ГОСТ Р ИСО/МЭК 27021-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности

ИСО/МЭК 27001:2013 раздел/подраздел

(если применимо)

9.1 Мониторинг, оценка защищенности, анализ и оценивание

Ожидаемый результат

Оценивать показатели информационной безопасности и эффективности СМИБ для поддержки организационных решений по постоянному улучшению СМИБ

Требуемые знания

Характеристики мониторинга и оценки защищенности;

методы сбора и представление количественных и качественных данных;

тенденции в менеджменте информационной безопасности и бизнес-среде

Требуемые навыки

Осуществлять мониторинг, проводить оценку защищенности и оценивать, реализуются ли процессы в соответствии с политиками информационной безопасности;

устанавливать критерии и процессы оценки для:

- внедрения СМИБ;

- развертывания ресурсов менеджмента, организационной структуры и СМИБ;

- количественной оценки инцидентов информационной безопасности;

- соблюдения законов и правил;

оценивать эффективность СМИБ;

оценивать по следующим пунктам: если СМИБ была внедрена точно; внедрение менеджмента, организационной структуры и ресурсов СМИБ было надлежащим; количество инцидентов информационной безопасности было уменьшено; нарушения законов и правил не произошло;

анализировать все системно ориентированные планы информационной безопасности во всей сети организации, действуя в качестве связующего звена с информационными системами;

анализировать предлагаемые исключения из политик информационной безопасности;

анализировать причины и извлекать уроки из фактов недостижения целей информационной безопасности

ИСО/МЭК 27001:2013 раздел/подраздел

(если применимо)

9.2 Внутренний аудит

Ожидаемый результат

Периодически оценивать уровень соответствия СМИБ внешним и внутренним правилам

Требуемые знания

Методология и основы аудита информационной безопасности;

процессы и процедуры внутреннего и внешнего аудита;

роль и функции аудита, как внутреннего, так и внешнего;

методы оценки, тестирования и выборочного исследования информационной безопасности

Требуемые навыки

Управлять внутренними аудитами СМИБ;

установить или повлиять на объем аудита информационной безопасности;

анализировать результаты одного или нескольких аудитов информационной безопасности;

предлагать инициативы, мероприятия, проекты и программы с соответствующими требованиями к ресурсам для рассмотрения выводов, рекомендаций и пунктов аудита;

готовить отчет о соблюдении обязательств;

наблюдать, руководить, управлять и участвовать в аудитах информационной безопасности;

описывать, руководить и обеспечивать планы и процессы тестирования информационной безопасности и аудиторские отчеты;

анализировать тенденции применительно к менеджменту информационной безопасности, к результатам аудита СМИБ и бизнес-среде;

отслеживать признаки инцидентов информационной безопасности до соответствующих элементов СМИБ

ИСО/МЭК 27001:2013 раздел/подраздел

(если применимо)

9.3 Проверка со стороны руководства

10.1 Несоответствие и корректирующие действия

Ожидаемый результат

Обеспечивать постоянное улучшение, адекватность и эффективность СМИБ

Требуемые знания

Методы менеджмента риска;

финансовая отчетность и ее оценка;

методы менеджмента бюджета;

менеджмент затрат и методы их снижения

Требуемые навыки

Определять подходящий интервал для страхования эффективности СМИБ;

провести анализ целей СМИБ, бюджеты, бизнес-показатели и подтвердить соответствующие действия;

сообщать результаты анализа со стороны руководства заинтересованным сторонам, если это необходимо;

влиять на результативность и эффективность информационной безопасности на основе результатов анализа со стороны руководства;

успешно председательствовать на собрании по обсуждению результативности менеджмента