Berrimor,
Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 Аудит информационной безопасности
Стандарт ЦБ РФ СТО БР ИББС-1.2-2007 Методика оценки соответствия

1) У ЦБ есть методика. Можете найти в теме - Эти стандарты должен знать каждый специалист по ИБ!
2) Есть софт от DigitalSecurity Кондор и Гриф, не имеющих аналогов. Они опираются на стандарты ISO 17799:2005 и ISO 27001
По ИББС есть софт http://abiss.ru/introduction/
3) Если по ИББС, то - http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Res

Berrimor
Вопрос исключительно масштабности организации
В некоторых случаях (с одобрения руководства) всё же проще привлечь "лавочников"...
barmalei
"Гриф" и "Кондор", imho, всё же больше направлены на нормативно-правовой анализ, пентест всё равно придётся проводить ручками...

1. Методики проведения аудита - СТО ИББС плюс методические рекомендации ЦБ по проведению инспекционных проверок (там есть крохотный кусочек, касаемый ИБ). Ничего полее подробного не видел
2. Софт... Вы можете воспользоваться чем-нибудь вроде CRAMM toolkit, но не думаю, что это целесообразно. Такой софт нужно затачивать под собственные бизнес-процессы, а для этого нужно для начала уметь проводить аудит без софта Он только облегчает некоторые рутинные операции, но не делает за вас работу.
3. По-разному. Я проводил аудит одного крупного московского процессинга через месяц после того, как их Информзащита проверяла. Их безопасник нервно вздрагивал, когда их вспоминал - ребята сунули носы, куда только можно. Умудрились найти много мелких, но неприятных вещей. Та же информзащита в аналогичных проектах, но в другое время и у других заказчиков умудрялась выдавать абсолютно пустой отчет.

Это характерно не только для них, но и для большинства других контор. Так что, если хотите внешний аудит - ориентируйтесь на список консультантов-кандидатов ABISS и очень четко формулируйте критерии приемки работ.

P.S. Внутренний и внешний аудит друг друга не заменяют. Внутренний - это ваша обязанность, внешний - демонстрация соответствия (чаще всего). Его стоит проводить тогда, когда вы сами уже все недостатки устранили, и вам нужно подтверждение. Иначе вы получите просто список самых очевидных недостатков, которые и так вам известны.

Это не отчет об аудите, это заключение по его результатам.

Не зная ничего, делать не хуже чем те, кто знает всё... хм
Удачи

мои 5 коп
iso 19011 - Рекомендации по аудиту.... bsi его рекомендуют применять для аудита СУИБ.

Я разве написал, что НИЧЕГО НЕ ЗНАЮ? У Вас галлюцинация.
Я закончил те же курсы у тех же преподов, что и аудиторы.

Это во-первых.
Во-вторых, нет ничего такого, чему нельзя было бы научиться.
Да, аудит я не делал. Значит, надо этому научиться, поэтому я и задаю вопросы.

Спасибо!
И вообще всем спасибо за участие.
Буду признателен если поделитесь еще какой-ли полезной инфой по аудиту ИБ.

Она самая . Вся моя жизнь - галлюцинация. Тем и живу, оттого и радуюсь.

Моё мнение:
За один день работы с опытным аудитором (ходя за ним и смотря что и как он делает), можно получить больше информации, чем на любых курсах. Сила аудитора в его практическом опыте.


Есть ещё книга: "Аудит ИБ". http://www.ozon.ru/context/detail/id/3163653/
В сети есть её free скан . Выложен там же, где и стандарты.

Книгу в интернет-магазинах я видел, а вот скан ее что-то не нашел. Может быть она там под видом стандартов?

Обрати внимание на ссылку:
http://netzor.org/2007/10/01/audit-i...opasnosti.html