Аудит информационной безопасности (комплексное обследование защищенности информационной системы), обычно проводится перед проектированием и созданием (модернизацией) системы обеспечения безопасности информации (СОБИ). В ходе информационного аудита проверяется наличие и достаточность используемых программно-аппаратных и технических средств защиты, анализ реализованных организационных мер защиты.

Регламентный аудит информационной безопасности позволяет периодически (например, раз в год) оценить текущую степень защищенности информационной системы, поставить задачи необходимой модернизации СОБИ.

Информационный аудит включает следующие основные этапы:

  • комплексное обследование информационной системы и формирование перечня информационных ресурсов
  • классификация информационных ресурсов;
  • анализ нормативных и организационно-распорядительных документов о порядке эксплуатации ИС и защите информации;
  • анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации;
  • анализ угроз безопасности информации;
  • оценку эффективности существующей системы защиты ИС и ее соответствия требованиям нормативных документов.

По результатам информационного аудита Заказчику предоставляется аналитический отчет, данные и оценки которого используются при выборе способов снижения рисков, связанных с возможностью реализации зафиксированных угроз, а также для постановки задач развития СОБИ. Отчет может служить основой для разработки концепции информационной безопасности, профиля защиты, задания по безопасности, частного технического задания на создание/модернизацию СОБИ и ее подсистем.

Результаты комплексного обследования защищенности информационной системы может также использоваться для подготовки объекта информатизации к аттестации, или оценки уровня выполнения требований ФСТЭК и ФСБ по защите информации.