Мэдээллийн аюулгүй байдал: Засвар хоорондын ялгаа
Content deleted Content added
Оршил |
|||
Мөр 5:
Мэдээллийн салбарт Нууцлагдсан ({{Lang-en|Confidentiality}})—Бүрэн бүтэн ({{Lang-en|Integrity}}) — Хүртээмжтэй ({{Lang-en|Availability}}) байдлыг баталгаажуулах тухай ойлголт багтана. Мэдээллийн аюулгүй байдлын дөрвөн зарчим: Зөв мэдээллийг —Зөв хүнд — Зөв цагт—Зөв хэлбэртэй хүргэж байх.
== Тодорхойлолт ==
Мэдээллийн аюулгүй байдал гэсэн томъёоллын тухай дэлхий дээр дараах олон янзын тодорхойлолт байдаг:
# “Мэдээллийн нууцлагдсан, бүрэн бүтэн болон хүртээмжтэй байдлыг хангасан байдал”. Тодруулга: Үүнээс гадна үнэн бодит байдал, тайлагнах байдал, үл татгалзах байдал, найдвартай байдал гэсэн шинж чанар байна. (ISO/IEC 27000:2009)
# "Нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангах үүднээс Мэдээлэл, мэдээллийн системд зүй бус, зөвшөөрөлгүй хандах, ашиглах, нээлттэй болгох, эвдлэх, өөрчлөх, устгах үйлдлээс хамгаалсан байдал." (CNSS, 2010)
# "зөвхөн эрх олгодсон хэрэглэгч (нууцлагдсан байдал) үнэн зөв бүрэн мэдээлэлд (бүрэн бүтэн байдал) шаардлагатай үедээ хандах (хүртээмжтэй байдал) боломжийг баталгаажуулсан байх." (ISACA, 2008)
# "Мэдээллийн эрсдэл болон хяналтууд тэнцвэртэй байгаа гэдгийг сайн мэдэж байгаа мэдрэмж." (Anderson, J., 2003)
# "МАБ гэдэг нь мэдээллийг хамгаалж зүй бус талуудад мэдээлэл задрах эрсдлийг багасгахыг хэлнэ." (Venter and Eloff, 2003)
# "Ямар ч хэлбэрийн мэдээллийг хаана байгаагаас нь (байгууллагын дотор, эсхүл гадна) үл хамааран мэдээлэл үүсгэж, боловсруулж, хадгалж, дамжуулж, устгаж байгаа системийн хүрээнд хүртээмжтэй бүх төрлийн механизм (зохион байгуулалт, техник, хүнээс хамааралтай болон хууль зүйн) ашиглан аюулгүй байдлын тогтолцоо хэрэгжүүлэх судалгаа, мэргэжлийн олон талт үйл ажиллагаа.
Мэдээллийн аюулгүй байдлыг хангах дараах 4 түвшинг ангилж үздэг.
* Эрх зүйн түвшин: МАБ-ын талаар хууль, эрх зүйн актууд, үндэсний хэмжээний стандарт
* Захиргаа удирдлагын түвшин: байгууллагын МАБ-ын үзэл баримтлал (стратеги), бодлого (тактик), хөтөлбөр, хяналт
* Дэгийн түвшин: байгууллагад хэрэгжүүлсэн МАБ-ын дэг, журам, үйл ажиллагааны арга барил
* Програм-техникийн түвшин: Мэдээллийн болон сүлжээ, системийн аюулгүй байдлыг хангах зориулалттай төрөл бүрийн тоног төхөөрөмж, програм хангамжууд
== Үндсэн ойлголт ==
Анх “Компьютерийн Аюулгүй Байдал”, “Мэдээллийн Технологийн Аюулгүй Байдал” гэсэн ойлголтууд байсан бөгөөд зөвхөн технологитой холбоотой аюулгүй байдлыг илэрхийлж байсан. Улмаар хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдэлүүд нэмэгдсэн учир утга нь өргөсөж “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээн нэрлэж байна.
МАБ-ыг хангах үндэс суурь нь эрсдэлийн үнэлгээ, эрсдэлийн удирдлага байна. Эрсдэл гэдэг ойлголт нь аюул, эмзэг байдлын хослолоос үүсдэг.
=== Аюулууд ===
''Аюул'' – МАБ-ыг ямар нэг байдлаар зөрчиж болох боломжуудыг хэлнэ. Аюул заналхийллийг хэрэгжүүлэх оролдлогыг халдлага, довтолгоон гэнэ. Ийм оролдлого хийж буй этгээдийг гэмт санаатан буюу халдагч гэнэ. Тэд аюул заналхийллийн эх сурвалж болдог. Аюул заналхийлэл нь зорилготой санаатай МАБ-ын удирдлага, зохион байгуулалт, Мэдээллийн Систем, сүлжээн дахь эмзэг байдал, цоорхойг ашиглан нэвтэрч хэрэгжүүлдэг. Цоорхойг хаах, арилгах хүртэл түүнийг ашиглах боломж оршсоор байна. Үүний аюул заналхийллийн цонх гэдэг. Цонх байгаа тохиолдолд амжилттай довтолгоон хийх боломж оршсоор байна. Шинэ цоорхой, эмзэг байдал, түүнийг ашиглах хэрэгсэл, арга байнга шинээр үүсэж, бий болж байдаг тул аюул заналын цонх байнга оршин байдаг, тиймээс эдгээр цонхыг байнга хянан шалгаж, шуурхай бөглөж байх ёстой.
Орчин үеийн мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтэц маш олон төрлийн аюултай нүүр тулж байна. Өргөн утгаар нь орчны, жам ёсны болон байгалын гаралтай аюул, техникийн болон хүнээс хамааралтай аюул гэж ангилж болно. Хүнээс хамааралтай аюулыг санаатай, санамсар болгоомжгүй гэж ангилна. Мөн дараах шалгуураар ангилж болно:
* МАБ-ын үндсэн бүрдэл хэсгүүдээр нь: (хүртээмжтэй байдал, бүрэн бүтэн, халдашгүй байдал, нууцлалд заналхийлж буй аюул);
* Мэдээллийн системийн бүрдэл хэсгүүдээр нь: (өгөгдөл, ПХ, тоног төхөөрөмж, сүлжээ, дэмжигч дэд бүтцэд заналхийлж буй аюул);
* Хэрэгжүүлэх аргаар нь: (тохиолдлын/ санаатай үйлдэл, жам ёсны болон техногенный шинжтэй аюул);
* Аюул заналхийллийн эх сурвалж байгаа газраар нь (МС-ийн дотор/гадна байгаа аюул).
* Нийгмийн салбараар нь (Улс төрийн тогтолцооны эсрэг, Батлан хамгаалах чадварын эсрэг, нийгмийн сэтгэл зүйг удирдах чиглүүлэх зорилготой, нийгмийн онц чухал дэд бүтцийн эсрэг аюулууд гэх мэт).
Аюул болгон өөрийн гэсэн шинж чанар бөгөөд дараах бүрдэл хэсэгтэй:
* Эх сурвалж, ж нь: гадна болон дотоод,
* Сэдэл: жнь: санхүүгийн сонирхол, шунахай санаа, өрсөлдөөнд ялах
* Давтамж
* Магадлал
* Үйлчлэл, нөлөөлөл, уршиг.
Зарим аюул хэд хэдэн эд хөрөнгөд хор хохирол учруулж болно. Ямар эд хөрөнгөөсөө хамаараад үйлчлэл нь өөр өөр байж болно. Жнь: нэг компьютер дээр суусан програмын вирус аюул багатай байхад сүлжээний сервер дээр энэ вирус суувал илүү хортой үр дагавартай. Аюул, халдлагууд хэдэн зуун мянган хэлбэр, төрөлтэй болсон. Бүгдийг дурдах боломжгүй, зарим нийтлэг аюулын жишээг дараах хэсгээс харна уу:
* Хортой кодууд
** Вирус
** Өт
** Трояны морь
* Хууль бусаар нэвтрэх (зүй бусаар хандах)
Line 76 ⟶ 51:
* Social engineering – нийгмийн боловсруулалт
** Хууль бусаар хандахын тулд хэрэглэгчийг хууран мэхлэх
** Хэрэглэгчийг хуурч мэдээлэл авах, мөнгө, баялаг авах
===== Аюул хэрэгжсэний улмаас үүсэх хор хохирол =====
'''Ямар нэг эд хөрөнгөд хамааралтай аюулын улмаас үүссэн МАБ-ын будлианы үр дүн нь хор уршиг байдаг. Тухайлбал:'''
* Зарим эд хөрөнгийг устгах, МС-ийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй ажиллагаа, сэргээгдэх шинж, бодит байдал, найдвартай шинжийг алдагдуулах хор уршиг учирч болно.
* Шууд бус хор хохирол нь санхүүгийн алдагдал, зах зээлээ алдах, нэр хүндээ алдах г.м
* Будлианы давтамжийг онцгой анхаарна.
* Хор хөнөөлийг үнэлэх нь эрсдэлийг үнэлэх, хамгаалалтын арга хэмжээг сонгоход их нөлөөтэйн.
* Хор хөнөөлийг тоон болон чанарын талаас хэмжихэд дараах аргуудыг ашиглана:
** Санхүүгийн алдагдлыг тооцох,
** Ноцтой байдлыг нь үнэлэх, жнь: 1-ээс 10 хүртэл оноогоор
** Урьдчилан гаргасан жагсаалтын тодорхойлолт, шинжүүдийг ашиглах, жнь: Их, дунд зэрэг, бага г.м.
=== Эмзэг, сул байдлууд ===
==== Орчны болон дэд бүтцийн ====
* Байшин, цонх, хаалганы биет хамгаалалт сул байх
* Нэвтрэн орох явцыг муу хянах, буруугаар ашиглах
* Цахилгааны щитээ муу хамгаалах
* Үерт автагдах боломжтой газар байрлах
* Галын аюулаас сэргийлэх шаардлага хангадаггүй
* Аянга хамгаалагч байхгүй г.м.
==== Техник хангамжийн ====
* Үе үе сольж байрлуулах схем байхгүй
* Хүчдэлийн хэлбэлзэлд мэдрэмтгий
* Температурын хэлбэлзэлд мэдрэмтгий
* Нар, шороо, чийгэнд мэдрэмтгий
* Цахилгаан соронзон туяанд мэдрэмтгий
* Үйлчилгээ хийгддэггүй, санах төхөөрөмжүүдийг буруу суулгах
* Конфигурацийн өөрчлөлтийн хяналт тавьдаггүй г.м.
==== Програм хангамжийн ====
* Тестлэгдээгүй, муу тестэлсэн ПХ
* Ойлгоход хэцүү интерфейс
* Адилтгах, таньж зөшөөрөх систем муутай
* Хяналтын бичлэг хийгддэггүй
* Эх код нь олон цоорхойтой, арын хаалга нь ил тод
* Нууц үгийн системийн хамгаалалт муу, эсхүл байхгүй
* Нууц үгийн удирдлага сул
* Хандалтын эрхийг буруу хуваарилах
* ПХ-ийг хяналтгүй татаж авах, суулгах, ашиглах
* Компьютерээ орхихдоо системээс гардаггүй
* Өөрчлөлтийн үр дүнтэй удирдлага байхгүй
* ПХ-ийн дагалдах бичиг баримтууд байхгүй
* Нөөц хуулбар хийдэггүй
* Өгөгдлийг зохих ёсоор арилгалгүйгээр санах төхөөрөмжийг дахин ашиглах, зөөвөрлөх, гаргах г.м.
==== Холболтын ====
* Холболтын шугамаа хамгаалаагүй
* Кабелийн холболт чанар муутай
* Илгээгч, хүлээн авагчийг адилтгаж, таньж баталгаажуулдаггүй, эсхүл сул, ганцхан шаттай
* Нууц үгийг илээр дамжуулдаг
* Мэдээлэл илгээсэн, хүлээн авсныг баталгаажуулдаггүй
* Dial up болон утасгүй холболт ашиглах
* Эмзэг трафикийг хамгаалдаггүй
* Сүлжээний удирдлагыг буруу хэрэгжүүлдэг, тохируулга муу (чиглүүлэгчийн сэргээгдэх чадвар)
* Сүлжээний уулзваруудыг хамгаалаагүй г.м.
==== Бичиг баримттай холбоотой ====
* Хамгаалалтгүй хадгалдаг, салан задгай
* Муу арчилдаг, устгахдаа хяналт тавьдаггүй
* Хуулбарлахад тавих хяналт сул, эсхүл байхгүй г.м
==== Хүнтэй холбоотой ====
* АБ-ын бодлого, Зөв ашиглалтын бодлого, бусад журам байхгүй
* Хүн хүрэлцэхгүй
* Техникийн мэдлэг хүрэхгүй
* Гадуур хяналтгүй ажиллах, итгэмжлэгдсэн бус хүн ажиллуулах
* Аюулгүй байдлын сургалт байхгүй, эсхүл сул
* Аюулгүй байдлын мэдлэг байхгүй
* ПХ, ТХ-ийг зүй бусаар, алдаатай ашиглах
* Мониторингийн механизм байхгүй
* Ажилд авахдаа шалгадаггүй г.м.
*
== Мэргэжил ==
Line 169 ⟶ 133:
== Үндсэн зарчим ==
МАБ-ыг хангахад дараах үндсэн зарчмыг баримталдаг:
* Эрсдэлийн удирдлага: Зохих арга хэмжээг хэрэгжүүлэх замаар байгууллагын эд хөрөнгийг (мэдээллийн) хамгаалсан байна. Эрсдэлийн удирдлагын зохистой аргачлал дээр суурилан аюулгүй байдлын арга хэмжээг сонгож, хэрэгжүүлнэ. Энэ аргачлалын дагуу эд хөрөнгө, аюул, эмзэг байдал, түүний нөлөөлөл зэргийг үнэлж эрсдэлийг бууруулж, хязгаарлана.
* Үзэл бодол, хандлага: МАБ болон эрсдэлийн удирдлагад хандах байгууллагын хандлагыг зөв тодорхойлох. Зөв хандлага бий болгохын тулд МАБ-ыг хэрэгжүүлсний ашиг тусыг тодорхойлсон байна.
* Гүйцэтгэх болон хүлээх үүрэг: Эд хөрөнгийг аюулгүй байлгах үүргийг удирдлага хүлээнэ. МАБ-ын талаар гүйцэтгэх болон хүлээх үүргийг тодруулж бүгдэд мэдэгдсэн, хэвшүүлсэн байна.
* Зорилго, стратеги, бодлого: Байгууллагын зорилго, стратеги, бодлогын дагуу эрсдэлийг удирдана.
* Үйл ажиллагааны мөчлөгийн удирдлага: Байгууллагын үйл ажиллагааны бүх мөчлөгтэй МАБ-ын удирдлага нийцсэн байна.
=== МАБ-ын мөн чанар ===
Мэдээллийн Аюулгүй Байдлын мөн чанар буюу онцлог шинжүүд буюу өөрөөр хэлбэл англиар CIA гурвалжин гэгддэг 1. Нууцлагдсан байдал - Confidentiality, 2. Бүрэн бүтэн байдал - Integrity болон 3. Хүртээмжтэй байдал - Availability (НБХ - CIA) нь суурь ойлголт юм. Мэдээлэл, мэдээллийг дэмжих дэд бүтэц, орчны нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангаж чадсанаар МАБ-ыг хангана.
* Хүртээмжтэй байдал – Availability: Хүртээмжтэй байдал буюу мэдээллийн нөөц, үйлчилгээг хүссэн үедээ, дурын цэгээс ашиглах боломж
* Бүрэн бүтэн байдал – Integrity: Бүрэн бүтэн байдал буюу мэдээлэл цаг үедээ нийцсэн, зөрчилдөөнгүй, хууль бусаар, зөвшөөрөлгүй өөрчлөх, нөлөөлөхөөс хамгаалагдсан байх
* Нууцлагдсан байдал, нууцлал – Confidentiality: Нууцлагдсан, хамгаалагдсан байдал буюу үйлчилгээ, бүрдэл хэсгүүд болон дэд бүтцийн элементүүд хууль бус нэвтрэлтээс хамгаалагдсан байх, зөвхөн эрх бүхий этгээд хандах боломжийг хангасан байх.
Үүнээс гадна Үнэн бодит байх - Authenticity, Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation -ийг хангасан байх нь МАБ-ыг хангах үндсэн шалгуурууд болдог.
* Үнэн бодит байх – Authenticity: Мэдээллийн технологид өгөгдөл, хэлцэл, холболт, баримт бичгүүд жинхэнэ бөгөөд үнэн бодитой байх шаардлагатай. Энэ шаардлагыг хангаж чадахгүй бол хэрэглэгч болон талуудыг баталгаажуулах, зүй бус, гэмт үйлдлийг нотлох, тодорхойлох боломжгүй болдог. Тиймээс МАБ-ыг хангахад дээрх шинжийг хангасан байх нь чухал үүрэгтэй.
* Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation: Хууль зүйн ухаанд гэрээгээр хүлээсэн үүргээ чандлан биелүүлэх, үүрэг болон хэлцлээсээ татгалзах ёсгүй гэдэг ойлголтыг энэ нэр томъёо илэрхийлдэг. Мэдээллийн технологид хэрэглэгч, үйлчлүүлэгч болон цахим хэлцлийн талууд хийсэн үйл ажиллагаа, үйлдлээсээ үл татгалзах шинжийг заавал хангасан байж аюулгүй байдал хангагддаг.
Эдгээр нэмэлт шалгууруудыг хангахын тулд тоон гарын үсэг, нийтийн түлхүүрийн шифрлэлтийг өргөн ашиглаж байна.
НБХ – CIA гурвалжинг цаашид өргөжүүлэх талаар багагүй маргаан өрнөдөг: Тухайлбал 2002 онд Donn Parker мэдээллийн 6 цөм бүрдэл хэсэг гэсэн саналыг гаргасан. (six atomic elements of information). Энэ бүрдэл хэсгүүд нь нууцлагдсан байдал -confidentiality, эзэмших байдал -possession, бүрэн бүтэн байдал - integrity, үнэн бодит байдал - authenticity, хүртээмжтэй байдал – availability болон ашиг тустай байдал – utility юм. Энэ талаар одоо болтол мэргэжилтнүүдийн дунд маргаан тасрахгүй байна.
== Эрсдэлийн удирдлага ==
“Эрсдэл” – энэ бол аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал. Эрсдэл – энэ бол хамгаалалт шаардаж буй хор хохирол учрах магадлал. Эрсдэл байхгүй бол хамгаалалт хэрэггүй. Эрсдэл бол аюулгүй байдлын салбарт ажиллагсдын заавал ойлгох зүйл.
* Аюул болон эмзэг байдлын хослол. Эмзэг сул байдал болон аюул заналхийлэл нь эрсдэлийн үндсийг бүрдүүлнэ.
* Аюул заналхийлэл, эмзэг байдал байхгүй бол эрсдэл байхгүй.
* Эмзэг байдал гэдэг нь довтолгоон үйлдэж болох боломжит суваг, зам. Систем, сүлжээ болон захиргааны дэг жаягт байдаг.
* Аюул заналхийлэл гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явдал. Гурван бүрдэл хэсэгтэй:
** Бай. Довтолгоонд өртөж буй бүрдэл хэсэг.
** Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект
** Үйл явдал. Аюул агуулж буй үйлдэл
Эрсдэлийг үнэлнэ гэдэг нь урьдчилан таах аргагүй үйл явдал бий болох магадлалыг тодорхойлох үйл явц. Эрсдэл гурван түвшинтэй:
* Сул. Аюул бий болох магадлал бага байна. Боломжийн хирээр эмзэг цэгийг илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна гэсэн үг. –
* Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа. Ийм үйл явдал бий болох бодит боломж оршиж байгаа. Эмзэг байдлыг арилгах арга хэмжээ авах, үйлдэл хийх нь зохистой.
* Хүчтэй. Эмзэг байдал нь бодитой эрсдэл бий болгож байгаа. Нэн даруй арга хэмжээ авах шаардлагатай.
Эрсдэлийг үнэлсний үндсэн дээр эрсдэлийн түвшнийг тодорхойлон гаргаж, дараалалд оруулж хамгийн ноцтой эрсдэлүүдээс эхлэн бууруулах арга хэмжээг төлөвлөн хэрэгжүүлнэ.
Эрсдэлийн үнэлгээг ихэвчлэн гэрчилгээжсэн аудиторууд гүйцэтгэдэг. Мөн байгууллагын мэргэшсэн ажилтан, мэргэжлийн байгууллагууд гүйцэтгэж болно. Одоогоор Монгол улсад 11 CISA гэрчилгээжсэн аудитор, 4 CISSP гэрчилгээжсэн мэргэжилтэн байна.
Эрсдэлийн үнэлгээ хийж, түүний дагуу эрсдэлийг бууруулах цогц арга хэмжээг эрсдэлийн удирдлага гэнэ. Эрсдэлийн удирдлага дараах үндсэн үе шатуудаас бүрдэнэ:
# Мэдээлэл, мэдээлэлтэй холбоотой бүх эд хөрөнгө, тэдгээрийн үнэ цэнийг тодруулж үнэлнэ.
# Аюулын үнэлгээ хийж тодруулна.
# Эмзэг байдлын үнэлгээ хийж тодруулна.
# Аюул бүрийн учруулж болох хор хохирол, хэрэгжүүлж болох магадлалыг тооцоолон гаргана.
# Дээрх үнэлгээний үр дүнд тулгуурлан эд хөрөнгө, аюул, эмзэг байдал, магадлал, хор хөнөөлийн хамаарлыг тооцож эрсдлийг эрэмбэлэн гаргана.
# Эрсдэлийн эрэмбэ дээр тулгуурлан хүлээн зөвшөөрч болохгүй эрсдэлүүдийг бууруулах цогц арга хэмжээ, тухайлбал төрөл бүрийн хяналт, зохион байгуулалтын арга хэмжээ, бодлого, журам, техник, технологийн хамгаалалт хэрэгжүүлнэ. Энэ үед бүтээмжид нөлөөлөх байдал, хэмнэлт, зардал үр ашгийн харьцаа, хамгаалах эд хөрөнгийн үнэ цэнэ зэргийг харгалзсан байна.
# Хэрэгжүүлсэн хяналт, арга хэмжээний үр дүнг үнэлж шаардлагатай бол засаж залруулах арга хэмжээ хэрэгжүүлнэ.
Line 217 ⟶ 181:
* Биет орчин,
* Техникийн орчин (ТХ, ПХ, холбоо, холболт, сүлжээ),
* Ажиллах хүч
Хяналтын жишээ:
* Эрсдлийн үнэлгээ, аудит, дотоод үнэлгээ
Line 237 ⟶ 201:
# Дараа нь байгууллагын өмч хөрөнгө, түүний үнэ цэнийг тодруулна
# МАБ-ын зорилгоос хамаарч зохих стратегийг удирдлагын бүх түвшинд зөвшилцөн тохиролцсон байна.
# Сонгож авсан стратеги нь хамгаалж буй өмч хөрөнгийнхөө үнэ цэнэтэй дүйцсэн байна.
# Дээр дурдсан нэг болон түүнээс дээш асуултад “тийм” гэсэн хариу гарч байвал тухайн байгууллагад Мэдээллийн болон МХТ-ийн аюулгүй байдлын өндөр шаардлага тавигдах ёстой
# Тиймээс эдгээр шаардлагыг хангахуйц стратегийг сонгон авна.
Мэдээллийн аюулгүй байдлын стратегийн боломжит хувилбаруудын жишээ:
* Зөвхөн аудит, эрсдлийн үнэлгээн дээр суурилан хяналтыг сонгох, бодлого, журмуудаа боловсруулж батлах, шинэчлэх, програм, техникийн шийдлүүд нэвтрүүлэх стратеги г.м.
* Хортой кодын халдварыг багасгах стратеги
* Системийн аюулгүй байдлыг гуравдагч талаар баталгаажуулах стратеги
* Эрсдлийг үнэлэх стратеги болон арга,
* Систем бүр аюулгүй байдлын бодлоготой байх стратеги,
* Систем бүр аюулгүй байдлын үйл ажиллагааны журам, дэгтэй байх стратеги,
* Эмзэг чухал мэдээллийг ангилах байгууллагын хэмжээний тогтолцоотой байх стратеги
* Аюулгүй байдлын мэдлэг, сургалтын стратеги,
* Бусад байгууллагатай холбогдох холболтын аюулгүй байдлыг өмнө нь шалгаж, нягтлах стратеги,
* Байгууллагын хэмжээний мэдээллийн аюулгүй байдлын будлианыг удирдах стандарт тогтолцоотой байх стратеги
* Бизнесийн тасралтгүй ажиллагааг хангах стратеги г.м.
== Удирдлага ==
МАБ-ын үр нөлөөтэй удирдлагын шинжүүд:
* Байгууллагыг бүхэлд нь хамарсан
Line 266 ⟶ 230:
* Төлөвлөгдсөн, удирддаг, хэмжигдэхүйц, үнэлэгдсэн
* Нягтлан шалгаж, аудит хийгдсэн
=== Будлианы удирдлага ===
Байгууллагын өгөгдөл мэдээлэл, түүнийг дэмжих дэд бүтэц, тухайлбал систем, сүлжээ, тооцоолох төхөөрөмж, ажилтнуудын хэвийн ажиллагаа, нууцлагдсан, хүртээмжтэй, бүрэн бүтэн байдалд зүй бусаар халдаж, зөрчиж буй аливаа үйлдлийг МАБ-ын будлиан, учрал гэж үзнэ. Үүнээс Эрүүгийн хуулинд заасан гэмт хэргийн шинжтэй үйлдлүүдийг “Кибер гэмт хэрэг”, Монгол Улсын Эрүүгийн Хуулиар “Компьютерийн Мэдээллийн Аюулгүй Байдлын эсрэг гэмт хэрэг” гэж үзнэ. Захиргааны хариуцлагын тухай хуулинд заасан үйлдлийн шинжийг агуулж байвал “Захиргааны зөрчил” гэж тооцоно.
Line 280 ⟶ 244:
* Баримтжуулах, нотлох баримт цуглуулах, бэхжүүлэх
* Сургалт явуулах г.м.
=== Өөрчлөлтийн удирдлага ===
Мэдээлэл боловсруулах орчинд орж буй аливаа өөрчлөлтийг (сервер, компьютер, сүлжээ, систем, програм хангамж, бүтэц, зохион байгуулалт, журамд орж буй) удирдах, хянах албан ёсны үйл явцыг “Өөрчлөлтийн удирдлага” гэнэ. Энэ удирдлагын үндсэн зорилго нь өөрчлөлттэй холбоотой үүсэж буй эрсдлүүдийг бууруулах, найдвартай, тасралтгүй ажиллагааг нэмэгдүүлэх, зорилготой. Гэхдээ мэдээлэл боловсруулах өдөр тутмын үйл ажиллагаа, зохих журмын дагуу хийгдэж буй ажлууд, тохируулга, шинэ хэрэглэгч нэмэх гэх мэт өөрчлөлтүүд энэ удирдлагад хамаарахгүй. Өөрөөр хэлбэл өндөр эрсдэл дагуулсан өөрчлөлтүүдийг удирдах удирдлага юм.
МАБ-ын эрсдлийн удирдлагатай салшгүй холбоотой хэрэгжүүлнэ.
Өөрчлөлтийн удирдлага дараах үйл явцаар дамжин хэрэгжинэ:
* Зайлшгүй шаардлагатай гэдгийг тодорхойлох.
* Удирдлагаас батлах, сайшаах.
* Төлөвлөх.
* Тестелж турших.
* Хуваарь гаргах.
* Хамааралтай талуудад мэдээлэх.
* Хэрэгжүүлэх.
* Баримтжуулах.
* Нягтлан шалгаж тайлан гаргах.
ISO/IEC 20000, The Visible OPS Handbook: болон Information Technology Infrastructure Library –д үр нөлөөтэй, үр дүнтэй өөрчлөлтийн удирдлага хэрэгжүүлэх зааварчлагыг тодорхойлсон байдаг.
== Бизнесийн тасралтгүй ажиллагааг хангах ==
Байгууллагын бүх үйл ажиллагаа МТ-оос хамаардаг болсон өнөө үед найдвартай тасралтгүй үйл явцыг хангахад чиглэсэн механизм буюу “Бизнесийн Тасралтгүй Ажиллагааны Удирдлага”-ыг хэрэгжүүлсэн байх ёстой.
Байгууллагын үйл явцын дотор МТ-ийн систем, сүлжээ, дэд бүцийн ажиллагаа, үйл явцын тасралтгүй байдал маш чухал үүрэгтэй. Тиймээс байгууллага “Бизнесийн Тасралтгүй Ажиллагааны Төлөвлөлт” болон “Онцгой байдлын үед сэргээн ажиллуулах төлөвлөгөө”-г боловсруулж хэрэгжүүлсэн, туршсан байх ёстой.
===== Онцгой байдлын үед сэргээн ажиллуулах төлөвлөгөө =====
Бизнесийн тасралтгүй ажиллагааны төлөвлөгөөний дагуу ямар нэгэн онцгой байдал тохиолдсон үед мэдээллйн систем, дэд бүтцийн тасралтгүй ажиллагааг хангах, тасалдсан үед нь сэргээн ажиллуулах төлөвлөгөөг гаргасан, өгөгдөл мэдээллийн санг нөөцлөн хадгалсан байна. Онцгой байдал гэж тооцогдох аливаа үйл явдал тохиолдсон даруйд энэ төлөвлөгөөний дагуу ажиллаж хохирлоос урьдчилан сэргийлэх бүх арга хэмжээг авна.
== Байгууллагын МАБ-ыг хангах хууль тогтоомжийн түвшин ==
Гол хоёр багц арга хэмжээг авах зорилгоор хэрэгжүүлдэг. Үүнд.
* Нийгэмд МАБ-ын ойлголт, мэдлэгийн түвшинг дээшлүүлэх, амьдралын үйл ажиллагаанд хэвшүүлэх арга хэмжээ авах
* МАБ-ын зөрчил, зөрчил гаргагчдыг нийгэмийн зүгээс буруутгах, ял шийдэл оноохыг шаардах зэрэг сэтгэл зүйг төлөвшүүлэх арга хэмжээ авах
Зорилгo МАБ-ын чухал шинжийг тодотгох, судалгааны чиглэлд нөөцийг төвлөрүүлэх, дээрхи дөрвөн түвшний хандлагыг байгууллага бүрт бий болгох, боловсролын үйл ажиллагаанд зөрчил гаргагчидыг буруутгах хандлагыг бий болгох, төлөвшүүлэхэд хууль тогтоомжууд чиглэсэн байдаг.
== Хууль хуульчилсан актууд ==
Дэлхийн улсуудад мэдээллийн аюулгүй байдлыг хангах зорилготой “Холбооны Мэдээллийн Аюулгүй Байдлын Удирдлагын хууль”, “Өгөгдөл хамгаалах хууль”, “Компьютерийн технологийг хууль бус ашиглах тухай хууль”, “Грэмм-Лич-Блили-ийн хууль”, “Сарбанес Оксли-ийн хууль”, “Төрийн Байгууллагуудын сүлжээ, систем, компьютерийн аюулгүй байдлын хууль”, “Хувийн өгөгдөл болон цахим баримт бичгийн хамгаалалтын тухай хууль”, “Эрүүл мэндийн даатгалын хамгаалалт, хариуцлагын тухай хууль”, “Мэдээллийн аюулгүй байдлын тухай хууль”, “Харилцаа холбооны аюулгүй байдал, нууцлалын хууль”, “Кибер аюулгүй байдлын хуульчилсан акт” гэх мэт маш олон хууль хуульчилсан акт гарсан. Мөн олон улсын байгууллагуудаас төрөл бүрийн стандарт, актууд гаргасан. Тухайлбал Олон улсын санхүүгийн институт аюулгүй байдлын төрөл бүрийн гарын авлага, зааварчлага гаргасан бол Төлбөрийн Картын Аюулгүй Байдлын Стандартын Зөвлөлөөс олон төрлийн стандарт гаргасан.
Монгол улсад “Мэдээллийн Аюулгүй Байдлын хууль”, “Өгөгдөл хамгаалах хууль”-ийн
=== Монгол улсад ===
МАБ-ын хуулиуд
* “Цахим гарын үсгийн хууль”
* “Хувийн өгөгдлийн тухай хууль”
* Өгөгдөл хамгаалах тухай хууль
* “Харилцаа, Холбоо, Мэдээллийн технологийн хууль”
* “Цахим хэлцлийн тухай” хууль
* “Цахим засгийн тухай” хууль
* Тусгай зөвшөөрөл
* Кибер аюулгүй байдлын тухай хууль
Олон Улсын Стандартын Байгууллага - International Organization for Standardization (ISO) –аас МАБ-тай хамааралтай 27000 серийн стандартууд болон ISO 15443 зэрэг 50 гаруй стандарт гаргасан. Үүнээс 20 гаруй стандартыг доктор, профессор Т.Халтар хөрвүүлж Монгол Улсын үндэсний стандарт болгон батлуулсан байна.
Түүнээс гадна АНУ-ын Стандарт, Технологийн Үндэсний Институт, (NIST) болон ИБУИНВУ-ын Стандартын Байгууллага (BSI), Интернетийн Нийгэмлэг (IS), МАБ-ын форум (ISF), МАБ-ын мэргэжилтнүүдийн институт (IISP), ХБНГУ-ын МАБ-ын газар (Bundesamt für Sicherheit in der Informationstechnik - (BSI), Европын Холбооны Харилцаа Холбооны Стандартын Институт (ETSI)-ээс МАБ-ын төрөл бүрийн стандартыг боловсруулан гаргаж байна.
| |||