Правила проведения внутреннего аудита ИБ (приложение 5 к приказу и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613)

Приложение 5

к приказу и.о. Министра

образования и науки

Республики Казахстан

от 5 ноября 2018 года № 613

Правила проведения внутреннего аудита ИБ

1. Проведение аудита

Правила проведения внутреннего аудита ИБ Министерства образования и науки Республики Казахстан и ее мониторинга (далее - Правила) определяют порядок проведения проверок на соответствие требованиям информационной безопасности и работ по мониторингу информационной безопасности.

2. В Правилах используются понятия и определения, принятые в стандартах СТ РК 34.005-2002, СТ РК 34.006-2002, СТ РК 34.007-2002.

3. Проверки на предмет исполнения и соблюдения требований информационной безопасности разделяют на следующие виды проверок:

1) проверка ресурсов информационных систем, корпоративной вычислительной сети с целью подготовки технического задания на проектирование и разработку системы защиты информации;

2) проверка информационных систем, корпоративной вычислительной сети, после внедрения системы безопасности для оценки уровня ее эффективности;

3) профилактическая регулярная проверка, направленная на приведение действующей системы безопасности в соответствие требованиям нормативных правовых актов Республики Казахстан;

4) проверка, предназначенная для систематизации и упорядочивания существующих мер защиты информации;

5) проверка (служебное расследование) в целях расследования произошедшего инцидента, связанного с нарушением требований информационной безопасности;

6) совместная проверка, проводимая с другими государственными органами Республики Казахстан.

4. Проверки на предмет исполнения и соблюдения требований информационной безопасности подразделяются на плановые и внеплановые.

5. Плановые проверки на предмет исполнения и соблюдения требований информационной безопасности проводятся согласно утвержденному графику плановых проверок, который составляется ежегодно структурным подразделением, уполномоченным по обеспечению информационной безопасности (далее - УИБ) и утверждается Вице-министром по цифровизации Министерства образования и науки Республики Казахстан.

6. Процедура проведения плановой проверки включает в себя следующие мероприятия:

1) перед началом проверки, УИБ вручает объекту проверки уведомление на проверку согласно приложению 1;

2) в уведомлении на проверку указываются срок уведомления, Ф.И.О. проверяющего, план проверки;

3) проверка проводится в соответствии с графиком проверок;

4) методы сбора информации включают интервьюирование сотрудников, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств;

5) после окончания проверки проводится анализ собранной информации, с целью оценки текущего уровня защищенности объекта проверки. По результатам проведенного анализа, руководству подразделения ответственного за объект проверки выдается рекомендация по устранению нарушений, согласно приложению 2.