Vzdelávanie v informačnej bezpečnosti Daniel Olejár, Univerzita Komenského v Bratislave
Agenda • Prečo potrebujeme vzdelávanie v informačnej bezpečnosti? • Špecifickosť vzdelávania v IB a riešenia • Slovensko: Národná stratégia a Návrh systému vzdelávania • Projekt vzdelávania – – – –
Znalostné štandardy Základné kurzy Nadstavbové vzdelávanie Výsledky
• Ako ďalej? 3/19/15
(c) Daniel Olejár
2
Človek ako rozhodujúci faktor informačnej bezpečnosti • • •
• •
ľudia sa podieľajú na spracovaní informácie a môžu ovplyvniť úroveň IB kladne i záporne Veľa hrozieb sa zakladá na chýbajúcich alebo nedostatočných znalostiach používateľov IKT Nutný predpoklad dostatočnej ochrany informácie: každý, kto sa podieľa na jej spracovaní potrebuje vedieť, čo môže, musí a nesmie robiť Ale – veľa rôznych používateľov informácie s rôznymi znalostnými potrebami Potrebujeme – Bezpečnostne vzdelaných laikov – Špecialistov na IB
3/19/15
(c) Daniel Olejár
3
Špecifickosť vzdelávania v IB • • • • •
S informáciu pracuje, resp. má možnosť ovplyvniť jej bezpečnosť skoro každý človek Bezpečnostné povedomie a základné znalosti v IB pre všetkých Ale – potrebujeme aj špecialistov Akých? Čo vlastne je IB? – Stav IKT systému – Činnosti na dosiahnutie ideálneho stavu – Medziodborová disciplína
•
Predmet IB ako vednej disciplíny: zraniteľnosti, hrozby voči IKT a informácii, metódy ošetrenia hrozieb a efektívneho zaisťovania primeranej úrovne ochrany informácií
3/19/15
(c) Daniel Olejár
4
Špecifickosť vzdelávania v IB • Veľmi široký predmet (hrozieb je veľa a rôznych), rovnako opatrení • Školy nie sú pripravené a firemné školenia nenahradia systematické vzdelávanie • IB ešte nie je (v SR) vedný ani študijný odbor • Zložitá procedúra akreditácie • Rýchly vývoj problematiky • Veľký počet potenciálnych účastníkov vzdelávania • Koho budeme minimálne potrebovať okrem vyškolených laikov:
– Informatikov – Právnikov – Manažérov • Základné otázky vzdelávania (v IB) – – – – 3/19/15
Kto bude učiť Koho Čo ako (c) Daniel Olejár
5
Ako to riešia inde? • • • • • •
Dostatok až prebytok informačných zdrojov pre samoštúdium (NIST SP-800) Komerčné vzdelávanie (aj zakončené skúškami a certifikátmi) Školenia vlastných zamestnancov Rezortné vzdelávanie a kvalifikačné požiadavky Vysoké školy Aj vo vyspelých krajinách nedostatok kvalifikovaných ľudí v IB
3/19/15
(c) Daniel Olejár
6
Slovensko • • • •
Národná stratégia SR v IB (2008) – vzdelávanie ako jedna z prvoradých úloh Návrh systému vzdelávania v IB (2009) Projekt MF SR 2012-2014 Okrem toho: – vyše 20 rokov IB na vysokých školách (aj za účasti odborníkov z praxe) – Skúšky ISACA (od r. 1998) – Rôzne formy komerčného vzdelávania – Dokonca absolventi zo zahraničných vysokých škôl – Spolupráca so zahraničím
3/19/15
(c) Daniel Olejár
7
Projekt MF •
•
Oficiálny názov „Vypracovanie štandardov základných znalostí, metodických materiálov, analýz dokumentov a súvisiacich vykonávacích predpisov, obsahová príprava a realizácia školení pre oblasť informačnej bezpečnosti“. Obsah: – Znalostné štandardy, ktoré chcelo MF SR vydať a presadiť v rámci štandardov pre ISVS – Podrobné rozpracovanie obsahu vzdelávania podľa štandardov – Vytvorenie učebníc – Pilotný projekt – Základné kurzy – Nadstavbové vzdelávanie (vrátane nových učebníc)
• Riešitelia: UK, STU, KPMG, Gordias, (Eset, CSIRT) 3/19/15
(c) Daniel Olejár
8
Znalostné štandardy kategórie a roly • Kategorizácia používateľov - nedala sa prebrať zo zahraničia, príliš podrobné
• laici – neprivilegovaný používateľ
• manažéri a vedúci pracovníci – vedúci pracovník/zamestnanec
• informatici nešpecialisti v IB – Manažér IT – správca IKT systémov
• špecialisti v IB – manažér IB – operátor bezpečnostných technológií – audítor bezpečnosti IKT systémov – bezpečnostný analytik
• učitelia IB – lektor IB 3/19/15
(c) Daniel Olejár
9
Znalostné štandardy obsah • • • • • • • • •
Rámcová špecifikácia MF SR Common body of knowledge (ISC)2 Essential Body of Knowledge (EBK) ISO/IEC 27002 Porovnanie obsahu týchto troch zdrojov Stanovenie základných oblastí znalostí Pre každú rolu – špecifikácia potrebných znalostí z jednotlivých oblastí Pôvodne – formalizácia, 3 znalostné úrovne, ale tie by sa možno uplatnili až pri rozsiahlejšom vzdelávaní Zistenie: relatívne malé rozdiely medzi rolami tej istej kategórie, aj medzi niektorými kategóriami
3/19/15
(c) Daniel Olejár
10
Základné oblasti (znalostí) v IB • • • • • • • • • •
Legislatíva a štandardy IB Riadenie IB Riadenie rizík Obstarávanie, vývoj a zmeny IKT systémov Fyzická bezpečnosť Riadenie prístupu Bezpečnosť komunikácie Správa bezpečnostných incidentov Prevádza IKT systémov a kontinuita činnosti Audit informačnej bezpečnosti
3/19/15
(c) Daniel Olejár
11
Základné kurzy • • • • • • •
Pre všetkých 5 kategórií používateľov Laici a riaditelia 40 hodín, ostatní 80 hodín Prednášky, prezentácie, učebnice Okrem toho kurz pre ľudí zodpovedných za ochranu kritickej infraštruktúry a vrcholových manažérov zo štátnej správy Materiály sú na webe http://www.informatizacia.sk/vzdelavanie-v-oblasti-ib/17005s skúsenosti: – Rôznorodé obecenstvo – Záujem a veľmi dobrá odozva (poslucháči hodnotili každú prednášku) – Vzdali sme sa úvodného a záverečného testu – Nepodarilo sa spraviť cvičenia
3/19/15
(c) Daniel Olejár
12
Nadstavba • Pôvodne koncipovaná ako 5 predmetov vysokoškolského štúdia v rozsahu 150 hodín – – – – –
Manažment IB Kryptológia Bezpečnosť operačných systémov Bezpečnosť sietí Elektronický podpis a PKI
• Ale zmenený obsah aj organizácia – – – –
3/19/15
Ostali predmety Témy podľa požiadaviek poslucháčov Poslucháči sa nehlásili na predmety, ale na bloky prednášok Prednášali len ľudia z STU, UK, Esetu a CSIRTu
(c) Daniel Olejár
13
Nadstavba • • • • •
Hodne poslucháčov základných kurzov chodilo aj na nadstavbové vzdelávanie Záujem prekročil kapacity Veľmi dobrá interakcia prednášateľov a poslucháčov Mimoriadne náročné na prípravu Výstupy (na webe) – Učebnice – Zborník prednášok – prezentácie
3/19/15
(c) Daniel Olejár
14
Závery • V projekte sme overovali možnosti systematického mimoškolského vzdelávania • Vychádzame z Projektu, zahraničných a vlastných skúseností zo vzdelávania v informačnej bezpečnosti • Vyskúšali sme si obsah, formy vzdelávania a učiteľov/lektorov • Kvantitatívne ukazovatele projektu – – – – –
november 2012 – január 2015 1050 účastníkov z verejnej správy a vysokých škôl Asi 25 lektorov 7 učebníc a zborník v rozsahu cca 1600 strán Prezentácie: niekoľko tisíc slajdov
• Vyjadrenia účastníkov k jednotlivým prednáškam a lektorom • Námety od účastníkov na obsah postgraduálu
3/19/15
(c) Daniel Olejár
15
Závery základné kurzy • Stanovili sme obsah a rozsah potrebných znalostí pre laikov, vedúcich pracovníkov a informatikov nešpecialistov v IB, vypracovali a odladili základné kurzy pre tieto kategórie • Základné kurzy pre nešpecialistov v IB by mohli prebiehať podľa navrhnutých plánov • Treba doplniť vstupný test kvôli tomu, aby bolo možné rozdeliť účastníkov do skupín podľa znalostí • Doplniť v učebniciach chýbajúce základné témy manažmentu IB, prehľadu legislatívy • Doplniť cvičenia a praktické úlohy • Záverečný test ? • Refreshment courses ? • Životnosť vzdelávania 3/19/15
(c) Daniel Olejár
16
Závery Príprava špecialistov • Štandardnou formou (pregraduálne vš. vzdelávanie) bude možné pripravovať špecialistov informatikov (bezpečnostných správcov systémov, kryptológov, operátorov) • Manažment IB, právo – postgraduálne štúdium v rámci celoživotného vzdelávania • Potenciálni účastníci – ľudia z praxe • Naprv – tematické bloky (pripraviť, vyskúšať) • Z blokov – predmety, časom špecializácia/kvalifikácia • Prepojenie na pregraduálne štúdium a na prax (lektori, požiadavky) • Príprava metodických materiálov (budeme však mať s kým po zmenách na MF spolupracovať?) • Špecializované kurzy pre inštitúcie
3/19/15
(c) Daniel Olejár
17
Závery učitelia a školy • • • • • •
V projekte – ľudia z UK a STU Medzi účastníkmi učitelia z iných vysokých škôl Možnosť využitia know-how na nekomerčnej báze Príklady Zaujímavá cieľová skupina – učitelia informatiky na stredných školách Budovanie bezpečnostného povedomia stredoškolákov
3/19/15
(c) Daniel Olejár
18
Závery komerčný sektor • • • • • •
Účasť na vzdelávaní – áno Lektori jednotlivých tém – tiež Ale nestačí niečo vedieť, treba sa naučiť aj vedomosti odovzdávať (skúsenosti, metodika) Nedá sa utiahnuť celý program – príliš široký (ľudia prednášajú problematiku, v ktorej nepracujú) Veľké časové investície do prípravy a inovácií prednášok Učebné texty
3/19/15
(c) Daniel Olejár
19
Ako ďalej? • • • • • •
Na vysokých školách zavádzame informačnú bezpečnosť v rámci informatiky (STU, UK) Niektoré oblasti (kryptológia) na UK aj STU Začíname s právom IKT Budeme rozširovať a vydávať učebnice IB Spoločné pracovisko STU-Eset-UK má v náplni aj vzdelávanie Pokúsime sa realizovať projekt vzdelávania IB vo forme celoživotného vzdelávania
Možno sa na v blízkej budúcnosti na niektorej z foriem vzdelávania stretneme
3/19/15
(c) Daniel Olejár
20