Об утверждении Правил проведения аудита информационных систем

Приказ Министра информации и коммуникаций Республики Казахстан от 13 июня 2018 года № 263. Зарегистрирован в Министерстве юстиции Республики Казахстан 29 июня 2018 года № 17141.

      В соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила проведения аудита информационных систем.

      2. Признать утратившим силу приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 134 "Об утверждении Правил проведения аудита информационных систем" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 13258, опубликован 10 марта 2016 года в информационно-правовой системе "Әділет").

      3. Департаменту информатизации Министерства информации и коммуникаций Республики Казахстан в установленном законодательном порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства информации и коммуникаций Республики Казахстан;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства информации и коммуникаций Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра информации и коммуникаций Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр информации
и коммуникаций Республики Казахстан
Д. Абаев

      "СОГЛАСОВАН"
Министр оборонной и аэрокосмической
промышленности Республики Казахстан
Б. Атамкулов
"__" _________ 2018 год

  Утверждены
приказом Министра
информации и коммуникаций
Республики Казахстан
от 13 июня 2018 года № 263

Правила проведения аудита информационных систем

Глава 1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее – Правила) разработаны в соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения аудита информационных систем.

      2. В настоящих правилах используются следующие понятия:

      1) владелец объектов информатизации – субъект, которому собственник объектов информатизации предоставил права владения и пользования объектами информатизации в определенных законом или соглашением пределах и порядке;

      2) аудит информационной системы – независимое обследование информационной системы в целях повышения эффективности ее использования;

      3) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      4) уполномоченный орган в сфере информатизации (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере информатизации и "электронного правительства";

      5) нормативно-техническая документация – совокупность документов, определяющих общие задачи, принципы и требования к созданию и использованию (эксплуатации) объектов информатизации, а также контролю их соответствия установленным требованиям в сфере информатизации.

      3. Аудит информационной системы осуществляется с целью:

      1) получения оценки текущего состояния информационной системы, действий и событий, происходящих в них, определяющих уровень их соответствия техническим регламентам, стандартам в сфере информатизации;

      2) установления соответствия нормативно-технической документации требованиям заказчика, а также требованиям информационной безопасности.

      4. Задачами аудита информационных систем являются:

      1) оценка соответствия Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее – единые требования).

      2) анализ и оценка разработки политик безопасности и других организационно-распорядительных документов по защите информационных систем;

      3) анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;

      4) оценка постановки задач для персонала, касающихся обеспечения защиты информации;

      5) оценка участия в разборе инцидентов, связанных с нарушением информационной безопасности;

      6) локализация уязвимых мест в системе защиты информационных систем;

      7) определение степени участия в обучении пользователей и обслуживающего персонала информационных систем вопросам обеспечения информационной безопасности;

      8) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.

      9) оценка соответствия функций информационной системы его целям и задачам;

      10) оценка соответствия создания, внедрения и эксплуатации информационной системы техническим регламентам, стандартам в сфере информатизации;

      11) оценка уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;

      12) оценка состояния информационно-коммуникационной инфраструктуры ее технического состояния и топологии;

      13) оценка соответствия нормативно-технической документации требованиям законодательства Республики Казахстан в сфере информатизации.

Глава 2. Порядок проведения аудита информационных систем

      5. Аудит информационных систем проводится на этапе создания, внедрения и эксплуатации информационных систем по инициативе собственника или владельца информационных систем.

      6. Проведение аудита информационных систем осуществляется физическими (или) юридическими лицами, обладающими специальными знаниями и опытом работы в области информационно-коммуникационных технологий (далее – аудитор).

      7. Аудит информационных систем в защищенном исполнении, отнесенных к государственным секретам, не проводится.

      8. Заказчиком аудита информационных систем является собственник и (или) владелец информационной системы.

      9. Аудит информационных систем проводится в соответствии с договором между заказчиком и аудитором.

      10. Срок проведения аудита информационной системы зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита информационной системы со стороны заказчика и указывается в договоре.

      11. При проведении аудита информационных систем государственных юридических лиц выбор аудитора осуществляется в соответствии с Законом Республики Казахстан от 4 декабря 2015 года "О государственных закупках".

      12. Работы по аудиту информационных систем включают в себя ряд последовательных этапов:

      инициирование процедуры аудита информационных систем;

      сбор информации аудита информационных систем;

      анализ данных аудита информационных систем;

      выработка рекомендаций;

      подготовка и подписание заключения.

      13. К видам работ по аудиту информационных систем относятся:

      проведение анализа экспертным методом;

      оценка соответствия рекомендациям стандартов по информационной безопасности и единым требованиям;

      инструментальное обследование компонентов информационных систем.

      14. В ходе проведения анализа экспертным методом выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования.

      15. В качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты, используются стандарты СТ РК ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью" и СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники Защита от несанкционированного доступа к информации. Общие технические требования".

      16. При инструментальном обследовании компонентов информационных систем компоненты направляются на выявление и устранение уязвимостей программно-аппаратного обеспечения системы.

      17. Оформление результатов аудита информационных систем включает:

      1) оценку соответствия стандартам СТ РК ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью" и СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники

      Защита от несанкционированного доступа к информации

      Общие технические требования";

      2) подведение результатов инструментального обследования;

      3) выработку рекомендаций;

      4) подготовку заключения.

      18. Со дня окончания аудита информационной системы готовится аудиторское заключение (далее – заключение) в срок не более 30 календарных дней по форме согласно приложению к настоящим Правилам.

      19. Заключение составляется на казахском и русском языках в двух экземплярах, один из которых передается заказчику, второй остается у аудитора.

      20. Заключение носит рекомендательный характер.

  Приложение
к Правилам проведения аудита
информационных систем
  Форма

                  Аудиторское заключение по результатам проведения аудита
                                    информационной системы

      _______________________________________________________________________________
                        (наименование информационной системы)
_______________________________________________________________________________
                  (наименование организации заказчика)
в области _______________________________________________________________________
                        (область проведения аудита)
от "___" ________ 20__ года
________________________________________________________________________________
            (фамилия, имя, отчество (при его наличии) физического лица и (или)
      наименование юридического лица, осуществляющего аудит информационных систем)
согласно договору от "___" _______ 20__ года
проведен аудит в соответствии с Правилами проведения аудита информационных систем, в ходе аудиторской проверки
было установлено, что данная информационная система имеет следующие оценочные показатели:
1. _______________________________________________________________________________
2. _____________________________________________________________________________
3. _____________________________________________________________________________
что соответствует/не соответствует установленным требованиям и стандартам в области
_______________________________________________________________________________
                        (область проведения аудита)
Рекомендации по сопровождению и развитию информационной системы
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
                  (фамилия, имя, отчество (при его наличии), подпись)
"___" _________ 20__ года
Место для печати
(при ее наличии)

Ақпараттық жүйелердің аудитін жүргізу қағидаларын бекіту туралы

Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2018 жылғы 13 маусымдағы № 263 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 29 маусымда № 17141 болып тіркелді.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 7-бабының 22) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық жүйелердің аудитін жүргізу қағидалары бекітілсін.

      2. "Ақпараттық жүйелердің аудитін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 134 бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13258 болып тіркелген, 2016 жылғы 10 наурызда "Әділет" ақпараттық-құқықтық жүйесінде жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің Ақпараттандыру департаменті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде ресми жариялау және енгізу үшін жіберуді;

      3) осы бұйрықты Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің интернет-ресурсында орналастыруды;

      4) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің Заң департаментіне ұсынуды қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Ақпарат және коммуникациялар вице-министріне жүктелсін.

      5. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Ақпарат және коммуникациялар министрі
Д. Абаев

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Қорғаныс және аэроғарыш

      өнеркәсібі министрі

      Б. Атамқұлов

      2018 жылғы "__"_________

  Қазақстан Республикасы
Ақпарат және коммуникациялар
министрінің 2018 жылғы
13 маусымдағы № 263
бұйрығымен бекітілген

Ақпараттық жүйелердің аудитін жүргізу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық жүйелердің аудитін жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 7-бабының 22) тармақшасына (бұдан әрі – Заң) сәйкес әзірленді және ақпараттық жүйелерге аудит жүргізу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай ұғымдар пайдаланылады:

      1) ақпараттандыру объектілерінің иеленушісі – ақпараттандыру объектілерінің меншік иесі заңда немесе келісімде айқындалған шектерде және тәртіппен ақпараттандыру объектілерін иелену және пайдалану құқықтарын берген субъект;

      2) ақпараттық жүйенің аудиті – ақпаратық жүйені пайдалану тиімділігін арттыру мақсатында оны тәуелсіз зерттеп-қарау;

      3) ақпараттық-коммуникациялық инфрақұрылым – электрондық ақпараттық ресурстарды қалыптастыру және оларға қол жеткізуді ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      4) ақпараттандыру саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттандыру және "электрондық үкімет" саласында басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган.

      5) нормативтік-техникалық құжаттама – ақпараттандыру объектілерін құруға және пайдалануға (іске қосуға), сондай-ақ олардың ақпараттандыру саласындағы белгіленген талаптарға сәйкестігін бақылауға қойылатын жалпы міндеттерді, қағидаттар мен талаптарды айқындайтын құжаттар жиынтығы.

      3. Ақпараттық жүйенің аудиті:

      1) ақпараттық жүйенің ағымдағы жай-күйінің, онда болып жатқан олардың ақпараттандыру саласындағы техникалық регламенттерге, стандарттарға сәйкестік деңгейін айқындайтын әрекеттер мен оқиғалардың бағасын алу;

      2) нормативтік-техникалық құжаттаманың тапсырыс берушінің талаптарына, сондай-ақ ақпараттық қауіпсіздік талаптарына сәйкестігін белгілеу мақсатында жүзеге асырылады.

      4. Ақпараттық жүйелер аудитінің міндеттері:

      1) Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (бұдан әрі – бірыңғай талаптар) сәйкестігін бағалау;

      2) ақпараттық жүйелерді қорғау жөніндегі қауіпсіздік саясатының әзірлемелерін және басқа да ұйымдастырушылық-өкімдік құжаттарды талдау және бағалау;

      3) ақпараттық жүйелер ресурстарына қатысты қауіпсіздік қатерлерін жүзеге асыру мүмкіндігіне байланысты тәуекелдерді талдау;

      4) ақпаратты қорғауды қамтамасыз етуге қатысты персонал үшін міндеттердің қойылымын бағалау;

      5) ақпараттық қауіпсіздікті бұзуға байланысты тосын оқиғаларды шешуге қатысуды бағалау;

      6) ақпараттық жүйелерді қорғау жүйесінде осал жерлерді оқшаулау;

      7) ақпараттық жүйелерді пайдаланушылар мен қызмет көрсететін персоналды ақпараттық қауіпсіздікті қамтамасыз ету мәселелеріне оқытуға қатысу дәрежесін айқындау;

      8) жаңа ақпараттық жүйелерді енгізу және ақпараттық жүйелердің қолданыстағы қауіпсіздік тетіктерінің тиімділігін арттыру жөнінде ұсынымдар әзірлеу;

      9) ақпараттық жүйе функцияларының оның мақсаттары мен міндеттеріне сәйкестігін бағалау;

      10) ақпараттық жүйені әзірлеудің, енгізу мен пайдаланудың ақпараттандыру саласындағы техникалық регламенттерге, стандарттарға сәйкестігін бағалау;

      11) қолданбалы бағдарламалық қамтылымды және деректер базасын қоса алғанда, ақпараттық жүйелердің қорғалу деңгейін бағалау;

      12) ақпараттық-коммуникациялық инфрақұрылымның жай-күйін, оның техникалық жай-күйі мен топологиясын бағалау;

      13) нормативтік-техникалық құжаттаманың Қазақстан Республикасының ақпараттандыру саласындағы заңнамасының талаптарына сәйкестігін бағалау болып табылады.

2-тарау. Ақпараттық жүйелердің аудитін жүргізу тәртібі

      5. Ақпараттық жүйелердің аудиті ақпараттық жүйелердің меншік иесінің немесе иеленушісінің бастамасы бойынша ақпараттық жүйелерді жасау, енгізу және пайдалану кезеңінде жүргізіледі.

      6. Ақпараттық жүйелердің аудитін жүргізуді ақпараттық-коммуникациялық технологиялар саласында арнайы білімі және жұмыс тәжірибесі бар жеке немесе заңды тұлғалар (бұдан әрі – аудитор) жүзеге асырады.

      7. Мемлекеттік құпияларға жатқызылған, қорғалып орындалатын ақпараттық жүйелердің аудиті жүргізілмейді.

      8. Ақпараттық жүйелер аудитінің тапсырыс берушісі ақпараттық жүйенің меншік иесі және (немесе) иеленушісі болып табылады.

      9. Ақпараттық жүйелердің аудиті тапсырыс беруші мен аудитор арасындағы шартқа сәйкес жүргізіледі.

      10. Ақпараттық жүйенің аудитін жүргізу мерзімі ақпараттық жүйенің функционалдық күрделілігіне, құрылымдық компоненттердің (кіші бағдарламалардың) санына, оны пайдалану (жұмыс орындарын ұйымдастыру, серверлерге қол жеткізу, өңірлік (аумақтық) ақпараттық жүйені сүйемелдеу орталықтарының болуы) шарттарына, сондай-ақ тапсырыс беруші тарапынан ақпараттық жүйе аудитінің нақты мақсаттарына байланысты болады және шартта көрсетіледі.

      11. Мемлекеттік заңды тұлғалардың ақпараттық жүйелерінің аудитін жүргізген кезде аудиторды таңдау "Мемлекеттік сатып алу туралы" 2015 жылғы 4 желтоқсандағы Қазақстан Республикасының Заңына сәйкес жүзеге асырылады.

      12. Ақпараттық жүйелердің аудиті бойынша жұмыстар бірқатар сатылы кезеңдерді:

      ақпараттық жүйелердің аудиті рәсіміне бастамашылық жасауды;

      ақпараттық жүйелер аудитінің ақпаратын жинауды;

      ақпараттық жүйелер аудитінің деректерін талдауды;

      ұсынымдар әзірлеуді;

      қорытынды дайындауды және қол қоюды қамтиды.

      13. Ақпараттық жүйелер аудиті бойынша жұмыстардын түрлеріне:

      талдауды сараптамалық әдіспен жүргізу;

      ақпараттық қауіпсіздік жөніндегі стандарттардың ұсынымдарына және бірыңғай талаптарға сәйкестігін бағалау;

      ақпараттық жүйелердің компоненттерін ақпараттық зерттеп-қарау жатады.

      14. Сараптамалық әдіспен талдау жүргізу барысында зерттеп-қарау рәсіміне қатысатын сарапшылардың тәжірибесі негізінде ақпаратты қорғау шаралары жүйесіндегі кемшіліктер анықталады.

      15. Әкімшілік, рәсімдік және физикалық қорғау шараларын қоса алғанда, ұйымдастыру деңгейінің қауіпсіздік тетіктерін бағалау үшін өлшемшарттар ретінде ҚР СТ ИСО/МЭК 27002-2015 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары жөніндегі қағидалар жиынтығы және ҚР СТ МЕМСТ Р 50739-2006 "Есептеу техникасының құралдары. Ақпаратқа санкцияланбаған қол жеткізуден қорғау. Жалпы техникалық талаптар" стандарттары пайдаланылады.

      16. Ақпараттық жүйелердің компоненттерін аспаптық зерттеп-қарау кезінде компоненттер жүйенің бағдарламалық-аппараттық қамтылымының осалдықтарын анықтауға және жоюға бағытталады.

      17. Ақпараттық жүйелер аудиті нәтижелерін ресімдеу:

      1) ҚР СТ ИСО/МЭК 27002-2015 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары бойынша қағидалар жиынтығы" және ҚР СТ МЕМСТ Р 50739-2006 "Есептеу техникасының құралдары. Ақпаратқа санкцияланбаған қол жеткізуді қорғау. Жалпы техникалық талаптар" стандарттарына сәйкестігін бағалауды;

      2) аспаптық зерттеп-қарау нәтижелерін шығаруды;

      3) ұсынымдар әзірлеуді;

      4) қорытынды дайындауды қамтиды.

      18. Ақпараттық жүйенің аудиті аяқталған күннен бастап күнтізбелік 30 күннен аспайтын мерзімде осы Қағидаларға қосымшаға сәйкес нысан бойынша аудиторлық қорытынды (бұдан әрі – қорытынды) дайындалады.

      19. Қорытынды қазақ және орыс тілдерінде екі данада жасалады, оның біреуі тапсырыс берушіге беріледі, екіншісі аудиторда қалады.

      20. Қорытынды ұсынымдық сипатта болады.

  Ақпараттық жүйелердің аудитін
жүргізу қағидаларына
қосымша
Нысан

Ақпараттық жүйелердің аудитін жүргізу нәтижелері бойынша аудиторлық қорытынды

      ___________________________________________________________________

      ________________________(ақпараттық жүйенің атауы)

      ___________________________________________________________________

      (тапсырыс беруші ұйымның атауы)

      ___________________________________________________________________

      ____________________________________________________________саласында

      (аудит жүргізу саласы)

      20__жылғы "__"_________

      ____________________________________________________________________

      ____________________________________________________________________

      (ақпараттық жүйелердің аудитін жүзеге асыратын жеке тұлғаның және (немесе)

      заңды тұлғаның тегі, аты, әкесінің аты (бар болған жағдайда)

      ____________________________________________________________________

      20_ жылғы "__" _________ шартқа сәйкес Ақпараттық жүйелердің аудитін

      жүргізу қағидаларына сәйкес аудит жүргізіледі. Аудиторлық тексеру

      барысында осы ақпараттық жүйе мынадай бағалау көрсеткіштеріне ие екені

      анықталады:

      1.___________________________________________________________________

      2. __________________________________________________________________

      3. __________________________________________________________________

      _________________________________________________________саласындағы

      (аудитті жүргізу саласы)

      белгіленген талаптар мен стандарттарға сәйкес келеді/сәйкес

      келмейді____________________________________________________________

      Ақпараттық жүйені сүйемелдеу және дамыту жөніндегі ұсынымдар

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      20__жылғы"__"__________

      ____________________________________________________________________

      (тегі, аты, әкесінің аты (бар болған жағдайда), қолы)

      Мөр (бар болған жағдайда) орны