Information security for Public servants

1. Т.Халтар
Док, проф
khaltar@sssmn.com
khaltar@moncirt.org.mn
Төрийн Байгууллагын
Мэдээллийн Аюулгүй
Байдал
1

2. ХУРААНГУЙ
• Мэдээллийн аюулгүй байдлыг хангахад зөвхөн
програм-техникийн арга хэмжээ хэрэгжүүлэхэд
хангалттай гэж үздэг гэнэн ойлголтын үе
өнгөрсөн.
• Мэдээлэл холбооны технологийн хурдтай
хөгжил, түүнийг хууль бус зорилгод ашиглах
хэдэн түмэн арга бий болсон өнөөгийн үед
Монгол улсад мэдээллийн аюулгүй байдлын
ойлголт маш муу, төрийн байгууллагуудын
МАБ хангагдаагүй
• Ихэнх байгууллагад мэдээллийн аюулгүй
байдлыг хангах цогц удирдлага байхгүй.

3. Яагаад?
• МАБ-ын Мөн чанарыг мэддэггүй,
• Өнгөцхөн ойлголт дээрээ тулгуурладаг,
• Удирдах ажилтнууд болон ихэнх хэрэглэгчид түүний
ач холбогдолыг мэдэхгүй,
• Үл тоомсорлодог,
• Хөрөнгө мөнгө зарцуулдаггүй
• МАБ огт хангагдаагүй, мэдээлэл гадагш урсаж
байгаа, сүлжээ, вебүүд цоорхой
• МАБ-ын довтолгооныг зүгээр нэг танхай хакер
төдийгүй өрсөлдөгч байгууллагууд, тусгай албад
гүйцэтгэдэг

4. Яагаад?
• Бүх зүйл МХТ-д суурилах болсон
• Онлайн хэлцэл, гүйлгээ, гэрээ олширч, мэдээллийн
урсгал эрс нэмэгдсэн.
• Хүн төрөлхтөний хөгжил дэвшил МХТ-оос
хамааралтай болсон.
• Эдийн засгийн хөгжлийн хөдөлгүүр нь МХТ
• Мэдээлэл, өгөгдөл, мэдээллийн технологи,
мэдээллийн систем, сүлжээ нь аливаа байгууллагын
маш чухал, үнэт эд хөрөнгө.
• Гэмт халдлага, үйлдэл, зөрчил эрс нэмэгдэж байна.
• Мэдээллийн аюулгүй байдал нь нэг хувь хүн, нэг
байгууллага, нэг улс төдийгүй дэлхийн хамтын
нийгэмлэгийн чухал асуудал боллоо.

5. Яагаад хэрэгтэй болов?
• МХТ хүчтэй нэвтэрсний улмаас уламжлалт цаасан
баримт бичгийн нууцлал, хамгаалалт шаардлага
хангахаа больсон
• Зэвсэгт хүчин, цагдаа, тагнуул, онц байдал, гамшгийн
удирдлага, тогтолцоо байдагтай нэгэн адил мэдээллийн
аюулгүй байдал, түүнийг хэрэгжүүлдэг тогтолцоо,
байгууллагууд байх зайлшгүй шаардлагатай.
• Байгууллага бүр МАБ-ын удирдлагатай болсон.
• МАБ- нь Програм-техникийн асуудал байхаа больж улам
бүр нарийн төвөгтэй, захиргаа-удирдлагын асуудал
болон хувирсан.
• Мэдээллийн нөлөөлөл, хор хөнөөл эрс нэмэгдсэн,
Тараах суваг олширсон

6. Үйл ажиллагааныхаа үр ашгийг дээшлүүлэх, МХТ-ийн ашиг
шимийг хүртэх, зардлаа багасгах, цахим харилцаанд
шилжихийг Дэлхий дахины нөхцөл байдал болон Монгол
улсын өнөөгийн байдал шаардаж байна.
МАБ-ын үр нөлөө нь мэдээллийн технологийн хөрөнгө
оруулалтын үр нөлөөг хангана.
Өнөөгийн нөхцөл дахь МАБ-ын төлөв байдал
Ernst&Young-ийн судалгаанаас харахад үүнд хүрэх баталгаа,
нэг чухал нөхцөл нь МАБ-аас хангах. Аюулгүй байдалд
хэмнэж болохгүй. Ихэнх байгууллагын мэдээллийн аюулгүй
байдал нь нийт аюулгүй байдалтайгаа дүйцэж очсон.

7. Мэдээллийн аюулгүй байдал
• Мэдээлэл нь байгууллагын бусад эд хөрөнгийн
нэгэн адил үйл ажиллагаа, ажил хэргээ хэвийн
явуулахад шаардагдах гол капиталын нэг учраас
хамгаалагдсан байх ёстой.
• Мэдээллийн аюулгүй байдал гэдэг нь ажил
хэргийн тасралтгүй чанарыг хангах, эрсдэлийг
багасгах, хөрөнгө оруулалтын үр ашиг, бизнесийн
боломжийг нэмэгдүүлэхийн тулд мэдээлэл,
мэдээллийн дэд бүтцийг олон янзын аюул,
заналхийллээс хамгаалах ажиллагаа.

8. Аюулгүй байдал гэж юу вэ?
Аюулгүй байдал ямар хэмжээтэй байвал зохих вэ? Торхны загвар

9. Аюулгүй байдал гэж юу вэ?
Өгөгдлийн сан
Нууцлал Халдашгүй байдал
Харьцуулан таних Зөвшөөрөх
Бат бэх үйлдлийн систем VPN
Маршрутизатор Firewall
Зохицуулалт Бодлого
Ү/А-ны журам Стандартууд
• Аюулгүй байдлын давхарга

10. Мэдээллийн аюулгүй байдал
• 21-р зуунд Мэдээллийн дайн, кибер дайн, кибер арми, цэрэг,
кибер зэвсэг
• Мэдээллийн Аюулгүй байдал гэдэг нь өргөн утгаараа “Нийгэм,
институт, байгууллагын мэдээллийн орчны хамгаалагдсан
байдал”
• Мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтцийн хамгаалагдсан
байдал (байгууллагын аюулгүй байдалтай ижил болж байна)
• Өгөгдөл, мэдээ, мэдээлэл, баримт материал, аппарат хэрэгслийг
хууль бусаар, зүй бусаар ашиглах, өөрчлөх, устгах гэмтээх,
хандах боломжийг хаахаас сэргийлж авсан арга хэмжээ.
• МАБ-нь бүрэн хамгаалалт бий болгохгүй.
• Хамгийн сайн цайз босгосон ч илүү хүчтэй эвдлэгч бүхий хэн
нэгэн гарч ирнэ.
• МАБ гэдэг нь өгөгдөл, мэдээлэл, түүнийг боловсруулах тоног
төхөөрөмжийг аюул заналхийллээс хамгаалах, эмзэг, сул талыг
нь буруугаар ашиглахаас сэргийлэх үйл ажиллагаа, үйл явц,
үйлдлүүд

11. МАБ-д нөлөөлөх хүчин зүйлс
• Монгол улсын үндэсний аюулгүй байдлын үзэл баримтлал
шинэчлэгдсэн, МАБ-ыг онцгой анхаарсан
• МАБ-ыг зохицуулсан хууль, эрх зүйн актууд гараагүй
• Монгол улс технологийн асар их хамааралтай байгаа
• Олон янзын хүчин зүйлс заналхийлж байна:
– Улс төрийн хүчин зүйлс
– Эдийн засгийн хүчин зүйлс
– Удирдлага, зохион байгуулалтын хүчин зүйлс
– Дэлхий нийтийн хүчин зүйлс
– Бүс нутгийн хүчин зүйлс
– Орон нутгийн хүчин зүйлс
– Системийн аюулгүй байдалд заналхийлж буй хүчин зүйлс

12. 12
Нууцлал
Хүртээмжтэй
байдал
Бүрэн бүтэн
байдал
МАБ-ын мөн чанар
Зөвхөн эрх олгогдсон
этгээд л мэдээлэл, дэд
бүтцэд хандах боломж-
ийг хангасан байх
Мэдээлэл, түүнийг
боловсруулах, арга
хэрэгслийн үнэн
зөв, бүрэн дүүрэн
байдлыг хангасан
байх,
Эрх олгогдсон
этгээд хэрэгтэй
үедээ мэдээлэл,
дэд бүтцэд
хандах боломжийг
хангасан байх

13. Аюулууд
• Хүнээс хамаарсан аюулууд (гэмт бүлэглэл,
гэмт этгээдүүд, зөрчил гаргагчдын хууль бус
үйл ажиллагаа, буруу санаат хамтрагч, түнш,
өрсөлдөгчид, байгууллагын зарим
ажилтнуудын зүй бус ажиллагаа г.м).
• Техникийн аюулууд (чанаргүй төхөөрөмж,
программ хангамж, хэрэгсэл, холбоо,
хамгаалалт, дохиоллын техник хэрэгслүүд
болон аюултай үйлдвэрлэл, тээвэрлэлт г.м).
• Байгалын аюул (газар хөдлөлт, хар салхи, үер
болон байгалын бусад гамшигт үзэгдлүүд)

14. Аюулууд
Хувь хүн, нийгэмд заналхийлж байгаа аюулууд
• кибер хорлон сүйтгэх ажиллагаа;
• нийгмийн ёс суртахуунд заналхийлж буй аюулууд (порнограф тараах,
хүчирхийлэл, мансууруулах бодис, гэмт хэргийг сурталчлах, үндэстэн
хоорондын дайсагнал, дайн хүчирхийллийг сурталчлах г.м);
• ухамсарт нь үйлчлэн нөлөөлөх (кибер зомби болгох);
• нийгмийн тогтвортой байдлыг алдагдуулах үзэл санааг сурталчлах (арьс
өнгөний үзэл, нацизм, шашны сектүүд г.м);
• цахим хэрэгслээр мэдээллийн дайн явуулах;
• залилан мэхлэх, социаль инжиниринг, фишинг, спаминг г.м
• төрийн систем дахь өгөгдөл мэдээллийг өөрчлөх, устгах, хулгайлах г.м;
Эдийн засагт заналхийлж буй аюулууд
• гадаад улс, гадны байгууллагын бизнес тагналт;
• эдийн засгийн алдагдалд хүргэх сөрөг, хуурамч мэдээлэл тараах;
• өрсөлдөгч байгууллага, компанийн сөрөг кибер үйлдэл;
• оюуны өмчийг хууль бусаар ашиглах;

15. Аюулууд
Батлан хамгаалах чадвар, үндэсний аюулгүй байдалд заналхийлж буй
аюулууд
• Гадаад улсын зүгээс Монголын Интернет трафикийг хянах, статистик
мэдээлэл цуглуулах, төрийн байгууллагын өгөгдлийн санг шүүж самнах;
• Монгол улсын тооцоолон бодох болон давтамжийн нөөцийг цэргийн
зорилгод ашиглах, зомби болгох;
• Монгол улсын сувгийн нөөцийг хууль бусаар ашиглах;
• Трафикийг зорилго, чиглэлтэйгээр өөрчлөх, гажуудуулах, харилцаа,
холбооны системийг сүйтгэх, гажуудуулах;
• Хуурамч мэдээлэл тараах;
• Байлдааны вирус (логик бөмбөг г.м), бусад хэрэгсэл ашиглан тооцоолох,
өгөгдөл боловсруулах төв, систем, харилцаа холбооны сүлжээг сүйтгэх;
• тагнуул – хорлон сүйтгэх ажиллагаа г.м.
• botnet технологийг ашиглан аливаа компьютерийг эзэнд нь мэдэгдэлгүй
зайнаас удирдах.
Logic bomb буюу үйлдлийн систем, хэрэглээний програмд нууцаар оруулсан код. Тодорхой нөхцөл бүрдэх,
тогтоосон цаг хугацаа болох, гаднаас команд өгөхөд идэвхжиж сүйтгэх үйлдэл, нөлөөлөл үзүүлнэ.
Зарим үйлдвэрлэгч бүтээгдэхүүнийхээ бүрдэл хэсгүүдэд суулгаж үйлдвэрлэдэг, мэдээллийн дайны
зэвсэг болгон ашиглаж байгаа.

16. Их Британийн жишээн дээр (2011 он)
52406300
40186400
701500
70195900
87382400
6830500
11767200
135643300
5148500
9754400
176000
705000
38365000
0 50000000 10000000 15000000
Ажилтны хууль бус нэвтрэлт
Санхүүгийн залилан
Харилцаа холбооны залилан
Бүрдэлхэсгийг хулгайлах
Вирусын довтолгоон
Компьютерийн хулгай
Сүлжээг зүй бусаар ашиглах
Үйлчилгээ бусниулах DoS, DDoS
Хорлонсүйтгэх ажиллагаа
Системд хууль бусаар нэвтрэх
Нууцаар чагнах
Замаас нь барих
социаль инжиниринг
хохиролUS$
Гол халдлагууд

17. АНУ дахь Мэдээллийн Аюулгүй Байдал
• МАБ-ын эсрэг зөрчлүүдээс учирсан хохирол,
2011 онд: $US 32.5 миллиард
• Асуулгад хамрагдсан хүмүүсийн 92% нь 2011
онд халдлагад өртсөн
• Нийтийн түгшүүр дэгдээсэн асуудал нь хортой
код (хэрэглэгчдийн 97%)
• 5 байгууллагын 3 нь веб сайтыг хууль бусаар
ашиглах үйлдлийн хохирогч болсон
• 6 хэрэглэгчийн 4 нь хохирсноо мэддэггүй
• МАБ, Кибер аюулгүй байдал - байгууллагын
удирдлагын тэргүүлэх асуудал

19. 19
0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00%
Хорлон сүйтгэх
Хулгай
Санхүүгийн залилан
ТХ, ПХ доголдол
ажилтны хайнга зан
Спам (соёлгүй мэйл)
Хакерийн халдлага
Хортой кодууд
Мэдээллийн хулгай
2010
2009
2008
МАБ-ын Хамгийн ноцтой аюулууд

20. 20
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
хор уршиг
Санхүүгийн шууд хохирол
Нэр хүндээ алдах
Үйлчлүүлэгчээ алдах
Өрсөлдөх чадвар буурах
Зохицуулах болон хуулийн Б-аас шалгах
Түншээ алдах
Хэрэг маргаан, хуулийн хариуцлага
Хөрөнгө оруулагчаа алдах
Хор уршиг, хохирол

21. 21
Хор хохирлын эх сурвалж

22. 22
AdWare
Таны өдөр тутмын эрсдэл
Viruses
IRC
Worms
DoS Tools
Exploits
Flooders
Trojan
downloaders
Trojan
Spies
Trojan
Droppers
Trojan
Notifiers
Trojan
Proxies
Bad
Crackers Email
Worm
sIM-
worms
Porno
dialer
s
Bad
Jokes
SPAM-
tools P2P
Worm
s
Bank
spying
Trojans
SPAM
Trojanized
network
tools

23. Хортой кодын өсөлт
«Лаборатория Касперского»-оос өгөгдлийг авав
0
200000
400000
600000
800000
1000000
1200000
1400000
2001 2002 2003 2004 2005 2006 2007 3 кв. 2008
8821 11136 20731 31726 53950
169689
472621
1315474
2013 онд энэ хандлага хадгалагдана
гэж үзэж байна…
2005 2006 2007 2008 2009 2010 2011 2012

24.  Ашиг орлоготой
 Үйлдэхэд амархан
(техник, ёс зүйн хувьд).
 Эрсдэл багатай, илрэх магадлал
бага
 Халдахад амархан шинэ объек-
тууд олноор бий болж байгаа
 Өөрийгөө илэрхийлэх, гайхуулах
 Байгууллагад бодлого байхгүй,
хамгаалалт сул, хэрэглэгчид журам
сахидаггүй, ойлголтгүй, гэнэн
Сүлжээний гэмт хэргийн өсөлтийн
шалтгаан

25. Манай дэлхий технологийн хамааралд
улам бүр орсоор…

27. …Хамгийн тэргүүлэх салбарт ч
Эх сурвалж: http://www.wired.com/politics/security/news/2008/01/dreamliner_security

28. Мэдээллийн аюулгүй байдлыг хэрхэн
хангах вэ?
• Аюулгүй байдлын бодлого, үйл явц, дэг
журам, зохион байгуулалтын бүтэц болон
програм хангамж, техник хангамжийн чиг
үүргүүдийг багтаасан зохих хяналт,
удирдлагын багц, механизмыг хэрэгжүүлэх
замаар мэдээллийн аюулгүй байдлыг зохих
түвшинд хангаж чадна.

29. Мэдээллийн аюулгүй байдал яагаад
хэрэгтэй вэ?
• Мэдээллийн аюулгүй байдлын тогтолцоог
тодорхойлж, бий болгож, дэмжиж, сайжруулах нь
өрсөлдөх чадвар, бэлэн мөнгөний урсгал, орлогоо
дээшлүүлэх, хууль зүйн нийцлийг бий болгох,
бизнесийн нэр төрөө бэхжүүлэх гол хүчин зүйлийн
нэг
• Байгууллага болон байгууллагын мэдээллийн
систем, сүлжээ олон янзын гарал үүсэлтэй аюул
заналхийлэлтэй тулгарч байна.

30. Мэдээллийн аюулгүй байдал яагаад
хэрэгтэй вэ?
• Хохирлын шалтгаан болж буй нянтай програм,
хортой код, компьютер, сүлжээнд хууль бусаар
нэвтрэн орох халдлага, үйлчилгээг бусниулсан
довтолгоонууд нийтийг хамарсан шинжтэй, илүү
шунахай, илүү төвөгтэй, нарийн болж байна.
• Мэдээллийн аюулгүй байдал нь төрийн, төрийн
бус байгууллагууд, бизнесийн салбар болон эмзэг
чухал дэд бүтцийг хамгаалахад маш чухал, онцгой
хэрэгцээтэй болж байна.

31. Мэдээллийн аюулгүй байдал яагаад
хэрэгтэй вэ?
• Төрийн болон хувийн салбарын харилцаа холбоо
нэмэгдэж, мэдээллийн нөөцийг хамтран ашиглаж
байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд
учирч буй саадыг нэмэгдүүлж байна.
• Компьютер улам бүр олширч, тархан дэлгэрч буй
хандлагын улмаас төвлөрсөн, тусгай хяналтын үр
дүн буурч байна.
• Мэдээллийн олон систем аюулгүй байдлын
шаардлагуудыг хангахааргүй зохион бүтээгджээ.

32. Мэдээллийн аюулгүй байдал яагаад
хэрэгтэй вэ?
• Техник хэрэгслийн тусламжтайгаар хангаж болох
аюулгүй байдлын боломж хязгаарлагдмал учир
зохих удирдлага, дэг журам зайлшгүй
шаардлагатай.
• Мэдээллийн аюулгүй байдлын удирдлагыг
хэрэгжүүлэхэд байгууллагын бүх ажилтнуудын
оролцоо шаардагддаг.
• Үүсгэн байгуулагч, хувьцаа эзэмшигчид, гуравдагч
тал, хэрэглэгчид, үйлчлүүлэгчид болон бусад
талуудын оролцоо шаардагдана.
• Гадны байгууллагын мэргэжилтний зөвлөгөө
зайлшгүй шаардлагатай.

33. Аюулгүй байдлын шаардлагууд,
эрсдлийн үнэлгээ
• Аюулгүй байдлын шаардлагуудыг тодруулсан байх
нь байгууллагын нэг гол асуудал.
• Аюулгүй байдлын эрсдлийн байнгын үнэлгээний үр
дүнд аюулгүй байдлын шаардлагуудыг тодруулна.
• Эрсдлийн үнэлгээний үр дүнд нөлөөлж болох
аливаа өөрчлөлтийг мэдрэхийн тулд эрсдэлийн
үнэлгээг тодорхой давтамжтайгаар хийж байх
– Аюул + эмзэг байдал + магадлал = Эрсдэл
• Ажилтан бүр учирч болох эрсдэл, түүнийг бууруулах
талаар ойлголт, мэдлэгтэй, байгууллагынхаа МАБ-
ын бодлого, журмыг чанд баримтлан ажилласнаар
эрсдлийг зохих хэмжээнд бууруулж чадна.

34. Мэдээллийн аюулгүй байдлын
эхлэлийн цэг
Хяналт нь дараах зүйлсийн хамт мэдээллийн аюулгүй
байдлын нийтлэг практик гэж тооцогдоно:
• мэдээллийн аюулгүй байдлын бодлогын баримт бичиг;
• мэдээллийн аюулгүй байдлын талаар хүлээх үүргийн
хуваарилалт;
• мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт;
• зөв зүйтэй хэрэглээ;
• техникийн эмзэг байдлын удирдлага;
• бизнесийн тасралтгүй ажиллагааны удирдлага;
• мэдээллийн аюулгүй байдлын будлианы удирдлага болон
түүнийг боловсронгуй болгох
• удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;
• Хамгаалалтын ТХ, ПХ-ын механизм

35. Амжилтад нөлөөлөх гол хүчин зүйлс
“3С” ХХК-ийн судалгаанаас үзэхэд байгууллагад
мэдээллийн аюулгүй байдлыг амжилттай хэрэгжүү-
лэхэд дараах хүчин зүйлс ихээхэн нөлөөлдөг:
• Мэдээллийн аюулгүй байдлын бодлого, зорилго, үйл
ажиллагаа;
• Мэдээллийн хамгаалалтыг хэрэгжүүлэх, дэмжих, хянах
болон боловсронгуй болгох байгууллагын дотоод соёлтой
нийцсэн хандлага, бүтэц;
• Удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;
• Мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийн
үнэлгээ, эрсдэлийн удирдлагын талаархи сайн ойлголт,
мэдлэг;
• Бүх менежер, ажилтнууд болон бусад талуудад бүрэн
дүүрэн ойлголт бий болгохын тулд үр дүнтэй маркетинг
явуулах;

36. Амжилтад нөлөөлөх гол хүчин зүйлс
• Мэдээллийн аюулгүй байдлын бодлого,
стандартын удирдлагыг бүх менежер, ажилтнууд
болон гуравдагч талд хуваарилан хэрэгжүүлэх;
• Мэдээллийн аюулгүй байдлын удирдлагын үйл
ажиллагааны санхүүжилт бий болгох;
• Зохих ойлголт, сургалт, боловсролыг бий болгох;
• Мэдээллийн аюулгүй байдлын будлиан, учралын
үр дүнтэй удирдлагыг бий болгох;
• Мэдээллийн аюулгүй байдлын удирдлага дахь
ажлын гүйцэтгэл болон буцах холбоог үнэлэхийн
тулд аудит, хэмжилт, үнэлгээний тогтолцоог бий
болгох

37. МАБ-ыг хангахад баримтлах үндсэн хууль,
Дэлхийн хамгийн шилдэг практик
(ISO/IEC) MNS 27001, 27002

38. Зөвхөн техник, төхөөрөмжийн тусламжтайгаар МАБ-
ыг хангаж чадах уу?
ТЭГВЭЛ ДАРААХ ЗҮЙЛСИЙГ ХЭРХЭН ШИЙДЭХ ВЭ?
•ЭРСДЛЭЭ ҮНЭЛЭХ
•ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ
•ШИНЭ АЮУЛЫГ ИЛРҮҮЛЭХ, ХЯНАХ
•ҮҮРЭГ ХАРИУЦЛАГЫГ ТОГТООХ
•БАЙГАА БАЙДЛАА ҮНЭЛЭХ, ЭРСДЛИЙГ БУУРУУЛАХ
•ОНЦГОЙ НӨХЦӨЛД БАЙДАЛД ХЭРХЭН АЖИЛЛАХ,
•ХҮМҮҮС, ЭД ХӨРӨНГИЙН БИЕТ АЮУЛГҮЙ БАЙДАЛ
•ТЕХНИК ХЭРЭГСЭЛ, ПРОГРАМ ХАНГАМЖ ХУДАЛДАН АВЧ БАЙГАА НЬ
ЗОХИСТОЙ ЭСЭХИЙГ ҮНЭЛЭХ Г.М.
ЭНЭ БҮХНИЙГ ЗӨВХӨН ЦОГЦ ХАНДЛАГЫН ҮНДСЭН
ДЭЭР ШИЙДЭЖ ЧАДНА.
МАБ-ын нийтээрээ хүлээн зөвшөөрсөн
хандлага

39. Цогц шийдэл – амжилтын үндэс

40. Байгууллагын мэдээллийн аюулгүй
байдлын удирдлага
ЭРСДЭЛИЙН
ЭЦСИЙН ҮНЭЛГЭЭ
БОЛОВСРУУЛАЛТ
АЮУЛГҮЙ
БАЙДЛЫН
БОДЛОГО
М А Б-ын
ТОГТОЛЦООГ
ЗОХИОН
БАЙГУУЛАХ
ЭД ХӨРӨНГИЙН
УДИРДЛАГА
ХҮНИЙ НӨӨЦТЭЙ
ХОЛБООТОЙ
АЮУЛГҮЙ БАЙДАЛ
БАЙР, БАЙШИН
БОЛОН ОРЧНЫ
АЮУЛГҮЙ БАЙДАЛ
ХОЛБОЛТ БОЛОН
ҮЙЛ
АЖИЛЛАГААНЫ
УДИРДЛАГА
ХАНДАЛТЫН
УДИРДЛАГА
МЭДЭЭЛЛИЙН
СИСТЕМ
СУУРИЛУУЛАХ,
ҮЙЛЧИЛГЭЭ
ХИЙХ
МЭДЭЭЛЛИЙН
АЮУЛГҮЙ
БАЙДЛЫН
БУДЛИАНЫ
УДИРДЛАГА
ТАСРАЛТГҮЙ
АЖИЛЛАГААНЫ
УДИРДЛАГА
АУДИТ,
НИЙЦЛИЙН
УДИРДЛАГА

41. ЭД ХӨРӨНГӨ – АКТИВ: МАБ-ын үндсэн
объектууд
Эд хөрөнгө (asset) – Байгууллагад үнэ цэнэ бүхий
аливаа зүйлс ISO/IEC 13335-1:2004
Мэдээллийн эд хөрөнгө –
• мэдээлэл өөрөө
• Мэдээлэл агуулсан эсхүл
• Мэдээлэлд хамааралтай
Байгууллагын хувьд тодорхой үнэ цэнэтэй аливаа объектууд.
Жишээлбэл: өгөгдөл, мэдээлэл, барилга байшин, сүлжээ,
систем, ПХ, ТХ, хүний нөөц, байгууллагын нэр хүнд г.м.
Энгийн болон нийлмэл нарийн объектууд хэмээн хуваагддаг.

42. Эд хөрөнгө
ХЭРХЭН
ХАМГААЛАХ
ВЭ???
ЭМЗЭГ БАЙДАЛ
АЮУЛ

43. МАБ-ын үзэл баримт-
лалаа тодорхойлох
МАБ-ын ҮБ-ыг
тодорхойлсон
баримт бичиг
МАБ-ыг хангах
хүрээ хязгаарыг
тогтоох
Системийн хүрээ
хязгаарыг тодор-
хойлсон баримт
Эрсдэлийн
үнэлгээ
хийх
Аюул, цоорхой,
Үр дагаврыг
тод-сон ББ
Сөрөг а/х,Эрсдэлийн
Удирдлага, МАБ-ын
БОДЛОГО
Захиргаа, дэг, ПХ,
ТХ-ийн түвшингээр
ангилсан сөрөг а/х,
МАБ-ын бодлого
МАБ-ыг хангах
хяналт удир-ын
хэрэгслийг сонгох
Байгууллагын
Хэмжээний МАБ-ыг
Хангах иж бүрэн
тогтолцоо
МАБ-ын уд-ын
тогтолцоог гэрчил-
гээжүүлэх, баталгаа-
жуулах
Нийцлийн тайлан
(сөрөг а/х-ний зохист
байдлыг үнэлэх)
Үндсэн агуулга Үндсэн баримт бичиг
МАБ-ын үзэл
баримтлал
Системийн загвар
Эрсдэлийн шин-
жилгээ
Эрсдэлийн
удирдлага бий болж
бодлого батлагдана
МАБ-ыг хангах иж
бүрэн тогтолцоо
МАБ-ын хангах
тогтолцооны
аудит
Аюул, заналхийлэл,
Эмзэг байдал, цоор-
хой, нөлөөлөл
Эрсдэлийг удирдах
хандлагаа бий
болгох, бодлого
боловсруулах
МАБ-ын хяналтын
хэрэгслүүдээ
сонгох
МАБ-ын удирдлагын
тогтолцооны
аудит

44. 44
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Бусад
Биет хамгаалалт
Гадаад сүлжээний холболтыг хязгаарлах
Ажилтнуудыг сургах
Зохион байгуулалтын арга хэмжээ
МАБ-ын цогц арга хэмжээ
2010
2009
2008
МАБ-ыг хангах арга хэмжээ

45. Deloitte&Touche-ийн Стивеном Российн санал болгосон график шинжилгээ.
1. Захиалгат ПХ, ТХ – хамгийн бага
үр нөлөө.
2. Үйлдлийн систем, ӨСУ системийн
өөрийн хамгаалалт – үнэ/чанарын
хамгийн сайн харьцаа
3. Зохион байгуулалтын арга хэмжээ
(аудит, эрсдлийн үнэлгээ, бодлого,
дэг, тасралтгүй ажиллагааны
төлөвлөгөө, дэг, журам) –
үнэ/чанарын хамгийн сайн
харьцаа
4. Өндөр үнэтэй, илүү үр нөлөөтэй хэрэгслүүд – IPS, SSO, PKI, DLP/ILP, МАБ-ын
цогц тогтолцоо. Эрсдлийн маш сайн үнэлгээ хийсний үндсэн дээр мөнгө
зарцуулах нь зүйтэй. Эрсдлээсээ үнэ нь давж болно.
МАБ-ын арга хэмжээний үр нөлөө
үнэ
Үр нөлөө
Суурь
хамгаалалтууд
2 Галтхана
анти вирус
VPN нөөц хуулбар
НТДБ-PKI
IPS МАБ-ын иж бүрэн
систем
Нэг удаагийн
хандалт
Бодлого, дэг
SSL
Тасралтгүй аудит, эрсдлийн
ажилгааны удирдлага
удирдлага

46. 3С ХХК-ийн санал болгож буй нэн даруй
хэрэгжүүлэх арга хэмжээ
• Стратеги, Бодлого, дэг,
• Эрсдлийн үнэлгээ, аудит, МАБ-ын хөтөлбөр
• Найдвартай, зөв архитектур,
• Мэдээллийн аюулгүй байдлын ойлголт, боловсрол,
сургалт;
• Зөв зүйтэй хэрэглээ;
• Хандалтын удирдлага
• Өөрийн вебийн аюулгүй байдал, вебээр дамжин орж
ирэх аюулаас хамгаалах
• Өгөгдлийн сан, Сервер болон терминалын
хамгаалалтын систем
• Бизнесийн тасралтгүй ажиллагааны удирдлага;
• Мэдээллийн аюулгүй байдлын будлианы удирдлага
46

47. 3С ХХК-ийн санал болгож буй цаашид үе
шаттай хэрэгжүүлэх арга хэмжээ
• DDoS-оос хамгаалах систем, Галт хана, халдлага
илрүүлэх систем (IPS), чиглүүлэгч
• VPN, тоон гарын үсэг, шифрлэлт
• МАБ-ын будлианы удирдлага, халдлагын мониторинг
• Хамгаалалтын хэрэгслийн конфигурацийн удирдлага,
хяналт
• Сүлжээний төхөөрөмжүүдийн төвлөрсөн удирдлага
• Сүлжээний байнгын мониторинг
• Чиглүүлэгчийн протоколын мониторинг, Дуут холбооны
хамгаалалт
• Техникийн эмзэг байдлын удирдлага, Мэдээллийн дэд
бүтцийн удирдлага
• Үүлэн тооцооллын аюулгүй байдлыг хангах арга
хэмжээ г.м.
47

48. 3С ХХК-ийн санал болгож буй нэн даруй
хэрэгжүүлэх арга хэмжээ
• Дараа үеийн Галт хана (халдалтыг илрүүлдэг сүлжээ хоорондын
дэлгэц);
• Хортой кодын эсрэг ПХ;
• Хандалтын хяналт;
• Хоёр бүрдэлтэй таньж зөвшөөрөх систем;
• Бейж (адилтгах карт);
• Биометр аргууд;
• Ухаалаг (смарт) карт унших систем;
• Биет хамгаалалт, харуул;
• Файлд хандах хандалтын хяналт;
• Шифрлэлт, тоон гарын үсэг, тоон гэрчилгээ;
• Ухамсартай, сайн сургаж бэлтгэсэн ажилтнууд;
• Халдалт, нэвтрэлтийг илрүүлэх систем;
• ПХ-ыг автоматаар шинэчлэх, сайжруулах, ПХ-ыг удирдах бодлого г.м.

49. …томоохон байгууллагад
Thick Client Browser VPN Mobile Portal
ERPПрограмууд SCM CRM Custom
Content
Mgmt
Агуулгын
түвшний
Info Rights
Mgmt
Analytics
& Reporting
Collab
SOAНийцүүлэх
шийдлүүд
BPM ESB
RDBMS
ӨС-ийн түвшний
шийдлүүд
XML
HardwareДэд бүтцийн шийдэл
үйлчилгээ
Software Storage Virtualization
LDAP Unstructured
Workflow
Аюулгүй
байдлын
шийдлүүд

50. Databases
Applications
Content
Infrastructure
Information
• Маскирование и преобразование
• Управление привилегированными
пользователями
• Многофакторная авторизация
• Аудит и мониторинг активности
• Безопасное конфигурирование
Identity Management
Information Rights
Management
Мэдээллээ хамгаалах
• Назначение/отзыв IT-привилегий
• Управление ролями
• Универсальная авторизация
• Контроль доступа с учетом рисков
• Виртуальные каталоги
• Аудит использования документов
• Предоставление и блокирование доступа
к документам
• Безопасность документов внутри и вне
межсетевых экранов
Database Security

51. Хэрэглээний програмуудын
аюулгүй хэрэглээ
Role Management Entitlements ManagementIdentity Management
Cryptographic Acceleration Key ManagementSecure OS & Virtualization
Database & Network Encryption
Strong AuthN and AuthZ, Auditing,
Firewall
Propagated Directories Data Access ManagementVirtual & Core Directories
Network Encryption
Strong AuthN and AuthZ,
JavaSecurity, SSO, SAML
Access Management Fraud PreventionIdentity Federation
Network Encryption
Strong AuthN and AuthZ,
JavaSecurity, SSO
Многоуровневаякластеризацияи
виртуализацияобеспечивают
отказоустойчивостьимасштабирование
Сквознаяинтегрированнаябезопасность

52. Safeguarding Your Computer
Practical Steps
• 1.Secure your computer (log out, lock the office)
• 2.Account management (user roles, permissions)
• 3.Use strong passwords
• 4.Get the latest updates
• 5.Install anti-virus and anti-spyware software
• 6.Use a firewall
• 7.Browse the Internet safely
• 8.Make regular backups
• 9.Secure wireless networks
• 10.Learn what to do if something goes wrong.
52

53. What Needs to be Protected?
• Your Identity, Your Privacy
• Your Personal Information, Your Money
–Others’ Identity, Information,
PrivacyThings Cal Poly has entrusted you with
– Your login - What you have access to
53

54. Safe Computing Practices
54

55. How do I Protect my Information?
• Keep your computer safe, protected:
• Use trusted software, keep your software
updated
• Run anti-virus, anti-spyware
• Be wary of suspicious emails, prompts for
updates, pop-ups, URLs or links
• Use strong passwords, keep portal password
unique
55

56. Keep Software Updated
• Run trusted software
• Regularly update your computer, software,
Operating system
• Browser
• Instant messenger
• Email
• Consult with your network administrator
56

57. Updating Software
57

58. Бусад програмын шинэчлэлт
58

59. Run Anti-Virus, Anti-Spyware
• Download it for free
at үйлдвэрлэгчийн
сайтнаас
• Keep definitions
updated Set to
automatic updates
59

60. Be Wary of Suspicious Emails, Links,
Updates
• It’s never appropriate or OK for someone to ask you for your
login and password in email
• Never provide your login and password in email
• Look at the address in the URL to figure out if it’s legitimate
• URLs with a lot of numbers and letters are usually a scam
• Google the address if you’re not sure
• Scam URL examples:
• http://online.ao.uk.citibank.kz/cgi
• http://swissbank.online.org/getyourwinnings.html
• http://165.256.115.60/wellsfargo.html
• http://www.kalamazoo.cz/www.bankofamerica.com/index.html
60

61. Scam Flash Player, Scam Anti- Virus
• Be CAUTIOUS when PROMPTED to update
anti-virus or flash player
• You never get software for nothing…
61

62. Scam Email
Dear Internet User
• We are happy to inform you that you have emerged winner of
$500,000.00 (Five Hundred Thousand US Dollars) in the European
Union Micro Project Award Draws.
• . . .
• To begin your claim, you are required to email the under listed
• information to our claims agent
• 1. Name and Address
– Nationality
– Age
– Occupation
– Phone/Fax
62

63. Caution: Fake Antivirus
63

64. Caution: Fake Antivirus Update
Don’t click on the link,
button
Your Clues:
1. Know what your updates
look like
2. Be suspicious if you are
prompted for updates
What you can do:
1. Run the software yourself
(not from the link) and
“check for updates”
OR
2. Go to software vendor
Website and check for
updates
64

65. Use Strong Passwords
• Use different passwords for different services
• Keep your Cal Poly portal password unique, don’t use it anywhere
else
– Use 1-2 alphabetic characters in a row, don’t use 3 in a rowa. Example:
Use rt, not rtU
– Use 1-2 numeric characters in a row, not 3a. Example: Use 39, not 391
or 4421
• Use special characters in your password
– Choose a password with at least 3 character types a. Lowercase
letters, numbers, special characters, uppercase letters
• Think of a phrase such as ‘Learn by Doing; for Cal Poly.’ Substitute
characters, numbers and special characters for the first letter of
each word in the phrase. For example: L-bd;4Cp.
• Change your password any time you suspect it has been
compromised
65

66. Identity Safety and Theft Prevention
• Invest in a shredder. Shred all documents that have
your personal information on it. Shred those pre-
approved credit applications you don’t want.
• Monitor your credit reports.
• Mail your bills at the Post Office close to pickup times.
• Don’t give out your Social Security number unless you
verify why it is needed, such as for bank accounts or
loans.
• Protect your purse or wallet and keep only necessary
information in it.
• Don’t respond to unsolicited e-mails or phone calls.
66

67. What we need is…
• …easy access to Cal Poly information and
resources for those who shouldhave it
• …extremely difficult for those who
shouldn’thave it
• The Cal Poly Password helps meet these
needs for campus services.
• Individually, needs are simple.
• Together, they pose a challenge.
67

68. Balancing The Needs
• Unrealistic Extremes:
• •easiest access = no password(like no locks on
your door)
• •strongest protection = long/random
password + token + retina scan + etc. (like
living in a bank vault)
68

69. Balancing The Needs
• The world is our neighborhood.
• Real solutions require tradeoffs based on
perceived risk: password guessing
69

70. The Balance Today
• One password, many services
• Strict password rules
• No retina scan or fingerprint required!
• Passwords usable indefinitely
• Next: Dan and changes to staybalanced.
70

71. A hard to guess password
can still be weak…
(Just because it’s
propaganda
doesn’t mean it’s
not true!)
71

72. Changes to Maintain Balance
• Password Expiration
– new password must be set yearly
– plenty of advance notice
• Acknowledge Policies
– those forms you don’t remember signing
• Later: changes to password rules, process
– we hope to make your life a little easier
72

73. If talk of changing passwords gives you
a sinking feeling….
73
(to further muddy the metaphor)

74. What is identity theft?
• •Legal definition:
• “Fraud related to activity in connection with
identification documents, authentication
features, and information”
• “Identity theft is the fastest growing crime in
America, with 9.9 million victims reported last
year”
74

75. Information theft…
Powerful information:
• –credit card accounts
• –bank accounts
• –passwords and PINs
• –SSN
• –driver’s license
75

76. Who perpetrates this fraud?
• •Anyone who has or can get access to your
information:
• –Insiders (local, or not)
• –Dumpster divers, burglars, pick pockets, etc.
(local, or not)
• –Criminal underground on the Internet
• •Out to get someone…
76

77. How they do it…
• •Phishing
• •Viruses/Worms/Trojans -Botnets
• •95% of email is SPAM
• Overview of criminal underground
Байнга санаж явах
• •Identity = information = money
• •You’ll do (so take precautions)
• •Be vigilant
• •Report suspicious activity
77

78. Спам
• Why Overpay for Designer Shoes?
78

79. Can You See the Difference?
79

80. Фишинг -
Verify Your Account Information
80

81. Why SPAM and Phishing?
• Low Risk + High Reward + Opportunity =
Criminal’s Dream
Someone is falling for it!
Who Perpetrates This Fraud?
• •Anyone who can send an email
• •People who send lotsof emails
• •90%+ email on Internet is SPAM/Phishing
• •Mostly sent via Botnets
81

82. Botnets (Hundreds of billions)
82

83. A Blessing and Curse…
83
•Компьютер авчихаад ашиглахгүй байх уу? Үгүй
• Don’t be a bot!
–Your ISP may have already contacted you…(but be sure!)
•Gain knowledge, be skeptical, use the tools
–…stay tuned

84. Social Networking How To Be Safe
On-Line
84
•Relationships between people
•Web site that knows who you know,
encourages interaction

85. Responsible Use: What’s Covered?
• •Authorized Use / Access•Data Security,
Confidentiality & Privacy•Electronic
Information Retention & Disclosure•Network
/ System Integrity•Commercial Use•Political
Advocacy•Harassment•Copyright & Fair
Use•Trademarks & Patents•Electronic
Communications•Web Sites & Accessibility to
Digital Content
85

86. Trusting Your Computer
• Practical Steps
• 1. Secure your computer (log out, lock the office)
• 2. Account Management (user roles, permissions)
• 3. Use strong passwords
• 4. Get the latest updates
• 5. Install anti-virus and anti-spywaresoftware and
• keep their definitions updated
• 6. Use a firewall
• 7. Browse the Internet safely
• 8. Make regular backups
• 9. Secure wireless networks
• 10. Learn what to do if something goes wrong
86

87. Facebook-д та яах ёстой вэ?
87

88. 10 Privacy Settings Every Social Networking
User Should Know
• 1: Use friends list
88

89. 10 Privacy Settings Every Social Networking
User Should Know
89
2: Remove yourself
from Facebook
search results
Default is set to
“network”

90. 10 Privacy Settings Every Social Networking
User Should Know
90
3: Remove yourself
from the Google
search engine
Turn off “create a
public search
listing…”

91. 10 Privacy Settings Every Social Networking
User Should Know
91
4: Avoid
embarrassment
from photo/video
tags
Set as: Custom
Only Me
None of My
Networks

92. 10 Privacy Settings Every Social Networking
User Should Know
92
5: Protect your photo
albums
–
Manually configure the
visibility of each album
–
Be sure to check visibility
settings each time you
upload a new photo
album

93. 10 Privacy Settings Every Social Networking
User Should Know
93
6: Prevent stories from showing up in friends’ news feeds

94. 10 Privacy Settings Every Social Networking
User Should Know
94
7: Protect against
published
application stories
If you add an
application, scan
your profile

95. 10 Privacy Settings Every Social Networking
User Should Know
95
8: Make your
contact information
private
Only make email &
phone numbers
available to close
contacts

96. 10 Privacy Settings Every Social Networking
User Should Know
96
9: Avoid
embarrassing wall
posts
Prevent your wall
posts from being
announced in
friends’ news feeds
Turn off relationship
status

97. 10 Privacy Settings Every Social Networking
User Should Know
97
10: Keep your
friendships private
Not everyone
wants to live public
lives!

98. Анхаарал тавьсанд баярлалаа
www.sssmn.com
info@sssmn.com
70113151
98

99. Questions
99