Аудит Информационной Безопасности (ИБ) — представляет собой оценку текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика.

Любая информационная система в процессе своей работы эволюционирует и видоизменяется. В некоторых случаях может возникнуть ситуация, в которой система еще работает, но неизвестно, что произойдет в случае возникновения угрозы безопасности. Для того, чтобы определить текущее состояние системы, необходимо провести аудит информационной безопасности.

Целями аудита информационной безопасности является:

  • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
  • оценка текущего уровня защищенности ИС;
  • локализация узких мест в системе защиты ИС;
  • оценка соответствия ИС существующим стандартам в области информационной безопасности и политике безопасности организации;
  • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Работы по аудиту безопасности информационный систем включают в себя ряд последовательных этапов:

  1. Инициирование процедуры аудита и определение границ его проведения.
  2. Сбор информации аудита.
  3. Анализ данных аудита.
  4. Выработка рекомендаций.
  5. Подготовка аудиторского отчета.

Выделение подобных этапов, позволяет обеспечить необходимый и соответствующий объем информации для всех заинтересованных представителей Заказчика, начиная с технического персонала и заканчивая руководством компании.

Существует огромное количество стандартов в области информационных технологий и безопасности. Многие из них основаны на анализе и оценке рисков как неотъемлемой части процесса их внедрения и соблюдения. С учетом того, что законы и регулятивные акты также требуют проведения оценки рисков при обеспечении безопасности, это означает, что соответствие стандартам являются первым правильным шагом на пути выполнения требований законодательства.

В своей практике проведения аудита информационной безопасности, мы руководствуемся как Российскими (РД ФСТЭК России, ГОСТ Р ИСО/МЭК 15408), так и общемировыми стандартами (ISO/IEC 2700X, COBIT).