Типовые этапы аудита ИБ:
1 Планирование, обычно включает:
2 Сбор информации, обычно включает:
3 Активная проверка средств защиты и выполнения регламентов
4 Анализ или оценка, может включать:
5 обработка рисков
6 подтверждение или сертификация
Наиболее интересные открытые методологии аудита информационной безопасности:
• Open Source Security Testing Methodology Manual, version 2 (OSSTMM v.2) 
http://www.isecom.org/osstmm/
• Information Systems Security Assessment Framework http://www.oissg.org/issaf/index.php
• Study: «A penetration testing model», BSI 
http://www.bsi.de/english/publications/studies/penetration.pdf
• NIST Guideline on Network Security Testing; http://csrc.nist.gov/publications/nistpubs/800-42/NIST-SP800-42.pdf
Наиболее интересные открытые методики:
• Методики Банка России (в том числе по Аудиту) http://www.cbr.ru/credit/gubzi_docs/methodics.htm
Открытые стандарты информационной безопасности:
• Стандарты Банка России (в том числе по Аудиту) http://www.cbr.ru/credit/gubzi_docs/standarts.htm
• Paymant Card Industry Data Security Standart (PCI DSS) https://www.pcisecuritystandards.org/tech/pci_dss.htm
• Неофициальная публикация стандартов 17799 и 27001 http://virmaker-dos.narod.ru/iso/iso.html
Регламентирующие документы:
• Неофициальная публикация Специальные Требования И Рекомендации по технической защите конфиденциальной информации (СТР-К) http://iz-news.ru/docs/1381/
На данном этапе определяются субъекты аудита, возможные блоки аудита.
(Пример специально для Kost-a)
Допустим целями организации является предотвращение рисков категорий средняя и высокая.
Опасность уязвимости предлагаю оценивать по методике Common Vulnerability Scoring System (CVSS)
| категория | значение по методике CVSS |
| высокая | от 7 (включительно) до 10 |
| средняя | от 3.5 (включительно) до 7 |
| низкая | от 0 до 3.5 |
Теперь необходимо сгруппировать уязвимости по связанным с ними угрозам. Для перечня возможных угроз можно взять за основу Германский стандарт IT-Grundschutz и дополнить своими.
Категорию опасности угрозы предлагаю определять как наибольшую категорию из связанных с ней уязвимостей.
| наименование угрозы | опасность угрозы |
| несанкционированный доступ к рабочей станции | средняя |
| несанкционированный доступ к базе данных | высокая |
| категория | значение |
| высокая | может возникнуть как минимум несколько раз в год |
| средняя | может возникнуть как минимум раз в несколько лет |
| низкая | навряд ли возникнет в течении следующих 10 лет |
| категория | денежные потери | влияние на сотрудников | влияние на репутацию |
| высокий | более 1 млн. | часть важных сотрудников покинет компанию | затронет всех текущих и потенциальных клиентов. публикации во всех СМИ. падение стоимости акций |
| средний | от 50 тыс. до 1 млн. | ухудшение репутации сотрудников с точки зрения других компаний. понижение мотивации сотрудников | затронет локальных клиентов. публикация в специализированных СМИ. падение репутации среди акционеров |
| низкий | менее 50 тыс. | недовольство определенных сотрудников | может привлечь внимание общественности или клиентов но существенно не затронет репутацию |
| наименование угрозы | опасность угрозы | вероятность угрозы | ушерб от угрозы | риск |
| несанкционированный доступ к рабочей станции | средняя | высокая | средний | средний |
| несанкционированный доступ к базе данных | высокая | низкая | высокий | средний |
| утрата информации вследствие невыполнения регламентов резервного копирования информации | низкая | низкая | средняя | низкая |
Можно перейти от категорий (высокий, средний, низкий) к 10-бальной шкале и использовать любые математические формулы.
Можно использовать более сложные методики, такие как:
• NIST Risk Management Guide for Information Technology Systems
• Канадский стандарт A Guide to Risk Assessment and Safeguard Selection for Information Technology Systems
• GAO Information Security Risk Assessment