Information security

Ариунчимэг Өсөхбаяр

• 2022-08-13

Мэдээллийн аюулгүй байдал гэж юу вэ?

Мэдээллийн аюулгүй байдал нь зөвхөн мэдээллийг зөвшөөрөлгүй нэвтрэхээс хамгаалах тухай биш юм. Мэдээллийн аюулгүй байдал гэдэг нь үндсэндээ мэдээллийг зөвшөөрөлгүй нэвтрэх, ашиглах, задруулах, тасалдуулах, өөрчлөх, шалгах, бүртгэх, устгахаас урьдчилан сэргийлэх үйл ажиллагаа юм. Мэдээлэл нь биет эсвэл цахим байж болно. Мэдээлэл нь таны дэлгэрэнгүй мэдээлэл гэх мэт ямар ч байж болно, эсвэл бид таны нийгмийн сүлжээн дэх профайл, гар утасны өгөгдөл, биометрийн мэдээлэл гэх мэт байж болно. Тиймээс Мэдээллийн аюулгүй байдал нь криптограф, хөдөлгөөнт тооцоолол, кибер шүүх шинжилгээ, онлайн нийгмийн мэдээллийн хэрэгсэл гэх мэт маш олон судалгааны салбарыг хамардаг.

Мэдээллийн аюулгүй байдал нь үндсэн 3 зорилтыг тойрон бүтээгдсэн байдаг.

1. Нууцлал гэдэг нь мэдээллийг зөвшөөрөлгүй хувь хүн, аж ахуйн нэгж, процесст задруулахгүй байхыг хэлнэ. Жишээлбэл, бид миний Gmail акаунтын нууц үгтэй гэж хэлэх боловч хэн нэгэн намайг Gmail акаунт руу нэвтрэх үед харсан бол таны нууц үг алдагдаж нууцлал задарсан гэсэн үг юм.

2. Бүрэн бүтэн байдал – мэдээллийн үнэн зөв, бүрэн бүтэн байдлыг хадгалахыг хэлнэ. Энэ нь өгөгдлийг зөвшөөрөлгүй засварлах боломжгүй гэсэн үг юм.

3. Бэлэн байдал – шаардлагатай үед мэдээлэл бэлэн байх ёстой гэсэн үг. Жишээлбэл, хэрэв ажилтан амралтынхаа тоог хэтрүүлсэн эсэхийг шалгахын тулд тухайн ажилтны мэдээлэлд хандах шаардлагатай бол энэ тохиолдолд сүлжээний үйл ажиллагаа, хөгжлийн үйл ажиллагаа, ослын хариу арга хэмжээ, бодлого/өөрчлөлтийн менежмент зэрэг янз бүрийн байгууллагын багуудын хамтын ажиллагаа шаардлагатай болно.
Үйлчилгээг үгүйсгэх халдлага нь мэдээллийн хүртээмжийг саатуулж болох нэг хүчин зүйл юм.

Мэдээллийн аюулгүй байдлын хөтөлбөрийг зохицуулдаг зарим нэг зарчим. 

Татгалзахгүй байх – нэг тал мессеж, гүйлгээг хүлээн авахаас татгалзаж чадахгүй, нөгөө тал нь мессеж илгээх, гүйлгээ хийхээс татгалзаж чадахгүй гэсэн үг. Жишээлбэл, криптографийн хувьд мессеж нь илгээгчийн хувийн түлхүүрээр гарын үсэг зурсан тоон гарын үсэгтэй тохирч байгааг харуулахад хангалттай бөгөөд илгээгч нь мессеж илгээсэн байж болох ба түүнийг дамжуулах явцад өөр хэн ч өөрчлөх боломжгүй байсан. Өгөгдлийн бүрэн бүтэн байдал ба жинхэнэ байдал нь үгүйсгэхгүй байх урьдчилсан нөхцөл юм.

Жинхэнэ байдал – гэдэг нь хэрэглэгчдийг өөрсдийнх нь хэлж буй хүн мөн эсэхийг, очих газарт ирж буй мэдээлэл бүр итгэмжлэгдсэн эх сурвалжаас ирсэн эсэхийг шалгахыг хэлнэ. Энэ зарчмыг дагаж мөрдвөл итгэмжлэгдсэн эх сурвалжаас зөв дамжуулалтаар дамжуулан хүлээн авсан хүчинтэй, жинхэнэ мессежийг баталгаажуулна. Жишээлбэл, дээрх жишээг авч үзвэл илгээгч нь мессежийн hash утга болон хувийн түлхүүрийг ашиглан үүсгэсэн тоон гарын үсгийн хамт мессежийг илгээдэг. Одоо хүлээн авагч талд энэ дижитал гарын үсгийг нийтийн түлхүүрээр тайлж hash утгыг үүсгэж, мессеж дахин hash утгыг бий болгодог. Хэрэв 2 утга таарч байвал энэ нь жинхэнэ мессежтэй хүчинтэй дамжуулалт гэж нэрлэгддэг эсвэл хүлээн авагч талд хүлээн авсан жинхэнэ мессеж гэж бид хэлдэг.

Хариуцлага гэдэг нь тухайн аж ахуйн нэгжийн үйл ажиллагааг зөвхөн тухайн аж ахуйн нэгжид хянах боломжтой байх ёстой гэсэн үг юм. Жишээлбэл, ажилтан бүр бусад ажилчдын мэдээлэлд өөрчлөлт оруулахыг зөвшөөрөх ёсгүй. Үүний тулд тухайн байгууллагад ийм өөрчлөлт хийх үүрэгтэй тусдаа хэлтэс байдаг бөгөөд тэд өөрчлөлт оруулах хүсэлтийг хүлээн авбал тухайн албан бичигт дээд байгууллага гарын үсэг зурсан байх ёстой, тухайлбал коллежийн захирал, тухайн өөрчлөлтийг хуваарилсан хүн ийм өөрчлөлт хийх боломжтой болно. Түүний био хэмжигдэхүүнийг баталгаажуулсны дараа өөрчлөх, ингэснээр хэрэглэгчийн (өөрчлөлт хийх) дэлгэрэнгүй мэдээллийг бүртгэх цагийг тэмдэглэнэ. Иймээс хэрэв өөрчлөлт ийм болвол тухайн аж ахуйн нэгжийн үйлдлүүдийг тусгайлан хянах боломжтой болно гэж хэлж болно.

Мэдээллийн аюулгүй байдлын салбар сүүлийн жилүүдэд ихээхэн хөгжиж, хөгжиж байна. Энэ нь сүлжээ болон холбогдох дэд бүтцийг хамгаалах, программууд болон мэдээллийн баазыг хамгаалах, аюулгүй байдлын тест, мэдээллийн системийн аудит, бизнесийн тасралтгүй төлөвлөлт гэх мэт олон чиглэлээр мэргэшүүлэх боломжийг санал болгодог.