NATO SUPPO RT AGENC Y AGENCE OTA N DE SOUTIEN ORIGINA L DATE VALIDATED English 08 May 2014 CLEARANCE VALIDATED BY COSMIC TOP SECRET C. J. Rose ORGANIZA T/ON POSITION No. T/TLE GRADE SECURITY OFFICE AS-32 CIS Security Assistant (NAM) B-S JOBCODE : A642 DUTY LOCA TION Papa, HUN SUMMARY The incumbent is responsible to the Security Officer (NAM) for Communication Information Systems Security (CISS) for NATO Airlift Management Programme (NAM) and the Heavy Airlift Wing (HAW) in accordance with NATO, NSPO/NSPA and the HAW prescriptive documents. In the exercise of his/her tasks, he/she is functionally directed by the Senior Technician (INFOSEC). More precisely, the incumbent is responsible for executingthe following tasks: RESPONSIBILITIES Generai Responsibilities Acting as the focal point for NAM CISS and CRYPTO operation, coordination, training and awareness. Acting as a COMSEC Officer for NAM and HAW. Ensuring the System-Specific Security Requirement Statements (SSRS) for ali NAM systems and stand- alone CIS are up-to-date and follow the applicable NATO, NSPO/NSPA and public rules and regulations. Ensuring the CIS security level complies with the requirements of NATO, NSPO/NSPA, and HAW. Providing CISS related assistance and advice to the NAM CIS Operating Authority, system administrators, and users, to include functional and technical CISS specifications for projects deriving from business requirements. Executing CISS inspections of the systems, in order to control and check that c1assified electronic information is properly stored, processed, transmitted and safeguarded, whose results to be forwarded in writing to the Security Officer (NAM), Senior Technician (INFOSEC) and CIS Manager (NAM) as required. Planning and executing relevant CISS and CRYPTO related training and awareness for ali NAMP & HAW personnel, as required. Informing the Security Officer (NAM), Senior Technician (INFOSEC) and CIS Manager (NAM) of any system/network security loopholes, infringements and vulnerabilities or incidents which may come to light, and leading local CIS security investigations. Coordinating and executing security accreditation/reaccreditation tasks for ali NAM local classified CIS in accordance with NATO policy, supporting directives and Security Accreditation Authority (SAA) requirements and guidance. FILE 2014 AS-32 NA TO UNCLASSIFIED
Transcript
NATO SUPPO RT AGENC Y
AGENCE OTAN DE SOU T IEN
ORIGINA L
DATE VALIDATED
English
08 May 2014
CLEARANCE
VALIDATED BY
COSMIC TOP SECRET
C. J. Rose
ORGANIZA T/ON
POSITION No.
T/TLE
GRADE
SECURITY OFFICE
AS-32
CIS Security Assistant (NAM)
B-S JOBCODE : A642 DUTY LOCA TION Papa, HUN
SUMMARY
The incumbent is responsible to the Security Officer (NAM) for Communication Information Systems Security (CISS) for NATO Airlift Management Programme (NAM) and the Heavy Airlift Wing (HAW) in accordance with NATO, NSPO/NSPA and the HAW prescriptive documents. In the exercise of his/her tasks, he/she is functionally directed by the Senior Technician (INFOSEC). More precisely, the incumbent is responsible for executingthe following tasks:
RESPONSIBILITIES
Generai Responsibilities
Acting as the focal point for NAM CISS and CRYPTO operation, coordination, training and awareness.
Acting as a COMSEC Officer for NAM and HAW.
Ensuring the System-Specific Security Requirement Statements (SSRS) for ali NAM systems and standalone CIS are up-to-date and follow the applicable NATO, NSPO/NSPA and public rules and regulations.
Ensuring the CIS security level complies with the requirements of NATO, NSPO/NSPA, and HAW.
Providing CISS related assistance and advice to the NAM CIS Operating Authority, system administrators, and users, to include functional and technical CISS specifications for projects deriving from business requirements.
Executing CISS inspections of the systems, in order to control and check that c1assified electronic information is properly stored, processed, transmitted and safeguarded, whose results to be forwarded in writing to the Security Officer (NAM), Senior Technician (INFOSEC) and CIS Manager (NAM) as required.
Planning and executing relevant CISS and CRYPTO related training and awareness for ali NAMP & HAW personnel, as required.
Informing the Security Officer (NAM), Senior Technician (INFOSEC) and CIS Manager (NAM) of any system/network security loopholes, infringements and vulnerabilities or incidents which may come to light, and leading local CIS security investigations.
Coordinating and executing security accreditation/reaccreditation tasks for ali NAM local classified CIS in accordance with NATO policy, supporting directives and Security Accreditation Authority (SAA) requirements and guidance.
FILE 2014AS-32 NA TO UNCLASSIFIED
Coordinating and overseeing the execution of risk analysis and/or vulnerability assessments of NAM local CIS (with automated tools as applicable) to identify CIS vulnerabilities and threats.
Executing other related tasks as required in peacetime and any other appropriate tasks assigned in times of crisis or war.
In the event of crisis or war the incumbent will, subject to the agreement of his/her national authorities, remain in the service of the Agency.
Specific Res~ons;bilities
Formulating and maintaining Security Operating Procedures (SecOPs) for ali NAM CIS, and circulating the SecOPs to system/network administrators and users on a periodic basis; providing (electronic) information security advice to, and maintaining CIS security awareness of system/network administrators and users.
Approving access and maintaining a record of ali persons authorized to any part of the NAM CIS and the extent of their authorization; ensuring that those persons have the appropriate security clearance and need-to-know and received required CISS training.
Monitoring security-relevant activities, duties and responsibilities of the system administrator, and checking audit information for event / process failure, and unauthorised user and system activity.
Controlling and ensuring that system /network administrators and users change their own passwords periodically.
Checking the implementation and maintenance of hardware, firmware and software modifications and enhancements to the CIS to ensure security is maintained.
Ensuring the proper custody of c1assified computer storage media and other CIS machine- or humanreadable documents; carrying out CISS spot checks and maintaining records of checks, at agreed intervals, on the presence of c1assified computer storage media and on the accuracy of their markings.
Ensuring CIS elements and external mass storage media (EMSM) are being properly controlled and marked with security classification.
Ensuring computer storage media to be released only contains information authorized for release.
Ensuring contractors or other organizations receiving classified computer storage media have the appropriate security provisions in piace and need-to-know for the information, in accordance with the requirements of NATO Security Policy and its supporting directives.
Ensuring system / network security relevant information is properly backed up and recovery procedures are in piace.
Checking the configuration management aspects of changes to security-related hardware, firmware or software and associated documentation.
Ensuring the implementation and maintenance ofthe security provisions applicable to those areas of the site(s) hosting elements ofthe CIS.
Assisting in establishing/reviewing and updating the NAM Security Instructions/Procedures and controlling their implementation, as required.
ESSENTIAL QUALIFICATIONS
Generai Qualijications
Complete secondary school or equivalent education.
Knowledge and experience in computer science.
!\Jot less than three years of experience in Information Technology (IT) administration and computer security in NATO or NationallT security environment.
FILE 2014AS-32 NA TO UNCLASSIFIED
Ability to be self-motivated, to work independently, under stress and tight deadlines
Good knowledge of and experience in INFOSEC regulations and practices within NATO or in a similar orga nization.
Knowledge of IT systems with experience in using personal computers and software packages.
Good knowledge of one ofthe two offieial NATO languages.
~I?ecific Qualijications
A CIS Seeurity, IT Seeurity, Information Seeurity or Communication Security certified training from NATO or National Security Department or equivalent eommerciallT Seeurity training company(es).
Knowledge of NATO COMSEC and Computer Security (COMPUSEe) principles, and their applieation to the development of effective CISS programs.
Good knowledge and experience in Risk Analysis and management methodologies.
Experience in planning and executing CISS or IT related training.
DESIRABLE QUALIFICATIONS
Good understanding of the underlying concepts of CIS/IT service management and delivery would be an asseto
A bachelor (BSe) degree in IT or IT security or computer science would be an asseto
PERSONAL CHARACTERISTICS
Ali NSPA personnel are expected to conduct themselves in accordance with the current NATO Code of Conduct agreed by the North Atlantic Couneil (NAC), and thus display the core values of integrity, impartiality, loyalty, accountability, and professionalism.
ADDITIONAL INFORMATION
The working language of the NATO Airlift Management Programme is English.
The incumbent will be required to obtain a "Cosmic Top Secret" security clearance.
FILE 2014AS-32 NA TO UNCLASSIFIED
NATO SUPPORT AGEN CY
AGENCE OTAN DE SOUTIEN
,.Al0 SUPPOH.T AU:~~4CY
ORIGINA L Anglais HABILITATION COSMIC TRÈS SECRET
DA TE DE VALIDA TlON VALlDÉPAR
ORGANISA TlON BUREAU DE LA SÉCURITÉ
POSTE N° AS-32
TlTRE Assistant(e) pour la sécurité des SIC (NAM)
GRADE B-5 CODE POSTE : A642 LlEU D'AFFECTATION Papa, HUN
RÉSUMÉ
Responsable envers l'officier de sécurité (NAM), le (la) titulaire est chargé(e) de la sécurité des systèmes d'information et de communication (SSIC) du programme OTAN de gestion du transport aérien (NAM) et de l'Escadre de transport aérien lourd (HAW) conformément aux documents réglementaires de l'OTAN, de la NSPO j NSPA et de la HAW. Dans l'exercice de ses fonctions, il (elle) est sous la direction fonctionnelle du technicien ' principal (INFOSEC). Il (elle) exerce plus précisément les taches suivantes :
RESPONSABILITES
Responsabilités générales
servir d'interlocuteur privilégié concernant l'exploitation, la coordination, la formation et le maintien des connaissances en matière de sécurité des systèmes d'information et de communication (SSIC) et des systèmes CRYPTO au sein du programme NAM ;
exercer les fonctions de responsable COMSEC pour le programme NAM et la HAW ;
veiller à ce que les énoncés des besoins de sécurité propres au système (SSRS) soient à jour pour l'ensemble des systèmes du programme NAM et des systèmes d'information et de communication (SIC) autonomes et à ce qu'ils soient conformes à la réglementation publique en vigueur, ainsi qu'à celle de l'OTAN et de la NSPOjNSPA;
veiller à ce que le niveau de sécurité des SIC soit conforme aux exigences de l'OTAN, de la NSPOjNSPA et de la HAW;
fournir, en ce qui concerne la sécurité des SIC, une aide et des avis aux autorités responsables de la mise en ceuvre des SIC du programme NAM, aux administrateurs de systèmes et aux utilisateurs, ce qui comprend les spécifications fonctionnelles et techniques relatives à la sécurité des SIC au titre de projets découlant de besoins opérationnels ;
effectuer des inspections de sécurité des SIC, de manière à contr61er et vérifier que les informations électroniques classifiées soient correctement stockées, traitées, transmises et sauvegardées, inspections dont les résultats doivent etre communiqués par écrit à l'officier de sécurité (NAMl, au technicien principal (INFOSEC) et au responsable "SIC" (NAM) selon les besoins;
programmer et exécuter des formations appropriées et des actions de sensibilisation portant sur la sécurité des SIC et les systèmes CRYPTO pour l'ensemble du personnel du programme NAM et de la HAW, en fonction des besoins ;
informer l'officier de sécurité (NAMl, le technicien principal (INFOSEC) et le responsable "SIC" (NAM) de toute faille, violation ou faiblesse relatives à la sécurité et de tout incident qui se produirait dans les systèmes et les réseaux et mener des enquetes locales de sécurité des SIC;
coordonner et réaliser des taches d'homologation ou de renouvellement d'homologation de sécurité concernant tous les SIC locaux classifiés du programme NAM conformément à la politique générale de l'OTAN, aux directives complémentaires et aux exigences et orientations des autorités d'homologation de sécurité (SAA) ;
DOSSIER 2014AS-32 NATO SANS CLASSIFICATION 565_14#1xx.docx
assurer la coordination et la supervision de l'exécution de l'ana lyse des risques et/ou des évaluations de vulnérabilité des SIC locaux du programme NAM (à l'aide d'outils automatisés le cas échéant) afin d'identifier les vulnérabilités des SIC et les menaces auxquelles ils sont soumis ;
exécuter d'autres taches connexes selon les besoins en temps de paix et toutes autres taches appropriées qui lui seront assignées en période de crise ou en temps de guerre.
En cas de crise ou de guerre, le (la) titulaire restera au service de l'Agence, sous réserve de l'accord de ses autorités nationales.
Res~onsabilités particu/ière.;;;.s__ rédiger et tenir à jour les procédures d'exploitation de sécurité (SecOPs) pour l'ensemble des SIC du programme NAM et diffuser ces SecOPs périodiquement aux administrateurs et aux utilisateurs des systèmes et des réseaux; prodiguer des conseils (par voie électronique) concernant la sécurité des informations aux administrateurs et aux utilisateurs des systèmes et des réseaux et veiller au maintien de leurs connaissances dans ce domaine ;
approuver les accès et tenir un registre de toutes les personnes autorisées à accéder à toute partie des SIC du programme NAM, quelle qu'elle soit, en précisant l'étendue de cette autorisation ; s'assurer que ces personnes sont titulaires de l'habilitation de sécurité nécessaire, ont le besoin d'en connaitre et ont reçu la formation SSIC nécessaire ;
superviser, lorsqu'elles sont applicables à la sécurité, les activités, fonctions et responsabilités de l'administrateur réseau, et vérifier les informations d'audit relatives aux incidents et aux défaillances dans les processus, ainsi qu'aux activités non autorisées des utilisateurs et des systèmes ;
controler et s'assurer que les administrateurs et les utilisateurs des systèmes et des réseaux modifient périodiquement leur mot de passe personnel ;
vérifier la mise en CEuvre et la maintenance des modifications et améliorations des matériels, micrologiciels et logiciels des SIC afin de s'assurer que la sécurité n'est pas compromise;
veiller à la conservation correcte des supports de stockage informatique classifiés et des documents SIC lisibles par machine ou par un utilisateur ; effectuer des controles ponctuels de sécurité des SIC, à intervalles convenus, et vérifier la présence de supports de stockage informatique classifiés et l'exactitude de leur marquage, et tenir un registre de ces vérifications ;
s'assurer que les éléments des SIC et les supports de stockage de masse externes (EMSM) sont controlés de manière appropriée et comportent un marquage précisant le niveau de classification de sécurité ;
veiller à ce que les supports de stockage informatique devant etre diffusés ne contiennent que des informations dont la divulgation est autorisée ;
veiller à ce que les titulaires de marché ou autres organismes destinataires de supports de stockage informatique classifiés aient en piace des dispositions de sécurité et à ce qu'ils aient le besoin d'en connaitre, conformément aux exigences de la politique de sécurité de l'OTAN et de ses directives complémentaires;
veiller à ce que les informations ayant une incidence sur la sécurité des systèmes et des réseaux soient correctement sauvegardées et à ce que des procédures de récupération soient en piace;
vérifier les aspects relatifs à la gestion de la configuration des modifications des matériels, micrologiciels ou logiciels liés à la sécurité, ainsi que de la documentation connexe ;
veiller à la mise en CEuvre et à la tenue à jour des dispositions relatives à la sécurité qui sont applicables aux zones du ou des sites où sont installés des éléments des SIC;
aider à établir, examiner et tenir à jour les instructions/procédures de sécurité du programme NAM et controler leur application, en fonction des besoins.
QUALIFICATlONS ESSENTIELLES
Qualifications générales
Études secondaires complètes ou formation équivalente.
Connaissances et expérience en informatique.
Au moins trois ans d'expérience dans le domaine de l'administration et de la sécurité informatiques dans un environnement de sécurité informatique OTAN ou national.
DOSSIER 2014AS-32 NATO SANS CLASSIFICATION
Aptitude à se motiver soi-meme et à travailler de façon indépendante, sous pression et sous la contrainte de délais serrés.
Bonne connaissance des règlements et pratiques relatifs à la sécurité des informations (INFOSEC) et expérience acquise dans ce domaine au sein de l'OTAN ou dans un organisme similaire.
Connaissance des systèmes informatiques assortie d'une expérience en matière d'utilisation d'ordinateurs personnels (PC) et de progiciels.
Bonne connaissance de l'une des deux langues officielles de l'OTAN.
Qualifications particu/ières --------~------
Une formation certifiée dans le domaine de la sécurité des SIC, de la sécurité informatique, de la sécurité des informations ou de la sécurité des communications dispensée par l'OTAN ou un département national de la sécurité ou par une ou des entreprises de formation en matière de sécurité informatique.
Connaissance des principes de sécurité des télécommunications (COMSEC) et de sécurité informatique (COMPUSEC) de l'OTAN, et de leur application dans la mise au point de programmes de sécurité des SIC efficaces.
Bonne connaissance et expérience des méthodologies d'analyse et de gestion de risque.
Expérience de la planification et de l'exécution de formations dans les domaines de la sécurité des SIC ou de l'informatique .
QUALIFICATIONS SOUHAITABLES
Une bonne compréhension des concepts sur lesquels s'appuient la gestion et la fourniture de services SIC/informatiques serait un atout.
Une licence en technologie de l'information, en sécurité informatique ou en informatique constituerait un avantage .
QUALlTÉS PERSONNELLES
Il est attendu de tous les membres du personnel de la NSPA qu'ils se comportent conformément au texte en vigueur du Code de conduite de l'OTAN adopté par le Conseil de l'Atlantique Nord et qu'en conséquence, ils incarnent les valeurs fondamentales que sont l'intégrité, l'impartialité, la loyauté, le sens des responsabilités et le professionnalisme.
INFORMATIONS COMPLÉMENTAIRES
La langue de travail du Programme OTAN de gestion du transport aérien est l'anglais.
Il sera attendu du (de la) titulaire qu'il (elle) obtienne une habilitation de sécurité "COSMIC TRÈS SECRET".
