Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Nemeslaki András E-közszolgálat Fejlesztési Intézet Nemzeti Közszolgálati Egyetem

Az IB továbbképzés és éves továbbképzés szerkezete Továbbképzés Éves továbbképzés Idő (óra) Tárgykörök Idő (óra) Tárgykörök IB Felelős (EIV) 300 Két féléves ASZTK 80% elmélet 20% gyakorlat Elektronikus IB vezető képesítés 50 IB technológia IB stratégia, szabályozás Incidenskezelés (kockázat) Jog és szervezetirányítás IB résztvevő 50 IB technológia IB stratégia, szabályozás Incidenskezelés (kockázat) Jog és közigazgatás 25 IB technológia IB stratégia, szabályozás Incidenskezelés (kockázat) Jog és szervezetirányítás Felelős vezető 8 Jog, közigazgatás, vezetés IB technológia IB stratégia, szabályozás 8 Jog, közigazgatás, vezetés IB technológia IB stratégia, szabályozás

NKE Kutatás 2014 Január-Február Milyen igényeket és elvárásokat támasztanak a továbbképzésekkel kapcsolatban? Mi jellemzi az IB-felelősök kijelölésének közigazgatási folyamatát?

Szakértői Interjúk 15 db Szakértők, akik befolyással vannak. Felhasználók, akik rálátással rendelkeznek. Minisztérium IB-felelős 2014. 01. 13. Egyetem IB-szakértő 2014. 01. 15 Egyetem IB-szakértő 2014. 01. 16. Országos hatóság elnökhelyettes 2014. 01. 30. Minisztériumi háttérintézmény IB-szakértő 2014. 01. 31. Informatikai szolgáltató IB-igazgató 2014. 02. 05. Informatikai szolgáltató IB-szakértő 2014. 02. 05. Informatikai szolgáltató IB-szakértő 2014. 02. 05. Minisztériumi szervezet informatikai főosztályvezető 2014. 02. 06. Országos IB-szerv képzési felelős 2014. 02. 25. Vidéki kisváros önkormányzata Vidéki kisváros önkormányzata Vidéki nagyváros bírósága Megyei adóigazgatóság Vidéki nagyváros bírósága HR-szakértő 2014. 01. 30. informatikus 2014. 01. 30. informatikai osztályvezetőhelyettes 2014. 01. 31. humánigazgatási főreferens 2014. 01. 31. IB-szakértő 2014. 02. 04.

Az interjú vezérfonalak három témaköre Az információbiztonság kérdése a közigazgatásban a képzendők körének kiválasztásának folyamata képzés tartalmával összefüggő kérdések, vélemények, elvárások.

Az IB szabályozási háttere és szervezeti struktúrája Az IB szabályozás előrehaladottabb mint azt az infrastruktúra használatának fejlettsége indokolná. Logikus építkezés, széleskörű konzultáció és elfogadottság. Holisztikus szemlélet, párbeszéd az állam, a vállalatok és az oktatás/tudomány között. Múlt öröksége terhes: házról-házra küzdelem. Szervezetek együttműködése, információáramlás.

Az IT infrastruktúra helyzete Az információrendszer kataszter fontossága (50-100ezer rendszer a közigazgatásban). Központosított beszerzés fontos szerepe a biztonság szempontjából (pl. NISZ). A kimutathatatlan ROI problémája (a jó IB láthatatlan ). Decentralizáltság problémája ( 900 gépterem ) EUs finanszírozású projektekben a fenntartás és nyomonkövetés problémája

A kinevezések közigazgatási folyamata A törvényben jelzett három szint, három probléma típus jellemzi. Viszont a szervezetek megnevezése kritikus elem. Ki a vezető? Munkáltatói jogokat gyakorló személy. A lényeg az IB terület jelentőségének megértése a személyi döntésekhez. Ki az EIV? Hol van rá szükség? Létszám vagy kezelt adat függvénye? Erőforrás hozzárendelés fontossága (pénz, paripa, fegyver). Az EIV, mint tudásbróker.

A képzés általában Heterogén ismeretek és tudatosság a közigazgatásban. Szakítani kell a hagyományos képzések logikájával (tartalom és módszer). Gyakorlatorientáltság, szemlélet- és gondolkodásmód. Szabályok, eljárások, folyamatok: esettanulmány centrikus képzés Leterheltség figyelembevétele. Alap és szakvizsgába való önálló modulként beépítés.

A képzés szintenként IB -Vezetők: Holisztikus ismeretek Felelősség tudatosítása Folyamatok irányítása, megfelelő kérdezés. Eljárások ismerete (hatóságok). IB-Felelősök Alapok ismerete Technológia és szervezeti ismeretek egyensúlya Folyamatok, pontos teendők ismerete, a baj felismerése. Tudásmenedzsment, szakmai fórumok, közösségépítés.

On-line kérdőív a biztonságtudatosságról 397ből 285 értékelhető

A szervezeti dimenzióba olyan kérdések kerültek, amelyek a céges szokásokat és eljárásokat mérték: pl. Van-e IB-részleg a munkahelyén?, Tudja-e kihez kell fordulnia, ha számítógépét feltörték?, Szokott-e céges adatokat lemásolni és hazavinni?, Részesült-e munkahelyén IB-képzésben? stb. Infrastrukturális dimenzióba soroltuk az olyan kérdésekre adott válaszokat, hogy a válaszadók szerint mennyire biztonságosak a munkahelyi rendszereik: pl. Telepítve van-e vírusirtó a gépén?, Számítógépe automatikusan végzi-e el a frissítéseket?, Talált-e már vírust vagy trójai programot a céges gépén? stb. Egyéni dimenziónak neveztük el azokat a kérdéseket, amelyek általános ismereteket és szokásokat tükröznek a felhasználó szintjén: pl. Észrevenné-e, ha gépét feltörnék?, Megadta-e már céges jelszavát másnak is?, Milyenek a levelek csatolmányainak megnyitásával kapcsolatos szokások? stb SANS USA kérdőiv: 1-5 szint

A megkérdezettek 88%-ának jó a biztonságtudatossága

A kor és a nem nem magyaráz Jó osztályzat Közepes osztályzat Átlag a mintán belül Életkor szerint 35 év alattiak 34,5% 21,5% 31,5% 35 44 év között 34% 43% 36% 45 54 év között 23% 24,5% 23% 55 év felettiek 8,5% 11% 9% Nem Nő 57% 46% 54,5% Férfi 43% 54% 45,5%

Gondok a 88% jó biztonságtudatosságnál 8% nem érzi biztonságosnak a számítógépét adatlopásokkal szemben. 14%-a a válaszadóknak talált már trójai programot a gépén. 25% inkább úgy gondolja, hogy csak az IT-részleg feladata a biztonság garantálása. 26%-a azt mondja, hogy megadta már másnak a céges jelszavát. 33% nem tudja miről ismerhető fel valamilyen átverős (spam) levél. 40%-a állítja, hogy nem venné észre, ha feltörnék a számítógépét. 49% pedig mindezek ellenére úgy gondolja, hogy megfelelően elegendő informatikai biztonsági képzésben részesült.

Információ-biztonsági képzések típusai Képzés célcsoportja Képzés célja, neve Képzés típusa Óraszám Tanulmányi pontérték információs rendszerek védelméért felelős vezetők információs rendszer biztonságáért felelős személyek információbiztonsági feladatok ellátásában résztvevő személyek Belépő képzés E-learning 8 8 Éves továbbképzés E-learning 8 8 EIV szakirányú továbbképzés Blended learning 320 48 Éves továbbképzés E-learning 50 32 Belépő képzés E-learning 50 32 Éves továbbképzés E-learning 25 16

Információ-biztonsági képzések típusai Képzés célcsoportja Képzés célja, neve Képzés típusa Óraszám információs rendszerek védelméért felelős vezetők 2014. május 28. I. szekció Tanulmányi pontérték Belépő képzés E-learning 8 8 Éves továbbképzés E-learning 8 8 információs rendszer biztonságáért felelős személyek információbiztonsági feladatok ellátásában résztvevő személyek EIV szakirányú továbbképzés Blended learning 320 48 Éves továbbképzés E-learning 50 32 Belépő képzés E-learning 50 32 Éves továbbképzés E-learning 25 16

Információ-biztonsági képzések típusai Képzés célcsoportja Képzés célja, neve Képzés típusa Óraszám információs rendszerek védelméért felelős vezetők 2014. május 28. I. szekció Tanulmányi pontérték Belépő képzés E-learning 8 8 Éves továbbképzés E-learning 8 8 információs rendszer biztonságáért felelős személyek információbiztonsági feladatok ellátásában résztvevő személyek EIV szakirányú továbbképzés Blended learning 320 48 2014. május 29. I. szekció Éves továbbképzés E-learning 50 32 Belépő képzés E-learning 50 32 Éves továbbképzés E-learning 25 16

Információ-biztonsági képzések típusai Képzés célcsoportja Képzés célja, neve Képzés típusa Óraszám információs rendszerek védelméért felelős vezetők 2014. május 28. I. szekció Tanulmányi pontérték Belépő képzés E-learning 8 8 Éves továbbképzés E-learning 8 8 információs rendszer biztonságáért felelős személyek információbiztonsági feladatok ellátásában résztvevő személyek EIV szakirányú továbbképzés Blended learning 320 48 2014. május 29. I. szekció Éves továbbképzés E-learning 50 32 Belépő képzés E-learning 50 32 Éves továbbképzés E-learning 25 16 2014. május 28., 29. II. szekció

Köszönöm! nemeslaki.andras@uni-nke.hu