Specialist Securitate IT

Standard ocupaional

Specialist n proceduri i instrumente de securitate a sistemelor informatice

n sectorul: Tehnologia informaiei, comunicaii, pot

Cod:.

Data aprobrii: 16.10.2008

Denumire document electronic:

Versiunea: 0

Data de revizuire preconizat: octombrie 2010

Standard ocupaional: Specialist in proceduri si instrumente de securitate a sistemelor informatice

Pagina 2 din 30

Iniiatorul standardului: Centrul de Pregtire n Informatic CPI-S.A.

Standardul a fost elaborat n cadrul proiectului PHARE / 2005/ 017-553.04.02.02.01. 810 Elaborarea de standarde ocupaionale pentru domeniul tehnologiilor informaiei.

Coordonatorul echipei de redactare a standardului ocupaional: ing. Cecilia Trc, consultant n informatic, evaluator de competene profesionale certificat de CNFPA Centrul de Pregtire n Informatic CPI-S.A.

Echipa de redactare: Mihaela Tudose, economist cibernetic, formator, formator de formatori, evaluator de competene profesionale certificat de CNFPA - Centrul de Pregtire n Informatic CPI-S.A. Eugenia Alexandra Mihaela Aldica, matematician- informatic, formator, formator de formatori, evaluator de competene profesionale certificat de CNFPA - Centrul de Pregtire n Informatic CPI-S.A.

Verificatorul standardului ocupaional: ing. Nica Glbenui

Redactorii calificrii: Mihaela Tudose; Eugenia Alexandra Mihaela Aldica

Denumirea analizei ocupaionale: Specialist n proceduri i instrumente de securitate a sistemelor informatice

Data elaborrii analizei ocupaionale: mai 2008

Responsabilitatea pentru coninutul acestui standard ocupaional i al calificrilor bazate pe acest standard ocupaional revine Comitetului sectorial Tehnologia informaiei, Comunicaii, Pot.

Data validrii: 3 octombrie 2008

Comisia de validare:

Preedinte: Gheorghe erban

Membrii: Remus Tudoric

tefania Carmen Dimofte


Pagina 3 din 30

Descrierea ocupaiei

Specialistul n proceduri1 i instrumente2 pentru securitatea sistemelor informatice3 este persoana responsabil cu gsirea i implementarea celor mai potrivite msuri i mijloace pentru protejarea sistemelor informatice, astfel nct informaia cu care opereaz organizaia s fie sigur i corect. Specialistul rspunde oficial de dezvoltarea, analiza, evaluarea i implementarea politicii de securitate a informaiei4 ntr-o organizaie. Se consider c un sistem informatic cuprinde: calculatoare, sisteme de transmitere a datelor, alte componente hardware, sisteme de operare, aplicaii i componente software, date prelucrate precum i personalul implicat n introducerea, pstrarea, prelucrarea i extragerea informaiilor. Tehnologia Informaiei i Comunicaii (prescurtat IT&C sau TIC) cuprinde setul de instrumente tehnice ce includ echipamentele hardware, componentele software, reelele de calculatoare, echipamentele de comunicaii i standardele asociate lor. Este cadrul folosit pentru obinerea, distribuirea, pstrarea i folosirea informaiei. Specialistul n proceduri i instrumente pentru securitatea sistemelor informatice are competene legate de: asigurarea proteciei informaiei, detectarea i evaluarea vulnerabilitilor i a riscului, folosirea tehnologiilor adecvate pentru asigurarea securitii reelelor de comunicaii, a celor de calculatoare, a echipamentelor i a componentelor software de orice fel, indiferent de specificul informaional al organizaie. Protecia sistemelor informatice este asigurat prin: prevenirea oricror aciuni ndreptate mpotriva funcionarii corecte a sistemelor informatice, prin identificarea vulnerabilitilor, reducerea numrului i a pagubelor ce pot aprea ca efect al atacurilor materializate ca urmare a breelor de securitate generate de vulnerabiliti.

Specialistul in proceduri si instrumente de securitate a sistemelor informatice:

elaboreaz i aplic elemente din programul de securitate, inclusiv cele referitoare la securitatea fizic a datelor, asigur confidenialitatea informaiilor i disponibilitatea lor pentru persoanele n drept s le obin i s le foloseasc;

identific si evalueaz vulnerabilitile sistemului informatic, identific ameninrile poteniale, evalueaz i prioritizeaz pierderile i aciunile ndreptate ctre reducerea ameninrilor si a pierderilor de orice fel;

gsete rspunsurile la violrile de securitate identificate i raportate;

proiecteaz politici si proceduri de securitate aplicabile sistemului informatic;

elaboreaz ghiduri de bun practic legate de cerinele de securitate ale sistemului informatic i de msurile necesare pentru protejarea sistemului;

aplic standardele de securitate pentru reele i calculatoare i valideaz din punctul de vedere al securitii sistemul informatic (soluia IT&C aflat in funciune);

monitorizeaz / supravegheaz aplicarea msurilor de securitate proiectate pentru protejarea bunurilor fizice, a aplicaiilor i a altor produse software, a datelor i coleciilor de date fa de utilizarea neautorizat;

analizeaz i revizuiete ameninrile, vulnerabilitile, politicile, procedurile i instrumentele legate asigurarea securitii sistemului informatic;

elaboreaz rapoarte legate de asigurarea securitii sistemului informatic, de gradul de aplicare a msurilor de securitate stabilite, de vulnerabilitile cunoscute i asumate.

1 Prin procedur se nelege metoda de rezolvare a unei probleme, defalcat n etape succesive. 2 Instrumentul este sistemul tehnic pentru cercetarea, observarea, msurarea sau controlul unor mrimi i este folosit pentru ndeplinirea unei aciuni sau atingerea unui scop. 3 Sistemul informatic este sistemul bazat pe TIC ce permite: introducerea, stocarea, prelucrarea si extragerea informaiilor. 4 Informaia = tire, veste, comunicare, lmurire, un mesaj primit i neles.


Pagina 4 din 30

Activitatea specialistului n proceduri i instrumente pentru securitatea sistemelor informatice poate fi considerat ca laborioas, de mare ntindere i complexitate i de mare rspundere. Informaiile sunt eseniale pentru organizaii: informaiile sigure i corecte permit desfurarea normal a activitii unei organizaii i ofer ncredere n relaiile cu clienii i partenerii.

Principalele activiti ale specialistului n proceduri i instrumente pentru securitatea sistemelor informatice sunt legate de:

Elaborarea inventarului informaiilor i al bunurilor care au legtur cu informaia, inclusiv identificarea proprietarului (deintorului) informaiei, responsabil cu aplicarea strict a msurilor de securitate;

Clasificarea informaiilor dup gradul de protecie specific necesar;

Stabilirea procedurilor de copiere, pstrare, transmitere, distrugere, salvare, restaurare, prelucrare pentru fiecare categorie (clas) de informaii identificat n organizaie;

Elaborarea documentelor privitoare la strategia i obiectivele de securitate ale organizaiei i la cadrul organizaional de aplicare;

Construirea modelului ameninrilor i al vulnerabilitilor cu care se confrunt organizaia i stabilirea criteriilor pentru evaluarea importanei riscurilor;

Stabilirea legturilor dintre ameninri, vulnerabiliti, probabilitatea de materializare, pierderi poteniale, riscuri i construirea pe aceast baz a tabelului riscurilor ce pot afecta activitatea i dezvoltarea normal a organizaiei;

Elaborarea planului de management al riscurilor, al aciunilor de prevenire i de reacie dup materializarea ameninrii / vulnerabilitii, precum i elaborarea planului msurilor de securitate aplicabile;

Definitivarea politicii de securitate a organizaiei ce va conine msuri de securitate defalcate pentru fiecare post de lucru (rol ndeplinit n organizaie). Msurile sunt aplicabile la nivelul resurselor umane, mediului de lucru, comunicaiilor i operaiunilor efectuate n organizaie, controlului accesului, achiziionrii, dezvoltrii i ntreinerii componentelor hardware i software, al managementului incidentelor de securitate i al continurii activitilor organizaiei.

Proiectarea procedurilor de testare / verificare a aplicrii msurilor de securitate n organizaie, respectiv evaluarea conformitii rezultatelor cu obiectivele din strategia de securitate a organizaiei;

Elaborarea planului de implementare a msurilor de securitate, a celui de testare periodic a reaciei la incidente previzibile; stabilirea persoanelor responsabile cu implementarea msurilor de securitate;

Elaborarea planului de comunicare (de alert) i rspuns la apariia incidentelor sau la suspiciunea apariiei unui incident, inclusiv a planului de identificare a atacului, atacatorului i de acumulare a dovezilor;

Proiectarea machetei jurnalelor / formularelor pentru: raportarea incidentelor identificate i a rspunsurilor, documentarea detaliat a incidentelor, identificarea erorilor i a deficienelor de funcionare ;

Elaborarea codului de conduit n vederea asigurrii securitii informaiei n organizaie, a ghidului de aplicare a msurilor de securitate; organizarea sesiunilor de instruire i antrenare a personalului pentru aplicarea procedurilor de securitate.

Principalele responsabiliti ale specialistului n proceduri5 i instrumente6 pentru securitatea sistemelor informatice sunt:

Identificarea cerinelor de securitate a informaiei

Proiectarea procedurilor de securitate a informaiei

5 Prin procedur se nelege metoda de rezolvare a unei probleme, defalcat n etape succesive. 6 Instrumentul este sistemul tehnic pentru cercetarea, observarea, msurarea sau controlul unor mrimi i este folosit pentru ndeplinirea unei aciuni sau atingerea unui scop.


Pagina 5 din 30

Elaborarea programului de implementare a securitii informaiei

Revizuirea modelului ameninrilor i al vulnerabilitilor

Instruirea personalului

Informaia este considerat o resurs important a organizaiilor. Informaia poate fi stocat pe hrtie, electronic, poate fi transmis prin pot, transmis prin mijloace electronice, prezentat pe filme sau comunicat n timpul unei conversaii. Securitatea informaiei se obine prin aciuni de protecie fa de o gam larg de ameninri cu scopul de a asigura continuitatea activitii organizaiei, minimizarea riscului apariiei i manifestrii unor evenimente nedorite i maximizarea investiiei i oportunitilor organizaiei. Securitatea informaiei se obine prin implementarea unui set adecvat de politici i proceduri specifice.

Informaiile i resursele (bunurile) care au legtur cu informaia pot fi: baze de date, fiiere de date, contracte, acorduri, documentaii, informaii rezultate din cercetare, manuale de utilizare, specificaii de realizare, specificaii tehnice de orice fel, materiale folosite pentru instruirea personalului, proceduri operaionale i ajuttoare, planuri curente i cele legate de continuarea activitii (afacerii), arhive i informaii arhivate, dovezi de audit, resurse software (programe / aplicaii, sisteme de operare, programe utilitare, instrumente pentru dezvoltarea i testarea aplicaiilor, jurnale de evenimente, jurnale de erori, registrele care consemneaz operaii efectuate i stri constatate), resurse hardware (echipamente, inclusiv echipamentele mobile, mijloace / medii de comunicaii).

Securitatea informaiei nseamn protecia n faa ameninrilor identificate i pentru care a fost evaluat riscul materializrii, manifestrii acestora.

Fa de complexitatea atribuiilor ce i revin specialistului n proceduri i instrumente pentru securitatea sistemelor informatice, considerm c practicarea cu succes a acestei ocupaii necesit vaste cunotine teoretice i deprinderi practice, dup cum urmeaz:

solide cunotine de hardware si software: arhitecturi de calculatoare, sisteme de operare, sisteme de fiiere, permisiuni de acces, privilegii, restricii, baze de date, aplicaii diverse;

reele de calculatoare: topologii LAN, WAN, topologii VLAN, principii de securitate a reelelor, servere, proceduri i instrumente de autentificare, conectarea n reea, managementul serviciilor director de resurse, interconectarea reelelor, echipamente de interconectare, segmentarea reelelor, firewall, conectivitatea la Internet, protocoale, infrastructur specific, servicii de reea, comunicaii sigure;

managementul riscului, vulnerabiliti, ameninri; politici, proceduri, instrumente pentru: detectarea intruilor i intruziunilor, protecia fa de atacurile asupra sistemului informatic, pstrarea integritii i confidenialitii datelor.

n plus, specialistul are nevoie de: gndire logic, abiliti de analiz, interpretare, prezentare de informaii, uurin n scrierea de rapoarte, coresponden comercial, manuale, ghiduri, uurin in rezolvarea problemelor, atenie distributiv, posibilitatea de a lucra sub presiune, abiliti de comunicare i persuasiune, capacitatea de a lucra in condiii de stres.


Pagina 6 din 30

Unitile de competene cheie

Unitatea 1: Comunicare n limba oficial Unitatea 2: Comunicare n limbi strine Unitatea 3: Competene de baz n matematic, tiin, tehnologie Unitatea 4: Competene informatice Unitatea 5: Competena de a nva Unitatea 6: Competene sociale i civice

Cod de referin:

Unitile de competene generale

Unitatea 1: Aplicarea prevederilor legale referitoare la sntatea i securitatea n munc i n domeniul situaiilor de urgen

Unitatea 2: Aplicarea normelor de protecie a mediului Unitatea 3: Aplicarea procedurilor de calitate

Cod de referin:

Unitile de competenta specifice

Unitatea 1:Identificarea cerinelor de securitate a informaiei Unitatea 2:Proiectarea procedurilor de securitate Unitatea 3:Elaborarea programului de implementare a securitii

informaiei Unitatea 4: Revizuirea modelului ameninrilor i al

vulnerabilitilor Unitatea 5: Instruirea personalului

Cod de referin:


Pagina 7 din 30

Unitatea 1 - Aplicarea prevederilor legale referitoare la securitatea i sntatea n munc i n domeniul situaiilor de urgen

(unitate general)

Coduri de referin

Descrierea unitii de competen: Unitatea cuprinde cunotinele i deprinderile necesare practicantului n vederea aplicrii corecte a prevederilor legale referitoare la sntatea, securitatea n munc i situaiile de urgen n scopul evitrii producerii accidentelor, acordrii de prim ajutor i interveniei n cazul situaiilor de urgen.

NIVELUL UNITII: 2

Elemente de competen

Criteriile de realizare din punctul de vedere al deprinderilor practice

necesare

Criteriile de realizare din punctul de vedere al cunotinelor necesare

Criteriile de realizare din punctul de vedere al atitudinilor necesare

1. Transpune n practic prevederile legale referitoare la sntatea i securitatea n munc

1.1. nsuirea normelor referitoare la sntatea i securitatea n munc este realizat prin participarea la instruiri periodice, pe teme specifice locului de munc. 1.2. Echipamentul de lucru i protecie specific activitilor de la locul de munc este asigurat conform prevederilor legale. 1.3. Mijloacele de protecie i de intervenie sunt verificate, n ceea ce privete starea lor tehnic i modul de pstrare, conform cu recomandrile productorului i adecvat procedurilor de lucru specifice. 1.4. Situaiile de pericol sunt identificate i analizate n scopul eliminrii imediate. 1.5. Situaiile de pericol care nu pot fi eliminate imediat sunt raportate persoanelor abilitate n luarea deciziilor.

Persoana supus evalurii demonstreaz c tie i nelege:

NSSM i pentru situaii de urgen. Legislaie i proceduri de lucru

specifice locului de munc. Specificul locului de munc.

Situaiile de pericol sunt identificate i analizate cu atenie;

Situaiile de pericol, care nu pot fi eliminate imediat, sunt raportate cu promptitudine persoanelor abilitate;

Raportarea factorilor de risc este fcut pe cale oral sau scris;

nlturarea factorilor de risc este fcut cu responsabilitate;

n caz de accident este contactat imediat personalul specializat i serviciile de urgen;

Msurile de prim ajutor sunt aplicate cu promptitudine i responsabilitate, cu antrenarea ntregii echipe.


Pagina 8 din 30

2. Reduce factorii de risc

2.1. Identificarea factorilor de risc este realizat n funcie de particularitile locului de munc. 2.2. Raportarea factorilor de risc este fcut conform procedurilor interne. 2.3. nlturarea factorilor de risc este fcut conform reglementrilor n vigoare.

3. Respect procedurile de urgen i de evacuare

3.1. Accidentul este semnalat cu promptitudine personalului specializat i serviciilor de urgen. 3.2. Msurile de evacuare n situaii de urgen sunt aplicate corect, respectnd procedurile specifice. 3.3. Msurile de prim ajutor sunt aplicate, n funcie de tipul accidentului.

Gama de variabile Documentaie de referin: legislaie specific securitii i sntii n munc, NSSM i n domeniul situaiilor de urgen, regulament de ordine interioar (ROI), fia postului, plan prevenire i protecie, proceduri interne specifice locului de munc, tematic pentru instruiri etc. Riscuri: pericol de lovire pe ci de circulaie, cdere de obiecte i materiale de la nlime, n timpul manevrrii, proiectare de particule n special n ochi, risc de alunecare, pericol de tiere cu scule i unelte coninnd pri metalice/ ascuite, arsuri etc. Factori de risc: referitori la sarcina de munc, executant, mediul de munc, procesul tehnologic. Particularitile locului de munc: n interiorul unor cldiri, manevrri de piese cu risc, condiii de luminozitate, etc. Situaii de urgen: accidente, cutremure, incendii, explozii, inundaii, etc. Aspecte relevante: fronturi de lucru existente i tipurile activitilor desfurate, modalitatea de organizare a activitilor, existena i repartizarea cilor de acces, numrul de participani n procesul de munc i distribuirea pe posturi de lucru, condiiile de iluminare, etc. Mijloace de semnalizare: utilizate permanent - panouri (indicatoare, plci), culori de securitate; etichete (pictograme, simbol de culoare pe fond); utilizate ocazional - semnale luminoase, acustice, comunicare verbal (pentru atenionare asupra unor evenimente periculoase, chemare sau apel al persoanelor pentru o aciune specific sau evacuare de urgen), etc. Echipamentul individual de protecie a muncii: halat, mnui diverse, etc. Persoane abilitate: inginer, ef de echip, responsabili NSSM i situaii de urgen, medici, pompieri,etc. Servicii abilitate: servicii de ambulan, pompieri, protecie civil, etc. Modaliti de intervenie: ndeprtarea accidentailor din zona periculoas, degajarea locului pentru eliberarea accidentailor, anunarea operativ a persoanelor abilitate, etc. Tipuri de accidente: traumatisme mecanice produse prin cdere, lovire, compresiune, tiere, alunecare, ptrunderea corpurilor strine n ochi, etc.


Pagina 9 din 30

Tehnici de evaluare recomandate - Teoretice - test oral, test scris - Practice - observarea direct n condiii de munc reale - Rapoarte din partea altor persoane.


Pagina 10 din 30

Unitatea 2 - Aplicarea normelor de protecie a mediului

(unitate general)

Coduri de referin

Descrierea unitii de competen

Unitatea cuprinde cunotinele i deprinderile necesare practicantului n vederea aplicrii corecte a normelor de protecie a mediului, n scopul diminurii riscurilor de mediu precum i a consumului de resurse naturale.

NIVELUL UNITII: 2

Elemente de competen Criteriile de realizare din punctul de vedere al deprinderilor practice



1. Transpune n practic norme de protecie a mediului

1.1. Problemele de mediu asociate activitilor desfurate sunt identificate corect n vederea aplicrii normelor de protecie. 1.2. Normele de protecie a mediului sunt nsuite prin instructaje periodice pe tot parcursul executrii lucrrilor. 1.3. Normele de protecie a mediului sunt aplicate corect evitndu-se impactul nociv asupra mediului nconjurtor zonei de lucru.


Norme specifice de protecie a mediului.

Legislaie i proceduri interne de urgen, specifice.

Particularitile locului de munc.

Problemele de mediu, asociate activitilor desfurate sunt identificate cu atenie.

Normele de protecie a mediului sunt nsuite cu responsabilitate.

Eventualele riscuri ce pot afecta factorii de mediu de la locul de munc i vecinti sunt anunate cu promptitudine personalului abilitat i serviciilor de urgen.

Intervenia pentru aplicarea de msuri reparatorii se desfoar cu promptitudine.

Identificarea situaiilor n care se pot produce pierderi necontrolate de resurse naturale se face cu responsabilitate.

2. Acioneaz pentru diminuarea riscurilor de mediu

2.1. Aplicarea procedurilor de recuperare a materialelor refolosibile se face adecvat specificului activitilor derulate. 2.2. Reziduurile rezultate din activitile de pe locul de munc sunt manipulate i depozitate conform procedurilor interne, fr afectarea mediului nconjurtor. 2.3. Intervenia pentru aplicarea de msuri reparatorii asupra mediului nconjurtor se face n conformitate cu procedurile de urgen i legislaia n vigoare. 2.4. Intervenia pentru aplicarea de msuri reparatorii se desfoar evitnd agravarea situaiei deja create.


Pagina 11 din 30

3. Acioneaz pentru diminuarea consumului de resurse naturale. 3.1. Utilizarea resurselor naturale se face judicios. 3.2. Aciunea pentru diminuarea pierderilor de resurse naturale se face permanent, conform procedurilor specifice. Gama de variabile Documentaie de referin: legislaie privind protecia mediului, norme de protecia mediului, regulament de ordine interioar (ROI), fia postului, plan prevenire i protecie, proceduri interne specifice locului de munc, tematic instruiri etc. Factori de mediu: ap, aer, sol, specii i habitate naturale. Riscuri: poluarea apei, aerului, solului, degradarea biodiversitii, etc. Factori de risc ce acioneaz asupra mediului:

- chimici: substane toxice, corozive, inflamabile; - mecanici: micri funcionale ale echipamentelor etc; - termici; - electrici; - biologici; - radiaii; - gaze (inflamabile, explozive); - ali factori de risc ai mediului.

Instructaje periodice: zilnice, sptmnale, lunare sau la intervale stabilite prin instruciuni proprii, n funcie de specificul condiiilor de lucru. Persoane abilitate: inginer, ef de echip, responsabili de mediu, pompieri, etc. Servicii abilitate: servicii de ambulan, pompieri, protecie civil, etc. Resurse naturale: ap, gaze, sol, resurse energetice, etc. Tehnici de evaluare recomandate - Teoretice - test oral, test scris - Practice - observarea direct in condiii de munc reale - Rapoarte din partea altor persoane.


Pagina 12 din 30

Unitatea 3 - Aplicarea procedurilor de calitate

(unitate general)

Coduri de referin

Descrierea unitii de competen Unitatea cuprinde cunotine i deprinderi necesare pentru ndeplinirea cu succes a activitilor privind aplicarea procedurilor de calitate.

NIVELUL UNITII: 2




1. Identific cerinele de calitate specifice

1.1. Cerinele de calitate sunt identificate corect, prin studierea prevederilor referitoare la calitatea lucrrilor, din documentaia tehnic. 1.2. Cerinele de calitate sunt identificate pe baza indicaiilor din fiele tehnologice, procedurile / planurile de control. 1.3. Cerinele de calitate sunt identificate conform Sistemului de Management al Calitii implementat n unitate sau Normelor interne de calitate.


Criterii i reglementri naionale privind asigurarea calitii;

Prevederile din Procedurile Sistemului de Management al Calitii (SMC) implementat n unitate sau ale Normelor interne calitate;

Proceduri de lucru, proceduri de control, tehnologie de lucru etc.;

Proceduri tehnice de asigurare a calitii; Aciunile preventive i corective

specifice locului de munc, prevzute n SMC sau n Normele interne de calitate.

Cerinele de calitate sunt identificate cu atenie i responsabilitate.

Procedurile tehnice de calitate sunt aplicate cu responsabilitate.

Verificarea calitii lucrrilor executate se realizeaz cu responsabilitate.

Verificarea calitii lucrrilor se realizeaz cu exigen i atenie.

Eventualele neconformiti constatate sunt remediate cu promptitudine i responsabilitate.

2. Transpune n practic procedurile tehnice de asigurare a calitii

2.1. Procedurile tehnice de asigurare a calitii sunt aplicate n funcie de tipul lucrrii de executat. 2.2. Procedurile tehnice de asigurare a calitii sunt aplicate permanent, pe ntreaga derulare a lucrrilor, n vederea asigurrii cerinelor de calitate specifice acestora. 2.3. Procedurile tehnice de asigurare a calitii lucrrilor sunt aplicate respectnd precizrile din documentaia tehnic specific.


Pagina 13 din 30

3. Controleaz calitatea lucrrilor executate

3.1. Verificarea calitii lucrrilor executate se realizeaz pentru toate operaiile. 3.2. Caracteristicile tehnice ale lucrrilor realizate sunt verificate prin compararea calitii execuiei cu cerinele de calitate impuse de tehnologia de execuie i normele de calitate specifice. 3.3. Verificarea se realizeaz, prin aplicarea metodelor adecvate tipului de lucrare executat i caracteristicilor tehnice urmrite. 3.4. Verificarea calitii lucrrilor executate se realizeaz, utiliznd corect tehnicile specifice IT.

4. Remediaz neconformitile constatate

4.1. Neconformitile constatate sunt remediate permanent, pe parcursul derulrii lucrrilor. 4.2. Neconformitile sunt eliminate prin nlturarea cauzelor care le genereaz. 4.3. Lucrrile executate ndeplinesc condiiile de calitate impuse de normele de calitate specifice.

Gama de variabile Cerine de calitate: caiete de sarcini, norme interne, criterii i reglementri interne, criterii i reglementri naionale, standarde tehnice, alte specificaii. Tipul lucrrii de executat: identificarea cerinelor de calitate, aplicarea procedurilor tehnice de asigurare a calitii, verificarea calitii lucrrilor executate, remedierea neconformitilor constatate. Documentaia tehnic specific: proceduri de lucru, proceduri de control, tehnologie de lucru, specificaii tehnice, etc. Calitatea execuiei se refer la: funcionarea echipamentelor IT&C la parametrii specificai n fiele tehnice ale acestora Metode de verificare a calitii execuiei: prin teste asupra parametrilor de funcionare a echipamentelor IT&C. Dispozitive / verificatoare pentru controlul i verificarea calitii lucrrilor efectuate: aparate de msur i control specifice activitilor din domeniul IT&C, produse software pentru testare i benchmark etc. Cauze care genereaz defecte: componente i subansambluri electronice necorespunztoare, nerespectarea tehnologiei de lucru, documentaie incomplet, scule necorespunztoare, diverse erori umane, etc.


Pagina 14 din 30

Tehnici de evaluare recomandate

- Teoretice - test oral, test scris - Practice - observarea direct n condiii de munc reale - Rapoarte din partea altor persoane.


Pagina 15 din 30

Unitatea 1. Identificarea cerinelor de securitate a informaiei

(unitate specific)

Coduri de referin

Descrierea unitii de competen Unitatea cuprinde cunotinele i deprinderile necesare pentru:

Identificarea i inventarierea informaiilor, bunurilor, valorilor i resurselor IT folosite n organizaie i care au legtur cu informaia. Inventarul conine obiecte clasificate i etichetate dup gradul de protecie aplicat. Rezultatul identificrii i inventarierii informaiilor i a bunurilor care au legtur cu informaia este formularea declaraiei de intenie referitoare la strategia i obiectivele de securitate a informaiei, la cadrul organizaional de aplicare a strategiei.

Identificarea ameninrilor i a vulnerabilitilor legate de sigurana informaiei i a bunurilor aflate n legtur cu informaiile; identificarea pierderilor (pagube) poteniale provocate n situaia materializrii ameninrilor i probabilitatea de manifestare a ameninrilor. Rezultatul este modelul ameninrilor (vulnerabilitilor).

Analiza riscurilor, respectiv identificarea riscului (probabilitatea de apariie a unui incident), evaluarea impactului (pierdere, pagub) i asigurarea unui echilibru ntre impact i costurile implementrii msurilor de protecie. Rezultatul acestei activiti este planul de management al riscurilor, unde, pentru fiecare risc identificat sunt stabilite aciunile preventive i reactive (rspunsul n situaia materializrii ameninrii / vulnerabilitii).

Operaiile corespunztoare acestei uniti de competen au drept rezultat final documentul care stabilete strategia i obiectivele de securitate a informaiei n organizaie.

NIVELUL UNITII: 5



Criterii de realizare din punctul de vedere al atitudinilor necesare

1. Identific resursele i informaiile de protejat

1.1. Obiectele cuprinse n inventarul informaiilor, al bunurilor, valorilor i resurselor IT care au legtur cu informaia sunt etichetate conform criteriilor de importan proprii organizaiei. 1.2. Clasificarea informaiilor i a bunurilor se face conform gradului de protecie necesar. 1.3. Procedurile speciale de prelucrare, copiere, pstrare, transmitere, distrugere, salvare, restaurare respect gradul de protecie necesar fiecrei clase de informaii.

Persoana supus evalurii demonstreaz c tie i nelege: Particularitile soluiilor IT&C

integrate, Sistemele informatice i modaliti de

analiz a sistemelor informatice, Arhitecturi de calculatoare, sisteme de

operare, sisteme de fiiere, permisiuni la resurse, privilegii i restricii de acces, baze de date, aplicaii diverse,

Tipuri de date, proceduri de pstrare, prelucrare, transmitere, securitatea datelor, confidenialitate, integritate,

Resursele i informaiile ce vor fi protejate prin proceduri de securitate sunt identificate cu atenie i rigurozitate.

Declaraia de intenie pentru strategia i obiectivele referitoare la securitatea informaiei au la baz gndirea logic, argumentarea solid i denot abiliti de prezentare i comunicare eficient a informaiilor.

Ameninrile i vulnerabilitile sunt identificate cu atenie la detalii i denot abiliti de organizare,


Pagina 16 din 30

2. Formuleaz declaraia de intenie privind strategia i obiectivele de securitate a informaiei.

2.1.Securitatea informaiei, domeniul de aplicare, obiectivele generale, importana securitii informaiei pentru organizaie sunt conforme cu viziunea i obiectivele generale ale organizaiei. 2.2. Cadrul general de aplicare i obiectivele msurilor de securitate ce urmeaz a fi implementate sunt stabilite i nsuite de managementul organizaiei

criptare, decriptare, semntur electronic, salvare, restaurarea datelor,

Reele de calculatoare, topologii, LAN, WAN, VLAN, VPN, servere, conectarea la reea, managementul serviciului director de resurse, interconectarea reelelor, echipamente de interconectare, segmentarea reelelor, firewall, conectivitatea la Internet, protocoale, infrastructura specific, servicii de reea, standarde aplicabile reelelor de calculatoare i pentru accesul la Internet,

Echipamentele electronice, erori n funcionarea echipamentelor, jurnale de erori, operaii de corecie i ntreinere,

Erorile n funcionarea componentelor software, a sistemelor de operare, configurri corective, jurnale de erori i de evenimente,

Resursele informatice, atacul asupra resurselor, accesul autorizat i cel neautorizat, atacuri din interior i din exterior, detectarea intruilor i a intruziunilor, acumularea dovezilor,

Msuri specifice de prevenire i diminuare a pagubelor,

Standarde pentru managementul securitii informaiei,

Analiza calitativ i cantitativ a

planificare i de rezolvare rapid a problemelor.

Analiza riscurilor se face cu discernmnt, dovedind abiliti de prioritizare, capacitatea de a lua decizii, identificarea de alternative, creativitate n descoperirea soluiilor noi, creativitate i inovare.

Planul de management al riscului este elaborat cu atenie la detalii i hotrre.

Standardele aplicabile sunt implementate cu rigurozitate i promptitudine.

Strategia de securitate este formulat cu claritate, conciziune, logic i simplu.

3. Identific ameninri i vulnerabiliti 3.1. Ameninrile i vulnerabilitile identificate reflect inventarul informaiilor i al bunurilor care au legtur cu informaia 3.2. Criteriile pentru evaluarea vulnerabilitilor sunt conforme cu viziunea, strategia i obiectivele organizaiei i sunt acceptate i nsuite de managementul organizaiei. 3.3. Ameninrile i vulnerabilitile identificate vizeaz urmtoarele niveluri: personalul angajat, securitatea fizic, accesul la informaii, achiziionarea, ntreinerea i meninerea n funciune a echipamentelor hardware i a componentelor software. 3.4. Managementul vulnerabilitilor i aciunile pentru continuarea activitilor organizaiei folosesc criterii acceptate i nsuite de managementul organizaiei..


Pagina 17 din 30

4.Analizeaz riscuri 4.1. Tabelul riscurilor ordoneaz ameninrile /vulnerabiliti conform criteriilor de importan acceptate i nsuite de managementul organizaiei. 4.2.Fiecrui risc identificat n tabelul riscurilor i corespunde un plan pentru diminuarea riscului i reducerea pierderilor. 4.3. Exist un plan de management pentru fiecare risc unde sunt stipulate msurile preventive i reactive. 4.4.Exist un responsabil desemnat pentru aplicarea fiecrei msuri din planul de management.

riscurilor, managementul riscurilor, evaluarea / cuantificarea pagubelor / pierderilor, evaluarea costurilor pentru implementarea msurilor de securitate, evaluarea rezultatelor implementrii msurilor de securitate,

Organigrama organizaiei, fiele posturilor, planul cldirii i al dependinelor, manualele i ghidurile de utilizare ale calculatoarelor, aplicaiilor, serviciilor, echipamentelor de comunicaii i telecomunicaii.

5. Elaboreaz strategia de securitate privind informaia

5.1. Strategia privind securitatea informaiei pentru organizaie este conform cu riscurile identificate i respect declaraia de intenie. 5.2. Strategia de securitate privind securitatea informaiei este aprobat de managementul organizaiei i este publicat spre a fi cunoscut conducerii, angajailor, partenerilor, clienilor, furnizorilor. 5.3. naintea angajrii / colaborrii personalul organizaiei i prile interesate cunosc i neleg rolul ce le revine n aplicarea strategiei de securitate a informaiei la nivelul organizaiei. 5.4. Strategia de securitate definete: obiective clare, responsabiliti individuale, consecinele nclcrii msurilor de securitate, cerinele privind instruirea personalului pentru nelegerea i aplicarea msurilor de securitate .


Pagina 18 din 30

Gama de variabile n general, pentru informaii diferite i organizaii diferite sunt cerute grade de protecie diferite. Bunurile, valorile, resursele IT inventariate pot fi: informaii indiferent de suport -, componente software, resurse hardware, alte bunuri i servicii asociate. Gradul (nivelul) de protecie asociat obiectelor inventariate poate fi: indiferent, sensibil, confidenial, critic, secret, ultra secret, etc. n funcie de specificul organizaiei, de tipul activitilor desfurate, de soluia IT&C implementat, de pregtirea i motivarea personalului vor fi identificate ameninri i vulnerabiliti din cele mai diverse, legate de informaiile pstrate, prelucrate, transmise, expuse. Profesionitii IT&C sunt responsabili att pentru securitatea informaiei ct i pentru breele de securitate care folosite pot provoca pagube. Ameninarea se refer la un pericol sau la o vulnerabilitate. Ameninrile au probabiliti diferite de a se materializa n evenimente nedorite (incidente). Materializarea unei ameninri poate produce pagube diferite n condiii diferite. Ameninrile (vulnerabilitile) corespunztoare diferitelor niveluri pot fi: erori umane, neglijen, furt, fraud, folosirea incorect a echipamentelor; securitatea fizic se poate referi la: securitatea cldirilor, a cilor de acces, a echipamentelor electronice i de comunicaii, a personalului; accesul la informaii se poate referi la: ncercarea (reuit sau nu) de a citi, vedea (vizualiza), modifica, transfera orice fel de date (texte, grafice, date audio, video, fotografii, desene,etc.); Riscul este posibilitatea de a suferi o pierdere, o pagub. Evaluarea i analiza riscurilor sunt legate de probabilitatea ca o ameninare s se materializeze i de pagubele cuantificabile pe care le poate produce. Analiza riscurilor evideniaz pericole, evalueaz impactul (pierdere, pagub) i identific msurile de protecie, anihilare, remediere, atenuare, transferare a riscului i costurile aferente. Planul de management al riscului se refer la aciunile ce pot conduce la reducerea, eliminarea, transferarea sau asumarea complet a riscului. Responsabilul cu aplicarea msurilor din planul de management al riscului poate fi deintorul sau proprietarul informaiei sau al bunului care are legtur cu informaia. Planul de management al riscului este instrumentul central pe care se bazeaz strategia de securitate privind informaia i va fi folosit n vederea implementrii msurilor de securitate. Tehnici de evaluare recomandate - Teoretice - test oral, proiect, - Practice - observarea direct in condiii de munc reale, demonstraie structurat - Rapoarte din partea altor persoane. - portofoliu de lucrri anterioare.


Pagina 19 din 30

Unitatea 2. Proiectarea procedurilor de securitate

(unitate specific)

Coduri de referin

Descrierea unitii de competen Unitatea cuprinde cunotinele, deprinderile, atitudinile legate de:

Stabilirea gradului n care sistemul de securitate existent n organizaie rspunde strategiei de securitate privind informaia, ameninrilor i riscurilor identificate. Rezultatul acestei activiti este tabloul msurilor aplicate n vederea asigurrii securitii informaiei i evidenierea riscurilor pentru care nu se aplic (nc) msuri de protecie i de securitate.

Elaborarea noilor proceduri de securitate i modificarea celor existente pentru a se conforma strategiei de securitate a organizaiei. Rezultatul se materializeaz n procedurile i msurile de securitate pentru asigurarea securitii informaiei

Identificarea modalitilor de control al gradului de aplicare n practic a msurilor de securitate i evaluarea efectelor pe care le produc. Rezultatele acestei activiti sunt: proceduri de testare / verificare a conformitii cu obiectivele din strategia de securitate privind informaia, criterii de evaluare a gradului de ndeplinire a obiectivelor din strategia de securitate, machete / abloane etalon pentru monitorizarea aplicrii msurilor de securitate.

NIVELUL UNITII: 5





Pagina 20 din 30

1.Proiecteaz tabloul msurilor de securitate privind informaia aplicabile organizaiei.

1.1. Tabloul msurilor de securitate aplicabile organizaiei reflect planul de management al riscurilor i msurile de securitate aplicabile organizaiei. 1.2. Tabloul msurilor de securitate cuprinde seciuni distincte pentru: securitatea resurselor umane, securitatea fizic i a mediului de lucru, securitatea comunicaiilor i a operaiunilor, controlul accesului, achiziionarea, dezvoltarea i mentenana componentelor hardware i software ale sistemului informatic, managementul incidentelor de securitate i al continurii activitii organizaiei. 1.3. Msurile de securitate aplicabile organizaiei corespund strategiei de securitate a organizaiei i obiectivelor de securitate. 1.4. Tabloul msurilor de securitate evideniaz clar riscurile pentru care nu se aplic msuri adecvate de securitate.

Persoana supus evalurii demonstreaz c tie i nelege: Principiile generale de securitate i

aplicarea regulilor de securitate la nivelul componentelor sistemului informatic,

Standarde de securitate a informaiei i aplicarea lor ( BS 7799 / ISO 177799),

Securitatea serverelor i a clienilor, segmentarea reelelor,

Securitatea aplicaiilor, controlul modificrilor,

Accesul i securitatea accesului in Internet i Intranet,

Securitatea sistemelor de operare i a serviciilor,

Criptografie i tehnici de criptare a datelor i a transmisiilor de date,

Controlul securitii accesului, controlul accesului la resurse, securitatea prin parole, drepturi,

Tabloul msurilor de securitate privind informaia aplicabile organizaiei este construit cu rbdare i atenie la detalii i demonstreaz abiliti de organizare i planificare a activitilor.

Procedurile de securitate, msurile de securitate aferente sunt elaborate prin gndire logic, cercetare i dovedesc curiozitate tiinific.

Procedurile i msurile de securitate aferente sunt elaborate cu rbdare, atenie la detalii i rigurozitate.

Testele etalon probeaz abiliti de cercetare /inovare, investigare,curiozitate tiinific, gndire logic.


Pagina 21 din 30

2.Elaborez proceduri noi de securitate i le mbuntete pe cele existente

2.1. Fiecare procedur de securitate cuprinde un set bine determinat de msuri de securitate. 2.2. Fiecrui compartiment, post de lucru, rol n organizaie i sunt aplicabile proceduri de securitate strict stabilite. 2.3. Nendeplinirea procedurilor de securitate antreneaz aplicarea sanciunilor specifice. 2.4. Proprietarul sau deintorul informaiei sau al bunurilor aflate n legtur cu informaia este responsabil de aplicarea strict a procedurilor i msurilor de securitate. 2.5. Procedurile de securitate sunt clare, simple, concise, uor de aplicat i de urmrit i se bazeaz pe tehnologii.

restricii, privilegii, autentificarea utilizatorilor, metode de autentificare, certificate,

Securitatea bazelor de date, securitatea n faa viruilor informatici, smart card-uri,

Securitatea resurselor umane, Securitatea fizic i a mediului de

lucru, Securitatea comunicaiilor, a

operaiunilor, expunerea informaiei, Achiziionarea, dezvoltarea i

ntreinerea componentelor hardware i software ale sistemului informatic,

Managementul incidentelor de securitate i al continurii activitii organizaiei,

Sisteme de detectare a intruilor i intruziunilor, utilitare pentru analiza traficului de date n reea,

Utilitare pentru auditul accesului utilizatorilor la resurse i servicii, utilitare pentru analiza evenimentelor,

Criminalitatea informatic, investigare i colectarea probelor

3.Elaboreaz teste etalon pentru controlul aplicrii msurilor de securitate i pentru evaluarea rezultatelor

3.1. Testele etalon sunt construite pentru fiecare risc identificat. 3.2. Criteriile de conformitate respect strategia i obiectivele de securitate ale organizaiei. 3.3. Testele etalon respect tabloul msurilor de securitate privind informaia.

Gama de variabile Se presupune c n fiecare organizaie funcioneaz msuri de securitate, n form incipient sau bine structurate: pori de acces pzite sau supravegheate de la distan, ncperi / incinte ncuiate, calculatoare protejate prin folosirea conturilor de utilizator si a parolelor, blocarea accesului la ecranul desktop n cazul n care calculatorul nu este folosit un timp ceva mai ndelungat. Aceste msuri minime de securitate vor fi completate cu msuri i proceduri specifice, adecvate obiectivelor de securitate privind informaia ale organizaiei. Obiectivele privind securitatea informaiei difer de la o organizaie la alta i se pot referi la: credibilitatea organizaiei, asigurarea informaiilor sigure, corecte i la timp, creterea n timp a eficienei, deschiderea perspectivelor noi pentru organizaie, motivarea personalului, etc. Elaborarea / adaptarea msurilor de securitate nu va afecta activitatea curent a organizaiei i nici a personalului.


Pagina 22 din 30

Tehnici de evaluare recomandate

- Teoretice - test oral, proiect, - Practice - observarea direct in condiii de munc reale, demonstraie structurat - Rapoarte din partea altor persoane. - portofoliu de lucrri anterioare.


Pagina 23 din 30

Unitatea 3. Elaborarea programului de implementare a securitii informaiei

(unitate specific)

Coduri de referin

Descrierea unitii de competen Unitatea de competen se refer la cunotinele, deprinderile i atitudinile necesare in vedere conducerii / coordonrii programului de implementare a securitii informaiei i se refer la:

Elaborarea, testarea, implementarea i revizuirea planului de implementare a msurilor de securitate corespunztoare ameninrilor (vulnerabilitilor) cunoscute

Elaborarea i implementarea planului de testare periodic a reaciei la incidente Elaborarea i implementarea planului de comunicare (alertare) i de rspuns la apariia (sau numai la suspiciunea) unui

incident de securitate Elaborarea i implementarea procedurilor de acumulare a dovezilor i identificarea tipului de atac i al atacatorului. Raportarea incidentelor i a rspunsurilor la incidente

NIVELUL UNITII: 5




1. Elaboreaz planul de implementare i testare a msurilor de securitate a informaiei

1.1. Msurile de securitate incluse n planurile de implementare i testare respect politica de securitate a organizaiei. 1.2. Msurile de securitate incluse n planurile de implementare i testare unt aprobate de managementul organizaiei care le consider suficiente pentru protejarea sistemului informatic. 1.3. Succesiunea i implementarea msurilor de securitate i a celor de testare sunt aprobate de managementul organizaiei care desemneaz persoanele responsabile cu implementarea i testarea msurilor de securitate



Planificarea i organizarea activitilor,

Msuri specifice de securitate i reguli de aplicare a lor,

Principii de certificare intern i de omologare auditare a sistemelor IT&C,

Standarde specifice: ISO 17799,

Planul de implementare i testare a msurilor de securitate a informaiei este elaborat cu rigurozitate i dovedete atenie la detalii, claritate n luarea deciziilor i urmrirea atingerii obiectivelor, logic n abordarea i rezolvarea problemelor, capacitatea de a rezolva eficient probleme.

Implementarea msurilor de securitate se face cu obiectivitate i denot aptitudini de comunicare i relaionare cu personalul organizaiei i teri implicai n utilizarea resurselor

Monitorizarea sistemului informatic


Pagina 24 din 30

2. Proiecteaz i implementeaz msurile de securitate a informaiei i de testare a reaciei la apariia de incidente

2.1. Msurile de securitate proiectate i implementate vizeaz toate nivelurile de aplicabilitate: Resurse umane Securitatea fizic i a mediului de

lucru Managementul operaiilor i al

comunicaiilor Controlul accesului Achiziia, dezvoltarea i mentenena

sistemelor Managementul incidentelor de

securitate 2.2. Aplicarea msurilor de securitate i a procedurilor de testare a reaciei la incidente nu afecteaz buna desfurare a activitilor organizaiei 2.3. Planul de comunicare (alertare, raportare) a incidentelor i a suspiciunilor de apariie a incidentelor este aprobat de managementul organizaiei i respect legile n vigoare i strategia de securitate a informaiei adoptata de organizaie. 2.4. Procedurile de acumulare a dovezilor privind identificarea atacatorului i a tipului de atac respect legile n vigoare i declaraia universal a drepturilor omului

ETSI, Standarde de evaluare i omologare

intern a securitii echipamentelor i sistemelor ISO 15408,

Metode, proceduri i instrumente pentru testarea securitii informaiei,

Sisteme, utilitare pentru identificarea intruziunilor i a intruilor,

Machete, abloane etalon pentru verificarea condiiilor de securitate curente,

Instrumente, programe utilitare pentru: supravegherea reelelor, supravegherea traficului de date, monitorizarea performanelor sistemelor i a reelelor, detectarea alterrii performanelor.

Instrumente, programe utilitare pentru verificarea conformitii sistemelor cu machete etalon de securitate,

se face cu discernmnt, cu respectarea tuturor legilor n vigoare, prin asumarea rspunderii pentru acumularea dovezilor incriminatorii

3. Monitorizeaz sistemul informatic cu privire la asigurarea securitii informaiei

3.1. Incidentele de securitate i atacurile identificate sunt raportate imediat i sunt complet i corect descrise. 3.2. Raportarea incidentelor se face prin canale formalizate de management. 3.3. Dovezile acumulate respect legile n vigoare i declaraia universal a drepturilor omului


Pagina 25 din 30

Gama de variabile Planul de implementare i testare a msurilor de securitate va fi detaliat n funcie de dezvoltarea tehnologic, obiectivele, strategia, viziunea organizaiei i se va conforma politicii / obiectivelor de securitate acceptate i asumate de managementul organizaiei i cu respectarea legilor n vigoare. Planul de implementare nu va putea fi considerat niciodat perfect: s-a dovedit c apar frecvent situaii neprevzute care conduc la reevaluarea msurilor de securitate, la reordonarea lor sau la identificarea unor condiii mai bune de aplicare. Utilitarele / machetele / abloanele folosite pentru monitorizare se vor modifica o dat cu modificarea msurilor de securitate aplicate i a posibilitilor de supraveghere / auditare. Nu n ultimul rnd, atenuarea / diminuarea unor riscuri poate atrage apariia unor vulnerabiliti noi care vor trebui la rndul lor tratate, rezolvate sau asumate. Incidentele de securitate vor fi descrise / caracterizate prin: simptome, origine, punct de intrare , intenia atacatorului, gravitatea incidentului, expunerea i aciunea ntreprins pentru limitarea pagubelor. Incidentele de securitate pot fi: atacuri, vulnerabiliti dovedite, bree recunoscute n securitate, etc. Masuri specifice de securitate pot fi cele legate de: resurse umane, securitatea fizic i a mediului de lucru, managementul operaiunilor i al comunicaiilor, controlul accesului, achiziia, dezvoltarea i ntreinerea sistemelor, managementul incidentelor, etc. Tehnici de evaluare recomandate

- Teoretice - test oral, proiect - Practice - observarea direct in condiii de munc reale, demonstraie structurat - Rapoarte din partea altor persoane. - portofoliu de lucrri anterioare.


Pagina 26 din 30

Unitatea 4. Revizuirea modelului ameninrilor i al vulnerabilitilor

(unitate specific)

Coduri de referin

Descrierea unitii de competen Unitatea de competen cuprinde cunotinele, deprinderile i atitudinile legate de asigurarea securitii informaiei ca activitate continu. Politica de securitate a unei organizaii, msurile de securitate, planul de aplicare a msurilor de securitate, msurile de control i aplicarea lor vor fi revizuite periodic sau ori de cte ori este nevoie. Incidentele de securitate raportate conduc la reevaluarea riscurilor i stabilirea msurilor de securitate corespunztoare. Revizuirea modelului ameninrilor i al vulnerabilitilor este necesar pentru c n organizaie:

apar informaii i resurse noi legate de acestea au loc modificri ale sistemului informatic (soluia IT&C) ceea ce determin vulnerabiliti i riscuri noi sunt identificate noi msuri de securitate i proceduri adecvate modificrilor survenite

NIVELUL UNITII: 5





Pagina 27 din 30

1.Identific modificrile aprute n modelul ameninrilor i al vulnerabilitilor.

1.1. Informaiile i resursele noi legate de modificarea ameninrilor sunt identificate i inventariate cu promptitudine pe msura apariiei lor. 1.2. Inventarul informaiilor vehiculate i prelucrate n organizaie, al bunurilor, valorilor, resurselor IT care au legtur cu acestea este completat / modificat prompt cu informaiile identificate. 1.3. Modificrile tehnologice i cele curente aduse sistemului informatic (soluiei IT&C) sunt identificate separat i analizate pentru gsirea vulnerabilitilor i riscurilor noi. 1.4. Tabelul riscurilor este reordonat dup includerea ameninrilor /vulnerabilitilor identificate conform criteriilor de importan acceptate i nsuite de managementul organizaiei. 1.5. Fiecrui risc identificat n tabelul riscurilor i corespunde un plan pentru diminuarea riscului i reducerea pierderilor n conformitate cu strategia de securitate a organizaiei.



Standarde de securitate a informaiei i aplicarea lor ( BS 7799 / ISO 177799)

Securitatea serverelor i a clienilor, segmentarea reelelor,

Securitatea aplicaiilor, controlul modificrilor,

Accesul i securitatea accesului in Internet i Intranet,

Securitatea sistemelor de operare, a serviciilor,

Criptografie i tehnici de criptare a datelor i a transmisiilor de date,

Controlul securitii accesului, controlul accesului la resurse, securitatea prin parole, drepturi, restricii, privilegii, autentificarea utilizatorilor, metode de autentificare,

Resursele i informaiile protejate prin proceduri de securitate sunt identificate cu atenie i rigurozitate.

Ameninrile i vulnerabilitile sunt identificate cu atenie la detalii i denot abiliti de organizare,

Tabloul msurilor de securitate privind informaia aplicabile organizaiei este construit cu rbdare i atenie la detalii i demonstreaz abiliti de organizare i planificare a activitilor

Procedurile de securitate, msurile de securitate aferente sunt elaborate prin gndire logic, cercetare i dovedesc curiozitate tiinific

Procedurile i msurile de securitate aferente sunt elaborate cu rbdare, atenie la detalii i rigurozitate


Pagina 28 din 30

2. Revizuiete tabloul msurilor de securitate privind informaia aplicabile organizaiei

2.1. Tabloul msurilor de securitate aplicabile organizaiei reflect planul de management al riscurilor i msurile de securitate aplicabile organizaiei. 2.2. Tabloul msurilor de securitate evideniaz clar i separat riscurile pentru care nu se aplic msuri adecvate de securitate.

certificate, Securitatea bazelor de date,

securitatea n faa viruilor informatici, smart card-uri,

Securitatea resurselor umane Securitatea fizic i a mediului de

lucru, Securitatea comunicaiilor, a

operaiunilor, expunerea informaiei Achiziionarea, dezvoltarea i

mentenana componentelor hardware i software ale sistemului informatic,

Managementul incidentelor de securitate i al continurii activitii organizaiei,

Sisteme de detectare a intruilor i intruziunilor, utilitare pentru analiza traficului de date n reea,

Utilitare pentru auditul accesului utilizatorilor la resurse i servicii, utilitare pentru analiza evenimentelor,

Criminalitatea informatic, investigare i colectarea probelor.

Gama de variabile Activitatea de protejare a sistemelor informatice nu se ncheie niciodat. Responsabilul cu elaborarea i implementarea msurilor de securitate trebuie s fac fa noilor provocri tehnologice legate de existena, transmiterea, pstrarea, prelucrarea informaiei Msurile de securitate identificate i aplicate vor mpiedica accesul, folosirea neautorizat i distrugerea informaiilor i a echipamentelor legate de acestea. Tehnici de evaluare recomandate - Teoretice - test oral, proiect, - Practice - observarea direct in condiii de munc reale, demonstraie structurat - Rapoarte din partea altor persoane. - portofoliu de lucrri anterioare.


Pagina 29 din 30

Unitatea 5: Instruirea personalului

(unitate specific)

Coduri de referin

Descrierea unitii de competen Unitatea de competen cuprinde cunotinele, deprinderile i atitudinile pentru instruirea i antrenarea personalului pentru dezvoltarea n organizaie a unei culturi a securitii informaiei; codurile de conduit i ghidurile de bune practici sunt componentele principale necesare dezvoltrii unei culturi a securitii informaiei. Existena, calitatea i utilizarea acestora ntrein interesul pentru utilizarea i transmiterea informaiilor corecte i sigure. Educarea (instruirea) managementului de vrf asupra managementului securitii informaiei i asupra posibilelor beneficii este deosebit de important pentru succesul general al organizaiei. Gradul de securitate a unui sistem informatic depinde n mare msur de gradul de instruire n domeniu a persoanelor implicate, de motivarea i - nu n ultimul rnd - de integritatea lor moral.

NIVELUL UNITII:5




1.Elaboreaz coduri de conduit, ghiduri practice i manuale pentru aplicarea n organizaie a msurilor de securitate

1.1. Responsabilitile i rolurile ndeplinite n aplicarea msurilor de securitate componente ale codului de conduit - sunt nscrise n fia postului pentru tot personalul organizaiei. 1.2. Sanciunile disciplinare pentru situaia nclcrii msurilor de securitate - sunt formulate clar i sunt cunoscute de personalul organizaiei. 1.3. Codurile de conduit, ghidurile practice, manualele sunt complete, concise, clare, fr ambiguiti. 1.4. Codurile de conduit, ghidurile practice, manualele sunt permanent disponibile pentru tot personalul organizaiei.

Persoana supus evalurii demonstreaz c tie i nelege: Tehnici de ordonare i prezentare

adecvat a informaiilor, Tehnici de redactare a materialelor

scrise, Tehnici de captare a ateniei

interlocutorilor, Metode de instruire adecvate adulilor.

Codurile de conduit, ghidurile practice i manualele pentru aplicarea n organizaie a msurilor de securitate sunt elaborate cu atenie i dovedesc conlucrarea cu toate compartimentele funcionale ale organizaiei.

Codurile de conduit, ghidurile practice i manualele pentru aplicarea n organizaie a msurilor de securitate sunt redactate simplu i corect, fr ambiguiti i sunt uor de parcurs i de neles.

2.Organizeaz i conduce sesiuni de instruire (antrenament)

2.1. Sesiunile de instruire sunt organizate cu periodic. 2.2.Sesiunile de instruire sunt preponderent practice. 2.3. Sesiunile de instruire testeaz gradul in care personalul cunoate i nelege responsabilitile ce i revin.


Pagina 30 din 30

Gama de variabile Ghidurile practice, manualele codurile de conduit au rolul de a asigura un nivel adecvat de contientizare, educaie i instruire n privina msurilor de securitate i a utilizrii corecte a resurselor i sistemelor n condiiile minimizrii riscurilor de securitate. Responsabilitile i rolurile au n vedere: confidenialitatea, protecia datelor, etica, utilizarea corespunztoare a echipamentelor i sistemelor, ntr-un cuvnt practicile considerate corecte n organizaie. Sesiunile de instruire i cele de exerciii practice au drept scop sensibilizarea personalului organizaiei fa de problemele de securitate a informaiei, astfel nct s neleag responsabilitile ce i revin i s fie implicat n aciunile de reducere a riscurilor de furt, fraud, folosire necorespunztoare a sistemelor. Sanciunile disciplinare pentru acele persoane care ncalc regulile (msurile) de securitate trebuie considerate drept elemente de descurajare a practicilor neconforme cu politica de securitate a organizaiei. Tehnici de evaluare recomandate - Teoretice - test oral, test scris, proiect, - Practice - observarea direct in condiii de munc reale, demonstraie structurat - Rapoarte din partea altor persoane. - portofoliu de lucrri anterioare.

Specialist Securitate IT

Documents

Transcript of Specialist Securitate IT