Зачем проводить аудит? 1. Оценить текущий уровень защищённости ИС/инфраструктуры. 2. Провести анализ угроз безопасности в отношении ИС/инфраструктуры. 3. Проверить соответствие ИС стандартам и нормативно-правовых актов в области информационной безопасности. 4. Разработать рекомендации по повышению эффективности защиты ИС.
Этапы 1. Сбор информации 2. Анализ соответствия принятых организационных мер установленному классу КЗ/УЗ* 3. Анализ соответствия реального технологического процесса задокументированному в ОРД** 4. Анализ соответствия принятых технических мер установленному КЗ/УЗ 5. Оформление отчета по результатам работ
Результат Отчет и рекомендации по устранению несоответствий информационной системы/инфраструктуры требованиям по защите информации
*КЗ - класс защищенности *УЗ - уровень значимости **ОРД - организационно-распорядительная документация