Критерии за оценка, ниво Gold
Модул 4: ИТ сигурност
1. Избор и използване на подходящи методи за минимизиране на рискове за сигурността на ИТ системи и данни
1.1 Мога да опиша проблеми на сигурността, които може да застрашат работата на системите
1.2 Мога да използвам спектър от предпазни мерки по сигурността и защитата на ИТ системи и данни
1.3 Мога да опиша заплахите за системата и информационната сигурност и цялостност
1.4 Мога да поддържам информацията сигурна и да управлявам персоналния достъп до източници на информация по сигурен начин
1.5 Мога да опиша начини за опазване на хардуер, софтуер и данни, а също и да минимизирам риска за сигурността
1.6 Мога да прилагам насоки и процедури за сигурното използване на ИТ
1.7 Мога да опиша защо е важно да се прави архив на данни и как това да се прави по сигурен начин
1.8 Мога да избера и използвам ефективни процедури за архивиране на системи и данни
РАЗШИРЕНИ КРИТЕРИИ ЗА ОЦЕНЯВАНЕ
1. ИЗБОР И ИЗПОЛЗВАНЕ НА ПОДХОДЩИ МЕТОДИ ЗА МИНИМИЗИРАНЕ НА РИСКОВЕ ЗА СИГУРНОСТТА НА ИТ СИСТЕМИ И ДАННИ
1. Кандидатът може да избере и използва подходящи методи, за да минимизира рисковете за ИТ системи и данни
1.1 Мога да опиша проблеми на сигурноста, които може да застрашат работата на системите
Кандидатите трябва да са в състояние да опишат най-разпространените аспекти на сигурността, които могат да повлияят на начина, по който работят техните компютри. Сред тези аспекти са вируси, спам и злонамерен и шпионски софтуер (malware, spyware).
Допълнителна информация и насоки
Основна разлика между това ниво (EQF Level 3) и предходното (EQF Level 2) е, че тук кандидатите трябва да могат да опишат някои от ключовите въпроси на сигурността. Това може да е под формата на обикновена оценка на риска с описание на потенциалните проблеми и тяхната важност, с възможна връзка към използването на технологии за съвместна работа.
На първо място, умесно е да се отдели внимание за това дали и по какъв начин да се използва операционна система, която е обект на най-честите атаки със зловреден код. В момента Windows, поради широкото си разпространение, е една от най-рисковите платформи, особено що се отнася до по-стари версии на системата. Кандидатите обаче може да нямат право или възможност да сменят операционната система.
Антивирусните програми обикновено ангажират голяма част от системните ресурси, когато извършват сканиране за вируси. Самите вируси представляват програмен код, предназначен за определена операционна система. Това означава, че отварянето на файл, заразен с вирус, насочен към Windows, е съвсем безопасно на система, оперираща под Linux.
Нежеланата поща (спам) и свързаните с нея приложени файлове, може да навредят на системата или използвания софтуер, а също така може значително да забави работата на компютъра. Кандидатите трябва да са в състояние да обяснят защо не бива да се отговаря на спам и да се инсталират или отварят файлове от какъвто и да било източник, ако няма пълна увереност за тяхната безопасност.
Кандидатите трябва да могат да опишат източници на заразяване с копютърни вируси, като напр. уеб сайтове, USB памет и дискове, особено при компютри, опериращи под по-стари версии на WIndows. Физическата сигурност на хардуерното оборудване също е много важна.
Анивирусните програми за Линукс са предназначени за сървъри, които предоставят информация към Windows-базирани работни станции. Те проверяват и отстаняват вируси от файлове, които са потенциална заплаха за крайния потребител. За добре информираните и компетентни ИТ потребители не съществува практически проблем с вируси за системи под Линукс или Apple (базирани на Unix операционни системи). По някаква причина и вероятно с комерсиален интерес, този недостатък на Windows-системите не получава достатъчно гласност и не се представя пред потребителите.
В повечето съвременни операционни системи се изисква въвеждане на системна парола за инсталиране на програми или извършване на по-сериозни настройки. Така става малко вероятно да се инсталират програми по непредпазливост или недоглеждане, а това е и бариера пред разпространението на вируси. Някои хора твърдят, че отсъствието на проблеми с вируси при Unix-базираните системи се дължи на все още ограниченото им разпространение. Освен това в повечето случаи е вярно твърдението, че обикновеният потребител на Unix-базирани системи е с по-висока техническа и ИТ компетентност, в сравнение с обикновения потребител на Windows системи.
По отношение на сигурността операционните системи и приложенията, твърде малък брой от обикновените потребители притежават нужната компетентнст. Съществуват и много силни комерсиални интереси. В резултат, доставчиците на хардуер и софтуер преувеличават преимуществата и съзнателно не представят в пълен вид недостатъците на системите, които те продават, по отношение на сигурността. Кандидатите трябва да демонстрирт общо разбиране по този въпрос и да знаят към кои надеждни източници на информация могат да се насочат при нужда.
1.2 Мога да използвам спектър от предпазни мерки по сигурността и защитата на ИТ системи и данни
Кандидатите трябва да покажат практически умения, самостоятелност, отговорно поведение и отношение към сигурността в тяхната ежедневна работа. Кандидатите не покриват критерия, ако правят едно от изброените: размяна на пароли с други хора, използване на неефективни пароли (напр. думата parola или само един символ), сваляне или опит за сваляне на информация, което е в разрез с приложимите правила и насоки за ползване, сваляне на информация, за която не е известно дали е безопасна.
Допълнителна информация и насоки
Първата предпазна мярка е никога да не се инсталира нищо от непроверени източници. Винаги трябва да се използват сигурни пароли (пароли от една дума не се смятат за сигурни). Сигурни пароли са тези с комбинация от буквено-цифрови символи, различен регистър, съставни думи. На системи, използващи OS Windows, трябва да се следи и актуализира антивирусната програма, а също и да се правят периодични антивирусни тестове (напр. автоматично настроени дневни, седмични или месечни). Ако има връзка към интернет, трябва да се провери наличието на защитна стена. Данните трябва да се архивират, а архивите да се пазят на място, физически отделено от мястото на съхранение на оригиналната информация. Показването и споделянето на лични данни онлайн трябва да се избягва.
1.3 Мога да опиша заплахите за системата и информационната сигурност и цялостност
Кандидатите трябва да могат да опишат следните заплахи:
- Технологии с широко разпространение, които са директно свързани с комуникация, са сред най-вероятните цели на хора, които биха искали да нарушат сигурността. Добър пример за това е адресната книга на MS Outlook, която създателите на вируси и спам използват много често за разпространяване на зловреден код или нежелани съобщения. Изполването на подобни прложения трябва да става особено внимателно.
- Използването на несигурни пароли, споделянето на пароли, запазване на потребителски имена и пароли на компютри с публичен достъп.
- Оставянето на компютъра включен и без надзор, особено на обществени места.
- Хора, които претендират да са част от компании и организации с добра репутация, с цел да излекат лична информация от потребителите – най-често пароли, банкови сметки, номера на кредитни карти (phishing).
- Предоставяне на лична информация в обществени мрежи, които могат да осигурят на злонамерени лица физически достъп до потребителя или други хора.
Допълнителна информация и насоки
Уместно е работата по този критерий да се свърже с използването на технологии за съвместна работа. Трябва да се отбележи, че съществуват голям брой технологични решения и че човешкият фактор, проявен чрез неопитност или недостатъчна образованост, е по-сериозен недостатък от недостатъците в някоя определена технология. Най-общо казано, колкото по-добре владее дадена технология, толкова по-малко вероятно е кандидатът да стане жертва на технологично образовани престъпници.
1.4 Мога да поддържам информацията сигурна и да управлявам персоналния достъп до източници на информация по сигурен начин
Кандидатите трябва да демонстрират практически умения за опазване на сигурността на информацията и управление на информацията в ежедневната работа.
Допълнителна информация и насоки
Кандидатите могат да опишат специфичните грижи, коитоса необходими, ако им е поверена чувствителна информация на диск, преносим компютър или преносима памет. Такива физически устройства може да бъдат загубени или поставени на неправилно място. Кандидатите трябва да могат да опишат по какъв начин сигурността се превръща в аспект на обсъждане на предимствата и ограниченията при използване на ИКТ. Да бъдеш в състояние да копираш информация бързо и лесно е полезно, но това представлява и потенциален риск за сигурността.
1.5 Мога да опиша начини за опазване на хардуер, софтуер и данни, и да минимизирам риска за сигурността
Кандидатите трябва да опишат начините за защита на хардуер, софтуер и данни от кражба или повреда.
Описанията в уеб страниците трябва да включват:
осигуряване на наличието на защитна стена (firewall) между работната станция и интернет;
осигуряване на адекватно използване на пароли с достатъчна сила;
осигуряване на редовно архивиране на данните;
осигуряване на сигурността на хардуера.
1.6 Мога да прилагам насоки и процедури за сигурното използване на ИТ
Кандидатите трябва да покажат, че се съобразяват с политиките за допустимо ползване и местни насоки за сигурно използване на ИТ.
Допълнителна информация и насоки
Работата по този критерий може да се свърже с други модули, които с занимават с правилата за използване и местни насоки. От важност е оценителите да установят дали кандидатите в действителност прилагат и използват тези политики и правила.
1.7 Мога да опиша защо е важно да се прави архив на данни и как това да се прави по сигурен начин
Кандидатите трябва да могат да опишат защо архивирането е важно, както и процедурите, които те самите прилагат за архивиране на лични данни и информация. Ако те работят в мрежа и някой друг се грижи за архивирането на информация, те трябва да са в състояние да опишат системата и причините за използването й.
1.8 Мога да избера и използвам ефективни процедури за архивиране на системи и данни
Кандидатите трябва да са в състояние да изберат стратегия за архивиране (back up), която е подходяща за конкретните условия, и да управляват информацията си по сигурен начин, напр. периодично записване на данни от локалната мрежа и физическо отделяне от нея на използваните носители, архивиране на отделни файлове на USB-памет, използване на система за наименоване на различните версии на файловете.