Search This Blog

2010-11-21

Байгууллагын тооцоолуур ашиглалтын журам


Л. Галбаатар

Кибер довтолгоотой тэмцэх Монголын баг (MonCIRT)-ийн мэдээлсэнээр, 2009 оны 11 сарын байдлаар жилд 150000 орчим монголчууд кибер халдлагад өртөж, 8000 нь хохирогч болж байна.
Уг хохирогчдын тоонд бүхий л байгууллагууд тодорхой хэмжээгээр багтах болов. Ийм  эрсдэлийн эсрэг гол хэрэгсэл нь байгууллагын "тооцоолуур ашиглах журам" юм.

Тодорхой, тухайлсан харилцааг л зохицуулдаг тул "тооцоолуур ашиглалтын журам" аль ч байгууллага, улсад нийтлэг зарчим, заалттай байдаг. Ингээд тэрхүү зарчим, заалтуудтай танилцая.
- Тооцоолуур, тооцоолуурын сүлжээ, түүн дэх мэдээллийг байгууллагын өмчийн эд хөрөнгө гэж үзнэ.
Байгууллагын эд хөрөнгө гэдэгт таны хариуцсан тооцоолуур, түүнд хадгалагдаж буй бүхий л мэдээлэл (цахим шуудан, дуут шуудан, цахим харилцааны хөдөлгөөн) хамаарах бөгөөд түүнийг ажилтны хувийн нууцад хамааруулахгүй. Мэдээллийг ил болгох, хэрэглэх эрх нь байгууллагын эрх бүхий этгээдэд хадгалагдана.
- Уг эд хөрөнгийг хуулийн хүрээнд байгууллагын удирдлагын баталж зөвшөөрсөн зорилгод ашиглана.
Ажлын бус цагаар, байгууллагаас илүү зардал гаргахааргүй, ажил үүргийн гүйцэтгэлд сөргөөр нөлөөлөхөөргүй бол тооцоолуурыг хувийн хэрэгцээндээ ашиглах боломж ажилтанд бий. Гэвч эндээс л байгууллага кибер халдлагад өртөх эрсдэл бий болдог. Учир нь ажилтны “хувийн хэрэглээ” нь байгууллагын хяналт, тооцоололд багтахгүй өргөн хүрээтэй цахим харилцаа байдаг. “Хувийн хэрэглээ”-нд тулгуурласан халдалтын арга зам, нөхцөл нь хувисан өөрчлөгдсөөр байдаг. Yahoo, Google, Microsoft, Paypal-ийн “үйлчилгээний албанаас” гэх “сайхан мэдээ”, Онлайн лотоны ялагч боллоо гэх мэдээллүүд нь хэрэглэгчийн бүртгэл, холбогдох нууц мэдээллийг цуглуулах, хулгайлах, хордуулах зорилготой байдаг.   
- Уг эд хөрөнгийг хууль бус зорилгод ашиглах нь хариуцлага хүлээлгэх үндэслэл болно.
Байгууллагын холбогдох журамд хориглох үйлдэл, түүнтэй холбогдсон хариуцлагыг тодорхойлж өгдөг. Гэхдээ байгууллагын журам зөрчсөн үйлдэл нь эрүүгийн, захиргааны хариуцлага хүлээлгэх үйлдэлтэй давхцаж байх нь бий. Энэ нь Эрүүгийн хуулийн боловсронгуй бус байдалтай холбоотой. Нэг үйлдэлд хоёр өөр хариуцлага хүлээх эрсдэл ажилтанд байдаг тул байгууллагын хувьд дотоод журмаа хуулиас нарийвчлалтайгаар боловсруулах нь ажилтнуудаа гэмт хэрэгтэн болгох эрсдэлээс сэргийлэх юм. Гэхдээ энэ нь ял завшуулах тухай бус бөгөөд, зөрчил бүхий үйлдэлд тохирсон хариуцлага хүлээлгэх, хэлмэгдлээс сэргийлэх тухай юм.
- Хэрэглэгч зөвхөн албан ёсоор зөвшөөрсөн төхөөрөмж, өгөгдөл, мэдээлэлтэй ажилллана. 
- Албан ёсоор зөвшөөрөөгүй мэдээллийг олж авахгүй.
- Тухайн мэдээллийг ашиглах зөвшөөрөлгүй хүнд сүлжээнээс мэдээлэл татаж өгч болохгүй. 
- Тухайн тооцоолуур, мэдээлэлтэй ажиллах эрхтэй ажилтны тоо тодорхой, хязгаарлагдмал байна.
- Байгууллагын тооцоолуур, түүний сүлжээнд хохирол учруулахуйц мэдээлэл, программыг нээх, хадгалахыг хориглоно.
- Тооцоолуур, түүний сүлжээг зөвшөөрөгдсөн, мэргэжлийн ажилтнаар гүйцэтгүүлэх.
Тооцоолуурын эзэмшил, бүртгэлийн талаар мэддэг, андуурахгүй байх нь чухал юм. Мөн сүлжээний хүрээнд хариуцаагүй мэдээлэл хаяг “андуурсан” байдлаар ирэх нь бий. Түүнийг буцааж илгээх нь зохистой байдаг.
Тухайн байгууллагын ажилтан хэдий ч, тухайн мэдээлэлтэй холбоогүй этгээдэд мэдээлэл дамжуулах нь журмын эсрэг үйлдэл юм.
Тодорхой давтамжтайгаар тооцоолуурын нэвтрэх үгийг солих нь зохистой бөгөөд энэ талаар бусад ажилтанд мэдэгдэх шаардлагагүй юм. Нөгөө талаар, нэвтрэх үгийг солих тухай байгууллагын мэдэгдлийг дуурайсан, “хортой” мэдэгдэл ирэх нь ч бий. Иймд нэвтрэх үг солихын өмнө түүний давтамж, хэлбэр зэрэгт анхааралтай хандах хэрэгтэй болдог.
Тооцоолуур ашиглалтын хүрээн дэх аливаа асуудал нь тусгай мэдлэг, туршлага шаардсан зүйл тул ажилтан бүр мэдээллийн технологийн мэргэжилтэнтэйгээ зохих хамтын ажиллагаа, харилцаатай байх нь тааварлахад бэрх, олон янзын дүр төрхтэй кибер халдлагаас өөрийгөө болон бусад ажилтнаа хамгаалах гол нөхцөл юм.
Энэ удаа тооцоолуур ашигладаггүй байгууллага, ажилтан ховор болж буй, нөгөө талаар кибер халдлагад өртөх хохирогч нэмэгдэж буйтай холбогдуулан байгууллагад мөрдөх “тооцоолуур ашиглах журам”-ын тухай толилууллаа.


No comments: