Приложение В (справочное)/ Примерные области компетентности аудитора. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 524-ст) (документ утратил силу)

Приложение В
(справочное)

Примерные области компетентности аудитора

В.1 Общая оценка компетентности

Существует несколько способов, с помощью которых аудитор может продемонстрировать свои знания и опыт, например, посредством использования общепризнанных квалификаций, регистрации под IRCA или любой другой признанной формы регистрации аудитора. Требуемый уровень компетентности для аудиторской группы должен быть установлен, согласуясь с промышленной/технологической областью организации и фактором сложности.

В.2 Специфическая оценка компетентности

В.2.1 Знание мер управления из приложения А ИСО/МЭК 27001:2005

Ниже изложены типовые вопросы проведения аудита СМИБ. Кроме знания мер управления из приложения А ИСО/МЭК 27001:2005, которые перечислены ниже, аудиторы должны быть осведомлены о других стандартах из серии ИСО/МЭК 27000.

Таблица В.1 - Меры управления

Типовые вопросы аудита	Источники, определяющие меры управления
Знание и опыт в политиках и требованиях деловой деятельности к информационной безопасности	Политика безопасности
Общее знание и опыт в бизнес-процессах, практиках и организационных структурах	Организация информационной безопасности
Знание оценки активов, материально-производственных запасов, классификаций и приемлемого использования политик	Управление активами
Общее знание и опыт в процессах и процедурах, используемых департаментами трудовых ресурсов	Безопасность трудовых ресурсов
Знание физической безопасности окружающей среды	Физическая безопасность и безопасность окружающей среды
Знание новейших стандартов, процессов, техник и методов, использованных для информационной безопасности, включая мероприятия менеджмента, а также наличие соответствующего уровня и опыта проведения технической экспертизы. Это включает в себя современные знания некоторых общих практик бизнеса	Управление коммуникациями и операциями Управление доступом Приобретение, разработка и обслуживание информационных систем
Современные знания и опыт в процессах и процедурах менеджмента инцидентов	Менеджмент инцидентов информационной безопасности
Современные знания и опыт в стандартах, процессах, планах и методах испытаний непрерывности бизнеса	Управление непрерывностью бизнеса
Современное знание вопросов контрактов бизнеса и общих законов и положений, связанных со СМИБ	Соответствие

В.2.2 Типичные знания, связанные с системой менеджмента информационной безопасности

Аудиторы должны знать и понимать следующие процессы проведения аудита и объекты СМИБ:

программирование и планирование аудита СМИБ;

тип и методология аудита СМИБ;

аудиторский риск;

анализ процессов информационной безопасности;

цикл Деминга (PDCA) для постоянного совершенствования;

проведение внутреннего аудита информационной безопасности.

Аудиторы должны знать и понимать следующие регулятивные требования:

интеллектуальная собственность;

содержание, защита и сохранение документов организации-клиента;

защита данных и конфиденциальность;

регулирование криптографических средств контроля;

предупреждение терроризма;

электронная коммерция;

электронные и цифровые подписи;

инспекция рабочих мест;

перехват в телекоммуникациях и мониторинг данных (например, электронная почта);

злоупотребление компьютером;

сбор электронных данных;

испытание на проникновение;

международные и национальные, конкретные для сектора, требования (например, банковское дело).

Аудиторы должны знать и понимать следующие требования менеджмента:

обработка рисков информационной безопасности;

риски безопасности аутсорсинга ICT;

риски информационной безопасности для цепочки поставок.