МЭДЭЭЛЛИЙН АЮУЛГYЙ БАЙДЛЫН ОРЧИН YЕИЙН YЗЭЛ БАРИМТЛАЛ

Т.Халтар.

ШУТИС-ийн КТМС. Менежментийн салбар

E-mail: khaltar_t@csms.edu.mn

Хураангуй. Дэлхийн улс орнууд XXI зуунд мэдээллийн нээлттэй нийгмийг цогцлон байгуулж байна. Энэ үйл явцын нэг салшгүй хэсэг нь янз бүрийн улсад байрласан компьютеруудыг нэгтгэсэн Интернетийн сүлжээ бөгөөд мэдээллийг олж явах, солилцох өргөн бололцоог нээж өглөө. Мөн өндөр хүчин чадалтай, орчин үеийн компьютер, мэдээлэл холбооны техник, хэрэгслүүд ч гарч ирлээ. Гэтэл үүнийг даган гарч ирж буй нэг сөрөг үзэгдэл нь хулгай, залилан, тагнуул хийх, садар самууныг сурталчлах гэх мэт уламжлалт гэмт хэргүүд шинэ хэлбэрт орж буй явдал юм. Түүнчлэн зөвхөн компьютерийн систем, сүлжээнд үйлдэгддэг шинэ төрлийн гэмт хэргүүд ч бий боллоо. Мэдээллийн технологийг зохион байгуулалттай гэмт бүлэглэлүүд ашиглах, түүгээр дамжуулан үйл ажиллагаагаа олон улсын түвшинд гаргах хандлага ч ажиглагдаж байна.

Хүний соёл иргэншил мэдээллийн нийгэмд шилжин орсноор улам бүр олон гэмт хэргүүд мэдээллийн орчинд үйлдэгдэх болно гэж үзэх үндэслэл ч бий боллоо. Yндэсний мэдээллийн нөөцөд мэдээллийн янз бүрийн нээлттэй сүлжээгээр дамжин хандах боломж ихэссэнтэй холбогдон уг нөөцөө хамгаалах хамгаалалтын асуудал дэлхийн хамтын нийгэмлэгийг зовоож байна. Тийм ч учраас мэдээллийн аюулгүй байдлын үндсэн ойлголтыг нэмэгдүүлэх, Монгол улсын мэдээллийн аюулгүй байдалд заналхийлж буй хүчин зүйлсийг тодруулах нь цаашид мэдээллийн аюулгүй байдлыг хангах иж бүрэн арга хэмжээ авч явуулах үндэс суурь болох юм.   

Оршил

Энэ илтгэлийн үндсэн зорилго нь мэдээллийн аюулгүй байдлыг хангах орчин үеийн хандлагын үндсэн асуудлуудыг тодруулан гаргах, хангах үндсэн чиглэлийг харуулахад оршино. Гэхдээ мэдээллийн аюулгүй байдлыг хангах асуудлыг бүрэн дэлгэн харуулж чадахгүй нь мэдээж. Гэсэн ч мэдээллийн аюулгүй байдалд заналхийлж буй хүчин зүйлс, мэдээлэл алдагдах суваг, мэдээллийн дайн болон мэдээллийн зэвсгийн тухай ойлголт, компьютерийн аюулгүй байдлыг хангах үндсэн чиглэлүүдийг тодруулан гаргаснаар мэдээллийн аюулгүй байдлын хөтөлбөр гаргах тус нэмэр болох нь дамжиггүй.

Мэдээллийн аюулгүй байдалд заналхийлж буй хүчин зүйлс

Дэлхийн олон улсын засгийн газар хувь хүн, нийгэм, төрийн мэдээллийн аюулгүй байдлыг үндэсний аюулгүй байдлын нэг чухал хэсэг хэмээн үздэг. Бодитой оршин буй нилээд олон хүчин зүйлс мэдээллийн салбар дахь хамгаалагдсан ашиг сонирхолд заналхийлж байдаг. Эдгээр хүчин зүйлсийг улс төрийн, эдийн засгийн, зохион байгуулалт-техникийн хэмээн ангилахаас гадна шатлалын шинжээр нь дэлхий нийтийн, бүс нутгийн, орон нутгийн хэмээн ангилдаг байна. Мөн мэдээллийн, мэдээлэл холбооны системийн аюулгүй байдалд заналхийлж буй хүчин зүйлсийг ялган гаргаж болно. Шинээр боловсруулж буй Монгол улсын “Мэдээллийн аюулгүй байдлын тухай” хуулийн үндсэн дээр мэдээллийн нууцлалд заналхийлж буй хүчин зүйлс, мэдээллийн хүртээмжтэй байдалд заналхийлж буй хүчин зүйлс, мэдээллийн нэгдмэл, халдашгүй байдалд заналхийлж буй хүчин зүйлс хэмээн ангилж болно. Гэхдээ эдгээр хүчин зүйлсийг нарийвчлан задалж үзэхийн өмнө мэдээллийн аюулгүй байдалд холбогдох нэр томъёог тодруулах нь зүйтэй боловуу.

Аюулгүй байдал гэдэгт хувь хүн, аж ахуйн нэгж байгууллага, нийгэм, төрийн хамгийн чухал ашиг сонирхлууд гадаад болон дотоод аюулаас хамгаалагдсан байдлыг ойлгодог.

Мэдээллийн аюулгүй байдал гэдэгт мэдээлэлжүүлэлтийн үйл явцын боломжит сөрөг үр нөлөөнөөс иргэд, нийгэм, төрийн хамгаалагдсан байдлыг илэрхийлж буй мэдээлэлжүүлэх ажиллагааны шинж чанарыг ойлгодог. Монгол улсын “Мэдээллийн аюулгүй байдлын тухай” хуулийн төсөлд “мэдээллийн аюулгүй байдал” гэдгийг мэдээллийн нууцлал, хүртээмж, бүрэн бүтэн байдлыг баталгаажуулж буй хамгаалагдсан байдлыг хэлнэ хэмээн тодорхойлсон нь товч боловч өргөн агуулгатай болжээ. Мөн Европын эрдэмтэд энэ тодорхойлолтыг бүр ч өргөсгөн тайлбарласан байдаг. Тухайлбал: энэ ойлголтод мэдээллийн технологи, дэд бүтэц, нөөцийг бий болгох, ашиглах, өндөр ач холбогдолтой мэдээлэл, мэдээллийн үйл ажиллагаанд оролцогчдын эрхийг хамгаалахын тулд эрх зүй, зохион байгуулалт, инженер-техникийн арга хэмжээ явуулахыг хамааруулсан байдаг.

Мэдээллийг боловсруулах автомат системийн(МБАС) аюулгүй байдал гэдэгт уг системд янз бүрийн сөрөг нөлөөлөл үзүүлэх замаар өмчлөгч, хэрэглэгчдэд хор хохирол учруулах оролдлогуудын эсрэг сөрөн зогсох МБАС-ийн чадвараар илэрхийлэгдэх шинж чанарыг ойлгодог. Өөрөөр хэлбэл МБАС-ийн хэвийн ажиллагаанд хөндлөнгөөс санаатай болон санамсаргүй оролцох халдлага, түүний нэгж хэсгүүдийг хулгайлах, өөрчлөх, эвдлэх, гэмтээх оролдлогуудаас хамгаалагдсан байдлыг хэлнэ.

Аюул заналхийлэл гэдэгт мэдээллийн аюулгүй байдлыг санаатай болон санамсаргүй зөрчих бодитой оршин байгаа эсхүл боломжит аюулыг ойлгодог.

Мэдээллийн аюулгүй байдлын хамгаалалтын объект нь мэдээллийн салбар дахь Монгол улсын үндэсний ашиг сонирхол бөгөөд үүнийг мэдээллийн салбар дахь хувь хүний, нийгмийн, төрийн ашиг сонирхол хэмээн ангилдаг.

Мэдээллийн хүрээн дэх хувь хүний ашиг сонирхол:

·         Хувь хүн, иргэний мэдээлэл олж авах үндсэн эрхийг хэрэгжүүлэх, хуулиар хориглогдоогүй үйл ажиллагаа явуулах, бие махбодь, оюун мэдлэгээ хөгжүүлэхэд мэдээллийг ашиглахад

·         Хувь хүний аюулгүй байдлыг хангаж буй мэдээллийг хамгаалахад оршино.

         Мэдээллийн хүрээн дэх нийгмийн ашиг сонирхол:

·         Мэдээллийн хүрээнд хувь хүний ашиг сонирхлыг хангахад

·         Ардчиллыг бэхжүүлэхэд

·         Эрх зүйт, иргэний нийгмийг бий болгоход

·         Нийгмийн зохицолд хүрэх, дэмжихэд

·         Монгол улсыг оюуны шинэчлэлд хүргэхэд оршино.

Мэдээллийн хүрээн дэх төрийн ашиг сонирхол:

·         Монгол улсын мэдээллийн дэд бүтцийг тэнцвэртэй хөгжүүлэх

·         Хувь хүн, иргэний мэдээлэл олж авах, ашиглах үндсэн хуулийн эрхийг хэрэгжүүлэх нөхцлийг бий болгоход оршино.

Мэдээллийн аюулгүй байдалд заналхийлж буй хүчин зүйлсийг бид дээр ангилж үзсэн. Одоо үүнийг задлан тайлбарлая. Мэдээллийн аюулгүй байдалд заналхийлж буй дараах улс төрийн хүчин зүйлс байж болох юм.

·         Дэлхийн янз бүрийн бүс нутагт гарч буй суурь өөрчлөлтүүдийн дүнд газар зүй-улстөрийн нөхцөл байдал өөрчлөгдөх;

·         Дэлхийн улс төр, эдийн засаг, цэрэг, экологийн болон бусад үйл явцад нийтлэг мониторинг хийж, нэг талын давуу байдал олж авах зорилгоор мэдээллийг тарааж буй хөгжилтэй улсуудын мэдээллийн дарангуйлал;

·         Ардчилал, хууль ёс, мэдээллийн нээлттэй байдлын зарчим дээр үндэслэгдсэн төр улс Монголд дөнгөж бүрэлдэн тогтнож байгаа;

·         Урд байсан төрийн захиргаадах систем, түүний дотор аюулгүй байдлыг хангах систем задран унасан;

·         Урд өмнийн ах дүүсэг, найрамдалт, нөхөрсөг улсууд өөр зүг хандсан;

·         Нийгэм дэх нийтлэг болон эрх зүй, мэдээллийн соёлын түвшин доогуур байгаа

зэргийг үүнд оруулж болно.

Мэдээллийн аюулгүй байдалд заналхийлж буй эдийн засгийн хүчин зүйлсэд:

·         Эдийн засаг зах зээлийн харилцаанд шилжин орсон, зах зээл дээр мэдээлэл, мэдээлэлжүүлэлт, мэдээллийн хамгаалалтын хэрэгсэл үйлдвэрлэгч, тараагч, хэрэглэгч гадаад дотоодын аж ахуйн олон нэгж бий болсон;

·         Мэдээлэлжүүлэлт, мэдээллийн хамгаалалтын хэрэгсэл үйлдвэрлэгч эх орны аж үйлдвэр байхгүй;

·         Төсвийн алдагдал ихтэй байгааг оруулж болно.

Мэдээллийн аюулгүй байдалд заналхийлж буй зохион байгуулалт-техникийн хүчин зүйлсэд:

·         Мэдээллийн харилцаа, тэр дундаа мэдээллийн аюулгүй байдлыг хангах хүрээн дэх харилцааг зохицуулах эрх зүйн хэм хэмжээний суурь байхгүй;

·         Мэдээллийн хэрэгсэл, бүтээгдэхүүн, үйлчилгээний зах зээлийг төрөөс зохицуулах зохицуулалт сул;

·         Төрийн удирдлага, банк, санхүү, аж үйлдвэр, боловсрол, шинжлэх ухааны салбарт мэдээлэл алдагдахаас хамгаалагдсан эсэх нь мэдэгдэхгүй импортын техник хэрэгсэл болон программ хангамж өргөн ашигладаг;

·         Мэдээллийн нээлттэй сувгуудаар дамжуулж буй мэдээллийн хэмжээ эрс нэмэгдсэн;

·         Эрүүгийн нөхцөл байдал хүндэрсэн, компьютерийн гэмт хэргүүд олширсон, түүнийг илрүүлж, мөрдөн байцааж чаддаггүй зэргийг оруулж болно.

Мэдээллийн аюулгүй байдалд заналхийлж буй дэлхий нийтийн хүчин зүйлсэд:

·         Мэдээлэлд нийтлэг мониторинг хийх, мэдээлэл болон мэдээллийн шинэ технологийг тараах салбарт явуулж буй гадаад улсын найрсаг бус бодлого;

·         Гадаадын тагнуулын болон тусгай албадын үйл ажиллагаа;

·         Монгол улсын ашиг сонирхлын эсрэг чиглэсэн гадаад улсын улс төр, эдийн засгийн байгууллагуудын үйл ажиллагаа;

·         Олон улсын гэмт бүлэглэл, бүлэг, гэмт хэрэгтнүүдийн гэмт үйл ажиллагаа (үүнд хууль бусаар нэвтрэх, мэдээллийг өөрчлөх, устгах, хуулбарлах, үйлчилгээг бусниулах, төрөл бүрийн вирусын довтолгоо үйлдэх, хүсээгүй зар мэдээ тараах, спай болон адвайр программууд тараах, порно материал сурталчлах г.м орно) зэргийг оруулж болно.

Мэдээллийн аюулгүй байдалд заналхийлж буй бүс нутгийн хүчин зүйлсэд:

·         Эдийн засаг, улс төр, нийгмийн үйл явцыг удирдах орчин үеийн шаардлагад төр, олон нийтийн байгууллагуудын мэдээллийн хангамж нийцэхгүй байгаа;

·         Мэдээллийн шинэ технологи боловсруулах, нэвтрүүлэх хурдац, хүрээгээрээ дэлхийн хөгжилтэй улсуудаас эрс хоцрогдож байгаа;

·         Импортын компьютер, техник хэрэгсэл, харилцаа холбооны систем, мэдээллийн технологи ашигладаг учир гадаад улсуудаас технологийн бүрэн хараат байдалд байдаг;

·         Тагнуул, аж үйлдвэрийн тагналтын техникийн хэрэгслүүд гадаад улсуудад хүчтэй хөгжиж байгаа, энэ нь Монгол улсын нууц мэдээлэлд, түүний дотор төрийн нууцад хандах боломжийг бий болгож байгаа;\

·         Мэдээллийн салбар дахь гэмт явдал хурдан өсөж байгаа;

·         үндэсний мэдээллийн сүлжээг хамгаалах хуучирсан арга, хэрэгсэл, программ хангамж ашиглаж байгаа, удирдлагын систем, холбоог гэмтээх, жагсаалаас гаргахад чиглэгдсэн компьютерийн вирус(нянтай программ)өргөн тархаж байгаа;

·         нууц бус мэдээлэл, түүний дотор оюуны өмч болж буй мэдээллүүдийн бүрэн бүтэн байдал, хадгалалт, хамгаалалтыг хангасан үр нөлөөтэй систем байхгүй зэргийг оруулж болно.

Мэдээллийн аюулгүй байдалд заналхийлж буй орон нутгийн хүчин зүйлсэд:

·         электрон цацрагийг замаас нь барьж авах;

·         чагнах төхөөрөмж болон электрон цох ашиглах;

·         зайнаас гэрэл зураг авах;

·         мэдээлэл тээгч болон түүний хаягдлыг хулгайлах, ашиглах;

·         хамгаалалтын арга хэмжээг даван орж мэдээллийг хуулбарлах;

·         аппарат хэрэгсэл болон холбооны шугамд хууль бусаар холбогдох;

·         компьютерийн вирус оруулах, тараах болон ашиглах зэргийг оруулж болно.

Мэдээллийн болон харилцаа холбооны системийн аюулгүй байдалд заналхийлж буй хүчин зүйлсэд:

·         мэдээллийг хууль бусаар цуглуулах, ашиглах;

·         мэдээлэл боловсруулах технологийг зөрчих;

·         аппаратын болон программ хангамжийн бүтээгдэхүүнд уг бүтээгдэхүүний баримт бичигт заагдаагүй чиг үүргийг гүйцэтгэдэг нэгж, хэсгүүд, хавчуургыг сэм  оруулах;

·         мэдээлэл, мэдээлэл холбооны систем түүний дотор мэдээллийн хамгаалалтын системийн хэвийн ажиллагааг алдагдуулах программ хангамжийг боловсруулах, тараах;

·         мэдээлэл боловсруулах болон харилцаа холбооны систем, хэрэгслүүдийг устгах, гэмтээх, рапиоэлектрон цацрагаар дарах;

·         мэдээллийг боловсруулах, дамжуулах автомат системийн хамгаалалтын нууц үг-түлхүүрийн тогтолцоонд нөлөөлөх;

·         мэдээллийн криптографийн хамгаалалтын түлхүүр, хэрэгслүүдийг эвдлэх;

·         техникийн сувгуудаар мэдээлэл алдагдах;

·         холбооны сувгуудаар мэдээлэл дамжуулах, мэдээллийг боловсруулах хадгалах техникийн хэрэгслүүд болон төрийн байгууллага, аж ахуйн нэгж, байгууллагуудын албан байранд мэдээллийг замаас нь барих электрон төхөөрөмж байрлуулах;

·         мэдээлэл тээгчийг устгах, гэмтээх, эвдлэх, хулгайлах, ашиглах;

·         өгөгдлийг дамжуулах сүлжээ болон холбооны сувгуудаас мэдээллийг барьж авах, уг мэдээллийг тайлж унших, хуурамч мэдээлэл оруулах;

·         Мэдээлэл холбооны дэд бүтцийг хөгжүүлэх явцад баталгаажуулалт хийгдээгүй мэдээллийн технологи, мэдээлэл хамгаалах хэрэгсэл, мэдээлэл холбооны техник хэрэгсэл ашиглах;

·         Өгөгдлийн сан, баазад хадгалагдаж буй мэдээлэлд хууль бусаар нэвтрэх;

·         SPAM, SPYWARE, ADWARE, Интернетийн зарлалын самбарыг хууль бусаар ашиглах, садар самууныг, тэр дундаа хүүхдийн садар самууныг сурталчлах;

·         мэдээлэл тараахад баримтлах хууль ёсны хязгаарлалтыг зөрчих зэргийг оруулж болно.

Энэ бүхний үндсэн дээр орон нутгийн түвшинд мэдээллийн аюулгүй байдалд учирч буй аюул заналхийллийг дараах хэсгүүдэд хувааж болно.

1.Хүний хүчин зүйлс, аюулууд (гэмт бүлэглэл, гэмт хэрэгтнүүд, эрх зүйн зөрчил гаргачдын хууль бус үйл ажиллагаа, буруу санасан хамтрагч, өрсөлдөгчид, байгууллагын зарим ажилтнуудын зүй бус ажиллагаа г.м).

2.Техникийн хүчин зүйлс, аюулууд (чанаргүй төхөөрөмж, хамгаалалтын программ хангамж,  хэрэгсэл, холбоо, хамгаалалт, дохиоллын техник хэрэгслүүд болон аюултай үйлдвэрлэл, тээвэрлэлт г.м).

3.Байгалын аюул (газар хөдлөлт, хар салхи, үер болон байгалын бусад гамшигт үзэгдлүүд).

Өнөөдөр компьютерийн техник, хэрэгслүүд хүмүүсийн амьдралд гүнзгий нэвтэрч, интернетэд татан оруулж байна. Бүх нийтээрээ мэдээлэлжиж байгаагийн сөрөг тал нь компьютерийн гэмт явдал юм.

Компьютерийн гэмт хэрэг гарах үндэс, орон нутгийн түвшин дэх аюул заналхийллийн нэг нь мэдээлэл алдагдах сувгууд юм. Мэдээлэл алдагдах сувгууд гэдэгт “мэдээллийн эх сурвалж, материаллаг тээгч, энэ мэдээллийг тээгч дохиоллын тархах орчин, дохиолол болон мэдээлэл тээгчээс мэдээллийг ялган авах хэрэгслүүд болон алдагдах боломжийн нийлбэрийг” ойлгодог. Мэдээлэл алдагдах сувгуудыг мэдээлэл алдагдах уламжлалт сувгууд, компьютерийн техник хэрэгслээс (КТХ) мэдээлэл алдагдах сувгууд хэмээн ангилдаг. Уламжлалт сувгуудыг тагнуулын янз бүрийн арга хэмжээг явуулахад ашигладаг ба компьютер гарч ирэхээс хамаагүй өмнө оршин байсан бол КТХ-ээс мэдээлэл алдагдах сувгууд, мэдээллийг олж авах техникийн хэрэгслүүд саяхнаас гарч ирсэн байна. Дээр дурдагдсан уламжлалт сувгуудаас мэдээллийг олж авах тагнуулын техник хэрэгслүүдийг дараах үндсэн бүлгүүдэд хуваадаг.

·         радио микрофон болон микрофон

·         оптик (хараа зүйн) системүүд

·         телефон мэдээллийг барьж авах төхөөрөмж

·         хүлээн авах, бичлэг хийх, удирдах төхөөрөмж

·         бичлэг хийх, ажиглалтын видео систем

·         хянаж буй объектийн байрлалыг тодорхойлох систем

·         компьютер, сүлжээг хянах, нөлөөлөх систем

Авианы дохиолол(ярьж буй мэдээлэл), цахилгаан соронзон болон оптик үелзлэл дээрх дохиолол, зөөгч дээрх мэдээлэл гэсэн 3 төрлийн мэдээлэл дараах уламжлалт сувгуудаар алдагддаг. Yүнд:

·         Цахим төхөөрөмжид шууд болон шууд бус залгагдах. Хана, мебель, эд зүйлсэд  микрофон, видео болон радио дамжуулагчид нуух.

·         Ойлгогч гадаргуудаас лазерийн төхөөрөмжийн тусламжтайгаар авианы дохиоллыг ялгаж авах

·         Видео мэдээллийг зайнаас оптик (хараа зүйн)-ийн аргаар олж авах

·         Нарийн чиглүүлсэн микрофон, диктофон хэрэглэх

·         Газардуулга,чанга ярих холбооны сүлжээ, хамгаалалт-галын дохиолол,  цахилгаан тэжээлийн шугам, холбооны шугмаар мэдээлэл алдагдах

·         Ахуйн болон бусад техникийн гаргаж буй өндөр давтамжаар мэдээлэл алдагдах суваг

·         Хана, саадын дуу чимээ тусгаарлах чанар муугаас мэдээлэл алдагдах

·         Yйлдвэрлэлийн болон технологийн хаягдлыг шинжлэх

·         Телефон болон факсын аппаратаар дамжин мэдээлэл алдагдах

·         Халаалт болон усан хангамжийн сүлжээний доргилтоор дамжин мэдээлэл алдах

·         Ажиллагсдаар дамжин мэдээлэл алдагдах

гэсэн сувгууд хамаарагдана. Энэ сувгуудаар мэдээллийг олж авах төхөөрөмжүүдийг дурдана гэвэл энэ илтгэлийн хэмжээ хүрэхгүй.

КТХ-ээс мэдээлэл алдагдах сувгуудад

·         Компьютерийн техник хэрэгсэлд программ, аппаратын “хавчуурга” оруулснаар мэдээлэл алдагдах

·         Цахилгаан соронзон сөрөг цацрагийн улмаас мэдээлэл алдагдах

·         Принтер, компьютерийн гарын дуу чимээний тусламжтайгаар мэдээлэл олж авах

·         Компьютерийн вирус ашиглан мэдээллийг алдагдуулах, өөрчлөх, устгах, хаах.

·         Мэдээлэл зөөгчийг(тээгчийг)алдах

·         Программын болон техник хангамж, хамгаалалтын системийн боловсронгуй бус байдлаас бий болсон мэдээлэл алдагдах сувгийг гэмт этгээдүүд өөрийн болгон ашиглахыг хамааруулан ойлгодог.

 

Мэдээллийн дайны ойлголт, мэдээлэл-программын зэвсгүүд

Мэргэжилтнүүдийн үзэж байгаагаар мэдээллийн дайн гэдэг нь  дайны үед сөрөг талын цэргийн удирдлагын системийг жагсаалаас гаргах, энхийн үед өөрт ашигтай шийдвэр гаргахад хүргэхийн тулд төрийн болон цэргийн удирдлагын систем, улс төрийн болон цэргийн удирдлагад үзүүлэх иж бүрэн нөлөөллийг хэлдэг.

Мэдээллийн дайны үндсэн зорилго нь дараах хоёр замаар үндэсний аюулгүй байдлаа хангах явдал юм.

·         Сөрөг талдаа мэдээллийн нөлөөлөл үзүүлэх;

·         өөрийн мэдээллийн нөөц, системийг хамгаалах

Мэдээллийн дайны үйлчлэлийн үндсэн объектуудад

·         нийгэм бүхэлдээ

·         улс төр, эдийн засаг, нийгмийн институтууд

·         бүх түвшний, бүх төрлийн удирдлагын байгууллагууд

·         төр, нийгэм, хувийн хэвшлийн мэдээлэл, холбооны систем, хэрэгслүүд

·         олон нийтийн мэдээллийн хэрэгслүүд хамрагддаг.

Америкийн мэргэжилтнүүдийн үзэж байгаагаар мэдээллийн дайн төрийн болон цэргийн гэсэн хоёр түвшинд явагддаг.

Мэдээллийн дайны янз бүрийн үйлчлэл, нөлөөллийн дотроос мэдээллийн нөөцөд программ-электроны үйлчлэл үзүүлэх нь хамгийн ноцтойд тооцогдож анхаарал их татдаг. Энэ үйлчлэлийг

·         мэдээлэл дамжуулах сувгуудыг радиоэлектроны аргаар дарах

·         мэдээллийг цуглуулах, боловсруулах, хадгалах, дамжуулах тараах явцад мэдээллийг устгах, өөрчлөх, гажуудуулах, барьж авах зорилгоор  мэдээллийн (мэдээлэл-программын)зэвсэг болон вирустай программ (логик бөмбөг)-ын элементүүдийг гадаад улсын цэрэг зэвсгийн удирдлагын автомат системд оруулах гэсэн хоёр замаар хэрэгжүүлдэг.

Мэдээлэл-программын зэвсэг гэдэг нь техник болон программ-математикийн хангамж, мэдээлэл, түүний дотор компьютерийн сүлжээний мэдээллийг хамгаалах хэрэгслүүдэд программын эвдлэн сүйтгэх үйлчлэл хэрэглэх зарчим дээр үндэслэгддэг тусгай зэвсгүүд юм.

Программын эвдлэн сүйтгэх үйлчлэл гэдэгт компьютерийн систем, сүлжээний чиг үүргийг зорилготойгоор өөрчилснөөр аюултай үр дагаварт хүргэхийг ойлгодог.

Программын эвдлэн сүйтгэх үйлчлэлийг хэрэгжүүлэх үндсэн арга нь “программын хавчуурга” оруулах явдал юм.

Компьютерийн аюулгүй байдлыг хангах үндсэн чиглэлүүд

Дээр дурдсан зүйлсээс харахад мэдээллийн аюулгүй байдлыг хангах ажиллагаанд компьютерийн аюулгүй байдлыг хангах нь голлох байр суурийг эзэлж байна. Тиймээс компьютерийн аюулгүй байдлыг хангах асуудлыг бага зэрэг тодруулан авч үзье.

Мэдээллийн системийн аюулгүй байдлыг хангах гэдэгт хэвийн ажиллагаанд нь хөндлөнгөөс санаатай болон санамсаргүй оролцох явдлаас мэдээллийн системийг хамгаалж буй арга хэмжээнүүдийг ойлгодог. Компьютерийн аюулгүй байдлыг хангах зарчмын хоёр хандлага байдаг.

1.Фрагментар хандлага. Тодорхой нөхцөлд, хатуу тодорхойлогдсон аюул, заналхийллийн эсрэг үйлчлэхэд уг хандлага чиглэгддэг (жишээлбэл: вирусын эсрэг тусгайлан зориулагдсан хэрэгслүүд, бүртгэл удирдлагын хэрэгслүүд, шифрийн хэрэгслүүд г.м). Уг хандлагын давуутай тал нь тодорхой аюулыг нарийн сонгож хамгаалж чаддагт оршино. Yйлдэл нь хязгаарлагдсан байдагт гол дутагдал нь оршино, өөрөөр хэлбэл хамгаалалтын фрагментар аргууд нь тодорхой объектийг тодорхой аюулаас үр дүнтэй хамгаалдаг, түүнээс цааш ямар ч үр нөлөөгүй.

2.Иж бүрдэл хандлага. Фрагментар хандлагын дутагдалтай талуудыг нөхөхийн тулд гарч ирж, өргөн тархаж буй хандлага. Тэрээр аюул, заналхийллийн эсрэг авч явуулах олон арга хэмжээний нийлбэр бөгөөд бие биеийгээ баяжуулж буй гурван үндсэн чиглэлээр хэрэгждэг. Зураг 1.  Энэ хандлагын дутагдалтай тал нь хамгаалалтын хэрэгслийг байрлуулах, тохируулах үед гарсан алдааг хүчтэй мэдэрдэг, удирдахад нарийн төвөгтэй байдаг явдал.                          

  Зураг 1.

Мэдээллийн хамгаалалтыг удирдах үйл явц зураг 2-т заасан бүрдэл хэсгүүдийг агуулдаг.           

       

Иж бүрэн хандлагын онцлог нь аюулын эсрэг үйлчлэх янз бүрийн арга, хэрэгслүүдийг нэгтгэсэн мэдээллийг бий болгох, ашиглах, хадгалах, дамжуулах хамгаалалттай хэрэгслүүдийг дэс дараалан бий болгох зорилготой байдагт оршино.

Энэ хандлага нь хамгаалалтын үзэл баримтлалаа боловсруулж байхдаа компьютерийн аюулгүй байдалд учирч буй аюулыг (оршин байгаа болон болзошгүй)задлан шинжилж, хамгаалалтын зарчим, арга, хэрэгслүүдийг тодорхойлж системчлэх боломж олгодог.

        Орчин үеийн шинжээчид мэдээллийн аюулгүй байдлын арга зүйн, зохион байгуулалтын болон хэрэгжүүлэлтийн дараах зарчмуудыг гаргаж ирсэн байдаг. Yүнд:    .     хууль ёсны зарчим;

·         тодорхойгүй байдлын зарчим;

·         хамгаалалтын үлгэр жишээ системийг байгуулах боломжгүйн зарчим;

·         хамгийн бага эрсдэл, хохирлын зарчим;

·         аюулгүй цаг хугацааны зарчим;

·         бүхнийг бүгдээс хамгаалах зарчим;

·         нэг бүрийн хариуцлагын зарчим;

·         эрх мэдлийг хязгаарлах зарчим;

·         харилцан үйлчлэх, хамтран ажиллах зарчим;

·         иж бүрдэл байх, нэг бүрчилсэн байх зарчим;

·         аюулгүй байдлын дэс дараалсан хязгаарын зарчим;

·         хамгаалалтын хязгаар адил хүчтэй, бат бэх байх зарчим;

·         адил төстэй болон үр нөлөөтэй байх зарчим;

·         хялбаршуулсан байх зарчим;

·         хэмнэлттэй байх зарчим;

·         хяналтын үр нөлөөний зарчим;

·         бүртгэлийн зарчим;

·         хамгаалалтыг хангах хэрэгслүүдийг хамгаалах зарчим орно.

Компьютерийн аюулгүй байдлын эрх зүйн хангалт.

Компьютерийн аюулгүй байдлын эрх зүйн хангалт гэдэгт “мэдээлэл боловсруулахад компьютерийн техникийг аюулгүй ашиглах хүмүүсийн үйл ажиллагааны явцад үүсэж буй нийгмийг харилцаануудыг тодорхойлж, зохицуулж буй эрх зүйн хэм хэмжээний нийлбэрийг” ойлгодог. Yүнтэй холбоотойгоор компьютерийн гэмт хэрэг гэж юу байдгийг үзье. Компьютерийн гэмт хэргүүд тун саяхнаас шинжлэх ухааны судалгааны судлах зүйл болсон. Yүний үндсэн дээр компьютерийн гэмт хэргийн тодорхойлолтыг улс улсад янз бүрээр гарган иржээ.

Баруун Германы эрүүгийн цагдаагийнхан “гэмт хэрэг үйлдэх арга эсхүл объект нь электрон хэлбэрээр мэдээлэл боловсруулах ажиллагаа болж байгаа хууль бус бүх ажиллагааг компьютерийн гэмт хэрэг” гэж үздэг байна.

Щвейцарийн эрдэмтэд “мэдээллийг электрон хэлбэрээр боловсруулах ажиллагааны үр дүнд үйлдэх боломж бий болгосон, мөн эд хөрөнгөд хохирол учруулж буй санаатай, хууль бус бүх ажиллагааг” компьютерийн гэмт хэрэг гэж тооцогдоно хэмээжээ.

АНУ-ын эрдэмтэн Альберт Карахан “Объект болон үйлдэх арга нь компьютер болж байдаг хууль бус үйлдлүүдийг” компьютерийн гэмт хэрэг хэмээнэ гэжээ.

ОХУ-ын эрдэмтэн Н.Ф.Ахраменко компьютерийн гэмт хэрэг гэдэгт”мэдээлэл-тооцооны системийг ашиглаж үйлдсэн эсхүл түүнд нөлөөлж буй гэм буруутай, нийгэмд аюултай, хууль бус үйлдлүүдийг” ойлгоно гэжээ.

Доктор Ю.М.Батурин “компьютерийн гэмт хэргүүд хэмээх тусгай бүлэг гэмт хэргүүд хууль зүйн үүднээс байхгүй. Харин уламжлалт гэмт хэргүүдэд компьютерийн техник ашиглах болсноор өөрчлөгдөөд байна. Тиймээс тэдгээрийг тусгай гэмт хэрэг болголгүй компьютерийн бүрдэл хэсэгтэй хэмээн ярих нь зүйтэй” хэмээжээ. Нилээд олон эрдэмтэд “Компьютерийн гэмт хэрэг”хэмээх нэр томъёог ашиглахыг буруушааж “мэдээллийн гэмт хэрэг”хэмээн томъёолсон байдаг.

Миний бодлоор компьютерийн гэмт хэрэг гэдэг нь “компьютерийн мэдээллийн салбарт болон компьютерийн технологи ашиглан үйлдэгдэж буй гэмт хэргүүд” юм. Энэ утгаар нь барууны улсуудад “кибер гэмт хэргүүд” хэмээн томъёолох болжээ.      

Компьютерийн систем, сүлжээ болон машин зөөгчид хадгалагдаж буй хувь хүн, эд зүйлс, үйл явдал, үзэгдэл, явцын талаарх өгөгдлүүдийг компьютерийн мэдээлэл гэнэ.

Копьютерийн аюулгүй байдлын эрх зүйн хангалт, хэм хэмжээнүүд хууль,  заавар, зааварчлага, удирдамж, стандарт гэх мэт эрх зүйн хэм хэмжээт актуудын хэлбэрээр илэрдэг.                                                 

Эдгээрт:

·         мэдээллийн салбар дахь хуулиуд

·         системийн нийтлэг шаардлагуудыг зохицуулж буй баримт бичиг, стандартууд

·         мэдээлэлд хууль бусаар халдах явдлаас объектийг хамгаалах ажиллагааг зохицуулж буй баримт бичиг, стандартууд

·         криптографийн хамгаалалтын дэд системд тавигдах шаардлагыг зохицуулж буй баримт бичиг, стандартууд

·         нянтай программын нөлөөллөөс объектийг хамгаалах хамгаалалтыг зохицуулж буй баримт бичгүүд

·         өгөгдөл дамжуулах сүлжээний хамгаалалтын онцлогийг зохицуулж буй баримт бичиг, стандартууд

·         техникийн сувгаар мэдээлэл алдагдахаас объектийг хамгаалах хамгаалалтыг зохицуулж буй баримт бичиг, стандартууд

·         мэдээллийн объектийн барилга, байшин, хяналтын бүсийн хамгаалалтыг зохицуулж буй баримт бичиг, стандартууд

·         объектийг гадаад үйлчлэлийн хүчин зүйлсээс хамгаалж буй баримт бичиг, стандартууд

·         мэдээллийн объектийн баримт материалыг бүрдүүлэхэд тавигдах шаардлагыг зохицуулж буй стандартууд

·         мэдээлэлжүүлэлтийн объектийн чанарын үнэлгээ, эдгээр объектийн туршилтын төрлийг зохицуулж буй багримт бичиг, стандартууд

·         нэр томъёо, тодорхойлолтын салбар дахь стандартууд хамрагдана.

Мэдээллийн түүний дотор компьютерийн аюулгүй байдлыг хангах салбар дахь эрх зүйн зохицуулалтын зохицуулах зүйлийг дараах байдлаар тодорхойлж болно.

·         Мэдээлэл, мэдээлэл зүйн хэрэгсэл,мэдээллийн салбарын аж үйлдвэр, мэдээллийн үйлчилгээний тогтолцоо, мэдээллийг хамгаалах хэрэгсэл, хэлбэрүүдийн эрх зүйн дэглэм;

·         Мэдээлэлжүүлэлтийн үйл явцын эрх зүйн харилцаанд оролцогчдын эрх зүйн байдал;

·         Субъектуудын харилцах журам.

Мэдээллийн аюулгүй байдлын эрх зүйн хангалт нь

·         Хувь хүмүүсийн ашиг сонирхлыг хамгаалах;

·         Төр болон нийгмийн ашиг сонирхлыг хамгаалах;

·         Хуулийн этгээдийн ашиг сонирхлыг хамгаалах явдал юм.

Компьютерийн аюулгүй байдлын эрх зүйн хангалт нь зураг 4-т үзүүлсэн үйл ажиллагааны төрлүүдийг агуулдаг.                                                             Зураг 4.

Мэдээллийн харилцааны хууль зүйн зохицуулалтын үндэс Монгол улсад дөнгөж бүрэлдэн тогтож эхэлж байна. Одоогоор “Харилцаа, холбооны тухай”, “Шуудангийн тухай”, “Төрийн нууцын тухай”, “Байгууллагын нууцын тухай”, “Хувийн нууцын тухай” хуулиуд болон Эрүүгийн хуулийн 25 дугаар бүлэг, “Албан хэрэг хөтлөлтийн заавар” батлагдан гараад байна. Гэхдээ эдгээр хуулиуд компьютерийн систем, сүлжээ, серверийн аюулгүй байдлыг хамгаалах талаар тун тодорхойгүй, ядуухан заалттай. Тийм ч учраас орчин үеийн мэдээллийн нийгмийн салшгүй элементүүд болох электрон засаглал, электрон гарын үсэг, электрон баримт бичиг, электрон хэлцэл, худалдаа, төлбөр тооцооны асуудлуудыг зохицуулсан, интернетийг ашиглан үйлдэж буй гэмт хэргүүд, компьютерийн залилан, интерне-тийн порнограф, spam, хакердах, нянтай программ тараах болон бусад олон гэмт хэргийг эрүүгийн хэргийн бүрэлдэхүүн болгон бэхжүүлж эрүүгийн хариуцлага ногдуулах, мөн захиргааны хариуцлага ногдуулах үндэслэлийг тогтоосон хууль тогтоомж нэн даруй шаардлагатай байна.  

Компьютерийн аюулгүй байдлын инженер-техникийн хангалт

Инженер-техникийн хангалт гэдэг нь тусгай байгууллагууд, техник хэрэгсэл болон тэдгээрийг ашиглах арга хэмжээний нийлбэр юм. Компьютерийн аюулгүй байдлын инженер-техникийн хангалт зураг 5-д заасан бүрдэл хэсгүүдээс бүрдэнэ.

Зураг 5

 -Тагнуулын техник хэрэгслийн эсрэг үйлчлэх хэрэгслүүдийг идэвхгүй сөрөг үйлчлэх, идэвхтэй сөрөг үйлчлэх техник төхөөрөмжүүд хэмээн ангилдаг.

-Хамгаалалтын биет хэрэгслүүд нь нутаг дэвсгэр, байшин барилга, компьютерийн техник хэрэгсэл, мэдээлэл тээгч, бусад системийг хамгаалахад зориулагддаг. Yүнд янз бүрийн механик болон электрон систем, иж бүрдлүүд орно.

-Хамгаалалтын аппаратын хэрэгслүүд нь компьютерт шууд байрлуулсан, эсхүл компьютерийн бүтцийн элементүүдийн дотоод хамгаалалтыг хийдэг бие даасан төхөөрөмж хэлбэрээр оршдог. Гадна корпус нь доргилт, цохилт, гал, уснаас хамгаалагдсан хэлбэрээр үйлдвэрлэгдсэн компьютерууд байдаг.

-Хамгаалалтын программын хэрэгслүүд нь мэдээлэл боловсруулах программ хангамжийн бүрэлдэхүүнд ордог зохих үйлдлүүд, эсхүл бие даасан программ хангамж байдаг.

-Программ-аппаратын  хамгаалалтын хэрэгслүүд хамгийн их дэлгэрээд байна. Энэ нь дээрх хоёр хамгаалалтын хэрэгслийн дутагдалтай талыг нөхдөгөөрөө давуутай байдаг. Энэ нь мэдээлэлд хууль бусаар халдахаас хамгаалах программ, аппаратын иж бүрдэл хэлбэрээр оршдог.

-Криптографын хамгаалалтын арга нь өгөгдлийг криптографийн өөрчлөлтийн тусламжтайгаар, өөрөөр хэлбэл өгөгдлийг шифрлэх аргаар өөрчлөх хамгаалалтын арга юм. Криптографийн өөрчлөлтийн үр дүнд шифрлэгдсэн текст бий болно.

        Орчин үеийн дэлхийн улсуудад компьютерийн аюулгүй байдлыг хангах асуудлыг эрхэлсэн янз бүрийн байгууллагуудыг байгуулах боллоо. Тухайлбал: компьютерийн янз бүрийн учралуудыг бүртгэн авч, зөвлөгөө өгөх, компьютерийн хамгаалалтын аргачлал боловсруулах, олон улсын хэмжээнд хамтран ажиллах, хууль хамгаалалтын байгууллагуудад мэдэгдэх, хамтран ажиллах, туслах зориулалттай CERT(computer emergency responsible team), компьютерийн гэмт хэргүүдийн тухай мэдээллийг боловсруулах, гадаад улсуудын холбогдох байгууллагуудтай хамтран ажиллах, мэдээллийн хамгаалалтын асуудлаар семинар, симпозиум зохиох, зөвлөгөө өгөх үүрэгтэй Computer Incident Advisory Capability (CIAC) улсуудын CERT, CIAC мэт байгууллагуудын хамтын ажиллагааг бий болгох, үйл ажиллагааг нь уялдуулан зохицуулах, болзошгүй довтолгооноос хамгаалах зөвлөмж боловсруулах, компьютерийн гэмт хэргээс идэвхтэй урьдчилан сэргийлэх, илрүүлэхэд туслан үйлчлэх, гишүүдийнхээ хамтын ажиллагааг дэмжих, 24 цагийн hotline-аар үйлчлэх, компьютерийн гэмт хэргээс хамгаалах, урьчилан сэргийлэх, систем сүлжээгээ хамгаалах тухай мэдээллээр хангах үүрэгтэй Forum of Incident Response and Security Teams (FIRST), компьютерийн үйлдлийн систем, аюулгүй байдлын технологийн хөндлөнгийн хяналт хийдэг COAST (Computer Operations Audit and Security Technology) гэх мэт байгууллагуудыг байгуулж ажиллаж байна. Энэ байгууллагууд аливаа компьютерийн гэмт хэргээс урьдчилан сэргийлэх, тэдгээрийг илрүүлэх, мөрдөн шалгах цагдаагийн байгууллагын үйл ажиллагаанд үнэлж баршгүй тусламж үзүүлдэг байна.Цагдаагийн байгууллагын бүтцэд компьютерийн гэмт хэрэг, өндөр технологийн гэмт хэрэгтэй тэмцэх нэгжүүдийг улс бүрт бий болгожээ.

Компьютерийн аюулгүй байдлын зохион байгуулалтын хангалт

Зохион байгуулалтын хангалт гэдэг нь үйлдвэрлэлийн үйл ажиллагаа, гүйцэтгэгчдийн харилцааг эрх зүйн хэм хэмжээний үндсэн дээр мэдээлэл алдах, задлах, мэдээлэлд зөвшөөрөлгүй хандах боломжгүй болгон зохицуулсан байхыг хэлдэг. 

Компьютерийн аюулгүй байдлын зохион байгуулалтын хангалт нь зураг 6-д заасан бүрдэл хэсгүүдээс бүрдэнэ.                                                            Зураг 6

Зохион байгуулалт-захиргааны арга хэмжээ

Зохион байгуулалт-захиргааны арга хэмжээний хүрээнд

·         Боловсон хүчнээр дамжин мэдээлэл алдагдахыг багасгах

·         Нуулагдсан мэдээлэлд зориулсан тусгай албан хэрэг хөтлөх, баримт бичиг боловсруулах журмыг бий болгох

·         Компьютер, сервер, холбооны хэрэгсэл, мэдээлэл тээгчийг байрлуулах, хадгалах тусгай хамгаалагдсан байр, өрөө гаргах

·         Нууц мэдээллийг боловсруулах компьютерийн тусгай хэрэгслүүдийг гаргах

·         Нууц мэдээллийг тусгай, тэмдэглэгдсэн тээгчид хадгалах

·         Ажилдаа баталгаажуулж гэрчилгээжүүлсэн техникийн болон программын хэрэгслүүд ашиглах

·         Нууц мэдээллийг боловсруулдаг, хадгалдаг компьютерийн техник болон архивын байранд ашиглагчдыг тусгай журмаар оруулж байх.

·         Нууц мэдээллийг дамжуулахад холбооны нээлттэй сувгуудыг ашиглахгүй байх

·         Нууц мэдээллийг хамгаалах шаардлагыг сахин мөрдөж буйд хяналт тавих ажиллагаанууд хийгддэг.

Зохион байгуулалт-техникийн арга хэмжээ

Зохион байгуулалт-техникийн арга хэмжээнд

·         Янз бүрийн цоож, хяналтын төхөөрөмж байрлуулах замаар гадны хүн орохыг хязгаарлах

·         Локаль сүлжээ, Интернетээс нууц мэдээлэлтэй холбоогүй компьютеруудыг салгах, эсхүл сүлжээ хоорондын экраныг (дэлгэц) зохион байгуулах

·         Холбооны сувгаар мэдээлэл дамжуулах ажиллагааг инженер техникийн тусгай хэрэгслүүдийг ашиглан зохион байгуулах

·         Электрон соронзон болон дуу авианы сувгаар мэдээлэл алдагдах боломжийг дарах

·         Мэдээлэл боловсруулах автомат системийн зангилаа, хэсгүүдийн цахилгаан сүлжээнд чиглүүлэн үйлчлэхээс хамгаалах

·         Зохион байгуулалт-техникийн бусад арга хэмжээг зохион байгуулах ажиллагаанууд хамрагдана.

Зохион байгуулалт-эдийн засгийн арга хэмжээ

Энэ арга хэмжээний хүрээнд

·         Мэдээллийн хамгаалалтын арга хэрэгслүүдийг стандартжуулах;

·         Компьютерийн техник болон түүний сүлжээг мэдээллийн аюулгүй байдлын шаардлагын дагуу гэрчилгээжүүлэх;

·         Компьютерийн систем, сүлжээний ажиллагаатай холбогдсон мэдээллийн эрсдэлүүдийг даатгуулах;

·         Мэдээлэл хамгаалах хүрээн дэх үйл ажиллагааг тусгай зөвшөөрөлд хамруулах ажиллагаа хамрагдана.

Yйл ажиллагааны энэ чиглэл Монгол улсад дөнгөж эхлэлийн шатанд байна. Дээр дурдсан зүйлсээс дүгнэн үзэхэд Монгол улс мэдээллийн салбар, тэр дундаа мэдээллийн аюулгүй байдлыг зохицуулсан эрх зүйн актууд батлан гаргах, компьютерийн мэдээллийн аюулгүй байдлыг эрхэлсэн MONCERT, цагдаагийн тасаг, хэлтэс байгуулах, Мэдээллийн аюулгүй байдлын үзэл баримтлалаа шинэчлэх, Мэдээллийн аюулгүй байдлыг хангах иж бүрэн хөтөлбөр боловсруулан мөрдөж ажиллах шаардлагатай болжээ.