В соответствии с подпунктом 9) статьи 6, пунктом 4 статьи 27 Закона Республики Казахстан от 11 января 2007 года "Об информатизации", ПРИКАЗЫВАЮ:
Внимание! Документ утратил силу с 21.03.2016
Об утверждении Правил проведения аудита информационных систем Приказ Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200.
Настоящий Приказ утратил силу с 21 марта 2016 года в соответствии с Приказом и.о. Министра по инвестициям и развитию РК от 28.01.2016 г. № 134
1. Утвердить прилагаемые Правила проведения аудита информационных систем.
2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 31 июля 2007 года № 311-п "Об утверждении Правил проведения аудита информационных систем" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов № 4928, опубликованный в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан, 2007 г., июль-сентябрь).
3. Департаменту государственной политики в области информационных технологий Министерства связи и информации Республики Казахстан (Елеусизова К.Б.) в установленном законодательством порядке:
1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Министерства связи и информации Республики Казахстан.
4. Контроль за исполнением настоящего приказа возложить на вице-министра связи и информации Республики Казахстан Сарсенова С.С.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр А. Жумагалиев
Утверждены приказом Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200
Правила проведения аудита информационных систем
1. Общие положения
1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с Законом Республики Казахстан "Об информатизации" и определяют порядок проведения аудита как государственных, так и негосударственных информационных систем.
2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, устанавливающих уровень их соответствия определенным критериям, техническим регламентам, стандартам, нормативно-технической документации и (или) требованиям заказчика.
3. Проведение аудита осуществляется лицами, обладающими специальными знаниями и опытом работы в сфере информационных технологий.
4. Заказчиком аудита является собственник и (или) владелец, и (или) разработчик информационной системы.
5. Основными направлениями аудита являются оценка:
соответствия функций информационной системы целям и задачам;
соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам;
уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;
состояния телекоммуникационной инфраструктуры ее технического состояния и топологии;
соответствия нормативно-технической документации стандартным требованиям.
6. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем, и разработчиком информационной системы.
2. Порядок проведения аудита
7. Аудит проводится в соответствие с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационных технологий.
При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в сфере информационных технологий, для его проведения осуществляется в соответствии с действующим законодательством Республики Казахстан о государственных закупках, по итогам которого подписывается соответствующий договор о государственных закупках на оказание аудита.
8. Направления аудита, состав и объем проводимых работ определяется заказчиком и прикладывается к договору в виде технической спецификации.
При проведении аудита государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, техническая спецификация согласовывается с уполномоченным органом в сфере информатизации. При этом срок согласования составляет 10 рабочих дней со дня поступления проекта в уполномоченный орган.
9. Аудит проводится на этапе создания, внедрения и эксплуатации информационной системы.
10. Аудит осуществляется посредством изучения функционирования информационной системы, проведения анализа организационной структуры и архитектуры, телекоммуникационной инфраструктуры, информационных потоков, состава и структуры комплекса технических и программных средств, системы защиты информации, и предоставленных заказчиком нормативных и технических документов.
11. Срок проведения аудита зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита со стороны заказчика и указывается в договоре.
12. По результатам аудита готовится аудиторский отчет, содержащий подробное описание текущего состояния информационной системы, перечень, выявленных несоответствий и рекомендации по их устранению, предложений по улучшению информационной системы.
13. Аудиторское заключение составляется по форме согласно приложению к настоящим Правилам, которое заверяется подписями лиц осуществляющих аудит и заказчика, скрепляется печатью лиц осуществляющих аудит. Аудиторское заключение составляется не менее чем в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации. Копия аудиторского заключения по государственным информационным системам, и негосударственным информационным системам, интегрируемых с государственными информационными системами заказчик передает уполномоченному органу в сфере информатизации.
14. Аудиторское заключение носит рекомендательный характер.
Приложение к Правилам проведения аудита информационных систем
"Утверждаю" ___________________ (должность, ФИО) "___"_________ _____ г.
Форма
Аудиторское заключение
по результатам проведения аудита информационной системы
____________________________________________________________________
(наименование информационной системы)
____________________________________________________________________
(наименование организации заказчика)
в области __________________________________________________________
(область проведения аудита)
от "___" ________ 20__ г.
____________________________________________________________________
(наименование лица, осуществляющего аудит информационных систем)
согласно договору от "___" _______ 20__ г. проведен аудит в
соответствии с Правилами проведения аудита информационных систем
(отчет о проведении аудита информационных систем с организационными,
техническими, методологическими аспектами проведенного аудита
прилагается).
В ходе аудиторской проверки было установлено, что данная
информационная система имеет следующие оценочные показатели:
1. ___________________________________________________________
2. ___________________________________________________________
3. ___________________________________________________________
что соответствует/не соответствует установленным требованиям и
стандартам в области _______________________________________________
(область проведения аудита)
Рекомендации по сопровождению и развитию информационной системы
____________________________________________________________________
____________________________________________________________________
"___" _________ 20__ г. ________________________
(ФИО, подпись)
Полная версия