15
RVP: Kybernetická bezpečnost XX-XX-X/00
Oblast 01: KYBERNETICKÉ PROSTŘEDÍ
KYBERNETICKÉ PROSTŘEDÍ
Cílem obsahového okruhu je seznámit žáky s kybernetickým prostorem a vést je k zásadám
bezpečného chování v něm. Žáci získávají základní teoretické znalosti z historie a vývoje
kybernetické prostoru. Důležitou součástí přípravy je seznámení se se základními pojmy, procesy
a organizacemi v částech státního systému chránících kybernetický prostor. Učivo umožní žákům
porozumět hlavním částem bezpečnostních složek. Žáci budou schopni hlásit kybernetické
bezpečnostní incidenty a budou nápomocni s jejich řešením. Dále se žáci seznámí
s problematikou bezpečnostních a profesních certifikací.
V rámci obsahového okruhu se též žáci seznámí se zásadami bezpečnosti a ochrany zdraví při
práci.
Výsledky vzdělávání
Učivo
Žák:
- orientuje se v zásadách bezpečného chování
v kybernetickém prostoru;
1 Zásady bezpečného chování
v kybernetickém prostoru
- definice kyberprostoru
- ochrana soukromí a osobních údajů
- sdělování citlivých informací
- bezpečné používání ICT technologií
- sociální inženýrství
- anonymita
- problematika státní suverenity
v kyberprostoru
- kyberkriminalita
- problematika kyberválky
- problematika kyberterorismu
- popíše historii vývoje technologií pro obranu
a vývoj útočných technik;
- ilustruje nejznámější bezpečnostní incidenty
historie;
2 Historie a vývoj kybernetického prostoru
- vývoj technologií pro obranu
- vývoj útočných technik
- nejznámější bezpečnostní incidenty historie
- charakterizuje pojmy bezpečné elektronické
komunikace;
3 Bezpečná elektronická komunikace
- elektronický podpis
- datová schránka
- certifikáty
- komunikace se Státní správou
- charakterizuje a orientuje se v částech
státního systému chránící kybernetický
prostor;
- rozlišuje úlohy a funkce bezpečnostních týmů
typu CERT (Computer Emergency Response
Team) a CSIRT (Computer Security Incident
Response Team);
- orientuje se v základních pojmech a
procesech CSIRT týmů, a vysvětlí jejich úlohu
při sběru a analýze dat (ve smyslu RFC 2350);
- rozlišuje úlohy a funkce organizací sdružující
CSIRT týmy;
- rozlišuje úlohy a funkce SOC;
4 Organizace zabývající se ochranou
kyberprostoru (CERT) - Vládní CERT/GOVCERT
- Národní CERT/CSIRT
- akademické a komerční CSIRT týmy
- organizace sdružující CSIRT týmy
- SOC (Security Operations Center)
- popíše bezpečnostní složky;
- vysvětlí hlavní činnosti NBÚ a NCKB;
- orientuje se ve vztahu CERT a CSIRT;
k NCKB (Národnímu centru kybernetické
bezpečnosti) a NBÚ (Národnímu
bezpečnostnímu úřadu);
- vytvoří hlášení kybernetických incidentů;
- prokáže schopnost pomoci s řešením
kybernetických incidentů;
- popíše koordinaci činností směřujících k
zajištění a obnovení kybernetické bezpečnosti
s příslušnou autoritou;
5 Bezpečnost a bezpečnostní složky
- Národní bezpečnostní úřad (NBÚ)
- Národní centrum kybernetické bezpečnosti
(NCKB)
- Policie ČR
- popíše strukturu klíčových informačních
služeb a jejich integračních rozhraních, včetně
legislativních a standardizačních podmínek k
využití kooperujících informačních systémů ve
státní správě, samosprávě nebo soukromých
subjektů;
- definuje systémy státní správy;
- charakterizuje informační vazby a validační
schémata, autentizační a autorizační
mechanismy;
6 Informační systémy státní správy
- typy státních informačních systémů
- datové integrace
- seznam centrálních registrů
- poskytované centrální služby státních ICT
- vyjmenuje základní certifikace pro
technickou a bezpečnostní oblast;
- popíše následná uplatnění v oboru;
7 Profesní růst
- problematika technických certifikací
- problematika bezpečnostních certifikací
- organizace, které jsou aktivní v bezpečnostní
oblasti na národní a nadnárodní úrovni
RVP: Kybernetická bezpečnost XX-XX-X/00
Oblast 02: LEGISLATIVA, ETIKA A NORMY
LEGISLATIVA, ETIKA A NORMY
Cílem obsahového okruhu je seznámit žáky s legislativou se zaměřením na ICT a kybernetickou
bezpečnost. Žáci budou schopni se orientovat v obsahu jednotlivých zákonů a vyhlášek týkajících
se kybernetické bezpečnosti. Důležitou součástí přípravy je seznámení se se standardy a
metodikami pro efektivní využití dostupných zdrojů a minimalizaci IT rizik. Žáci budou schopni
uplatňovat koncepty a postupy pro zkvalitňování využití informačních technologií.
Učivo poskytne žákům vědomosti a znalosti, které jim umožní uplatňovat metodiky efektivního
zavádění kybernetické bezpečnosti v organizacích. Pozornost je také věnována pochopení
významu a důležitost informační etiky a bezpečnostní kultury.
V rámci obsahového okruhu se též žáci seznámí se zásadami bezpečnosti a ochrany zdraví při
práci.
Výsledky vzdělávání
Učivo
Žák:
- vysvětlí legislativu související s autorskými
právy;
- vysvětlí legislativu související s ochranou
osobních údajů;
- vysvětlí legislativu související se svobodným
přístupem k informacím;
- vysvětlí legislativu související se službami
informační společnosti;
- vysvětlí legislativu upravující problematiku
kybernetické bezpečnosti na úrovni České
republiky a Evropské unie
1 Legislativa
Úvod do práva ICT - základní struktura Judikátů se zaměřením na
ICT a kybernetickou bezpečnost
- ústava, zákony, vyhlášky
Legislativa upravující kybernetickou
bezpečnost
- právní rámec pro odpovědnost za jednání
v oblasti ICT a kybernetické bezpečnosti na
úrovni České republiky a Evropské unie
- charakterizuje a na příkladech ilustruje
systém řízení a správy informačních aktiv s
cílem minimalizovat možné narušení jejich
dostupnosti, důvěrnosti a integrity;
- charakterizuje a na příkladech ilustruje řídící
proces, který identifikuje potenciální dopady
ztrát s cílem vytvořit takové postupy a
prostředí, které umožní zajistit kontinuitu a
obnovu klíčových procesů a činností
organizace, na předem stanovené minimální
úrovni, v případě jejich narušení nebo ztráty;
- orientuje se v aktuálních normách užívaných
pro řízení bezpečnosti informací;
- charakterizuje osvědčené praxe a postupy,
procesy či osvědčené metody řízení;
2 Normy
- systémy řízení bezpečnosti informací (ISMS)
- řízení kontinuity činností (BCM)
- normy se vztahem k řízení bezpečnosti
- analýza rizik
- Best practice
- popíše vytváření schématu a podrobného
modelu spolupráce organizací v rámci
zajišťování kybernetické bezpečnosti;
- provede jednoduchou analýzu agend v rámci
problematiky kybernetické bezpečnosti a na
jejím základě definuje zájmy organizace a
priority v této oblasti;
- charakterizuje technická i netechnická
opatření pro zajištění kybernetické
bezpečnosti;
- popíše principy zvládání kybernetických
bezpečnostních incidentů a související právní
předpisy;
- zvolí metodologii hodnocení rizik a hrozeb
pro oblast kybernetické bezpečnosti na úrovni
organizace;
- popíše proces hodnocení hrozeb a rizik pro
oblast kybernetické bezpečnosti na úrovni
organizace;
- aktualizuje technická i netechnická opatření
pro zlepšení kybernetické bezpečnosti;
3 Metodiky efektivního zavedení
kybernetické bezpečnosti
- postup zavedení kybernetické bezpečnosti
v organizaci
- vysvětlí důležitost šíření pravdivých
informací, nevytváření informačního smogu,
rovného přístupu k informacím, nezkreslování
výběru informací, respektování autorského
zákona a práva na svobodný výběr informace;
- definuje etické kodexy (zákony, profesní
kodexy, netiketa atd.);
- charakterizuje a rozebere informační etiku
v praxi;
4 Etika a bezpečnostní kultura
- tvůrce, zprostředkovatel a uživatel informací
- etické kodexy
- informační etika v praxi (např. kyberšikana,
sociální inženýrství, reklama na internetu,
elektronická komunikace, sdělování informací
třetí osobě, policejní odposlechy, kontrola
zaměstnanců, kamerové záznamy,
plagiátorství, virtuální identita)
- problematika etického hackingu
RVP: Kybernetická bezpečnost XX-XX-X/00
Oblast 03: TECHNOLOGIE
TECHNOLOGIE
Cílem obsahového okruhu je poskytnout žákům vědomosti, znalosti a dovednosti z oblasti ICT,
jejich konfigurace a provozu s důrazem na zásady bezpečnosti a prevence kybernetických hrozeb.
Žáci se budou schopni orientovat v možnostech využití hardware ICT. Osvojení teorie a
praktické konfigurace síťových prvků a administrace počítačové sítě směrem k zajištění
kybernetické bezpečnosti je nezbytným předpokladem pro úspěšné zvládnutí této oblasti. Žáci
získávají základní teoretické znalosti z oblasti fyzické bezpečnosti.
Dále se žáci seznámí s problematikou síťových operačních systémů a důraz je kladen zejména na
zabezpečení systému a dat. Důležitou součástí přípravy je oblast prevence a detekce síťových
útoků. Žáci specifikují a aplikují nástroje pro ochranu před škodlivým kódem. Dále specifikují a
aplikují nástroje pro ochranu integrity komunikačních sítí a nástroje pro zajištění analýzy
kybernetických hrozeb. V průběhu studia si žáci osvojí vytváření algoritmů a pomocí
programovacího jazyka zapíší zdrojový kód programu s ohledem na zásady bezpečného
programování a zranitelnost kódu. Pozornost je také věnována metodám sběru dat v oblasti
kybernetické bezpečnosti a jejich zpracování. Žáci specifikují a aplikují nástroje pro detekci, sběr
a vyhodnocení kybernetických bezpečnostních událostí.
V rámci obsahového okruhu se též žáci seznámí se zásadami bezpečnosti a ochrany zdraví při
práci.
Výsledky vzdělávání
Učivo
Žák:
- vysvětlí základní úkoly a povinnosti
organizace při zajišťování BOZP;
- zdůvodní úlohu státního odborného dozoru
nad bezpečností práce;
- dodržuje ustanovení týkající se bezpečnosti
a ochrany zdraví při práci a požární
prevence;
- uvede základní bezpečnostní požadavky při
práci se stroji a zařízeními na pracovišti
a dbá na jejich dodržování;
- při obsluze, běžné údržbě a čištění strojů
a zařízení postupuje v souladu s předpisy
a pracovními postupy;
- uvede příklady bezpečnostních rizik, event.
nejčastější příčiny úrazů a jejich prevenci;
- poskytne první pomoc při úrazu na
pracovišti;
- uvede povinnosti pracovníka;
i zaměstnavatele v případě pracovního
úrazu;
1 Bezpečnost a ochrana zdraví při práci,
hygiena práce, požární prevence
- řízení bezpečnosti práce v podmínkách
organizace a na pracovišti
- pracovněprávní problematika BOZP
- bezpečnost technických zařízení
- orientuje se v základních komponentách
počítače a jejich vlastnostech;
- porovná komponenty nebo počítačové
sestavy podle jejich parametrů;
- zkompletuje a oživí sestavy včetně
periferních zařízení;
- identifikuje a odstraní závady HW a provede
upgrade;
- orientuje se v technologiích internetu věcí;
- rozpozná potenciální bezpečnostní slabiny;
- orientuje se v možnostech využití různých
technologií;
2 HW ICT
Základní části počítače
- základní deska (sběrnice, chipset, BIOS, ...),
CPU, RAM, grafické rozhraní, záznamová
zařízení a média, komunikační rozhraní,
napájecí zdroj, chlazení počítače aj.
- princip činnosti, parametry, charakteristika
použití jednotlivých částí počítače a
periferních zařízení
- technologie internetu věcí a jejich
zabezpečení
- průmyslové řídící systémy
- určí topologii telekomunikační sítě;
- orientuje se v telekomunikačních sítích a
jejich principech;
- ovládá teorii a praktické použití technologie
VoIP;
- ovládá diagnostické nástroje;
- analyzuje provoz;
- popíše funkci a užití SIP protokolu;
- vysvětlí základní principy síťové
komunikace;
- charakterizuje různé typy sítí a objasní
principy jejich vzájemného propojování
z hlediska různorodosti technologií;
- orientuje se v IP adresaci počítačových sítí a
navrhuje adresní plány;
- rozlišuje typy propojovacích kabeláží a jejich
parametry;
- rozlišuje aktivní prvky podle jejich
základních funkcí;
- popíše technické funkce síťových prvků
z pohledu provozu a bezpečnosti;
- posoudí vhodnost použití síťových prvků;
- ovládá praktickou konfiguraci síťových
prvků a administraci počítačové sítě;
- nastaví statické směrování v síti pod IPv4 i
IPv6;
3 Komunikační technologie
Telekomunikační systémy
- typy spojení v telekomunikačních sítích
- mobilní a bezdrátové sítě
- technologie VoIP
- SIP protokol
Datové sítě
- teorie datových sítí
- typy sítí a jejich vzájemné propojování
- referenční modely (ISO/OSI, TCP/IP)
- adresace v síti (MAC adresa, IPv4, IPv6)
- pasivní prvky sítě (kabeláž, konektory, jejich
typy, parametry, přenosové vlastnosti)
- aktivní prvky sítě (jejich typy, parametry,
klasifikace a funkce - switch, router, síťová
karta,…)
- přepínání a směrování v datových sítích
- nastaví dynamické směrovací protokoly
s vektorem vzdálenosti a se stavem linky pod
IPv4 i IPv6;
- nastaví VLAN;
- zrealizuje jednoduchou síť s využitím
pasivních a aktivních prvku;
- analyzuje provoz;
- charakterizuje zabezpečovací, přístupové,
docházkové a kamerové systémy a jejich
použití;
- rozpozná potenciální bezpečnostní slabiny;
- orientuje se v používaných OS, jejich
vlastnostech a stavebních prvcích a zvolí
vhodný OS s ohledem na jeho nasazení;
- zná vlastnosti a stavební prvky moderních
operačních systémů;
- zálohuje OS a data;
- zaktualizuje OS;
- zabezpečí počítače proti zneužití; - zajistí ochranu dat z pohledu důvěrnosti
integrity a dostupnosti; - vysvětlí problematiku cloudových prostředí;
- scriptuje v Bash a PowerShell;
- analyzuje systémové logy a registry;
- popíše funkci a význam jednotlivých
síťových služeb z pohledu provozu a
bezpečnosti;
- aktivuje a nakonfiguruje sítové služby na
síťovém OS;
- specifikuje a aplikuje nástroje pro ověřování
identity uživatelů a řízení přístupových
oprávnění;
4 Bezpečnostní technologie
Fyzická bezpečnost - zabezpečovací systémy
- přístupové a docházkové systémy
- kamerové systémy
Síťové operační systémy
- druhy, systémové požadavky, vlastnosti,
použití, aktualizace
- prostředky zabezpečení dat před zneužitím a
ochrany dat před zničením
- problematika cloudů (šifrovaný/nešifrovaný,
vlastnická práva, podmínky použití)
Konfigurace služeb sítových OS
- DHCP, DNS, FTP, HTTP/HTTPS,
souborový server, tiskový server, SQL server,
SMTP server, telnet, SSH, SNMP, IPSec,
SSL/TLS, 802.1x, Syslog
- konfigurace sítových rozhraní
- nástroje pro ověřování identity uživatelů a
řízení přístupových oprávnění (AAA)
- virtuální privátní sítě
- autentizace směrovacích protokolů
- objasní principy kryptografie a
kryptografické prostředky;
- vysvětlí pojmy související s bezpečnostními
hrozbami;
- popíše základní způsoby napadení;
- orientuje se v metodách analýzy rizik,
hrozeb, zranitelností, dopadů, odpovědností a
opatření v rámci kybernetické bezpečnosti;
- specifikuje a aplikuje nástroje pro ochranu
před škodlivým kódem;
- ilustruje použití systémů SIEM;
- specifikuje a aplikuje nástroje pro ochranu
integrity komunikačních sítí a pro zajištění
analýzy kybernetických hrozeb;
- analyzuje výstupy z protokolů;
- analyzuje síťový provoz;
Kryptografie
- šifrování, typy šifer a jejich vývoj
- Hash, zajištění integrity dat
- bezpečná výměna klíčů
- útoky na kryptografické prostředky
- principy certifikační autority (PKI)
- PGP protokol
Bezpečnostní hrozby - útoky na síťovou infrastrukturu
- útoky pomocí sociálního inženýrství
- útoky na aplikace
- škodlivý software
Detekce a prevence síťových útoků
- Firewall, proxy, Network IDS/IPS
- separace do bezpečnostních zón (DMZ)
- SIEM
- analýza výstupů z protokolů SNMP, Syslog
- analýza síťových toků (flow technologie)
- ochrana před útoky na L2 a L3 ISO/OSI
- prokáže znalost vlastnosti algoritmů;
- zanalyzuje úlohu a algoritmizuje ji;
- zapíše algoritmus vhodným způsobem;
- použije základní datové typy;
- použije řídící struktury programu;
- vytvoří jednoduché strukturované programy;
- použije zásady bezpečného programování;
- popíše principy zranitelností kódu;
5 Algoritmizace a základy programování
Algoritmizace
- význam, prvky algoritmu
Strukturované programování
- datové typy (proměnné, konstanty, atd.)
- řídicí struktury (podmíněné příkazy, cykly,
atd.)
- zásady bezpečného programování
- zranitelnost kódu
- rozumí pojmům třída, objekt a zná jejich
základní vlastnosti;
- použije jednoduché objekty;
- použije zásady bezpečného programování;
- popíše principy zranitelností kódu;
- použije základní příkazy jazyka SQL;
- vysvětlí, jaké jsou základní útoky na databázi
a navrhne úpravy programu tak, aby byl proti
útokům odolný;
Úvod do objektového programování
- třída, objekt, vlastnosti tříd
- zásady bezpečného programování
- zranitelnost kódu
Základy jazyka SQL
- základní příkazy
- základní útoky na databáze
- vysvětlí metody sběru dat v oblasti
kybernetické bezpečnosti a jejich zpracování;
- analyzuje údaje z pohledu kybernetické
bezpečnosti;
- specifikuje a aplikuje nástroje pro detekci,
sběr a vyhodnocení kybernetických
bezpečnostních událostí;
- specifikuje a aplikuje nástroje pro
zaznamenávání činností kritické informační
infrastruktury a významných informačních
systémů;
- na základě analýzy dat navrhne případná
nápravná opatření pro zajištění kybernetické
bezpečnosti;
6 Sběr a analýza
- sběr dat a analýza údajů v oblasti
kybernetické bezpečnosti
RVP: Kybernetická bezpečnost XX-XX-X/00
Oblast 04: DOVEDNOSTI PRO APLIKACI KYBERNETICKÉ BEZPEČNOSTI
DOVEDNOSTI PRO APLIKACI KYBERNETICKÉ BEZPEČNOSTI
Cílem obsahového okruhu je poskytnout žákům znalosti z oblastí souvisejících s aplikací
kybernetické bezpečnosti.
V průběhu studia si žáci osvojí základy manažerských dovedností. Součástí obsahového okruhu
je také rozvoj profesních komunikativních kompetencí, které se rozvíjejí po stránce formální,
písemné i ústní. Při rozvíjení sociálně komunikativních kompetencí se uplatňují také
psychologické aspekty komunikace a společenská etiketa. Oblast písemné komunikace zahrnuje
především osvojování vyhotovování písemností v oblasti kybernetické bezpečnosti.
Žáci získávají základní znalosti z oblasti hospodárného jednání, chování a uplatňování
ekonomických hledisek při alokaci zdrojů. Orientují se v základních pojmech pracovního práva,
pracovní kázně a zodpovědnosti spojené s pracovním vztahem.
V rámci obsahového okruhu se též žáci seznámí se zásadami bezpečnosti a ochrany zdraví při
práci.
Výsledky vzdělávání
Učivo
Žák:
- charakterizuje jednotlivé části procesu
řízení a jejich funkci;
- provede jednoduché propočty při sestavení
plánu a kontrole jeho plnění;
- na příkladu popíše rozhodovací metody;
- zhodnotí vhodnost a účinnost motivačních
nástrojů;
- na vzorovém příkladu provede kontrolní
činnosti a navrhne případná opatření;
- popíše systém a zásady řízení kybernetické
bezpečnosti na různých stupních řízení (od
návrhu po procesy zlepšování);
- popíše techniky pro plánování, řízení, měření
a zlepšování procesů kybernetické
bezpečnosti;
- popíše principy a techniky pro auditování a
přezkoumání organizace, produktů, procesů,
systémů z hlediska kybernetické bezpečnosti;
- navrhne systém vzdělávání a zvyšování
kvalifikace pracovníků v oblasti
kybernetické bezpečnosti dle konkrétního
zadání;
1 Manažerské dovednosti - plánování
- organizování
- rozhodování
- motivace a vedení lidí
- kontrola
- projektové řízení
- systém vzdělávání a zvyšování kvalifikace
pracovníků v oblasti kybernetické bezpečnosti
- rozumí motivacím jednání člověka;
- využívá získané poznatky z psychologie při
jednání s lidmi a při řešení problémových
situací;
- vysvětlí význam informací a komunikace;
- uplatňuje principy, normy a pravidla
kulturního chování a vyjadřování
v běžných společenských a pracovních
situacích;
- vhodně uplatňuje prostředky verbální
a neverbální komunikace;
- řeší různé interpersonální situace včetně
konfliktních a zátěžových;
- prezentuje výsledky práce na veřejnosti;
- ovládá metodologii psaní zpráv o
kybernetických hrozbách a doporučení v
kybernetické bezpečnosti
2 Prezentační a komunikační dovednosti
Psychologie jednání
- skladba životních hodnot
- motivace k jednání
Sociální interakce a komunikace
- sociální interakce
- kultura společenská a kultura osobního
projevu, principy a normy kulturního
chování
- využití techniky v komunikaci
- verbální a neverbální komunikace
- normalizovaná úprava písemností
a manipulace s nimi
- vyhotovování písemností v oblasti
kybernetické bezpečnosti
- odliší typické náklady podle probíraného
členění;
- identifikuje požadavky na zdroje pro zajištění
kybernetické bezpečnosti a aplikuje jednotlivé
požadavky do strategie kybernetické
bezpečnosti dle konkrétního zadání;
- porovná vhodnost užití vlastních a cizích
zdrojů financování;
- posoudí možnost užití peněz s ohledem na
výnos a riziko;
- orientuje se v základních pojmech z oblasti
řízení finančních zdrojů;
3 Ekonomická a nákladová stránka
Náklady a výnosy
- členění nákladů na technická i netechnická
opatření k zajištění a rozvoji kybernetické
bezpečnosti v organizaci
Zdroje financování, finanční řízení
- vlastní kapitál
- cizí kapitál
- krátkodobé a dlouhodobé financování
- finanční řízení
- vysvětlí správné užití pojmů pracovního
práva;
- vysvětlí podmínky vzniku pracovního
poměru, popíše jeho průběh a charakterizuje
způsoby jeho skončení;
- charakterizuje účastníky pracovněprávních
vztahů, pracovní podmínky, pracovní kázeň;
4 Pracovní právo
- účastníci pracovněprávních vztahů
- vznik, změny a skončení pracovního poměru
- pracovní kázeň
- pracovní doba, dovolená, mzda a bezpečnost
práce
- zodpovědnost spojená s pracovním vztahem a
pojištění odpovědnosti
