information security17799 khaltar

Мэдээллийн аюулгүй байдалМэдээллийн аюулгүй байдал Мэдээллийн аюулгүй байдлын ойлголт

болон олон улсын стандарт ( ISO 17799.2005)

Олон улсын стандартын өдөрт зориулсан эрдэм шинжилгээний бага

хурал. Улаанбаатар.2005.09.27.

Доктор Халтар.Т. [email protected]

CSMS of MUST

mailto:[email protected]

Аюулгүй байдлын талаарх тоо баримтуудАюулгүй байдлын талаарх тоо баримтууд- - МАБ-ын эсрэг зөрчлүүдээс учирсан хохиролМАБ-ын эсрэг зөрчлүүдээс учирсан хохирол, 1997-2002: , 1997-2002: $1.5$1.5 миллиард миллиард

- - Асуулгад хамрагдсан хүмүүсийн 90% нь 2004 онд халдлагад өртсөнАсуулгад хамрагдсан хүмүүсийн 90% нь 2004 онд халдлагад өртсөн

-- Нийтийн түгшүүр дэгдээсэн асуудал нь вирус Нийтийн түгшүүр дэгдээсэн асуудал нь вирус((хэрэглэгчдийн 85%хэрэглэгчдийн 85%))

- - 5 байгууллагын 2 нь веб сайтыг хууль бусаар ашиглах 5 байгууллагын 2 нь веб сайтыг хууль бусаар ашиглах ажиллагааны ажиллагааны хохирогч болсон хохирогч болсон

-- 5 хэрэглэгчийн 1 нь хохирсноо мэддэггүй 5 хэрэглэгчийн 1 нь хохирсноо мэддэггүй

- - Аюулгүй байдлын халдлагууд 2 жилд 4 дахин нэмэгдэж байнаАюулгүй байдлын халдлагууд 2 жилд 4 дахин нэмэгдэж байна

- - МАБ нь мэдээллийн технологийн менежерүүдийн 1-р асуудалМАБ нь мэдээллийн технологийн менежерүүдийн 1-р асуудал

Аюулгүй байдлын талаарх тоо баримтуудАюулгүй байдлын талаарх тоо баримтууд

УчирсанУчирсан х хохирлын хэмжээ /охирлын хэмжээ /$US$US//

406.30010186.400

701.50070195.900

27382.34006830.500

11767.20065643.300

5148.5002754.400

76.000705000

0 20000 40000 60000 80000

1

3

5

7

9

11

замаас нь барьж авахнууцаар чагнах

системд нэвтрэн орохсаботаж

Үйлчилгээг үймүүлэх(DOS)ЭБХ сүлжээг зүй бусаар ашиглах

Laptop хулгайлахВирус

Бүрдэл хэсгийг хулгайлахХарилцаа холбооны залилан

Санхүүгийн залиланажилтнуудын хууль бус нэвтрэлт

Аюулгүй байдлын талаарх тоо баримтуудАюулгүй байдлын талаарх тоо баримтууд

93

50

3021

77

4034

19

94

4036

30

85

44

2520

96

48

32 28

0

20

40

60

80

100

120

1 2 3 4

асуу

лгад

хам

рагд

агсд

ын

сана

л

2003

2002

2001

2000

1999

Цоорхой Мэдээлээгүй Хуулийн бай- Цагдаад гууллагад мэдээлсэн

мэдээлсэн

9/119/11-ээс хойшхи аюулгүй байдал-ээс хойшхи аюулгүй байдал

Мэдлэг нэмэгдсэнЭрсдлийн талаарх эмх замбараагүй

байдал… болон шилдэг туршлагуудЭдийн засгийн өсөлт удааширсан,

МТ-ийн зардал өсөхөө больсон

АгуулгаАгуулга

Аюулгүй байдал гэж юу вэ? Мэдээллийн Аюулгүй Байдлын удирдлагын

систем(ISSM) Байгууллагын өргөн хэмжээний аюулгүй

байдлыг нэвтрүүлэх 4 үе шат МАБ-ын талаар төрөөс явуулах бодлого,

хэрэгжүүлбэл зохих арга хэмжээ

Аюулгүй байдал гэж юу вэАюулгүй байдал гэж юу вэ??Мэдээллийн технологийн аюулгүй байдлын 3

бүрдэл хэсэг

Хүртээмжтэй,тохиромжтой

Халдашгүй

Нууцлал

Аюулгүйцахим

харилцаа бизнес

Аюулгүй байдал гэж юу вэАюулгүй байдал гэж юу вэ??

Адилтгах & Харьцуулан таних-Нөөцөд хандахын тулд хэрэглэгчийг адилтгаж харьцуулан танисныг батална.

Тохиромжтой-Бүрдэл хэсгүүд болон дэд бүтцийн элементүүд сүлжээ бусниулах халдлагаас хамгаалагдсан байх ёстой.

Нууцлал-Бүрдэл хэсгүүд, үйлчилгээ болон дэд бүтцийн элементүүд хууль бус нэвтрэлтээс хамгаалагдсан байх ёстой.

Халдашгүй-Бүрдэл хэсгүүд хууль бус өөрчлөхөөс хамгаалагдсан байх ёстой. Өгөгдөл дамжуулахдаа хамгаалах талаар сайн анхаарна.

Тасалдалгүй-Тохиолдол бүр тодорхой бүртгэлтэй хэрэглэгчтэй холбогдсон байх ёстой.

Аюулгүй байдал гэж юу вэ?Аюулгүй байдал гэж юу вэ?Аюулгүй байдал ямар хэмжээтэй байвал зохих вэ? Торхны загвар

Аюулгүй байдал гэж юу вэАюулгүй байдал гэж юу вэ? ?

Өгөгдлийнсан

Өгөгдлийнангилал

Нууцлал Харьцуулан таних

Халдашгүйбайдал

Зөвшөөрөх

Нэвтрэлт,илрүүлэлт

Биет

Вирусийн эсрэг

Бат бэх ҮС

МаршрутизаторFirewall

VPN

DMZ

Эрх зүйн акт, журам дүрэм

Стратеги

Бодлого

Стандартууд

Процедуржурам

• Аюулгүй байдлын мөн чанар

Зохионбайгуулалтын

зарчмууд

Хэрэглээнийдавхарга,

хамгаалалт

Перимет-рийн

хамгаалалт

Аюулгүй байдал гэж юу вэАюулгүй байдал гэж юу вэ??

Өгөгдлийн сан

Нууцлал Халдашгүй байдалХарьцуулан таних Зөвшөөрөх

Бат бэх үйлдлийн систем VPNМаршрутизатор Firewall

Зохицуулалт БодлогоҮ/А-ны журам Стандартууд

• Аюулгүй байдлын давхарга

Мэдээллийн аюулгүй байдлын Мэдээллийн аюулгүй байдлын удирдлагын систем удирдлагын систем -- ISO 17799ISO 17799

ISO/IEC 17799: 2000 – нь МАБ-ын удирдлагын үйл ажиллагааны хууль /код/ юм

-Аюулгүй байдлын нарийвчилсан стандарт -Арван бүлэгтэй, аюулгүй байдлын 36

салбарыг хамарсан, тус бүрдээ янз бүрийн сэдвийг хамаарна.

ISMS - ISO 17799ISMS - ISO 17799

ISMS - ISO 17799ISMS - ISO 17799 Аюулгүй байдлын бодлого Удирдлагын чиглэлийг тодорхойлох болон мэдээллийн аюулгүй

байдлыг хангах. Дээд удирдлага бүх байгууллагад хүртээмжтэй мэдээллийн аюулгүй байдлын бодлого батлан гаргах замаар тодорхой чиглэл, удирдамж гаргаж түүнийгээ дэмжин хамгаалж байх ёстой.

-Мэдээллийн аюулгүй байдлын баримт, бичгүүд: тойм болон үнэлгээ. Удирдлагын хандлагыг тогтоосон Үүрэг болон хариуцлагыг тогтоосон Үндсэн ангиллыг тодорхойлсон Шийдвэр гаргах чиглэлийг тодруулсан Эрх мэдлийн хүрээ тогтоосон Үйл ажиллагааны журмыг тогтоосон Хариуцлага тогтоосон Зохих хэрэглээний ассетийг тодорхойлсон Хууль зүйн шаардлагуудад хандсан харилцаа бий болгох

ISMS - ISO 17799ISMS - ISO 17799 Аюулгүй байдлын зохион байгуулалт (1/2) Мэдээллийн аюулгүй байдлын дэд бүтэц

– Тодорхой байгууллагын хүрээнд мэдээллийн аюулгүй байдлыг удирдахын тулд МАБ-ын хангах, хяналтыг тодорхойлох удирдлагын бүтцийг бий болгоно

Мэдээллийн аюулгүй байдлын форум Мэдээллийн аюулгүй байдлын хамтын ажиллагаа Мэдээллийн аюулгүй байдлын нөөцийг хуваарилах Мэдээлэл боловсруулах хэрэгслүүдэд хандах хандалтыг зөвшөөрөх

механизм Мэдээллийн аюулгүй байдлын мэргэжилтэн Байгууллага хоорондын хамтын ажиллагаа Мэдээллийн аюулгүй байдлын бие даасан үнэлгээ

ISMS - ISO 17799ISMS - ISO 17799 Аюулгүй байдлын зохион байгуулалт (1/2) Гуравдахь этгээдийн хандалтын аюулгүй байдал

МТ-ийн тоног төхөөрөмж болон мэдээллийн нөөц, гуравдахь этгээдийн хандалтын аюулгүй байдлыг хангахын тулд дараах зүйлсийг хянаж байх ёстой:

-Гуравдахь этгээд хандах үед үүсэх эрсдэлийг адилтгах -Гуравдахь этгээдтэй байгуулсан гэрээнд аюулгүй

байдлын шаардлагуудыг оруулах Аутсорсинг

Мэдээлэл боловсруулах ажиллагаа, хариуцлагыг өөр байгууллагад шилжүүлсэн үед мэдээллийн аюулгүй байдлыг хангах

-Аутсорсингийн гэрээндээ аюулгүй байдлын шаардлагуудыг оруулах


Нөөцийг ангилах болон хянах Нөөцийн хариуцлага

Мэдээллийн нөөцийн зохих ёсны хамгаалалтыг хангахын тулд мэдээллийн гол нөөцүүдийг хариуцах эзэнтэй болгож, хариуцлага тогтоож өгнө

-Мэдээллийн нөөцийн тооцоо, тоо бүртгэл хөтлөх

Мэдээллийн ангилалАюулгүй байдал, хамгаалалтын хэрэгцээ, тэргүүлэх чиглэлийг тогтоох,

хамгаалалтын зохих түвшинг хангахын тулд мэдээллийн аюулгүй байдлыг ангилал тогтоож, ашиглана.

-Ангиллын заавар, журам -мэдээллийн нэр томъёо, боловсруулалт

ISMS - ISO 17799ISMS - ISO 17799 Хувь хүмүүсийн мэдээллийн аюулгүй байдал

(1/2) Ажлын байрны тодорхойлолт ба МАБ

Хүний хүчин зүйл, мэдээлэл болон тоног төхөөрөмжийн хулгай, залилан, буруу ашиглалтын эрсдэлийг багасгахын тулд хүмүүсийг ажилд авах үедээ аюулгүй байдалд анхаарлаа хандуулах, ажлын байрны тодорхойлолтод зохих шаардлагыг оруулах & ажиллах хугацаанд нь хяналт тавьж байх

Ажил үүрэг, хариуцлагад нь аюулгүй байдлыг оруулах Ажилтнуудыг шигших болон бодлого боловсруулах Нууцлалын тохиролцоо, гэрээ байгуулах Ажил эрхлэх хугацаа, нөхцөл

Хэрэглэгчдийг сургахХэрэглэгчид МАБ-ын аюул, заналхийллийг мэдэж байх, хэвийн ажиллагааг

хангах аюулгүй байдлын зохион байгууллатын бодлогыг хэрэгжүүлэхийн тулд тэднийг мэдээллийн аюулгүй ажиллагааны журам, МТ-ийг зөв ашиглах арга барил, чадварт сургах ёстой.

-Мэдээллийн аюулгүй байдлын боловсрол болон сургалт

ISMS - ISO 17799ISMS - ISO 17799 Хувь хүмүүсийн мэдээллийн аюулгүй байдал

(2/2) Аюулгүй байдлын учралууд & доголдолд хариу өгөх

МАБ-ын учралууд болон доголдлын хохирлыг багасгах, ийм учралуудыг хянах, түүнээс сурахын тулд:

-МАБ-ын учралуудыг тайлагнах -Хамгаалалтын сул талыг тайлагнах -Программ хангамжийн сул талыг тайлагнах -Халдлага учралуудаас суралцах -Сахилга батыг сайжруулах арга хэмжээ

ISMS - ISO 17799ISMS - ISO 17799 Эд зүйлс, орчны аюулгүй байдал (2/2)

Хамрах хүрээХууль бус нэвтрэлт, гэмтэл болон хэвийн үйл ажиллагаанд

хөндлөнгөөс оролцохоос урьдчилан сэргийлэхийн тулд эрсдэлтэй, нууцлалтай үйл ажиллагаанд ашиглагддаг бүх тоног төхөөрөмжийг аюулгүй орчинд байрлуулна:

-Эд зүйлсийн хамгаалалтын хүрээ-Хувь хүмүүс ороход хяналт тавих-Офис, өрөөнүүд болон тоног төхөөрөмжийг

хамгаалах-Хамгаалсан орчинд ажиллах-Мэдээлэл илгээх, татаж авах ажиллагааг салгах

ISMS - ISO 17799ISMS - ISO 17799 Эд зүйлс, орчны аюулгүй байдал (2/2)Тоног төхөөрөмжийн аюулгүй байдал

Мэдээллийн нөөц алдагдах, гэмтэх, усттах, хэвийн үйл ажилллагаа алдагдахаас урьдчилан сэргийлэхийн тулд тоног төхөөрөмжийг хамгаалсан байна.

-Тоног төхөөрөмжийн байрлал болон хамгаалалт-Хүчдэлийн эх үүсвэр-Кабелийн хамгаалалт-Тоног төхөөрөмжийн үйлчилгээ -Тоног төхөөрөмж болон мэдээллийн орчин нөхцлөөс хамгаалах-Тоног төхөөрөмжийг аюулгүй захиран зарцуулах, дахин ашиглах

Ерөнхий хяналтМэдээлэл болон мэдээлэл боловсруулах төхөөрөмж алдагдах, хулгайлагдахаас урьдчилан сэргийлэхийн тулд

-Ил тод талбар болон ил тод бодлого -Өмч хөрөнгийн бүртгэл, зарцуулалт


Харилцаа холбоо & үйл ажиллагааны удирдлага(1/5)

Үйл ажиллагааны журам болон үүрэг хариуцлагаМэдээлэл боловсруулах тоног төхөөрөмжийн аюулгүй, зөв ажиллагааг

баталгаажуулахын тулд тоног төхөөрөмжийн үйл ажиллагааны журам, удирдах зааврыг тогтоосон байна.

-Үйл ажиллагааны баримтжуулсан журам-Үйл ажиллагааны өөрчлөлтийн хяналт-Учрал тохиолдлыг удирдах журам-Ажлын үүргийг ялган салгах -Боловсруулалт болон үйл ажиллагааны төхөөрөмжийг салгах -Гадаад төхөөрөмжийн удирдлага

ISMS - ISO 17799ISMS - ISO 17799 Харилцаа холбоо & үйл ажиллагааны

удирдлага(2/5) Системийн төлөвлөлт болон зөвшөөрөлт

Системийн доголдол, эвдрэлийн эрсдлийг багасгах, нөөц боломжийн хүртээмжийг дээшлүүлэхийн тулд төлөвлөлт, боловсруулалт, бэлтгэлийг хангах ёстой.

-Чадварыг төлөвлөх-Системийн зөвшөөрөлт

Программ хангамжийн доголдлоос хамгаалахПрограмм хангамж болон өгөгдлийн бүрэн бүтэн байдлыг хангахын

тулд хууль бус болон доголдолтой программ суулгах, ашиглахаас сэргийлэх

-Доголдолтой программ хангамжид хяналт тавих

ISMS - ISO 17799ISMS - ISO 17799Харилцаа холбоо & үйл ажиллагааны

удирдлага(3/5) Албан ажиллагаа

Мэдээллийн үйл ажиллагаа, холбооны үйлчилгээний бүрэн бүтэн, хүртээмжтэй байдлыг хангахын тулд

-Мэдээллийн нөөц хувилбар-Операторын бүртгэлийн файлууд-Алдааны бүртгэл

Сүлжээний удирдлагаСүлжээн дахь мэдээлэл болон дэд бүтцийг хамгаалахын тулд

компьютерийн сүлжээний аюулгүй байдалд онцгой анхаарал хандуулах нь зүйтэй

-Сүлжээний хяналт


Харилцаа холбоо & үйл ажиллагааны удирдлага(4/5)

Зөөгчийг хамгаалах болон дамжуулахМэдээллийн нөөц алдагдах болон үйл ажиллагаа доголдохоос

урьдчилан сэргийлэхийн тулд компьютерийн мэдээлэл зөөгчийг хянаж, хамгаалах нь зүйтэй.

Салгадаг зөөгчүүдийг хянах, удирдах Хэрэгцээгүй болсон зөөгчийг устгах Мэдээлэл дамжуулах журам Системийн баримт бичгийн аюулгүй байдал

ISMS - ISO 17799ISMS - ISO 17799Харилцаа холбоо & үйл

ажиллагааны удирдлага(5/5) Мэдээлэл болон программ хангамж солилцох

Байгууллагуудын хооронд солилцож байгаа мэдээлэл алдагдах, өөрчлөгдөх, буруугаар ашиглагдахаас сэргийлэхийн тулд байгууллагуудын хооронд мэдээлэл, өгөгдөл, программ хангамж солилцоход хяналт тавьж байх ёстой.

Мэдээлэл, программ хангамж солилцох гэрээ, тохиролцоо Транзит зөөгчийн аюулгүй байдал Цахим арилжааны аюулгүй байдал Цахим шуудангийн аюулгүй байдал Цахим офисийн системийн аюулгүй байдал Нийтэд хүртээмжтэй систем Мэдээлэл солилцох бусад хэлбэр

ISMS - ISO ISMS - ISO 1779917799

Хандалтын удирдлага (1/5) Хандалтыг удирдахад тавигдах шаардлага

Ажил хэргийн мэдээлэлд хандах хандалтыг удирдах, хянахынг тулд компьютерийн үйлчилгээ, өгөгдөлт хандах хандалтыг ажил хэргийн шаардлагын дагуу хянаж байх ёстой.

-Хандалтыг хянах бодлого Хэрэглэгчийн хандалтыг удирдах

Хууль хандалтаас сэргийлэхийн тулд МТ-ийн үйлчилгээнд хандах эрхийг хууварилах тодорхой журам байх ёстой.

Хэрэглэгчийг бүртгэх Давуу эрхийн удирдлага Хэрэглэгчийн нууц үгийн удирдлага Хандах эрхийг хянах

ISMS - ISO 17799ISMS - ISO 17799Хандалтын удирдлага (2/5) Хэрэглэгчийн үүрэг, хариуцлага

Хэрэглэгчдийн хууль бус хандалтаас урьдчилан сэргийлэхийн тулд хууль ёсны хэрэглэгчидтэй хамтран ажиллах нь маш чухал

Нууц үг ашиглах Хэрэглэгчдийн автомат тоног төхөөрөмжt


Хандалтын удирдлага (3/5)Сүлжээнд хандахад тавих хяналт

Холбогдсон байгаа хэрэглэгчид болон үйлчилгээг хамгаалах, бусад бүх үйлчилгээг аюулд учруулахгүйн тулд сүлжээний үйлчилгээнд хандах хандалтыг хянах ёстой.

Сүлжээний үйлчилгээг ашиглах талаар баримтлах бодлого Нарийн тодорхойлж заасан зам Гаднаас холбогдож байгаа үед хэрэглэгчийг адилтган таних Зангилаа цэгийг харьцуулан таних Портыг зайнаас хамгаалах Сүлжээнд холбогдохыг хянах Сүлжээний маршрутизаторыг хянах Сүлжээний үйлчилгээний аюулгүй байдал

ISMS - ISO 17799ISMS - ISO 17799Хандалтын удирдлага (3/5) Үйлдлийн системд хандах хандалтыг хянах

Компьютерт хууль бусаар хандахаас сэргийлэхийн тулд-Терминалыг автоматаар адилтгах-Системд орох журам-Хэрэглэгчийг адилтгах таних-Нууц үгийг удирдах систем-Хэрэглэгчийн аюулгүй байдлыг хангах албадлагын түгшүүр-Цагийн хязгаарлалт, хамгаалалт-Холболтын хугацааг хязгаарлах

Хэрэглээний хяналтМэдээлэлд хууль бусаар хандахаас урьдчилан сэргийлэхийн тулд

мэдээллийн системд зохицуулалт хийх -Мэдээлэлд хандах хязгаарлалт-Эмзэг системийг тусгаарлах

ISMS - ISO 17799ISMS - ISO 17799Хандалтын удирдлага (3/5) Системийн хандалт болон ашиглалтыг хянах

Хууль бус үйл ажиллагааг илрүүлэх, нийцлийг баталгаажуулах, бодлого болон стандартад нийцүүлж байхын тулд системийг хянан шалгаж байх ёстой.

-Тохиолдлуудыг бүртгэх-Цагийг нийцүүлэх

Зөөврийн компьютер болон телеажиллагаа Зөөврийн компьютер болон теле ажиллагаа ашиглаж байгаа үед аюулгүй

байдлыг хангахын тулд хамгаалалтын өвөрмөц арга хэмжээ авч хэрэгжүүлнэ.

Хөдөлгөөнт, зөөврийн компьютерийн ашиглалт Телеажиллагаа

ISMS - ISO 17799ISMS - ISO 17799 Системийн хөгжил болон ашиглалт (1/3) Системийн аюулгүй байдлын шаардлага

Аюулгүй байдлын шаардлагуудыг МС-ийн дотор суулгаж өгөхийн тулд системийг байгуулахаас өмнө шаардлагуудыг бий болгож, тохиролцсон байх ёстой.

-Аюулгүй байдлын шаардлагуудад анализ хийх, ангилах

Хэрэглээний системийн аюулгүй байдалХэрэглээний явцад хэрэглэгчийн өгөгдөл алдагдах, өөрчлөгдөх, устахаас

сэргийлэхийн тулд аюулгүй байдлын зохих хяналтыг бий болгож хэрэгжүүлсэн байна.

-Орж буй өгөгдлийн үнэн зөвийг шалгах-Дотоод боловсруулалтыг хянах-Мессаж, мэдээллийг адилтган таних -гарч буй өгөгдлийн үнэн зөвийг шалгах


Системийн хөгжил болон ашиглалт (2/3)

Криптографын хяналтМэдээллийн нууцлал, хүртээмжтэй, халдашгүй байдлыг хангахын тулд

-Криптографын хяналтыг ашиглах бодлого боловсруулах-Кодлох -Тоон гарын үсэг-Тасалдалгүй үйлчилгээ-Түлхүүрийн менежмент


Системийн хөгжил болон ашиглалт (2/3) Систем файлуудын аюулгүй байдал

МТ-ийн хөтөлбөр, ажиллагаа, дэмжих ажиллагаанууд аюулгүй байддлын шаардлагын дагуу явагдаж байхыг баталгаажуулахын тулд системийн файлуудад хандах хандалтыг хянаж байх нь зүйтэй.

-Үйлдлийн программ хангамжийг хянах-Системийн тестийн өгөгдлүүдийг хамгаалах-Программын эх сурвалжуудад хандах хандалтыг хянах

Хөгжүүлэх болон ашиглах орчны аюулгүй байдалАюулгүй байдлыг хангахын тулд хэрэглээний системийн программ хангамж,

өгөгдлийн сан, дэмжих орчныг хатуу хянаж байх ёстой.-Өөрчлөлтийг хянах журам-Үйлдлийн системийн өөрчлөлтийн техникийн үзлэг-Багц программ хангамжид өөрчлөлт оруулахыг хязгаарлах-Хамгаалагдсан сувгууд болон Трояны код-Программ хангамжийг гадагш захиалж боловсруулах


Тасралтгүй ажиллагааны удирдлага Тасралтгүй ажиллагааны удирдлагын асуудлууд

Ажил хэргийн үйл ажиллагааны тасалдлаас сэргийлэх, эмзэг ажиллагааг хамгаалахын тулд хэвийн ажиллагааны төлөвлөгөө боловсруулж, шалгаж, баталсан байх ёстой.

Тасралтгүй ажиллагааны удирдлагын үйл явц Тасралтгүй ажиллагаа болон нөлөөллийг задлан шинжлэх Тасралтгүй ажиллагааны төлөвлөгөөг боловсруулах,

хэрэгжүүлэх Тасралтгүй ажиллагааны төлөвлөлтийн механизм Тасралтгүй ажиллагааны төлөвлөгөөг шалгах, дэмжих,

үнэлэх

ISMS - ISO 17799ISMS - ISO 17799Нийцэл (1/2)

Хууль зүйн шаардлагуудтай нийцүүлэхХуулиар тогтоогдсон аливаа шаардлагууд, аюулгүйы байдлын бусад

шаардлагуудыг зөрчихгүйн тулд МТ-ийн системийн дизайн, ажиллагаа, ашиглалт хуулийн шаардлагатай нягт нийцсэн байх ёстой.

Хэрэглэгдэх хууль тогтоомжийг адилтгах Оюуны өмч Зохион байгуулалтын тайланг хамгаалах Өгөгдлийг хамгаалах болон нууцлал Мэдээлэл боловсруулах төхөөрөмжийг зүй бусаар ашиглахаас

урьдчилан сэргийлэх Криптографын хяналтыг зохицуулах Нотлох баримт цуглуулах

ISMS - ISO 17799ISMS - ISO 17799Нийцэл (1/2) Аюулгүй байдлын бодлого болон техникийн нийцлийн хяналтСистем болон байгууллагын аюулгүй байдлын бодлого, стандартын нийцлийг

хангахын тулд МТ-ийн аюулгүй байдлыг байнга хянаж, шалгаж байх ёстой. -Аюулгүй байдлын бодлоготой нийцэх-Техникийн нийцлийг шалгах

Системийн аудитийн тухай Системийн аудитийн процессийн оролцоог багасгахын тулд түүнийг

хийгдэж байх үед үйлдлийн систем, хэрэгслүүдийг хамгаалсан байх ёстой.

Системийн аудитийн хяналт Системийн аудитийн багаж хэрэгслийг хамгаалах

ISMS – ISOISMS – ISO//IEC 17799:2005IEC 17799:2005 Олон улсын стандартын байгууллага болон

Олон улсын цахилгаан техникийн комиссын Техникийн хамтын хороо (ISO/IEC JTC) 2005 онд боловсруулсан.

Мэдээллийн аюулгүй байдлын удирдлагын практик удирдамж.

Сертификатжуулах стандарт биш. 2005 оны төгсгөлд гарах ISO/IEC 27001 буюу

“Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд тавигдах шаардлага” энэ үүргийг гүйцэтгэнэ.

ISOISO//IEC 17799:2005IEC 17799:2005-ын онцлог-ын онцлог Гадагш харьцахдаа аюулгүй байдлаа илүү сайн

удирдах. Аутсорсинг хийх үед аюулгүй байдлаа хангах. Үйлчилгээ үзүүлэгчидтэй харьцахдаа аюулгүй

байдлаа хангах Алдаагаа засах удирдлага Хөдөлгөөнт хэрэгсэл, утасгүй холболтын аюулгүй

байдлыг хангах Хөдөлгөөнт кодоос хамгаалах Хүний нөөцфөө удирдах

ISOISO//IEC 17799:2005IEC 17799:2005 -Гаднаас -Гаднаас авах үйлчилгээний аюулгүй авах үйлчилгээний аюулгүй

байдлыг хангахбайдлыг хангахАутсорсингОфшорингСүлжээ ашиглахВеб байрлуулахХэрэглэгчидтэй харьцахХамтрагчидтайгаа харилцах ажил

хэргийн шинэ шаардлага, үйлчилгээний шинэ хяналтыг нэвтрүүлсэн.

ISOISO//IEC 17799:2005IEC 17799:2005-Хүний нөөц-Хүний нөөц Ажилд авахаас өмнө: элсүүлэх үйл явц тодорхойлолт авах, нарийн шалгах хөдөлмөрийн гэрээ, хугацаа, нөхцөл• Ажиллаж байх үед: Үүрэг, ролийг нарийн хуваарилах Хандах эрх олгож тооцооны дэвтэр хөтлөх Үйл ажиллагаанд сургах, ойлгуулах, учралыг илтгэж

хэвшүүлэх• Ажлаас халагдсаны дараа: Хандах эрхийг хаах, тооцооны дэвтрийг хаах Нэвтрэх үнэмлэх, картыг хурааж авах Мэдээлэл, мэдээлэл зөөгч, бичиг, цаас, программ,

компьютерийг хурааж авах

Байгууллагын аюулгүй байдлыг хангах Байгууллагын аюулгүй байдлыг хангах дөрвөн үе шатдөрвөн үе шат

Байгууллагын аюулгүй байдлын өргөн хөтөлбөрийг хэрэгжүүлэх

энгийн дөрвөн үе шат байдаг

Ямар ашиг сонирхлыг хамгаалахаа тодорхойлох

Мэдээллийн эмзэг нөөц бүрийг хэрхэн хамгаалахаа шийдэх

Ажил хэргийн шаардлагад үндэслэсэн зохих хамгаалалтыг

хэрэгжүүлэх

Сонгосон хамгаалалт үр дүнтэй, үр нөлөөтэй байгаа эсэхийг

байнга шалгаж байх

Байгууллагын аюулгүй байдлыг хангах Байгууллагын аюулгүй байдлыг хангах дөрвөн үе шатдөрвөн үе шат

Өмнө дурдсан дөрвөн үе шатыг задлан үзье.Ямар ашиг сонирхлыг хамгаалвал зохих вэ?

-Эмзэг нөөцүүдийг тодруулах-Нөөцүүдийг ангилах-Эзэн хариуцагчийг тодруулах, хуваарилах -Нөөцийн үнэ цэнийг тогтоож ангилах-Эмзэг нөөцүүдийг хэрхэн ашиглаж буйг тодруулах-Эрсдэл болон учирч болох аюулыг адилтгах

Мэдээллийн эмзэг нөөцүүдийг хэрхэн хамгаалсан вэ?-Аюулгүй байдлын одоогийн бодлого, стандарт,

процессийг үнэлэх-Хэрэглээ, үйлдлийн систем, сүлжээ, өгөгдлийн сангийн

хамгаалалтын хэрэгжилтийг үнэлэх-Хамгаалалтын одоогийн байдлыг шалгаж үзэх /этикийн

хакер/

Байгууллагын аюулгүй байдлыг хангах Байгууллагын аюулгүй байдлыг хангах

дөрвөн үе шат дөрвөн үе шат Өмнө дурдсан дөрвөн үе шатыг задлан үзье.

Эмзэг нөөцүүд хэрхэн хамгаалагдсан байх ёстой вэ?-Техникийн шаардлагуудыг шинжлэх-Удирдлагын шаардлагуудыг шинжлэх-Ялгааны шинжилгээг хөгжүүлэх-Технологи хөгжүүлэх, зөвлөмж боловсруулах хүрээн

дээр үндэслэсэн хэрэглэгчийн аюулгүй байдлын архитехтурыг хөгжүүлэх

Ашиглах нөөцүүдийг хамгаалах:-Зорилтот орчинд шилжих төлөвлөгөө боловсруулах -Аюулгүй байдлын бодлого стандарт

боловсруулах/боловсронгуй болгох-Аюулгүй байдлын үйлдлүүдийг боловсруулах-Түгээлтийн аюулгүй системийн техникийн шийдэл,

аюулгүй цахим худалдааны хэрэглээ, криптог_рафийн түлхүүрийн тогтолцоо, смарт картын хэрэглээний шийдлийг боловсруулах.

-Хэрэгжүүлэх төлөвлөгөөг удирдах

МАБ-ын талаар Монгол улсын засгийн МАБ-ын талаар Монгол улсын засгийн газраас баримталвал зохих бодлогогазраас баримталвал зохих бодлогоОдоогоор МАБ-ыг тусгайлан хариуцсан төрийн байгууллага байхгүй

байгаа боловч МАБ-ын талаар дараах бодлого, ажиллагааг хэрэгжүүлэх шаардлагатай байна.

Мэдээллийн аюулгүй байдлын бодлогын судалгааКриптографийн технологийг хөгжүүлэхСистем болон сүлжээний аюулгүй байдлын технологи хөгжүүлэх МАБ-ын технологийг стандартжуулахМТ-ийн бүтээгдэхүүнд аюулгүй байдлын үнэлгээ хийхҮндэсний нийтийн түлхүүрийн дэд бүтцийн удирдлага хэрэгжүүлэхХакинг, вирусын довтолгоо болон учралд хариу өгөхАюулгүй байдлын зөвлөгөө өгөх үйлчилгээ бий болгохМАБ-ын дэмлэг үзүүлэх төв ажиллуулах Эрх зүйн орчныг бий болгохОлон нийтийн мэдлэгийг дээшлүүлэх, сургалт зохиох

Санаж явах зүйлСанаж явах зүйл......

Аюулгүй байдлыг хангах нь байнга үйлгэржилдэг үйл явц

Аюулгүй байдлыг хангах нь хүн бүрийн

үүрэг

Анхаарвал зохих 10 асуудал (1/10)

Бизнесийнхээ эрсдэлийн үнэлгээг удирд Хамгаалалтын сул талаа олох, юуг сайжруулахаа

шийдэх боломжийг олгодог техникийн хяналтыг хэрэгжүүлэхийн өмнө эрсдлийн үнэлгээ хийх.

Таны хамгаалалтын сул талаас хамгийн их аюул ирнэ, гэхдээ аюулгүй байдлын шинэ шийдэлд хүрснээр тулгарч буй эрсдэл өөрчлөгдөнө.

Анхаарвал зохих 10 асуудал (2/10) Хамгаалалтын стандартуудыг боловсруулах Эрүүгийн хакерууд байгууллагын гаднаас болон дотроос

довтолж болох ба энэ хоёр аюулын аль алинаас нь хамгаалахыг мэргэжилтнүүд зөвлөдөг.

Техникийн стандарт болон журамд үндэслэсэн аюулгүй байдлын бодлого техникийн шийдлүүдийг дэмжиж байх ёстой. Байгууллагын аюулгүй байдлын бодлого ажлын байртай нягт холбогдсон байх ёстой бөгөөд ажилчид үүргээ сайн ухамсарласан байхаас гадна эрх мэдлээ урвуулах тохиодолд хүлээх хариуцлага, сэжигтэй тохиолдолд хийх үйлдлээ мэдэж байх ёстой.

Удирдлагаас гаргасан заавал биелүүлэх бодлого, журам, стандартууд дээд шийдвэр байдаг бол –Интернетийн бодлогын журмууд нь энэ бодлого, стандартуудын өөрчлөлтийг хэрэгжүүлэх үндэслэл болдог.


Хамгаалалтаа тестэлж шалга Танай компанийн тухай бага мэдлэгтэй боловч бусад

мэдээлэл, төхөөрөмж ашиглан танай системд нэвтрэн орох чадвартай этгээдийн довтолгооноос сэргийлэхийн тулд эд ангийн биет хамгаалалтын системээ шалга.

Е-mail, Интернет, телефон шугамаар дамжин тусгай хэрэгсэл ашиглан нөөцөд хандаж болох зайн хандалтаа тестэлж шалга. Мөн ажилтнуудаас хууль бус довтолгоо хийх боломж байгаа эсэхийг тестэлж шалгана.

Нийт системийн аудит хийх, хамгаалалтаа тестлэх, ялангуяа firewall-ийг /цоорхой олохын тулд/ шалгах.


Урьдчилан сэргийлэх журам боловсруулах, гуравдагч этгээдийг тестэлж шалгахын тулд бие даасан этгээдийг ашиглах

Бат бэх журам, хатуу хяналт, аудитын чадвар байгаа эсэхээс хамаардаг залилан, хулгайгаас сэргийлэх.

Өөрийн сайтын хамгаалалт, аюулгүй байдлыг тестэлж шалгахын тулд бие даасан гуравдагч этгээдтэй хамтран ажиллах. Энэ туршлага Интернет банкны хэрэглээнд их ашиглагддаг.


Таны үйл ажиллгаанд хөндлөнгөөс хандаж хяналт тавьж чадах хувь хүмүүсийг хязгаарлах.

Хяналт тавих хандалтыг үндсэн журмын дагуу хэрэгжүүл /цөөн хүн, цөөн системээс, бага цаг хугацаанд/.

Танай системд хандах тохиолдолд паспорт, смарт карт, PIN номер, хурууны хээ зэрэг танин зөвшөөрөх аргуудыг ашигла.

Адитган танисныг баталгаажуулахын тулд тоон сертификатыг ашигла. Өгөгдлийг дамжуулахдаа кодчилж шифэрлэж бай.

Вирусын эсрэг программ ашиглаж, түүнийгээ байнга апдейт хийж байх. Энэ программыг хүн бүрийн машин, сервер, firewall-д суулгах.


Firewall ашигла. Firewall нь мессажийг хяналтын цэгээр

дамжуулах замаар нэг сүлжээг нөгөөгөөс нь тусгаарладаг.

Firewall-ийг янз бүрийн замаар хэрэгжүүлж болно. Хамгийн их дэлгэрсэн нь router, server болон бусад төхөөрөмжүүд оролцуулан зохион байгуулсан Firewall юм.


Ажиглалт, хяналтын хэрэгслүүд ашиглаАжилтнууд системд хууль бусаар

хандах, эрх мэдлээ урвуулан ашиглахыг хурдан илрүүлэх боломжийг ажиглалтын хэрэгсэл олгодог.

Ийм хэрэгслүүдээр бичиж авсан материалууд хэрэг хянан шийдвэрлэх үед нотлох баримт болдог.


Этгээд, сэжигтэй үйлдлүүдийг илрүүлэхийн тулд системээ хяна.

Хэрэв та сэжигтэй үйлдэл илрүүлсэн бол хүчээр нэвтрэн орж байгааг илрүүлдэг программ хангамж, үйлчилгээг ашиглан системийн гол хэсгүүдийг хяна.

Энэ нь хийж болох үйлдлүүдийг нь илрүүлэх замаар довтолгооныг тогтоон барих боломж олгоно.

Энэ нь уг довтолгоон харагдаж байгаагаасаа илүү аюултай гэдгийг илрүүлэх боломж олгодог. Хорлон сүйтгэх ажиллагаагаа нууж, анхаарлыг сарниулах гэсэн оролдлого болохыг тогтоох боломж олгодог.

Хэрэв өөр байгууллага довтолгоонд өртөж байвал танай систем ийм довтолгоонд өртсөн эсэхийг сайн шалга.


Өөрийн ISP-тэй холбоотой ажилла.Хамгаалалтын түвшинг тодруулахын

тулд ISP-тэйгээ (хэрэв танай сайт нэг ISP ашигладаг бол) холбогд. Довтлогчид танай системд нэвтрэхээс өмнө ISP чинь довтолгооныг хаах арга хэмжээ авч чадна.


Компьютерийн зөрчлүүдийн талаар хуулийн зохих байгууллагад мэдэгдэж байх.

Учралын талаар хуулийн байгуулага, CERT-д заавал мэдэгд. Та ганцаараа довтолгоонд өртөөд зогсоогүй бусад байгууллагууд өртсөн байж болно. Тиймээс тэд техникийн туслалцаа үзүүлж, хариу үйлдэл хийнэ.

Таны өгсөн мэдээллүүд чухал нотлох баримт болж болно.

information security17799 khaltar

Internet