Upraveno 5 prosince, 2023 23:55
CISSP (Certified Information Systems Security Professional) je mezinárodně uznávaný certifikační program v oblasti kybernetické bezpečnosti, který je spravován organizací (ISC). Tento certifikát potvrzuje odbornost a znalosti profesionálů působících v oblasti kybernetické bezpečnosti. CISSP certifikace rozdělujeme do osmi hlavních oblastí znalostí, a ty nazýváme CISSP domény. Tyto domény reflektují různé aspekty kybernetické bezpečnosti a zahrnují klíčové dovednosti a témata, která jsou nezbytná pro úspěšnou ochranu informačních systémů. Pojďme se tedy podívat na 8 CISSP bezpečnostních domén, k čemu slouží a jak se rozdělují.
8 CISSP bezpečnostních domén
- Security and Risk Management (Bezpečnost a řízení rizik)
- Asset Security (Ochrana majetku)
- Security Architecture and Engineering (Architektura a inženýrství bezpečnosti)
- Communication and Network Security (Komunikační a síťová bezpečnost)
- Identity and Access Management (IAM, Řízení identit a přístupu)
- Security Assessment and Testing (Hodnocení a testování bezpečnosti)
- Security Operations (Bezpečnostní operace)
- Software Development Security (Bezpečnost softwarového vývoje)
Každá z těchto domén se zaměřuje na jiný aspekt kybernetické bezpečnosti a odborníci, kteří chtějí získat certifikaci CISSP, musí mít hluboké porozumění ve všech těchto oblastech. Díky tomu umí certifikovaní profesionálové efektivně řešit různé bezpečnostní výzvy, se kterými se ve svém profesním životě setkají.
1 bezpečnostní doména: Security and Risk Management
Tato doména se zaměřuje na řízení bezpečnosti, etiku, právní předpisy a vztahy se zainteresovanými stranami. Zde je jednoduchý příklad, který ilustruje principy této domény:
Představte si, že jste manažerem bezpečnosti v malé společnosti. Musíte zajistit, že správně zvládáte všechny bezpečnostní aspekty organizace. Zde jsou některé základní principy, které byste mohli použít ve své práci:
Politiky a postupy: Vypracujte soubor bezpečnostních politik a postupů, které stanoví základní pravidla a normy pro ochranu informací, přístupová práva zaměstnanců, správu hesel a další aspekty bezpečnosti. Například, stanovte pravidlo, že zaměstnanci musí pravidelně měnit svá hesla nebo že zákazníci musí projít ověřováním identity před poskytnutím citlivých informací.
Řízení rizik: Identifikujte a zhodnoťte rizika spojená s informační bezpečností a vypracujte plán pro jejich minimalizaci. Například, zvažte, jaké hrozby ohrožují vaše systémy a jaké kroky podniknete pro prevenci těchto hrozeb.
Právní předpisy: Sledujte příslušné právní předpisy týkající se ochrany osobních údajů a informací. Ujistěte se, že organizace dodržuje všechny povinné zákony a regulace a přijme opatření pro minimalizaci rizika porušení těchto předpisů.
Vztahy se zainteresovanými stranami: Udržujte komunikaci s ostatními odděleními a externími partnery, jako jsou dodavatelé služeb nebo auditory. Spolupracujte s nimi na zlepšení bezpečnostních postupů a informujte je o důležitých změnách nebo hrozbách.
Toto je pouze jednoduchý příklad, který ilustruje některé z principů “Security and Risk Management”. V praxi byste museli tyto principy přizpůsobit konkrétním potřebám vaší organizace a dodržovat nejnovější bezpečnostní standardy a osvědčené postupy.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Petra Nováková
Pozice: Kybernetický specialista
Firma: ABC Corp
Petra Nováková pracuje jako kybernetický specialista ve společnosti ABC Corp, která poskytuje cloudové služby pro malé a střední firmy. Společnost si zakládá na důvěře a bezpečnosti svých zákazníků, a proto je bezpečnost a řízení rizik jejím klíčovým zaměřením.
Petra musí vytvořit komplexní bezpečnostní politiku a postupy, čímž zajistí ochranu dat a systémů zákazníků na nejvyšší úrovni.
Petra začala tím, že analyzovala současný stav bezpečnosti společnosti a identifikovala potenciální rizika a slabiny. Poté se sešla s různými týmy ve firmě, aby získala pochopení různých aspektů jejich činnosti a identifikovala citlivá data a systémy.
Na základě těchto informací Petra vypracovala bezpečnostní politiku, která stanovovala pravidla pro přístup k datům, zálohování, šifrování a správu hesel. Dále navrhla pravidla pro zacházení s citlivými informacemi a jak minimalizovat riziko úniku dat.
Aby zajistila dodržování těchto pravidel, Petra zařídila školení zaměstnanců ohledně kybernetických hrozeb, phishingu a správného zacházení s údaji. Také vyvinula interní systém hlášení incidentů, který umožňoval rychlou reakci na potenciální bezpečnostní problémy.
Díky jejímu úsilí se firma ABC Corp stala v očích svých zákazníkům spolehlivým partnerem, který chrání jejich data a poskytuje bezpečné cloudové služby.
Tento příběh ukazuje, jak kybernetický specialista jako Petra Nováková pracuje na první doméně – Security and Risk Management – tedy na vytváření bezpečnostní politiky, postupů a školení zaměstnanců pro zajištění bezpečnosti dat a systémů v podniku.
Jméno postavy: Martin Novotný
Pozice: Bezpečnostní manažer
Firma: GlobalTech Solutions
Martin Novotný působí jako bezpečnostní manažer ve společnosti GlobalTech Solutions, která se specializuje na vývoj a implementaci podnikových softwarů. Společnost má mezinárodní působnost a její produkty obsahují mnoho citlivých informací týkajících se různých klientů.
Martin musí vytvořit a řídit integrovaný bezpečnostní program, který minimalizuje rizika kybernetických útoků a zajišťuje soulad s příslušnými bezpečnostními standardy a regulacemi.
Martin začal tím, že navázal spolupráci se všemi odděleními ve firmě, jako jsou vývojáři, IT týmy, personální oddělení a vedením. Důkladně si poslechl jejich obavy, potřeby a očekávání ohledně bezpečnosti.
Na základě těchto konzultací Martin vypracoval komplexní bezpečnostní program, který zahrnoval politiky, postupy a směrnice, které se přizpůsobily jednotlivým oddělením a typům pracovních úkolů.
Dalším důležitým krokem bylo začlenění rizikového hodnocení do každodenních procesů firmy. Martin zavedl systém sledování bezpečnostních incidentů a úspěšně zredukoval počet neoprávněných pokusů o přístup a phishingových útoků.
Jednou z klíčových iniciativ bylo zavedení bezpečnostního školení pro všechny zaměstnance. Martin chtěl zvýšit povědomí o kybernetických hrozbách a poskytnout zaměstnancům znalosti, jak se bránit.
Martin spolu s vedením zajistil, že jsou bezpečnostní opatření v souladu s mezinárodními standardy a normami. Díky tomu firma získala důvěru klientů a zlepšila konkurenceschopnost na trhu.
Díky Martinově oddanosti a jeho schopnosti spojit síly různých týmů a oddělení dosáhla společnost GlobalTech Solutions vynikající úrovně bezpečnosti, což přispělo k posílení jejího postavení na poli kybernetické ochrany.
Tento příběh ukazuje, jak bezpečnostní manažer jako Martin Novotný pracuje na první doméně – Security and Risk Management – tedy na vytváření a řízení integrovaného bezpečnostního programu, který minimalizuje rizika kybernetických útoků a zajišťuje soulad s bezpečnostními standardy a regulacemi v podniku.
2 bezpečnostní doména: Asset Security (Ochrana majetku)
Druhá bezpečnostní doména CISSP se nazývá “Asset Security” (Ochrana majetku). Tato doména se zaměřuje na ochranu fyzických a informačních aktiv. Zde je jednoduché vysvětlení této domény spolu s příklady:
Ochrana majetku se týká zajištění bezpečnosti a ochrany všech aktiv, která organizace vlastní a provozuje. Aktiva mohou zahrnovat jak fyzické objekty (např. budovy, zařízení), tak i informace a data (např. databáze, citlivé dokumenty).
Příklady principů ochrany majetku a konkrétních opatření z této domény mohou zahrnovat:
Fyzická ochrana: Zajištění fyzické bezpečnosti prostřednictvím opatření jako jsou zámky, bezpečnostní kamery, kontrola přístupu, bezpečnostní personál atd. Například, instalace bezpečnostního systému s kamerami a přístupovými kartami pro omezení vstupu do důležitých prostorů organizace.
Zabezpečení zařízení: Zajištění bezpečnosti a ochrany fyzických zařízení, jako jsou počítače, servery, mobily atd. Příkladem činnosti, kterou provádíte, může být používání zabezpečených zámků na servery, šifrování dat uložených na mobilních zařízeních nebo vzdálené vymazání dat v případě ztráty nebo krádeže.
Správa přístupu: Kontrola a řízení přístupu zaměstnanců nebo uživatelů k informačním systémům a citlivým datům. Například, přidělování uživatelských účtů s příslušnými oprávněními, používání silných hesel, pravidelné přezkoumávání přístupových práv atd.
Zálohování a obnovení dat: Zajištění zálohování důležitých dat a systémů a jejich pravidelné testování obnovy. Tím se minimalizuje riziko ztráty dat nebo přerušení provozu v případě havárie. Příkladem může být automatické zálohování a uchování záloh na externích zařízeních nebo v cloudu.
Odstraňování majetku: Bezpečné odstranění nebo zničení důvěrných informací nebo technologických zařízení, která již nejsou potřebná nebo jsou zastaralá. To je důležité pro minimalizaci rizika úniku citlivých dat nebo zneužití. Příkladem je používání specializovaných služeb pro bezpečné zneškodňování hardwaru nebo důkladné vymazání dat z disků.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Lukáš Vlček
Pozice: Bezpečnostní inženýr
Firma: XYZ Banka
Lukáš Vlček je bezpečnostní inženýr v XYZ Bance, jedné z největších bank v zemi. Jeho úkolem je zajistit, aby banka byla chráněna před kybernetickými útoky a aby její zákazníci měli jistotu, že jejich finance jsou v bezpečí.
Lukáš musí navrhnout a implementovat bezpečnostní architekturu a inženýrská opatření, která minimalizují riziko úniku citlivých bankovních informací a zároveň umožní bezproblémový chod bankovních operací.
Lukáš začal tím, že provedl důkladný audit stávající bezpečnostní infrastruktury banky. Identifikoval potenciální slabiny a potřeby zabezpečení bankovních aplikací a dat. Na základě tohoto auditu navrhl plán, jak zlepšit bezpečnostní architekturu banky.
Jedním z jeho klíčových opatření bylo zavedení multifaktorové autentizace pro všechny bankovní transakce, což znamenalo, že zákazníci museli potvrdit svou identitu pomocí více než jednoho faktoru, například hesla a biometrických údajů.
Dále Lukáš implementoval rozsáhlý monitorovací systém, který sledoval veškerý provoz banky a vyhledával podezřelé aktivity. Tím bylo možné rychle identifikovat pokusy o neoprávněný přístup nebo podezřelé transakce.
Kromě toho Lukáš spolupracoval s vývojovým týmem na zavedení bezpečnostního testování softwaru, aby se minimalizovalo riziko softwarových chyb, které by mohly být zneužity pro útoky.
Díky Lukášovo úsilí a jeho vynalézavosti banka XYZ zvýšila svou bezpečnostní úroveň a stala se nepřekonatelným hráčem na poli kybernetické ochrany.
Tento příběh ukazuje, jak bezpečnostní inženýr jako Lukáš Vlček pracuje na druhé doméně – Asset Security – tedy na zabezpečení majetku, v tomto případě chrání citlivé bankovní informace a zajistí, aby bankovní operace probíhaly bezpečně a bez překážek.
Jméno postavy: Kateřina Svobodová
Pozice: Bezpečnostní analytička pro databáze
Firma: SecureSoft Corporation
Kateřina Svobodová je bezpečnostní analytička, specializující se na databázovou bezpečnost ve společnosti SecureSoft Corporation, která poskytuje špičkové bezpečnostní řešení pro korporace po celém světě. Jednou z klíčových oblastí, na které se Kateřina zaměřuje, je ochrana firemních tajemství uložených ve firemních databázích.
Kateřina musí navrhnout a provést bezpečnostní opatření, která zajistí, že citlivá data a firemní tajemství uložená v databázích budou chráněna před neoprávněným přístupem.
Kateřina začala svůj úkol tím, že prováděla důkladnou inventarizaci všech firemních databází a identifikovala citlivá data, jako jsou klientští záznamy, finanční informace a vývojové projekty. Dále spolupracovala s týmem správců databází, aby získala hlubší pochopení architektury a zabezpečení jednotlivých databází.
Na základě těchto znalostí Kateřina navrhla a implementovala zabezpečení databází. Zavedla přísnou politiku řízení přístupu, což znamenalo, že každý zaměstnanec měl oprávnění přístupu pouze k těm databázím a informacím, které potřeboval pro svou práci.
Dalším krokem bylo zavedení šifrování dat v databázích, aby byla citlivá data chráněna v případě, že by došlo k narušení bezpečnosti. Kateřina také prováděla pravidelná zálohování a testy obnovení, aby bylo zajištěno, že data jsou k dispozici i v případě katastrofických událostí.
Kateřina aktivně spolupracovala s vývojářským týmem na zavedení bezpečnostních postupů pro vývoj nových aplikací a změn v databázích. Tím minimalizovala riziko softwarových chyb, které by mohly ohrozit bezpečnost dat.
Díky úsilí Kateřiny a jejího týmu dosáhla společnost SecureSoft Corporation vynikající úrovně databázové bezpečnosti a získala důvěru klientů, kteří vědí, že jejich firemní tajemství jsou v bezpečných rukou.
Tento příběh ukazuje, jak bezpečnostní analytička jako Kateřina Svobodová pracuje na druhé doméně – Asset Security – tedy na ochraně firemních aktiv, zejména citlivých dat a firemních tajemství uložených v databázích. Její práce zahrnovala návrh a implementaci bezpečnostních opatření, řízení přístupu a šifrování dat, aby se minimalizovalo riziko úniku informací.
3 bezpečnostní doména Security Architecture and Engineering (Bezpečnostní architektura a inženýrství)
Tato doména se zaměřuje na návrh a implementaci bezpečnostní infrastruktury a systémů. Zde je jednoduché vysvětlení této domény spolu s příklady:
Bezpečnostní architektura a inženýrství se týká navrhování a implementace bezpečnostních opatření a technologií, které zajistí ochranu informačních systémů. Zde je několik principů a příkladů pro lepší pochopení této domény:
Návrh síťového zabezpečení: Plánování a implementace bezpečné architektury sítě. To zahrnuje nastavení firewallů, správu přístupových kontrol, zónování sítě a monitorování síťového provozu. Příkladem může být vytvoření oddělených sítí pro různé segmenty organizace (interní síť, DMZ, veřejná síť) s příslušnými pravidly firewallu.
Šifrování dat: Implementace šifrování pro ochranu citlivých dat v přenosu i uložených na systémech. To zahrnuje použití protokolů HTTPS pro webovou komunikaci, šifrování datových souborů nebo šifrování celých disků na zařízeních. Příkladem může být šifrování e-mailových zpráv při jejich přenosu přes veřejnou síť.
Správa identit a přístupu: Implementace mechanismů pro správu a řízení přístupu uživatelů k informačním systémům a datům. To zahrnuje používání jednotného přihlašování (Single Sign-On), správu identit, autorizaci a správu oprávnění. Příkladem může být centralizovaná správa uživatelských účtů s definovanými oprávněními pro různé role a skupiny.
Bezpečnostní testování: Provádění bezpečnostních auditů, testování zranitelností a provádění penetračních testů na systémech a aplikacích. Zde identifikujete slabá místa a zranitelnosti, které může útočník využít. Jako příklad si představte externí penetrační test na webové aplikaci, kde se snažíte identifikovat možné zranitelnosti a slabá místa.
Správa bezpečnostních událostí a incidentů: Implementace systému pro sběr, analýzu a reakci na bezpečnostní události a incidenty. To zahrnuje sledování logů, detekci podezřelé aktivity, reakci na incidenty a řízení jejich důsledků. Jako příklad si uveďme SIEM (Security Information and Event Management) nástroje pro centrální sběr a analýzu logů z různých systémů.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Tomáš Novák
Pozice: Bezpečnostní architekt
Firma: CyberShield Technologies
Tomáš Novák je bezpečnostní architekt v společnosti CyberShield Technologies, která poskytuje bezpečnostní řešení a konzultační služby pro podniky a organizace po celém světě. Tomášova úloha je navrhnout a implementovat bezpečnostní architekturu pro sítě a systémy zákazníků, aby minimalizoval rizika kybernetických útoků.
Úkol pro Tomáše: Vytvořit bezpečnostní architekturu pro novou firemní síť jednoho ze zákazníků, která zajišťuje ochranu před různými hrozbami, včetně nejnovějších typů útoků.
Tomáš začal svůj úkol tím, že provedl důkladný průzkum firemní sítě zákazníka. Poslouchal jejich potřeby a cíle a poradil se s týmem IT, aby získal hlubší pochopení architektury sítě a systémů.
Na základě těchto znalostí Tomáš vypracoval detailní návrh bezpečnostní architektury. Zahrnoval segmentaci sítě na odlišné zóny, což minimalizovalo rozsah potenciálního útoku. Dále navrhl řadu bezpečnostních prvků, jako jsou firewally, intrusion detection and prevention systémy (IDPS), šifrování komunikace a pravidla pro bezpečnostní provozní postupy.
Tomáš spolupracoval s týmem inženýrů na implementaci navržených bezpečnostních prvků. V průběhu implementace došlo k objevení zranitelností v některých systémech, které byly okamžitě odstraněny díky jeho týmu.
Během implementace prováděl Tomáš také školení zaměstnanců, aby byli obeznámeni s novou bezpečnostní architekturou a správným postupem při zacházení s potenciálními hrozbami.
Po dokončení projektu společnost dosáhla vynikající úrovně bezpečnosti sítě. Tomášova bezpečnostní architektura odolávala nejrůznějším útokům a zvýšila bezpečnostní povědomí zaměstnanců. To přineslo společnosti CyberShield Technologies uznání od zákazníka a pověst jako významného hrdiny v boji proti kybernetickým hrozbám.
Tento příběh ukazuje, jak bezpečnostní architekt jako Tomáš Novák pracuje na třetí doméně – Security Architecture and Engineering – tedy na návrhu a implementaci bezpečnostních opatření pro sítě a systémy, aby chránil před různými hrozbami kybernetických útoků. Jeho práce zahrnovala analýzu, návrh, implementaci a školení zaměstnanců pro úspěšné zajištění bezpečnosti sítě zákazníka.
Jméno postavy: Eva Procházková
Pozice: Kybernetický analytik
Firma: SecureTech Investigation
Eva Procházková pracuje jako kybernetický analytik ve společnosti SecureTech Investigation, která se specializuje na vyšetřování kybernetických útoků a identifikaci nových hrozeb pro své klienty. Jejím úkolem je objevit a porozumět neznámým kybernetickým hrozbám a navrhnout bezpečnostní opatření, která zajistí ochranu před budoucími útoky.
Úkol pro Evu: Vyšetřit sérii nedávných útoků na síť jednoho z klientů a odhalit nový typ hrozby, který dosud nebyl znám.
Eva začala svou práci tím, že analyzovala záznamy kybernetických incidentů a zachycený síťový provoz klienta. Po důkladném prozkoumání identifikovala neobvyklé vzorce, které mohly naznačovat nový typ útoku.
Konzultovala se svými kolegy v týmu Security Architecture a Engineering, aby sdílela své poznatky a získala další perspektivu na potenciální hrozby. Společně navrhli strategii pro odhalení a odstranění neznámého útoku.
Eva se pustila do hlubší analýzy dat a prováděla simulace možných scénářů útoku. Během tohoto procesu identifikovala nový typ malware, který byl zakódovaný až na úrovni, která byla dosud neobvyklá.
S pomocí týmu Security Engineering navrhla specifická bezpečnostní opatření, která pomohla zastavit šíření malwaru a minimalizovala jeho dopad na síť klienta. To zahrnovalo aktualizaci firewallů a systémů pro detekci a prevenci intruzí (IDPS), stejně jako upravení nastavení politiky řízení přístupu.
Dále Eva spolupracovala s týmem Security Awareness, aby informovala zaměstnance klienta o nové hrozbě a školení ohledně prevence útoků.
Díky úsilí Evy a jejího týmu se podařilo klientovi rychle reagovat na novou hrozbu a minimalizovat škody. Její práce jako kybernetického analytika výrazně přispěla k bezpečnosti sítě a zabránila dalším neznámým útokům.
Tento příběh ukazuje, jak kybernetický analytik jako Eva Procházková pracuje na třetí doméně – Security Architecture and Engineering – tedy na objevování neznámých hrozeb, analýze kybernetických útoků a navrhování bezpečnostních opatření pro minimalizaci rizika budoucích útoků. Její práce představuje klíčovou roli v ochraně klientů před novými a nebezpečnými kybernetickými hrozbami.
4 bezpečnostní doména Communication and Network Security (Komunikace a síťová bezpečnost)
Tato doména se zabývá ochranou a zabezpečením komunikačních kanálů a sítí před různými hrozbami a útoky. Jejím cílem je zajistit důvěrnost, integritu a dostupnost informací, které se přenášejí prostřednictvím sítí.
Pojďme se podívat na několik základních principů a příkladů týkajících se této domény:
Šifrování: Jedním z hlavních nástrojů v komunikaci a síťové bezpečnosti je šifrování. Šifrování se používá ke kódování dat tak, aby byla nečitelná pro neoprávněné osoby. Příkladem může být šifrování e-mailových zpráv, kdy jsou obsahy zpráv zakódovány a pouze správným příjemcem jsou rozluštěny.
Firewall: Firewall je bezpečnostní zařízení, které kontroluje a filtrování komunikaci mezi sítěmi a/nebo mezi uživateli a sítí. Jeho účelem je blokovat neoprávněný přístup a chránit síť před škodlivým provozem, jako jsou hackerské útoky nebo škodlivý software.
VPN (Virtual Private Network): VPN umožňuje vytvoření zabezpečeného a šifrovaného připojení mezi dvěma body přes veřejnou síť, jako je internet. Tím se zajišťuje bezpečná komunikace a přenos dat mezi těmito body. Příkladem může být vzdálený přístup k firemní síti prostřednictvím VPN, který umožňuje zaměstnancům pracovat z domova a přistupovat ke kritickým informacím bezpečným způsobem.
Bezpečnostní protokoly: Komunikace a síťová bezpečnost zahrnuje také používání bezpečnostních protokolů, jako je HTTPS (zabezpečený protokol pro přenos hypertextu), který zajišťuje bezpečné spojení při prohlížení webových stránek. HTTPS používá šifrování a autentizaci pro ochranu dat, která jsou přenášena mezi webovým prohlížečem a serverem.
Bezpečnostní audit: Součástí komunikace a síťové bezpečnosti je provádění bezpečnostních auditů, které slouží k posouzení a vyhodnocení bezpečnostních opatření a procesů v síti. Bezpečnostní audit může odhalit případné slabiny a nedostatky v komunikaci a síťové bezpečnosti, které je třeba adresovat a zabezpečit.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Jakub Marek
Pozice: Bezpečnostní inženýr sítí
Firma: TechGuard Solutions
Jakub Marek pracuje jako bezpečnostní inženýr sítí v společnosti TechGuard Solutions, která se specializuje na poskytování komplexních síťových bezpečnostních řešení pro podnikové zákazníky. Jakubova role se zaměřuje na ochranu datových toků a zajištění bezpečné komunikace mezi různými síťovými prvky.
Úkol pro Jakuba: Navrhnout a implementovat bezpečnostní mechanismy, které zajistí, že data přenášená po sítích jsou chráněna před neoprávněným přístupem a zachovávají integritu a důvěrnost.
Jakub začal tím, že prováděl důkladnou analýzu sítě zákazníka a identifikoval citlivá data a klíčové komunikační toky. Důkladně zkontroloval nastavení síťových prvků, jako jsou směrovače, přepínače a firewall. Identifikoval potenciální bezpečnostní slabiny a navrhl vhodná řešení.
Jedním z jeho klíčových opatření bylo zavedení šifrování datových toků mezi klíčovými síťovými prvky. Použil protokoly VPN (Virtual Private Network), aby zabezpečil komunikaci mezi vzdálenými pobočkami společnosti.
Jakub dále implementoval pravidla a politiky kontroly přístupu, aby se minimalizovalo riziko neoprávněného přístupu k citlivým datům. Použil technologie jako Network Access Control (NAC) a dvoufaktorovou autentizaci, aby zvýšil úroveň bezpečnosti a kontroly uživatelů.
Důležitým aspektem jeho práce bylo také zajištění, že síťová infrastruktura je pravidelně monitorována a aktualizována. Pravidelně prováděl bezpečnostní audity a penetrační testy, aby identifikoval možné slabiny a zabezpečil je dříve, než by se staly zranitelnými pro potenciální útoky.
Díky Jakubovým úsilím se síť zákazníka stala mnohem odolnější vůči kybernetickým hrozbám a data byla chráněna při přenosu mezi síťovými prvky. Společnost TechGuard Solutions získala uznání od svého klienta za vynikající práci na zajištění komunikační a síťové bezpečnosti.
Tento příběh ukazuje, jak bezpečnostní inženýr sítí jako Jakub Marek pracuje na čtvrté doméně – Communication and Network Security – tedy na návrhu a implementaci bezpečnostních opatření pro zajištění bezpečnosti datových toků a komunikace mezi síťovými prvky. Jeho práce představuje klíčový aspekt zabezpečení sítě a minimalizace rizik spojených s přenosy dat v rámci organizace.
5 bezpečnostní doména Identity and Access Management (Identita a řízení přístupu)
Tato doména se zaměřuje na správu identit uživatelů a jejich přístupu k informacím a systémům v organizaci. Cílem je zajistit, že pouze oprávnění uživatelé mají přístup k příslušným zdrojům a že jejich identity jsou řádně spravovány.
Zde je vysvětlení domény “Identity and Access Management” a několik příkladů:
Identifikace: Pro správu identit je nezbytné, aby každý uživatel měl jednoznačnou identifikaci v systému. To může být provedeno pomocí uživatelských jmen, identifikačních čísel, e-mailových adres atd. Identifikace slouží k jednoznačnému rozlišení jednotlivých uživatelů v systému.
Autentizace: Autentizace se používá k ověření, zda je uživatel skutečně ten, za koho se vydává. Obvykle to zahrnuje kombinaci faktorů, jako je heslo, biometrie (otisky prstů, rozpoznání obličeje apod.) nebo tokeny. Autentizace zajistí, že pouze oprávnění uživatelé mají přístup k systému nebo informacím.
Autorizace: Autorizace se týká udělování přístupových práv uživatelům na základě jejich rolí, odpovědností a oprávnění. Správce systému definuje pravidla a omezení pro přístup k různým zdrojům a datům v rámci organizace. Například administrátor sítě může mít právo přistupovat a upravovat nastavení sítě, zatímco běžný zaměstnanec nemá tato práva.
Správa přístupových práv: Tato část zahrnuje správu přístupových práv uživatelů. To znamená správu uživatelských účtů, jejich rolí, přístupových práv a případně i změn v těchto právech v průběhu času. Správa přístupových práv umožňuje organizaci udržovat aktuální a bezpečné nastavení přístupových práv pro jednotlivé uživatele.
Jednotná přihlášení (Single Sign-On): Jednotné přihlášení je technologie, která umožňuje uživatelům přihlásit se pouze jednou pomocí jediného identifikačního prostředku (např. hesla nebo tokenů) a poté získat přístup k různým systémům a aplikacím bez opakovaného zadávání přihlašovacích údajů. To zjednodušuje uživatelskou zkušenost a zároveň zvyšuje bezpečnost, protože uživatelé nemusí používat stejná hesla pro různé systémy.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Karolína Nováková
Pozice: Specialista na řízení identit a přístupu
Firma: CyberGuardian Services
Karolína Nováková pracuje jako specialista na řízení identit a přístupu ve společnosti CyberGuardian Services, která se zaměřuje na poskytování služeb v oblasti kybernetické bezpečnosti pro různé organizace. Jejím úkolem je zajistit, aby identita a přístup zaměstnanců a uživatelů byly řízeny důsledně a zabezpečeně, a aby bylo minimalizováno riziko neoprávněného přístupu k citlivým informacím.
Úkol pro Karolínu: Navrhnout a implementovat robustní systém pro řízení identit a přístupu, který minimalizuje riziko úniku dat a zabezpečuje citlivé informace ve společnosti.
Karolína začala tím, že provedla komplexní analýzu stávajících procesů řízení identit a přístupu ve společnosti. Identifikovala slabiny a rizika, která mohou ohrozit bezpečnost a soukromí organizace.
Následně navrhla a implementovala strategii IAM, která zahrnovala centralizované správy identit, jednotné přihlašování (Single Sign-On), správu oprávnění na základě rolí (Role-Based Access Control) a pravidelnou revizi oprávnění a odstraňování neaktivních účtů.
Karolína také zavedla systém pro autentizaci více faktory (Multi-Factor Authentication), aby zvýšila úroveň zabezpečení a zabránila neoprávněnému přístupu i v případě kompromitace hesel.
S jejím týmem prováděli pravidelné školení zaměstnanců, aby zvýšili povědomí o bezpečnostních postupech a významu správného zacházení s přístupovými údaji.
Díky Karolíny úsilí a implementaci bezpečnostního systému IAM byla společnost CyberGuardian Services schopná účinně řídit identitu a přístup a zabezpečit citlivé informace před neoprávněným přístupem. Její práce přispěla k posílení kybernetické bezpečnosti organizace a ochraně citlivých dat.
Tento příběh ukazuje, jak specialistka na řízení identit a přístup jako Karolína Nováková pracuje na páté doméně – Identity and Access Management – tedy na navrhování a implementaci systémů, které zajistí důsledné a bezpečné řízení identit a přístupu zaměstnanců a uživatelů k citlivým informacím ve společnosti. Její práce je klíčová pro minimalizaci rizika neoprávněného přístupu a zabezpečení digitálních klíčů organizace.
6 bezpečnostní doména Security Assessment and Testing (Hodnocení a testování bezpečnosti)
Tato doména se zaměřuje na procesy a metody hodnocení a testování bezpečnosti informačních systémů s cílem identifikovat slabiny a zranitelnosti a zajistit jejich řádné zabezpečení. Je důležité pravidelně provádět testy a hodnocení, aby se minimalizovaly rizika a chránily informace organizace.
Zde je vysvětlení domény “Security Assessment and Testing” a několik příkladů:
Hodnocení zranitelností: Hodnocení zranitelností slouží k identifikaci slabých míst a zranitelností v informačních systémech. To může zahrnovat skenování sítě, aplikací nebo systémů, aby se odhalily potenciální zranitelnosti a chyby v jejich konfiguraci. Například použití skenerů zranitelností pro prozkoumání sítě a nalezení nedostatečně zabezpečených bodů.
Penetrační testování: Penetrační testování je proces, při kterém etický hacker (takzvaný “penetration tester”) simuluje útok na informační systém s cílem odhalit jeho slabiny. Tím se zkoumá, zda je systém citlivý na různé typy útoků a jak by útočník mohl proniknout do systému. Příkladem může být penetrační test webové aplikace, kdy je simulován útok zvenčí za účelem zjištění, zda je aplikace náchylná k neoprávněnému přístupu nebo zneužití.
Hodnocení bezpečnosti třetích stran: Hodnocení bezpečnosti třetích stran se zaměřuje na posouzení bezpečnosti externích poskytovatelů služeb nebo dodavatelů, kteří mají přístup k důvěrným informacím nebo systémům organizace. Cílem je zajistit, že třetí strany dodržují adekvátní bezpečnostní opatření a nepředstavují riziko pro organizaci.
Testování reakce na incidenty: Testování reakce na incidenty se provádí k ověření připravenosti organizace na řízení a reakci na bezpečnostní incidenty. Tím se provádějí simulace různých typů incidentů, jako je únik dat, útok hackerů nebo vnitřní zneužití, a hodnotí se, jak rychle a účinně organizace reaguje na tyto situace.
Hodnocení souladu se standardy: Hodnocení souladu se standardy se zaměřuje na ověření, zda organizace dodržuje příslušné bezpečnostní standardy, normy a předpisy. To může zahrnovat například kontrolu dodržování předpisů GDPR nebo ISO/IEC 27001. Hodnocení posuzuje, zda organizace provádí potřebná opatření a procesy v souladu s danými standardy.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Petr Verner
Pozice: Kybernetický bezpečnostní analytik
Firma: SecureTech Solutions
Petr Verner pracuje jako kybernetický bezpečnostní analytik ve společnosti SecureTech Solutions, která se specializuje na poskytování bezpečnostních služeb a konzultací organizacím na celém světě. Jeho úkolem je provádět hodnocení a testování bezpečnosti, aby identifikoval potenciální slabiny v bezpečnostní infrastruktuře zákazníků.
Úkol pro Petra: Provést penetrační testování sítě jednoho z klientů a odhalit možná slabá místa, která by mohla být zneužita útočníky.
Petr začal svůj úkol tím, že provedl detailní analýzu sítě klienta a jeho infrastruktury. Identifikoval různé útokové vektory a potenciální cesty, kterými by mohl útočník proniknout do sítě.
Následovala fáze penetračního testování, během kterého Petr simuloval reálné kybernetické útoky na síť klienta. Cílem bylo odhalit slabá místa, jako jsou zranitelné systémy, neaktualizované software, špatně nastavené firewall, nebo nedostatečně zabezpečené přístupové body k WiFi sítím.
Během testování identifikoval Petr několik kritických zranitelností, které mohly ohrozit bezpečnost sítě a dat klienta. Bezpečnostní tým SecureTech Solutions okamžitě informoval klienta o výsledcích testování a navrhl konkrétní opatření a opravy, které by měly být provedeny.
Petr a jeho tým následně spolupracovali s týmem klienta na odstranění zranitelností a zavedli další bezpečnostní opatření, jako jsou pravidelné aktualizace a školení zaměstnanců.
Díky Petrovo úsilí se podařilo klientovi posílit bezpečnostní opatření a minimalizovat riziko úspěšných útoků. Kybernetický detektiv Petr Verner se stal klíčovým hráčem v ochraně klientových sítí před hrozbami a jeho práce přinesla společnosti SecureTech Solutions větší důvěru a uznání od klientů.
7 bezpečnostní doména Security Operations (Bezpečnostní operace)
Tato doména se zaměřuje na provádění a správu bezpečnostních opatření a aktivit, které slouží k monitorování, detekci, odpovědi a řízení bezpečnostních událostí a incidentů v organizaci. Cílem je zajistit, že bezpečnostní hrozby jsou správně identifikovány, analyzovány a řešeny včas.
Zde je vysvětlení domény “Security Operations” a několik příkladů:
Monitorování bezpečnosti: Monitorování bezpečnosti se zabývá sledováním a analýzou bezpečnostních událostí a aktivit v informačním systému. To může zahrnovat sběr a analýzu logů, provádění bezpečnostních auditů, sledování síťového provozu a dalších indikátorů bezpečnosti. Cílem je odhalit podezřelé aktivity a hrozby a přijmout adekvátní opatření.
Detekce a odpověď na incidenty: Bezpečnostní operace zahrnují také detekci a odpověď na bezpečnostní incidenty. To zahrnuje identifikaci a analýzu neobvyklých nebo podezřelých aktivit, zjištění zranitelností a zabezpečení, a následné reagování na incidenty, aby se minimalizoval jejich dopad a zabezpečila síť a systémy organizace.
Správa hrozeb: Správa hrozeb se zabývá identifikací, analýzou a hodnocením potenciálních hrozeb a rizik pro organizaci. To zahrnuje sběr informací o hrozbách a trendech v oblasti bezpečnosti, sledování známých hrozeb, vyhodnocování jejich vlivu na organizaci a přijímání opatření pro jejich prevenci a ochranu.
Reagování na havárie: Reagování na havárie se týká rychlé a účinné reakce na vážné bezpečnostní incidenty a katastrofy. To zahrnuje přípravu plánů reakce na havárie, trénink a cvičení týkající se řešení takových situací a koordinaci postupů při incidentech, aby se minimalizovala škoda a obnovení služeb a systémů organizace bylo co nejrychlejší.
Správa bezpečnostních událostí: Správa bezpečnostních událostí zahrnuje sběr, analýzu a řízení informací o bezpečnostních událostech v organizaci. Tím se zajišťuje, že incidenty a události jsou správně dokumentovány, sledovány a řešeny. Správa bezpečnostních událostí poskytuje cenné informace pro zlepšení bezpečnostních opatření a prevenci budoucích hrozeb.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Lucie Novotná
Pozice: Krizový manažer kybernetické bezpečnosti
Firma: CyberDefend Corporation
Lucie Novotná je krizový manažer kybernetické bezpečnosti v CyberDefend Corporation, což je společnost specializující se na poskytování kybernetických bezpečnostních služeb velkým podnikům a organizacím. Jejím úkolem je řídit a koordinovat reakci na kybernetické útoky, rychle identifikovat a neutralizovat hrozby a minimalizovat dopad na organizace.
Úkol pro Lucii: Vedení týmu reagujícího na kybernetický útok na jednoho z hlavních klientů společnosti.
Lucie dostala poplach, že jeden z jejich hlavních klientů je terčem sofistikovaného kybernetického útoku. Její tým bezprostředně zahájil reakci na incident a vytvořil krizový tým, který se skládal z kybernetických odborníků, bezpečnostních analytiků, právníků a zástupců vedení organizace.
Nejprve se Lucie a její tým zaměřili na analýzu útoku a zjištění jeho rozsahu. Sbírali důkazy, monitorovali síťový provoz a spolupracovali s týmem Security Assessment and Testing, aby identifikovali, jakým způsobem útok probíhá a co jsou jeho cíle.
Na základě analýzy bylo zjištěno, že útok byl zaměřen na krádež citlivých dat a ohrožuje provoz kritických systémů klienta. Lucie koordinovala okamžitou reakci na tento útok. Tým izoloval postižené systémy a provedl nutné opravy. Byla aktivována nouzová záložní síť, aby se minimalizoval dopad na podnikové operace.
Současně informovala vedení klienta a poskytovala pravidelné aktualizace o průběhu reakce na útok. Spolupracovala s týmem Identity and Access Management na obnově přístupových práv a na zajištění, že pouze oprávnění zaměstnanci mají přístup ke kritickým systémům.
Během následujících dnů Lucie a její tým monitorovali síť klienta a prováděli analýzu hrozeb, aby zajistili, že útok byl úspěšně odražen a že jsou vyčerpány veškeré možnosti obnovení bezpečnosti.
Díky rychlé a efektivní reakci týmu Lucie se klientovi podařilo minimalizovat škody a vyhnout se vážným následkům útoku. Její zkušenosti a schopnost vést krizový tým přinesly klientovi klid a důvěru, že jsou v dobrých rukou i v době kybernetického útoku.
8 bezpečnostní doména Software Development Security (Bezpečnost vývoje software)
Tato doména se zaměřuje na bezpečnostní aspekty a postupy během vývoje softwaru. Cílem je zajištění, že softwarové aplikace jsou navrhovány, vyvíjeny a nasazovány s přihlédnutím k bezpečnostním požadavkům a ochraně před různými hrozbami a zranitelnostmi.
Zde je vysvětlení domény “Software Development Security” a několik příkladů:
Bezpečnostní požadavky: Bezpečnostní požadavky jsou definovány již na začátku vývoje softwaru. To zahrnuje identifikaci bezpečnostních požadavků a scénářů pro softwarovou aplikaci. Například zabezpečení přihlášení uživatele, ochrana dat nebo omezení přístupu k citlivým funkcím.
Bezpečný návrh softwaru: Bezpečný návrh softwaru se zaměřuje na zahrnutí bezpečnostních opatření již v návrhové fázi. To zahrnuje identifikaci zranitelností a potenciálních rizik v architektuře a návrhu softwaru a jejich řešení. Například použití bezpečnostních vrstev nebo omezení přístupu k citlivým datům.
Testování bezpečnosti: Testování bezpečnosti je důležitou součástí vývoje softwaru. To zahrnuje provádění testů a auditů, které mají za cíl odhalit zranitelnosti a chyby v softwarové aplikaci. Testování bezpečnosti může zahrnovat penetrační testy, testování zranitelností, analýzu kódu nebo testování zabezpečení proti útokům.
Správa zranitelností: Správa zranitelností se týká sledování, řízení a odstraňování zranitelností v softwarové aplikaci. To zahrnuje sledování bezpečnostních aktualizací a oprav, nasazování opravných balíčků a pravidelné aktualizace softwaru pro minimalizaci rizika zneužití zranitelností.
Školení a povědomí o bezpečnosti: Školení a povědomí o bezpečnosti jsou důležité pro vývojáře a ostatní členy týmu softwarového vývoje. Poskytování školení o bezpečném programování a správných postupech pomáhá zvýšit povědomí o bezpečnosti a zajišťuje, že tým je schopen přijímat a uplatňovat nejlepší bezpečnostní postupy během vývoje softwaru.
Jak funguje 8 CISSP bezpečnostních domén v praxi:
Jméno postavy: Martin Kovář
Pozice: Bezpečnostní architekt software
Firma: SecureSoft Solutions
Martin Kovář pracuje jako bezpečnostní architekt software ve společnosti SecureSoft Solutions, což je softwarová firma specializující se na vývoj podnikových aplikací a řešení. Jeho hlavním úkolem je zajištění, aby software vyvíjený společností byl od počátku navržen s důrazem na bezpečnost a aby byly minimalizovány zranitelnosti a chyby v kódu.
Úkol pro Martina: Spolupracovat s vývojovým týmem na návrhu a implementaci bezpečnostních opatření do nového softwaru pro klienta.
Martin začal svou práci tím, že se seznámil s požadavky klienta a jejich potřebami ohledně bezpečnosti. Na základě toho společně s vývojovým týmem navrhli architekturu softwaru s důrazem na zabezpečení a ochranu dat.
Jedním z klíčových opatření, která Martin navrhl, bylo zavedení bezpečného zpracování vstupních dat, aby se minimalizovalo riziko útoků jako SQL injection nebo Cross-Site Scripting (XSS). Prošli celý kód softwaru a zajistili, že jsou vstupy validovány a ošetřeny tak, aby se minimalizovala rizika zranitelností.
Další důležitou součástí bylo zavedení šifrování citlivých dat, aby byla ochráněna v klíčových bodech softwaru, jako jsou databáze nebo souborové systémy. Martin spolupracoval s týmem Security and Risk Management na výběru vhodných kryptografických algoritmů a implementoval šifrování tak, aby bylo robustní a odolné proti útokům.
Dále Martin navrhl a implementoval mechanismy pro správu přístupových práv uživatelů k různým funkcím softwaru. Použil principy Role-Based Access Control (RBAC) a Minimálních oprávnění (Principle of Least Privilege) k tomu, aby každý uživatel měl pouze přístup k funkcím, které jsou pro jeho práci nezbytné.
Během vývoje byly pravidelně prováděny bezpečnostní kontroly a testy softwaru, aby se zajistilo, že bezpečnostní opatření jsou účinná a že softwarové řešení je odolné proti různým typům útoků.
Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.
Odebírejte Newsletter
Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.
