Основная цель аудита информационной безопасности - сбор и анализ информации об ИТ-инфраструктуре, изучение технологического процесса обработки информации, сопутствующих процессах и процедурах.
В зависимости от целей аудита и характера проекта проводятся следующие виды работ:
Предпроектное обследование
Предпроектное обследование заключается в сборе, систематизации и анализе сведений об ИТ-инфраструктуре.
Результатом обследования будут отчетные материалы, которые послужат для качественного построения системы обеспечения информационной безопасности.
Аудит информационной безопасности
Аудит ИБ заключается в сборе, систематизации и анализе сведений об ИТ-инфраструктуре и ИБ-инфрастуктуре, а также оценка исполнения предписанных регламентов и требований к ИБ.
Результатом аудита будут отчетные материалы, содержащие оценку соответствия требований к обеспечению информационной безопасности и "реально принятых" мер.При проведении аудита могут быть проведены следующие работы:
- Сбор информации об объекте информацтизации;
- Сканирование объектов информатизации на наличие уязвимостей;
- Тестирование на проникновение;
- Анализ документации (организационно-распорядительной, технической, проектной и т.п.);
- Интервьюирование ответственных лиц;
- Комплексный анализ защищенности сетей и систем;
- Оценка соответствия требованиям стандартов (ISO 27002 и т.д.), федерального законодательства (персональные данные, конфиденциальная информация и т.д.), иных нормативных актов;
- Оценка уровня подготовки персонала;
- и другие работы.