Некоторые критерии, которые используются для оценки компетентности экспертов в области информационной безопасности:

• Технический бэкграунд. 2 Специалист должен иметь высшее образование в сфере IT, знать современные приложения для защиты информации, быть в курсе техник и методологии построения системы защиты. 2
• Знание норм и требований информационной безопасности. 2 Нужно учитывать государственные стандарты РФ, законы и правовые акты, руководящие документы ФСТЭК и ФСБ, Минкомсвязи РФ. 2 Хороший специалист должен уметь грамотно применять эти нормы, всегда быть в курсе их изменений и последних редакций. 2
• Осведомлённость о инструментах, которые применяются киберпреступниками. 2 Нужно знать методы и векторы атак, чтобы успешно применять для их предотвращения существующие средства. 2
• Понимание способов минимизации ущерба. 2 В том случае, если взлом и утечку информации предотвратить не удалось. 2
• Знание международных практик и стандартов. 2 В первую очередь, ISO/IEC 27000. 2
• Навыки обнаружения, анализа и устранения уязвимостей. 2 Специалист должен понимать принцип функционирования криптографических протоколов и уметь не только обнаружить угрозу, но и выработать компенсирующие меры. 2
• Выполнение тестирования информационных сред и программных продуктов компании, в том числе на отказоустойчивость. 2
• Анализ инцидентов, поиск решения, формирование рекомендаций по устранению уязвимостей и бизнес-рисков. 2

Также при оценке компетентности эксперта в области информационной безопасности учитывают его коммуникационные и личностные навыки: умение собирать, анализировать и оценивать информацию, корректное использование профессиональной терминологии, способность решать конфликтные ситуации и недопонимания. 1