В соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила проведения аудита информационных систем.
2. Признать утратившим силу приказ Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200 «Об утверждении Правил проведения аудита информационных систем» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 6488, опубликованный 6 ноября 2010 года в газете «Казахстанская правда» и 9 ноября 2010 года в газете «Егемен Қазақстан»).
3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Қазанғап Т.Б.) обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) направление копии настоящего приказа в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему «Әділет» в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканский центр правовой информации в течение десяти календарных дней со дня получения зарегистрированного приказа для включения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего приказа.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Исполняющий обязанности
Министра по инвестициям и развитию,
Республики Казахстан Ж. Касымбек
Утверждены
приказом исполняющего
обязанности Министра
по инвестициям и развитию
Республики Казахстан
от 28 января 2016 года № 134
Правила проведения аудита информационных систем
1. Общие положения
1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с подпунктом 22) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» (далее - Закон) и определяют порядок проведения аудита как информационных систем государственных органов, так и негосударственных информационных систем.
2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, определяющих уровень их соответствия техническим регламентам, стандартам в сфере информатизации, нормативно-технической документации и (или) требованиям заказчика, а также требованиям информационной безопасности.
3. В настоящих правилах используются следующие понятия:
1) аудит информационной системы – независимое обследование информационной системы в целях повышения эффективности ее использования;
2) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
3) уполномоченный орган в сфере информатизации (далее - уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере информатизации и «электронного правительства»;
4) нормативно-техническая документация – совокупность документов, определяющих общие задачи, принципы и требования к созданию и использованию (эксплуатации) объектов информатизации, а также контролю их соответствия установленным требованиям в сфере информатизации.
4. Аудит информационных систем проводится на этапе создания, внедрения и эксплуатации информационных систем по инициативе собственника или владельца информационных систем.
5. Проведение аудита информационных систем осуществляется физическим и (или) юридическим лицами, обладающими специальными знаниями и опытом работы в области информационно-коммуникационных технологий.
6. Аудит информационных систем в защищенном исполнении, отнесенных к государственным секретам, не проводятся.
7. Заказчиком аудита информационных систем является собственник и (или) владелец информационной системы.
8. Основными направлениями аудита информационных систем являются оценка:
1) соответствия функций информационной системы его целям и задачам;
2) соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам в сфере информатизации;
3) уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;
4) состояния информационно-коммуникационной инфраструктуры ее технического состояния и топологии;
5) соответствия нормативно-технической документации стандартным требованиям;
6) соответствия требованиям информационной безопасности.
9. Аудит информационных систем проводится в соответствии с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационно-коммуникационных технологий.
10. При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в области информационно-коммуникационных технологий, осуществляется в соответствии с главой 4 Закона Республики Казахстан от 4 декабря 2015 года «О государственных закупках», по итогам которого подписывается соответствующий договор о государственных закупках на проведение аудита информационных систем.
11. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем информационной системы.
12. Срок проведения аудита информационный системы зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита информационный системы со стороны заказчика и указывается в договоре.
13. По результатам аудита информационный системы готовится аудиторское заключение по результатам проведения аудита информационной системы (далее – заключение) по форме, согласно приложению к настоящим Правилам.
14. Заключение заверяется подписями лиц осуществляющих аудит информационных систем и заказчика, скрепляется печатью лиц осуществляющих аудит информационных систем.
15. Заключение составляется на государственном и русском языках в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации.
16. Копия заключения по информационным системам государственных органов, и негосударственным информационным системам, интегрируемых с информационными системами государственных органов заказчик передает уполномоченному органу в сфере информатизации.
17. Заключение носит рекомендательный характер.
2. Порядок проведения аудита информационных систем
18. Назначением и основными целями аудита информационных систем являются:
1) получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов;
2) получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности;
3) оценка возможного ущерба от несанкционированных действий;
4) разработка требований к построению системы защиты информации;
5) определение зон ответственности сотрудников подразделений;
6) разработка порядка и последовательности внедрения системы информационной безопасности.
19. Задачами аудита информационных систем являются:
1) анализ и оценка разработки политик безопасности и других организационно-распорядительных документом по защите информационных систем;
2) анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;
3) оценка постановки задач для персонала, касающихся обеспечения защиты информации;
4) оценка участия в разборе инцидентов, связанных с нарушением информационной безопасности;
5) локализация уязвимых мест в системе защиты информационных систем;
6) определение степени участия в обучении пользователей и обслуживающего персонала информационных систем вопросам обеспечения информационной безопасности;
7) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.
20. Работы по аудиту информационных систем включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения аудита информационных систем, который включает в себя следующее:
1) инициирование процедуры аудита информационных систем;
2) сбор информации аудита информационных систем;
3) анализ данных аудита информационных систем;
4) выработка рекомендаций;
5) подготовка заключения.
21. К основным видам работ по аудиту информационных систем относятся:
1) проведение анализа экспертным методом;
2) оценка соответствия рекомендациям стандартов по информационной безопасности и единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утверждаемым в соответствии с подпунктом 3) статьи 6 Закона;
3) инструментальное обследование компонентов информационных систем.
22. В ходе проведения анализа экспертным методом выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования.
23. В качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты используются стандарты СТ РК ИСО/МЭК 27001-2008 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования», СТ РК ИСО/МЭК 27002-2009 «Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации» и СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники Защита от несанкционированного доступа к информации Общие технические требования».
24. По стандартам СТ РК ИСО/МЭК 27001-2008 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования», СТ РК ИСО/МЭК 27002-2009 «Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации» к основным ключевым критериям аудита информационных систем относятся следующие разделы:
1) политика безопасности;
2) организация защиты;
3) классификация ресурсов и их контроль;
4) безопасность персонала;
5) физическая безопасность;
6) администрирование информационных систем и вычислительных сетей;
7) управление доступом;
8) разработка и сопровождение информационных систем;
9) планирование бесперебойной работы организации;
10) контроль выполнения требований политики безопасности.
25. По СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники Защита от несанкционированного доступа к информации Общие технические требования» к основным ключевым критериям аудита информационных систем относятся:
1) реализация основных требований к разграничению доступа (дискретизационный принцип контроля доступа);
2) реализация мандатного принципа контроля доступом;
3) реализация идентификации и аутентификации доступа пользователей;
4) показатель регистрация;
5) маркировка документов;
6) основные требования к гарантиям;
7) требования к документации.
26. При инструментальном обследовании компонентов информационных систем они направляются на выявление и устранение уязвимостей программно-аппаратного обеспечения системы.
27. Оформление результатов аудита информационных систем включает:
1) оценку соответствия стандартам СТ РК ИСО/МЭК 27001-2008 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования», СТ РК ИСО/МЭК 27002-2009 «Информационные технологии.
Средства обеспечения. Свод правил по управлению защитой информации» и СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники
Защита от несанкционированного доступа к информации
Общие технические требования»;
2) результаты инструментального обследования;
3) выработку рекомендаций;
4) подготовку заключения.
Приложение
к Правилам проведения
аудита информационных систем
Форма
Аудиторское заключение
по результатам проведения аудита информационной системы
_____________________________________________________________________
(наименование информационной системы)
_____________________________________________________________________
(наименование организации заказчика)
в области _______ ___________________________________________________
(область проведения аудита)
от «___» ________ 20__ г.
_____________________________________________________________________
(наименование лица, осуществляющего аудит информационных систем)
согласно договору от «___» _______ 20__ г. проведен аудит в
соответствии с Правилами проведения аудита информационных систем
(отчет о проведении аудита информационных систем с организационными,
техническими, методологическими аспектами проведенного аудита
прилагается).
В ходе аудиторской проверки было установлено, что данная
информационная система имеет следующие оценочные показатели:
1. ____________________________________________________________
2. ____________________________________________________________
3. ____________________________________________________________
что соответствует/не соответствует установленным требованиям и
стандартам в области ________________________________________________
(область проведения аудита)
Рекомендации по сопровождению и развитию информационной системы
_____________________________________________________________________
_____________________________________________________________________
"___" _________ 20__ г. ________________________
(ФИО, подпись)