Мэдээллийн аюулгүй байдлын аудит
Аливаа байгууллагын хяналтын заавал байх нэг механизм нь МАБ-ын аудит юм. Дотоод аудитыг байнга болон сар бүр хийж байхаас гадна бие даасан гадны шинжээчдээр жилд нэгээс доошгүй удаа хийлгэх ёстой. Аудитын ачаар байгууллагын удирдлага, хувьцаа эзэмшигчид, дээд байгууллагууд МАБ-ын бодит байдлын талаар үнэн мэдээлэл авах боломжтой болдог.
МАБ-ын аудит нь захиалагчтай тохиролцсон төлөвлөгөө, сонгосон аргачлал, шалгуурын дагуу байгууллагын МАБ-ын бүх асуудлыг шинжлэн судах багц ажлуудаас бүрддэг. Аудитын үндсэн зорилго нь:
- Өнөөгийн байдалд бие даасан бодит үнэлгээ өгөх.
- Эмзэг сул байдал, цоорхойг илрүүлж арилгах.
- Аюулгүй байдлын механизмын техник-эдийн засгийн үндэслэлийг гаргах.
- Үйлчилж буй хууль тогтоомж, зохицуулалтын шаардлагад нийцүүлэх.
- МАБ-ыэ будлианаас учрах хохирлыг багасгах.
Аудитын үндсэн бүтээгдэхүүн нь “Аудитын тайлан” байна. Тайланд МАБ-ын өнөөгийн байдал, илрүүлсэн эмзэг сул байдлууд, аудитын шалгууруудад нийцэхгүй байгаа зүйлс, тэдгээрийг арилгах зөвлөмжийг тусгасан байна.
Техникийн аудит хийх, мэдээллийн системийн хамгаалагдсан байдлыг шинжлэхийн тулд манай мэргэжилтнүүд хамгийн орчин үеийн арга, аргачлал, техник хэрэгсэл, програм хангамж болон Open-Source Security Testing Methodology Manual (OSSTMM), SANS Top Twenty Vulnerabilities List, CVE, CERT Bulletines, SANS SCORE, CIS Security Benchmarks, Nessus болон бусад эх сурвалжийг ашигладаг.
МАБ-ын аудитын үйлчилгээ авах урьдчилсан захиалга өгөхийг хүсвэл үйлчилгээний маягтыг бөглөнө үү. Манай менежер тантай холбогдож тодорхой мэдээлэл өгөх болно.
Мэдээллийн аюулгүй байдлын иж бүрэн аудит
“ССС” ХХК-нь байгууллагын МАБ-ын төлөв, системийн хамгаалагдсан байдлыг бүрэн дүүрэн, бодитойгоор үнэлэх, оршин буй асуудлуудыг тодруулах, хамгийн зөв стратеги сонгох, хөтөлбөр боловсруулах боломжийг олгодог МАБ-ын иж бүрэн аудитын үйлчилгээг санал болгож байна. Энэ хүрээнд техникийн аудит, МАБ-ын удирдлагын механизм, зохион байгуулалт, бодлого, баримт бичгийн шинжилгээ хийж хэм хэмжээний актуудад нийцэж буй нийцлийг үнэлж, оршин буй эрсдлийг боловсруулах боломжийг тодруулдаг.
Байгууллагын сүлжээний хамгаалагдсан байдлын аудит
Манай компанийн санал болгож буй сүлжээний хамгаалагдсан байдлын аудитын зорилго нь байгууллагын мэдээллийн систем гадны, тухайлбал Интернетээр дамжин орж ирэх халдлага, довтолгооноос хамгаалагдсан түвшинг үнэлэх зорилготой. Боломжит халдагчийн зайнаас халдах үйлдлийг дууриалган үйлдэх (penetration test), хамгаалалтын хэрэгслүүдийн тохируулгыг шинжлэх замаар энэ үнэлгээг хийдэг. Энэ үнэлгээг хийхийн тулд манай мэргэжилтнүүд сүлжээний тандалт, шиншилтийн хамгийн орчин үеийн цогц прошграм хангамж, хэрэгслүүдийг ашигладаг.
Аудитыг захиалагчийн байрлалд очилгүй зайнаас хийх бүрэн боломжтой. Аудитын үр дүнд тайлан гарах ба тайланд сүлжээ, системийн хамгаалагдсан байдал, илрэн гарсан эмзэг сул байдал, хамгаалалтыг сайжруулах зөвлөмжийг тусгана.
Байгууллагын МТ-ийн дэд бүтцийн хамгаалагдсан байдлын шинжилгээ гэдэгт техникийн аудитын цогц арга хэмжээг ойлгодог.
Тухайлбал:
- Чиглүүлэгч, сүлжээний хоорондын дэлгэц – галт хана, шуудангийн сервер, DNS сервер болон сүлжээний дэд бүтцийн бусад чухал бүрдэл хэсгүүдийн тохируулга, конфигурацийн файлуудыг шинжлэх, аудит хийх.
- Дотоод сүлжээний сервер, ажлын станцуудын тохируулга, конфигурацийг тусгай хэрэгсэл, програм хангамж, шалгах жагсаалтын дагуу шинжлэх.
- Дотоод сүлжээний бүрэлдэхүүнд орж буй хостуудыг шиншлэх, тандах.
Шинжилгээний эдгээр аргыг хэрэглэх үед хамгаалалтын системийн идэвхтэй болон идэвхгүй тестийн хэрэгслүүд, тухайлбал сүлжээний сканер, хамгаалалтын шинжилгээний хэрэгслүүд, нууц үг эвдлэгчид, програмын тусгай агентуудыг ашигладаг.
MNS 27001, 27002 стандартуудад нийцэж буй нийцлийн аудит
МАБ-ын зохион байгуулалтын түвшин, механизмыг үнэлэх шалгуурыг олон улсын ISO 27001.2005 стандартын монгол хувилбар болох MNS 27001.2009 стандартад бүрэн тусгаж чадсан байдаг.
Эдгээр шаардлагад аливаа байгууллагын МАБ-ын удирдлагын тогтолцоо нийцэж байгаа эсэхийг үнэлэх (gap analysis) аудит хийх болон эрсдлийг үнэлэх (risk assessment) үнэлгээг тусгайлан боловсруулсан анкетийн дагуу асуулга авах, програмын тусгай хэрэгсэл ашиглах замаар хэрэгжүүлнэ. Аудитын үр дүнгийн дагуу тайлан гаргана. Тайланд стандарт болон бодит байдлын хоорондын зөрүүг тодруулж, эрсдлийг бууруулах төлөвлөгөө, дутуу механизмыг хэрэгжүүлэх зөвлөмжийг тусгадаг. Стандартад нийцэх нийцлийн аудит нь МАБ-ын удирдлагын тогтолцоо бий болгох эхлэлийн цэг, олон улсад хүлээн зөвшөөрөгдсөн гэрчилгээ авах бэлтгэл шат болдог учир манай компани уг аудитыг өндөр түвшинд гүйцэтгэх үйлчилгээг санал болгож байна.
Хууль, эрх зүйн зохицуулалтын шаардлагуудад нийцэж буй нийцлийн аудит
МАБ-ын аудитын чухал бүрдэл хэсэг нь Монгол улсад үйлчилж буй, шинээр батлагдах хуулиуд, нийтээр даган мөрдөх актуудын заалтуудтай МАБ-ын удирдлагын тогтолцоо нийцэж буй эсэхийг үнэлэх шинжилгээ байдаг.
МАБ-ын аудит явуулах үед Мэдээллийн Системийг үнэлэх шалгуур нь олон улсын стандартын шаардлага, монгол улсын хууль тогтоомжийн заалтууд болно. Манай компани энэ аудитыг өндөр түвшинд хийж гүйцэтгэх үйлчилгээг санал болгож байна.
Онц чухал хэрэглээний аюулгүй байдлын аудит
Байгууллагын нөөц төлөвлөлт, удирдлагын систем (ERP), Үйлчлүүлэгчтэй харилцах харилцааны удирдлагын систем (CRM), төлбөр, клиринг, биллинг, санхүү бүртгэл гэх зэрэг онц чухал хэрэглээний гол онцлог нь байгууллагын үндсэн бизнес үйл явцтай шууд холбогддог, тиймээс ноцтой эрсдэл дагуулдаг. Тиймээс онц чухал хэрэглээний аюулгүй байдлын аудит хийж өгөх үйлчилгээг манай компани санал болгож байна.
Эдгээр хэрэглээ, системийн аудит нь бизнес үйл явц, ашиглалтын журам, дэглэмийг нарийвчлан шинжлэх, хамгаалагдсан байдлыг тодруулах, эмзэг сул байдлыг илрүүлэх, сайжруулах арга хэмжээний зөвлөмжийг гаргах зорилготой.
Төлбөрийн системийн аюулгүй байдлын аудит
Аудитын зорилго нь захиалагчийн төлбөрийн систем болон түүнийг дэмжих дэд бүтэц нь хяналтын 6 салбар, аюулгүй байдлын 12 үндсэн шаардлагыг тодорхойлсон PSIDSS стандартын шаардлагад нийцэж буй эсэхийг шалгахад оршино. Манай компани энэ аудитыг чанарын өндөр түвшинд хийж гүйцэтгэх үйлчилгээг санал болгож байна.
Төлбөрийн системийн аюулгүй байдлын стандартын тухай
Payment Card Industry Data Security Standard (PSIDSS) – төлбөрийн картын салбарын өгөгдлийн аюулгүй байдлын стандартыг Visa болон MasterCard хамтран боловсруулсан бөгөөд өгөгдлийн аюулгүй байдлын дараах хөтөлбөрүүдийн шаардлагуудыг агуулдаг.
- Visa Europe & other regions: Account Information Security (AIS);
- Visa USA: Cardholder Information Security (CISP);
- MasterCard: Site Data Protection (SDP).
PSIDSS стандартын шаардлага нь Visa болон MasterCard-ын төлбөрийн системтэй ажилладаг бүх компани, банк, санхүүгийн байгууллагуудад хамааралтай. Боловсруулж буй хэлцлийн хэмжээнээс хамааран компани болгоны биелүүлж мөрдөх тодорхой багц шаардлага – түвшинг тогтоодог. Стандартын шаардлагын дагуу компани жил бүр аудит хийлгэж, улирал бүр сүлжээний тандалт, шиншилт (scan) хийж байх ёстой.
2006 оны 09-р сараас эхлэн PSIDSS стандартыг Европ, Ойрхи Дорнод, Африкт заавал мөрдөхөөр болсон, 2009 оноос эхлэн Азид заавал мөрдөхөөр ВИЗА систем шаардах боллоо. Тиймээс төлбөрийн картын үйлчилгээ үзүүлэгчид (банк санхүүгийн байгууллагууд, процессингийн төв, төлбөрийн гарцууд, интернетийн үйлчилгээ үзүүлэгчид г.м), VisaNet –тэй шууд ажилладаг байгууллагууд стандартын шаардлагад нийцэж буй нийцлийн аудитыг заавал хийлгэх хэрэгтэй болж байна.
МАБ-ын арга хэмжээг хэрэгжүүлэх, хамгаалалтын хэрэгсэл нэвтрүүлэхээс өмнөх болон хойших МАБ-ын түвшинг үнэлэх.
Ямар ч байгууллага үйл ажиллагааныхаа үр нөлөө, ашгийг дээшлүүлэхийн тулд мэдээллийн систем нэвтрүүлдэг. Гэтэл мэдээллийн систем нэвтрүүлсний дараа мэдээлэл хамгаалах шийдлүүдийг нэвтрүүлэхгүй, мэдээллийн аюулгүй байдлаа хангаж чадахгүй бол зардал ихсэж, ашиг буурах, зарим тохиолдолд алдагдалд орох тохиолдолд элбэг. Мөн өрсөлдөх чадвар эрс буурдаг. Монгол улсын өнөөгийн нөхцөлд өрсөлдөгч багатай учир “зэрлэг капитализм”-ын хуулиар болж бүтээд явж байгаа мэт боловч жинхэнэ утгаараа өрсөлдөөн үүсэж, зах зээлийн хуулийн дагуу бизнес эрхлэх, төрийн удирдлага хэрэгжүүлэх шаардлага тулгарсан үед дээрх асуудлууд бодитойгоор бий болно. Нөхцөл байдлыг зөв үнэлж, ирээдүйн хөгжлөө харж чадаж буй удирдагч дээр дурдсан асуудалд мухардалгүй, өнөөдрөөс эхлэн асуудлаа шийдэх боломжийг бид танд олгож байна.
Байгууллагын мэдээллийн аюулгүй байдал, системийн хамгаалалтыг үнэлэх, хамгаалалтын хэрэгслүүдийг зөв, зохистойгоор хэрэгжүүлж чадсан эсэх, хамгаалалтын зорилгоо биелүүлж чадаж байгаа эсэхийг үнэлэх үйлчилгээг Манай компани санал болгож байна.
Бид өөрсдийн боловсруулсан хандлага, олон улсын аргачлал дээр тулгуурлан мэдээллийн ямар ч системийн хамгаалагдсан байдал, байгууллагын МАБ-ын удирдлагын бие даасан үнэлгээг хийж өгөх үйлчилгээг санал болгож байна. Бидний үнэлгээ нь системийг боловсруулсан этгээдийн санал бодлоо эрс ялгаатай байж болно. Яагаад гэвэл бид ямар нэг зүйлээс огт хамааралгүй, байгаа байдлыг үнэнээр, бодитойгоор үнэлнэ. Тэгээд ч аюулгүй байдлын нэг үндсэн шаардлага нь аливаа шийдлийг хэрэгжүүлсний дараа бие даасан хөндлөнгийн этгээдээр заавал үнэлүүлж байх явдал байдаг.
Хэрэв та мэдээллийн системээ төлөвлөх, хэрэгжүүлэх шатанд бидэнд хандах юм бол системийн хамгаалалтын зөв зохистой байдал, шийдлүүдийн нийцэл, тохируулга, үр дүнг үнэлж мэдээллийн аюулгүй байдлын зөвлөмж гарган өгнө.
Мөн МАБ-ын шийдлүүдийг нэвтрүүлсний дараа өмнө байдлаасаа хэрхэн сайжирсан, ямар түвшинд хүрснийг харьцуулан үнэлэх үйлчилгээг санал болгож байна.
Байгууллагын сүлжээ, мэдээллийн системийн эмзэг сул байдал, цоорхойг шинжлэх.
Сүлжээний хамгаалалтын аудитын нэг хэсэг болох систем, сүлжээний эмзэг сул байдал, цоорхойг програм техникийн хэрэгслийн тусламжтайгаар илрүүлэх, шинжлэх үйлчилгээг м анай компани санал болгож байна.
|
