A

A

A

Бүлэг: 1979

МОНГОЛ УЛСЫН ХУУЛЬ

2021 оны 12 сарын 17 өдөр

Төрийн ордон, Улаанбаатар хот

КИБЕР АЮУЛГҮЙ БАЙДЛЫН ТУХАЙ

НЭГДҮГЭЭР БҮЛЭГ

НИЙТЛЭГ ҮНДЭСЛЭЛ

1 дүгээр зүйл.Хуулийн зорилт

Хэвлэх

1.1.Энэ хуулийн зорилт нь кибер аюулгүй байдлыг хангах үйл ажиллагааны тогтолцоо, зарчим, эрх зүйн үндсийг тогтоох, кибер орон зай, кибер орчин дахь мэдээллийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдлыг хангахтай холбогдсон харилцааг зохицуулахад оршино.

2 дугаар зүйл.Кибер аюулгүй байдлын хууль тогтоомж

Хэвлэх

2.1.Кибер аюулгүй байдлын хууль тогтоомж нь Монгол Улсын Үндсэн хууль, Үндэсний аюулгүй байдлын тухай хууль, Зэвсэгт хүчний тухай хууль, Төрийн болон албаны нууцын тухай хууль, Харилцаа холбооны тухай хууль, Тагнуулын байгууллагын тухай хууль, Байгууллагын нууцын тухай хууль, Нийтийн мэдээллийн ил тод байдлын тухай хууль, Хүний хувийн мэдээлэл хамгаалах тухай хууль, Цахим гарын үсгийн тухай хууль, энэ хууль болон эдгээр хуультай нийцүүлэн гаргасан хууль тогтоомжийн бусад актаас бүрдэнэ.

2.2.Монгол Улсын олон улсын гэрээнд энэ хуульд зааснаас өөрөөр заасан бол олон улсын гэрээний заалтыг дагаж мөрдөнө.

3 дугаар зүйл.Хуулийн үйлчлэх хүрээ

Хэвлэх

3.1.Энэ хууль нь кибер аюулгүй байдлыг хангахтай холбоотой төр, хүн, хуулийн этгээдийн хооронд үүсэх харилцааг уялдуулан зохицуулах, зохион байгуулах, хяналтыг хэрэгжүүлэх харилцаанд үйлчилнэ.

3.2.Хуульд өөрөөр заагаагүй бол Монгол Улсын мэдээллийн систем, мэдээллийн сүлжээгээр дамжуулан үйл ажиллагаа явуулж байгаа гадаадын иргэн, харьяалалгүй хүн, гадаадын болон гадаадын хөрөнгө оруулалттай хуулийн этгээдэд энэ хууль нэгэн адил үйлчилнэ.

3.3.Төрийн аудитын байгууллагаас аудит хийхтэй холбогдсон харилцаанд энэ хуулиар зохицуулсан мэдээллийн аюулгүй байдлын аудитын харилцаа хамаарахгүй.

4 дүгээр зүйл.Хуулийн нэр томьёоны тодорхойлолт

Хэвлэх

4.1.Энэ хуульд хэрэглэсэн дараах нэр томьёог доор дурдсан утгаар ойлгоно:

4.1.1."кибер аюулгүй байдал" гэж кибер орчинд мэдээллийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдал хангагдсан байхыг;

4.1.2."кибер орон зай" гэж интернэт болон бусад мэдээлэл, харилцаа холбооны сүлжээ, тэдгээрийн ажиллагааг хангах мэдээллийн дэд бүтцийн харилцан хамааралтай цогцоос бүрдсэн биет болон биет бус талбар;

4.1.3."кибер орчин" гэж мэдээлэлд хандах, нэвтрэх, цуглуулах, түүнийг боловсруулах, хадгалах, ашиглах боломж олгож байгаа мэдээллийн систем, мэдээллийн сүлжээний орчныг;

4.1.4."бүрэн бүтэн байдал" гэж мэдээллийг зөвшөөрөлгүй устгах, өөрчлөхөөс хамгаалсан байхыг;

4.1.5."нууцлагдсан байдал" гэж мэдээлэлд зөвшөөрөлгүй хандах, нэвтрэх боломжгүй байхыг;

4.1.6."хүртээмжтэй байдал" гэж зөвшөөрөгдсөн хүрээнд мэдээлэлд хандах, нэвтрэх, цуглуулах, ашиглах боломжтой байхыг;

4.1.7."мэдээллийн систем" гэж Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 4.1.1-д заасныг;

4.1.8."мэдээллийн сүлжээ" гэж Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 4.1.2-т заасныг;

4.1.9."кибер аюулгүй байдлын эрсдэлийн үнэлгээ" гэж цахим мэдээлэл, мэдээллийн систем, мэдээллийн сүлжээний кибер аюулгүй байдал алдагдах, аюул занал тохиолдох магадлал, эмзэг байдлын түвшин, түүнээс үүсэх үр дагавар, эрсдэлийг бууруулах, урьдчилан сэргийлэх арга хэмжээг тодорхойлох мэргэшсэн үйл ажиллагааг;

4.1.10."мэдээллийн аюулгүй байдлын аудит" гэж кибер аюулгүй байдлын хууль тогтоомж, холбогдох журам, стандартад нийцсэн эсэхэд дүгнэлт гаргах, зөвлөмж өгөх хараат бус хөндлөнгийн мэргэжлийн үйл ажиллагааг;

4.1.11."мэдээллийн системийн үйлдлийн бүртгэл" гэж тухайн мэдээллийн системд хандсан, нэвтэрсэн, боловсруулсан, цуглуулсан, ашигласан үйлдэл, цаг хугацааг тодорхойлох бүртгэлийг;

4.1.12."онц чухал мэдээллийн дэд бүтэцтэй байгууллага" гэж кибер аюулгүй байдал алдагдсанаар хэвийн үйл ажиллагаа нь доголдож Монгол Улсын үндэсний аюулгүй байдал, нийгэм, эдийн засагт хохирол учруулж болох мэдээллийн систем, мэдээллийн сүлжээ бүхий байгууллагыг;

4.1.13."кибер аюулгүй байдлын зөрчил" гэж мэдээллийн системийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдалд заналхийлж байгаа аливаа үйлдэл, эс үйлдлийг;

4.1.14."кибер халдлага" гэж мэдээллийн систем, мэдээллийн сүлжээний кибер аюулгүй байдлыг алдагдуулах зорилго бүхий үйлдлийг;

4.1.15."үндэсний хэмжээний кибер халдлага" гэж онц чухал мэдээллийн дэд бүтэцтэй байгууллагын мэдээллийн систем, мэдээллийн сүлжээнд халдсаны улмаас тухайн байгууллагын хэвийн үйл ажиллагааг алдагдуулж, Монгол Улсын үндэсний аюулгүй байдал, нийгэм, эдийн засагт хохирол учруулахуйц кибер халдлагыг;

4.1.16."кибер халдлага, зөрчилтэй тэмцэх төв" гэж кибер халдлага, зөрчлөөс урьдчилан сэргийлэх, илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, мэдээллийн системийг нөхөн сэргээх үйл ажиллагааг зохицуулж, мэргэжлийн удирдлагаар хангах үндсэн чиг үүрэг бүхий этгээдийг;

4.1.17."төрийн мэдээллийн нэгдсэн сүлжээ" гэж төрийн байгууллага хоорондын мэдээлэл солилцох, кибер аюулгүй байдлыг хангахад чиглэсэн нэгдсэн дэд бүтэц бүхий төрийн интернэт хэрэглээ, албан болон тусгай хэрэглээний сүлжээний цогцыг;

4.1.18."төрийн өмчит хуулийн этгээд" гэж Төрийн болон орон нутгийн өмчийн тухай хуулийн 13 дугаар зүйлд заасныг.

5 дугаар зүйл.Кибер аюулгүй байдлыг хангах үйл ажиллагааны зарчим

Хэвлэх

5.1.Кибер аюулгүй байдлыг хангах үйл ажиллагаанд Үндэсний аюулгүй байдлын тухай хуулийн 4.1-д зааснаас гадна дараах зарчмыг баримтална:

5.1.1.нэгдмэл удирдлагатай байх;

5.1.2.шинжлэх ухаан, дэвшилтэт техник, технологи, инновацад тулгуурласан байх;

5.1.3.үндэсний бүтээгдэхүүн, үйлчилгээ, хүний нөөцийн чадавхыг дэмжих;

5.1.4.эрсдэлийн үнэлгээнд тулгуурлах;

5.1.5.төр, хувийн хэвшлийн түншлэлд тулгуурлах;

5.1.6.олон улсын хамтын ажиллагааг хөгжүүлэх.

ХОЁРДУГААР БҮЛЭГ

КИБЕР АЮУЛГҮЙ БАЙДЛЫГ ХАНГАХ ҮЙЛ АЖИЛЛАГАА

6 дугаар зүйл.Кибер аюулгүй байдлыг хангах үйл ажиллагааны чиглэл

Хэвлэх

6.1.Кибер аюулгүй байдлыг хангах үйл ажиллагааг дараах чиглэлээр хэрэгжүүлнэ:

6.1.1.кибер аюулгүй байдлын бодлого, удирдлага, зохион байгуулалт;

6.1.2.кибер аюулгүй байдлыг хангах техник, технологийн арга хэмжээ;

6.1.3.кибер халдлага, зөрчлөөс урьдчилан сэргийлэх, соён гэгээрүүлэх арга хэмжээ;

6.1.4.кибер халдлага, зөрчлийг илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, нөхөн сэргээх арга хэмжээ.

7 дугаар зүйл.Кибер аюулгүй байдлыг хангах нийтлэг журам

Хэвлэх

7.1.Кибер аюулгүй байдлыг хангах, урьдчилан сэргийлэх, илрүүлэх, хариу арга хэмжээ авах нийтлэг журмыг Засгийн газар батална.

7.2.Энэ хуулийн 16.1, 17.1, 19.1-д заасан хуулийн этгээд нь Кибер аюулгүй байдлыг хангах нийтлэг журамд нийцсэн кибер аюулгүй байдлыг хангах үйл ажиллагааны дотоод журамтай байна.

8 дугаар зүйл.Кибер аюулгүй байдлын эрсдэлийн үнэлгээ

Хэвлэх

8.1.Кибер аюулгүй байдлын эрсдэлийн үнэлгээг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллагад бүртгүүлсэн хуулийн этгээд хийнэ.

8.2.Энэ хуулийн 8.1-д заасан хуулийн этгээд нь олон улсын мэргэжлийн холбоо, стандартын байгууллага, эсхүл түүнтэй дүйцэхүйц байгууллагаас олгосон хүчин төгөлдөр гэрчилгээ бүхий орон тооны ажилтантай байна.

8.3.Кибер аюулгүй байдлын эрсдэлийн үнэлгээ хийх журам, аргачлалыг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага тагнуулын байгууллагатай хамтран батална.

8.4.Төрийн мэдээллийн нэгдсэн сүлжээнд холбогдсон байгууллага болон онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит хуулийн этгээдийн кибер аюулгүй байдлын эрсдэлийн үнэлгээг тагнуулын байгууллага, эсхүл түүний зөвшөөрснөөр энэ хуулийн 8.1-д заасан хуулийн этгээд хийнэ.

8.5.Энэ хуулийн 8.1-д заасан хуулийн этгээд болон кибер аюулгүй байдлын эрсдэлийн үнэлгээний тайланг хүлээн авсан холбогдох байгууллага, албан тушаалтан нууцлалыг чандлан хадгалж, задруулахгүй байх үүрэг хүлээнэ.

9 дүгээр зүйл.Мэдээллийн аюулгүй байдлын аудит

Хэвлэх

9.1.Мэдээллийн аюулгүй байдлын аудитыг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллагад бүртгүүлсэн хуулийн этгээд хийнэ.

9.2.Мэдээллийн аюулгүй байдлын аудит хийх хуулийн этгээд нь дараах шаардлагыг хангасан байна:

9.2.1.олон улсын мэргэжлийн холбоо, стандартын байгууллага, эсхүл түүнтэй дүйцэхүйц байгууллагаас олгосон мэдээллийн аюулгүй байдлын аудит хийх хүчин төгөлдөр гэрчилгээ бүхий орон тооны ажилтантай байх;

9.2.2.энэ хуулийн 9.2.1-д заасан ажилтан ижил төрлийн аудит хийх эрх бүхий бусад хуулийн этгээдэд зэрэгцсэн гэрээгээр ажилладаггүй байх;

9.2.3.хуульд заасан бусад шаардлага.

9.3.Мэдээллийн аюулгүй байдлын аудит хийх хуулийн этгээд мэдээллийн технологи, мэдээллийн аюулгүй байдлын чиглэлээр үйлчилгээ үзүүлснээс хойш тухайн байгууллагад хоёр жилийн хугацаанд мэдээллийн аюулгүй байдлын аудит хийхийг хориглоно.

9.4.Онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит хуулийн этгээд тагнуулын байгууллагаар, эсхүл түүний зөвшөөрснөөр энэ хуулийн 9.1-д заасан хуулийн этгээдээр мэдээллийн аюулгүй байдлын аудит хийлгэнэ.

9.5.Мэдээллийн аюулгүй байдлын аудит хийх этгээдийг бүртгэх, аудит хийх журмыг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага батална.

9.6.Энэ хуулийн 9.1-д заасан хуулийн этгээд болон мэдээллийн аюулгүй байдлын аудитын тайлан, мэдээллийг хүлээн авсан холбогдох байгууллага, албан тушаалтан нууцлалыг чандлан хадгалж, задруулахгүй байх үүрэг хүлээнэ.

ГУРАВДУГААР БҮЛЭГ

КИБЕР АЮУЛГҮЙ БАЙДЛЫГ ХАНГАХ ТОГТОЛЦОО

10 дугаар зүйл.Засгийн газар

Хэвлэх

10.1.Үндэсний аюулгүй байдлыг хангах тогтолцооны дагуу Засгийн газар кибер аюулгүй байдлыг хангах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

10.1.1.кибер аюулгүй байдлын үндэсний стратегийг батлах;

10.1.2.хөгжлийн бодлого, төлөвлөлтийн баримт бичигт кибер аюулгүй байдлыг хангах талаар тусгах, хууль тогтоомжийн биелэлтийг зохион байгуулах;

10.1.3.үндэсний хэмжээний кибер халдлагаас хамгаалах төлөвлөгөөг батлах;

10.1.4.кибер халдлага, зөрчилтэй тэмцэх үндэсний төв болон нийтийн төвийн дүрэм, зохион байгуулалтын бүтэц, орон тоо, төвүүдийн ажиллах журам, тавигдах шаардлагыг батлах;

10.1.5.онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалтыг батлах;

10.1.6.төрийн мэдээллийн нэгдсэн сүлжээг байгуулах, ашиглах журам, түүнд холбогдох байгууллагын жагсаалтыг батлах;

10.1.7.кибер аюулгүй байдлыг хангахад чиглэсэн үйл ажиллагааг хэрэгжүүлэхэд шаардагдах хөрөнгийг улсын төсөвт тусган шийдвэрлүүлэх;

10.1.8.Кибер аюулгүй байдлын зөвлөлийн Ажлын албаны бүтэц, орон тоо, ажиллах журмыг батлах.

11 дүгээр зүйл.Кибер аюулгүй байдлын зөвлөл

Хэвлэх

11.1.Кибер аюулгүй байдлыг хангах үйл ажиллагааг нэгдсэн удирдлагаар хангах, уялдуулан зохицуулах, хэрэгжилтийг зохион байгуулах, мэдээлэл солилцох чиг үүрэг бүхий орон тооны бус Кибер аюулгүй байдлын зөвлөл /цаашид "Зөвлөл" гэх/ ажиллана.

11.2.Зөвлөлийг Ерөнхий сайд тэргүүлж, дэд даргаар цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн Засгийн газрын гишүүн, Тагнуулын ерөнхий газрын дарга нар ажиллах бөгөөд уг Зөвлөл нь Ажлын албатай байна.

11.3.Зөвлөлийн бүрэлдэхүүн, дүрмийг Засгийн газар батална.

11.4.Зөвлөл дараах бүрэн эрхийг хэрэгжүүлнэ:

11.4.1.кибер аюулгүй байдлыг хангах хууль тогтоомжийн хэрэгжилтэд хяналт тавих;

11.4.2.үндэсний хэмжээний кибер аюулгүй байдлыг хангах үйл ажиллагааг нэгдсэн удирдлага, зохион байгуулалтаар хангах, холбогдох байгууллагын үйл ажиллагааг уялдуулан зохицуулах;

11.4.3.кибер аюулгүй байдлыг хангах талаар шаардлагатай мэдээ, баримт бичгийг холбогдох байгууллагаас гаргуулан авах;

11.4.4.кибер аюулгүй байдлыг хангах талаар гадаад улс, олон улсын ижил төстэй байгууллагатай хамтран ажиллах;

11.4.5.хуульд заасан бусад бүрэн эрх.

11.5.Зөвлөл, түүний Ажлын албаны үйл ажиллагаанд шаардагдах зардлыг улсын төсвөөс санхүүжүүлнэ.

11.6.Зөвлөлийн шийдвэр тогтоол, тэмдэглэл хэлбэртэй байх ба тогтоосон журмын дагуу үйлдсэн тамга, тэмдэг, хэвлэмэл хуудас хэрэглэнэ.

11.7.Кибер аюулгүй байдлыг хангах чиглэлээр гаргасан Зөвлөлийн шийдвэрийг холбогдох байгууллага, албан тушаалтан биелүүлж, хэрэгжилтийг тайлагнана.

12 дугаар зүйл.Цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага

Хэвлэх

12.1.Цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага кибер аюулгүй байдлыг хангах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

12.1.1.кибер аюулгүй байдлыг хангах хууль тогтоомж, эрх бүхий байгууллагын шийдвэрийг хэрэгжүүлэх;

12.1.2.кибер аюулгүй байдлын талаар хөгжлийн бодлого боловсруулах, хэрэгжилтийг зохион байгуулах;

12.1.3.кибер аюулгүй байдлыг хангах нийтлэг журмыг тагнуулын байгууллага, зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллагатай хамтран боловсруулах;

12.1.4.кибер аюулгүй байдлыг хангах талаар олон улсын болон гадаад улсын байгууллагатай хамтран ажиллах;

12.1.5.онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалтыг тагнуулын байгууллага, зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллагатай хамтран боловсруулах;

12.1.6.кибер аюулгүй байдлын эрсдэлийн үнэлгээ, мэдээллийн аюулгүй байдлын аудит хийх хуулийн этгээдийг бүртгэх;

12.1.7.кибер аюулгүй байдлыг хангах чиглэлээр шинэ техник, технологи, инновац, судалгаа, шинжилгээний үйл ажиллагаа явуулах;

12.1.8.кибер халдлага, зөрчлөөс урьдчилан сэргийлэх, соён гэгээрүүлэх арга хэмжээг хэрэгжүүлэх, холбогдох хууль тогтоомжийг сурталчлах.

13 дугаар зүйл.Тагнуулын байгууллага

Хэвлэх

13.1.Тагнуулын байгууллага кибер аюулгүй байдлыг хангах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

13.1.1.төрийн мэдээллийн нэгдсэн сүлжээг зохион байгуулж, түүний кибер аюулгүй байдлыг хангах;

13.1.2.төрийн мэдээллийн нэгдсэн сүлжээнд холбогдсон болон онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит хуулийн этгээдийн кибер аюулгүй байдлыг хангах үйл ажиллагаанд хяналт тавих, холбогдох этгээдэд сургалт зохион байгуулах;

13.1.3.кибер аюулгүй байдлын үндэсний стратегийг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага, зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллагатай хамтран боловсруулах;

13.1.4.үндэсний хэмжээний кибер халдлагаас хамгаалах төлөвлөгөөг боловсруулах, хэрэгжилтэд хяналт тавьж ажиллах;

13.1.5.үндэсний аюулгүй байдлыг хангах тусгайлсан чиг үүрэг бүхий болон төрийн захиргааны төв байгууллагатай мэдээлэл солилцох, хамтран ажиллах журмыг холбогдох байгууллагатай хамтран батлах;

13.1.6.энэ хуулийн 10.1.6-д заасан журмыг боловсруулах, хэрэгжилтэд хяналт тавих;

13.1.7.энэ хуулийн 13.1.2-т заасан этгээдийн мэдээллийн систем, мэдээллийн сүлжээний аюулгүй байдлыг хангах зориулалт бүхий техник, программ хангамжийг шалган баталгаажуулах, дүгнэлт гаргах;

13.1.8.энэ хуулийн 13.1.2-т заасан этгээдэд гадаад улсын зээл, тусламж, хөрөнгө оруулалтаар хэрэгжих мэдээллийн технологийн төсөл, хөтөлбөрт кибер аюулгүй байдлыг хангах асуудлаар дүгнэлт гаргаж, холбогдох байгууллагад санал, шаардлага хүргүүлэх;

13.1.9.кибер халдлага, зөрчилтэй тэмцэх зорилгоор тоон шинжилгээний лаборатори ажиллуулах;

13.1.10.кибер аюулгүй байдлын эрсдэлийн үнэлгээ хийх этгээдийг бүртгэхэд санал өгөх;

13.1.11.кибер аюулгүй байдлыг хангах асуудлаар хүн, хуулийн этгээдэд зөвлөмж, шаардлага хүргүүлэх.

14 дүгээр зүйл.Зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллага

Хэвлэх

14.1.Зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллага дараах бүрэн эрхийг хэрэгжүүлнэ:

14.1.1.кибер аюулгүй байдлын хууль тогтоомжийн хэрэгжилтийг батлан хамгаалах салбарт зохион байгуулах;

14.1.2.тайван цагт батлан хамгаалах үйл ажиллагааны кибер аюулгүй байдал, зэвсэгт хүчний мэдээллийн систем, мэдээллийн сүлжээний аюулгүй байдлыг хангаж, шаардлагатай үед улсын кибер орон зайн аюулгүй байдлыг хангах үйл ажиллагаанд дэмжлэг үзүүлэх;

14.1.3.хуульд өөрөөр заагаагүй бол зэвсэгт хүчний анги, байгууллагын мэдээллийн систем, мэдээллийн сүлжээний тоног төхөөрөмж, программ хангамжийг шалган баталгаажуулах;

14.1.4.кибер аюулгүй байдлыг хангах талаар зэвсэгт хүчний анги, байгууллагад сургалт зохион байгуулах, зөвлөмж хүргүүлэх;

14.1.5.кибер аюулгүй байдлын чадавх, бэлэн байдлыг хангах чиглэлээр гадаад, дотоодын ижил чиг үүрэгтэй байгууллагуудтай мэдээ, мэдээлэл солилцож, хамтран ажиллах.

15 дугаар зүйл.Цагдаагийн байгууллага

Хэвлэх

15.1.Цагдаагийн байгууллага кибер аюулгүй байдлыг хангах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

15.1.1.кибер халдлага, зөрчилтэй холбоотой гэмт хэргийн мэдээллийг хүлээн авч, хуульд заасан ажиллагааг явуулах;

15.1.2.энэ хуулийн 15.1.1-д заасан чиг үүргээ хэрэгжүүлэхэд шаардлагатай мэдээллийг холбогдох төрийн байгууллага, албан тушаалтан, хүн, хуулийн этгээдээс гаргуулан авах;

15.1.3.кибер аюулгүй байдлыг хангах асуудлаар хүн, хуулийн этгээдэд зөвлөмж, шаардлага, сэрэмжлүүлэг хүргүүлэх;

15.1.4.кибер халдлага, зөрчилтэй тэмцэх, тоног төхөөрөмж, программ хангамжийг шалгах, судалгаа, шинжилгээ хийх, дүгнэлт гаргах зорилгоор тоон шинжилгээний лаборатори ажиллуулах.

16 дугаар зүйл.Төрийн өмчит хуулийн этгээд

Хэвлэх

16.1.Төрийн өмчит хуулийн этгээд кибер аюулгүй байдлыг хангах талаар дараах үүргийг хүлээнэ:

16.1.1.кибер аюулгүй байдлыг хангах үйл ажиллагааны дотоод журам батлах;

16.1.2.кибер аюулгүй байдлыг хангах талаар эрх бүхий байгууллагаас өгсөн зөвлөмж, шаардлагыг биелүүлэх;

16.1.3.кибер халдлага, зөрчилд өртсөн, өртсөн байж болзошгүй тохиолдолд кибер халдлага, зөрчилтэй тэмцэх холбогдох төвд даруй мэдэгдэх;

16.1.4.кибер аюулгүй байдлыг хангахад шаардагдах хөрөнгө, үйл ажиллагааны зардлыг төсөвт жил бүр тусгах;

16.1.5.мэдээллийн системийн үйлдлийн бүртгэлийг кибер аюулгүй байдлын нийтлэг журамд заасан хугацаанд хадгалах.

17 дугаар зүйл.Хуулийн этгээд

Хэвлэх

17.1.Кибер орчинд дундын мэдээллийн системээр дамжуулан мэдээлэл боловсруулах, хадгалах, түгээх, цахим тооцооллын болон түүний хэвийн үйл ажиллагааг хангахад мэдээллийн технологийн чиглэлээр үйлчилгээ үзүүлж байгаа хуулийн этгээд дараах үүргийг хүлээнэ:

17.1.1.кибер аюулгүй байдлыг хангах үйл ажиллагааны дотоод журам батлах;

17.1.2.кибер халдлагын талаар кибер халдлага, зөрчилтэй тэмцэх холбогдох төвд даруй мэдэгдэх, таслан зогсоох боломжгүй бол туслалцаа авах;

17.1.3.мэдээллийн системийн үйлдлийн бүртгэлийг кибер аюулгүй байдлын нийтлэг журамд заасан хугацаанд хадгалах;

17.1.4.кибер аюулгүй байдлыг хангах үйл ажиллагааны талаар холбогдох төрийн байгууллагаас мэргэжил, арга зүйн туслалцаа авч, хамтран ажиллах;

17.1.5.кибер аюулгүй байдлыг хангах үйл ажиллагаа хариуцсан нэгж, эсхүл албан тушаалтантай байх;

17.1.6.кибер аюулгүй байдлын эрсдэлийн үнэлгээг хоёр жил тутамд, холбогдох журамд заасан нөхцөл, байдал үүссэн үед тухай бүр хийлгэж, гарсан дүгнэлт, зөвлөмж, шаардлагын дагуу арга хэмжээг авч хэрэгжүүлэх;

17.1.7.мэдээллийн аюулгүй байдлын аудитыг жил тутамд, холбогдох журамд заасан нөхцөл, байдал үүссэн үед тухай бүр хийлгэж, гарсан дүгнэлт, зөвлөмж, шаардлагын дагуу арга хэмжээг авч хэрэгжүүлэх;

17.1.8.шинээр нэвтрүүлсэн мэдээллийн технологийн бүтээгдэхүүн, үйлчилгээ болон тэдгээрийн өөрчлөлт, шинэчлэл бүрд кибер аюулгүй байдлын холбогдох шалгалт хийсэн байх;

17.1.9.кибер халдлага, зөрчилд өртсөн хэрэглэгчид даруй мэдэгдэх.

17.2.Энэ хуульд заасан хугацаанд олон улсын стандартын дагуу мэдээллийн аюулгүй байдлын аудит хийлгэсэн бол тухайн аудитын тайланг үндэслэн энэ хуулийн 17.1.7-д заасан үүргийг хангасанд тооцно.

17.3.Энэ хуулийн 17.1-д зааснаас бусад хуулийн этгээд дараах эрх, үүргийг хэрэгжүүлнэ:

17.3.1.кибер аюулгүй байдлыг хангах нийтлэг журмыг үйл ажиллагаандаа мөрдөх;

17.3.2.кибер халдлага, зөрчлийн талаар кибер халдлага, зөрчилтэй тэмцэх холбогдох төвд мэдэгдэх, шаардлагатай үед туслалцаа авах;

17.3.3.эрх бүхий байгууллагаас хүргүүлсэн зөвлөмжийг дагах, шаардлагыг биелүүлэх;

17.3.4.хууль тогтоомжид заасан бусад эрх, үүрэг.

18 дугаар зүйл.Иргэн

Хэвлэх

18.1.Иргэн кибер аюулгүй байдлыг хангах талаар дараах үүргийг хүлээнэ:

18.1.1.өөрийн болон өөрийн асрамжид байгаа хүний кибер аюулгүй байдлыг хариуцах;

18.1.2.холбогдох байгууллагаас гаргасан зөвлөмжийг дагах, шаардлагыг биелүүлэх;

18.1.3.хууль тогтоомжид заасан бусад.

18.2.Кибер халдлага, зөрчил үүссэн, үүссэн байж болзошгүй тохиолдолд Нийтийн төвд даруй мэдэгдэж болно.

19 дүгээр зүйл.Онц чухал мэдээллийн дэд бүтэцтэй байгууллага

Хэвлэх

19.1.Онц чухал мэдээллийн дэд бүтэцтэй байгууллагад дараах чиглэлээр үйл ажиллагаа эрхэлдэг байгууллага хамаарна:

19.1.1.эрчим хүчний үйлдвэрлэл, дамжуулалт, түгээлт, хяналт удирдлагын систем бүхий байгууллага;

19.1.2.цэвэр, бохир ус, дулааны эх үүсвэр, төвлөрсөн хангамжийн болон түгээлт, хяналт удирдлагын систем бүхий байгууллага;

19.1.3.хоёр, гуравдугаар шатлалын эрүүл мэндийн байгууллага;

19.1.4.хүн, малын гоц халдварт өвчин судлах лаборатори;

19.1.5.эм, химийн хорт болон аюултай бодис үйлдвэрлэгч;

19.1.6.нэгдсэн төлбөр, тооцоо, гүйлгээний цахим систем бүхий банк санхүүгийн байгууллага;

19.1.7.зүй ёсны монополь болон давамгай байдалтай харилцаа холбоо, мэдээллийн технологийн үйлчилгээ эрхлэгч;

19.1.8.агаар, төмөр зам, усан зам, автозамын тээврийн зохицуулалт, хяналт удирдлагын систем бүхий байгууллага;

19.1.9.түлш, шатахуун импортлогч, үйлдвэрлэгч, түгээгч байгууллага;

19.1.10.стратегийн хүнс үйлдвэрлэгч, хадгалагч, түгээгч байгууллага;

19.1.11.мэдээлэл, шуурхай удирдлагын төв;

19.1.12.үндэсний олон нийтийн радио, телевиз;

19.1.13.үндсэн болон дэмжих мэдээллийн систем, суурь мэдээллийн сан хариуцагч байгууллага;

19.1.14.дата төв, түүний салбар болон нөөц төвийн үйл ажиллагаа хариуцсан байгууллага;

19.1.15.хилийн боомтын хяналт удирдлагын систем хариуцсан байгууллага;

19.1.16.стратегийн ач холбогдол бүхий ашигт малтмалын ордыг ашиглах үйл ажиллагаа эрхлэгч;

19.1.17.улсын хилээр нэвтэрч байгаа зорчигч, тээврийн хэрэгслийн бүртгэл, хяналт, мэдээллийн нэгдсэн систем хариуцсан байгууллага.

19.2.Онц чухал мэдээллийн дэд бүтэцтэй байгууллага дараах үүргийг хүлээнэ:

19.2.1.кибер аюулгүй байдлыг хангах үйл ажиллагааны дотоод журам батлах;

19.2.2.кибер халдлага, зөрчлийн үед дагаж мөрдөх төлөвлөгөөг баталж хэрэгжүүлэх;

19.2.3.мэдээллийн аюулгүй байдлыг хангах талаар стандартыг нэвтрүүлэх;

19.2.4.кибер аюулгүй байдлыг хангах үйл ажиллагаа хариуцсан нэгж, эсхүл албан тушаалтантай байх;

19.2.5.кибер аюулгүй байдлын эрсдэлийн үнэлгээг жил тутамд, эсхүл мэдээллийн систем, мэдээллийн сүлжээний өөрчлөлт хийгдэх бүрд хэсэгчлэн, эрх бүхий байгууллагын шаардсанаар тухай бүр хийлгэж, гарсан дүгнэлт, зөвлөмж, шаардлагын дагуу холбогдох арга хэмжээг авч хэрэгжүүлэх;

19.2.6.мэдээллийн аюулгүй байдлын аудитыг хоёр жил тутамд хийлгэх;

19.2.7.мэдээллийн систем, мэдээллийн сүлжээний аюулгүй байдлыг хангахад шаардлагатай удирдлага, зохион байгуулалтын болон техникийн арга хэмжээг төлөвлөх, хэрэгжүүлэх;

19.2.8.кибер халдлага, зөрчлийг илрүүлэх, бүртгэх, таслан зогсоох мэдээллийн системтэй байх;

19.2.9.мэдээллийн систем, мэдээллийн сүлжээний үйлдлийн бүртгэлийг кибер аюулгүй байдлын нийтлэг журамд заасан хугацаанд хадгалах;

19.2.10.кибер аюулгүй байдлын эрсдэлийн үнэлгээний болон мэдээллийн аюулгүй байдлын аудитын тайланг хүлээн авснаас хойш нэг сарын дотор кибер халдлага, зөрчилтэй тэмцэх холбогдох төвд хүргүүлэх;

19.2.11.эрх бүхий байгууллагаас хүргүүлсэн зөвлөмж, шаардлагыг биелүүлэх, илэрсэн алдаа, зөрчлийг арилгах арга хэмжээг авах;

19.2.12.гадаадын иргэн, гадаадын хуулийн этгээдээр кибер аюулгүй байдлын эрсдэлийн үнэлгээг хийлгэх тохиолдолд тагнуулын байгууллагаас санал авах;

19.2.13.хариуцсан мэдээллийн систем, дэд бүтцийн хэвийн, найдвартай, тасралтгүй байдлыг хангах, гэмтэл саатлын үед сэргээн ажиллуулах төлөвлөгөөтэй байх;

19.2.14.кибер халдлага, зөрчлийн улмаас мэдээллийн систем, дэд бүтцийн хэвийн үйл ажиллагаа алдагдсан, тасралтгүй үйл ажиллагааг хангах боломжгүй болсон даруйд энэ талаар кибер халдлага, зөрчилтэй тэмцэх холбогдох төвд мэдэгдэх;

19.2.15.төлөвлөгөөт үзлэг шалгалт, өөрийн дэд бүтцээс гаднах сүлжээ, системд гарсан гэмтэл, саатал, гэнэтийн болон давагдашгүй хүчний шинжтэй нөхцөл байдлын улмаас дэд бүтцийн хэвийн, тасралтгүй үйл ажиллагааг хангах боломжгүй бол энэ талаар кибер халдлага, зөрчилтэй тэмцэх холбогдох төв, хэрэглэгчид даруй мэдэгдэх.

19.3.Энэ хуульд заасан хугацаанд олон улсын стандартын дагуу мэдээллийн аюулгүй байдлын аудит хийлгэсэн бол тухайн аудитын тайланг үндэслэн энэ хуулийн 19.2.6-д заасан үүргийг хангасанд тооцно.

ДӨРӨВДҮГЭЭР БҮЛЭГ

КИБЕР ХАЛДЛАГА, ЗӨРЧИЛТЭЙ ТЭМЦЭХ

20 дугаар зүйл.Кибер халдлага, зөрчилтэй тэмцэх төв

Хэвлэх

20.1.Кибер халдлага, зөрчлийг илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, түүнд өртсөн дэд бүтэц, мэдээллийн системийг нөхөн сэргээхэд мэргэжил, арга зүйн туслалцаа, дэмжлэг үзүүлэх үндсэн чиг үүрэг бүхий хүний нөөц, техник, технологийн чадавх, мэдээллийн сантай дараах төвүүд ажиллана:

20.1.1.кибер халдлага, зөрчилтэй тэмцэх үндэсний төв /цаашид "Үндэсний төв" гэх/;

20.1.2.кибер халдлага, зөрчилтэй тэмцэх нийтийн төв /цаашид "Нийтийн төв" гэх/;

20.1.3.кибер халдлага, зөрчилтэй тэмцэх зэвсэгт хүчний төв /цаашид "Зэвсэгт хүчний төв" гэх/.

20.2.Бусад хуулийн этгээд кибер халдлага илрүүлэх, таслан зогсоох үйл ажиллагаа явуулахдаа энэ хуулийн 10.1.4-т заасан холбогдох шаардлагыг хангасан байна.

20.3.Энэ хуулийн 20.1.2, 20.1.3-т заасан төв, 20.2-т заасан хуулийн этгээд нь Үндэсний төвтэй хамтран ажиллаж, кибер халдлага, зөрчлийн талаар харилцан мэдээлэл солилцож ажиллана.

21 дүгээр зүйл.Үндэсний төв

Хэвлэх

21.1.Үндэсний төв тагнуулын байгууллагын бүтцэд ажиллана.

21.2.Үндэсний төв дараах чиг үүргийг хэрэгжүүлнэ:

21.2.1.улсын хэмжээнд кибер халдлага, зөрчилтэй тэмцэх төвүүдийн үйл ажиллагааг уялдуулан зохицуулах, мэргэжил, арга зүйн туслалцаа үзүүлэх;

21.2.2.онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит хуулийн этгээд болон төрийн мэдээллийн нэгдсэн сүлжээнд холбогдсон байгууллагын мэдээллийн системд чиглэсэн кибер халдлага, зөрчлийг илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, кибер халдлага, зөрчилд өртсөн мэдээллийн системийг нөхөн сэргээхэд дэмжлэг үзүүлэх;

21.2.3.улсын хэмжээнд кибер халдлага, зөрчлийн мэдээлэлд дүн шинжилгээ хийх, мэдээллийн сан бүрдүүлэх, статистик мэдээлэл, судалгаа гаргах, анхааруулга, зөвлөмж, мэдээлэл түгээх;

21.2.4.эрхлэх асуудлын хүрээнд Монгол Улсыг төлөөлөн олон улсын болон гадаад улсын ижил төстэй байгууллагатай мэдээ, мэдээлэл солилцох, хамтран ажиллах;

21.2.5.кибер халдлага, зөрчлийн талаар мэдээлэл хүлээн авах, холбогдох байгууллагад шилжүүлэх;

21.2.6.онц чухал мэдээллийн дэд бүтэцтэй байгууллага, холбогдох бусад байгууллага, албан тушаалтанд кибер халдлага, зөрчлийн талаар зөвлөмж, шаардлага хүргүүлэх;

21.2.7.улсын хэмжээнд бүртгэгдсэн кибер халдлага, зөрчлийн талаарх мэдээллийг ангилах, боловсруулах, хариуцсан байгууллагад шилжүүлэх зорилгоор холбогдох байгууллагын төлөөлөл бүхий багийг ажиллуулах.

22 дугаар зүйл.Нийтийн төв

Хэвлэх

22.1.Нийтийн төв цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллагын дэргэд ажиллана.

22.2.Нийтийн төв дараах чиг үүргийг хэрэгжүүлнэ:

22.2.1.энэ хуулийн 21.2.2-т зааснаас бусад иргэн, хуулийн этгээдийн мэдээллийн систем, мэдээллийн сүлжээнд чиглэсэн кибер халдлага, зөрчлийг илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, кибер халдлага, зөрчилд өртсөн мэдээллийн системийг нөхөн сэргээхэд дэмжлэг үзүүлэх;

22.2.2.кибер халдлага, зөрчлийн талаар судалгаа, дүн шинжилгээ хийх, олон нийтэд зөвлөмж, мэдээлэл түгээх;

22.2.3.энэ хуулийн 20.1.1, 20.1.3-т заасан төв, 20.2-т заасан хуулийн этгээдтэй хамтран ажиллах, мэдээ, мэдээлэл солилцох;

22.2.4.иргэн, хуулийн этгээдэд кибер халдлага, зөрчлийн талаар зөвлөмж, шаардлага хүргүүлэх.

23 дугаар зүйл.Зэвсэгт хүчний төв

Хэвлэх

23.1.Зэвсэгт хүчний кибер аюулгүй байдлыг хангах байгууллагын бүтцэд Зэвсэгт хүчний төв ажиллана.

23.2.Зэвсэгт хүчний төв дараах чиг үүргийг хэрэгжүүлнэ:

23.2.1.батлан хамгаалах салбарын мэдээллийн системд чиглэсэн кибер халдлага, зөрчлөөс урьдчилан сэргийлэх, илрүүлэх, таслан зогсоох, хариу арга хэмжээ авах, кибер халдлага, зөрчилд өртсөн мэдээллийн системийг нөхөн сэргээх;

23.2.2.гадны кибер халдлага, түрэмгийллээс хамгаалах үйл ажиллагаанд дэмжлэг үзүүлэх;

23.2.3.гадаад, дотоодын ижил чиг үүрэгтэй байгууллагуудтай мэдээ, мэдээлэл солилцож, хамтран ажиллах.

23.2.4.батлан хамгаалах салбарын кибер аюулгүй байдлыг хангах зориулалттай техник болон программ хангамжийг шалган баталгаажуулах, дүгнэлт гаргах.

ТАВДУГААР БҮЛЭГ

БУСАД ЗҮЙЛ

24 дүгээр зүйл.Кибер аюулгүй байдлын хууль тогтоомж зөрчигчдөд хүлээлгэх хариуцлага

Хэвлэх

24.1.Энэ хуулийг зөрчсөн албан тушаалтны үйлдэл нь гэмт хэргийн шинжгүй бол Төрийн албаны тухай хууль, эсхүл Хөдөлмөрийн тухай хуульд заасан хариуцлага хүлээлгэнэ.

24.2.Энэ хуулийг зөрчсөн хүн, хуулийн этгээдэд Эрүүгийн хууль, эсхүл Зөрчлийн тухай хуульд заасан хариуцлага хүлээлгэнэ.

24.3.Байгууллага, хуулийн этгээд нь кибер аюулгүй байдлыг хангах үйл ажиллагаагаа гэрээний үндсэн дээр бусдад хариуцуулсан нь байгууллага, хуулийн этгээдийг энэ хуулийн хариуцлагаас чөлөөлөх үндэслэл болохгүй.

25 дугаар зүйл.Хууль хүчин төгөлдөр болох

Хэвлэх

25.1.Энэ хуулийг 2022 оны 05 дугаар сарын 01-ний өдрөөс эхлэн дагаж мөрдөнө.

МОНГОЛ УЛСЫН ИХ ХУРЛЫН ДАРГА Г.ЗАНДАНШАТАР

 

 

 

 

 

 

 

 

 

 

 

LAW OF MONGOLIA ON CYBER SECURITY 
 

17 December 2021                                                        State Palace, City of Ulaanbaatar

 

CHAPTER ONE 
GENERAL PROVISIONS


Article 1. Purpose of the law

1.1. The purpose of this law is to regulate relations pertaining to establishing the system, principles, and legal framework in ensuring cyber security, and ensuring the safety, confidentiality, and accessibility of information within cyberspace and cyber environments. 


Article 2. Legislation on cyber security

2.1. Cyber security legislation shall consist of the Constitution of Mongolia, Law on National Security, Law on Armed Forces, Law on State and Official Secrets, Law on Communications, Law on the Intelligence Agency, Law on Organizational Secrets,  Law on Transparency of Public Information, Law on Personal Secrets, the Law on Electronic Signatures, this law, and other legislative acts enacted in accordance thereto.

2.2. Where an international treaty to which Mongolia is party stipulates differently from this law, the rules of such international treaty shall prevail.


Article 3. Scope of application of the law

3.1.This law applies to relations of coordinating, facilitating, and monitoring relations between the State, inpiduals, and legal persons in ensuring cyber security.

3.2. Unless otherwise stipulated in the law, this law shall apply indiscriminately to foreign citizens, stateless persons, and foreign or foreign-invested legal persons operating through the information systems and information networks of Mongolia.

3.3.The auditing of information security regulated by this law shall not comprise auditing by state audit organizations.


Article 4.Definition of terms in this law

4.1.The following terms used in this law shall have the following definitions, respectively:

4.1.1."cyber security" shall mean the fulfillment of safety, confidentiality, and accessibility of information within cyber environments;

4.1.2."cyberspace" shall mean tangible and non-tangible platforms that consist of internet and other information and communication networks, and inter-dependent systems that ensure their operation;

4.1.3."cyber environment" shall mean the information systems, and information network environments that allow accessing, login, collection, processing, storing, and use of information;

4.1.4."safety" shall mean protection from unauthorized deletion or modification;

4.1.5."confidentiality" shall mean the state of protection of information from unauthorized access or login;

4.1.6."accessibility" shall mean the possibility of accessing, logging in, collecting, and using of information within the allowed scope;

4.1.7."information system" shall have the meaning as stipulated in article 4.1.1 of the Law on Transparency of Public Information;

4.1.8."information network" shall have the meaning as stipulated in article 4.1.2 of the Law on Transparency of Public Information;

4.1.9."cyber security risk assessment" shall have the meaning professional activities that define the probability of failure of, threats and risks to, the cyber security of electronic information, information systems, and information networks,  the level of vulnerability, and measures to reduce its consequences and risks, and of prevention;

4.1.10."information security audit" shall mean unbiased, independent professional activities that review the compliance with cyber security laws and relevant procedures and standards and issue recommendations;

4.1.11."log of information system actions" shall mean the registration that defines the action and time of access, login, processing, collecting, and use to a specific information system;

4.1.12."Organization with critical information infrastructure" shall mean an organization that has an information system or information network, of which the failure of the cyber security could potentially cause failure of such organization's operations, and cause harm to the security, society, and economy of Mongolia;

4.1.13."Cyber security violation" shall mean any act or omission thereof that threatens the safety, confidentiality, or accessibility of an information system;

4.1.14."cyber-attack" shall mean an action that aims to disrupt the cyber security of information systems or information networks;

4.1.15."cyber-attack at national level" shall mean a cyber-attack that attacks the information system and information network of an organization with critical information infrastructure thereby disrupting the operations of such organization potentially causes harm to the national security, society, and economy of Mongolia;

4.1.16."Center against cyber-attacks and violations" shall mean person charged with the function to facilitate activities to prevent, detect, terminate, and respond to cyber-attacks and violations, and restore information systems, and provide professional guidance thereto;

4.1.17."State information consolidated network" shall mean the comprehensive system of state internet usage and official and special use networks, with a consolidated infrastructure aimed at ensuring information-exchange and cyber security between state organizations;

4.1.18."state-owned legal person" shall have the meaning stipulated in article 13 of the Law on State and Local Properties.


Article 5.Principles of ensuring cyber security

5.1.In addition to that stipulated in article 4.1 of the Law on National Security, the following principles shall be adhered to in ensuring cyber security:

5.1.1.maintain unified supervision;

5.1.2.to be grounded on science, progressive technology and innovation;

5.1.3.support national products, services, and human resources capabilities;

5.1.4.to base on risk assessment;

5.1.5.to base on public-private partnership;

5.1.6.develop international cooperation.


CHAPTER TWO
ACTIVITIES TO ENSURE CYBER SECURITY

Article 6.Workstreams in ensuring cyber security

6.1.The work of ensuring cyber security shall consist of the following workstreams:

6.1.1.policy, administration, facilitation;

6.1.2.technical and technological measures to ensure cyber security;

6.1.3.prevention from, and promoting awareness of cyber-attacks and violations;

6.1.4.detection, termination of, and responding to cyber-attacks and violations, restorative measures..


Article 7.Common procedures to ensure cyber security

7.1.The Government shall adopt the common procedures on ensuring cyber security, prevention, detection and counter-responses.

7.2.The legal persons stipulated in articles 16.1, 17.1, and 19.1 of this law shall have its internal procedure in ensuring cyber security that conforms to the common procedure to ensure cyber security.


Article 8.Cyber security risk assessment

8.1.Cyber security risk assessment shall be conducted by legal persons registered at the state central administrative organization in charge of digital development and communications.

8.2.The legal person stipulated in article 8.1 of this law shall have an employee on staff that has been certified by an international professional or standards association, or an equivalent organization.

8.3.The state central administrative organization in charge of digital development and communications and the intelligence agency shall jointly adopt the procedures and methodology for conducting cyber security risk assessment.

8.4.The intelligence agency, or by the permission thereof a legal person stipulated in article 8.1 of this law shall conduct the cyber security risk assessment of organizations connected to the state information consolidated network, and of state-owned legal persons with critical information infrastructure.

8.5.The legal persons stipulated in article 8.1 of this law, and the relevant organization and official who have received the cyber security risk assessment report shall be obligated to maintain the confidentiality and ensure non-disclosure thereof.


Article 9.Information security audit

9.1.Information security audits shall be conducted by legal persons registered with the state central administrative organization in charge of digital development and communications.

9.2.The following requirements shall be met by legal persons to conduct information security audits:

9.2.1. Have an employee on staff that has been certified by an international professional or standards association, or an equivalent organization to conduct information security audits;

9.2.2.The employee stipulated in article 9.2.1 of this law shall not maintain simultaneous employment with other legal person authorized to conduct audits of the same type;

9.2.3.Other requirements stipulated in the law.

9.3.It shall be prohibited for a legal person conducting information security audit to conduct information security audits on the same organization two years after such time that it has rendered information technology and information security services to such organization.

9.4.Organizations with critical information infrastructure shall have its information security audits conducted by the intelligence agency, or with the permission thereof, by legal person stipulated in article 9.1 of this law.

9.5.The state central administrative organization in charge of digital development and communications shall adopt procedures on registering legal persons to conduct information security audits, and on conducting audits.

9.6. The legal persons stipulated in article 9.1 of this law, and the relevant organization and official who have received the information security audit report shall be obligated to maintain the confidentiality and ensure non-disclosure thereof.


CHAPTER THREE
CYBER SECURITY SYSTEM

Article 10. Government

10.1.In accordance with the national security framework, the Government shall implement the following authority regarding ensuring cyber security:

10.1.1.adopt the national strategy on cyber security;

10.1.2.incorporate cyber security within development policy and planning documents, facilitate the implementation of legislation accordingly;

10.1.3.adopt a national level plan for protection from cyber-attacks;

10.1.4.adopt the rules, organizational structure, staff positions of the national center against cyber-attacks and violations and the public center, the operational procedure of the centers, and their operational requirements;

10.1.5.adopt the list of organizations with critical information infrastructure;

10.1.6.adopt the procedure for establishing and using the state information consolidated network, and the list of organizations affiliated thereto;

10.1.7.incorporate funds necessary for implementing activities aimed at ensuring cyber security, within the state budget;

10.1.8.adopt the organizational structure, staff positions, and operational procedure of the cyber security council office.


Article 11.Cyber Security council

11.1.A non-staff Cyber security council (hereinafter referred to as "the Council") shall operate with the key functions to provide cyber security activities with unified supervision, coordinated facilitation, organize implementation, and ensure exchange of information.

11.2.The Council shall be led by the Prime Minister, and the vice-director shall be the Member of Government in charge of digital development and communications as well as the Head of the General Intelligence Agency, and the Council shall have an office.

11.3.The constitution and the rules of the Council shall be adopted by the Government.

11.4.The Council shall implement the following authority:

11.4.1.Exercise monitoring on the implementation of the cyber security legislation;

11.4.2.provide unified supervision and facilitation on ensuring cyber security at the national level, facilitate and coordinate the activities of the relevant organizations;

11.4.3.requisition from relevant organizations information and documents necessary for ensuring cyber security;

11.4.4.cooperate with foreign countries and international counterpart organizations on ensuring cyber security;

11.4.5.other authorities stipulated in the law.

11.5.Funds necessary for the operation of the Council and its Office shall be financed by the state budget.

11.6.Decisions of the Council shall be in the form of resolutions and minutes, and seals, stamps, and letterheads made in accordance with the relevant procedures shall be used.

11.7.Council decisions issued in relation to ensuring cyber security shall be implemented by the relevant organizations and officials, and reported accordingly.


Article 12.State central administrative agency in charge of digital development and communications

12.1.The state central administrative agency in charge of digital development and communications shall exercise the following authority in relation to ensuring cyber security:

12.1.1.implement legislation and decisions of the relevant authority in relation to ensuring cyber security;

12.1.2.develop a cyber security development policy, organize its implementation;

12.1.3.develop common procedures to ensure cyber security in collaboration with the intelligence agency and the cyber security organization of the armed forces;

12.1.4.collaborate with international organizations and organizations of foreign countries in areas of cyber security;

12.1.5.develop the list of organizations with critical information infrastructure, in collaboration with the intelligence agency and the cyber security organization of the armed forces;

12.1.6.register legal person authorized to conduct cyber security risk assessments, and conduct information security audits;

12.1.7.conduct new technical, technological, innovation, research and development activities in areas of cyber security;

12.1.8.implement measures to prevent cyber-attacks and violations, to promote awareness, and advertise relevant legislation.


Article 13.Intelligence agency

13.1.The intelligence agency shall exercise the following authority in relation to ensuring cyber security:

13.1.1.organize the state information consolidated network, and ensure its cyber security;

13.1.2.exercise monitoring over activities to ensure the cyber security of organization that are connected to the state information consolidated networks, and state-owned organizations with critical information infrastructures, and organize trainings for relevant persons;

13.1.3.develop the national strategy for cyber security in collaboration with the state central administrative organization in charge of digital development and communications, and the cyber security organization of the armed forces;

13.1.4.develop the plan for protection from national level cyber-attacks, monitor its implementation;

13.1.5.adopt jointly with the relevant organization, the procedure pertaining to information exchange with the organization specially charged to ensure national security and with state central administrative organizations;

13.1.6.develop the procedure stipulated in article 10.1.6 of this law, and monitor its implementation;

13.1.7.verify, certify, and issue conclusions on the technology and software designated to ensure the security of the information systems and information networks of the person stipulated in article 13.1.2 of this law;

13.1.8.issue conclusion to the persons stipulated in article 13.1.2 of this law in relation to the ensuring of cyber security of information technology projects and program that are to be implemented based on loans, aid, and investment from foreign countries, and submit recommendations and requirements to the relevant authorities in relation thereto;

13.1.9.operate a quantitative analysis laboratory for the purpose of fighting against cyber-attacks and violations;

13.1.10.issue its recommendation in relation to registration of persons to conduct cyber security risk assessment;

13.1.11.submit recommendations and requirements to inpiduals and legal persons in relation to ensuring cyber security.


Article 14.Cyber security organization of the armed forces

14.1.The cyber security organization of the armed forces shall exercise the following authority in ensuring cyber security:

14.1.1.organize the implementation of cyber security legislation in the defense sector;

14.1.2.in times of peace ensure cyber security and the security of defense information systems and information networks, and where necessary provide support in the activities of ensuring cyber security of the nation;

14.1.3.unless otherwise stipulated in the law, verify and certify the equipment and software of the information systems and information networks used in the defense command units and organizations;

14.1.4.organize trainings for defense command units and organizations on ensuring cyber security, and submit recommendations related thereto;

14.1.5. exchange information, and collaborate cooperate with foreign and domestic organizations of the same function in the area of ensuring cyber security capacity and readiness.


Article 15.Police authority

15.1.The police authority shall exercise the following authority in relation to ensuring cyber security:

15.1.1.Receive information on crimes related to cyber-attacks and violations, and conduct operations stipulated in the law;

15.1.2.requisition and access information necessary to implement its function stipulated in article 15.1.1 of this law from relevant state organizations, officials, inpiduals, and legal persons;

15.1.3.submit recommendations, requirements, and warnings related to ensuring cyber security to inpiduals and legal persons;

15.1.4.operate a quantitative analytical laboratory for the purposes of fighting against cyber-attacks and violations, verify equipment and software, conduct research and development work, and issue conclusions.


Article 16.State-owned legal person

16.1.State-owned legal persons shall have the following obligations in relation to ensuring cyber security:

16.1.1.adopt internal operational procedures on ensuring cyber security;

16.1.2.comply with recommendations and requirements issued by relevant authorities on ensuring cyber security;

16.1.3.in cases of harm or potential harm from cyber-attacks and violations, immediately notify the center against cyber-attacks and violations;

16.1.4.incorporate the funds and operational expenses necessary for ensuring cyber security into the budget annually;

16.1.5.store information system action log for the time period stipulated in the common procedure for ensuring cyber security.


Article 17.Legal person

17.1.Legal persons providing information technology services in the processing, storing, distributing, computer analytics, and ensuring the normal operations through shared information systems within the cyber space, shall have the following obligations:

17.1.1.adopt internal procedures to ensure cyber security;

17.1.2. immediately notify the center against cyber-attacks and violations of cyber-attacks, obtain assistance if unable to terminate such attacks;

17.1.3. store information system action log for the time period stipulated in the common procedure for ensuring cyber security;

17.1.4.obtain professional and methodology assistance from relevant state organization, and collaborate therewith in ensuring cyber security;

17.1.5.havean officer or unit on staff in charged with ensuring cyber security;

17.1.6.have cyber security risk assessments conducted every two years, and where the circumstances stipulated in the relevant procedures have arisen have such assessments done immediately for each case, and take measures in accordance with the conclusion, recommendations, and requirements issued in relation thereto;

17.1.7. have information security audits conducted every year, and where the circumstances stipulated in the relevant procedures have arisen have such audits done immediately for each case, and take measures in accordance with the conclusion, recommendations, and requirements issued in relation thereto;

17.1.8.have the relevant cyber security verification and check-ups each time new information technology products, services, and their updates and modifications are introduced;

17.1.9.notify users immediately of cyber-attacks and violations.

17.2.If information security audits have been conducted in the time period stipulated in this law and in accordance with international standards, such audits shall be based on to deem the obligation stipulated in article 17.1.7 of this law as fulfilled.

17.3.Legal persons other than that stipulated in article 17.1 of this law shall exercise the following rights and obligations:

17.3.1.abide by the common procedures on ensuring cyber security in its activities;

17.3.2.notify the relevant center against cyber-attacks and violations of cyber-attacks and violations, and obtain assistance where necessary;

17.3.3.comply with recommendations and requirements issued by the relevant organizations;

17.3.4.other rights and obligations stipulated by legislation.


Article 18.Citizen

18.1.Citizens shall have the following obligations in ensuring cyber security:

18.1.1.take responsibility for the cyber security of themselves and any inpiduals under their care;

18.1.2.comply with and abide by the recommendations issued by the relevant organization;

18.1.3.others stipulated in legislation.

18.2.In case of potential cyber-attacks or violations, citizens may immediately notify the Public center.


Article 19.Organizations with critical information infrastructure

19.1.Organizations with critical information infrastructure shall include organizations of the following nature of business:

19.1.1.organizations with electricity production, distribution, transmission, and monitoring control systems;

19.1.2.organizations with clean and waste water, heating source, centralized grid, and distribution and monitoring control systems;

19.1.3.tier two and three health organizations;

19.1.4.laboratories for research on highly contagious or infectious diseases of humans and livestock;

19.1.5.producers of medicine, and toxic and hazardous chemicals;

19.1.6.banks and financial institutions with consolidated digital systems for payment, settlement, and transactions;

19.1.7.operators in communications, and information technology that are natural monopolies or exercise a dominant position;

19.1.8.organizations with air, railway, waterway, and auto-road transportation coordination and control systems;

19.1.9.organizations that import, producers, and distributors of fuel;

19.1.10.organizations that produce, store, and distribute strategic food stuff;

19.1.11.Information and operational management center;

19.1.12.National public radio and television;

19.1.13.organization in charge of main and supporting information systems and base information databases;

19.1.14.organization in charge of data centers, their branches and resource center operations;

19.1.15.organization in charge of border port control and administration systems;

19.1.16.organization mining minerals of strategic significance;

19.1.17.organization in charge of registration, monitoring, and consolidated information systems relating to passengers and transportation vehicles that are crossing the national borders.

19.2.Organizations with critical information infrastructure shall have the following obligations:

19.2.1.adopt internal procedures for ensuring cyber security;

19.2.2.adopt and implement an action plan in case of cyber-attacks and violations;

19.2.3.introduce standards to ensure information security;

19.2.4. have an officer or unit on staff in charged with ensuring cyber security;

19.2.5. have cyber security risk assessments conducted every year, and where modifications are made to the information systems and information networks have such assessments done partially for each case, and fully if required by the relevant authorities, and take measures in accordance with the conclusion, recommendations, and requirements issued in relation thereto;

19.2.6.have information security audits conducted every two years;

19.2.7.plan and implement management, organizational, and technical measures necessary for ensuring the information system and information network security;

19.2.8.have an information system for the detection, registration, and termination of cyber-attacks and violations;

19.2.9. store information system action log for the time period stipulated in the common procedure for ensuring cyber security;

19.2.10.submit the cyber security risk assessment and information security audit reports to the relevant center against cyber-attacks and violations within one month of receipt;

19.2.11.comply with the requirements issued by the relevant authorities, and take measures to eliminate the violations and errors detected;

19.2.12.If cyber security risk assessments are to be conducted by foreign citizens and foreign legal persons, the intelligence agency shall be consulted;

19.2.13.have an action plan in place for ensuring the normal, uninterrupted operation of the information system and infrastructure, and for restoration thereof in case of damages and interruptions;

19.2.14. notify the relevant center against cyber-attacks and violations immediately of failure of normal, uninterrupted operations of the information systems and infrastructure due to cyber-attacks and violations;

19.2.15. notify the relevant center against cyber-attacks and violations, and the users immediately of failure of normal, uninterrupted operations infrastructure due to planned inspections and audits, damages and events and circumstances of force majeure to networks and systems outside of their own infrastructure.

19.3. If information security audits have been conducted in the time period stipulated in this law and in accordance with international standards, the report of such audit shall be based on to deem the obligation stipulated in article 19.2.6 of this law as fulfilled.


CHAPTER FOUR 
COMBATING CYBER ATTACKS AND VIOLATIONS

 

Article 20.Center against attacks and violations

20.1.The following centers with the human resources, technical and technological capacity, and information databases shall operate with the key functions to provide professional and methodology support and assistance for the detection, termination of, and responses to. cyber-attacks and violations, and for the restoration of targeted infrastructures and information systems:

20.1.1.National center against cyber-attacks and violations (hereinafter referred to as "National center");

20.1.2.Public center against cyber-attacks and violations (hereinafter referred to as "Public center");

20.1.3.Armed forces center against cyber-attacks and violations (hereinafter referred to as "Armed forces center").

20.2.Legal persons other than the above shall have fulfilled the relevant requirements stipulated in article 10.1.4 of this law in conducting activities to detect and terminate cyber-attacks.

20.3.The centers stipulated in article 20.12 and 20.1.3 of this law, and the legal person stipulated in article 20.2 of this law shall cooperate with the National center and exchange information regarding cyber-attacks and violations.


Article 21.National Center

21.1.The National center shall fall under the structure of the intelligence agency.

21.2.The National center shall exercise the following functions:

21.2.1.coordinate and facilitate the activities and operation of the centers against cyber-attacks and violations nationwide, and provide professional and methodology assistance thereto;

21.2.2.detect, terminate, and respond to cyber-attacks and violations directed at the information systems of state-owned legal persons with critical information infrastructure and organizations connected to the state information consolidated network,  and provide support in the restoration of the targeted information systems;

21.2.3.conduct analysis, accumulate databases, develop statistical information and surveys, and distribute recommendations and information pertaining to information on cyber-attacks and violations nationwide;

21.2.4.represent Mongolia in collaborations and exchange of information with international organizations and organizations of foreign countries in areas that fall under the scope of authority;

21.2.5.receive information pertaining to cyber-attacks and violations, transfer such information to the relevant authorities;

21.2.6.issue and submit recommendations and requirements regarding cyber-attacks and violations to organizations with critical information infrastructure and other relevant organizations and officials;

21.2.7. for the purposes of categorizing, processing, information regarding cyber-attacks and violations registered nationwide, and transferring such information to the relevant authorities, operate a team consisting of representatives of relevant organizations.


Article 22.Public center

22.1.The Public center shall operate under the state central administrative organization in charge of digital development and communications.

22.2.The Public center shall exercise the following functions:

22.2.1.detect, terminat, and respond to cyber-attacks and violations directed at inpiduals and legal persons other than that stipulated in article 21.2.2 of this law,  and provide support in the restoration of the targeted information systems;

22.2.2.conduct research and analysis on cyber-attacks and violations, and distribute recommendations and information thereon to the public;

22.2.3.cooperate and exchange information with the centers stipulated in article 20.1.1, and legal persons stipulated in article 20.2 of this law;

22.2.4. issue and submit recommendations and requirements regarding cyber-attacks and violations to citizens and legal persons.


Article 23.Armed forces center

23.1.The Armed forces center shall operate within the structure of the Armed forces cyber security organization.

23.2.The Armed forces center shall exercise the following functions:

23.2.1.prevent, detect, terminate, and respond to cyber-attacks and violations directed at defense sector information systems, and restore targeted information systems;

23.2.2.render support to the activities of prevention of foreign cyber-attacks and threats;

23.2.3. cooperate with foreign countries and international counterpart organizations on ensuring cyber security.

23.2.4.verify and certify and issue conclusions on the technical equipment and software designated to ensure the cyber security in the defense sector.


CHAPTER FIVE
MISCELLANEOUS


Article 24.Liabilities imposable on violators of the legislation on cyber security

24.1.If the actions of the official who has violated this law does not carry the characteristics of a crime, the liabilities stipulated in the Law on Public Service or the Labor Law.

24.2.An inpidual or legal person who has violated this law shall be imposed liabilities stipulated in the Criminal Law or the Law on Violations.

24.3.The delegation by an organization or legal person of its activities to ensure its cyber security to others on a contractual basis shall not serve as grounds for exemption from liabilities.


Article 25.Enforcement of the law

25.1.This law shall be enforced from 1 May 2022.

 

SPEAKER OF THE STATE GREAT KHURAL OF MONGOLIA
G. ZANDANSHATAR