Правила проведения внутреннего аудита информационной безопасности (приложение 6 к приказу Министра науки и высшего образования Республики Казахстан от 27 сентября 2024 года № 464)

Приложение 6 к приказу

Министра науки и высшего образования

Республики Казахстан

от 27 сентября 2024 года № 464

ПРАВИЛА
ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Глава 1. Общие положения

1. Настоящие Правила проведения внутреннего аудита информационной безопасности (далее - Правила) разработаны в соответствии с государственными стандартами СТ РК 34.005-2002 «Информационная технология. Основные термины и определения», СТ РК 34.007-2002 «Информационная технология. Телекоммуникационные сети. Основные термины и их определения», и определяют порядок проведения Министерством науки и высшего образования Республики Казахстан и его ведомствах (далее - Министерство) внутреннего аудита на соответствие требованиям информационной безопасности и работ по мониторингу информационной безопасности.

2. Термины, использованные в настоящих Правилах, имеют следующие определения:

1) информационная безопасность (далее - ИБ) - состояние защищенности государственных информационных ресурсов и систем, обеспечение конфиденциальности, целостности и доступности информации;

2) информационная система (далее - ИС) - организационно-упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач.

3. Целями проведения аудита информационной безопасности являются:

1) анализ рисков, связанных с возможностью осуществления угроз

безопасности в отношении ресурсов ИС;

2) оценка текущего уровня защищенности ИС;

3) локализация узких мест в системе защиты ИС;

4) оценка соответствия ИС существующим стандартам в области информационной безопасности;

5) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

4. Внутренний аудит может проводиться с привлечением аудиторских компаний.

5. Аудит на предмет исполнения и соблюдения требований информационной безопасности можно подразделить на следующие виды проверок:

1) аудит ресурсов информационных систем, корпоративной вычислительной сети с целью подготовки технического задания на проектирование и разработку системы защиты информации;

2) аудит информационных систем, корпоративной вычислительной сети, после внедрения системы безопасности для оценки уровня её эффективности;

3) профилактический регулярный аудит, направленный на приведение действующей системы безопасности в соответствие с требованиями нормативных правовых актов Республики Казахстан;

4) аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;

5) аудит (служебное расследование) в целях расследования произошедшего инцидента, связанного с нарушением требований информационной безопасности;

6) совместный аудит, проводимый с другими государственными органами Республики Казахстан.