3 s is for c servants
TRANSCRIPT
ХУРААНГУЙ
• Мэдээллийн аюулгүй байдлыг хангахад зөвхөн програм-техникийн арга хэмжээ хэрэгжүүлэхэд хангалттай гэж үздэг гэнэн ойлголтын үе өнгөрсөн.
• Мэдээлэл холбооны технологийн хурдтай хөгжил, түүнийг хууль бус зорилгод ашиглах хэдэн түмэн арга бий болсон өнөөгийн үед Монгол улсад мэдээллийн аюулгүй байдлын ойлголт маш муу, төрийн байгууллагуудын МАБ хангагдаагүй
• Ихэнх байгууллагад мэдээллийн аюулгүй байдлыг хангах цогц удирдлага байхгүй.
Яагаад?• МАБ-ын Мөн чанарыг мэддэггүй, • Өнгөцхөн ойлголт дээрээ тулгуурладаг, • Удирдах ажилтнууд болон ихэнх хэрэглэгчид түүний ач
холбогдолыг мэдэхгүй, • Үл тоомсорлодог, • Хөрөнгө мөнгө зарцуулдаггүй• МАБ огт хангагдаагүй, мэдээлэл гадагш урсаж байгаа,
сүлжээ, вебүүд цоорхой• МАБ-ын довтолгооныг зүгээр нэг танхай хакер төдийгүй
өрсөлдөгч байгууллагууд, тусгай албад гүйцэтгэдэг
Яагаад?• Бүх зүйл МХТ-д суурилах болсон• Онлайн хэлцэл, гүйлгээ, гэрээ олширч, мэдээллийн урсгал эрс
нэмэгдсэн.• Хүн төрөлхтөний хөгжил дэвшил МХТ-оос хамааралтай болсон.• Эдийн засгийн хөгжлийн хөдөлгүүр нь МХТ• Мэдээлэл, өгөгдөл, мэдээллийн технологи, мэдээллийн
систем, сүлжээ нь аливаа байгууллагын маш чухал, үнэт эд хөрөнгө.
• Гэмт халдлага, үйлдэл, зөрчил эрс нэмэгдэж байна.• Мэдээллийн аюулгүй байдал нь нэг хувь хүн, нэг байгууллага,
нэг улс төдийгүй дэлхийн хамтын нийгэмлэгийн чухал асуудал боллоо.
Яагаад хэрэгтэй болов?• МХТ хүчтэй нэвтэрсний улмаас уламжлалт цаасан баримт
бичгийн нууцлал, хамгаалалт шаардлага хангахаа больсон • Зэвсэгт хүчин, цагдаа, тагнуул, онц байдал, гамшгийн
удирдлага, тогтолцоо байдагтай нэгэн адил мэдээллийн аюулгүй байдал, түүнийг хэрэгжүүлдэг тогтолцоо, байгууллагууд байх зайлшгүй шаардлагатай.
• Байгууллага бүр МАБ-ын удирдлагатай болсон.• МАБ- нь Програм-техникийн асуудал байхаа больж улам бүр
нарийн төвөгтэй, захиргаа-удирдлагын асуудал болон хувирсан.
• Мэдээллийн нөлөөлөл, хор хөнөөл эрс нэмэгдсэн, Тараах суваг олширсон
Үйл ажиллагааныхаа үр ашгийг дээшлүүлэх, МХТ-ийн ашиг шимийг хүртэх, зардлаа багасгах, цахим харилцаанд шилжихийг Дэлхий дахины нөхцөл байдал болон Монгол улсын өнөөгийн байдал шаардаж байна.
МАБ-ын үр нөлөө нь мэдээллийн технологийн хөрөнгө оруулалтын үр нөлөөг хангана.
Өнөөгийн нөхцөл дахь МАБ-ын төлөв байдал
Ernst&Young-ийн судалгаанаас харахад үүнд хүрэх баталгаа, нэг чухал нөхцөл нь МАБ-аас хангах. Аюулгүй байдалд хэмнэж болохгүй. Ихэнх байгууллагын мэдээллийн аюулгүй байдал нь нийт аюулгүй байдалтайгаа дүйцэж очсон.
Мэдээллийн аюулгүй байдал• Мэдээлэл нь байгууллагын бусад эд хөрөнгийн
нэгэн адил үйл ажиллагаа, ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой.
• Мэдээллийн аюулгүй байдал гэдэг нь ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах, хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээлэл, мэдээллийн дэд бүтцийг олон янзын аюул, заналхийллээс хамгаалах ажиллагаа.
Аюулгүй байдал гэж юу вэ?Аюулгүй байдал ямар хэмжээтэй байвал зохих вэ? Торхны загвар
Аюулгүй байдал гэж юу вэ?
Өгөгдлийн сан
Нууцлал Халдашгүй байдалХарьцуулан таних Зөвшөөрөх
Бат бэх үйлдлийн систем VPNМаршрутизатор Firewall
Зохицуулалт БодлогоҮ/А-ны журам Стандартууд
• Аюулгүй байдлын давхарга
Мэдээллийн аюулгүй байдал• 21-р зуунд Мэдээллийн дайн, кибер дайн, кибер арми, цэрэг, кибер
зэвсэг • Мэдээллийн Аюулгүй байдал гэдэг нь өргөн утгаараа “Нийгэм,
институт, байгууллагын мэдээллийн орчны хамгаалагдсан байдал”
• Мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтцийн хамгаалагдсан байдал (байгууллагын аюулгүй байдалтай ижил болж байна)
• Өгөгдөл, мэдээ, мэдээлэл, баримт материал, аппарат хэрэгслийг хууль бусаар, зүй бусаар ашиглах, өөрчлөх, устгах гэмтээх, хандах боломжийг хаахаас сэргийлж авсан арга хэмжээ.
• МАБ-нь бүрэн хамгаалалт бий болгохгүй.• Хамгийн сайн цайз босгосон ч илүү хүчтэй эвдлэгч бүхий хэн нэгэн
гарч ирнэ.• МАБ гэдэг нь өгөгдөл, мэдээлэл, түүнийг боловсруулах тоног
төхөөрөмжийг аюул заналхийллээс хамгаалах, эмзэг, сул талыг нь буруугаар ашиглахаас сэргийлэх үйл ажиллагаа, үйл явц, үйлдлүүд
МАБ-д нөлөөлөх хүчин зүйлс• Монгол улсын үндэсний аюулгүй байдлын үзэл баримтлал
шинэчлэгдсэн, МАБ-ыг онцгой анхаарсан• МАБ-ыг зохицуулсан хууль, эрх зүйн актууд гараагүй• Монгол улс технологийн асар их хамааралтай байгаа• Олон янзын хүчин зүйлс заналхийлж байна:
– Улс төрийн хүчин зүйлс– Эдийн засгийн хүчин зүйлс– Удирдлага, зохион байгуулалтын хүчин зүйлс– Дэлхий нийтийн хүчин зүйлс– Бүс нутгийн хүчин зүйлс– Орон нутгийн хүчин зүйлс– Системийн аюулгүй байдалд заналхийлж буй хүчин зүйлс
12
Нууцлал
Хүртээмжтэй байдал
Бүрэн бүтэнбайдал
МАБ-ын мөн чанар
Зөвхөн эрх олгогдсонэтгээд л мэдээлэл, дэд бүтцэд хандах боломж-ийг хангасан байх
Мэдээлэл, түүнийгболовсруулах, аргахэрэгслийн үнэнзөв, бүрэн дүүрэнбайдлыг хангасан байх,
Эрх олгогдсонэтгээд хэрэгтэйүедээ мэдээлэл,дэд бүтцэд хандах боломжийгхангасан байх
Аюулууд
• Хүнээс хамаарсан аюулууд (гэмт бүлэглэл, гэмт этгээдүүд, зөрчил гаргагчдын хууль бус үйл ажиллагаа, буруу санаат хамтрагч, түнш, өрсөлдөгчид, байгууллагын зарим ажилтнуудын зүй бус ажиллагаа г.м).
• Техникийн аюулууд (чанаргүй төхөөрөмж, программ хангамж, хэрэгсэл, холбоо, хамгаалалт, дохиоллын техник хэрэгслүүд болон аюултай үйлдвэрлэл, тээвэрлэлт г.м).
• Байгалын аюул (газар хөдлөлт, хар салхи, үер болон байгалын бусад гамшигт үзэгдлүүд)
АюулуудХувь хүн, нийгэмд заналхийлж байгаа аюулууд• кибер хорлон сүйтгэх ажиллагаа; • нийгмийн ёс суртахуунд заналхийлж буй аюулууд (порнограф тараах,
хүчирхийлэл, мансууруулах бодис, гэмт хэргийг сурталчлах, үндэстэн хоорондын дайсагнал, дайн хүчирхийллийг сурталчлах г.м);
• ухамсарт нь үйлчлэн нөлөөлөх (кибер зомби болгох); • нийгмийн тогтвортой байдлыг алдагдуулах үзэл санааг сурталчлах (арьс
өнгөний үзэл, нацизм, шашны сектүүд г.м); • цахим хэрэгслээр мэдээллийн дайн явуулах; • залилан мэхлэх, социаль инжиниринг, фишинг, спаминг г.м • төрийн систем дахь өгөгдөл мэдээллийг өөрчлөх, устгах, хулгайлах г.м; Эдийн засагт заналхийлж буй аюулууд • гадаад улс, гадны байгууллагын бизнес тагналт; • эдийн засгийн алдагдалд хүргэх сөрөг, хуурамч мэдээлэл тараах; • өрсөлдөгч байгууллага, компанийн сөрөг кибер үйлдэл; • оюуны өмчийг хууль бусаар ашиглах;
АюулуудБатлан хамгаалах чадвар, үндэсний аюулгүй байдалд заналхийлж буй аюулууд • Гадаад улсын зүгээс Монголын Интернет трафикийг хянах, статистик мэдээлэл
цуглуулах, төрийн байгууллагын өгөгдлийн санг шүүж самнах; • Монгол улсын тооцоолон бодох болон давтамжийн нөөцийг цэргийн зорилгод
ашиглах, зомби болгох; • Монгол улсын сувгийн нөөцийг хууль бусаар ашиглах; • Трафикийг зорилго, чиглэлтэйгээр өөрчлөх, гажуудуулах, харилцаа, холбооны
системийг сүйтгэх, гажуудуулах; • Хуурамч мэдээлэл тараах; • Байлдааны вирус (логик бөмбөг г.м), бусад хэрэгсэл ашиглан тооцоолох,
өгөгдөл боловсруулах төв, систем, харилцаа холбооны сүлжээг сүйтгэх; • тагнуул – хорлон сүйтгэх ажиллагаа г.м.• botnet технологийг ашиглан аливаа компьютерийг эзэнд нь мэдэгдэлгүй
зайнаас удирдах.
Logic bomb буюу үйлдлийн систем, хэрэглээний програмд нууцаар оруулсан код. Тодорхой нөхцөл бүрдэх, тогтоосон цаг хугацаа болох, гаднаас команд өгөхөд идэвхжиж сүйтгэх үйлдэл, нөлөөлөл үзүүлнэ. Зарим үйлдвэрлэгч бүтээгдэхүүнийхээ бүрдэл хэсгүүдэд суулгаж үйлдвэрлэдэг, мэдээллийн дайны зэвсэг болгон ашиглаж байгаа.
Их Британийн жишээн дээр (2011 он)
5240630040186400
70150070195900
873824006830500
11767200135643300
51485009754400
176000705000
38365000
0 50000000 10000000 15000000
Ажилтны хууль бус нэвтрэлтСанхүүгийн залилан
Харилцаа холбооны залиланБүрдэл хэсгийг хулгайлах
Вирусын довтолгоонКомпьютерийн хулгай
Сүлжээг зүй бусаар ашиглахҮйлчилгээ бусниулах DoS, DDoS
Хорлон сүйтгэх ажиллагааСистемд хууль бусаар нэвтрэх
Нууцаар чагнахЗамаас нь барих
социаль инжиниринг
хохирол US$
Гол халдлагууд
АНУ дахь Мэдээллийн Аюулгүй Байдал
• МАБ-ын эсрэг зөрчлүүдээс учирсан хохирол, 2011 онд: $US 32.5 миллиард
• Асуулгад хамрагдсан хүмүүсийн 92% нь 2011 онд халдлагад өртсөн
• Нийтийн түгшүүр дэгдээсэн асуудал нь хортой код (хэрэглэгчдийн 97%)
• 5 байгууллагын 3 нь веб сайтыг хууль бусаар ашиглах үйлдлийн хохирогч болсон
• 6 хэрэглэгчийн 4 нь хохирсноо мэддэггүй• МАБ, Кибер аюулгүй байдал - байгууллагын
удирдлагын тэргүүлэх асуудал
19
Хорлон сүйтгэх
Хулгай
Санхүүгийн залилан
ТХ, ПХ доголдол
ажилтны хайнга зан
Спам (соёлгүй мэйл)
Хакерийн халдлага
Хортой кодууд
Мэдээллийн хулгай
0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00%
201020092008
МАБ-ын Хамгийн ноцтой аюулууд
20
хор уршиг
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Санхүүгийн шууд хохиролНэр хүндээ алдахҮйлчлүүлэгчээ алдахӨрсөлдөх чадвар буурахЗохицуулах болон хуулийн Б-аас шалгахТүншээ алдахХэрэг маргаан, хуулийн хариуцлагаХөрөнгө оруулагчаа алдах
Хор уршиг, хохирол
21
Хор хохирлын эх сурвалж
22
AdWare
Таны өдөр тутмын эрсдэл
VirusesIRC Worms
DoS ToolsExploits
Flooders
Trojan downloaders
Trojan Spies
TrojanDroppers
Trojan Notifiers
Trojan Proxies
Bad Crackers Email
WormsIM-
worms
Porno dialers
Bad Jokes
SPAM-tools P2P
Worms
Bank spying Trojans
SPAM
Trojanized network tools
Хортой кодын өсөлт
«Лаборатория Касперского»-оос өгөгдлийг авав
2001 2002 2003 2004 2005 2006 2007 3 кв. 20080
200000
400000
600000
800000
1000000
1200000
1400000
8821 11136 20731 31726 53950
169689
472621
1315474
2013 онд энэ хандлага хадгалагдана гэж үзэж байна…
2005 2006 2007 2008 2009 2010 2011 2012
Ашиг орлоготой Үйлдэхэд амархан
(техник, ёс зүйн хувьд). Эрсдэл багатай, илрэх магадлал бага Халдахад амархан шинэ объек- тууд олноор бий болж байгаа Өөрийгөө илэрхийлэх, гайхуулах Байгууллагад бодлого байхгүй, хамгаалалт сул, хэрэглэгчид журам
сахидаггүй, ойлголтгүй, гэнэн
Сүлжээний гэмт хэргийн өсөлтийншалтгаан
Манай дэлхий технологийн хамааралд улам бүр орсоор…
…Хамгийн тэргүүлэх салбарт ч
Эх сурвалж: http://www.wired.com/politics/security/news/2008/01/dreamliner_security
Мэдээллийн аюулгүй байдлыг хэрхэн хангах вэ?
• Аюулгүй байдлын бодлого, үйл явц, дэг журам, зохион байгуулалтын бүтэц болон програм хангамж, техник хангамжийн чиг үүргүүдийг багтаасан зохих хяналт, удирдлагын багц, механизмыг хэрэгжүүлэх замаар мэдээллийн аюулгүй байдлыг зохих түвшинд хангаж чадна.
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Мэдээллийн аюулгүй байдлын тогтолцоог тодорхойлж, бий болгож, дэмжиж, сайжруулах нь өрсөлдөх чадвар, бэлэн мөнгөний урсгал, орлогоо дээшлүүлэх, хууль зүйн нийцлийг бий болгох, бизнесийн нэр төрөө бэхжүүлэх гол хүчин зүйлийн нэг
• Байгууллага болон байгууллагын мэдээллийн систем, сүлжээ олон янзын гарал үүсэлтэй аюул заналхийлэлтэй тулгарч байна.
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Хохирлын шалтгаан болж буй нянтай програм, хортой код, компьютер, сүлжээнд хууль бусаар нэвтрэн орох халдлага, үйлчилгээг бусниулсан довтолгоонууд нийтийг хамарсан шинжтэй, илүү шунахай, илүү төвөгтэй, нарийн болж байна.
• Мэдээллийн аюулгүй байдал нь төрийн, төрийн бус байгууллагууд, бизнесийн салбар болон эмзэг чухал дэд бүтцийг хамгаалахад маш чухал, онцгой хэрэгцээтэй болж байна.
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Төрийн болон хувийн салбарын харилцаа холбоо нэмэгдэж, мэдээллийн нөөцийг хамтран ашиглаж байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд учирч буй саадыг нэмэгдүүлж байна.
• Компьютер улам бүр олширч, тархан дэлгэрч буй хандлагын улмаас төвлөрсөн, тусгай хяналтын үр дүн буурч байна.
• Мэдээллийн олон систем аюулгүй байдлын шаардлагуудыг хангахааргүй зохион бүтээгджээ.
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Техник хэрэгслийн тусламжтайгаар хангаж болох аюулгүй байдлын боломж хязгаарлагдмал учир зохих удирдлага, дэг журам зайлшгүй шаардлагатай.
• Мэдээллийн аюулгүй байдлын удирдлагыг хэрэгжүүлэхэд байгууллагын бүх ажилтнуудын оролцоо шаардагддаг.
• Үүсгэн байгуулагч, хувьцаа эзэмшигчид, гуравдагч тал, хэрэглэгчид, үйлчлүүлэгчид болон бусад талуудын оролцоо шаардагдана.
• Гадны байгууллагын мэргэжилтний зөвлөгөө зайлшгүй шаардлагатай.
Аюулгүй байдлын шаардлагууд, эрсдлийн үнэлгээ
• Аюулгүй байдлын шаардлагуудыг тодруулсан байх нь байгууллагын нэг гол асуудал.
• Аюулгүй байдлын эрсдлийн байнгын үнэлгээний үр дүнд аюулгүй байдлын шаардлагуудыг тодруулна.
• Эрсдлийн үнэлгээний үр дүнд нөлөөлж болох аливаа өөрчлөлтийг мэдрэхийн тулд эрсдэлийн үнэлгээг тодорхой давтамжтайгаар хийж байх– Аюул + эмзэг байдал + магадлал = Эрсдэл
• Ажилтан бүр учирч болох эрсдэл, түүнийг бууруулах талаар ойлголт, мэдлэгтэй, байгууллагынхаа МАБ-ын бодлого, журмыг чанд баримтлан ажилласнаар эрсдлийг зохих хэмжээнд бууруулж чадна.
Мэдээллийн аюулгүй байдлын эхлэлийн цэг
Хяналт нь дараах зүйлсийн хамт мэдээллийн аюулгүй байдлын нийтлэг практик гэж тооцогдоно:
• мэдээллийн аюулгүй байдлын бодлогын баримт бичиг;• мэдээллийн аюулгүй байдлын талаар хүлээх үүргийн
хуваарилалт;• мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт;• зөв зүйтэй хэрэглээ;• техникийн эмзэг байдлын удирдлага;• бизнесийн тасралтгүй ажиллагааны удирдлага;• мэдээллийн аюулгүй байдлын будлианы удирдлага болон
түүнийг боловсронгуй болгох • удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;• Хамгаалалтын ТХ, ПХ-ын механизм
Амжилтад нөлөөлөх гол хүчин зүйлс
“3С” ХХК-ийн судалгаанаас үзэхэд байгууллагад мэдээллийн аюулгүй байдлыг амжилттай хэрэгжүү-лэхэд дараах хүчин зүйлс ихээхэн нөлөөлдөг:
• Мэдээллийн аюулгүй байдлын бодлого, зорилго, үйл ажиллагаа;
• Мэдээллийн хамгаалалтыг хэрэгжүүлэх, дэмжих, хянах болон боловсронгуй болгох байгууллагын дотоод соёлтой нийцсэн хандлага, бүтэц;
• Удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;• Мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийн
үнэлгээ, эрсдэлийн удирдлагын талаархи сайн ойлголт, мэдлэг;
• Бүх менежер, ажилтнууд болон бусад талуудад бүрэн дүүрэн ойлголт бий болгохын тулд үр дүнтэй маркетинг явуулах;
Амжилтад нөлөөлөх гол хүчин зүйлс
• Мэдээллийн аюулгүй байдлын бодлого, стандартын удирдлагыг бүх менежер, ажилтнууд болон гуравдагч талд хуваарилан хэрэгжүүлэх;
• Мэдээллийн аюулгүй байдлын удирдлагын үйл ажиллагааны санхүүжилт бий болгох;
• Зохих ойлголт, сургалт, боловсролыг бий болгох;• Мэдээллийн аюулгүй байдлын будлиан, учралын
үр дүнтэй удирдлагыг бий болгох; • Мэдээллийн аюулгүй байдлын удирдлага дахь
ажлын гүйцэтгэл болон буцах холбоог үнэлэхийн тулд аудит, хэмжилт, үнэлгээний тогтолцоог бий болгох
МАБ-ыг хангахад баримтлах үндсэн хууль, Дэлхийн хамгийн шилдэг практик
(ISO/IEC) MNS 27001, 27002
Зөвхөн техник, төхөөрөмжийн тусламжтайгаар МАБ-ыг хангаж чадах уу?
ТЭГВЭЛ ДАРААХ ЗҮЙЛСИЙГ ХЭРХЭН ШИЙДЭХ ВЭ?•ЭРСДЛЭЭ ҮНЭЛЭХ•ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ•ШИНЭ АЮУЛЫГ ИЛРҮҮЛЭХ, ХЯНАХ•ҮҮРЭГ ХАРИУЦЛАГЫГ ТОГТООХ•БАЙГАА БАЙДЛАА ҮНЭЛЭХ, ЭРСДЛИЙГ БУУРУУЛАХ•ОНЦГОЙ НӨХЦӨЛД БАЙДАЛД ХЭРХЭН АЖИЛЛАХ,•ХҮМҮҮС, ЭД ХӨРӨНГИЙН БИЕТ АЮУЛГҮЙ БАЙДАЛ•ТЕХНИК ХЭРЭГСЭЛ, ПРОГРАМ ХАНГАМЖ ХУДАЛДАН АВЧ БАЙГАА НЬ ЗОХИСТОЙ ЭСЭХИЙГ ҮНЭЛЭХ Г.М.
ЭНЭ БҮХНИЙГ ЗӨВХӨН ЦОГЦ ХАНДЛАГЫН ҮНДСЭН ДЭЭР ШИЙДЭЖ ЧАДНА.
МАБ-ын нийтээрээ хүлээн зөвшөөрсөн хандлага
Цогц шийдэл – амжилтын үндэс
Байгууллагын мэдээллийн аюулгүй байдлын удирдлага
ЭРСДЭЛИЙН ЭЦСИЙН ҮНЭЛГЭЭ БОЛОВСРУУЛАЛТ
АЮУЛГҮЙ БАЙДЛЫН БОДЛОГО
М А Б-ын ТОГТОЛЦООГ
ЗОХИОН БАЙГУУЛАХ
ЭД ХӨРӨНГИЙН УДИРДЛАГА
ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ
АЮУЛГҮЙ БАЙДАЛ БАЙР, БАЙШИН БОЛОН ОРЧНЫ
АЮУЛГҮЙ БАЙДАЛ ХОЛБОЛТ БОЛОН
ҮЙЛ АЖИЛЛАГААНЫ
УДИРДЛАГАХАНДАЛТЫН УДИРДЛАГА
МЭДЭЭЛЛИЙН СИСТЕМ
СУУРИЛУУЛАХ, ҮЙЛЧИЛГЭЭ
ХИЙХ МЭДЭЭЛЛИЙН
АЮУЛГҮЙ БАЙДЛЫН БУДЛИАНЫ
УДИРДЛАГА
ТАСРАЛТГҮЙ АЖИЛЛАГААНЫ
УДИРДЛАГА
АУДИТ, НИЙЦЛИЙН УДИРДЛАГА
ЭД ХӨРӨНГӨ – АКТИВ: МАБ-ын үндсэн объектууд
Эд хөрөнгө (asset) – Байгууллагад үнэ цэнэ бүхий аливаа зүйлс ISO/IEC 13335-1:2004
Мэдээллийн эд хөрөнгө – • мэдээлэл өөрөө• Мэдээлэл агуулсан эсхүл• Мэдээлэлд хамааралтай
Байгууллагын хувьд тодорхой үнэ цэнэтэй аливаа объектууд.Жишээлбэл: өгөгдөл, мэдээлэл, барилга байшин, сүлжээ, систем, ПХ, ТХ, хүний нөөц, байгууллагын нэр хүнд г.м. Энгийн болон нийлмэл нарийн объектууд хэмээн хуваагддаг.
Эд хөрөнгө
ХЭРХЭН ХАМГААЛАХ
ВЭ???
ЭМЗЭГ БАЙДАЛ
АЮУЛ
МАБ-ын үзэл баримт-лалаа тодорхойлох
МАБ-ын ҮБ-ыгтодорхойлсонбаримт бичиг
МАБ-ыг хангах хүрээ хязгаарыг
тогтоох
Системийн хүрээ хязгаарыг тодор-хойлсон баримт
Эрсдэлийн үнэлгээ
хийх
Аюул, цоорхой,Үр дагаврыгтод-сон ББ
Сөрөг а/х,ЭрсдэлийнУдирдлага, МАБ-ын
БОДЛОГО
Захиргаа, дэг, ПХ,ТХ-ийн түвшингээрангилсан сөрөг а/х,МАБ-ын бодлого
МАБ-ыг хангах хяналт удир-ын
хэрэгслийг сонгох
БайгууллагынХэмжээний МАБ-ыг
Хангах иж бүрэнтогтолцоо
МАБ-ын уд-ын тогтолцоог гэрчил-
гээжүүлэх, баталгаа-жуулах
Нийцлийн тайлан(сөрөг а/х-ний зохист
байдлыг үнэлэх)
Үндсэн агуулга Үндсэн баримт бичиг
МАБ-ын үзэл баримтлал
Системийн загвар
Эрсдэлийн шин-жилгээ
Эрсдэлийнудирдлага бий болжбодлого батлагдана
МАБ-ыг хангах ижбүрэн тогтолцоо
МАБ-ын хангахтогтолцооныаудит
Аюул, заналхийлэл,Эмзэг байдал, цоор-хой, нөлөөлөл
Эрсдэлийг удирдаххандлагаа бий болгох, бодлогоболовсруулах
МАБ-ын хяналтынхэрэгслүүдээсонгох
МАБ-ын удирдлагынтогтолцооныаудит
44
Бусад
Биет хамгаалалт
Гадаад сүлжээний холболтыг хязгаарлах
Ажилтнуудыг сургах
Зохион байгуулалтын арга хэмжээ
МАБ-ын цогц арга хэмжээ
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
201020092008
МАБ-ыг хангах арга хэмжээ
Deloitte&Touche-ийн Стивеном Российн санал болгосон график шинжилгээ.
1. Захиалгат ПХ, ТХ – хамгийн бага үр нөлөө.
2. Үйлдлийн систем, ӨСУ системийн өөрийн хамгаалалт – үнэ/чанарын хамгийн сайн харьцаа
3. Зохион байгуулалтын арга хэмжээ (аудит, эрсдлийн үнэлгээ, бодлого, дэг, тасралтгүй ажиллагааны төлөвлөгөө, дэг, журам) – үнэ/чанарын хамгийн сайн харьцаа
4. Өндөр үнэтэй, илүү үр нөлөөтэй хэрэгслүүд – IPS, SSO, PKI, DLP/ILP, МАБ-ын цогц тогтолцоо. Эрсдлийн маш сайн үнэлгээ хийсний үндсэн дээр мөнгө зарцуулах нь зүйтэй. Эрсдлээсээ үнэ нь давж болно.
МАБ-ын арга хэмжээний үр нөлөөүн
э
Үр нөлөө
Суурь хамгаалалтууд
2 Галтхана анти вирус
VPN нөөц хуулбар
НТДБ-PKI
IPS МАБ-ын иж бүрэн систем Нэг удаагийнхандалт
Бодлого, дэг SSLТасралтгүй аудит, эрсдлийн ажилгааны удирдлага удирдлага
46
3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ
• Стратеги, Бодлого, дэг,• Эрсдлийн үнэлгээ, аудит, МАБ-ын хөтөлбөр• Найдвартай, зөв архитектур, • Мэдээллийн аюулгүй байдлын ойлголт, боловсрол,
сургалт;• Зөв зүйтэй хэрэглээ;• Хандалтын удирдлага• Өөрийн вебийн аюулгүй байдал, вебээр дамжин орж ирэх
аюулаас хамгаалах• Өгөгдлийн сан, Сервер болон терминалын хамгаалалтын
систем• Бизнесийн тасралтгүй ажиллагааны удирдлага;• Мэдээллийн аюулгүй байдлын будлианы удирдлага
47
3С ХХК-ийн санал болгож буй цаашид үе шаттай хэрэгжүүлэх арга хэмжээ
• DDoS-оос хамгаалах систем, Галт хана, халдлага илрүүлэх систем (IPS), чиглүүлэгч
• VPN, тоон гарын үсэг, шифрлэлт• МАБ-ын будлианы удирдлага, халдлагын мониторинг• Хамгаалалтын хэрэгслийн конфигурацийн удирдлага, хяналт• Сүлжээний төхөөрөмжүүдийн төвлөрсөн удирдлага• Сүлжээний байнгын мониторинг• Чиглүүлэгчийн протоколын мониторинг, Дуут холбооны
хамгаалалт• Техникийн эмзэг байдлын удирдлага, Мэдээллийн дэд
бүтцийн удирдлага• Үүлэн тооцооллын аюулгүй байдлыг хангах арга хэмжээ г.м.
3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ
• Дараа үеийн Галт хана (халдалтыг илрүүлдэг сүлжээ хоорондын дэлгэц);
• Хортой кодын эсрэг ПХ;• Хандалтын хяналт;• Хоёр бүрдэлтэй таньж зөвшөөрөх систем;• Бейж (адилтгах карт);• Биометр аргууд;• Ухаалаг (смарт) карт унших систем;• Биет хамгаалалт, харуул;• Файлд хандах хандалтын хяналт;• Шифрлэлт, тоон гарын үсэг, тоон гэрчилгээ;• Ухамсартай, сайн сургаж бэлтгэсэн ажилтнууд;• Халдалт, нэвтрэлтийг илрүүлэх систем;• ПХ-ыг автоматаар шинэчлэх, сайжруулах, ПХ-ыг удирдах бодлого г.м.
…томоохон байгууллагад
Thick Client Browser VPN Mobile Portal
ERPПрограмууд SCM CRM Custom
ContentMgmt
Агуулгын түвшний
Info RightsMgmt
Analytics& Reporting
Collab
SOAНийцүүлэх шийдлүүд
BPM ESB
RDBMSӨС-ийн түвшнийшийдлүүд
XML
HardwareДэд бүтцийн шийдэлүйлчилгээ
Software Storage Virtualization
LDAP Unstructured
Workflow
Аюулгүй байдлын шийдлүүд
Databases
Applications
Content
Infrastructure
Information
• Маскирование и преобразование• Управление привилегированными
пользователями• Многофакторная авторизация• Аудит и мониторинг активности• Безопасное конфигурирование
Identity Management
Information Rights Management
Мэдээллээ хамгаалах
• Назначение/отзыв IT-привилегий• Управление ролями• Универсальная авторизация• Контроль доступа с учетом рисков • Виртуальные каталоги
• Аудит использования документов• Предоставление и блокирование доступа
к документам• Безопасность документов внутри и вне
межсетевых экранов
Database Security
Хэрэглээний програмуудынаюулгүй хэрэглээ
Role Management Entitlements ManagementIdentity Management
Cryptographic Acceleration Key ManagementSecure OS & Virtualization
Database & Network Encryption Strong AuthN and AuthZ, Auditing, Firewall
Propagated Directories Data Access ManagementVirtual & Core Directories
Network Encryption Strong AuthN and AuthZ,JavaSecurity, SSO, SAML
Access Management Fraud PreventionIdentity Federation
Network Encryption Strong AuthN and AuthZ,JavaSecurity, SSO
Мно
гоур
овне
вая
клас
тери
заци
я и
вирт
уали
заци
я об
еспе
чива
ют
отка
зоус
тойч
ивос
ть и
мас
шта
биро
вани
е
Скв
озна
я и
нтег
риро
ванн
ая б
езоп
асно
сть
52
Safeguarding Your Computer
Practical Steps• 1.Secure your computer (log out, lock the office)• 2.Account management (user roles, permissions)• 3.Use strong passwords• 4.Get the latest updates • 5.Install anti-virus and anti-spyware software• 6.Use a firewall• 7.Browse the Internet safely • 8.Make regular backups• 9.Secure wireless networks• 10.Learn what to do if something goes wrong.
53
What Needs to be Protected?
• Your Identity, Your Privacy• Your Personal Information, Your Money
–Others’ Identity, Information, PrivacyThings Cal Poly has entrusted you with
– Your login - What you have access to
54
Safe Computing Practices
55
How do I Protect my Information?
• Keep your computer safe, protected:• Use trusted software, keep your software
updated• Run anti-virus, anti-spyware• Be wary of suspicious emails, prompts for
updates, pop-ups, URLs or links• Use strong passwords, keep portal password
unique
56
Keep Software Updated
• Run trusted software• Regularly update your computer, software,
Operating system• Browser• Instant messenger• Email
• Consult with your network administrator
57
Updating Software
58
Бусад програмын шинэчлэлт
59
Run Anti-Virus, Anti-Spyware
• Download it for free at үйлдвэрлэгчийн сайтнаас
• Keep definitions updated Set to automatic updates
60
Be Wary of Suspicious Emails, Links, Updates
• It’s never appropriate or OK for someone to ask you for your login and password in email
• Never provide your login and password in email• Look at the address in the URL to figure out if it’s legitimate• URLs with a lot of numbers and letters are usually a scam• Google the address if you’re not sure • Scam URL examples:• http://online.ao.uk.citibank.kz/cgi• http://swissbank.online.org/getyourwinnings.html• http://165.256.115.60/wellsfargo.html• http://www.kalamazoo.cz/www.bankofamerica.com/index.html
61
Scam Flash Player, Scam Anti- Virus
• Be CAUTIOUS when PROMPTED to update anti-virus or flash player
• You never get software for nothing…
62
Scam EmailDear Internet User • We are happy to inform you that you have emerged winner of
$500,000.00 (Five Hundred Thousand US Dollars) in the European Union Micro Project Award Draws.
• . . . • To begin your claim, you are required to email the under listed • information to our claims agent • 1. Name and Address
– Nationality – Age – Occupation – Phone/Fax
63
Caution: Fake Antivirus
64
Caution: Fake Antivirus UpdateDon’t click on the link, buttonYour Clues:1. Know what your updates look
like2. Be suspicious if you are
prompted for updatesWhat you can do:1. Run the software yourself
(not from the link) and “check for updates”
OR2. Go to software vendor
Website and check for updates
65
Use Strong Passwords• Use different passwords for different services• Keep your Cal Poly portal password unique, don’t use it anywhere else
– Use 1-2 alphabetic characters in a row, don’t use 3 in a rowa. Example: Use rt, not rtU
– Use 1-2 numeric characters in a row, not 3a. Example: Use 39, not 391 or 4421
• Use special characters in your password – Choose a password with at least 3 character types a. Lowercase letters,
numbers, special characters, uppercase letters
• Think of a phrase such as ‘Learn by Doing; for Cal Poly.’ Substitute characters, numbers and special characters for the first letter of each word in the phrase. For example: L-bd;4Cp.
• Change your password any time you suspect it has been compromised
66
Identity Safety and Theft Prevention
• Invest in a shredder. Shred all documents that have your personal information on it. Shred those pre- approved credit applications you don’t want.
• Monitor your credit reports.• Mail your bills at the Post Office close to pickup times.• Don’t give out your Social Security number unless you
verify why it is needed, such as for bank accounts or loans.• Protect your purse or wallet and keep only necessary
information in it.• Don’t respond to unsolicited e-mails or phone calls.
67
What we need is…
• …easy access to Cal Poly information and resources for those who shouldhave it
• …extremely difficult for those who shouldn’thave it
• The Cal Poly Password helps meet these needs for campus services.
• Individually, needs are simple.• Together, they pose a challenge.
68
Balancing The Needs
• Unrealistic Extremes: • •easiest access = no password(like no locks on
your door)• •strongest protection = long/random
password + token + retina scan + etc. (like living in a bank vault)
69
Balancing The Needs
• The world is our neighborhood.• Real solutions require tradeoffs based on
perceived risk: password guessing
70
The Balance Today
• One password, many services• Strict password rules• No retina scan or fingerprint required!• Passwords usable indefinitely
• Next: Dan and changes to staybalanced.
71
A hard to guess password can still be weak…
(Just because it’s propaganda doesn’t mean it’s not true!)
72
Changes to Maintain Balance
• Password Expiration– new password must be set yearly– plenty of advance notice
• Acknowledge Policies– those forms you don’t remember signing
• Later: changes to password rules, process– we hope to make your life a little easier
73
If talk of changing passwords gives you a sinking feeling….
(to further muddy the metaphor)
74
What is identity theft?
• •Legal definition:• “Fraud related to activity in connection with
identification documents, authentication features, and information”
• “Identity theft is the fastest growing crime in America, with 9.9 million victims reported last year”
75
Information theft…
Powerful information:• –credit card accounts• –bank accounts• –passwords and PINs• –SSN• –driver’s license
76
Who perpetrates this fraud?
• •Anyone who has or can get access to your information:
• –Insiders (local, or not)• –Dumpster divers, burglars, pick pockets, etc.
(local, or not)• –Criminal underground on the Internet• •Out to get someone…
77
How they do it…
• •Phishing• •Viruses/Worms/Trojans -Botnets• •95% of email is SPAM• Overview of criminal undergroundБайнга санаж явах• •Identity = information = money• •You’ll do (so take precautions)• •Be vigilant• •Report suspicious activity
78
Спам
• Why Overpay for Designer Shoes?
79
Can You See the Difference?
80
Фишинг - Verify Your Account Information
81
Why SPAM and Phishing?• Low Risk + High Reward + Opportunity = Criminal’s
DreamSomeone is falling for it!
Who Perpetrates This Fraud?
• •Anyone who can send an email• •People who send lotsof emails
• •90%+ email on Internet is SPAM/Phishing• •Mostly sent via Botnets
82
Botnets (Hundreds of billions)
83
A Blessing and Curse…
•Компьютер авчихаад ашиглахгүй байх уу? Үгүй• Don’t be a bot! –Your ISP may have already contacted you…(but be sure!)
•Gain knowledge, be skeptical, use the tools–…stay tuned
84
Social Networking How To Be Safe On-Line
•Relationships between people•Web site that knows who you know, encourages interaction
85
Responsible Use: What’s Covered?
• •Authorized Use / Access•Data Security, Confidentiality & Privacy•Electronic Information Retention & Disclosure•Network / System Integrity•Commercial Use•Political Advocacy•Harassment•Copyright & Fair Use•Trademarks & Patents•Electronic Communications•Web Sites & Accessibility to Digital Content
86
Trusting Your Computer
• Practical Steps• 1. Secure your computer (log out, lock the office)• 2. Account Management (user roles, permissions)• 3. Use strong passwords• 4. Get the latest updates• 5. Install anti-virus and anti-spywaresoftware and• keep their definitions updated• 6. Use a firewall• 7. Browse the Internet safely• 8. Make regular backups• 9. Secure wireless networks• 10. Learn what to do if something goes wrong
87
Facebook-д та яах ёстой вэ?
88
10 Privacy Settings Every Social Networking User Should Know
• 1: Use friends list
89
10 Privacy Settings Every Social Networking User Should Know
2: Remove yourself from Facebook search results
Default is set to “network”
90
10 Privacy Settings Every Social Networking User Should Know
3: Remove yourself from the Google search engineTurn off “create a public search listing…”
91
10 Privacy Settings Every Social Networking User Should Know
4: Avoid embarrassment from photo/video tags
Set as: CustomOnly MeNone of My Networks
92
10 Privacy Settings Every Social Networking User Should Know
5: Protect your photo albums–Manually configure the visibility of each album–Be sure to check visibility settings each time you upload a new photo album
93
10 Privacy Settings Every Social Networking User Should Know
6: Prevent stories from showing up in friends’ news feeds
94
10 Privacy Settings Every Social Networking User Should Know
7: Protect against published application storiesIf you add an application, scan your profile
95
10 Privacy Settings Every Social Networking User Should Know
8: Make your contact information privateOnly make email & phone numbers available to close contacts
96
10 Privacy Settings Every Social Networking User Should Know
9: Avoid embarrassing wall postsPrevent your wall posts from being announced in friends’ news feedsTurn off relationship status
97
10 Privacy Settings Every Social Networking User Should Know
10: Keep your friendships privateNot everyone wants to live public lives!
98
Анхаарал тавьсанд баярлалаа
70113151
99
Questions