Мэдээллийн нөөцийн аюулгүй байдлыг хамгаалах арга

             Яагаад мэдээллийн нөөцийг хамгаалах аргыг судлах хэрэгтэй вэ?
                                

Мэдээлэл нь байууллагын бусад эд хөрөнгийн нэгэн адил үйл ажиллагаа,ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой.Энэ нь улам бүр хамаарал,холбоотой болж буй ажил хэргийн ертөнцөд маш чухал болж байна.Өсөн нэмэгдэж буй энэ хамаарлын улмаас улам бүр олширч буй олон янзын аюул заналхийлэлд мэдээлэл өгтөгдөж байна.Мэдээлэл янз бүрийн хэлбэрээр оршин байж болно.Цаасан дээр хэвлэгдсэн,бичигдсэн,цахим хэлбэрээр нөөцлөгдсөн,дамжуулагдсан,янз бүрийн хальсан дээр бичигдсэн,эсвэл хүмүүсийн хооронд яригдсан байж болно.Мэдээлэл ямар хэлбэрээр бэхжэснээс ямар хэрэгслээр бүтээгдэж хадгалагдснаасаа үл хамааран зохих ёсоор хамгаалагдсан байх ёстой.Мэдээллийн аюулгүй байдал гэдэг нь ажил хэргийн тасралтгүй чанарыг хангах, эрсдлийг багасгах хөрөнгө оруулалтын үр ашиг,бизнесийн боломжийг нэмэгдүүлэхийн тулд хийж байгаа мэдээллийг олон янзын аюул заналхийллээс хамгаалах ажиллагаа юм.Энэ аюулаас хэрхэн хамгаалах,ямар аргаар хамгаалах мөн ямар үр дагавруудыг бий болгох талаар тодорхойлох нь энэхүү ажлын зорилго юм.  

  Мэдээллийн нөөцийн аюулгүй байдал гэж юу вэ?

Мэдээлэл нь байгууллагын үйл ажиллагаа,ажил хэргээ хэвийн явуулахад шаардагдах гол хөрөнгө учраас хамгаалагдсан байх ёстой.Мэдээллийн аюулгүй байдал нь мэдээлэл болон мэдээллийн системд зөвшөөрөлгүй хандах,мэдээллийг ашиглах ил болгох,өөрчлөх,хуулах,устгах,мэдээллийн системийн үйл ажиллагааг тасалдуулах,хянахаас хамгаалахыг хэлнэ. Мэдээллийн нөөцийн аюулгүй байдлыг хамгаалахдаа дараах аргуудаар хамгаалж болно. • техникийн • хууль эрх зүйн • програмчлалын Техникийн арга Уг арга нь техник, технологид суурилан хэрэгжүүлэх замаар аюулгүй байдлын эрсдлийг буруулах цогц арга хэмжээнүүдийг өөртөө агуулдаг. • Янз бүрийн цоож, хяналтын төхөөрөмж байрлуулах замаар гадны хүн орохыг хязгаарлах • Локаль сүлжээ, интернетээс нууц мэдээлэлтэй холбоогүй компьютеруудыг салгах, эсхүл сүлжээ хоорондын экраныг (дэлгэц) зохион байгуулах • Холбооны сувгаар мэдээлэл дамжуулах ажиллагааг инженер техникийн тусгай хэрэгслүүдийг ашиглан зохион байгуулах • Электрон соронзон болон дуу авианы сувгаар мэдээлэл алдагдах боломжийг дарах • Мэдээлэл боловсруулах автомат системийн зангилаа, хэсгүүдийн цахилгаан сүлжээнд чиглүүлэн үйлчлэхээс хамгаалах Мэдээллиййн нөөцийн аюулгүй байдлыг хамгаалах хангах техникийн арга болох сүлжээний аюулгүй байдлын 7 –н зарчим бий. Үүнд : 1. Сүлжээний эрсдлийг тооцох 2. Аль нэг стандарт, дүрэм журмыг дагаж мөрдсөнөөр нууцлал хамгаалалт хангагдсан гэж найдахгүй байх 3. Хүмүүсээс шалтгаалан учирч болох эрсдлийг тооцох 4. Олон зүйлд чиглэсэн олон хандалтын эрхтэй байх;5. Програмын сул талуудыг нөхөх арга ажиллагааг тогмтол авч хэрэгжүүлэх 6. Түүх бичилтүүдийг шүүх, мониторинг хийх 7. K.I.S.S (keep it simple stupid) зарчмыг баримтлах

Мэдээллийн аюулгүй байдлыг хангах арга зам: 1. Гадаад дотоод байдлын тухай олон эх сурвалж бүхий мэдээллийн сантай байх 2. Хэвлэл мэдээллийн байгууллага,хэрэгсэл гадаадын байгууллага буюу иргэдийн эрхшээлд орох явдлаас сэрэмжлэх 3. Хэвлэл мэдээллийн байгууллагууд үнэн бодитой мэдээ,мэдээлэл түгээх эрх зүйн үндсийг тогтоох 4. Компьютерт байгаа мэдээллийг хамгаалах улсын тогтолцоо,эрх зүйн хамгаалалт буй болгох 5. Олон улсын мэдээллийн байгууллагууд нэгдэж орох,Монгол Улсын тухай үнэн бодит мэдээллийг шуурхай түгээх 6. Хэвлэл мэдээллийн байгууллагууд ардчилал олон ургальч үзлийг хөгжүүлэн бэажүүлэхийг эрхэмлэх,үнэн бодит байдлыг зориуд гуйвуулж ашиглахгүй байх 7. Монгол улсын тусгаар тогтнол,монгол соёл,зан заншилд харш мэдээллийн түрэлтээс сэрэмжлэх 8. Хэвлэл мэдээллийн байгууллагууд болон мэдээллийн бусад эх сурвалжууд үндэсний аюулгүй байдлын талаар шалгагдсан мэдээ,мэдээллийг түгээх замаар,аюулгүй байдлын мэдээллийн орчинг бүрдүүлэх

Хууль эрх зүйн арга хэмжээ

Мэдээллийн аюулгүй байдлын талаар төр засгийн түвшиндээ төдийгүй албан байгууллага хувь хүн хүртэл дор бүрнээ зохих мэдлэгтэй байх хэрэгтэй.Мэдээллийн нөөцийн аюулгүй байдлыг хангах тал дээр гадаадын өндөр хөгжилтэй орнуудын туршлагаас харахад хууль эрх зүй, удирдлага, бүтэц зохион байгуулалт, техник технологийн цогц аргаар хангадаг. Үүнээс үзэхэд мэдээллийн аюулгүй байдал нь дан ганц мэдээллийг нууцлах, хамгаалах, хадгалах тухай асуудал бусбайна.Үүний цаана хүний үг хэлэх, үзэл бодлоо илэрхийлэх, мэдээлэл олж авах эрх, эрх чөлөө бас давхар хамгаалагдаж байх ёстой. Энэ утгаараа өгөгдлийг хууль бусаар боловсруулахаас сэргийлэх арга хэмжээ, бүртгэлийн аюулгүй байдлыг хангах арга хэмжээ авах буюу хууль эрхзүйн зохицуулалт зайлшгүй шаардлагатай болдог. Програмчлалын хамгаалалт Мэдээлэлд зөвшөөрөлгүй хандах, хуулах, өөрчлөх, устгахаас хамгаалах зориулалттай компьютерийн програм хангамж нь: • Үйлдлийн систем, лиценз, шинэчлэл (update), нөхөөс; • кодны эсрэг програм; (анти-вирус, анти-Spyware, троян устгагч) • Криптограф (SSL, TSL, PGP, VPN, PKI) гэх мэтээр ангилагдана. Өгөгдөл хууль ёсны этгээдээр үүсгэгдсэн, санамсаргүй болон санаатай халдлага, гэмтэлд өртөгдөхгүй байх гэсэн өгөгдлийн жинхэнэ байх чанарыг хангах ёстой ба үүнд мэдээллийнбүх төрлийн гэмтэл, гажуудал, алдааг илрүүлэх, өгөгдлийн санд хандах хандалтын хяналт, шифр ашиглаж байгаа үед түлхүүрийг зөв удирдах гэсэн системийн чадвар мөн шаардлагатай. Мэдээллийг хамгаалах хүрээнд ихэвчлэн дараах асуудлыг авч үздэг. • Физик хамгаалалт Үүнд компьютер,техник хэрэгсэл,програм хангамж,сүлжээ зэргийн хамгаалалтыг авч үздэг. Физик хамгаалалтын хүрээнд ажилтнуудын оролт гаралтын бүртгэлийн систем,карт уншигч машин зэрэг компьютерийн өрөөний оролтыг хянах,өгөгдлийн нөөц хувийг тогтмол хадгалах,ус болон гал үл нэвтрэх гэзарт өгөгдлийг хадгалах зэрэг орно.Системийн шинжээч компьютер,техник хэрэгсэл,програм хангамж,сүлжээ төвлөрөх үед физик хамгаалалтын асуудлыг давхар авч үзэх шаардлагатай. • Логик хамгаалалт Үүнд програм хангамжийн логик хамгаалалтын асуудлыг авч үзэх ба хамгийн наад захын жишээ бол системд хандах хэрэглэгчийн нууц үг буюу хандалтын код болно. Логик хамгаалалт нь хэрэглэгчийн систем,өгөгдлийн сан,систем болон өгөгдлийн сангийн тодорхой хэсэгт хандах хандалтыг зохицуулж,системийг зөвшөөрөлгүй хандалтаас хамгаална. • Хамгаалалтын бодлого Үүнд тухайн байгууллагын зарлалын самбар дээрх мэдээллээс өгсүүлээд бодлогын чанартай бүх баримт бичгүүд хамрагдана.Хамгаалалтын асуудлаарх бодлогын баримт бүчгүүдийг боловсруулж,ажилтнуудад хэвлэн тарааж,улиаар шаардлагатай тохолдолд нэмэлт өөрчлөлтййг хийж,эдгээр өөрчлөлтийн талаар мэдээлж байх шаардлагатай Мэдээллийн нөөцийг хамгаалах хэрэгслүүд Телефон утасны суваг ашиглан тагнахаас хамгаалах хэрэгсэл GSM-900/1800, E-GSM, AMPS/DAMPS, CDMA, NMT-450 стандартын үүрэн телефоны сувгийг ашигладаг чагнах, сонсох хэрэгслүүдийн ажиллагааг дарах Moziak серийн хэрэгслүүд. Гар утасны хүлээн авах зурвасыг дарах шуугиан үүсгэх зарчмаар ажилладаг

Орон зайд шуугиан үүсгэгч, дуу авиа болон доргион дуу авианы шуугиан үүсгэгч генератор

 Шуугиан үүсгэгч

Байшин, барилга, өрөө тасалгаанд явагдаж буй яриаг зайнаас бичиж авдаг төхөөрөмжүүдийн ажиллагааг дарах зориулалттай шуугиан үүсгэгч, дуу авиа болон доргион-дуу авианы шуугиан үүсгэгч генератор VNG-012GL. Энэ төхөөрөмжийг тодорхой барилга байгууламжид байнга суурилуулан ажиллуулдаг, гэхдээ зөөвөрлөн ажиллуулах бүрэн боломжтой.

 Гар утасны яриа хаагч

Нууц яриа явагдаж байх үед гар утсаар дамжуулан яриа сонсох, эсхүл гадагш холбоо барих, мэдээлэл гаргах боломжийг хаах зориулалттай “Хөшиг” төхөөрөмж.Уг төхөөрөмж маш энгийн ажиллагаатай бөгөөд GSM, CDMA, DAMPS стандартаар ажилладаг гар утасны яриаг боломжгүй болгох зориулалттай.

 Шуугиан үүсгэгч генератор “Купол”

Мэдээллийг хууль бусаар хуулах, алсын зайнаас радио долгионоор удирдах техник хэрэгслийн үйл ажиллагааг дардаг шуугиан үүсгэгч генератор. Энэ генератор нь электрон тагнуулын хэрэгслүүдийн эсрэг үйлчлэхээс гадна радио удирдлагатай төхөөрөмжүүдийг, тухайлбал тэсрэх төхөөрөмжийн удирдлагыг хааж чадна. • Диктофоны бичлэгийг дарах төхөөрөмжүүд • Цахилгаан сүлжээний генераторууд, сүлжээний шүүгчид • Мэдээллийг нууцаар барьж авах хэрэгслүүдийг илрүүлэх иж бүрдэл болон төхөөрөмжүүд • Шугамын бус локаторууд

 Лорнет

Хагас дамжуулагч бүхий аливаа тагнуулын электрон хэрэгслийг ямар ч газарт илрүүлэх чадвартай, авч явахад хялбар шугамын бус локаторууд. Жижиг батерейгаар ажиллана.

Мэдээллийг энгийн аргаар яаж хамгаалах вэ? Бид өөрсдийн хэрэгцээт мэдээллээ комюьютер дээрээ хадгалдаг.Өдөх тутам хийдэг ажил болон хичээл бусад өргөн хүрээний төрөл бүрийн мэдээлэл компьютер дээр хадгалагдсан байдаг.Хэрвээ компьютерээ бусадтай хамтран эзэмшдэг,сүлжээний орчинд ажилладаг,бусад хүмүүс таны компьютерт ямар нэгэн байдлаар хандах боломжтой бол та хэрэгцээт чухал мэдээллээ өөрийн хувийн файлуудаа нууж,хамгаалах нь зүйтэй.Хэрэгцээт мэдээллээ энгийн аргаар найдвартай хамгаалах энгийн нэг арга бол хувийн файлуудыг хамгаалахад туслах зориулалтын ашиглахад хялбар программыг сонгож аваад хэрэглэх хэрэгтэй.Ийм зориулалтын програм их өргөн дэлгэрсэн байдаг.Жишээ нь www.folderhider.com вэб сайтад дээрх чиглэлийн хувилбарыг татаж аваад иэршиж үзэж болно.Туршилтын хувилбарууд нь ихэвчлэн 14-20 хоногийн хязгаарлашдмал хугацаатай байдаг.

Мэдээллийн нөөцийг хамгаалснаар гарах давуу тал Байгууллагуудад одоо ашиглаж байгаа мэдээллийн нөөцийн хамгаалалтын арга хэрэгсэл,шийдлүүд болон шинээр гарч буй арга хэмжээнүүдийг нэгтгэн уялдуулах замаар байгууллагын сүлжээ,системийн мэдээллийг аюулгүй байдлыг хангаснаар асуудлыг шийдэж,сул талаа гэхээсээ илүү давуу талыг бий болгох боломжтой.

Давуу талууд: • Мэдээллийн аюулгүй байдлын програм хангамжийн техник бий болно • ОЛон жижиг шийдлүүдийг байнга худалдан авч нэмж суурилуулах шааррдлагагүй болно • Аюулгүй байдлын бүрдэл хэсгүүдийн дээд зэргийн уялдаа хангагдна • Ажилтнуудын ойлголт мэдлэг чадвар дээшилнэ • Цаг хэмнэнэ • Гарах муу үр дагавар багасна • Оюуны өмч алдагдах нь багасна • Хэрэглэгчдийн таньж зөвшөөрөх • Хандалтын хязгаарлах • Мэдээлэл хамгаалах програмын хэрэгслүүдийг удирдаж чаддаг болох • Аливаа будлиан,учрал,тохиолдлыг аюцлгүй байдлын бүртгэл хийж үлдээх • Програм хангамжийн бүрэн бүтэн байдал,хэвийн ажиллагааг хангаж чадах • Эрсдлийг бууруулна • Буруу ташаа мэдээлэл багасна • Мэдээллийн нөөцийн хэмжээ ихэснэ


   Байгууллагууд яаж мэдээллийн нөөцөө хадгалдаг тухай

Мэдээлэл нь байууллагын бусад эд хөрөнгийн нэгэн адил үйл ажиллагаа,ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг гэж дээр дурдсаны дагуу байгууллага мэдээллээ ямар аргаар хамгаалж байгааг “ХАС”банкин дээр жишээ авч үзье. Хасбанк нь доор дурдсан аюулгүй байдлын аргуудыг ашиглан таныг цахим банкаар үйлчлүүлэх үед таны мэдээллийг хамгаалдаг. • Нэвтрэлтийн мэдээлэл - ХасБанкны цахим үйлчилгээнд нэвтрэх болгонд таны сүүлийн нэвтрэлтийн цаг өдрийг харуулж байх болно.Хэрвээ та нэвтрүүлээгүй бол,зөвшөөрөлгүй нэвтрэлтийг мэдэх боломжтой • SSL Сертификат- Тогтвортой ажиллагаа,бичиг баримтын найдвартай хадгалалт,ашиглан мэдээллийн нууцлан чандлах,уян хатан хэрэглэгчдийн тохиргоо,хэрэглэгчдийн харьяалагдах баг болон өөрийн зохих хүрээгээр хандалт нв хязгаарлагдана. • Галт хана – ХасБанкны цахим хуудсуудыг явууулж байдаг компьютерийн серверүүд маань зөвшөөрөлшүй нэвтрэлтээс сэргийлэх галт ханануудыг ажиллуулдаг. • Нэвтрэлтйг нууцлах – Та ХасБанкны интернет банкны цахим хуудсанд нэвтэрээд системээс гараагүй удсан тохиолдолд систем таныг автоматаар гаргана.Дахин үргэлжлүүлэхийн тулд та өөрийн хэрэглэгчийн дугаар болон нууц үгээ дахин хийх хэрэгтэй.Энэ нь таны зөвшөөрөлгүй хийгдэх аливаа эрсдэлээс таныг хамгаалах болно. ХасБанк нь цахим мэдээллээ дараах аргуудыг ашиглан хамгаалдаг. • Та цахим банкны үйлчилгээ авахдаа өөрийгөө ХасБанкны сайт дээр байгаагаа батлан шалгах нь мэдээллийн хадгалж байгаан нэг хэлбэр юм.Та өөрөө www.xacbank.mn гэсэн хаягийг вэб хөтөчдөө бичин нэвтрэх нь илүү найдварьай хадгалах арга. • Хэрвээ та сэжиг бүхий цахим шуудан хүлээн авбал тэнд байгаа ямар ч холбоос дээр дарж болохгүй.Түүнчлэн уг цахим шууданд хариу бичих шаардлагагүй Зүгээр л устгах хэрэгтэй.Ингэснээр таны мэдээллийн нөөцийн аюулгүй байдал алдагдахгүй байх болно.


           ДҮГНЭЛТ

Монгол улсад төдийгүй дэлхий дахинд мэдээллийн нөөцийн аюулгүй байдал алдагдаж байгаа бөгөөд үүнийг хамгаалах бодлого,хөтөлбөр,дэгээ батлан гаргах,даган мөрдөх,хэвшүүлэх,зохих техникийн арга хэмжээ,шаардлагатай сөрөг арга хэмжээг авч хэрэгжүүлэх ёстой.Интернэтээр дамжин гаднаас орж ирэх төрөл бүрийн халдлага,довтолгоон жил бүр нэмэгдэж,учруулах хохирол нь ихэссэээр байхын зэрэгцээ дотроос эх үүсвэртэй халдлага,будлиан,зөрчил,гэмт хэргүүд ч маш их нэмэгдэж байна.Байгууллагын сүлжээг унагадаг,ажиллагаанаас гаргадаг,сервер,компьютерүүдэд хадгалагдаж буй өгөгдөл,мэдээллийг хулгайлах,устгах,өөрчлөх,хэргэлээний програмуудыг эвдэлдэг 1000 орчим халдлагаас гадна ажилтнуудыг хууран мэхэлж мэдээлэл авдаг,залилдаг олон төрлийн үйл ажиллагаа дэлгэрч байна.Гэтэл Монголд улсын байгууллагуудын мэдээллийн сүлжээ,систем нь заналхийлж буй эдгээр аюулыг сөрөн зогсох чадваргүй байдал,цоорхойтой,байгууллагууд мэдээллийн аюулгүй байдлын бодлого,хөтөлбөр,дэгүүдх хэрэгждэггүй,ямар ч удирдлагагүй байгаа нь мэдээллийн нийгмийн хөгжлөөс эрс хоцрогдсоныг харуулж байна.Өнөөгийн нөхцөлд байгууллага мэдээллийн аюулгүй байдлаа хадгалж чадахгүй бол өрсөлдөх чадваргүй,ашиг орлого,хэмнэлтгүй,өрөгжин хөгжих боломжгүй орчин үеийн удирдлага хэрэгжихгүй явсаар улмаар дампуурах аюулд өртөх болно.Тиймээс мэдээллийн нөөцийн аюулгүй байдлыг хамгаалахын тулд дэлхий нийтэд олон арга хэмжээг санал болгодог болсон.Манай улс энэ арга хэрэгслийг ашиглан мэдээллийг нөөцийг тодорхой хэмжээгэр хамгаалж чадвал өөрийн үйл ажиллагаа бизнестээ сайн үр дагавар,ололтуудыг бий болгохоос гадна мэдээллийн технологийн дэвшилд хувь нэмэр оруулж чадна.