Ақпараттық жүйелердің аудитін жүргізу ережесін бекіту туралы

Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының 2007 жылғы 31 шілдедегі N 311-п Бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2007 жылғы 13 қыркүйекте Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 4928 болып енгізілді. Күші жойылды - Қазақстан Республикасы Байланыс және ақпарат министрінің 2010 жылғы 20 тамыздағы № 200 Бұйрығымен.

       Күші жойылды - ҚР Байланыс және ақпарат министрінің 2010.08.20  № 200 (ресми жарияланған күннен бастап он күнтізбелік күн өткен соң қолданысқа енгізіледі) Бұйрығымен.

      Қолданушылардың назарына!!!
      Қаулының қолданысқа енгізілу тәртібін  5-тармақтан қараңыз.

      "Ақпараттандыру туралы" Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының  6-бабына сәйкес  БҰЙЫРАМЫН:
      1. Қоса беріліп отырған Ақпараттық жүйелердің аудитін жүргізу
ережесі бекітілсін.

      2. Қазақстан Республикасы Ақпараттандыру және байланыс
агенттігінің Ақпараттандыру департаменті (бұдан әрі - Агенттік)
(Ә. Жайлаубаева) осы бұйрықты белгіленген тәртіппен Қазақстан
Республикасы Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз
етілсін.

      3. Агенттіктің Қаржылық-экономикалық талдау және әкімшілік жұмыс департаментінің (Н.Б. Оразалиев) белгіленген тәртіппен осы бұйрықты мемлекеттік тіркелгеннен кейін, оның бұқаралық ақпарат құралдарында ресми жариялануын қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының орынбасары Е.Д. Дұрмағамбетовке жүктелсін.

      5. Осы бұйрық алғашқы ресми жарияланған күннен кейін он
күнтізбелік күн ішінде қолданысқа енгізіледі.

      Төраға

Қазақстан Республикасы  
Ақпараттандыру және байланыс
агенттігі төрағасының  
2007 жылғы 13 шілдедегі 
N 311-п бұйрығымен бекітілген

Ақпараттық жүйелердің аудитін жүргізу ережесі 1. Жалпы ереже

      1. Осы ақпараттық жүйелердің аудитін жүргізу ережесі (бұдан әрі - Ереже) "Ақпараттандыру туралы" Қазақстан Республикасының 2007 жылғы 11 қаңтардағы  Заңына сәйкес әзірленді.
      Ереже ақпараттық жүйелердің аудитін жүргізу мен аудиторлық қорытындыны беру тәртібі анықтайды.

      2. Ақпараттық жүйелердің аудиті:
      ақпараттық жүйелердің, оларда болып жатқан іс-қимылдар мен оқиғалардың ағымдағы жай-күйін бағалау;
      олардың анықталған өлшемдерге, техникалық регламенттерге, стандарттарға, нормативтік-техникалық құжаттарға және (немесе) тапсырыс берушінің талаптарына сәйкестігінің деңгейін белгілеу;
      ақпараттық жүйелердің тиімді және нәтижелі жұмыс істеуін қамтамасыз ету;
      аудиторлық тексеру нәтижелерін негізінде ақпараттық жүйелерді дамыту мен сүйемелдеу бойынша қорытынды беру мақсатында жүзеге асырылады.

      3. Аудитті жүргізу ақпараттандыру саласындағы уәкілетті органмен бекітілген тәртіппен, ақпараттық технологиялар саласындағы арнайы білімі және жұмыс тәжірибесі бар, аудиторлық қызметті жүргізуге құқығы бар (бұдан әрі - Аудитормен) тұлғамен жүзеге асырылады.

      4. Ақпараттық жүйелердің аудитін жүргізу жөніндегі шығыстарды аудитты жүргізуге бастамашы болған ақпараттық жүйелердің меншік иелері мен (немесе) иеленушілері төлейді.

  2. Аудиттің негізгі ережелері

      5. Аудит ақпараттық жүйелерді (бұдан әрі - АЖ) құру, енгізу және пайдалану кезеңінде жүргізілуі мүмкін.

      6. Аудит ұйымның ресурстарының сәйкестігін анықтау арқылы АЖ кезеңдік бағалануын білдіреді, технологиялар, қосымшалар және жабдықтар сапасы мен сипаттамасының келесі өлшемдерін қосқанда:
      тиімділігі (қойылған міндеттерге орындылығы мен сәйкестігі);
      өнімділігі (қойылған міндеттердің орындалу деңгейі);
      тұтастығы (ақпараттың дәлдігі және толықтығы);
      жарамдылығы (талап етілетін бизнес-үдерістерге ақпараттардың қол жетімдігі, қажетті және қосарланған ресурстарды қорғау);
      келісушілігі (бизнес-үдерістерге ықпал етуші нормативтік және құқықтық құжаттарды, шарттарды орындау);
      сенімділігі (ақпараттың шынайылығы мен шындығы деңгейі, пайдаланған мерзімде АЖ үздіксіз жұмысын қамтамасыз ету).

      7. АЖ сапасы мен сипаттамаларының өлшемдеріне сәйкестікті бағалау АЖ тапсырыс беруші мен әзірлеуші арасында жасасқан шартпен көзделген көлемде жүйелік құжаттама мен бағдарламалық қамтамасыз етуді әзірлеуге арналған стандарттарға сәйкес өтініш беруші ұсынған құжатталған ақпараттың негізінде жүргізіледі.
      Аудит үшін өтініш берушінің келісімі бойынша АЖ пайдалану бойынша қосымша құжатталған ақпарат пайдалануы мүмкін, оның ішінде АЖ ақпараттық қауіпсіздігінің элементтеріне қойылатын талаптар бойынша сәйкестік сертификатының болуы, электрондық ақпараттық ресурстар мен ақпараттық жүйені қорғаудың құралдары, қолдануға нұсқамасын, ақпараттық жүйенің жұмысын талдауын және оқиғаларға рұқсатының статистикасын, регламентін, жабдықтың тізімі мен ерекшелігі, хронометриялық нәтижелері және өзге де өлшемдері мен т.б. қосқанда.
      Сапаның өлшемдеріне сәйкестігін бағалауды басқару мен бақылау ақпараттық жүйенің жұмыс істеуінің нәтижелерін бақылаудың негізінде жүзеге асырылады.

      8. Аудиттің нәтижелері бойынша Ереженің 6-тармағына сәйкес
(2-қосымша) сапасы мен сипаттамасының өлшемдерге сәйкестігіне аудиторлық қорытынды жасалады.

      9. Аудиторлық қорытынды екі данадан кем емес жасалады, оның біреуі ақпараттық жүйенің өтініш берушіге беріледі, ал екіншісі аудит жүргізуші тұлғада қалады.

      10. Өтініш білдіруші аудиттен өткен ақпараттық жүйеге өзгерістер енгізген жағдайда қайтадан аудит өткізу немесе осы жұмыстардың орындалуы үшін басқа аудиторды тарту үшін өзгерістер енгізілген сәтінен бастап 30 күнтізбелік күннің ішінде аудит жүргізген ұйымға өтініш білдіреді.

      11. Егер аудиторлық қорытынды қандай да бір өлшемдер бойынша теріс нәтижелерді құраса, өтініш білдіруші келісілген жұмыс тобымен кемшіліктерді мерзімінде дұрыстауы мүмкін, содан кейін аудитті қайта өткізу керек.

  3. Аудитті жүргізу

      12. Аудитті жүргізу (1-қосымша) меншік иесінің және/немесе
иеленушінің өтінішінің негізінде жүргізіледі.

      13. Аудит ақпараттық жүйені иеленушісі мен аудитор арасындағы
жасасқан шартқа сәйкес жүргізіледі.

      14. Аудитор Ереженің 7-тармағына сәйкес ақпараттық жүйенің меншік иесімен және/немесе иеленушімен ұсынылған құжатталған ақпараттың негізінде келесі тәртіпте аудитті жүргізеді:
      ақпараттық жүйенің сипаттамасын зерделейді;
      Ереженің 6-тармағына сәйкес сапасы мен сипаттамаларының  өлшемдеріне ақпараттық жүйенің сәйкестігін тәжірибелік жолмен тексереді;
      Ақпараттық жүйелердің жұмыс істеуі туралы өтініш берушіден қосымша деректер қажет болған жағдайда сұрайды. Жұмыс тобының сұрауына жауап бес күнтізбелік күннен аспауы керек;
      Аудитордың қолы және өтініш берушінің қолдары куәландырылған, мөрі қойылған аудиторлық қорытынды дайындалады, беріледі.

      15. Аудиторлық қорытындыны жасаудың мерзімі ақпараттық жүйені
иеленуші және аудитор арасындағы жасасқан шартпен анықталады.

      16. Аудиторлық қорытынды ұсыныстық сипаттаманы береді және:
      АЖ-ға өзгерістер енгізу туралы шешім қабылданған кезінде АЖ иесімен және (немесе) меншік иесімен есепке алынады;
      АЖ дамыту жөніндегі шешімдерді қабылдау үшін негіз болуы;
      Ақпараттық жүйелерді құруға тапсырыс беруші мен әзірленушінің және үдерістеріне басқа да қатысушылар арасындағы дау-жанжалды шешу үшін соттарда қаралуы мүмкін.

      17. Аудиторлық қорытынды өтініш білдіруші аудит жүргізу сәтінде жұмыс қағидаттарына және сипаттамаларына әсер ететін ақпараттық жүйеге елеулі өзгерістер енгізбеген жағдайда ақпараттық жүйені қолданудың барлық мерзімінде күші бар.

                                               Ақпараттық жүйелердің
                                           аудитін жүргізу ережесіне
                                                    1-қосымша

                            Өтініш

      Иеленушісі
____________________________________________________________________
     (Өтініш білдіруші  ұйымының толық атауы)
болып табылатын
____________________________________________________________________
                      (ақпараттық жүйенің атауы)
Ақпараттық жүйелердің аудитін жүргізуді өтінемін
____________________________________________________________________
  (ұйым басшысының - Өтініш білдіруші - ұйымы басшысының Т.А.Ә А.)
____________________________________________________________________
             (Өтініш білдіруші ұйымның мекен-жайы)

      Ақпаратттық жүйелердің аудитін жүргізу ережесімен таныстым.
Берілген ақпараттардың шынайылығын кепілдеймін.

      Өтінішке келесі қосымшалар қоса берілді.

1. _______________________________________________
2. _______________________________________________
3. _______________________________________________
4. _______________________________________________

                                            200__ж. "__" __________

  М.О.                                      Қолы _____________

                                               Ақпараттық жүйелердің
                                           аудитін жүргізу ережесіне
                                                     2-қосымша

               Ақпараттық жүйелердің аудитін жүргізу
              нәтижелері бойынша аудиторлық қорытынды

____________________________________________________________________
                   (ақпараттық жүйенің атауы)
____________________________________________________________________
              (Өтініш білдіруші - ұйымның атауы)

      200__ж. "__" ____________

     _______________________________________  200 __ ж.
"___" ______ өтінішке сәйкес ақпараттық жүйелердің аудитін жүргізу
Ережесіне сәйкес аудит жүргізілді.
      Аудиторлық тексеру барысында осы ақпараттық жүйе төменде
көрсетілген сипаттамаларды
қанағаттандыратындығы/қанағаттандырмайтындығы анықталды:

1. ____________________________________
2. ____________________________________
3. ____________________________________
4. ____________________________________
5. ____________________________________

      Ақпараттық жүйелерді сүйемелдеу және дамыту жөніндегі
                           ұсыныстар
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________

      Келісілді: ___________________________/ _____________/
                 Тапсырыс берушінің Т.А.Ә А.     (қолы)

Об утверждении Правил проведения аудита информационных систем

Приказ Председателя Агентства Республики Казахстан по информатизации и связи от 31 июля 2007 года № 311-п. Зарегистрирован в Министерстве юстиции Республики Казахстан 13 сентября 2007 года № 4928. Утратил силу приказом Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200

      Сноска. Утратил силу приказом Министра связи и информации РК от 20.08.2010 № 200 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии со статьей 6 Закона Республики Казахстан от 11 января 2007 года "Об информатизации" ПРИКАЗЫВАЮ :

      1. Утвердить прилагаемые Правила проведения аудита информационных систем.

      2. Департаменту информатизации Агентства Республики Казахстан по информатизации и связи (далее - Агентство) (Жайлаубаева А.С.) обеспечить в установленном порядке государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан (далее - государственная регистрация).

      3. Департаменту финансово-экономического анализа и административной работы Агентства (Уразалиев Н.Б.) после государственной регистрации настоящего приказа, в установленном порядке, обеспечить его официальное опубликование в средствах массовой информации.

      4. Контроль за исполнением настоящего приказа возложить на заместителя Председателя Агентства по информатизации и связи Дурмагамбетова Е.Д.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель

Утверждены              
Приказом Председателя Агентства 
Республики Казахстан        
по информатизации и связи     
от 31 июля 2007 года N 311-п   

Правила проведения аудита информационных систем 1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 11 января 2007 года "Об информатизации".
      Правила определяют порядок проведения аудита информационных систем и выдачи аудиторского заключения.

      2. Аудит информационных систем осуществляется с целью:
      оценки текущего состояния информационной системы, действий и событий, происходящих в ней;
      установления уровня их соответствия определенным критериям, техническим регламентам, стандартам, нормативно-технической документации и (или) требованиям заказчика;
      обеспечения эффективного и результативного функционирования информационных систем;
      выдачи заключений по развитию и сопровождению информационных систем на основании результатов аудиторской проверки.

      3. Проведение аудита осуществляется лицом (далее - аудитором), имеющего право на проведение аудиторской деятельности, обладающего специальными знаниями и опытом работы в сфере информационных технологий, в порядке установленным уполномоченным органом в сфере информатизации.

      4. Расходы по проведению аудита информационных систем оплачивают собственники и (или) владельцы информационных систем, выступающие инициаторами проведения аудита.

2. Основные положения аудита

      5. Аудит может быть проведен на этапе создания, внедрения и эксплуатации информационных систем (далее - ИС).

      6. Аудит представляет собой поэтапную оценку ИС посредством определения соответствия ресурсов организации, включающих в себя технологии, приложения и оборудование, следующим критериям качества и характеристикам:
      эффективность (уместность и соответствие поставленным задачам);
      продуктивность (уровень выполнения поставленных задач);
      целостность (точность и законченность информации);
      пригодность (доступность информации требуемым бизнес - процессам, защита необходимых и сопутствующих ресурсов);
      согласованность (исполнение нормативных и правовых документов, договоров, влияющих на бизнес-процесс);
      надежность (уровень достоверности и правдивости информации, обеспечение бесперебойной работы ИС во время эксплуатации).

      7. Оценка соответствия критериям качества и характеристикам ИС проводится на основании предоставленной заявителем документированной информации согласно стандартам на разработку программного обеспечения и системной документации в объеме, предусмотренным договором между разработчиком и заказчиком ИС.
      По согласованию с заявителем для аудита может использоваться дополнительная документированная информация по эксплуатации ИС, в том числе наличие сертификатов соответствия по требованиям информационной безопасности на элементы ИС, включая средства защиты электронных информационных ресурсов и информационных систем, предписаний на эксплуатацию, результаты анализа работы ИС и статистика разрешения инцендентов, регламенты, описи и спецификация оборудования, результаты хронометрических и иных измерений и т.п.
      Управление и контроль оценки соответствия критериям качества проводится на основании контрольных результатов функционирования ИС.

      8. По результатам аудита составляется аудиторское заключение ( приложение 2 ) на соответствие критериям качества и характеристикам согласно пункта 6 Правил.

      9. Аудиторское заключение составляется не менее чем в двух экземплярах, один из которых передается заявителю, ИС которого проходила аудит, второй остается у лица, проводившего аудит.

      10. В случае внесения заявителем изменений в информационную систему, прошедшую аудит, заявитель в течение 30 календарных дней с момента начала действия внесенных изменений обращается в организацию, проводившую аудит ИС, для проведения повторного аудита или привлечь для выполнения этих работ другого аудитора.

      11. В случае если аудиторское заключение содержит отрицательные результаты по каким-либо критериям, заявитель в согласованный с рабочей группой срок может исправить недостатки, после чего пройти аудит повторно.

3. Проведение аудита

      12. Проведение аудита проводится на основании заявления собственника и (или) владельца ИС ( Приложение 1 ).

      13. Аудит проводится в соответствии с договором между аудитором и владельцем ИС.

      14. На основании документированной информации, представленной собственником и (или) владельцем ИС согласно пункту 7 Правил, аудитор проводит аудит в следующем порядке:
      изучает описание ИС;
      проверяет опытным путем соответствие ИС критериям качества и характеристикам, согласно пункту 6 Правил;
      запрашивает у заявителя, в случае необходимости, дополнительные данные о функционировании ИС. Срок ответа на запрос рабочей группы не должен превышать 5 календарных дней;
      готовит аудиторское заключение, которое заверяется его подписью и подписью заявителя, скрепляется оттиском печати аудитора и передается по назначению, согласно пункта 9 Правил.

      15. Срок составления аудиторского заключения определяется договором между аудитором и владельцем ИС.

      16. Аудиторское заключение носит рекомендательный характер и может:
      учитываться собственником и (или) владельцем ИС при принятии решения о внесении изменений в ИС;
      служить основанием для принятия решений по развитию ИС;
      рассматриваться в судах для решения споров между заказчиками, разработчиками, другими участниками процессов создания и эксплуатации информационных систем.

      17. Аудиторское заключение имеет силу в течение всего срока действия ИС при условии, что заявитель не вносит существенных изменений в ИС, влияющих на принципы работы и характеристики, которые она имела на момент проведения аудита.

Приложение 1         
к Правилам проведения    
аудита информационных систем 

                            Заявление

      Прошу провести аудит информационной системы
______________________________________________________________________
              ( наименование информационной системы )

владельцем которой является
______________________________________________________________________
             ( полное название организации - Заявителя )
______________________________________________________________________
          ( Ф.И.О. руководителя организации - Заявителя )
______________________________________________________________________
                 ( адрес организации - Заявителя )

      С Правилами проведения аудита информационных систем ознакомлен.
Достоверность представленной информации гарантирую.

К заявлению прилагаются:
1.____________________________________________________________________
2.____________________________________________________________________
3.____________________________________________________________________
4.____________________________________________________________________

                                              "____" _______ 200__ г.

     МП                                        Подпись _______________

Приложение 2           
к Правилам проведения      
аудита информационных систем  

"Утверждаю"                   
______________________       
      должность               
______________________       
        ФИО                  
"______"____________ _____ г.

                         Аудиторское заключение
                   по результатам проведения аудита
                       информационной системы

_____________________________________________________________________
               ( наименование информационной системы )
_____________________________________________________________________
               ( наименование организации - Заявителя )

на "_____"___________200_ г.

_____________________________________________________________________
         ( наименование лица, осуществляющего аудит ИС )

согласно заявления от "______"____________200_ г. проведен аудит в
соответствии с Правилами проведения аудита информационных систем.

      В ходе аудиторской проверки было установлено, что данная инфор-
мационная система удовлетворяет / не удовлетворяет ниже перечисленным
критериям качества и характеристикам:
1. __________________________________________________________________
2. __________________________________________________________________
3. __________________________________________________________________
4. __________________________________________________________________
5. __________________________________________________________________

      Рекомендации по сопровождению и развитию информационной системы
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

      Согласовано:              ________________     ______________
                                 ФИО заказчика           подпись