Włączenie kwalifikacji rynkowej "Zarządzanie niezawodnością i cyberbezpieczeństwem w zakresie urządzeń oraz technologii w przemyśle" do Zintegrowanego Systemu Kwalifikacji.

Osoba posiadająca kwalifikację "Zarządzanie niezawodnością i cyberbezpieczeństwem w zakresie urządzeń oraz technologii w przemyśle" samodzielnie realizuje plan zapobiegania zagrożeniom w zakresie urządzeń oraz technologii w przedsiębiorstwie. Posiada wiedzę dotyczącą niezawodności i cyberbezpieczeństwa oraz krajowych i europejskich regulacji prawnych w tych obszarach. Posługuje się technikami analizy zagrożeń i analizy ryzyka, np. HAZOP (Hazard and Operability Study), FMEA. Wykorzystuje systemy IT i OT w procesach biznesowych i operacyjnych przedsiębiorstwa. Opracowuje elementy schematu IT/OT. Określa wymagania dla dostawców rozwiązań technicznych. Lokalizuje miejsce naruszenia bezpieczeństwa w obszarze technologicznym po skutecznym cyberataku. Sporządza rejestr skutków cyberataku w sprzęcie. Tworzy scenariusze działań naprawczych i odtworzenia pracy sprzętu.

- omawia pojęcie cyklu życia obiektu w kontekście sprzętu i oprogramowania zgodnie z obowiązującymi normami UE;

- charakteryzuje cyberzagrożenia pochodzące z cyberprzestrzeni, np. ransomware, trojany, wirusy, robaki, bots, DDoS (Distributed Denial of Service);

- omawia urządzenia oraz technologie sieciowe służące do przeciwdziałania zagrożeniom, takie jak: Firewall, Intrusion Detection/Prevention System, Deep Packet Inspection.

- omawia zasady tworzenia i zastosowanie matrycy ryzyk;

- charakteryzuje dostępne na rynku narzędzia programowe do wyznaczania rozkładów uszkodzeń (np. rozkład logarytmiczny, dwuparametrowy rozkład WEIBULL, chi-kwadrat);

- omawia dostępne na rynku generyczne bazy o uszkodzeniach (np. OREDA, MILITARY HANDBOOK).

- wymienia europejskie normy dotyczące systemów zarządzania ciągłością działania;

- omawia regulacje w zakresie bezpieczeństwa wydane przez NIST, ENISA;

- charakteryzuje aktualne regulacje prawne dotyczące bezpieczeństwa funkcjonalnego elektrycznych, elektronicznych i programowalnych elektronicznych systemów związanych z bezpieczeństwem;

- charakteryzuje aktualne regulacje prawne dotyczące bezpieczeństwa funkcjonalnego odnoszące się do przyrządowych systemów bezpieczeństwa w sektorze przemysłu procesowego.

- zbiera dane niezbędne do uaktualnienia matrycy ryzyk;

- opracowuje wskazane elementy schematu IT/OT (technologia informatyczna / sterowanie przemysłowe);

- posługuje się dostępnym sprzętem i technologiami sieciowymi służącymi do zapobiegania zagrożeniom, np. Firewall, Intrusion Detection System, Intrusion Prevention System, Deep Packet Inspection, buduje strefy bezpieczeństwa poprzez właściwą segregację i segmentację sieci, posługuje się bazami genetycznymi danych o uszkodzeniach, np. Military, Handbook.

- omawia elementy rejestru serwisu sprzętu i aktualizacji oprogramowania;

- określa wymagania dla dostawców rozwiązań technicznych;

- formułuje wnioski dla kadry zarządzającej.

- lokalizuje miejsce naruszenia bezpieczeństwa w obszarze technologicznym;

- omawia procedury postępowania awaryjnego w zlokalizowanym obszarze naruszenia cyberbezpieczeństwa.

- określa minimalne wymagania sprzętowe do uruchomienia procesu naprawczego i serwisu;

- opisuje kroki, jakie należy podjąć w celu uruchomienia procesu naprawy i serwisu.

możliwych strat

- sporządza rejestr skutków cyberataku w sprzęcie;

- tworzy scenariusz odtworzenia pracy sprzętu.

Weryfikacja efektów uczenia się składa się z dwóch części: teoretycznej i praktycznej.

1.1. Metody

Na etapie weryfikacji są stosowane wyłącznie następujące metody: część pierwsza: test teoretyczny, część druga: analiza dowodów i deklaracji, obserwacja w warunkach symulowanych połączona z rozmową z komisją. W części pierwszej do zestawu efektów uczenia się 01 stosuje się wyłącznie test teoretyczny. W części drugiej do zestawu efektów uczenia się 02 i 03 stosuje się wyłącznie analizę dowodów i deklaracji w postaci portfolio oraz obserwację w warunkach symulowanych połączoną z rozmową z komisją. Metodą analizy dowodów i deklaracji jest weryfikowana umiejętność "Analizuje opracowany plan monitorowania i zapobiegania w zakresie zasobów ludzkich" z zestawu efektów uczenia się 02.

1.2. Zasoby kadrowe

Komisja walidacyjna składa się z co najmniej trzech członków, w tym przewodniczącego.

Przewodniczący komisji walidacyjnej musi posiadać:

- certyfikat CRP (Certified Reliability Professional) bądź inny z listy rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu;

- stopień naukowy (8 PRK);

- min. 3 lata udokumentowanego doświadczenia w przeprowadzaniu egzaminów zdobytego w okresie ostatnich 5 lat.

Każdy z pozostałych członków komisji walidacyjnej musi spełniać następujące warunki:

- kwalifikacja pełna z 7 PRK;

- min. rok doświadczenia w przeprowadzaniu egzaminów.

Ponadto co najmniej jeden z członków komisji walidacyjnej musi posiadać certyfikat szkolenia międzynarodowego w ośrodku zajmującym się cyberbezpieczeństwem przemysłowym.

Potwierdzenie efektów uczenia się w części pierwszej pozwala na dopuszczenie do części drugiej weryfikacji. Pozytywny wynik części pierwszej jest ważny przez 3 miesiące od daty jej zaliczenia. Instytucja certyfikująca musi zapewnić: laboratorium symulujące sieć przemysłową (min. 20 komputerów połączonych w sieć imitującą instalację przemysłową klasy SCADA lub DCS); narzędzia programistyczne do obliczeń niezawodnościowych 2- lub 3-parametrycznych.

2. Identyfikowanie i dokumentowanie

Nie określa się wymogów dla etapu identyfikowania i dokumentowania efektów uczenia się.