Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процесса аудита может быть руководство предприятия, служба автоматизации или служба информационной безопасности. В некоторых случаях аудит также может проводиться по запросу страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, число и состав которых зависят от целей и сложности объекта оценки.
1.2. Виды и состав работ аудита информационной безопасности
В настоящее время можно выделить следующие основные виды аудита информационной безопасности:
проверка безопасности экспертами, выявление недостатков в системе защиты информации на основе опыта экспертов, вовлеченных в процесс проверки;
инструментальный анализ безопасности АС для выявления и устранения уязвимостей в программном и аппаратном обеспечении системы;
комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.
Каждый из вышеперечисленных видов аудита может проводиться индивидуально или в комбинации, в зависимости от задач, которые компания должна решить. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
В общем, аудит безопасности, независимо от того, как он проводится, состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного набора задач (см. рис. 1).
