Fakulta práva Bratislavskej vysokej školy práva Budovanie bezpečnostného povedomia a vzdelávanie v informačnej bezpečnosti Fakulta práva Bratislavskej vysokej školy práva Prednášky - 2 Jan Hochmann, Odbor legislatívy, metodiky, štandardov a bezpečnosti informačných systémov verejnej správy, sekcia informatizácie spoločnosti Ministerstvo financií SR e-mail: jan.hochmann@mfsr.sk
Obsah Úvod Kategorizácia účastníkov a charakteristika ich vzdelávacích potrieb Obsah vzdelávania pre jednotlivé kategórie Formy vzdelávanie Odhad kvalifikačných potrieb v SR Organizačný rámec Záver
1. Úvod Vedecko-technický pokrok Svet (USA, Juhovýchodná Ázia, Japonsko, Európa ...) Štáty EÚ – integrácia (Nemecko, Francúzko, Taliansko, ...) Slovenská republika (zmluvy, dohody, smernice, ...) Informatizácia spoločnosti, eGovernment, legislatíva, strategické dokumenty, rozvoj IKT, procesy, služby, ... ochrana digitálneho priestoru (utajované skutočnosti, osobné údaje, citlivé údaje, ...), požiadavky na dodržiavanie elementárnych pravidiel - povedomie - vzdelávanie
1. Úvod Dokumenty Národná koncepcia pre informatizáciu VS (MF SR, uznesenie vlády SR č. 331/2008) Národná stratégia pre informačnú bezpečnosť v SR (MF SR, uznesenie vlády SR č. 570/2008) Úloha B. 5 uznesenia: „Návrh systému vzdelávania v informačnej bezpečnosti v SR“ Iné úlohy: CSIRT, štandardy, legislatíva, ...
2. Kategorizácia vzdelávacích potrieb - 1 Podľa plnenia úloh v digitálnom priestore: Laici (95 % populácie) Manažéri a vedúci pracovníci Informatici (nešpecialisti v IB) Špecialisti v IB Výskumníci v IB Učitelia
2. Kategorizácia vzdelávacích potrieb - 2 1. Laici Používatelia IKT systémov (bez práv zásahu do systémov) Vlastníci domácich počítačov (majú práva administrátora) Požiadavky: Vytváranie povedomia (Internet, email, autentizácia, zálohovanie – pojmy, riziká, hrozby, dôsledky, ...) Zručnosti (prihlásenie/odhlásenie, heslá, reakcie na varovné hlásenia, zálohovanie, ...)
2. Kategorizácia vzdelávacích potrieb - 3 2. Manažéri a vedúci pracovníci Laici vo vedúcich postaveniach (zodpovednosť, rozhodovanie v súvislosti s utajovanými skutočnosťami, osobnými údajmi, citlivými údajmi, ...) Požiadavky: základné princípy manažmentu informačnej bezpečnosti základné informácie o riadení projektov a procesoch prevádzky IKT systémov, základné princípy personálnej bezpečnosti, základné princípy zabezpečenia kontinuity činností, porozumenie legislatívnym požiadavkám súvisiacich s informačnou bezpečnosťou a spôsobom ich naplnenia,
2. Kategorizácia vzdelávacích potrieb - 4 3. Informatici - nešpecialisti v IB Správcovia / administrátori / technici (siete, databázy, technické zariadenia - HW) Programátori (analytici, programátori, testeri - SW) Požiadavky: pochopenie hrozieb, zraniteľností a výsledných rizík spojených s IKT systémami, mechanizmov a opatrení na ich elimináciu alebo redukciu, ako aj predpokladov a dôsledkov ich realizácie, pochopenie podstaty bezpečnostných požiadaviek na IKT systém a možností ich naplnenia, schopnosť navrhnúť, realizovať, udržiavať a prevádzkovať (v súlade s príslušnou profesnou orientáciou) mechanizmy na naplnenie bezpečnostných požiadaviek na IKT systém, schopnosť byť kvalifikovaným partnerom pre spoluprácu so špecialistami v informačnej bezpečnosti (tam, kde sa profesné orientácie prekrývajú),
2. Kategorizácia vzdelávacích potrieb - 5 4. Špecialisti v informačnej bezpečnosti IB manažéri Audítori Členovia CSIRT Tvorcovia PKI systémov Právnici, vyšetrovatelia (tvorba legislatívy v IB, kriminalita, ...) Požiadavky: Základné požiadavky vo všetkých oblastiach IB, Kvalifikačné požiadavky v špecializovaných oblastiach, Zručnosti (analýza, expertíza, návrh riešenia problémov), Nepretržité vzdelávanie (štandardy, normy, nové techniky, ...)
2. Kategorizácia vzdelávacích potrieb - 6 5. Výskumníci v informačnej bezpečnosti Základný výskum Riešenie principiálnych problémov (úlohou štátu). Aplikovaný výskum Riešenie problémov generovaných spoločenskou praxou zameraných na úzku špecializáciu v IB: bezpečnosť systémov (autentifikácia, identifikácia, ... ) infraštruktúra, kryptológia; (šifrovanie) Enigma ? RFID, biometria, a ďalšie.
2. Kategorizácia vzdelávacích potrieb - 7 6. Učitelia Skupiny podľa (toho čo učia a koho učia): pre laikov (vrátane stredných škôl a neinformatických odborov vysokých škôl; títo potrebujú mať širší prehľad, ale prednášajú len základy informačnej bezpečnosti), pre špecializované oblasti (napr. konkrétne profesné oblasti IT) – vzdelávacie potreby pre túto skupinu učiteľov sú podobné ako potreby špecialistov na dané oblasti, pre odbory vysokých škôl (súvisiace s informatikou), témy kryjúce sa s výskumnými úlohami.
3. Obsah vzdelávania pre jednotlivé kategórie - 1 Znalostné úrovne: (A): znalosť vybraných základných pojmov a ich významu (schopnosť použiť bezpečnostné riešenia a vyvarovať sa základných rizík) (B): znalosť a porozumenie požiadavkám, mechanizmom a procesom (kvalifikovaná orientácia v oblasti, schopnosť zdôvodniť a realizovať navrhnuté riešenia) (C): schopnosť navrhovať, analyzovať, uplatniť a hodnotiť bezpečnostné, požiadavky, riešenia a mechanizmy
3. Obsah vzdelávania pre jednotlivé kategórie - 2 Oblasti IB: Manažment informačnej bezpečnosti Architektúra, modely a hodnotenie Riadenie prístupu Aplikačná bezpečnosť Bezpečnosť prevádzky Fyzická bezpečnosť Kryptografia Siete, internet a telekomunikácie; (LAN, WAN) Plánovanie kontinuity činností Legislatíva a etika - (Listina ľudských práv, Ústava, zákony, morálne kódexy, ... )
4. Formy vzdelávania - 1 Informačno-bezpečnostné povedomie Masovokomunikačné prostriedky (rozhlas, televízia, filmy, médiá, noviny, literatúra,...) Stredoškolské vzdelávanie Témy (kódovanie, šifrovanie, právna ochrana, kriminalita, vírusy, etika, ...) Nesystematické a firemné vzdelávanie Kurzy, školenia, vstupné testy, konzultačné a vzdelávacie komerčné aktivity, odborné konferencie (ITAPA, INFOSEM, SASIB, ISACA, ABIT, kurzy FMFI UK, FEI STU, Microsoft, Cisco, IBM, Oracle, ...
4. Formy vzdelávania - 2 Profesné vzdelávanie platformovo: orientované (Microsoft, Cisco, Orace,...), neorientované ISACA (CISA, CISSP,CISM) (skúšky, previerky, testy, vydanie certifikátov, ... ). Akademické vzdelávanie (univerzity, SAV) STU Bratislava, UK Bratislava, Akadémia PZ MV SR, Technická univerzita Košice, Žilinská univerzita Žilina, ďalšie.
5. Odhad kvalifikačných potrieb Laici: 95% populácie, z toho cca 1 mil. IKT ZŠ + SŠ: 800 tis. študentov VŠ: 100 tis. študentov ( pri 60.000 študentov / ročník = 100 učiteľov ) Riadiaci pracovníci: rádovo 1000 - ky Informatici: rádovo 40 ÷ 50 tisíc Vysokokvalifikovaní odborníci: cca 100 - ky
6. Organizačný rámec MF SR – komisia IB – dočasná pracovná skupina Spolupráca: MŠ SR (univerzity, VŠ,), MV SR (akadémia policajného zboru), MS SR (justičná akadémia), NBÚ, ISACA, SASIB,
7. Záver Informačná bezpečnosť v SR: nie je kvalifikovaná na vednú disciplínu, nebola jej doposiaľ venovaná významná pozornosť zo strany vlády, vzdelávanie a výskum bol iba spontánny, vytvorenie NSIB v SR Úloha uznesenia vlády SR č. 570/2008 zo dňa 27.8.2008 „Návrh systému vzdelávania v oblasti IB v SR“ - (apríl 2009)
Ďakujem za pozornosť Ján Hochmann Sekcia informatizácie spoločnosti Sekcia informatizácie spoločnosti Ministerstvo financií SR Štefanovičova 5, 817 82 Bratislava e-mail:jan.hochmann@mfsr.sk