Кибер аюулгүй байдал дахь төрийн оролцоо-II
3-6

Өмнөх нийтлэлд (энд дарж үзнэ үү) Global Cybersecurity Index тухайн улс орон кибер аюулгүй байдалд хэр ач холбогдол өгч буйг үнэлдэг үзүүлэлтүүдийн талаар товч дурдсан билээ. Харин энэ удаад төр кибер аюулгүй байдлын салбарт ямар түвшинд оролцвол зохих талаар хувь мэргэжилтний өнцгөөс бичих гэж үзье.

 

 

Миний хувьд аль ч салбарт төрийн оролцоо бага байх ёстой гэж үздэг хэдий ч кибер аюулгүй байдлын салбар нь төрийн үндсэн үүрэг болох улс орны тусгаар тогтнол, аюулгүй байдлыг хангахтай шууд холбогдох учир мэдээллийн аюулгүй байдлын эмзэг байдлыг бүх шатанд бууруулах, хариу үйлдэл үзүүлэх тогтолцоог бүрдүүлж өгч оролцохоос өөр аргагүй. Энэхүү үүргээ хэрэгжүүлэхэд төр дараах арга хэмжээнүүдийг авах шаардлагатай.

 

  1. Шаардлагатай хууль эрхзүйн орчинг бүрдүүлэх
  2. Хуулийн хэрэгжилтийг бий болгох механизм, институциудийг бий болгон уялдаа холбоогоор хангах
  3. Шаардлагатай минимум стандартуудыг тогтоож, стандартын хэрэгжилтийг хангуулах 
  4. Олон нийтийг соён гэгээрүүлж, эрсдэлээс сэргийлэх
  5. Олон улсын хамтын ажиллагаанд оролцох
  6. Төрийн байгууллагуудын аюулгүй байдлыг хангах зэрэг юм.

 

Эдгээр арга хэмжээний талаар тайлбарлавал

 

1. Хууль эрхзүй

 

Дээр дурдсан арга хэмжээнүүдээс одоогоор нэн түрүүнд шаардлагатай байгаа нь хууль эрхзүйн орчин бөгөөд өмнөх нийтлэлд дурдсанчлан 2010 оны “Монгол Улсын Үндэсний аюулгүй байдлын үзэл баримтлал”-д тусгасан “Мэдээллийн салбарт үндэсний ашиг сонирхлыг хамгаалах, төр, иргэн, хувийн хэвшлийн мэдээллийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдлыг баталгаажуулах нь мэдээллийн аюулгүй байдлыг хангах үндэс мөн” хэмээх заалтаас өөр аливаа зохицуулалт байхгүй байгаа нь дараа дараагийн арга хэмжээг авахад саад болж байна. Гэтэл энэ хугацаанд технологи хөгжиж, эдийн засгийн болон нийгмийн олон харилцаа цахим орчинд явагдах болсноор кибер аюулгүй байдлын шийдэх ёстой асуудлууд улам нэмэгдэх болжээ.

 

2017.04.28-ны өдөр зохион байгуулсан “Төрийн байгууллагуудын мэдээллийн аюулгүй байдал” сэдэвт уулзалт, өдөрлөг дээр Үндэсний аюулгүй байдлын зөвлөлийн ажлын албанаас Монгол Улсын тухайд мэдээллийн нууцлал, бүрэн бүтэн, хүртээмжтэй байдлыг цогц байдлаар хангах буюу мэдээллийн аюулгүй байдлыг хангах багц хуулийг доорхи хүснэгтэд харуулснаар тогтоох боломжтой гэж илтгэл тавьж байв. Хэдийгээр одоо хэрэгжиж буй төрийн, хувь хүний болон байгууллагын нууцын тухай хууль байгаа хэдий ч эдгээр хуулиуд нь 1990-ээд онд батлагдсан тухайн үеийн шаардлагад нийцүүлж гаргасан нь өнөөгийн шаардлагыг огт хангахгүй байгаа юм. Иймд эдгээр хуулиудын оронд доорх хүснэгтэд заасан байдлаар ангилан хуулиудыг боловсруулан батлах хэрэгтэй гэж илтгэлд дурьдсан байв.

 

Мэдээллийн аюулгүй байдлыг хангах чиглэл

Хууль тогтоомжийн нэр, огноо

Тайлбар

Мэдээллийн бүрэн бүтэн байдлыг хангах

- Харилцаа холбооны тухай хууль

Батлагдсан

- Мэдээллийн аюулгүй байдлыг хангах тухай хууль

Батлах

- Мэдээллийн аюулгүй байдлыг хангах үйл ажиллагааны тухай хууль

Боловсруулах

- Төрийн цахим бүртгэл, мэдээллийн эрх зүйн байдлын тухай хууль

Боловсруулах

- Тусгай болон нийтийн хэрэглээний сүлжээний тухай хууль

Боловсруулах

Мэдээллийн нууцлалыг хангах

- Өгөгдөл хамгаалах тухай хууль

Батлах

- Цахим гэмт хэргээс урьдчилан сэргийлэх тухай хууль

Боловсруулах

- Байршил зүй, орон байрны цахим мэдээллийн тогтолцооны тухай хууль

Боловсруулах

 

Мэдээллийн хүртээмжтэй байдлыг хангах

- Мэдээллийн ил тод байдал ба мэдээлэл авах эрхийн тухай хууль

Батлагдсан

- Хэвлэл мэдээллийн эрх чөлөөний тухай хууль

Батлагдсан

- Интернетийн зохицуулалтын тухай хууль

Боловсруулах

- Цахим хэлбэрээр өгөгдөл, мэдээлэл солилцох тухай хууль

Боловсруулах

- Мэдээллийн цахим тогтолцоог онц байдал, гамшгийн үед хэрэглэх тухай хууль

Боловсруулах

 

Жич: Уг нь мэдээллийн хүртээмжтэй байдал гэдэг нь availability буюу тухайн мэдээлэлд хандах боломжтой байхыг хэлдэг. Энэхүү илтгэл дээр илтгэгч нь accessibility-тай андуурч мэдээллийн ил тод байдлын хууль зэргийг санал болгосон бололтой.

 

Миний бодлоор эдгээрээс хамгийн түрүүнд Мэдээллийн аюулгүй байдлын тухай хууль болон өгөгдөл хамгаалах тухай хуулиуд батлагдаж байж бусад арга хэмжээнүүдийг авах суурь нь үүснэ. Мөн эдгээрээс гадна мэдээллийн ангилал, онц ноцтой дэд бүтэц (салбар)-ын тухай, гамшгийн үед ажиллах протокол гэх мэт бичиг баримтууд зайлшгүй шаардлагатай болно. Түүнээс гадна бидний ирээдүй болсон хүүхдүүдээ интернет орчноос хамгаалах нь чухал асуудал болоод буй.

 

2. Институци

 

Дахиад нэг төрийн байгууллага байгууллаа гэж магадгүй ч төрийн харъяаллын эсвэл төртэй гэрээт цахим аюулгүй байдлыг улсын хэмжээнд хариуцсан институци байх зайлшгүй шаардлагатай. Тухайлбал Монгол Улсын хэмжээнд гарч буй халдлагыг хэн бүртгэж, хэн хариуцах, хэн ямар хариу арга хэмжээ авах гэх мэтчилэн уг институцийн үүрэг тодорхой байх шаардлагатай.

 

Одоогоор гэмт хэргийн шинжтэй кибер халдлага бол эрүүгийн цагдаагийн байгууллага руу, улсын нууцын шинжтэй бол тагнуулын байгууллага руу, батлан хамгаалах бол ЗХЖШ гэх мэт хандан тус тусдаа явж буй мэдээллийг нэгтгэн уялдаа холбоотой, нэг удирдлага, нэг хариуцагч эзэнтэй болгох зайлшгүй шаардлагатай бөгөөд үүнийг хуульчилж баталгаажуулах нь кибер аюулгүй байдлын тухай хуулийн нэг зорилго байх юм. Одоогоор Монголд ийм институци байхгүй бөгөөд Харилцаа холбоо, мэдээллийн технологийн газар нь Засгийн газрын бодлогыг хэрэгжүүлэгч агентлаг учир энэхүү үүрэгт тохиромжгүй.


Энэхүү нэгтгэсэн удирдлагыг хангах байгууллага нь олон улсын өмнө Монгол Улсыг кибер аюулгүй байдлын орчинд төлөөлөх эрх бүхий этгээд байх юм.

 

3. Минимум стандарт

 

Төрийн хамгийн чухал үүргийн нэг бол стандарт гаргаж түүнийгээ мөрдүүлэх. Стандарт хэмжилзүйн газраас 35.030 серитэй Мэдээлэл Технологийн Аюулгүй Байдлын бүлэг стандартыг 2007-2014 оны хооронд баталсан байдаг. Мэдээж хэрэг зарим нэг шинэчлэх, сайжруулах зүйлс бий боловч ядаж эхлэл цэг нь байгаа гэсэн үг. Асуудал нь эдгээр стандартыг хаана юунд мөрдөх вэ гэдэг зохицуулалт нь тодорхойгүй, мөрдөж буй эсэхийг шалгадаг мэргэжлийн бүтэц байхгүй (ТЕГ-ын аудитыг эс тооцвол) зэрэг нь эдгээр стандартын ач холбогдлыг бууруулж буй юм.

 

Энэ нь ганц төрд ч биш хувийн салбарт ч ижил. Арилжааны банкнуудад Монголбанкнаас тавьдаг аюулгүй байдлын шаардлага болон аюулгүй байдлын аудитаас бусдаар хувийн салбарт ч аюулгүй байдлаа сайжруулахын тулд ийм юм хийсэн байх ёстой гэсэн минимум стандарт байхгүй. Ядаж үүрэн телефоны операторуудад тавигдах минимум аюулгүй байдлын шаардлага байхгүй учир ашгийн төлөөх хувийн байгууллагууд аюулгүй байдлыг зөвхөн зардал гэдэг өнцгөөс хардаг хандлага багасахгүй.

 

4. Олон нийтийг соён гэгээрүүлэх

 

Аюулгүй байдлын хамгийн эмзэг цэг нь эцсийн хэрэглэгч байдаг болохоор олон нийтэд зөв зохистой ойлголт өгөхгүйгээр улсын хэмжээнд кибер аюулгүй байдлаа хангана гэж байхгүй. Гэвч ядуурал, боловсролын системийн уналт зэрэгтэй давхацсан технологийн үсрэнгүй хөгжил нь энгийн ард иргэдэд учрах цахим эрсдэлийг улам нэмэгдүүлж байна.

 

ЭЦГ-ийн Кибер гэмт хэрэгтэй тэмцэх хэлтсээс сүүлийн үед энэ талаар мэдээлэл түгээх болсон, банкууд харилцагчдаа хамгаалахын тулд янз бүрийн санаачлагууд гаргаж байгаа зэрэг нь сайшаалтай. Мөн MNCERT/CC -ээс жил бүр уламжлал болгон MNSEC арга хэмжээг зохион байгуулж байна. Гэвч улсын хэмжээнд нэгдсэн бодлоготой, уялдаа холбоо бүхий хөтөлбөр боловсруулахгүйгээр нийт ард иргэдэд аюулгүй байдлын мэдээлэл түгээх нь хүртээмж муутай байсаар байна.

 

5. Олон улсын хамтын ажиллагаа

 

Миний аюулгүй байдал чиний аюулгүй байдлаас хамаарна гэсэн үг байдаг. Өөрөөр хэлбэл  Интернет орчин аль нэг улсын хилээр хязгаарлагдахгүй учир бүгд нэгнээсээ харилцан хамааралтай. Тийм ч учраас олон улсын түвшинд мэдээлэл солилцох, хамтран ажиллах дэд бүтцүүд бий болсон. Харамсалтай нь дахиад л хууль эрхзүйн орчин бүрдээгүйн гайгаар Монгол Улсыг цахим  ертөнцөд хэн төлөөлөх вэ гэдэг асуудал үүсдэг бөгөөд хариуцсан эзэнгүй учир гаднаас ирүүлсэн мэдээллүүд тэгсгээд замхарч алга болох нь их.

 

6. Төрийн байгууллагын аюулгүй байдал

 

ТҮЦ машин, ХУР систем, НӨАТУС, Цахим эрүүл мэнд гэх мэтчилэн төрийн үйлчилгээ цахимжих тусам дагаж гарч ирэх мэдээллийн аюулгүй байдлын эрсдэл нэмэгдэнэ. Энэхүү эрсдэлийг бууруулахын тулд тухайн мэдээллийг хариуцагч төрийн байгууллага хоорондын уялдаа холбоо, ажиллагааны зарчим гэх мэт олон зүйлс тодорхой болгох шаардлагатай.

 

Үндэсний аюулгүй байдлын зөвлөл, Засгийн газрын Хэрэг эрхлэх газар, Харилцаа холбоо, мэдээллийн технологийн газар, Үндэсний Дата төв УТҮГ-аас Төрийн мэдээлэл холбооны газар, Цахим аюулгүй байдлын мэдээллийн удирдлагын төв (MNCERT/CC)-тэй хамтран 2017 онд зохион байгуулсан “Төрийн байгууллагуудын мэдээллийн аюулгүй байдал” хурлын оролцогчдын зүгээс зөвлөмж гаргасан бөгөөд дээрхи эрсдэлийг бууруулахад чухал ач холбогдолтой зөвлөмж болсон.

 

Уг зөвлөмжөөс дурьдвал:

 

  1. Мэдээллийн аюулгүй байдлын эрх зүйн орчныг боловсронгуй болгох ажлын хүрээнд:
    1. мэдээллийн аюулгүй байдлын тухай хуулийг төр, байгууллага, иргэний эрх үүргийн хэмжээнд оновчтой, олон улсын жишигт нийцсэн зөв хувилбараар боловсруулан, батлуулах;
    2. мэдээллийн аюулгүй байдлын батлагдсан үндэсний стандартуудыг нэмэлт өөрчлөлт оруулан шинэчлэх;
    3. төрийн байгууллагуудад мэдээллийн аюулгүй байдлын үндэсний стандартуудыг нутагшуулах;
    4. төрийн захиргааны байгууллагад 2 жил тутам мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ хийх тогтолцоог бүрдүүлэх;
    5. төрийн бүх шатны байгууллагууд дотоод мэдээллийн аюулгүй байдлын бодлого, журамтай болох, журмын хэрэгжилтийг хангуулах ажилд байгууллага бүр анхаарах;
    6. төрийн байгууллагуудын мэдээллийг ангилах, мэдээллийн ангиллаар хамгаалалтын түвшин тогтоох эрх зүйн зохицуулалтыг бий болгох;
  2. Хүний нөөцийг чадавхжуулах ажлын хүрээнд:
    1. төрийн онц чухал дэд бүтэц бүхий байгууллагууд мэдээллийн аюулгүй байдлын нэгжтэй болох, бусад бүх шатны төрийн байгууллагууд мэдээллийн аюулгүй байдал хариуцсан албан хаагчтай байх;
    2. төрд мэдээллийн технологийн чиглэлээр ажиллаж буй албан хаагчдыг мэдээллийн аюулгүй байдлын мэргэжилтнээр мэргэшүүлэн сургах;
    3. төрд мэдээллийн технологи, мэдээллийн аюулгүй байдлын асуудал хариуцсан албан хаагчдыг тогтвортой ажиллуулах боломжийг бүрдүүлэх;
    4. төрийн бүх шатны албан хаагчдад цахим болон цаасан суурьтай мэдээллийг хадгалах, хамгаалах мэдлэг ойлголт, ухамсар соёлыг төлөвшүүлэх сургалт арга хэмжээг тогтмол зохион байгуулах;
    5. төрийн мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ эрх бүхий албан хаагчдыг мэргэшүүлэх, гэрчилгээжүүлэх;
    6. төрд мэдээллийн технологийн чиглэлээр ажиллаж буй албан хаагчдын ёс зүйн хэм хэмжээ, дүрэмтэй болох;
  3. Програм хангамж, техник хангамж, сүлжээний аюулгүй байдлыг хангах ажлын хүрээнд:
    1. төрийн байгууллагуудын мэдээллийн систем, програм хангамж, тоног төхөөрөмжийг лицензжүүлэх;
    1. төрийн байгууллага, онц чухал дэд бүтэц бүхий байгууллагад ашиглагдах програм хангамж, мэдээллийн систем, техник, тоног төхөөрөмжийг шалган баталгаажуулдаг лаборатори байгуулах;
    2. төрийн байгууллагын төсөвт мэдээллийн аюулгүй байдлыг хангахад зориулж зарцуулах төсвийг жил бүр суулгах;
    3. төрийн байгууллагуудад мэдээллийн аюулгүй байдлын тоног төхөөрөмж суурилуулах;
  4. Төрийн байгууллагуудын хамтын ажиллагааны ажлын хүрээнд
    1. мэдээлэл алдах эрсдэлээс сэргийлэх чиглэлээр төрийн байгууллагуудын хамтын
    2. ажиллагааг сайжруулах, сайн туршлага солилцох;
    3. төрийн байгууллагуудын мэдээллийн аюулгүй байдлын зөвлөлийг байгуулах;
    4. төрийн байгууллагууд салбарынхаа хэмжээнд мэдээллийн аюулгүй байдлыг хангах
    5. олон нийтийн мэдлэг ойлголтыг сайжруулах арга хэмжээг жилд хоёроос доошгүй зохион байгуулах.

 

Дүгнэлт

 

Монгол Улсын хувьд кибер аюулгүй байдлын нөхцөл байдал хангалтгүй түвшинд байгаа нь нууц биш бөгөөд улсын хэмжээнд системтэйгээр засаж сайжруулах асуудал бишгүй байна. Харамсалтай нь өнөөгийн нийгэм, эдийн засгийн байдлаас шалтгаалан аюулгүй байдлын салбарт ач холбогдол өгөх, олон улсын стандартад бүрэн нийцүүлэхээр ажиллах чадварлаг улстөрч ч, улстөрийн болон төрийн институци ч байхгүй байгаа нь сэтгэл зовнимоор байна.

 

Аюулгүй байдлын мэргэжилтэн М.Отгонпүрэв

Хуульч, судлаач Л.Галбаатар

Shuud.mn
Сонин хачин
irgen:
hamgiin ayultai sedev ene shyydee, deer tord ni medej baigaa hyn er ni baidag umuu
2019-03-06