Abban a szerencsés (?) helyzetben vagyok, hogy harmincharmadmagammal elsőként vehetek részt ezen a képzésen. Pár infó ezzel kapcsolatban:

Az Elektronikus információbiztonsági vezető szakirányú továbbképzés fő célja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban Információbiztonsági törvény, Ibtv.) meghatározott elektronikus információs rendszer biztonságáért felelős személyek feladatellátáshoz szükséges szakmai kompetenciáinak átadása és a biztonságtudatos szemléletmód kialakítása. Az Ibtv. számos képzési követelményt határoz meg a törvény hatálya alá tartozó vezetőkkel és az elektronikus információs rendszerek biztonságáért felelős személyekkel szemben. A képzésekről az Ibtv., illetve a 26/2013. (X. 21.) KIM rendelet alapján a Nemzeti Közszolgálati Egyetemnek (a továbbiakban: NKE) kell gondoskodnia.

Mivel a nemzetközi oktatási környezetben már számos akkreditált képzés elfogadott, ezért ezek közül az NKE az Information Systems Audit and Control Association (ISACA) nemzetközi szervezet Certified Information Security Manager (CISM) képzését vette alapul az Elektronikus információbiztonsági vezető szakirányú továbbképzési szak kidolgozásakor. Ezen CISM képzés alapján olyan szakirányú továbbképzést hirdet meg az NKE, amely alkalmas az elektronikus információs rendszer biztonságáért felelős személyek képzésének megvalósítására.

A nemzetközi trendek is alátámasztják, hogy az információbiztonság nem csak technológiai, hanem elsősorban szervezetirányítási kérdés, erős jogi-közigazgatási fókusszal. Ez a képzés – bár az információbiztonság műszaki, informatikai szakterületnek tűnik – egy speciális, információbiztonságra koncentráló menedzserképzés. A közigazgatási információbiztonság irányítási szemléletű oktatása megkülönböztető terület lehet más egyetemek meglévő portfoliójához képest.

A szakirányú ismeretek birtokában az elektronikus információs rendszer biztonságáért felelős személyek a megfelelő információbiztonsági rendszer kialakítása és fenntartása mellett ismereteivel és hozzáállásával növeli a szervezet biztonságát, neveli a munkatársakat, így összességében csökkenti a szervezet biztonsági kitettségét a hagyományos és informatikai támadókkal szemben.

További információk: [link]

Néhány gyakorlati tudnivaló:
Összesen 10 tárgy van:
- Információbiztonsági szabványok 12 óra,
- Minőségügyi ismeretek 6 óra,
- Jogi és közigazgatási ismeretek 9 óra,
- Irányítási rendszerek 8 óra,
- Kockázatértékelés, kockázatmenedzsment 12 óra,
- Biztonságtechnika 9 óra,
- Információbiztonsági program 12 óra,
- Vezetéselmélet 6 óra,
- Kockázatmenedzsment gyakorlat 11 óra,
- Biztonságpolitika 6 óra.

Az oktatók elsimert szakemberek (prof. Muha Lajos, Krasznay Csaba, stb.).
Jelenleg a vizsgaidőszak zajlik. A 10 tárgyból 4 szóbeli és 2 írásbeli vizsgát kell teljesíteni, valamint 4 db házi dolgozatot kell beadni.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Jó is ez, csak kicsit sok a 150K/félév, és a szervezet biztonsági vezetője, kijelöl a saját munkád mellett, helyi információbiztonsági felügyelőnek.

20 éve a Prohardveren

A képzés ára viszonylagos. Egy Kürt-ös etikus hacker képzéshez képest viszonylag olcsó... Persze nem is ér annyit. Viszont elvileg dolgoznak rajta, hogy az ISACA elismerje ezt a képzést a CISM-mel egyenértékűnek - úgy pedig már nem is olyan drága (egy CISA vizsga + tanfolyam ára, ahogy elnézem, kb. 500K, és gondolom a CISM is hasonló árban lehet). Amúgy nekem a cég fizeti a képzést (köteleztek az elvégzésére).
A képzésben jelentős számú biztonsági vezető vesz részt (pl. több minisztériumi főosztályvezető is). A mi minisztériumunk alá tartozó szervezetek közül összesen 8 ember került beiskolázásra (a minisztériumból senki), és zömében egyszerű biztonsági felelősök (sok setben saját munka mellett ellátva a feladatot), de van azért 1-2 biztonsági vezető is. Ami engem illet, én is csak helyi informatikai biztonsági felügyelő vagyok, de legalább többé-kevésbé dedikálva erre a feladatra (az Infotv. szerinti adatvédelmi felelősi feladat ellátása mellett).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Tényleg szerencsés vagy, hogy elküldött a cég, az előadók miatt biztos, hogy hasznos lesz, pláne, ha vannak új, ismeretlen témák is számodra. Viszont egy-egy ilyen fejezetre nagyon kevés 6-12 óra, elég felületes lesz.

"ISACA elismerje ezt a képzést a CISM-mel egyenértékűnek"
Sok sikert ezzel
Gyakorlatilag helyettesíthető lenne az ISACA által felállított vizsgáztatási folyamat, biztos nem mennek majd bele. Különben idővel minden országban kellene folyamatosan akkreditáltatni a változó követelményrendszert évről évre
Ráadásul miből élne meg egyébként ez a nonprofit ( ) szervezet, ha nem a saját vizsgadíjukból(ami kb. egy féléves képzési díjjal egyezik meg..) plusz könyvek, kiadványok ami a vizsgára készít fel, etc.

Szerintem ezek a témák nem rakétatudomány szintűek, könyvből(amazon, 20-30eFt-ig 2-3 db), ingyenes podcastokból is jól tanulhatóak, én anno így készültem a cissp-re.

Kürt EH képzésről nem tudok nyilatkozni, tudom hogy elég hosszú és jól strukturált, biztos, hogy megalapoznak mindent, viszont elvégzés után ott is az egyéni fejlődés ami a legfontosabb, én talán az OSCP és PWK kombóra szavaznék, mert az nemzetközileg is elismert, ár/érték arányban is jó.

Viszont egy-egy ilyen fejezetre nagyon kevés 6-12 óra, elég felületes lesz.

Ezzel egyetértek, de azért pár dolgot hozzátennék: egyrészt ez nettó óraszám (ehhez hozzájön a tanárok által elkövetett egyetemi jegyzet, ami a legtöbb tantárgy esetében 40-60 oldal átlagosan), másrészt a következő félév anyaga és tárgyai még nem ismertek (reményeink szerint a gyakorlati részek majd akkor jönnek), harmadrészt egy ilyen tanfolyam kapcsolatépítés céljára a legjobb.

"ISACA elismerje ezt a képzést a CISM-mel egyenértékűnek"
Sok sikert ezzel

Az egyik oktató (főosztályvezető a KIM-ben) azt mondta, hogy nagyon komolyan rágyúrtak a témára. Ha de jure nem is lesz belőle semmi, de facto még elismerheti a szakma, az meg a tanulók szempontjából ugyanaz.

Szerintem ezek a témák nem rakétatudomány szintűek, könyvből(amazon, 20-30eFt-ig 2-3 db), ingyenes podcastokból is jól tanulhatóak, én anno így készültem a cissp-re.

Na ja. De azért sokat segít, ha nem úgy kell összeollózni a dolgokat. Viszont az autodidakta módon tanultak tapasztalataim szerint mélyebb ismeretek szoktak lenni, valahogy jobban rögzülnek.

viszont elvégzés után ott is az egyéni fejlődés ami a legfontosabb,

Mint minden esetben. Egy CISA vizsgát is el lehet végezni úgym hogy utána semmit sem tanul a delikvens, és megsem veszik el a papírja: a szükséges pontszámot össze lehet hozni himi-humi konferenciákra való beüléssel, meg az ISACA újság megrendelésével stb. Ezt pontosan tudja a KIM is, és ez is egy érv (még ha desktruktív is) a honosítás mellett.

Summa summarum: nem csodaszer ez a képzés, de azért jó alap lehet a későbbiekre.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A szakma szerintem idővel elismerheti, de a tudást fogja tesztelni, és ezzel jobban is jártok. Annyi, hogy álláshirdetésekbe kis eséllyel kerül be, mint követelmény, szemben az említett nemzetközi vizsgákkal. A jegyzettel megtoldva már egész jó is lehet!

Jó tanulást, sok ismeretet

Köszi...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A hírek szerint a képzés következő etapja már 3 szemeszteresre nyúlik...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Lassan túl vagyok a vizsgaidőszakon, így megírom a tapasztalataimat:

Jogi és közigazgatási ismeretek
Szóbeli vizsga. 24 tételből kell egyet húzni, kb. 20 perc felkészülési idő után felelet. A tételek kisebb része a tantárgy címadó ismereteiből kerül ki (jog fogalma, állam sajátosságai stb. – eléggé hasonlít a közigazgatási alapvizsga tananyagára), a nagyobb rész pedig a 2013. évi L. törvény és rendeletei, valamint a kapcsolódó egyéb joganyag (Infotv, minősített adatok védelméről szóló törvény, kritikus infrastruktúra, kiberbiztonsági stratégia stb.) lényegi részei.

Minőségügyi ismeretek
Írásbeli vizsga, kb. 8 kérdéssel; fele-fele arányban kifejtős és párosítós kérdés (ez utóbbi viszonylag szivatósan megalkotva: 1-1 kakukktojás, több helyre is jó válasz stb.). Időlimit 40 perc.

Információbiztonsági szabványok
Kötetlen szóbeli vizsga, tételek nélkül, a tanár által rendelkezésre bocsátott jegyzetből kell felkészülni. A tanár kérdez, ami eszébe jut. Common Criteria, Cobit, ISO 27000-res szabványcsalád, ITIL; emellett nem árt tudni pár kapcsolódó definíciót, pl. informatikai biztonság fogalma, kibertér fogalma stb.

Biztonságtechnika
A másik klasszikus írásbeli vizsga (pedig szóbeli vizsgára készültünk). Annak ellenére, hogy 12 tétel lett megadva, egy durván 10 kérdéses tesztlapot kell kitölteni (zömében kifejtős kérdésekkel), a tételek anyagából. Kb. 20-25 perc a rendelkezésre álló idő.

Biztonságpolitika
Kötetlen szóbeli vizsga, tételek nélkül, a tanár által rendelkezésre bocsátott jegyzetből kell felkészülni. A tanár kérdez, ami eszébe jut. Biztonságpolitika fogalma, kiberhadviselés, kibervédelmi stratégiák stb.

Irányítási rendszerek
Írásbeli vizsga a Moodle rendszeren keresztül. 3 db kifejtős kérdés; a rendelkezésre álló idő 90 perc. ISO 27001 előírásai, illetve gyakorlati kérdések fordulnak elő, utóbbi vonatkozásában sajnos némileg szubjektív értékeléssel (pl. „Mi alapján, hogyan választana információbiztonsági auditort?”).

Vezetéselmélet
Kb. 3-4 oldalas házi dolgozatot kell beadni. Adott 5 db. kérdés, ebből kell tetszőlegesen hármat kiválasztani, és 1-1 oldalban kifejteni rá a választ. Elsősorban gyakorlati példákon keresztül kell bemutatni a tárgyi tudást.

Információbiztonsági program
A tanár által rendelkezésre bocsátott Ecxel táblát kell kitölteni, egy valós vagy elképzelt informatikai rendszer adataival (architektúrális felépítés, függőségek), majd órán bemutatni.

Kockázatértékelés, kockázatmenedzsment
Kb. 10 oldalas házi dolgozatot kell beadni. Egy tetszőleges, a hallgató munkahelyén üzemelő informatikai rendszert kell bemutatni max. 1 oldalban, majd az új ISO 27001 „A” mellékletében szereplő kontrollok közül ki kell választani minimum 50 db-ot, és 1-2 mondatban össze kell foglalni, hogy a szabványban előírtak miképp érvényesülnek (vagy nem érvényesülnek) az adott rendszer vonatkozásában (a nem érvényesülő kontrollok tekintetében javaslattal kell élni).

Kockázatmenedzsment gyakorlat
Szintén házi dolgozat. 5 fős csoportokban kell egy olyan informatikai rendszerhez kapcsolódóan lájtos kockázatelemzést végezni, amelynek paramétereit a tanár adja meg (a feladat elvégzése az órán kezdődik).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Megvan mind a 10 jegyem, ez a félév letudva (4.5-ös átlag, elégedett vagyok... ).
Cáfolták, hogy 3 szemeszteres lenne a képzés jövőre (a most folyamatban levőhöz biztos nem nyúlnak, egyébként meg nem zörög a haraszt...).
Lassan el kelkezdenem szakdolgozat-ügyben is motorozni, bár a következő szemeszterről gyakorlatilag még semmit sem lehet tudni (milyen tárgyak lesznek stb.).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Kiderült a 2. félév programja, legalábbis a tantárgyak vonatkozásában (óraszámokról, előadókról még nincs információ).
Az alábbi tárgyak lesznek elméletileg terítéken:

Információbiztonsági stratégia és vezetés
Biztonság támogatása
Biztonsági technológiák alkalmazása
Biztonságtudatossági gyakorlat
Rendszerek biztonsága
Hálózatok biztonsága
Biztonsági tesztelés gyakorlat
Incidens-menedzsment, BCP, DRP integráció
Incidens-menedzsment gyakorlat

Első blikkre tetszik, majd meglátjuk mennyiben lesz hasznosítható.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

nem túl aktív a topik, de én azért olvasom Kíváncsian várom a beszámolóidat!
amennyire ismerem tényleg hasonlít a CISM programjára.

Megjött a részletes képzési rend (órarend) is. Ettől nem vagyok boldog.
Mindössze 15 napra osztották el az órákat (ebből 3 nap csonka), ami brutális napi óraszámot jelent: általában napi 10 tanóra, 9-18-ig, pénteken és szombaton...
Az alábbi óraszámok lesznek:

Információbiztonsági stratégia és vezetés 20 óra
Biztonság támogatása 16 óra
Biztonsági technológiák alkalmazása 16 óra
Biztonságtudatossági gyakorlat 14 óra
Rendszerek biztonsága 16 óra
Hálózatok biztonsága 15 óra
Biztonsági tesztelés gyakorlat 15 óra
Incidens-menedzsment, BCP, DRP integráció 20 óra
Incidens-menedzsment gyakorlat 16 óra

A fenti sorrend nem kronológiai (viszont a szervezők ebben a sorrendben küldték meg anno): először az utolsó 2 tárgy kerül terítékre, az első 3 pedig a legvégén... Mivel szeptembertől indul a képzés 2. turnusa, így vélhetően az egyes tanárok elfoglaltságához kellett igazítani az időpontokat.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Lassan vége a képzésnek (órák már nincsenek, tart a vizsgaidőszak). A szakdolgozattal szenvedek: 60K karakter kell minimum, még 2K hiányzik... Annyit segítek az utánam jövőknek, hogy alaposan fontolják meg a konzulens kiválasztását...

Két tárgyat már letudtam: volt egy írásbeli vizsga (kifejtős kérdésekkel), Biztonsági tesztelés gyakorlatból, és egy beadandó, Biztonság támogatása tárgyból.
Egyébiránt ebben a félévben elég kevés vizsga lesz: jobbára beadandókkal le lehet tudni a tárgyakat.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Lassan véget ér a képzés, pontosabban a számonkérés része. A szakdolgozatot közvetlenül karácsony előtt sikerült beköttetnem.
A héten 4 beadandót is letudtam. Már csak egyetlen vizsgám van hátra: jövő hét pénteken megyek Információbiztonsági stratégia és vezetés tárgyból szóbelizni. Elvileg 20-án lesz a záróvizsga, és unortodox módon, ennél későbbi időpontban, 27-28-án esedékes a szakdolgozat megvédése... Már várom a végét (ez a hét túl sűrű volt).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Túl vagyok a képzésen. Összességében négyessel zártam, a záróvizsga - objektív és szubjektív okokból - nem a legjobban sikerült, ami lehúzta a végső jegyet.
Idén szeptembertől 3 szemeszteresre hízik a képzés, ami vélhetőleg jót fog tenni (bár így az ára olyan mértékben megemelkedik, hogy érdemesebb lesz egy CISA vizsgát tenni helyette, ami elismertebb).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az elmúlt 1-2 távlatából hasznosnak ítéled a képzést?

Mik a munkatapasztalatok?
Megérte?
Valóban előrelépést jelent?