Információ-biztonsági szakember

Óbudai Egyetem Kandó Kálmán Villamosmérnöki Kar

Információ-biztonsági szakember levelező szakirányú továbbképzés szakindítási dokumentáció

Budapest, 2012.

TARTALOMJEGYZÉK

I. II.

III.

ADATLAP A SZAK TANTERVE ÉS A TANTÁRGYI PROGRAMOK LEÍRÁSA 1.Tanterv 2. Az információ-biztonsági szakirányú továbbképzési szak tantervi előlapja 3. Tantárgyi programok MELLÉKLETEK 1. számú melléklet 2. sz. melléklet

2

3 4 4 5 8 13 13 13

I.

Adatlap

1. A bejelentő felsőoktatási intézmény: A képzésért felelős kar:

Óbudai Egyetem 1034 Budapest, Bécsi út 96/B. Kandó Kálmán Villamosmérnöki Kar

2. A szak megnevezése:

Információ-biztonsági szakirányú továbbképzési szak

3. Szakirányú továbbképzés szintje:

BSc

4. A képzési terület megnevezése:

Információ-biztonsági

Bp., 2012. május

Prof. Dr. Rudas Imre rektor

3

II.

A szak tanterve és a tantárgyi programok leírása

1.Tanterv Levelező tagozat

4

2. Az információ-biztonsági szakirányú továbbképzési szak tantervi előlapja Képzési forma: Levelező BSc szakirányú továbbképzés Képzési cél A vállalkozások tevékenységében az informatikai rendszerek üzemeltetésével foglalkozó informatikusok és mérnökök munkájuk során egyre gyakrabban szembesülnek információ-biztonsági kihívásokkal. Jellemző, hogy a szükséges technológiai ismerettel rendelkeznek, ugyanakkor az információ-biztonság területén felmerülő szervezési, szabályozási, ellenőrzési kérdésekben nem rendelkeznek a szükséges kompetenciákkal. A továbbképzés célja olyan magasan kvalifikált gyakorlati szakemberek képzése, akik mérnöki ill. informatikusi alapképzettségük mellett képessé válnak arra, hogy az információ-biztonság problémáit komplex, egyszerre technológiai és menedzsment szemlélettel legyenek képesek kezelni. A képzés során piacképes tudást biztosítunk az információ-biztonság menedzseléséhez. A képzésben részt vevők technológiai és menedzsment megközelítés integrálásával képessé válnak az információ-biztonság területén megjelenő komplex feladatok ellátására, speciális munkakörök betöltésére (pl. adatvédelmi felelős, IT biztonsági felelős). A képzés támaszkodik az információ-biztonság területén relevánsnak tekinthető nemzetközi standardokra, lebonyolítása a területen meghatározó szervezetek (ISACA, TÜV Reiland) együttműködésével történik. Képzés helye: Az Óbudai Egyetemen belül a Híradástechnika ill. a Vállalkozásmenedzsment Intézet oktatja a képzésben szereplő valamennyi tárgyat. Cím: Óbudai Egyetem, 1083. Budapest Tavaszmező utca 15-17. A képzési idő: 3 félév, összesen 300 kontaktóra Jelentkezés feltétele: Egyetemi- vagy főiskolai mérnök, közgazdász ill. informatikus oklevél. Finanszírozási forma: Önköltséges Megszerezhető végzettség: Eredményes záróvizsga esetén hallgatóink oklevelet kapnak: Bsc információ-biztonsági szakember szakirányú szakképzettség megnevezéssel. A szakképzettség angol nyelvű megjelölése: Bachelor of Professional Specialise Information Security Management Szakmai gyakorlat: Jelen szakirányú továbbképzési szak képzéséhez a levelező tagozaton nem tartozik szakmai gyakorlat. 5

Megszerzendő kreditek száma: 90 kredit A képzés főbb területei: Tárgyak jellege

Kredit

Alap ismeretek

30

Szakmai ismeretek

50

Szakdolgozat

10

Összesen

90

Értékelési és ellenőrzési módszerek, eljárások: A tantárgyak vizsgával, illetve évközi jeggyel zárulnak. A vizsgára bocsátás feltétele tantárgyanként különböző: írásbeli dolgozat, illetve egyéni feladat beadása egyaránt lehetséges. Az évközi jegy kialakítása a laboratóriumi munka alapján történik. A vizsga írásbeli vagy szóbeli lehet. A harmadik félév után, a követelmények teljesítésével a képzésben részt vevők végbizonyítványt szereznek. A végbizonyítvány megszerzéshez a képzésben részt vevőknek szakdolgozatot kell készíteniük, melyet a záróvizsgán meg kell védeniük. A korábban szerzett ismeretek, gyakorlatok beszámítási rendje: A korábban, hasonló témában szerzett érdemjegyet az egyetem általános eljárási rendje szerint számítjuk be, azaz a félév kezdetén, index alapján, és megfelelő tematika alapján a tantárgyfelelős oktató tesz javaslatot a beszámítás lehetőségére a Kreditátvételi Bizottság részére. A szakdolgozati téma kiadásának feltétele: Két félév eredményes lezárása, a mintaterv szerint előírt tantárgyak teljesítése. A záróvizsgára bocsátás feltételei: A záróvizsgára bocsátás feltétele a végbizonyítvány (abszolutórium) megszerzése és a szakdolgozat elkészítése. Végbizonyítványt a felsőoktatási intézmény annak a hallgatónak állít ki, aki a tantervben előírt tanulmányi és vizsgakövetelményeket teljesítette, az előírt krediteket megszerezte, beleértve a szakdolgozatára adható krediteket is. A záróvizsga részei: A záróvizsga a szakdolgozat védéséből és a tantervben előírt tárgyakból tett szóbeli vizsgákból áll. A záróvizsgát a hallgatónak egy napon, folyamatosan kell letenni. A záróvizsga szóbeli vizsgából áll, a felkészülési idő tantárgyanként legalább 20 perc. A záróvizsga tárgyai: Szervezeti információ-biztonság tervezése (7 kr.) ISO 27001 audit (8 kr.) Gyakorlati adatbiztonság (8 kr.)

6

A záróvizsga eredménye: A szakdolgozatra és a záróvizsga szóbeli részére kapott érdemjegyek - a vizsgatárgyak számát figyelembe vevő - átlaga az alábbiak szerint: Z =(SZD + Z1+Z2+Z3)/4. Az oklevél minősítése: A záróvizsga eredménye alapján az oklevelet a következők szerint kell minősíteni: kiváló jeles jó közepes elégséges

5,00 4,51 - 4,99 3,51 - 4,50 2,51 - 3,50 2,00 - 2,50

7

3. Tantárgyi programok 1. Informatikai projektmenedzsment A projektmenedzsment alapjai (a projektek típusai, életciklus, szervezet, ütemezés, kockázatkezelés és gazdaságossági kérdések). Projektmenedzsment módszertanok és alkalmazásuk lehetőségei (PMBOK, PRINCE2, ISPL). Informatikai rendszerelemek összehasonlítása, kiválasztása. Információs rendszerek bevezetése és tesztelése. Informatikai beruházások értékelése (TCO). Szabványos minőség-, környezet- és információ-biztonsági irányítási rendszerek projektszerű bevezetése. Irodalomjegyzék: Görög Mihály – Ternyik László: Informatikai projektek vezetése. Kossuth Kiadó, Budapest, 2001. Rózsa Tünde: Informatikai beruházások értékelése. Agrártudományi Közlemények, 2005/13, Különszám. pp. 378-386. Verzuh, Eric: Projektmenedzsment. HVG Kiadó, 2006. Projektmenedzsment útmutató (PMBOK Guide). Akadémiai Kiadó, Budapest, 2006. Beinschróth József – Kupás Tibor: Projektek működésfolytonossága www.pmi.hu, 2009 2. Informatikai környezet védelme Az audit folyamata az alaptevékenység tükrében. Objektumvédelmi érzékelők és rendszerek, tűzvédelmi érzékelők és aut. oltórendszer, beléptető rendszerek, CCTV rendszerek. A számítógépterem EMC védelme. Rendelkezésre állások az informatika számára (villamos energia, informatikai és egyéb hírközlő vonalak, klímatizálás, biztonság erősítő szerződések,stb.) Irodalomjegyzék: Szerkesztő Lukács: Új Vagyonvédelmi Nagykönyv , Kiadó Cedit 2000 (ha antikvárban kapható, ill. könyvtár) Ferenczi: Elektronikus betörésjelző és riasztókészülékek (Műszaki Könyvkiadó 1992) Vasvári György: Bankbiztonság (BME GTK 2003) Horváth-Lukács-TuzsanVasvári: Informatikai biztonsági rendszerek (BMF/Ernst&Young 2001) Herwerth Miklós: Behatolásjelző rendszerek tervezése (Secutex Kft. 2001) 3. Informatikai jog Az informatika és az IT biztonsági jogi szabályozása Magyarországon és az Európai Unióban. A büntetőjog és a büntető eljárásjog informatikára vonatkozó részei. Szerzői jog, munkajog IT vonatkozásai. Minősített adatok védelme. Rejtjelzés szabályozása. Elektronikus hitelesség a polgári jogban. Elektronikus kormányzat jogi háttere. Irodalomjegyzék: Balogh Zsolt György (1998): Jogi informatika. Dialóg Campus Kiadó, BudapestPécs. ISBN 9639123196

8

Dósa Imre – Polyák Gábor (2003): Informatikai jogi kézikönyv. KJK KERSZÖV, Budapest. ISBN 9632246063 Dósa Imre (szerk.)et al. (2009): Az informatikai jog nagy kézikönyve. Complex, Budapest. 4. Kriptográfia Alapfogalmak. Történelmi áttekintés. Matematikai alapok. Rejtjelezés matematikai modellje. Támadások típusai, Kerkhof elv. Klasszikus rejtjelező algoritmusok. Tökéletes rejtjelezés. Blokk és stream rejtjelzések. Nyilvános kulcsú rejtjelezések. Üzenethitelesítés, lenyomatoló függvények. Elektronikus aláírás. Letagadhatatlanság. Kulcsgenerálási és kulcskiosztás protokollok. Kulcshitelesítő szolgáltató központ, Tanúsítási modellek és hierarchiák; Kulcsgenerálás, Hitelesítő központok; Elektronikus aláírás törvények és szabványok, CA, CSP, hitelesítési lánc. Veszélyforrások. Intelligens és optikai kártya biztonság. Biometria. Adattároló eszközök hardver biztonsága. Elektronikus aláírás gyakorlati alkalmazása Irodalomjegyzék: Virasztó Tamás (2004): Titkosítás, adatrejtés. NetAcademia, Budapest. ISBN 9632142535 Almási János – Balázs László – Erdősi Péter Máté – Kovács Árpád – Rátai Balázs – Schvéger Judit (2010): Elektronikus hitelesség, elektronikus aláírás. OTY StarTel, Budapest. ISBN 9789630687270 Horváth László – dr. Lukács György – dr. Tuzson Tibor – Vasvári György (2001): Informatikai biztonsági rendszerek. Budapesti Műszaki Főiskola – Ernst & Young, Budapest. 5. Információ-biztonsági szervezetek és szabványok Az információ-biztonság hazai és nemzetközi szervezetei. Az egyes szervezetek szerepe, célja és jelentősége. A hazai és nemzetközi szabványok szerepe, célja, felépítése. A szabványok egymáshoz való kapcsolódásai. Gyakorlati alkalmazások. Irodalomjegyzék: Pál Michelberger Jr. et al.: After Information Security – Before a Paradigm Change (A complex enterprise security model) Beinschróth József: A működésfolytonosság kérdése az informatikai biztonságra vonatkozó ajánlásokban, Kard és Toll, 2005/1. Beinschróth József: A működésfolytonosság kérdése az informatikai rendszerek üzemeltetésére vonatkozó ajánlásokban, Nemzetvédelmi Egyetemi Közlemények, 2005. IX évf. 2. sz. Beinschróth József: IT biztonsági szabványok (Nemzetközi Gépész Biztonságtechnikai Szimpozium, 2007.) COBIT – www.isaca.hu ITIL – www.itsmf.hu 6. Etikus hackelés mint szolgáltatás Az ethical hacking tevékenyégének és eszközrendszerének bemutatása, alkalmazásának lehetőségei. Támadástípusok ismertetése: penetration testing, fuzzing, social engineering. A tevékenység végzésének, megrendelésének szabályai, szerződéses kellékei. A támadások műszaki lehetőségei, jellemzői.

9

Irodalomjegyzék: Ari Takanen, Jared DeMott, Charlie Miller: Fuzzing for Software Security Testing and Quality Assurance. Artec House, Norwood, USA, 2008. Shakeel Ali, Tedi Heriyanto: BackTrack 4: Assuring Security by Penetration Testing. Master the art of penetration testing with BackTrack. Packt, Birmingham, 2011. Christopher Hadnagy: Social Engineering: The Art of Human Hacking. Wiley, 2010. 7. Szervezeti információ-biztonság tervezése Az információ-biztonság fogalmai és szemléletmódja. Az információbiztonságot fenyegető technikai, humán és szervezeti-szervezési tényezők és kezelésük. Információ-biztonság tervezési és fejlesztési módszertan. Kockázatelemzés, BCP, DRP. Információ-biztonsági ellenőrzések tervezése és lebonyolítása. Irodalomjegyzék: Az informatikai biztonság kézikönyve, szerkesztő: Muha Lajos, Verlag Dashöfer Szakkiadó, 2000. (folyamatosan aktualizált kiadvány) Horváth-Lukács-Tuzsan- Vasvári: Informatikai biztonsági rendszerek (BMF/Ernst&Young 2001) 8. Személyes adatok védelme Az adatvédelem alapintézményei és gyakorlata. Az adatvédelmi jog alkotmányjogi és európai jogi alapjai. Az adatvédelem fogalomrendszere. Adatvédelmi garanciák, jogérvényesítés. Az adatvédelmi biztos korábbi gyakorlata és a bírói joggyakorlat. Adatkezelés és adatfeldolgozás a gyakorlatban. Adatbiztonsági követelmények. Az intézményen belüli adatvédelem jelentősége. Az adatvédelmi felelős jogi helyzete. A belső adatvédelmi szabályzat funkciója, felépítése, tartalmi elemei. Eljárási kérdések. Egyes adatkezelési folyamatok megtervezése és nyilvántartása, adattovábbítási nyilvántartás vezetése. Adatkezelés nyilvántartásba vétele (regisztráció). Az adatvédelem aktuális problémái. Irodalomjegyzék: Jóri András (2005): Adatvédelmi kézikönyv. Elmélet, történet, kommentár. Osiris, Budapest. ISBN 9633897351 Jóri András – Hegedűs Bulcsú – Kerekes Zsuzsanna (szerk.) et al. (2010): Adatvédelem és információszabadság a gyakorlatban. Complex, Budapest. Majtényi László (2006): Az információs szabadságok. Adatvédelem és a közérdekű adatok nyilvánossága. Complex, Budapest. ISBN 9632247604 9. ISO 27001 audit Az ISO 27001 szerkezete, története. Az ISO 27002 ismertetése: Információbiztonsági politika, biztonsági szervezet, eszközosztályozás, menedzsment, ellenőrzés, személyi biztonság, fizikai és környezeti biztonság, számítógép, hálózati szolgáltatások, működtetés menedzsment, hozzáférés szabályozás, ellenőrzés, IT rendszerfejlesztés és karbantartás, üzletmenet-folytonosság menedzsment, megfelelés. Az ISO 27001 ismertetése: PDCA modell, a szabvány tartalma, Információ Biztonság Menedzsment Rendszer 10

meghatározása, menedzselése, az ISMS dokumentációs követelményei, a szervezet menedzsmentjének felelőssége, menedzsment szintű ellenőrzés, az ISMS továbbfejlesztése. A rendszer felépítése, bevezetése, szervezeti feltételek, folyamatok, a rendszer dokumentálása. Tanúsító szervezet elvárásai. Audit előkészítése, végrehajtása, dokumentálása. Irodalomjegyzék: Muha Lajos – Bodlaki Ákos (2001): Az informatikai biztonság. PRO-SEC, Budapest. ISBN 9638602260 Horváth László – dr. Lukács György – dr. Tuzson Tibor – Vasvári György (2001): Informatikai biztonsági rendszerek. Budapesti Műszaki Főiskola – Ernst & Young, Budapest. Vasvári György (1997): Biztonsági rendszerek szervezése. Pro-Sec, Budapest. ISBN 9638545372 10. Számítógépes hálózati biztonság Számítógépes hálózati fenyegetések. Tűzfalak, VPN-ek, kiszolgálók üzemeltetése. Biztonságos hálózati csatornák (SSL, TLS, SSH). Hitelesítési módszerek, tanúsítványok. Webes fenyegetések Irodalomjegyzék: Andrew S. Tannenbaum: Számítógép-hálózatok, Panem Könyvkiadó, 2004. Michael D. Bauer: Szerverek védelme Linuxszal, O'Reilly-Kossuth, 2003. Tom Thomas: Hálózati biztonság, Panem Könyvkiadó, 2005 11. Felhasználói eszközök és alkalmazások biztonsága Napjaink elterjedten használt szoftver (alkalmazások, azonosítás, titkosítás) hardver (desktop gépek, szerverek, mobil és hordozható eszközök stb.), eszközeinek információ-biztonsági kérdései. Mindennapi információ-biztonsági problémák, esettanulmányok. Irodalomjegyzék: Releváns web oldalak (pl. http://informaciobiztonsag.lap.hu/) 12. Gyakorlati adatbiztonság Esettanulmányok. Biztonsági mentés. Jelszavak, jelszótörési lehetőségek. Egyés kétkulcsos titkosítások alkalmazásai, digitális aláírás. Tipikus kommunikációs helyzetek biztonsági problémái. Biztonságos távoli bejelentkezés, kaputovábbítás, PGP, tárolt adatok védelme. Tanúsítványkészítés és használat. Közbeékelődéses támadás. Szteganográfia. Vírusvédelem és spamszűrés. Szabad szoftverek. Adatbázisok elemi biztonsága. A Nagy Testvér mindenkit figyel. Irodalomjegyzék: Dwivedi: SSH a gyakorlatban. Módszerek biztonságos hálózati kapcsolatok kialakítására. Kiskapu Kft., Budapest, 2004. Zimmermann: The official PGP user's guide. MIT Press (Cambridge, Mass), 1996. ISBN 0262740176. Originally part of the PGP program package: ftp://ftp.pgpi.org/pub/pgp/7.0/docs/english/IntroToCrypto.pdf , pp. 47-50. Craig – Grand - Mullen - Russell - Beale: A Háló kalózai – hogyan lopjunk kontinenst?, Kiskapu, 2005.

11

Vajda - Bencsáth - Bognár: Tanulmány a napvilágra került Elender jelszavakról. BME, Elektronikus Biztonság Laboratórium, 2000. Schneier: Schneier a biztonságról. HVG Kiadói Zrt., Budapest, 2010. Mitnick: A Legendás hacker - A behatolás művészete, Perfact-Pro, 2006. Tanenbaum: Számítógép-hálózatok 3. kiadás, Prentice Hall-Panem, 1999.

12

III.

Mellékletek

1. számú melléklet Az Óbudai Egyetem Szenátusának a szak létesítését kezdeményező határozata 2. sz. melléklet A szak képzési és kimeneti követelményei

13