Процедура, критерии и методика аудита информационной безопасности

Процедура аудита информационной безопасности включает в себя:

• Инициирование и планирование
• Обследование, документирование и сбор информации
• Анализ полученных данных и уязвимостей
• Выработка рекомендаций
• Подготовка отчетных документов и сдача работ

В качестве критериев аудита информационной безопасности используется следующее:

• Международные, национальные и отраслевые стандарты
• Законодательная и нормативная база
• Внутренние организационно-распорядительные документы организации
• Требования, сформулированные по результатам оценки рисков

Методика проведения аудита информационной безопасности включает в себя:

• Методы анализа защищенности, включая Penetration testing, анализ конфигурации средств защиты информации, анализ сценариев осуществления атак и использование списков проверки (checklists)
• Интервью с сотрудниками организации с использованием заранее подготовленных и стандартизованных опросных листов
• Документирование системы и анализ рисков с использованием специализированного программного инструментария и шаблонов отчетов
• Анализ организационно-распорядительной документации по обеспечению режима информационной безопасности
• Оценка процессов обеспечения информационной безопасности в организации, квалификации сотрудников, знания ими своих должностных обязанностей и степени их осведомленности в вопросах информационной безопасности
• Оценка достаточности физических механизмов безопасности