ГОСТ Р ИСО/МЭК 27021-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Требования к компетентности специалистов по системам менеджмента информационной безопасности
Information technology. Security techniques. Competence requirements for information security management systems professionals
ОКС 35.040
Дата введения 2021-11-30
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 390-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27021:2017* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности" (ISO/IEC 27021:2017 "Information technology - Security techniques - Competence requirements for information security management systems professionals", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27021 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт предназначен для использования:
- лицами, которые хотели бы продемонстрировать свою компетентность в области менеджмента информационной безопасности;
- СМИБ-специалистами или специалистами, желающими понять и достичь требуемой компетентности для работы в этой сфере, а также желающими расширить свои знания;
- организациями, ищущими потенциальных кандидатов среди СМИБ-специалистов для определения требуемых от них компетентностей, необходимых для занятия должностей организаций, предполагающих выполнение ролей, связанных со СМИБ;
- органами по разработке программ сертификации СМИБ-специалистов, предназначенных для использования центрами сертификации при проведении мероприятий, связанных с проверкой уровня компетентности у СМИБ-специалистов;
- образовательными учреждениями (университетами, учреждениями дополнительного профессионального образования) для согласования их учебных планов и программ в соответствии с требованиями к компетентностям, которыми должны обладать их выпускники в области СМИБ.
Настоящий стандарт следует рассматривать и использовать в комплексе с ИСО/МЭК 27001.
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
Настоящий стандарт устанавливает требования к компетентности специалистов по системам менеджмента информационной безопасности (СМИБ-специалистов), выполняющих или участвующих в разработке, реализации, осуществлении контроля и постоянном совершенствовании одного или нескольких процессов менеджмента информационной безопасности, соответствующих ИСО/МЭК 27001.
В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированной ссылки применяют только указанное издание, для недатированной - последнее издание (включая все изменения):
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Общий обзор и терминология)
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.
С целью использования в своих стандартах международные организации ИСО и МЭК поддерживают терминологические базы данных:
- платформа ИСО для онлайн-просмотра доступна по адресу http://www.iso.org/obp;
- платформа МЭК Электропедия (IEC Electropedia) доступна по адресу http://www.electropedia.org/.
3.1
компетентность (competence): Способность применять знания и навыки для достижения намеченных целей. [ИСО/МЭК 17024:2012, статья 3.6] |
3.2 специалист по системам менеджмента информационной безопасности (СМИБ-специалист) (information security management system professional, ISMS professional): Лицо, которое разрабатывает, реализует, осуществляет контроль и постоянно совершенствует один или несколько процессов системы менеджмента информационной безопасности.
СМИБ-специалисты - это специалисты (сотрудники), чья роль заключается в менеджменте, внедрении, сопровождении и постоянном совершенствовании одного или нескольких процессов системы менеджмента информационной безопасности. Для успешного выполнения своей роли они должны обладать знаниями, навыками, определенными в настоящем стандарте, и поддерживать их на соответствующем уровне.
Внутри организации могут быть внедрены, эксплуатироваться и обслуживаться несколько систем менеджмента. За каждую систему менеджмента отвечает один или несколько специалистов. Настоящий стандарт рассматривает каждую такую систему менеджмента (СМ) как систему, необходимую для менеджмента бизнес-процессов организации в определенной предметной области. При этом каждая СМ требует специалистов, компетентных в области менеджмента и обладающих компетентностями, относящимися и к менеджменту, а также к предметной области. В качестве примера на рисунке 1 показана связь общепрофессиональных компетентностей в области менеджмента и профессиональных компетентностей четырех предметных областей (A, B, X, ИБ). Среди данных предметных областей имеется и область информационной безопасности. Исходя из этого в настоящем стандарте отдельно рассмотрены общепрофессиональные компетентности, относящиеся к менеджменту бизнес-процессов (см. раздел 5) и профессиональные компетентности, относящиеся к области СМИБ, которые учитывают первую группу компетентностей и компетентностей в области информационной безопасности (ИБ) (см. раздел 6).
Рисунок 1 - Связь профессиональных компетентностей СМИБ-специалистов с общепрофессиональными компетентностями в области менеджмента и профессиональными компетентностями определенной предметной области
Каждой компетентности присваиваются уникальное имя и уникальный номер, а также определяются ее индикаторы (требования к уровню знаний и навыков). Если применимы положения ИСО/МЭК 27001:2013, определенные в его разделах с 5 по 10, то устанавливается связь между разделом стандарта и соответствующей компетентностью. В общем случае с разделом или подразделом могут иметь связи несколько компетентностей. Описание компетентности выполнено по шаблону, приведенному в таблице 1.
Таблица 1 - Шаблон для описания компетентности
ИСО/МЭК 27001:2013 раздел/подраздел | Номер и название раздела/подраздела |
Ожидаемый результат | Описание ожидаемого результата как результат проявления СМИБ-специалистом компетентности |
Требуемые знания | Краткое изложение тем, концепций и принципов, которые должны знать СМИБ-специалисты |
Требуемые навыки | Навыки, которые СМИБ-специалисты способны реализовать |
СМИБ-специалисты для каждой компетентности должны быть способны продемонстрировать следующее:
a) знания, подтвержденные наличием определенной квалификации, полученной в результате обучения или практической работы;
b) навыки или способности решать задачи менеджмента или технические задачи.
В настоящем стандарте представлены компетентности, которыми должны обладать СМИБ-специалисты, разделенные на две категории. Эти категории относятся к общепрофессиональным компетентностям в области менеджмента и к профессиональным компетентностям в области информационной безопасности. В каждой категории определены по 12 компетентностей с привязкой к соответствующим группам процессов СМИБ (планирование, обеспечение, поддержка, функционирование, оценивание исполнения и улучшение). В настоящий стандарт включены следующие разделы и подразделы:
- 5 Общепрофессиональные компетентности в области менеджмента бизнеса для СМИБ-специалистов;
- 6 Компетентности в области информационной безопасности:
- 6.1 СМИБ-компетентность: информационная безопасность;
- 6.2 СМИБ-компетентность: планирование информационной безопасности;
- 6.3 СМИБ-компетентность: функционирование информационной безопасности;
- 6.4 СМИБ-компетентность: поддержка информационной безопасности;
- 6.5 СМИБ-компетентность: оценка эффективности информационной безопасности;
- 6.6 СМИБ-компетентность: улучшение информационной безопасности.
Приложение А содержит совокупности элементов, которые могут быть использованы при формировании свода знаний (СЗ) в организации, которыми должны обладать СМИБ-специалисты. Когда организация создает такой СЗ, то можно ссылаться на приложение А как на источник данных об уровне знаний СМИБ-специалистов.
Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобрести и обладать знаниями по фундаментальным областям менеджмента бизнеса и быть в курсе последних событий.
ИСО/МЭК 27001:2013 раздел/подраздел | 5 Руководство |
Ожидаемый результат | Направлять, мотивировать и поощрять сотрудников в организации к выполнению ролей в области информационной безопасности |
Требуемые знания | Теории лидерства; |
Требуемые навыки | Формировать и установить направления деятельности организации в области информационной безопасности; |