з представниками організації проводять такі види робіт:
збір вихідних даних про інформаційну систему, про її функціях і особливостях, використовуваних технологіях автоматизованої обробки та передачі даних;
збір інформації про наявні організаційно-розпорядчих документах щодо забезпечення інформаційної безпеки та їх аналіз;
визначення точок відповідальності систем, пристроїв і серверів інформаційної системи;
формування переліку підсистем кожного підрозділу компанії з категорірованіе критичної інформації та схемами інформаційних потоків.
Один з найбільш об'ємних видів робіт, які проводяться при експертному аудиті, - збір даних про інформаційну систему шляхом інтерв'ювання представників організації і заповнення ними спеціальних анкет. Основна мета інтерв'ювання технічних фахівців - збір інформації про функціонування мережі, а керівного складу компанії - з'ясування вимог, які пред'являються до системи інформаційної безпеки. p align="justify"> Ключовий етап експертного аудиту - аналіз проекту інформаційної системи, топології мережі та технології обробки інформації, в ході, якого виявляються, такі недоліки існуючої топології мережі, які знижують рівень захищеності інформаційної системи. За результатами робіт даного етапу пропонуються зміни до існуючої інформаційної системи і технології обробки інформації, спрямовані на усунення знайдених недоліків з метою досягнення необхідного рівня інформаційної безпеки. p align="justify"> Наступний етап - аналіз інформаційних потоків організації. На даному етапі визначаються типи інформаційних потоків в інформаційній системі організації, та складається їх діаграма, де для кожного інформаційного потоку вказується його цінність і використовувані методи забезпечення безпеки, що відображають рівень захищеності інформаційного потоку. На підставі результатів даного етапу робіт пропонується захист або підвищення рівня захищеності тих компонент інформаційної системи, які беруть участь у найбільш важливих процесах передачі, зберігання та обробки інформації. Для менш цінної інформації рівень захищеності залишається колишнім, що дозволяє зберегти для кінцевого користувача простоту роботи з інформаційною системою. p align="justify"> Застосування аналізу інформаційних потоків організації дозволяє спроектувати систему забезпечення інформаційної безпеки, яка буде відповідати принципу розумної достатності. p align="justify"> У рамках експертного аудиту проводиться аналіз організаційно-розпорядчих документів, таких як політика безпеки, план захисту і різного роду інструкції. Організаційно-розпорядчі документи оцінюються на предмет достатності та несуперечності, декларованим цілям і заходам інформаційної безпеки. Особливу увагу на етапі аналізу інформаційних потоків приділяється визначенню повноважень і відповідальності конкретних осіб за забезпечення інформаційної безпеки різних ділянок інформаційної системи. Повноваження і відповідальність повинні бути закріплені положеннями організаційно-розпорядчих документів. p align="justify"> Результати експертного аудиту можуть містити різнопланові пропозиції з побудови або модернізації системи забезпечення інформаційної безпеки:
зміни до існуючої топології мережі та технології обробки інформації;
рекомендації щодо вибору і застосування систем захисту інформації та інших додаткових спеціальних технічних засобів;
пропозиції щодо вдосконалення пакета організаційно-розпорядчих документів;
пропозиції по етапах створення системи інформаційної безпеки;
орієнтовні витрати на створення або вдосконалення СОІБ.
Основними перевагами експертного аудиту є можливість заощадити кошти і час, шляхом відмови від більш масштабного комплексного аудиту, а так само зосередитися на аналізі найбільш значимих об'єктів інформаційного середовища.
Активний аудит
Тест на проникнення (пентест) в інформаційну систему є оптимальним способом, що дозволяє оцінити захищеність інформаційної системи в цілому, виявити окремі уразливості і перевірити надійність існуючих механізмів захисту інформаційної системи від несанкціонованого впливу, використовуючи різні моделі порушників. Організації надається детальний звіт, що містить результати всебічного аналізу поточного стану його інформаційної системи, виявлені вразливості і способи їх використання, рекомендації щодо їх усунення. p align="justify"> Основні цілі проведення тестів на проникнення:
пошук вразливостей, що дозволяють провести атаку на інформаційну систему;
визначення захищеності інформаційної системи;
актуальність застосовуваних методів захисту інформації від несанкціонованого впливу;