Об утверждении Правил проведения аудита информационных систем

Об утверждении Правил проведения аудита информационных систем

      В соответствии с подпунктом 9) статьи 6, пунктом 4 статьи 27 Закона Республики Казахстан от 11 января 2007 года "Об информатизации", ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила проведения аудита информационных систем.

      2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 31 июля 2007 года № 311-п "Об утверждении Правил проведения аудита информационных систем" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов № 4928, опубликованный в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан, 2007 г., июль-сентябрь).

      3. Департаменту государственной политики в области информационных технологий Министерства связи и информации Республики Казахстан (Елеусизова К.Б.) в установленном законодательством порядке:

      1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Министерства связи и информации Республики Казахстан.

      4. Контроль за исполнением настоящего приказа возложить на вице-министра связи и информации Республики Казахстан Сарсенова С.С.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр

А. Жумагалиев

Утверждены

приказом Министра связи и информации

Республики Казахстан

от 20 августа 2010 года № 200

Правила проведения аудита информационных систем

1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с Законом Республики Казахстан "Об информатизации" и определяют порядок проведения аудита как государственных, так и негосударственных информационных систем.

      2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, устанавливающих уровень их соответствия определенным критериям, техническим регламентам, стандартам, нормативно-технической документации и (или) требованиям заказчика.

      3. Проведение аудита осуществляется лицами, обладающими специальными знаниями и опытом работы в сфере информационных технологий.

      4. Заказчиком аудита является собственник и (или) владелец, и (или) разработчик информационной системы.

      5. Основными направлениями аудита являются оценка:

      соответствия функций информационной системы целям и задачам;

      соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам;

      уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;

      состояния телекоммуникационной инфраструктуры ее технического состояния и топологии;

      соответствия нормативно-технической документации стандартным требованиям.

      6. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем, и разработчиком информационной системы.

2. Порядок проведения аудита

      7. Аудит проводится в соответствие с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационных технологий.

      При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в сфере информационных технологий, для его проведения осуществляется в соответствии с действующим законодательством Республики Казахстан о государственных закупках, по итогам которого подписывается соответствующий договор о государственных закупках на оказание аудита.

      8. Направления аудита, состав и объем проводимых работ определяется заказчиком и прикладывается к договору в виде технической спецификации.

      При проведении аудита государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, техническая спецификация согласовывается с уполномоченным органом в сфере информатизации. При этом срок согласования составляет 10 рабочих дней со дня поступления проекта в уполномоченный орган.

      9. Аудит проводится на этапе создания, внедрения и эксплуатации информационной системы.

      10. Аудит осуществляется посредством изучения функционирования информационной системы, проведения анализа организационной структуры и архитектуры, телекоммуникационной инфраструктуры, информационных потоков, состава и структуры комплекса технических и программных средств, системы защиты информации, и предоставленных заказчиком нормативных и технических документов.

      11. Срок проведения аудита зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита со стороны заказчика и указывается в договоре.

      12. По результатам аудита готовится аудиторский отчет, содержащий подробное описание текущего состояния информационной системы, перечень, выявленных несоответствий и рекомендации по их устранению, предложений по улучшению информационной системы.

      13. Аудиторское заключение составляется по форме согласно приложению к настоящим Правилам, которое заверяется подписями лиц осуществляющих аудит и заказчика, скрепляется печатью лиц осуществляющих аудит. Аудиторское заключение составляется не менее чем в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации. Копия аудиторского заключения по государственным информационным системам, и негосударственным информационным системам, интегрируемых с государственными информационными системами заказчик передает уполномоченному органу в сфере информатизации.

      14. Аудиторское заключение носит рекомендательный характер.

Приложение

к Правилам проведения

аудита информационных систем

"Утверждаю"

___________________

      (должность, ФИО)

"___"_________ _____ г.

Форма

Аудиторское заключение по результатам проведения аудита информационной системы

____________________________________________________________________

                     (наименование информационной системы)

____________________________________________________________________

                      (наименование организации заказчика)

в области __________________________________________________________

                          (область проведения аудита)

от "___" ________ 20__ г.

____________________________________________________________________

        (наименование лица, осуществляющего аудит информационных систем)

согласно договору от "___" _______ 20__ г. проведен аудит в

соответствии с Правилами проведения аудита информационных систем

(отчет о проведении аудита информационных систем с организационными,

техническими, методологическими аспектами проведенного аудита

прилагается).

      В ходе аудиторской проверки было установлено, что данная

информационная система имеет следующие оценочные показатели:

      1. ___________________________________________________________

      2. ___________________________________________________________

      3. ___________________________________________________________

что соответствует/не соответствует установленным требованиям и

стандартам в области _______________________________________________

                                (область проведения аудита)

      Рекомендации по сопровождению и развитию информационной системы

____________________________________________________________________

____________________________________________________________________

"___" _________ 20__ г.             ________________________

                                         (ФИО, подпись)