1. Настоящие Требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности (далее – Требования) разработаны в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и устанавливают требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности (далее – работники) финансовых организаций Республики Казахстан и филиалов банков-нерезидентов Республики Казахстан, филиалов страховых (перестраховочных) организаций-нерезидентов Республики Казахстан, филиалов страховых брокеров-нерезидентов Республики Казахстан (далее – организации) независимо от форм собственности.
2. В Требованиях используются следующие понятия:
- информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
- домен - совокупность знаний в отдельной предметной области;
- компетенция - результат усвоения информации, полученный в процессе обучения и личного опыта; совокупность знаний, теории и практики, относящихся к сфере обучения или работы; компонент квалификации, который подвергается оценке.
В Требованиях применяются термины и определения в соответствии с Межгосударственным стандартом ГОСТ ISO/IEC 17024-2014 "Оценка соответствия. Общие требования к органам, осуществляющим сертификацию персонала" (далее – Стандарт).
3. Требования основываются на принципах:
- разграничения функциональных обязанностей по типовым должностям;
- направленности на знания и навыки в области информационных технологий и информационной безопасности, включая кибербезопасность;
- независимости от требований, предъявляемых производителями программного обеспечения и аппаратного оборудования к работникам;
- баланса теоретических знаний и практических навыков, профессиональных компетенций, предъявляемых к типовым должностям;
- использования типовых доменов.
4. Типовые должности в организации:
- специалист - работник подразделения информационной безопасности, в функциональные обязанности которого входит обеспечение информационной безопасности организации;
- руководитель - работник подразделения информационной безопасности, в функциональные обязанности которого входит организация деятельности подразделения информационной безопасности;
- ответственный работник - работник, выполняющий одновременно функциональные обязанности специалиста и руководителя.
5. Разделение компетенций на домены предназначено для:
- баланса возможностей и специфики организации по обеспечению информационной безопасности;
- формирования требования с учетом квалификации, компетенции работников и особенностей бизнес-процессов организации;
- расширения требований за счет создания новых доменов.
