Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Зөвхөн эрхтэй хэрэглэгч мэдээлэлд нэвтрэх боломжтой юу?

Энэ шалгуур нь мэдээлэлд зөвхөн эрх бүхий (authentication + authorization хийсэн) хэрэглэгчид л хандах боломжтой эсэхийг хянадаг. Үндсэн зорилго нь мэдээллийг зөвшөөрөлгүй этгээдүүдээс хамгаалах юм. Системийн хэрэглэгч бүр тодорхой эрхийн түвшинтэй байж, зөвхөн өөрийн эрхийн хүрээнд л үйлдэл хийх ёстой.

Яагаад чухал вэ?
  1. Хэрэв бүх хэрэглэгч системийн аль ч хэсэгт чөлөөтэй нэвтэрч чаддаг бол:
  2. Нууцлал алдагдах (жишээ: хүний хувийн мэдээлэл харагдах)
  3. Өгөгдөл өөрчлөгдөх/устах (жишээ: санамсаргүйгээр эсвэл зориуд датаг засах)
  4. Зөрчил үүсэх (ISO 27001, GDPR зэрэг хууль, стандарт зөрчигдөх) болзошгүй. Энэ нь байгууллагын нэр хүнд, хуулийн хариуцлагад нөлөөлнө.
Шалгах зүйлс
  • Хэрэглэгч бүр өөрийн username, password эсвэл 2FA (хоёр шатлалтай баталгаажуулалт) ашиглан нэвтэрч байгаа эсэх.
  • Нэвтрэх эрх (role-based access) зөв зохицуулагдсан эсэх:
  • Жишээ: админ бүх үйлдлийг хийж чадна, хэрэглэгч зөвхөн өөрийн мэдээллийг харна.
  • Session/token хяналт сайн байгаа эсэх (нууц cookie leak, expiry, token hijack гэх мэтээс хамгаалах).
  • Нууц хуудас руу шууд URL-аар хандах үед “Access Denied” мэт зөв хамгаалалт өгдөг эсэх.
  • Мэдээлэл нь зөвхөн зөвшөөрөгдсөн IP эсвэл device-оос хандах боломжтой эсэх (шаардлагатай тохиолдолд).
Жишээ
  • Ажилтан хэрэглэгч өөрийн цалингийн дэлгэрэнгүй мэдээллийг үзэж чадна, харин бусад ажилтны мэдээлэл харагдахгүй.
  • Хэрвээ хэрэглэгч https://erp.example.com/admin гэсэн линк рүү шууд орвол “Unauthorized” гэсэн алдаа гарч ирдэг.
  • HR менежер зөвхөн HR модулийн мэдээлэлд хандаж чадна.