summary responsibilities - NSPA
Transcription
summary responsibilities - NSPA
ORIGINAL : English CLEARANCE : NATO SECRET DATE VALIDATED : 17 June 2016 VALIDATED BY : F. Pedersen ORGANIZATION : INFORMATION SYSTEMS DIVISION, Data Centre, Network & IT Security Section POSITION No. : IT-41 TITLE : Systems Engineer GRADE : A-2 JOB CODE : A6223 DUTY LOCATION : Capellen, LUX SUMMARY The incumbent is responsible to the Chief of Section for performing a range of systems engineering functions. More precisely, he/she is responsible for performing the following functions: RESPONSIBILITIES General Responsibilities Analyzing, integrating and implementing Information Technology (IT) security solutions in line with NATO security regulations to protect NSPA Information systems. Assuring quality standards for delivered IT security solutions while ensuring customer satisfaction. Performing studies, as assigned, to determine the cost/benefits and feasibility of developing/deploying improved systems and/or rationalizing existing systems. Preparing written reports and describing the results of each study performed, with justified recommendations, for Information Technology (IT) security systems as well as related support requirements. Preparing specifications for system solutions, systems procedures and outlining the supporting procedures. Preparing, planning and executing the development/deployment of systems, including feasibility studies, requirements analysis, specifications, user acceptance and review. Preparing a Project Description Sheet (PDS) and other required Prince2 documents, including the estimation of time and resources necessary for each project assigned, taking into consideration other priorities and available resources. Performing Project plans, including the monitoring/measuring of results against prescribed objectives, and ensuring that corrective action is taken where required. Conducting meetings with representatives to plan future activities, report progress, and resolving problems and obtaining the appropriate approval for each stage of the project and for any variances to the original project plan. Specifying and constructing required security services in order to protect IT based Agency logistic services. Maintaining and operating the security infrastructure which makes up the Agency Information Security Management System (ISMS). IT-41 NATO UNCLASSIFIED FILE 2016 Keeping up-to-date with the latest IT security technology and security controls and coordinating with security peers, appropriate to the equipment, software and applications systems in use. Performing other related functions as required in peacetime and any other appropriate functions assigned in times of crisis or war. In the event of crisis or war the incumbent will, subject to the agreement of his/her national authorities, remain in the service of the Agency. Specific Responsibilities Architecting, designing and implementing secure network infrastructures. Recognizing and safely utilizing attacker tools & tactics and research & evaluate new cyber-attacks and threats. Taking ownership of and resolving IT security related technical problems. Investigating security incidents (reviewing logs, reverse engineering), reviewing security configurations and reporting accordingly. Participating in the design and deployment of network infrastructure projects. Assisting in penetration tests and providing technical inputs for risk assessments. Performing, as assigned, the management, engineering, configuration, maintenance and operation of the ISMS at the required service level. Analyzing the Agency IT security risks and requirements; designing security architecture; designing and implementing IT solutions; overseeing vendor support and other security service contractors related to the ISMS; implementing IT hardware and software solutions; following up on designs; maintaining and documenting Agency security controls and solutions. Evaluating and/or making recommendations for selecting required off-the-shelf IT security components, software and utility programs, configuring and implementing such components. ESSENTIAL QUALIFICATIONS General Qualifications University degree (preferably in computer sciences) or equivalent education. Not less than three years experience in the IT Security field in a Microsoft Windows and Unix networked environment running the Agency's enterprise software (SAP) as the main business application and running a large demilitarized zone (DMZ) infrastructure with several e-applications. Ability to work independently, to be self-motivated and to be able to prepare logical and clear reports for management decision-making. Very good understanding of industry best practices and hands-on experience with application security in a software environment [ideally the Agency's enterprise software (SAP) and e-business applications]. Strong analytical skills with excellent attention to detail as well as ability to make connections across and between different areas. Ability to work quickly to meet deadlines in a fast-paced environment and manage multiple task assignments. Specific Qualifications Proven knowledge of configuration of security device components like: firewall, web application firewall configuration, mail gateway, proxy, strong authentication, anti-virus, etc. Certifications would be an asset. Solid vulnerability testing knowledge using tools as Burp Suite Pro, Kali Linus, OWASP ZAP, CSRFTester, etc. IT-41 NATO UNCLASSIFIED FILE 2016 Broad technical background in the area of IT (including Internet and operating systems technology, IT systems security). Proven in-depth knowledge and experience on basic and advanced security concepts and related products, such as firewall, intrusion prevention systems, anti-virus and behavioral analysis techniques, identification and authentication solutions, vulnerability management, mail and web proxying, Public Key Infrastructures (PKIs) and Security Information and Event Management (SIEM) systems. Excellent understanding of web and SAP application vulnerabilities [like Open Web Application Security Project (OWASP)], their security needs and requirements and related security controls like web application firewall, Extensible Markup Language (XML) gateway and so on. Knowledge of risk assessment techniques. Excellent understanding of complex and interrelated security issues, including monitoring, troubleshooting and security incident/intrusion handling. LANGUAGE QUALIFICATIONS NATO's two official languages are English and French. The work of this post is mainly conducted in English, therefore fluency in that language is essential and working knowledge of French is desirable. DESIRABLE QUALIFICATIONS N/A PERSONAL CHARACTERISTICS All NSPA personnel are expected to conduct themselves in accordance with the current NATO Code of Conduct agreed by the North Atlantic Council (NAC), and thus display the core values of integrity, impartiality, loyalty, accountability, and professionalism. ADDITIONAL INFORMATION IT-41 The incumbent of this post will be required to work irregular hours on occasion to resolve problems and to carry a communication device on a team rotation basis in order to respond to off-hours incidents as required. NATO UNCLASSIFIED FILE 2016 ORIGINAL : Anglais HABILITATION : NATO SECRET DATE DE VALIDATION : 17 juin 2016 VALIDÉ PAR : F. Pedersen ORGANISATION : DIVISION DES SYSTÈMES D'INFORMATION, Section "centre informatique, réseau et sécurité informatique" POSTE N° : IT-41 TITRE : Ingénieur(e) système GRADE : A-2 CODE POSTE : A6223 LIEU D'AFFECTATION : Capellen, LUX RÉSUMÉ Responsable envers le chef de section, le (la) titulaire est chargé(e) de l'exécution d'une gamme de fonctions d'ingénierie de systèmes. Il (Elle) exerce plus précisément les fonctions suivantes : RESPONSABILITÉS Responsabilités générales analyser, intégrer et mettre en œuvre des solutions de sécurité informatiques en conformité avec les règlements de sécurité de l'OTAN afin de protéger les systèmes informatiques de la NSPA ; s'assurer que les normes de qualité concernant les solutions fournies en matière de sécurité informatique sont respectées tout en veillant à la satisfaction du client ; réaliser les études qui lui sont confiées en vue de déterminer les coûts et avantages et la faisabilité du développement et de la mise en service de systèmes améliorés ou de la rationalisation de systèmes existants ; rédiger des rapports et présenter les résultats de chaque étude menée, accompagnés de recommandations étayées de justifications, concernant les systèmes de sécurité informatique ainsi que les besoins correspondants en matière de soutien ; établir des spécifications concernant les systèmes à mettre en œuvre et les procédures qui leur sont applicables ; donner les grandes lignes des procédures venant à l'appui des systèmes ; préparer, planifier et exécuter le développement et la mise en place des systèmes, ce qui comporte la réalisation d'études de faisabilité, l'analyse des besoins, l'élaboration des spécifications, la réception par les usagers et la revue ; établir une fiche descriptive de projet (PDS) ainsi que d'autres documents nécessaires dans le cadre de la méthode PRINCE2, contenant notamment une estimation des délais et ressources nécessaires pour chaque projet qui lui est affecté, en tenant compte des autres priorités et des ressources disponibles ; exécuter les plans relatifs aux projets, notamment en contrôlant et en mesurant les résultats obtenus par rapport aux objectifs définis et en veillant à ce que des mesures correctives soient prises en cas de nécessité ; diriger des réunions avec divers représentants en vue de planifier les activités futures, de rendre compte de l'avancement des travaux, de résoudre les problèmes et d'obtenir l'approbation adéquate à chaque stade du projet, ainsi que pour chaque écart par rapport au plan initial du projet concerné ; définir et mettre en place les services de sécurité nécessaires afin de protéger les services logistiques de l'Agence assurés au moyen de systèmes informatiques ; assurer la maintenance et l'exploitation de l'infrastructure de sécurité qui constitue le système de gestion de la sécurité des informations (ISMS) de l'Agence ; IT-41 NATO SANS CLASSIFICATION DOSSIER 2016 757_16#1xx.docx se tenir au courant des techniques de sécurité informatique et des contrôles de sécurité les plus modernes et assurer, avec ses correspondants en matière de sécurité, une coordination appropriée en fonction des matériels, logiciels et systèmes d'applications utilisés ; exercer d'autres fonctions connexes selon les besoins en temps de paix et toutes autres fonctions appropriées qui lui seront confiées en période de crise ou en temps de guerre. En cas de crise ou de guerre, le (la) titulaire restera au service de l'Agence, sous réserve de l'accord de ses autorités nationales. Responsabilités particulières organiser, concevoir et mettre en œuvre des infrastructures de réseau sécurisées ; prendre connaissance des outils et des tactiques d'attaque et les exploiter en toute sécurité, et rechercher et évaluer de nouvelles cyberattaques et menaces ; assumer la responsabilité des problèmes techniques liés à la sécurité informatique et les résoudre. Procéder à des enquêtes en cas d'incidents de sécurité (examen de journaux d'enregistrement, rétroingénierie), revoir les configurations de sécurité et rendre compte en conséquence ; participer à la conception et au déploiement de projets d'infrastructure réseau ; aider à la réalisation d'essais de pénétration et fournir des informations techniques aux fins d'évaluation des risques ; assurer, conformément aux instructions qui lui sont données, la gestion, l'ingénierie, la configuration, la maintenance et l'exploitation, au niveau de service requis, du système de gestion de la sécurité des informations (ISMS) ; analyser les risques et les besoins de l'Agence en matière de sécurité informatique ; assurer la conception de l'architecture de sécurité ; concevoir et mettre en œuvre des solutions informatiques ; superviser le soutien assuré par les fournisseurs et par d'autres prestataires de services de sécurité en rapport avec le système ISMS ; mettre en œuvre des solutions informatiques (matériels et logiciels) ; assurer le suivi des projets de conception ; assurer la tenue à jour des solutions et des contrôles adoptés par l'Agence en matière de sécurité et tenir la documentation correspondante ; évaluer les composants, logiciels et programmes utilitaires du commerce destinés à assurer la sécurité informatique et/ou formuler des recommandations permettant de sélectionner les produits requis, et assurer la configuration et la mise en œuvre de ces composants. QUALIFICATIONS ESSENTIELLES Qualifications générales Diplôme d'études supérieures (de préférence en informatique) ou formation équivalente. Au moins trois années d'expérience dans le domaine de la sécurité informatique, dans un environnement de réseau Microsoft Windows et Unix ayant pour application opérationnelle principale le progiciel de gestion intégrée (SAP) de l'Agence et faisant appel à une infrastructure de zone démilitarisée (DMZ) de grande envergure comportant plusieurs applications web. Aptitude à travailler de façon indépendante, à se motiver soi-même et à rédiger des rapports logiques et clairs pour permettre la prise de décisions de gestion. Très bonne compréhension des meilleures pratiques industrielles et expérience pratique de la sécurité des applications dans un environnement logiciel [idéalement le progiciel SAP de l'Agence et ses applications de commerce électronique]. Très grandes compétences en matière d'analyse et grand souci du détail ainsi que la capacité à établir des liens dans et entre les différents domaines. Aptitude à travailler rapidement dans le respect des délais dans un environnement caractérisé par le rythme accéléré des activités et à mener de front un nombre de tâches différentes. Qualifications particulières Connaissances confirmées de la configuration de composants de dispositifs de sécurité tels que : pare-feu, configuration de pare-feu pour applications web, passerelle de courrier électronique, serveurs mandataires ("proxy"), authentification forte, anti-virus, etc. ; des certifications seraient un avantage. Solides connaissances en matière d'essais de vulnérabilité réalisés au moyen d'outils tels que : Burp Suite Pro, Kali Linus, OWASP ZAP, CSRFTester, etc. IT-41 NATO SANS CLASSIFICATION DOSSIER 2016 Expérience technique étendue dans le domaine de l'informatique (y compris de la technologie Internet, de la technologie des systèmes d'exploitation et de la sécurité des systèmes informatiques). Connaissances approfondies et expérience démontrées en matière de concepts de sécurité de base et avancés et de produits connexes tels que les pare-feu, les systèmes de prévention des intrusions, les techniques antivirus et d'analyse du comportement, les solutions d'identification et d'authentification, la gestion de la vulnérabilité, les serveurs "proxy" pour les communications web et courrier, les infrastructures à clés publiques (PKI) et les systèmes de gestion des informations et des événements de sécurité (SIEM). Excellente compréhension des vulnérabilités des applications web et de l'application SAP [par exemple dans le cadre du Projet pour la sécurité des applications web ouvertes (OWASP)], des besoins de ces applications en matière de sécurité, et des contrôles de sécurité connexes tels que le pare-feu pour les applications web, le portail XML (langage extensible de balisage), etc. Connaissance des techniques d'évaluation des risques. Excellente compréhension des questions de sécurité complexes et interdépendantes, ce qui comprend le suivi, le dépannage et le traitement des incidents et des intrusions compromettant la sécurité. CONNAISSANCES LINGUISTIQUES Les deux langues officielles de l'OTAN sont l'anglais et le français. La langue de travail à ce poste étant principalement l'anglais, il est essentiel d'avoir une bonne maîtrise de cette langue et une connaissance pratique du français est souhaitable. QUALIFICATIONS SOUHAITABLES S.O. QUALITÉS PERSONNELLES Il est attendu de tous les membres du personnel de la NSPA qu'ils se comportent conformément au texte en vigueur du Code de conduite de l'OTAN adopté par le Conseil de l'Atlantique Nord et qu'en conséquence, ils incarnent les valeurs fondamentales que sont l'intégrité, l'impartialité, la loyauté, le sens des responsabilités et le professionnalisme. INFORMATIONS COMPLÉMENTAIRES IT-41 Le (la) titulaire de ce poste devra travailler occasionnellement en dehors de l'horaire normal afin de résoudre des problèmes et être joignable par dispositif portable, conformément à un programme de rotation d'équipes, pour pouvoir intervenir, en tant que de besoin, en cas d'incident survenant en dehors des heures de travail normales. NATO SANS CLASSIFICATION DOSSIER 2016