Мэдээллийн аюулгүй байдлын мэргэшилтэний сургалт явуулах гэж байгаа дууллаа. Мэдээллийн аюулгүй байдал гэдэг зүйлийн талаар яриагаа эхэлье.

Мэдээллийн аюулгүй байдал гэхээр ихэнх хүмүүст IT-тэй холбоотой тал нь түрүүлж буудаг. Гэтэл МАБ гэдэг нь зөвхөн IT биш маш өргөн хүрээний ойлголт юм.

Олон улсын стандарчлалын байгууллагаас мэдээллийн аюулгүй байдлын олон улсын ISO27001 стандартыг батлан гаргасан байдаг бөгөөд энэхүү стандартын үзэл баримтлалаар бол МАБ нь хоорондоо уялдаа бүхий 3 цөм ойлголтын дунд бий болдог. Мэдээлэлийн нууцлал (confidentiality), хүртээмжтэй байдал (availability), үнэн зөв бодитой байх (integrity) гэсэн энэ 3 хүчин зүйл хангагдаж байж сая Мэдээллийн аюулгүй байдал хангагдах  гэж үзэх юм.

МАБ-д сөргөөр нөлөөлдөг гол хүчин зүйл юу вэ?

Мэдээж олон хүчин зүйлс нөлөөлнө. 2015 онд АНУ-н Мэдээллийн аюулгүй байдлын судалгааны хүрээлэнгээс гаргасан судалгаанд МАБ-д занал учруулдаг хамгийн эмзэг тал ХҮН гэж (54 хувь, IT-аар дамжсан 14 %) гэж судалгаагаар тогтоосон байна.  Хүний санаатай болон санамсаргүй үйлдэл, мэдлэг ойлголтын дутагдалтай байдал, бодлого, процедур, зохицуулалтын дутагдал гэх мэт олон хүчин зүйлс нөлөөтэй.

Дэд бүтэц буюу IT-н замаар орж ирэх халдлагууд (Вирус, хакер гэх мэт) мөн ноцтой ч эдгээрээс сэргийлэх, хамгаалах боломж, шийдлүүд их байдаг. Үр дүн ч сайн. Гэтэл ХҮН гэдэг сувгийг  удирдах нь хамгийн том сорилт мөн гэдгийг хаа хаанаа хүлээн зөвшөөрдөг.

Мэдээллийн аюулгүй байдал бизнест хэрхэн нөлөөлдөг вэ?

Мэдээллийн аюулгүй байдалтай холбоотой ямар нэг таагүй дурсамжгүй бизнесийн байгууллага бараг байхгүй байх. Борлуулалын мэдээгээ алдсан, шинээр гаргахаар зэхэж байсан шинэ бүтээгдэхүүнийхээ ноу-хауг өрсөлдөгчдөө алдсан, тендерт санал болгох үнээ алдсанаас болж тендерт ялагдсан гэх мэтээр энэ төрлийн асуудалтай нүүр тулгарсан байж таардаг. 

Сая болж өнгөрсөн сонгуулиар хэд хэдэн вэб сайт халдлагад өртөж ажиллаагүй хэд хоносон. АСЕМ-ийн үеээр банкуудын ATM дээр залилан гарсан талаар мэдээлэл явж байна. Хэдэн жилийн өмнө төрийн хэдэн хэдэн вэб сайтууд халдлагад өртөж саатсаныг бид санаж байгаа. Төрийн үйлчилгээний нэгэн байгууллагын нэлээд чухал мэдээллийг хулгайлж олон нийтэд цацсан гэх мэт тохиолдолууд Монголд гарч байсан.

2 жилийн өмнө SONY pictures “Interview” киногоо нийтэд гаргахаасаа өмнө хулгайд алдсан. Дэлхийн хамгийн том банкны нэг HSBC-ийн харилцагч нарын дансны мэдээлэлийг хакердсан хакер банкнаас их хэмжээний мөнгө нэхсэн ба банк өгөхөөс татгалзахад нь олон нийтэд зарлаж шуугиан саяхан гарлаа.

Дээрх жишээнүүд бүгд л мэдээллийн аюулгүй байдалтай холбоотой жишээнүүд юм.

21-р зууныг мэдээллийн зуун гэдэг. Мэдээлэл хэнд байна, тэр хүн давуу талтай, хэн мэдээллээ алдана, тэр давуу талаа алдана.

Өнөөдөрийн бизнесийн удирдагч  мэдээлэл түүний аюулгүй байдал чухал гэдгийг хэдийн хүлээн зөвшөөрч ойлгодог болсон. Гэвч үүнийг хэрхэн хангах талаар ноу-хоу, мэдлэг, ойлголт дутагдалтай байгаа нь үнэн юм.  Тийм ч учраас бид энэ удаад бид Мэдээллийн аюулгүй байдлын ISO 27001 стандартыг хэрэгжүүлэгч мэргэжилтэний олон улсын lead implementer түвшиний сургалтыг 9 сарын 12-16-нд Улаанбаатар хотноо зохион байгуулахаар төлөвлөөд ажиллаж байна. 

Олон улсын гэрчилгээ гэхээр сонин байна?

Бид Канадад төвтэй PECB байгууллагын онцгой эрхээр олон улсын гэрчилгээ олгох сургалтуудыг Монголд албан ёсоор явуулдаг. PECB нь (Professional Evaluation and Certification Board) нь салбарын мэргэжилтэнгүүдийн чадавхийн Үнэлгээг хийж, тэдгээрийг Баталгаажуулдаг олон улсын итгэмжлэгдсэн байгууллага юм. Товчхондоо ISO стандартуудыг байгууллагад хэрэгжүүлэх (implementer) болон энэ талын сургалт болон аудитыг явуулах олон улсын мэргэжилтэнгүүдийг (expert) үнэлж, шаардлага хангасан мэргэжилтэнгүүдийг нотлон баталгаажуулдаг байгууллага юм.

Обзерв Консалтинг нь Энэхүү байгууллагын Монгол дахь албан ёсны түншээр 2013 оноос  итгэмжлэгдэн ажиллаж байна. Бид өмнө Чанарын удирдлагын тогтолцооны ISO 9001 Lead auditor, Бизнесийн тасралтгүй байдлын  ISO22301 Lead implementer сургалтуудыг албан ёсоор Монголд явуулж байсан.

Энэ сургалтанд хэн хамрагдвал зохих вэ?

Томоохон байгууллагууд Chief Information Officer гэдэг албан тушаалыг бий болгосон байдаг. Үүнээс гадна Мэдээллийн аюулгүй байдалд үүрэг бүхий ажилтанууд, IT-ийн ажилтанууд,  Нийцэл хариуцсан ажилтанууд (Compliance manager), Эрсдлийн удирдлага хариуцах үүрэг бүхий ажилтанууд хамрагдвал илүү тохиромжтой.

Оролцогч нар сургалтандаа бүрэн хамрагдсанаар шалгалтаа өгөх эрх үүсэх ба шалгалтанд 70%-аас дээш амжилт үзүүлсэн оролцогч нарт олон улсын гэрчилгээ олгогддог. Гэрчилгээ олгоход бас бус шаардлага тавигддаг.  Шалгалтыг авах, үнэлэх процесс нь биднээс хараат бусаар явагддаг.

Орчин үед туйлын хэрэгтэй байгаа чиглэлд ажил санаачлан хийж байгаа та бүхэн амжилт хүсье.

Баярлалаа.