Pályázat magyarországi kkv-k számára, az Informatikai biztonsági ismeretek és a biztonsági szemlélet elsajátítására

Pályázat magyarországi kkv-k számára,
az Informatikai biztonsági ismeretek és a biztonsági szemlélet elsajátítására

Pályázati felhívás
A People Come First Informatikai Szakértők Egyesülete és a Hardcore IT
nyilvános pályázatot ír ki a magyarországi kkv-k számára, az Informatikai biztonsági ismeretek és a
biztonsági szemlélet elsajátítására.
Pályázati időszak
2024. március 13.00-2024. április 07. 23:59

A pályázat célja:
Az IT biztonsági ismeretek és a biztonsági szemlélet ma már alapvető elvárás minden céggel szemben. Tudjuk, hogy a biztonságos fejlesztés és szoftverhasználat kulcsfontosságú, ezért hoztuk létre ezt a pályázatot, hogy minél szélesebb körben hozzáférhetővé váljon ez a tudás.
Akár már a projekt indulásakor, a rendszer bevezetésekor vagy a szoftver fejlesztésének az elejétől kezdve oktatáson keresztül segítünk felkészíteni a fejlesztőket a biztonsági kódolásra és a felhasználókat a biztonságos munkára.
Oktatásaink élő formában zajlanak, ezzel is igyekszünk a magas minőséget és hatékonyságot biztosítani. A célunk az, hogy segítsük a fejlesztő csapatokat hatékonyabban dolgozni és elkerülni a fejlesztés közbeni problémákat.
Olyan kis-és középvállalkozások jelentkezését várjuk első sorban, akik nyitottak a fejlődésre és szeretnék jobban megérteni az IT biztonság világát.

Beadható pályázatok száma:
Jelen pályázatban három oktatási kategóriát írtunk ki: kiberbiztonság technikai workshop főként IT-soknak, kiberbiztonság tudatossági workshop nem IT-soknak és végül vezetői workshop. A pályázatban a három oktatásra, bármilyen kombinációban és létszámban lehet jelentkezést rögzíteni.

A pályázaton való részvételre jogosultak köre:
A pályázaton azok a kis- és középvállalatok vehetnek részt, amelyek/amelyeknek,
a) Magyarországon vannak bejegyezve,
b) éves bevétele nem haladja meg az 5 milliárd forintot,
c) dolgozói magyar állampolgárok.

A nyertes pályázó a nyertes pályázatában megadott információk alapján 50 és 100% közötti támogatási intenzitásban részesül a megpályázott oktatásra.

A pályázható kategóriák leírása:
1. VEZETŐI IT-BIZTONSÁG WORKSHOP - 1 napos
a. Tanfolyam áttekintése:
A vezetői IT biztonsági workshop a legfelsőbb szintű vezetők számára készült, beleértve a vezérigazgatókat, a pénzügyi igazgatókat és a műszaki igazgatókat. Ez a speciális képzési program arra összpontosít, hogy magas szintű megértést és stratégiai betekintést nyújtson a kiberbiztonságba, lehetővé téve a vezetők számára, hogy megalapozott döntéseket hozzanak, és irányítsák szervezetet az érzékeny információk és üzleti titkok védelmében.
A tanfolyam időtartama: 1 nap (8 tanóra)

b. Célközönség:
Felsővezetés (Vezérigazgató, Pénzügyi igazgatás, CTO) és Középvezetés

c. A tanfolyam célja:
A képzés végére a résztvevők, mély megértéssel rendelkeznek a "Tematika" részben taglalt témák területén. Ezen információkat képesek lesznek beépíteni a stratégiai tervezés világába és a szervezet fejlődését elősegítő biztonsági gyakorlatoknak megfelelő vezetésre a saját szakterületükön.

d. Tematika:
1. modul: Kiberbiztonsági tájkép és veszélyek
- Áttekintést a jelenlegi kiberbiztonsági környezetről
- Kiberfenyegetések változása
- Kockázatok és azok bekövetkezésének hatása a szervezetre
2. modul: Kiberbiztonsági irányítás és megfelelőség
- Kiberbiztonsági irányítási keretrendszerekről (pl. NIST, ISO 27001)
- Jogi és szabályozási megfelelőségi követelményeket (pl. GDPR, HIPAA)
- IT biztonsági végrehajtói szerep és megfelelés
3. modul: Stratégiai kiberbiztonsági tervezés
- Stratégiai kiberbiztonsági jövőkép kidolgozása a szervezet számára
- Kiberbiztonsági prioritások és célok az üzleti célokkal összhangban
- Erőforrások hatékony elosztása a kiberbiztonsági kezdeményezésekhez
4. modul: Incidenskezelés és válságkezelés
- Incidens kezelési terv fontossága
- A felső vezetők szerepe egy kiberbiztonsági incidens során
- Stratégiák a hatékony válságkommunikációhoz
5. modul: Biztonsági tudatosság és képzés
- Biztonságtudatos szervezeti kultúra
- Alkalmazottak IT biztonsága
- Kiberbiztonsági képzések és figyelemfelkeltő kezdeményezések
6. modul: Szállítói és ellátási lánc kockázatkezelése
- Harmadik felek és az ellátási lánc kockázatai
- Stratégiák a szállítóval kapcsolatos fenyegetések felmérésére és mérséklésére
- Kiberbiztonság beépítése a beszállítói lánc folyamataiba
7. modul: Feltörekvő technológiák és trendek
- Feltörekvő technológiákról (pl. AI, IoT) és azok biztonsági vonatkozásairól
- Informatikai trendek és azok kiberbiztonságra gyakorolt hatása
- Jövőbeli kiberbiztonsági kihívásokra
8. modul: Igazgatósági jelentéstétel és kiberbiztonsági mutatók
- Kiberbiztonsági kérdések kommunikációja az igazgatóság vagy tulajdonosi kör felé
- Kiberbiztonsági mutatók és teljesítménymutatók

e. A képzés formátuma:
Interaktív előadások és csoportos beszélgetések, esettanulmányok

f. Biztosított anyagok:
- A tanfolyam anyagai
- Kiberbiztonsági referenciaanyagok
- Részvételi igazolás

2. KIBERBIZTONSÁGI TUDATOSSÁG WORKSHOP - 1 napos
a. Tanfolyam áttekintése:
Ezen kiberbiztonsági tudatosság workshop célja, hogy a résztvevőket megismertesse az alapvető fogalmakkal, a legmaradandóbb kritikus ismeretekkel, amelyek szükségesek a szervezet biztonságos működéséhez és az érzékeny információk védelméhez. A kurzus célja, hogy felruházza az egyéneket a gyakori kiberbiztonsági fenyegetések azonosításához és a biztonság eléréséhez szükséges készségekkel és ismeretekkel.
A tanfolyam időtartama: 1 nap (8 tanóra)

b. Célközönség:
A szervezetben dolgozó alkalmazottak (rendszer felhasználók) és a nem műszaki személyzet
c. A tanfolyam célja:
A képzés végére a résztvevők, mély megértéssel rendelkeznek a "Tematika" részben taglalt témák területén. Ezen információkat képesek lesznek beépíteni a mindennapi munka világába a szervezet biztonságos működésének fenntartására.

d. Tematika:
1. modul: Bevezetés a kiberbiztonságba
- Kiberbiztonság fontosságának megértése
- Kiberfenyegetések típusai és hatásaik
- Kulcsfontosságú kiberbiztonsági terminológia

2. modul: Social engineering és adathalászat
- Social engineering taktikáinak felismerése
- Adathalász e-mailek és csalások azonosítása
- Bevált módszerek a social engineering támadások elkerülésére

3. modul: Jelszókezelés
- Erős és egyedi jelszavak létrehozása
- Többtényezős hitelesítés (MFA)
- Jelszó higiénia és biztonságos tárolás

4. modul: Biztonságos böngészés és e-mailezési gyakorlatok
- Biztonságos webböngészési szokások
- E-mail mellékletek és hivatkozások biztonságos kezelése

5. modul: Biztonságos eszközhasználat
- Számítógépek és mobileszközök biztonsága
- Szoftverfrissítések és javítások kezelése
- A nyilvános Wi-Fi biztonságos használata

6. modul: Adatvédelem és adatvédelem
- Adatok osztályozása és kezelése
- Adat titkosítás
- Adatvédelmi szempontok és előírások

7. modul: Közösségi média és online reputáció
- A közösségi médiával kapcsolatos kockázatok
- Adatvédelmi beállítások és felelősségteljes megosztás
- Az online jelenlét kezelése

8. modul: IT biztonsági problémák kezelése és jelentése > Hogyan lehet jelenteni a biztonsági eseményeket > Teendő lépések kiberbiztonsági incidens esetén > Jelentéstételi eljárások a szervezeten belül

e. A képzés formátuma:
Interaktív előadások és csoportos beszélgetések, esettanulmányok

f. Biztosított anyagok:
- A tanfolyam diái
- Kiberbiztonsági referenciaanyagok
- Részvételi igazolás

3. KIBERBIZTONSÁGI TECHNIKAI WORKSHOP - 3 napos
a. Tanfolyam áttekintése:
A felgyorsult fejlesztési ciklusok egyre gyakoribb IT-biztonsági problémákhoz vezethetnek, melyek a forráskód elemzők és az automata security tesztek számára sokszor láthatatlan logikai hibák következményei. A legtöbb ilyen probléma nem a fejlesztői tudás, hanem a security szemlélet hiányából fakad. Képzésünk célja ennek megfelelően fejlesztői szemléletformálás, ami nyelvfüggetlen módon ismerteti egy támadó gondolatmenetét és a gyakran előforduló problémákon felül olyan gondolkodásmóddal ruházza fel a jelentkezőt, hogy az nem taglalt esetekben is tudjon a szervezet biztonságos működéséhez hozzájárulni.
A tanfolyam időtartama: 3 nap (24 tanóra)

b. Célközönség:
Műszaki személyzet, fejlesztők, üzemeltetők

c. A tanfolyam céljai:
A képzés végére a résztvevők, mély megértéssel rendelkeznek a "Tematika" részben taglalt témák területén. Ezen információkat képesek lesznek beépíteni a stratégiai tervezés világába és a szervezet fejlődését elősegítő biztonsági gyakorlatoknak megfelelő vezetésre a saját szakterületükön.

d. Tematika:
1. modul: Bevezetés a kiberbiztonságba
- Kiberbiztonság fontosságának megértése
- Kiberfenyegetések típusai és hatásaik
- Kulcsfontosságú kiberbiztonsági terminológia

2. modul: Hogyan gondolkodik egy támadó?
> Fenyegetettség modellezés

3. modul: OW4SP TOP 10problémáinak megismerése és megelőzése I.
- Szerver oldali lekérések manipulációja (SSRF)
- Logolási és monitorozási problémák
- Adatintegritás problémái
o Szerializációs és deszerializációs problémák
o XML feldolgozási problémák (XXE)
- Hibás authentikáció, authorizáció és munkamenet kezelés
- Ismert sebezhetőséggel rendelkező komponensek használata

4. modul: OW4SP TOP 10problémáinak megismerése és megelőzése II.
- Hibás biztonsági konfigurációk, Rossz hozzáférés vezérlés
- Hibás Informatikai rendszer tervezés
- Injekciós támadások
o Nem csak weboldal scriptelési problémák (XSS)
- Kriptográfiai algoritmusok
o Enkódolás, titkosítás, hashelés
> Hozzáférés vezérlési problémák o Érzékeny adat publikáció

5. modul: Az OWASP TOP 10 világán túl
- API téves használatából adódó problémák (SecureRandom)
- Szabványok hiányos ismerete
o Szám ábrázolások, Floating point
o Karakterkódolás kihasználása
- Versenyhelyzetek alkalmazásokban (Race conditions)
- Buffer túlcsordulásos támadások

6. modul: Miért kevés az OWASP TOP 10
- Támadások felépítése, hogyan gondolkodik egy hacker
- Egyéb érdekes támadások
o HTTP csomag csempészés (HTTP request smuggling)
o Validálatlan átirányítások
o DoS (+ReDoS)
o ClickJacking o Cache poisoning

e. Az képzés formátuma:
Interaktív előadások és csoportos beszélgetések és esettanulmányok
f Biztosított anyagok:
- A tanfolyam diái
- Részvételi igazolás
- Kiberbiztonsági referenciaanyagok

A pályázat benyújtásának határideje és módja:
A pályázat benyújtásának határideje: 2024. április 07. 23:59
A pályázatot magyar nyelven, elektronikus formában kell elkészíteni a megadott a Google Forms-ban. Kitöltendő Google Forms linkje: https://pcf.hu/it_security_forms

A pályázat menete:
1. Pályázati kérdőív kitöltése a megjelölt pályázási határidő végéig.
2. A pályázati kérdőív beérkezését követő 3 munkanapon belül kiküldünk egy nyilatkozatot az űrlapban megadott e-mailcímre.
3. Ezt a nyilatkozatot a 5 munkanapon belül aláírva kérjük küldjék vissza a palyazat@pcf.hu e-mailcímünkre. Csak az aláírt nyilatkozattal lesz érvényes a pályázatra való jelentkezés.
4. A pályázatok elbírálásának eredményéről e-mailben értesítünk minden résztvevőt.
5. A nyertes pályázatok esetében az oktatások szállításával kapcsolatos kérdésekről a kiértesítés után egyénileg egyeztetünk.

A pályázat tartalmi követelményei:
A pályázathoz szükséges adatok és információk:
a) Pályázati azonosító (ezt a PCF Egyesület pályázati nyilatkozatban fogja megküldeni);
b) Pályázó szervezet azonosító- és alapadatai, amelyek
i) Szervezet teljes neve, székhelye, adószáma, cégjegyzék- vagy egyéb regisztrációs száma;
ii) Pályázó szervezet képviselőjének a neve, telefonszáma és e-mailcíme
iii) Szervezet létszáma, éves általános bevétele és az ezeket igazoló bizonyítvány;
c) Rövid bemutató a szervezetről és annak a tevékenységéről (legfeljebb 2000 karakter)
d) Résztvevők létszáma
i) Melyik tanfolyamra hányan jelentkeznek
ii) Milyen beosztásban és munkakörben dolgoznak
iii) Milyen a tapasztalati szintjük
e) Kiegészítő kérdések (ezekre válaszolni nem kötelező)
i) Milyen elvárásaik vannak az oktatáson való részvételtől a szervezete szempontjából? (legfeljebb 1000 karakter)
ii) Miért fontos a szervezete számára, hogy többet tudjon az informatikai biztonságról? (legfeljebb 1000 karakter)
iii) Szervezetében aktívan szem előtt van tartva az informatikai biztonság és ennek a kompetenciának a fejlesztése? (legfeljebb 1000 karakter)
f) Nyilatkozat az adatkezelési nyilatkozatról, amelynek elfogadásával kijelenti, hogy
i) a pályázó szervezet nem áll csőd-, felszámolási vagy végelszámolási eljárás alatt,
ii) tevékenységét nem függesztették fel,
iii) nincs az adózás rendjéről szóló törvény szerinti, 60 napnál régebben lejárt esedékességű köztartozása,
iv) hamis adatszolgáltatás miatt nem zárták ki az állami vagyon hasznosítására irányuló korábbi - három éven belül lezárult - eljárásból.
A pályázó a pályázati felhívás előkészítésében résztvevő szervek felhívására a megjelölt határidőn belül köteles a pályázatában foglaltakat igazolni.

A pályázat érvényességének feltételei:
Érvénytelen a pályázat ha,
a) a közölt tények vagy információk részben vagy egészben nem felelnek meg a valóságnak,
b) ha a pályázat határidőn kívül érkezik meg,
c) ha a pályázat anyaga nem felel meg a pályázatban felsorakoztatott kritériumoknak, vagy célkitűzéseknek,
d) ha a szervezet ellen bármilyen jellegű bírósági eljárás folyamatban van.

A pályázattal kapcsolatos előminősítési eljárás szabályai:
A benyújtott pályázatokat a kiíró a benyújtástól számított 3 napon belül megvizsgálja abból a szempontból, hogy nem áll-e fenn érvénytelenségi ok, a pályázat tartalmazza-e az előírt mellékleteket és nyilatkozatokat, a pályázatban megadott adatok megegyeznek-e az Adattár adataival, szükséges-e hiánypótlás.
A kiíró szükség esetén egy alkalommal hiánypótlásra vagy adatközlésre hívja fel a pályázót. Az előminősítési eljárás során hiánypótlásra egy alkalommal van lehetőség. A hiánypótlási felhívás akkor tekintendő határidőben teljesítettnek, ha az a kiíró felhívásának kézhezvételét követő 5. munkanapig beérkezik a kiíróhoz.
Amennyiben a Lebonyolító a hiánypótlás ellenőrzése során újfent megállapítja, hogy a pályázat nem felel meg a pályázati felhívásban és az internetes adatlapban foglalt feltételeknek, megállapítja a pályázat érvénytelenségét és az érvénytelenség okának, valamint ismertetve a kifogás benyújtása lehetőségének és módjának megjelölésével elektronikus értesítést küld a Pályázónak a hiánypótlás beadási határidejétől számított 10 munkanapon belül.

A pályázat elbírálásának határideje:
A PCF Egyesület pályázatra létrehozott bizottsága a döntést a döntés-előkészítési folyamat lezárultától számított 15 munkanapon belül kell meghozni. Az elbírálási határidő az ügy összetettségére tekintettel meghosszabbítható, amelyről a pályázókat a minisztérium értesíti. A pályázat elbírálásának határideje annak meghosszabbítása esetén sem haladhatja meg a pályázat benyújtásától számított 30 munkanapot.

A pályázat eredményéről történő értesítés módja és határideje:
A pályázati eljárás eredményét a döntés meghozatalától számított 8 napon belül írásban közli valamennyi pályázóval. A szervezet a pályázati eljárás eredményét ugyanezen határidőben a pályázati felhívással megegyező helyeken és módon is megjelenteti. Az eredmény megjelentetésének tartalmaznia kell a nyertes pályázó nevét és székhelyét.
Az eredményhirdetés várható időpontja: 2024. április 30.

A kiíró felhívással kapcsolatos jogai:
A kiíró a pályázati felhívást a pályázat benyújtására nyitva álló határidő lejárta előtt visszavonhatja, újra leadhatja.
A nyertes pályázó visszalépése vagy a szerződéskötés meghiúsulása esetén a pályázati eljárás eredménye szerint a rangsorban következő helyezettel köthet szerződést.

A pályázattal kapcsolatos költségek:
A pályázat elkészítésével és a pályázaton való részvétellel kapcsolatos költségek - a pályázat érvényességétől és eredményességétől függetlenül - a pályázót terhelik.
A pályázaton meghirdetett oktatási díjakon túl felmerülő költség az adott szervezetet terheli (például helyszíni oktatás esetén az utazással és szállással kapcsolatos költségeket az adott szervezetnek kell megtérítenie).

A pályázat visszavonására nyitva álló határidő:
A pályázó a pályázat benyújtására nyitva álló határidő lejártáig visszavonhatja a pályázatát.

A pályázónak a pályázati felhívásban foglaltakon túl adható információk:
A pályázó a pályázati felhívással összefüggésben elektronikus úton, írásban tájékoztatást kérhet a kiírótól. A pályázati felhívással összefüggő információt a palyazat@pcf.hu e-mailcímeken lehet kérni.