Введение: количество информационных атак на информационные системы компаний в настоящее время значительно увеличилось. Нежелательные последствия таких воздействий заключаются как в финансовых, так и в репутационных потерях. Для повышения эффективности защиты информации необходим обоснованный анализ уровня безопасности информационной системы. Цель: обосновать необходимость и описать процедуру аудита информационной безопасности для производственной компании. Результаты: проанализирована деятельность компании, собрана необходимая информация для проведения аудита безопасности информационной системы. На основе анализа подходов к выявлению угроз и контрмер, а также специфики рассматриваемой компании был выбран комбинированный подход. Исследование различных методов анализа рисков позволило обосновать выбор методология FRAP. В результате проведения процедуры аудита даны оценки соответствия информационной системы стандартам информационной безопасности. Практическая значимость: разработаны рекомендации по снижению рисков, связанных с угрозами информационной безопасности. Внедрение разработанных контрмер по устранению уязвимостей информационной безопасности позволит компании предотвратить возможные финансовые потери и ущерб репутации компании.