adott üzleti terület rendelkezik. Az egyes folyamatok elvárt R értékeit a szervezet üzletmenet-folytonossági terve (BCP, ÜFT) rögzíti. Az S és R értékek tekintetében pedig célszerű interjúk lefolytatása.

Human-social engineering (megbízhatósági vizsgálatok)

A gazdasági társaságok számára – üzleti és gazdasági érdekeiknek és jó hírnevük védelme érdekében – alapvető fontosságú, hogy a szervezetre vonatkozó kritikus adatok, üzleti információk, illetve munkatársaira vonatkozó személyes vagy különleges adatok vagy egyéb relevanciával rendelkező belső információk ne kerüljenek illetéktelen személyek, vagy szervezetek birtokába.

Az erre vonatkozó vizsgálat célja az érintett munkatársak biztonságtudatosságának és lojalitásának mérése, így a humán faktorban rejlő kockázatok feltárása.

OSINT – kibertérben történő információgyűjtés

Az üzleti információk, a know-how, a szellemi termékek, egyedi megoldások védelme érdekében, Megbízóink számára, ugyancsak kritikus fontosságú az egyedi beszállítóik, partnereik megbízhatóságának vizsgálata. Ennek, valamint a védendő gazdasági társaságok elleni külső támadások felmérésére egyedi vizsgálatokat folytatunk le.

TBT-tanácsadás

Gyakorlati segítséget tudunk nyújtani „Az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Korm. rendelet szabályainak történő megfelelésben, az eljárás lefolytatásában, a kritériumok teljesítésében és a TBT tanúsítványok megszerzésében.

GDPR

Az adatvédelem a magánszféra védelem sajátos jogi szabályozásban megnyilvánuló módja és a védelem tárgya pedig a személyes adat. Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (General Data Protection Regulation) szigorú kötelezettséget ír elő az adatkezelők részére, legyen az egy webshop vagy multinacionális cég.

Információbiztonsággal kapcsolatos munkáink, ellenőrzéseink keretében kiemelet figyelmet fordítunk az adott szervezet vagy cég GDPR megfelelőségére, illetve a vizsgált elektronikus információs rendszerben kezelt személyes adatok felmérésére és ehhez kapcsolódó tanácsadásra. Figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság esetgyakorlatát (így a jelentkező problémákat, lásd fotók), amelyet felhasználunk szakértői tevékenységünkben.

Sérülékenység vizsgálat

A teszteket manuálisan vagy automatizált technológiákkal hajtjuk végre a szervereken, végpontokon, webes alkalmazásokon és weboldalakon, vezeték nélküli hálózatokon, hálózati és mobil eszközökön vagy egyéb potenciálisan kitett pontokon. A tesztelés célja, hogy rávilágítson a védelem hiányosságaira, további szükséges teendőire melyre igény szerint megoldási javaslatot nyújtunk. A sérülékenység vizsgálatnak három egyedi lépcsőfokát alkalmazzuk:

  • Black Box vizsgálat: a hálózat annak előzetes ismerete nélkül kerül feltárásra.
  • Grey Box vizsgálat: a hálózat részleges ismeretével végzett tesztelés, a figyelmetlen vagy rosszindulatú
  • felhasználók által okozható kár felmérésére.
  • White Box vizsgálat: a hálózat teljes ismeretével végzett sérülékenység vizsgálat, a teljes kompromittációt követő okozható kár felmérésére.
  • Külső és belső hálózati sérülékenység vizsgálatot egyaránt végzünk.

Egyéb képességek

Az InnoCube Kft. érvényes Telephely Biztonsági Tanúsítvánnyal (Paks II.) és Egyszerűsített Telephely Biztonsági Tanúsítvánnyal rendelkezik, egyben szerepel a védelmi és biztonsági célú beszerzéseken induló gazdasági társaságok jegyzékén (2016. évi XXX. tv.), munkatársai pedig kockázatmentes nemzetbiztonsági ellenőrzéssel bírnak.

2019. augusztusától, az Alkotmányvédelmi Hivatal által kiadott tanúsítvány alapján, az InnoCube Kft. emellett felkerült - a 271/2018. (XII. 20.) Korm. rend. szerinti – sérülékenység-vizsgálat lefolytatására jogosult gazdasági társaságok jegyzékére is.

További Technikai képességek:
  • Microsoft rendszerek mélyreható ismerete, méretezése, üzemeltetése.
  • Számítógépes hálózati ismeretek gyakorlati alkalmazása.
  • Szerverszoba, és számítógép hálózat tervezés.
  • Virtualizációs technológiák ismerete (Hyper-V, VMware).
  • Cloud technológiák kezelése.
  • Log struktúrák feldolgozása, elemzése.
  • IT biztonságtechnikai szaktanácsadás, rendszertervezés.
  • IT szabályzatok kialakítása.
  • Alap programozói és szkriptelési technikák, ismeretek alkalmazása.
  • IT Forensics projektek tervezése, kivitelezése.
  • Mentési rendszerek tervezése, bevezetése, támogatása.
  • Monitoring rendszerek szakértése (Zabbix, Nagios, SCCM, HP OVO).
  • Loggyűjtés és loglelemzés bevezetése államigazgatásban és számos hazai vállalatnál.
  • Rendszermonitoring bevezetése és szakmai támogatása
  • Kockázatkezelési intézkedések kidolgozása, kivitelezése
  • Implementációs, integrációs, projektvezetési tapasztalat gyakorlat

Munkatársaink

dr. Molnár Attila
CEO at InnoCube Ltd.
Gyimóthy Tamás
CISO at InnoCube Ltd.

Referenciák

Galéria

Kapcsolat

Telefonszám: +36 1 445 1242
E-Mail: info@innocube.it
Cégjegyzék: 01-09-975752
Adószám: 23732906-2-43