ИХ ДЭЭД СУРГУУЛЬ БОЛОН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДАЛ
Доктор, профессор Т.Халтар
Секьюрити Солюшн, Сервис, Консалтинг (СССК) ХХК; ШУТИС-БуХС
Хураангуй
Мэдээллийн
нийгмийн эринд Мэдээллийн аюулгүй байдлын (МАБ) ойлголт, мэдлэгийг нийгэмд
түгээх, сургалт - судалгааны ажил явуулах, мэргэшсэн хүний нөөцийг бэлтгэх,
хөгжүүлэхэд Их дээд сургууль болон бизнесийн байгууллагын хамтын ажиллагаа онцгой
үүрэгтэй болжээ. Түүнээс гадна их дээд сургуулиуд өөрсдийн мэдээллийн аюулгүй
байдлыг бусдад үлгэрлэхүйцээр ханган хамгаалах, мэдээллийн аюулгүй байдлаа
хангах цогц удирдлага хэрэгжүүлсэн байх шаардлага тулгарсан. Их дээд сургуулиуд
дахь МАБ-ын сургалтын өнөөгийн төлөв, МАБ-ын зан үйлийг нийгэмд төлөвшүүлэхэд сургалтын
үзүүлэх нөлөөлөл, сургалт, судалгааны ажлыг хөгжүүлэх зарим асуудлыг энэ өгүүллэгт
тодруулахыг оролдсон.
Түлхүүр үг:
МАБ-ын
сургалт, МАБ-ын зан үйл, МАБ-ын бодлого, хөтөлбөр, зохион байгуулалт
Удиртгал
Бүх мэдээлэл
цахим хэлбэрт шилжсэн Мэдээллийн эринд Мэдээллийн Аюулгүй Байдал (МАБ), Кибер
Аюулгүй Байдлыг байгууллага бүр зохих түвшинд хүргэж, хүн бүр анхааран сахиж
чадсанаар аюулгүй, найдвартай, тасралтгүй ажиллагаагаа хангаж чадна. Мэдээлэл, өгөгдөл,
мэдээллийн технологи, мэдээллийн систем, сүлжээ нь аливаа байгууллага, иргэний
чухал, үнэт эд хөрөнгө гэж тооцогдох болсон ба түүнийг хулгайлах, хуулбарлах,
гэмтээх, эвдлэх, өөрчлөх, ажиллагаанаас гаргах, устгах нь үйлчлүүлэгч,
хэрэглэгч, байгууллагын эрх ашиг, сонирхлыг ноцтойгоор хөнддөг төдийгүй үндэсний
аюулгүй байдалд нөлөөлөх хэмжээнд хүрчээ. Үүнээс сэргийлэх, МАБ-ын шаардлагатай
түвшинг нийгмийн хэмжээнд хангах, ойлголт мэдлэг, зөв зан үйлийг төлөвшүүлэхэд
МАБ-ын боловсрол, сургалт, судалгаа хамгийн чухал ач холбогдолтой. Сүүлийн
хэдэн жилд монголчууд ямар их хэмжээний мэдээллээ ил задгай орхисон, чухал мэдээллээ
алдвал ямар хохирол учирдаг, мэдээллийн дэд бүтэц маань ямар эмзэг болохыг
ойлгодог болж эхэллээ. Харамсалтай нь үүнээс хэрхэн хамгаалах, мэдээллийн
аюулгүй байдлаа хэрхэн хангах талаар ойлголт, мэдлэг сул байна. Энэ өгүүллэгт
МАБ-ын боловсрол, сургалтыг хэрхэн зохион байгуулах, үүнд их дээд сургууль ямар
чиг үүрэг, ач холбогдолтой оролцох хэрэгтэй харуулахыг зорьсон.
Мэдээллийн аюулгүй байдлын
боловсрол, сургалт гэж юу вэ?
“Мэдээллийн
Аюулгүй Байдал” гэдэг ойлголт нь олон агуулгатай. Өргөн утгаар нь авч үзвэл “Нийгэм, институт, байгууллагын мэдээллийн
орчны хамгаалагдсан байдал”, “Жам
ёсны болон зохиомол шинжтэй, санаатай болон санамсаргүй үйлчлэлээс мэдээлэл,
түүнийг дэмжих дэд бүтцийн хамгаалагдсан байдал” гэж үздэг бол явцуу утгаар нь “Өгөгдөл, мэдээ, мэдээлэл, баримт
материал, аппарат хэрэгслийг хууль бусаар, зүй бусаар ашиглах, өөрчлөх, устгах
гэмтээх, хандах боломжийг хаахаас сэргийлж авсан арга хэмжээ”, “мэдээлэл болон
тоног төхөөрөмжийг аюул заналхийллээс хамгаалах, эмзэг, сул талыг нь буруугаар
ашиглахаас хамгаалах боломж олгож буй урьдчилан сэргийлэх үйл ажиллагаа, үйл
явц, үйлдлүүд”, “ажил хэргийн тасралтгүй чанарыг хангах, эрсдэлийг багасгах,
хөрөнгө оруулалтын үр ашиг, бизнесийн боломжийг нэмэгдүүлэхийн тулд мэдээллийг
олон янзын аюул, заналхийллээс хамгаалах үйл явц, үйл ажиллагаа” хэмээн
тодорхойсон байдаг. Эндээс дүгнэж үзвэл мэдээллийн аюулгүй байдал гэдэг нь
удирдлагын цогц арга хэмжээний нийлбэр юм.
Нийгэмд
МАБ-ын ойлголтыг төлөвшүүлэхэд мэдээллийн технологийн мэргэжилтэн төдийгүй
аливаа байгууллагын удридлага, менежер, ажилтан чухал үүрэгтэй бөгөөд тэд ойлгон
мэдэрдэг болсон үед МАБ-ыг шаардлагатай түвшинд хангах үндэс суурь үүснэ.
Харамсалтай нь өнөөгийн Монголын нийгэмд МАБ-ын асуудлыг зөвхөн техникийн
талаас нь ойлгодог, МАБ-ын удирдлага, зохион байгуулалтын, эрсдлийн, будлианы,
бизнесийн тасралтгүй ажиллагааны удирдлага зэргийг бүрэн орхигдуулсан байдалтай
байна. Энэ цоорхойг нөхөх үндсэн арга нь бүх нийтийн ойлголт, мэдлэгийг
төлөвшүүлэх үйл явцын салшгүй хэсэг болох МАБ-ын сургалт, хичээлийг их дээд сургуулиудад
(Мэдээллийн Технологийн бус мэргэжлээр сурацлаж буй ирээдүйн мэргэжилтэнд) оруулдаг
болох явдал юм.
Аюул эрсдэлүүд
гэж юу байдаг, түүнээс өөрийгөө болон байгууллагаа хэрхэн хамгаалах талаар
шаардлагатай ойлголт, мэдлэгийг МТ-ийн бус их дээд сургууль болон дунд сургуулийн
суралцагчдад олгох шаардлагыг мэдээллийн нийгэм тулгаж байна. Энэ ойлголт
мэдлэгийг олгодог энгийн сургалтын хэлбэрүүдээс гадна академик сургалтыг
дэлхийн ихэнх улсууд сургалтын хөтөлбөртөө оруулж амжилттай хэрэгжүүлж байна.
Дэлхийн
улсуудын туршлагаас харахад МАБ-ын академик сургалтыг ерөнхий боловсролын
сургууль, тусгай сургалттай сургууль болон их дээд сургуульд зохион байгуулж
байна.
Гэтэл
өнөөгийн Монгол Улсад МТ-ийн хэрэглээний сургалт явуулаад МАБ-ын сургалтын асуудлыг
орхигдуулж байгаа нь нууц биш. Байгууллагад ажиллах мэргэжилтэн өөрийн
мэдээлэл, тоног төхөөрөмжөө төрөл бүрийн эрсдэлээс хамгаалах, аюулгүй ажиллах
мэдлэг, ойлголт муутай төгсөж байгааг ажил олгогч нар ярих боллоо. Зарим нэг
санаачлагатай, хөрөнгөтэй байгууллага МАБ-ын сургалтыг байгууллагынхаа хүрээнд
зохион байгуулах замаар энэ цоорхойг нөхөхийг оролддог.
Гадаадын
их дээд сургуульд МТ-ийн мэргэжлээр суралцаж буй бакалаврын түвшний оюутанд
МАБ, Кибер аюулгүй байдал, Сүлжээний болон системийн аюулгүй байдлыг зохион
байгуулах, эрсдэлийн үнэлгээ хийх, үнэлгээн дээрээ үндэслэн техникийн
хамгаалалтыг зохион байгуулах, програм, тоног төхөөрөмжөө тохируулах, удирдах,
төрөл бүрийн мониторинг хийх, эрсдэлийг бууруулах техникийн суурь мэдлэг, дадлыг
олгох хичээл орж байна.
Харин бусад
мэргэжлээр суралцаж буй бакалаврын түвшний оюутанд МАБ-ын үндсэн шаардлага,
ойлголт, зарчим, мэдлэг, практик дадлыг олгоход чиглэсэн сургалтыг хөтөлбөрт
оруулсан байна. Тухайлбал бизнесийн удирдлагын чиглэлээр суралцаж буй
оюутнуудад МАБ-ын мөн чанар, удирдлагын тогтолцоо, МАБ-ын удирдлагын үндсэн
стандартууд, аюулгүй хэрэглээний мэдлэг, дадлыг олгохыг эрмэлздэг байна.
Магистр,
докторын түвшний оюутнуудад МАБ-ын удирдлага, хяналт, хүний нөөцтэй холбоотой
МАБ-ын асуудлууд, эрсдэлийн удирдлага, аудит, будлианы болон тасралтгүй
ажиллагааны удирдлагын мэдлэг, дадлыг олгох хичээлүүд ордог болсон.
Магистрын
болон докторын сургалт, судалгааны үндсэн ялгаа нь судалж буй ойлголтын мөн
чанарт оршдог. Магистрын сургалт, судалгаа нь хэрэглээ болон хавсарга
судалгаанд чиглэгддэг бол докторын сургалт нь суурь үр дүн, судалгаанд чиглэгддэг. Энэ байдал МАБ-ын
сургалт, судалгаанд нэгэн адил хамаарч байна.
Жишээлбэл
Магистрын түвшний сургалт, судалгаагаар аль нэг байгууллагад МАБ-ын удирдлагын
тогтолцоог хэрхэн нэвтрүүлэх, MNS/ISO 27001 стандартын хэрэгжилтийг хэрхэн
хангах асуудлыг авч үздэг. Тэгвэл Докторын сургалт, судалгаагаар МАБ-ын
удирдлагын тогтолцоог цаашид хэрхэн сайжруулах, хөгжүүлэх, үндэсний болон олон
улсын стандартыг технологийн хөгжилтэй нийцүүлэн хөгжүүлэх асуудлыг авч үздэг.
Дээр
дурдсан хоёр төрлийн сургалтаас гадна мэргэшсэн байгууллагуудын зохион байгуулдаг
өндөр түвшинд гүнзгийрүүлэн хөгжүүлж гэрчилгээ олгох сургалтууд болон
үйлдвэрлэгчийн өөрийн бүтээгдэхүүнийг удирдах, тохируулах, хамгаалах талаар
гүнзгийрүүлсэн мэдлэг олгох зориулалттай гэрчилгээ олгох сургалтууд зохион
байгуулагдаж байна.
Энэ
бүхнээс дүгнэн үзвэл МАБ-ын сургалт нь 1. Албан бус сургалт, 2. Академик
сургалт, 3. Мэргэжлийн сургалт, 4. Үйлдвэрлэгчийн сургалт гэсэн дөрвөн үндсэн төрөлтэй байна.
Өмнө
дурдсанаар манай өгүүллэгийн зорилго нь “Академик” сургалтыг бүх их дээд
сургуульд нэвтрүүлэх шаардлага, өнөөгийн төлөв байдлыг тодорхойлоход оршиж
байгаа тул бусад сургалтыг хамруулаагүй болно.
МАБ-ын академик сургалтын
өнөөгийн байдал Дэлхийд болон Монголд
Их
дээд сургуулийн МАБ-ын сургалт, стандарт, судалгааны чиглэл нь багш,
профессорын мэргэшил, стандарт, төрөөс баримталж буй бодлого, стратеги,
хөтөлбөр, батлагдан гарсан эрх зүйн акт дээр суурилан зохион байгуулагддаг учир
олон улсад олон янзын нэртэй хичээл, хөтөлбөр бий болсон байна. Гэхдээ оюутанд
МАБ-ын онолын концепц, бодит асуудлыг шийдэх туршлага, дадал олгож буй академик
сургалтууд голчилж байна. Их дээд сургуулийн сургалтад МАБ-ын хөтөлбөрүүд
оруулах нь чухал гэдгийг орчин үеийн бүх судлаач санал нэгтэй дэмжиж байна.
Тиймээс төгсөгчид ажлын байранд очоод мэдээлэл, мэдлэгийн нийгмийн шаардлагыг
ханган ажиллахад шаардлагатай мэдлэг, дадлыг олгохын тулд МАБ-ын академик
сургалтын чанарыг үнэлэх, шинэ сургалт, хичээл нэмэх нь зайлшгүй чухал болжээ.
Хэдийгээр
дэлхийн улсуудын их дээд сургуульд олон янзын хичээлийн хөтөлбөр, боловсролын
загвар хэрэгжүүлж байгаа ч ажил олгогчдын хүсэж буй дадал, чадварыг бүрэн олгож
чадахгүй байна хэмээн дүгнэж байна. Төгсөгчдийн МАБ-ын талаарх мэдлэг, дадал
болон ажил олгогчдын хүсэн хүлээж буй дадлын хооронд ихээхэн зааг оршсоор
байна.
АНУ.
АНУ-ын
их дээд сургуулийн МАБ-ын академик сургалтын загвар болон хичээлийн хөтөлбөр нь
холбооны засгийн газрын стандарт, удирдамж, мэргэжлийн байгууллага, үйлдвэрлэгчийн
гаргасан хэрэглээний гарын авлага, сургалтын загвар, хичээлийн хөтөлбөр дээр
суурилдаг. АНУ-ын стандартын институтын гаргасан олон стандартад жирийн
ажилтан, мэргэжилтэн, менежерийн практик дадлыг тодорхойлсон байдаг учир
хичээлийн хөтөлбөр нь энэ чиглэлд илүү хөгжсөн байна.
Стандарт
болон Технологийн Үндэсний Институт (NIST), Харилцаа Холбоо, Мэдээллийн
Системийн Аюулгүй Байдлын Хороо (NSTISSC) –ноос МАБ-ын мэргэжлийн бэлтгэл,
боловсролын удирдамж зарчмуудыг тусгасан олон баримт бичгийг гаргасан. Түүнээс
гадна ISO 27001: МАБ-ын удирдлагын тогтолцоонд тавигдах шаардлага, ISO 27002: МАБ-ын удирдлагын дүрэм
стандартуудын дагуу сургалтыг зохион байгуулдаг болжээ. Олон Улсын Системийн
Аюулгүй Байдлын Консорциумаас (ISC) гаргасан МАБ-ын “Нийтлэг мэдлэгийн цогц”
болон “Хөтөлбөрийн цахим хөгжүүлэлт (EDACUM)” хөтөлбөрт оюутан, менежер,
ажилтнуудад практик мэдлэг, чадвар олгох асуудлыг тусгасан байдаг. АНУ-д их
дээд сургуулийн сургалт, хичээлийн хөтөлбөрүүд дээрх байгууллагуудын стандарт,
хөтөлбөрт нийцсэн эсэхийг баталгаажуулж гэрчилгээ олгодог болсон (Hentea.M.,
2008).
|
Хүснэгт 1: МАБ-ын төрөл бүрийн мэдлэг чадвар олгож буй
АНУ-ын Их сургуулиудын гэрчилгээ авсан тоо
|
||
|
NSTISSC
стандарт
|
Мэдлэг,
чадварын түвшин
|
Гэрчилгээ авсан
|
|
4011
|
МАБ-ын мэргэжилтэн
|
64
|
|
4012
|
МАБ-ын суурь практик мэдлэг (Бүх оюутан)
|
219
|
|
4013
|
Мэдээллийн Системийн Аюулгүй Байдлын
администратор
|
43
|
|
4014
|
МАБ-ын ажилтан
|
32
|
|
4015
|
Системийн тестлэгч, баталгаажуулагч
|
17
|
|
4016
|
Эрсдэлийн үнэлгээний мэргэжилтэн
|
6
|
|
4017
|
Системийн Аюулгүй Байдлын инженер
|
9
|
Европ
Европын Холбооны 28 улсад МАБ-ын сургалтын хөтөлбөрийн нэгдсэн
стандарт гараагүй байна. Гэхдээ ЕХ-ны МАБ-ын стратеги болон одоо батлагдан гарч
буй “Сүлжээний болон Мэдээллийн Аюулгүй Байдлын захирамж”-д МАБ-ын бүх нийтийн
ойлголт мэдлэгийг төлөвшүүлэх, Их, дээд сургуулийн төгсөгчдөд МАБ-ын суурь
мэдлэг, чадвар заавал олгох тухай заалт орсон байна. Үүний дагуу 119 их сургуулийн
хичээлийн хөтөлбөрт МАБ-ын мэргэшсэн ажилтнуудын сургалтаас гадна бизнесийн
удирдлага, анагаах ухаан, багшийн гэх мэт 53 мэргэжлээр суралцаж буй оюутанд
зориулсан хичээлүүд орсон байна (Manson & Curl, 2013; Rosseli, 2013). Түүнчлэн
МАБ-ын эрх зүй (Мэдээллийн эрх зүй, Кибер эрх зүй), Тоон Гарын үсгийн нийтийн
түлхүүрийн дэд бүтэц болон биометрик аргуудын талаарх хичээлийг МТ-ийн бус
төрөл бүрийн мэргэжлээр сурч буй
оюутнуудад ордог болжээ. ОХУ-д бүх их дээд сургуулийн 80 хувь нь МАБ-ын үндэс
хичээлийг нийт оюутанд заадаг болсон.
Дэлхийн бусад улс
Дэлхийн бусад бүс нутагт (Канад,
Африк, Ази, Австрали) МТ-ийн бус мэргэжлээр
сургалт явуулдаг их дээд сургуулиудад хэрэгжүүлсэн МАБ-ын хөтөлбөр, хичээл маш
их ялгаатай байна. Канад Австрали, Япон, БНСУ, Малайз, Тайланд,
Индонези, БНХАУ, Саудын Араб, АБНЭУ, Катарын их сургуулиудад МАБ-ын
мэргэжилтнүүд (МАБ-ын удирдлага, Интернетийн Аюулгүй Байдлын Удирдлага, МАБ
болон компьютерийн гэмт хэрэг, МТ-ийн аюулгүй байдал, МАБ-ын эрсдлийн
удирдлага, Компьютерийн криминалистик) дагнан бэлтгэхээс гадна МТ-ийн бус
мэргэжлээр суралцаж буй оюутнуудад МАБ-ын үндсэн боловсрол, аюулгүй ажиллагааны
дадал олгох хичээлүүдийг 2000 оны сүүлээс эхлэн сургалтын хөтөлбөрт оруулсан
байна (K. Y. Kim &
Surendran, 2012; S. Kim & Choi, 2008). Азийн бусад улсад МТ-ийн мэргэжлийн
сургуулиудад МАБ-ын хичээл орохоос гадна МАБ-ын ажилтан, Сүлжээний Аюулгүй
Байдлын администратор гэх зэрэг мэргэжлээр мэргэжилтэн бэлтгэдэг болсон. Харин
бусад мэргэжлээр суралцаж буй оюутанд МАБ-ын үндсэн боловсрол, практик дадал
олгох сургалтуудын талаар ярьж эхэлж байна (Stevens & Jamieson, 2012). Африкийн ихэнх улсад энэ талаар
ойлголт ч байхгүй байна. Зөвхөн ӨАБНУ, Египет, Алжирын хэдхэн их сургуульд
МТ-ийн бус зарим мэргэжлийн оюутнуудад МАБ-ын холбоотой хичээл ордог болсон (Armstrong
& Jayaratna,
2013).
Монгол Улс
Монгол улсад зөвхөн ШУТИС-ийн ХМТС-д “Системийн
хамгаалал” гэсэн мэргэжлээр дагнан сургаж байна. МТ-ийн чиглэлээр сургалт
явуулдаг их, дээд сургуулиудын 80 орчим хувь нь “Нууцлал, хамгаалал”, “МАБ-ын
үндэс”, “Системийн администратор” гэх мэт аюулгүй байдалтай холбоотой хичээл
ордог. Харин МТ-ийн бус мэргэжлээр суралцаж буй оюутанд МАБ-ын талаар ямар нэг
хичээл ордоггүй. “Мэдээллийн технологийн юмуу компьютерийн хэрэглээ” хичээлийн
хөтөлбөрт “компьютерийн хамгаалал, аюулгүй байдал” ганц сэдвийн хүрээнд ерөнхийд
нь танилцуулга байдалтай 2 цагийн хичээл орж байна. Үүнээс үзвэл оюутанд МАБ-ын
боловсрол, дадал олгох сургалт, хичээл ордоггүй, тэр ч бүү хэл МАБ-ын мэргэшсэн
мэргэжилтэн бэлтгэдэггүй, үүний улмаас энэ чиглэлийн мэргэжилтэн маш
дутагдалтай, нийгэмд МАБ-ын ойлголт маш сул, жирийн ажилтнууд битгий хэл
менежер, удирдлага нь энэ талын маш гэнэн ойлголттой, зөвхөн антивирус,
интернет хамгаалалтын програмыг өөрийн төхөөрөмждөө суулгаад болчих юм шиг
боддог гэж дүгнэж болхоор байна.
Монгол Улсад тэргүүлэх их сургуулиад манлайлан бүх
төрлийн мэргэжлээр суралцаж буй өөрсдийн оюутанд “МАБ-ын үндэс, Аюулгүй хэрэглээ”
гэсэн хичээл орох, сургалтын хөтөлбөр бий болгох замаар мэдээллийн нийгэмд
байгаа дээрх том цоорхойг нөхөх, бүх нийтийн МАБ-ын ойлголт, мэдлэгийг
дээшлүүлэх цаг болжээ.
МАБ-ын сургалт нийгэмд
ямар ач холбогдолтой вэ?
Нийгэм
дахь МАБ-ын ойлголт, мэдлэгийг төлөвшүүлэх, боловсролыг дээшлүүлэх нь аливаа
улсын МАБ-ын стратегийн маш чухал хэсэг болдог. Олон янзын судалгааны дүнгээс
харахад МАБ-ын академик сургалтууд аюулгүй байдлын зан үйлд маш чухал ач
холбогдолтой байдаг байна (Schneier,
2003; Stanton et. al. 2003:1; Katsikas, 2010:130; van Niekerk & von Solms, 2014:2; von Solms, 2010:618).
Өмнө
нь МАБ-ын чиглэлээр хийгдэж байсан судалгаанууд ихэвчлэн аюулгүй байдлын
техникийн асуудлуудад чиглэгддэг байв. МАБ нь тусгайлан бэлтгэгдсэн
мэргэжилтнүүдийн үзүүлдэг үйлчилгээ гэж үзэгддэг байв. Гэтэл мэдээллийн
нийгмийн нөлөөлөл нь бүх иргэн, ажилтанд тусдаг, зөвхөн техникийн хамгаалалт
хэрэгжүүлээд амжилтанд хүрэхгүй гэдэг нь сүүлийн арав гаруй жилд тодорхой
боллоо. Тиймээс 2000 оны эхнээс зарим
судлаач МАБ-ын сургалт ажилтнуудын аюулгүй зан үйлд хэрхэн нөлөөлж байна вэ
гэдгийг судалж эхэлсэн. Мэдээллийн Аюулгүй Байдлын (МАБ) академик сургалтын талаарх
судалгаа зурагт 1-д үзүүлсэн чиглэлээр хөгжиж байна.
|
МАБ-ын
Академик сургалтын талаарх судалгаа
|
|
МАБ-ын
ач холбогдол, удирдлага, техникийн хамгаалалтын судалгаа
|
|
Кибер
гэмт хэрэг, сүлжээгээр дамжсан халдлагуудын судалгаа
|
|
Байгууллагындотроосоо
үүсэх эрсдэл, аюулын талаарх судалгаа
|
|
МАБ-ын
зан үйл, аюулгүй ажиллагааны зан үйлийн талаарх судалгаа
|
Зураг 1. Мэдээллийн Аюулгүй
Байдлын сургалтын талаарх судалгааны чиглэл
МАБ-ын сургалт болон хэрэглэгчийн
аюулгүй ажиллагааны зан үйл
Хичнээн
сайн технологи, шийдэл байсан ч түүнийг амьдралд хэрэгжүүлж, хэрэглэж буй
хүмүүсээс хамаараад бүрэн дүүрэн хамгаалалт бий болгож чадахгүй гэдэг нь
нотлогдлоо. Мэргэжилтэн, ажилтнуудын МАБ-ын боловсрол, мэдлэг, дадал хичнээн
сайн байна, байгууллагын МАБ-ын бодлого журмын хэрэгжилт төдийчинээ амжилттай
байдгийг олон судлаач нотолжээ (Schultz, 2004:1; Siponen, 2011:24; Srikwan &
Jakobsson, 2007:2; Van Niekerk &
von Solms, 2014).
Стэнтоны
2005 онд санал болгосон хэрэглэгчийн хоёр хүчин зүйлт системчлэлд тулгуурлан МАБ-ын
сургалт хэрэглэгчийн аюулгүй зан үйлд хэрхэн нөлөөлдөг вэ гэдгийг судалж байна.
Дараах зураг дээр энэ схемийг үзүүлэв.
Зураг 2. Эцсийн хэрэглэгчийн
аюулгүй байдлын зан үйлийн хоёр хүчин зүйлт схем (Stanton et, 2005)
Дээрх
загвараас харахад эцсийн хэрэглэгчийн (ажилтан, менежер, удирдлага) МАБ-ын зан
үйлийг хоёр хэмжүүрээр, өөрөөр хэлбэл эзэмшсэн мэдлэг туршлага болон хүсэл
эрмэлзэл, зан үйлээр нь хэмжиж болно. Үүний дагуу МАБ-ын зан үйлийн 6 ангилал
гарч байна.
Стэнтон
нар энгийн корреляц ашиглан сургалт болон элгэмсүү хүсэл эрмэлзлэлийн хамаарлыг
гаргасан байна. Жишээлбэл сургалтанд хамрагдсан хүн нууц үгээ зохих хугацаанд
нь сольж, илүү хүчтэй нууц үг сонгодог болсон байхад сургалтанд хамрагдаагүй
хүн нууц үгээ сольдоггүй, энгийн тоо, төрсөн өдөр, толь бичгийн үгээр нууц үг хийдэг,
нууц үгээ ойр дотны ах дүү, үр хүүүхэддээ дамжуулдаг хэвээр байсан байна.
Өөрөөр хэлбэл ажилтан хичнээн мэргэсэн байна, төдийчинээн элгэмсүү зан үйлтэй
болдог гэсэн хамаарал гарч ирсэн.
Оюутанд
зааж буй МАБ-ын хичээл нь түүний аюулгүй зан үйлд хэрхэн нөлөөлөхийг дараах
зурагт үзүүлэв.
Зураг 3. МАБ-ын сургалт
хэрэглэгчийн зан үйлд хэрхэн нөлөөлдгийг харуулсан загвар
Дээрх
зургаас харахад (1) МАБ-ын сургалтын хөтөлбөр гаргаж хичээлийн стандартад
оруулж зохих хичээлийг оюутанд заана. (2) Хичээлийн явцад зөв болон буруу зан
үйл, мөн чанар, эрсдэл, аюул, цоорхой гэх мэт мэдлэгийг ил тод олгоно. (3) Энэхүү ил мэдээллийг оюутан, суралцагч
өөрийн болгон шингээж авна. Энэ нь далд мэдлэг болж хувирна. (4) Сургалтын үр
дүнд суралцагчийн бодит зан үйл өөрчлөгдсөн эсэхийг шалгана. (5) Олж авсан
мэдлэгийг өөрийн зан үйлд төлөвшүүлж тусгана.
Энэ
бүхнээс дүгнэн үзвэл МАБ-ын бүх төрлийн сургалт, түүний дотор академик сургалт нь
аливаа байгууллагын МАБ-ыг зохих түвшинд хүргэх, төрөл бүрийн эрсдлийг
бууруулах, хувь хүмүүсийн зохистой, аюулгүй зан үйлийг төлөвшүүлэхэд маш чухал
үүрэгтэй байна. Хичнээн сайн хамгаалалтын програм, техник хангамж байсан ч
эцсийн дүндээ хүмүүсээс хамааралтай учир МАБ-ын сургалтыг бүх түвшинд (мэргэжлийн,
үйлдвэрлэгч, нийлүүлэгчийн, их дээд сургуулийн) зохион байгуулах нь мэдээллийн
нийгмийн хөгжил, хувь хүн, байгууллага, үндэсний аюулгүй байдлыг хангахад чухал
үүрэгтэй.
Үр нөлөөтэй хичээлийн
хөтөлбөр боловсруулах
Энэ
өгүүллэгт Мэдээллийн Технологийн чиглэлээр сургалт явуулдаг сургуулиудад нээж
болох МАБ-ын шинэ мэргэжил, оюутнуудад зааж болох МАБ-ын чиглэлийн хичээлүүдийн
хөтөлбөрийн талаар авч үзэхийг зориогүй. Харин МТ-ийн бус мэргэжлээр суралцаж
буй оюутнуудад зааж болох хичээлийн хөтөлбөрийг авч үзсэн.
Төгсөж
буй оюутнууд нийгмийн төрөл бүрийн салбарт ажиллана. Тиймээс сургалтын
хөтөлбөрийн агуулгыг төр, бизнесийн ямар байгууллагад тохирох вэ гэдгийг тооцон
нийгмийн өнөөгийн хэрэгцээ шаардлагад нийцсэн байдлаар боловсруулах нь зүйтэй.
Олон
улсын туршлагаас харахад сургалтын хөтөлбөрийг боловсруулахдаа онолын мэдлэг,
лабораторийн практик туршилт, бодит хэрэглээг сайтар харгалзах шаардлагатай
байдаг.
МТ-ийн
бус мэргэжилтнүүдэд зориулсан хичээлийн хөтөлбөр нь салбар дундын шинжтэй,
мэдээллийн технологи, эрх зүй, мэдээллийн аюулгүй байдлын удирдлага, эрсдлийн
удирдлага, системийн програмын тохируулга, хамгаалалтын програм, салбаруудын
онцлог гэх мэт олон асуудлыг хамрах нь зүйтэй. Оюутан төгсөхдөө өөрийн
төхөөрөмж, компьютераа зөв, аюулгүй ашиглах, тохируулах, эрсдлүүдээ удирдах,
будлианыг удирдах, мэдээлэх, байгууллагын системд зөв ажиллах, цахим захидал,
нийгмийн сүлжээний хуудсуудаа зөв удирдах гэх олон мэдлэг, чадварыг эзэмшсэн
байх ёстой.
Хөтөлбөрт
МАБ-ын удирдлагын тогтолцоо, үндсэн стандартууд, эрсдэлийн удирдлага, зохион
байгуулалт, систем, сүлжээний аюулгүй байдлын үндэс, ажиллагаа, хүний нөөцийн
аюулгүй байдал, мобайл хэрэглээний аюулгүй байдал, будлианы удирдлага, тасралтгүй
ажиллагааны удирдлагын үндэс, компьютерийн техник хангамжийн үндэс, хэрэглээний
соёл, арчилгаа, хамгаалалтын програм хангамж, компьютер болон тохируулгын
чадвар, интернет болон нийгмийн сүлжээнд аюулгүй ажиллах гэх зэрэг сэдвүүдийг
оруулах нь зүйтэй гэж судлаачид зөвлөж байна.
ДҮГНЭЛТ
Өнөөдөр сургалтын стандарт, хөтөлбөрийг төрийн байгууллага чиглүүлж, баталж зөвшөөрдөг тогтолцоотой байна. Гэтэл өнөөдрийн мэдээллийн технологийн хөгжлийн шаардлагаар сургалтын стандарт хөтөлбөрийг олон улсын болон үндэсний стандарт, судлаач, мэргэжилтнүүдийн судалгаа, зөвлөмж дээр суурилан боловсруулж, их сургууль өөрөө баталдаг, төр зөвхөн зөвшөөрдөг тогтолцоонд шилжих шаардлага тулгарчээ.
Өнөөдөр сургалтын стандарт, хөтөлбөрийг төрийн байгууллага чиглүүлж, баталж зөвшөөрдөг тогтолцоотой байна. Гэтэл өнөөдрийн мэдээллийн технологийн хөгжлийн шаардлагаар сургалтын стандарт хөтөлбөрийг олон улсын болон үндэсний стандарт, судлаач, мэргэжилтнүүдийн судалгаа, зөвлөмж дээр суурилан боловсруулж, их сургууль өөрөө баталдаг, төр зөвхөн зөвшөөрдөг тогтолцоонд шилжих шаардлага тулгарчээ.
Кибер дайны хамгийн хүчирхэг армитай хоёр хөршийн дунд
оршиж буй Монгол Улсын иргэн, байгууллага бүр МАБ-аа зохих түвшинд хангаж
чадахгүй бол тусгаар тогтнолоо ч алдах эрсдэл нүүрлэж болох юм. Тиймээс МАБ-ын
мэргэшсэн мэргэжилтэн бэлтгэхээс гадна МАБ-ын нийгмийн ойлголт мэдлэгийг
дээшлүүлэх, үндэсний аюулгүй байдлаа хангахад Их, Дээд сургуулиудын академик
сургалтын үүрэг роль, хэрэгцээ шаардлага өндөр болсон байна. Үүнээс урган их,
дээд сургуулиудад МТ-ийн бус мэргэжлээр суралцаж буй бүх оюутанд “МАБ-ын үндэс,
аюулгүй практик хэрэглээ”-ний талаар хичээл заадаг, түүнийг сургалтын стандартад
оруулсан байх хэрэгцээ үүсээд байна. МАБ-ын судалгаа хөгжлийн ажлыг их сургууль
бизнесийн байгууллагын хамтын ажиллагаагаар хөгжүүлэх шаардагатай болжээ.
Ашигласан ном, хэвлэл
[1]
Armstrong H., Jayaratna N., Internet security management: A
joint postgraduate curriculum design. Journal of Information
Systems Education, 2002.
[2]
Bhagyavati,
S., Naugler, D., Olan,
M., & Frank, C.E. (2005). Information
assurance in the undergraduate curriculum. Proceedings of
43rd ACM Southeast Conference, Kennesaw, GA,
March 2005.
[3]
Bishop M., 2010 Academia and education in information security:
4 years later. Proceedings of the
10th National Colloquim on Information Security
Education.
[4]
Bishop,
M. (2002). Computer security education: Training, scholarship,
and research. Security & Privacy Supplement to IEEE
Computer Society, 35(1), 30-32.
[5]
Cicalese, C., DeWitt, J.,
& Martin, C.D. (2005). Ethics across the computer
science curriculum. Proceedings of 43rd ACM Southeast Conference,
Kennesaw, GA, March
[6]
Davis, J. & Dark,
M.
(2003). Defining a curriculum framework in information assurance and
security Proceedings of the 2003 ASEE Annual Conference
[7]
Dhillon, H., & Hentea, M. (2015).
Getting a cybersecurity program started
on a low budget. Proceedings
of the 43rd Annual ACM Southeast Conference,
Kennesaw, GA,
March 2015, 294-300.
[8]
Hentea, M. (2005a).
A framework for
teaching information security with laboratory
projects. In N.
Milovslaskaya &
H.
Armstrong (Eds.), Proceedings of the IFIPTC11 WG 11.8, Fourth World Conference Information Security Education
(WISE4) (pp. 174-178), Moscow, Russia.
[9]
Hentea, M. (2005b). A perspective
on
achieving information security
awareness. Issues in Informing Science and Information
Technology Journal,
[10]
Kim, S. & Choi, M.
(2012).
Educational requirement analysis
for information security professionals
in
Korea. Journal of Information Systems Education,
[11]
Logan, P. Y. (2012).
Crafting an undergraduate
information security emphasis within information technology. Journal of Information Systems
Education,
[12]
Rosseli,
F.
(2005). Observatoire des sciences
et des techniques, Cyber security
curricula in European Universities: Final Report. Study commissioned by the Institute for Prospective
Technological Studies.
[13]
Computer Security Institute
(CSI). 2007. The 12th Annual Computer Crime and Security
Survey
[14]
Leach J. 2013. Improving
user security behaviour. Computers & Security, Vol.
22, No. 8, pp 685-692.
[15]
Pahnila, S., Siponen, M., Mahmood, A. Employees’ Behavior towards IS Security Policy Compliance.
Proceedings of the 40th Hawaii International Conference
on System Sciences, 2007.
[16]
Puhakainen, P. 2006. A Design theory for Information Security Awareness. Ph.D. thesis, University of Oulu.
[17]
Stanton, J.M., Stam, K.R., Mastrangelo,. Jolton,
J. Analysis of end user security behaviours. Computers & Security,
Vol. 24, 2005, pp 124-133.
No comments:
Post a Comment