В основе аудита информационной безопасности лежит метод выявления аномалий основанный на профиле. Профиль формируется на основе результатов, полученных при проведении мониторинга состояния корпоративной сети (далее КС) Формально профиль Пкс описывается кортежем:

Пкс = {Wi, S, SS, NE}, где    (1)

Wi – множество информационных единиц, в качестве которых рассматриваются данные полученные при анализе журналов безопасности пользовательских рабочих станций;

S – множество информационных единиц в качестве которых рассматриваются данные полученные при анализе log-файлов серверов и доступности сервисов КС (СУБД, Web-сервера, proxy-сервера, почтовый сервер);

SS – множество информационных единиц о процессе функционирования служб безопасности;

NE – множество описывающее сетевое оборудование, т.е. оборудование обеспечивающее функционирование корпоративной сетей, такое как маршрутизаторы, коммутаторы, концентраторы, линии связи и пр.;

При этом выделяют два режима составления профиля:

  1. составление эталонного профиля КС (Пксэ), данный профиль формируется при тестовом проведении мониторинга и характеризует состояние КС, которое изначально считается безопасным.
  2. составление текущего профиля КС (Пкст), данный профиль создается каждый раз при проведении мониторинга состояния КС.

На следующем этапе происходит сравнение двух профилей Пксэ и Пкст по результатам которого делается вывод об аномалиях имеющихся в системе, что может свидетельствовать о нарушении безопасности в КС.