Аудит представляет собой процесс получения объективной достоверной информации о текущем состоянии ИТ-инфраструктуры и уровня ее реальной защищенности, включающий два основных момента:

  • соответствие формальным compliance-требования (ФСТЭК №17,21,31, Банк России ГОСТ 57580.1-2017, П-382, П-584, SOX 404, PCI DSS, NIST-800 и т.д.);

  • адекватности организационных и техническим мер, обеспечивающих правильное функционирование и защищенность информации от хищения (потери) – к примеру, такие контроли как предоставление и разделение прав доступа, административные привилегии, update менеджмент, резервное копирование и т.д.

Аудит выступает в качестве инструмента для принятия управленческих решений, позволяющего получить:

  • объективную информацию о состоянии ИТ-инфраструктуры, включая уровень ее защищенности и оценку его адекватности существующим ИБ угрозам;

  • независимую оценку соответствия обязательным формальным требованиям отечественных и зарубежных нормативных документов (для получения или подтверждения сертификата, или лицензии);

  • входную информацию для бюджетирования ИТ\ИБ служб с учетом текущего состояния и обоснованных потребностей;

  • сведения для принятия кадровых, организационных или технических решений в отношении ИТ\ИБ

и как результат Финансово-значимые выгоды от аудита ИБ:

  • предотвращение финансовых потерь, которые могли бы быть следствием хакерской атаки – простой оборудования, потеря информации, восстановление работоспособности атакованных узлов, репутационные потери;

  • снижение операционных затрат на ИБ вследствие принятия управленческих решений, принятых по результатам аудита;

  • увеличение оборотных средств организации или увеличение капитализации как результат сбережений, достигнутых на предыдущих шагах.