3 s is for c servants

1

Т.ХалтарДок, проф

[email protected]@moncirt.org.mn

Төрийн Байгууллагын Мэдээллийн Аюулгүй

Байдал

mailto:[email protected]


ХУРААНГУЙ

• Мэдээллийн аюулгүй байдлыг хангахад зөвхөн програм-техникийн арга хэмжээ хэрэгжүүлэхэд хангалттай гэж үздэг гэнэн ойлголтын үе өнгөрсөн.

• Мэдээлэл холбооны технологийн хурдтай хөгжил, түүнийг хууль бус зорилгод ашиглах хэдэн түмэн арга бий болсон өнөөгийн үед Монгол улсад мэдээллийн аюулгүй байдлын ойлголт маш муу, төрийн байгууллагуудын МАБ хангагдаагүй

• Ихэнх байгууллагад мэдээллийн аюулгүй байдлыг хангах цогц удирдлага байхгүй.

Яагаад?• МАБ-ын Мөн чанарыг мэддэггүй, • Өнгөцхөн ойлголт дээрээ тулгуурладаг, • Удирдах ажилтнууд болон ихэнх хэрэглэгчид түүний ач

холбогдолыг мэдэхгүй, • Үл тоомсорлодог, • Хөрөнгө мөнгө зарцуулдаггүй• МАБ огт хангагдаагүй, мэдээлэл гадагш урсаж байгаа,

сүлжээ, вебүүд цоорхой• МАБ-ын довтолгооныг зүгээр нэг танхай хакер төдийгүй

өрсөлдөгч байгууллагууд, тусгай албад гүйцэтгэдэг

Яагаад?• Бүх зүйл МХТ-д суурилах болсон• Онлайн хэлцэл, гүйлгээ, гэрээ олширч, мэдээллийн урсгал эрс

нэмэгдсэн.• Хүн төрөлхтөний хөгжил дэвшил МХТ-оос хамааралтай болсон.• Эдийн засгийн хөгжлийн хөдөлгүүр нь МХТ• Мэдээлэл, өгөгдөл, мэдээллийн технологи, мэдээллийн

систем, сүлжээ нь аливаа байгууллагын маш чухал, үнэт эд хөрөнгө.

• Гэмт халдлага, үйлдэл, зөрчил эрс нэмэгдэж байна.• Мэдээллийн аюулгүй байдал нь нэг хувь хүн, нэг байгууллага,

нэг улс төдийгүй дэлхийн хамтын нийгэмлэгийн чухал асуудал боллоо.

Яагаад хэрэгтэй болов?• МХТ хүчтэй нэвтэрсний улмаас уламжлалт цаасан баримт

бичгийн нууцлал, хамгаалалт шаардлага хангахаа больсон • Зэвсэгт хүчин, цагдаа, тагнуул, онц байдал, гамшгийн

удирдлага, тогтолцоо байдагтай нэгэн адил мэдээллийн аюулгүй байдал, түүнийг хэрэгжүүлдэг тогтолцоо, байгууллагууд байх зайлшгүй шаардлагатай.

• Байгууллага бүр МАБ-ын удирдлагатай болсон.• МАБ- нь Програм-техникийн асуудал байхаа больж улам бүр

нарийн төвөгтэй, захиргаа-удирдлагын асуудал болон хувирсан.

• Мэдээллийн нөлөөлөл, хор хөнөөл эрс нэмэгдсэн, Тараах суваг олширсон

Үйл ажиллагааныхаа үр ашгийг дээшлүүлэх, МХТ-ийн ашиг шимийг хүртэх, зардлаа багасгах, цахим харилцаанд шилжихийг Дэлхий дахины нөхцөл байдал болон Монгол улсын өнөөгийн байдал шаардаж байна.

МАБ-ын үр нөлөө нь мэдээллийн технологийн хөрөнгө оруулалтын үр нөлөөг хангана.

Өнөөгийн нөхцөл дахь МАБ-ын төлөв байдал

Ernst&Young-ийн судалгаанаас харахад үүнд хүрэх баталгаа, нэг чухал нөхцөл нь МАБ-аас хангах. Аюулгүй байдалд хэмнэж болохгүй. Ихэнх байгууллагын мэдээллийн аюулгүй байдал нь нийт аюулгүй байдалтайгаа дүйцэж очсон.

Мэдээллийн аюулгүй байдал• Мэдээлэл нь байгууллагын бусад эд хөрөнгийн

нэгэн адил үйл ажиллагаа, ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой.

• Мэдээллийн аюулгүй байдал гэдэг нь ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах, хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээлэл, мэдээллийн дэд бүтцийг олон янзын аюул, заналхийллээс хамгаалах ажиллагаа.

Аюулгүй байдал гэж юу вэ?Аюулгүй байдал ямар хэмжээтэй байвал зохих вэ? Торхны загвар

Аюулгүй байдал гэж юу вэ?

Өгөгдлийн сан

Нууцлал Халдашгүй байдалХарьцуулан таних Зөвшөөрөх

Бат бэх үйлдлийн систем VPNМаршрутизатор Firewall

Зохицуулалт БодлогоҮ/А-ны журам Стандартууд

• Аюулгүй байдлын давхарга

Мэдээллийн аюулгүй байдал• 21-р зуунд Мэдээллийн дайн, кибер дайн, кибер арми, цэрэг, кибер

зэвсэг • Мэдээллийн Аюулгүй байдал гэдэг нь өргөн утгаараа “Нийгэм,

институт, байгууллагын мэдээллийн орчны хамгаалагдсан байдал”

• Мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтцийн хамгаалагдсан байдал (байгууллагын аюулгүй байдалтай ижил болж байна)

• Өгөгдөл, мэдээ, мэдээлэл, баримт материал, аппарат хэрэгслийг хууль бусаар, зүй бусаар ашиглах, өөрчлөх, устгах гэмтээх, хандах боломжийг хаахаас сэргийлж авсан арга хэмжээ.

• МАБ-нь бүрэн хамгаалалт бий болгохгүй.• Хамгийн сайн цайз босгосон ч илүү хүчтэй эвдлэгч бүхий хэн нэгэн

гарч ирнэ.• МАБ гэдэг нь өгөгдөл, мэдээлэл, түүнийг боловсруулах тоног

төхөөрөмжийг аюул заналхийллээс хамгаалах, эмзэг, сул талыг нь буруугаар ашиглахаас сэргийлэх үйл ажиллагаа, үйл явц, үйлдлүүд

МАБ-д нөлөөлөх хүчин зүйлс• Монгол улсын үндэсний аюулгүй байдлын үзэл баримтлал

шинэчлэгдсэн, МАБ-ыг онцгой анхаарсан• МАБ-ыг зохицуулсан хууль, эрх зүйн актууд гараагүй• Монгол улс технологийн асар их хамааралтай байгаа• Олон янзын хүчин зүйлс заналхийлж байна:

– Улс төрийн хүчин зүйлс– Эдийн засгийн хүчин зүйлс– Удирдлага, зохион байгуулалтын хүчин зүйлс– Дэлхий нийтийн хүчин зүйлс– Бүс нутгийн хүчин зүйлс– Орон нутгийн хүчин зүйлс– Системийн аюулгүй байдалд заналхийлж буй хүчин зүйлс

12

Нууцлал

Хүртээмжтэй байдал

Бүрэн бүтэнбайдал

МАБ-ын мөн чанар

Зөвхөн эрх олгогдсонэтгээд л мэдээлэл, дэд бүтцэд хандах боломж-ийг хангасан байх

Мэдээлэл, түүнийгболовсруулах, аргахэрэгслийн үнэнзөв, бүрэн дүүрэнбайдлыг хангасан байх,

Эрх олгогдсонэтгээд хэрэгтэйүедээ мэдээлэл,дэд бүтцэд хандах боломжийгхангасан байх

Аюулууд

• Хүнээс хамаарсан аюулууд (гэмт бүлэглэл, гэмт этгээдүүд, зөрчил гаргагчдын хууль бус үйл ажиллагаа, буруу санаат хамтрагч, түнш, өрсөлдөгчид, байгууллагын зарим ажилтнуудын зүй бус ажиллагаа г.м).

• Техникийн аюулууд (чанаргүй төхөөрөмж, программ хангамж, хэрэгсэл, холбоо, хамгаалалт, дохиоллын техник хэрэгслүүд болон аюултай үйлдвэрлэл, тээвэрлэлт г.м).

• Байгалын аюул (газар хөдлөлт, хар салхи, үер болон байгалын бусад гамшигт үзэгдлүүд)

АюулуудХувь хүн, нийгэмд заналхийлж байгаа аюулууд• кибер хорлон сүйтгэх ажиллагаа; • нийгмийн ёс суртахуунд заналхийлж буй аюулууд (порнограф тараах,

хүчирхийлэл, мансууруулах бодис, гэмт хэргийг сурталчлах, үндэстэн хоорондын дайсагнал, дайн хүчирхийллийг сурталчлах г.м);

• ухамсарт нь үйлчлэн нөлөөлөх (кибер зомби болгох); • нийгмийн тогтвортой байдлыг алдагдуулах үзэл санааг сурталчлах (арьс

өнгөний үзэл, нацизм, шашны сектүүд г.м); • цахим хэрэгслээр мэдээллийн дайн явуулах; • залилан мэхлэх, социаль инжиниринг, фишинг, спаминг г.м • төрийн систем дахь өгөгдөл мэдээллийг өөрчлөх, устгах, хулгайлах г.м; Эдийн засагт заналхийлж буй аюулууд • гадаад улс, гадны байгууллагын бизнес тагналт; • эдийн засгийн алдагдалд хүргэх сөрөг, хуурамч мэдээлэл тараах; • өрсөлдөгч байгууллага, компанийн сөрөг кибер үйлдэл; • оюуны өмчийг хууль бусаар ашиглах;

АюулуудБатлан хамгаалах чадвар, үндэсний аюулгүй байдалд заналхийлж буй аюулууд • Гадаад улсын зүгээс Монголын Интернет трафикийг хянах, статистик мэдээлэл

цуглуулах, төрийн байгууллагын өгөгдлийн санг шүүж самнах; • Монгол улсын тооцоолон бодох болон давтамжийн нөөцийг цэргийн зорилгод

ашиглах, зомби болгох; • Монгол улсын сувгийн нөөцийг хууль бусаар ашиглах; • Трафикийг зорилго, чиглэлтэйгээр өөрчлөх, гажуудуулах, харилцаа, холбооны

системийг сүйтгэх, гажуудуулах; • Хуурамч мэдээлэл тараах; • Байлдааны вирус (логик бөмбөг г.м), бусад хэрэгсэл ашиглан тооцоолох,

өгөгдөл боловсруулах төв, систем, харилцаа холбооны сүлжээг сүйтгэх; • тагнуул – хорлон сүйтгэх ажиллагаа г.м.• botnet технологийг ашиглан аливаа компьютерийг эзэнд нь мэдэгдэлгүй

зайнаас удирдах.

Logic bomb буюу үйлдлийн систем, хэрэглээний програмд нууцаар оруулсан код. Тодорхой нөхцөл бүрдэх, тогтоосон цаг хугацаа болох, гаднаас команд өгөхөд идэвхжиж сүйтгэх үйлдэл, нөлөөлөл үзүүлнэ. Зарим үйлдвэрлэгч бүтээгдэхүүнийхээ бүрдэл хэсгүүдэд суулгаж үйлдвэрлэдэг, мэдээллийн дайны зэвсэг болгон ашиглаж байгаа.

Их Британийн жишээн дээр (2011 он)

5240630040186400

70150070195900

873824006830500

11767200135643300

51485009754400

176000705000

38365000

0 50000000 10000000 15000000

Ажилтны хууль бус нэвтрэлтСанхүүгийн залилан

Харилцаа холбооны залиланБүрдэл хэсгийг хулгайлах

Вирусын довтолгоонКомпьютерийн хулгай

Сүлжээг зүй бусаар ашиглахҮйлчилгээ бусниулах DoS, DDoS

Хорлон сүйтгэх ажиллагааСистемд хууль бусаар нэвтрэх

Нууцаар чагнахЗамаас нь барих

социаль инжиниринг

хохирол US$

Гол халдлагууд

АНУ дахь Мэдээллийн Аюулгүй Байдал

• МАБ-ын эсрэг зөрчлүүдээс учирсан хохирол, 2011 онд: $US 32.5 миллиард

• Асуулгад хамрагдсан хүмүүсийн 92% нь 2011 онд халдлагад өртсөн

• Нийтийн түгшүүр дэгдээсэн асуудал нь хортой код (хэрэглэгчдийн 97%)

• 5 байгууллагын 3 нь веб сайтыг хууль бусаар ашиглах үйлдлийн хохирогч болсон

• 6 хэрэглэгчийн 4 нь хохирсноо мэддэггүй• МАБ, Кибер аюулгүй байдал - байгууллагын

удирдлагын тэргүүлэх асуудал

19

Хорлон сүйтгэх

Хулгай

Санхүүгийн залилан

ТХ, ПХ доголдол

ажилтны хайнга зан

Спам (соёлгүй мэйл)

Хакерийн халдлага

Хортой кодууд

Мэдээллийн хулгай

0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00%

201020092008

МАБ-ын Хамгийн ноцтой аюулууд

20

хор уршиг

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%

Санхүүгийн шууд хохиролНэр хүндээ алдахҮйлчлүүлэгчээ алдахӨрсөлдөх чадвар буурахЗохицуулах болон хуулийн Б-аас шалгахТүншээ алдахХэрэг маргаан, хуулийн хариуцлагаХөрөнгө оруулагчаа алдах

Хор уршиг, хохирол

21

Хор хохирлын эх сурвалж

22

AdWare

Таны өдөр тутмын эрсдэл

VirusesIRC Worms

DoS ToolsExploits

Flooders

Trojan downloaders

Trojan Spies

TrojanDroppers

Trojan Notifiers

Trojan Proxies

Bad Crackers Email

WormsIM-

worms

Porno dialers

Bad Jokes

SPAM-tools P2P

Worms

Bank spying Trojans

SPAM

Trojanized network tools

Хортой кодын өсөлт

«Лаборатория Касперского»-оос өгөгдлийг авав

2001 2002 2003 2004 2005 2006 2007 3 кв. 20080

200000

400000

600000

800000

1000000

1200000

1400000

8821 11136 20731 31726 53950

169689

472621

1315474

2013 онд энэ хандлага хадгалагдана гэж үзэж байна…

2005 2006 2007 2008 2009 2010 2011 2012

Ашиг орлоготой Үйлдэхэд амархан

(техник, ёс зүйн хувьд). Эрсдэл багатай, илрэх магадлал бага Халдахад амархан шинэ объек- тууд олноор бий болж байгаа Өөрийгөө илэрхийлэх, гайхуулах Байгууллагад бодлого байхгүй, хамгаалалт сул, хэрэглэгчид журам

сахидаггүй, ойлголтгүй, гэнэн

Сүлжээний гэмт хэргийн өсөлтийншалтгаан

Манай дэлхий технологийн хамааралд улам бүр орсоор…

…Хамгийн тэргүүлэх салбарт ч

Эх сурвалж: http://www.wired.com/politics/security/news/2008/01/dreamliner_security

Мэдээллийн аюулгүй байдлыг хэрхэн хангах вэ?

• Аюулгүй байдлын бодлого, үйл явц, дэг журам, зохион байгуулалтын бүтэц болон програм хангамж, техник хангамжийн чиг үүргүүдийг багтаасан зохих хяналт, удирдлагын багц, механизмыг хэрэгжүүлэх замаар мэдээллийн аюулгүй байдлыг зохих түвшинд хангаж чадна.

Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?

• Мэдээллийн аюулгүй байдлын тогтолцоог тодорхойлж, бий болгож, дэмжиж, сайжруулах нь өрсөлдөх чадвар, бэлэн мөнгөний урсгал, орлогоо дээшлүүлэх, хууль зүйн нийцлийг бий болгох, бизнесийн нэр төрөө бэхжүүлэх гол хүчин зүйлийн нэг

• Байгууллага болон байгууллагын мэдээллийн систем, сүлжээ олон янзын гарал үүсэлтэй аюул заналхийлэлтэй тулгарч байна.


• Хохирлын шалтгаан болж буй нянтай програм, хортой код, компьютер, сүлжээнд хууль бусаар нэвтрэн орох халдлага, үйлчилгээг бусниулсан довтолгоонууд нийтийг хамарсан шинжтэй, илүү шунахай, илүү төвөгтэй, нарийн болж байна.

• Мэдээллийн аюулгүй байдал нь төрийн, төрийн бус байгууллагууд, бизнесийн салбар болон эмзэг чухал дэд бүтцийг хамгаалахад маш чухал, онцгой хэрэгцээтэй болж байна.


• Төрийн болон хувийн салбарын харилцаа холбоо нэмэгдэж, мэдээллийн нөөцийг хамтран ашиглаж байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд учирч буй саадыг нэмэгдүүлж байна.

• Компьютер улам бүр олширч, тархан дэлгэрч буй хандлагын улмаас төвлөрсөн, тусгай хяналтын үр дүн буурч байна.

• Мэдээллийн олон систем аюулгүй байдлын шаардлагуудыг хангахааргүй зохион бүтээгджээ.


• Техник хэрэгслийн тусламжтайгаар хангаж болох аюулгүй байдлын боломж хязгаарлагдмал учир зохих удирдлага, дэг журам зайлшгүй шаардлагатай.

• Мэдээллийн аюулгүй байдлын удирдлагыг хэрэгжүүлэхэд байгууллагын бүх ажилтнуудын оролцоо шаардагддаг.

• Үүсгэн байгуулагч, хувьцаа эзэмшигчид, гуравдагч тал, хэрэглэгчид, үйлчлүүлэгчид болон бусад талуудын оролцоо шаардагдана.

• Гадны байгууллагын мэргэжилтний зөвлөгөө зайлшгүй шаардлагатай.

Аюулгүй байдлын шаардлагууд, эрсдлийн үнэлгээ

• Аюулгүй байдлын шаардлагуудыг тодруулсан байх нь байгууллагын нэг гол асуудал.

• Аюулгүй байдлын эрсдлийн байнгын үнэлгээний үр дүнд аюулгүй байдлын шаардлагуудыг тодруулна.

• Эрсдлийн үнэлгээний үр дүнд нөлөөлж болох аливаа өөрчлөлтийг мэдрэхийн тулд эрсдэлийн үнэлгээг тодорхой давтамжтайгаар хийж байх– Аюул + эмзэг байдал + магадлал = Эрсдэл

• Ажилтан бүр учирч болох эрсдэл, түүнийг бууруулах талаар ойлголт, мэдлэгтэй, байгууллагынхаа МАБ-ын бодлого, журмыг чанд баримтлан ажилласнаар эрсдлийг зохих хэмжээнд бууруулж чадна.

Мэдээллийн аюулгүй байдлын эхлэлийн цэг

Хяналт нь дараах зүйлсийн хамт мэдээллийн аюулгүй байдлын нийтлэг практик гэж тооцогдоно:

• мэдээллийн аюулгүй байдлын бодлогын баримт бичиг;• мэдээллийн аюулгүй байдлын талаар хүлээх үүргийн

хуваарилалт;• мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт;• зөв зүйтэй хэрэглээ;• техникийн эмзэг байдлын удирдлага;• бизнесийн тасралтгүй ажиллагааны удирдлага;• мэдээллийн аюулгүй байдлын будлианы удирдлага болон

түүнийг боловсронгуй болгох • удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;• Хамгаалалтын ТХ, ПХ-ын механизм

Амжилтад нөлөөлөх гол хүчин зүйлс

“3С” ХХК-ийн судалгаанаас үзэхэд байгууллагад мэдээллийн аюулгүй байдлыг амжилттай хэрэгжүү-лэхэд дараах хүчин зүйлс ихээхэн нөлөөлдөг:

• Мэдээллийн аюулгүй байдлын бодлого, зорилго, үйл ажиллагаа;

• Мэдээллийн хамгаалалтыг хэрэгжүүлэх, дэмжих, хянах болон боловсронгуй болгох байгууллагын дотоод соёлтой нийцсэн хандлага, бүтэц;

• Удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;• Мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийн

үнэлгээ, эрсдэлийн удирдлагын талаархи сайн ойлголт, мэдлэг;

• Бүх менежер, ажилтнууд болон бусад талуудад бүрэн дүүрэн ойлголт бий болгохын тулд үр дүнтэй маркетинг явуулах;

Амжилтад нөлөөлөх гол хүчин зүйлс

• Мэдээллийн аюулгүй байдлын бодлого, стандартын удирдлагыг бүх менежер, ажилтнууд болон гуравдагч талд хуваарилан хэрэгжүүлэх;

• Мэдээллийн аюулгүй байдлын удирдлагын үйл ажиллагааны санхүүжилт бий болгох;

• Зохих ойлголт, сургалт, боловсролыг бий болгох;• Мэдээллийн аюулгүй байдлын будлиан, учралын

үр дүнтэй удирдлагыг бий болгох; • Мэдээллийн аюулгүй байдлын удирдлага дахь

ажлын гүйцэтгэл болон буцах холбоог үнэлэхийн тулд аудит, хэмжилт, үнэлгээний тогтолцоог бий болгох

МАБ-ыг хангахад баримтлах үндсэн хууль, Дэлхийн хамгийн шилдэг практик

(ISO/IEC) MNS 27001, 27002

Зөвхөн техник, төхөөрөмжийн тусламжтайгаар МАБ-ыг хангаж чадах уу?

ТЭГВЭЛ ДАРААХ ЗҮЙЛСИЙГ ХЭРХЭН ШИЙДЭХ ВЭ?•ЭРСДЛЭЭ ҮНЭЛЭХ•ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ•ШИНЭ АЮУЛЫГ ИЛРҮҮЛЭХ, ХЯНАХ•ҮҮРЭГ ХАРИУЦЛАГЫГ ТОГТООХ•БАЙГАА БАЙДЛАА ҮНЭЛЭХ, ЭРСДЛИЙГ БУУРУУЛАХ•ОНЦГОЙ НӨХЦӨЛД БАЙДАЛД ХЭРХЭН АЖИЛЛАХ,•ХҮМҮҮС, ЭД ХӨРӨНГИЙН БИЕТ АЮУЛГҮЙ БАЙДАЛ•ТЕХНИК ХЭРЭГСЭЛ, ПРОГРАМ ХАНГАМЖ ХУДАЛДАН АВЧ БАЙГАА НЬ ЗОХИСТОЙ ЭСЭХИЙГ ҮНЭЛЭХ Г.М.

ЭНЭ БҮХНИЙГ ЗӨВХӨН ЦОГЦ ХАНДЛАГЫН ҮНДСЭН ДЭЭР ШИЙДЭЖ ЧАДНА.

МАБ-ын нийтээрээ хүлээн зөвшөөрсөн хандлага

Цогц шийдэл – амжилтын үндэс

Байгууллагын мэдээллийн аюулгүй байдлын удирдлага

ЭРСДЭЛИЙН ЭЦСИЙН ҮНЭЛГЭЭ БОЛОВСРУУЛАЛТ

АЮУЛГҮЙ БАЙДЛЫН БОДЛОГО

М А Б-ын ТОГТОЛЦООГ

ЗОХИОН БАЙГУУЛАХ

ЭД ХӨРӨНГИЙН УДИРДЛАГА

ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ

АЮУЛГҮЙ БАЙДАЛ БАЙР, БАЙШИН БОЛОН ОРЧНЫ

АЮУЛГҮЙ БАЙДАЛ ХОЛБОЛТ БОЛОН

ҮЙЛ АЖИЛЛАГААНЫ

УДИРДЛАГАХАНДАЛТЫН УДИРДЛАГА

МЭДЭЭЛЛИЙН СИСТЕМ

СУУРИЛУУЛАХ, ҮЙЛЧИЛГЭЭ

ХИЙХ МЭДЭЭЛЛИЙН

АЮУЛГҮЙ БАЙДЛЫН БУДЛИАНЫ

УДИРДЛАГА

ТАСРАЛТГҮЙ АЖИЛЛАГААНЫ

УДИРДЛАГА

АУДИТ, НИЙЦЛИЙН УДИРДЛАГА

ЭД ХӨРӨНГӨ – АКТИВ: МАБ-ын үндсэн объектууд

Эд хөрөнгө (asset) – Байгууллагад үнэ цэнэ бүхий аливаа зүйлс ISO/IEC 13335-1:2004

Мэдээллийн эд хөрөнгө – • мэдээлэл өөрөө• Мэдээлэл агуулсан эсхүл• Мэдээлэлд хамааралтай

Байгууллагын хувьд тодорхой үнэ цэнэтэй аливаа объектууд.Жишээлбэл: өгөгдөл, мэдээлэл, барилга байшин, сүлжээ, систем, ПХ, ТХ, хүний нөөц, байгууллагын нэр хүнд г.м. Энгийн болон нийлмэл нарийн объектууд хэмээн хуваагддаг.

Эд хөрөнгө

ХЭРХЭН ХАМГААЛАХ

ВЭ???

ЭМЗЭГ БАЙДАЛ

АЮУЛ

МАБ-ын үзэл баримт-лалаа тодорхойлох

МАБ-ын ҮБ-ыгтодорхойлсонбаримт бичиг

МАБ-ыг хангах хүрээ хязгаарыг

тогтоох

Системийн хүрээ хязгаарыг тодор-хойлсон баримт

Эрсдэлийн үнэлгээ

хийх

Аюул, цоорхой,Үр дагаврыгтод-сон ББ

Сөрөг а/х,ЭрсдэлийнУдирдлага, МАБ-ын

БОДЛОГО

Захиргаа, дэг, ПХ,ТХ-ийн түвшингээрангилсан сөрөг а/х,МАБ-ын бодлого

МАБ-ыг хангах хяналт удир-ын

хэрэгслийг сонгох

БайгууллагынХэмжээний МАБ-ыг

Хангах иж бүрэнтогтолцоо

МАБ-ын уд-ын тогтолцоог гэрчил-

гээжүүлэх, баталгаа-жуулах

Нийцлийн тайлан(сөрөг а/х-ний зохист

байдлыг үнэлэх)

Үндсэн агуулга Үндсэн баримт бичиг

МАБ-ын үзэл баримтлал

Системийн загвар

Эрсдэлийн шин-жилгээ

Эрсдэлийнудирдлага бий болжбодлого батлагдана

МАБ-ыг хангах ижбүрэн тогтолцоо

МАБ-ын хангахтогтолцооныаудит

Аюул, заналхийлэл,Эмзэг байдал, цоор-хой, нөлөөлөл

Эрсдэлийг удирдаххандлагаа бий болгох, бодлогоболовсруулах

МАБ-ын хяналтынхэрэгслүүдээсонгох

МАБ-ын удирдлагынтогтолцооныаудит

44

Бусад

Биет хамгаалалт

Гадаад сүлжээний холболтыг хязгаарлах

Ажилтнуудыг сургах

Зохион байгуулалтын арга хэмжээ

МАБ-ын цогц арга хэмжээ

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

201020092008

МАБ-ыг хангах арга хэмжээ

Deloitte&Touche-ийн Стивеном Российн санал болгосон график шинжилгээ.

1. Захиалгат ПХ, ТХ – хамгийн бага үр нөлөө.

2. Үйлдлийн систем, ӨСУ системийн өөрийн хамгаалалт – үнэ/чанарын хамгийн сайн харьцаа

3. Зохион байгуулалтын арга хэмжээ (аудит, эрсдлийн үнэлгээ, бодлого, дэг, тасралтгүй ажиллагааны төлөвлөгөө, дэг, журам) – үнэ/чанарын хамгийн сайн харьцаа

4. Өндөр үнэтэй, илүү үр нөлөөтэй хэрэгслүүд – IPS, SSO, PKI, DLP/ILP, МАБ-ын цогц тогтолцоо. Эрсдлийн маш сайн үнэлгээ хийсний үндсэн дээр мөнгө зарцуулах нь зүйтэй. Эрсдлээсээ үнэ нь давж болно.

МАБ-ын арга хэмжээний үр нөлөөүн

э

Үр нөлөө

Суурь хамгаалалтууд

2 Галтхана анти вирус

VPN нөөц хуулбар

НТДБ-PKI

IPS МАБ-ын иж бүрэн систем Нэг удаагийнхандалт

Бодлого, дэг SSLТасралтгүй аудит, эрсдлийн ажилгааны удирдлага удирдлага

46

3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ

• Стратеги, Бодлого, дэг,• Эрсдлийн үнэлгээ, аудит, МАБ-ын хөтөлбөр• Найдвартай, зөв архитектур, • Мэдээллийн аюулгүй байдлын ойлголт, боловсрол,

сургалт;• Зөв зүйтэй хэрэглээ;• Хандалтын удирдлага• Өөрийн вебийн аюулгүй байдал, вебээр дамжин орж ирэх

аюулаас хамгаалах• Өгөгдлийн сан, Сервер болон терминалын хамгаалалтын

систем• Бизнесийн тасралтгүй ажиллагааны удирдлага;• Мэдээллийн аюулгүй байдлын будлианы удирдлага

47

3С ХХК-ийн санал болгож буй цаашид үе шаттай хэрэгжүүлэх арга хэмжээ

• DDoS-оос хамгаалах систем, Галт хана, халдлага илрүүлэх систем (IPS), чиглүүлэгч

• VPN, тоон гарын үсэг, шифрлэлт• МАБ-ын будлианы удирдлага, халдлагын мониторинг• Хамгаалалтын хэрэгслийн конфигурацийн удирдлага, хяналт• Сүлжээний төхөөрөмжүүдийн төвлөрсөн удирдлага• Сүлжээний байнгын мониторинг• Чиглүүлэгчийн протоколын мониторинг, Дуут холбооны

хамгаалалт• Техникийн эмзэг байдлын удирдлага, Мэдээллийн дэд

бүтцийн удирдлага• Үүлэн тооцооллын аюулгүй байдлыг хангах арга хэмжээ г.м.

3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ

• Дараа үеийн Галт хана (халдалтыг илрүүлдэг сүлжээ хоорондын дэлгэц);

• Хортой кодын эсрэг ПХ;• Хандалтын хяналт;• Хоёр бүрдэлтэй таньж зөвшөөрөх систем;• Бейж (адилтгах карт);• Биометр аргууд;• Ухаалаг (смарт) карт унших систем;• Биет хамгаалалт, харуул;• Файлд хандах хандалтын хяналт;• Шифрлэлт, тоон гарын үсэг, тоон гэрчилгээ;• Ухамсартай, сайн сургаж бэлтгэсэн ажилтнууд;• Халдалт, нэвтрэлтийг илрүүлэх систем;• ПХ-ыг автоматаар шинэчлэх, сайжруулах, ПХ-ыг удирдах бодлого г.м.

…томоохон байгууллагад

Thick Client Browser VPN Mobile Portal

ERPПрограмууд SCM CRM Custom

ContentMgmt

Агуулгын түвшний

Info RightsMgmt

Analytics& Reporting

Collab

SOAНийцүүлэх шийдлүүд

BPM ESB

RDBMSӨС-ийн түвшнийшийдлүүд

XML

HardwareДэд бүтцийн шийдэлүйлчилгээ

Software Storage Virtualization

LDAP Unstructured

Workflow

Аюулгүй байдлын шийдлүүд

Databases

Applications

Content

Infrastructure

Information

• Маскирование и преобразование• Управление привилегированными

пользователями• Многофакторная авторизация• Аудит и мониторинг активности• Безопасное конфигурирование

Identity Management

Information Rights Management

Мэдээллээ хамгаалах

• Назначение/отзыв IT-привилегий• Управление ролями• Универсальная авторизация• Контроль доступа с учетом рисков • Виртуальные каталоги

• Аудит использования документов• Предоставление и блокирование доступа

к документам• Безопасность документов внутри и вне

межсетевых экранов

Database Security

Хэрэглээний програмуудынаюулгүй хэрэглээ

Role Management Entitlements ManagementIdentity Management

Cryptographic Acceleration Key ManagementSecure OS & Virtualization

Database & Network Encryption Strong AuthN and AuthZ, Auditing, Firewall

Propagated Directories Data Access ManagementVirtual & Core Directories

Network Encryption Strong AuthN and AuthZ,JavaSecurity, SSO, SAML

Access Management Fraud PreventionIdentity Federation

Network Encryption Strong AuthN and AuthZ,JavaSecurity, SSO

Мно

гоур

овне

вая

клас

тери

заци

я и

вирт

уали

заци

я об

еспе

чива

ют

отка

зоус

тойч

ивос

ть и

мас

шта

биро

вани

е

Скв

озна

я и

нтег

риро

ванн

ая б

езоп

асно

сть

52

Safeguarding Your Computer

Practical Steps• 1.Secure your computer (log out, lock the office)• 2.Account management (user roles, permissions)• 3.Use strong passwords• 4.Get the latest updates • 5.Install anti-virus and anti-spyware software• 6.Use a firewall• 7.Browse the Internet safely • 8.Make regular backups• 9.Secure wireless networks• 10.Learn what to do if something goes wrong.

53

What Needs to be Protected?

• Your Identity, Your Privacy• Your Personal Information, Your Money

–Others’ Identity, Information, PrivacyThings Cal Poly has entrusted you with

– Your login - What you have access to

54

Safe Computing Practices

55

How do I Protect my Information?

• Keep your computer safe, protected:• Use trusted software, keep your software

updated• Run anti-virus, anti-spyware• Be wary of suspicious emails, prompts for

updates, pop-ups, URLs or links• Use strong passwords, keep portal password

unique

56

Keep Software Updated

• Run trusted software• Regularly update your computer, software,

Operating system• Browser• Instant messenger• Email

• Consult with your network administrator

57

Updating Software

58

Бусад програмын шинэчлэлт

59

Run Anti-Virus, Anti-Spyware

• Download it for free at үйлдвэрлэгчийн сайтнаас

• Keep definitions updated Set to automatic updates

60

Be Wary of Suspicious Emails, Links, Updates

• It’s never appropriate or OK for someone to ask you for your login and password in email

• Never provide your login and password in email• Look at the address in the URL to figure out if it’s legitimate• URLs with a lot of numbers and letters are usually a scam• Google the address if you’re not sure • Scam URL examples:• http://online.ao.uk.citibank.kz/cgi• http://swissbank.online.org/getyourwinnings.html• http://165.256.115.60/wellsfargo.html• http://www.kalamazoo.cz/www.bankofamerica.com/index.html

61

Scam Flash Player, Scam Anti- Virus

• Be CAUTIOUS when PROMPTED to update anti-virus or flash player

• You never get software for nothing…

62

Scam EmailDear Internet User • We are happy to inform you that you have emerged winner of

$500,000.00 (Five Hundred Thousand US Dollars) in the European Union Micro Project Award Draws.

• . . . • To begin your claim, you are required to email the under listed • information to our claims agent • 1. Name and Address

– Nationality – Age – Occupation – Phone/Fax

63

Caution: Fake Antivirus

64

Caution: Fake Antivirus UpdateDon’t click on the link, buttonYour Clues:1. Know what your updates look

like2. Be suspicious if you are

prompted for updatesWhat you can do:1. Run the software yourself

(not from the link) and “check for updates”

OR2. Go to software vendor

Website and check for updates

65

Use Strong Passwords• Use different passwords for different services• Keep your Cal Poly portal password unique, don’t use it anywhere else

– Use 1-2 alphabetic characters in a row, don’t use 3 in a rowa. Example: Use rt, not rtU

– Use 1-2 numeric characters in a row, not 3a. Example: Use 39, not 391 or 4421

• Use special characters in your password – Choose a password with at least 3 character types a. Lowercase letters,

numbers, special characters, uppercase letters

• Think of a phrase such as ‘Learn by Doing; for Cal Poly.’ Substitute characters, numbers and special characters for the first letter of each word in the phrase. For example: L-bd;4Cp.

• Change your password any time you suspect it has been compromised

66

Identity Safety and Theft Prevention

• Invest in a shredder. Shred all documents that have your personal information on it. Shred those pre- approved credit applications you don’t want.

• Monitor your credit reports.• Mail your bills at the Post Office close to pickup times.• Don’t give out your Social Security number unless you

verify why it is needed, such as for bank accounts or loans.• Protect your purse or wallet and keep only necessary

information in it.• Don’t respond to unsolicited e-mails or phone calls.

67

What we need is…

• …easy access to Cal Poly information and resources for those who shouldhave it

• …extremely difficult for those who shouldn’thave it

• The Cal Poly Password helps meet these needs for campus services.

• Individually, needs are simple.• Together, they pose a challenge.

68

Balancing The Needs

• Unrealistic Extremes: • •easiest access = no password(like no locks on

your door)• •strongest protection = long/random

password + token + retina scan + etc. (like living in a bank vault)

69

Balancing The Needs

• The world is our neighborhood.• Real solutions require tradeoffs based on

perceived risk: password guessing

70

The Balance Today

• One password, many services• Strict password rules• No retina scan or fingerprint required!• Passwords usable indefinitely

• Next: Dan and changes to staybalanced.

71

A hard to guess password can still be weak…

(Just because it’s propaganda doesn’t mean it’s not true!)

72

Changes to Maintain Balance

• Password Expiration– new password must be set yearly– plenty of advance notice

• Acknowledge Policies– those forms you don’t remember signing

• Later: changes to password rules, process– we hope to make your life a little easier

73

If talk of changing passwords gives you a sinking feeling….

(to further muddy the metaphor)

74

What is identity theft?

• •Legal definition:• “Fraud related to activity in connection with

identification documents, authentication features, and information”

• “Identity theft is the fastest growing crime in America, with 9.9 million victims reported last year”

75

Information theft…

Powerful information:• –credit card accounts• –bank accounts• –passwords and PINs• –SSN• –driver’s license

76

Who perpetrates this fraud?

• •Anyone who has or can get access to your information:

• –Insiders (local, or not)• –Dumpster divers, burglars, pick pockets, etc.

(local, or not)• –Criminal underground on the Internet• •Out to get someone…

77

How they do it…

• •Phishing• •Viruses/Worms/Trojans -Botnets• •95% of email is SPAM• Overview of criminal undergroundБайнга санаж явах• •Identity = information = money• •You’ll do (so take precautions)• •Be vigilant• •Report suspicious activity

78

Спам

• Why Overpay for Designer Shoes?

79

Can You See the Difference?

80

Фишинг - Verify Your Account Information

81

Why SPAM and Phishing?• Low Risk + High Reward + Opportunity = Criminal’s

DreamSomeone is falling for it!

Who Perpetrates This Fraud?

• •Anyone who can send an email• •People who send lotsof emails

• •90%+ email on Internet is SPAM/Phishing• •Mostly sent via Botnets

82

Botnets (Hundreds of billions)

83

A Blessing and Curse…

•Компьютер авчихаад ашиглахгүй байх уу? Үгүй• Don’t be a bot! –Your ISP may have already contacted you…(but be sure!)

•Gain knowledge, be skeptical, use the tools–…stay tuned

84

Social Networking How To Be Safe On-Line

•Relationships between people•Web site that knows who you know, encourages interaction

85

Responsible Use: What’s Covered?

• •Authorized Use / Access•Data Security, Confidentiality & Privacy•Electronic Information Retention & Disclosure•Network / System Integrity•Commercial Use•Political Advocacy•Harassment•Copyright & Fair Use•Trademarks & Patents•Electronic Communications•Web Sites & Accessibility to Digital Content

86

Trusting Your Computer

• Practical Steps• 1. Secure your computer (log out, lock the office)• 2. Account Management (user roles, permissions)• 3. Use strong passwords• 4. Get the latest updates• 5. Install anti-virus and anti-spywaresoftware and• keep their definitions updated• 6. Use a firewall• 7. Browse the Internet safely• 8. Make regular backups• 9. Secure wireless networks• 10. Learn what to do if something goes wrong

87

Facebook-д та яах ёстой вэ?

88

10 Privacy Settings Every Social Networking User Should Know

• 1: Use friends list

89


2: Remove yourself from Facebook search results

Default is set to “network”

90


3: Remove yourself from the Google search engineTurn off “create a public search listing…”

91


4: Avoid embarrassment from photo/video tags

Set as: CustomOnly MeNone of My Networks

92


5: Protect your photo albums–Manually configure the visibility of each album–Be sure to check visibility settings each time you upload a new photo album

93


6: Prevent stories from showing up in friends’ news feeds

94


7: Protect against published application storiesIf you add an application, scan your profile

95


8: Make your contact information privateOnly make email & phone numbers available to close contacts

96


9: Avoid embarrassing wall postsPrevent your wall posts from being announced in friends’ news feedsTurn off relationship status

97


10: Keep your friendships privateNot everyone wants to live public lives!

98

Анхаарал тавьсанд баярлалаа

[email protected]

70113151

http://www.sssmn.com/


99

Questions

3 s is for c servants

Government & Nonprofit