Аудитор по информационной безопасности

Профстандарты
Специалисты-профессионалы по безопасности информационной инфраструктуры и ИТ
Аудитор по информационной безопасности

Описание профессии

2524-0-002

Профессиональный стандарт

Паспорт профессионального стандарта

Связь с другими профессиями

Карта профессий

Правила признания

Реестр профессий

Описание

Основная цель

Проводить аудиторскую проверку по определению уровней безопасности

Требования к личностным компетенциям

Ответственность
Гибкость мышления
Умение работать в команде
Дисциплинированность
Инициативность
Организованность
Исполнительность
Ориентация на результат
Внимательность
Высокая обучаемость

Связь с другими профессиями

5 уровень ОРК

Администратор по информационной безопасности

Подробнее

7 уровень ОРК

Аудитор по информационной безопасности

Подробнее

4 уровень ОРК

Инженер по защите информации

Подробнее

5 уровень ОРК

Инженер по защите информации

Подробнее

6 уровень ОРК

Инженер по защите информации

Подробнее

5 уровень ОРК

Специалист по безопасности сервисов

Подробнее

6 уровень ОРК

Специалист по безопасности сервисов

Подробнее

4 уровень ОРК

Администратор по информационной безопасности

Подробнее

5 уровень ОРК

Специалист по информационной безопасности

Подробнее

6 уровень ОРК

Специалист по информационной безопасности

Подробнее

4 уровень ОРК

Специалист по информационной безопасности

Подробнее

Уровень 6

высшее образование (бакалавриат, специалитет, ординатура) , 6В063 Информационная безопасность , 6B061 Информационно-коммуникационные технологии

Навык 1 Планирование работы аудитора ИБ Навык 2 Планирование аудиторской проверки

Умения

1. Планировать работы аудитора ИБ.
2. Оценивать применимость методик проведения аудита.

Знания

1. Методологических основ аудиторской деятельности.
2. Методов организации аудиторских проверок.
3. Способов, методов и техники проведения аудита.

Умения

1. Определять объемы, масштабы аудита.
2. Определять ресурсы, необходимые для выполнения аудиторского задания.
3. Готовить и согласовывать план и программы выполнения аудиторского задания.

Знания

1. НТД аудиторской деятельности.
2. Методологии, методики и технологии планирования аудита.
3. Стандартов (республиканских и международных) по аудиторской деятельности

Навык 1 Методическое обеспечение аудита ИБ Навык 2 Организационное обеспечение аудита ИБ Навык 3 Консультирование и инструктаж работников организации по вопросам аудита ИБ

Умения

1. Участвовать в разработке (актуализации) методических и организационно-распорядительных документов, регламентирующих аудиторскую деятельность.
2. Поводить презентации методических и организационно-распорядительных документов
3. Проводить ознакомление сотрудников с регламентирующей документацией

Знания

1. Порядка разработки, оформления и утверждения методических и организационно-распорядительных документов.
2. НТД (Республики Казахстан и международные стандарты) по аудиторской деятельности.

Умения

1. Участвовать в организации взаимодействия с представителями проверяемой организации (подразделения) по вопросам аудита ИБ.
2. Проводить аудит ИБ

Знания

1. Этапов и форм деловой коммуникации.
2. Принципов и правил общения в деловой среде

Умения

1. Консультировать работников проверяемой организации (подразделения) по вопросам, связанным с аудиторским заданием.
2. Проводить инструктаж работников по вопросам аудита

Знания

1. НТД по аудиторской деятельности.
2. Методики проведения аудита.
3. Основных принципов, методов и средства обеспечения ИБ.
4. Основных НПА Республики Казахстан в сфере информатизации, ИБ.
5. национальных, международных и межгосударственных НТД по вопросам обеспечения ИБ.
6. Методов контроля и анализа защищенности объектов аудита.

Навык 1 Проверка и анализ соответствия проектной, эксплуатационной, ТД по ИБ требованиям НПА и НТД в сфере ИКТ и обеспечения ИБ объекта аудита ИБ Навык 2 Проверка и анализ фактического соблюдения требований НПА и НТД в сфере ИКТ и обеспечения ИБ в процессах обеспечения ИБ объекта аудита ИБ Навык 3 Проверка и анализ текущего состояния защищенности объекта аудита ИБ Навык 4 Выявление уязвимостей программного обеспечения объекта аудита Навык 5 Тестирование ПО на работоспособность в различных режимах нагрузки Навык 6 Выявление уязвимостей оборудования сети объекта аудита Навык 7 Документирование процесса и результата выполнения задачи аудиторского задания

Умения

1. Оценивать применимость НПА и НТД к объекту аудита ИБ.
2. Оценивать соответствие принятых организационных и программно- технических решений обеспечения ИБ требованиям НПА и НТД.

Знания

1. НПА и НТД в сфере ИКТ и обеспечения ИБ.
2. Методики проведения испытаний и экспертизы ТД.

Умения

1. Собирать и изучать проектную и эксплуатационную документации на ИС, интервьюировать сотрудников и регистрировать сведения.
2. Оценивать применимость НПА и НТД к объекту аудита ИБ.
3. Оценивать соответствия принятых организационных и программно- технических решений обеспечения ИБ требованиям НПА и НТД.
4. Определять и оценивать вероятные угрозы безопасности в отношении ресурсов объекта аудита и уязвимостей защиты.
5. Анализировать риски, связанные с возможностью осуществления угроз безопасности в отношении ресурсов объекта аудита ИБ.
6. Выявлять узкие места в системе защиты и архитектуре объекта аудита ИБ.

Знания

1. НПА и НТД в сфере ИКТ и обеспечения ИБ.
2. НТД, методик, программных средств выявления рисков и угроз ИБ.
3. Методов, процедур и порядка сбора аудиторских свидетельств.

Умения

1. Проверять состояние физической безопасности объекта аудита.
2. Проверять характеристики безопасности объекта аудита, связанные с архитектурой.
3. Проверять характеристики безопасности, связанные с конфигурацией встроенных механизмов ИБ серверного и сетевого оборудования объекта аудита.
4. Проверять конфигурации ПО на наличие эксплуатационных уязвимостей.

Знания

1. Методов предотвращения сетевых атак.
2. Методов анализа защищенности внешнего периметра корпоративной сети.
3. Методов анализа защищенности внутренней ИТ-инфраструктуры объекта аудита.
4. Методов и порядка проведения тестирования ПО.

Умения

1. Проводить статический анализ исходного кода ПО
2. Проводить динамический анализ исходного кода

Знания

1. Программных средств обнаружения недостатков ПО.
2. Методов статического анализа программного кода.
3. Методов динамического анализа программного кода.
4. Инструментальных средств анализа защищенности и уязвимостей.
5. Языков программирования

Умения

1. Составлять сценарии тестирования ПО по принципу «черного ящика» и «белого ящика».
2. Выполнять сценарии тестирования ПО в тестовой среде и в закрытой среде (sandbox).
3. Анализировать поведения ПО в процессе тестирования.
4. Тестировать ПО на предельные режимы работы.
5. Проверять объект аудита на устойчивость к сетевым атакам (DDoS, floodи другим).
6. Проверять процедуры аутентификации под нагрузкой в условиях сетевой атаки.

Знания

1. Методов и программных средств анализа защищенности и уязвимостей.
2. Методов и программных средств для проведения нагрузочного тестирования.
3. Методов и программных средств для проведения отладки программ.
4. Языков программирования

Умения

1. Идентифицировать и инвентаризовать ресурсы сети.
2. Идентифицировать и учитывать сервисы и информационные потоки сети.
3. Сканировать уязвимости уровня ОС хостов сети в сегментах сети.
4. Идентифицировать и учитывать настройки безопасности сегментов сети.
5. Создавать и анализировать отчеты о соответствии стандартам ИБ.

Знания

1. Методов и программных средств анализа защищенности и уязвимостей.
2. Техники инвентаризации ресурсов сети

Умения

1. Формировать, вести, хранить рабочую документацию аудиторского задания.
2. Готовить итоговый документ, формируемый по результатам аудиторского задания

Знания

1. Принципов формирования и ведения рабочей и отчетной документации.
2. Методов систематизации и обобщения результатов аудита.

Enbek

Enbek Business

Enbek Skills

Enbek HR

Enbek Migration

Enbek Mansap kompasy

Трудовая функция 1 Планирование задач аудиторского задания

Трудовая функция 2 Обеспечение задач аудиторского задания

Трудовая функция 3 Выполнение задач аудиторского задания