Таким образом, можно утверждать, что наличие у специалиста сертификата означает, что он, как минимум, один раз разобрался в теоретических аспектах темы настолько, что смог сдать указанный экзамен. Это дает возможность предположить, что при наличии необходимой литературы, времени и технической базы он сможет подойти к решению практического вопроса лучше, чем другой неподготовленный специалист. Однако подобные теоретические знания отличаются от практической деятельности, которая, например, включает способность понять сущность проблемы при общении с неквалифицированным пользователем, который с трудом может объяснить симптомы ситуации.

Иначе говоря, достаточным критерием оценки может служить только наличие двух факторов:

  1. Сертификата, как подтверждения теоретических знаний в данной области.
  2. Документа о практической работе в должности, соответствующей интересующей области.

В целом, в этой главе очерчена обширная область знаний, необходимая команде по информационной безопасности для успешного выполнения своих обязанностей. В последующих частях книги будет предпринята попытка раскрыть некоторые наиболее важные вопросы. Кроме того, дополнительные сведения об обучении в области информационной безопасности можно получить из документа "Information Technology Security Training Requirements: A Role- and Performance-Based Model", NIST Special Publication 800-16.

Контроль процесса подбора кадров

Если вас не очень интересуют все внутренние тонкости "кухни" обеспечения информационной безопасности, однако, вы хотите быть уверенными, что она тем не менее находится на должном уровне (например, вы — внешний аудитор для данной организации), можно порекомендовать следующую последовательность действий.