Д.Отгонбат: Мэдээллийн аюулгүй байдлыг компанийн бусад эрсдлийн нэгэн адил бодлогын дээд түвшинд авч үзэх ёстой

XXI зуун бол мэдээллийн эрин зуун. Хэнд мэдээлэл байна, тэр хүнд давуу тал байна. Хэн мэдээллээ алдана, тэр давуу талаа алдаж байна.

Тогтвортой хөгжлийн зөвлөх үйлчилгээний Обзерв Консалтинг байгууллага нэгэн сонирхолтой сургалтыг зохион байгуулахаар ажиллаж байна.  Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог байгууллагад хэрэгжүүлэх мэргэжилтэнг бэлтгэх ISO 27001 LEAD IMPLEMENTER  олон улсын гэрчилгээ олгох сургалтыг Монголд Анх удаа албан ёсоор зохион байгуулахаар бүх бэлтгэл ажил хангагджээ.Тиймээс ч бид энэ талаар Обзерв Консалтингийн Зөвлөх үйлчилгээний байгууллагын  захирал Д.Отгонбаттай уулзаж  цаг үеийн хэрэгцээ шаардлагад нийцсэн энэхүү сургалтын талаар ярилцлаа. 


- Танай байгууллага мэдээллийн аюулгүй байдлын мэргэшилтний сургалт явуулах гэж байна. Мэдээллийн аюулгүй байдал гэж ер нь юуг хэлдэг вэ?
- Мэдээллийн аюулгүй байдал гэхээр ихэнх хүн зөвхөн IT-тэй холбож ойлгодог. Гэтэл энэ нь маш өргөн хүрээний ойлголт юм. 

Олон улсын стандарчлалын байгууллагаас мэдээллийн аюулгүй байдлын олон улсын ISO27001 стандартыг батлан гаргасан. Энэ стандартын үзэл баримтлалаар мэдээллийн аюулгүй байдал нь хоорондоо уялдаа бүхий гурван цөм ойлголтын дунд бий болдог. 

  • Мэдээллийн нууцлал (confidentiality), 
  • Хүртээмжтэй байдал (availability), 
  • Үнэн зөв бодитой байх (integrity) гэсэн гурван хүчин зүйл бүрдэж байж сая мэдээллийн аюулгүй байдал хангагдах  гэж үзэх юм. 

- Мэдээллийн аюулгүй байдалд сөргөөр нөлөөлдөг гол хүчин зүйлүүдээс та нэрлэхгүй юу?
- Мэдээж олон хүчин зүйл нөлөөлнө. 2015 онд АНУ-н МАБ-ын судалгааны хүрээлэнгээсмэдээллийн аюулгүй байдалд хүнээс 54 хувь, IT-аар дамжин 14 хувийн нөлөөлөл байдгийг тогтоосон.  Хүнээс нөлөөлсөн гэдэгт санаатай болон санамсаргүй үйлдэл, мэдлэг ойлголтын дутагдалтай байдал, бодлого, процедур, зохицуулалтын дутагдал гэх мэт олон хүчин зүйл орно.

Дэд бүтэц буюу IT-н замаар орж ирэх халдлагууд (вирус, хакер гэх мэт) мөн ноцтой ч эдгээрээс сэргийлэх, хамгаалах боломж, шийдлүүд их байдаг. Үр дүн ч сайн. Гэтэл ХҮН гэдэг сувгийг  удирдах нь хамгийн том сорилт мөн гэдгийг хаа хаанаа хүлээн зөвшөөрдөг. 

- Мэдээллийн аюулгүй байдал бизнест хэрхэн нөлөөлдөг вэ?
- Бизнесийн байгууллага бүр мэдээллийн аюулгүй байдалтай холбоотой ямар нэг таагүй дурсамжтай байдаг. Борлуулалын мэдээгээ алдсан, шинээр гаргахаар зэхэж байсан шинэ бүтээгдэхүүнийхээ ноү-хауг өрсөлдөгчдөө алдсан, тендерт санал болгох үнээ алдсанаас болж тендерт ялагдсан гэх мэтээр энэ төрлийн асуудалтай нүүр тулгарсан байж таардаг.
  
Сая болж өнгөрсөн сонгуулиар хэд хэдэн вэб сайт халдлагад өртөж ажиллаагүй хэд хоносон. АСЕМ-ийн үеэр банкуудын ATM дээр залилан гарсан талаар мэдээлэл явж байна. Хэдэн жилийн өмнө төрийн хэд хэдэн вэб сайтууд халдлагад өртөж саатсаныг бид санаж байгаа. 

Төрийн үйлчилгээний нэгэн байгууллагын нэлээд чухал мэдээллийг хулгайлж олон нийтэд цацсан гэх мэт тохиолдлууд монголд гарч байсан.
 
Хоёр жилийн өмнө SONY pictures “Interview” киногоо нийтэд гаргахаасаа өмнө хулгайд алдсан. Дэлхийн хамгийн том банкны нэг HSBC-ийн харилцагч нарын дансны мэдээллийг хакердсан хакер банкнаас их хэмжээний мөнгө нэхсэн ба банк өгөхөөс татгалзахад нь олон нийтэд зарласан шуугиан саяхан гарлаа.

Гэрчилгээ олгох шалгалтыг авах, үнэлэх процесс нь биднээс хараат бусаар явагддаг

 

Дээрх жишээнүүд бүгд л мэдээллийн аюулгүй байдалтай холбоотой.

XXI зууныг мэдээллийн зуун гэдэг. Мэдээлэл хэнд байна, тэр хүн давуу талтай, хэн мэдээллээ алдана, тэр давуу талаа алдана. 

Өнөөдрийн бизнесийн удирдагчид мэдээлэл түүний аюулгүй байдал чухал гэдгийг хэдийнэ хүлээн зөвшөөрч ойлгодог болсон. Гэвч үүнийг хэрхэн хангах талаар ноү-хау, мэдлэг, ойлголт дутагдалтай байгаа нь үнэн юм.  Тийм ч учраас бид энэ удаад бид Мэдээллийн аюулгүй байдлын ISO 27001 стандартыг хэрэгжүүлэгч мэргэжилтний олон улсын lead implementer түвшний сургалтыг есдүгээр сарын 12-16-нд Улаанбаатар хотноо зохион байгуулахаар төлөвлөөд ажиллаж байна.  

- Олон улсын гэрчилгээ гэдгийг илүү тодруулахгүй юу?
- Бид Канадад төвтэй PECB байгууллагын онцгой эрхээр олон улсын гэрчилгээ олгох сургалтуудыг Монголд албан ёсоор явуулдаг.  PECB нь (Professional Evaluation and Certification Board) нь салбарын мэргэжилтнүүдийн чадавхийн үнэлгээг хийж, тэдгээрийг баталгаажуулдаг олон улсын итгэмжлэгдсэн байгууллага юм. Товчхондоо ISO стандартуудыг байгууллагад хэрэгжүүлэх (implementer) болон энэ талын сургалт болон аудитыг явуулах олон улсын мэргэжилтнүүдийг (expert) үнэлж, шаардлага хангасан мэргэжилтнүүдийг нотлон баталгаажуулдаг. 

Обзерв Консалтинг нь энэхүү байгууллагын Монгол дахь албан ёсны түншээр 2013 оноос  итгэмжлэгдэн ажиллаж байна. Бид өмнө нь чанарын удирдлагын тогтолцооны ISO 9001 Lead auditor, бизнесийн тасралтгүй байдлын  ISO22301 Lead implementer сургалтуудыг албан ёсоор Монголд явуулж байсан.

- Энэ сургалтанд хэн хамрагдвал зохих вэ?
- Томоохон байгууллагууд Chief Information Officer гэдэг албан тушаалыг бий болгосон байдаг. Үүнээс гадна мэдээллийн аюулгүй байдалд үүрэг бүхий ажилтнууд, IT-ийн ажилтнууд,  нийцэл хариуцсан ажилтнууд (Compliance manager), эрсдлийн удирдлага хариуцах үүрэг бүхий ажилтнууд хамрагдвал илүү тохиромжтой.
 
Оролцогч нар сургалтандаа бүрэн хамрагдсанаар шалгалтаа өгөх эрх үүсэх ба шалгалтанд 70%-аас дээш амжилт үзүүлсэн оролцогч нарт олон улсын гэрчилгээ олгодог. Гэрчилгээ олгоход бас бус шаардлага тавигдана.  Шалгалтыг авах, үнэлэх процесс нь биднээс хараат бусаар явагддаг.
 
- Орчин үед туйлын хэрэгтэй байгаа чиглэлд ажил санаачлан хийж байгаа та бүхэн амжилт хүсье.
- Баярлалаа.  

Мэдээ таалагдсан бол лайк дарна уу