Об утверждении Правил проведения аудита информационных систем

Приказ Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200. Зарегистрирован в Министерстве юстиции Республики Казахстан 14 сентября 2010 года № 6488. Утратил силу приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 134

      Сноска. Утратил силу приказом и.о. Министра по инвестициям и развитию РК от 28.01.2016 № 134 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Примечание РЦПИ!
      Порядок введения в действие приказа см. п. 5.

      В соответствии с подпунктом 9) статьи 6пунктом 4 статьи 27 Закона Республики Казахстан от 11 января 2007 года "Об информатизации", ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемые Правила проведения аудита информационных систем.
      2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 31 июля 2007 года № 311-п "Об утверждении Правил проведения аудита информационных систем" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов № 4928, опубликованный в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан, 2007 г., июль-сентябрь).
      3. Департаменту государственной политики в области информационных технологий Министерства связи и информации Республики Казахстан (Елеусизова К.Б.) в установленном законодательством порядке:
      1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Министерства связи и информации Республики Казахстан.
      4. Контроль за исполнением настоящего приказа возложить на вице-министра связи и информации Республики Казахстан Сарсенова С.С.
      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр                                    А. Жумагалиев

Утверждены            
приказом Министра связи и информации
Республики Казахстан       
от 20 августа 2010 года № 200   

Правила проведения аудита информационных систем

1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с Законом Республики Казахстан "Об информатизации" и определяют порядок проведения аудита как государственных, так и негосударственных информационных систем.
      2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, устанавливающих уровень их соответствия определенным критериям, техническим регламентам, стандартам, нормативно-технической документации и (или) требованиям заказчика.
      3. Проведение аудита осуществляется лицами, обладающими специальными знаниями и опытом работы в сфере информационных технологий.
      4. Заказчиком аудита является собственник и (или) владелец, и (или) разработчик информационной системы.
      5. Основными направлениями аудита являются оценка:
      соответствия функций информационной системы целям и задачам;
      соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам;
      уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;
      состояния телекоммуникационной инфраструктуры ее технического состояния и топологии;
      соответствия нормативно-технической документации стандартным требованиям.
      6. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем, и разработчиком информационной системы.

2. Порядок проведения аудита

      7. Аудит проводится в соответствие с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационных технологий.
      При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в сфере информационных технологий, для его проведения осуществляется в соответствии с действующим законодательством Республики Казахстан о государственных закупках, по итогам которого подписывается соответствующий договор о государственных закупках на оказание аудита.
      8. Направления аудита, состав и объем проводимых работ определяется заказчиком и прикладывается к договору в виде технической спецификации.
      При проведении аудита государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, техническая спецификация согласовывается с уполномоченным органом в сфере информатизации. При этом срок согласования составляет 10 рабочих дней со дня поступления проекта в уполномоченный орган.
      9. Аудит проводится на этапе создания, внедрения и эксплуатации информационной системы.
      10. Аудит осуществляется посредством изучения функционирования информационной системы, проведения анализа организационной структуры и архитектуры, телекоммуникационной инфраструктуры, информационных потоков, состава и структуры комплекса технических и программных средств, системы защиты информации, и предоставленных заказчиком нормативных и технических документов.
      11. Срок проведения аудита зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита со стороны заказчика и указывается в договоре.
      12. По результатам аудита готовится аудиторский отчет, содержащий подробное описание текущего состояния информационной системы, перечень, выявленных несоответствий и рекомендации по их устранению, предложений по улучшению информационной системы.
      13. Аудиторское заключение составляется по форме согласно приложению к настоящим Правилам, которое заверяется подписями лиц осуществляющих аудит и заказчика, скрепляется печатью лиц осуществляющих аудит. Аудиторское заключение составляется не менее чем в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации. Копия аудиторского заключения по государственным информационным системам, и негосударственным информационным системам, интегрируемых с государственными информационными системами заказчик передает уполномоченному органу в сфере информатизации.
      14. Аудиторское заключение носит рекомендательный характер.

Приложение       
к Правилам проведения  
аудита информационных систем

"Утверждаю"     
___________________      
      (должность, ФИО)     
"___"_________ _____ г.     

Форма     

                         Аудиторское заключение
      по результатам проведения аудита информационной системы

____________________________________________________________________
                     (наименование информационной системы)
____________________________________________________________________
                      (наименование организации заказчика)
в области __________________________________________________________
                          (область проведения аудита)
от "___" ________ 20__ г.
____________________________________________________________________
        (наименование лица, осуществляющего аудит информационных систем)
согласно договору от "___" _______ 20__ г. проведен аудит в
соответствии с Правилами проведения аудита информационных систем
(отчет о проведении аудита информационных систем с организационными,
техническими, методологическими аспектами проведенного аудита
прилагается).
      В ходе аудиторской проверки было установлено, что данная
информационная система имеет следующие оценочные показатели:
      1. ___________________________________________________________
      2. ___________________________________________________________
      3. ___________________________________________________________
что соответствует/не соответствует установленным требованиям и
стандартам в области _______________________________________________
                                (область проведения аудита)
      Рекомендации по сопровождению и развитию информационной системы
____________________________________________________________________
____________________________________________________________________

"___" _________ 20__ г.             ________________________
                                         (ФИО, подпись)

Ақпараттық жүйелердің аудитін жүргізу ережесін бекіту туралы

Қазақстан Республикасы Байланыс және ақпарат министрінің 2010 жылғы 20 тамыздағы № 200 Бұйрығы. Қазақстан Республикасы Әділет министрлігінде 2010 жылғы 14 қыркүйекте Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 6488 болып енгізілді. Күші жойылды - Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 28 қаңтардағы № 134 бұйрығымен

      Ескерту. Күші жойылды - ҚР Инвестициялар және даму министрінің м.а. 28.01.2016 № 134 (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгiзiледi) бұйрығымен.

      РҚАО-ның ескертуі!
      Бұйрықтың қолданысқа енгізілу тәртібін 5-т. қараңыз.

      «Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының 6 бабы 9) тармақшасына, 27 бабы 4 тармағына сәйкес, БҰЙЫРАМЫН:
      1. Қоса беріліп отырған Ақпараттық жүйелердің аудитін жүргізу ережесі бекітілсін.
      2. «Ақпараттық жүйелердің аудитін жүргізу ережесін бекіту туралы» Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының 2007 жылғы 31 шілдедегі № 311-п бұйрығының (нормативтік құқықтық кесімдер мемлекеттік тіркеудің тізіліміне № 4928 болып тіркелген, Қазақстан Республикасының Орталық атқарушы және өзге де орталық мемлекеттік органдарының актілер жинағында, 2007 жылғы қыркүйек айында жарияланған) күші жойылды деп танылсын.
      3. Қазақстан Республикасы Байланыс және ақпарат министрлігінің Ақпараттық технологиялар саласындағы мемлекеттік саясат департаменті (Қ.Б. Елеусізова) заңнамада белгіленген тәртіппен:
      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз етсін;
      2) осы бұйрықтың мемлекеттік тіркелуінен кейін, оның ресми жариялануын және Қазақстан Республикасы Байланыс және ақпарат министрлігінің интернет-ресурсында орналасуын қамтамасыз етсін.
      4. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасы Байланыс және ақпарат вице-министрі С.С. Сарсеновке жүктелсін.
      5. Осы бұйрық бірінші ресми жарияланған күннен бастап он күнтізбелік күн өткен соң қолданысқа енгізіледі.

      Министр                                         А. Жұмағалиев

Қазақстан Республикасы 
Байланыс және ақпарат  
министрінің 2010 жылғы 
№ 200 бұйрығымен бекітілді

Ақпараттық жүйелердің аудитін жүргізу ережесі

1. Жалпы ережелер

      1. Осы Ақпараттық жүйелердің аудитін жүргізу ережесі (бұдан әрі - Ереже) «Ақпараттандыру туралы» Қазақстан Республикасының Заңымен әзірленді және мемлекеттік, сондай-ақ мемлекеттік емес ақпараттық жүйелердің аудитін жүргізу тәртібін анықтайды.
      2. Ақпараттық жүйелердің аудиті ақпараттық жүйелердің ағымдағы жай-күйлерінің, онда болып жатқан іс-әрекеттердің және оқиғалардың белгілі бір критерийлерге, техникалық регламенттерге, стандарттарға, нормативті-техникалық құжаттамаға және (немесе) тапсырыс берушінің талаптарына сәйкестік деңгейін белгілеу, бағалау мақсатында жүзеге асырылады.
      3. Аудитті жүргізуді ақпараттық технологиялар саласында арнайы білімі мен жұмыс тәжірибесі бар тұлғалар жүзеге асырады.
      4. Аудитті тапсырыс берушісі ақпараттық жүйенің меншік иесі және (немесе) иемендеушісі, не болмаса әзірлеушісі болып табылады.
      5. Аудиттің негізгі бағыттары:
      ақпараттық жүйенің қызметі оның мақсаты мен міндеттеріне сәйкестігін;
      ақпараттық жүйені әзірлеуі, енгізуі, сүйемелдеуі және пайдалануы стандартқа сәйкестігін;
      қолданбалы бағдарламалық қамтамасыз ету және деректер қорын қосқанда ақпараттық жүйелердің қорғалу деңгейін;
      телекоммуникациялық инфрақұрылым қауіпсіздігінің жай-күйін, оның техникалық жай-күйі мен топологиясын;
      нормативтік-техникалық құжаттаманың стандарттық талаптарға сәйкестігін бағалау болып табылады.
      6. Ақпараттық жүйелердің аудитін жүргізу жөніндегі шығыстарды ақпараттық жүйенің меншік иесі және (немесе) иемендеушісі мен әзірлеушісі арасындағы келісімін шешім бойынша айқындалған тарап көтереді.

2. Аудит жүргізу тәртібі

      7. Аудит тапсырыс беруші мен ақпараттық технологиялар саласында арнайы білімі мен жұмыс тәжірибесі бар тұлғалар арасындағы шартқа сәйкес жүргізіледі.
      Мемлекеттік ақпараттық жүйелердің аудитін жүргізген, кезінде ақпараттық технологиялар саласында арнайы білімі мен жұмыс тәжірибесі бар тұлғаларды таңдау Мемлекеттік сатып алу туралы Қазақстан Республикасының қолданыстағы заңнамасына сәйкес жүзеге асырылады, оның қорытындысы бойынша аудиторлық қызметін көрсетуге мемлекеттік сатып алу туралы тиісті шартқа қол қойылады.
      8. Аудиттің бағыты, жүргізілетін жұмыстардың, құрамы мен көлемі тапсырыс берушімен анықталады және техникалық ерекшеліктер түрінде шартқа қосымша ретінде беріледі.
      Аудит жүргізу барысында мемлекеттік ақпараттық жүйелер және мемлекеттік ақпараттық жүйелермен ықпалдасатын мемлекеттік емес ақпараттық жүйелер аудитін бақылау және жүйелендіру мақсатында техникалық ерекшелік ақпараттандыру саласындағы уәкілетті органмен келісіледі. Сонымен қатар, келісу мерзімі техникалық ерекшелік уәкілетті органға келіп түскен күннен бастап 10 жұмыс күнін құрайды.
      9. Аудит ақпараттық жүйені құру, ендіру және пайдалану кезеңінде жүргізіледі.
      10. Аудит ақпараттық жүйенің қызметін зерттеу, ұйымдық құрылымына және архитектурасына, телекоммуникациялық инфрақұрылымына, ақпараттық ағымдарға, техникалық және бағдарламалық құралдар кешенінің құрамы мен құрылымына, ақпараттарды қорғау жүйесіне және берілген нормативті-техникалық құжаттарға талдау жүргізілу арқылы жүзеге асырылады.
      11. Аудит өткізу мерзімі ақпараттық жүйенің функционалдық күрделілігіне, құрылымдық құрауыштары (кіші бағдарламалары) санына, оны пайдалану (жұмыс орындарын ұйымдастыру, серверлерге қол жеткізу, өңірлік (аумақтық) ақпараттық жүйені сүйемелдеу орталықтарының болуына), және де тапсырыс беруші тарапынан аудиттің нақты мақсаттарына байланысты және шартта көрсетіледі.
      12. Аудит нәтижесі бойынша аудиторлық есеп дайындалады, құрамына ақпараттық жүйенің қазіргі жағдайының толығырақ сипаттамасы, анықталған сәйкессіздіктер тізімі және оларды жою ұсынымдары, ақпараттық жүйені жақсарту ұсыныстары кіреді.
      13. Аудиторлық қорытынды осы Ережеге қосымшаға сәйкес нысан бойынша жасалады. Бұл жұмыс тәжірибесі бар адамдардың және тапсырыс берушінің қолдарымен куәландырылады, аудит қызметін жүзеге асыратын тұлғалардың мөрімен бекітіледі. Аудиторлық қорытынды кем дегенде 2 (екі) данада жасалады, оның біреуі тапсырыс берушіге беріледі, екіншісі аудиторлық ұйымда қалады. Мемлекеттік ақпараттық жүйелермен шоғырландырылған, мемлекеттік ақпараттық жүйе және мемлекеттік емес ақпараттық жүйе бойынша аудиторлық қартындының көшірмесін тапсырыс беруші ақпараттандыру саласындағы уәкілетті органға тарсырады.
      14. Аудиторлық қорытындының кепілдемелік өзгешелігі болады.

Ақпараттық жүйелердің аудитін
жүргізу ережесіне   
      1 қосымша        

«Бекітемін»  
______________ 
(лауазымы, АТӘ)
«__»____ ____ж.

Нысан

Ақпараттық жүйелердің аудитін жүргізу нәтижелері бойынша
аудиторлық қорытынды

________________________________________________________________
                   (ақпараттық жүйенің атауы)
________________________________________________________________
                   (тапсырыс берушінің атауы)
______________________________________________________ саласында
                     (аудит өткізу саласы)
20__ ж. «___»_________
________________________________________________________________
  (ақпараттық жүйелер аудитін жүзеге асыратын тұлғаның атауы)
20__ ж. «__»_________ шартқа сәйкес ақпараттық жүйелердің аудитін жүргізу ережесіне сәйкес аудит өткізілді (ақпараттық жүйелер аудитін өткізу туралы есепке қоса, аудиттің ұйымдастырушылық, техникалық, әдістемелік аспектілері беріледі).
      Аудиторлық тексеру барысында осы ақпараттық жүйе мынадай бағалау көрсеткіштеріне ие екені анықталды:
_____________________________________________________ саласындағы                         (аудит өткізу саласы)
белгіленген талаптар және стандартқа сәйкес/сәйкес емес
      1.______________________________________________
      2.______________________________________________
      3.______________________________________________

      Ақпараттық жүйені сүйемелдеу және дамыту жөніндегі ұсынымдар
_________________________________________________________________
_________________________________________________________________

      «__»_______20__ ж.                       ___________________
                                                  (Т.А.Ә, қолы)