CRAMM

CRAMM (CCTA эрсдэлийн шинжилгээ ба менежментийн арга) нь эрсдэлийн удирдлагын аргачлалуудын нэг бөгөөд одоогоор тав дахь хувилбар болох CRAMM хувилбар 5.0 төхөөрөмж дээр эрсдэлийн шинжилгээ явуулж байна (2003 онд гаргасан). CRAMM аргачлал нь эртний эрсдлийг тооцох хэрэгсэл юм. Их Британичууд ихээр хэрэглэдэг, олон нийтийн салбарт мэдээллийн эрсдэлийн үнэлгээг тооцох гэж гаргасан. CRAMM нь бага зардлаар үнэлгээг хийдэг.

Түүх[засварлах | кодоор засварлах]

CRAMM-ыг 1987 онд Их Британийн Компьютер, Харилцаа Холбооны Төв Газар (CCTA) буюу одоогийн Засгийн Газрын Хэрэг Эрхлэх Газар бий болгожээ.

Мэдээллийн аюулгүй байдал ба Эрсдэл[засварлах | кодоор засварлах]

Анх “Компьютерийн Аюулгүй Байдал”, “Мэдээллийн Технологийн Аюулгүй Байдал” гэсэн ойлголтууд байсан. Технологитой холбоотой аюулгүй байдлыг илэрхийлж байсан. Улмаар хүнээс хамааралтай аюул, удирдлага, зохион байгуулалттай холбоотой эрсдлүүд нэмэгдсэн учир утга нь өргөсөж “Мэдээллийн Аюулгүй Байдал” (МАБ) хэмээн нэрлэсэн байна. Мэдээллийн Аюулгүй Байдал мэдээллийн аюулгүй байдлыг хадгалан, мэдээллийн алдагдал, зөвшөөрөлгүй хуулбарлалтын эсрэг түүний хамгаалалтыг зохион байгуулах зорилгоор мэдээлийн үнэ цэнийг тодорхойлох төхөөрөмжүүдийг хэрэглэх нь орчин үед нэн чухал байна.

Аюулгүй байдлын бодлого

Аюулгүй байдлын бодлого нь сүлжээний төлөвлөлт, аюулгүй байдлын бодлого баримтлахад хэрэглэгдэнэ. Сүлжээний аюулгүй байдлын бодлого нь сүлжээнд хандах, байгууллагын сүлжээний аюулгүй байдлын орчны архитектурыг тодорхойлох зэрэгт ач холбогдолтой юм. Сүлжээний аюулгүй байдлын бодлого нь хэрэглэгчдийг аюулгүй ажиллуулах зорилготой. Бодлого бий болсноор хэрэглэгчид ямар үйлчилгээг яаж хэрэгжүүлэх, хэрхэн хийхээ ойлгосон байх ёстой. Аюулгүй байдлын бодлогыг шаталсан бүтэцтэйгээр үүсгэдэг. Аюулгүй байдлын бодлого боловсруулахад хамгйн түрүүнд ямар мэдээлэлтэй ямар үйлчилгээ үзүүлдэг, тэдгээрийн эрсдэл үзүүлэх нөлөөг тооцож үзэх шаардлагатай. МАБ-ын 4н зарчим: Зөв мэдээллийг Зөв хүнд Зөв цагт Зөв хэлбэртэй хүргэж байх Мэдээллийн салбарт үндэсний аюулгүй байдлыг хамгаалах үүднээс төр, иргэн, хувийн хэвшлийн мэдээллийн 1. Бүрэн бүтэн, 2. Нууцлагдсан 3. Хүртээмжтэй байдлыг баталгаажуулах тухай ойлголт багтана

Аюулгүй байдалын чиглэлээр нэр томьёоны утгыг нийтээр хүлээн зөвшөөрсөн байдаг. Бид дараах байдлаар ашиглах болно:

1. (Threat)->Аюул

  • ”Аюул”- Хөрөнгөд тохиолдож болох аюултай хор хөнөөл.
  • ”Аюул”- Мэдээллийн Аюулгүй Байдалыг ямар нэг байдлаар зөрчиж болох боломжуудыг хэлнэ.

2. (Impact)->Үр нөлөө

  • "Үр нөлөө" - Үр нөлөөг хэмжих нь аюултай байдалыг үүсгэдэг

3. (Аttack)->Халдлага

  • "Халдлага" - Аюул заналхийллийг хэрэгжүүлэх оролдлогыг халдлага, довтолгоон гэнэ.

4. (Attacker)->Халдагч

  • "Халдагч" - Аюул заналхийлэл хэрэгжүүлэх оролдлого хийж буй этгээдийг гэмт санаатан буюу халдагч гэнэ. Тэд аюул заналхийллийн эх сурвалж болдог.

5. (Vulnerability)->Эмзэг байдал

  • "Эмзэг байдал" - Аюул заналхийлэл нь МАБ-ын удирдлага, зохион байгуулалт, Мэдээллийн Систем, сүлжээн дахь эмзэг байдал, цоорхойг ашиглан хэрэгждэг. Цоорхойг хаах, арилгах хүртэл түүнийг ашиглах боломж оршсоор байна. Үүний аюул заналхийллийн цонх гэдэг"

6. Risk->(Эрсдэл)

  • “Эрсдэл” – энэ бол аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал.
  • “Эрсдэл” – энэ бол хамгаалалт шаардаж буй хор хохирол учрах магадлал.
  • "Эрсдэл" - байхгүй бол хамгаалалт хэрэггүй.
  • "Эрсдэл" - учирч болзошгүй аюул, ослыг арилгаж, алдаа эндэлгүй ажиллах магадлалын түвшин
  • "Эрсдэл" - бол аюулгүй байдлын салбарт ажиллагсдын заавал ойлгох зүйл

Аргачлал[засварлах | кодоор засварлах]

CRAMM гурван үе шаттай, зорилго асуулга, удирдамж дэмжлэгтэйгээр тус тус эзэлж байна. Эхний хоёр шат нь аюулгүй байдал, эрсдэлийг тодорхойлж, системийн эрсдэлд дүн шинжилгээ хийх. Гурав дахь шат нь эдгээр эрсдлийг хэрхэн удирдаж байх ёстой зөвлөж байна.

CRAMM гурван үе шат нь дараах байдалтай байна:

1 дүгээр шат[засварлах | кодоор засварлах]

Аюулгүй байдлыг хангах зорилтыг бий болгодог:

  • Судалгааны хил хязгаарыг тодорхойлох
  • Системийн хэсэг бие болон эд хөрөнгийг үнэлэх,
  • Бизнесийн нөлөөллийн талаар хэрэглэгчдэд ярилцлага зохион байгуулан мэдээллийн олдоц ховор, устгах, задлах, өөрчлөхөөс үүсч болзошгүй эрсдэлийг тодорхойлох .
  • Системийн хэсгийг бүрдүүлж програм хангамжийн хэсгийг үнэлэн тодорхойлох.

2 дугаар шат[засварлах | кодоор засварлах]

Санал болгож буй системд эрсдэлийн үнэлгээ хийн, өөр аюулгүй байдалын шаардлагыг тодорхойлох:

  • Системд нөлөөлж болзошгүй аюул заналын түвшин болон төрөлийг үнэлэн тодорхойлох
  • Тодорхойлсон эрсдэлтэй системийн эмзэг цар хүрээг үнэлэх
  • Эрсдэлийн арга хэмжээ нь аюул болон эмзэг байдлын үнэлгээг нэгтгэн хөрөнгийн үнэ цэнд тооцоолол хийнэ.

3 дугаар шат[засварлах | кодоор засварлах]

  • 2-р шатанд тооцоолсон эрсдлийн арга хэмжээ нь тохирсон бол эсрэг арга хэмжээ сонгон шалгаруулан тодорхойлох.
  • CRAMM нь 70 логик хэсгүүдэд хуваагдан зохион байгуулагдсан 3000 гаруй дэлгэрэнгүй хэсгээс бүрдсэн маш том архивын сан юм.
Эрсдэлийн төхөөрөмж

Нэг асуудал CRAMM-д тулгарч болно, энэ нь шинжээчдийн мэдлэг, зөв ярилцлага болон зардал, эрсдэл хоёрын хооронд зөв тэнцвэрийг олж авах шаардлагатай юм. Энэ нь компанид байгаа бүтээгдхүүн, бүтээгдхүүний өртөг, компаний зохион байгуулалтын зэрэг аюулгүй байдалын бодлогыг харгалзан үзнэ.

CRAMM арга нэг процесс урсгалын чиглэсэн интерфэйсийн гарын авлага

Ерөнхий байдалын дэлгэц

Эрсдэлийг тооцоолох[засварлах | кодоор засварлах]

СRAMM эрсдэлээ тоооцоолж дууссаны дараа эрсдэлийн шинжилгээний үр дүнг үндэслэхдээ багц үүсгэдэг. Үүсгэсэн багцаа тодорхойлохдоо “системийн” эсвэл “сүлжээний” эрсдэл гэж тодорхойлон хариу илгээдэг. Аюулгүй байдалаа шалгахын тулд байнга Мэдээлийн аюулгүй байдалыг шалгах төхөөрөмжүүдээр шалган эрсдэлтэй эсвэл мэдээлэл аюулгүй байгаа эсэхээ харьцуулалт буюу анализ хийж байхыг зөвлөж байна. CRAMM бол байгууллагын үл хөдлөх хөрөнгийн аюулгүй байдалын эрсдэлийг тооцоолох програм хангамж юм. Эрсдэлийн аюултай байдал, эд хөрөнгийн түвшинийг тооцоолохдоо 1-ээс 7 хэмжээгээр тооцоолдог. Үүнд:

  • 1. Мэдээлэл, мэдээлэлтэй холбоотой бүх эд хөрөнгө, тэдгээрийн үнэ цэнийг тодруулж үнэлнэ.
  • 2. Аюулын үнэлгээ хийж тодруулна.
  • 3. Эмзэг байдлын үнэлгээ хийж тодруулна.
  • 4. Аюул бүрийн учруулж болох хор хохирол, хэрэгжүүлж болох магадлалыг тооцоолон гаргана.
  • 5. Дээрх үнэлгээний үр дүнд тулгуурлан эд хөрөнгө, аюул, эмзэг байдал, магадлал, хор хөнөөлийн хамаарлыг тооцож эрсдлийг эрэмбэлэн гаргана.
  • 6. Эрсдлийн эрэмбэ дээр тулгуурлан хүлээн зөвшөөрч болохгүй эрсдлүүдийг бууруулах цогц арга хэмжээ, тухайлбал төрөл бүрийн хяналт, зохион байгуулалтын арга хэмжээ, бодлого, журам, техник, технологийн хамгаалалт хэрэгжүүлнэ. Энэ үед бүтээмжид нөлөөлөх байдал, хэмнэлт, зардал үр ашгийн харьцаа, хамгаалах эд хөрөнгийн үнэ цэнэ зэргийг харгалзсан байна.
  • 7. Хэрэгжүүлсэн хяналт, арга хэмжээний үр дүнг үнэлж шаардлагатай бол засаж залруулах арга хэмжээ хэрэгжүүлнэ.

Эрсдэлд шинжилгээ хийх алхмууд[засварлах | кодоор засварлах]

1. Шинжилгээний цар хүрээг шийднэ

  • 1. Систем дэх хил хязгаарыг тогтоон
  • 2. Хөрөнгийн болон бизнесийн үйл явцыг тодорхойлох
  • 3. Аюул болон хөрөнгийн тэдгээрийн нөлөөллийн үнэлгээг тодорхойлох (нөлөөллийн үнэлгээ)
  • 4. Аюул нь эмзэг байдлыг тодорхойлох, үнэлгээ

2. Эрсдэлийн шинжилгээний хамрах хүрээг тодорхойлох

  • 1. Тухайн орчин(хамрах хүрээ) зураг төсөлийн гаргах
  • 2. Хилийн шугамын шийлэлийг тодорхойлох
  • 3. хөрш зэргэлдээ салбарт аюулгүй байдлын талаар тодорхой таамаглал хийх

3. Эрсдэлийн шинжилгээний үйл явцын дүн шинжилгээ

  • 1. Компани болон байгууллага тус бүр өөрийн үйл ажиллагаанд чухал ач холбогдолтой үйл явцууд байна
  • 2. Эмзэг байдалыг тодорхойлсон нэг буюу хэд хэдэн төрлийн хөрөнгийн үнэлгээг нэмэгдүүлэх үйл явц байна.

Үүнд:

  • Чухал үйл явцыг тодорхойлох
  • Хөрөнгийн тойм буюу чухал үйл явц хэрэгтэй
  • Эдгээр хөрөнгүүдэд үр нөлөөг шинэчилж шалгах
  • Эрсдлийн үнэлгээ

CRAMM ашиглаж буй байгууллага[засварлах | кодоор засварлах]

Байгууллагын систем, сүлжээний удирдлагын түвшин, эмзэг хэсэг, хөрөнгө оруулалт гэх мэт тоон үр дүн дээр суурилсан ямарч байгууллага CRAMM-аар эрсдэлийн үнэлгээг ашиглаж болно. Жишээ нь: Unisys корпораци нь Мэдээлэл Технологийн үйлчилгээ, програм хангамж, техник технологийн багцыг хангадаг, Америк дахь мэдээллийн технологийн компани юм. Unisys корпораци нь аюулгүй байдал дээр CRAMM-ыг ашиглан ажиллаж байгаа. CRAMM эрсдэлийг тооцоолох төхөөрөмж нь интернэт бизнесийн сорилтуудийн эрсдэлийг тооцоолж дүн шинжилгээ хийх нь ихээр тулгарч ашиглах байгууллагууд өсөн нэмэгдэж байгаа.

Монгол дахь цахим мэдээллийн аюулгүй байдал: эмзэг тал, эрсдэл бэрхшээл, шийдэх арга зам[засварлах | кодоор засварлах]

Монгол улсын мэдээлэл технологийн (МТ) салбарын хөгжил хурдцын хувьд мэдэгдэхүйц ахицтай байгаа боловч, монголын хэрэглэгчид гадаад орнуудад хийгдсэн тоног төхөөрөмжүүд дээр ажиллах, түүгээр сүлжээгээ байгуулах,мэдээллээ хамгаалах байдалтай явж ирсэн, энэ байдал өнөөдөр ч хэвээр байгаа юм. Гол нь гадны тоног төхөөрөмжүүдэд зохих ёсны хяналт шалгалт хийлгүй, тэдгээрийг чухал дэд бүтэцдээ ашиглах нь тийм ч их найдвар төрүүлэхээргүй үйлдэл бөгөөд цахим мэдээллийн аюулгүй байдлын талаасаа эрсдэлтэй алхам юм. Жишээ нь: Монгол Улсын засаг захиргааны үндсэн нэгж - 21 аймгийг холбосон шилэн кабелийн холболтын төхөөрөмжүүд бүгд (ZTE, Huawei г. м.) үндсэндээ өмнөд хөршийн компаниудых байгаа нь нэг эргэлзээ сэжиг .. их бага хардлага төрүүлэх үндэстэй [1]. Хэдэн жилийн өмнө Энэтхэг, Английн МТ –ийн салбарт ашиглаж байсан ZTE [2], Huawei [3] компаниудын төхөөрөмжүүдэд засгийн газраас нь мэргэжлийн баг томилон шалгалт тандалт хийж үзэхэд, тэдгээрт мэдээлэл дамжуулах нууц чип буйг илрүүлж, улмаар тэд дахиж ZTE, Huawei –ийн тоног төхөөрөмжийг авч ашиглахаас татгалзсан тохиолдлууд ч гарч байжээ [4], [5]. Нуугдмал чипийн хувьд, тэдгээр нь, төв серверээс өгөх команд хүлээх бөгөөд орж гарч буй сүлжээний урсгалд шилжилгээ боловсруулалт хийж төврүүгээ дамжуулах чадвартай байв. Гадаадын улс орнууд авч ашиглах ашиглах тоног төхөөрөмжүүддээ мэргэжлийн төвшний шалгалт хийх чадвартай мэргэжлийн багаа бодлогоор байнга хөгжүүлж байдаг нь, уг сэдэв хир зэрэг чухал вэ гэдгийг тодорхойлж буй хэрэг юм. Манай орны хувьд иймэрхүү [чанарын] шалгалт хийх ашиглах тоног төхөөрөмж ч үгүй, шалгалт явуулах бэлтгэгдсэн мэргэжлийн баг ч үгүй явж ирсэн байдал төлөв өөрөө шууд эхний гэмээр эмзэг цэгийг үүсгэж байна гэлтэй. Байдал ийм байгаа нь монголд өнөөдөр, МАБ –ын тухай итгэл төгс ярих эрч хүчийг сааруулж байна гэж үзнэ. Гадаадын өндөр хөгжилтэй орнуудад цахим сүлжээ нь өдөр тутмын хэрэглээ, бизнесийн үйл ажиллагааны салшгүй хэсэг болсон нь хувь хүн, пүүс компани бүрийн мэдээллийг нууцлах ажилд онцгой анхаарал хандуулахыг шаарддаг. Хэрэв хэн нэгний хувийн мэдээлэл алдагдвал учрах хохирол нь багагүй. Харин, одоохондоо монголын хувьд бүх зүйл цахим сүлжээнд хараахан холбогдоогүй, цахим сүлжээнээс хамааралтай бизнесийн үйл ажиллагаа явуулдаг компаниуд ч тийм олон биш байна. Энэ нь тухайн төрлийн аюул занал хол байна гэж үзэх үндэслэл болохгүй. Аюул бол дэргэд байна. Хуурмагаар тайвшруулах зарим аргументууд ч бий юм. Монголын банкуудын ихэнх нь онлайн төлбөр тооцооны системийг хэдийнэ нэвтрүүлсэн. Монголын банкууд онлайн төлбөр тооцооны системтэй болсон нь манай улсын хувьд МАБ -ын олон төрлийн хамгаалалт мониторингийн төвүүдтэйг “нотлон” илтгэмээр. Харамсалтай нь, манай бодит байдал энд эсрэгээрээ байгааг бид өмнө дурдсан билээ. Манай орны хувьд, мэдээллийн аюулгүй байдлын эмзэг байдлыг эрт мэдэх боломжийг олгодог аудитын шалгалт шинжилгээний компаниуд олшроогүй (SSS [19], PSSA [20] г. м), ба тэдний мэргэжлийн ур чадвар өндөр түвшинд хүрээгүй байгааг салбарын удирдлага анхааралдаа авмаар байна. Хэрэв ийм компаниудыг олшруулж төрөөс бодлогоор дэмжээд өгвөл ганц вэбээр тогтохгүй хувь хүн, байгууллага, бүр цаашилбал улс орны үндэсний аюулгүй байдалд чухал нөлөө үзүүлнэ. Тэгээд ч зогсохгүй хөгжингүй орнууд шиг хариу үйлдэл үзүүлэх чадвартай болох нь тийм ч биелэшгүй зорилт биш юм.


Аюулгүй байдалын Мэргэжилтэн[засварлах | кодоор засварлах]

Мэдээллийн Аюулгүй Байдлын мэргэжил нь тогтвортой бөгөөд эрэлт хэрэгцээ нь байнга өсөн нэмэгдэж буй мэргэжил болоод байна. 2014 – 2019 оны хооронд эрэлт хэрэгцээ нь жилд 11 хувиар өсөх таамаглал байна. Монгол улсад энэ чиглэлээр докторын зэрэг хамгаалсан цөөн эрдэмтэн, гадаадад болон дотоодод магистрын зэрэг хамгаалсан 10 гаруй мэргэжилтэн, систем болон сүлжээний хамгааллын чиглэлээр бакалаврын зэрэг хамгаалсан цөөнгүй мэргэжилтэн ажиллаж байна. Одоогийн байдлаар ШУТИС-ийн МХТС болон бусад зарим сургуульд “Системийн хамгаалал” мэргэжлээр сургалт явуулж байна. МХТС -д САБ буюу Системийн аюулгүй байдал мэргэжлээр сургаж байна.

Байршил[засварлах | кодоор засварлах]

CRAMM НАТО-гийн Голландын зэвсэгт хүчинд ашиглагдаж байгаа. Одоогийн CRAMM Их Британийн Засгийн газрын эрсдэлийн шинжилгээнд хэрэглэгдэж байгаа арга, CRAMM мөн Их Британаас гадна олон улс оронд хэрэглэдэг. CRAMM төрийн байгууллага, аж үйлдвэр гэх мэт том байгууллагын хувьд, ялангуяа тохиромжтой. CRAMM нь Их Британи, Голландын хувилбаруудыг санал болгодог.

Дүгнэлт[засварлах | кодоор засварлах]

МАБ-ыг хангах нь хэзээ ч үл дуусах үйл явц бөгөөд “Ямар ч хэрэм босгосон хэн нэгэн этгээд түүнийг давах, нураах зэвсгийг зохион бүтээж байдаг” учир нь орчин үеийн бүх байгууллага Мэдээллийн Аюулгүй Байдлын Удирдлагын Тогтолцоо – ISMS заавал хэрэгжүүлсэн байх шаардлага тулгарч байна. Байнгын сургалт, хөгжүүлэлт, үнэлгээ, хамгаалалт, мониторинг, илрүүлэлт, будлианы хариу үйлдэл, сэргээн ажиллуулах үйл явц, баримжуулалт, нягтлан шалгалтыг хийж байж л мэдээллийн эрин зуунд амжилттай бөгөөд аюулгүй ажиллана.

Ном зүй[засварлах | кодоор засварлах]