§ 4 - Informationssicherheits-Fortbildungsprüfungsverordnung (InSiFPrV)

1Im Prüfungsbereich „Informationssicherheit gewährleisten" hat die zu prüfende Person nachzuweisen, dass sie in der Lage ist, Bedrohungs- und Risikoszenarien zu analysieren, Sicherheitsmaßnahmen zu planen, einzuleiten und zu dokumentieren sowie den sicheren Betrieb von IT-Systemen zu gewährleisten. 2In diesem Rahmen wird aus den Inhalten der folgenden Qualifikationsschwerpunkte geprüft:

1.

Qualifikationsschwerpunkt „Bedrohungs- und Risikoszenarien analysieren":

a)

Durchführen von Risiko- und Schwachstellenanalysen in Bezug auf die Informationssicherheit anhand von Vorgaben,

b)

Mitwirken bei der Erstellung von Datenschutz-Folgenabschätzungen im Hinblick auf mögliche Datenschutz-verletzungen,

c)

Analysieren von IT-Infrastrukturen, von Netzwerkkommunikation, von Protokolldaten, von Softwareverhalten und von System- und Softwarekonfigurationen sowie Ableiten von risikominimierenden Schutz- und Gegenmaßnahmen sowie

d)

Identifizieren und Analysieren von Schadsoftware und deren Verbreitungswegen sowie Dokumentieren der Analyseergebnisse,

2.

Qualifikationsschwerpunkt „Sicherheitsmaßnahmen planen":

a)

Mitwirken bei der Entwicklung eines Konzepts zur Informationssicherheit,

b)

Definieren von Notfallsystemen in Absprache mit den jeweiligen Fachabteilungen und Ansprechpartnern,

c)

Erstellen von Rechte- und Rollenkonzepten zur Einhaltung von Datenschutzbestimmungen und zur Gewährleistung der Datensicherheit,

d)

fachliches Unterstützen bei der Erstellung datenschutzrelevanter Dokumente,

e)

Mitwirken bei der Erstellung und Einführung eines Informationssicherheitsmanagementsystems,

f)

fachliches Beraten bei der Entwicklung von Testkonzepten, insbesondere zur Koordination und Durchführung von Schwachstellen- und Penetrationstests,

g)

Bereitstellen von aktuellen IT-Sicherheitsinformationen und Aufbereiten sicherheitsrelevanter Erkenntnisse,

h)

Informieren von Anwenderinnen und Anwendern über Regularien der Informationssicherheit, insbesondere zur Datenklassifizierung sowie zum Umgang mit IT-Ausstattung und mit Daten sowie

i)

Sicherstellen der Einhaltung der Regularien zur Informationssicherheit,

3.

Qualifikationsschwerpunkt „Sicheren Betrieb gewährleisten":

a)

Umsetzen der Vorgaben eines Sicherungs- und Wiederherstellungskonzepts sowie Testen der Funktionalität des Sicherungs- und Wiederherstellungskonzepts,

b)

Konfigurieren von Soft- und Hardware der Sicherheitsinfrastruktur zur Gewährleistung der Informationssicherheit anhand definierter Sicherheitsrichtlinien,

c)

Durchführen von Notfallübungen und Dokumentieren der Ergebnisse,

d)

Erstellen und Umsetzen von Schulungskonzepten zur Sicherstellung des Datenschutzes und der Datensicherheit, insbesondere im Hinblick auf die Sensibilisierung der Mitarbeitenden,

e)

Überprüfen der Einhaltung von Sicherheitsvorgaben, auch im Bereich von Kritischen Infrastrukturen,

f)

fortlaufendes Bewerten von Sicherheitsrisiken und Ableiten von Sicherheitsmaßnahmen aus den ermittelten Sicherheitsrisiken,

g)

fortlaufendes Berichten und Dokumentieren des Status von Maßnahmen zur Sicherstellung der Informationssicherheit,

h)

Mitwirken bei der Planung und Durchführung von Sicherheitsaudits sowie bei der Bewertung und Behandlung von Schwachstellen und Sicherheitsvorfällen,

i)

Mitwirken bei der Überprüfung und der Analyse von Anwendungssoftware im Hinblick auf die Gefährdung der Informationssicherheit,

j)

Gewährleisten der Sicherheit vernetzter Systeme und Geräte durch die Umsetzung von Ende-zu-Ende-Verschlüsselungen sowie durch die Integration sicherer Geräteauthentifizierungen und digitaler Identitäten,

k)

Mitwirken beim Einsatz von Lösungen zur Sicherheitsüberwachung unter Berücksichtigung rechtlicher Aspekte,

l)

Organisieren und Durchführen von Penetrationstests im laufenden Betrieb sowie

m)

Unterstützen bei der Implementierung eines datenbasierten Security-Information-and-Event-Managements sowie Analysieren, Auswerten und Interpretieren von aktuellen und vergangenen sicherheitsrelevanten Ereignissen,

4.

Qualifikationsschwerpunkt „Sicherheitsmaßnahmen einleiten, dokumentieren und evaluieren":

a)

Erkennen und Dokumentieren von IT-Sicherheitsvorfällen sowie Informieren der verantwortlichen Stellen über IT-Sicherheitsvorfälle,

b)

Auswählen, Durchführen und Evaluieren von Tests der Sicherheitsinfrastruktur, Dokumentieren der Evaluationsergebnisse, einschließlich Hinweisen auf Schwachstellen in der Sicherheitsinfrastruktur sowie Einleiten von Maßnahmen zur Verbesserung der Sicherheitsinfrastruktur,

c)

Gewährleisten der Qualitätssicherung, insbesondere durch Dokumentieren der IT-Sicherheitsmaßnahmen,

d)

Archivieren datenschutzrelevanter und IT-sicherheitsrelevanter Unterlagen nach betrieblichen und rechtlichen Vorgaben, insbesondere von Verträgen, Richtlinien und Dokumentationen,

e)

Einleiten von Notfallmaßnahmen bei akuten Bedrohungssituationen sowie

f)

Einleiten von Prozeduren zum Wiederanlauf von Systemen gemäß Notfallhandbuch sowie Testen und Sicherstellen der Funktionalität der wiederangelaufenen Systeme,

5.

Qualifikationsschwerpunkt „Organisatorische und rechtliche Vorgaben":

a)

Ermitteln von Anforderungen an Datensicherheitskonzepte,

b)

Mitwirken bei der Entwicklung von Datensicherheitskonzepten,

c)

Berücksichtigen und Umsetzen von Datensicherheitskonzepten,

d)

Identifizieren und Bewerten von Risiken sowie Einleiten von Maßnahmen zur Minimierung von Risiken sowie

e)

Sicherstellen der Einhaltung organisatorischer und rechtlicher Vorgaben sowie

6.

Qualifikationsschwerpunkt „Projektunterstützung und -koordination":

a)

Unterstützen der Projektleitung durch Übernehmen und Umsetzen von Teilprojekten,

b)

organisatorisches Begleiten von Projekten, insbesondere Erstellen von Projektplänen und Planen des Mitarbeitendeneinsatzes,

c)

Mitwirken bei der Aufwandsanalyse und -kalkulation von Projekten,

d)

projektbegleitendes Beraten von Kunden sowie Unterstützen und Beraten von Kunden in der Roll-out-Phase,

e)

Mitwirken beim Projektcontrolling, bei der Nachverfolgung von Aufgaben und beim Aufbereiten von Statusberichten sowie

f)

Planen und Umsetzen von projektbezogenen Schulungs- und Trainingsmaßnahmen.