Приложение А (справочное). Совокупность терминов, характеризующих необходимые знания для СМИБ-специалистов как часть свода знаний. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27021-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19.05.2021 N 390-ст)

Приложение А
(справочное)

Совокупность терминов, характеризующих необходимые знания для СМИБ-специалистов как часть свода знаний

В этом приложении представлены элементы, которые можно использовать при формировании свода знаний (СЗ) в организации. Организации может потребоваться больше таких элементов, чем приведено в данном приложении, и она может создать свой свод знаний, специфичный для этой организации.

Свод знаний должен содержать полный набор концепций, терминов и действий, составляющих профессиональную область СМИБ, как это определено соответствующим научным обществом или профессиональной ассоциацией. Ниже приведенная таблица А.1 является иллюстративной и содержит примеры терминов, характеризующие необходимые знания в отношении определенным компетентностям, которые могут быть использованы для создания СЗ.

Таблица А.1 - Примеры терминов, характеризующих необходимые знания, относящиеся к компетентностям СМИБ-специалистов, которые могут быть использованы для создания СЗ

Бизнес-компетентности (раздел 5), СМИБ-компетентности (раздел 6)	Компетентности	Примеры терминов, характеризующих необходимые знания
5 Бизнес-компетентности	5.2 Руководство	Приверженность, постоянное улучшение, требования СМИБ, вдохновение, мотивация, влияние, переговоры, организационный авторитет, ответственность, организационная роль, цель организации, стратегическое направление, высшее руководство
	5.3 Взаимодействие	Внутренняя и внешняя проблема, презентация, менеджмент взаимодействия, план взаимодействия, безопасность взаимодействия, культура заинтересованных сторон, менеджмент документации, целевая аудитория, внутреннее и внешнее взаимодействие, сотрудник по связям с общественностью, менеджмент заинтересованных сторон, заинтересованная сторона, анализ заинтересованных сторон, высшее руководство
	5.4 Бизнес-стратегия и СМИБ	Бизнес-метрики (сбалансированная система показателей (BSC), показатели ключевых целей (KGI), ключевые показатели эффективности (KPI), бизнес-стратегия, правовая и нормативная база
	5.5 Менеджмент создания организации, культуры, поведения и заинтересованных сторон	Анализ/оценка поведения, контроль мотивации, полномочия, организация, организационный дизайн (создание организации), организационная культура, анализ заинтересованных сторон
	5.6 Менеджмент проектирования процессов и изменений организации	Антивирусное программное обеспечение, базовый уровень, менеджмент конфигураций, контроль, цель контроля, коррекция, менеджмент идентификации, менеджмент рисков информационной безопасности, оценка рисков, обработка рисков информационной безопасности, библиотека инфраструктур информационной технологии (ITIL), внутренняя угроза, цель, процесс, модель зрелости процессов, риск, анализ данных безопасности, менеджмент событий информационной безопасности (SIEM), меры безопасности, системный журнал, система мониторинга, анализ угроз, мониторинг угроз, анализ уязвимостей
	5.7 Менеджмент человеческих ресурсов, коллективов и отдельных лиц	Траектория обучения, контроль мотивации, расширение прав и возможностей, аттестации базовой квалификации, сертификация, компетентность, компьютерное обучение (СВТ), соответствие, дисциплинарный процесс, обучение и образование конечных пользователей, занятость человеческих ресурсов, подготовка кадров и образование, осведомленность об информационной безопасности, учебная программа по информационной безопасности, трудовое пиратство, ответственность руководства, квалификация, ролевое обучение, отбор, веб-обучение (WBT)
	5.8 Менеджмент рисков	Атака, анализ воздействия на бизнес, бизнес-риски, общение и консультация, последствия, постоянное улучшение, контроль, событие, событие информационной безопасности, уровень риска, вероятность, мониторинг, остаточный риск, обзор, риск, принятие риска, анализ риска, оценка риска, отношение к риску, риск-аппетит, толерантность к риску, информирование о рисках и консультации, критерии рисков, оценка рисков, идентификация рисков, менеджмент риска, основы менеджмента риска, процесс менеджмента риска, владелец риска, профиль риска, источник риска, обработка риска, заинтересованная сторона, угроза, уязвимость
	5.9 Менеджмент ресурсов	Бизнес-метрики (BSC, KGI, KPI), анализ, менеджмент бюджета, составление бюджета СМИБ, стоимость, затраты и выгоды от внедрения СМИБ, расходы, финансовые принципы, менеджмент финансов, финансовый отчет, чистая приведенная стоимость (NPV), внутренняя норма прибыли (IRR), инвестиции, оценка инвестиций, рентабельность инвестиций (ROI), ключевой показатель эффективности, административная дисциплина, рентабельность инвестиций в безопасность (ROSI), KPI безопасности
	5.10 Архитектура информационных систем	Менеджмент конфигураций, данные, информационная потребность, требование информационной безопасности (анализ и спецификация), доступность, менеджмент изменений, облачный сервис, система баз данных, документация, средства обработки информации, архитектура информационной безопасности, инцидент информационной безопасности, информационная система, отказ информационной системы, архитектура информационной системы, ремонтопригодность, договор на обслуживание, стоимость обслуживания, сетевая архитектура, аутсорсинговая разработка, менеджмент исправлений, повторная разработка/обновление, надежность, требования, спецификация безопасности, анализ уязвимостей безопасности, безопасное кодирование, принципы безопасного кодирования, безопасная среда разработки, политика безопасной разработки, безопасное проектирование системы, принципы проектирования безопасных систем, обеспечение программного обеспечения, стабильность, приемочное тестирование системы, жизненный цикл развития системы (SDLC), менеджмент проектов разработки системы, системная инженерия, тестирование безопасности системы, удобство использования
	5.11 Менеджмент проектов и портфеля проектов	Контроль, заинтересованное лицо, деятельность, утверждение и расстановка приоритетов, исходный уровень, запрос на изменение, менеджмент конфигураций, корректирующее действие, критический путь, групповая динамика, проект СМИБ, отставание, траектория обучения, жизненный цикл проекта, менеджер проекта, реестр рисков, тендер, иерархическая структура работ (WBS)
	5.12 Менеджмент поставщиков	Требование информационной безопасности (анализ и спецификация), заинтересованное лицо, анализ воздействия на бизнес, анализ рисков, менеджмент контрактов, анализ затрат и выгод, утилизация, криминалистическая экспертиза информационной безопасности (форензика), политика информационной безопасности, заинтересованная сторона, законы и постановления, аутсорсинг, предварительная оценка, соответствие нормативным требованиям, запрос предложений (RFP), снижение рисков, риск - обоснованное решение, соглашение об уровне обслуживания (SLA), ходатайство, заявление о целях (SOO), техническое задание (SOW), общая стоимость владения (ТСО)
	5.13 Менеджмент проблем	Анализ и синтез, аналитическая модель, аналитическое мышление, оценка, когнитивная наука, критический фактор успеха (CSF), критическое мышление, данные, критерии принятия решения, производная мера, оценка, индикатор, потребность информационная, требование информационной безопасности (анализ и спецификация), внутренняя и внешняя проблема, измерение, презентация, подход к решению проблем, методологии решения проблем, масштаб, проверка (валидация)
6 СМИБ-компетентности
6.1 Информационная безопасность	6.1.2 Руководящая деятельность по обеспечению информационной безопасности	Заинтересованное лицо, судебная экспертиза информационной безопасности (форензика), заинтересованная сторона, руководство деятельностью по менеджменту, руководящая деятельность по обеспечению информационной безопасности, руководящий орган, область руководящей деятельности по обеспечению информационной безопасности, риск информационной безопасности, внутренний контекст, цели и задачи организации, программный ресурс
	6.1.3 Контекст организации	Приверженность, постоянное улучшение, требования СМИБ, лидерство, переговоры, авторитет организации, ответственность организации, роль организации, цель организации, стратегическое направление, высшее руководство
6.2 Планирование информационной безопасности	6.2.2 Область действия СМИБ	(Информационный) актив, базовая мера, бизнес-преимущества СМИБ, менеджмент, цель менеджмента, исправление, затраты и выгоды от внедрения СМИБ, критический фактор успеха (CSF), эффективность, исполнительное руководство, внешний контекст, информационная безопасность, средства менеджмента информационной безопасности, меры обеспечения информационной безопасности, политика информационной безопасности, роль и ответственность информационной безопасности, проект СМИБ, ключевой показатель эффективности, правоохранительный орган, система менеджмента, политика мобильных устройств, новая платформа, неотказуемость, объект, цель, организация, политика, превентивные действия, надежность, рентабельность инвестиций в безопасность (ROSI), анализ политик информационной безопасности, риск, критерии принятия риска, менеджмент риска, процесс менеджмента рисков, разделение обязанностей, группы особых интересов, удаленная работа, высшее руководство
	6.2.3 Оценка и воздействие на риски информационной безопасности	Приемлемый риск, ожидаемая годовая потеря, годовая частота возникновения, атака, доступность, стратегия резервного копирования, базовый уровень, базовое моделирование, бенчмаркинг, непрерывность бизнеса, анализ влияния бизнеса, бизнес-метрики (BSC, KGI, KPI), план восстановления бизнеса, управление изменениями, конфиденциальность, делегирование полномочий, цифровая идентификация, аварийное восстановление, событие, развитие человеческих ресурсов, средства обработки информации, очистка ИБ, непрерывность ИБ, событие ИБ, инцидент ИБ, оценка риска ИБ, управление рисками ИБ, обработка рисков ИБ, план чрезвычайных ситуаций информационной системы, инсайдерская угроза, взаимодействующие коммуникации, ротация должностей, лидерство, уровень риска, вероятность, управленческие возможности, минимальная цель непрерывности бизнеса (МВСО), обеспечение миссии, мониторинг, соглашение о неразглашении, аварийный план, порядок преемственности, чувствительность позиции, предварительная подготовка/готовность, превентивные действия, цель точки восстановления (RPO), цель времени восстановления (RTO), остаточный риск, принятие риска, критерии принятия риска, анализ риска, оценка риска, критерии оценки риска, идентификация риска, уровень риска, процесс управления риском, смягчение риска, владелец риска, источник риска, обработка рисков, нарушение безопасности, стандарт реализации безопасности, реагирование на инциденты безопасности, разделение обязанностей, социальная инженерия, специальное фоновое расследование (BOO), заинтересованная сторона, риск информационной безопасности, законы и нормативные акты, доступность, средства обработки информации, требование, внутренняя и внешняя проблема, организация, атака, конфиденциальность, оценка риска ИБ, управление рисками ИБ, обработка рисков ИБ, целостность, цель, планирование (процесс СМИБ)
6.3 Функционирование информационной безопасности	6.3.2 Функционирование информационной безопасности	(Информационный) актив, контроль доступа, аккредитация, антивирусное программное обеспечение, менеджмент активов, аутентификация, доступность, резервное копирование, базовый уровень безопасности, определение причины, менеджмент изменений, безопасность связи, группа реагирования на инциденты компьютерной безопасности (CSIRT), конфиденциальность, менеджмент конфигураций, криптография, аварийное восстановление, документация, экологическая безопасность, менеджмент идентификаций, обработка инцидентов, группа реагирования на инциденты, архитектура ИБ, инженерия ИБ, криминалистика информационной безопасности, инцидент информационной безопасности, менеджмент инцидентов информационной безопасности, оценка системы информационной безопасности, библиотека инфраструктуры информационных технологий (ITIL), инсайдерские угрозы, интегрированная среда разработки, ремонтопригодность, стоимость обслуживания, менеджмент исправлений, тестирование на проникновение, физическая безопасность, профилактическое обслуживание, метод проверки, информирование о рисках и консультации, риск снижения последствий, анализ данных безопасности, тестирование оценки безопасности, меры безопасности, анализ требований безопасности, спецификация безопасности, тестирование и оценка безопасности, анализ уязвимостей безопасности, принципы безопасного кодирования, методы безопасного программирования, безопасное проектирование системы, обеспечение безопасности программного обеспечения, стабильность, приобретение системы, жизненный цикл разработки системы (SDLC), менеджмент проектов разработки системы, системная инженерия, повышение защищенности системы, системный журнал, мониторинг системы, средства технического контроля безопасности, инструменты тестирования, анализ угроз, удобство использования
6.4 Поддержка информационной безопасности	6.4.2 Осведомленность об информационной безопасности, образование и обучение	Базовый уровень, компьютерное обучение (СВТ), учебный план, документация, обучение и образование конечных пользователей по вопросам безопасности, обучение персонала и образование, осведомленность об информационной безопасности, учебная программа по информационной безопасности, траектория обучения, система менеджмента обучения (LMS), цели обучения, оценка потребностей, ролевое обучение, тест, тестирование, веб-обучение (WBT)
	6.4.3 Документирование	Архивирование, менеджмент изменений, классификация, уничтожение, утилизация, критерии документации, менеджмент документации, методологии документирования, технологии документирования, документированная информация, метаданные, онтология, менеджмент записей, менеджмент версий
6.5 Оценка эффективности информационной безопасности	6.5.2 Мониторинг, оценка защищенности, анализ и оценивание СМИБ	Подотчетность, анализ и синтез, оценка, аудит, кодекс этики, менеджмент контрактов, контроль, производная мера, оценивание, руководящая деятельность, руководящие принципы, судебная экспертиза информационной безопасности, показатели информационной безопасности, политика информационной безопасности, законы и правила, мера, измерение, функция измерения, метод измерения, результат измерения, мониторинг несоответствий, производительность, принципы конфиденциальности/честное (справедливое) использование информации, процедура, обзор, объект обзора, обзор действующих стандартов (международные/национальные/отраслевые стандарты, руководства и т.д.), доверенный объект передачи информации, единица измерения, валидация (аттестация), верификация
	6.5.3 Аудит СМИБ	Аудит, объект аудита, заключение аудита, критерии аудита, свидетельства аудита, выводы аудита, метод аудита, цель аудита, план аудита, программа аудита, область аудита, группа аудита, проверяемая организация, аудитор, аутентификация, соответствие, затраты и преимущества внедрения СМИБ, руководство, внутренний и внешний аудит, процесс СМИБ, область действия и границы СМИБ, несоответствие, наблюдатель, принципы аудита, риск, объем аудита; аудиторские доказательства, технический эксперт
	6.5.4 Проверка со стороны руководства	Менеджмент бюджета, бизнес-метрики (BSC, KGI, KPI), менеджмент коммуникаций, менеджмент затрат, финансы, менеджмент, цель, менеджмент рисков
6.6 Улучшение информационной безопасности	6.6.2 Постоянное улучшение	Одобрение и расстановка приоритетов, определение причины, постоянное улучшение, корректирующие действия, обеспечение непрерывности информационной безопасности, несоответствие
	6.6.3 Технологические тенденции и развитие	Критическая инфраструктура, цифровое правительство, сообщество обмена информацией, новая платформа, написание сценария, стандарт реализации обеспечения безопасности, социальное видение, методологии прогнозирования технологии