Утверждены Правила проведения аудита информационных систем

Аннотация к документу: Приказ Министра информации и коммуникаций Республики Казахстан от 13 июня 2018 года № 263 «Об утверждении Правил проведения аудита информационных систем» (не введен в действие)

В соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года «» утверждены Правила проведения аудита информационных систем.

Аудит информационной системы осуществляется с целью:

1) получения оценки текущего состояния информационной системы, действий и событий, происходящих в них, определяющих уровень их соответствия техническим регламентам, стандартам в сфере информатизации;

2) установления соответствия нормативно-технической документации требованиям заказчика, а также требованиям информационной безопасности.

Задачами аудита информационных систем являются:

1) оценка соответствия Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № (далее - единые требования).

2) анализ и оценка разработки политик безопасности и других организационно-распорядительных документов по защите информационных систем;

3) анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;

4) оценка постановки задач для персонала, касающихся обеспечения защиты информации;

5) оценка участия в разборе инцидентов, связанных с нарушением информационной безопасности;

6) локализация уязвимых мест в системе защиты информационных систем;

7) определение степени участия в обучении пользователей и обслуживающего персонала информационных систем вопросам обеспечения информационной безопасности;

8) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.

9) оценка соответствия функций информационной системы его целям и задачам;

10) оценка соответствия создания, внедрения и эксплуатации информационной системы техническим регламентам, стандартам в сфере информатизации;

11) оценка уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;

12) оценка состояния информационно-коммуникационной инфраструктуры ее технического состояния и топологии;

13) оценка соответствия нормативно-технической документации требованиям законодательства Республики Казахстан в сфере информатизации.

Аудит информационных систем проводится на этапе создания, внедрения и эксплуатации информационных систем по инициативе собственника или владельца информационных систем.

Проведение аудита информационных систем осуществляется физическими (или) юридическими лицами, обладающими специальными знаниями и опытом работы в области информационно-коммуникационных технологий (далее - аудитор).

Аудит информационных систем в защищенном исполнении, отнесенных к государственным секретам, не проводится.

Заказчиком аудита информационных систем является собственник и (или) владелец информационной системы.

Аудит информационных систем проводится в соответствии с договором между заказчиком и аудитором.

Срок проведения аудита информационной системы зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита информационной системы со стороны заказчика и указывается в договоре.

При проведении аудита информационных систем государственных юридических лиц выбор аудитора осуществляется в соответствии с Законом Республики Казахстан от 4 декабря 2015 года «О государственных закупках».

Работы по аудиту информационных систем включают в себя ряд последовательных этапов:

инициирование процедуры аудита информационных систем;

сбор информации аудита информационных систем;

анализ данных аудита информационных систем;

выработка рекомендаций;

подготовка и подписание заключения.

Приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.