Утвержден
постановлением
Коллегии Счетной палаты
Российской Федерации
от 23 декабря 2016 г. N 11ПК
(в новой редакции,
утвержденной постановлением Коллегии
Счетной палаты Российской Федерации
от 28 декабря 2018 г. N 19ПК)
СТАНДАРТ ВНЕШНЕГО ГОСУДАРСТВЕННОГО АУДИТА (КОНТРОЛЯ)
СГА 305 "АУДИТ ФЕДЕРАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОЕКТОВ"
1. Общие положения
1.1. Стандарт внешнего государственного аудита (контроля) СГА 305 "Аудит федеральных информационных систем и проектов" (далее - Стандарт) разработан в соответствии с Федеральным законом от 5 апреля 2013 г. N 41-ФЗ "О Счетной палате Российской Федерации" и внутренними нормативными документами Счетной палаты Российской Федерации (далее - Счетная палата), а также с учетом положений международных стандартов ИНТОСАИ для высших органов аудита.
1.2. Целью Стандарта является установление общих требований, характеристик, правил и процедур осуществления Счетной палатой контрольной и экспертно-аналитической деятельности при проведении аудита федеральных информационных систем и проектов.
1.3. Задачей Стандарта является определение общего порядка проведения аудита федеральных информационных систем и проектов на всех этапах их жизненного цикла, а также проверки деятельности объекта аудита по реализации мероприятий по информатизации.
1.4. Стандарт предназначен для использования при организации, проведении и оформлении результатов аудита федеральных информационных систем и проектов, а также при проведении контрольных и экспертно-аналитических мероприятий, в ходе которых деятельность в сфере реализации федеральных информационных систем и проектов проверяется как одна из составляющих деятельности объекта аудита.
2. Термины и определения
В Стандарте применяются следующие термины:
1) федеральные информационные системы - государственные информационные системы, созданные на основании соответственно федеральных законов, иных нормативных правовых актов Российской Федерации и правовых актов органов государственной власти Российской Федерации.
В Стандарте термины "федеральная информационная система" и "информационная система" используются как равные понятия;
2) жизненный цикл информационной системы - совокупность взаимосвязанных процессов последовательного изменения состояния информационной системы от принятия решения о ее создании, формирования исходных требований к ней и до окончания ее эксплуатации (снятия с эксплуатации), включая хранение содержащейся в ее базах данных информации;
3) информационные технологии (далее - ИТ) - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
4) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
5) компоненты информационно-телекоммуникационной инфраструктуры (далее - ИТКИ) - совместно используемые информационными системами программно-технические комплексы и средства, выполняющие общие технологические функции и обеспечивающие основу функционирования указанных информационных систем, в том числе обеспечивающие их информационно-технологическое взаимодействие;
6) объект учета - информационная система и (или) компоненты информационно-телекоммуникационной инфраструктуры, создаваемые (приобретаемые), эксплуатируемые (используемые), развиваемые или модернизируемые федеральными органами исполнительной власти и подведомственными им учреждениями, а также органами управления внебюджетными фондами за счет средств федерального бюджета и средств государственных внебюджетных фондов;
7) программные средства - компьютерные (машинные) программы, представленные на языке программирования или в машинном коде, включающие описание действий, выполняемых электронно-вычислительной машиной, в соответствии с алгоритмом решения конкретной задачи или группы задач;
8) система проектного управления информатизацией - взаимосвязанная организационная структура, осуществляющая планирование, организацию и контроль трудовых, финансовых и материально-технических ресурсов проекта по информатизации, направленных на эффективное достижение целей проекта по информатизации;
9) мероприятия по информатизации (информационный проект) - мероприятия федеральных органов исполнительной власти и подведомственных им учреждений и органов управления государственными внебюджетными фондами, направленные на планирование, создание, развитие, эксплуатацию информационно-коммуникационных технологий, а также на вывод из эксплуатации информационных систем и компонентов информационно-телекоммуникационной инфраструктуры.
Иные термины и определения, используемые в Стандарте, применяются в тех же значениях, в которых они определены законодательными и иными нормативными правовыми актами Российской Федерации в сфере ИТ и защиты информации.
3. Содержание аудита федеральных информационных систем
и проектов
3.1. Аудит федеральных информационных систем и проектов - вид внешнего государственного аудита, осуществляемого Счетной палатой в соответствии с требованиями Стандарта.
3.2. Целями аудита федеральных информационных систем и проектов являются проверка, анализ и оценка планирования, законности, обоснованности и эффективности реализации мероприятий по информатизации в деятельности федеральных органов исполнительной власти и подведомственных им учреждений и органов управления государственными внебюджетными фондами.
3.3. Задачами аудита федеральных информационных систем и проектов являются:
проверка целевого и эффективного использования средств федерального бюджета и бюджетов государственных внебюджетных фондов на выполнение мероприятий по информатизации;
проверка, анализ и оценка законности, обоснованности и эффективности мероприятий по информатизации, осуществляемых объектом аудита;
выявление нарушений и недостатков при проведении объектом аудита мероприятий по информатизации;
анализ выявленных нарушений, недостатков, установление причин их возникновения и подготовка предложений, направленных на их устранение, а также рекомендаций федеральным органам исполнительной власти и подведомственным им учреждениям и органам управления государственных внебюджетных фондов по составу и порядку формирования данных при создании и модернизации ими федеральных информационных систем;
оценка коррупционных рисков при использовании средств федерального бюджета и средств бюджетов государственных внебюджетных фондов на проведение мероприятия по информатизации.
3.4. Предметами аудита федеральных информационных систем и проектов являются:
федеральная информационная система и (или) мероприятие по информатизации;
деятельность объектов аудита по реализации мероприятий по информатизации.
3.5. Объектами аудита федеральных информационных систем и проектов являются федеральные органы исполнительной власти и подведомственные им учреждения, органы управления государственными внебюджетными фондами, а также их территориальные органы, подведомственные им учреждения и организации (далее - объекты аудита).
В отношении иных государственных органов применение Стандарта носит рекомендательный характер.
3.6. Основными показателями оценки качества мероприятий по информатизации являются: законность, обоснованность, соответствие национальным целям и приоритетным направлениям развития Российской Федерации и оценка эффективности.
3.7. В процессе осуществления аудита федеральных информационных систем и проектов инспекторами и иными сотрудниками аппарата Счетной палаты в пределах своих полномочий проверяются, анализируются и оцениваются:
система проектного управления мероприятиями по информатизации на объекте аудита;
процесс планирования мероприятий по информатизации;
законность, обоснованность и эффективность мероприятий на всех этапах жизненного цикла федеральной информационной системы;
соблюдение требований к порядку реализации мероприятий по информатизации;
практика применения объектами аудита федеральных информационных систем.
3.8. Аудит федеральных информационных систем и проектов должен охватывать все этапы деятельности объектов аудита при реализации мероприятий по информатизации.
3.9. В ходе проведения аудита федеральных информационных систем и проектов в целях анализа технических аспектов планирования, создания (приобретения), эксплуатации (применения), снятия с эксплуатации и развития информационных систем могут привлекаться внешние эксперты.
3.10. Итогами аудита федеральных информационных систем и проектов должны стать:
проверка соблюдения требований законодательства Российской Федерации при планировании и реализации мероприятий по информатизации в федеральных органах исполнительной власти и подведомственных им учреждениях и органах управления государственными внебюджетными фондами;
проверка законности, обоснованности и оценка эффективности мероприятий по информатизации;
анализ результатов аудита, выявление конкретных отклонений, нарушений и недостатков при планировании и реализации объектом аудита мероприятий по информатизации.
4. Формы и методы проведения аудита федеральных
информационных систем и проектов
4.1. Аудит информационных систем и проектов осуществляется инспекторами и иными сотрудниками аппарата Счетной палаты в ходе контрольной и экспертно-аналитической деятельности.
4.2. Контрольная деятельность в рамках аудита федеральных информационных систем и проектов осуществляется путем проведения контрольных мероприятий в форме предварительного аудита, оперативного анализа и контроля, последующего аудита (контроля) с применением методов проверки, анализа и обследования.
4.3. Экспертно-аналитическая деятельность в рамках аудита информационных систем и проектов осуществляется путем проведения экспертно-аналитических мероприятий в форме предварительного аудита, оперативного анализа и контроля и последующего аудита (контроля) с применением методов мониторинга, анализа и обследования.
5. Проведение аудита федеральных информационных систем
и проектов
Организация контрольных и экспертно-аналитических мероприятий в рамках аудита федеральных информационных систем и проектов включает три этапа: подготовительный, основной и заключительный.
5.1. Подготовительный этап контрольного
или экспертно-аналитического мероприятия
5.1.1. На подготовительном этапе контрольного или экспертно-аналитического мероприятия в рамках аудита федеральных информационных систем и проектов осуществляется:
изучение законодательных и иных нормативных правовых актов Российской Федерации в сфере ИТ и защиты информации;
сбор общих данных о предмете и объекте аудита;
изучение информации о предмете и объекте аудита, а также анализ специфики деятельности объекта аудита в области информатизации;
подготовка программы проведения контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов.
5.1.2. При подготовке к проведению контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов необходимо изучить и в дальнейшем использовать положения:
законодательных и иных нормативных правовых актов Российской Федерации, регулирующих сферу информационных технологий согласно перечню законодательных и иных нормативных правовых актов Российской Федерации в сфере информационных технологий и защиты информации (приложение N 1);
национальных стандартов Российской Федерации и иных документов в сфере информационных систем и проектов.
5.1.3. Сбор общей информации о предмете и объекте аудита рекомендуется осуществлять путем:
1) направления соответствующих запросов объектам аудита и иным органам и организациям, располагающим информацией об информационной деятельности объекта аудита;
2) направления запросов (письменных обращений) в структурные подразделения аппарата Счетной палаты, ранее проводившие контрольные или экспертно-аналитические мероприятия в отношении данного объекта аудита;
3) обращения к информационным ресурсам Федеральной государственной информационной системы координации информации (далее - ФГИС КИ (ЕСКИ), в том числе к ее подсистемам:
автоматизированной информационной системе "Управление ведомственной и региональной информатизацией" (далее - АИС УВиРИ);
федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов (далее - АИС Учета);
федеральной государственной информационной системе "Национальный фонд алгоритмов и программ для электронных вычислительных машин" (далее - ФГИС ФАП);
4) обращения к государственной информационной системе "Официальный сайт Российской Федерации в информационно-телекоммуникационной сети "Интернет" для размещения информации об осуществлении государственного (муниципального) финансового аудита (контроля) в сфере бюджетных правоотношений";
5) обращения к единому реестру российских программ для электронных вычислительных машин и баз данных;
6) обращения к иным информационным ресурсам в информационно-телекоммуникационной сети "Интернет", в том числе официальным сайтам государственных органов и иных организаций, располагающих информацией о деятельности объекта аудита в области информатизации;
7) обращения к информационным ресурсам информационно-телекоммуникационной системы Счетной палаты, таким как:
информационно-аналитическая система удаленного проведения внешнего государственного аудита (контроля) Счетной палаты Российской Федерации;
модуль "Аналитика" комплекса программных средств "Система планирования, контроля исполнения и информационного обеспечения деятельности инспекций Счетной палаты Российской Федерации".
5.1.4. Изучение специфики предмета и объекта аудита необходимо для:
1) определения форм и методов осуществления контрольной и экспертно-аналитической деятельности;
2) подготовки программы проведения контрольного или экспертно-аналитического мероприятия по аудиту информационных систем и проектов;
3) определения вопросов контрольного или экспертно-аналитического мероприятия.
Результаты изучения специфики предмета и объекта аудита фиксируются в рабочей документации и должны содержать соответствующие информационные, аналитические, графические и иные материалы и документы, послужившие обоснованием для выбранных целей аудита федеральных информационных систем и проектов, формирования вопросов контрольного или экспертно-аналитического мероприятий, методов их проведения и методов сбора фактических данных и информации.
5.1.5. На подготовительном этапе проведения контрольного и экспертно-аналитического мероприятия рекомендуется:
сформировать перечень законодательных и иных нормативных правовых актов Российской Федерации, необходимых для использования при планировании и реализации объектом аудита мероприятий по информатизации с учетом специфики предмета мероприятия и объекта аудита;
определить источники информации, необходимые для проведения аудита федеральных информационных систем и проектов, осуществить сбор и провести предварительный анализ информации о проводимых объектом аудита мероприятиях по информатизации.
5.1.6. По результатам предварительного изучения деятельности объекта аудита подготавливается проект программы проведения контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов.
При разработке программы проведения контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов следует руководствоваться положениями стандартов СГА 101 или СГА 102 соответственно.
При этом при проведении контрольных или экспертно-аналитических мероприятий, в которых деятельность в сфере реализации федеральных информационных систем и проектов проверяется как одна из составляющих деятельности объекта аудита, соответствующие вопросы включаются в общую программу проведения контрольного или экспертно-аналитического мероприятия.
5.1.7. После утверждения программы проведения контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов осуществляется подготовка рабочего плана проведения мероприятия.
При подготовке рабочего плана проведения мероприятия следует руководствоваться положениями стандартов СГА 101 и СГА 102.
5.2. Основной этап контрольного
и экспертно-аналитического мероприятия по аудиту
федеральных информационных систем и проектов
На основном этапе контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов проверяются, анализируются и оцениваются:
организация системы проектного управления мероприятиями по информатизации на объекте аудита;
процесс планирования объектом аудита мероприятий по информатизации;
реализация объектом аудита мероприятий по информатизации;
практика применения объектом аудита информационных систем.
В ходе экспертно-аналитического мероприятия также проводятся мониторинг и анализ информации об объекте аудита.
5.2.1. Осуществление контроля организации системы
проектного управления мероприятиями по информатизации
При проверке организации системы проектного управления мероприятиями по информатизации:
анализируются документы объекта аудита по вопросам создания органа управления мероприятиями по информатизации (информационными проектами) и организации проектного управления;
проверяется соответствие деятельности органа управления мероприятиями по информатизации (информационными проектами) требованиям методических рекомендаций по организации системы проектного управления мероприятиями по информатизации в государственных органах, утвержденных приказом Министерства связи и массовых коммуникаций Российской Федерации от 24 апреля 2013 г. N 96, и иных документов объекта аудита, регламентирующих указанную деятельность.
5.2.2. Осуществление контроля планирования объектом
аудита мероприятий по созданию (приобретению), эксплуатации
(применению), снятию с эксплуатации и развитию
информационных систем и проектов
5.2.2.1. При осуществлении контроля планирования объектом аудита мероприятий по созданию (приобретению), эксплуатации (применению), снятию с эксплуатации и развитию информационных систем и проектов проверяются:
наличие утвержденного плана информатизации объекта аудита на очередной финансовый год и плановый период (далее - план информатизации);
соблюдение объектом аудита этапов (сроков) формирования и утверждения планов информатизации и отчетов об их исполнении.
5.2.2.2. Анализ плана информатизации и приложенных к нему финансово-экономических обоснований затрат и иных материалов проводится на предмет:
соответствия мероприятий по информатизации, проводимых объектом аудита, его функциям и полномочиям;
законности и обоснованности данных о планируемых объемах финансирования на реализацию мероприятий по информатизации, проводимых объектом аудита;
соответствия данных об общей сумме планируемых объемов финансирования на реализацию мероприятий по информатизации сумме доведенных объекту аудита лимитов бюджетных обязательств по виду расходов 242 "Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий" классификации расходов бюджета.
5.2.2.3. Анализ информации о планируемых к созданию и (или) созданных федеральных информационных системах, размещенной в подсистеме АИС Учета, проводится в целях проверки в том числе:
наличия решения о создании (закупке) объекта учета;
предполагаемых сроков создания (закупки) объекта учета;
функциональных характеристик объекта учета, планируемых к реализации, и сведений об информации, обрабатываемой с использованием объекта учета;
сведений об информационном взаимодействии объекта учета с иными информационными системами и объектами ИТКИ.
5.2.3. Осуществление контроля реализации мероприятий
по созданию (приобретению), эксплуатации (применению),
снятию с эксплуатации и развитию информационных
систем и проектов
5.2.3.1. При проверке деятельности объекта аудита по реализации мероприятий по информатизации:
5.2.3.1.1. Проверяется соблюдение положений постановления Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" на следующих последовательно реализуемых этапах:
а) разработка документации на информационную систему и ее части;
б) разработка рабочей документации на информационную систему и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний информационной системы;
е) проведение опытной эксплуатации информационной системы;
ж) проведение приемочных испытаний информационной системы;
з) осуществление эксплуатации информационной системы;
и) вывод информационной системы из эксплуатации.
5.2.3.1.2. Проверяется законность и обоснованность расходов, направленных на реализацию мероприятий по информатизации, в том числе:
соблюдение требований законодательных и иных нормативных правовых актов Российской Федерации при осуществлении процедур размещения заказов на создание (приобретение), эксплуатацию (применение), снятие с эксплуатации и развитие информационных систем с учетом положений стандарта внешнего государственного аудита СГА 302 "Аудит в сфере закупок товаров, работ, услуг, осуществляемых объектами аудита (контроля)";
соблюдение требований Положения о координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов и Правил подготовки планов информатизации государственных органов и отчетов об их выполнении, утвержденных постановлением Правительства Российской Федерации от 24 мая 2010 г. N 365 "О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов" в части соответствия размещаемых заказов (закупок) утвержденному плану информатизации;
соблюдение национального режима при осуществлении закупок в целях импортозамещения, установленного постановлением Правительства Российской Федерации от 16 ноября 2015 г. N 1236.
5.2.3.1.3. Анализируются достигнутые объектом аудита результаты реализации мероприятий по информатизации, в том числе анализируются материалы отчета объекта аудита о выполнении плана информатизации.
5.2.3.1.4. Проверяются наличие, состав и актуальность информации по созданным и приобретенным информационным системам и программным средствам в следующих подсистемах:
в АИС Учета (разделы, относящиеся к постановке информационных систем на учет);
в ФГИС ФАП (разделы с указанием постановки на учет алгоритмов и программ для ЭВМ, прикладных программных средств и специальных программных комплексов).
5.2.3.1.5. Проверяется и оценивается деятельность объекта аудита по учету, управлению и использованию федерального имущества в ходе реализации мероприятий по информатизации, в том числе:
наличие, комплектность и состав технических средств информационной системы, в том числе серверное оборудование, сетевое коммуникационное оборудование (маршрутизаторы), персональное аппаратное оборудование (компьютеры, принтеры, сканеры) и другие средства;
обеспечение учета нематериальных активов, полученных в результате выполнения мероприятий по информатизации;
наличие рабочей (технической) документации на информационную систему, а также наличие прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
5.2.3.2. По полученным в ходе проверки материалам о деятельности объекта аудита по реализации мероприятий по информатизации:
5.2.3.2.1. Проводится оценка эффективности реализации мероприятий по информатизации по следующим соотношениям:
плановая и фактическая продолжительность мероприятия по информатизации;
плановая и фактическая стоимость мероприятия по информатизации;
плановые и фактически достигнутые показатели и индикаторы эффективности реализации мероприятия по информатизации.
В качестве показателей и индикаторов используются (при условии применимости в рамках программы мероприятия и допустимости применения к объектам мероприятия):
плановый и фактический объем компонентов мероприятия по информатизации;
плановое и фактическое количество подключенных территориальных органов;
плановое и фактическое количество пользователей;
плановая и фактическая интеграция с другими федеральными информационными системами (исключение дублирования ввода идентичных данных);
качество размещенных данных (полнота в соответствии с требованиями нормативных правовых актов, инструкций и иных документов по составу данных, достоверность);
плановое и фактическое наличие открытых данных.
5.2.3.2.2. Проводится анализ и оценка деятельности объекта аудита по реализации мероприятий по информатизации по следующим показателям:
законность указанных мероприятий, которая определяется соблюдением положений законодательных и иных нормативных правовых актов Российской Федерации в сфере информационных технологий и защиты информации, регламентирующих порядок осуществления мероприятий по информатизации;
обоснованность указанных мероприятий, которая определяется соответствием решаемых с помощью информационной системы задач полномочиям объекта аудита и соответствием приоритетным направлениям в области информатизации;
обоснованность привлечения бюджетных средств и средств бюджетов государственных внебюджетных фондов на реализацию указанных мероприятий, которая определяется наличием необходимых финансово-экономических обоснований к мероприятиям по информатизации, составленных и утвержденных в соответствии с требованиями законодательства Российской Федерации;
эффективность использования средств федерального бюджета и средств бюджетов государственных внебюджетных фондов на реализацию мероприятий по информатизации, которая определяется с учетом положений стандарта СГА 104 "Аудит эффективности".
Перечень основных вопросов, изучаемых при осуществлении аудита федеральных информационных систем и проектов, приведен в приложении N 2.
5.2.4. Осуществление анализа практики применения
информационной системы в деятельности объекта аудита
При осуществлении анализа практики применения информационной системы в деятельности объекта аудита проверяется и изучается:
фактическая автоматизация выполняемых объектом аудита государственных функций и оказываемых государственных услуг, например, исключение дублирования электронных документов документами на бумажных носителях;
фактическое использование информационной системы в деятельности объекта аудита;
реализация программы обучения сотрудников объекта аудита работе с новой функциональностью информационной системы;
наличие и реализация соглашений между объектом аудита и иными участниками информационного взаимодействия по вопросам совместной работы с информационной системой.
5.2.5. Мониторинг и анализ информационных систем и проектов
5.2.5.1. Мониторинг и анализ информационных систем и проектов в ходе экспертно-аналитического мероприятия проводится в целях получения данных и оценки информации об объемах бюджетных средств и средств бюджетов государственных внебюджетных фондов, направленных на мероприятия по информатизации, эффективности и результативности использования указанных средств и иной деятельности объекта аудита в рамках реализации мероприятий по информатизации.
5.2.5.2. Перечень вопросов (изучаемых документов и материалов) при проведении экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов определяется на основании сроков его проведения, значимости и существенности ожидаемых выводов, содержания и особенностей деятельности объектов аудита и исходя из проводимых ими закупок, а также результатов ранее проведенных мероприятий (выявленных рисков, установленных нарушений и недостатков).
5.2.5.3. В рамках экспертно-аналитического мероприятия проводится анализ:
требований законодательства Российской Федерации в сфере информационных технологий и защиты информации;
деятельности объектов аудита по планированию и реализации мероприятий по информатизации;
материалов контрольных и экспертно-аналитических мероприятий в части аудита федеральных информационных систем и проектов (с учетом систематизации выявленных недостатков и нарушений законодательства Российской Федерации в сфере информационных технологий и защиты информации).
5.2.5.4. В качестве источника информации и данных для проведения мониторинга и анализа деятельности объектов аудита по планированию и реализации мероприятий по информатизации выбираются подсистемы ФГИС КИ (ЕСКИ): АИС УВиРИ, АИС Учета и ФГИС ФАП, единая информационная система в сфере закупок.
Проводится мониторинг и анализ следующих значений:
соответствие данных в различных подсистемах ФГИС КИ (ЕСКИ), их объективности и полноты;
соответствие состояния установленного в АИС Учета текущего статуса объекта учета фактическому;
соответствие данных о мероприятиях по информатизации, содержащихся в отчетах о выполнении планов информатизации, фактическим, установленным в соответствующих контрактах;
соответствие фактического значения показателей и соответствующих им индикаторов, указанных объектом аудита в плане информатизации при планировании мероприятий по созданию (приобретению), эксплуатации (применению) и развитию информационных систем и компонентов ИТКИ.
5.2.5.5. Отчет о результатах экспертно-аналитического мероприятия должен содержать заключения, выводы и предложения (рекомендации) по результатам проведенного аудита федеральных информационных систем и проектов.
5.2.5.6. Общие требования к организации, подготовке к проведению, проведению и оформлению результатов экспертно-аналитического мероприятия установлены стандартом внешнего государственного аудита (контроля) СГА 102.
5.3. Заключительный этап контрольного
и экспертно-аналитического мероприятия по аудиту
федеральных информационных систем и проектов
На заключительном этапе аудита федеральных информационных систем и проектов обобщаются полученные результаты, готовятся выводы и устанавливаются причины выявленных недостатков и нарушений, готовятся предложения (рекомендации), направленные на их устранение.
5.3.1. Результаты мероприятий по аудиту федеральных информационных систем и проектов должны содержать:
изложение в обобщенном виде фактов нарушений и недостатков, выявленных в ходе проведения аудита информационных систем и проектов;
анализ проблем планирования и использования бюджетных средств и средств бюджетов государственных внебюджетных фондов на мероприятия ИТ (в части составления и исполнения планов информатизации, ведения форм бухгалтерской (бюджетной) отчетности, организации и ведения проектного офиса, закупки и эксплуатации оборудования, программных средств и иных мероприятий);
рекомендации (в случае их наличия) по составу и порядку формирования данных при создании и модернизации объектами аудита федеральных информационных систем в целях обеспечения выполнения ими государственных функций и (или) предоставления государственных услуг.
5.3.2. Выводы формируются по результатам оценки законности, обоснованности и эффективности реализации мероприятий по созданию (приобретению), эксплуатации (применению), снятию с эксплуатации и развитию информационных систем и проектов в деятельности объекта аудита.
5.3.3. Подготовка предложений (рекомендаций) является завершающей процедурой формирования результатов аудита федеральных информационных систем и проектов и осуществляется в случае, если в ходе контрольных и экспертно-аналитических мероприятий выявлены недостатки и нарушения в рамках реализации мероприятий по информатизации.
Подготовленные предложения (рекомендации) включаются в отчет о результатах контрольного (экспертно-аналитического) мероприятия.
5.3.4. При подготовке предложений (рекомендаций) необходимо:
руководствоваться поставленными целями контрольного или экспертно-аналитического мероприятия по аудиту федеральных информационных систем и проектов, а также основываться на заключениях и выводах, сделанных по результатам мероприятия;
обосновать необходимость проведения комплекса мероприятий для устранения выявленных недостатков и нарушений, которые позволят повысить эффективность деятельности объекта аудита в сфере ИТ.
5.3.5. Предложения (рекомендации) должны быть конкретными по отношению к проверяемой информационной системе или проекту, а также к деятельности объекта аудита при реализации мероприятий по информатизации, аргументированными, с представлением результатов анализа системы или проекта и обоснованными по выбранным критериям и показателям.
5.4. Контроль за реализацией результатов контрольного
или экспертно-аналитического мероприятия по аудиту
федеральных информационных систем и проектов
При осуществлении контроля за реализацией результатов контрольного или экспертно-аналитического мероприятия, проводимого в рамках аудита федеральных информационных систем и проектов, используются положения СГА 106 "Контроль реализации результатов контрольных и экспертно-аналитических мероприятий".
Приложение N 1
к стандарту СГА 305
ПЕРЕЧЕНЬ
ЗАКОНОДАТЕЛЬНЫХ И ИНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ
РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И ЗАЩИТЫ ИНФОРМАЦИИ
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";
Федеральный закон от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Указ Президента Российской Федерации от 9 мая 2017 г. N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы";
Указ Президента Российской Федерации от 7 мая 2018 г. N 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года";
постановление Правительства Российской Федерации от 24 мая 2010 г. N 365 "О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов";
постановление Правительства Российской Федерации от 25 апреля 2012 г. N 394 "О мерах по совершенствованию использования информационно-коммуникационных технологий в деятельности государственных органов";
постановление Правительства Российской Федерации от 26 июня 2012 г. N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов";
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановление Правительства Российской Федерации от 30 января 2013 г. N 62 "О национальном фонде алгоритмов и программ для электронных вычислительных машин";
постановление Правительства Российской Федерации от 10 июля 2013 г. N 583 "Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления в информационно-телекоммуникационной сети "Интернет" в форме открытых данных";
постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 - 2020 годы)";
постановление Правительства Российской Федерации от 24 ноября 2014 г. N 1240 "О некоторых вопросах по обеспечению использования сети передачи данных органов власти";
постановление Правительства Российской Федерации от 5 июня 2015 г. N 553 "Об утверждении Правил формирования, утверждения и ведения плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд, а также требований к форме плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд";
постановление Правительства Российской Федерации от 5 июня 2015 г. N 554 "О требованиях к формированию, утверждению и ведению плана-графика закупок товаров, работ, услуг для обеспечения нужд субъекта Российской Федерации и муниципальных нужд, а также о требованиях к форме плана-графика закупок товаров, работ, услуг";
постановление Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации";
постановление Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
постановление Правительства Российской Федерации от 14 ноября 2015 г. N 1235 "О федеральной государственной информационной системе координации информатизации";
постановление Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд";
постановление Правительства Российской Федерации от 5 мая 2016 г. N 392 "О приоритетных направлениях использования и развития информационно-коммуникационных технологий в федеральных органах исполнительной власти и органах управления государственными внебюджетными фондами и о внесении изменений в некоторые акты Правительства Российской Федерации";
постановление Правительства Российской Федерации от 8 июня 2018 г. N 658 "О централизованных закупках офисного программного обеспечения, программного обеспечения для ведения бюджетного учета, а также программного обеспечения в сфере информационной безопасности";
распоряжение Правительства Российской Федерации от 10 июля 2013 г. N 1187-р "О перечнях информации о деятельности государственных органов, органов местного самоуправления, размещаемой в сети "Интернет" в форме открытых данных";
распоряжение Правительства Российской Федерации от 30 января 2014 г. N 93-р "Концепция открытости федеральных органов исполнительной власти";
иные национальные стандарты Российской Федерации в сфере информационных систем и проектов;
иные нормативные правовые акты, принятые в целях создания и развития информационного общества в Российской Федерации, информатизации процессов управления в государственных органах, роста предоставляемой государственными органами информационной сферы услуг, а также в целях координации мероприятий по информатизации.
Приложение N 2
к стандарту СГА 305
ПЕРЕЧЕНЬ
ОСНОВНЫХ ВОПРОСОВ, ИЗУЧАЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ АУДИТА
ФЕДЕРАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОЕКТОВ
|
N п/п |
Вопросы |
Нормативное правовое регулирование |
Показатели анализа и оценки |
|
Проведение аудита мероприятий по информатизации |
|||
|
1 |
Проверка организации системы проектного управления мероприятиями по информатизации в деятельности объекта аудита |
1. Постановление Правительства Российской Федерации от 24 мая 2010 г. N 365 "О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов". 2. Постановление Правительства Российской Федерации от 25 апреля 2012 г. N 394 "О мерах по совершенствованию использования информационно-коммуникационных технологий в деятельности государственных органов". 3. Приказ Минкомсвязи России от 24 апреля 2013 г. N 96 "Об утверждении методических рекомендаций по организации системы проектного управления мероприятиями по информатизации в государственных органах" |
1. Выполнение рекомендаций по организации системы проектного управления мероприятиями по информатизации в деятельности объекта аудита. 2. Соблюдение объектом аудита полномочия участника процесса по разработке документов по информатизации, их представлению в Минкомсвязь России, обеспечение выполнения мероприятий по информатизации и осуществление внутриведомственного контроля их реализации. 3. Оценка документов объекта аудита по информатизации по соответствующим критериям (установлены частью 6 раздела II Положения о координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов, утвержденного постановлением Правительства Российской Федерации от 25 апреля 2012 г. N 394), в частности, оценка обоснованности привлечения средств бюджетов для реализации мероприятий по информатизации. 4. Использование объектом аудита результатов, полученных в ходе реализации мероприятий по информатизации в прошлом периоде |
|
2 |
Проверка порядка формирования и утверждения плана информатизации объекта аудита на очередной финансовый год и плановый период, а также его размещения на официальных информационных ресурсах |
1. Постановление Правительства Российской Федерации от 24 мая 2010 г. N 365 "О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов". 2. Постановление Правительства Российской Федерации от 5 мая 2016 г. N 392 "О приоритетных направлениях использования и развития информационно-коммуникационных технологий в федеральных органах исполнительной власти и органах управления государственными внебюджетными фондами и о внесении изменений в некоторые акты Правительства Российской Федерации". 3. Постановление Правительства Российской Федерации от 14 ноября 2015 г. N 1235 "О федеральной государственной информационной системе координации информатизации". 4. Приказ Минкомсвязи России от 1 апреля 2013 г. N 71 "Об утверждении методических рекомендаций по подготовке планов информатизации государственных органов, включая форму плана информатизации государственного органа, и о признании утратившим силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 18 октября 2010 г. N 140 "Об утверждении типовой формы планов информатизации государственных органов" (утратил силу в связи с изданием приказа Минкомсвязи России от 2 августа 2016 г. N 357 "О применении и признании утратившими силу отдельных приказов Министерства связи и массовых коммуникаций Российской Федерации в сфере координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов"). 5. Приказ Минкомсвязи России от 22 июля 2016 г. N 333 "Об утверждении методических рекомендаций, предусмотренных абзацами вторым и пятым пункта 2 постановления Правительства Российской Федерации от 5 мая 2016 г. N 392 "О приоритетных направлениях использования развития информационно-коммуникационных технологий в федеральных органах исполнительной власти и органах управления государственными внебюджетными фондами и о внесении изменений в некоторые акты Правительства Российской Федерации" (утратил силу в связи с изданием приказа Минкомсвязи России от 31 августа 2016 г. N 419). 6. Приказ Минкомсвязи России от 31 августа 2016 г. N 420 "Об утверждении методических рекомендаций, предусмотренных абзацами вторым и пятым пункта 2 постановления Правительства Российской Федерации от 5 мая 2016 г. N 392 "О приоритетных направлениях использования и развития информационно-коммуникационных технологий в федеральных органах исполнительной власти и органах управления государственными внебюджетными фондами о внесении изменений в некоторые акты Правительства Российской Федерации" (вместе с методическими рекомендациями по планированию мероприятий по информатизации, а также по подготовке планов информатизации федеральными органами исполнительной власти и органами управления государственными внебюджетными фондами, методическими рекомендациями по формированию федеральными органами исполнительной власти и органами управления государственными внебюджетными фондами системы целевых показателей и соответствующих индикаторов информатизации по приоритетным направлениям использования и развития информационно-коммуникационных технологий). 7. Приказ Минкомсвязи России от 11 августа 2016 г. N 371 "Об утверждении Правил подготовки заключений об оценке мероприятий по информатизации и проектов планов информатизации федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами". 8. Приказ Минкомсвязи России от 31 мая 2013 г. N 127 "Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры" |
1. Наличие утвержденного плана информатизации объекта аудита на соответствующий год, а также данные и характер информации по мероприятиям информатизации в его разделах. 2. Соблюдение сроков формирования и утверждения планов информатизации на очередной год и плановый период. 3. Соответствие данных и информации, размещенной в федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов (далее - АИС Учета), и в автоматизированной информационной системе "Управление ведомственной и региональной информатизацией" (далее - АИС УВиРИ) утвержденному плану информатизации. 4. Законность и обоснованность сведений о планируемых мероприятиях по информатизации и объемам их финансирования. 5. Выполнение правил и рекомендаций нормативных документов Минкомсвязи России по составлению плана информатизации в части: формирования мероприятий по информатизации, использования и формирования индикаторов и показателей, состава работ, услуг и товаров по мероприятиям в рамках информатизации. 6. Анализ соответствия целевых показателей и индикаторов мероприятий по информатизации стратегическим целям по информатизации и приоритетным направлениям использования и развития информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами |
|
3 |
Проверка отчета о выполнении плана информатизации объекта аудита |
1. Постановление Правительства Российской Федерации от 24 мая 2010 г. N 365 "О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов". 2. Приказ Минкомсвязи России от 3 июля 2013 г. N 155 "Об утверждении методических рекомендаций по подготовке отчетов о выполнении планов информатизации государственных органов, включая форму отчета о выполнении планов информатизации государственных органов" (утратил силу в связи с изданием приказа Минкомсвязи России от 2 августа 2016 г. N 357 "О применении и признании утратившими силу отдельных приказов Министерства связи и массовых коммуникаций Российской Федерации в сфере координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов") |
1. Наличие отчета о выполнении плана информатизации объекта аудита, а также выполнение требований к его форме и структуре. 2. Выполнение рекомендаций по порядку и срокам подготовки отчета о выполнении плана информатизации объекта аудита. 3. Объективность сведений, содержащихся в отчете о выполнении плана информатизации. 4. Достижение значений целевых индикаторов и (или) показателей, установленных в плане информатизации в отношении мероприятий по информатизации, проводимых объектом аудита. 5. Наличие документов, подтверждающих значения показателей и индикаторов, приведенных в отчете о выполнении плана информатизации объекта аудита |
|
4 |
Проверка плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд в целях реализации мероприятий по информатизации |
1. Постановление Правительства Российской Федерации от 5 июня 2015 г. N 553 "Об утверждении Правил формирования, утверждения и ведения плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд, а также требований к форме плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд". 2. Постановление Правительства Российской Федерации от 5 июня 2015 г. N 554 "О требованиях к формированию, утверждению и ведению плана-графика закупок товаров, работ, услуг для обеспечения нужд субъекта Российской Федерации и муниципальных нужд, а также о требованиях к форме плана-графика закупок товаров, работ, услуг". 3. Приказ Минфина России от 1 июля 2013 г. N 65н "Об утверждении Указаний о порядке применения бюджетной классификации Российской Федерации". 4. Приказ Минфина России от 8 июня 2018 г. N 132н "О Порядке формирования и применения кодов бюджетной классификации Российской Федерации, их структуре и принципах назначения" |
1. Полнота сведений размещаемых в плане-графике осуществления закупок товаров, работ, услуг мероприятий по информатизации, а также соблюдение сроков его утверждения и правил формирования. 2. Соответствие данных, содержащихся в плане-графике закупок товаров, работ, услуг на мероприятия по информатизации, данным утвержденного плана информатизации объекта аудита. 3. Соответствие данных, содержащихся в плане-графике закупок на мероприятия по информатизации, данным по коду вида расходов 242 "Закупки товаров, работ, услуг в сфере информационно-коммуникационных технологий" |
|
5 |
Проверка соблюдения объектом аудита национального режима при осуществлении закупок в целях импортозамещения |
1. Федеральный закон от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (часть 3 статьи 14). 2. Постановление Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" |
Проверка сведений об отсутствии или наличии приобретаемых программных продуктов (программного обеспечения) в едином реестре российских программ для электронных вычислительных машин и баз данных |
|
Проведение аудита федеральных информационных систем |
|||
|
1 |
Проверка обоснованности и эффективности расходования бюджетных средств и средств бюджетов государственных внебюджетных фондов на выполнение работ по созданию, эксплуатации и развитию федеральных информационных систем |
1. Федеральный закон от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд". 2. Финансово-экономическое и (или) технико-экономическое обоснование мероприятий по информатизации государственного органа. 3. Утвержденные планы информатизации объектов аудита на очередной финансовый год и плановый период. 4. Государственные контракты на выполнение работ и (или) услуг по информатизации |
1. Нормативное правовое обоснование выполнения работ по созданию (приобретению), эксплуатации (применению) и развитию федеральных информационных систем. 2. Заполнение реестра государственных контрактов на предмет наличия контрактов, заключенных при отсутствии утвержденного плана информатизации, а также контрактов на выполнение мероприятий по информатизации, не включенных в утвержденный план информатизации. 3. Соответствие государственных контрактов и документов об их исполнении перечню товаров, работ и услуг, предусмотренных мероприятиями по информатизации, включенными в утвержденный план информатизации, по следующим критериям: перечень и объем работ (услуг), перечень и количество товаров, а также объем финансирования мероприятий по информатизации. 4. Обоснованность расходов бюджетных средств и средств бюджетов государственных внебюджетных фондов на выполнение работ по созданию, развитию и эксплуатации информационных систем и проектов |
|
2 |
Проверка полноты размещения в АИС Учета сведений о планируемых к созданию и (или) созданных федеральных информационных системах |
1. Постановление Правительства Российской Федерации от 26 июня 2012 г. N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов". 2. Приказ Минкомсвязи России от 31 мая 2013 г. N 127 "Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры" |
1. Обеспечение учета создаваемых, эксплуатируемых, развиваемых и модернизируемых информационных систем и компонентов информационно-телекоммуникационной инфраструктуры (далее - ИТКИ). 2. Состав сведений в форме электронного паспорта объекта учета. 3. Общая информация об информационных системах и компонентах ИТКИ в разделах формы электронных паспортов. 4. Соответствие классификационным категориям: по видам деятельности объекта учета и по типам компонентов ИТКИ, а также по классификации программного и технического обеспечения, работ и услуг по их созданию и сопровождению. 5. Соблюдения правил размещения сведений об информационных системах и компонентах ИТКИ |
|
3 |
Проверка полноты и достоверности внесения информации в государственные информационные системы |
Учитывая результаты стратегической сессии от 14 июля 2018 года в части необходимости организации непрерывного мониторинга открытости, достоверности, полноты и качества данных в государственных информационных системах |
В рамках указанного вопроса необходимо изучить внутренние нормативные и другие акты (документы) государственного органа (регламенты, порядки, положения о внесении данных в информационные системы, а также положения о структурных подразделениях государственных органов, должностные регламенты государственных служащих), устанавливающие сроки, порядок внесения данных в информационные системы, обязанности структурных подразделений и отдельных должностных лиц в государственных органах по ведению соответствующих разделов и заполнению их соответствующими сведениями, а также практическую реализацию указанных документов |
|
4 |
Проверка соблюдения требований по централизации закупок офисного программного обеспечения, программного обеспечения ведения бюджетного учета, а также программного обеспечения в сфере ведения информационной безопасности |
Постановление Правительства Российской Федерации от 8 июня 2018 г. N 658 "О централизованных закупках офисного программного обеспечения, программного обеспечения для ведения бюджетного учета, а также программного обеспечения в сфере информационной безопасности" |
1. Соблюдение правил при планировании централизованных закупок и осуществлении централизованных закупок: своевременное представление и (или) уточнение информации о потребности в осуществлении централизованных закупок; передача бюджетных ассигнований и лимитов бюджетных обязательств федерального бюджета на осуществление централизованных закупок. 2. Соблюдение правил при осуществлении централизованных закупок: участие совместно с соответствующим уполномоченным органом в приемке поставленного товара, выполненной работы (ее результатов), оказанной услуги; подтверждение соответствующему уполномоченному органу поставки товаров, выполнения работ (их результатов), оказания услуг и (или) устранения выявленных недостатков |
|
5 |
Проверка выполнения объектом аудита требований порядка создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем |
1. Постановление Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации". 2. Утвержденный план информатизации объектов аудита на очередной финансовый год и плановый период. 3. Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти". 4. Постановление Правительства Российской Федерации от 24 ноября 2014 г. N 1240 "О некоторых вопросах по обеспечению использования сети передачи данных органов власти". 5. Приказ Минкомсвязи России от 24 февраля 2015 г. N 55 "Об утверждении порядка использования сети передачи данных органов власти". 6. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
1. Наличие нормативного правового акта, устанавливающего обязанность объекта аудита по созданию федеральной информационной системы. 2. Выполнение требований по срокам и порядку поэтапного создания, эксплуатации и развития информационной системы. 3. Комплектность и состав документации по созданию, эксплуатации (вводу, выводу из эксплуатации) и развитию информационных систем, а также документы по приемке работ в следующем составе: протоколы испытаний, акт о приемке системы в опытную эксплуатацию, акты о приемке системы в эксплуатацию, акт о вводе системы в эксплуатацию и иные документы. 4. Сведения об использовании объектом аудита сети передачи данных органов власти. 5. Информация о деятельности федеральных органов исполнительной власти, руководство деятельностью которых осуществляет Правительство Российской Федерации, а также подведомственных им организаций, размещаемая в информационно-телекоммуникационной сети "Интернет". 6. Сведения о технических средствах и информационных технологиях, применяемых в информационных системах, на предмет совместимости с иными федеральными информационными системами и информационно-телекоммуникационными системами (межведомственный проект). 7. Проверка наличия оформленных прав на использование информационной системы и ее компонентов, являющихся объектами интеллектуальной собственности, у Российской Федерации |
|
6 |
Проверка размещения и (или) актуализации объектом аудита в реестре территориального размещения технических средств информационных систем сведений об используемых технических средствах информационных систем |
1. Постановление Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 21 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации". 2. Приказ Минкомсвязи России от 7 декабря 2015 г. N 514 "Об утверждении порядка внесения сведений в реестр территориального размещения технических средств информационных систем и формы акта о выявленных несоответствиях сведений, содержащихся в реестре" |
1. Полнота информации о технических средствах информационных систем и сроки ее внесения в реестр территориального размещения объектов контроля. 2. Выполнение требований порядка внесения сведений в реестр территориального размещения объектов контроля. 3. Достоверность фактов, изложенных в акте контрольного или экспертно-аналитического мероприятия по аудиту информационных систем, о выявленных несоответствиях сведений о технических средствах информационных систем, свидетельствующих об их наличии |
|
7 |
Проверка использования объектом аудита свободного программного обеспечения в информационной системе |
Приказ Минкомсвязи России от 19 августа 2015 г. N 305 "Об утверждении Методических рекомендаций по использованию свободного программного обеспечения в деятельности федеральных органов исполнительной власти, включая критерии определения государственных информационных систем, при создании которых необходимо использовать свободное программное обеспечение, в том числе государственных информационных систем, предназначенных для оказания государственных и муниципальных услуг в электронном виде" |
1. Сведения о лицензиях, кросс-лицензиях и лицензионных соглашениях, приобретенных в целях обеспечения функционирования информационных систем. 2. Соответствие лицензий на свободное программное обеспечение, используемых в информационных системах, актуальному перечню лицензий, располагаемому на сайте Фонда свободного программного обеспечения, в информационно-телекоммуникационной сети "Интернет". 3. Расчет совокупной стоимости владения объектом аудита приобретенного программного обеспечения |
|
8 |
Проверка использования зарегистрированных алгоритмов и (или) программ, содержащихся в национальном фонде алгоритмов и программ, при создании, эксплуатации и развитии федеральных информационных систем |
1. Постановление Правительства Российской Федерации от 30 января 2013 г. N 62 "О национальном фонде алгоритмов и программ для электронных вычислительных машин". 2. Постановление Правительства Российской Федерации от 24 ноября 2014 г. N 1240 "О некоторых вопросах по обеспечению использования сети передачи данных органов власти". 3. Приказ Минкомсвязи России от 16 сентября 2013 г. N 248 "Об утверждении методических указаний о порядке формирования и использования информационного ресурса национального фонда алгоритмов и программ для электронных вычислительных машин" |
1. Количество использований объектом аудита ранее приобретенных алгоритмов и (или) программ при создании и развитии новых федеральных информационных систем. 2. Информация о приобретенном или разработанном (модернизированном) программном обеспечении, размещенная в национальном фонде алгоритмов и программ |
|
9 |
Проверка выполнения требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах |
Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" |
1. Наличие необходимых сертификатов и аттестатов соответствия информационной системы по защите информации, а также акта классификации защищенности информационной системы. 2. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы. 3. Обеспечение защиты информации при выходе из эксплуатации аттестованной информационной системы или после принятия решения об окончании в ней обработки информации |
|
10 |
Проверка соблюдения объектом аудита требований по размещению общедоступной информации в формате открытых данных |
1. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (статья 14). 2. Федеральный закон от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (статья 14). 3. Распоряжение Правительства Российской Федерации от 10 июля 2013 г. N 1187-р |
Проверка установленных законодательством Российской Федерации требований по размещению общедоступной информации в формате открытых данных при создании и эксплуатации государственных информационных систем, предполагающих осуществление обработки общедоступной информации |
