Некоторые компетенции, которые должен иметь член экспертной группы при оценке безопасности информации:

• Знание основ оценки рисков. 23 В том числе основных рисков от нарушения функционирования систем и сетей и безопасности обрабатываемой информации. 2
• Понимание угроз безопасности информации и способов их реализации. 23 Также необходимо знать тактики и техники проведения компьютерных атак. 23
• Знание основных типов компьютерных инцидентов и причин их возникновения. 23
• Понимание основных уязвимостей систем и сетей. 23
• Знание нормативных правовых актов по созданию и функционированию систем и сетей, защите информации в них. 23

Кроме того, член экспертной группы должен уметь оценивать информационные риски, классифицировать и оценивать угрозы безопасности информации, определять сценарии (тактики, техники) их реализации, источники и причины возникновения компьютерных инцидентов, проводить инвентаризацию систем и сетей, анализ уязвимостей, тестирование на проникновение систем и сетей с использованием автоматизированных средств, а также оценивать уровень защищённости (аудит) систем и сетей и содержащейся в них информации. 23