Войти

Аудитор по информационной безопасности

Описание профессии
2524-0-002
Аудитор по информационной безопасности
Профессиональный стандарт
Паспорт профессионального стандарта
Связь с другими профессиями
Карта профессий
Правила признания
Реестр профессий
Описание
Основная цель
Планировать и контролировать аудит ИБ
Требования к личностным компетенциям
  • Умения интегрировать знания
  • Анализировать ситуацию
  • Умение распознавать изменения в бизнес-среде и определять стратегическое направление развития подразделения и/или предприятия
Связь с другими профессиями
5 уровень ОРК
Администратор по информационной безопасности
Подробнее
6 уровень ОРК
Аудитор по информационной безопасности
Подробнее
4 уровень ОРК
Инженер по защите информации
Подробнее
5 уровень ОРК
Инженер по защите информации
Подробнее
6 уровень ОРК
Инженер по защите информации
Подробнее
5 уровень ОРК
Специалист по безопасности сервисов
Подробнее
6 уровень ОРК
Специалист по безопасности сервисов
Подробнее
4 уровень ОРК
Администратор по информационной безопасности
Подробнее
5 уровень ОРК
Специалист по информационной безопасности
Подробнее
6 уровень ОРК
Специалист по информационной безопасности
Подробнее
4 уровень ОРК
Специалист по информационной безопасности
Подробнее
Уровень 7
послевузовское образование (магистратура, резидентура) , 7М063 Информационная безопасность , 7M061 Информационно-коммуникационные технологии

Умения
1. Планировать работы подразделения аудита ИБ.
2. Анализировать, выбирать (разрабатывать) методику проведения аудита.
3. Управлять проектами.
Знания
1. Методологических основ аудиторской деятельности.
2. Методов организации аудиторских проверок.
3. Способов, методов и техники проведения аудита.
Умения
1. Определять объемы, масштабы аудита.
2. Определять ресурсы, необходимые для выполнения аудита.
3. Подбирать (назначать) членов аудиторской группы.
4. Распределять аудиторские задания и устанавливать конкретные сроки их выполнения.
5. Готовить и согласовывать план и программу проведения аудита ИБ.
Знания
1. НТД по аудиторской деятельности.
2. Методологии, методики и технологии планирования аудита.
3. Методики управления проектами.

Умения
1. Организовывать взаимодействие с представителями проверяемой организации (подразделения) по вопросам аудита ИБ.
2. Организовывать обучение и повышение квалификации аудиторов ИБ.
3. Управлять аудиторской деятельностью
Знания
1. Этапов и форм деловой коммуникации.
2. Принципов и правил общения в деловой среде.
3. Форм и методов обучения и повышения квалификации персонала на рабочем месте.
4. Этапов процесса обучения и повышения квалификации персонала
Умения
1. Разрабатывать (актуализировать), согласовывать методические и организационно-распорядительные документы, регламентирующие аудиторскую деятельность.
2. Управлять разработкой методических документов
Знания
1. Порядка разработки, оформления, согласования и утверждения методических и организационно- распорядительных документов.
2. НТД по аудиторской деятельности.
Умения
1. Консультировать работников проверяемой организации (подразделения) по вопросам, связанным с аудитом ИБ.
2. Консультировать участников аудиторской группы по нерешенным сложным и спорным вопросам, связанным с выполнением аудиторского задания.
3. Инструктировать аудиторскую группу перед заданием с целью уяснения и понимания ее членами целей и задач.
Знания
1. НТД по аудиторской деятельности.
2. Методики проведения аудита.
3. Основных принципов, методов и средства обеспечения ИБ.
4. Основных НПА Республики Казахстан в сфере информатизации, ИБ.
5. Национальных, международных и межгосударственных НТД по вопросам обеспечения ИБ.
6. Методов контроля и анализа защищенности объектов аудита.

Умения
1. Контролировать сроки выполнения процедур аудиторского задания.
2. Контролировать качество выполнения процедур аудиторского задания.
3. Контролировать соблюдение аудиторами организационно- распорядительных документов, регламентирующих аудиторскую деятельность.
Знания
1. Методики контроля качества аудиторских заданий.
2. НТД по аудиторской деятельности.
Умения
1. Контролировать соблюдение аудиторами ИБ правил независимости и принципов этики при выполнении аудиторских заданий.
2. Анализировать и оценивать профессиональные знания и качество аудиторов ИБ.
Знания
1. Международных стандартов контроля качества аудита.
2. Нормативно-правовых акты аудита
Умения
1. Анализировать результаты аудита ИБ.
2. Утверждать итоговый документ, формируемый по результатам аудита ИБ.
Знания
1. Методов оценки эффективности применения организационных и технических средств обеспечения ИБ

Умения
1. Оценивать применимость НПА и НТД к объекту аудита ИБ.
2. Оценивать соответствие принятых организационных и программно- технических решений обеспечения ИБ требованиям НПА и НТД.
Знания
1. НПА и НТД в сфере ИКТ и обеспечения ИБ.
2. Методов проведения испытаний и экспертизы ТД.
Умения
1. Собирать и изучать проектную и эксплуатационную документацию на ИС, интервьюировать сотрудников и регистрировать сведения.
2. Оценивать применимость НПА и НТД к объекту аудита ИБ.
3. Оценивать соответствие принятых организационных и программно- технических решений обеспечения ИБ требованиям НПА и НТД.
Знания
1. НПА и НТД в сфере ИКТ и обеспечения ИБ.
2. НТД, методик, программных средств выявления рисков и угроз ИБ.
3. Методов, процедур и порядка сбора аудиторских свидетельств.
Умения
1. Проверять состояние физической безопасности объекта аудита.
2. Проверять характеристики безопасности объекта аудита, связанные с архитектурой и конфигурацией встроенных механизмов ИБ серверного и сетевого оборудования объекта аудита.
3. Определять и оценивать вероятные угрозы безопасности в отношении ресурсов объекта аудита и уязвимостей защиты.
4. Анализировать риски, связанные с возможностью осуществления угроз безопасности в отношении ресурсов объекта аудита ИБ.
5. Выявлять узкие места в системе защиты и архитектуре объекта аудита ИБ.
Знания
1. Методов предотвращения сетевых атак.
2. Методов анализа защищенности внешнего периметра корпоративной сети.
3. Методов анализа защищенности внутренней ИТ-инфраструктуры объекта аудита
Умения
1. Проводить статический анализ исходного кода ПО.
2. Проводить верификацию исходного кода
Знания
1. Программных средств обнаружения недостатков ПО.
2. Методов статического анализа программного кода.
3. Методов динамического анализа программного кода.
4. Инструментальных средств верификации
5. Языков программирования
Умения
1. Составлять сценарии тестирования ПО по принципам «черного ящика» и «белого ящика»..
2. Выполнять сценарии тестирования ПО в тестовой и закрытой среде (sandbox)..
3. Анализировать поведение ПО в процессе тестирования.
4. Тестировать ПО на предельные режимы работы.
5. Проверять объект аудита на устойчивость к сетевым атакам (DDoS, floodи другим).
6. Проверять процедуры аутентификации под нагрузкой в условиях сетевой атаки.
Знания
1. Принципов тестирования
2. Сценариев тестирования
3. Методов и программных средств для проведения нагрузочного тестирования.
4. Методов и программных средств для проведения отладки программ.
5. Языков программирования
Умения
1. Идентификация и инвентаризация ресурсов сети.
2. Идентификация и учет сервисов и информационных потоков сети.
3. Сканирование уязвимостей уровни операционной системы хостов сети в сегментах сети.
4. Идентификация и учет настроек безопасности сегментов сети.
5. Создание и анализ отчетов о соответствии стандартам ИБ.
Знания
1. Характеристик ресурсов сети
2. Методов и программных средств анализа защищенности и уязвимостей.
3. Языков программирования
Умения
1. Формировать, вести, хранить рабочую документацию аудита.
2. Готовить итоговый документ, формируемый по результатам аудита ИБ, содержащего аргументированные (подкрепленные результатами анализа).
3. Оценивать эффективность системы защиты объекта аудита
Знания
1. Принципов формирования и ведения рабочей и отчетной документации.
2. Методов систематизации и обобщения результатов аудита.