Приложение 6 к приказу
Министра науки и высшего образования
Республики Казахстан
от 27 сентября 2024 года № 464
ПРАВИЛА
ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Настоящие Правила проведения внутреннего аудита информационной безопасности (далее - Правила) разработаны в соответствии с государственными стандартами СТ РК 34.005-2002 «Информационная технология. Основные термины и определения», СТ РК 34.007-2002 «Информационная технология. Телекоммуникационные сети. Основные термины и их определения», и определяют порядок проведения Министерством науки и высшего образования Республики Казахстан и его ведомствах (далее - Министерство) внутреннего аудита на соответствие требованиям информационной безопасности и работ по мониторингу информационной безопасности.
2. Термины, использованные в настоящих Правилах, имеют следующие определения:
1) информационная безопасность (далее - ИБ) - состояние защищенности государственных информационных ресурсов и систем, обеспечение конфиденциальности, целостности и доступности информации;
2) информационная система (далее - ИС) - организационно-упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач.
3. Целями проведения аудита информационной безопасности являются:
1) анализ рисков, связанных с возможностью осуществления угроз
безопасности в отношении ресурсов ИС;
2) оценка текущего уровня защищенности ИС;
3) локализация узких мест в системе защиты ИС;
4) оценка соответствия ИС существующим стандартам в области информационной безопасности;
5) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
4. Внутренний аудит может проводиться с привлечением аудиторских компаний.
5. Аудит на предмет исполнения и соблюдения требований информационной безопасности можно подразделить на следующие виды проверок:
1) аудит ресурсов информационных систем, корпоративной вычислительной сети с целью подготовки технического задания на проектирование и разработку системы защиты информации;
2) аудит информационных систем, корпоративной вычислительной сети, после внедрения системы безопасности для оценки уровня её эффективности;
3) профилактический регулярный аудит, направленный на приведение действующей системы безопасности в соответствие с требованиями нормативных правовых актов Республики Казахстан;
4) аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
5) аудит (служебное расследование) в целях расследования произошедшего инцидента, связанного с нарушением требований информационной безопасности;
6) совместный аудит, проводимый с другими государственными органами Республики Казахстан.