Википедиа

Мэдээллийн аюулгүй байдал: Засвар хоорондын ялгаа

Browse history interactively
← Өмнөх өөрчлөлтДараагийн ялгаа →
Content deleted Content added
VisualWikitext
No edit summary
No edit summary
Мөр 6:
 
== Тодорхойлолт ==
Анх “[[Компьютерын аюулгүй байдал|Компьютерын Аюулгүй Байдал]]”, “Мэдээллийн Технологийн Аюулгүй Байдал” гэсэн ойлголтууд байсан бөгөөд зөвхөн технологитой холбоотой аюулгүй байдлыг илэрхийлжилэрхийлэх нь элбэг байсан. Улмаар хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдэлүүд нэмэгдсэн учир утга нь өргөсөж “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээн нэрлэж байна.
 
Мэдээллийн аюулгүй байдал гэсэн томъёоллын тухай дэлхий дээр дараах олон янзын тодорхойлолт байдаг:
# “Мэдээллийн нууцлагдсан, бүрэн бүтэн болон хүртээмжтэй байдлыг хангасан байдал”. Тодруулга: Үүнээс гадна үнэн бодит байдал, тайлагнах байдал, үл татгалзах байдал, найдвартай байдал гэсэн шинж чанар байна. (ISO/IEC 27000:2009)
Line 20 ⟶ 22:
* Програм-техникийн түвшин: Мэдээллийн болон сүлжээ, системийн аюулгүй байдлыг хангах зориулалттай төрөл бүрийн тоног төхөөрөмж, програм хангамжууд
 
== Үндсэн ойлголтзарчим ==
МАБ-ыг хангахад дараах үндсэн зарчмыг баримталдаг:
Анх “[[Компьютерын аюулгүй байдал|Компьютерын Аюулгүй Байдал]]”, “Мэдээллийн Технологийн Аюулгүй Байдал” гэсэн ойлголтууд байсан бөгөөд зөвхөн технологитой холбоотой аюулгүй байдлыг илэрхийлж байсан. Улмаар хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдэлүүд нэмэгдсэн учир утга нь өргөсөж “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээн нэрлэж байна.
* Эрсдэлийн удирдлага: Зохих арга хэмжээг хэрэгжүүлэх замаар байгууллагын эд хөрөнгийг (мэдээллийн) хамгаалсан байна. Эрсдэлийн удирдлагын зохистой аргачлал дээр суурилан аюулгүй байдлын арга хэмжээг сонгож, хэрэгжүүлнэ. Энэ аргачлалын дагуу эд хөрөнгө, аюул, эмзэг байдал, түүний нөлөөлөл зэргийг үнэлж эрсдэлийг бууруулж, хязгаарлана.
* Үзэл бодол, хандлага: МАБ болон эрсдэлийн удирдлагад хандах байгууллагын хандлагыг зөв тодорхойлох. Зөв хандлага бий болгохын тулд МАБ-ыг хэрэгжүүлсний ашиг тусыг тодорхойлсон байна.
* Гүйцэтгэх болон хүлээх үүрэг: Эд хөрөнгийг аюулгүй байлгах үүргийг удирдлага хүлээнэ. МАБ-ын талаар гүйцэтгэх болон хүлээх үүргийг тодруулж бүгдэд мэдэгдсэн, хэвшүүлсэн байна.
* Зорилго, стратеги, бодлого: Байгууллагын зорилго, стратеги, бодлогын дагуу эрсдэлийг удирдана.
* Үйл ажиллагааны мөчлөгийн удирдлага: Байгууллагын үйл ажиллагааны бүх мөчлөгтэй МАБ-ын удирдлага нийцсэн байна.
 
=== МАБ-ын мөн чанар ===
МАБ-ыг хангах үндэс суурь нь эрсдэлийн үнэлгээ, эрсдэлийн удирдлага байна. Эрсдэл гэдэг ойлголт нь аюул, эмзэг байдлын хослолоос үүсдэг.
Мэдээллийн Аюулгүй Байдлын мөн чанар буюу онцлог шинжүүд буюу өөрөөр хэлбэл англиар CIA гурвалжин гэгддэг 1. Нууцлагдсан байдал - Confidentiality, 2. Бүрэн бүтэн байдал - Integrity болон 3. Хүртээмжтэй байдал - Availability (НБХ - CIA) нь суурь ойлголт юм. Мэдээлэл, мэдээллийг дэмжих дэд бүтэц, орчны нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангаж чадсанаар МАБ-ыг хангана.
* Хүртээмжтэй байдал – Availability: Хүртээмжтэй байдал буюу мэдээллийн нөөц, үйлчилгээг хүссэн үедээ, дурын цэгээс ашиглах боломж
* Бүрэн бүтэн байдал – Integrity: Бүрэн бүтэн байдал буюу мэдээлэл цаг үедээ нийцсэн, зөрчилдөөнгүй, хууль бусаар, зөвшөөрөлгүй өөрчлөх, нөлөөлөхөөс хамгаалагдсан байх
* Нууцлагдсан байдал, нууцлал – Confidentiality: Нууцлагдсан, хамгаалагдсан байдал буюу үйлчилгээ, бүрдэл хэсгүүд болон дэд бүтцийн элементүүд хууль бус нэвтрэлтээс хамгаалагдсан байх, зөвхөн эрх бүхий этгээд хандах боломжийг хангасан байх.
Үүнээс гадна Үнэн бодит байх - Authenticity, Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation -ийг хангасан байх нь МАБ-ыг хангах үндсэн шалгуурууд болдог.
* Үнэн бодит байх – Authenticity: Мэдээллийн технологид өгөгдөл, хэлцэл, холболт, баримт бичгүүд жинхэнэ бөгөөд үнэн бодитой байх шаардлагатай. Энэ шаардлагыг хангаж чадахгүй бол хэрэглэгч болон талуудыг баталгаажуулах, зүй бус, гэмт үйлдлийг нотлох, тодорхойлох боломжгүй болдог. Тиймээс МАБ-ыг хангахад дээрх шинжийг хангасан байх нь чухал үүрэгтэй.
* Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation: Хууль зүйн ухаанд гэрээгээр хүлээсэн үүргээ чандлан биелүүлэх, үүрэг болон хэлцлээсээ татгалзах ёсгүй гэдэг ойлголтыг энэ нэр томъёо илэрхийлдэг. Мэдээллийн технологид хэрэглэгч, үйлчлүүлэгч болон цахим хэлцлийн талууд хийсэн үйл ажиллагаа, үйлдлээсээ үл татгалзах шинжийг заавал хангасан байж аюулгүй байдал хангагддаг.
Эдгээр нэмэлт шалгууруудыг хангахын тулд тоон гарын үсэг, нийтийн түлхүүрийн шифрлэлтийг өргөн ашиглаж байна.
НБХ – CIA гурвалжинг цаашид өргөжүүлэх талаар багагүй маргаан өрнөдөг: Тухайлбал 2002 онд Donn Parker мэдээллийн 6 цөм бүрдэл хэсэг гэсэн саналыг гаргасан. (six atomic elements of information). Энэ бүрдэл хэсгүүд нь нууцлагдсан байдал -confidentiality, эзэмших байдал -possession, бүрэн бүтэн байдал - integrity, үнэн бодит байдал - authenticity, хүртээмжтэй байдал – availability болон ашиг тустай байдал – utility юм. Энэ талаар одоо болтол мэргэжилтнүүдийн дунд маргаан тасрахгүй байна.
== Эрсдэлийн удирдлага ==
МАБ-ыг хангах үндэс суурь нь эрсдэлийн үнэлгээ, эрсдэлийн удирдлага байна. Эрсдэл гэдэг ойлголт нь аюул, эмзэг байдлын хослолоос үүсдэг.
 
“Эрсдэл” – энэ бол аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал. Эрсдэл – энэ бол хамгаалалт шаардаж буй хор хохирол учрах магадлал. Эрсдэл байхгүй бол хамгаалалт хэрэггүй. Эрсдэл бол аюулгүй байдлын салбарт ажиллагсдын заавал ойлгох зүйл.
* Аюул болон эмзэг байдлын хослол. Эмзэг сул байдал болон аюул заналхийлэл нь эрсдэлийн үндсийг бүрдүүлнэ.
* Аюул заналхийлэл, эмзэг байдал байхгүй бол эрсдэл байхгүй.
* Эмзэг байдал гэдэг нь довтолгоон үйлдэж болох боломжит суваг, зам. Систем, сүлжээ болон захиргааны дэг жаягт байдаг.
* Аюул заналхийлэл гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явдал. Гурван бүрдэл хэсэгтэй:
** Бай. Довтолгоонд өртөж буй бүрдэл хэсэг.
** Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект
** Үйл явдал. Аюул агуулж буй үйлдэл
Эрсдэлийг үнэлнэ гэдэг нь урьдчилан таах аргагүй үйл явдал бий болох магадлалыг тодорхойлох үйл явц. Эрсдэл гурван түвшинтэй:
* Сул. Аюул бий болох магадлал бага байна. Боломжийн хирээр эмзэг цэгийг илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна гэсэн үг. –
* Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа. Ийм үйл явдал бий болох бодит боломж оршиж байгаа. Эмзэг байдлыг арилгах арга хэмжээ авах, үйлдэл хийх нь зохистой.
* Хүчтэй. Эмзэг байдал нь бодитой эрсдэл бий болгож байгаа. Нэн даруй арга хэмжээ авах шаардлагатай.
Эрсдэлийг үнэлсний үндсэн дээр эрсдэлийн түвшнийг тодорхойлон гаргаж, дараалалд оруулж хамгийн ноцтой эрсдэлүүдээс эхлэн бууруулах арга хэмжээг төлөвлөн хэрэгжүүлнэ.
Эрсдэлийн үнэлгээг ихэвчлэн гэрчилгээжсэн аудиторууд гүйцэтгэдэг. Мөн байгууллагын мэргэшсэн ажилтан, мэргэжлийн байгууллагууд гүйцэтгэж болно. Одоогоор Монгол улсад 11 CISA гэрчилгээжсэн аудитор, 4 CISSP гэрчилгээжсэн мэргэжилтэн байна.
 
Эрсдэлийн үнэлгээ хийж, түүний дагуу эрсдэлийг бууруулах цогц арга хэмжээг эрсдэлийн удирдлага гэнэ. Эрсдэлийн удирдлага дараах үндсэн үе шатуудаас бүрдэнэ:
# Мэдээлэл, мэдээлэлтэй холбоотой бүх эд хөрөнгө, тэдгээрийн үнэ цэнийг тодруулж үнэлнэ.
# Аюулын үнэлгээ хийж тодруулна.
# Эмзэг байдлын үнэлгээ хийж тодруулна.
# Аюул бүрийн учруулж болох хор хохирол, хэрэгжүүлж болох магадлалыг тооцоолон гаргана.
# Дээрх үнэлгээний үр дүнд тулгуурлан эд хөрөнгө, аюул, эмзэг байдал, магадлал, хор хөнөөлийн хамаарлыг тооцож эрсдлийг эрэмбэлэн гаргана.
# Эрсдэлийн эрэмбэ дээр тулгуурлан хүлээн зөвшөөрч болохгүй эрсдэлүүдийг бууруулах цогц арга хэмжээ, тухайлбал төрөл бүрийн хяналт, зохион байгуулалтын арга хэмжээ, бодлого, журам, техник, технологийн хамгаалалт хэрэгжүүлнэ. Энэ үед бүтээмжид нөлөөлөх байдал, хэмнэлт, зардал үр ашгийн харьцаа, хамгаалах эд хөрөнгийн үнэ цэнэ зэргийг харгалзсан байна.
# Хэрэгжүүлсэн хяналт, арга хэмжээний үр дүнг үнэлж шаардлагатай бол засаж залруулах арга хэмжээ хэрэгжүүлнэ.
 
=== АюулуудАюул ===
''Аюул'' – МАБ-ыг ямар нэг байдлаар зөрчиж болох боломжуудыг хэлнэ. Аюул заналхийллийг хэрэгжүүлэх оролдлогыг халдлага, довтолгоон гэнэ. Ийм оролдлого хийж буй этгээдийг гэмт санаатан буюу халдагч гэнэ. Тэд аюул заналхийллийн эх сурвалж болдог. Аюул заналхийлэл нь зорилготой санаатай МАБ-ын удирдлага, зохион байгуулалт, Мэдээллийн Систем, сүлжээн дахь эмзэг байдал, цоорхойг ашиглан нэвтэрч хэрэгжүүлдэг. Цоорхойг хаах, арилгах хүртэл түүнийг ашиглах боломж оршсоор байна. Үүний аюул заналхийллийн цонх гэдэг. Цонх байгаа тохиолдолд амжилттай довтолгоон хийх боломж оршсоор байна. Шинэ цоорхой, эмзэг байдал, түүнийг ашиглах хэрэгсэл, арга байнга шинээр үүсэж, бий болж байдаг тул аюул заналын цонх байнга оршин байдаг, тиймээс эдгээр цонхыг байнга хянан шалгаж, шуурхай бөглөж байх ёстой.
 
Line 64 ⟶ 106:
** Урьдчилан гаргасан жагсаалтын тодорхойлолт, шинжүүдийг ашиглах, жнь: Их, дунд зэрэг, бага г.м.
 
=== Эмзэг, сул байдлуудбайдал ===
 
==== Орчны болон дэд бүтцийн ====
Line 126 ⟶ 168:
* Мониторингийн механизм байхгүй
* Ажилд авахдаа шалгадаггүй г.м.
 
*
 
== Мэргэжил ==
Мэдээллийн Аюулгүй Байдлын мэргэжил нь тогтвортой бөгөөд эрэлт хэрэгцээ нь байнга өсөн нэмэгдэж буй мэргэжил болоод байна. 2014 – 2019 оны хооронд эрэлт хэрэгцээ нь жилд 11 хувиар өсөх таамаглал байна. Монгол улсад энэ чиглэлээр докторын зэрэг хамгаалсан цөөн эрдэмтэн, гадаадад болон дотоодод магистрын зэрэг хамгаалсан 10 гаруй мэргэжилтэн, систем болон сүлжээний хамгааллын чиглэлээр бакалаврын зэрэг хамгаалсан цөөнгүй мэргэжилтэн ажиллаж байна. Одоогийн байдлаар ШУТИС-ийн МХТС болон бусад зарим сургуульд “Системийн аюулгүй байдал” мэргэжлээр сургалт явуулж байна. Харин “Мэдээллийн Аюулгүй Байдал” мэргэжлээр мэргэжилтэн бэлтгэхгүй байна.
== Үндсэн зарчим ==
МАБ-ыг хангахад дараах үндсэн зарчмыг баримталдаг:
* Эрсдэлийн удирдлага: Зохих арга хэмжээг хэрэгжүүлэх замаар байгууллагын эд хөрөнгийг (мэдээллийн) хамгаалсан байна. Эрсдэлийн удирдлагын зохистой аргачлал дээр суурилан аюулгүй байдлын арга хэмжээг сонгож, хэрэгжүүлнэ. Энэ аргачлалын дагуу эд хөрөнгө, аюул, эмзэг байдал, түүний нөлөөлөл зэргийг үнэлж эрсдэлийг бууруулж, хязгаарлана.
* Үзэл бодол, хандлага: МАБ болон эрсдэлийн удирдлагад хандах байгууллагын хандлагыг зөв тодорхойлох. Зөв хандлага бий болгохын тулд МАБ-ыг хэрэгжүүлсний ашиг тусыг тодорхойлсон байна.
* Гүйцэтгэх болон хүлээх үүрэг: Эд хөрөнгийг аюулгүй байлгах үүргийг удирдлага хүлээнэ. МАБ-ын талаар гүйцэтгэх болон хүлээх үүргийг тодруулж бүгдэд мэдэгдсэн, хэвшүүлсэн байна.
* Зорилго, стратеги, бодлого: Байгууллагын зорилго, стратеги, бодлогын дагуу эрсдэлийг удирдана.
* Үйл ажиллагааны мөчлөгийн удирдлага: Байгууллагын үйл ажиллагааны бүх мөчлөгтэй МАБ-ын удирдлага нийцсэн байна.
 
=== МАБ-ын мөн чанар ===
Мэдээллийн Аюулгүй Байдлын мөн чанар буюу онцлог шинжүүд буюу өөрөөр хэлбэл англиар CIA гурвалжин гэгддэг 1. Нууцлагдсан байдал - Confidentiality, 2. Бүрэн бүтэн байдал - Integrity болон 3. Хүртээмжтэй байдал - Availability (НБХ - CIA) нь суурь ойлголт юм. Мэдээлэл, мэдээллийг дэмжих дэд бүтэц, орчны нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдлыг хангаж чадсанаар МАБ-ыг хангана.
* Хүртээмжтэй байдал – Availability: Хүртээмжтэй байдал буюу мэдээллийн нөөц, үйлчилгээг хүссэн үедээ, дурын цэгээс ашиглах боломж
* Бүрэн бүтэн байдал – Integrity: Бүрэн бүтэн байдал буюу мэдээлэл цаг үедээ нийцсэн, зөрчилдөөнгүй, хууль бусаар, зөвшөөрөлгүй өөрчлөх, нөлөөлөхөөс хамгаалагдсан байх
* Нууцлагдсан байдал, нууцлал – Confidentiality: Нууцлагдсан, хамгаалагдсан байдал буюу үйлчилгээ, бүрдэл хэсгүүд болон дэд бүтцийн элементүүд хууль бус нэвтрэлтээс хамгаалагдсан байх, зөвхөн эрх бүхий этгээд хандах боломжийг хангасан байх.
Үүнээс гадна Үнэн бодит байх - Authenticity, Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation -ийг хангасан байх нь МАБ-ыг хангах үндсэн шалгуурууд болдог.
* Үнэн бодит байх – Authenticity: Мэдээллийн технологид өгөгдөл, хэлцэл, холболт, баримт бичгүүд жинхэнэ бөгөөд үнэн бодитой байх шаардлагатай. Энэ шаардлагыг хангаж чадахгүй бол хэрэглэгч болон талуудыг баталгаажуулах, зүй бус, гэмт үйлдлийг нотлох, тодорхойлох боломжгүй болдог. Тиймээс МАБ-ыг хангахад дээрх шинжийг хангасан байх нь чухал үүрэгтэй.
* Татгалзах боломжгүй байдал (Үл татгалзах шинж) - Non-repudiation: Хууль зүйн ухаанд гэрээгээр хүлээсэн үүргээ чандлан биелүүлэх, үүрэг болон хэлцлээсээ татгалзах ёсгүй гэдэг ойлголтыг энэ нэр томъёо илэрхийлдэг. Мэдээллийн технологид хэрэглэгч, үйлчлүүлэгч болон цахим хэлцлийн талууд хийсэн үйл ажиллагаа, үйлдлээсээ үл татгалзах шинжийг заавал хангасан байж аюулгүй байдал хангагддаг.
Эдгээр нэмэлт шалгууруудыг хангахын тулд тоон гарын үсэг, нийтийн түлхүүрийн шифрлэлтийг өргөн ашиглаж байна.
НБХ – CIA гурвалжинг цаашид өргөжүүлэх талаар багагүй маргаан өрнөдөг: Тухайлбал 2002 онд Donn Parker мэдээллийн 6 цөм бүрдэл хэсэг гэсэн саналыг гаргасан. (six atomic elements of information). Энэ бүрдэл хэсгүүд нь нууцлагдсан байдал -confidentiality, эзэмших байдал -possession, бүрэн бүтэн байдал - integrity, үнэн бодит байдал - authenticity, хүртээмжтэй байдал – availability болон ашиг тустай байдал – utility юм. Энэ талаар одоо болтол мэргэжилтнүүдийн дунд маргаан тасрахгүй байна.
== Эрсдэлийн удирдлага ==
“Эрсдэл” – энэ бол аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал. Эрсдэл – энэ бол хамгаалалт шаардаж буй хор хохирол учрах магадлал. Эрсдэл байхгүй бол хамгаалалт хэрэггүй. Эрсдэл бол аюулгүй байдлын салбарт ажиллагсдын заавал ойлгох зүйл.
* Аюул болон эмзэг байдлын хослол. Эмзэг сул байдал болон аюул заналхийлэл нь эрсдэлийн үндсийг бүрдүүлнэ.
* Аюул заналхийлэл, эмзэг байдал байхгүй бол эрсдэл байхгүй.
* Эмзэг байдал гэдэг нь довтолгоон үйлдэж болох боломжит суваг, зам. Систем, сүлжээ болон захиргааны дэг жаягт байдаг.
* Аюул заналхийлэл гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явдал. Гурван бүрдэл хэсэгтэй:
** Бай. Довтолгоонд өртөж буй бүрдэл хэсэг.
** Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект
** Үйл явдал. Аюул агуулж буй үйлдэл
Эрсдэлийг үнэлнэ гэдэг нь урьдчилан таах аргагүй үйл явдал бий болох магадлалыг тодорхойлох үйл явц. Эрсдэл гурван түвшинтэй:
* Сул. Аюул бий болох магадлал бага байна. Боломжийн хирээр эмзэг цэгийг илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна гэсэн үг. –
* Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа. Ийм үйл явдал бий болох бодит боломж оршиж байгаа. Эмзэг байдлыг арилгах арга хэмжээ авах, үйлдэл хийх нь зохистой.
* Хүчтэй. Эмзэг байдал нь бодитой эрсдэл бий болгож байгаа. Нэн даруй арга хэмжээ авах шаардлагатай.
Эрсдэлийг үнэлсний үндсэн дээр эрсдэлийн түвшнийг тодорхойлон гаргаж, дараалалд оруулж хамгийн ноцтой эрсдэлүүдээс эхлэн бууруулах арга хэмжээг төлөвлөн хэрэгжүүлнэ.
Эрсдэлийн үнэлгээг ихэвчлэн гэрчилгээжсэн аудиторууд гүйцэтгэдэг. Мөн байгууллагын мэргэшсэн ажилтан, мэргэжлийн байгууллагууд гүйцэтгэж болно. Одоогоор Монгол улсад 11 CISA гэрчилгээжсэн аудитор, 4 CISSP гэрчилгээжсэн мэргэжилтэн байна.
 
Эрсдэлийн үнэлгээ хийж, түүний дагуу эрсдэлийг бууруулах цогц арга хэмжээг эрсдэлийн удирдлага гэнэ. Эрсдэлийн удирдлага дараах үндсэн үе шатуудаас бүрдэнэ:
# Мэдээлэл, мэдээлэлтэй холбоотой бүх эд хөрөнгө, тэдгээрийн үнэ цэнийг тодруулж үнэлнэ.
# Аюулын үнэлгээ хийж тодруулна.
# Эмзэг байдлын үнэлгээ хийж тодруулна.
# Аюул бүрийн учруулж болох хор хохирол, хэрэгжүүлж болох магадлалыг тооцоолон гаргана.
# Дээрх үнэлгээний үр дүнд тулгуурлан эд хөрөнгө, аюул, эмзэг байдал, магадлал, хор хөнөөлийн хамаарлыг тооцож эрсдлийг эрэмбэлэн гаргана.
# Эрсдэлийн эрэмбэ дээр тулгуурлан хүлээн зөвшөөрч болохгүй эрсдэлүүдийг бууруулах цогц арга хэмжээ, тухайлбал төрөл бүрийн хяналт, зохион байгуулалтын арга хэмжээ, бодлого, журам, техник, технологийн хамгаалалт хэрэгжүүлнэ. Энэ үед бүтээмжид нөлөөлөх байдал, хэмнэлт, зардал үр ашгийн харьцаа, хамгаалах эд хөрөнгийн үнэ цэнэ зэргийг харгалзсан байна.
# Хэрэгжүүлсэн хяналт, арга хэмжээний үр дүнг үнэлж шаардлагатай бол засаж залруулах арга хэмжээ хэрэгжүүлнэ.
 
== Аюулгүй байдлын хяналтууд ==
Line 295 ⟶ 290:
=== Олон улсын стандартууд ===
Олон Улсын Стандартын Байгууллага - International Organization for Standardization (ISO) –аас МАБ-тай хамааралтай 27000 серийн стандартууд болон ISO 15443 зэрэг 50 гаруй стандарт гаргасан. Үүнээс 20 гаруй стандартыг доктор, профессор Т.Халтар хөрвүүлж Монгол Улсын үндэсний стандарт болгон батлуулсан байна.
 
Түүнээс гадна АНУ-ын Стандарт, Технологийн Үндэсний Институт, (NIST) болон ИБУИНВУ-ын Стандартын Байгууллага (BSI), Интернетийн Нийгэмлэг (IS), МАБ-ын форум (ISF), МАБ-ын мэргэжилтнүүдийн институт (IISP), ХБНГУ-ын МАБ-ын газар (Bundesamt für Sicherheit in der Informationstechnik - (BSI), Европын Холбооны Харилцаа Холбооны Стандартын Институт (ETSI)-ээс МАБ-ын төрөл бүрийн стандартыг боловсруулан гаргаж байна.
 
== Мэргэжил ==
Мэдээллийн Аюулгүй Байдлын мэргэжил нь тогтвортой бөгөөд эрэлт хэрэгцээ нь байнга өсөн нэмэгдэж буй мэргэжил болоод байна. 2014 – 2019 оны хооронд эрэлт хэрэгцээ нь жилд 11 хувиар өсөх таамаглал байна. Монгол улсад энэ чиглэлээр докторын зэрэг хамгаалсан цөөн эрдэмтэн, гадаадад болон дотоодод магистрын зэрэг хамгаалсан 10 гаруй мэргэжилтэн, систем болон сүлжээний хамгааллын чиглэлээр бакалаврын зэрэг хамгаалсан цөөнгүй мэргэжилтэн ажиллаж байна. Одоогийн байдлаар ШУТИС-ийн МХТС болон бусад зарим сургуульд “Системийн аюулгүй байдал” мэргэжлээр сургалт явуулж байна. Харин “Мэдээллийн Аюулгүй Байдал” мэргэжлээр мэргэжилтэн бэлтгэхгүй байна.
== Дүгнэлт ==
МАБ-ыг хангах нь хэзээ ч үл дуусах үйл явц бөгөөд “Ямар ч хэрэм босгосон хэн нэгэн этгээд түүнийг давах, нураах зэвсгийг зохион бүтээж байдаг” учир орчин үеийн бүх байгууллага Мэдээллийн Аюулгүй Байдлын Удирдлагын Тогтолцоо – ISMS заавал хэрэгжүүлсэн байх шаардлага тулгарч байна. Байнгын сургалт, хөгжүүлэлт, үнэлгээ, хамгаалалт, мониторинг, илрүүлэлт, будлианы хариу үйлдэл, сэргээн ажиллуулах үйл явц, баримжуулалт, нягтлан шалгалтыг хийж байж л мэдээллийн эрин зуунд амжилттай ажиллана.
"https://mn.wikipedia.org/wiki/Мэдээллийн_аюулгүй_байдал"-с авсан