Аж ахуйн нэгжүүд нь өөрсдийн өгөгдөл болон хамгийн үнэ
цэнэтэй зүйлсээ хамгаална гэсэн маш их дарамтанд байдаг нь мэдээж.
Тэд үргэлж хамгийн сүүлийн үеийн халдлага ,эсрэг арга хэмжээ болон физик
аюулгүй байдлыг хэрхэн хангах гэх мэт үргэлж халдлагаас урьдчилан сэргийлж
байдаг. Арга хэмжээ авахад ихээхэн зардал шаардана.
Асуудлыг шийдвэрлэх
Бизнесийн асуудал дээр өгөгдлийн баазын аюулгүй байдал чухал үүрэгтэй байх ёстой ба энэ нь оюуны өмчийн хулгай болон сул зогсолтоос компанийг хамгаалдаг байнгын хаяг нэмэх болно. Саяхан танилцуулсан Ovum -ийн ахлах мэдээллийн ажилтнуудын тоог өсгөх нь гэрийн IT менежментийн програм болон аюулгүй байдлыг сайжруулах нь гэж үзэж байна. Шинжээчдийн судалгаагаар 500-аас дээш мэдээллийн ажилтнуудбайгаа бөгөөд 7% нь дэлхийн судалгааг 18% аас доошгүй хувь нь дараагийн 2 жилийн IT аюулгүй байдлын талаар судалж байна. CIO ын үнэ цэнийг олоход олон компаниуд өөрсдийн үйл ажиллагааг санал болгодог аль гуравдагч тал тэдгээр бизнест хамгийн сайн таарах вэ гэдгийг шийдэхэд маш хэцүү - яагаад? тэд бүх aутсоринг(outsourcing) хийх ёстой.
“CIO ын үнэ цэнийг олоход олон компаниуд
өөрсдийн үйл ажиллагааг санал болгодог аль гуравдагч тал тэдгээр бизнест
хамгийн сайн таарах вэ гэдгийг шийдэхэд маш хэцүү”
Энэ нь аутсорсингоор(outsourcing) үйлчилгээ үзүүлэгч чаддаг байх
хэрэгтэй бөгөөд үнэ өртөг болон саналаас илүү энгийн tick-box аюулгүй байдлын
боломжуудыг олох нь тодорхой юм. Байгууллагууд нь аюулгүй байдлаа хангахдаа
итгэмжлэгдсэн төлөөлөгчдөөрөө чухал үүргээ даатгадаг учир нь хамтран
ажилладаг ажилтнуудынхаа үйлчилгээ болон ур чадварыг ашиглах нь илүү давуу
талтай гэж үздэг байна.
Аюулгүй байдал нэмэх
Зарим IT менежер болон аутсорсингийн(outsourcing) хувьд
гуравдагч этгээдийн нийлүүлэгчийн энгийн бизнес хийх нь ямар ч ач холбогдолгүй
юм: бусдын төлөө, гэр бүлийнхээ ямар нэгэн зүйлийг байлгах нь
бахархал юм. Мэдээллийн төвд олон талаас удирдах аюулгүй байдлын процесс нь
илүү баталгаатай болж байна. Саяхан мэргэжилтнүүд энэ нь
аюулгүй байдлын хувьд х байгууллагууд болон томоохон аж ахуй
нэгжүүдийн зардал уналт болон үр ашгийг нэмэгдлийг хөтлөх нь өөрсдийн зардлаас
өөрсдөө үнэ өртгийн мэдээллийг цуглуулж дүгнэх нь тэдгээрийн аюулгүй
байдлын үүрэг юм.
Аюулгүй байдлын үүрэг нь тэдгээрийн үнэ цэнэ болон илүү баталгаатай байх
Аж ахуйн нэгжүүд нь IT-ын үйл ажиллагааг
өөрчлөх үйл ажиллагааг дэмжих хүсэлтэй байдаг энэ нь стратегийн бүрэлдэхүүн
хэсэгт хөтөч шинэчлэл , үр ашиг өрсөлдөх давуу тал гэх мэтээс үр дүнг харж
болно. Аюулгүй байдлын үйл ажиллагаа нь ямар ч эргэлзээгүй байх
тэдний стратегийн аюулгүй байдлыг удирдах нь гол замыг албадан дагах
хандлага харин зардлыг багасгах нь гуравдагч этгээд боломж олгох итгэмжлэгдсэн
туршлагыг хүлээх юм.
TWO WORLDS
Аюулгүй байдлын талаарх дэлгэрэнгүй тулгуур ойлголт нь
аюулгүй байдлын давхаргыг олон талаас нь авч үзэх болно. Физикийн аюулгүй
байдлыг хамгаалах давхарга болон дэд бүтэц түүний өгөгдлөөс хамаарна. Хамгаалагдсан чухал бизнесийн мэдээллийн талаар тоног төхөөрөмжийг хамгаалах
хөрөнгө болон технологийн аюулгүй байдлын талаарх мэдээллийн аль алиных нь
талаар ойлголттой байх шаардлагатай. Ийм учраас мэдээж бүх мэдээллийн
төв аюулгүй байдлыг хамарсан зүйл цар хүрээ, хандалтын
системээ CCTV болон 24/7 камер менежмент физик серверээр мэдээлнэ.
Физик хамгаалалт нь хандалтын хяналттай дам тохижилт болон CCTV хяналт,
хүртээмжийг багасгадаг. Дохиоллын систем, карт хандалтын технологи байдлыг
хангах нь зөвхөн тухайн эрх бүхий ажилтаныг оруулж болно. Мөн
халдлага илрүүлдэг байх хэрэгтэй Үүнээс гадна мэдээллийн төвийн
дотоод нь хандалтын хяналт, 24/7 хамт хамгаалагдсан ажилтан эргүүлтэй байх
ёстой. Байшин доторх багийн дуудлага нь ихэвчлэн тусдаа газар байдаг байгууллагын
ерөнхий аюулгүй байдал нь: Үүнээс гадна, ийм бизнест асуудлууд тасралтгүй
байдаг байгууллагатай холбоотой зардал, агааржуулагч, нөөц аюулгүй байдал,
үйлчилгээний хүртээмж. засвар үйлчилгээний ажилтнууд гэх мэт зардалуудаа багасгаж
гуравдагч этгээдтэй хуваалцах нь үр дүнтэй байдаг. Стратегийн гол цэгээс нь
өндөр зориулалтын багийг ажиллуулж бэлтгэгдсэн мэргэжилтэнүүдээс хонгилдох галын
хөдөлгүүр нь зүгээр л галын тохиолдолд байдаг гэх
зэргийг мэдэж авах юм.
Сүлжээг төвлөрүүлснээр
Ихэнх тохиолдолд, том компаниудын мэдээллийн төв нь IТ-ийн
тоног төхөөрөмж (мэйнфрэймүүдээс болон бусад компьютерийн сервер,
дискний фермерийн аж ахуй, соронзон хальс зэргээс бүрдэнэ, сүлжээний тоног төхөөрөмж, гэх мэт) сүлжээний
мэдээллээс бүрдсэн байдаг. Энэхүү мэдээлэл нь нийтийн биеийн
аюулт байдал хулгай, эрүүгийн болон санамсаргүй байдлаар физик
гэмтэл, цахилгаан эрчим хүч, тоног төхөөрөмж, түймэр хэт халалтаас
нэмэгдүүлдэг. Гэмтсэн IT тоног төхөөрөмжийн засч болно эсвэл маш
амархан сольж их хэмжээний үйл явдал нөлөөлж бараг орлуулшгүй болох
боломжтой. Харин оронд нь итгэмжлэгдсэн хөндлөнгийн мэдээллийг дотор сүлжээний
төв-д нь зохион зөвхөн том байгууламж хамгаалагдсан байна.
The network itselfИжил төвшинд удирдаж аюулгүй байдал нь 24/7 хяналт шинжилгээ, чанд хандалтын хяналтанд байж зөвхөн өндөр үнэтэй, илүү хэцүү нарийн төвөгтэй ч тэдгээр нь зүгээр л чиг үүргийн гол цөм юм. Процессын аюулгүй байдлыг шалгах үед холбоотой нэмэлт ашиг үйл явц, журмыг ашиглах нь томоохон хамтран байршил нийлүүлэгч байрлуулах стандартын газарт түүний янз бүрийн хэрэглэгчдийн хэрэгцээ байдаг. Аюулгүй бүтээгдэхүүн болох Next- Generation Networks (NGN) нь бизнесийн хамгийн сайн хамгаалалт мөн нарийн, өндөр хурдны сүлжээ юм. Эдгээр нь IT дэд бүтцийг оновчтой болгох мэдээлэл болон видео зэрэг бусад бүх хэвлэл мэдээллийн хэрэгсэл дуу хоолойг нэг платформд хангах юм. Эдгээр дээр сүлжээг урьдчилан сэргийлэх систем болон гадаад халдлагаас хамгаалахын тулд аль болох хурдан тайлагнах систем болон сүлжээний бие хамгаалах програмууд сайтын аюулгүй байдалд ажиллуулж болно. Аж ахуйн нэгж үргэлж ямар нэгэн болзошгүй зорилт байдаг учир нь сүлжээний халдлагуудын хэрэглэгчийн мэдээлэл их хэмжээгээр хадгалах эсрэг хамгаалах зорилгоор энэ нь сүлжээний аюулгүй байдалд байх ёстой гэж үздэг.
Due diligence /Магадлан шинжилгээ
Хамтран байршил байгууламжын ашиг тус нь аюулгүй байдлын өндөр түвшин нь
ердөө л мэдээллийн хадгалалт юм . Ижил түвшинд удирдаж аюулгүй байдал нь 24/7 хяналт шинжилгээ,
чанд хандалтын хяналтанд байж зөвхөн өндөр үнэтэй, илүү хэцүү нарийн төвөгтэй ч
тэдгээр нь зүгээр л чиг үүрэгийн гол цөм юм. Процессы аюулгүй байдлыг шалгах үед холбоотой
нэмэлт ашиг үйл явц, журмыг ашиглах нь томоохон хамтран байршил нийлүүлэгч
байрлуулах стандартын газарт түүний янз бүрийн хэрэглэгчдийн хэрэгцээ байдаг.
If you have multiple parties responsible for different areas of the business it is far more complicated, and less likely, for a deliberate breach to occur”
Тэдний бизнесийн хэрэгцээ шаардлагаас хамааран өөр өөр аж
ахуйн нэгж нь үргэлж байдаг. Аюулгүй байдлын өөр
өөр төвшинг шаарддаг. Тэдгээр нь их хэмжээний
кредит картын мэдээлэл жишээ нь: төлбөрийн дагаж мөрдөх ёстой\Картын
Аж үйлдвэрийн Мэдээллийн аюулгүй байдлын стандарт(PCI DSS) боловсруулдаг.
Эдгээр нь хувийн харьцах мэдээллийн шаардлагыг хангасан,
өгөгдөл хамгаалах тухай хууль, улсын салбарын байгууллага байх ба харин засгийн
газрын зэрэг физик сүлжээний аюулгүй байдал байх хэрэгтэй. Энэ дүрэм журам нь нийлүүлэгчийн
найдвартай байдал,баталгааг хангаж өгдөг.Энэ нь аюулгүй байдлыг хангах нэг
чухал дүрэм журам нь болдог.Их хэмжээний өгөгдөлтэй ажиллахдаа тухайн
заасан дүрэм журмыг баримтлан ажиллах нь зүйтэй.Ингэснээр таны
бизнесийн ажилтанд бага хохирол учруулна.
Дотоод бүтэц:
Мэдээж байгууллагын мэдээлэл
өөрийнхөө дотоод халдлагаас хамгаалагдсан байх ёстой.Хэрэв халдлага илэрвэл түүнийг
даруй илрүүлж засах хэрэгтэй.Дотоод халдлага нь эдийн засгийн
ялгаатай байдал зэргээс хамаарч халдлага хийх магадлал ихсэж,багасдаг.Жишээ нь
: дэлхийн эдийн засгийн ялгаатай байдлаас хамаарч цахим гэмт хэргийн гаралт
ихэсдэг.Эдийн засаг хямарснаар далимдуулан хувь хүнийг мэдээлэл рүү халдах
халдлага ихэсдэг.Үүнээс хамгаалахын тулд сүлжээний цэг бүр дээр аюулгүй байдлыг
нь хангаж өгөх нь зүйтэй.Харин дотоод халдлага нь зөөврийн компьютер,usb keys
зэргээр мэдээлэл алдагдах халдлагууд их гардаг.Ажилчид тэдгээрийн аюулгүй
байдлыг хангахын тулд хэн хэн систем рүү хандаж болох зэргийг
тодорхойлох хэрэгтэй.Бүх хэрэглэгчийг хяналт тавьж ажиллаж байх хэрэгтэй юм.
Гадна аюулгүй байдал түүнийг тохируулах:
Мэдээлэл хаана ч
байсан хамгаалагдсан байх ёстой.Учир нь мэдээлэл хүний маш үнэтэй зүйлийг
агуулах тул түүнээс шалтгаалж олон зүйл өөрчлөгдөх байдалд ордог.Мөн
хүний алдар хүндтэй холбоотой зүйл юм.Эхлээд гадна сүлжээний аюулгүй байдлыг
хангахын тулд түүнийг загварчлах,зарим хамаарлыг нь
судалж үзсэнээр түүний зардлыг багасгаж өгдөг.Гадаад аюулгүй байдлыг
сайжруулахын тулд түүнийг програм болон техник аргаар аль алинаар
нь хослуулж ажиллуулж болдог. Гадаад
аюулгүй байдлыг хангаж өгснөөр it нөөцийг чөлөөтэй болгож өгдөг. Өөр өөр аж
ахуйн нэгж өөрсдийн бизнесийн хэрэгцээг харгалзан дэмжих байдлыг харгалзан өөр
өөр төвшинг шаарддаг.Мөн зарим нэгжүүд аюулгүй байдлыг гэрт нь хангаж
өгөхийг зорьдог.Ингэснээр халдлагын илүү нарийн байдлын эсрэг тэмцэх,өөрийн
мэдээллийг хамгаалах сайн арга зам болдог.
Ирээдүйд өгөгдлийн санг хэрхэн хамгаалах вэ?
Өгөгдлийг нөөцөлж хэрэглэх нь хүрээлэн
буй орчинд хор нөлөө учруулдаг. Байгууллагууд хоорондоо өрсөлдөхдөө илүү өртөгтэй
өгөгдлийн санг тус тусдаа үүсгэж ашигладаг.Энэ нь тухайн байгууллагыг алдагдалд
оруулж байдаг.Тухайн өгөгдлийн сангаа хаана байрлуулах,хүчдэлийн
өөрчлөлт,хулгай дээрэм зэрэг санаатай болон санамсаргүй халдлагууд өгөгдлийн
санд тохиолдож болох тул түүнээс сэргийлэх хэрэгтэй.Жишээ нь: Их Британийн аж
ахуйн нэгжүүдэд нүүрстөрөгчийг бууруулах (ХХЗХ) хууль нэвтрүүлэх нь тэдний
өмнө нэг томоохон асуудал болж байна.2010 оны 4-н сараас хойш аж ахуйн
нэгжүүд өөрсдийн ашигласан энергийн хэмжээг тайлан болгож мэдээлж байхаар хууль гарсан
байна.Өгөгдлийн санг гадна хамгаалахаас сэргийлэхийн тулт түүгээр урсах
өгөгдлийн урсгалыг байнга шүүж урсгалаас хөнөөлтэй өгөгдөл орж ирвэл нэн даруй
устгаж байх нь it хүмүүсийн гол ажил болдог. Халдагчдаас өөрийн сүлжээг
хамгаалахын тулд шинэ гарсан халдлага,түүнээс хамгаалах шинэ технологиудыг
судалж шаардлагатайг нь хэрэгжүүлж байх нь халдлага
гарах эрсдэлийг бууруулдаг. IT –н мэргэжилтнүүд тухайн байгууллагын сүлжээг
хамгаалахдаа гэм алдвал ямар олон хүнийг амьдрал байгууллагатаа их хэмжээний хохирол учруулж болно
гэдгийг мэддэг байх хэрэгтэй. Сүүлийн үеийн мэдээллээс харахад байгууллагын it ажилтнуудын хариуцлагагүйн улмаас олон байгууллага хохирол амссан
байна. Иймээс it хүмүүс сайн суралцаж маш хариуцлагатай ажиллах нь чухал юм. Байгууллагаас дотоод
халдлага их тохиолддог тул it менежерүүд тэр тал руу нь аюулгүй байдлыг
хангах аргыг судлах нь зүйтэй.
Зохиогч: Graham
Smith Cable & Wireless Worldwide-д аюулгүй байдлын менежер.
Pdf №37
Smith_2010 network security
Орчуулсан баг
: Defenders of the networking
No comments:
Post a Comment