Приложение 6
к Перечню нормативно-технической документации
по информационной безопасности удостоверяющих центров
Министерства цифрового развития, инноваций
и аэрокосмической промышленности Республики Казахстан
ПРАВИЛА ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Информационная система
«Национальный удостоверяющий центр Республики Казахстан»
(ИС НУЦ РК)
(с изменениями от 13.06.2023 г.)
СОДЕРЖАНИЕ
1. ВВЕДЕНИЕ
2. НОРМАТИВПО-ПРАВОВАЯ И ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ БАЗА
3. СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
4. ОБЛАСТЬ ПРИМЕНЕНИЯ
5. ПОРЯДОК ВЫПОЛНЕНИЯ ВНУТРЕННЕГО АУДИТА
5.1 Виды внутренних аудитов на соответствие требования ИБ
5.2 Процедура проведения планового аудита
5.3 Требования к внеплановому внутреннему аудиту
5.4 Цель внутреннего аудита ИБ
5.5 Порядок предоставления доступа аудиторам
5.6 Требования к инструментальному аудиту
5.7 Периодичность проведения внутреннего аудита
5.8 Требования к наличию и ведению плана-графика поэтапного проведения внутреннего аудита
5.9 Порядок формирования рабочей группы по проведению внутреннего аудита
5.10 Требования по планированию, порядку и составу проведения внутреннего аудита для объектов испытаний
5.11 Порядок и форма оформления результатов внутреннего аудита
5.12 Права работников ИБ при проведении внутренних аудитов
5.13 Процедура получения рекомендации по устранению нарушений внутреннего аудита
6. ПОРЯДОК ВЫПОЛНЕНИЯ ПРОЦЕССА
7. ОТВЕТСТВЕННОСТЬ
ЛИСТ СОГЛАСОВАНИЯ МЦРИАП РК
ЛИСТ СОГЛАСОВАНИЯ АО «НИТ»
1. ВВЕДЕНИЕ
Внутренний аудит информационной безопасности (далее - Аудит) - системный процесс получения объективных, качественных и количественных оценок о текущем состоянии процессов обеспечения информационной безопасности информационной системы «Национальный удостоверяющий центр Республики Казахстан» в соответствии утвержденными нормативными документами по информационной безопасности.
Для проведения внутреннего аудита формируется Рабочая группа, в состав которой включаются работник ИБ, а также наиболее подготовленные работники которые занимаются сопровождением ИС НУЦ РК, не связанные с непосредственным процессом обеспечения ИБ НУЦ РК.
2. НОРМАТИВПО-ПРАВОВАЯ И ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ БАЗА
- Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»;
- Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности»;
- Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ «Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно- коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности»;
