Ключевой особенностью аудита информационной безопасности является оценка реальной защищенности активов компаний. Это касается и ИТ-активов. С помощью аудита возможно создание/улучшение уже существующей системы ИБ. В процессе аудита специалисты собирают свидетельства, получают количественные и качественные оценки состояния бизнес или же технологических систем. Тестируются элементы ИТ-инфраструктуры, а также их соответствие с действующими критериями - стандартами, законами, политиками и т.д. Под аудитом подразумевается широкая категория сервисов и услуг. С учетом состава и структуры информационных систем, области работ, критериев и методик выделяют разнообразные варианты.
Проводится аудит ИБ с целью получения независимой и объективной оценки систем информационной безопасности. Он должен подтвердить или же опровергнуть соответствие требованиям и стандартам регуляторов, выявить уязвимости ИТ-инфраструктуры и в процессах, получить рекомендации по изменению/изменению системы. Проводятся такие работы очно или же заочно. Также специалистами используется смешанный метод. В любом из перечисленных случаев эксперты получают исчерпывающую информацию о состоянии информационной безопасности в конкретных организациях. Полученные данные они обрабатывают и сопоставляют с существующими критериями.
В качестве свидетельства проведенного аудита используются фотографии, скриншоты, записи и интервью с персоналом проверяемой компании, внутренняя документация, наблюдения эксперта и др. Срок проведения и план аудита зависят от масштаба работ и сложности критериев. Когда все свидетельства будут собраны, аудитор рассчитывает оценку соответствия. Это может быть количественная или же качественная оценка. Все зависит от критерия. В соответствии с полученными результатами в обязательном порядке выдаются рекомендации по улучшению оценок.
Заказчики самостоятельно выбирают варианты аудита ИБ по критериям, проверяемым элементам ИТ-инфраструктуры и процессам, вариантам получения количественных или же качественных оценок и свидетельств аудита. Чаще всего клиенты нуждаются в проверке соответствия с требованиями, стандартами или же законами регулирующих органов. Кроме этого эксперты получают заказы на выполнение технического аудита. Это отдельная сфера и требует соответствующей компетенции аудиторской команды. В пример можно привести проведение теста на проникновение, который называется пентестом. Также выполняется аудит безопасности веб-сервиса, программного кода или же безопасности веб-сайта. В большинстве случаев аудит осуществляется с использованием смешанного метода.
