Х.Баяржаргал: Мэдээллийн аюулгүй байдал нь нэг хэрэгжүүлээд орхидог зүйл биш

Нийтэлсэн: 2018.11.20 | |

Ай Ти Зон компанийн Дижитал Технологийн газрын дарга Х.Баяржаргал

Хэрэглэгчдийн чухал мэдээлэл болон бизнесийн нууц мэдээлэл алдсанаас болоод тухайн компани бизнес уналтад орох, дампуурч байгаа мэдээ өдөр бүр бидэнд сонсогдож байна. Үүнээс урьдчилан сэргийлэх алхмууд хийгдээд эхэлсэн бөгөөд тод жишээ нь Европын холбооны орнууд GDPR журам 2016 онд гаргаж энэ оны 5 сарын 25-ны өдрөөс бүх байгууллагууд мөрдөж эхэлсэн явдал юм. Дэлхий дахинаа мэдээллийг аюулгүй хадгалах болон хамгаалах асуудал халуун сэдэв болон яригдаж буй энэ үед Монголд нөхцөл байдал хэр байгаа талаар салбарын мэргэжилтнээс тодрууллаа. Ингээд Ай Ти Зон компанийн Дижитал технологийн газрын дарга Х.Баяржаргалтай хийсэн ярилцлагыг хүргэж байна.

ES: Мэдээллийн Аюулгүй байдалд монголчууд бид хэрхэн анхаарал хандуулж байгаа вэ?

Миний ойлгож байгаагаар монголчууд мэдээллийн аюулгүй байдалдаа дэлхийн жишгийг дагаад анхаарал хандуулах нь өдөр бүр нэмэгдэж байгаа нь харагдаж байна.

Жишээ татвал:

• Facebook дээр идэвхтэй өрнөж буй байгаа Unfriend хөдөлгөөн байна.

• Төрийн албан хаагчид ажлын байрандаа олон нийтийн сүлжээ ашиглахгүй байх шийдвэрийг Засгийн газраас гаргасан.

• Монголын ТОП банкнууд ISO27001 болон PCI DSS амжилттай нэвтрүүлээд сертификатуудыг авсан байх жишээтэй.

• Хамгийн ойрын жишээ бол энэ оны 10 сард Cyber security болон Information security холбоотой 3 том арга хэмжээ зохион байгуулагдаж байх жишээтэй

ES: Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо гэж чухам юуг хэлж байгааг энгийнээр тайлбарлавал?

Технологи, Хүн болон Процесс 3 хамтдаа байж мэдээллийн аюулгүй байдлын эсрэг төгс хамгаалалт гэж ойлгож болно. Зөв процесстой байхад дэмждэг зүйлс бол ISO27001, PCI DSS болон GDPR юм.

ES: Энэ тогтолцооны давуу тал нь юу вэ?

Аливаа хүн би мундаг болчихлоо гээд бодоод эхлэхээрээ хөгжихөө больдог

Мэдээлэл алдагдах, халдлагад өртөх нь дан ганц гаднаас байдаггүй, дотоод ажилчдын хайхрамжгүй, хариуцлагагүй байдлаас ч үүсдэг.

гэдэг шиг бид сайн мэргэжилтэнтэй, шилдэг хамгаалалтын төхөөрөмжүүд аваад Мэдээллийн аюулгүй байдал (МАБ)-ын бодлого гаргаад тэгээд мундаг болчихлоо гээд зогсдог. Энэ зогсолтоос сэргийлэх, үргэлжлүүлэх сайжруулах процесс бол Мэдээллийн Аюулгүй Байдлын Удирдлагын Тогтолцоо (МАБУТ) юм. МАБ нь нэг хэрэгжүүлээд орхидог зүйл биш юм. ISO удирдлагын тогтолцоонуудын гол онцлог өөрсдийгөө байнга хянаж, сайжруулж байдаг процесс болох юм. Мөн мэдээллийн урсгал хэрхэн зөв зохистой, хяналттай урсах боломжийг олгоно.

ES: Мэдээллийн аюулгүй байдлаа хангаагүйгээс болж байгууллагууд эрсдэлд орсон тохиолдол бий юу?

Олон улсад SONY, Yahoo, Face­book том компаниуд хэдэн мянган хэрэглэгчдийн мэдээллээ алдсанаас болж зах зээл дээрх байр суурь нь хүчтэй ганхаж, цаашлаад санхүүгийн хүнд алдагдалд орсон байдаг. Мэдээллийг гаднаас эсвэл дотроосоо алдаж болдог. Ер нь халдлагын 60 гаруй хувь нь дотроосоо, 40 орчим хувь нь гадны халдлагад өртөж, мэдээллээ алдсан байдаг. Монголын нөхцөлд дотроосоо мэдээлэл алдагдах тохиолдлууд маш их бөгөөд алдагдаж буйгаа төдийлөн хянаж мэддэггүй, бодит хохирол хэдийн учирсны дараа хожимдон мэдсэн нь олонтаа байдаг. Сүүлийн үед Email Phishing attack д өртсөн газруудын тоо Монголд эрчимтэй нэмэгдэж байна. Тиймээс дотоод зохион байгуулалт, дотоод хяналт, дотоод ажилтнуудын МАБ-ын мэдлэг маш чухал болоод байна.

ES: Байгууллагуудыг мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог нэвтрүүлсэн гэдгийг юугаар баталгаажуулдаг вэ?

Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоотой холбоотой ISO27001 гэсэн дэлхийн стандарт бий. Стандартын хувьд анх англи улсаас гаралтай бөгөөд ISO27001:2005, ISO27001:2013 гэсэн 2 загвар байдаг. Байгууллагууд мэдээллийн аюулгүй байдлын тогтолцоог нэвтрүүлээд ISO27001- ийн сертификатыг авахын тулд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх хэрэгтэй. Хэрэгжүүлэхдээ ISO27002 “best practice” ыг баримталдаг. Шаардлага хангасан тохиолдолд ISO27001-ийн сертификат олгодог эрх бүхий байгууллагууд руу ханддаг. Тэр байгууллагаас аудитор нь ирж шалгаад, сертификат олгодог. ISO 27001-д хоёр чиглэлийн боловсон хүчин бий. Хэрэгжүүлэгч буюу ISO27001-ийн Lead Implementer гэж байдаг. Lead Implementer нь байгууллагын ISO27001-ийн хэрэгжүүлэлтийг хийдэг. Мөн аудитор буюу ISO27001-ийн Lead Auditor гэж бий. Lead Auditor нь хэрэгжүүлсэн хүний ажлыг шалгадаг. Байгууллагууд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог тухайн үедээ хэрэгтэй гэж нэвтрүүлээд дараа нь хайхрамжгүй орхидог. Гэтэл 3-6 сар тутамд үйл ажиллагааг нь хянаж, сайжруулж байх ёстой. Энэ үйл ажиллагаан дээр манай компани удирдан чиглүүлж тухайн байгууллагын ажилтнууд өөрсдөө явцын хяналтыг хийх бүрэн боломжтой.

ES:Манай улсад энэ үйлчилгээ хэзээ нэвтэрч эхэлсэн бэ? Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог нэвтрүүлсэн компаниуд бий юу?

Монгол улсад 2010 оноос эхлэн томоохон банкнууд энэ МАБУТ нэвтрүүлж эхэлсэн гэж сонссон. Одоогийн мэдэгдэж байгаагаар ХААН, Хас банк, Голомт банкууд шаардлагыг хангаад энэ сертификатыг авсан гэж сонссон. Манай компанид ISO27001-ийн Lead Imple­menter, Lead Auditor гэсэн боловсон хүчин бий. Бид хүсэлт тавьсан байгууллагуудад мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зөвлөгөө өгч, хамтран ажиллаж байна. Цаашдаа ч монгол олон байгууллага энэ МАБУТ нэвтрүүлнэ гэж бодож байна. Мэдээллийн аюулгүй байдлын тогтолцоог нэвтрүүлснээр байгууллагын үйл ажиллагаа зогсолтгүй, тогтвортой болж, ирээдүйн амжилтын үндэс суурь болж өгнө.

Үндсэн цэс