ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     7.1 Компетентность персонала

Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

7.1.1 ИБ 7.1.1 Общие положения

7.1.1.1 Общие требования к компетентности

Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.

Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице А.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.

Примечание - Приложение А содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.

7.1.2 ИБ 7.1.2 Определение критериев компетентности

7.1.2.1 Требования к компетентности для проведения аудита СМИБ

7.1.2.1.1 Общие требования

Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:

a) знания в области информационной безопасности;

b) технические знания о деятельности, подлежащей аудиту;

c) знание систем менеджмента;

d) знание принципов аудита.

Примечание - Дополнительную информацию о принципах аудита см. в [1];

e) знание мониторинга, измерения, анализа и оценки СМИБ.

Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.

Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.

Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).

7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности

В совокупности все участники аудиторской группы должны знать:

a) структуру документации СМИБ, иерархию и взаимоотношения в системе;

b) инструменты менеджмента информационной безопасности, средства и методику их применения;

c) подходы к оценке рисков информационной безопасности и управление рисками;

d) процессы, применимые к СМИБ;

e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.

Каждый аудитор должен быть компетентным по перечислениям a), c) и d).

7.1.2.1.3 Стандарты и нормативные правовые акты системы менеджмента информационной безопасности