Лекция 11. Контроль и совершенствование программы аудита информационной безопасности • • План • Контроль и анализ программы аудита иб • Мepы, направленные на повышение
Download 0.54 Mb. Pdf ko'rish
|
лекция 11
|
аудиторов
• Мepы, направленные на повышение компетеНтности аудиторов, дол- жньi привести к соответствия аудиторских групп следующие требова- ниям к уровНю квалификации: • наличие базового образования. Базовым образованием для ауди- тора ИБ является высшее техническое образование по специальнос- тяи, связанные с информационной безопасностью, инфориационны- • ни технология ми, вычислительной техникой, или по другин специальностя м, которые могут иметь отношение к рассматgиваемой области. Образованме должно быть получено в учебнон учреждении Российской Федерации, ииеющен государственную аккредитацию, либо в учебнон учреждении иностgанного государства, диплоиы которого име ют юридическую силу в Российской Оедерации; • наличие практического опыта. Г рактически й опыт работы оп- ределяется стажен работы не ненее трех из последних пяти лет в качестве: • — руководителя, аудитора или специалиста аудиторской орга- низации, оказывающей аудиторские услуги в области ИБ; – руководителя или сотрудника службы (или подразделения) организации, отвечающей за обеспечение ИБ; – научного работника или преподавателя по профиля, свя- • занНоМу с ИБ; • наличие специального профессионального образования. Специаль- ное профессиональное образование включает обучение с отgы- вон или без отрыва от производства в определенных учебно-не- тодических центрах и организациях по обучению и переподютовке аудиторов и стажировку в аудиторской организации; • знание законов, международных, Национальных и отечествен- них стандартов и других нормативных актов, относяііtихся к ИБ. Среди них в настоящее время можно выделить: – международный стандарт ІТO/ІЕС 27001—2005 Information technology. Secuйty techniques. Information security management systems. Requirements; – международный стандарт ISO/IEC 13335 Information Tech nology. Security tech niques. Иanagement of information and commu nications technology secuйty; – международный стандарт 150/IEC 37799 Information technology — Code of practice for nformatio п secuйty management; – ГОСУ Р ИС0/NЗК 35408-1-2002. ИнформационнаЯ техноло- гия. Nетоды и средства обеспечения безопасности. Крите- рии оценки безопасности инфориационн ых технологи й. Download 0.54 Mb. Do'stlaringiz bilan baham: 
|