Аудит информационной
безопасности

Целью аудита является определение соответствия применяемых в организации методов и средств защиты информации требованиям, предъявляемым к обеспечению информационной безопасности.
Аудит позволяет руководству организации получить независимую экспертную оценку о текущем состоянии информационной безопасности, а также спланировать дополнительные мероприятия
по повышению уровня защищенности.

Мероприятия аудита включают:

• сбор сведений об объекте информатизации;
• интервью с ключевыми сотрудниками организации;
• анализ организационно-распорядительной документации;
• оценка соответствия требованиям федерального законодательства, регулирующих органов, отечественных и международных стандартов и других нормативных документов;
• аудит с использованием специальных технических средств;
• тестирование на проникновение;
• оценка уровня знаний сотрудников в области информационной безопасности.

В зависимости от потребности, аудит может быть как комплексным, направленным на оценку состояния информационной безопасности организации в целом и содержать весь перечень мероприятий,
так и проводиться для отдельных, наиболее значимых для организации направлений, бизнес-процессов или информационных систем.

Результат аудита – документ, содержащий отчет о проведенных мероприятиях, общую экспертную оценку состояния защищенности информационных активов для руководства, перечень выявленных уязвимостей, степень их критичности в случае реализации потенциальным нарушителем и рекомендации
по устранению.