Аудит информационной безопасности (комплексное обследование защищенности информационной системы), обычно проводится перед проектированием и созданием (модернизацией) системы обеспечения безопасности информации (СОБИ). В ходе информационного аудита проверяется наличие и достаточность используемых программно-аппаратных и технических средств защиты, анализ реализованных организационных мер защиты.
Регламентный аудит информационной безопасности позволяет периодически (например, раз в год) оценить текущую степень защищенности информационной системы, поставить задачи необходимой модернизации СОБИ.
Информационный аудит включает следующие основные этапы:
- комплексное обследование информационной системы и формирование перечня информационных ресурсов
- классификация информационных ресурсов;
- анализ нормативных и организационно-распорядительных документов о порядке эксплуатации ИС и защите информации;
- анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации;
- анализ угроз безопасности информации;
- оценку эффективности существующей системы защиты ИС и ее соответствия требованиям нормативных документов.
По результатам информационного аудита Заказчику предоставляется аналитический отчет, данные и оценки которого используются при выборе способов снижения рисков, связанных с возможностью реализации зафиксированных угроз, а также для постановки задач развития СОБИ. Отчет может служить основой для разработки концепции информационной безопасности, профиля защиты, задания по безопасности, частного технического задания на создание/модернизацию СОБИ и ее подсистем.
Результаты комплексного обследования защищенности информационной системы может также использоваться для подготовки объекта информатизации к аттестации, или оценки уровня выполнения требований ФСТЭК и ФСБ по защите информации.