Приложение 5
к приказу и.о. Министра
образования и науки
Республики Казахстан
от 5 ноября 2018 года № 613
Правила проведения внутреннего аудита ИБ
1. Проведение аудита
Правила проведения внутреннего аудита ИБ Министерства образования и науки Республики Казахстан и ее мониторинга (далее - Правила) определяют порядок проведения проверок на соответствие требованиям информационной безопасности и работ по мониторингу информационной безопасности.
2. В Правилах используются понятия и определения, принятые в стандартах СТ РК 34.005-2002, СТ РК 34.006-2002, СТ РК 34.007-2002.
3. Проверки на предмет исполнения и соблюдения требований информационной безопасности разделяют на следующие виды проверок:
1) проверка ресурсов информационных систем, корпоративной вычислительной сети с целью подготовки технического задания на проектирование и разработку системы защиты информации;
2) проверка информационных систем, корпоративной вычислительной сети, после внедрения системы безопасности для оценки уровня ее эффективности;
3) профилактическая регулярная проверка, направленная на приведение действующей системы безопасности в соответствие требованиям нормативных правовых актов Республики Казахстан;
4) проверка, предназначенная для систематизации и упорядочивания существующих мер защиты информации;
5) проверка (служебное расследование) в целях расследования произошедшего инцидента, связанного с нарушением требований информационной безопасности;
6) совместная проверка, проводимая с другими государственными органами Республики Казахстан.
4. Проверки на предмет исполнения и соблюдения требований информационной безопасности подразделяются на плановые и внеплановые.
5. Плановые проверки на предмет исполнения и соблюдения требований информационной безопасности проводятся согласно утвержденному графику плановых проверок, который составляется ежегодно структурным подразделением, уполномоченным по обеспечению информационной безопасности (далее - УИБ) и утверждается Вице-министром по цифровизации Министерства образования и науки Республики Казахстан.
6. Процедура проведения плановой проверки включает в себя следующие мероприятия:
1) перед началом проверки, УИБ вручает объекту проверки уведомление на проверку согласно приложению 1;
2) в уведомлении на проверку указываются срок уведомления, Ф.И.О. проверяющего, план проверки;
3) проверка проводится в соответствии с графиком проверок;
4) методы сбора информации включают интервьюирование сотрудников, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств;
5) после окончания проверки проводится анализ собранной информации, с целью оценки текущего уровня защищенности объекта проверки. По результатам проведенного анализа, руководству подразделения ответственного за объект проверки выдается рекомендация по устранению нарушений, согласно приложению 2.
