В кінці 2015 року, на запит Державного Агентства з Електронного Урядування, Київське відділення ISACA розробило кваліфікаційні вимоги до наступних ІТ професій: - Аудитор Інформаційних Технологій - Експерт з Корпоративного Управління Інформаційними Технологіями - Спеціаліст з Кібербезпеки

1. 1. АУДИТОР ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Завдання та обов’язки. Суворо дотримується правил професійної етики аудиторів відповідно до
міжнародних стандартів аудиту. Приймає участь у розробленні та впровадженні ризик-орієнтованої
стратегії аудиту інформаційних технологій (далі – ІТ). Планує специфічні ІТ аудити для визначення
наскільки інформаційні системи захищені, контролюються і надають цінність для організації. Виконує ІТ
аудит у відповідності зі стандартами для досягнення поставлених цілей аудиту. Надає звіти про висновки
ІТ аудиту та рекомендації ключовим зацікавленим сторонам, проводить перевіри виконання та підготовку
звітів про стан впровадження відповідних дій керівництвом своєчасно.
Здійснює оцінку ефективності корпоративного управління ІТ з метою визначення, як і наскільки
ефективно ІТ підтримує стратегію і цілі організації. Аналізує ІТ стратегії, процеси розробки стратегії,
затвердження, впровадження та супроводу з метою узгодження зі стратегією і цілями організації. Аналізує
організаційну структуру ІТ, політики, стандарти і процедури, а також способи їх розробки, затвердження,
реалізації, обслуговування та моніторингу, з метою визначення ступеню їх підтримки ІТ стратегії та
дотримання нормативно-правових вимог. Здійснює оцінку інвестицій та договорів ІТ, практики
управління контрактами з метою визначення ступеню їх підтримки стратегії та цілей організації. Здійснює
оцінку планів забезпечення безперервності діяльності організації для визначення здатності організації
продовжувати здійснювати необхідні бізнес-процеси в період порушення ІТ.
Здійснює оцінку економічного обґрунтування пропонованих інвестицій у придбання, розвиток, підтримку
і закриття інформаційних систем, щоб визначити, чи відповідають вони цілям організації. Виконує оцінку
ефективності використання ІТ. Здійснює оцінку заходів контролю для інформаційних систем під час
визначення вимог, придбання, розвитку і тестування на відповідність політиці організації, стандартам,
процедурам і застосовним зовнішнім вимогам.
Здійснює оцінку управління рівнем обслуговування внутрішніх і зовнішніх постачальників послуг,
методів управління третіми сторонами, для визначення дотримання постачальником послуг ефективності
заходів контролю, очікуваного організацією. Здійснює оцінку використання інструментів моніторингу
потужності і продуктивності ІТ, процесів управління інцидентами та проблемами, процесів управління
змінами та релізами,процесів резервного копіювання і відновлення для визначення доступності
інформації, необхідної для відновлення бізнес процесів.
Здійснює оцінку політики інформаційної безпеки, стандартів і процедур з точки зору повноти і
узгодженості з вимогами міжнародних стандартів щодо управління інформаційною безпекою. Оцінює
дизайн та реалізацію системи управління безпекою для забезпечення впевненості щодо необхідного рівня
конфіденційності, цілісності та доступності інформації. Здійснює оцінку дизайну, реалізації та
моніторингу фізичного доступу і контролю навколишнього середовища для забезпечення належного
зберігання інформаційних активів.
Повинен знати: законодавчі і нормативні правові акти, міжнародні стандарти з питань аудиту ІТ,
інструментів і методів, Кодекс професійної етики аудитора; методики оцінки ризиків, інструментів і
методів у контексті аудиту, методик отримання, захисту і збереження аудиторських доказів, різні
методології аудиторських вибірок, методи звітності та комунікації результатів аудиту, системи
забезпечення якості аудиту; корпоративне та операційне управління ІТ, цілі та призначення ІТ стратегії,
політик, стандартів і процедур для організації та основних їх елементів; практики моніторингу та
звітності ефективності ІТ, процесів і практик управління людськими ризиками, стандарти і процедуру для
розробки та управління безперервністю бізнесу і методики тестування; методики і технології розробки
систем, практики управління проектами, процеси міграції систем, розгортання інфраструктури, технологій
перетворення даних, технік і процедур; архітектури та технологій мережі та відповідного обладнання,
програмного забезпечення, управління базами даних, техніки контролю для забезпечення надійності та
цілісності інтерфейсів систем, технології і техніки відмовостійкості систем, процесів резервного
копіювання даних, зберігання, управління та відновлення резервних копій; підходи до дизайну,
впровадження та моніторингу заходів безпеки, технології контролю доступу, ідентифікації, автентифікації
та авторизації користувачів, заходи безпеки щодо апаратного та програмного забезпечення і управління
базами даних, заходи забезпечення фізичної безпеки та контролю доступу.
Кваліфікаційні вимоги.
Загальні вимоги: Повна вища освіта відповідного напряму підготовки (магістр, спеціаліст). Додаткове
навчання з питань ІТ аудиту. Високий рівень володіння англійською мовою. Стаж роботи в сфері ІТ – не
менше 2 років.
Провідний аудитор ІТ: стаж роботи за професією аудитор I категорії – не менше 5 років, наявність
підтвердження кваліфікації аудитора ІТ за міжнародними стандартами ІТ аудиту.
Аудитор ІТ I категорії: стаж роботи за професією аудитор II категорії – не менше 3 років, робота під
керівництвом та контролем провідного аудитора ІТ.
Аудитор ІТ II категорії: стаж роботи за професією аудитор III категорії – не менше 2 років, робота під
керівництвом та контролем провідного аудитора ІТ.

2. Аудитор ІТ III категорії: без вимог до стажу, робота під керівництвом та контролем провідного аудитора
ІТ.
2. ЕКСПЕРТ З КОРПОРАТИВНОГО УПРАВЛІННЯ ІНФОРМАЦІЙНИМИ ТЕХНОЛОГІЯМИ
Завдання та обов’язки. Розробляє та впроваджує механізми корпоративного корпоративного управління
ІТ для досягнення цілей і завдань організації, беручи до уваги реалізацію переваг, оптимізацію ризиків і
ресурсів. Визначає вимоги і цілі корпоративного управління ІТ на основі наступної інформації: стратегії
організації, процесах; організаційній структурі,культурі, етиці і поведінці, інформації, послугах,
інфраструктурі і додатках, людях, навичках та вміннях. Розробляє та впроваджує процеси стратегічного
планування, організаційну структуру та ІТ архітектуру, здійснює моніторинг ефективності ІТ.
Оцінює, направляє та контролює процеси стратегічного планування ІТ для забезпечення узгодженості з
цілями організації. Забезпечує каскадування ІТ цілей в чіткі ролі, відповідальності та дії ІТ персоналу.
Запроваджує процеси управління інвестиціями в ІТ для досягнення бізнес- вимог. Забезпечує узгодженість
ІТ інвестицій, процесів та послуг із цілями та завданнями організації. Оцінює, направляє та контролює
процеси моніторингу ІТ для оцінки прогресу в досягненні стратегічних цілей організації та відповідних
цілей ІТ.
Встановлює комплексні процеси управління ІТ-ризиками з метою виявлення, аналізу, управління та
контролю ІТ-ризиків. Забезпечує, що правові та нормативні вимоги відповідності досягнуті за допомогою
управління ІТ-ризиками. Оцінює, направляє та контролює процеси розробки політик, стандартів та
процедур з управління ІТ ризиками. Забезпечує розробку та впровадження ключових індикаторів ризику.
Забезпечує своєчасну звітність та ескалацію подій ІТ-ризику та стратегії реагування до відповідного рівня
керівництва організацією.
Розробляє процеси ідентифікації, придбання і підтримки ІТ-ресурсів, послуг, інфраструктури, додатків та
персоналу. Оцінює, направляє та контролює стратегію управління ІТ для забезпечення інтеграції в
стратегічне і тактичне планування організації. Встановлює політику і процеси оцінки, навчання та
розвитку персоналу для відповідності вимогам організації та особистого / професійного росту в сфері ІТ.
Повинен знати: законодавчі і нормативні правові акти, міжнародні стандарти з питань управління
інформаційними технологіями та управління інформаційною безпекою, галузеві особливості та галузеві
вимоги до ІТ організації, особливості організаційної структури та організації робіт, продукти і бізнес-
процеси/операційні процеси організації; міжнародні практики та стандарти з корпоративного управління
ІТ (наприклад, COBIT, ITIL, ISO 20000, ISO 27001, ISO 38500 та ін.), процеси стратегічного планування та
методи створення ІТ стратегії, поняття, принципи і компоненти архітектури організації, моделі та методи
встановлення відповідальності за інформацію, володіння інформаційними активами, механізми та процеси
моніторингу ІТ процесів, техніки та процеси безперервного вдосконалення;процеси управління ІТ
інвестиціями, у тому числі економічний життєвий цикл інвестицій, базові принципи управління
портфелем інвестицій, техніки вимірювання вигоди послуги (наприклад, моделі зрілості, бенчмаркінг,
ключові показники ефективності), стратегії оптимізації витрат; процеси управління ризиками на
стратегічному, портфельному, програмному, проектному та операційному рівнях, міжнародні стандарти
управління ризиками (наприклад, COSO ERM, ISO 31000 та ін.), поняття ризик апетиту та толерантності
до ризику, кількісні та якісні методи оцінки ризиків, стратегію та способи реагування на ризики, методи
встановлення ключових індикаторів ризику;методи планування ІТ ресурсів, поняття SLA таOLA,
концепція управління даними, концепція управління рівнем сервісу.
Кваліфікаційні вимоги.
Повна вища освіта відповідного напряму підготовки (магістр, спеціаліст). Додаткове навчання з питань
управління інформаційними технологіями. Бажана наявність CGEIT, ITIL EXPERT або іншої відповідної
сертифікації. Високий рівень володіння англійською мовою. Стаж роботи в сфері ІТ – не менше 10 років
3. СПЕЦІАЛІСТ З КІБЕРБЕЗПЕКИ
Завдання та обов’язки.
Приймає участь у розробленні та впровадженні стратегії інформаційної безпеки та/або кібербезпеки
відповідно до цілей і завдань організації. Приймає участь у розробленні та впровадженні політики,
стандартів та процедур інформаційної безпеки та/або кібербезпеки. Подає пропозиції щодо економічного
обґрунтування для визначення інвестицій в інформаційну безпеку та/або кібербезпеку. Вивчає вимоги
законодавства, що стосується інформаційнї безпеки та/або кібербезпеки. Приймає участь у визначенні
факторів, що впливають на організацію (наприклад, технології, ступінь допустимого ризику, географічне
положення) та їх вплив на інформаційну/кібер безпеку. Надає пропозиції щодо функцій і обов'язків з
інформаційної/кібер безпеки в рамках всієї організації.
Приймає участь у створенні процесів класифікації інформаційних активів організації, впровадженні
постійного і систематичного процесу управління ризиками, оцінюанні збитків, загроз і вразливостей.

3. Надає пропозиції щодо впровадження заходів безпеки для зниження ризиків, інтегрування процесу оцінки
ризиків в життєвий цикл розробки системи. Проводить взаємодію з державними органами,
уповноваженими в сфері інформаційної безпеки та/або кібербезпеки.
Приймає участь у розробленні і впровадженні планів реалізації стратегії інформаційної/кібер безпеки.
Приймає участь у розробленні програми навчання користувачів інформаційної безпеки..
Приймає участь у розробленні та впровадженні процесів виявлення, ідентифікації, аналізу та реагування
на інциденти інформаційної/кібер безпеки. Надає пропозиції щодо правил реагування на інциденти та
приймає участь у розслідуванні інцидентів інформаційної/кібер безпеки. Приймає участь у розробленні
планів відновлення, безперервності процесів організації для забезпечення здатності організації
продовжувати виконувати необхідну діяльність в період порушення ІТ.
Повинен знати: законодавчі і нормативні правові акти, міжнародні стандарти з питань управління
кібербезпекою та інформаційною безпекою, сектор бізнесу організації, особливості організаційної
структури та організації робіт, продукти і бізнес-процеси/операційні процеси організації, технологію
оброблення інформації, мережеві технології та особливості використання мереж загального користування
(зокрема, інтернет), особливості використання носіїв інформації; міжнародні стандарти з питань оцінки та
оброблення ризиків, питання інтелектуальної власності та захисту персональних даних, вимоги до
організації робочого місця працівників організації, питання перехоплення телекомунікацій та моніторинг
даних, комп’ютерних зловживань; міжнародні та національні специфічні для сектора економіки вимоги
та кращі практики, інформацію щодо кібератак та їх попередження за результатами вітчизняного та
світового досвіду у сфері кібербезпеки; законодавство в сфері інформаційної та кіберберзеки, відповідні
міжнародні конфенції з кібербезпеки, підтримує зв’язки та обмін інформацією з питань кібербезпеки з
відповідними державними органами та громадськими організаціями і експертами у сфери кібербезпеки;
способи створення економічного обґрунтування інвестицій, методи розробки та впровадження політик,
стандартів та процедур інформаційної безпеки; загрози, вразливості та ризики інформаційної безпеки,
методи оцінки ризиків, стратегію зниження ризиків та методи аналізу ефективності заходів безпеки;
компоненти реагування на інциденти, принципів управління інцидентами, процес створення планів
неперервності бізнесу, принципи комунікації в кризових ситуаціях.
Кваліфікаційні вимоги.
Повна вища освіта за відповідним напрямом підготовки (магістр, спеціаліст). Додаткове навчання з
питань управління інформаційними технологіями та кібербезпеки. Бажано високий рівень володіння
англійською мовою. Стаж роботи в сфері інформаційної безпеки – не менше 2 років.