Мэдээллийн аюулгүй байдал

Мэдээллийн аюулгүй байдал (МАБ, Англи: Information Security буюу InfoSec) нь мэдээлэл болон мэдээллийн системд зөвшөөрөлгүй хандах, мэдээллийг ашиглах, ил болгох, өөрчлөх, хуулах, устгах, мэдээллийн системийн үйл ажиллагааг тасалдуулах, гаднаас хяналт хийхээс хамгаалах үйл ажиллагаа юм.

Өргөн утгаараа “Нийгэм, институт, байгууллагын мэдээллийн орчны хамгаалагдсан байдал”, эсвэл Мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтцийн хамгаалагдсан байдлыг илэрхийлнэ.

Мэдээллийн аюулгүй байдлын хүрээнд Нууцлагдсан (Англи: Confidentiality)—Бүрэн бүтэн (Англи: Integrity) — Хүртээмжтэй (Англи: Availability) байдлыг гурван зүйлийг тэнцвэртэйгээр баталгаажуулахаас гадна МАБ-ийн бодлого хэрэгжүүлж, байгууллагын үйл ажиллагааг сааруулахгүй байх үүргийг хүлээдэг. Мэдээллийн аюулгүй байдлын дөрвөн зарчим: Зөв мэдээллийг —Зөв хүнд — Зөв цагт—Зөв хэлбэртэй хүргэж байх.

Тодорхойлолт

засварлах

Анх “Компьютерын Аюулгүй Байдал”, “Мэдээллийн Технологийн Аюулгүй Байдал” гэсэн ойлголтууд байсан бөгөөд зөвхөн технологитой холбоотой аюулгүй байдлыг илэрхийлэх нь элбэг байсан. Улмаар хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдэлүүд нэмэгдсэн учир утга нь өргөсөж “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээн нэрлэж байна.

Мэдээллийн аюулгүй байдал гэсэн томъёоллын тухай дэлхий дээр дараах олон янзын тодорхойлолт байдаг:

  1. “Мэдээллийн нууцлагдсан, бүрэн бүтэн болон хүртээмжтэй байдлыг хангасан байдал”. Тодруулга: Үүнээс гадна үнэн бодит байдал, тайлагнах байдал, үл татгалзах байдал, найдвартай байдал гэсэн шинж чанар байна. (ISO/IEC 27000:2009)
  2. "Нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангах үүднээс Мэдээлэл, мэдээллийн системд зүй бус, зөвшөөрөлгүй хандах, ашиглах, нээлттэй болгох, эвдлэх, өөрчлөх, устгах үйлдлээс хамгаалсан байдал." (CNSS, 2010)
  3. "зөвхөн эрх олгодсон хэрэглэгч (нууцлагдсан байдал) үнэн зөв бүрэн мэдээлэлд (бүрэн бүтэн байдал) шаардлагатай үедээ хандах (хүртээмжтэй байдал) боломжийг баталгаажуулсан байх." (ISACA, 2008)
  4. "Мэдээллийн эрсдэл болон хяналтууд тэнцвэртэй байгаа гэдгийг сайн мэдэж байгаа мэдрэмж." (Anderson, J., 2003)
  5. "МАБ гэдэг нь мэдээллийг хамгаалж зүй бус талуудад мэдээлэл задрах эрсдлийг багасгахыг хэлнэ." (Venter and Eloff, 2003)
  6. "Ямар ч хэлбэрийн мэдээллийг хаана байгаагаас нь (байгууллагын дотор, эсхүл гадна) үл хамааран мэдээлэл үүсгэж, боловсруулж, хадгалж, дамжуулж, устгаж байгаа системийн хүрээнд хүртээмжтэй бүх төрлийн механизм (зохион байгуулалт, техник, хүнээс хамааралтай болон хууль зүйн) ашиглан аюулгүй байдлын тогтолцоо хэрэгжүүлэх судалгаа, мэргэжлийн олон талт үйл ажиллагаа.

Мэдээллийн аюулгүй байдлыг хангах дараах 4 түвшинг ангилж үздэг.

  • Эрх зүйн түвшин: МАБ-ын талаар хууль, эрх зүйн актууд, үндэсний хэмжээний стандарт
  • Захиргаа удирдлагын түвшин: байгууллагын МАБ-ын үзэл баримтлал (стратеги), бодлого (тактик), хөтөлбөр, хяналт
  • Дэгийн түвшин: байгууллагад хэрэгжүүлсэн МАБ-ын дэг, журам, үйл ажиллагааны арга барил
  • Програм-техникийн түвшин: Мэдээллийн болон сүлжээ, системийн аюулгүй байдлыг хангах зориулалттай төрөл бүрийн тоног төхөөрөмж, програм хангамжууд

Үндсэн зарчим

засварлах

МАБ-ыг хангахад дараах үндсэн зарчмыг баримталдаг:

  • Эрсдэлийн удирдлага: Зохих арга хэмжээг хэрэгжүүлэх замаар байгууллагын эд хөрөнгийг (мэдээллийн) хамгаалсан байна. Эрсдэлийн удирдлагын зохистой аргачлал дээр суурилан аюулгүй байдлын арга хэмжээг сонгож, хэрэгжүүлнэ. Энэ аргачлалын дагуу эд хөрөнгө, аюул, эмзэг байдал, түүний нөлөөлөл зэргийг үнэлж эрсдэлийг бууруулж, хязгаарлана.
  • Үзэл бодол, хандлага: МАБ болон эрсдэлийн удирдлагад хандах байгууллагын хандлагыг зөв тодорхойлох. Зөв хандлага бий болгохын тулд МАБ-ыг хэрэгжүүлсний ашиг тусыг тодорхойлсон байна.
  • Гүйцэтгэх болон хүлээх үүрэг: Эд хөрөнгийг аюулгүй байлгах үүргийг удирдлага хүлээнэ. МАБ-ын талаар гүйцэтгэх болон хүлээх үүргийг тодруулж бүгдэд мэдэгдсэн, хэвшүүлсэн байна.
  • Зорилго, стратеги, бодлого: Байгууллагын зорилго, стратеги, бодлогын дагуу эрсдэлийг удирдана.
  • Үйл ажиллагааны мөчлөгийн удирдлага: Байгууллагын үйл ажиллагааны бүх мөчлөгтэй МАБ-ын удирдлага нийцсэн байна.

МАБ-ын мөн чанар

засварлах

Мэдээллийн Аюулгүй Байдлын мөн чанар буюу онцлог шинжүүд буюу өөрөөр хэлбэл англиар CIA гурвалжин гэгддэг 1. Нууцлагдсан байдал - Confidentiality, 2. Бүрэн бүтэн байдал - Integrity болон 3. Хүртээмжтэй байдал - Availability (НБХ - CIA) нь суурь ойлголт юм. Мэдээлэл, мэдээллийг дэмжих дэд бүтэц, орчны нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангаж чадсанаар МАБ-ыг хангана.

  • Хүртээмжтэй байдал – Availability: Хүртээмжтэй байдал буюу мэдээллийн нөөц, үйлчилгээг хүссэн үедээ, дурын цэгээс ашиглах боломж
  • Бүрэн бүтэн байдал – Integrity: Бүрэн бүтэн байдал буюу мэдээлэл цаг үедээ нийцсэн, зөрчилдөөнгүй, хууль бусаар, зөвшөөрөлгүй өөрчлөх, нөлөөлөхөөс хамгаалагдсан байх
  • Нууцлагдсан байдал, нууцлал – Confidentiality: Нууцлагдсан, хамгаалагдсан байдал буюу үйлчилгээ, бүрдэл хэсгүүд болон дэд бүтцийн элементүүд хууль бус нэвтрэлтээс хамгаалагдсан байх, зөвхөн эрх бүхий этгээд хандах боломжийг хангасан байх.

Үүнээс гадна Үнэн бодит байх - Authenticity, Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation -ийг хангасан байх нь МАБ-ыг хангах үндсэн шалгуурууд болдог.

  • Үнэн бодит байх – Authenticity: Мэдээллийн технологид өгөгдөл, хэлцэл, холболт, баримт бичгүүд жинхэнэ бөгөөд үнэн бодитой байх шаардлагатай. Энэ шаардлагыг хангаж чадахгүй бол хэрэглэгч болон талуудыг баталгаажуулах, зүй бус, гэмт үйлдлийг нотлох, тодорхойлох боломжгүй болдог. Тиймээс МАБ-ыг хангахад дээрх шинжийг хангасан байх нь чухал үүрэгтэй.
  • Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation: Хууль зүйн ухаанд гэрээгээр хүлээсэн үүргээ чандлан биелүүлэх, үүрэг болон хэлцлээсээ татгалзах ёсгүй гэдэг ойлголтыг энэ нэр томъёо илэрхийлдэг. Мэдээллийн технологид хэрэглэгч, үйлчлүүлэгч болон цахим хэлцлийн талууд хийсэн үйл ажиллагаа, үйлдлээсээ үл татгалзах шинжийг заавал хангасан байж аюулгүй байдал хангагддаг.

Эдгээр нэмэлт шалгууруудыг хангахын тулд тоон гарын үсэг, нийтийн түлхүүрийн шифрлэлтийг өргөн ашиглаж байна.

НБХ – CIA гурвалжинг цаашид өргөжүүлэх талаар багагүй маргаан өрнөдөг: Тухайлбал 2002 онд Donn Parker мэдээллийн 6 цөм бүрдэл хэсэг гэсэн саналыг гаргасан. (six atomic elements of information). Энэ бүрдэл хэсгүүд нь нууцлагдсан байдал -confidentiality, эзэмших байдал -possession, бүрэн бүтэн байдал - integrity, үнэн бодит байдал - authenticity, хүртээмжтэй байдал – availability болон ашиг тустай байдал – utility юм. Энэ талаар одоо болтол мэргэжилтнүүдийн дунд маргаан тасрахгүй байна.

Эрсдэлийн удирдлага

засварлах

МАБ-ыг хангах үндэс суурь нь эрсдэлийн үнэлгээ, эрсдэлийн удирдлага байна.

“Эрсдэл” – энэ бол аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал бөгөөд хамгаалалт шаардаж буй хор хохирол учрах магадлал. Эрсдэл байхгүй бол хамгаалалт хэрэггүй. Эрсдэл бол аюулгүй байдлын салбарт ажиллагсдын заавал ойлгох зүйл.

  • Аюул болон эмзэг байдлын хослол. Эмзэг сул байдал болон аюул заналхийлэл нь эрсдэлийн үндсийг бүрдүүлнэ.
  • Аюул заналхийлэл, эмзэг байдал байхгүй бол эрсдэл байхгүй.
  • Эмзэг байдал гэдэг нь довтолгоон үйлдэж болох боломжит суваг, зам. Систем, сүлжээ болон захиргааны дэг жаягт байдаг.
  • Аюул заналхийлэл гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явдал. Гурван бүрдэл хэсэгтэй:
    • Бай. Довтолгоонд өртөж буй бүрдэл хэсэг.
    • Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект
    • Үйл явдал. Аюул агуулж буй үйлдэл

Эрсдэлийг үнэлнэ гэдэг нь урьдчилан таах аргагүй үйл явдал бий болох магадлалыг тодорхойлох үйл явц. Эрсдэл гурван түвшинтэй:

  • Сул. Аюул бий болох магадлал бага байна. Боломжийн хирээр эмзэг цэгийг илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна гэсэн үг. –
  • Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа. Ийм үйл явдал бий болох бодит боломж оршиж байгаа. Эмзэг байдлыг арилгах арга хэмжээ авах, үйлдэл хийх нь зохистой.
  • Хүчтэй. Эмзэг байдал нь бодитой эрсдэл бий болгож байгаа. Нэн даруй арга хэмжээ авах шаардлагатай.

Эрсдэлийг үнэлсний үндсэн дээр эрсдэлийн түвшнийг тодорхойлон гаргаж, дараалалд оруулж хамгийн ноцтой эрсдэлүүдээс эхлэн бууруулах арга хэмжээг төлөвлөн хэрэгжүүлнэ.

Эрсдэлийн үнэлгээг ихэвчлэн гэрчилгээжсэн аудиторууд гүйцэтгэдэг. Мөн байгууллагын мэргэшсэн ажилтан, мэргэжлийн байгууллагууд гүйцэтгэж болно. Одоогоор Монгол улсад 11 CISA гэрчилгээжсэн аудитор, 4 CISSP гэрчилгээжсэн мэргэжилтэн байна.

Эрсдэлийн үнэлгээ хийж, түүний дагуу эрсдэлийг бууруулах цогц арга хэмжээг эрсдэлийн удирдлага гэнэ. Эрсдэлийн удирдлага дараах үндсэн үе шатуудаас бүрдэнэ:

  1. Мэдээлэл, мэдээлэлтэй холбоотой бүх эд хөрөнгө, тэдгээрийн үнэ цэнийг тодруулж үнэлнэ.
  2. Аюулын үнэлгээ хийж тодруулна.
  3. Эмзэг байдлын үнэлгээ хийж тодруулна.
  4. Аюул бүрийн учруулж болох хор хохирол, хэрэгжүүлж болох магадлалыг тооцоолон гаргана.
  5. Дээрх үнэлгээний үр дүнд тулгуурлан эд хөрөнгө, аюул, эмзэг байдал, магадлал, хор хөнөөлийн хамаарлыг тооцож эрсдлийг эрэмбэлэн гаргана.
  6. Эрсдэлийн эрэмбэ дээр тулгуурлан хүлээн зөвшөөрч болохгүй эрсдэлүүдийг бууруулах цогц арга хэмжээ, тухайлбал төрөл бүрийн хяналт, зохион байгуулалтын арга хэмжээ, бодлого, журам, техник, технологийн хамгаалалт хэрэгжүүлнэ. Энэ үед бүтээмжид нөлөөлөх байдал, хэмнэлт, зардал үр ашгийн харьцаа, хамгаалах эд хөрөнгийн үнэ цэнэ зэргийг харгалзсан байна.
  7. Хэрэгжүүлсэн хяналт, арга хэмжээний үр дүнг үнэлж шаардлагатай бол засаж залруулах арга хэмжээ хэрэгжүүлнэ.

Аюул – МАБ-ыг ямар нэг байдлаар зөрчиж болох боломжуудыг хэлнэ. Аюул заналхийллийг хэрэгжүүлэх оролдлогыг халдлага, довтолгоон гэнэ. Ийм оролдлого хийж буй этгээдийг гэмт санаатан буюу халдагч гэнэ. Тэд аюул заналхийллийн эх сурвалж болдог. Аюул заналхийлэл нь зорилготой санаатай МАБ-ын удирдлага, зохион байгуулалт, Мэдээллийн Систем, сүлжээн дахь эмзэг байдал, цоорхойг ашиглан нэвтэрч хэрэгжүүлдэг. Цоорхойг хаах, арилгах хүртэл түүнийг ашиглах боломж оршсоор байна. Үүний аюул заналхийллийн цонх гэдэг. Цонх байгаа тохиолдолд амжилттай довтолгоон хийх боломж оршсоор байна. Шинэ цоорхой, эмзэг байдал, түүнийг ашиглах хэрэгсэл, арга байнга шинээр үүсэж, бий болж байдаг тул аюул заналын цонх байнга оршин байдаг, тиймээс эдгээр цонхыг байнга хянан шалгаж, шуурхай бөглөж байх ёстой.

Орчин үеийн мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтэц маш олон төрлийн аюултай нүүр тулж байна. Өргөн утгаар нь орчны, жам ёсны болон байгалын гаралтай аюул, техникийн болон хүнээс хамааралтай аюул гэж ангилж болно. Хүнээс хамааралтай аюулыг санаатай, санамсар болгоомжгүй гэж ангилна. Мөн дараах шалгуураар ангилж болно:

  • МАБ-ын үндсэн бүрдэл хэсгүүдээр нь: (хүртээмжтэй байдал, бүрэн бүтэн, халдашгүй байдал, нууцлалд заналхийлж буй аюул);
  • Мэдээллийн системийн бүрдэл хэсгүүдээр нь: (өгөгдөл, ПХ, тоног төхөөрөмж, сүлжээ, дэмжигч дэд бүтцэд заналхийлж буй аюул);
  • Хэрэгжүүлэх аргаар нь: (тохиолдлын/ санаатай үйлдэл, жам ёсны болон техногенный шинжтэй аюул);
  • Аюул заналхийллийн эх сурвалж байгаа газраар нь (МС-ийн дотор/гадна байгаа аюул).
  • Нийгмийн салбараар нь (Улс төрийн тогтолцооны эсрэг, Батлан хамгаалах чадварын эсрэг, нийгмийн сэтгэл зүйг удирдах чиглүүлэх зорилготой, нийгмийн онц чухал дэд бүтцийн эсрэг аюулууд гэх мэт).

Аюул болгон өөрийн гэсэн шинж чанар бөгөөд дараах бүрдэл хэсэгтэй:

  • Эх сурвалж, ж нь: гадна болон дотоод,
  • Сэдэл: жнь: санхүүгийн сонирхол, шунахай санаа, өрсөлдөөнд ялах
  • Давтамж
  • Магадлал
  • Үйлчлэл, нөлөөлөл, уршиг.

Зарим аюул хэд хэдэн эд хөрөнгөд хор хохирол учруулж болно. Ямар эд хөрөнгөөсөө хамаараад үйлчлэл нь өөр өөр байж болно. Жнь: нэг компьютер дээр суусан програмын вирус аюул багатай байхад сүлжээний сервер дээр энэ вирус суувал илүү хортой үр дагавартай. Аюул, халдлагууд хэдэн зуун мянган хэлбэр, төрөлтэй болсон. Бүгдийг дурдах боломжгүй, зарим нийтлэг аюулын жишээг дараах хэсгээс харна уу:

  • Хортой кодууд
    • Вирус
    • Өт
    • Трояны морь
  • Хууль бусаар нэвтрэх (зүй бусаар хандах)
    • Мэдэгдэж буй цоорхойг ашиглан (аюулгүй байдлын цоорхой)
  • Social engineering – нийгмийн боловсруулалт
    • Хууль бусаар хандахын тулд хэрэглэгчийг хууран мэхлэх
    • Хэрэглэгчийг хуурч мэдээлэл авах, мөнгө, баялаг авах

Хор хохирол

засварлах

Аюул хэрэгжсэний улмаас үүссэн МАБ-ын будлианы үр дүн нь хор хохирол байдаг. Тухайлбал:

  • Зарим эд хөрөнгийг устгах, МС-ийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй ажиллагаа, сэргээгдэх шинж, бодит байдал, найдвартай шинжийг алдагдуулах хор уршиг учирч болно.
  • Шууд бус хор хохирол нь санхүүгийн алдагдал, зах зээлээ алдах, нэр хүндээ алдах г.м
  • Будлианы давтамжийг онцгой анхаарна.
  • Хор хөнөөлийг үнэлэх нь эрсдэлийг үнэлэх, хамгаалалтын арга хэмжээг сонгоход их нөлөөтэйн.
  • Хор хөнөөлийг тоон болон чанарын талаас хэмжихэд дараах аргуудыг ашиглана:
    • Санхүүгийн алдагдлыг тооцох,
    • Ноцтой байдлыг нь үнэлэх, жнь: 1-ээс 10 хүртэл оноогоор
    • Урьдчилан гаргасан жагсаалтын тодорхойлолт, шинжүүдийг ашиглах, жнь: Их, дунд зэрэг, бага г.м.

Эмзэг байдал

засварлах
Орчны болон дэд бүтцийн Техник хангамжийн
  • Байшин, цонх, хаалганы биет хамгаалалт сул байх
  • Нэвтрэн орох явцыг муу хянах, буруугаар ашиглах
  • Цахилгааны щитээ муу хамгаалах
  • Үерт автагдах боломжтой газар байрлах
  • Галын аюулаас сэргийлэх шаардлага хангадаггүй
  • Аянга хамгаалагч байхгүй г.м.
  • Үе үе сольж байрлуулах схем байхгүй
  • Хүчдэлийн хэлбэлзэлд мэдрэмтгий
  • Температурын хэлбэлзэлд мэдрэмтгий
  • Нар, шороо, чийгэнд мэдрэмтгий
  • Цахилгаан соронзон туяанд мэдрэмтгий
  • Үйлчилгээ хийгддэггүй, санах төхөөрөмжүүдийг буруу суулгах
  • Конфигурацийн өөрчлөлтийн хяналт тавьдаггүй г.м.
Програм хангамжийн Холболтын
  • Ойлгомжгүй, дутуу тодорхойлолт
  • Тестлэгдээгүй, муу тестэлсэн ПХ
  • Ойлгоход хэцүү интерфейс
  • Адилтгах, таньж зөшөөрөх систем муутай
  • Хяналтын бичлэг хийгддэггүй
  • Эх код нь олон цоорхойтой, арын хаалга нь ил тод
  • Нууц үгийн системийн хамгаалалт муу, эсхүл байхгүй
  • Нууц үгийн удирдлага сул
  • Хандалтын эрхийг буруу хуваарилах
  • ПХ-ийг хяналтгүй татаж авах, суулгах, ашиглах
  • Компьютерээ орхихдоо системээс гардаггүй
  • Өөрчлөлтийн үр дүнтэй удирдлага байхгүй
  • ПХ-ийн дагалдах бичиг баримтууд байхгүй
  • Нөөц хуулбар хийдэггүй
  • Өгөгдлийг зохих ёсоор арилгалгүйгээр санах төхөөрөмжийг дахин ашиглах, зөөвөрлөх, гаргах г.м.
  • Холболтын шугамаа хамгаалаагүй
  • Кабелийн холболт чанар муутай
  • Илгээгч, хүлээн авагчийг адилтгаж, таньж баталгаажуулдаггүй, эсхүл сул, ганцхан шаттай
  • Нууц үгийг илээр дамжуулдаг
  • Мэдээлэл илгээсэн, хүлээн авсныг баталгаажуулдаггүй
  • Dial up болон утасгүй холболт ашиглах
  • Эмзэг трафикийг хамгаалдаггүй
  • Сүлжээний удирдлагыг буруу хэрэгжүүлдэг, тохируулга муу (чиглүүлэгчийн сэргээгдэх чадвар)
  • Сүлжээний уулзваруудыг хамгаалаагүй г.м.
Бичиг баримттай холбоотой Хүнтэй холбоотой
  • Хамгаалалтгүй хадгалдаг, салан задгай
  • Муу арчилдаг, устгахдаа хяналт тавьдаггүй
  • Хуулбарлахад тавих хяналт сул, эсхүл байхгүй г.м
  • АБ-ын бодлого, Зөв ашиглалтын бодлого, бусад журам байхгүй
  • Хүн хүрэлцэхгүй
  • Техникийн мэдлэг хүрэхгүй
  • Гадуур хяналтгүй ажиллах, итгэмжлэгдсэн бус хүн ажиллуулах
  • Аюулгүй байдлын сургалт байхгүй, эсхүл сул
  • Аюулгүй байдлын мэдлэг байхгүй
  • ПХ, ТХ-ийг зүй бусаар, алдаатай ашиглах
  • Мониторингийн механизм байхгүй
  • Ажилд авахдаа шалгадаггүй г.м.

Аюулгүй байдлын хяналтууд

засварлах

Эрсдлийн үнэлгээн дээр тулгуурлан шаардлагатай зохих хяналтыг сонгох, хэрэгжүүлэх нь эрсдлийг бууруулах үндсэн арга хэмжээ байдаг. Хяналтууд мөн чанараараа янз бүрйн байж болох ч эцсийн дүндээ мэдээлэл, мэдээллийг дэмжих дэд бүтцийн нууцлагдсан, бүрэн бүтэн болон хүртээмжтэй байдлыг хангахад чиглэгддэг. MNS/ISO/IEC 27001:2008 стандартад байгууллагын доторхи янз бүрийн талбарт хэрэгжүүлж болох 133 хяналтыг тодорхойлсон. Байгууллага энэ стандартад дурдсанаас гадна бусад хяналтыг шаардлагын дагуу, хуулийн заалттай нийцүүлэн хэрэгжүүлж болно.

Хяналтуудыг дараах талбарт хэрэгжүүлнэ:

  • Захиргаа, удирдлага.
  • Биет орчин,
  • Техникийн орчин (ТХ, ПХ, холбоо, холболт, сүлжээ),
  • Ажиллах хүч

Хяналтын жишээ:

  • Эрсдлийн үнэлгээ, аудит, дотоод үнэлгээ
  • Бодлого болон дэг журам,
  • Хандалтын удирдлагын механизм,
  • Вирусын эсрэг ПХ,
  • Шифрлэлт ,
  • Тоон гарын үсэг,
  • Хянах, шинжлэх хэрэгслүүд,
  • Цахилгааны нэмэлт, нөөц эх үүсвэр
  • Мэдээллийн нөөц хуулбар г.м.

МАБ-ын зорилго болон стратеги

засварлах

МАБ-ыг хангахын тулд Зорилго – стратеги – бодлого – журам дэг гэсэн дарааллаар зохион байгуулалт, захиргааны арга хэмжээг хэрэгжүүлнэ. Үүнд Удирдлагын дэмжлэг, ойлголт маш чухал шаардлагатай.

  1. МАБ-ын бодлого нь байгууллагын нийтлэг зорилго, онцлогод захирагдсан байна
  2. Бодлого нь эрсдэлийн үнэлгээ, аудитын дүгнэлт, зөвлөмж дээр суурилна
  3. Байгууллагын АБ-ын бодлого – МАБ-ын бодлого - МХТ-ийн АБ бодлого
  4. Эхлээд “эрсдэлийн ямар түвшинг хүлээн зөвшөөрч болох вэ?” гэдэгт хариулсан байна.
  5. Дараа нь байгууллагын өмч хөрөнгө, түүний үнэ цэнийг тодруулна
  6. МАБ-ын зорилгоос хамаарч зохих стратегийг удирдлагын бүх түвшинд зөвшилцөн тохиролцсон байна.
  7. Сонгож авсан стратеги нь хамгаалж буй өмч хөрөнгийнхөө үнэ цэнэтэй дүйцсэн байна.
  8. Дээр дурдсан нэг болон түүнээс дээш асуултад “тийм” гэсэн хариу гарч байвал тухайн байгууллагад Мэдээллийн болон МХТ-ийн аюулгүй байдлын өндөр шаардлага тавигдах ёстой
  9. Тиймээс эдгээр шаардлагыг хангахуйц стратегийг сонгон авна.

Мэдээллийн аюулгүй байдлын стратегийн боломжит хувилбаруудын жишээ:

  • Зөвхөн аудит, эрсдлийн үнэлгээн дээр суурилан хяналтыг сонгох, бодлого, журмуудаа боловсруулж батлах, шинэчлэх, програм, техникийн шийдлүүд нэвтрүүлэх стратеги г.м.
  • Хортой кодын халдварыг багасгах стратеги
  • Системийн аюулгүй байдлыг гуравдагч талаар баталгаажуулах стратеги
  • Эрсдлийг үнэлэх стратеги болон арга,
  • Систем бүр аюулгүй байдлын бодлоготой байх стратеги,
  • Систем бүр аюулгүй байдлын үйл ажиллагааны журам, дэгтэй байх стратеги,
  • Эмзэг чухал мэдээллийг ангилах байгууллагын хэмжээний тогтолцоотой байх стратеги
  • Аюулгүй байдлын мэдлэг, сургалтын стратеги,
  • Бусад байгууллагатай холбогдох холболтын аюулгүй байдлыг өмнө нь шалгаж, нягтлах стратеги,
  • Байгууллагын хэмжээний мэдээллийн аюулгүй байдлын будлианыг удирдах стандарт тогтолцоотой байх стратеги
  • Бизнесийн тасралтгүй ажиллагааг хангах стратеги г.м.

Удирдлага

засварлах

МАБ-ын үр нөлөөтэй удирдлагын шинжүүд:

  • Байгууллагыг бүхэлд нь хамарсан
  • Манлайлагчид нь үүрэг, хариуцлага хүлээдэг
  • Бизнесийн зайлшгүй шаардлага хэмээн тооцдог
  • Эрсдэлд суурилсан
  • Хүн бүрийн гүйцэтгэх үүрэг, хариуцлага, чиг үүргийн хуваарилалтыг тодорхойлсон
  • Бодлогод тулгуурлаж түүний дагуу хэрэгждэг
  • Зохих нөөцөөр хангагдсан
  • Ажилтан бүр мэддэг, сургалтанд хамрагдсан
  • Зохих мөчлөгийн дагуу хэрэгждэг, хөгжүүлдэг
  • Төлөвлөгдсөн, удирддаг, хэмжигдэхүйц, үнэлэгдсэн
  • Нягтлан шалгаж, аудит хийгдсэн

Будлианы удирдлага

засварлах

Байгууллагын өгөгдөл мэдээлэл, түүнийг дэмжих дэд бүтэц, тухайлбал систем, сүлжээ, тооцоолох төхөөрөмж, ажилтнуудын хэвийн ажиллагаа, нууцлагдсан, хүртээмжтэй, бүрэн бүтэн байдалд зүй бусаар халдаж, зөрчиж буй аливаа үйлдлийг МАБ-ын будлиан, учрал гэж үзнэ. Үүнээс Эрүүгийн хуулинд заасан гэмт хэргийн шинжтэй үйлдлүүдийг “Кибер гэмт хэрэг”, Монгол Улсын Эрүүгийн Хуулиар “Компьютерийн Мэдээллийн Аюулгүй Байдлын эсрэг гэмт хэрэг” гэж үзнэ. Захиргааны хариуцлагын тухай хуулинд заасан үйлдлийн шинжийг агуулж байвал “Захиргааны зөрчил” гэж тооцоно.

Байгууллагад МАБ-ын аливаа будлиан учралыг бүртгэх, ангилах, таслан зогсоох, үр дагаврыг арилгах, урьдчилан сэргийлэх (хариу үйлдэл хийх) чиг үүрэгтэй ажилтан, бүлэг, баг, нэгж заавал ажиллах ёстой. Энэ ажилтан нэгж дараах чиг үүргийг гүйцэтгэнэ:

  • Байнгын мониторинг, хяналт хэрэгжүүлэх
  • МАБ-ын будлианыг тодорхойлох, ноцтой байдлаар нь ангилах
  • Зохих түвшин, ажилтан, удирдлага, компьютерийн аюулгүй байдлын баг (CSIRT)-т нэн даруй мэдэгдэх
  • Мөшгөн шалгах
  • Хор уршиг учрахаас сэргийлэх, бууруулах
  • Будлианы тархалтыг тогтоон барих, таслан зогсоох
  • Шалтгаан, үндэс суурийг арилгах
  • Баримтжуулах, нотлох баримт цуглуулах, бэхжүүлэх
  • Сургалт явуулах г.м.

Өөрчлөлтийн удирдлага

засварлах

Мэдээлэл боловсруулах орчинд орж буй аливаа өөрчлөлтийг (сервер, компьютер, сүлжээ, систем, програм хангамж, бүтэц, зохион байгуулалт, журамд орж буй) удирдах, хянах албан ёсны үйл явцыг “Өөрчлөлтийн удирдлага” гэнэ. Энэ удирдлагын үндсэн зорилго нь өөрчлөлттэй холбоотой үүсэж буй эрсдлүүдийг бууруулах, найдвартай, тасралтгүй ажиллагааг нэмэгдүүлэх, зорилготой. Гэхдээ мэдээлэл боловсруулах өдөр тутмын үйл ажиллагаа, зохих журмын дагуу хийгдэж буй ажлууд, тохируулга, шинэ хэрэглэгч нэмэх гэх мэт өөрчлөлтүүд энэ удирдлагад хамаарахгүй. Өөрөөр хэлбэл өндөр эрсдэл дагуулсан өөрчлөлтүүдийг удирдах удирдлага юм. МАБ-ын эрсдлийн удирдлагатай салшгүй холбоотой хэрэгжүүлнэ.

Өөрчлөлтийн удирдлага дараах үйл явцаар дамжин хэрэгжинэ:

  • Зайлшгүй шаардлагатай гэдгийг тодорхойлох.
  • Удирдлагаас батлах, сайшаах.
  • Төлөвлөх.
  • Тестелж турших.
  • Хуваарь гаргах.
  • Хамааралтай талуудад мэдээлэх.
  • Хэрэгжүүлэх.
  • Баримтжуулах.
  • Нягтлан шалгаж тайлан гаргах.

ISO/IEC 20000, The Visible OPS Handbook: болон Information Technology Infrastructure Library –д үр нөлөөтэй, үр дүнтэй өөрчлөлтийн удирдлага хэрэгжүүлэх зааварчлагыг тодорхойлсон байдаг.

Бизнесийн тасралтгүй ажиллагааг хангах

засварлах

Байгууллагын бүх үйл ажиллагаа МТ-оос хамаардаг болсон өнөө үед найдвартай тасралтгүй үйл явцыг хангахад чиглэсэн механизм буюу “Бизнесийн Тасралтгүй Ажиллагааны Удирдлага”-ыг хэрэгжүүлсэн байх ёстой.

Байгууллагын үйл явцын дотор МТ-ийн систем, сүлжээ, дэд бүцийн ажиллагаа, үйл явцын тасралтгүй байдал маш чухал үүрэгтэй. Тиймээс байгууллага “Бизнесийн Тасралтгүй Ажиллагааны Төлөвлөлт” болон “Онцгой байдлын үед сэргээн ажиллуулах төлөвлөгөө”-г боловсруулж хэрэгжүүлсэн, туршсан байх ёстой.

Онцгой байдлын үед сэргээн ажиллуулах төлөвлөгөө
засварлах

Бизнесийн тасралтгүй ажиллагааны төлөвлөгөөний дагуу ямар нэгэн онцгой байдал тохиолдсон үед мэдээллйн систем, дэд бүтцийн тасралтгүй ажиллагааг хангах, тасалдсан үед нь сэргээн ажиллуулах төлөвлөгөөг гаргасан, өгөгдөл мэдээллийн санг нөөцлөн хадгалсан байна. Онцгой байдал гэж тооцогдох аливаа үйл явдал тохиолдсон даруйд энэ төлөвлөгөөний дагуу ажиллаж хохирлоос урьдчилан сэргийлэх бүх арга хэмжээг авна.

Хууль хуульчилсан актууд

засварлах

Дэлхийн улсуудад мэдээллийн аюулгүй байдлыг хангах зорилготой “Холбооны Мэдээллийн Аюулгүй Байдлын Удирдлагын хууль”, “Өгөгдөл хамгаалах хууль”, “Компьютерийн технологийг хууль бус ашиглах тухай хууль”, “Грэмм-Лич-Блили-ийн хууль”, “Сарбанес Оксли-ийн хууль”, “Төрийн Байгууллагуудын сүлжээ, систем, компьютерийн аюулгүй байдлын хууль”, “Хувийн өгөгдөл болон цахим баримт бичгийн хамгаалалтын тухай хууль”, “Эрүүл мэндийн даатгалын хамгаалалт, хариуцлагын тухай хууль”, “Мэдээллийн аюулгүй байдлын тухай хууль”, “Харилцаа холбооны аюулгүй байдал, нууцлалын хууль”, “Кибер аюулгүй байдлын хуульчилсан акт” гэх мэт маш олон хууль хуульчилсан акт гарсан. Мөн олон улсын байгууллагуудаас төрөл бүрийн стандарт, актууд гаргасан. Тухайлбал Олон улсын санхүүгийн институт аюулгүй байдлын төрөл бүрийн гарын авлага, зааварчлага гаргасан бол Төлбөрийн Картын Аюулгүй Байдлын Стандартын Зөвлөлөөс олон төрлийн стандарт гаргасан.

Монгол улсад “Мэдээллийн Аюулгүй Байдлын хууль”, “Өгөгдөл хамгаалах хууль”-ийн төслүүдийг боловсруулж байна.

Монгол улсад

засварлах

МАБ-ын хуулиуд

  • Цахим гарын үсгийн хууль
  • Хувийн өгөгдлийн тухай хууль
  • Өгөгдөл хамгаалах тухай хууль
  • Харилцаа, Холбоо, Мэдээллийн технологийн хууль
  • Цахим хэлцлийн тухай хууль
  • Цахим засгийн тухай хууль
  • Тусгай зөвшөөрөл
  • Кибер аюулгүй байдлын тухай хууль

Олон улсын стандартууд

засварлах

Олон Улсын Стандартын Байгууллага - International Organization for Standardization (ISO) –аас МАБ-тай хамааралтай 27000 серийн стандартууд болон ISO 15443 зэрэг 50 гаруй стандарт гаргасан. Үүнээс 20 гаруй стандартыг доктор, профессор Т.Халтар хөрвүүлж Монгол Улсын үндэсний стандарт болгон батлуулсан байна.

Түүнээс гадна АНУ-ын Стандарт, Технологийн Үндэсний Институт, (NIST) болон ИБУИНВУ-ын Стандартын Байгууллага (BSI), Интернетийн Нийгэмлэг (IS), МАБ-ын форум (ISF), МАБ-ын мэргэжилтнүүдийн институт (IISP), ХБНГУ-ын МАБ-ын газар (Bundesamt für Sicherheit in der Informationstechnik - (BSI), Европын Холбооны Харилцаа Холбооны Стандартын Институт (ETSI)-ээс МАБ-ын төрөл бүрийн стандартыг боловсруулан гаргаж байна.

Мэргэжил

засварлах

Мэдээллийн Аюулгүй Байдлын мэргэжил нь тогтвортой бөгөөд эрэлт хэрэгцээ нь байнга өсөн нэмэгдэж буй мэргэжил болоод байна. 2014 – 2019 оны хооронд эрэлт хэрэгцээ нь жилд 11 хувиар өсөх таамаглал байна. Монгол улсад энэ чиглэлээр докторын зэрэг хамгаалсан цөөн эрдэмтэн, гадаадад болон дотоодод магистрын зэрэг хамгаалсан 10 гаруй мэргэжилтэн, систем болон сүлжээний хамгааллын чиглэлээр бакалаврын зэрэг хамгаалсан цөөнгүй мэргэжилтэн ажиллаж байна. Одоогийн байдлаар ШУТИС-ийн МХТС болон бусад зарим сургуульд “Системийн аюулгүй байдал” мэргэжлээр сургалт явуулж байна. Харин “Мэдээллийн Аюулгүй Байдал” мэргэжлээр мэргэжилтэн бэлтгэхгүй байна.

Дүгнэлт

засварлах

МАБ-ыг хангах нь хэзээ ч үл дуусах үйл явц бөгөөд “Ямар ч хэрэм босгосон хэн нэгэн этгээд түүнийг давах, нураах зэвсгийг зохион бүтээж байдаг” учир орчин үеийн бүх байгууллага Мэдээллийн Аюулгүй Байдлын Удирдлагын Тогтолцоо – ISMS заавал хэрэгжүүлсэн байх шаардлага тулгарч байна. Байнгын сургалт, хөгжүүлэлт, үнэлгээ, хамгаалалт, мониторинг, илрүүлэлт, будлианы хариу үйлдэл, сэргээн ажиллуулах үйл явц, баримтжуулалт, нягтлан шалгалтыг хийж байж л мэдээллийн эрин зуунд амжилттай ажиллана.

  • Т.Халтар. (2006-1). Мэдээллийн Аюулгүй Байдлын гарын авлага. ШУТИС-ийн хэвлэх үйлдвэр. УБ,
  • Т.Халтар. (2002-2014). Мэдээллийн Аюулгүй Байдлын стандартууд. www.estandard.gov.mn (MNS ISO IEC 27002-2007, MNS ISO/IEC 18028-4-2012, MNS ISO/IEC 13335-1-2009MNS, MNS ISO/IEC 27001-2009, MNS 5969-2009, MNS 6242-2-2011, MNS ISO IEC 27006-2014, MNS 6197-2011, MNS 6242-1-2011, MNS ISO/IEC 27035-2012, MNS 6068-2012, MNS ISO/IEC 18043-2013, MNS ISO/IEC 24773-2011, MNS 6248-2011, MNS 6246-2011, MNS 6245-2011, MNS 6244-2011, MNS 6243-2011, MNS 6247-2011, ISO/IEC 2382-8, MNS 6498-2015)
  • Krutz, Ronald L.; Russell Dean Vines (2003). The CISSP Prep Guide (Gold Edition ed.). Indianapolis, IN: Wiley. ISBN 0-471-26802-X.
  • Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8.
  • McNab, Chris (2004). Network Security Assessment. Sebastopol, CA: O'Reilly. ISBN 0-596-00611-X.
  • Peltier, Thomas R. (2001). Information Security Risk Analysis. Boca Raton, FL: Auerbach publications. ISBN 0-8493-0880-1.
  • Peltier, Thomas R. (2002). Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications. ISBN 0-8493-1137-3.
  • White, Gregory (2003). All-in-one Security+ Certification Exam Guide. Emeryville, CA: McGraw-Hill/Osborne. ISBN 0-07-222633-1.
  • Dhillon, Gurpreet (2007). Principles of Information Systems Security: Text and cases. NY: John Wiley & Sons. ISBN 978-0-471-45056-6.