МЭДЭЭЛЛИЙН ТЕХНОЛОГИ БОЛОН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН АУДИТ
Аж үйлдвэрийн нийгмээс мэдээллийн нийгэм, эринд шилжиж буй өнөө үед мэдээлэл маш олон хэлбэртэй болж, олон янзын онлайн ажил, үйлчилгээ, бизнес, худалдаа хүчтэй хөгжиж, цахим байгууллагууд олширч, төрийн удирдлага ч мэдээллийн технологи дээр суурилж, цахим засаг хөгжиж байна. Мэдээллийн урсгал эрс нэмэгдэж, тоон эдийн засаг хурдан хөгжиж, өсөж, онлайн хэлцэл, гүйлгээ давамгайлах болж байна. Тиймээс аливаа хувь хүн, байгууллага, улс нийгэм, бүс нутаг, дэлхийн хөгжил дэвшил, сайн сайхан байдал мэдээллийн технологиос шууд хамааралтай болж, түүн дээр тулгуурлах болжээ. Эдийн засгийн хөгжлийн нэг үндсэн хөдөлгүүр нь мэдээллийн технологи боллоо гэдгийг НҮБ хүлээн зөвшөөрсөн байна. Монгол улс ч эдийн засгийн хөгжил цэцэглэлд хүрэхийн тулд мэдээллийн технологийг нийгмийн амьдралын бүх салбарт хүчтэй нэвтрүүлж, эдийн засгийн хөдөлгүүр болгон хувиргах зорилгыг дэвшүүлээд байгаа билээ.
Дараах хүснэгтэнд Байгууллагын мэдээллийн технологийн асуудлыг удирдах ажилтан бүр ойлгон, дэмжиж явах шаардлагыг харуулсан байна.
Удирдах ажилтнуудын Мэдээллийн Технологийн удирдлагад оролцох оролцоо | ||||
МТ-ийн удирдлагын асуудлууд |
Хэн хэрхэн оролцох вэ? | |||
Удирдах зөвлөл | Бизнес захирал, менежер | МТ-ийн захирал, менежер | Аудит, хяналтын захирал | |
Төлөвлөх болон зохион байгуулах | ||||
МТ болон бизнесийн стратеги нийцэж байна уу? | + | + | + | |
Дотоод болон гадаад нөөцийг зохистой, үр дүнтэй ашиглах түвшинд хүрсэн үү? | + | + | + | + |
Байгууллагын ажилтан бүр МТ-ийн зорилгыг ойлгож байна уу? | + | + | + | + |
Байгууллагын эрсдэлд МТ-ийн үзүүлэх нөлөөллийг ойлгож байна уу? МТ-ийн эрсдлийн удирдлагын талаар хүлээх үүрэг хариуцлагыг тогтоосон уу? | + | |||
МТ-ийн эрсдлийг ойлгож, зохих ёсоор удирдаж байна уу? | + | + | + | |
МТ-ийн системүүдийн чанар бизнесийн шаардлагад нийцэж байна уу? | + | + | ||
Худалдан авах, хэрэгжүүлэх | ||||
Шинэ төхөөрөмж, систем, шийдэл, төсөл танай бизнесийн хэрэгцээнд нийцсэн шийдэл бий болгож байна уу? | + | + | ||
Цаг хугацаандаа, төсөвтөө багтсан шийдэл бий болгож байна уу? | + | + | + | |
Хэрэгжүүлсэн хойно шинэ систем зохих ёсоор ажиллаж байна уу? | + | + | + | |
Оруулсан өөрчлөлтүүд манай хувийн бизнес ажиллагааг өөрчлөөгүй | + | + | ||
Үйлчилгээ үзүүлэх, дэмжих | ||||
МТ-ийн үйлчилгээ танай бизнес шаардлага болох эрхэмлэх зүйлтэй нийцэж байна уу? | + | + | ||
МТ-ийн зардал зохистой байна уу? | + | + | + | |
Ажилтнууд МТ-ийн бүтээмжтэй, аюулгүй ашиглаж чадаж байна уу? | + | + | ||
Нууцлал, бүрэн бүтэн болон хүртээмжтэй байдал хангагдаж байна уу? | + | + | + | |
Мониторинг хийх, үнэлэх | ||||
МТ-ийн бүтээмжийг хэмжиж чадах уу? асуудлыг цаг алдалгүй илрүүлж чадах уу? | + | + | + | |
Дотоод хяналт үр дүнтэй хэрэгжиж байна уу? | + | + | ||
Зохицуулалтын шаардлагуудтай байгууллага нийцэж байна уу? | + | + | + | + |
МТ-ийн удирдлага үр нөлөөтэй байна уу? | + | + | + | + |
Мт-ийн эрсдэл зохих түвшинд оршиж, удирдагдаж байна уу? | + | + | + | + |
Мэдээлэл, мэдээллийн технологи, мэдээллийн систем, сүлжээ нь аливаа байгууллагын маш чухал, үнэт эд хөрөнгө гэж тооцогдох болсон ба түүнийг хулгайлах, хуулбарлах, гэмтээх, эвдлэх, өөрчлөх, устгах нь байгууллагын ашиг сонирхол, түүний үйлчлүүлэгчид, хэрэглэгчдийн эрх, эрх чөлөө, ашиг, сонирхол төдийгүй үндэсний аюулгүй байдлыг ноцтойгоор хөндөх хэмжээнд хүрчээ. Тиймээс мэдээллийн аюулгүй байдал нь нэг хувь хүн, нэг байгууллага, нэг улс төдийгүй дэлхийн хамтын нийгэмлэгийн чухал асуудал хэмээн тооцогдож байна.
Гэвч сайн юманд саар зүйл заавал дагалддаг зүй тогтлын дагуу МТ-той холбоотой төрөл бүрийн гэмт үйлдэл, хэрэг, зөрчил, будлиан учрал, сүлжээгээр дамжин орж ирэх халдлага, довтолгоон, жилээс жилд эрс нэмэгдэж байна.
Интернет болон бүс нутаг, байгууллагын сүлжээ, системийн хэрэглэгчид олширч, цахим үйлчилгээ, хэлцлийн тоо өсөх тусам мэдээллийн болон сүлжээний аюулгүй байдлын асуудлууд улам бүр ноцтой болж байна.
Мэдээллийн технологи, дэлхий нийтийн холбоо харилцааг өргөнөөр ашиглах нь гарцаагүй бөгөөд зохистой гэдэг нь тодорхой учраас МАБ-ын аюул, заналхийллийг бид тойрон гарах арга байхгүй. Энэ аюул Монгол улсад тулгарчихсан, хувь хүн байгууллага төдийгүй үндэсний аюулгүй байдал, улсын тусгаар тогтнолд заналхийлж байгаа боловч бид үүнийг бүрэн мэдэрч чадаагүй яваа нь бүр ч аюултай байна. Хувийн компьютер дээрх мэдээллээ устгуулах нь түүний эзэмшигч болон уг мэдээлэлд холбоотой бусад байгууллага, иргэдэд хохирол учруулдаг бол төрийн удирдлагын байгууллага, онц чухал дэд бүтэцтэй байгууллагын систем доголдох, саатах, чухал мэдээлэл алдагдах, устах нь нийгмийн ашиг сонирхол, үндэсний аюулгүй байдлыг хөндөж, улсын тусгаар тогтнолд ч заналхийлдэг. МАБ-ын довтолгооныг зүгээр нэг танхай хакер төдийгүй өрсөлдөгч байгууллагууд, тусгай албад гүйцэтгэдэг болсныг онцгойлон анхаарах хэрэгтэй. Аливаа улсад зэвсэгт хүчин, цагдаа, тагнуул, онц байдал, гамшгийн удирдлага, тогтолцоо байдагтай нэгэн адил мэдээллийн аюулгүй байдал, түүнийг хэрэгжүүлдэг тогтолцоо, байгууллагууд байх зайлшгүй шаардлагыг мэдээллийн нийгэм бий болгож байна.
Байгууллагын Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны эхлэлийн цэг нь мэдээллийн аюулгүй байдлын аудит байдаг.
Олон төрлийн аудит хийгдэж байна.
Байгуулагууд Мэдээлэл хамгаалах олон арга хэрэглэдэг. Түүнийгээ үр дүнтэй хэмээн итгэдэг. Гэтэл бодит байдал дээр маш эмзэг, цоорхой ихтэй эрсдэлтэй байдаг ба худал дүгнэлт хийсэн нь аудитын үр дүнгээр батлагддаг. Худал дүгнэлтийн хор уршиг, үр дагавар их.
Мэдээллийн аюулгүй байдлын аудит
Аливаа байгууллагын хяналтын заавал байх нэг механизм нь МАБ-ын аудит юм. Дотоод аудитыг байнга болон сар бүр хийж байхаас гадна бие даасан гадны шинжээчдээр жилд нэгээс доошгүй удаа хийлгэх ёстой. Аудитын ачаар байгууллагын удирдлага, хувьцаа эзэмшигчид, дээд байгууллагууд МАБ-ын бодит байдлын талаар үнэн мэдээлэл авах боломжтой болдог.
МАБ-ын аудит нь захиалагчтай тохиролцсон төлөвлөгөө, сонгосон аргачлал, шалгуурын дагуу байгууллагын МАБ-ын бүх асуудлыг шинжлэн судах багц ажлуудаас бүрддэг. Аудитын үндсэн зорилго нь:
Аудитын үндсэн бүтээгдэхүүн нь “Аудитын тайлан” байна. Тайланд МАБ-ын өнөөгийн байдал, илрүүлсэн эмзэг сул байдлууд, аудитын шалгууруудад нийцэхгүй байгаа зүйлс, тэдгээрийг арилгах зөвлөмжийг тусгасан байна.
Техникийн аудит хийх, мэдээллийн системийн хамгаалагдсан байдлыг шинжлэхийн тулд манай мэргэжилтнүүд хамгийн орчин үеийн арга, аргачлал, техник хэрэгсэл, програм хангамж болон Open-Source Security Testing Methodology Manual (OSSTMM), SANS Top Twenty Vulnerabilities List, CVE, CERT Bulletines, SANS SCORE, CIS Security Benchmarks, Nessus болон бусад эх сурвалжийг ашигладаг.
“ССС” ХХК-нь байгууллагын МАБ-ын төлөв, системийн хамгаалагдсан байдлыг бүрэн дүүрэн, бодитойгоор үнэлэх, оршин буй асуудлуудыг тодруулах, хамгийн зөв стратеги сонгох, хөтөлбөр боловсруулах боломжийг олгодог МАБ-ын иж бүрэн аудитын үйлчилгээг санал болгож байна. Энэ хүрээнд техникийн аудит, МАБ-ын удирдлагын механизм, зохион байгуулалт, бодлого, баримт бичгийн шинжилгээ хийж хэм хэмжээний актуудад нийцэж буй нийцлийг үнэлж, оршин буй эрсдлийг боловсруулах боломжийг тодруулдаг.
Манай компанийн санал болгож буй сүлжээний хамгаалагдсан байдлын аудитын зорилго нь байгууллагын мэдээллийн систем гадны, тухайлбал Интернетээр дамжин орж ирэх халдлага, довтолгооноос хамгаалагдсан түвшинг үнэлэх зорилготой. Боломжит халдагчийн зайнаас халдах үйлдлийг дууриалган үйлдэх (penetration test), хамгаалалтын хэрэгслүүдийн тохируулгыг шинжлэх замаар энэ үнэлгээг хийдэг. Энэ үнэлгээг хийхийн тулд манай мэргэжилтнүүд сүлжээний тандалт, шиншилтийн хамгийн орчин үеийн цогц програм хангамж, хэрэгслүүдийг ашигладаг.
Аудитыг захиалагчийн байрлалд очилгүй зайнаас хийх бүрэн боломжтой. Аудитын үр дүнд тайлан гарах ба тайланд сүлжээ, системийн хамгаалагдсан байдал, илрэн гарсан эмзэг сул байдал, хамгаалалтыг сайжруулах зөвлөмжийг тусгана.
Байгууллагын МТ-ийн дэд бүтцийн хамгаалагдсан байдлын шинжилгээ гэдэгт техникийн аудитын цогц арга хэмжээг ойлгодог. Тухайлбал:
Шинжилгээний эдгээр аргыг хэрэглэх үед хамгаалалтын системийн идэвхтэй болон идэвхгүй тестийн хэрэгслүүд, тухайлбал сүлжээний сканер, хамгаалалтын шинжилгээний хэрэгслүүд, нууц үг эвдлэгчид, програмын тусгай агентуудыг ашигладаг.
Сүлжээний хамгаалалтын аудитын нэг хэсэг болох систем, сүлжээний эмзэг сул байдал, цоорхойг програм техникийн хэрэгслийн тусламжтайгаар илрүүлэх, шинжлэх үйлчилгээг м анай компани санал болгож байна.
МАБ-ын зохион байгуулалтын түвшин, механизмыг үнэлэх шалгуурыг олон улсын ISO 27001.2005 стандартын монгол хувилбар болох MNS 27001.2009 стандартад бүрэн тусгаж чадсан байдаг.
Эдгээр шаардлагад аливаа байгууллагын МАБ-ын удирдлагын тогтолцоо нийцэж байгаа эсэхийг үнэлэх (gap analysis) аудит хийх болон эрсдлийг үнэлэх (risk assessment) үнэлгээг тусгайлан боловсруулсан анкетийн дагуу асуулга авах, програмын тусгай хэрэгсэл ашиглах замаар хэрэгжүүлнэ. Аудитын үр дүнгийн дагуу тайлан гаргана. Тайланд стандарт болон бодит байдлын хоорондын зөрүүг тодруулж, эрсдлийг бууруулах төлөвлөгөө, дутуу механизмыг хэрэгжүүлэх зөвлөмжийг тусгадаг. Стандартад нийцэх нийцлийн аудит нь МАБ-ын удирдлагын тогтолцоо бий болгох эхлэлийн цэг, олон улсад хүлээн зөвшөөрөгдсөн гэрчилгээ авах бэлтгэл шат болдог учир манай компани уг аудитыг өндөр түвшинд гүйцэтгэх үйлчилгээг санал болгож байна.
МАБ-ын аудитын чухал бүрдэл хэсэг нь Монгол улсад үйлчилж буй, шинээр батлагдах хуулиуд, нийтээр даган мөрдөх актуудын заалтуудтай МАБ-ын удирдлагын тогтолцоо нийцэж буй эсэхийг үнэлэх шинжилгээ байдаг.
МАБ-ын аудит явуулах үед Мэдээллийн Системийг үнэлэх шалгуур нь олон улсын стандартын шаардлага, монгол улсын хууль тогтоомжийн заалтууд болно. Манай компани энэ аудитыг өндөр түвшинд хийж гүйцэтгэх үйлчилгээг санал болгож байна.
Байгууллагын нөөц төлөвлөлт, удирдлагын систем (ERP), Үйлчлүүлэгчтэй харилцах харилцааны удирдлагын систем (CRM), төлбөр, клиринг, биллинг, санхүү бүртгэл гэх зэрэг онц чухал хэрэглээний гол онцлог нь байгууллагын үндсэн бизнес үйл явцтай шууд холбогддог, тиймээс ноцтой эрсдэл дагуулдаг. Тиймээс онц чухал хэрэглээний аюулгүй байдлын аудит хийж өгөх үйлчилгээг манай компани санал болгож байна.
Эдгээр хэрэглээ, системийн аудит нь бизнес үйл явц, ашиглалтын журам, дэглэмийг нарийвчлан шинжлэх, хамгаалагдсан байдлыг тодруулах, эмзэг сул байдлыг илрүүлэх, сайжруулах арга хэмжээний зөвлөмжийг гаргах зорилготой.
Аудитын зорилго нь захиалагчийн төлбөрийн систем болон түүнийг дэмжих дэд бүтэц нь хяналтын 6 салбар, аюулгүй байдлын 12 үндсэн шаардлагыг тодорхойлсон PSIDSS стандартын шаардлагад нийцэж буй эсэхийг шалгахад оршино. Манай компани энэ аудитыг чанарын өндөр түвшинд хийж гүйцэтгэх үйлчилгээг санал болгож байна.
Төлбөрийн системийн аюулгүй байдлын стандартын тухай
Payment Card Industry Data Security Standard (PSIDSS) – төлбөрийн картын салбарын өгөгдлийн аюулгүй байдлын стандартыг Visa болон MasterCard хамтран боловсруулсан бөгөөд өгөгдлийн аюулгүй байдлын дараах хөтөлбөрүүдийн шаардлагуудыг агуулдаг.
PSIDSS стандартын шаардлага нь Visa болон MasterCard-ын төлбөрийн системтэй ажилладаг бүх компани, банк, санхүүгийн байгууллагуудад хамааралтай. Боловсруулж буй хэлцлийн хэмжээнээс хамааран компани болгоны биелүүлж мөрдөх тодорхой багц шаардлага – түвшинг тогтоодог. Стандартын шаардлагын дагуу компани жил бүр аудит хийлгэж, улирал бүр сүлжээний тандалт, шиншилт (scan) хийж байх ёстой.
2006 оны 09-р сараас эхлэн PSIDSS стандартыг Европ, Ойрхи Дорнод, Африкт заавал мөрдөхөөр болсон, 2009 оноос эхлэн Азид заавал мөрдөхөөр ВИЗА систем шаардах боллоо. Тиймээс төлбөрийн картын үйлчилгээ үзүүлэгчид (банк санхүүгийн байгууллагууд, процессингийн төв, төлбөрийн гарцууд, интернетийн үйлчилгээ үзүүлэгчид г.м), VisaNet –тэй шууд ажилладаг байгууллагууд стандартын шаардлагад нийцэж буй нийцлийн аудитыг заавал хийлгэх хэрэгтэй болж байна.
Ямар ч байгууллага үйл ажиллагааныхаа үр нөлөө, ашгийг дээшлүүлэхийн тулд мэдээллийн систем нэвтрүүлдэг. Гэтэл мэдээллийн систем нэвтрүүлсний дараа мэдээлэл хамгаалах шийдлүүдийг нэвтрүүлэхгүй, мэдээллийн аюулгүй байдлаа хангаж чадахгүй бол зардал ихсэж, ашиг буурах, зарим тохиолдолд алдагдалд орох тохиолдолд элбэг. Мөн өрсөлдөх чадвар эрс буурдаг. Монгол улсын өнөөгийн нөхцөлд өрсөлдөгч багатай учир “зэрлэг капитализм”-ын хуулиар болж бүтээд явж байгаа мэт боловч жинхэнэ утгаараа өрсөлдөөн үүсэж, зах зээлийн хуулийн дагуу бизнес эрхлэх, төрийн удирдлага хэрэгжүүлэх шаардлага тулгарсан үед дээрх асуудлууд бодитойгоор бий болно. Нөхцөл байдлыг зөв үнэлж, ирээдүйн хөгжлөө харж чадаж буй удирдагч дээр дурдсан асуудалд мухардалгүй, өнөөдрөөс эхлэн асуудлаа шийдэх боломжийг бид танд олгож байна.
Байгууллагын мэдээллийн аюулгүй байдал, системийн хамгаалалтыг үнэлэх, хамгаалалтын хэрэгслүүдийг зөв, зохистойгоор хэрэгжүүлж чадсан эсэх, хамгаалалтын зорилгоо биелүүлж чадаж байгаа эсэхийг үнэлэх үйлчилгээг Манай компани санал болгож байна.
Бид өөрсдийн боловсруулсан хандлага, олон улсын аргачлал дээр тулгуурлан мэдээллийн ямар ч системийн хамгаалагдсан байдал, байгууллагын МАБ-ын удирдлагын бие даасан үнэлгээг хийж өгөх үйлчилгээг санал болгож байна. Бидний үнэлгээ нь системийг боловсруулсан этгээдийн санал бодлоо эрс ялгаатай байж болно. Яагаад гэвэл бид ямар нэг зүйлээс огт хамааралгүй, байгаа байдлыг үнэнээр, бодитойгоор үнэлнэ. Тэгээд ч аюулгүй байдлын нэг үндсэн шаардлага нь аливаа шийдлийг хэрэгжүүлсний дараа бие даасан хөндлөнгийн этгээдээр заавал үнэлүүлж байх явдал байдаг.
Хэрэв та мэдээллийн системээ төлөвлөх, хэрэгжүүлэх шатанд бидэнд хандах юм бол системийн хамгаалалтын зөв зохистой байдал, шийдлүүдийн нийцэл, тохируулга, үр дүнг үнэлж мэдээллийн аюулгүй байдлын зөвлөмж гарган өгнө.
Мөн МАБ-ын шийдлүүдийг нэвтрүүлсний дараа өмнө байдлаасаа хэрхэн сайжирсан, ямар түвшинд хүрснийг харьцуулан үнэлэх үйлчилгээг санал болгож байна.