Wyszukaj po identyfikatorze keyboard_arrow_down
Wyszukiwanie po identyfikatorze Zamknij close
ZAMKNIJ close
account_circle Jesteś zalogowany jako:
ZAMKNIJ close
Powiadomienia
keyboard_arrow_up keyboard_arrow_down znajdź
idź
removeA addA insert_drive_fileWEksportuj printDrukuj assignment add Do schowka
description

Akt prawny

Akt prawny
obowiązujący
Monitor Polski rok 2021 poz. 189
Wersja aktualna od 2021-02-17
opcje loupe more_vert
ZAMKNIJ close

Alerty

Monitor Polski rok 2021 poz. 189
Wersja aktualna od 2021-02-17
Akt prawny
obowiązujący
ZAMKNIJ close

Alerty

OBWIESZCZENIE
MINISTRA CYFRYZACJI1)

z dnia 8 lutego 2021 r.

w sprawie włączenia kwalifikacji rynkowej "Zarządzanie cyberbezpieczeństwem - menedżer" do Zintegrowanego Systemu Kwalifikacji

Na podstawie art. 25 ust. 1 i 2 ustawy z dnia 22 grudnia 2015 r. o Zintegrowanym Systemie Kwalifikacji (Dz. U. z 2020 r. poz. 226) ogłasza się w załączniku do niniejszego obwieszczenia informacje o włączeniu kwalifikacji rynkowej "Zarządzanie cyberbezpieczeństwem - menedżer" do Zintegrowanego Systemu Kwalifikacji.

Minister Cyfryzacji: wz. M. Zagórski

1) Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 6 października 2020 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1716).

Załącznik do obwieszczenia Ministra Cyfryzacji
z dnia 8 lutego 2021 r. (poz. 189)

INFORMACJE O WŁĄCZENIU KWALIFIKACJI RYNKOWEJ "ZARZĄDZANIE CYBERBEZPIECZEŃSTWEM MENEDŻER"
DO ZINTEGROWANEGO SYSTEMU KWALIFIKACJI

1. Nazwa kwalifikacji rynkowej

Zarządzanie cyberbezpieczeństwem - menedżer

2. Nazwa dokumentu potwierdzającego nadanie kwalifikacji rynkowej

Certyfikat

3. Okres ważności dokumentu potwierdzającego nadanie kwalifikacji rynkowej

Certyfikat jest ważny 5 lat. Przedłużenie następuje na podstawie przedłożenia dokumentów potwierdzających:

- zatrudnienie przez minimum 3 lata w okresie ostatnich 5 lat poprzedzających przedłużenie certyfikatu w charakterze osoby odpowiedzialnej za realizację zadań tożsamych z uzyskaną kwalifikacją;

- ustawiczne doskonalenie kompetencji poprzez między innymi udział w konferencjach, szkoleniach, warsztatach o tematyce tożsamej z uzyskaną kwalifikacją w wymiarze minimum 200 godzin w okresie ostatnich 5 lat poprzedzających przedłużenie certyfikatu.

4. Poziom Polskiej Ramy Kwalifikacji przypisany do kwalifikacji rynkowej (ewentualnie odniesienie do poziomu Sektorowej Ramy Kwalifikacji)

6 poziom Polskiej Ramy Kwalifikacji

5. Efekty uczenia się wymagane dla kwalifikacji rynkowej

Syntetyczna charakterystyka efektów uczenia się

Osoba z kwalifikacją "Zarządzanie cyberbezpieczeństwem - menedżer" posiada wiedzę z obszaru bezpieczeństwa informacji i cyberbezpieczeństwa. Posługuje się regulacjami formalno-prawnymi krajowymi i UE z obszaru cyberbezpieczeństwa. Posiada wiedzę dotyczącą opracowywania strategii cyberbezpieczeństwa w organizacji, wdrażania środków, planów i procedur bezpieczeństwa IT, zarządzania ryzykiem, ciągłością działania oraz incydentami cyberbezpieczeństwa i audytu bezpieczeństwa. Posiada wiedzę w zakresie funkcjonowania zespołów reagowania na incydenty bezpieczeństwa komputerowego. Dysponuje również wiedzą w obszarze bezpieczeństwa infrastruktury teleinformatycznej. Posiada również przygotowanie merytoryczne w obszarze zastosowań informatyki śledczej.

Zestaw 1. Posługiwanie się wiedzą z obszaru cyberbezpieczeństwa

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Charakteryzuje pojęcia z zakresu cyberbezpieczeństwa

- omawia bezpieczeństwo komputerowe;

- omawia cele bezpieczeństwa informacji;

- charakteryzuje terminologię z obszaru bezpieczeństwa informacji (np. cyberatak, incydent, wirus);

- omawia pojęcia: cyberbezpieczeństwo, cyberprzestrzeń i cyberprzestrzeń RP, bezpieczeństwo i ochrona cyberprzestrzeni, bezpieczeństwo sieci i systemów informatycznych;

- charakteryzuje zagrożenia teleinformatyczne (np. cyberprzestępczość, haking, haktywizm, haktywizm patriotyczny, cyberterroryzm, cyberszpiegostwo, militarne wykorzystanie cyberprzestrzeni);

- rozróżnia zagrożenia, ataki i aktywa;

- omawia funkcjonalne wymagania bezpieczeństwa.

02. Omawia przepisy prawne i opracowania w obszarze cyberbezpieczeństwa

- omawia krajowe przepisy prawne dotyczące cyberbezpieczeństwa, w tym: kodeks karny w obszarze cyberprzestępczości, ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o działaniach antyterrorystycznych w obszarze cyberbezpieczeństwa, ustawa o usługach zaufania oraz identyfikacji elektronicznej, ustawa o ochronie danych osobowych, przepisy o własności intelektualnej;

- omawia opracowania dotyczące cyberbezpieczeństwa RP, w tym: plany, doktryny, koncepcje, wizje, ramy, strategie, programy, uchwały dotyczące ochrony cyberprzestrzeni;

- omawia wyniki kontroli organów państwowych w obszarze zarządzania cyberbezpieczeństwem;

- omawia analizy i rekomendacje eksperckie i naukowe dotyczące cyberbezpieczeństwa w Polsce i na świecie;

- omawia przepisy prawne oraz opracowania Unii Europejskiej dotyczące cyberbezpieczeństwa (np. obowiązujące konwencje, dyrektywy, strategie, rozporządzenia, analizy);

- omawia kodeksy etyki i postępowania sformułowane przez ACM, IEEE oraz AITP.

Zestaw 2. Zarządzanie cyberbezpieczeństwem

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Omawia standardy i organizacje standaryzacyjne w obszarze bezpieczeństwa informacji oraz zarządzania usługami IT

- charakteryzuje standardy z obszaru bezpieczeństwa informacji opracowane przez organizacje standaryzacyjne, takie jak NIST, ITU-T, ISO, IEEE, ISACA;

- omawia wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji według rodziny norm ISO/IEC 27000;

- identyfikuje i opisuje zbiór najlepszych praktyk zarządzania usługami IT w odniesieniu do cyberbezpieczeństwa zgodnie z kodeksem postępowania dla działów informatyki określanym jako ITIL (ang. Information Technology Infrastructure Library);

- omawia standard COBIT (ang. Control Objectives for Information and related Technology) opracowany przez ISACA oraz IT Governance Institute stanowiący zbiór dobrych praktyk z zakresu IT Governance.

02. Omawia strategię cyberbezpieczeństwa w organizacji

- omawia zasady projektowania cyberbezpieczeństwa;

- określa role i przypisuje odpowiedzialności poszczególnych osób w procesie zarządzania cyberbezpieczeństwem;

- wymienia i wartościuje zagrożenia oraz ataki, jak również techniki wykorzystywania słabości bezpieczeństwa;

- omawia architekturę bezpieczeństwa informacji w organizacji;

- wymienia przykłady implementacji strategii w odniesieniu do obowiązujących norm i standardów;

- różnicuje sposoby diagnozy i walidacji skuteczności procesu zarządzania cyberbezpieczeństwem.

Zestaw 3. Zarządzanie ryzykiem

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01. Charakteryzuje standardy i metody oceny ryzyka bezpieczeństwa informacji

- omawia i analizuje standardy opisujące procesy oceny ryzyka bezpieczeństwa informatycznego, w tym: ISO 13335, ISO 27005, ISO 31000, NIST SP 800-30;

- charakteryzuje inne metodyki szacowania ryzyka, w tym: EBIOS, MAGERIT, CRAMM, MEHARI, MIGRA, OCTAVE.

02. Charakteryzuje ryzyko bezpieczeństwa informacji w organizacji

- opisuje proces zarządzania ryzykiem;

- identyfikuje i grupuje wartości aktywów w organizacji;

- kategoryzuje zagrożenia i podatności (ryzyka) dla tych aktywów;

- omawia podejścia do oceny ryzyka bezpieczeństwa (podstawowe, nieformalne, szczegółowe, łączone);

- wybiera i uzasadnia optymalne podejście do oceny ryzyka bezpieczeństwa.

Zestaw 4. Bezpieczeństwo IT i zarządzanie ciągłością działania

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Charakteryzuje środki, plany i procedury bezpieczeństwa IT

- porównuje rodzaje środków bezpieczeństwa (organizacyjne, operacyjne, techniczne) w oparciu o standardy, w tym ISO 27002, ISO 13335, FIPS 200, NIST SP 800-53;

- omawia budowę oraz etapy tworzenia i wdrażania planu bezpieczeństwa IT w organizacji;

- opisuje aspekty monitorowania zagrożeń w procesie zarządzania bezpieczeństwem IT.

02. Charakteryzuje regulacje formalno-prawne i standardy związane z zarządzaniem ciągłością działania

- omawia zawarte w krajowych aktach prawnych zapisy dotyczące wymagań w zakresie zapewnienia ciągłości działania;

- charakteryzuje normy ISO 22301 oraz ISO 22313;

- opisuje zasady ustanawiania strategii zarządzania i polityki ciągłości działania w organizacji.

Zestaw 5. Zarządzanie incydentami

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01. Charakteryzuje obszar zarządzania zespołami reagowania na incydenty bezpieczeństwa komputerowego

- charakteryzuje zasady działania zespołów reagowania na incydenty bezpieczeństwa komputerowego (CERT, CSiRT);

- wskazuje korzyści związane z posiadaniem procedur reagowania na incydenty;

- omawia zasady działania krajowego systemu cyberbezpieczeństwa.

02. Omawia regulacje formalno-prawne, standardy, procedury i dobre praktyki związane z zarządzaniem incydentami

- opisuje standardy oraz regulacje formalno-prawne związane z zarządzaniem incydentami;

- dobiera i uzasadnia metody zapewnienia usystematyzowanego podejścia do zarządzania i obsługi incydentów bezpieczeństwa informacji;

- omawia zasady klasyfikacji i kwalifikacji zdarzeń jako incydentów bezpieczeństwa;

- analizuje zasady nadawania priorytetów obsługi zdarzeń i minimalizacji strat związanych z nieprawidłową obsługą incydentów bezpieczeństwa informacji.

Zestaw 6. Audyt bezpieczeństwa w obszarze cyberbezpieczeństwa

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Charakteryzuje obszar audytu bezpieczeństwa

- omawia terminy stosowane w obszarze audytu bezpieczeństwa;

- opisuje cele i zakres audytu bezpieczeństwa;

- omawia zasady opracowywania wymagań dotyczących audytu bezpieczeństwa;

- porównuje standardy audytowania bezpieczeństwa;

- omawia przebieg procesu audytu bezpieczeństwa;

- opisuje narzędzia wykorzystywane w trakcie audytu bezpieczeństwa;

- charakteryzuje zasady raportowania wyników bezpieczeństwa.

Zestaw 7. Bezpieczeństwo fizyczne i bezpieczeństwo zasobów ludzkich w obszarze cyberbezpieczeństwa

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Charakteryzuje zagadnienia dotyczące bezpieczeństwa fizycznego infrastruktury teleinformatycznej

- charakteryzuje zagrożenia środowiskowe;

- charakteryzuje zagrożenia techniczne;

- charakteryzuje zagrożenia związane z działalnością człowieka.

02. Omawia dobre praktyki i zasady zatrudniania pracowników w obszarze cyberbezpieczeństwa

- wymienia cele bezpieczeństwa procesu rekrutacji;

- opisuje wytyczne dotyczące sprawdzania kandydatów na kluczowe stanowiska w organizacji związane z zarządzaniem cyberbezpieczeństwem;

- wylicza i wartościuje korzyści związane z motywowaniem pracowników do podnoszenia wiedzy z zakresu cyberbezpieczeństwa i stosowania się do procedur w tym zakresie;

- charakteryzuje zagadnienia dotyczące obszaru podnoszenia świadomości bezpieczeństwa, szkoleń i programów edukacyjnych;

- omawia zagadnienia etyki zawodowej w obszarze cyberbezpieczeństwa i aspekty własności intelektualnej.

Zestaw 8. Informatyka śledcza

Poszczególne efekty uczenia się

Kryteria weryfikacji ich osiągnięcia

01 .Charakteryzuje zagadnienia dotyczące norm, standardów i dobrych praktyk informatyki śledczej

- charakteryzuje wytyczne dotyczące aspektów technicznych i najlepszych praktyk informatyki śledczej, w tym SWGDE (ang. The Scientific Working Group on Digital Evidence), SWGIT (ang. The Scientific Working Group on Imaging Technology);

- omawia standardy ANSI (ang. American National Standards Institute), NIST (ang. National Institute of Standard and Technology) oraz normy międzynarodowe ISO/IEC z rodziny norm ISO/IEC 27000 w obszarze informatyki śledczej.

02. Charakteryzuje zasady zabezpieczania i metody analizy dowodów elektronicznych

- charakteryzuje sposoby prawidłowego zabezpieczania materiału dowodowego na potrzeby dochodzenia wewnętrznego, jak również na potrzeby procesowe;

- omawia zasady postępowania z cyfrowymi śladami dowodowymi;

- wymienia metody analizy zawartości komputerów i urządzeń mobilnych za pomocą specjalistycznych narzędzi oraz oprogramowania dedykowanego do prowadzenia analiz;

- opisuje prawa i obowiązki podmiotów w zakresie realizacji czynności procesowych prowadzonych w ramach postępowań przygotowawczych przez służby bezpieczeństwa i porządku publicznego.

6. Wymagania dotyczące walidacji i podmiotów przeprowadzających walidację

1. Etap weryfikacji.

1.1. Metody.

Do weryfikacji efektów uczenia się stosuje się wyłącznie: test teoretyczny (pisemny) lub analizę dowodów i deklaracji opcjonalnie uzupełnioną wywiadem swobodnym.

1.2. Zasoby kadrowe.

Komisja walidacyjna musi składać się z co najmniej dwóch członków, w tym przewodniczącego. Przewodniczący komisji musi spełniać następujące warunki: - posiada kwalifikację pełną z 7 poziomem PRK (dyplom ukończenia studiów II stopnia); - legitymuje się co najmniej 3-letnim doświadczeniem w przeprowadzaniu egzaminów, osiągniętym w okresie ostatnich 6 lat; - legitymuje się co najmniej jednym ważnym certyfikatem CISA, CISM, CRISC, CGEIT, CISSP, wymienionym między innymi w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999). Drugi członek komisji walidacyjnej musi spełniać następujące warunki: - posiada kwalifikację pełną z 6 PRK (dyplom ukończenia studiów I stopnia); - legitymuje się co najmniej rocznym doświadczeniem w przeprowadzaniu egzaminów w obszarze technologii cyfrowej, osiągniętym w okresie ostatnich 3 lat. Ponadto, co najmniej jeden z członków komisji musi posiadać udokumentowane minimum 5-letnie doświadczenie zawodowe w obszarze cyberbezpieczeństwa.

1.3. Sposób organizacji walidacji oraz warunki organizacyjne i materialne.

Test teoretyczny jest przeprowadzany w ośrodku egzaminacyjnym za pomocą zautomatyzowanego systemu elektronicznego (system rejestracji kandydatów i obsługi egzaminów). Wykorzystanie innych narzędzi/aplikacji pomocniczych, w tym urządzeń mobilnych oraz dostępu do sieci Internet, jest dopuszczalne wyłącznie w sytuacji, w której jest to wymagane specyfiką zadań testowych. Instytucja certyfikująca musi zapewnić: - salę z wyposażeniem multimedialnym i możliwością rejestracji audio-wideo przebiegu walidacji oraz stanowiska egzaminacyjne umożliwiające samodzielną pracę każdej osobie przystępującej do walidacji, np. boksy biurowe zapewniające przeprowadzenie testów z zachowaniem bezpieczeństwa i poufności procesu walidacyjnego; - centralnie zarządzaną platformę informatyczną do przeprowadzania testów i przechowywania wyników (system rejestracji kandydatów i obsługi egzaminów) spełniającą wymagania określone w przepisach RODO; - sprzęt komputerowy oraz dostęp do systemu obsługi testów i egzaminów indywidualnie dla każdego uczestnika; - nadzór osobowy w charakterze obserwatora/obserwatorów w celu zapewnienia prawidłowego przebiegu egzaminu (w tym przeciwdziałania nieuczciwym praktykom). Warunki dodatkowe: - instytucja certyfikująca nie może kształcić oraz prowadzić szkoleń, kursów itp. z zakresu wiedzy ujętej w przedmiotowej kwalifikacji; - walidacja jest prowadzona zgodnie z procedurami instytucji certyfikującej we własnym zakresie lub w akredytowanych laboratoriach przez certyfikowanych egzaminatorów; - każdy asesor walidacyjny oraz obserwator jest zobowiązany do złożenia oświadczenia o braku okoliczności stanowiących podstawę wyłączenia z czynności egzaminacyjnych (np. konflikt interesów).

2. Etapy identyfikowania i dokumentowania.

Instytucja certyfikująca musi zapewnić wsparcie doradcy walidacyjnego. Doradca walidacyjny musi spełnić następujące warunki: - zgodność z profilem kompetencyjnym doradcy walidacyjnego określonym w podręczniku "WALIDACJA - nowe możliwości zdobywania kwalifikacji" opracowanym przez Instytut Badań Edukacyjnych, Warszawa 2016 (link: http://www.kwalifikacje.gov.pl/download/Publikacje/Walidacja_ nowe możliwości zdobywania kwalifikacji z wkladka.pdf); - min. 5 lat doświadczenia zawodowego w branży teleinformatycznej.

Dokumentacja dowodowa z przeprowadzonej walidacji przechowywana jest przez minimum 5 lat. Ponadto instytucja certyfikująca jest zobowiązana do bezterminowego prowadzenia rejestru wydanych certyfikatów. Certyfikaty muszą być niepowtarzalne (w rozumieniu druku ścisłego zarachowania), posiadać cechy umożliwiające jednoznaczną identyfikację instytucji certyfikującej oraz jedno z wybranych zabezpieczeń - optyczne (np. hologram, kinegram) lub inne.

7. Warunki, jakie musi spełniać osoba przystępująca do walidacji

- kwalifikacja pełna z 6 poziomem PRK;

- udokumentowane 3-letnie doświadczenie zawodowe w obszarze cyberbezpieczeństwa w ciągu ostatnich 6 lat;

- oświadczenie o niekaralności za przestępstwo popełnione umyślnie ścigane z oskarżenia publicznego lub umyślne przestępstwo skarbowe.

8. Termin dokonywania przeglądu kwalifikacji

Nie rzadziej niż raz na 10 lat.

Treść przypisu ZAMKNIJ close
Treść przypisu ZAMKNIJ close
close POTRZEBUJESZ POMOCY?
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00