ГОСТ Р ИСО/МЭК 27021-2021. Национальный стандарт РФ: "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19.05.2021 N 390-ст)

Information technology. Security techniques. Competence requirements for information security management systems professionals

ОКС 35.040

Дата введения - 30 ноября 2021 г.
Введен впервые

Предисловие

1 Подготовлен Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 390-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27021:2017 "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности" (ISO/IEC 27021:2017 "Information technology - Security techniques - Competence requirements for information security management systems professionals", IDT).

ИСО/МЭК 27021 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА

5 Введен впервые

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Введение

Настоящий стандарт предназначен для использования:

- лицами, которые хотели бы продемонстрировать свою компетентность в области менеджмента информационной безопасности;

- СМИБ-специалистами или специалистами, желающими понять и достичь требуемой компетентности для работы в этой сфере, а также желающими расширить свои знания;

- организациями, ищущими потенциальных кандидатов среди СМИБ-специалистов для определения требуемых от них компетентностей, необходимых для занятия должностей организаций, предполагающих выполнение ролей, связанных со СМИБ;

- органами по разработке программ сертификации СМИБ-специалистов, предназначенных для использования центрами сертификации при проведении мероприятий, связанных с проверкой уровня компетентности у СМИБ-специалистов;

- образовательными учреждениями (университетами, учреждениями дополнительного профессионального образования) для согласования их учебных планов и программ в соответствии с требованиями к компетентностям, которыми должны обладать их выпускники в области СМИБ.

Настоящий стандарт следует рассматривать и использовать в комплексе с ИСО/МЭК 27001 ¹⁾.

------------------------------

¹⁾_{Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.}

------------------------------

1 Область применения

Настоящий стандарт устанавливает требования к компетентности специалистов по системам менеджмента информационной безопасности (СМИБ-специалистов), выполняющих или участвующих в разработке, реализации, осуществлении контроля и постоянном совершенствовании одного или нескольких процессов менеджмента информационной безопасности, соответствующих ИСО/МЭК 27001.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированной ссылки применяют только указанное издание, для недатированной - последнее издание (включая все изменения):

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Общий обзор и терминология)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.

С целью использования в своих стандартах международные организации ИСО и МЭК поддерживают терминологические базы данных:

- платформа ИСО для онлайн-просмотра доступна по адресу http://www.iso.org/obp;

- платформа МЭК Электропедия (IEC Electropedia) доступна по адресу http://www.electropedia.org/.

3.1

компетентность (competence): Способность применять знания и навыки для достижения намеченных целей. [ИСО/МЭК 17024:2012, статья 3.6]

3.2 специалист по системам менеджмента информационной безопасности (СМИБ-специалист) (information security management system professional, ISMS professional): Лицо, которое разрабатывает, реализует, осуществляет контроль и постоянно совершенствует один или несколько процессов системы менеджмента информационной безопасности.

4 Концепция и структура

4.1 Общие сведения

СМИБ-специалисты - это специалисты (сотрудники), чья роль заключается в менеджменте, внедрении, сопровождении и постоянном совершенствовании одного или нескольких процессов системы менеджмента информационной безопасности. Для успешного выполнения своей роли они должны обладать знаниями, навыками, определенными в настоящем стандарте, и поддерживать их на соответствующем уровне.

4.2 Концепция компетентности СМИБ

Внутри организации могут быть внедрены, эксплуатироваться и обслуживаться несколько систем менеджмента. За каждую систему менеджмента отвечает один или несколько специалистов. Настоящий стандарт рассматривает каждую такую систему менеджмента (СМ) как систему, необходимую для менеджмента бизнес-процессов организации в определенной предметной области. При этом каждая СМ требует специалистов, компетентных в области менеджмента и обладающих компетентностями, относящимися и к менеджменту, а также к предметной области. В качестве примера на рисунке 1 показана связь общепрофессиональных компетентностей в области менеджмента и профессиональных компетентностей четырех предметных областей (А, В, X, ИБ). Среди данных предметных областей имеется и область информационной безопасности. Исходя из этого в настоящем стандарте отдельно рассмотрены общепрофессиональные компетентности, относящиеся к менеджменту бизнес-процессов (см. раздел 5) и профессиональные компетентности, относящиеся к области СМИБ, которые учитывают первую группу компетентностей и компетентностей в области информационной безопасности (ИБ) (см. раздел 6).

Рисунок 1 - Связь профессиональных компетентностей СМИБ-специалистов с общепрофессиональными компетентностями в области менеджмента и профессиональными компетентностями определенной предметной области

4.3 Структура компетентности СМИБ

Каждой компетентности присваиваются уникальное имя и уникальный номер, а также определяются ее индикаторы (требования к уровню знаний и навыков). Если применимы положения ИСО/МЭК 27001:2013, определенные в его разделах с 5 по 10, то устанавливается связь между разделом стандарта и соответствующей компетентностью. В общем случае с разделом или подразделом могут иметь связи несколько компетентностей. Описание компетентности выполнено по шаблону, приведенному в таблице 1.

Таблица 1 - Шаблон для описания компетентности

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Номер и название раздела/подраздела
Ожидаемый результат	Описание ожидаемого результата как результат проявления СМИБ-специалистом компетентности
Требуемые знания	Краткое изложение тем, концепций и принципов, которые должны знать СМИБ-специалисты
Требуемые навыки	Навыки, которые СМИБ-специалисты способны реализовать

4.4 Демонстрация компетентности

СМИБ-специалисты для каждой компетентности должны быть способны продемонстрировать следующее:

а) знания, подтвержденные наличием определенной квалификации, полученной в результате обучения или практической работы;

b) навыки или способности решать задачи менеджмента или технические задачи.

4.5 Структура настоящего стандарта

В настоящем стандарте представлены компетентности, которыми должны обладать СМИБ-специалисты, разделенные на две категории. Эти категории относятся к общепрофессиональным компетентностям в области менеджмента и к профессиональным компетентностям в области информационной безопасности. В каждой категории определены по 12 компетентностей с привязкой к соответствующим группам процессов СМИБ (планирование, обеспечение, поддержка, функционирование, оценивание исполнения и улучшение). В настоящий стандарт включены следующие разделы и подразделы:

- 5 Общепрофессиональные компетентности в области менеджмента бизнеса для СМИБ-специалистов;

- 6 Компетентности в области информационной безопасности:

- 6.1 СМИБ-компетентность: информационная безопасность;

- 6.2 СМИБ-компетентность: планирование информационной безопасности;

- 6.3 СМИБ-компетентность: функционирование информационной безопасности;

- 6.4 СМИБ-компетентность: поддержка информационной безопасности;

- 6.5 СМИБ-компетентность: оценка эффективности информационной безопасности;

- 6.6 СМИБ-компетентность: улучшение информационной безопасности.

Приложение А содержит совокупности элементов, которые могут быть использованы при формировании свода знаний (СЗ) в организации, которыми должны обладать СМИБ-специалисты. Когда организация создает такой СЗ, то можно ссылаться на приложение А как на источник данных об уровне знаний СМИБ-специалистов.

5 Общепрофессиональные компетентности в области менеджмента бизнеса для СМИБ-специалистов

5.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобрести и обладать знаниями по фундаментальным областям менеджмента бизнеса и быть в курсе последних событий.

5.2 Компетентность: руководство

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	5 Руководство
Ожидаемый результат	Направлять, мотивировать и поощрять сотрудников в организации к выполнению ролей в области информационной безопасности
Требуемые знания	Теории лидерства; методы переговоров
Требуемые навыки	Формировать и установить направления деятельности организации в области информационной безопасности; предоставлять рекомендации, определять цели и стимулировать успешное решение задач, связанных с информационной безопасностью на различных уровнях их исполнения; выполнять взятые на себя обязательства; распределить обязанности и полномочия на разных уровнях организации

5.3 Компетентность: взаимодействие

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	7.4 Взаимодействие
Ожидаемый результат	Предоставлять правильную информацию в краткой форме соответствующим сторонам и обеспечивать наиболее продуктивное взаимодействие с руководством организации в отношении информационной безопасности
Требуемые знания	Теория и методы общения; методы анализа заинтересованных сторон; методы взаимодействия
Требуемые навыки	Разрабатывать процессы и каналы взаимодействия, подходящие для организации при создании СМИБ; общаться на соответствующем языке и с помощью средств массовой информации с широким кругом партнеров; налаживать отношения с высшим руководством и с организаторами бизнеса организации; определять потребности во внутренних и внешних взаимодействиях по вопросам СМИБ

5.4 Компетентность: бизнес-стратегия и СМИБ

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	4.1 Понимание внутренних и внешних факторов деятельности организации
Ожидаемый результат	Понимать, как формулируется бизнес-стратегия и как стратегия информационной безопасности и СМИБ вписывается в общую бизнес-стратегию
Требуемые знания	Бизнес-стратегия и процесс формулирования стратегии; правовая и нормативная среда, в которой работает организация; как определяется стратегия, например, с помощью дерева стратегического согласования
Требуемые навыки	Понимать бизнес-стратегию и стратегию организации; установить цели информационной безопасности в контексте бизнеса и его стратегии; продемонстрировать стратегическое направление в отношении СМИБ, начиная от планирования и кончая улучшением, которое направлено на достижение общих целей в области информационной безопасности; распределять или содействовать в распределении ресурсов для достижения целей бизнеса и информационной безопасности

5.5 Компетентность: менеджмент создания организации, культуры, поведения и заинтересованных сторон

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	4.2 Понимание потребностей и ожиданий заинтересованных сторон
Ожидаемый результат	Обеспечить соответствие внедрения СМИБ организационной структуре и культуре
Требуемые знания	Теория создания организации; теория организационной культуры; подходы, методологии и рамки организационного поведения; менеджмент конфликтов
Требуемые навыки	Понять структуру организации; понять тактику поведения организации; анализировать и оценивать культуру организации; интегрировать СМИБ в структуру организации; управлять участниками конфликта с разными интересами и вести переговоры для достижения целей безопасности

5.6 Компетентность: менеджмент проектирования процессов и изменений организации

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Поддерживать выполнение повседневных действий, связанных с информационной безопасностью
Требуемые знания	Оперативное планирование и контроль; методология и основы проектирования процессов; процессы документирования и процессы менеджмента записей; организационный контекст; методология и основы менеджмента изменений
Требуемые навыки	Руководить процессами и контролировать выполнение планов по достижению целей информационной безопасности; управлять процессами организации; управлять процессами аутсорсинга; управлять процессами менеджмента изменений; управлять записями

5.7 Компетентность: кадровый менеджмент, менеджмент коллективов и отдельных лиц

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	7.2 Квалификация
Ожидаемый результат	Активно действовать и разрабатывать организационные процессы для удовлетворения потребностей в развитии отдельных лиц, команд и всего персонала
Требуемые знания	Системы и процессы оценивания; методы совершенствования; методологии анализа квалификационных потребностей; методы образования и методы поддержки и развития (например, инструктаж, обучение, тренинг); оптимальные требования к персоналу и его квалификации, необходимые для внедрения и поддержки СМИБ; квалификации и сертификация, относящиеся к информационной безопасности
Требуемые навыки	Установить организационные и индивидуальные цели, задачи и задания и связать их; понимать и использовать такие стратегии, как расширение прав и возможностей; измерять и влиять на уровень мотивации сотрудников; использовать такие инструменты, как менеджмент производительности, постановка целей и оценки; инструктировать, и/или тренировать, и/или наставлять отдельных лиц или команды; работать в межфункциональных командах для достижения бизнес-целей и/или целей информационной безопасности; создавать культуру командной работы; поддерживать спецификации, собеседования, наем, отбор, обучение, надзор и развитие персонала с соответствующими навыками, опытом и мотивацией; оценивать результаты обучения, инструктажа и связанных с ними действий, а также приобретения навыков

5.8 Компетентность: менеджмент рисков

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Понимать методологию, основы и результаты менеджмента риска
Требуемые знания	Основные принципы риска; методология и основы менеджмента бизнес-риска, оценки и обработки рисков; правовая и нормативная база, с которой работает организация
Требуемые навыки	Понять определение риска и его компонентов в реальных условиях; понять методологию менеджмента бизнес-риска, методологию и процессы оценки и обработки риска; объяснять результаты менеджмента бизнес-риска или корпоративного риска

5.9 Компетентность: менеджмент ресурсов

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	7.1 Ресурсы
Ожидаемый результат	Обеспечить своевременное определение и предоставление соответствующих ресурсов для создания, внедрения, поддержки и постоянного улучшения СМИБ
Требуемые знания	Финансовая отчетность и ее оценивание; методы создания и менеджмента бюджета; методы менеджмента затрат и методы их снижения; методы менеджмента времени и материалов; особенности анализа со стороны руководства и процессы корректирующих действий
Требуемые навыки	Определять ресурсы, необходимые для создания, внедрения, поддержки и постоянного улучшения СМИБ; бюджетировать бизнес-элементы, включая стоимость внедрения и стоимость эксплуатации СМИБ; понять финансовую отчетность, в том числе о движении денежных средств, прибылях и убытках; создавать бизнес-кейсы и инвестиционные кейсы; обеспечивать ROI (возврат инвестиций) и ROSI (возврат инвестиций в информационную безопасность) и другие финансовые преимущества; применять методы контроля затрат при менеджменте бюджета; своевременно предоставлять соответствующие ресурсы в нужном месте

5.10 Компетентность: архитектура информационных систем

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Понимать архитектуры применяемых информационных систем, используемых для создания, хранения, обработки, передачи и удаления информации организации
Требуемые знания	Требования к архитектуре информационных систем; аппаратные компоненты, инструменты и аппаратные архитектуры; операционные системы и программные платформы; интеграция бизнес-процессов и зависимость от бизнес-процессов приложений ИКТ; аспекты информационной безопасности архитектуры информационных систем
Требуемые навыки	Понять бизнес-цели/драйверы, которые влияют на архитектуру информационной системы; понять взаимодействие компонентов безопасности и компонентов архитектуры информационной системы

5.11 Компетентность: менеджмент проектов и портфеля проектов

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Эффективно и действенно управлять различными типами проектов и действий, связанных со СМИБ (такими, как корректирующие, превентивные, улучшающие), для достижения намеченных результатов в нужное время, в рамках бюджета и требуемого качества
Требуемые знания	Методологии и основы менеджмента проектов; методологии и основы менеджмента портфеля проектов; подходы к определению этапов проекта и инструменты для создания планов действий
Требуемые навыки	Управлять проектами, портфелем проектов, мероприятиями и задачами; управлять вместе с бизнесом портфелем инвестиционных проектов, связанных с СМИБ; планировать проекты для реализации стратегий, устанавливать процедуры и реализовывать их успешно и эффективно; работать в междисциплинарных группах для достижения целей бизнеса и/или информационной безопасности

5.12 Компетентность: менеджмент поставщиков

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Понимать роли поставщиков и цепочек поставок в организацию и их влияние на информационную безопасность
Требуемые знания	Методы использования поставщиков и цепочек поставок
Требуемые навыки	Оценить поставщиков и цепочку(и) поставок; оценить влияние на информационную безопасность поставщиков и цепочек поставок; управлять поставщиками при необходимости; предоставлять рекомендации по информационной безопасности при создании, оценке, выборе, менеджменте и завершении отношений с поставщиками

5.13 Компетентность: менеджмент проблем

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Своевременно выявлять и решать проблемы, которые могут иметь последствия для СМИБ
Требуемые знания	Методология и основы решения проблем и анализа
Требуемые навыки	Понять внутренние и внешние проблемы; анализировать и обобщать информацию и данные о проблемах; аналитически описывать проблемы менеджмента, применения аналитических подходов и разработки решений проблем; представлять и объяснять предлагаемые решения соответствующей аудитории

6 Компетентности в области информационной безопасности для СМИБ-специалистов

6.1 СМИБ-компетентность: информационная безопасность

6.1.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и поддерживать в актуальном состоянии основную информацию о методах, средствах и процессах информационной безопасности, являющуюся общей для управления информационной безопасностью, проектирования и эксплуатации, такую как ключевые принципы и цели информационной безопасности.

6.1.2 Компетентность: руководство деятельностью по обеспечению информационной безопасности

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Обеспечивать поддержку, направленную на высокий уровень СМИБ
Требуемые знания	Основы делового и/или корпоративного руководства; концепции и основы руководства деятельностью по обеспечению информационной безопасности; стандарты руководства деятельностью по обеспечению информационной безопасности (например, ИСО/МЭК 27014); правовые и нормативные вопросы, связанные с СМИБ; руководство деятельностью по менеджменту предприятия и менеджменту ИТ, а также соответствующие международные стандарты
Требуемые навыки	Разрабатывать структуру руководящих действий, которая соответствует/поддерживает структуру руководящих действий по менеджменту бизнеса; определять требования к отчетности и контролю; создавать, внедрить и поддерживать структуру руководящих действий по обеспечению информационной безопасности; излагать принципы руководства деятельностью по обеспечению информационной безопасности; обеспечивать информационную безопасность всей организации; принимать подход, основанный на оценке риска; задавать направление инвестиционных решений; обеспечивать соответствие внутренним и внешним решениям; создавать благоприятную для безопасности среду; понимать и определять объем правовых, нормативных и руководящих требований, которые могут повлиять на СМИБ; определять роли и обязанности в определенной области

6.1.3 Компетентность: контекст организации

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	4.1 Понимание внутренних и внешних факторов деятельности организации 4.2 Понимание потребностей и ожиданий заинтересованных сторон
Ожидаемый результат	Выявлять внутренние и внешние проблемы, которые могут повлиять на СМИБ
Требуемые знания	Методология и основы анализа контекста организации; организационная культура; схема информационных потоков; контекст организации, в которой будет внедрена СМИБ; правовая/нормативная база, касающая СМИБ
Требуемые навыки	Определять заинтересованные стороны, связанные с СМИБ, и выявлять требования этих заинтересованных сторон; определять области действия СМИБ, границы применимости СМИБ и заинтересованных лиц; сообщать заинтересованным сторонам о целях и преимуществах СМИБ; определять предполагаемый результат(ы) СМИБ

6.2 СМИБ-компетентность: планирование информационной безопасности

6.2.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и постоянно обновлять информацию о планировании СМИБ.

6.2.2 Компетентность: область действия СМИБ

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	4.3 Определение области действия системы менеджмента информационной безопасности 6.2 Цели информационной безопасности и планы по их достижению
Ожидаемый результат	Продемонстрировать стратегическое направление в отношении СМИБ, начиная от планирования и заканчивая улучшением, которое направлено на достижение общей цели в области информационной безопасности
Требуемые знания	Цели информационной безопасности и планирования их достижения; области руководства деятельностью по обеспечению информационной безопасности; области политики информационной безопасности
Требуемые навыки	Разрабатывать, поддерживать и распространять стратегии и политики информационной безопасности в соответствии с бизнес-стратегией; определять заинтересованные стороны и их требования; руководить стратегическим планированием информационной безопасности для СМИБ; объяснять преимущества внедрения СМИБ для бизнеса; создавать СМИБ организации, соответствующую стратегии организации; понимать вопросы, относящиеся к целям организации и СМИБ; понимать и определять область действия СМИБ; синтезировать потребности, ожидания и требования для определения движущих сил СМИБ; определять организационные роли, обязанности в отношении СМИБ; понимать и генерировать ключевые показатели эффективности, ключевые показатели риска и другие бизнес-показатели для стратегий информационной безопасности и СМИБ

6.2.3 Компетентность: оценка и обработка рисков информационной безопасности

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	6.1 Действия по рассмотрению рисков и возможностей 8.2 Оценка рисков информационной безопасности 8.3 Обработка рисков информационной безопасности
Ожидаемый результат	Применять общие методы менеджмента риска (см. 5.8 Компетентность: менеджмент риска) к рискам информационной безопасности
Требуемые знания	Методология и области оценки/обработки рисков информационной безопасности; оценка рисков информационной безопасности; обработка рисков информационной безопасности; стандарты, относящиеся к рискам и рискам информационной безопасности (например, ИСО 31000 и ИСО/МЭК 27005; меры и средства информационной безопасности и цели их применения, как это указано в ИСО/МЭК 27001:2013, приложение А
Требуемые навыки	Предоставлять указания и рекомендации по оцениванию рисков информационной безопасности и контролировать соблюдение стандартов информационной безопасности и соответствующих политик информационной безопасности; определять и адресовать бизнес-риски, определять возможности, интегрированность и внедрение действий в процессы СМИБ; определять и применять процессы оценки и обработки рисков информационной безопасности; выбирать, внедрять и улучшать средства контроля для снижения риска информационной безопасности; сравнивать применяемые средства с теми, которые указаны в ИСО/МЭК 27001:2013, приложение А, и убедиться, что не были пропущены необходимые средства

6.3 СМИБ-компетентность: функционирование информационной безопасности

6.3.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и постоянно обновлять информацию о работе и функционировании СМИБ.

6.3.2 Компетентность: функционирование информационной безопасности

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	8 Функционирование
Ожидаемый результат	Эффективно и действенно выполнять процессы, связанные с информационной безопасностью
Требуемые знания	Методология и основы менеджмента активов; методология и основы контроля доступа; методология и основы проектирования информационной безопасности; методология и основы физической защиты и защиты окружающей среды; методология и основы безопасности связи; методология и основы приобретения, разработки и сопровождения систем; методология и основы менеджмента инцидентов информационной безопасности; методология и основы аварийного восстановления; методология и основы обеспечения непрерывности бизнеса; методология и основы оценки соответствия; методология и основы менеджмента изменений и конфигураций; оценка и обработка рисков информационной безопасности; информационные технологии; жизненный цикл программного обеспечения и основы методологии; основы работы и внедрение широко распространенных средств менеджмента информационной безопасности; меры и средства менеджмента информационной безопасности, как указано в ИСО/МЭК 27001:2013, приложение А
Требуемые навыки	Управлять информационной безопасностью в процессах, переданных на аутсорсинг; выполнять процессы оценки рисков информационной безопасности; внедрять план обработки рисков информационной безопасности; оценивать уровни процессов и уровни функционирования, отнесенные к информационной безопасности; оценивать уровень информационной безопасности в других бизнес-процессах/операциях в организации

6.4 СМИБ-компетентность: поддержка информационной безопасности

6.4.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и постоянно обновлять информацию о поддержке СМИБ.

6.4.2 Компетентность: осведомленность об информационной безопасности, образование и обучение

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	7.3 Осведомленность
Ожидаемый результат	Распространять культуру информационной безопасности среди персонала, работающего в рамках СМИБ
Требуемые знания	Информация об информационной безопасности, образовании, подходах к подготовке и ее методах; подходы и стили обучения; педагогические подходы и методы обучения; методики анализа потребностей в обучении
Требуемые навыки	Создавать программы обучения и повышения осведомленности и консультировать операционные подразделения на всех уровнях по политике информационной безопасности, их вкладу в эффективность СМИБ, передовой практике; поддерживать осведомленность о состоянии безопасности защищенных информационных систем; определять требования к осведомленности, обучению и образованию; создавать информационные, образовательные и обучающие сообщения в области информационной безопасности и распространять их среди различных аудиторий; оценить и предложить механизмы соблюдения и поддержки культуры информационной безопасности

6.4.3 Компетентность: документирование

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	6.2 Цели информационной безопасности и планы по их достижению 7.5 Документированная информация
Ожидаемый результат	Управлять жизненным циклом документации по менеджменту информационной безопасности
Требуемые знания	Документация, требуемая для СМИБ; инструменты для разработки, редактирования и распространения документированной информации; инструменты и методы менеджмента версий документации; системы менеджмента документации
Требуемые навыки	Определять и предоставлять информацию, которая должна быть задокументирована для СМИБ; создавать и изменять описи документации для СМИБ; управлять изменениями документов и контролировать их версии; управлять шаблонами общих публикаций; организовывать и контролировать рабочие процессы менеджмента документации; документировать и каталогизировать основные процессы и процедуры

6.5 СМИБ-компетентность: оценка эффективности информационной безопасности

6.5.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и постоянно обновлять информацию об оценке эффективности СМИБ.

6.5.2 Компетентность: мониторинг, оценка защищенности, анализ и оценивание СМИБ

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	9.1 Мониторинг, оценка защищенности, анализ и оценивание
Ожидаемый результат	Оценивать показатели информационной безопасности и эффективности СМИБ для поддержки организационных решений по постоянному улучшению СМИБ
Требуемые знания	Характеристики мониторинга и оценки защищенности; методы сбора и представление количественных и качественных данных; тенденции в менеджменте информационной безопасности и бизнес-среде
Требуемые навыки	Осуществлять мониторинг, проводить оценку защищенности и оценивать, реализуются ли процессы в соответствии с политиками информационной безопасности; устанавливать критерии и процессы оценки для: - внедрения СМИБ; - развертывания ресурсов менеджмента, организационной структуры и СМИБ; - количественной оценки инцидентов информационной безопасности; - соблюдения законов и правил; оценивать эффективность СМИБ; оценивать по следующим пунктам: если СМИБ была внедрена точно; внедрение менеджмента, организационной структуры и ресурсов СМИБ было надлежащим; количество инцидентов информационной безопасности было уменьшено; нарушения законов и правил не произошло; анализировать все системно ориентированные планы информационной безопасности во всей сети организации, действуя в качестве связующего звена с информационными системами; анализировать предлагаемые исключения из политик информационной безопасности; анализировать причины и извлекать уроки из фактов недостижения целей информационной безопасности

6.5.3 Компетентность: аудит СМИБ

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	9.2 Внутренний аудит
Ожидаемый результат	Периодически оценивать уровень соответствия СМИБ внешним и внутренним правилам
Требуемые знания	Методология и основы аудита информационной безопасности; процессы и процедуры внутреннего и внешнего аудита; роль и функции аудита, как внутреннего, так и внешнего; методы оценки, тестирования и выборочного исследования информационной безопасности
Требуемые навыки	Управлять внутренними аудитами СМИБ; установить или повлиять на объем аудита информационной безопасности; анализировать результаты одного или нескольких аудитов информационной безопасности; предлагать инициативы, мероприятия, проекты и программы с соответствующими требованиями к ресурсам для рассмотрения выводов, рекомендаций и пунктов аудита; готовить отчет о соблюдении обязательств; наблюдать, руководить, управлять и участвовать в аудитах информационной безопасности; описывать, руководить и обеспечивать планы и процессы тестирования информационной безопасности и аудиторские отчеты; анализировать тенденции применительно к менеджменту информационной безопасности, к результатам аудита СМИБ и бизнес-среде; отслеживать признаки инцидентов информационной безопасности до соответствующих элементов СМИБ

6.5.4 Компетентность: проверка со стороны руководства

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	9.3 Проверка со стороны руководства 10.1 Несоответствие и корректирующие действия
Ожидаемый результат	Обеспечивать постоянное улучшение, адекватность и эффективность СМИБ
Требуемые знания	Методы менеджмента риска; финансовая отчетность и ее оценка; методы менеджмента бюджета; менеджмент затрат и методы их снижения
Требуемые навыки	Определять подходящий интервал для страхования эффективности СМИБ; провести анализ целей СМИБ, бюджеты, бизнес-показатели и подтвердить соответствующие действия; сообщать результаты анализа со стороны руководства заинтересованным сторонам, если это необходимо; влиять на результативность и эффективность информационной безопасности на основе результатов анализа со стороны руководства; успешно председательствовать на собрании по обсуждению результативности менеджмента

6.6 СМИБ-компетентность: улучшение информационной безопасности

6.6.1 Общие сведения

Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны формировать и постоянно поддерживать в актуальном состоянии свой потенциал в отношении улучшения СМИБ.

6.6.2 Компетентность: постоянное улучшение

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	10.2 Постоянное улучшение
Ожидаемый результат	Включаться в процесс, направленный на постоянное улучшение своевременным образом всех ключевых аспектов СМИБ
Требуемые знания	Методология и основы постоянного улучшения
Требуемые навыки	Решать, следует ли поддерживать текущую СМИБ; эффективно выполнять корректирующие действия; определять, как применение процесса постоянного улучшения будет поддерживать цели СМИБ; предлагать корректирующие действия; учитывать новые законодательные и нормативные требования и обязательства; предлагать механизмы для улучшения приемлемости, адекватности и результативности СМИБ

6.6.3 Компетентность: технологические тенденции и развитие

ИСО/МЭК 27001:2013 раздел/подраздел (если применимо)	Разделов или подразделов стандарта, которые можно применить, нет
Ожидаемый результат	Согласовывать существующую СМИБ с последними технологическими инновациями с особым вниманием к рискам информационной безопасности, которые они могут снизить или создать
Требуемые знания	Новые технологии и их применение
Требуемые навыки	Создавать картину будущих технологий, угроз и рисков и изменять текущую СМИБ, чтобы обеспечить ее постоянную приемлемость, адекватность и результативность; анализировать влияние на бизнес новых технологий, таких как искусственный интеллект

Библиография

[1]	ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements
[2]	ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security controls
[3]	ISO/IEC 27005, Information technology - Security techniques - Information security risk management
[4]	ISO/IEC 27014, Information technology - Security techniques - Governance of information security