Włączenie kwalifikacji rynkowej "Zarządzanie cyberbezpieczeństwem - menedżer" do Zintegrowanego Systemu Kwalifikacji.

OBWIESZCZENIE
MINISTRA CYFRYZACJI 1
z dnia 8 lutego 2021 r.
w sprawie włączenia kwalifikacji rynkowej "Zarządzanie cyberbezpieczeństwem - menedżer" do Zintegrowanego Systemu Kwalifikacji

Na podstawie art. 25 ust. 1 i 2 ustawy z dnia 22 grudnia 2015 r. o Zintegrowanym Systemie Kwalifikacji (Dz. U. z 2020 r. poz. 226) ogłasza się w załączniku do niniejszego obwieszczenia informacje o włączeniu kwalifikacji rynkowej "Zarządzanie cyberbezpieczeństwem - menedżer" do Zintegrowanego Systemu Kwalifikacji.

ZAŁĄCZNIK

INFORMACJE O WŁĄCZENIU KWALIFIKACJI RYNKOWEJ "ZARZĄDZANIE CYBERBEZPIECZEŃSTWEM - MENEDŻER" DO ZINTEGROWANEGO SYSTEMU KWALIFIKACJI

1.
Nazwa kwalifikacji rynkowej
Zarządzanie cyberbezpieczeństwem - menedżer
2.
Nazwa dokumentu potwierdzającego nadanie kwalifikacji rynkowej
Certyfikat
3.
Okres ważności dokumentu potwierdzającego nadanie kwalifikacji rynkowej
Certyfikat jest ważny 5 lat. Przedłużenie następuje na podstawie przedłożenia dokumentów potwierdzających:

- zatrudnienie przez minimum 3 lata w okresie ostatnich 5 lat poprzedzających przedłużenie certyfikatu w charakterze osoby odpowiedzialnej za realizację zadań tożsamych z uzyskaną kwalifikacją;

- ustawiczne doskonalenie kompetencji poprzez między innymi udział w konferencjach, szkoleniach, warsztatach o tematyce tożsamej z uzyskaną kwalifikacją w wymiarze minimum 200 godzin w okresie ostatnich 5 lat poprzedzających przedłużenie certyfikatu.

4.
Poziom Polskiej Ramy Kwalifikacji przypisany do kwalifikacji rynkowej (ewentualnie odniesienie do poziomu Sektorowej Ramy Kwalifikacji)
6 poziom Polskiej Ramy Kwalifikacji
5.
Efekty uczenia się wymagane dla kwalifikacji rynkowej
Syntetyczna charakterystyka efektów uczenia się
Osoba z kwalifikacją "Zarządzanie cyberbezpieczeństwem - menedżer" posiada wiedzę z obszaru bezpieczeństwa informacji i cyberbezpieczeństwa. Posługuje się regulacjami formalno-prawnymi krajowymi i UE z obszaru cyberbezpieczeństwa. Posiada wiedzę dotyczącą opracowywania strategii cyberbezpieczeństwa w organizacji, wdrażania środków, planów i procedur bezpieczeństwa IT, zarządzania ryzykiem, ciągłością działania oraz incydentami cyberbezpieczeństwa i audytu bezpieczeństwa. Posiada wiedzę w zakresie funkcjonowania zespołów reagowania na incydenty bezpieczeństwa komputerowego. Dysponuje również wiedzą w obszarze bezpieczeństwa infrastruktury teleinformatycznej. Posiada również przygotowanie merytoryczne w obszarze zastosowań informatyki śledczej.
Zestaw 1. Posługiwanie się wiedzą z obszaru cyberbezpieczeństwa
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje pojęcia z zakresu cyberbezpieczeństwa - omawia bezpieczeństwo komputerowe;

- omawia cele bezpieczeństwa informacji;

- charakteryzuje terminologię z obszaru bezpieczeństwa informacji (np. cyberatak, incydent, wirus);

- omawia pojęcia: cyberbezpieczeństwo, cyberprzestrzeń i cyberprzestrzeń RP, bezpieczeństwo i ochrona cyberprzestrzeni, bezpieczeństwo sieci i systemów informatycznych;

- charakteryzuje zagrożenia teleinformatyczne (np. cyberprzestępczość, haking, haktywizm, haktywizm patriotyczny, cyberterroryzm, cyberszpiegostwo, militarne wykorzystanie cyberprzestrzeni);

rozróżnia zagrożenia, ataki i aktywa;

- omawia funkcjonalne wymagania bezpieczeństwa.

02.Omawia przepisy prawne i opracowania w obszarze cyberbezpieczeństwa - omawia krajowe przepisy prawne dotyczące cyberbezpieczeństwa, w tym: kodeks karny w obszarze cyberprzestępczości, ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o działaniach antyterrorystycznych w obszarze cyberbezpieczeństwa, ustawa o usługach zaufania oraz identyfikacji elektronicznej, ustawa o ochronie danych osobowych, przepisy o własności intelektualnej;

- omawia opracowania dotyczące cyberbezpieczeństwa RP, w tym: plany, doktryny, koncepcje, wizje, ramy, strategie, programy, uchwały dotyczące ochrony cyberprzestrzeni;

- omawia wyniki kontroli organów państwowych w obszarze zarządzania cyberbezpieczeństwem;

- omawia analizy i rekomendacje eksperckie i naukowe dotyczące cyberbezpieczeństwa w Polsce i na świecie;

- omawia przepisy prawne oraz opracowania Unii Europejskiej dotyczące cyberbezpieczeństwa (np. obowiązujące konwencje, dyrektywy, strategie, rozporządzenia, analizy);

- omawia kodeksy etyki i postępowania sformułowane przez ACM, IEEE oraz AITP.

Zestaw 2. Zarządzanie cyberbezpieczeństwem
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Omawia standardy i organizacje standaryzacyjne w obszarze bezpieczeństwa informacji oraz zarządzania usługami IT - charakteryzuje standardy z obszaru bezpieczeństwa informacji opracowane przez organizacje standaryzacyjne, takie jak NIST, ITU-T, ISO, IEEE, ISACA;

- omawia wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji według rodziny norm ISO/IEC 27000;

- identyfikuje i opisuje zbiór najlepszych praktyk zarządzania usługami IT w odniesieniu do cyberbezpieczeństwa zgodnie z kodeksem postępowania dla działów informatyki określanym jako İTİL (ang. Information Technology Infrastructure Library);

- omawia standard COBIT (ang. Control Objectives for Information and related Technology) opracowany przez ISACA oraz IT Governance Institute stanowiący zbiór dobrych praktyk z zakresu IT Governance.

02.Omawia strategię cyberbezpieczeństwa w organizacji - omawia zasady projektowania cyberbezpieczeństwa;

- określa role i przypisuje odpowiedzialności poszczególnych osób w procesie zarządzania cyberbezpieczeństwem;

- wymienia i wartościuje zagrożenia oraz ataki, jak również techniki wykorzystywania słabości bezpieczeństwa;

- omawia architekturę bezpieczeństwa informacji w organizacji;

- wymienia przykłady implementacji strategii w odniesieniu do obowiązujących norm i standardów;

- różnicuje sposoby diagnozy i walidacji skuteczności procesu zarządzania cyberbezpieczeństwem.

Zestaw 3. Zarządzanie ryzykiem
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje standardy i metody oceny ryzyka bezpieczeństwa informacji - omawia i analizuje standardy opisujące procesy oceny ryzyka bezpieczeństwa informatycznego, w tym: ISO 13335, ISO 27005, ISO 31000, NIST SP 800-30;

- charakteryzuje inne metodyki szacowania ryzyka, w tym: EBIOS, MAGERIT, CRAMM, MEHARI, MIGRA, OCTAVE.

02.Charakteryzuje ryzyko bezpieczeństwa informacji w organizacji - opisuje proces zarządzania ryzykiem; identyfikuje i grupuje wartości aktywów w organizacji;

- kategoryzuje zagrożenia i podatności (ryzyka) dla tych aktywów;

- omawia podejścia do oceny ryzyka bezpieczeństwa (podstawowe, nieformalne, szczegółowe, łączone);

- wybiera i uzasadnia optymalne podejście do oceny ryzyka bezpieczeństwa.

Zestaw 4. Bezpieczeństwo IT i zarządzanie ciągłością działania
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje środki, plany i procedury bezpieczeństwa IT - porównuje rodzaje środków bezpieczeństwa (organizacyjne, operacyjne, techniczne) w oparciu o standardy, w tym ISO 27002, ISO 13335, FIPS 200, NIST SP 800-53;

- omawia budowę oraz etapy tworzenia i wdrażania planu bezpieczeństwa IT w organizacji;

- opisuje aspekty monitorowania zagrożeń w procesie zarządzania bezpieczeństwem IT.

02.Charakteryzuje regulacje formalno-prawne i standardy związane z zarządzaniem ciągłością działania - omawia zawarte w krajowych aktach prawnych zapisy dotyczące wymagań w zakresie zapewnienia ciągłości działania;

- charakteryzuje normy ISO 22301 oraz ISO 22313;

- opisuje zasady ustanawiania strategii zarządzania i polityki ciągłości działania w organizacji.

Zestaw 5. Zarządzanie incydentami
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje obszar zarządzania zespołami reagowania na incydenty bezpieczeństwa komputerowego - charakteryzuje zasady działania zespołów reagowania na incydenty bezpieczeństwa komputerowego (CERT, CSiRT);

- wskazuje korzyści związane z posiadaniem procedur reagowania na incydenty;

- omawia zasady działania krajowego systemu cyberbezpieczeństwa.

02.Omawia regulacje formalno-prawne, standardy, procedury i dobre praktyki związane z zarządzaniem incydentami - opisuje standardy oraz regulacje formalno-prawne związane z zarządzaniem incydentami;

- dobiera i uzasadnia metody zapewnienia usystematyzowanego podejścia do zarządzania i obsługi incydentów bezpieczeństwa informacji;

- omawia zasady klasyfikacji i kwalifikacji zdarzeń jako incydentów bezpieczeństwa;

- analizuje zasady nadawania priorytetów obsługi zdarzeń i minimalizacji strat związanych z nieprawidłową obsługą incydentów bezpieczeństwa informacji.

Zestaw 6. Audyt bezpieczeństwa w obszarze cyberbezpieczeństwa
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje obszar audytu bezpieczeństwa - omawia terminy stosowane w obszarze audytu bezpieczeństwa;

- opisuje cele i zakres audytu bezpieczeństwa;

- omawia zasady opracowywania wymagań dotyczących audytu bezpieczeństwa;

- porównuje standardy audytowania bezpieczeństwa;

- omawia przebieg procesu audytu bezpieczeństwa;

- opisuje narzędzia wykorzystywane w trakcie audytu bezpieczeństwa;

- charakteryzuje zasady raportowania wyników bezpieczeństwa.

Zestaw 7. Bezpieczeństwo fizyczne i bezpieczeństwo zasobów ludzkich w obszarze cyberbezpieczeństwa
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje zagadnienia dotyczące bezpieczeństwa fizycznego infrastruktury teleinformatycznej - charakteryzuje zagrożenia środowiskowe;

- charakteryzuje zagrożenia techniczne;

- charakteryzuje zagrożenia związane z działalnością człowieka.

02.Omawia dobre praktyki i zasady zatrudniania pracowników w obszarze cyberbezpieczeństwa - wymienia cele bezpieczeństwa procesu rekrutacji;

- opisuje wytyczne dotyczące sprawdzania kandydatów na kluczowe stanowiska w organizacji związane z zarządzaniem cyberbezpieczeństwem;

- wylicza i wartościuje korzyści związane z motywowaniem pracowników do podnoszenia wiedzy z zakresu cyberbezpieczeństwa i stosowania się do procedur w tym zakresie;

- charakteryzuje zagadnienia dotyczące obszaru podnoszenia świadomości bezpieczeństwa, szkoleń i programów edukacyjnych;

- omawia zagadnienia etyki zawodowej w obszarze cyberbezpieczeństwa i aspekty własności intelektualnej.

Zestaw 8. Informatyka śledcza
Poszczególne efekty uczenia się Kryteria weryfikacji ich osiągnięcia
01 .Charakteryzuje zagadnienia dotyczące norm, standardów i dobrych praktyk informatyki śledczej - charakteryzuje wytyczne dotyczące aspektów technicznych i najlepszych praktyk informatyki śledczej, w tym SWGDE (ang. The Scientific Working Group on Digital Evidence), SWGIT (ang. The Scientific Working Group on Imaging Technology);

- omawia standardy ANSI (ang. American National Standards Institute), NIST (ang. National Institute of Standard and Technology) oraz normy międzynarodowe ISO/IEC z rodziny norm ISO/IEC 27000 w obszarze informatyki śledczej.

02.Charakteryzuje zasady zabezpieczania i metody analizy dowodów elektronicznych - charakteryzuje sposoby prawidłowego zabezpieczania materiału dowodowego na potrzeby dochodzenia wewnętrznego, jak również na potrzeby procesowe;

- omawia zasady postępowania z cyfrowymi śladami dowodowymi;

- wymienia metody analizy zawartości komputerów i urządzeń mobilnych za pomocą specjalistycznych narzędzi oraz oprogramowania dedykowanego do prowadzenia analiz;

- opisuje prawa i obowiązki podmiotów w zakresie realizacji czynności procesowych prowadzonych w ramach postępowań przygotowawczych przez służby bezpieczeństwa i porządku publicznego.

6.
Wymagania dotyczące walidacji i podmiotów przeprowadzających walidację
1. Etap weryfikacji.

1.1. Metody.

Do weryfikacji efektów uczenia się stosuje się wyłącznie: test teoretyczny (pisemny) lub analizę dowodów i deklaracji opcjonalnie uzupełnioną wywiadem swobodnym.

1.2. Zasoby kadrowe.

Komisja walidacyjna musi składać się z co najmniej dwóch członków, w tym przewodniczącego. Przewodniczący komisji musi spełniać następujące warunki: - posiada kwalifikację pełną z 7 poziomem PRK (dyplom ukończenia studiów II stopnia); - legitymuje się co najmniej 3-letnim doświadczeniem w przeprowadzaniu egzaminów, osiągniętym w okresie ostatnich 6 lat; - legitymuje się co najmniej jednym ważnym certyfikatem CISA, CISM, CRISC, CGEIT, CISSP, wymienionym między innymi w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999). Drugi członek komisji walidacyjnej musi spełniać następujące warunki: - posiada kwalifikację pełną z 6 PRK (dyplom ukończenia studiów I stopnia); - legitymuje się co najmniej rocznym doświadczeniem w przeprowadzaniu egzaminów w obszarze technologii cyfrowej, osiągniętym w okresie ostatnich 3 lat. Ponadto, co najmniej jeden z członków komisji musi posiadać udokumentowane minimum 5-letnie doświadczenie zawodowe w obszarze cyberbezpieczeństwa.

1.3. Sposób organizacji walidacji oraz warunki organizacyjne i materialne.

Test teoretyczny jest przeprowadzany w ośrodku egzaminacyjnym za pomocą zautomatyzowanego systemu elektronicznego (system rejestracji kandydatów i obsługi egzaminów). Wykorzystanie innych narzędzi/aplikacji pomocniczych, w tym urządzeń mobilnych oraz dostępu do sieci Internet, jest dopuszczalne wyłącznie w sytuacji, w której jest to wymagane specyfiką zadań testowych. Instytucja certyfikująca musi zapewnić: - salę z wyposażeniem multimedialnym i możliwością rejestracji audio-wideo przebiegu walidacji oraz stanowiska egzaminacyjne umożliwiające samodzielną pracę każdej osobie przystępującej do walidacji, np. boksy biurowe zapewniające przeprowadzenie testów z zachowaniem bezpieczeństwa i poufności procesu walidacyjnego; - centralnie zarządzaną platformę informatyczną do przeprowadzania testów i przechowywania wyników (system rejestracji kandydatów i obsługi egzaminów) spełniającą wymagania określone w przepisach RODO; - sprzęt komputerowy oraz dostęp do systemu obsługi testów i egzaminów indywidualnie dla każdego uczestnika; - nadzór osobowy w charakterze obserwatora/obserwatorów w celu zapewnienia prawidłowego przebiegu egzaminu (w tym przeciwdziałania nieuczciwym praktykom). Warunki dodatkowe: - instytucja certyfikująca nie może kształcić oraz prowadzić szkoleń, kursów itp. z zakresu wiedzy ujętej w przedmiotowej kwalifikacji; - walidacja jest prowadzona zgodnie z procedurami instytucji certyfikującej we własnym zakresie lub w akredytowanych laboratoriach przez certyfikowanych egzaminatorów; - każdy asesor walidacyjny oraz obserwator jest zobowiązany do złożenia oświadczenia o braku okoliczności stanowiących podstawę wyłączenia z czynności egzaminacyjnych (np. konflikt interesów).

2. Etapy identyfikowania i dokumentowania.

Instytucja certyfikująca musi zapewnić wsparcie doradcy walidacyjnego. Doradca walidacyjny musi spełnić następujące warunki: - zgodność z profilem kompetencyjnym doradcy walidacyjnego określonym w podręczniku "WALIDACJA - nowe możliwości zdobywania kwalifikacji" opracowanym przez Instytut Badań Edukacyjnych, Warszawa 2016 (link:

http://www.kwalifikacie.qov.pl/download/Publikacie/Walidacia nowe możliwości zdobywania kwalifikacji z wkladka.pdf):

- min. 5 lat doświadczenia zawodowego w branży teleinformatycznej.

Dokumentacja dowodowa z przeprowadzonej walidacji przechowywana jest przez minimum 5 lat. Ponadto instytucja certyfikująca jest zobowiązana do bezterminowego prowadzenia rejestru wydanych certyfikatów. Certyfikaty muszą być niepowtarzalne (w rozumieniu druku ścisłego zarachowania), posiadać cechy umożliwiające jednoznaczną identyfikację instytucji certyfikującej oraz jedno z wybranych zabezpieczeń - optyczne (np. hologram, kinegram) lub inne.

7.
Warunki, jakie musi spełniać osoba przystępująca do walidacji
- kwalifikacja pełna z 6 poziomem PRK;

- udokumentowane 3-letnie doświadczenie zawodowe w obszarze cyberbezpieczeństwa w ciągu ostatnich 6 lat;

- oświadczenie o niekaralności za przestępstwo popełnione umyślnie ścigane z oskarżenia publicznego lub umyślne przestępstwo skarbowe.

8.
Termin dokonywania przeglądu kwalifikacji
Nie rzadziej niż raz na 10 lat.
1 Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 6 października 2020 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1716).

Zmiany w prawie

Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Bez kary za brak lekarza w karetce do połowy przyszłego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz trzeci czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa medycznego. Ostatnio termin wyznaczono na koniec tego roku, teraz ma to być czerwiec 2025 r.

Beata Dązbłaż 23.09.2024
Darowizny dla ofiar powodzi z zerową stawką VAT

Można już stosować zerową stawkę VAT na darowizny dla ofiar powodzi - rozporządzenie w tej sprawie obowiązuje od 18 września, ale z możliwością stosowania go do darowizn towarów i nieodpłatnych usług przekazanych począwszy od 12 września do 31 grudnia 2024 r. Stawka 0 proc. będzie stosowana do darowizn wszelkiego rodzaju towarów lub usług niezbędnych do wsparcia poszkodowanych.

Monika Sewastianowicz 18.09.2024
Lewiatan: Za reformę płacy minimalnej będą musieli zapłacić pracodawcy

Projekt ustawy o minimalnym wynagrodzeniu jest słaby legislacyjnie. Nie tylko nie realizuje celów zawartych w unijnej dyrektywie, ale może przyczynić się do pogłębienia problemów firm i spadku zatrudnienia. Nie poprawi też jakości pracy w naszym kraju. Utrwala zwiększanie presji płacowej – uważa Konfederacja Lewiatan.

Grażyna J. Leśniak 10.09.2024