Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

3 s is for c servants

194 views

Published on

Information security for Public servants

Published in: Government & Nonprofit
  • Be the first to comment

3 s is for c servants

  1. 1. Т.Халтар Док, проф khaltar@sssmn.com khaltar@moncirt.org.mn Төрийн Байгууллагын Мэдээллийн Аюулгүй Байдал 1
  2. 2. ХУРААНГУЙ • Мэдээллийн аюулгүй байдлыг хангахад зөвхөн програм-техникийн арга хэмжээ хэрэгжүүлэхэд хангалттай гэж үздэг гэнэн ойлголтын үе өнгөрсөн. • Мэдээлэл холбооны технологийн хурдтай хөгжил, түүнийг хууль бус зорилгод ашиглах хэдэн түмэн арга бий болсон өнөөгийн үед Монгол улсад мэдээллийн аюулгүй байдлын ойлголт маш муу, төрийн байгууллагуудын МАБ хангагдаагүй • Ихэнх байгууллагад мэдээллийн аюулгүй байдлыг хангах цогц удирдлага байхгүй.
  3. 3. Яагаад? • МАБ-ын Мөн чанарыг мэддэггүй, • Өнгөцхөн ойлголт дээрээ тулгуурладаг, • Удирдах ажилтнууд болон ихэнх хэрэглэгчид түүний ач холбогдолыг мэдэхгүй, • Үл тоомсорлодог, • Хөрөнгө мөнгө зарцуулдаггүй • МАБ огт хангагдаагүй, мэдээлэл гадагш урсаж байгаа, сүлжээ, вебүүд цоорхой • МАБ-ын довтолгооныг зүгээр нэг танхай хакер төдийгүй өрсөлдөгч байгууллагууд, тусгай албад гүйцэтгэдэг
  4. 4. Яагаад? • Бүх зүйл МХТ-д суурилах болсон • Онлайн хэлцэл, гүйлгээ, гэрээ олширч, мэдээллийн урсгал эрс нэмэгдсэн. • Хүн төрөлхтөний хөгжил дэвшил МХТ-оос хамааралтай болсон. • Эдийн засгийн хөгжлийн хөдөлгүүр нь МХТ • Мэдээлэл, өгөгдөл, мэдээллийн технологи, мэдээллийн систем, сүлжээ нь аливаа байгууллагын маш чухал, үнэт эд хөрөнгө. • Гэмт халдлага, үйлдэл, зөрчил эрс нэмэгдэж байна. • Мэдээллийн аюулгүй байдал нь нэг хувь хүн, нэг байгууллага, нэг улс төдийгүй дэлхийн хамтын нийгэмлэгийн чухал асуудал боллоо.
  5. 5. Яагаад хэрэгтэй болов? • МХТ хүчтэй нэвтэрсний улмаас уламжлалт цаасан баримт бичгийн нууцлал, хамгаалалт шаардлага хангахаа больсон • Зэвсэгт хүчин, цагдаа, тагнуул, онц байдал, гамшгийн удирдлага, тогтолцоо байдагтай нэгэн адил мэдээллийн аюулгүй байдал, түүнийг хэрэгжүүлдэг тогтолцоо, байгууллагууд байх зайлшгүй шаардлагатай. • Байгууллага бүр МАБ-ын удирдлагатай болсон. • МАБ- нь Програм-техникийн асуудал байхаа больж улам бүр нарийн төвөгтэй, захиргаа-удирдлагын асуудал болон хувирсан. • Мэдээллийн нөлөөлөл, хор хөнөөл эрс нэмэгдсэн, Тараах суваг олширсон
  6. 6. Үйл ажиллагааныхаа үр ашгийг дээшлүүлэх, МХТ-ийн ашиг шимийг хүртэх, зардлаа багасгах, цахим харилцаанд шилжихийг Дэлхий дахины нөхцөл байдал болон Монгол улсын өнөөгийн байдал шаардаж байна. МАБ-ын үр нөлөө нь мэдээллийн технологийн хөрөнгө оруулалтын үр нөлөөг хангана. Өнөөгийн нөхцөл дахь МАБ-ын төлөв байдал Ernst&Young-ийн судалгаанаас харахад үүнд хүрэх баталгаа, нэг чухал нөхцөл нь МАБ-аас хангах. Аюулгүй байдалд хэмнэж болохгүй. Ихэнх байгууллагын мэдээллийн аюулгүй байдал нь нийт аюулгүй байдалтайгаа дүйцэж очсон.
  7. 7. Мэдээллийн аюулгүй байдал • Мэдээлэл нь байгууллагын бусад эд хөрөнгийн нэгэн адил үйл ажиллагаа, ажил хэргээ хэвийн явуулахад шаардагдах гол капиталын нэг учраас хамгаалагдсан байх ёстой. • Мэдээллийн аюулгүй байдал гэдэг нь ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах, хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээлэл, мэдээллийн дэд бүтцийг олон янзын аюул, заналхийллээс хамгаалах ажиллагаа.
  8. 8. Аюулгүй байдал гэж юу вэ? Аюулгүй байдал ямар хэмжээтэй байвал зохих вэ? Торхны загвар
  9. 9. Аюулгүй байдал гэж юу вэ? Өгөгдлийн сан Нууцлал Халдашгүй байдал Харьцуулан таних Зөвшөөрөх Бат бэх үйлдлийн систем VPN Маршрутизатор Firewall Зохицуулалт Бодлого Ү/А-ны журам Стандартууд • Аюулгүй байдлын давхарга
  10. 10. Мэдээллийн аюулгүй байдал • 21-р зуунд Мэдээллийн дайн, кибер дайн, кибер арми, цэрэг, кибер зэвсэг • Мэдээллийн Аюулгүй байдал гэдэг нь өргөн утгаараа “Нийгэм, институт, байгууллагын мэдээллийн орчны хамгаалагдсан байдал” • Мэдээлэл, өгөгдөл, түүнийг дэмжих дэд бүтцийн хамгаалагдсан байдал (байгууллагын аюулгүй байдалтай ижил болж байна) • Өгөгдөл, мэдээ, мэдээлэл, баримт материал, аппарат хэрэгслийг хууль бусаар, зүй бусаар ашиглах, өөрчлөх, устгах гэмтээх, хандах боломжийг хаахаас сэргийлж авсан арга хэмжээ. • МАБ-нь бүрэн хамгаалалт бий болгохгүй. • Хамгийн сайн цайз босгосон ч илүү хүчтэй эвдлэгч бүхий хэн нэгэн гарч ирнэ. • МАБ гэдэг нь өгөгдөл, мэдээлэл, түүнийг боловсруулах тоног төхөөрөмжийг аюул заналхийллээс хамгаалах, эмзэг, сул талыг нь буруугаар ашиглахаас сэргийлэх үйл ажиллагаа, үйл явц, үйлдлүүд
  11. 11. МАБ-д нөлөөлөх хүчин зүйлс • Монгол улсын үндэсний аюулгүй байдлын үзэл баримтлал шинэчлэгдсэн, МАБ-ыг онцгой анхаарсан • МАБ-ыг зохицуулсан хууль, эрх зүйн актууд гараагүй • Монгол улс технологийн асар их хамааралтай байгаа • Олон янзын хүчин зүйлс заналхийлж байна: – Улс төрийн хүчин зүйлс – Эдийн засгийн хүчин зүйлс – Удирдлага, зохион байгуулалтын хүчин зүйлс – Дэлхий нийтийн хүчин зүйлс – Бүс нутгийн хүчин зүйлс – Орон нутгийн хүчин зүйлс – Системийн аюулгүй байдалд заналхийлж буй хүчин зүйлс
  12. 12. 12 Нууцлал Хүртээмжтэй байдал Бүрэн бүтэн байдал МАБ-ын мөн чанар Зөвхөн эрх олгогдсон этгээд л мэдээлэл, дэд бүтцэд хандах боломж- ийг хангасан байх Мэдээлэл, түүнийг боловсруулах, арга хэрэгслийн үнэн зөв, бүрэн дүүрэн байдлыг хангасан байх, Эрх олгогдсон этгээд хэрэгтэй үедээ мэдээлэл, дэд бүтцэд хандах боломжийг хангасан байх
  13. 13. Аюулууд • Хүнээс хамаарсан аюулууд (гэмт бүлэглэл, гэмт этгээдүүд, зөрчил гаргагчдын хууль бус үйл ажиллагаа, буруу санаат хамтрагч, түнш, өрсөлдөгчид, байгууллагын зарим ажилтнуудын зүй бус ажиллагаа г.м). • Техникийн аюулууд (чанаргүй төхөөрөмж, программ хангамж, хэрэгсэл, холбоо, хамгаалалт, дохиоллын техник хэрэгслүүд болон аюултай үйлдвэрлэл, тээвэрлэлт г.м). • Байгалын аюул (газар хөдлөлт, хар салхи, үер болон байгалын бусад гамшигт үзэгдлүүд)
  14. 14. Аюулууд Хувь хүн, нийгэмд заналхийлж байгаа аюулууд • кибер хорлон сүйтгэх ажиллагаа; • нийгмийн ёс суртахуунд заналхийлж буй аюулууд (порнограф тараах, хүчирхийлэл, мансууруулах бодис, гэмт хэргийг сурталчлах, үндэстэн хоорондын дайсагнал, дайн хүчирхийллийг сурталчлах г.м); • ухамсарт нь үйлчлэн нөлөөлөх (кибер зомби болгох); • нийгмийн тогтвортой байдлыг алдагдуулах үзэл санааг сурталчлах (арьс өнгөний үзэл, нацизм, шашны сектүүд г.м); • цахим хэрэгслээр мэдээллийн дайн явуулах; • залилан мэхлэх, социаль инжиниринг, фишинг, спаминг г.м • төрийн систем дахь өгөгдөл мэдээллийг өөрчлөх, устгах, хулгайлах г.м; Эдийн засагт заналхийлж буй аюулууд • гадаад улс, гадны байгууллагын бизнес тагналт; • эдийн засгийн алдагдалд хүргэх сөрөг, хуурамч мэдээлэл тараах; • өрсөлдөгч байгууллага, компанийн сөрөг кибер үйлдэл; • оюуны өмчийг хууль бусаар ашиглах;
  15. 15. Аюулууд Батлан хамгаалах чадвар, үндэсний аюулгүй байдалд заналхийлж буй аюулууд • Гадаад улсын зүгээс Монголын Интернет трафикийг хянах, статистик мэдээлэл цуглуулах, төрийн байгууллагын өгөгдлийн санг шүүж самнах; • Монгол улсын тооцоолон бодох болон давтамжийн нөөцийг цэргийн зорилгод ашиглах, зомби болгох; • Монгол улсын сувгийн нөөцийг хууль бусаар ашиглах; • Трафикийг зорилго, чиглэлтэйгээр өөрчлөх, гажуудуулах, харилцаа, холбооны системийг сүйтгэх, гажуудуулах; • Хуурамч мэдээлэл тараах; • Байлдааны вирус (логик бөмбөг г.м), бусад хэрэгсэл ашиглан тооцоолох, өгөгдөл боловсруулах төв, систем, харилцаа холбооны сүлжээг сүйтгэх; • тагнуул – хорлон сүйтгэх ажиллагаа г.м. • botnet технологийг ашиглан аливаа компьютерийг эзэнд нь мэдэгдэлгүй зайнаас удирдах. Logic bomb буюу үйлдлийн систем, хэрэглээний програмд нууцаар оруулсан код. Тодорхой нөхцөл бүрдэх, тогтоосон цаг хугацаа болох, гаднаас команд өгөхөд идэвхжиж сүйтгэх үйлдэл, нөлөөлөл үзүүлнэ. Зарим үйлдвэрлэгч бүтээгдэхүүнийхээ бүрдэл хэсгүүдэд суулгаж үйлдвэрлэдэг, мэдээллийн дайны зэвсэг болгон ашиглаж байгаа.
  16. 16. Их Британийн жишээн дээр (2011 он) 52406300 40186400 701500 70195900 87382400 6830500 11767200 135643300 5148500 9754400 176000 705000 38365000 0 50000000 10000000 15000000 Ажилтны хууль бус нэвтрэлт Санхүүгийн залилан Харилцаа холбооны залилан Бүрдэлхэсгийг хулгайлах Вирусын довтолгоон Компьютерийн хулгай Сүлжээг зүй бусаар ашиглах Үйлчилгээ бусниулах DoS, DDoS Хорлонсүйтгэх ажиллагаа Системд хууль бусаар нэвтрэх Нууцаар чагнах Замаас нь барих социаль инжиниринг хохиролUS$ Гол халдлагууд
  17. 17. АНУ дахь Мэдээллийн Аюулгүй Байдал • МАБ-ын эсрэг зөрчлүүдээс учирсан хохирол, 2011 онд: $US 32.5 миллиард • Асуулгад хамрагдсан хүмүүсийн 92% нь 2011 онд халдлагад өртсөн • Нийтийн түгшүүр дэгдээсэн асуудал нь хортой код (хэрэглэгчдийн 97%) • 5 байгууллагын 3 нь веб сайтыг хууль бусаар ашиглах үйлдлийн хохирогч болсон • 6 хэрэглэгчийн 4 нь хохирсноо мэддэггүй • МАБ, Кибер аюулгүй байдал - байгууллагын удирдлагын тэргүүлэх асуудал
  18. 18. 19 0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% Хорлон сүйтгэх Хулгай Санхүүгийн залилан ТХ, ПХ доголдол ажилтны хайнга зан Спам (соёлгүй мэйл) Хакерийн халдлага Хортой кодууд Мэдээллийн хулгай 2010 2009 2008 МАБ-ын Хамгийн ноцтой аюулууд
  19. 19. 20 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% хор уршиг Санхүүгийн шууд хохирол Нэр хүндээ алдах Үйлчлүүлэгчээ алдах Өрсөлдөх чадвар буурах Зохицуулах болон хуулийн Б-аас шалгах Түншээ алдах Хэрэг маргаан, хуулийн хариуцлага Хөрөнгө оруулагчаа алдах Хор уршиг, хохирол
  20. 20. 21 Хор хохирлын эх сурвалж
  21. 21. 22 AdWare Таны өдөр тутмын эрсдэл Viruses IRC Worms DoS Tools Exploits Flooders Trojan downloaders Trojan Spies Trojan Droppers Trojan Notifiers Trojan Proxies Bad Crackers Email Worm sIM- worms Porno dialer s Bad Jokes SPAM- tools P2P Worm s Bank spying Trojans SPAM Trojanized network tools
  22. 22. Хортой кодын өсөлт «Лаборатория Касперского»-оос өгөгдлийг авав 0 200000 400000 600000 800000 1000000 1200000 1400000 2001 2002 2003 2004 2005 2006 2007 3 кв. 2008 8821 11136 20731 31726 53950 169689 472621 1315474 2013 онд энэ хандлага хадгалагдана гэж үзэж байна… 2005 2006 2007 2008 2009 2010 2011 2012
  23. 23.  Ашиг орлоготой  Үйлдэхэд амархан (техник, ёс зүйн хувьд).  Эрсдэл багатай, илрэх магадлал бага  Халдахад амархан шинэ объек- тууд олноор бий болж байгаа  Өөрийгөө илэрхийлэх, гайхуулах  Байгууллагад бодлого байхгүй, хамгаалалт сул, хэрэглэгчид журам сахидаггүй, ойлголтгүй, гэнэн Сүлжээний гэмт хэргийн өсөлтийн шалтгаан
  24. 24. Манай дэлхий технологийн хамааралд улам бүр орсоор…
  25. 25. …Хамгийн тэргүүлэх салбарт ч Эх сурвалж: http://www.wired.com/politics/security/news/2008/01/dreamliner_security
  26. 26. Мэдээллийн аюулгүй байдлыг хэрхэн хангах вэ? • Аюулгүй байдлын бодлого, үйл явц, дэг журам, зохион байгуулалтын бүтэц болон програм хангамж, техник хангамжийн чиг үүргүүдийг багтаасан зохих хяналт, удирдлагын багц, механизмыг хэрэгжүүлэх замаар мэдээллийн аюулгүй байдлыг зохих түвшинд хангаж чадна.
  27. 27. Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ? • Мэдээллийн аюулгүй байдлын тогтолцоог тодорхойлж, бий болгож, дэмжиж, сайжруулах нь өрсөлдөх чадвар, бэлэн мөнгөний урсгал, орлогоо дээшлүүлэх, хууль зүйн нийцлийг бий болгох, бизнесийн нэр төрөө бэхжүүлэх гол хүчин зүйлийн нэг • Байгууллага болон байгууллагын мэдээллийн систем, сүлжээ олон янзын гарал үүсэлтэй аюул заналхийлэлтэй тулгарч байна.
  28. 28. Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ? • Хохирлын шалтгаан болж буй нянтай програм, хортой код, компьютер, сүлжээнд хууль бусаар нэвтрэн орох халдлага, үйлчилгээг бусниулсан довтолгоонууд нийтийг хамарсан шинжтэй, илүү шунахай, илүү төвөгтэй, нарийн болж байна. • Мэдээллийн аюулгүй байдал нь төрийн, төрийн бус байгууллагууд, бизнесийн салбар болон эмзэг чухал дэд бүтцийг хамгаалахад маш чухал, онцгой хэрэгцээтэй болж байна.
  29. 29. Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ? • Төрийн болон хувийн салбарын харилцаа холбоо нэмэгдэж, мэдээллийн нөөцийг хамтран ашиглаж байгаа нь хандалтын хяналтыг хэрэгжүүлэхэд учирч буй саадыг нэмэгдүүлж байна. • Компьютер улам бүр олширч, тархан дэлгэрч буй хандлагын улмаас төвлөрсөн, тусгай хяналтын үр дүн буурч байна. • Мэдээллийн олон систем аюулгүй байдлын шаардлагуудыг хангахааргүй зохион бүтээгджээ.
  30. 30. Мэдээллийн аюулгүй байдал яагаад хэрэгтэй вэ? • Техник хэрэгслийн тусламжтайгаар хангаж болох аюулгүй байдлын боломж хязгаарлагдмал учир зохих удирдлага, дэг журам зайлшгүй шаардлагатай. • Мэдээллийн аюулгүй байдлын удирдлагыг хэрэгжүүлэхэд байгууллагын бүх ажилтнуудын оролцоо шаардагддаг. • Үүсгэн байгуулагч, хувьцаа эзэмшигчид, гуравдагч тал, хэрэглэгчид, үйлчлүүлэгчид болон бусад талуудын оролцоо шаардагдана. • Гадны байгууллагын мэргэжилтний зөвлөгөө зайлшгүй шаардлагатай.
  31. 31. Аюулгүй байдлын шаардлагууд, эрсдлийн үнэлгээ • Аюулгүй байдлын шаардлагуудыг тодруулсан байх нь байгууллагын нэг гол асуудал. • Аюулгүй байдлын эрсдлийн байнгын үнэлгээний үр дүнд аюулгүй байдлын шаардлагуудыг тодруулна. • Эрсдлийн үнэлгээний үр дүнд нөлөөлж болох аливаа өөрчлөлтийг мэдрэхийн тулд эрсдэлийн үнэлгээг тодорхой давтамжтайгаар хийж байх – Аюул + эмзэг байдал + магадлал = Эрсдэл • Ажилтан бүр учирч болох эрсдэл, түүнийг бууруулах талаар ойлголт, мэдлэгтэй, байгууллагынхаа МАБ- ын бодлого, журмыг чанд баримтлан ажилласнаар эрсдлийг зохих хэмжээнд бууруулж чадна.
  32. 32. Мэдээллийн аюулгүй байдлын эхлэлийн цэг Хяналт нь дараах зүйлсийн хамт мэдээллийн аюулгүй байдлын нийтлэг практик гэж тооцогдоно: • мэдээллийн аюулгүй байдлын бодлогын баримт бичиг; • мэдээллийн аюулгүй байдлын талаар хүлээх үүргийн хуваарилалт; • мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт; • зөв зүйтэй хэрэглээ; • техникийн эмзэг байдлын удирдлага; • бизнесийн тасралтгүй ажиллагааны удирдлага; • мэдээллийн аюулгүй байдлын будлианы удирдлага болон түүнийг боловсронгуй болгох • удирдлагын бүх түвшний илт дэмжлэг болон оролцоо; • Хамгаалалтын ТХ, ПХ-ын механизм
  33. 33. Амжилтад нөлөөлөх гол хүчин зүйлс “3С” ХХК-ийн судалгаанаас үзэхэд байгууллагад мэдээллийн аюулгүй байдлыг амжилттай хэрэгжүү- лэхэд дараах хүчин зүйлс ихээхэн нөлөөлдөг: • Мэдээллийн аюулгүй байдлын бодлого, зорилго, үйл ажиллагаа; • Мэдээллийн хамгаалалтыг хэрэгжүүлэх, дэмжих, хянах болон боловсронгуй болгох байгууллагын дотоод соёлтой нийцсэн хандлага, бүтэц; • Удирдлагын бүх түвшний илт дэмжлэг болон оролцоо; • Мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийн үнэлгээ, эрсдэлийн удирдлагын талаархи сайн ойлголт, мэдлэг; • Бүх менежер, ажилтнууд болон бусад талуудад бүрэн дүүрэн ойлголт бий болгохын тулд үр дүнтэй маркетинг явуулах;
  34. 34. Амжилтад нөлөөлөх гол хүчин зүйлс • Мэдээллийн аюулгүй байдлын бодлого, стандартын удирдлагыг бүх менежер, ажилтнууд болон гуравдагч талд хуваарилан хэрэгжүүлэх; • Мэдээллийн аюулгүй байдлын удирдлагын үйл ажиллагааны санхүүжилт бий болгох; • Зохих ойлголт, сургалт, боловсролыг бий болгох; • Мэдээллийн аюулгүй байдлын будлиан, учралын үр дүнтэй удирдлагыг бий болгох; • Мэдээллийн аюулгүй байдлын удирдлага дахь ажлын гүйцэтгэл болон буцах холбоог үнэлэхийн тулд аудит, хэмжилт, үнэлгээний тогтолцоог бий болгох
  35. 35. МАБ-ыг хангахад баримтлах үндсэн хууль, Дэлхийн хамгийн шилдэг практик (ISO/IEC) MNS 27001, 27002
  36. 36. Зөвхөн техник, төхөөрөмжийн тусламжтайгаар МАБ- ыг хангаж чадах уу? ТЭГВЭЛ ДАРААХ ЗҮЙЛСИЙГ ХЭРХЭН ШИЙДЭХ ВЭ? •ЭРСДЛЭЭ ҮНЭЛЭХ •ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ •ШИНЭ АЮУЛЫГ ИЛРҮҮЛЭХ, ХЯНАХ •ҮҮРЭГ ХАРИУЦЛАГЫГ ТОГТООХ •БАЙГАА БАЙДЛАА ҮНЭЛЭХ, ЭРСДЛИЙГ БУУРУУЛАХ •ОНЦГОЙ НӨХЦӨЛД БАЙДАЛД ХЭРХЭН АЖИЛЛАХ, •ХҮМҮҮС, ЭД ХӨРӨНГИЙН БИЕТ АЮУЛГҮЙ БАЙДАЛ •ТЕХНИК ХЭРЭГСЭЛ, ПРОГРАМ ХАНГАМЖ ХУДАЛДАН АВЧ БАЙГАА НЬ ЗОХИСТОЙ ЭСЭХИЙГ ҮНЭЛЭХ Г.М. ЭНЭ БҮХНИЙГ ЗӨВХӨН ЦОГЦ ХАНДЛАГЫН ҮНДСЭН ДЭЭР ШИЙДЭЖ ЧАДНА. МАБ-ын нийтээрээ хүлээн зөвшөөрсөн хандлага
  37. 37. Цогц шийдэл – амжилтын үндэс
  38. 38. Байгууллагын мэдээллийн аюулгүй байдлын удирдлага ЭРСДЭЛИЙН ЭЦСИЙН ҮНЭЛГЭЭ БОЛОВСРУУЛАЛТ АЮУЛГҮЙ БАЙДЛЫН БОДЛОГО М А Б-ын ТОГТОЛЦООГ ЗОХИОН БАЙГУУЛАХ ЭД ХӨРӨНГИЙН УДИРДЛАГА ХҮНИЙ НӨӨЦТЭЙ ХОЛБООТОЙ АЮУЛГҮЙ БАЙДАЛ БАЙР, БАЙШИН БОЛОН ОРЧНЫ АЮУЛГҮЙ БАЙДАЛ ХОЛБОЛТ БОЛОН ҮЙЛ АЖИЛЛАГААНЫ УДИРДЛАГА ХАНДАЛТЫН УДИРДЛАГА МЭДЭЭЛЛИЙН СИСТЕМ СУУРИЛУУЛАХ, ҮЙЛЧИЛГЭЭ ХИЙХ МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН БУДЛИАНЫ УДИРДЛАГА ТАСРАЛТГҮЙ АЖИЛЛАГААНЫ УДИРДЛАГА АУДИТ, НИЙЦЛИЙН УДИРДЛАГА
  39. 39. ЭД ХӨРӨНГӨ – АКТИВ: МАБ-ын үндсэн объектууд Эд хөрөнгө (asset) – Байгууллагад үнэ цэнэ бүхий аливаа зүйлс ISO/IEC 13335-1:2004 Мэдээллийн эд хөрөнгө – • мэдээлэл өөрөө • Мэдээлэл агуулсан эсхүл • Мэдээлэлд хамааралтай Байгууллагын хувьд тодорхой үнэ цэнэтэй аливаа объектууд. Жишээлбэл: өгөгдөл, мэдээлэл, барилга байшин, сүлжээ, систем, ПХ, ТХ, хүний нөөц, байгууллагын нэр хүнд г.м. Энгийн болон нийлмэл нарийн объектууд хэмээн хуваагддаг.
  40. 40. Эд хөрөнгө ХЭРХЭН ХАМГААЛАХ ВЭ??? ЭМЗЭГ БАЙДАЛ АЮУЛ
  41. 41. МАБ-ын үзэл баримт- лалаа тодорхойлох МАБ-ын ҮБ-ыг тодорхойлсон баримт бичиг МАБ-ыг хангах хүрээ хязгаарыг тогтоох Системийн хүрээ хязгаарыг тодор- хойлсон баримт Эрсдэлийн үнэлгээ хийх Аюул, цоорхой, Үр дагаврыг тод-сон ББ Сөрөг а/х,Эрсдэлийн Удирдлага, МАБ-ын БОДЛОГО Захиргаа, дэг, ПХ, ТХ-ийн түвшингээр ангилсан сөрөг а/х, МАБ-ын бодлого МАБ-ыг хангах хяналт удир-ын хэрэгслийг сонгох Байгууллагын Хэмжээний МАБ-ыг Хангах иж бүрэн тогтолцоо МАБ-ын уд-ын тогтолцоог гэрчил- гээжүүлэх, баталгаа- жуулах Нийцлийн тайлан (сөрөг а/х-ний зохист байдлыг үнэлэх) Үндсэн агуулга Үндсэн баримт бичиг МАБ-ын үзэл баримтлал Системийн загвар Эрсдэлийн шин- жилгээ Эрсдэлийн удирдлага бий болж бодлого батлагдана МАБ-ыг хангах иж бүрэн тогтолцоо МАБ-ын хангах тогтолцооны аудит Аюул, заналхийлэл, Эмзэг байдал, цоор- хой, нөлөөлөл Эрсдэлийг удирдах хандлагаа бий болгох, бодлого боловсруулах МАБ-ын хяналтын хэрэгслүүдээ сонгох МАБ-ын удирдлагын тогтолцооны аудит
  42. 42. 44 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Бусад Биет хамгаалалт Гадаад сүлжээний холболтыг хязгаарлах Ажилтнуудыг сургах Зохион байгуулалтын арга хэмжээ МАБ-ын цогц арга хэмжээ 2010 2009 2008 МАБ-ыг хангах арга хэмжээ
  43. 43. Deloitte&Touche-ийн Стивеном Российн санал болгосон график шинжилгээ. 1. Захиалгат ПХ, ТХ – хамгийн бага үр нөлөө. 2. Үйлдлийн систем, ӨСУ системийн өөрийн хамгаалалт – үнэ/чанарын хамгийн сайн харьцаа 3. Зохион байгуулалтын арга хэмжээ (аудит, эрсдлийн үнэлгээ, бодлого, дэг, тасралтгүй ажиллагааны төлөвлөгөө, дэг, журам) – үнэ/чанарын хамгийн сайн харьцаа 4. Өндөр үнэтэй, илүү үр нөлөөтэй хэрэгслүүд – IPS, SSO, PKI, DLP/ILP, МАБ-ын цогц тогтолцоо. Эрсдлийн маш сайн үнэлгээ хийсний үндсэн дээр мөнгө зарцуулах нь зүйтэй. Эрсдлээсээ үнэ нь давж болно. МАБ-ын арга хэмжээний үр нөлөө үнэ Үр нөлөө Суурь хамгаалалтууд 2 Галтхана анти вирус VPN нөөц хуулбар НТДБ-PKI IPS МАБ-ын иж бүрэн систем Нэг удаагийн хандалт Бодлого, дэг SSL Тасралтгүй аудит, эрсдлийн ажилгааны удирдлага удирдлага
  44. 44. 3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ • Стратеги, Бодлого, дэг, • Эрсдлийн үнэлгээ, аудит, МАБ-ын хөтөлбөр • Найдвартай, зөв архитектур, • Мэдээллийн аюулгүй байдлын ойлголт, боловсрол, сургалт; • Зөв зүйтэй хэрэглээ; • Хандалтын удирдлага • Өөрийн вебийн аюулгүй байдал, вебээр дамжин орж ирэх аюулаас хамгаалах • Өгөгдлийн сан, Сервер болон терминалын хамгаалалтын систем • Бизнесийн тасралтгүй ажиллагааны удирдлага; • Мэдээллийн аюулгүй байдлын будлианы удирдлага 46
  45. 45. 3С ХХК-ийн санал болгож буй цаашид үе шаттай хэрэгжүүлэх арга хэмжээ • DDoS-оос хамгаалах систем, Галт хана, халдлага илрүүлэх систем (IPS), чиглүүлэгч • VPN, тоон гарын үсэг, шифрлэлт • МАБ-ын будлианы удирдлага, халдлагын мониторинг • Хамгаалалтын хэрэгслийн конфигурацийн удирдлага, хяналт • Сүлжээний төхөөрөмжүүдийн төвлөрсөн удирдлага • Сүлжээний байнгын мониторинг • Чиглүүлэгчийн протоколын мониторинг, Дуут холбооны хамгаалалт • Техникийн эмзэг байдлын удирдлага, Мэдээллийн дэд бүтцийн удирдлага • Үүлэн тооцооллын аюулгүй байдлыг хангах арга хэмжээ г.м. 47
  46. 46. 3С ХХК-ийн санал болгож буй нэн даруй хэрэгжүүлэх арга хэмжээ • Дараа үеийн Галт хана (халдалтыг илрүүлдэг сүлжээ хоорондын дэлгэц); • Хортой кодын эсрэг ПХ; • Хандалтын хяналт; • Хоёр бүрдэлтэй таньж зөвшөөрөх систем; • Бейж (адилтгах карт); • Биометр аргууд; • Ухаалаг (смарт) карт унших систем; • Биет хамгаалалт, харуул; • Файлд хандах хандалтын хяналт; • Шифрлэлт, тоон гарын үсэг, тоон гэрчилгээ; • Ухамсартай, сайн сургаж бэлтгэсэн ажилтнууд; • Халдалт, нэвтрэлтийг илрүүлэх систем; • ПХ-ыг автоматаар шинэчлэх, сайжруулах, ПХ-ыг удирдах бодлого г.м.
  47. 47. …томоохон байгууллагад Thick Client Browser VPN Mobile Portal ERPПрограмууд SCM CRM Custom Content Mgmt Агуулгын түвшний Info Rights Mgmt Analytics & Reporting Collab SOAНийцүүлэх шийдлүүд BPM ESB RDBMS ӨС-ийн түвшний шийдлүүд XML HardwareДэд бүтцийн шийдэл үйлчилгээ Software Storage Virtualization LDAP Unstructured Workflow Аюулгүй байдлын шийдлүүд
  48. 48. Databases Applications Content Infrastructure Information • Маскирование и преобразование • Управление привилегированными пользователями • Многофакторная авторизация • Аудит и мониторинг активности • Безопасное конфигурирование Identity Management Information Rights Management Мэдээллээ хамгаалах • Назначение/отзыв IT-привилегий • Управление ролями • Универсальная авторизация • Контроль доступа с учетом рисков • Виртуальные каталоги • Аудит использования документов • Предоставление и блокирование доступа к документам • Безопасность документов внутри и вне межсетевых экранов Database Security
  49. 49. Хэрэглээний програмуудын аюулгүй хэрэглээ Role Management Entitlements ManagementIdentity Management Cryptographic Acceleration Key ManagementSecure OS & Virtualization Database & Network Encryption Strong AuthN and AuthZ, Auditing, Firewall Propagated Directories Data Access ManagementVirtual & Core Directories Network Encryption Strong AuthN and AuthZ, JavaSecurity, SSO, SAML Access Management Fraud PreventionIdentity Federation Network Encryption Strong AuthN and AuthZ, JavaSecurity, SSO Многоуровневаякластеризацияи виртуализацияобеспечивают отказоустойчивостьимасштабирование Сквознаяинтегрированнаябезопасность
  50. 50. Safeguarding Your Computer Practical Steps • 1.Secure your computer (log out, lock the office) • 2.Account management (user roles, permissions) • 3.Use strong passwords • 4.Get the latest updates • 5.Install anti-virus and anti-spyware software • 6.Use a firewall • 7.Browse the Internet safely • 8.Make regular backups • 9.Secure wireless networks • 10.Learn what to do if something goes wrong. 52
  51. 51. What Needs to be Protected? • Your Identity, Your Privacy • Your Personal Information, Your Money –Others’ Identity, Information, PrivacyThings Cal Poly has entrusted you with – Your login - What you have access to 53
  52. 52. Safe Computing Practices 54
  53. 53. How do I Protect my Information? • Keep your computer safe, protected: • Use trusted software, keep your software updated • Run anti-virus, anti-spyware • Be wary of suspicious emails, prompts for updates, pop-ups, URLs or links • Use strong passwords, keep portal password unique 55
  54. 54. Keep Software Updated • Run trusted software • Regularly update your computer, software, Operating system • Browser • Instant messenger • Email • Consult with your network administrator 56
  55. 55. Updating Software 57
  56. 56. Бусад програмын шинэчлэлт 58
  57. 57. Run Anti-Virus, Anti-Spyware • Download it for free at үйлдвэрлэгчийн сайтнаас • Keep definitions updated Set to automatic updates 59
  58. 58. Be Wary of Suspicious Emails, Links, Updates • It’s never appropriate or OK for someone to ask you for your login and password in email • Never provide your login and password in email • Look at the address in the URL to figure out if it’s legitimate • URLs with a lot of numbers and letters are usually a scam • Google the address if you’re not sure • Scam URL examples: • http://online.ao.uk.citibank.kz/cgi • http://swissbank.online.org/getyourwinnings.html • http://165.256.115.60/wellsfargo.html • http://www.kalamazoo.cz/www.bankofamerica.com/index.html 60
  59. 59. Scam Flash Player, Scam Anti- Virus • Be CAUTIOUS when PROMPTED to update anti-virus or flash player • You never get software for nothing… 61
  60. 60. Scam Email Dear Internet User • We are happy to inform you that you have emerged winner of $500,000.00 (Five Hundred Thousand US Dollars) in the European Union Micro Project Award Draws. • . . . • To begin your claim, you are required to email the under listed • information to our claims agent • 1. Name and Address – Nationality – Age – Occupation – Phone/Fax 62
  61. 61. Caution: Fake Antivirus 63
  62. 62. Caution: Fake Antivirus Update Don’t click on the link, button Your Clues: 1. Know what your updates look like 2. Be suspicious if you are prompted for updates What you can do: 1. Run the software yourself (not from the link) and “check for updates” OR 2. Go to software vendor Website and check for updates 64
  63. 63. Use Strong Passwords • Use different passwords for different services • Keep your Cal Poly portal password unique, don’t use it anywhere else – Use 1-2 alphabetic characters in a row, don’t use 3 in a rowa. Example: Use rt, not rtU – Use 1-2 numeric characters in a row, not 3a. Example: Use 39, not 391 or 4421 • Use special characters in your password – Choose a password with at least 3 character types a. Lowercase letters, numbers, special characters, uppercase letters • Think of a phrase such as ‘Learn by Doing; for Cal Poly.’ Substitute characters, numbers and special characters for the first letter of each word in the phrase. For example: L-bd;4Cp. • Change your password any time you suspect it has been compromised 65
  64. 64. Identity Safety and Theft Prevention • Invest in a shredder. Shred all documents that have your personal information on it. Shred those pre- approved credit applications you don’t want. • Monitor your credit reports. • Mail your bills at the Post Office close to pickup times. • Don’t give out your Social Security number unless you verify why it is needed, such as for bank accounts or loans. • Protect your purse or wallet and keep only necessary information in it. • Don’t respond to unsolicited e-mails or phone calls. 66
  65. 65. What we need is… • …easy access to Cal Poly information and resources for those who shouldhave it • …extremely difficult for those who shouldn’thave it • The Cal Poly Password helps meet these needs for campus services. • Individually, needs are simple. • Together, they pose a challenge. 67
  66. 66. Balancing The Needs • Unrealistic Extremes: • •easiest access = no password(like no locks on your door) • •strongest protection = long/random password + token + retina scan + etc. (like living in a bank vault) 68
  67. 67. Balancing The Needs • The world is our neighborhood. • Real solutions require tradeoffs based on perceived risk: password guessing 69
  68. 68. The Balance Today • One password, many services • Strict password rules • No retina scan or fingerprint required! • Passwords usable indefinitely • Next: Dan and changes to staybalanced. 70
  69. 69. A hard to guess password can still be weak… (Just because it’s propaganda doesn’t mean it’s not true!) 71
  70. 70. Changes to Maintain Balance • Password Expiration – new password must be set yearly – plenty of advance notice • Acknowledge Policies – those forms you don’t remember signing • Later: changes to password rules, process – we hope to make your life a little easier 72
  71. 71. If talk of changing passwords gives you a sinking feeling…. 73 (to further muddy the metaphor)
  72. 72. What is identity theft? • •Legal definition: • “Fraud related to activity in connection with identification documents, authentication features, and information” • “Identity theft is the fastest growing crime in America, with 9.9 million victims reported last year” 74
  73. 73. Information theft… Powerful information: • –credit card accounts • –bank accounts • –passwords and PINs • –SSN • –driver’s license 75
  74. 74. Who perpetrates this fraud? • •Anyone who has or can get access to your information: • –Insiders (local, or not) • –Dumpster divers, burglars, pick pockets, etc. (local, or not) • –Criminal underground on the Internet • •Out to get someone… 76
  75. 75. How they do it… • •Phishing • •Viruses/Worms/Trojans -Botnets • •95% of email is SPAM • Overview of criminal underground Байнга санаж явах • •Identity = information = money • •You’ll do (so take precautions) • •Be vigilant • •Report suspicious activity 77
  76. 76. Спам • Why Overpay for Designer Shoes? 78
  77. 77. Can You See the Difference? 79
  78. 78. Фишинг - Verify Your Account Information 80
  79. 79. Why SPAM and Phishing? • Low Risk + High Reward + Opportunity = Criminal’s Dream Someone is falling for it! Who Perpetrates This Fraud? • •Anyone who can send an email • •People who send lotsof emails • •90%+ email on Internet is SPAM/Phishing • •Mostly sent via Botnets 81
  80. 80. Botnets (Hundreds of billions) 82
  81. 81. A Blessing and Curse… 83 •Компьютер авчихаад ашиглахгүй байх уу? Үгүй • Don’t be a bot! –Your ISP may have already contacted you…(but be sure!) •Gain knowledge, be skeptical, use the tools –…stay tuned
  82. 82. Social Networking How To Be Safe On-Line 84 •Relationships between people •Web site that knows who you know, encourages interaction
  83. 83. Responsible Use: What’s Covered? • •Authorized Use / Access•Data Security, Confidentiality & Privacy•Electronic Information Retention & Disclosure•Network / System Integrity•Commercial Use•Political Advocacy•Harassment•Copyright & Fair Use•Trademarks & Patents•Electronic Communications•Web Sites & Accessibility to Digital Content 85
  84. 84. Trusting Your Computer • Practical Steps • 1. Secure your computer (log out, lock the office) • 2. Account Management (user roles, permissions) • 3. Use strong passwords • 4. Get the latest updates • 5. Install anti-virus and anti-spywaresoftware and • keep their definitions updated • 6. Use a firewall • 7. Browse the Internet safely • 8. Make regular backups • 9. Secure wireless networks • 10. Learn what to do if something goes wrong 86
  85. 85. Facebook-д та яах ёстой вэ? 87
  86. 86. 10 Privacy Settings Every Social Networking User Should Know • 1: Use friends list 88
  87. 87. 10 Privacy Settings Every Social Networking User Should Know 89 2: Remove yourself from Facebook search results Default is set to “network”
  88. 88. 10 Privacy Settings Every Social Networking User Should Know 90 3: Remove yourself from the Google search engine Turn off “create a public search listing…”
  89. 89. 10 Privacy Settings Every Social Networking User Should Know 91 4: Avoid embarrassment from photo/video tags Set as: Custom Only Me None of My Networks
  90. 90. 10 Privacy Settings Every Social Networking User Should Know 92 5: Protect your photo albums – Manually configure the visibility of each album – Be sure to check visibility settings each time you upload a new photo album
  91. 91. 10 Privacy Settings Every Social Networking User Should Know 93 6: Prevent stories from showing up in friends’ news feeds
  92. 92. 10 Privacy Settings Every Social Networking User Should Know 94 7: Protect against published application stories If you add an application, scan your profile
  93. 93. 10 Privacy Settings Every Social Networking User Should Know 95 8: Make your contact information private Only make email & phone numbers available to close contacts
  94. 94. 10 Privacy Settings Every Social Networking User Should Know 96 9: Avoid embarrassing wall posts Prevent your wall posts from being announced in friends’ news feeds Turn off relationship status
  95. 95. 10 Privacy Settings Every Social Networking User Should Know 97 10: Keep your friendships private Not everyone wants to live public lives!
  96. 96. Анхаарал тавьсанд баярлалаа www.sssmn.com info@sssmn.com 70113151 98
  97. 97. Questions 99

×