Индэр    
2021 оны 1 сарын 20
Зураг
Мэдээллийн технологи

Мэдээллийн аюулгүй байдлын тогтолцоо

Зураг
rtp.org

Мэдээллийн Технологийн Аюулгүй Байдал гэх нэрээр анх гарч ирсэн бөгөөд зөвхөн технологитой холбоотой аюулгүй байдлыг үүнийг хамааруулан ойлгодог байсан үе саяхан.

Гэвч хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдэлүүд улам бүр нэмэгдэх хэрээр “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээх ойлголт түгээмэл хэрэглэгдэх болсон.

“Мэдээллийн аюулгүй байдал” гэдэгт гадна болон дотоодын сөрөг нөлөөллөөс үл хамааран мэдээлэл, түүнийг дэмжих дэд бүтцийн Нууцлагдсан байдал (confidentiality), Бүрэн бүтэн байдал (Integrity), Хүртээмжтэй байдал (Availabilty) -ыг хангаж, мэдээллийн харилцан ажиллагаанд оролцогч талууд, тэдний харилцан ажиллагааг хангаж буй технологи, төрөл бүрийн нөөцүүд тогтвортой ажиллахыг хэлдэг.

Гэвч бодит амьдрал дээр МАБ-ыг хангах нь тасралтгүй үйл явц бөгөөд ямар ч өндөр хана хэрэм, хамгаалалтын шийдэл нэвтрүүлсэн хэн нэгэн этгээд түүнийг давах, нураах зэвсгийг хаа нэгтээ бүтээж байдаг. Хана хэрмийг гаднаас нь биш дотроос нь эвдэх, хаалга нээх асуудал түгээмэл болсон.

Монгол Улс руу чиглэсэн халдлага 2013 оноос эрчимжиж эхэлсэн бөгөөд холбогдох байгууллагууд тухай бүрт нь халдлагатай холбоотой арга хэмжээг авч төрийн болон хувийн хэвшлийн байгууллагуудтай хамтран ажиллаж, таслан зогсоож байна.

Үндэсний дата төв руу сүүлийн зургаан сарын хугацаанд өдөрт дунджаар 66 сая орчим хандалт хийгдэж байгаагаас 14,6 сая орчим нь халдлагын шинжтэй гэж бүртгэгдсэн байна.

Саяхны нэгэн жишээг авч үзвэл 2020 онд Монгол Улсын төр, хувийн хэвшлийн байгууллагууд руу чиглэсэн “LuckyMouse” гэж нэрлэгдэх халдлагын бүлэг Windows үйлдлийн системийн “CVE-2017-118822” цоорхойг ашиглан халдах оролдлого хийсэн тухай мэдэгдсэн билээ.  

Дэлхий дахинд мэдээлэл, харилцаа холбооны технологи өндөр хурдаар хөгжиж буй өнөө үед улс орнуудын хувьд цахим мэдээллийн аюулгүй байдлыг хангах асуудал хурцаар тавигдах болсон. Дэлхийн улсууд цахим халдлага, цахим гэмт хэргээс үүдэн өнгөрсөн 2020 онд ойролцоогоор 10.5 их наяд америк долларын хохирол амссан бөгөөд энэ нь дэлхийн нийт эдийн засгийн нэг хувьтай тэнцэх хэмжээний дүн юм.

Мэдээллийн аюулгүй байдлыг хангах 4 үндсэн чиглэл байдаг.

  • Эрх зүйн түвшин: МАБ-ын талаар хууль, эрх зүйн актууд, стандартууд
  • Захиргаа удирдлагын түвшин: байгууллагын МАБ-ын үзэл баримтлал (стратеги), бодлого (тактик), хөтөлбөр, хяналт
  • Дэгийн түвшин: байгууллагад хэрэгжүүлсэн МАБ-ын дэг, журам, үйл ажиллагааны арга барил
  • Технологийн түвшин: Мэдээллийн болон сүлжээ, системийн аюулгүй байдлыг хангах зориулалттай төрөл бүрийн тоног төхөөрөмж, програм хангамжууд

Манай улсын хувьд НҮБ-н Олон Улсын Цахилгаан Холбооны Байгууллагаас жил бүр судлан гаргадаг Цахим Аюулгүй Байдлын Индексээр 193 орноос 85 дугаар байранд эрэмбэлэгдсэн. Цахим аюулгүй байдлын энэхүү индексийг тодорхойлон гаргахдаа

  1. Тухайн улсын хууль эрх зүйн орчин
  2. Хэрэгжүүлж буй технологийн арга хэмжээ (үндэсний СERT  байгууллага, төрийн болон хувийн хэвшлийн байгууллагуудад тавигдах стандарт, шаардлагууд)
  3. Удирдлага, зохион байгуулалтын арга хэмжээ (үндэсний стратеги, хөтөлбөрийн баримт бичиг, түүнийг хэрэгжүүлэх байгууллага)
  4. Чадавх бүрдүүлэх (үндэсний цахим аюулгүй байдлын сургалтын тогтолцоо)
  5. Хамтын ажиллагаа (олон улсын гэрээ, хэлцэлд нэгдсэн байдал, бусад орнуудтай байгуулсан хамтын ажиллагааны гэрээ, дотоодын байгууллагууд хоорондын хамтын ажиллагаа гэсэн 5 үндсэн шалгуур үзүүлэлтийн хүрээнд гаргадаг.

Манай улсын хувьд гол үзүүлэлт болох хууль эрх зүйн орчин байхгүй гэсэн үзүүлэлттэй байна. Уг хуулийн хүрээнд улс орны түвшинд мэдээллийн аюулгүй байдлыг хэрхэн хангах стратегиа гарган уг харилцааг хуульчлах, хэрэгжүүлэгч байгууллагаар дамжуулан уг хуулийн хэрэгжилтийг хангах хэрэгтэй байна.

Олон улсын туршлагаар мэдээллийн аюулгүй байдлыг хангах нь өдөр тутам хөгжих технологийн хөгжил, тасралтгүй нэмэгдэх халдлагын төрөл зүйл, хэрэглэгч байгууллага, хүний ур чадвараас хамаарсан нарийн төвөгтэй асуудал байдаг.

Энэ эрэлтийг хүний болоод технологийн нөөцөөр гүйцэх боломжгүй учраас улс орнууд тогтолцоог бий болгож, тогтолцоогоор дамжуулан төр, хүн, байгууллагыг тус бүрд нь хариуцлагажуулах замаар ажиллаж байна. Жишээлбэл салбар салбарын үйл ажиллагаанд нийцсэн олон улсын стандартыг нэвтрүүлэх замаар байгууллага бүрийн хариуцлага, үйл ажиллагааг оновчлох боломжтой байдаг.