Некоторые методики для проведения аудита безопасности:

1. Экспертный аудит. 13 В процессе выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования. 1
2. Оценка соответствия рекомендациям международного стандарта ISO 17799 и требованиям руководящих документов ФСТЭК (Гостехкомиссии). 13
3. Инструментальный анализ защищённости. 13 Направлен на выявление и устранение уязвимостей программно-аппаратного обеспечения системы. 1
4. Комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования. 13

В общем случае аудит безопасности состоит из четырёх основных этапов: 1

1. Планирование. 3 Определяются границы, в рамках которых будет проводиться обследование, порядок и время проведения инструментального обследования информационной системы заказчика, определяется рабочая группа проекта. 3
2. Сбор исходной информации. 1 Методы включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств. 1
3. Анализ собранной информации. 12 Проводится с целью оценки текущего уровня защищённости информационной системы заказчика. 1
4. Разработка рекомендаций. 1 По результатам проведённого анализа разрабатываются рекомендации по повышению уровня защищённости информационной системы от угроз информационной безопасности. 1

Для проведения аудита безопасности как правило привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. 1