Embed Size (px)
Citation preview
Т.Халтар “3С” ХХК-ийн зөвлөх Доктор, профессор [email protected]
Мэдээллийн аюулгүй байдлаа хэрхэн хангах вэ?
1
2
0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00%
Хорлон сүйтгэх
Хулгай
Санхүүгийн залилан
ТХ, ПХ доголдол
ажилтны хайнга зан
Спам (соёлгүй мэйл)
Хакерийн халдлага
Хортой кодууд
Мэдээллийн хулгай
2013
2012
2011
МАБ-ын Хамгийн ноцтой аюулууд
3
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
хор уршиг
Санхүүгийн шууд хохирол
Нэр хүндээ алдах
Үйлчлүүлэгчээ алдах
Өрсөлдөх чадвар буурах
Зохицуулах болон хуулийн Б-аас шалгах
Түншээ алдах
Хэрэг маргаан, хуулийн хариуцлага
Хөрөнгө оруулагчаа алдах
Хор уршиг, хохирол
4
Хор хохирлын учруулж буй халдлагууд
5
AdWare
Өдөр бүр таны компьтерт
Viruses
IRC
Worms
DoS Tools
Exploits
Flooders
Trojan
downloaders
Trojan
Spies
Trojan
Droppers
Trojan
Notifiers
Trojan
Proxies
Bad
Crackers Email
Worms
IM-
worms
Porno
dialer
s
Bad
Jokes
SPAM-
tools P2P
Worm
Bank
spying
Trojans
SPAM
Trojanized
network
tools
Хортой кодын өсөлт
Өндөр орлого
Мэдээллийн дайн
Улс төр, хорлон сүйтгэх
Гүйцэтгэхэд хялбар (техник болон ёс зүйн хувьд). Баригдах, илрэх эрсдэл маш бага
Халдахад ашигтай олон үйлчилгээ
үүссэн.
Өөрийгөө илэрхийлэх, гайхуулах г.м.
Сүлжээний гэмт хэргийн өсөлтийн шалтгаан
Эх дэлхий маань улам боловсронгуй болсоор…
…Хамгийн тэргүүлэх салбарт ч
Эх сурвалж: http://www.wired.com/politics/security/news/2008/01/dreamliner_security
Үйл ажиллагааныхаа үр ашгийг дээшлүүлэх, МХТ-ийн ашиг
шимийг хүртэх, зардлаа багасгах, цахим харилцаанд
шилжихийг Дэлхий дахины нөхцөл байдал болон Монгол
улсын өнөөгийн байдал шаардаж байна.
МАБ-ын үр нөлөө нь мэдээллийн технологийн хөрөнгө
оруулалтын үр нөлөөг хангана.
Өнөөгийн нөхцөл дахь МАБ-ын төлөв байдал
Ernst&Young-ийн судалгаанаас харахад үүнд хүрэх баталгаа,
нэг чухал нөхцөл нь МАБ-аас хангах. Аюулгүй байдалд
хэмнэж болохгүй. Ихэнх байгууллагын мэдээллийн аюулгүй
байдал нь нийт аюулгүй байдалтайгаа дүйцэж очсон.
Мэдээллийн аюулгүй байдал
• Мэдээлэл нь байгууллагын бусад эд хөрөнгийн нэгэн адил үйл ажиллагаа, ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой.
• Өргөн утгаараа байгууллагын мэдээллийн орчны хамгаалагдсан байдал.
• Явцуу утгаараа ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах, хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээлэл, мэдээллийн орон зай, дэд бүтцийг олон янзын аюул, заналхийллээс хамгаалах ажиллагаа.
13
Нууцлал
Хүртээмжтэй байдал
Бүрэн бүтэн байдал
МАБ-ын мөн чанар
Зөвхөн эрх олгогдсон этгээд л мэдээлэл, дэд бүтцэд хандах боломж- ийг хангасан байх
Мэдээлэл, түүнийг боловсруулах, арга хэрэгслийн үнэн зөв, бүрэн дүүрэн байдлыг хангасан байх,
Эрх олгогдсон этгээд хэрэгтэй үедээ мэдээлэл, дэд бүтцэд хандах боломжийг хангасан байх
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Мэдээллийн аюулгүй байдлын тогтолцоог тодорхойлж, бий болгож, дэмжиж, сайжруулах нь өрсөлдөх чадвар, бэлэн мөнгөний урсгал, орлогоо дээшлүүлэх, хууль зүйн нийцлийг бий болгох, тасралтгүй ажиллагаагаа хангах, алдагдлаас сэргийлэх бизнесийн нэр төрөө бэхжүүлэх гол хүчин зүйлийн нэг
• Мэдээллийн систем, сүлжээ олон янзын гарал үүсэлтэй аюул заналхийлэлтэй тулгарч байна.
• Хохирлын шалтгаан болж буй нянтай програм, хортой програмууд, компьютер, сүлжээнд хууль бусаар нэвтрэн орох халдлага, үйлчилгээг бусниулсан довтолгоонууд нийтийг хамарсан шинжтэй, илүү шунахай, илүү төвөгтэй, нарийн болж байна.
• Мэдээллийн аюулгүй байдал нь төрийн, төрийн бус байгууллагууд, бизнесийн салбар болон эмзэг чухал дэд бүтцийг хамгаалахад маш чухал, онцгой хэрэгцээтэй болж байна.
Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ?
• Төрийн болон хувийн салбарын харилцаа холбоо нэмэгдэж, мэдээллийн нөөцийг хамтран ашиглаж байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд учирч буй саадыг нэмэгдүүлж байна.
• Компьютер улам бүр олширч, тархан дэлгэрч буй хандлагын улмаас төвлөрсөн, тусгай хяналтын үр дүн буурч байна.
• Мэдээллийн олон систем аюулгүй байдлын шаардлагуудыг хангахааргүй зохион бүтээгдсэн.
• Техник хэрэгслийн тусламжтайгаар хангаж болох аюулгүй байдлын боломж хязгаарлагдмал учир зохих удирдлага, дэг журам зайлшгүй шаардлагатай.
• Мэдээллийн аюулгүй байдлын удирдлагыг хэрэгжүүлэхэд байгууллагын бүх ажилтнуудын оролцоо шаардагддаг.
• Үүсгэн байгуулагч, хувьцаа эзэмшигчид, гуравдагч тал, хэрэглэгчид, үйлчлүүлэгчид болон бусад талуудын оролцоо шаардагдаж болно.
• Гадны байгууллагын мэргэжилтний зөвлөгөө зайлшгүй шаардлагатай.
Амжилтад нөлөөлөх гол хүчин зүйлс
“3С” ХХК-ийн судалгаанаас үзэхэд байгууллагад мэдээллийн аюулгүй байдлыг амжилттай хэрэгжүү-лэхэд дараах хүчин зүйлс ихээхэн нөлөөлдөг:
• Мэдээллийн аюулгүй байдлын бодлого, зорилго, үйл ажиллагаа;
• Мэдээллийн хамгаалалтыг хэрэгжүүлэх, дэмжих, хянах болон боловсронгуй болгох байгууллагын дотоод соёлтой нийцсэн хандлага, бүтэц;
• Удирдлагын бүх түвшний илт дэмжлэг болон оролцоо;
• Мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийн үнэлгээ, эрсдэлийн удирдлагын талаархи сайн ойлголт, мэдлэг;
• Бүх менежер, ажилтнууд болон бусад талуудад бүрэн дүүрэн ойлголт бий болгохын тулд үр дүнтэй маркетинг явуулах;
Амжилтад нөлөөлөх гол хүчин зүйлс
• Мэдээллийн аюулгүй байдлын бодлого, стандартын удирдлагыг бүх менежер, ажилтнууд болон гуравдагч талд хуваарилан хэрэгжүүлэх;
• Мэдээллийн аюулгүй байдлын удирдлагын үйл ажиллагааны санхүүжилт бий болгох;
• Зохих ойлголт, сургалт, боловсролыг бий болгох; • Мэдээллийн аюулгүй байдлын будлиан, учралын
үр дүнтэй удирдлагыг бий болгох; • Мэдээллийн аюулгүй байдлын удирдлага дахь
ажлын гүйцэтгэл болон буцах холбоог үнэлэхийн тулд аудит, хэмжилт, үнэлгээний тогтолцоог бий болгох
МАБ-ыг хангахад баримтлах үндсэн хууль, Дэлхийн хамгийн шилдэг практик
(ISO/IEC) MNS 27001, 27002
Зөвхөн техник, төхөөрөмжийн тусламжтайгаар МАБ-ыг хангаж чадах уу? ТЭГВЭЛ ДАРААХ ЗҮЙЛСИЙГ ХЭРХЭН ШИЙДЭХ ВЭ?
•ЭРСДЛЭЭ ҮНЭЛЭХ
•ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ
•ШИНЭ АЮУЛЫГ ИЛРҮҮЛЭХ, ХЯНАХ
•ҮҮРЭГ ХАРИУЦЛАГЫГ ТОГТООХ
•БАЙГАА БАЙДЛАА ҮНЭЛЭХ, ЭРСДЛИЙГ БУУРУУЛАХ
•ОНЦГОЙ НӨХЦӨЛД БАЙДАЛД ХЭРХЭН АЖИЛЛАХ,
•ХҮМҮҮС, ЭД ХӨРӨНГИЙН БИЕТ АЮУЛГҮЙ БАЙДАЛ
•ТЕХНИК ХЭРЭГСЭЛ, ПРОГРАМ ХАНГАМЖ ХУДАЛДАН АВЧ БАЙГАА НЬ
ЗОХИСТОЙ ЭСЭХИЙГ ҮНЭЛЭХ Г.М.
ЭНЭ БҮХНИЙГ ЗӨВХӨН ЦОГЦ ХАНДЛАГЫН ҮНДСЭН ДЭЭР ШИЙДЭЖ ЧАДНА.
МАБ-ын нийтээрээ хүлээн зөвшөөрсөн хандлага
Цогц шийдэл – амжилтын үндэс
Байгууллагын мэдээллийн аюулгүй байдлын удирдлага
ЭРСДЭЛИЙН ЭЦСИЙН ҮНЭЛГЭЭ БОЛОВСРУУЛАЛТ
АЮУЛГҮЙ БАЙДЛЫН БОДЛОГО
М А Б-ын ТОГТОЛЦООГ
ЗОХИОН БАЙГУУЛАХ
ЭД ХӨРӨНГИЙН
УДИРДЛАГА
ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ
АЮУЛГҮЙ БАЙДАЛ
БАЙР, БАЙШИН БОЛОН ОРЧНЫ
АЮУЛГҮЙ БАЙДАЛ
ХОЛБОЛТ БОЛОН ҮЙЛ
АЖИЛЛАГААНЫ УДИРДЛАГА
ХАНДАЛТЫН УДИРДЛАГА
МЭДЭЭЛЛИЙН СИСТЕМ
СУУРИЛУУЛАХ, ҮЙЛЧИЛГЭЭ
ХИЙХ
МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БУДЛИАНЫ УДИРДЛАГА
ТАСРАЛТГҮЙ
АЖИЛЛАГААНЫ УДИРДЛАГА
АУДИТ, НИЙЦЛИЙН УДИРДЛАГА
ЭД ХӨРӨНГӨ – АКТИВ: МАБ-ын үндсэн объектууд
Эд хөрөнгө (asset) – Байгууллагад үнэ цэнэ бүхий аливаа зүйлс ISO/IEC 13335-1:2004
Мэдээллийн эд хөрөнгө – • мэдээлэл өөрөө • Мэдээлэл агуулсан эсхүл • Мэдээлэлд хамааралтай Байгууллагын хувьд тодорхой үнэ цэнэтэй аливаа объектууд.
Жишээлбэл: өгөгдөл, мэдээлэл, барилга байшин, сүлжээ,
систем, ПХ, ТХ, хүний нөөц, байгууллагын нэр хүнд г.м.
Энгийн болон нийлмэл нарийн объектууд хэмээн хуваагддаг.
Эд хөрөнгө
ХЭРХЭН ХАМГААЛАХ
ВЭ???
ЭМЗЭГ БАЙДАЛ
АЮУЛ
МАБ-ын үзэл баримт- лалаа тодорхойлох
МАБ-ын ҮБ-ыг тодорхойлсон баримт бичиг
МАБ-ыг хангах хүрээ хязгаарыг
тогтоох
Системийн хүрээ хязгаарыг тодор- хойлсон баримт
Эрсдэлийн үнэлгээ
хийх
Аюул, цоорхой, Үр дагаврыг тод-сон ББ
Сөрөг а/х,Эрсдэлийн Удирдлага, МАБ-ын
БОДЛОГО
Захиргаа, дэг, ПХ, ТХ-ийн түвшингээр ангилсан сөрөг а/х, МАБ-ын бодлого
МАБ-ыг хангах хяналт удир-ын
хэрэгслийг сонгох
Байгууллагын Хэмжээний МАБ-ыг
Хангах иж бүрэн тогтолцоо
МАБ-ын уд-ын тогтолцоог гэрчил-
гээжүүлэх, баталгаа- жуулах
Нийцлийн тайлан (сөрөг а/х-ний зохист
байдлыг үнэлэх)
Үндсэн агуулга Үндсэн баримт бичиг
МАБ-ын үзэл баримтлал Системийн загвар Эрсдэлийн шин- жилгээ Эрсдэлийн удирдлага бий болж бодлого батлагдана
МАБ-ыг хангах иж бүрэн тогтолцоо МАБ-ын хангах тогтолцооны аудит
Аюул, заналхийлэл, Эмзэг байдал, цоор- хой, нөлөөлөл Эрсдэлийг удирдах хандлагаа бий болгох, бодлого боловсруулах МАБ-ын хяналтын хэрэгслүүдээ сонгох МАБ-ын удирдлагын тогтолцооны аудит
Мэдээллийн аюулгүй байдлыг хэрхэн хангах вэ?
• Бүх нийтийн ойлголт мэдлэг
• Удирдлагын ойлголт, мэдлэг, дэмжлэг, үүрэг
• Аюулгүй байдлын бодлого, үйл явц, дэг журам, зохион байгуулалтын бүтэц болон програм хангамж, техник хангамжийн чиг үүргүүдийг багтаасан зохих хяналт, удирдлагын багцыг хэрэгжүүлэх.
• Тус бүрдээ маш олон дэд үйл явц, дэг, үнэлгээ, аудит, хөтөлбөрөөс бүрдэнэ.
• Хөрөнгө зарцуулахаас өөр аргагүй.
• Үе шаттайгаар хэрэгжүүлэх нь зохистой
26
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Бусад
Биет хамгаалалт
Гадаад сүлжээний холболтыг хязгаарлах
Ажилтнуудыг сургах
Зохион байгуулалтын арга хэмжээ
МАБ-ын цогц арга хэмжээ
2010
2009
2008
МАБ-ын арга хэмжээний үр нөлөө
Deloitte&Touche-ийн Стивеном Российн санал болгосон график шинжилгээ.
1. Захиалгат ПХ, ТХ – хамгийн бага
үр нөлөө.
2. Үйлдлийн систем, ӨСУ системийн
өөрийн хамгаалалт – үнэ/чанарын
хамгийн сайн харьцаа
3. Зохион байгуулалтын арга хэмжээ
(аудит, эрсдлийн үнэлгээ, бодлого,
дэг, тасралтгүй ажиллагааны
төлөвлөгөө, дэг, журам) –
үнэ/чанарын хамгийн сайн
харьцаа
4. Өндөр үнэтэй, илүү үр нөлөөтэй хэрэгслүүд – IPS, SSO, PKI, DLP/ILP, МАБ-ын
цогц тогтолцоо. Эрсдлийн маш сайн үнэлгээ хийсний үндсэн дээр мөнгө
зарцуулах нь зүйтэй. Эрсдлээсээ үнэ нь давж болно.
МАБ-ын арга хэмжээний үр нөлөө
үнэ
Үр нөлөө
Суурь хамгаалалтууд
2 Галтхана анти вирус
VPN нөөц хуулбар
НТДБ-PKI IPS МАБ-ын иж бүрэн систем Нэг удаагийн хандалт
Бодлого, дэг SSL Тасралтгүй аудит, эрсдлийн ажилгааны удирдлага удирдлага
3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ
• Стратеги, Бодлого, дэг,
• Эрсдлийн үнэлгээ, аудит, МАБ-ын хөтөлбөр
• Найдвартай, зөв архитектур,
• Мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт;
• Зөв зүйтэй хэрэглээ;
• Хандалтын удирдлага
• Өөрийн вебийн аюулгүй байдал, вебээр дамжин орж ирэх аюулаас хамгаалах
• Өгөгдлийн сан, Сервер болон терминалын хамгаалалтын систем
• Бизнесийн тасралтгүй ажиллагааны удирдлага; • Мэдээллийн аюулгүй байдлын будлианы удирдлага
28
3С ХХК-ийн санал болгож буй цаашид үе шаттай хэрэгжүүлэх арга хэмжээ
• DDoS-оос хамгаалах систем, Галт хана, халдлага илрүүлэх систем (IPS), чиглүүлэгч
• VPN, тоон гарын үсэг, шифрлэлт
• МАБ-ын будлианы удирдлага, халдлагын мониторинг
• Хамгаалалтын хэрэгслийн конфигурацийн удирдлага, хяналт
• Сүлжээний төхөөрөмжүүдийн төвлөрсөн удирдлага
• Сүлжээний байнгын мониторинг
• Чиглүүлэгчийн протоколын мониторинг, Дуут холбооны хамгаалалт
• Техникийн эмзэг байдлын удирдлага, Мэдээллийн дэд бүтцийн удирдлага
• Үүлэн тооцооллын аюулгүй байдлыг хангах арга хэмжээ г.м.
29
Анхаарал тавьсанд баярлалаа
www.sssmn.com
70113151
30
