492/2022 Z.z.
VYHLÁŠKA
Národného bezpečnostného úradu
z 19. decembra 2022,
ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti
Zmena: 492/2022 Z.z.
Národný bezpečnostný úrad podľa § 32 ods. 1 písm. d) zákona č. 69/2018 Z.z. o
kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len "zákon")
ustanovuje:
§ 1
Táto vyhláška ustanovuje znalostné štandardy v oblasti kybernetickej bezpečnosti
(ďalej len "znalostný štandard") prostredníctvom jednotlivých rolí kybernetickej
bezpečnosti (ďalej len "rola"). Znalostné štandardy sú určené na preukazovanie minimálnych
požiadaviek na výkon konkrétnej roly a budovanie bezpečnostného povedomia.
§ 2
(1) Konkrétna činnosť, ktorou osoba vykonáva úlohy a činnosti podľa zákona,
je určená prostredníctvom konkrétnej roly, v ktorej osoba vystupuje vo vzťahu k sieti
alebo k informačnému systému.
(2) Charakteristika vzdelávacích potrieb pre jednotlivé kategórie používateľov
informačno-komunikačných technológií je uvedená v prílohe č. 1 a úrovne vzdelávacích
cieľov sú uvedené v prílohe č. 2.
(3) Znalostné štandardy pre konkrétnu rolu sú uvedené v prílohách č. 3 až 14.
(4) Znalostné štandardy pre určitú rolu sú splnené aj kolektívne ich vzájomným
zdieľaním. Tvorba názvov pracovných pozícií a ich pracovných náplní sa určuje prevádzkovateľom
základnej služby.
§ 3
Táto vyhláška nadobúda účinnosť 1. januára 2023 okrem príloh č. 3 až 5 a príloh
č. 7 až 14, ktoré nadobúdajú účinnosť 1. januára 2024.
Roman Konečný v.r.
PRÍL.1
Charakteristika vzdelávacích potrieb
I---------------I----------------------------I------------------------------------------------I I Kategória I Popis kategórie I Cieľ vzdelávania pre príslušnú kategóriu I I používateľov I používateľov I I I---------------I----------------------------I------------------------------------------------I I laik I používateľ IKT okrem I a) porozumieť vybraným základným pojmom I I I výkonu konkrétneho I kybernetickej bezpečnosti, I I I povolania I b) porozumieť významu osobných údajov I I I I a citlivých informačných aktív I I I I v mimopracovnej oblasti a osvojiť si I I I I základné pravidlá bezpečnej manipulácie I I I I a používania IKT. I I---------------I----------------------------I------------------------------------------------I I odborný I používateľ, ktorý pri I a) porozumieť vybraným základným pojmom I I zamestnanec I výkone povolania využíva I kybernetickej bezpečnosti, I I I sieť alebo informačný I b) porozumieť svojej úlohe a zodpovednosti I I I systém I v systéme kybernetickej bezpečnosti, I I I I c) chápať význam informačných aktív s ktorými I I I I zamestnanec pracuje, I I I I d) porozumieť potrebe ochrany informácií I I I I a informačných aktív, I I I I e) osvojiť si základné pravidlá bezpečnej I I I I práce s IKT, I I I I f) rozpoznať incident a vedieť naň správne I I I I reagovať, I I I I g) porozumieť bezpečnostným politikám a I I I I používaniu bezpečnostných mechanizmov I I I I v pracovných procesoch. I I---------------I----------------------------I------------------------------------------------I I manažér I riadiaci zamestnanec, I a) porozumieť vybraným základným pojmom I I I ktorý nie je IT manažérom I kybernetickej bezpečnosti, I I I alebo manažérom I b) porozumieť rizikám kybernetickej I I I kybernetickej bezpečnosti I bezpečnosti v riadených procesoch, I I I a ktorý spravidla I c) nadobudnúť schopnosť analyzovať požadovanú I I I zodpovedá za príslušný I úroveň ochrany informačných aktív, I I I proces alebo skupinu I d) nadobudnúť schopnosť integrovať požiadavky I I I procesov a v rámci nich I kybernetickej bezpečnosti do procesov I I I zodpovedá aj za plnenie I a úloh podriadených zamestnancov, I I I úloh v oblasti riadenia I e) naučiť sa definovať a dohliadať na plnenie I I I rizík kybernetickej I požiadaviek kybernetickej bezpečnosti pri I I I bezpečnosti I obstaraní produktov a služieb a pri I I I I procesoch podporovaných tretími stranami. I I---------------I----------------------------I------------------------------------------------I I IT manažér I riadiaci zamestnanec I a) porozumieť významu kybernetickej I I I organizačných jednotiek I bezpečnosti pre činnosť organizácie, I I I zodpovedných za I b) poznať jednotlivé oblasti kybernetickej I I I poskytovanie IT služieb, I bezpečnosti, I I I návrh, implementáciu, I c) porozumieť systému riadenia bezpečnosti I I I obstaranie, prevádzku, I informácií a informačných aktív a osvojiť I I I údržbu a posudzovanie I si ho, I I I prostriedkov IKT I d) nadobudnúť schopnosť implementovať I I I I bezpečnostné opatrenia v konkrétnom I I I I prostredí, I I I I e) nadobudnúť schopnosť určiť zodpovednosti I I I I zamestnancov organizácie vo vzťahu k I I I I informačným a komunikačným technológiám, I I I I f) osvojiť si metódy vyhodnocovania I I I I efektívnosti prijatých bezpečnostných I I I I opatrení, I I I I g) vedieť definovať a kontrolovať plnenie I I I I požiadaviek kybernetickej bezpečnosti pri I I I I obstarávaní, dodávaní, správe, prevádzke, I I I I údržbe a rozvoji sietí a informačných I I I I systémov a ich komponentov, I I I I h) nadobudnúť schopnosť presadzovať politiky I I I I kybernetickej bezpečnosti v organizácii. I I---------------I----------------------------I------------------------------------------------I I informatik I zamestnanec zodpovedný za I a) doplniť vlastné odborné znalosti špecificky I I I poskytovanie IT služieb, I pre oblasť kybernetickej bezpečnosti, I I I návrh, implementáciu, I b) porozumieť podstate bezpečnostných I I I obstaranie, prevádzku, I požiadaviek na IKT a IT služby, I I I údržbu a posudzovanie IKT I c) porozumieť zraniteľnostiam, hrozbám I I I I a rizikám spojeným s používanými IKT a IT I I I I službami, I I I I d) nadobudnúť schopnosť navrhnúť, I I I I implementovať, udržiavať a prevádzkovať I I I I mechanizmy na naplnenie bezpečnostných I I I I požiadaviek na IKT a IT služby, I I I I e) nadobudnúť zručnosť kvalifikovane I I I I komunikovať a spolupracovať so I I I I špecialistami kybernetickej bezpečnosti, I I I I formulovať problémy, posudzovať I I I I a implementovať navrhované opatrenia. I I---------------I----------------------------I------------------------------------------------I I zamestnanec v I zamestnanec I a) poznať a osvojiť si právne a etické I I kybernetickej I špecializovaný na oblasť I požiadavky na zaručenie bezpečnosti I I bezpečnosti I bezpečnosti informácií I informačných aktív, I I I a riadenia rizík I b) rozumieť zraniteľnostiam, hrozbám a rizikám I I I kybernetickej bezpečnosti, I v informačnej a kybernetickej bezpečnosti, I I I zodpovedný za návrh, I c) nadobudnúť schopnosť navrhnúť, I I I implementáciu, obstaranie, I implementovať, udržiavať a prevádzkovať I I I prevádzku, údržbu I bezpečnostné mechanizmy a riešenia, I I I a posudzovanie I d) nadobudnúť schopnosť navrhovať a I I I bezpečnostných mechanizmov I prezentovať bezpečnostné stratégie, I I I a riešení I bezpečnostné politiky a bezpečnostnú I I I I architektúru, I I I I e) nadobudnúť znalosti o technikách a metódach I I I I vyhodnocovania efektívnosti bezpečnostných I I I I mechanizmov a riešení a uplatňovať ich I I I I v procesoch organizácie, I I I I f) nadobudnúť zručnosť kvalifikovane I I I I komunikovať a spolupracovať s informatikmi, I I I I formulovať problémy, posudzovať I I I I a implementovať navrhované opatrenia, I I I I g) nadobudnúť schopnosť navrhovať procesy I I I I riadenia rizík v informačnej I I I I a kybernetickej bezpečnosti. I I---------------I----------------------------I------------------------------------------------I I manažér I riadiaci zamestnanec I a) nadobudnúť schopnosť vytvoriť rámec I I kybernetickej I špecializovaný na oblasť I riadenia kybernetickej bezpečnosti I I bezpečnosti I bezpečnosti informácií I v organizácii, I I I a riadenia rizík I b) nadobudnúť schopnosť riadiť procesy I I I kybernetickej bezpečnosti, I súvisiace s informačnou a kybernetickou I I I vlastníci bezpečnostných I bezpečnosťou v organizácii, I I I procesov I c) nadobudnúť schopnosť formulovať návrhy I I I I a odporúčania na obstaranie, implementáciu, I I I I prevádzku a vyhodnocovanie bezpečnostných I I I I mechanizmov a riešení a navrhovať I I I I a manažovať procesy riadenia rizík I I I I v informačnej a kybernetickej bezpečnosti, I I I I d) nadobudnúť schopnosť navrhovať, I I I I implementovať, udržiavať a prevádzkovať I I I I bezpečnostné mechanizmy a riešenia, I I I I e) nadobudnúť znalosti o právnych a etických I I I I požiadavkách na zaručenie bezpečnosti I I I I informačných aktív, I I I I f) nadobudnúť schopnosť navrhovať I I I I a prezentovať bezpečnostné stratégie, I I I I bezpečnostné politiky a bezpečnostnú I I I I architektúru, I I I I g) nadobudnúť a osvojiť si znalosti I I I I o technikách a metódach vyhodnocovania I I I I efektívnosti bezpečnostných mechanizmov I I I I a riešení a schopnosť uplatňovať ich I I I I v procesoch organizácie, I I I I h) nadobudnúť schopnosti pri presadzovaní I I I I bezpečnostných opatrení. I I---------------I----------------------------I------------------------------------------------I I audítor a I odborný zamestnanec I a) nadobudnúť schopnosti v rozsahu podľa I I výskumník I špecializovaný na oblasť I predchádzajúcich cieľov platných pre všetky I I kybernetickej I výskumu alebo posudzovania I ostatné kategórie, I I bezpečnosti I kybernetickej bezpečnosti, I b) vykonať audit kybernetickej bezpečnosti I I I analýzy rizík, testovania I a posúdiť efektívnosť prijatých I I I a vyhodnocovania I bezpečnostných opatrení podľa vyhlášky I I I efektivity bezpečnostných I Národného bezpečnostného úradu I I I opatrení, posudzovania I č. 436/2019 Z.z. o audite kybernetickej I I I zhody a súladu I bezpečnosti a znalostnom štandarde audítora I I I I a platných auditných metodík. I I---------------I----------------------------I------------------------------------------------I
PRÍL.2
Úrovne vzdelávacích cieľov
1. Kvalifikačné štandardy pre kybernetickú bezpečnosť podľa tejto vyhlášky
majú šesť úrovní vzdelávacích cieľov charakterizované opisnými prvkami v jazyku všeobecných
nárokov na vzdelávacie výstupy vo vzťahu k vedomostiam, zručnostiam a kompetenciám,
ktoré zodpovedajú kvalifikácii na danej úrovni kvalifikačného rámca.
2. Triedenie vzdelávacích cieľov je sekvenčné a zároveň kumulatívne; pre dosiahnutie
vyššieho vzdelávacieho cieľa je potrebné dosiahnuť všetky predchádzajúce vzdelanostné
úrovne.
I--------I-----------------I-------------------------------------------------I I Úroveň I Vzdelávací cieľ I Popis vzdelávacieho cieľa I I--------I-----------------I-------------------------------------------------I I BL1 I ZAPAMÄTANIE I Schopnosť zapamätať si potrebné informácie. I I I I I I I I Skúšobné otázky spojené s touto úrovňou testujú I I I I pamäť uchádzača a zahŕňajú úlohy ako: I I I I definícia, výber zo zoznamu, rozpoznanie, popis I I I I a pomenovanie. I I--------I-----------------I-------------------------------------------------I I BL2 I POCHOPENIE I Schopnosť porozumieť alebo pochopiť význam I I I I toho, čo bolo komunikované a využiť získanú I I I I informáciu bez toho, aby ju uchádzač spájal s I I I I inými informáciami, interpretáciami alebo I I I I materiálmi. I I I I I I I I Otázky na preskúmanie vedomostí na tejto úrovni I I I I zahŕňajú scenáre, ktoré uvádzajú príklady, I I I I ilustrácie, odvodenia, sumarizáciu a I I I I interpretáciu. I I I I I I I I Úroveň zahŕňa vedomosti získané na I I I I predchádzajúcej úrovni. I I--------I-----------------I-------------------------------------------------I I BL3 I APLIKÁCIA I Uchádzač je schopný používať myšlienky, I I I I princípy a teórie v nových, konkrétnych I I I I situáciách. I I I I I I I I Otázky na preskúmanie na tejto úrovni zahŕňajú I I I I vedomosti a pochopenie a môžu zahŕňať úlohy I I I I typu: výber vhodných postupov, uplatňovanie I I I I zásad, použitie prístupu alebo identifikácia I I I I možností. I I I I I I I I Úroveň zahŕňa vedomosti získané na I I I I predchádzajúcich úrovniach. I I--------I-----------------I-------------------------------------------------I I BL4 I ANALÝZA I Uchádzač je schopný rozdeliť komunikáciu na I I I I základné časti, aby bol jasne uchopený význam I I I I informácie. V tejto úrovni sa skúma podstata I I I I jednotlivých entít, s cieľom lepšie porozumieť I I I I komplexným celkom. I I I I I I I I Úroveň zahŕňa vedomosti získané na I I I I predchádzajúcich úrovniach. I I--------I-----------------I-------------------------------------------------I I BL5 I SYNTÉZA I Na tejto úrovni je uchádzač schopný opätovne I I I I spojiť rôzne časti alebo prvky konceptu do I I I I jednotného systému alebo celku. Toto spojenie a I I I I zmysel pre malé časti je rozhodujúcim faktorom I I I I v učení. Úroveň vzdelávania BL5 je pre I I I I uchádzača typicky najintenzívnejšia. I I I I I I I I Otázky na preskúmanie vedomostí na tejto úrovni I I I I zahŕňajú scenáre ako: tvorba, návrh, písanie, I I I I kombinovanie, skladanie, organizovanie, revízia I I I I a plánovanie. I I I I I I I I Úroveň zahŕňa vedomosti získané na I I I I predchádzajúcich úrovniach. I I--------I-----------------I-------------------------------------------------I I BL6 I POSÚDENIE I Na tejto úrovni je uchádzač schopný dospieť k I I I I prehľadu a posúdiť hodnotu a relatívny prínos I I I I myšlienok alebo postupov pomocou vhodných I I I I kritérií. I I I I I I I I Uchádzač je schopný porovnávať, posudzovať, I I I I hodnotiť, odôvodňovať, kritizovať a využitím I I I I dialektických postupov spochybňovať teórie, I I I I postupy, metódy a koncepty. I I I I I I I I Úroveň zahŕňa vedomosti získané na všetkých I I I I predchádzajúcich úrovniach. I I--------I-----------------I-------------------------------------------------I
PRÍL.3
Odborný zamestnanec
I-------------I---------------------------------------------------------------------I I Rola: I Odborný zamestnanec I I-------------I---------------------------------------------------------------------I I Vedomosti: I 1) vybrané základné pojmy v kybernetickej bezpečnosti BL2 I I I 2) význam osobných údajov a citlivých informačných aktív BL2 I I I 3) zdroje typických hrozieb a kategórie hrozieb (úmyselné BL2 I I I hrozby, náhodné hrozby, hrozby prostredia) I I I 4) aktuálne typy hrozieb (napr. škodlivý kód, phishing, BL2 I I I spam, útok na internetové služby alebo stránky (Denial I I I of Service (DoS)/znemožnenie prístupu k požadovanej I I I službe (Distributed denial of service (DDoS), botnety, I I I krádež identity a ďalšie) I I I 5) identifikácia, autentizácia, autorizácia BL2 I I I 6) spôsoby overenia digitálnej totožnosti význam BL2 I I I viacfaktorovej autentizácie a typy autentizačných I I I faktorov I I I 7) základné princípy bezpečného používania hesiel BL2 I I I 8) význam škodlivého kódu (malvér) a spôsoby útokov BL2 I I I škodlivým kódom I I I 9) riziká používania zariadení IKT BL2 BL2 I I I 10) základné zraniteľnosti smartfónov BL2 BL2 I I I 11) základné princípy vzdialeného prístupu a bezpečnostné BL2 I I I zásady pri práci na diaľku I I I 12) obsah pojmu digitálne súkromie BL2 I I I 13) význam pojmov digitálny popis, elektronický podpis, BL2 I I I kvalifikovaný elektronický podpis, časová pečiatka I I I 14) základné zásady bezpečnosti, ochrany osobných údajov BL2 I I I a etikety pri telekonferenciách a online rokovaniach, I I I stretnutiach I I I 15) bezpečnostné riziká a riziká ochrany súkromia pri BL2 I I I používaní sociálnych sietí pokiaľ sú v organizácii I I I povolené I I I 16) podstata útokov formou sociálneho inžinierstva (phising, BL2 I I I vishing, smishing, Business Email Compromise) I I I 17) základné poznatky na úseku trestného práva BL2 I I-------------I---------------------------------------------------------------------I I Zručnosti: I 1) bezpečná manipulácia s prostriedkami IKT, osobnými údajmi I I I a citlivými informačnými aktívami I I I 2) používanie stanovených bezpečnostných mechanizmov v I I I pracovných procesoch I I I 3) rozpoznanie bezpečnostného incidentu a schopnosť správne I I I reagovať na incident I I I 4) dodržiavanie bezpečnostných zásad a platných politík I I-------------I---------------------------------------------------------------------I
PRÍL.4
Špecialista kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Špecialista kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL4 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL4 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej BL5 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL4 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL4 I I I bezpečnosti (kľúčové ukazovatele výkonnosti - KPI, I I I kľúčové ukazovatele rizík - KRI, metodiky merania I I I vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL5 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL3 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) procesy riadenia kontinuity činností a plánovania BL5 I I I havarijnej obnovy prevádzky I I I 10) princípy podnikovej architektúry, koncepcie BL5 I I I bezpečnostnej architektúry a referenčné modely I I I podnikovej architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 11) koncepty, terminológia a princípy prevádzky BL5 I I I elektronických komunikačných systémov (počítačové a I I I telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 12) model OSI, mapovanie siete, topológia sietí, hlavné BL4 I I I sieťové protokoly a sieťové služby I I I 13) princípy sieťových zariadení (rozbočovače, prepínače, BL5 I I I smerovače, brány, firewall atď.) I I I 14) charakteristiky fyzických a virtuálnych nosičov údajov BL5 I I I 15) elektronické zariadenia (napr. počítačové BL5 I I I systémy/komponenty, zariadenia na kontrolu prístupu, I I I digitálne fotoaparáty, digitálne skenery, pevné disky, I I I pamäťové karty, modemy, sieťové komponenty, sieťové I I I zariadenia, sieťové domáce ovládacie zariadenia, I I I tlačiarne, vymeniteľné úložné zariadenia, telefóny, I I I faxy atď.) I I I 16) elektrotechnika aplikovaná na architektúru počítačov BL2 I I I (napr. základné dosky, procesory, čipy a iný počítačový I I I hardvér) I I I 17) koncepcia a mechanizmy zálohovania a obnovy dát BL4 I I I 18) kryptografické algoritmy BL4 I I I 19) kryptografické mechanizmy pre ochranu dôvernosti údajov BL4 I I I (napr. šifrovacie algoritmy) I I I 20) kryptografické mechanizmy pre ochranu integrity BL4 I I I a nepopierateľnosti údajov (napr. symetrické šifry, I I I asymetrické šifry, hašovacie funkcie, autentizačné I I I kódy, digitálne podpisy) I I I 21) metódy a politiky správy a štandardizácie údajov BL5 I I I 22) nové a rozvíjajúce sa informačné technológie BL6 I I I a technológie kybernetickej bezpečnosti I I I 23) princípy dolovania a ukladania údajov BL4 I I I 24) princípy elektronickej pošty, vyhľadávacích/analytických BL4 I I I techník, nástrojov a používania súborov cookies I I I 25) princípy webových služieb (napr. architektúra BL4 I I I orientovaná na služby, protokol SOAP a jazyk HTML) I I I 26) princípy zálohovania a obnovy dát BL4 I I I 27) programovacie rozhrania pre prístup k databázam BL4 I I I 28) šifrovacie algoritmy pre lokálne bezdrôtové siete (WLAN) BL4 I I I 29) systémy riadenia bázy dát a ich správa, dopytovacie BL4 I I I jazyky, relácie medzi tabuľkami I I I 30) štandardy a metodiky klasifikácie údajov založených na BL5 I I I citlivosti a iných rizikových faktoroch I I I 31) technológie filtrovania webového obsahu BL5 I I I 32) terminológia dátovej komunikácie (napr. sieťové BL6 I I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I I I vymeniteľné médiá) I I I 33) typy sieťovej komunikácie (napr LAN, WAN, MAN, WLAN, BL6 I I I WWAN) I I I 34) typy webových stránok, správa, funkcie a systémy na BL5 I I I správu obsahu (CMS) I I I 35) XML schémy (Extensible Markup Language) BL4 I I I 36) koncepty kybernetických operácií, terminológia/slovník BL6 I I I (t.j. príprava prostredia, kybernetický útok, I I I kybernetická obrana), zásady, obmedzenia a účinky I I I 37) základy sieťovej a internetovej komunikácie (t.j. BL5 I I I zariadenia, konfigurácia zariadení hardvér, softvér, I I I aplikácie, porty/protokoly, adresovanie, sieťová I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 38) princípy zraniteľností bezdrôtových sietí BL5 I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL4 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL4 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL4 I I I 4) teória, koncepty a metódy systémového inžinierstva BL4 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL4 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL4 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL4 I I I inžinierstve (napr. modularizácia, vrstvenie, abstrakcia, I I I maskovanie, šifrovanie, pseudonymizácia, minimalizácia I I I spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL4 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL4 I I I 10) sieťové protokoly a adresárové služby BL4 I I I 11) architektúra operačných systémov (napr. riadenie BL4 I I I systémových procesov, štruktúra adresárov, inštalácia I I I a spúšťanie procesov a aplikácií) I I I 12) prevádzka webových stránok (napr. webové servery, BL4 I I I hosting, DNS, webové jazyky atď.) I I I 13) všeobecné koncepty operačných technológií a riadiacich BL4* I I I systémov (OT/ICS) I I I 14) posudzovanie sieťových útokov a vzťahu jednotlivých BL4 I I I typov sieťových útokov k hrozbám a zraniteľnostiam I I I 15) princípy a techniky etického hackingu BL4 I I I 16) princípy a zdroje získavania informácií BL4 I I I o zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 17) triedy a vektory útokov BL4 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL5 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL6 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL3 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL5 I I I systémov I I I 5) zásady personálnej bezpečnosti BL6 I I I 6) opatrenia týkajúce sa používania, spracovania, BL5 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL4 I I I 8) kryptografické bezpečnostné mechanizmy BL4 I I I 9) koncepcie a technológie vzdialeného prístupu BL4 I I I 10) virtualizačné technológie, vývoj a údržba virtuálnych BL4 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL4 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL4 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL5 I I I 2) znalosti o štádiách kybernetického útoku (napr. prieskum, BL5 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL5 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL5 I I I 5) princípy korelácie bezpečnostných udalostí BL5 I I I 6) identifikácia digitálnych stôp a postupy pri ich BL4 I I I spracúvaní I I I 7) princípy, nástroje a techniky testovania prieniku BL5 I I I 8) analýza sieťového prenosu (nástroje, metodiky, procesy) BL4 I I I 9) bezdrôtové technológie (napr. celulárne, satelitné, GSM) BL4 I I I zahŕňajúce základnú štruktúru, architektúru a dizajn I I I moderných bezdrôtových komunikačných systémov I I I 10) charakteristiky komunikačných sietí (napr. kapacita, BL4 I I I funkčnosť, trasy, kritické uzly) I I I 11) forenzné súvislosti štruktúry a procesov operačného BL4 I I I systému I I I 12) koncepcia architektúry sietí vrátane topológie, BL3 I I I protokolov, komponentov a bezpečnostných princípov I I I 13) požiadavky na vybavenie forenzných laboratórií BL3 I I I a podporných aplikácií (napr. VMWare, Wireshark) I I I 14) mechanizmy zabezpečenia siete (napr. Host based IDS, BL4 I I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I I I 15) metódy a nástroje analýzy sieťového prenosu BL4 I I I 16) porty a služby operačných systémov BL5 I I I 17) princípy a mechanizmy zabezpečenia siete (napr. BL5 I I I šifrovanie, brány firewall, autentifikácia, medové I I I pasce, ochrana perimetra) I I I 18) princípy hĺbkovej ochrany a architektúry sieťovej BL4 I I I bezpečnosti I I I 19) princípy sieťových demilitarizovaných zón BL4 I I I 20) princípy súborových systémov (napr. NTFS, FAT a iné) BL4 I I I 21) programy, úlohy a zodpovednosti a metódy reakcie na BL6 I I I incidenty v organizácii I I I 22) bezpečnostné zásady správy a údržby databázových BL4 I I I systémov I I I 23) zásady riadenia bezpečnosti prostredia cloudu BL4 I I I 24) základy digitálnej forenznej analýzy pri získavaní BL3 I I I použiteľných informácií I I I 25) zásady riadenia sieťových systémov, modely, metódy BL5 I I I (napr. monitorovanie výkonnosti systémov end-to-end) I I I 26) princípy zraniteľností bezdrôtových sietí BL5 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na kybernetickú bezpečnosť I I I 2) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na ochranu osobných údajov I I I 3) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 4) požiadavky právnych predpisov na bezpečnostnú BL3 I I I dokumentáciu a bezpečnostné politiky I I I 5) princípy posudzovania kybernetickej bezpečnosti BL4 I I I 6) politiky, procesy a postupy pre riadenie ľudských BL4 I I I zdrojov v organizácii I I I 7) základné metódy vyučovania a prezentovania (spôsob BL3 I I I vyučovania a spôsob prípravy a vedenia prezentácií) I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL5* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL5 I I I reťazci I I I 10) metódy testovania a vyhodnocovania bezpečnosti systémov BL5 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I 1) podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I 2) implementácia procesov informačnej a kybernetickej bezpečnosti I I I podľa všeobecne záväzných právnych predpisov, bezpečnostnej I I I stratégie a ostatných interných riadiacich aktov I I I 3) metodické usmerňovanie správcov a gestorov informačných I I I a komunikačných technológií, vlastníkov procesov, vlastníkov I I I aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov I I I vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie I I I 4) riadenie informačnej a kybernetickej bezpečnosti vo vzťahu s I I I dodávateľmi a pri zaobstarávaní, projektovaní a vývoji softvéru I I I a systémov I I I 5) správa bezpečnosti informačných aktív organizácie I I I I I I Riadenie hrozieb a rizík I I I 1) implementácia procesov a nástrojov identifikácie, analýzy I I I a monitoringu bezpečnostných hrozieb a rizík I I I 2) posudzovanie hrozieb a rizík a návrh opatrení na ošetrovanie I I I rizík I I I 3) hodnotenie technických zraniteľností systémov I I I 4) detekcia, riešenie, evidencia a prevencia kybernetických I I I bezpečnostných incidentov I I I 5) podpora procesov obnovy prevádzkových činnosti (tzv. Business I I I Continuity Management) vrátane riadenia procesov plánovania I I I obnovy systémov po havárii (tzv. Disaster Recovery Planning) I I I I I I Aplikácia bezpečnostných opatrení I I I 1) zabezpečovanie implementácie zmien a optimalizácie technických I I I a organizačných bezpečnostných opatrení I I I 2) zabezpečovanie návrhov, zmien a integrácie bezpečnostných I I I technológií a riešení I I I 3) podpora riadenia bezpečnostnej architektúry I I I 4) predkladanie odborných stanovísk k novým zmenám v IT I I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I I I informačných aktív organizácie I I I 5) monitorovanie plnenia a efektivity bezpečnostných mechanizmov I I I a opatrení I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) výkon činností súvisiacich so zaručením bezpečnosti informačných I I I aktív v zmysle najlepšej praxe I I I 2) aplikácia metodík pre klasifikáciu informačných aktív I I I a kategorizáciu sietí a informačných systémov I I I 3) prevádzka technických bezpečnostných opatrení I I I 4) zabezpečovanie udržateľnosti organizačných opatrení vrátane I I I vyspelosti bezpečnostných procesov I I I 5) riadenie projektov v kybernetickej bezpečnosti I I I I I I Riadenie súladu I I I 1) pravidelné preskúmavanie stavu kybernetickej a informačnej I I I bezpečnosti I I I 2) poskytovanie súčinnosti internému a externému auditu informačnej I I I a kybernetickej bezpečnosti I I I 3) zabezpečovanie školení zamestnancov v oblasti kybernetickej I I I bezpečnosti a informačnej bezpečnosti I I I 4) budovanie bezpečnostného povedomia pre oblasť informačnej I I I a kybernetickej bezpečnosti a ochrany osobných údajov I I I 5) spolupráca s orgánmi verejnej moci a orgánmi činnými v trestnom I I I konaní I I-------------I----------------------I----------------------I-----------------------I I Stupeň I Úplné stredné I Vysokoškolské I. I Vysokoškolské II. a I I vzdelania: I všeobecné alebo I stupňa I III. stupňa I I I úplné stredné I I I I I odborné I I I I-------------I----------------------I----------------------I-----------------------I I Odborná I - najmenej 3 roky I - najmenej 2 roky I - najmenej 2 roky I I prax: I praxe v oblasti I praxe v oblasti I praxe v oblasti I I I informačných I informačných I informačných I I I technológií I technológií I technológií I I I - z toho najmenej I - z toho najmenej I - z toho najmenej I I I 1 rok praxe v I 1 rok praxe v I 1 rok praxe v I I I oblasti riadenia I oblasti riadenia I oblasti riadenia I I I IT služieb, I IT služieb, I IT služieb, I I I riadenia I riadenia I riadenia I I I informačnej I informačnej I informačnej I I I bezpečnosti, I bezpečnosti, I bezpečnosti, I I I riadenia rizík, I riadenia rizík, I riadenia rizík, I I I alebo architektúry I alebo architektúry I alebo architektúry I I I IT I IT I IT I I-------------I----------------------I----------------------I-----------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) analytické myslenie I I I d) tvorivosť (kreativita) I I I e) prezentačná zručnosť I I I f) schopnosť podporovať procesy vzdelávania a odovzdávania znalostí I I I g) schopnosť organizovania a plánovania práce I I I h) strategické a koncepčné myslenie I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.5
Manažér kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Manažér kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia kybernetickej BL5 I I I bezpečnosti vrátane zásad riadenia fyzickej a objektovej I I I bezpečnosti I I I 2) organizácia kybernetickej bezpečnosti BL6 I I I 3) terminológia a skratky v oblasti kybernetickej BL6 I I I bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL6 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL6 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL6 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) zásady a techniky plánovania kapacity a plánovania BL5 I I I zdrojov I I I 10) princípy riadenia ľudských zdrojov BL6 I I I 11) rozpočtové pravidlá, zásady plánovania a riadenia BL5 I I I nákladov a plánovania a riadenia investícií I I I 12) základy compliance v oblasti kybernetickej bezpečnosti BL3 I I I (právny rámec aspoň na úrovni zákona o ITVS, GDPR, I I I ePrivacy, ISO 20000) I I I 13) výskumné stratégie a znalostný manažment BL4 I I I 14) princípy podnikovej architektúry, koncepcie BL5 I I I bezpečnostnej architektúry a referenčné modely I I I podnikovej architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 15) koncepty, terminológia a princípy prevádzky BL4 I I I elektronických komunikačných systémov (počítačové I I I a telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 16) model OSI, mapovanie siete, topológia sietí, hlavné BL5 I I I sieťové protokoly I I I 17) princípy sieťových zariadení (rozbočovače, prepínače, BL2 I I I smerovače, brány, firewall atď.) I I I 18) zásady riadenia dodávateľských služieb a obstarávania BL6 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL6 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL4 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL4 I I I 4) teória, koncepty a metódy systémového inžinierstva BL4 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL4 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL4 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL5 I I I inžinierstve (napr. modularizácia, vrstvenie, I I I abstrakcia, maskovanie, šifrovanie, pseudonymizácia, I I I minimalizácia spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL3 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL3 I I I 10) sieťové protokoly a adresárové služby BL3 I I I 11) základná architektúra operačných systémov (napr. BL3 I I I riadenie systémových procesov, štruktúra adresárov, I I I inštalácia a spúšťanie procesov a aplikácií) I I I 12) bezpečnostné riziká cloud computingu BL4 I I I 13) všeobecné koncepty operačných technológií a riadiacich BL5* I I I systémov (OT/ICS) I I I I I I Aplikácia bezpečnostných opatrení I I I 1) princípy navrhovania opatrení na ošetrenie bezpečnostných BL6 I I I rizík I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL3 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL4 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL4 I I I systémov I I I 5) zásady personálnej bezpečnosti BL5 I I I 6) opatrenia týkajúce sa používania, spracúvania, BL6 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL4 I I I 8) základy kryptografických bezpečnostných mechanizmov BL4 I I I 9) koncepcie a technológie vzdialeného prístupu BL4 I I I 10) základy virtualizačných technológií, vývoja a údržby BL3 I I I virtuálnych strojov I I I 11) princípy zabezpečenia virtuálnych privátnych sietí (VPN) BL3 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL3 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL6 I I I 2) zásady riadenia bezpečnosti prostredia cloudu BL5 I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL4 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL4 I I I 5) princípy korelácie bezpečnostných udalostí BL4 I I I 6) základné postupy pri spracovaní digitálnych stôp BL4 I I I 7) základy penetračného testovania BL3 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na kybernetickú bezpečnosť a ochranu I I I osobných údajov I I I 2) základy compliance v oblasti kybernetickej bezpečnosti BL3 I I I (právny rámec aspoň na úrovni zákona o ITVS, GDPR, I I I ePrivacy, ISO 20000) I I I 3) požiadavky právnych predpisov na bezpečnostnú BL6 I I I dokumentáciu a bezpečnostné politiky I I I 4) princípy posudzovania kybernetickej bezpečnosti BL5 I I I 5) politiky, procesy a postupy pre riadenie ľudských BL6 I I I zdrojov v organizácii I I I 6) systémy odbornej prípravy, princípy vzdelávacích BL6 I I I stratégií, procesov a postupov vzdelávania a zvyšovania I I I povedomia u dospelých v oblasti kybernetickej I I I bezpečnosti vrátane merania efektivity vzdelávania I I I 7) zásady a metódy tvorby učebných plánov, výuky BL6 I I I jednotlivcov a skupín I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL4* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL6 I I I reťazci I I I 10) metódy testovania a vyhodnocovania bezpečnosti systémov BL4 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I 1) strategické riadenie kybernetickej bezpečnosti organizácie I I I 2) vypracovanie a prezentácia bezpečnostných stratégií a konceptov I I I 3) implementácia a riadenie procesov kybernetickej bezpečnosti I I I podľa všeobecne záväzných právnych predpisov, bezpečnostnej I I I stratégie a ostatných interných riadiacich aktov I I I 4) zabezpečenie, vypracovanie, udržiavanie a aktualizácie I I I bezpečnostnej dokumentácie kybernetickej bezpečnosti a ďalších I I I interných riadiacich aktov vo vzťahu k bezpečnosti organizácie I I I 5) návrh požiadaviek na rozpočet a na iné zdroje súvisiace s I I I bezpečnostnými opatreniami a procesmi relevantnými z hľadiska I I I kybernetickej bezpečnosti vrátane riadenia nákladov a riadenia I I I investícií I I I 6) metodické usmerňovanie správcov a gestorov informačných I I I a komunikačných technológií, vlastníkov procesov, vlastníkov I I I aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov I I I vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie I I I 7) poskytovanie informácií bezpečnostnému výboru alebo štatutárnemu I I I orgánu o stave kybernetickej bezpečnosti v organizácii, I I I o závažných bezpečnostných rizikách, kybernetických I I I bezpečnostných incidentoch a významných bezpečnostných I I I udalostiach I I I 8) riadenie kybernetickej bezpečnosti vo vzťahu s dodávateľmi a pri I I I obstarávaní a vývoji softvéru a systémov I I I I I I Riadenie hrozieb a rizík I I I 1) implementácia a manažment procesov identifikácie, analýzy I I I a monitoringu bezpečnostných hrozieb a rizík I I I 2) posudzovanie hrozieb a rizík I I I 3) návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov I I I bezpečnostných udalostí I I I 4) zabezpečovanie procesov hodnotenia technických zraniteľností I I I systémov I I I 5) manažment procesov detekcie, riešenia, evidencie a prevencie I I I kybernetických bezpečnostných incidentov I I I 6) zabezpečenie funkčných plánov kontinuity a obnovy činností I I I organizácie I I I 7) koordinácia a riadenie procesov obnovy prevádzkových činnosti I I I (tzv. Business Continuity Management) vrátane riadenia procesov I I I plánovania obnovy systémov po havárii (tzv. Disaster Recovery I I I Planning) I I I I I I Aplikácia bezpečnostných opatrení I I I 1) riadenie návrhov, implementácie, zmien a optimalizácie I I I bezpečnostných riešení s víziou a konceptom ich bežného I I I prevádzkovania I I I 2) zabezpečovanie implementácie technických a organizačných I I I bezpečnostných opatrení I I I 3) riadenie bezpečnostnej architektúry I I I 4) predkladanie odborných stanovísk k novým zmenám v IT I I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I I I informačných aktív organizácie I I I 5) monitorovanie plnenia a efektivity bezpečnostných I I I mechanizmov a opatrení I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) manažment výkonu činností súvisiacich so zaručením I I I bezpečnosti informačných aktív v zmysle najlepšej praxe I I I 2) vedenie tímu zamestnancov útvaru informačnej I I I a kybernetickej bezpečnosti, ak je taký organizačný útvar I I I zriadený I I I 3) návrh a aplikácia metodík pre klasifikáciu informačných I I I aktív a kategorizáciu sietí a informačných systémov I I I 4) riadenie bežnej prevádzky technických bezpečnostných I I I opatrení I I I 5) zabezpečovanie udržateľnosti organizačných opatrení I I I vrátane vyspelosti bezpečnostných procesov I I I 6) zaistenie uplatňovania princípu oddelenia právomocí I I I a zodpovedností v celej organizačnej štruktúre organizácie I I I 7) základy projektového manažmentu I I I I I I Riadenie súladu I I I 1) riadenie procesov zaručenia súladu (Compliance I I I Management) v oblasti kybernetickej bezpečnosti I I I 2) zabezpečenie pravidelného preskúmavania stavu I I I kybernetickej a informačnej bezpečnosti I I I 3) vyhodnocovanie plnenia vnútorných predpisov súvisiacich I I I s riadením kybernetickej bezpečnosti I I I 4) poskytovanie súčinnosti internému a externému auditu I I I kybernetickej bezpečnosti I I I 5) navrhovanie metrík a kľúčových indikátorov pre sledovanie I I I vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík I I I 6) zabezpečovanie školení zamestnancov v oblasti I I I kybernetickej bezpečnosti I I I 7) zabezpečovanie kontinuálneho vzdelávania pre pracovné I I I roly relevantné z hľadiska kybernetickej bezpečnosti I I I 8) zabezpečovanie budovania bezpečnostného povedomia pre I I I oblasť informačnej a kybernetickej bezpečnosti a ochrany I I I osobných údajov I I I 9) spolupráca s orgánmi verejnej moci a orgánmi činnými I I I v trestnom konaní I I-------------I----------------------I----------------------I-----------------------I I Stupeň I Úplné stredné I Vysokoškolské I. I Vysokoškolské II. a I I vzdelania: I všeobecné alebo I stupňa I III. stupňa I I I úplné stredné I I I I I odborné I I I I-------------I----------------------I----------------------I-----------------------I I Odborná I - najmenej 7 rokov I - najmenej 5 rokov I - najmenej 3 roky I I prax: I praxe v oblasti I praxe v oblasti I praxe v oblasti I I I informačných I informačných I informačných I I I technológií I technológií I technológií I I I - z toho najmenej 5 I - z toho najmenej 3 I - z toho najmenej 1 I I I rokov praxe v I roky praxe v I rok praxe v I I I oblasti riadenia I oblasti riadenia I oblasti riadenia I I I IT služieb, I IT služieb, I IT služieb, I I I riadenia I riadenia I riadenia I I I informačnej I informačnej I informačnej I I I bezpečnosti, I bezpečnosti, I bezpečnosti, I I I riadenia rizík, I riadenia rizík, I riadenia rizík, I I I alebo architektúry I alebo architektúry I alebo architektúry I I I IT I IT I IT I I I - medzinárodný I - medzinárodný I - medzinárodný I I I certifikát sa I certifikát sa I certifikát sa I I I považuje za I považuje za I považuje za I I I započítateľnú I započítateľnú I započítateľnú I I I odbornú prax 1 rok I odbornú prax 1 rok I odbornú prax 1 rok I I-------------I----------------------I----------------------I-----------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) schopnosť riešiť konflikty I I I d) schopnosť poskytovať spätnú väzbu I I I e) schopnosť delegovať úlohy I I I f) schopnosť podporovať procesy vzdelávania a odovzdávania znalostí I I I g) schopnosť viesť pracovný tím I I I h) schopnosť organizovania a plánovania práce I I I i) analytické myslenie I I I j) strategické a koncepčné myslenie I I I k) tvorivosť (kreativita) I I I l) prezentačná zručnosť I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.6
Audítor kybernetickej bezpečnosti
I---------------I---------------------------------------------------------------------I I Rola: I Audítor kybernetickej bezpečnosti I I---------------I---------------------------------------------------------------------I I Vedomosti: I 1) procesy a systémy riadenia informačnej a kybernetickej BL6 I I I bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL6 I I I bezpečnosti I I I 3) zásady personálnej bezpečnosti BL6 I I I 4) zásady riadenia prístupov a identít BL6 I I I 5) spôsob používania kryptografických bezpečnostných BL6 I I I mechanizmov I I I 6) princípy testovania kybernetickej bezpečnosti BL6 I I I 7) zásady auditu kybernetickej bezpečnosti BL6 I I I 8) právne predpisy, požiadavky na súlad a normy vzťahujúce BL6 I I I sa na kybernetickú bezpečnosť I I I 9) právne predpisy a požiadavky na súlad vzťahujúce sa na BL6 I I I ochranu osobných údajov I I I 10) štandardy a zásady ochrany osobných údajov vrátane BL6 I I I metodických usmernení Úradu na ochranu osobných údajov I I I Slovenskej republiky I I I 11) procesy a metodiky riadenia rizík BL6 I I I 12) postupy analýzy rizík BL6 I I I 13) typické hrozby a postupy pre identifikáciu hrozieb BL6 I I I a zraniteľností I I I 14) bezpečnostné mechanizmy BL6 I I I 15) metodiky podnikovej architektúry BL6 I I I 16) procesy riešenia kybernetických bezpečnostných BL6 I I I incidentov I I I 17) princípy plánovania havarijnej obnovy prevádzky BL6 I I I 18) procesy riadenia kontinuity činností a princípov BL6 I I I plánovania havarijnej obnovy I I I 19) princípy logovania a bezpečnostného monitorovania BL6 I I I 20) zásady riadenia fyzickej a objektovej bezpečnosti BL6 I I I 21) bezpečnostné mechanizmy vo fyzickej a objektovej BL6 I I I bezpečnosti I I I 22) princípy riadenia služieb v oblasti informačných BL6 I I I technológií I I I 23) princípy riadenia nákladov a rozpočtových pravidiel BL6 I I I 24) princípy riadenia ľudských zdrojov BL6 I I I 25) koncepty počítačových sietí BL6 I I I 26) zásady riadenia projektov BL6 I I I 27) zásady riadenia dodávateľských služieb BL6 I I I 28) zásady navrhovania a vývoja aplikácií a informačných BL6 I I I systémov I I I 29) zásady obstarávania informačných systémov BL6 I I I 30) zásady aplikačnej bezpečnosti BL6 I I I 31) princípy a procesy auditovania BL6 I I I 32) technické vedomosti o auditovaných systémoch BL6 I I I 33) metódy posudzovania rizík dostatočné pre vyhodnotenie BL6 I I I rizík auditu a posúdenia hodnotenia rizík, kategorizácie I I I informačných systémov prevádzkovateľov I I---------------I---------------------------------------------------------------------I I Zručnosti: I 1) navrhovanie a uplatňovanie bezpečnostných stratégií a politík I I I 2) prioritizácia úloh a efektívne priraďovanie zdrojov I I I 3) posudzovanie dôkazov I I I 4) analýza rizík I I I 5) spracovanie úplnej a prehľadnej záverečnej správy o výsledkoch I I I auditu kybernetickej bezpečnosti I I I 6) analýza a hodnotenie bezpečnostných mechanizmov a riešení I I---------------I----------------------I----------------------I-----------------------I I Stupeň I Úplné stredné I Vysokoškolské I. I Vysokoškolské II. I I vzdelania: I všeobecné alebo I stupňa I a III. stupňa I I I úplné stredné I I I I I odborné I I I I---------------I----------------------I----------------------I-----------------------I I Odborná I - najmenej 10 rokov I - najmenej 7 rokov I - najmenej 5 rokov I I prax: I praxe v oblasti I praxe v oblasti I praxe v oblasti I I I informačných I informačných I informačných I I I technológií I technológií I technológií I I I - z toho najmenej 7 I - z toho najmenej 5 I - z toho najmenej 3 I I I rokov praxe v I rokov praxe v I roky praxe v I I I oblasti riadenia I oblasti riadenia I oblasti riadenia IT I I I IT služieb, I IT služieb, I služieb, riadenia I I I riadenia I riadenia I informačnej I I I informačnej I informačnej I bezpečnosti, I I I bezpečnosti, I bezpečnosti, I riadenia rizík, I I I riadenia rizík, I riadenia rizík, I alebo architektúry I I I alebo architektúry I alebo architektúry I IT alebo regulácie I I I IT I IT I kybernetickej I I I I I bezpečnosti na I I I I I ústrednom orgáne I I I I I štátnej správy pre I I I I I kybernetickú I I I I I bezpečnosť 1) I I---------------I----------------------I----------------------I-----------------------I I Špecifická I a) medzinárodný certifikát z oblasti auditu informačných systémov I I kvalifikácia: I alebo certifikát manažéra kybernetickej bezpečnosti v zmysle I I I zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, 2) I I I b) zoznam vykonaných auditov s uvedením kontaktu na overiteľnú I I I referenciu I I---------------I---------------------------------------------------------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) schopnosť poskytovať spätnú väzbu I I I d) schopnosť delegovať úlohy I I I e) schopnosť viesť pracovný tím I I I f) schopnosť organizovania a plánovania práce I I I g) analytické myslenie I I I h) tvorivosť (kreativita) I I I i) prezentačná zručnosť I I---------------I---------------------------------------------------------------------I
PRÍL.7
Tester kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Tester kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) zásady organizácie informačnej a kybernetickej BL3 I I I bezpečnosti I I I 2) terminológia a skratky v oblasti informačnej BL3 I I I a kybernetickej bezpečnosti I I I 3) princípy riadenia IT služieb, správy systémov a správy BL3 I I I počítačových sietí I I I 4) hodnotiace a validačné kritériá v oblasti kybernetickej BL3 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 5) zdroje, charakteristiky a použitie informačných aktív BL3 I I I organizácie I I I 6) princípy podnikovej architektúry, koncepcie bezpečnostnej BL3 I I I architektúry a referenčné modely podnikovej architektúry I I I (napr. TOGAF, Zachman, FEA atď.) I I I 7) koncepty, terminológia a princípy prevádzky BL3 I I I elektronických komunikačných systémov (počítačové I I I a telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 8) model OSI, mapovanie siete, topológia sietí, hlavné BL3 I I I sieťové protokoly a sieťové služby I I I 9) princípy sieťových zariadení (rozbočovače, prepínače, BL3 I I I smerovače, brány, firewall atď.) I I I 10) charakteristiky fyzických a virtuálnych nosičov údajov BL3 I I I 11) elektronické zariadenia (napr. počítačové systémy/ BL3 I I I komponenty, zariadenia na kontrolu prístupu, digitálne I I I fotoaparáty, digitálne skenery, pevné disky, pamäťové I I I karty, modemy, sieťové komponenty, sieťové zariadenia, I I I sieťové domáce ovládacie zariadenia, tlačiarne, I I I vymeniteľné úložné zariadenia, telefóny, faxy atď.) I I I 12) elektrotechnika aplikovaná na architektúru počítačov BL3 I I I (napr. základné dosky, procesory, čipy a iný počítačový I I I hardvér) I I I 13) koncepcia a mechanizmy zálohovania a obnovy dát BL3 I I I 14) kryptografické algoritmy BL3 I I I 15) kryptografické mechanizmy pre ochranu dôvernosti údajov BL3 I I I (napr. šifrovacie algoritmy a steganografia) I I I 16) kryptografické mechanizmy pre ochranu integrity BL3 I I I a nepopierateľnosti údajov I I I 17) metódy a politiky správy a štandardizácie údajov BL3 I I I 18) nové a rozvíjajúce sa informačné technológie BL3 I I I a technológie kybernetickej bezpečnosti I I I 19) princípy dolovania a ukladania údajov BL3 I I I 20) princípy elektronickej pošty, vyhľadávacích/analytických BL3 I I I techník, nástrojov a používania súborov cookie I I I 21) princípy webových služieb (napr. architektúra BL3 I I I orientovaná na služby, protokol SOAP a jazyk HTML) I I I 22) princípy zálohovania a obnovy dát BL3 I I I 23) programovacie rozhrania pre prístup k databázam BL3 I I I 24) šifrovacie algoritmy pre lokálne bezdrôtové siete BL3 I I I (WLAN) I I I 25) systémy riadenia bázy dát a ich správa, dopytovacie BL3 I I I jazyky, tabuľkové vzťahy I I I 26) štandardy a metodiky klasifikácie údajov založených na BL3 I I I citlivosti a iných rizikových faktoroch I I I 27) technológie filtrovania webového obsahu BL3 I I I 28) terminológia dátovej komunikácie (napr. sieťové BL3 I I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I I I vymeniteľné médiá) I I I 29) typy sieťovej komunikácie (napr. LAN, WAN, MAN, BL3 I I I WLAN, WWAN) I I I 30) typy webových stránok, správa, funkcie a systémy na BL3 I I I správu obsahu (CMS) I I I 31) XML schémy (Extensible Markup Language) BL3 I I I 32) koncepty kybernetických operácií, terminológia/slovník BL3 I I I (t.j. príprava prostredia, kybernetický útok, I I I kybernetická obrana), zásady, obmedzenia a účinky I I I 33) základy sieťovej a internetovej komunikácie (t.j. BL3 I I I zariadenia, konfigurácia zariadení hardvér, softvér, I I I aplikácie, porty, protokoly, adresovanie, sieťová I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 34) princípy zraniteľností bezdrôtových sietí BL3 I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL3 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL3 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL3 I I I 4) teória, koncepty a metódy systémového inžinierstva BL3 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL3 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL3 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL3 I I I inžinierstve (napr. modularizácia, vrstvenie, I I I abstrakcia, maskovanie, šifrovanie, pseudonymizácia, I I I minimalizácia spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL3 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL3 I I I 10) sieťové protokoly a adresárové služby BL3 I I I 11) architektúra operačných systémov (napr. riadenie BL3 I I I systémových procesov, štruktúra adresárov, inštalácia I I I a spúšťanie procesov a aplikácií) I I I 12) prevádzka webových stránok (napr. webové servery, BL3 I I I hosting, DNS, webové jazyky atď.) I I I 13) všeobecné koncepty operačných technológií a riadiacich BL3* I I I systémov (OT/ICS) I I I 14) posudzovanie sieťových útokov a vzťahu jednotlivých BL3 I I I typov sieťových útokov k hrozbám a zraniteľnostiam I I I 15) princípy a techniky etického hackingu BL3 I I I 16) princípy a zdroje získavania informácií BL3 I I I o zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 17) triedy a vektory útokov BL3 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL3 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL3 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL3 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL3 I I I systémov I I I 5) zásady personálnej bezpečnosti BL3 I I I 6) opatrenia týkajúce sa používania, spracovania, BL3 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL3 I I I 8) kryptografické bezpečnostné mechanizmy BL3 I I I 9) koncepcie a technológie vzdialeného prístupu BL3 I I I 10) virtualizačné technológie, vývoj a údržba virtuálnych BL3 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL3 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL3 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) znalosti o štádiách kybernetického útoku (napr. Prieskum, BL3 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 2) zásady určovania bezpečnostne relevantných zdrojov BL3 I I I informácií a princípy tvorby prípadov použitia I I I 3) princípy logovania a bezpečnostného monitorovania BL3 I I I 4) princípy korelácie bezpečnostných udalostí BL3 I I I 5) identifikácia digitálnych stôp a postupy pri ich BL3 I I I spracúvaní I I I 6) princípy, nástroje a techniky testovania prieniku BL3 I I I 7) analýza sieťového prenosu (nástroje, metodiky, procesy) BL3 I I I 8) bezdrôtové technológie (napr. celulárne, satelitné, GSM) BL3 I I I zahŕňajúce základnú štruktúru, architektúru a dizajn I I I moderných bezdrôtových komunikačných systémov I I I 9) charakteristiky komunikačných sietí (napr. kapacita, BL3 I I I funkčnosť, trasy, kritické uzly) I I I 10) forenzné súvislosti štruktúry a procesov operačného BL3 I I I systému I I I 11) koncepcia architektúry sietí vrátane topológie, BL3 I I I protokolov, komponentov a bezpečnostných princípov I I I 12) konfigurácia forenzných laboratórií a podporných BL3 I I I aplikácií (napr VMWare, Wireshark) I I I 13) mechanizmy zabezpečenia siete (napr. Host based IDS, BL3 I I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I I I 14) metódy a nástroje analýzy sieťového prenosu BL3 I I I 15) porty a služby Windows/Unix BL3 I I I 16) princípy a mechanizmy zabezpečenia siete (napr. BL3 I I I šifrovanie, brány firewall, autentifikácia, medové pasce, I I I ochrana perimetra) I I I 17) princípy hĺbkovej ochrany a architektúry sieťovej BL3 I I I bezpečnosti I I I 18) princípy sieťových demilitarizovaných zón BL3 I I I 19) princípy súborových systémov (napr. NTFS, FAT a iné) BL3 I I I 20) programy, úlohy a zodpovednosti a metódy reakcie na BL3 I I I incidenty v organizácii I I I 21) bezpečnostné zásady správy a údržby databázových BL3 I I I systémov I I I 22) zásady riadenia bezpečnosti prostredia cloudu BL3 I I I 23) základy digitálnej forenznej analýzy pri získavaní BL3 I I I použiteľných informácií I I I 24) zásady riadenia sieťových systémov, modely, metódy BL3 I I I (napr. monitorovanie výkonnosti systémov end-to-end) I I I 25) princípy zraniteľností bezdrôtových sietí BL3 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I - podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I I I I Riadenie hrozieb a rizík I I I a) posudzovanie hrozieb a rizík I I I b) hodnotenie technických zraniteľností systémov I I I c) detekcia, riešenie, evidencia a prevencia kybernetických I I I bezpečnostných incidentov I I I I I I Aplikácia bezpečnostných opatrení I I I a) návrhy zmien a integrácie bezpečnostných technológií a riešení I I I b) podpora riadenia bezpečnostnej architektúry I I I c) monitorovanie plnenia a efektivity bezpečnostných mechanizmov I I I a opatrení I I I I I I Výkon operatívnych bezpečnostných činností I I I a) výkon činností súvisiacich so zaručením bezpečnosti informačných I I I aktív v zmysle najlepšej praxe I I I b) prevádzka technických bezpečnostných opatrení I I I I I I Riadenie súladu I I I a) pravidelné preskúmavanie stavu kybernetickej a informačnej I I I bezpečnosti I I I b) poskytovanie súčinnosti internému a externému auditu informačnej I I I a kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Špecifické I a) analytické myslenie I I kľúčové I b) tvorivosť (kreativita) I I kompetencie I I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.8
Architekt kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Architekt kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL5 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL5 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej BL5 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL5 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL5 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) procesy riadenia kontinuity činností a plánovania BL6 I I I havarijnej obnovy prevádzky I I I 10) princípy podnikovej architektúry, koncepcie BL6 I I I bezpečnostnej architektúry a referenčné modely podnikovej I I I architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 11) koncepty, terminológia a princípy prevádzky BL6 I I I elektronických komunikačných systémov (počítačové a I I I telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 12) model OSI, mapovanie siete, topológia sietí, hlavné BL5 I I I sieťové protokoly a sieťové služby I I I 13) princípy sieťových zariadení (rozbočovače, prepínače, BL5 I I I smerovače, brány, firewall atď.) I I I 14) zásady riadenia dodávateľských služieb a obstarávania BL2 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I 15) charakteristiky fyzických a virtuálnych nosičov údajov BL5 I I I 16) elektronické zariadenia (napr. počítačové BL5 I I I systémy/komponenty, zariadenia na kontrolu prístupu, I I I digitálne fotoaparáty, digitálne skenery, pevné disky, I I I pamäťové karty, modemy, sieťové komponenty, sieťové I I I zariadenia, sieťové domáce ovládacie zariadenia, tlačiarne, I I I vymeniteľné úložné zariadenia, telefóny, faxy atď.) I I I 17) elektrotechnika aplikovaná na architektúru počítačov BL4 I I I (napr. základné dosky, procesory, čipy a iný počítačový I I I hardvér) I I I 18) koncepcia a mechanizmy zálohovania a obnovy dát BL6 I I I 19) kryptografické algoritmy BL5 I I I 20) kryptografické mechanizmy pre ochranu dôvernosti údajov BL5 I I I (napr. šifrovacie algoritmy a steganografia) I I I 21) kryptografické mechanizmy pre ochranu integrity BL5 I I I a nepopierateľnosti údajov I I I 22) metódy a politiky správy a štandardizácie údajov BL5 I I I 23) nové a rozvíjajúce sa informačné technológie BL6 I I I a technológie kybernetickej bezpečnosti I I I 24) princípy dolovania a ukladania údajov BL5 I I I 25) princípy elektronickej pošty, vyhľadávacích/analytických BL6 I I I techník, nástrojov a používania súborov cookie I I I 26) princípy webových služieb (napr. architektúra BL6 I I I orientovaná na služby, protokol SOAP a jazyk HTML) I I I 27) princípy zálohovania a obnovy dát BL6 I I I 28) programovacie rozhrania pre prístup k databázam BL4 I I I 29) šifrovacie algoritmy pre lokálne bezdrôtové siete BL5 I I I (WLAN) I I I 30) systémy riadenia bázy dát a ich správa, dopytovacie BL4 I I I jazyky, tabuľkové vzťahy I I I 31) štandardy a metodiky klasifikácie údajov založených na BL5 I I I citlivosti a iných rizikových faktoroch I I I 32) technológie filtrovania webového obsahu BL5 I I I 33) terminológia dátovej komunikácie (napr. sieťové BL6 I I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I I I vymeniteľné médiá) I I I 34) typy sieťovej komunikácie (napr LAN, WAN, MAN, BL6 I I I WLAN, WWAN) I I I 35) typy webových stránok, správa, funkcie a systémy na BL5 I I I správu obsahu (CMS) I I I 36) XML schémy (Extensible Markup Language) BL4 I I I 37) koncepty kybernetických operácií, terminológia/slovník BL5 I I I (t.j. príprava prostredia, kybernetický útok, I I I kybernetická obrana), zásady, obmedzenia a účinky I I I 38) základy sieťovej a internetovej komunikácie (t.j. BL5 I I I zariadenia, konfigurácia zariadení hardvér, softvér, I I I aplikácie, porty/protokoly, adresovanie, sieťová BL5 I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 39) princípy zraniteľností bezdrôtových sietí I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL3 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL6 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL6 I I I 4) teória, koncepty a metódy systémového inžinierstva BL6 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL6 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL5 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL6 I I I inžinierstve (napr. modularizácia, vrstvenie, abstrakcia, I I I maskovanie, šifrovanie, pseudonymizácia, minimalizácia I I I spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL6 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL5 I I I 10) sieťové protokoly a adresárové služby BL6 I I I 11) architektúra operačných systémov (napr. riadenie BL6 I I I systémových procesov, štruktúra adresárov, inštalácia I I I a spúšťanie procesov a aplikácií) I I I 12) prevádzka webových stránok (napr. webové servery, BL6 I I I hosting, DNS, webové jazyky atď.) I I I 13) všeobecné koncepty operačných technológií a riadiacich BL6* I I I systémov (OT/ICS) I I I 14) posudzovanie sieťových útokov a vzťahu jednotlivých BL5 I I I typov sieťových útokov k hrozbám a zraniteľnostiam I I I 15) princípy a techniky etického hackingu BL3 I I I 16) princípy a zdroje získavania informácií o BL5 I I I zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 17) triedy a vektory útokov BL6 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL6 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL6 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL6 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL6 I I I systémov I I I 5) zásady personálnej bezpečnosti BL6 I I I 6) opatrenia týkajúce sa používania, spracovania, BL6 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL6 I I I 8) kryptografické bezpečnostné mechanizmy BL6 I I I 9) koncepcie a technológie vzdialeného prístupu BL6 I I I 10) virtualizačné technológie, vývoj a údržba virtuálnych BL6 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL6 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL6 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) znalosti o štádiách kybernetického útoku (napr. prieskum, BL5 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 2) zásady určovania bezpečnostne relevantných zdrojov BL6 I I I informácií a princípy tvorby prípadov použitia I I I 3) princípy logovania a bezpečnostného monitorovania BL6 I I I 4) princípy korelácie bezpečnostných udalostí BL6 I I I 5) bezdrôtové technológie (napr. celulárne, satelitné, BL5 I I I GSM) zahŕňajúce základnú štruktúru, architektúru I I I a dizajn moderných bezdrôtových komunikačných systémov I I I 6) charakteristiky komunikačných sietí (napr. kapacita, BL2 I I I funkčnosť, trasy, kritické uzly) I I I 7) forenzné súvislosti štruktúry a procesov operačného BL2 I I I systému I I I 8) koncepcia architektúry sietí vrátane topológie, BL6 I I I protokolov, komponentov a bezpečnostných princípov I I I 9) mechanizmy zabezpečenia siete (napr. Host based IDS, BL6 I I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I I I 10) metódy a nástroje analýzy sieťového prenosu BL5 I I I 11) porty a služby Windows/Unix BL6 I I I 12) princípy a mechanizmy zabezpečenia siete (napr. BL6 I I I šifrovanie, brány firewall, autentifikácia, medové I I I pasce, ochrana perimetra) I I I 13) princípy hĺbkovej ochrany a architektúry sieťovej BL6 I I I bezpečnosti I I I 14) princípy súborových systémov (napr. NTFS, FAT a iné) BL6 I I I 15) programy, úlohy a zodpovednosti a metódy reakcie na BL6 I I I incidenty v organizácii I I I 16) bezpečnostné zásady správy a údržby databázových BL5 I I I systémov I I I 17) zásady riadenia bezpečnosti prostredia cloudu BL6 I I I 18) základy digitálnej forenznej analýzy pri získavaní BL4 I I I použiteľných informácií I I I 19) zásady riadenia sieťových systémov, modely, metódy BL5 I I I (napr. monitorovanie výkonnosti systémov end-to-end) I I I 20) princípy zraniteľností bezdrôtových sietí BL5 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL5 I I I vzťahujúce sa na kybernetickú bezpečnosť I I I 2) právne predpisy, požiadavky na súlad a technické normy BL5 I I I vzťahujúce sa na ochranu osobných údajov I I I 3) právne predpisy, požiadavky na súlad a technické normy BL5 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 4) požiadavky právnych predpisov na bezpečnostnú BL5 I I I dokumentáciu a bezpečnostné politiky I I I 5) princípy posudzovania kybernetickej bezpečnosti BL5 I I I 6) politiky, procesy a postupy pre riadenie ľudských zdrojov BL5 I I I v organizácii I I I 7) štandardy bezpečnosti platobných kariet (PCI) BL6* I I I 8) štandardy a procesy riadenia rizík v dodávateľskom BL5* I I I reťazci I I I 9) metódy testovania a vyhodnocovania bezpečnosti systémov BL5 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I a) podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I b) vypracovanie a prezentácia bezpečnostných stratégií a konceptov I I I c) metodické usmerňovanie správcov a gestorov informačných I I I a komunikačných technológií, vlastníkov procesov, vlastníkov I I I aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov I I I vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie I I I I I I Riadenie hrozieb a rizík I I I a) podpora implementácie procesov a nástrojov identifikácie, I I I analýzy a monitoringu bezpečnostných hrozieb a rizík I I I b) návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov I I I bezpečnostných udalostí I I I c) hodnotenie technických zraniteľností systémov I I I I I I Aplikácia bezpečnostných opatrení I I I a) návrhy implementácie, zmien a optimalizácie bezpečnostných I I I technológií a riešení I I I b) podpora riadenia bezpečnostnej architektúry I I I c) predkladanie odborných stanovísk k novým zmenám v IT I I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I I I informačných aktív organizácie I I I I I I I I I Výkon operatívnych bezpečnostných činností I I I a) výkon činností súvisiacich so zaručením bezpečnosti informačných I I I aktív v zmysle najlepšej praxe I I I b) aplikácia metodík pre klasifikáciu informačných aktív I I I a kategorizáciu sietí a informačných systémov I I I c) riadenie projektov v kybernetickej bezpečnosti I I I I I I Riadenie súladu I I I - budovanie bezpečnostného povedomia pre oblasť informačnej I I I a kybernetickej bezpečnosti a ochrany osobných údajov I I-------------I----------------------I----------------------I-----------------------I I Stupeň I Úplné stredné I Vysokoškolské I. I Vysokoškolské II. a I I vzdelania: I všeobecné alebo I stupňa I III. stupňa I I I úplné stredné I I I I I odborné I I I I-------------I----------------------I----------------------I-----------------------I I Odborná I - najmenej 3 roky I - najmenej 2 roky I - najmenej 1 rok I I prax: I praxe v oblasti I praxe v oblasti I praxe v oblasti I I I informačných I informačných I informačných I I I technológií I technológií I technológií I I-------------I----------------------I----------------------I-----------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) analytické myslenie I I I d) tvorivosť (kreativita) I I I e) prezentačná zručnosť I I I f) strategické a koncepčné myslenie I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.9
Špecialista riadenia rizík
I-------------I---------------------------------------------------------------------I I Rola: I Špecialista riadenia rizík I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL4 I I I a kybernetickej bezpečnosti, vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL5 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej BL5 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL5 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL5 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) základy Business Continuity Managementu (BCM) BL3 I I I 10) poznanie základných procesov pri riadení a obstarávaní BL3 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I 11) nové a rozvíjajúce sa informačné technológie BL4 I I I a technológie kybernetickej bezpečnosti I I I 12) štandardy a metodiky klasifikácie údajov založených na BL5 I I I citlivosti a iných rizikových faktoroch I I I 13) terminológia dátovej komunikácie (napr. sieťové BL4 I I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I I I vymeniteľné médiá) I I I 14) typy sieťovej komunikácie (napr LAN, WAN, MAN, BL4 I I I WLAN, WWAN) I I I 15) typy webových stránok, správa, funkcie a systémy na BL4 I I I správu obsahu (CMS) I I I 16) základy sieťovej a internetovej komunikácie (t.j. BL4 I I I zariadenia, konfigurácia zariadení hardvér, softvér I I I aplikácie, porty/protokoly, adresovanie, sieťová I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 17) princípy zraniteľností bezdrôtových sietí BL4 I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL6 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL6 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL4 I I I 4) teória, koncepty a metódy systémového inžinierstva BL4 I I I 5) bezpečnostné koncepty v operačných systémoch BL3 I I I 6) všeobecné koncepty operačných technológií a riadiacich BL4* I I I systémov (OT/ICS) I I I 7) základné postupy etického hackingu BL3 I I I 8) princípy a zdroje získavania informácií o BL5 I I I zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 9) triedy a vektory útokov BL4 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL6 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL3 I I I 3) základné princípy bezpečnostných mechanizmov. BL3 I I I 4) zásady personálnej bezpečnosti BL5 I I I 5) opatrenia týkajúce sa používania, spracovania, BL5 I I I uchovávania a prenosu údajov I I I 6) zásady a princípy riadenia identít a prístupov BL4 I I I 7) kryptografické bezpečnostné mechanizmy BL4 I I I 8) koncepcie a technológie vzdialeného prístupu BL4 I I I 9) virtualizačné technológie, vývoj a údržba virtuálnych BL4 I I I strojov I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL4 I I I 2) znalosti o štádiách kybernetického útoku (napr. Prieskum, BL4 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL5 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL4 I I I 5) princípy korelácie bezpečnostných udalostí BL4 I I I 6) princípy a mechanizmy zabezpečenia siete (napr. BL4 I I I šifrovanie, brány firewall, autentifikácia, medové I I I pasce, ochrana perimetra) I I I 7) princípy hĺbkovej ochrany a architektúry sieťovej BL3 I I I bezpečnosti I I I 8) princípy sieťových demilitarizovaných zón BL3 I I I 9) princípy súborových systémov (napr. NTFS, FAT a iné) BL3 I I I 10) programy, úlohy a zodpovednosti a metódy reakcie na BL5 I I I incidenty v organizácii I I I 11) zásady riadenia bezpečnosti prostredia cloudu BL3 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na kybernetickú bezpečnosť a ochranu I I I osobných údajov I I I 2) požiadavky právnych predpisov na bezpečnostnú BL6 I I I dokumentáciu a bezpečnostné politiky I I I 3) princípy posudzovania kybernetickej bezpečnosti BL6 I I I 4) politiky, procesy a postupy pre riadenie ľudských zdrojov BL5 I I I v organizácii I I I 5) štandardy bezpečnosti platobných kariet (PCI) BL3* I I I 6) štandardy a procesy riadenia rizík v dodávateľskom BL6 I I I reťazci I I I 7) metódy testovania a vyhodnocovania bezpečnosti systémov BL3 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I - podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I I I I Riadenie hrozieb a rizík I I I a) implementácia procesov a nástrojov identifikácie, analýzy I I I a monitoringu bezpečnostných hrozieb a rizík I I I b) posudzovanie hrozieb a rizík I I I c) návrh opatrení na ošetrovanie rizík I I I d) účasť v procesoch obnovy prevádzkových činnosti (tzv. Business I I I Continuity Management) vrátane účasti v riadení procesov I I I plánovania obnovy systémov po havárii (tzv. Disaster Recovery I I I Planning) I I I I I I Aplikácia bezpečnostných opatrení I I I a) podpora riadenia bezpečnostnej architektúry I I I b) monitorovanie plnenia a efektivity bezpečnostných mechanizmov I I I a opatrení I I I I I I Výkon operatívnych bezpečnostných činností I I I a) výkon činností súvisiacich so zaručením bezpečnosti informačných I I I aktív v zmysle najlepšej praxe I I I b) aplikácia metodík pre klasifikáciu informačných aktív I I I a kategorizáciu sietí a informačných systémov I I I I I I Riadenie súladu I I I a) pravidelné preskúmavanie stavu kybernetickej a informačnej I I I bezpečnosti I I I b) poskytovanie súčinnosti internému a externému auditu I I I informačnej a kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) analytické myslenie I I I d) prezentačná zručnosť I I I e) schopnosť organizovania a plánovania práce I I I f) strategické a koncepčné myslenie I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.10
Špecialista pre analýzu digitálnych stôp
I-------------I---------------------------------------------------------------------I
I Rola: I Špecialista pre analýzu digitálnych stôp I
I-------------I---------------------------------------------------------------------I
I Vedomosti: I Riadenie bezpečnosti I
I I 1) zásady organizácie informačnej a kybernetickej BL4 I
I I bezpečnosti I
I I 2) terminológia a skratky v oblasti informačnej a BL4 I
I I kybernetickej bezpečnosti I
I I 3) princípy riadenia IT služieb, správy systémov a správy BL4 I
I I počítačových sietí I
I I 4) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I
I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I
I I 5) koncepty, terminológia a princípy prevádzky BL6 I
I I elektronických komunikačných systémov (počítačové a I
I I telefónne siete, satelitné, optické, bezdrôtové atď.) I
I I 6) model OSI, mapovanie siete, topológia sietí, hlavné BL6 I
I I sieťové protokoly a sieťové služby I
I I 7) princípy sieťových zariadení (rozbočovače, prepínače, BL6 I
I I smerovače, brány, firewall atď.) I
I I 8) charakteristiky fyzických a virtuálnych nosičov údajov BL6 I
I I 9) elektronické zariadenia (napr. počítačové BL6 I
I I systémy/komponenty, zariadenia na kontrolu prístupu, I
I I digitálne fotoaparáty, digitálne skenery, pevné disky, I
I I pamäťové karty, modemy, sieťové komponenty, sieťové I
I I zariadenia, sieťové domáce ovládacie zariadenia, tlačiarne, I
I I vymeniteľné úložné zariadenia, telefóny, faxy atď.) I
I I 10) elektrotechnika aplikovaná na architektúru počítačov BL6 I
I I (napr. základné dosky, procesory, čipy a iný počítačový I
I I hardvér) I
I I 11) koncepcia a mechanizmy zálohovania a obnovy dát BL6 I
I I 12) kryptografické algoritmy BL5 I
I I 13) kryptografické mechanizmy pre ochranu dôvernosti údajov BL5 I
I I (napr. šifrovacie algoritmy a steganografia) I
I I 14) kryptografické mechanizmy pre ochranu integrity BL5 I
I I a nepopierateľnosti údajov I
I I 15) metódy a politiky správy a štandardizácie údajov BL6 I
I I 16) nové a rozvíjajúce sa informačné technológie BL6 I
I I a technológie kybernetickej bezpečnosti I
I I 17) princípy dolovania a ukladania údajov BL6 I
I I 18) princípy elektronickej pošty, vyhľadávacích/analytických BL6 I
I I techník, nástrojov a používania súborov cookie I
I I 19) princípy webových služieb (napr. architektúra BL6 I
I I orientovaná na služby, protokol SOAP a jazyk HTML) I
I I 20) princípy zálohovania a obnovy dát BL6 I
I I 21) programovacie rozhrania pre prístup k databázam BL5 I
I I 22) šifrovacie algoritmy pre lokálne bezdrôtové siete (WLAN) BL5 I
I I 23) systémy riadenia bázy dát a ich správa, dopytovacie BL5 I
I I jazyky, tabuľkové vzťahy I
I I 24) štandardy a metodiky klasifikácie údajov založených na BL5 I
I I citlivosti a iných rizikových faktoroch I
I I 25) technológie filtrovania webového obsahu BL5 I
I I 26) terminológia dátovej komunikácie (napr. sieťové BL6 I
I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I
I I vymeniteľné médiá) I
I I 27) typy sieťovej komunikácie (napr LAN, WAN, MAN, BL6 I
I I WLAN, WWAN) I
I I 28) typy webových stránok, správa, funkcie a systémy na BL5 I
I I správu obsahu (CMS) I
I I 29) XML schémy (Extensible Markup Language) BL5 I
I I 30) koncepty kybernetických operácií, terminológia/slovník BL6 I
I I (t.j. príprava prostredia, kybernetický útok, I
I I kybernetická obrana), zásady, obmedzenia a účinky I
I I 31) základy sieťovej a internetovej komunikácie (t.j. BL6 I
I I zariadenia, konfigurácia zariadení hardvér, softvér, I
I I aplikácie, porty/protokoly, adresovanie, sieťová I
I I architektúra a infraštruktúra, smerovanie, operačné I
I I systémy atď.) I
I I 32) princípy zraniteľností bezdrôtových sietí BL6 I
I I I
I I Riadenie hrozieb a rizík I
I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL5 I
I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL5 I
I I a metódy ich identifikácie I
I I 3) zásady aplikačnej bezpečnosti BL5 I
I I 4) teória, koncepty a metódy systémového inžinierstva BL5 I
I I 5) bezpečnostné koncepty v operačných systémoch BL5 I
I I 6) bezpečnostné mechanizmy a metódy v softvérovom BL5 I
I I inžinierstve (napr. modularizácia, vrstvenie, abstrakcia, I
I I maskovanie, šifrovanie, pseudonymizácia, minimalizácia I
I I spracúvania atď.) I
I I 7) techniky a metódy riadenia konfigurácií a vplyv BL6 I
I I konfigurácií na bezpečnosť I
I I 8) nástroje na posudzovanie zraniteľností BL6 I
I I 9) sieťové protokoly a adresárové služby BL6 I
I I 10) architektúra operačných systémov (napr. riadenie BL6 I
I I systémových procesov, štruktúra adresárov, inštalácia I
I I a spúšťanie procesov a aplikácií) I
I I 11) prevádzka webových stránok (napr. webové servery, BL6 I
I I hosting, DNS, webové jazyky atď.) I
I I 12) všeobecné koncepty operačných technológií a riadiacich BL5* I
I I systémov (OT/ICS) I
I I 13) posudzovanie sieťových útokov a vzťahu jednotlivých BL6 I
I I typov sieťových útokov k hrozbám a zraniteľnostiam I
I I 14) princípy a techniky etického hackingu BL5 I
I I 15) princípy a zdroje získavania informácií o BL6 I
I I zraniteľnostiach (napr. varovania, rady, bulletiny) I
I I 16) triedy a vektory útokov BL6 I
I I I
I I Aplikácia bezpečnostných opatrení I
I I 1) bezpečnostné mechanizmy a spôsob ich implementácie BL6 I
I I 2) opatrenia týkajúce sa používania, spracovania, BL6 I
I I uchovávania a prenosu údajov I
I I 3) zásady a princípy riadenia identít a prístupov BL6 I
I I 4) koncepcie a technológie vzdialeného prístupu BL6 I
I I 5) virtualizačné technológie, vývoj a údržba virtuálnych BL6 I
I I strojov I
I I 6) zabezpečenie virtuálnych privátnych sietí (VPN) BL6 I
I I 7) techniky a metódy správy systémov a hardeningu systémov BL6 I
I I I
I I Výkon operatívnych bezpečnostných činností I
I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL6 I
I I 2) znalosti o štádiách kybernetického útoku (napr. Prieskum, BL6 I
I I skenovanie, získanie prístupu, eskalácia oprávnení, I
I I využitie, zahladenie stôp) I
I I 3) zásady určovania bezpečnostne relevantných zdrojov BL6 I
I I informácií a princípy tvorby prípadov použitia I
I I 4) princípy logovania a bezpečnostného monitorovania BL6 I
I I 5) princípy korelácie bezpečnostných udalostí BL6 I
I I 6) identifikácia digitálnych stôp a postupy pri ich BL6 I
I I spracúvaní I
I I 7) princípy, nástroje a techniky testovania prieniku BL6 I
I I 8) analýza sieťového prenosu (nástroje, metodiky, procesy) BL6 I
I I 9) bezdrôtové technológie (napr. celulárne, satelitné, GSM) BL5 I
I I zahŕňajúce základnú štruktúru, architektúru a dizajn I
I I moderných bezdrôtových komunikačných systémov I
I I 10) charakteristiky komunikačných sietí (napr. kapacita, BL6 I
I I funkčnosť, trasy, kritické uzly) I
I I 11) forenzné súvislosti štruktúry a procesov operačného BL6 I
I I systému I
I I 12) koncepcia architektúry sietí vrátane topológie, BL6 I
I I protokolov, komponentov a bezpečnostných princípov I
I I 13) konfigurácia forenzných laboratórií a podporných BL6 I
I I aplikácií (napr VMWare, Wireshark) I
I I 14) mechanizmy zabezpečenia siete (napr. Host based IDS, BL6 I
I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I
I I 15) metódy a nástroje analýzy sieťového prenosu BL6 I
I I 16) porty a služby Windows/Unix BL6 I
I I 17) princípy a mechanizmy zabezpečenia siete (napr. BL6 I
I I šifrovanie, brány firewall, autentifikácia, medové pasce, I
I I ochrana perimetra) I
I I 18) princípy hĺbkovej ochrany a architektúry sieťovej BL6 I
I I bezpečnosti I
I I 19) princípy sieťových demilitarizovaných zón BL6 I
I I 20) princípy súborových systémov (napr. NTFS, FAT a iné) BL6 I
I I 21) programy, úlohy a zodpovednosti a metódy reakcie na BL6 I
I I incidenty v organizácii I
I I 22) bezpečnostné zásady správy a údržby databázových BL6 I
I I systémov I
I I 23) zásady riadenia bezpečnosti prostredia cloudu BL6 I
I I 24) základy digitálnej forenznej analýzy pri získavaní BL6 I
I I použiteľných informácií I
I I 25) princípy zraniteľností bezdrôtových sietí BL5 I
I I I
I I Riadenie súladu I
I I 1) právne predpisy, požiadavky na súlad a technické normy BL3 I
I I vzťahujúce sa na kybernetickú bezpečnosť I
I I 2) právne predpisy, požiadavky na súlad a technické normy BL3 I
I I vzťahujúce sa na ochranu osobných údajov I
I I 3) právne predpisy, požiadavky na súlad a technické normy BL3 I
I I vzťahujúce sa na prevádzku informačných a komunikačných I
I I technológií I
I I 4) požiadavky právnych predpisov na bezpečnostnú BL3 I
I I dokumentáciu a bezpečnostné politiky I
I I 5) princípy posudzovania kybernetickej bezpečnosti BL5 I
I I 6) politiky, procesy a postupy pre riadenie ľudských zdrojov BL4 I
I I v organizácii I
I I 7) štandardy bezpečnosti platobných kariet (PCI) BL5* I
I I 8) metódy testovania a vyhodnocovania bezpečnosti systémov BL5 I
I-------------I---------------------------------------------------------------------I
I Zručnosti: I Riadenie bezpečnosti I
I I - podpora riadenia informačnej a kybernetickej bezpečnosti I
I I organizácie I
I I I
I I Riadenie hrozieb a rizík I
I I a) posudzovanie hrozieb a rizík I
I I b) hodnotenie technických zraniteľností systémov I
I I c) detekcia, riešenie, evidencia a prevencia kybernetických I
I I bezpečnostných incidentov I
I I I
I I Aplikácia bezpečnostných opatrení I
I I - predkladanie odborných stanovísk k novým zmenám v IT I
I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I
I I informačných aktív organizácie I
I I I
I I Výkon operatívnych bezpečnostných činností I
I I - výkon činností súvisiacich so zaručením bezpečnosti informačných I
I I aktív v zmysle najlepšej praxe I
I I I
I I Riadenie súladu I
I I a) poskytovanie súčinnosti internému a externému auditu informačnej I
I I a kybernetickej bezpečnosti I
I I b) spolupráca s orgánmi verejnej moci a orgánmi činnými v I
I I trestnom konaní I
I-------------I---------------------------------------------------------------------I
I Špecifické I a) schopnosť myslieť a konať v súvislostiach I
I kľúčové I b) analytické myslenie I
I kompetencie I c) tvorivosť (kreativita) I
I I d) prezentačná zručnosť I
I-------------I---------------------------------------------------------------------I
Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v
kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v
konkrétnom odvetví.
PRÍL.11
Špecialista pre riadenie súladu
I-------------I---------------------------------------------------------------------I I Rola: I Špecialista pre riadenie súladu I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL5 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL5 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej a BL5 I I I kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL4 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL5 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL5 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) procesy riadenia kontinuity činností a plánovania BL4 I I I havarijnej obnovy prevádzky I I I 10) koncepty, terminológia a princípy prevádzky BL3 I I I elektronických komunikačných systémov (počítačové a I I I telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 11) kryptografické mechanizmy pre ochranu dôvernosti údajov BL3 I I I (napr. šifrovacie algoritmy a steganografia) I I I 12) kryptografické mechanizmy pre ochranu integrity a BL3 I I I nepopierateľnosti údajov I I I 13) nové a rozvíjajúce sa informačné technológie a BL3 I I I technológie kybernetickej bezpečnosti I I I 14) princípy zálohovania a obnovy dát BL6 I I I 15) štandardy a metodiky klasifikácie údajov založených na BL5 I I I citlivosti a iných rizikových faktoroch I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL4 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL3 I I I a metódy ich identifikácie I I I 3) všeobecné koncepty operačných technológií a riadiacich BL3* I I I systémov (OT/ICS) I I I 4) princípy a zdroje získavania informácií o BL3 I I I zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 5) triedy a vektory útokov BL3 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL3 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL3 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL3 I I I bezpečnosti I I I 4) zásady personálnej bezpečnosti BL3 I I I 5) opatrenia týkajúce sa používania, spracovania, BL3 I I I uchovávania a prenosu údajov I I I 6) zásady a princípy riadenia identít a prístupov BL3 I I I 7) kryptografické bezpečnostné mechanizmy BL3 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečn ostných incidentov BL5 I I I 2) znalosti o štádiách kybernetického útok u (napr. Prieskum, BL4 I I I skenovanie, získanie prístupu, eskalácia o právnení, I I I využitie, zahladenie stôp) I I I 3) princípy logovania a bezpečnostného mon itorovania BL3 I I I 4) princípy a mechanizmy zabezpečenia siete (napr. BL3 I I I šifrovanie, brány firewall, autentifikácia, medové pasce, I I I ochrana perimetra) I I I 5) programy, úlohy a zodpovednosti a metódy reakcie na BL5 I I I incidenty v organizácii I I I 6) zásady riadenia bezpečnosti prostredia cloudu BL3 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na kybernetickú bezpečnosť I I I 2) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na ochranu osobných údajov I I I 3) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 4) požiadavky právnych predpisov na bezpečnostnú BL6 I I I dokumentáciu a bezpečnostné politiky I I I 5) princípy posudzovania kybernetickej bezpečnosti BL4 I I I 6) politiky, procesy a postupy pre riadenie ľudských zdrojov BL6 I I I v organizácii I I I 7) zásady a metódy tvorby učebných plánov, výuky BL5 I I I jednotlivcov a skupín I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL6* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL5 I I I reťazci I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I a) podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I b) vypracovanie a prezentácia bezpečnostných stratégií a konceptov I I I c) implementácia procesov informačnej a kybernetickej bezpečnosti I I I podľa všeobecne záväzných právnych predpisov, bezpečnostnej I I I stratégie a ostatných interných riadiacich aktov I I I d) zabezpečenie, vypracovanie, udržiavanie a aktualizácie I I I bezpečnostnej dokumentácie informačnej a kybernetickej I I I bezpečnosti a ďalších interných riadiacich aktov vo vzťahu I I I k bezpečnosti organizácie I I I e) metodické usmerňovanie správcov a gestorov informačných I I I a komunikačných technológií, vlastníkov procesov, vlastníkov I I I aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov I I I vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie I I I f) riadenie informačnej a kybernetickej bezpečnosti vo vzťahu I I I s dodávateľmi a pri zaobstarávaní, projektovaní a vývoji I I I softvéru a systémov I I I g) správa bezpečnosti informačných aktív organizácie I I I I I I Riadenie hrozieb a rizík I I I a) návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov I I I bezpečnostných udalostí I I I b) evidencia a prevencia kybernetických bezpečnostných incidentov I I I I I I Aplikácia bezpečnostných opatrení I I I a) návrhy zmien a integrácie bezpečnostných technológií a riešení I I I b) podpora riadenia bezpečnostnej architektúry I I I c) predkladanie odborných stanovísk k novým zmenám v IT I I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I I I informačných aktív organizácie I I I I I I Výkon operatívnych bezpečnostných činností I I I a) výkon činností súvisiacich so zaručením bezpečnosti informačných I I I aktív v zmysle najlepšej praxe I I I b) aplikácia metodík pre klasifikáciu informačných aktív I I I a kategorizáciu sietí a informačných systémov I I I c) zabezpečovanie udržateľnosti organizačných opatrení vrátane I I I vyspelosti bezpečnostných procesov I I I I I I Riadenie súladu I I I a) pravidelné preskúmavanie stavu kybernetickej a informačnej I I I bezpečnosti I I I b) poskytovanie súčinnosti internému a externému auditu I I I informačnej a kybernetickej bezpečnosti I I I c) budovanie bezpečnostného povedomia pre oblasť informačnej I I I a kybernetickej bezpečnosti a ochrany osobných údajov I I I d) spolupráca s orgánmi verejnej moci a orgánmi činnými I I I v trestnom konaní I I-------------I---------------------------------------------------------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) analytické myslenie I I I d) prezentačná zručnosť I I I e) schopnosť podporovať procesy vzdelávania a odovzdávania znalostí I I I f) schopnosť organizovania a plánovania práce I I I g) strategické a koncepčné myslenie I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.12
Špecialista pre riešenie kybernetických incidentov
I-------------I---------------------------------------------------------------------I I Rola: I Špecialista pre riešenie kybernetických incidentov I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL2 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL2 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej BL6 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL6 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL6 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) procesy riadenia kontinuity činností a plánovania BL5 I I I havarijnej obnovy prevádzky I I I 10) princípy podnikovej architektúry, koncepcie BL4 I I I bezpečnostnej architektúry a referenčné modely podnikovej I I I architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 11) koncepty, terminológia a princípy prevádzky BL5 I I I elektronických komunikačných systémov (počítačové a I I I telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 12) model OSI, mapovanie siete, topológia sietí, hlavné BL5 I I I sieťové protokoly a sieťové služby I I I 13) princípy sieťových zariadení (rozbočovače, prepínače, BL6 I I I smerovače, brány, firewall atď.) I I I 14) zásady riadenia dodávateľských služieb a obstarávania BL5 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I 15) charakteristiky fyzických a virtuálnych nosičov údajov BL5 I I I 16) elektronické zariadenia (napr. počítačové BL6 I I I systémy/komponenty, zariadenia na kontrolu prístupu, I I I digitálne fotoaparáty, digitálne skenery, pevné disky, I I I pamäťové karty, modemy, sieťové komponenty, sieťové I I I zariadenia, sieťové domáce ovládacie zariadenia, tlačiarne, I I I vymeniteľné úložné zariadenia, telefóny, faxy atď.) I I I 17) elektrotechnika aplikovaná na architektúru počítačov BL5 I I I (napr. základné dosky, procesory, čipy a iný počítačový I I I hardvér) I I I 18) koncepcia a mechanizmy zálohovania a obnovy dát BL6 I I I 19) kryptografické algoritmy BL5 I I I 20) kryptografické mechanizmy pre ochranu dôvernosti údajov BL5 I I I (napr. šifrovacie algoritmy a steganografia) I I I 21) kryptografické mechanizmy pre ochranu integrity BL5 I I I a nepopierateľnosti údajov I I I 22) metódy a politiky správy a štandardizácie údajov BL6 I I I 23) nové a rozvíjajúce sa informačné technológie BL6 I I I a technológie kybernetickej bezpečnosti I I I 24) princípy dolovania a ukladania údajov BL6 I I I 25) princípy elektronickej pošty, vyhľadávacích/analytických BL6 I I I techník, nástrojov a používania súborov cookie I I I 26) princípy webových služieb (napr. architektúra BL6 I I I orientovaná na služby, protokol SOAP a jazyk HTML) I I I 27) princípy zálohovania a obnovy dát BL6 I I I 28) programovacie rozhrania pre prístup k databázam BL5 I I I 29) šifrovacie algoritmy pre lokálne bezdrôtové siete BL5 I I I (WLAN) I I I 30) systémy riadenia bázy dát a ich správa, dopytovacie BL5 I I I jazyky, tabulkové vzťahy I I I 31) štandardy a metodiky klasifikácie údajov založených na BL4 I I I citlivosti a iných rizikových faktoroch I I I 32) technológie filtrovania webového obsahu BL5 I I I 33) terminológia dátovej komunikácie (napr. sieťové BL6 I I I protokoly, Ethernet, IP, šifrovanie, optické zariadenia, I I I vymeniteľné médiá) I I I 34) typy sieťovej komunikácie (napr LAN, WAN, MAN, BL6 I I I WLAN, WWAN) I I I 35) typy webových stránok, správa, funkcie a systémy na BL5 I I I správu obsahu (CMS) I I I 36) XML schémy (Extensible Markup Language) BL5 I I I 37) koncepty kybernetických operácií, terminológia/slovník BL6 I I I (t.j. príprava prostredia, kybernetický útok, I I I kybernetická obrana), zásady, obmedzenia a účinky I I I 38) základy sieťovej a internetovej komunikácie (t.j. BL6 I I I zariadenia, konfigurácia zariadení hardvér, softvér, I I I aplikácie, porty/protokoly, adresovanie, sieťová I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 39) princípy zraniteľností bezdrôtových sietí BL6 I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL5 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL6 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL6 I I I 4) teória, koncepty a metódy systémového inžinierstva BL5 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL4 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL6 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL5 I I I inžinierstve (napr. modularizácia, vrstvenie, abstrakcia, I I I maskovanie, šifrovanie, pseudonymizácia, minimalizácia I I I spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL6 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL6 I I I 10) sieťové protokoly a adresárové služby BL6 I I I 11) architektúra operačných systémov (napr. riadenie BL6 I I I systémových procesov, štruktúra adresárov, inštalácia a I I I spúšťanie procesov a aplikácií) I I I 12) prevádzka webových stránok (napr. webové servery, BL6 I I I hosting, DNS, webové jazyky atď.) I I I 13) všeobecné koncepty operačných technológií a riadiacich BL6* I I I systémov (OT/ICS) I I I 14) posudzovanie sieťových útokov a vzťahu jednotlivých BL6 I I I typov sieťových útokov k hrozbám a zraniteľnostiam I I I 15) princípy a techniky etického hackingu BL6 I I I 16) princípy a zdroje získavania informácií o BL6 I I I zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 17) triedy a vektory útokov BL6 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL6 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL6 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL6 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL5 I I I systémov I I I 5) zásady personálnej bezpečnosti BL6 I I I 6) opatrenia týkajúce sa používania, spracovania, BL6 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL6 I I I 8) kryptografické bezpečnostné mechanizmy BL5 I I I 9) koncepcie a technológie vzdialeného prístupu BL5 I I I 10) virtualizačné technológie, vývoj a údržba virtuálnych BL6 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL6 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL6 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL6 I I I 2) znalosti o štádiách kybernetického útoku (napr. prieskum, BL6 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL6 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL6 I I I 5) princípy korelácie bezpečnostných udalostí BL6 I I I 6) identifikácia digitálnych stôp a postupy pri ich BL6 I I I spracúvaní I I I 7) princípy, nástroje a techniky testovania prieniku BL6 I I I 8) analýza sieťového prenosu (nástroje, metodiky, procesy) BL6 I I I 9) bezdrôtové technológie (napr. celulárne, satelitné, GSM) BL6 I I I zahŕňajúce základnú štruktúru, architektúru a dizajn I I I moderných bezdrôtových komunikačných systémov I I I 10) charakteristiky komunikačných sietí (napr. kapacita, BL6 I I I funkčnosť, trasy, kritické uzly) I I I 11) forenzné súvislosti štruktúry a procesov operačného BL6 I I I systému I I I 12) koncepcia architektúry sietí vrátane topológie, BL6 I I I protokolov, komponentov a bezpečnostných princípov I I I 13) konfigurácia forenzných laboratórií a podporných BL6 I I I aplikácií (napr VMWare, Wireshark) I I I 14) mechanizmy zabezpečenia siete (napr. Host based IDS, BL6 I I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I I I 15) metódy a nástroje analýzy sieťového prenosu BL6 I I I 16) porty a služby Windows/Unix BL6 I I I 17) princípy a mechanizmy zabezpečenia siete (napr. BL6 I I I šifrovanie, brány firewall, autentifikácia, medové I I I pasce, ochrana perimetra) I I I 18) princípy hĺbkovej ochrany a architektúry sieťovej BL6 I I I bezpečnosti I I I 19) princípy sieťových demilitarizovaných zón BL6 I I I 20) princípy súborových systémov (napr. NTFS, FAT a iné) BL6 I I I 21) programy, úlohy a zodpovednosti a metódy reakcie na BL6 I I I incidenty v organizácii I I I 22) bezpečnostné zásady správy a údržby databázových BL5 I I I systémov I I I 23) zásady riadenia bezpečnosti prostredia cloudu BL6 I I I 24) základy digitálnej forenznej analýzy pri získavaní BL6 I I I použiteľných informácií I I I 25) zásady riadenia sieťových systémov, modely, metódy BL5 I I I (napr. monitorovanie výkonnosti systémov end-to-end) I I I 26) princípy zraniteľností bezdrôtových sietí BL6 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na kybernetickú bezpečnosť I I I 2) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na ochranu osobných údajov I I I 3) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 4) požiadavky právnych predpisov na bezpečnostnú BL3 I I I dokumentáciu a bezpečnostné politiky I I I 5) princípy posudzovania kybernetickej bezpečnosti BL5 I I I 6) politiky, procesy a postupy pre riadenie ľudských BL4 I I I zdrojov v organizácii I I I 7) zásady a metódy tvorby učebných plánov, výuky BL4 I I I jednotlivcov a skupín I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL5* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL5 I I I reťazci I I I 10) metódy testovania a vyhodnocovania bezpečnosti systémov BL5 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I a) podpora riadenia informačnej a kybernetickej bezpečnosti I I I organizácie I I I b) správa bezpečnosti informačných aktív organizácie I I I I I I Riadenie hrozieb a rizík I I I a) implementácia procesov a nástrojov identifikácie, analýzy I I I a monitoringu bezpečnostných hrozieb a rizík I I I b) posudzovanie hrozieb a rizík I I I c) návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov I I I bezpečnostných udalostí I I I d) hodnotenie technických zraniteľností systémov I I I e) detekcia, riešenie, evidencia a prevencia kybernetických I I I bezpečnostných incidentov I I I f) koordinácia procesov obnovy prevádzkových činnosti (tzv. I I I Business Continuity Management) vrátane riadenia procesov I I I plánovania obnovy systémov po havárii (tzv. Disaster Recovery I I I Planning) I I I I I I Aplikácia bezpečnostných opatrení I I I a) zabezpečovanie implementácie technických a organizačných I I I bezpečnostných opatrení I I I b) návrhy zmien a integrácie bezpečnostných technológií a riešení I I I c) podpora riadenia bezpečnostnej architektúry I I I I I I Výkon operatívnych bezpečnostných činností I I I a) výkon činností súvisiacich so zaručením bezpečnosti I I I informačných aktív v zmysle najlepšej praxe I I I b) prevádzka technických bezpečnostných opatrení I I I I I I Riadenie súladu I I I a) poskytovanie súčinnosti internému a externému auditu I I I informačnej a kybernetickej bezpečnosti I I I b) spolupráca s orgánmi verejnej moci a orgánmi činnými I I I v trestnom konaní I I-------------I---------------------------------------------------------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) analytické myslenie I I I d) tvorivosť (kreativita) I I I e) schopnosť organizovania a plánovania práce I I-------------I---------------------------------------------------------------------I Požiadavky označené * sú odvetvovo závislé. Pre príslušnú rolu sú posudzované v kontexte kompetencií, potrebných na vykonávanie určitej pracovnej činnosti v konkrétnom odvetví.
PRÍL.13
Analytik kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Analytik kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL5 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) organizácia informačnej a kybernetickej bezpečnosti BL6 I I I 3) terminológia a skratky v oblasti informačnej BL6 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL6 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL6 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL6 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) zásady a techniky plánovania kapacity a plánovania BL5 I I I zdrojov I I I 10) princípy riadenia ľudských zdrojov BL6 I I I 11) rozpočtové pravidlá, zásady plánovania a riadenia BL5 I I I nákladov a plánovania a riadenia investícií I I I 12) procesy riadenia kontinuity činností a plánovania BL6 I I I havarijnej obnovy prevádzky I I I 13) výskumné stratégie a znalostný manažment BL4 I I I 14) princípy podnikovej architektúry, koncepcie BL5 I I I bezpečnostnej architektúry a referenčné modely I I I podnikovej architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 15) koncepty, terminológia a princípy prevádzky BL4 I I I elektronických komunikačných systémov (počítačové a I I I telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 16) model OSI, mapovanie siete, topológia sietí, hlavné BL5 I I I sieťové protokoly I I I 17) princípy sieťových zariadení (rozbočovače, prepínače, BL4 I I I smerovače, brány, firewall atď.) I I I 18) zásady riadenia dodávateľských služieb a obstarávania BL6 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I I I I Riadenie hrozieb a rizík I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL6 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL5 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL5 I I I 4) teória, koncepty a metódy systémového inžinierstva BL4 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL4 I I I modelov vývoja softvéru, princípy životného cyklu vývoja I I I systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL4 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL5 I I I inžinierstve (napr. modularizácia, vrstvenie, abstrakcia, I I I maskovanie, šifrovanie, pseudonymizácia, minimalizácia I I I spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL4 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL3 I I I 10) sieťové protokoly a adresárové služby BL3 I I I 11) základná architektúra operačných systémov (napr. BL3 I I I riadenie systémových procesov, štruktúra adresárov, I I I inštalácia a spúšťanie procesov a aplikácií) I I I 12) bezpečnostné riziká cloud computingu BL4 I I I 13) všeobecné koncepty operačných technológií a riadiacich BL5* I I I systémov (OT/ICS) I I I I I I Aplikácia bezpečnostných opatrení I I I 1) princípy navrhovania opatrení na ošetrenie BL6 I I I bezpečnostných rizík I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL5 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL5 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL4 I I I systémov I I I 5) zásady personálnej bezpečnosti BL5 I I I 6) opatrenia týkajúce sa používania, spracovania, BL6 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL5 I I I 8) základy kryptografických bezpečnostných mechanizmov BL4 I I I 9) koncepcie a technológie vzdialeného prístupu BL4 I I I 10) virtualizačné technológie, vývoja a údržby virtuálnych BL4 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL4 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL4 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL6 I I I 2) zásady riadenia bezpečnosti prostredia cloudu BL5 I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL4 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL4 I I I 5) princípy korelácie bezpečnostných udalostí BL4 I I I 6) základné postupy pri spracovaní digitálnych stôp BL4 I I I 7) princípy, nástroje a techniky testovania prieniku BL4 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na kybernetickú bezpečnosť a ochranu osobných I I I údajov I I I 2) právne predpisy, požiadavky na súlad a technické normy BL6 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 3) požiadavky právnych predpisov na bezpečnostnú BL6 I I I dokumentáciu a bezpečnostné politiky I I I 4) princípy posudzovania kybernetickej bezpečnosti BL5 I I I 5) politiky, procesy a postupy pre riadenie ľudských zdrojov BL6 I I I v organizácii I I I 6) systémy odbornej prípravy, princípy vzdelávacích BL6 I I I stratégií, procesov a postupov vzdelávania a zvyšovania I I I povedomia u dospelých v oblasti kybernetickej bezpečnosti I I I vrátane merania efektivity vzdelávania I I I 7) zásady a metódy tvorby učebných plánov, výuky BL6 I I I jednotlivcov a skupín I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL5* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL6 I I I reťazci I I I 10) metódy testovania a vyhodnocovania bezpečnosti systémov BL6 I I-------------I---------------------------------------------------------------------I I Zručnosti: I Riadenie bezpečnosti I I I a) strategické riadenie informačnej a kybernetickej I I I bezpečnosti organizácie I I I b) vypracovanie a prezentácia bezpečnostných stratégií I I I a konceptov I I I c) implementácia a riadenie procesov informačnej a kybernetickej I I I bezpečnosti podľa všeobecne záväzných právnych predpisov, I I I bezpečnostnej stratégie a ostatných interných riadiacich aktov I I I d) zabezpečenie, vypracovanie, udržiavanie a aktualizácie I I I bezpečnostnej dokumentácie informačnej a kybernetickej I I I bezpečnosti a ďalších interných riadiacich aktov vo vzťahu I I I k bezpečnosti organizácie I I I e) návrh požiadaviek na rozpočet a na iné zdroje súvisiace s I I I bezpečnostnými opatreniami a procesmi relevantnými z hľadiska I I I informačnej a kybernetickej bezpečnosti vrátane riadenia I I I nákladov a riadenia investícií I I I f) metodické usmerňovanie správcov a gestorov informačných I I I a komunikačných technológií, vlastníkov procesov, vlastníkov I I I aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov I I I vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie I I I g) poskytovanie informácií bezpečnostnému výboru alebo štatutárnemu I I I orgánu o stave informačnej a kybernetickej bezpečnosti I I I v organizácii, o závažných bezpečnostných rizikách, I I I kybernetických bezpečnostných incidentoch a významných I I I bezpečnostných udalostiach I I I h) riadenie informačnej a kybernetickej bezpečnosti vo vzťahu s I I I dodávateľmi a pri obstarávaní a vývoji softvéru a systémov I I I I I I Riadenie hrozieb a rizík I I I a) implementácia a manažment procesov identifikácie, analýzy I I I a monitoringu bezpečnostných hrozieb a rizík I I I b) posudzovanie hrozieb a rizík I I I c) návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov I I I bezpečnostných udalostí I I I d) zabezpečovanie procesov hodnotenia technických zraniteľností I I I systémov I I I e) manažment procesov detekcie, riešenia, evidencie a prevencie I I I kybernetických bezpečnostných incidentov I I I f) zabezpečenie funkčných plánov kontinuity a obnovy činností I I I organizácie I I I g) koordinácia a riadenie procesov obnovy prevádzkových činnosti I I I (tzv. Business Continuity Management) vrátane riadenia procesov I I I plánovania obnovy systémov po havárii (tzv. Disaster Recovery I I I Planning) I I I I I I Aplikácia bezpečnostných opatrení I I I a) riadenie návrhov, implementácie, zmien a optimalizácie I I I bezpečnostných riešení s víziou a konceptom ich bežného I I I prevádzkovania I I I b) zabezpečovanie implementácie technických a organizačných I I I bezpečnostných opatrení I I I c) riadenie návrhov, zmien a integrácie bezpečnostných technológií I I I a riešení I I I d) riadenie bezpečnostnej architektúry I I I e) predkladanie odborných stanovísk k novým zmenám v IT I I I infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť I I I informačných aktív organizácie I I I f) monitorovanie plnenia a efektivity bezpečnostných mechanizmov I I I a opatrení I I I I I I Výkon operatívnych bezpečnostných činností I I I a) manažment výkonu činností súvisiacich so zaručením bezpečnosti I I I informačných aktív v zmysle najlepšej praxe I I I b) vedenie tímu zamestnancov útvaru informačnej a kybernetickej I I I bezpečnosti, ak je taký organizačný útvar zriadený I I I c) návrh a aplikácia metodík pre klasifikáciu informačných aktív I I I a kategorizáciu sietí a informačných systémov I I I d) riadenie bežnej prevádzky technických bezpečnostných opatrení I I I e) zabezpečovanie udržateľnosti organizačných opatrení vrátane I I I vyspelosti bezpečnostných procesov I I I f) zaistenie uplatňovania princípu oddelenia právomocí I I I a zodpovedností v celej organizačnej štruktúre organizácie I I I g) riadenie projektov kybernetickej bezpečnosti I I I I I I Riadenie súladu I I I a) riadenie procesov zaručenia súladu (tzv. Compliance Management) I I I v oblasti informačnej a kybernetickej bezpečnosti I I I b) zabezpečenie pravidelného preskúmavania stavu kybernetickej I I I a informačnej bezpečnosti I I I c) vyhodnocovanie plnenia vnútorných predpisov súvisiacich s I I I riadením kybernetickej bezpečnosti I I I d) poskytovanie súčinnosti internému a externému auditu I I I informačnej a kybernetickej bezpečnosti I I I e) navrhovanie metrík a kľúčových indikátorov pre sledovanie I I I vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík I I I f) zabezpečovanie školení zamestnancov v oblasti kybernetickej I I I bezpečnosti a informačnej bezpečnosti I I I g) zabezpečovanie kontinuálneho vzdelávania pre pracovné roly I I I relevantné z hľadiska kybernetickej bezpečnosti I I I h) zabezpečovanie budovania bezpečnostného povedomia pre oblasť I I I informačnej a kybernetickej bezpečnosti a ochrany osobných I I I údajov I I I i) spolupráca s orgánmi verejnej moci a orgánmi činnými v trestnom I I I konaní I I-------------I-----------------------I----------------------I----------------------I I Stupeň I Úplné stredné I Vysokoškolské I. I Vysokoškolské II. I I vzdelania: I všeobecné alebo I stupňa I a III. stupňa I I I úplné stredné I I I I I odborné I I I I-------------I-----------------------I----------------------I----------------------I I Odborná I - najmenej 7 rokov I - najmenej 5 rokov I - najmenej 3 roky I I prax: I praxe v oblasti I praxe v oblasti I praxe v oblasti I I I informačných I informačných I informačných I I I technológií I technológií I technológií I I I - z toho najmenej 5 I - z toho najmenej 3 I - z toho najmenej 1 I I I rokov praxe v I roky praxe v I rok praxe v I I I oblasti riadenia I oblasti riadenia I oblasti riadenia I I I IT služieb, I IT služieb, I IT služieb, I I I riadenia I riadenia I riadenia I I I informačnej I informačnej I informačnej I I I bezpečnosti, I bezpečnosti, I bezpečnosti, I I I riadenia I riadenia I riadenia I I I rizík, alebo I rizík, alebo I rizík, alebo I I I architektúry IT I architektúry IT I architektúry IT I I I - medzinárodný I - medzinárodný I - medzinárodný I I I certifikát sa I certifikát sa I certifikát sa I I I považuje za I považuje za I považuje za I I I započítateľnú I započítateľnú I započítateľnú I I I odbornú prax 1 rok I odbornú prax 1 rok I odbornú prax 1 rok I I-------------I-----------------------I----------------------I----------------------I I Špecifické I a) schopnosť prijímať rozhodnutia I I kľúčové I b) schopnosť myslieť a konať v súvislostiach I I kompetencie I c) schopnosť riešiť konflikty I I I d) schopnosť poskytovať spätnú väzbu I I I e) schopnosť delegovať úlohy I I I f) schopnosť podporovať procesy vzdelávania a odovzdávania znalostí I I I g) schopnosť viesť pracovný tím I I I h) schopnosť organizovania a plánovania práce I I I i) analytické myslenie I I I j) strategické a koncepčné myslenie I I I k) tvorivosť (kreativita) I I I l) prezentačná zručnosť I I-------------I---------------------------------------------------------------------I
PRÍL.14
Lektor kybernetickej bezpečnosti
I-------------I---------------------------------------------------------------------I I Rola: I Lektor kybernetickej bezpečnosti I I-------------I---------------------------------------------------------------------I I Vedomosti: I Riadenie bezpečnosti I I I 1) procesy, systémy a zásady riadenia informačnej BL5 I I I a kybernetickej bezpečnosti vrátane zásad riadenia I I I fyzickej a objektovej bezpečnosti I I I 2) zásady organizácie informačnej a kybernetickej BL5 I I I bezpečnosti I I I 3) terminológia a skratky v oblasti informačnej BL5 I I I a kybernetickej bezpečnosti I I I 4) princípy riadenia IT služieb, správy systémov a správy BL5 I I I počítačových sietí I I I 5) hodnotiace a validačné kritériá v oblasti kybernetickej BL5 I I I bezpečnosti (KPI, KRI, metodiky merania vyspelosti atď.) I I I 6) zdroje, charakteristiky a použitie informačných aktív BL5 I I I organizácie I I I 7) organizačné politiky, organizačné štruktúry a koncepty BL5 I I I plánovania vzťahov s internými a/alebo externými I I I organizáciami I I I 8) koncepcie zlepšovania organizačných procesov a modely BL5 I I I hodnotenia vyspelosti procesov (napr. CMMI) I I I 9) procesy riadenia kontinuity činností a plánovania BL5 I I I havarijnej obnovy prevádzky I I I 10) princípy podnikovej architektúry, koncepcie BL5 I I I bezpečnostnej architektúry a referenčné modely podnikovej I I I architektúry (napr. TOGAF, Zachman, FEA atď.) I I I 11) koncepty, terminológia a princípy prevádzky BL5 I I I elektronických komunikačných systémov (počítačové I I I a telefónne siete, satelitné, optické, bezdrôtové atď.) I I I 12) model OSI, mapovanie siete, topológia sietí, hlavné BL5 I I I sieťové protokoly a sieťové služby I I I 13) princípy sieťových zariadení (rozbočovače, prepínače, BL5 I I I smerovače, brány, firewall atď.) I I I 14) zásady riadenia dodávateľských služieb a obstarávania BL5 I I I informačných systémov vrátane vyhodnocovania I I I dôveryhodnosti dodávateľa alebo výrobku I I I 15) charakteristiky fyzických a virtuálnych nosičov údajov BL5 I I I 16) elektrotechnika aplikovaná na architektúru počítačov BL5 I I I (napr. základné dosky, procesory, čipy a iný počítačový I I I hardvér) I I I 17) koncepcia a mechanizmy zálohovania a obnovy dát BL5 I I I 18) kryptografické algoritmy BL5 I I I 19) kryptografické mechanizmy pre ochranu dôvernosti údajov BL5 I I I (napr. šifrovacie algoritmy a steganografia) I I I 20) kryptografické mechanizmy pre ochranu integrity BL5 I I I a nepopierateľnosti údajov I I I 21) metódy a politiky správy a štandardizácie údajov BL5 I I I 22) nové a rozvíjajúce sa informačné technológie BL6 I I I a technológie kybernetickej bezpečnosti I I I 23) princípy dolovania a ukladania údajov BL4 I I I 24) princípy elektronickej pošty, vyhľadávacích/analytických BL6 I I I techník, nástrojov a používania súborov cookie I I I 25) princípy webových služieb (napr. architektúra BL6 I I I orientovaná na služby, protokol SOAP a jazyk HTML) I I I 26) princípy zálohovania a obnovy dát BL6 I I I 27) programovacie rozhrania pre prístup k databázam BL4 I I I 28) šifrovacie algoritmy pre lokálne bezdrôtové siete (WLAN) BL4 I I I 29) systémy riadenia bázy dát a ich správa, dopytovacie BL4 I I I jazyky, tabuľkové vzťahy I I I 30) štandardy a metodiky klasifikácie údajov založených na BL5 I I I citlivosti a iných rizikových faktoroch I I I 31) technológie filtrovania webového obsahu BL5 I I I 32) terminológia dátovej komunikácie (napr. sieťové BL6 I I I protokoly, Ethernet, IP, šifrovanie, optické I I I zariadenia, vymeniteľné médiá) I I I 33) typy sieťovej komunikácie (napr LAN, WAN, MAN, BL6 I I I WLAN, WWAN) I I I 34) typy webových stránok, správa, funkcie a systémy na BL5 I I I správu obsahu (CMS) I I I 35) XML schémy (Extensible Markup Language) BL4 I I I 36) koncepty kybernetických operácií, terminológia/slovník BL6 I I I (t.j. príprava prostredia, kybernetický útok, I I I kybernetická obrana), zásady, obmedzenia a účinky I I I 37) základy sieťovej a internetovej komunikácie (t.j. BL5 I I I zariadenia, konfigurácia zariadení hardvér, softvér, I I I aplikácie, porty/protokoly, adresovanie, sieťová I I I architektúra a infraštruktúra, smerovanie, operačné I I I systémy atď.) I I I 38) princípy zraniteľností bezdrôtových sietí BL5 I I I I I I Riadenie hrozieb a rizík I I I I I I 1) procesy riadenia rizík, postupy a metodiky analýzy rizík BL5 I I I 2) typické kybernetické bezpečnostné hrozby a zraniteľnosti BL5 I I I a metódy ich identifikácie I I I 3) zásady aplikačnej bezpečnosti BL6 I I I 4) teória, koncepty a metódy systémového inžinierstva BL5 I I I 5) metódy a techniky softvérového inžinierstva vrátane BL5 I I I modelov vývoja softvéru, princípy životného cyklu I I I vývoja systémov a zásady bezpečného vývoja softvéru I I I 6) bezpečnostné koncepty v operačných systémoch BL5 I I I 7) bezpečnostné mechanizmy a metódy v softvérovom BL5 I I I inžinierstve (napr. modularizácia, vrstvenie, I I I abstrakcia, maskovanie, šifrovanie, pseudonymizácia, I I I minimalizácia spracúvania atď.) I I I 8) techniky a metódy riadenia konfigurácií a vplyv BL5 I I I konfigurácií na bezpečnosť I I I 9) nástroje na posudzovanie zraniteľností BL5 I I I 10) sieťové protokoly a adresárové služby BL5 I I I 11) architektúra operačných systémov (napr. riadenie BL5 I I I systémových procesov, štruktúra adresárov, inštalácia I I I a spúšťanie procesov a aplikácií) I I I 12) prevádzka webových stránok (napr. webové servery, BL6 I I I hosting, DNS, webové jazyky atď.) I I I 13) všeobecné koncepty operačných technológií a riadiacich BL5* I I I systémov (OT/ICS) I I I 14) posudzovanie sieťových útokov a vzťahu jednotlivých BL5 I I I typov sieťových útokov k hrozbám a zraniteľnostiam I I I 15) princípy a techniky etického hackingu BL5 I I I 16) princípy a zdroje získavania informácií o BL5 I I I zraniteľnostiach (napr. varovania, rady, bulletiny) I I I 17) triedy a vektory útokov BL5 I I I I I I Aplikácia bezpečnostných opatrení I I I 1) navrhovanie opatrení na ošetrenie bezpečnostných rizík BL5 I I I 2) bezpečnostné mechanizmy a spôsob ich implementácie BL6 I I I 3) bezpečnostné opatrenia vo fyzickej a objektovej BL5 I I I bezpečnosti I I I 4) nástroje, metódy a techniky navrhovania bezpečnostných BL5 I I I systémov I I I 5) zásady personálnej bezpečnosti BL6 I I I 6) opatrenia týkajúce sa používania, spracovania, BL5 I I I uchovávania a prenosu údajov I I I 7) zásady a princípy riadenia identít a prístupov BL5 I I I 8) kryptografické bezpečnostné mechanizmy BL5 I I I 9) koncepcie a technológie vzdialeného prístupu BL5 I I I 10) virtualizačné technológie, vývoj a údržba virtuálnych BL5 I I I strojov I I I 11) zabezpečenie virtuálnych privátnych sietí (VPN) BL5 I I I 12) techniky a metódy správy systémov a hardeningu systémov BL5 I I I I I I Výkon operatívnych bezpečnostných činností I I I 1) procesy riešenia kybernetických bezpečnostných incidentov BL5 I I I 2) znalosti o štádiách kybernetického útoku (napr. Prieskum, BL5 I I I skenovanie, získanie prístupu, eskalácia oprávnení, I I I využitie, zahladenie stôp) I I I 3) zásady určovania bezpečnostne relevantných zdrojov BL5 I I I informácií a princípy tvorby prípadov použitia I I I 4) princípy logovania a bezpečnostného monitorovania BL5 I I I 5) princípy korelácie bezpečnostných udalostí BL5 I I I 6) identifikácia digitálnych stôp a postupy pri ich BL4 I I I spracúvaní I I I 7) princípy, nástroje a techniky testovania prieniku BL5 I I I 8) analýza sieťového prenosu (nástroje, metodiky, procesy) BL4 I I I 9) bezdrôtové technológie (napr. celulárne, satelitné, GSM) BL4 I I I zahŕňajúce základnú štruktúru, architektúru a dizajn I I I moderných bezdrôtových komunikačných systémov I I I 10) charakteristiky komunikačných sietí (napr. kapacita, BL4 I I I funkčnosť, trasy, kritické uzly) I I I 11) forenzné súvislosti štruktúry a procesov operačného BL4 I I I systému I I I 12) koncepcia architektúry sietí vrátane topológie, BL3 I I I protokolov, komponentov a bezpečnostných princípov I I I 13) konfigurácia forenzných laboratórií a podporných BL3 I I I aplikácií (napr VMWare, Wireshark) I I I 14) mechanizmy zabezpečenia siete (napr. Host based IDS, BL4 I I I IPS, ACL) vrátane ich funkcií a umiestnenia v sieti I I I 15) metódy a nástroje analýzy sieťového prenosu BL4 I I I 16) porty a služby Windows/Unix BL5 I I I 17) princípy a mechanizmy zabezpečenia siete (napr. BL5 I I I šifrovanie, brány firewall, autentifikácia, medové I I I pasce, ochrana perimetra) I I I 18) princípy hĺbkovej ochrany a architektúry sieťovej BL5 I I I bezpečnosti I I I 19) princípy sieťových demilitarizovaných zón BL5 I I I 20) princípy súborových systémov (napr. NTFS, FAT a iné) BL5 I I I 21) programy, úlohy a zodpovednosti a metódy reakcie na BL6 I I I incidenty v organizácii I I I 22) bezpečnostné zásady správy a údržby databázových BL5 I I I systémov I I I 23) zásady riadenia bezpečnosti prostredia cloudu BL5 I I I 24) základy digitálnej forenznej analýzy pri získavaní BL4 I I I použiteľných informácií I I I 25) zásady riadenia sieťových systémov, modely, metódy BL5 I I I (napr. monitorovanie výkonnosti systémov end-to-end) I I I 26) princípy zraniteľností bezdrôtových sietí BL5 I I I I I I Riadenie súladu I I I 1) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na kybernetickú bezpečnosť I I I 2) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na ochranu osobných údajov I I I 3) právne predpisy, požiadavky na súlad a technické normy BL3 I I I vzťahujúce sa na prevádzku informačných a komunikačných I I I technológií I I I 4) požiadavky právnych predpisov na bezpečnostnú BL3 I I I dokumentáciu a bezpečnostné politiky I I I 5) princípy posudzovania kybernetickej bezpečnosti BL4 I I I 6) politiky, procesy a postupy pre riadenie ľudských zdrojov BL4 I I I v organizácii I I I 7) zásady a metódy tvorby učebných plánov, výuky BL4 I I I jednotlivcov a skupín I I I 8) štandardy bezpečnosti platobných kariet (PCI) BL5* I I I 9) štandardy a procesy riadenia rizík v dodávateľskom BL5 I I I reťazci I I I 10) metódy testovania a vyhodnocovania bezpečnosti systémov BL5 I I-------------I---------------------------------------------------------------------I I Zručnosti: I a) znalosť metód výuky I I I b) znalosť systémov riadenia vzdelávania a ich využitie pri riadení I I I vzdelávania I I I c) znalosť úrovní vzdelávacích cieľov (t.j. Bloomova taxonómia) I I I d) znalosť štýlov výuky I I I e) schopnosť pripraviť a prezentovať lekcie I I I f) schopnosť pripravovať a poskytovať informácie s cieľom I I I zabezpečiť, aby si používatelia systémov, sietí a údajov boli I I I vedomí a dodržiavali zásady a postupy zabezpečenia systémov I I I g) schopnosť aplikovať princípy vzdelávania dospelých I I I h) schopnosť merať úroveň vedomostí študentov a procesov testovania I I I a hodnotenia študentov I I I i) znalosť princípov a procesov vykonávania hodnotenia potrieb I I I odbornej prípravy a vzdelávania I I I j) schopnosť poskytnúť študentom účinnú spätnú väzbu na zlepšenie I I I výučby I I I k) schopnosť rozvíjať alebo obstarávať učebné osnovy, ktoré sa I I I venujú téme na primeranej úrovni pre daný cieľ I I I l) schopnosť rozvíjať učebné osnovy pre použitie vo virtuálnom I I I prostredí I I I m) schopnosť rozvíjať učebné osnovy, ktoré sa venujú danej téme I I I na primeranej úrovni pre cieľové publikum I I I n) schopnosť vykonávať hodnotenie potrieb odbornej prípravy I I I a vzdelávania I I I o) schopnosť vyvinúť inštruktážne materiály I I I p) znalosť systémov počítačových školení a e-learningových I I I služieb I I I q) znalosť zásad a metód odbornej prípravy a výučby pri tvorbe I I I učebných plánov, výučbe a výučbe pre jednotlivcov a skupiny I I I a meraní účinkov odbornej prípravy a vzdelávania I I I r) zručnosť používania technológií výuky (napr. webových stránok, I I I počítačov, projektorov) na účely výučby I I I s) schopnosť graficky znázorniť materiály na podporu vzdelávania I I I t) zručnosť pri využívaní a rozvíjaní vzdelávacích aktivít (napr. I I I scenáre, inštruktážne hry, interaktívne cvičenia) I I I u) zručnosť pri vývoji a vykonávaní programov technického I I I vzdelávania a učebných osnov I I I v) schopnosť komunikovať komplexné informácie, koncepty alebo I I I návrhy dôveryhodnými verbálnymi, písomnými a/alebo vizuálnymi I I I prostriedkami I I I w) znalosti o technikách a metódach výroby, komunikácie a šírenia I I I informácií vrátane alternatívnych spôsobov informovania I I I prostredníctvom písomných, ústnych a vizuálnych médií I I I x) zručnosť pri využívaní virtuálnych pracovných priestorov I I I a/alebo nástrojov na spoluprácu (chatovacie miestnosti, I I I SharePoint) I I-------------I---------------------------------------------------------------------I I Špecifické I a) prezentačná zručnosť I I kľúčové I b) analytické myslenie I I kompetencie I c) tvorivosť (kreativita) I I I d) schopnosť podporovať procesy vzdelávania a odovzdávania znalostí I I I e) schopnosť organizovania a plánovania práce I I-------------I---------------------------------------------------------------------I
1) § 34 zákona č. 575/2001 Z.z. o organizácii činnosti vlády a organizácii ústrednej
štátnej správy v znení neskorších predpisov.
2) Podľa certifikačnej schémy overovania odborn ej spôsobilosti manažéra kybernetickej
bezpečnosti v súlade s STN EN ISO/IEC 17024.