КИБЕР АЮУЛГҮЙ БАЙДЛЫН ЭРСДЭЛИЙН ҮНЭЛГЭЭ ХИЙХ ЖУРАМ, АРГАЧЛАЛ
Цахим хөгжил, инновац, харилцаа холбооны сайд болон Тагнуулын ерөнхий газрын даргын хамтарсан 2024 оны 10 дугаар сарын 16-ны өдрийн А/30, А/148 дугаар тушаалын хавсралтаар энэхүү аргачлалыг баталсан бөгөөд Кибер аюулгүй байдлын тухай хуулийн 8 дугаар зүйлд заасан кибер аюулгүй байдлын эрсдэлийн үнэлгээ (цаашид “эрсдэлийн үнэлгээ” гэх) хийхтэй холбогдсон харилцааг энэ журам, аргачлалаар зохицуулна.
Эрсдэлийн үнэлгээ хийх үйл ажиллагаанд баримтлах зарчим
Эрсдэлийн үнэлгээ хийх үйл ажиллагаанд Кибер аюулгүй байдлын тухай хуулийн 5 дугаар зүйлд зааснаас гадна дараах зарчмыг баримтална:
• хараат бус, мэргэжлийн байх;
• мэдээллийн нууцыг чандлан хадгалах;
• нотолгоонд суурилан үнэлэх.
Эрсдэлийн үнэлгээ хийх этгээд үнэлгээнд бэлтгэх
Эрсдэлийн үнэлгээ хийхэд дараах зүйлийг тодорхойлно:
• эрсдэлийн үнэлгээний зорилго, аргачлал;
• эрсдэлийн үнэлгээний хамрах хүрээ, ажил эхлэх, дуусах хугацаа;
• эрсдэлийн үнэлгээ хийх баг, тэдгээрийн үүрэг хариуцлага, оролцоо.
Эрсдэлийн үнэлгээ хийх этгээд эрсдэлийг тодорхойлох
Эрсдэлийн үнэлгээний хамрах хүрээний цахим мэдээлэлтэй холбоотой биет болон биет бус хөрөнгийн мэдээллийг дараах байдлаар гаргана:
• хөрөнгийн нэр;
• хөрөнгийн нууцлалын зэрэг;
• хөрөнгө хариуцагч.
Хөрөнгийн эмзэг байдлыг автомат болон механик аргачлалаар технологи, архитектур, хүний нөөцийн хүрээнд тодорхойлно.
Эрсдэлд нөлөөлөх оролцогч талыг дараах байдлаар тодорхойлно:
• байгууллагын удирдлага;
• эрсдэлийн удирдлагын нэгж;
• технологи ба үйл ажиллагааны нэгж.4.4.Аюул заналыг олон улсад хүлээн зөвшөөрөгдсөн загварчлал (Threat modelling) ашиглан тодорхойлж болно.
Эрсдэлийн магадлалыг дараах зүйлсийг харгалзан тодорхойлно:
• байгууллагад хэрэгжиж буй кибер аюулгүй байдлын хяналт;
• техник хэрэгсэл дээр суурилсан баталгаажуулалт;
• үнэлгээ хийх багийн мэдлэг, туршлага;
Эрсдэлийг үнэлэх
Эрсдэлийг аюул занал, эсхүл хөрөнгөд суурилсан байдлаар үнэлнэ.
• тоон байдлаар илэрхийлэх боломжтой бол тоон үнэлгээ;
• бодитоор илэрхийлэх боломжгүй тохиолдолд магадлал болон нөлөөллийн хүснэгтийн аргыг ашигласан чанарын үнэлгээ.
Эрсдэлийг эрэмбэлэх
Энэхүү журам, аргачлалын 5 дугаар зүйлд заасан үр дүнд үндэслэн эрсдэлийг эрэмбэлнэ.
Эрсдэлийг бууруулах зөвлөмжид эрсдэлийн үнэлгээ хийлгэсэн этгээдийн холбогдох албан тушаалтныг буюу хариуцагчийг тодорхойлсон байна.
Тайлан боловсруулах
Эрсдэлийн үнэлгээний тайланд дараах ерөнхий мэдээллийг тусгах ба удирдлагын түвшинд зориулсан хураангуй, техникийн багт зориулсан дэлгэрэнгүй тайлан байна:
• зорилго, хугацаа;
• хамрах цар хүрээ;
• үнэлгээний явцад хийгдсэн өөрчлөлтүүд;
• Хураангуй тайланд дараах зүйлсийг тусгана:
• эрсдэлийн үнэлгээний ерөнхий үр дүнг график, хүснэгт, тоон үзүүлэлтээр гаргах;
• эрсдэлийн үнэлгээний үр дүнд гарсан эрсдэл тус бүрийн хураангуй жагсаалт.
Онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит этгээдэд эрсдэлийн үнэлгээ хийх
Кибер аюулгүй байдлын тухай хуулийн 8 дугаар зүйлийн 8.4 дэх хэсэгт заасан зөвшөөрөл авах тохиолдолд энэхүү журмын 9.1-д заасан хуулийн этгээд тагнуулын байгууллагад хүсэлт гаргана.