Некоторые методики для проведения аудита безопасности:
- Экспертный аудит. 13 В процессе выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования. 1
- Оценка соответствия рекомендациям международного стандарта ISO 17799 и требованиям руководящих документов ФСТЭК (Гостехкомиссии). 13
- Инструментальный анализ защищённости. 13 Направлен на выявление и устранение уязвимостей программно-аппаратного обеспечения системы. 1
- Комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования. 13
В общем случае аудит безопасности состоит из четырёх основных этапов: 1
- Планирование. 3 Определяются границы, в рамках которых будет проводиться обследование, порядок и время проведения инструментального обследования информационной системы заказчика, определяется рабочая группа проекта. 3
- Сбор исходной информации. 1 Методы включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств. 1
- Анализ собранной информации. 12 Проводится с целью оценки текущего уровня защищённости информационной системы заказчика. 1
- Разработка рекомендаций. 1 По результатам проведённого анализа разрабатываются рекомендации по повышению уровня защищённости информационной системы от угроз информационной безопасности. 1
Для проведения аудита безопасности как правило привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. 1