Problematika bezpečnosti informačních systémů je velmi rozsáhlá a nevejde se do jednoho předmětu. Následuje rozdělení bezpečnosti do deseti oblastí dle sdružení Certified Information Systems Security Professional a včetně přibližné přiřazení jednotlivých oblastí k předmětům vyučovaným na FIS.
téma | náplň | předmět |
---|---|---|
Řízení bezpečnosti a správa rizik (Information Security Governance and Risk Management) | Řízení rizik, analýza rizik, bezpečnostní politika, odpovědnost za bezpečnost, metriky bezpečnosti. Bezpečnostní standardy jako řada ISO 27000. Sarbanes-Oxley. | 4SA515 4SA550 |
Právní prostředí, regulace (Legal, Regulations, Investigations, and Compliance) | Zákony, regulace, ochrana osobních údajů a soukromí, omezení při vývozu a dovozu, licence a softwarové pirátství. Hlášení bezpečnostních incidentů. Etické otázky spojené s bezpečností. | 4SA450 4SA515 |
Security Operations | Školení bezpečnosti. Správa konfigurací. Auditování a monitorování informačních systémů. SIEM. Úniky dat (data leaks), DLP. Forenzní analýza. Penetrační testování. | 4SA515 4SA540 4SA555 |
Obnova provozu a krizové řízení (Business Continuity) | Obnova provozu po přerušení z různých důvodů. Plánování, vliv jednotlivých narušení na busines, krizové řízení, testování krizových scénářů. Zálohování a obnova dat, zajištění vysoké dostupnosti. | ??? 4IT424 |
Šifrování (Cryptography) | Historie šifrování. Steganografie. Symetrické a asymetrické šifry. Kryptografické hašovací funkce. Digitální podpis. Certifikáty. Správa klíčů. Šifrování a podepisování souborů a zpráv. PGP, S/MIME. | 4SA313 4IZ525 |
Bezpečnostní architektura, bezpečnostní modely (Security Architecture and Design) | Bezpečnostní modely - Bell-LaPadula, Multilevel security (MLS). Orange Book, Rainbow Series, Common Criteria. | 4SA313 |
Řízení přístupu (Access Control) | Identifikace, autentizace, autorizace. Hesla, ukládání hesel, jednorázová hesla, vícefaktorová autentizace. Modely řízení přístupu, přístupová práva. Logování a monitorování přístupu. Správa uživatelů - LDAP, Active Directory, Radius. Single-Sign On (Kerberos, OpenID, SAML). Útoky na autentizaci (hádání hesel, podvržení přihlašovací stránky, …). | 4SA313 |
Síťová bezpečnost (Telecommunications and Network Security) | OSI model, TCP/IP. Útoky na linkové úrovni, útoky na síťové úrovni. Firewally, systémy na odhalení průniku (IDS). VPN (virtuální privátní sítě), IPSec. SSL. Bezdrátové sítě, 802.1x, EAP. | 4IZ110 4SA313 |
Fyzická bezpečnost, zajištění prostředí (Physical and Environmental Security) | Ochrana majetku, bezpečnostní služba, přístupové systémy, kamery, … Ochrana na perimetru, vnitřní zabezpečení. Zabezpečení dodávky elektrického proudu, klimatizace, ochrana před požáry. | ??? |
Bezpečnost při tvorbě software (Software Development Security) | Bezpečné programování, bezpečnostní díry jako přetečení zásobníku, SQL injection, XSS, … OWASP. Viry a další škodlivý software. Metodiky pro tvorbu bezpečného software. | ??? 4IT424 |