ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение A
(справочное)
ЗНАНИЯ И НАВЫКИ, НЕОБХОДИМЫЕ ДЛЯ АУДИТА И СЕРТИФИКАЦИИ СМИБ
A.1 Обзор
В таблице A.1 приведены сводные данные по знаниям и навыкам, необходимым для проведения сертификационного аудита, при этом данная таблица является справочной, поскольку она только определяет области знаний и навыков, необходимых для выполнения определенных функций процесса сертификации.
Таблица A.1
Знания, необходимые для аудита и сертификации СМИБ
| Функции процесса сертификации | ||
Анализ заявки (анализ заявки с целью определения необходимого уровня компетенций аудиторской группы, отбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита) | Анализ отчетов по результатам аудита и принятие решений о сертификации | Проведение аудита и руководство работой аудиторской группы | |
Знания |
| ||
Терминология, принципы, практические методы и технологии менеджмента информационной безопасности |
| 7.1.2.4.2 | 7.1.2.1.2 |
Стандарты и нормативные документы системы менеджмента информационной безопасности | 7.1.2.3.1 | 7.1.2.4.3 | 7.1.2.1.3 |
Практики делового администрирования |
|
| 7.1.2.1.4 |
Сфера деятельности организации-заказчика | 7.1.2.3.2 | 7.1.2.4.4 | 7.1.2.1.5 |
Продукция, процессы и структура организации-заказчика | 7.1.2.3.3 | 7.1.2.4.5 | 7.1.2.1.6 |
Требования по компетентности в рамках каждой функции приведены в основном тексте настоящего стандарта, а в данной таблице содержатся ссылки на конкретные требования.
На основе использования различных факторов из таблицы A.1 аспекты сложности области действия СМИБ могут классифицироваться по трем категориям: "высокая", "средняя" и "низкая". За общую категорию сложности может быть принята максимальная категория всех рассматриваемых факторов.
A.2 Общие аспекты компетентности
Существует несколько способов, которыми аудитор может продемонстрировать свои знания и опыт. Знания и опыт могут быть оценены, например, при помощи использования общепризнанных квалификационных характеристик. Регистрационные записи в рамках квалификационной аттестации персонала могут также использоваться для оценки необходимых знаний и опыта. Требуемый уровень компетенций для аудиторской группы должен быть установлен с учетом сложности структуры СМИБ, а также отраслевых и технологических особенностей деятельности организации-заказчика.
A.3 Конкретные аспекты знаний и опыта
A.3.1 Типичные знания, связанные с СМИБ
В дополнение к требованиям, изложенным в 7.1.2, необходимо учитывать следующее. Аудиторы должны знать и понимать следующие процедуры аудита и СМИБ:
- составление программы аудита и его планирование;
- тип и методология аудита;
- риски, связанные с аудитом;
- анализ процессов информационной безопасности;
- непрерывное совершенствование;
- внутренний аудит информационной безопасности.
Аудиторы должны знать и понимать следующие нормативные требования:
- интеллектуальная собственность;
- содержание, защита и хранение документов организации-заказчика;
- защита данных и конфиденциальность;
- регулирование средств криптографической защиты информации;
- электронная коммерция;
- электронные и цифровые подписи;
- надзор за рабочими местами;
- перехват в телекоммуникациях и мониторинг данных (например, электронная почта);
- использование компьютеров в преступных целях;
- сбор электронных данных;
- испытание на возможность проникновения в систему;
- международные и национальные требования в сфере деятельности (например, банковское дело).
Подписаться на обновления