Аудит – обязательное условие для приведения действующей системы информационной безопасности предприятия в соответствие требованиям российского или международного законодательства.
Это систематический, независимый и документируемый процесс получения оценок состояния ИБ объекта аудита и объективного их анализа с целью установления степени соответствия критериям аудита.
Аудит также необходим:
при подготовке технического задания на систему защиты
при оценке уровня эффективности системы безопасности
при систематизации или упорядочивании существующих мер защиты информации
при расследовании произошедшего инцидента, связанного с нарушением ИБ
Процесс проведения аудита:
Определение критериев аудита
Разработка регламента
Сбор и анализ исходной информации
Подготовка отчета с оценкой текущего уровня безопасности или перечня рекомендаций по приведению информационной системы предприятия в соответствие требованиям и нормам