Бидний тухай
Сурталчилгаа байршуулах
Редакцийн ёс зүй
Нууцлалын бодлого
Холбоо барих
Онцлох
Шинэ
Тренд
Буцах
169
Монгол Улс кибер аюулгүй байдал, хүний хувийн мэдээллийг хуулиар хамгаалдаг болоод удаагүй байна. Эдгээр хуулиудад тодорхой байгууллагад мэдээллийн аюулгүй байдлаа хангахыг үүрэг болгосон байдаг. Мөн виртуал хөрөнгийн үйлчилгээ үзүүлэгч болон финтек чиглэлийн байгууллагуудад ISO 27001 стандартын дагуу мэдээллийн аюулгүй байдлаа хангах талаар зохицуулагч байгууллагаас шаардаж эхэлсэн тухай мэдээлэл ч байна.
Энэ удаагийн нийтлэлээр та бүхэнд ISO 27001 стандарт нь ямар зориулалттай, нэвтрүүлэх нь ямар ач холбогдолтой, бусад фрэймворк, стандартуудаас юугаараа давуу болох, хэрхэн нэвтрүүлэх талаар товчхон танилцуулъя.
International Standard Organization ISO нь өдгөө 167 улсын гишүүнчлэлтэй, стандартууд нь тэдгээр улсуудад албан ёсоор хүлээн зөвшөөрөгдсөн байгууллага юм.
Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны ISO/IEC 27001 стандартын гол зорилго нь байгууллагын мэдээллийн аюулгүй байдлыг хэрхэн удирдахад оршино. Стандарт 2 хэсгээс бүрдэнэ.
- Байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБУТ) бий болгох, хэрэгжүүлэх, авч явахад шаардлагатай менежментийн процессууд бүхий үндсэн бүлэг.
- Мэдээллийн аюулгүй байдлын (МАБ) шаардлагуудыг агуулсан ХавсралтА (Annex A) бүлэг.
Агуулга нь маш өргөн, жишээ нь мэдээлэл цахим хэлбэрт эсвэл цаасан хэлбэртэй байгаагаас хамаарч нөхцөл байдал бүрт тохирсон аюулгүй байдлын хяналт шаардана. Мэдээллийн аюулгүй байдлын зохих шаардлагуудыг зөвхөн стандарт нэвтрүүлж буй байгууллагаас гадна байгууллагын мэдээлэлтэй харьцдаг ханган нийлүүлэгч, үйлчилгээ үзүүлэгч байгууллага болон хэрэглэгчдэд оноож өгдөг. Байгууллагын нөхцөл байдал, салбарынх нь онцлог, үйл ажиллагааны цар хүрээнээс хамаараад бусад зохицуулалт, стандартуудын шаардлагад давхар нийцээд хамт хэрэгжүүлэхийг зөвшөөрдөг. Жишээ нь байгууллага PCIDSS нэвтрүүлсэн бол түүний аюулгүй байдлын хяналтуудтай давхцахгүй, холбогдох ISO 27001 стандартын шаардлагыг хангасанд тооцдог зэргээр уян хатан бөгөөд бусад давуу талтай.
ISO 27001 стандартыг нэвтрүүлэх нь дараах давуу талуудтай.
- Мэдээллийн аюулгүй байдлын стандартуудаас хамгийн түгээмэл, албан ёсны, хүлээн зөвшөөрөгдсөн стандарт.
- Бүх төрлийн байгууллагад хэрэгжүүлэх боломжтой уян хатан.
- Удирдлагын тогтолцооны бүлэг нь байгууллагын засаглал, баримт бичгийн удирдлага зэрэг үйл явцуудыг сайжруулж, албажуулах замаар байгууллагын ерөнхий чадавхыг нэмэгдүүлж байдаг.
- Хэрэглэгч, хувьцаа эзэмшигч, төрийн байгууллагуудын өмнө мэдээллийн аюулгүй байдлыг хангасан гэдгийг нотлох хамгийн том боломж.
- Олон улсын зах зээлд гарахад, хөрөнгө оруулалт татахад, гадаад хэрэглэгчдэд үйлчилгээ үзүүлэхэд тавигддаг шаардлагуудын нэг нь мэдээллийн аюулгүй байдлыг хангасан байх бөгөөд олон улсын стандарт нэвтрүүлсэн байх нь том давуу тал авчирч, байгууллагын үнэлгээ, нэр хүндэд эергээр нөлөөлдөг.
- Хэрэв байгууллага нь Кибер аюулгүй байдлын тухай хуулиар Онц чухал мэдээллийн дэд бүтэц бүхий байгууллагын төрөлд хамаарах бол олон улсын стандарт хангаж, баталгаажуулснаар тус хуулийн мэдээллийн аюулгүй байдлын аудит хийлгэх шаардлагыг хангасанд тооцогдоно.
ISO/IEC 27001 стандартыг нэвтрүүлж, гэрчилгээ авахад байгууллагын үйл ажиллагааны чиглэл, цар хүрээ, бүтцийн нэгж, засаглал, чадавх, өмнө нь нэвтрүүлсэн удирдлагын тогтолцоо зэрэг нөхцөлүүдээс шалтгаалан 6-12 сарын хугацаа зарцуулдаг. Энэ хугацаанд удирдлагын баг, хэрэгжүүлэлтийн баг, нийт ажилтнууд, ханган нийлүүлэгч байгууллагын ажилтнууд болон дотоод аудитын баг тус бүрт тохирсон удирдлагын тогтолцооны болон МАБ-ын сургалт хийх, хамгаалбал зохих мэдээллийн жагсаалт гаргах, МАБ эрсдэлийн үнэлгээ хийх, байгууллагын процесс бүрт тохирсон аюулгүй байдлын хяналтууд бий болгож, шаардлагатай удирдлагын тогтолцооны болон мэдээллийн аюулгүй байдлын шаардлага, процессуудыг тусгасан 10-аас 50 хүртэлх тооны баримт бичиг гарах шаардлагатай байдаг. Мөн мэдээллийн аюулгүй байдлыг хангахад зориулсан нөөцүүдийг тодорхойлж, хангаж өгнө. Жишээ нь сүлжээний хамгаалалтыг сайжруулах шаардлагатай гэж үзвэл тохирох Firewall-ыг худалдан авч тохируулах, олон тооны систем, хэрэглэгчтэй бол хандах эрхийг үр дүнтэй хянах үүднээс PAM (Privileged Access Management ) системд холбох гэх мэт ажлууд хийгдэнэ. ( Миний туршлагаар хамгийн олон байгууллагад байгаагүй зүйл бол Бизнесийн тасралтгүй байдлыг хангахад шаардлагатай процесс, backup, redunancy шийдлүүд байсан. )
Хамгийн сүүлд тус стандартын шаардлагуудыг хангасан болохоо нотлохын тулд хөндлөнгийн аудит хийлгэж, тэнцсэн тохиолдолд гэрчилгээ авна. Хөндлөнгийн аудитыг сонгохдоо өртөг, хугацаанаас гадна хэр нэр хүндтэй байгууллага сонгож аудит хийлгэснээс хамаарч тухайн байгууллагадаа өөр давуу талууд авчирч байдаг.
ISO байгууллагын хамгийн сүүлийн тайлангаас үзвэл 2020 оны 12 сарын 31-ны байдлаар олон улсын хэмжээнд 44`449 байгууллага, Монгол Улсаас 5 байгууллага ISO/IEC 27001 стандартын шаардлага хангасан, хүчин төгөлдөр гэрчилгээтэй байсан бөгөөд нийтдээ 2019 оноос 22% өссөн үзүүлэлт юм.
Цар тахлын нөхцөл байдлаас шалтгаалан цахим технологийн хэрэглээ эрс нэмэгдсэн сүүлийн жилүүдэд тус стандартын эрэлт, хэрэгцээ мөн эрс нэмэгдэж байна.
Стандартын талаар илүү дэлгэрэнгүйг Монгол хэлээр уншихыг хүсвэл https://mn.wikipedia.org/wiki/ISO/IEC_27001 хаягаар орж танилцаарай.
Монгол Улс кибер аюулгүй байдал, хүний хувийн мэдээллийг хуулиар хамгаалдаг болоод удаагүй байна. Эдгээр хуулиудад тодорхой байгууллагад мэдээллийн аюулгүй байдлаа хангахыг үүрэг болгосон байдаг. Мөн виртуал хөрөнгийн үйлчилгээ үзүүлэгч болон финтек чиглэлийн байгууллагуудад ISO 27001 стандартын дагуу мэдээллийн аюулгүй байдлаа хангах талаар зохицуулагч байгууллагаас шаардаж эхэлсэн тухай мэдээлэл ч байна.
Энэ удаагийн нийтлэлээр та бүхэнд ISO 27001 стандарт нь ямар зориулалттай, нэвтрүүлэх нь ямар ач холбогдолтой, бусад фрэймворк, стандартуудаас юугаараа давуу болох, хэрхэн нэвтрүүлэх талаар товчхон танилцуулъя.
International Standard Organization ISO нь өдгөө 167 улсын гишүүнчлэлтэй, стандартууд нь тэдгээр улсуудад албан ёсоор хүлээн зөвшөөрөгдсөн байгууллага юм.
Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны ISO/IEC 27001 стандартын гол зорилго нь байгууллагын мэдээллийн аюулгүй байдлыг хэрхэн удирдахад оршино. Стандарт 2 хэсгээс бүрдэнэ.
- Байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБУТ) бий болгох, хэрэгжүүлэх, авч явахад шаардлагатай менежментийн процессууд бүхий үндсэн бүлэг.
- Мэдээллийн аюулгүй байдлын (МАБ) шаардлагуудыг агуулсан ХавсралтА (Annex A) бүлэг.
Агуулга нь маш өргөн, жишээ нь мэдээлэл цахим хэлбэрт эсвэл цаасан хэлбэртэй байгаагаас хамаарч нөхцөл байдал бүрт тохирсон аюулгүй байдлын хяналт шаардана. Мэдээллийн аюулгүй байдлын зохих шаардлагуудыг зөвхөн стандарт нэвтрүүлж буй байгууллагаас гадна байгууллагын мэдээлэлтэй харьцдаг ханган нийлүүлэгч, үйлчилгээ үзүүлэгч байгууллага болон хэрэглэгчдэд оноож өгдөг. Байгууллагын нөхцөл байдал, салбарынх нь онцлог, үйл ажиллагааны цар хүрээнээс хамаараад бусад зохицуулалт, стандартуудын шаардлагад давхар нийцээд хамт хэрэгжүүлэхийг зөвшөөрдөг. Жишээ нь байгууллага PCIDSS нэвтрүүлсэн бол түүний аюулгүй байдлын хяналтуудтай давхцахгүй, холбогдох ISO 27001 стандартын шаардлагыг хангасанд тооцдог зэргээр уян хатан бөгөөд бусад давуу талтай.
ISO 27001 стандартыг нэвтрүүлэх нь дараах давуу талуудтай.
- Мэдээллийн аюулгүй байдлын стандартуудаас хамгийн түгээмэл, албан ёсны, хүлээн зөвшөөрөгдсөн стандарт.
- Бүх төрлийн байгууллагад хэрэгжүүлэх боломжтой уян хатан.
- Удирдлагын тогтолцооны бүлэг нь байгууллагын засаглал, баримт бичгийн удирдлага зэрэг үйл явцуудыг сайжруулж, албажуулах замаар байгууллагын ерөнхий чадавхыг нэмэгдүүлж байдаг.
- Хэрэглэгч, хувьцаа эзэмшигч, төрийн байгууллагуудын өмнө мэдээллийн аюулгүй байдлыг хангасан гэдгийг нотлох хамгийн том боломж.
- Олон улсын зах зээлд гарахад, хөрөнгө оруулалт татахад, гадаад хэрэглэгчдэд үйлчилгээ үзүүлэхэд тавигддаг шаардлагуудын нэг нь мэдээллийн аюулгүй байдлыг хангасан байх бөгөөд олон улсын стандарт нэвтрүүлсэн байх нь том давуу тал авчирч, байгууллагын үнэлгээ, нэр хүндэд эергээр нөлөөлдөг.
- Хэрэв байгууллага нь Кибер аюулгүй байдлын тухай хуулиар Онц чухал мэдээллийн дэд бүтэц бүхий байгууллагын төрөлд хамаарах бол олон улсын стандарт хангаж, баталгаажуулснаар тус хуулийн мэдээллийн аюулгүй байдлын аудит хийлгэх шаардлагыг хангасанд тооцогдоно.
ISO/IEC 27001 стандартыг нэвтрүүлж, гэрчилгээ авахад байгууллагын үйл ажиллагааны чиглэл, цар хүрээ, бүтцийн нэгж, засаглал, чадавх, өмнө нь нэвтрүүлсэн удирдлагын тогтолцоо зэрэг нөхцөлүүдээс шалтгаалан 6-12 сарын хугацаа зарцуулдаг. Энэ хугацаанд удирдлагын баг, хэрэгжүүлэлтийн баг, нийт ажилтнууд, ханган нийлүүлэгч байгууллагын ажилтнууд болон дотоод аудитын баг тус бүрт тохирсон удирдлагын тогтолцооны болон МАБ-ын сургалт хийх, хамгаалбал зохих мэдээллийн жагсаалт гаргах, МАБ эрсдэлийн үнэлгээ хийх, байгууллагын процесс бүрт тохирсон аюулгүй байдлын хяналтууд бий болгож, шаардлагатай удирдлагын тогтолцооны болон мэдээллийн аюулгүй байдлын шаардлага, процессуудыг тусгасан 10-аас 50 хүртэлх тооны баримт бичиг гарах шаардлагатай байдаг. Мөн мэдээллийн аюулгүй байдлыг хангахад зориулсан нөөцүүдийг тодорхойлж, хангаж өгнө. Жишээ нь сүлжээний хамгаалалтыг сайжруулах шаардлагатай гэж үзвэл тохирох Firewall-ыг худалдан авч тохируулах, олон тооны систем, хэрэглэгчтэй бол хандах эрхийг үр дүнтэй хянах үүднээс PAM (Privileged Access Management ) системд холбох гэх мэт ажлууд хийгдэнэ. ( Миний туршлагаар хамгийн олон байгууллагад байгаагүй зүйл бол Бизнесийн тасралтгүй байдлыг хангахад шаардлагатай процесс, backup, redunancy шийдлүүд байсан. )
Хамгийн сүүлд тус стандартын шаардлагуудыг хангасан болохоо нотлохын тулд хөндлөнгийн аудит хийлгэж, тэнцсэн тохиолдолд гэрчилгээ авна. Хөндлөнгийн аудитыг сонгохдоо өртөг, хугацаанаас гадна хэр нэр хүндтэй байгууллага сонгож аудит хийлгэснээс хамаарч тухайн байгууллагадаа өөр давуу талууд авчирч байдаг.
ISO байгууллагын хамгийн сүүлийн тайлангаас үзвэл 2020 оны 12 сарын 31-ны байдлаар олон улсын хэмжээнд 44`449 байгууллага, Монгол Улсаас 5 байгууллага ISO/IEC 27001 стандартын шаардлага хангасан, хүчин төгөлдөр гэрчилгээтэй байсан бөгөөд нийтдээ 2019 оноос 22% өссөн үзүүлэлт юм.
Цар тахлын нөхцөл байдлаас шалтгаалан цахим технологийн хэрэглээ эрс нэмэгдсэн сүүлийн жилүүдэд тус стандартын эрэлт, хэрэгцээ мөн эрс нэмэгдэж байна.
Стандартын талаар илүү дэлгэрэнгүйг Монгол хэлээр уншихыг хүсвэл https://mn.wikipedia.org/wiki/ISO/IEC_27001 хаягаар орж танилцаарай.