Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Эрсдэлийг үнэлсэн үү? (Risk Assessment)

Эрсдэлийн үнэлгээ гэдэг нь байгууллагын мэдээлэл, систем, үйл ажиллагаанд нөлөөлж болзошгүй аюул, эмзэг байдал болон эрсдэлүүдийг илрүүлж, тэдгээрийн үр дагавар, давтамжийг үнэлэн дүгнэх үйл явц юм.

Яагаад чухал вэ?
  1. Эрсдэлийг үнэлснээр байгууллага чухал мэдээллээ хамгаалах арга хэмжээ төлөвлөх, зардал-үр ашгийн оновчтой шийдвэр гаргах боломжтой болно.
  2. ISO 27001 болон бусад мэдээллийн аюулгүй байдлын стандартаар шаарддаг үндсэн алхам.
  3. Эрсдэлийг хүлээн зөвшөөрөх, бууруулах, дамжуулах эсвэл үгүйсгэх зэрэг стратеги боловсруулахаас өмнө үнэлгээ хийсэн байх ёстой.
Шалгах зүйлс
  • Эрсдэлийн үнэлгээ хийгдсэн талаар албан ёсны баримт, тайлан байгаа эсэх.
  • Үнэлгээ дараах үндсэн алхмуудыг агуулсан эсэх:
    •            Актив тодорхойлох (asset identification)
               Аюул тодорхойлох (threat identification)
               Эмзэг байдал тодорхойлох (vulnerability analysis)
               Эрсдэлийн магадлал ба нөлөөллийн үнэлгээ (likelihood & impact)
               Эрсдэлийн оноо гаргасан эсэх (risk scoring or risk matrix)
  • Эрсдэл тус бүрт холбогдох бууруулах арга хэмжээ (risk mitigation plan) боловсруулсан эсэх.
  • Эрсдэлийн үнэлгээ тогтмол давтамжтай хийгддэг эсэх (ж.ж жилд 1 удаа).
Жишээ
  • Байгууллагын серверийн аюулгүй байдлыг үнэлэх үед дараах дүгнэлт гарчээ: “Root privilege ашиглан халдагч бүх өгөгдөлд нэвтрэх боломжтой. Серверийн root нууц үг хүчтэй биш.”
  • Магадлал: Өндөр
  • Нөлөөлөл: Онц ноцтой
  • Эрсдэлийн оноо: 9/10
  • Арга хэмжээ: Нууц үгийг хүчтэй болгож өөрчлөх, SSH-д 2FA нэвтрүүлэх.