Основные этапы проведения аудита системы информационной безопасности: 12

1. Подготовительный этап. 12 Определяются цели и задачи аудита, формируется команда специалистов, согласовывается план реализации аудита. 12
2. Сбор информации. 12 Собираются данные о состоянии системы защиты информации, изучаются документы, протоколы и журналы, проводятся интервью с сотрудниками компании. 12
3. Анализ собранной информации. 12 Оценивается эффективность системы защиты информационных ресурсов компании, проводится сравнение с лучшими практиками и принятыми стандартами. 1
4. Проверка соответствия законодательству и стандартам. 12 Проводится верификация системы защиты информации для подтверждения её соответствия положениям существующей нормативно-правовой базы, а также стандартам, установленным ФСТЭК и другими органами. 1
5. Выявление уязвимостей и возможных угроз безопасности. 12 Обнаруживаются слабые места и возможные угрозы безопасности приложений, оборудования, сетевого периметра, облачных решений, системы защиты информации и управления доступами, а также других аспектов системы ИБ. 1
6. Формирование плана усиления кибербезопасности. 1 Составляется и координируется список конкретных задач, оптимизирующих качество информационной безопасности организации. 1
7. Оформление и презентация отчёта по аудиту ИБ. 1 В отчёте указываются идентифицированные угрозы (как реальные, так и потенциальные), а также рекомендации по их практическому устранению с целью оптимизации и модернизации существующей системы ИБ. 1