Mais conteúdo relacionado
Semelhante a Г.НОМИН-ЭРДЭНЭ - МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БОДЛОГЫН СУДАЛГАА (20)
Г.НОМИН-ЭРДЭНЭ - МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БОДЛОГЫН СУДАЛГАА
- 1. МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БОДЛОГЫН СУДАЛГАА
Г.НОМИН-ЭРДЭНЭ
Монгол Улс, ШУТИС-КТМС, Мэдээллийн Системийн Менежмент
E-mail: nimo_bill@yahoo.com
Хураангуй
Сүүлийн жилүүдэд гар утас, интернэт, э-шуудан, онлайн банкны үйлчилгээнүүд, худалдаанууд
зэрэг нь компьютерийн маш олон төрлийн системүүдэд нарийн хамааралтай болж бидний
амьдралын салшгүй чухал хэсэг болоод байна. Системүүд илүү нарийн цогц болон хөгжиж
томрохын хирээр аюулгүй байдлын эрсдэл мөн түүнийг даган нэмэгдэж байна. Байгууллагууд
болон тэдний системүүдэд аюулгүй байдлын тохиолдлууд өдөр бүр тохиолдох болж тэдний
эргэн тойронд эмзэг байдлын халдлагууд бий болж байна. Тиймээс энэхүү ажилдаа мэдээллийн
аюулгүй байдлыг хэрхэн хангах, МАБ-ЫН бодлогын арга хэмжээг байгууллагат тусган харуулахыг
зорьлоо.
ОРШИЛ
Энэхүү ажлын сэдвээрээ мэдээллийн аюулгүй байдлын бодлого сонгосон бөгөөд технологийн
хөгжлийн үедээ явж байгаа манай оронд тодорхой хэмжээний аюул заналхийллийг дагуулж байна.
Урьд цагт “цаг бол алт” гэж ярьдаг байсан үе өнгөрч “мэдээлэл нь алт ” болон хэмжигдэх болсон
цагаас эхлэн мэдээллүүдэд технологийн тусламжтайгаар болон өөр бусад зүйлээс шалтгаалсан
төрөл бүрийн аюул заналхийлэлүүд учрах болсон. Мэдээлэл нь байгууллагын үйл ажиллагаа, ажил
хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой. Энэ нь
улам бүр хамаарал, холбоотой болж буй ажил хэргийн ертөнцөд маш чухал болж байна. Ө
сөн
нэмэгдэж буй хамаарлын улмаас улам бүр олширч буй олон янзын аюул заналхийлэлд мэдээлэл
өртөгдөж байна. Олон янзын гарал үүсэлтэй аюул заналхийлэл, тухайлбал компьютер ашигласан
залилан, тагнах турших, хууль бусаар нэвтрэн орох, мэдээлэл устгах, өөрчлөх, хуулбарлах болон
- 2. гал түймэр, үер нэн ялангуяа гадны кибер довтолгоо зэрэг аюулууд байгууллагат болон түүний
мэдээллийн систем, сүлжээнд бэрхшээл учруулж байдаг.
Хохирлын шалтгаан болж буй нянтай програм, хортой програмууд, компьютер сүлжээнд хууль
бусаар нэвтрэх орох халдлага, үйлчилгээг бусниулсан довтолгоонууд нийтийгхамрсан шинжтэй,
илүү шунахай илүү төвөгтэй, нарийн болж байна. Иймээс мэдээллийн аюулгүй байдлыг хангах нь
зайлшгүй шаардлагатай гэж үзлээ.
Монгод одоогийн мэдээллийн аюулгүй байдлын мэргэжилтнүүд төдийлөн хангалттай бэлтгэгдэн
гараагүй байгаа бөгөөд байгууллагууд мэдээллийн аюулгүй байдлын талаар ойлголт явцуухан сул
байгаа. Зарим байгууллагууд одоогоор МАБ-ын бодлого, зохицуулалт, хяналтын тогтолцоог
бүрдүүлээгүйгээс онц чухал мэдээллүүд алдагдах болжээ. Үүнээс үүдэн мэдээлллийн аюулгүй
байдлын эрсдэлд орж хохирол үзэх аюулыг дагуулж байна.
1. ҮНДСЭН ХЭСЭГ
1.1. Мэдээллийн аюулгүй байдал, түүний тухай ойлголт
Мэдээллийн аюулгүй байдал гэдэг нь ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах,
хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээллийг олон янзын
аюул заналхийллээс хамгаалах ажиллагаа юм. Мэдээлэл болон мэдээллийн системийг
зөвшөөрөгдөөгүй халдалт, хулгай, физик эвдрэлээс хамгаалахад хэрэглэгдэж буй стратеги,
бодлого, процедур, механизм болон технологийн хэрэгслүүдийн ойлголтуудыг МАБ-д багтаана.
Мэдээлэл янз бүрийн хэлбэрээр оршин байж болно. Тэрээр цаасан дээр хэвлэгдсэн,
бичигдсэн, цахим хэлбэрээр нөөцлөгдсөн, дамжуулагдсан, янз бүрийн хальсан дээр бичигдсэн,
эсвэл хүмүүсийн хооронд ярагдсан байж болно. Мэдээлэл ямар хэлбэрээр бэхжсэнээс, ямар
хэрэгслээр бүтээгдэж хадгалагдсанаасаа үл хамааран зохих ёсоор хамгаалагдсан байх ёстой.
Мэдээллийн аюулгүй байдал /МАБ/ хамгаалагдсан бахын тулд дараах 5 шаардлагыг хангсан байх
ёстой. Үүнд:
Нууцлал
Бүрэн бүтэн байдал
Хүртээмжтэй байдал
Хууль ёсны байдал
- 3. Тасралтгүй байдал
1.2. Монгол Улсын байгууллагууд Мэдээллийн аюулгүй байдлын хэрэгцээ
Мэдээллийн аюулгүй байдал нь төрийн болон бизнесийн аль салбарт маш чухал. Тухайлбал цахим
засгийг бий болгох, цахим бизнесийг хөгжүүлэх, зохих эрсдлийг арилгах, багасгахад туслан
үйлчилдэг.
Төрийн болон хувийн салбарын харилцаа холбоо нэмэгдэж, мэдээллийн нөөцийг хамтран
ажиллаж байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд учирч буй саадыг нэмэгдүүлж байна.
Компьютер улам бүр олширч, тархан дэлгэрч буй хандлагын улмаас төвлөрсөн, тусгай хяналтын үр
дүн буурч байна.
Мэдээллийн олон систем аюулгүй байдлын шаардагуудыг хангахааргүй зохион бүтээгджээ. Техник
хэрэгслийн тусламжтайгаар хангаж болох аюулгүй байдлын боломж хязгаарлагдмал учир зохих
удирдлага дэг журам зайлшгүй шаардлагатай. Түүнчлэн үүсгэн байгуулагч, хувьцаа эзэмшигчид,
гуравдагч этгээд,хэрэглэгчид, үйлчлүүлэгчид болон бусад талуудын оролцоо шаардагдаж болно.
Гадны байгууллагын мэргэжилтний зөвөлгөө зайлшгүй шаардлагатай.
Мэдээллийн аюулгүй байдлын үндсэн алхмууд
Төлөвлөх
Циклийн процессыг үргэлжлүүлэх
1.
2.
3.
Бодлого, процедур (зааварчилгаа),
зөвлөмжүүдийг сайжруулах
АБ-ын арга, хэрэгсэлийг тохируулах
Эмзэг сул талыг шинжлэх, үнэлэх
Хэрэгжүүлэх
4. Нэвтрүүлэлт болон туршилтыг хийх
Хянах
Үнэлэх
- 4. Зураг 1.2 Аюулгүй байдлын үйл ажиллагааны процессын урсгал
1. Төлөвлөх- Бодлого процедур, зөвлөмжүүдийг боловсруулах
2. Хэрэгжүүлэх-Бодлого
процедур,
зөвлөмжүүдийг
хэрэгжүүлэх,
аюулгүй
байдлын
бүрэлдэхүүн хэсгүүдийг загварчлах, хэрэгжүүлэх
3. Хянах-Мэдээллийн системийг аюулгүй байдлын бүрэлдэхүүн хэсгүүдийг хамгаалж буйг
батлахын тулд удирдан зохион байгуулах
4. Үнэлэх-Аюулгүй байдлын хэмжигдэхүүний ашигт байдлыг үнэлэх
2. СУДАЛГААНЫ ХЭСЭГ
2.1. Эх нялхасын Нөхөн Үржихүйн Зөвлөх Поликлиник нь HIS2013 гэсэн програмыг өөрийн
байгууллагатаа нэвтрүүлж эхлээд байгаа юм. Уг програм нь өвчтөнийн мэдээллийг бүртгэж
өгөгдлийн сан бүрдүүлэх зорилготой юм. Эмч, ажилтаны ажлыг хөнгөвчлөх, эрдэм
шинжилгээ, судалгааны ажил хийх үндсэн суурь нөхцлийг бүрдүүлж байгаа юмаа.
НҮЗП-ийн Мэдээллийн Аюулгүй Байдлын одоогийн нөхцөл байдалд үнэлгээ өгөх, аюулгүй
байдлын бодлого боловсруулахдаа дараах асуудалуудыг судалгаа, ярилцлага, тандалтаар
тодруулсан үр дүнг дүнгэж үзүүлэе.
1. Програмаар боловсруулагдсан электрон мэдээллийг ялгаж ангилж байгаа байдлыг
тодруулахад эмч ажилчдын 28хувь нь мэдээллийг ангилж, харин ажилчдын 72хувь нь
мэдээллээ ангилж хадгалдаггүй үзүүлэлт гарсан
байна. Ажилчид өөрийн ажлын бичиг
баримтаа ангилахгүйгээс болж эмх цэгцгүй байдал үүсч эргээд мэдээллээ хайхад хүндрэлтэй
байдаг. Энэ нь ажлын цаг зарцуулалтанд нөлөөлдөг. Тиймээс аливаа мэдээллээ ангилан ялгаж,
эмх цэгцтэй байдлыг бий болгох шаардлагатай юм.
2. Ажилчдын хувийн компьютероо албан ажилдаа ашиглах шаардлага гардаг эсэхийг
тодруулахад ажилчдын 60хувь нь ашигладаг, 30хувь нь заримдаа, 10 хувь нь үгүй гэсэн
судалгааны үр дүн гарсан байна. Үүнээс үүдэн байгууллагын мэдээлэл алдагдах явдал гарч
болзошгүй тул ажилчдын өдөр тутмын үйл ажиллагаанд хяналт тавих шаардлагатай.
3. Электрон мэдээлэл ямар нэгэн байдлаар алдагдах тохиолдол гарч болдоггүй гэдгийг
тодруулан авч үзэхэд эмч, ажилчдын 30% нь болно, 35% нь магадгүй, мөн 35% үгүй гэсэн
- 5. хариултыг өгсөн болно. Мэдээлэл ямар хэлбэрээр бэхжиж, ямар хэрэгслээр бүтээгдэж
хадгалагдсанаасаа үл хамааран зохих ёсоор хамгаалагдсан байх ёстой. Иймээс мэдээлэл ямар
нэгэн байдлаар алдагдахаас урьдчилан сэргийлэх явдал чухал.
4. Мэдээллийн аюулгүй байдлын(МАБ) талаар ямар ойлголттой байдгыг
ажилчдаас судлан
үзэхэд 33% нь мэдэхгүй, мөн 33% нь бага зэрэг мэднэ, 28% нь дунд зэрэг мэддэг, харин 6% нь
тодорхой мэдлэгтэй гэж
хариулсан байна.Үүнээс үзэхэд НҮЗП-ийн ажилчдын аюулгүй
байдлын мэдлэг сул болох нь судалгааны үр дүнд гарсан байна. Тиймээс уг байгуулагат (МАБ)ын эрсдэл гарах боломж өндөр байгаа юмаа. Иймээс ажилчдад аюулгүй байдал байгууллагат
хэрхэн чухал болохыг ойлголуулах,сургалт арга хэмжээ авах шаардлагатай юм.
5. Мөн НҮЗП-ийн байгууллагат МАБ-ын үзэл баримтлал, бодлого байгаа эсэхийг асуун
тодруулахад судалгаанд орлцогчдын 85% нь мэдэхгүй, 15 нь байдаг хэрэгжилт сул гэсэн
үзүүлэлт гарсан байна. Иймээс байгууллагатаа мэдээллийн аюулгүй байдлын үндёэн
алхмуудыг хэрэгжүүлэн ашиглах шаардлагатай. Үүнд:
Төлөвлөх- Бодлого процедур, зөвлөмжүүдийг боловсруулах
Хэрэгжүүлэх- Бодлого процедур, зөвлөмжүүдийг хэрэгжүүлэх, аюулгүй байдлын
бүрэлдэхүүн хэсгүүдийг загварчлах, хэрэгжүүлэх
Хянах- мэдээллийн системийг аюулгүй байдлын бүрэлдэхүүн хэсгүүдийг хамгаалж
буйг батлахын тулд удирдан зохион байгуулах
Үнэлэх- аюулгүй байдлын хэмжигдэхүүний ашигт байдлыг үнэлэх зэргийг авч үзэн
байгууллагат тусгавал зүйтэй.
6. HIS2013 програмыг ажилуулснаар ажилчдын ажлын гүйцэтгэлд гарч буй ололт давуу талуудыг
тодруулан үзэхэд:
a. Ө
вчтөнийг товлолоор үзэж үйлчлэхэд хялбар
b. Ө
гөгдлийг оруулахад бэрхшээлгүй
c. Ө
вчтөний мэдээлэлийг хадгалдаг нь хэрэгтэй
d. Ө
вчтөнийг давтан үзэхэд мэдээлээ хадгалсан нь хэрэг болдог
e. Ө
вчтөний тухай мэдээлэл цаасан хэлбэрээс цахим хэлбэрт шилжиж байгаа нь сайн гэсэн
давуу талуудыг судалгаанд оролцогчдийн 86% тэмдэглэсэн байна.
7. Мөн HIS2013 програмыг ажиллуулахад гарч буй бэрхшээлээс тодруулан судлан авч үзэхэд:
a. Ө
гөгдлийг оруулах хэлбэр нь их цаг зарцуулдаг
- 6. b. Мэдээллийг оруулж хадгалахад алдаа гардаг
c. Мэдээллийг цахим хэлбэрт оруулаад мөн ЭМЯ-ны тушаалын дагуу өвтөний тухай
мэдээллийг дахин цаасан дээр тэмдэглэдэг нь нэг ажлыг 2 удаа хийж хугацаа их
зарцуулдаг
d. Статистик мэдээлэл цуглуулахад цаасан хэлбэрийг илүү хэрэглэдэг гэсэн гарч буй
бэрхшээлүүдийг судалгаанд оролцогчдийнх нь
ихэнх хувь буюу 90% нь нэрлэсэн
байна.
Эд хөрөнгийн зохистой удирдлага нь байгууллагын амжилттай ажиллагааны үндэс бөгөөд
удирдлагын бүх шат дамжлагын хэрэгжүүлэх үүрэг байдаг. НҮЗП-д хамгаалагдах ёстой дараах эд
хөрөнгө байна.
Биет эд хөрөнгө /тоног төхөөрөмж, техник хангамж, байр байшин/
Мэдээлэл / бүх төрлийн бичиг баримт, өвчтөний мэдээлэл/
Хүний нөөц/эмч, сувилагч,ажилтнууд/
НҮЗП-д баримт бичигтэй холбоотой эмзэг сул байдлын хувьд устгах, хуулбарлахад хяналт сул,
хүнтэй холбоотой эмзэг, сул байдлын хувьд аюулгүй байдлын сургалт байхгүй, аюулгүй байдлын
мэдлэг хомс, зөв ашиглалтын бодлого аюулгүй байдлын журам байхгүй.
Энэ бүхнээс үзвэл НҮЗП-д МАБ-ын эрсдэл ерөнхийдөө их, эмзэг сул байдал ажиглагдаж байна.
Иймээс МАБ-ын бодлого боловсруулах, түүндээ тулгуурлан дэг журмаа гарган хэрэгжүүлэх
шаардлага тулгарч байна.
Дээрх судалгаанаас үзэхэд дараах мэдээллийн аюулгүй байдлын бодлогыг хэрэгжүүлж эхлэх
шаардлагатай байна.
3. МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БОДЛОГО
Эх нялхасын НҮЗП-ийн мэдээллийн аюулгүй байдлын бодлого
3.1.1.
Бодлогын бүтэц
- 7. Энэхүү баримт бичиг нь НҮЗП-ийн мэдээллийн аюулгүй байдлын баримт бичиг юм. НҮЗП-ийн бүх
нэгж хэсгүүдийн үйл ажиллагааны зорилго дээр үндэслэн мэдээллийн аюулгүй байдлын
шаардлагуудыг нарийвчлан тодорхойлох түүний хяналтыг хэрэгжүүлэх аргыг тодорхойлох.
Үүнд:
1. Эд хөрөнгийн чухал шинж болох аюулгүй байдлын ангилалд тулгуурлан эд хөрөнгийн
хамгаалалтын түвшинг тодорхойлсон байх
2. Мэдээлэл боловсруулах хэрэгслүүдтэй холбоотой бүх мэдээлэл болон эд хөрөнгийг
байгууллагын ажилтнуудад эзэмшүүлэн хариуцсан байна. Мэдээлээ боловсруулах
хэрэгслүүдтэй холбоотой мэдээлэл болон эд хөрөнгийг зохих ёсоор ангилагдсан эсэхийг
нягтлах
3. Байгууллагын бүх ажилтнуудад аюулгүй байдлыг мэдлэг олгох сургалтанд хамрагдаж
өөрсдийн ажлын чиг үүрэгтэй холбоотой
бюулгүй байдлын бодлогр, журмын тухай
мэдлэгийг олж авах
Энэхүү бодлого нь дотоод гаднаас учрах аюул заналаас хамгаалах зорилготой ба дараах зүйлсийг
хэлэлцдэг.
Чухал мэдээллүүд болон мэдээллийн ашигтай байдал, бүрэн бүтэн байдал халдашгүй
байдлыг хамгаалахын тулд НҮЗП-ийн аюулгүй байдлын бодлогыг тодорхойлдог.
Мэдээллийн аюулгүй байдлыг хариуцлагатай бий болгох
Мэдээллийн аюулгүй байдлын удирдлагын системийн бодлог тодорхойлох
Дүгнэлт
Аюулгүй байдлын бодлого, үйл явц дэг журам, зохион байгуулалтын бүтэц болон програм
хангамж, техник хангамжийн үүргүүдийг багтаасан зохих хяналт, удирдлагын багцыг хэрэгжүүлэх
замаар мэдээллийн аюулгүй байдлыг хангаж чадна. НҮЗП нь удирдлагад мэдээллийн аюулгүй
байдлын бодлогыг албан ёсоор илэрхийлсэн болон үндсэн чиглэлээ тодорхойлоход уг
судалгаагаар эд хөрөнгийн бүртгэлийг хийх түүний мэдээллийн хөрөнгө болох мэдээллийн
ангилалыг
нарийн тодорхойлох шаардлагатай гэж үзсэн болно. Үүнээс цаашид мэдээллийн
аюулгүй байдлын эхлэлийн цэгийг тодорхойлон гаргаж өгч байгаа юм.
- 8. Ном зүй:
1. Мэдээллийн аюулгүй байдлын стандарт - Мэдээллийн аюулгүй байдлын удирдлагын үйл
ажиллагааны дүрэм MNS/ISO 17799 : 2007
2. Мэдээлэл, Харилцаа Холбоо Технологийн Газар, www.icta.gov.mn
3. Компьютерийн статистик мэдээ, МБАХ, ҮТЕГ, 2006 оны 4-р сар
4. Цахим Монгол Хөтөлбөр, Монгол Улсын Засгийн Газар
5. Information and Communications Technology Authority, Korea IT Industry Promotion Agency, EGovernment Master Plan of Mongolia, (April 2005)