Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;

- идентификацию и оценку требований потребителей и других заинтересованных сторон;

- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собственность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, применение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и

цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мониторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде, тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т. д.);

- процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;

- оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;

- управление рисками в области информационной безопасности;

- методы и практики, касающиеся средств управления в области информационной безопасности (электронные и физические);

- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

- методы и практики для измерения и оценки эффективности системы менеджмента информационной безопасности и связанных с ней мер в области управления;

- методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тестирование, аудиты и анализы).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента информационной безопасности, разработанных объединенным техническим комитетом ИСО/МЭК ОТК 1/ПК 27.