Ақпараттық жүйелердің аудитін жүргізу қағидаларын бекіту туралы

Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 28 қаңтардағы № 134 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 25 ақпанда № 13258 болып тіркелді. Күші жойылды - ҚР Ақпарат және коммуникациялар министрінің 2018 жылғы 13 маусымдағы № 263 бұйрығымен

      Ескерту. Күші жойылды - ҚР Ақпарат және коммуникациялар министрінің 13.06.2018 № 263 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 7-бабы 22) тармақшасына сәйкес, БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық жүйелердің аудитін жүргізу қағидалары бекітілсін.

      2. "Ақпараттық жүйелердің аудитін жүргізу ережесін бекіту туралы" Қазақстан Республикасы Байланыс және ақпарат министрінің 2010 жылғы 20 тамыздағы № 200 бұйрығының (Қазақстан Республикасы нормативтік құқықтық актілерін мемлекеттік тіркеудің тізіліміне N 6488 тіркелген, "Казахстанская правда" газетінде 2010 жылғы 6 қарашада және "Егемен Қазақстан" газетінде 2010 жылғы 9 қарашада жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитетіне (Т.Б. Қазанғап):

      1) осы бұйрықтың Қазақстан Республикасының Әділет министрлігінде белгіленген заңнама тәртіппен мемлекеттік тіркеуді;

      2) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күннің ішінде онық көшірмелерін юаспа және электрондық түрде мерзімді баспа басылымдарында және "Әділет" ақпараттық-құқықтық жүйесінде ресми жариялауға, сондай-ақ тіркелген бұйрықты алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін Республикалық құқықтық ақпарат орталығына жіберуді;

      3) осы бұйрықтың Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастырылуын;

      4) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментіне осы бұйрықтың 3-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.

      5. Осы бұйрық оның алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгiзiледi.

Қазақстан Республикасы


Инвестициялар және даму


министрінің міндетін атқарушысы

Ж. Қасымбек


  Қазақстан Республикасы
Инвестиция және даму министрінің
міндетін атқарушысының
2016 жылғы 28 қаңтардағы
№ 134 бұйрығымен бекітілген

Ақпараттық жүйелердің аудитін жүргізу қағидалары
1. Жалпы ереже

      1. Осы Ақпараттық жүйелердің аудитін жүргізу қағидалары (бұдан әрі - Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы

      Қазақстан Республикасының Заңы 7-бабының 22) тармақшасына (бұдан әрі - Заң) сәйкес әзірленді және мемлекеттік органдардың ақпараттық жүйелерінің, сондай-ақ мемлекеттік емес ақпараттық жүйелердің аудитін жүргізу тәртібін айқындайды.

      2. Ақпараттық жүйелердің аудиті ақпараттық жүйелердің, онда болып жатқан іс-қимылдармен оқиғалардың, техникалық регламенттерге, ақпараттандыру саласындағы стандарттарға, нормативті-техникалық құжаттамаға және (немесе) тапсырыс берушінің талаптарына, сондай-ақ ақпараттық қауіпсіздік талаптарына сәйкестік деңгейін айқындайтын ағымдағы жай-күйін бағалау мақсатында жүзеге асырылады.

      3. Осы қағидаларда мынадай ұғымдар пайдаланылады:

      1) ақпараттық жүйелердің аудиті – ақпараттық жүйенің қолданылу тиімділігін артыру мақсатында оны тәуелсіз зерттеу;

      2) ақпараттық-коммуникациялық инфрақұрылым – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділікті беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз ету үшін арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      3) ақпараттандыру саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттандыру және "электрондық үкімет" саласындағы басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган.

      4) нормативтік-техникалық құжаттама - ақпараттандыру объектілерін жасауға және пайдалануға, сондай-ақ олардың ақпараттандыру саласындағы белгіленген талаптарға сәйкестігін бақылауға жалпы міндеттерді, қағидаттар мен талаптарды айқындайтын құжаттар жиынтығы;

      4. Ақпараттық жүйелердің аудиті ақпараттық жүйелердің меншік иесі немесе иеленушісі бастамасы бойынша ақпараттық жүйелерді жасау, енгізу және пайдалану кезеңінде өткізіледі.

      5. Ақпараттық жүйелердің аудитін жүргізу ақпараттық-коммуникациялық технологиялар саласындағы арнайы білімі және жұмыс өтіліне ие жеке және (немесе) заңды тұлғалармен жүзеге асырылады.

      6. Мемлекеттік құпияларға жатқызылатын қорғалған орындалудағы ақпараттық жүйелердің аудиті өткізілмейді.

      7. Ақпараттық жүйелер аудитінің Тапсырыс берушісі ақпараттық жүйелердің меншік иесі және (немесе) иеленушісі және (немесе) әзірлеушісі болып табылады.

      8. Ақпараттық жүйелер аудитінің негізгі бағыттары мыналар:

      1) ақпараттық жүйе функциясының оның мақсаты мен міндеттеріне сәйкестігін;

      2) ақпараттық жүйені әзірлеу, енгізу, сүйемелдеу және пайдаланудың ақпараттандыру саласындағы стандартқа сәйкестігін;

      3) қолданбалы бағдарламалық қамтамасыз ету және деректер қорын қоса алғанда ақпараттық жүйелердің қорғалу деңгейін;

      4) ақпараттық-коммуникациялық инфрақұрылым қауіпсіздігінің

      жай-күйін, оның техникалық жай-күйі мен топологиясын;

      5) нормативтік-техникалық құжаттаманың стандарттық талаптарға сәйкестігін;

      6) ақпараттық қауіпсіздік талаптарына сәйкестігін бағалау болып табылады.

      9. Ақпараттық жүйелердің аудиті ақпараттық-коммуникациялық технологиялар саласындағы арнайы білімі және жұмыс өтіліне ие тапсырыс беруші мен тұлғаның арасындағы шартқа сәйкес өткізіледі.

      10. Мемлекеттік органдардың ақпараттық жүйелерінің аудитін өткізген кезде ақпараттық-коммуникациялық технологиялар саласындағы арнайы білімі және жұмыс өтіліне ие тұлғаларды таңдау, ақпараттық жүйелердің аудитін өткізуге мемлекеттік сатып алу туралы қол қойылатын тиісті шарттың қорытыныдысы бойынша "Мемлекеттік сатып алу туралы" 2015 жылғы 4 желтоқсандағы Қазақстан Республикасының Заңының 4 тарауына сәйкес жүзеге асырылады.

      11. Ақпараттық жүйелердің аудитін өткізу шығыстарын ақпараттық жүйелердің меншік иесі және (немесе) иеленушісі арасындағы келісілген шешім бойынша анықталған тарап көтереді.

      12. Ақпараттық жүйенің аудитін өткізу мерзімі ақпараттық жүйенің функционалдық күрделілігіне, құрылымдық құрауыштар (кіші бағдарламалар) санына, оны пайдалану (жұмыс орындарын ұйымдастыру, серверлерге қол жеткізу, өңірлік (аумақтық) ақпараттық жүйеге сүйемелдеу орталықтарының болуы) шартына, сондай-ақ тапсырыс беруші тарапынан ақпараттық жүйелер аудитінің нақты мақсаттарына байланысты болады және шартта көрсетіледі.

      13. Ақпараттық жүйе аудитінің нәтижесі бойынша осы Қағидалардың қосымшасына сәйкес нысан бойынша ақпараттық жүйенің аудитін өткізу нәтижелеріне сәйкес (бұдан әрі – қорытынды) аудиторлық қорытынды дайындалады.

      14. Қорытынды ақпараттық жүйелердің аудитін жүзеге асыратын тұлғалардың және тапсырыс берушінің қолтаңбаларымен куәландырылады, ақпараттық жүйелердің аудитін жүзеге асыратын тұлғалардың мөрлерімен бекітіледі.

      15. Қорытынды 2 (екі) данада мемлекеттік және орыс тілдерінде жасалады, олардың біреуі тапсырыс берушіге табысталады, екіншісі ұйымда қалады.

      16. Мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланған мемлекеттік ақпараттық жүйелер және мемлекеттік емес ақпараттық жүйелер бойынша аудиторлық қорытындының көшірмесін тапсырыс беруші ақпараттандыру саласындағы уәкілетті органға тапсырады.

      17. Аудиторлық қорытынды ұсынымдық сипатта болады.

2. Ақпараттық жүйелердің аудитін өткізу тәртібі

      18. Ақпараттық жүйелер аудитінің міндеті мен негізгі мақсаттары:

      1) ақпараттық ресурстардың ағымдағы қорғалу жай-күйін объективті және тәуелсіз бағалауды алу;

      2) ақпараттық қауіпсіздік жүйесін құруға инвестицияланған қаржылардан барынша қайтарым алу;

      3) санкцияланбаған іс-әрекеттерден келетін мүмкін болатын залалдарды бағалау;

      4) ақпаратты қорғау жүйесін құруға қойылатын талаптарды әзірлеу;

      5) бөлімше қызметкерлерінің жауапкершілік аймағын айқындау;

      6) ақпараттық қауіпсіздік жүйесін енгізу тәртібін және бірізділігін әзірлеу болып табылады.

      19. Ақпараттық жүйелер қауіпсіздігі аудитінің міндеттері:

      1) ақпараттық жүйелерді қорғау жөніндегі қауіпсіздік саясатын әзірлеуді және басқа да ұйымдастыру-өкім беру құжаттарын талдау және бағалау;

      2) ақпараттық жүйелер ресурстарына қатысты қауіпсіздігіне қауіп төндіру мүмкіндігіне байланысты тәуекелдерді талдау;

      3) ақпаратты қорғауды қамтамасыз етуге қатысты персонал үшін міндеттердің қойылымын бағалау;

      4) ақпараттық қауіпсіздікті бұзуға байланысты тосын оқиғаларды шешуге қатысуды бағалау;

      5) ақпараттық жүйелерді қорғау жүйесінде осал жерлерді жою;

      6) ақпараттық жүйелерді пайдаланушылар мен қызмет көрсететін персоналды ақпараттық қауіпсіздікті қамтамасыз ету мәселелеріне үйретуге қатысу дәрежесін айқындау;

      7) ақпараттық жүйелердің қолданыстағы қауіпсіздік тетіктерінің тиімділігін арттыру және жаңаларын енгізу жөніндегі ұсынымдарды әзірлеу болып табылады.

      20. Ақпараттық жүйелердің аудиті жөніндегі жұмыстар, жалпы алғанда ақпараттық жүйелердің аудитін өткізу кезеңдеріне сәйкес келетін бірқатар реттік кезеңдерді қамтиды:

      1) ақпараттық жүйелердің аудитін өткізуге бастамашылық жасау;

      2) ақпараттық жүйелер аудитінің ақпаратын жинау;

      3) ақпараттық жүйелер аудитінің деректерін талдау;

      4) ұсынымдар қалыптастыру;

      5) қорытынды дайындау.

      21. Ақпараттық жүйелер аудиті бойынша негізгі жұмыс түрлеріне:

      1) талдауды сарапшылық әдіспен жүргізу;

      2) Заңның 6-бабының 3) тармақшасына сәйкес бекітілген ақпараттық коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы ақпараттық қауіпсіздік және бірыңғай талаптар жөніндегі стандарттардың ұсынымдарға сәйкестігін бағалау;

      3) ақпараттық жүйелер құрауыштарын аспаптық тексеру жатқызылады.

      22. Сарапшылық әдіспен талдау жүргізу барысында зерттеу рәсіміне қатысушы сарапшылардың тәжірибесі негізінде ақпаратты қорғау шаралары жүйесінде кемшіліктер анықталады.

      23. Әкімшілік, рәсімдік және физикалық қорғау шараларын қоса алғанда ұйымдастыру деңгейінің қауіпсіздік тетіктерін бағалау үшін өлшем шарттар ретінде ҚР СТ ИСО/МЭК 27001-2008 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету шаралары мен құралдары. Ақпараттық қауіпсіздікті басқару жүйелері. Талаптар", ҚР СТ ИСО/МЭК 27002-2009 "Ақпараттық технология. Қамту құралдары. Ақпаратты қорғауды басқару жөніндегі қағидалар жиынтығы" және ҚР СТ МЕМСТ Р 50739-2006 "Есептеу техникасының құралдары. Ақпаратқа заңсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" стандарттары қолданылады.

      24. ҚР СТ ИСО/МЭК 27001-2008 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару жүйесі. Талаптар", ҚР СТ ИСО/МЭК 27002-2009 "Ақпараттық технологиялар. Қамту құралдары. Ақпаратты қорғауды басқару жөніндегі қағидалар жиынтығы" стандарттары бойынша ақпараттық жүйелер аудитінің негізгі басты өлшем шарттарына келесі тараулар:

      1) қауіпсіздік саясаты;

      2) қорғауды ұйымдастыру;

      3) ресурстарды жіктеу және оларды бақылау;

      4) персонал қауіпсіздігі;

      5) физикалық қауіпсіздік;

      6) ақпараттық жүйелерді және есептеу желілерін әкімшілендіру;

      7) қолжетімділікті басқару;

      8) ақпараттық жүйелерді әзірлеу және сүйемелдеу;

      9) ұйымның үздіксіз жұмысын жоспарлау;

      10) қауіпсіздік саясаты талаптарының орындалуын бақылау жатқызылады.

      25. ҚР СТ МЕМСТ Р 50739-2006 "Есептеу техникасының құралдары. Ақпаратты заңсыз қолжетімділіктен қорғау. Жалпы техникалық талаптар" бойынша ақпараттық жүйелер аудитінің басты негізгі өлшемдеріне:

      1) қолжетімділікті шектеуге қойылатын негізгі талаптарды іске асыру (қолжетімділікті бақылаудың дискретизациялық қағидаты);

      2) қолжетімділікті бақылаудың мандатты қағидатын іске асыру;

      3) пайдаланушылардың қолжетімділігін сәйкестендірілуді және бірдейлестіруді іске асыру;

      4) тіркеу көрсеткіші;

      5) құжаттарды таңбалау;

      6) кепілдіктерге қойылатын негізгі талаптар;

      7) құжаттамаларға қойылатын талаптар жатқызылады.

      26. Ақпараттық жүйелдердің құрауыштарын аспаптық зерттеу кезінде олар жүйенің бағдарламалық-аппараттық қамтамасыз етудің осалдықтарын анықтау және жоюға бағытталады.

      27. Ақпараттық жүйелер аудиті нәтижелерін ресімдеу:

      1) ҚР СТ ИСО/МЭК 27001-2008 "Ақпараттық технология". Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару жүйелері. Талаптар", ҚР СТ ИСО/МЭК 27002-2009 "Ақпараттық технологиялар. Қамту құралдары. Ақпаратты қорғауды басқару жөніндегі қағидалар жиынтығы" және ҚР СТ МЕМСТ Р 50739-2006 "Есептеу техникасының құралдары. Ақпаратты заңсыз қолжетімділіктен қорғау. Жалпы техникалық талаптар" стандарттарына сәйкестігін бағалау;

      2) аспаптық тексеру нәтижелері;

      3) ұсынымдар әзірлеу;

      4) аудиторлық қортындыны дайындауды қамтиды.

  Ақпараттық жүйелердің аудитін
жүргізу қағидаларына қосымша

      Нысан

Ақпараттық жүйелердің аудитін өткізу нәтижелері бойынша
аудиторлық қорытынды

      _____________________________________________________________________

      (ақпараттық жүйенің атауы)

      _____________________________________________________________________

      (тапсырыс беруші ұйымның атауы)

      ___________________________________________________________ саласында

      (аудит өткізу саласы)

      20__ ж. "___" ________

      _____________________________________________________________________

      (ақпараттық жүйелер аудитін жүзеге асыратын тұлғаның атауы)

      20__ ж. "___" _______________ шартқа сәйкес Ақпараттық жүйелердің

      аудитін өткізу қағидасына сәйкес аудит өткізілді (өткізілген аудиттің

      ұйымдастырушылық, техникалық, әдістемелік аспектілерімен ақпараттық

      жүйелердің аудитін өткізу туралы есептеме қоса беріліп отыр).

      Аудиторлық тексеру барысында осы ақпараттық жүйе мынадай

      бағалау көрсеткіштеріне ие екені анықталды:

      1. __________________________________________________________________

      2. __________________________________________________________________

      3. __________________________________________________________________

      _________________________________________________________саласындағы

      белгіленген талаптар мен стандарттарға сәйкес келеді/сәйкес

      келмейді_____________________________________________________________

      (аудитті өткізу саласы)

      Ақпараттық жүйені сүйемелдеу және дамыту жөніндегі ұсынымдар

      _____________________________________________________________________

      _____________________________________________________________________

      20__ ж. "___" __________________ ____________________________________

      (ТАӘ, қолы)

Об утверждении Правил проведения аудита информационных систем

Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 134. Зарегистрирован в Министерстве юстиции Республики Казахстан 25 февраля 2016 года № 13258. Утратил силу приказом Министра информации и коммуникаций Республики Казахстан от 13 июня 2018 года № 263 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

      Сноска. Утратил силу приказом Министра информации и коммуникаций РК от 13.06.2018 № 263 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила проведения аудита информационных систем.

      2. Признать утратившим силу приказ Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200 "Об утверждении Правил проведения аудита информационных систем" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 6488, опубликованный 6 ноября 2010 года в газете "Казахстанская правда" и 9 ноября 2010 года в газете "Егемен Қазақстан").

      3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Қазанғап Т.Б.) обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) направление копии настоящего приказа в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканский центр правовой информации в течение десяти календарных дней со дня получения зарегистрированного приказа для включения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего приказа.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Исполняющий обязанности


Министра по инвестициям и развитию,


Республики Казахстан

Ж. Касымбек


  Утверждены
приказом исполняющего
обязанности Министра
по инвестициям и развитию
Республики Казахстан
от 28 января 2016 года № 134

Правила проведения аудита информационных систем
1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее - Закон) и определяют порядок проведения аудита как информационных систем государственных органов, так и негосударственных информационных систем.

      2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, определяющих уровень их соответствия техническим регламентам, стандартам в сфере информатизации, нормативно-технической документации и (или) требованиям заказчика, а также требованиям информационной безопасности.

      3. В настоящих правилах используются следующие понятия:

      1) аудит информационной системы – независимое обследование информационной системы в целях повышения эффективности ее использования;

      2) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      3) уполномоченный орган в сфере информатизации (далее - уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере информатизации и "электронного правительства";

      4) нормативно-техническая документация – совокупность документов, определяющих общие задачи, принципы и требования к созданию и использованию (эксплуатации) объектов информатизации, а также контролю их соответствия установленным требованиям в сфере информатизации.

      4. Аудит информационных систем проводится на этапе создания, внедрения и эксплуатации информационных систем по инициативе собственника или владельца информационных систем.

      5. Проведение аудита информационных систем осуществляется физическим и (или) юридическим лицами, обладающими специальными знаниями и опытом работы в области информационно-коммуникационных технологий.

      6. Аудит информационных систем в защищенном исполнении, отнесенных к государственным секретам, не проводятся.

      7. Заказчиком аудита информационных систем является собственник и (или) владелец информационной системы.

      8. Основными направлениями аудита информационных систем являются оценка:

      1) соответствия функций информационной системы его целям и задачам;

      2) соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам в сфере информатизации;

      3) уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;

      4) состояния информационно-коммуникационной инфраструктуры ее технического состояния и топологии;

      5) соответствия нормативно-технической документации стандартным требованиям;

      6) соответствия требованиям информационной безопасности.

      9. Аудит информационных систем проводится в соответствии с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационно-коммуникационных технологий.

      10. При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в области информационно-коммуникационных технологий, осуществляется в соответствии с главой 4 Закона Республики Казахстан от 4 декабря 2015 года "О государственных закупках", по итогам которого подписывается соответствующий договор о государственных закупках на проведение аудита информационных систем.

      11. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем информационной системы.

      12. Срок проведения аудита информационный системы зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита информационный системы со стороны заказчика и указывается в договоре.

      13. По результатам аудита информационный системы готовится аудиторское заключение по результатам проведения аудита информационной системы (далее – заключение) по форме, согласно приложению к настоящим Правилам.

      14. Заключение заверяется подписями лиц осуществляющих аудит информационных систем и заказчика, скрепляется печатью лиц осуществляющих аудит информационных систем.

      15. Заключение составляется на государственном и русском языках в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации.

      16. Копия заключения по информационным системам государственных органов, и негосударственным информационным системам, интегрируемых с информационными системами государственных органов заказчик передает уполномоченному органу в сфере информатизации.

      17. Заключение носит рекомендательный характер.

2. Порядок проведения аудита информационных систем

      18. Назначением и основными целями аудита информационных систем являются:

      1) получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов;

      2) получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности;

      3) оценка возможного ущерба от несанкционированных действий;

      4) разработка требований к построению системы защиты информации;

      5) определение зон ответственности сотрудников подразделений;

      6) разработка порядка и последовательности внедрения системы информационной безопасности.

      19. Задачами аудита информационных систем являются:

      1) анализ и оценка разработки политик безопасности и других организационно-распорядительных документом по защите информационных систем;

      2) анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;

      3) оценка постановки задач для персонала, касающихся обеспечения защиты информации;

      4) оценка участия в разборе инцидентов, связанных с нарушением информационной безопасности;

      5) локализация уязвимых мест в системе защиты информационных систем;

      6) определение степени участия в обучении пользователей и обслуживающего персонала информационных систем вопросам обеспечения информационной безопасности;

      7) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.

      20. Работы по аудиту информационных систем включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения аудита информационных систем, который включает в себя следующее:

      1) инициирование процедуры аудита информационных систем;

      2) сбор информации аудита информационных систем;

      3) анализ данных аудита информационных систем;

      4) выработка рекомендаций;

      5) подготовка заключения.

      21. К основным видам работ по аудиту информационных систем относятся:

      1) проведение анализа экспертным методом;

      2) оценка соответствия рекомендациям стандартов по информационной безопасности и единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утверждаемым в соответствии с подпунктом 3) статьи 6 Закона;

      3) инструментальное обследование компонентов информационных систем.

      22. В ходе проведения анализа экспертным методом выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования.

      23. В качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты используются стандарты СТ РК ИСО/МЭК 27001-2008 "Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования", СТ РК ИСО/МЭК 27002-2009 "Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации" и СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники Защита от несанкционированного доступа к информации Общие технические требования".

      24. По стандартам СТ РК ИСО/МЭК 27001-2008 "Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования", СТ РК ИСО/МЭК 27002-2009 "Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации" к основным ключевым критериям аудита информационных систем относятся следующие разделы:

      1) политика безопасности;

      2) организация защиты;

      3) классификация ресурсов и их контроль;

      4) безопасность персонала;

      5) физическая безопасность;

      6) администрирование информационных систем и вычислительных сетей;

      7) управление доступом;

      8) разработка и сопровождение информационных систем;

      9) планирование бесперебойной работы организации;

      10) контроль выполнения требований политики безопасности.

      25. По СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники Защита от несанкционированного доступа к информации Общие технические требования" к основным ключевым критериям аудита информационных систем относятся:

      1) реализация основных требований к разграничению доступа (дискретизационный принцип контроля доступа);

      2) реализация мандатного принципа контроля доступом;

      3) реализация идентификации и аутентификации доступа пользователей;

      4) показатель регистрация;

      5) маркировка документов;

      6) основные требования к гарантиям;

      7) требования к документации.

      26. При инструментальном обследовании компонентов информационных систем они направляются на выявление и устранение уязвимостей программно-аппаратного обеспечения системы.

      27. Оформление результатов аудита информационных систем включает:

      1) оценку соответствия стандартам СТ РК ИСО/МЭК 27001-2008 "Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования", СТ РК ИСО/МЭК 27002-2009 "Информационные технологии.

      Средства обеспечения. Свод правил по управлению защитой информации" и СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники

      Защита от несанкционированного доступа к информации

      Общие технические требования";

      2) результаты инструментального обследования;

      3) выработку рекомендаций;

      4) подготовку заключения.

  Приложение
к Правилам проведения
аудита информационных систем

      Форма

Аудиторское заключение
по результатам проведения аудита информационной системы

      _____________________________________________________________________

      (наименование информационной системы)

      _____________________________________________________________________

      (наименование организации заказчика)

      в области _______ ___________________________________________________

      (область проведения аудита)

      от "___" ________ 20__ г.

      _____________________________________________________________________

      (наименование лица, осуществляющего аудит информационных систем)

      согласно договору от "___" _______ 20__ г. проведен аудит в

      соответствии с Правилами проведения аудита информационных систем

      (отчет о проведении аудита информационных систем с организационными,

      техническими, методологическими аспектами проведенного аудита

      прилагается).

      В ходе аудиторской проверки было установлено, что данная

      информационная система имеет следующие оценочные показатели:

      1. ____________________________________________________________

      2. ____________________________________________________________

      3. ____________________________________________________________

      что соответствует/не соответствует установленным требованиям и

      стандартам в области ________________________________________________

      (область проведения аудита)

      Рекомендации по сопровождению и развитию информационной системы

      _____________________________________________________________________

      _____________________________________________________________________

      "___" _________ 20__ г. ________________________

      (ФИО, подпись)