Нүүр
Эрх зүйн акт 
Сонсох / Сонгосон утга сонсох
Pdf
Word
Хэвлэх
Цахим хөгжил, инновац, харилцаа холбооны сайд, Тагнуулын ерөнхий газрын даргын хамтарсан
2024 оны 10 дугаар сарын 16-ны өдрийн А/30, А/148 дугаар тушаалын хавсралт
КИБЕР АЮУЛГҮЙ БАЙДЛЫН ЭРСДЭЛИЙН ҮНЭЛГЭЭ ХИЙХ ЖУРАМ, АРГАЧЛАЛ
Нэг.Нийтлэг үндэслэл
1.1.Кибер аюулгүй байдлын тухай хуулийн 8 дугаар зүйлд заасан кибер аюулгүй байдлын эрсдэлийн үнэлгээ (цаашид "эрсдэлийн үнэлгээ" гэх) хийхтэй холбогдсон харилцааг энэ журам, аргачлалаар зохицуулна.
1.2.Эрсдэлийн үнэлгээ хийх үйл ажиллагаанд Кибер аюулгүй байдлын тухай хууль, Зөвшөөрлийн тухай хууль болон энэхүү журам, аргачлалыг дагаж мөрдөнө.
Хоёр.Эрсдэлийн үнэлгээ хийх үйл ажиллагаанд баримтлах зарчим
2.1.Эрсдэлийн үнэлгээ хийх үйл ажиллагаанд Кибер аюулгүй байдлын тухай хуулийн 5 дугаар зүйлд зааснаас гадна дараах зарчмыг баримтална:
2.1.1.хараат бус, мэргэжлийн байх;
2.1.2.мэдээллийн нууцыг чандлан хадгалах;
2.1.3.нотолгоонд суурилан үнэлэх.
Гурав.Эрсдэлийн үнэлгээ хийх этгээд үнэлгээнд бэлтгэх
3.1.Эрсдэлийн үнэлгээ хийхэд дараах зүйлийг тодорхойлно:
3.1.1.эрсдэлийн үнэлгээний зорилго, аргачлал;
3.1.2.эрсдэлийн үнэлгээний хамрах хүрээ, ажил эхлэх, дуусах хугацаа;
3.1.3.эрсдэлийн үнэлгээ хийх баг, тэдгээрийн үүрэг хариуцлага, оролцоо.
Дөрөв.Эрсдэлийн үнэлгээ хийх этгээд эрсдэлийг тодорхойлох
4.1.Эрсдэлийн үнэлгээний хамрах хүрээний цахим мэдээлэлтэй холбоотой биет болон биет бус хөрөнгийн мэдээллийг дараах байдлаар гаргана:
4.1.1.хөрөнгийн нэр;
4.1.2.хөрөнгийн нууцлалын зэрэг;
4.1.3.хөрөнгө хариуцагч;
4.1.4.хөрөнгийн байрлал;
4.1.5.хөрөнгийн төрөл;
4.1.6.нэмэлт мэдээлэл.
4.2.Хөрөнгийн эмзэг байдлыг автомат болон механик аргачлалаар технологи, архитектур, хүний нөөцийн хүрээнд тодорхойлно.
Тайлбар: эмзэг байдлыг тусгай зориулалтын программ хангамж, систем ашиглан тодорхойлохыг автомат; санал асуулга болон уулзалтын хүрээнд эмзэг байдлыг тодорхойлохыг механик аргачлал гэнэ.
4.3.Эрсдэлд нөлөөлөх оролцогч талыг дараах байдлаар тодорхойлно:
4.3.1.байгууллагын удирдлага;
4.3.2.эрсдэлийн удирдлагын нэгж;
4.3.3.технологи ба үйл ажиллагааны нэгж;
4.3.4.кибер аюулгүй байдлын нэгж;
4.3.5.байгууллагын дотоод нэгжүүд;
4.3.6.харилцагч байгууллага болон гуравдагч этгээд.
4.4.Аюул заналыг олон улсад хүлээн зөвшөөрөгдсөн загварчлал (Threat modelling) ашиглан тодорхойлж болно.
4.5.Байгууллагад хэрэгжиж буй кибер аюулгүй байдлын хяналтыг удирдлага зохион байгуулалт, техник-технологи, биет байдлын бүлэгт ангилж үнэлнэ.
4.6.Байгууллагын хөрөнгийн нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байдалд аюул занал учирснаар үүсэх бодит хохирлын хэмжээгээр нөлөөллийг тодорхойлно.
4.7.Эрсдэлийн магадлалыг дараах зүйлсийг харгалзан тодорхойлно:
4.7.1.байгууллагад хэрэгжиж буй кибер аюулгүй байдлын хяналт;
4.7.2.техник хэрэгсэл дээр суурилсан баталгаажуулалт;
4.7.3.үнэлгээ хийх багийн мэдлэг, туршлага;
4.7.4.өнгөрсөн хугацаанд тохиолдсон аюул заналын давтамж;
4.7.5.олон улсад хүлээн зөвшөөрөгдсөн мэргэжлийн байгууллагын аюул заналын тайлан;
4.7.6.халдагч этгээдийн зорилго, ур чадвар, ашиглаж буй хэрэгсэл.
Тав.Эрсдэлийг үнэлэх
5.1.Энэхүү журам, аргачлалын 4-т заасан үйл ажиллагаанаас гарсан үр дүнд үндэслэн эрсдэлийг нөлөөлөл болон магадлалын хэмжээгээр үнэлнэ.
5.2.Эрсдэлийг аюул занал, эсхүл хөрөнгөд суурилсан байдлаар үнэлнэ.
5.3.Эрсдэлийн үнэлгээг доор дурдсан төрлөөс сонгож хийнэ:
5.3.1.тоон байдлаар илэрхийлэх боломжтой бол тоон үнэлгээ;
5.3.2.бодитоор илэрхийлэх боломжгүй тохиолдолд магадлал болон нөлөөллийн хүснэгтийн аргыг ашигласан чанарын үнэлгээ;
5.3.3.тоон болон чанарын хосолсон үнэлгээ.
Зургаа.Эрсдэлийг эрэмбэлэх
6.1.Энэхүү журам, аргачлалын 5 дугаар зүйлд заасан үр дүнд үндэслэн эрсдэлийг эрэмбэлнэ.
6.2.Эрсдэлийг бууруулах зөвлөмжид эрсдэлийн үнэлгээ хийлгэсэн этгээдийн холбогдох албан тушаалтныг буюу хариуцагчийг тодорхойлсон байна.
Долоо.Тайлан боловсруулах
7.1.Эрсдэлийн үнэлгээний тайланд дараах ерөнхий мэдээллийг тусгах ба удирдлагын түвшинд зориулсан хураангуй, техникийн багт зориулсан дэлгэрэнгүй тайлан байна:
7.1.1.зорилго, хугацаа;
7.1.2.хамрах цар хүрээ;
7.1.3.үнэлгээний явцад хийгдсэн өөрчлөлтүүд;
7.1.4.үнэлгээний үр дүн;
7.1.5.эрсдэлийг бууруулах зөвлөмж;
7.1.6.тайланг боловсруулсан багийн мэдээлэл;
7.1.7.нэмэлт мэдээлэл.
7.2.Хураангуй тайланд дараах зүйлсийг тусгана:
7.2.1.эрсдэлийн үнэлгээний ерөнхий үр дүнг график, хүснэгт, тоон үзүүлэлтээр гаргах;
7.2.2.эрсдэлийн үнэлгээний үр дүнд гарсан эрсдэл тус бүрийн хураангуй жагсаалт.
Найм.Эрсдэлийн үнэлгээ хийх хуулийн этгээдийн үүрэг
8.1.Эрсдэлийн үнэлгээ хийх хуулийн этгээд нь Зөвшөөрлийн тухай хуулийн 4.2 дугаар зүйлд зааснаас гадна дараах эрх, үүрэгтэй:
8.1.1.үйл ажиллагаандаа Монгол Улсын хууль тогтоомж, олон улсын болон үндэсний стандартыг дагаж мөрдөх;
8.1.2.эрсдэлийн үнэлгээ хийх явцад захиалагч болон гуравдагч этгээдээс хүлээн авсан мэдээлэл, баримт бичгийн нууцлал, бүрэн бүтэн байдлыг хангах;
8.1.3.гүйцэтгэсэн ажлын дүгнэлт, зөвлөмжийн үнэн зөв байдлыг хариуцах;
8.1.4.эрсдэлийн үнэлгээ хийхдээ тухайн системийн хэвийн, найдвартай, тасралтгүй ажиллагааг хангаж ажиллах;
8.1.5.эрсдэлийн үнэлгээний явцад захиалагч байгууллага нь кибер аюулгүй байдлын эсрэг гэмт хэрэг, зөрчил гаргасан, гарах нөхцөл байдал үүсгэсэн гэж үзвэл зохих байгууллагад даруй мэдэгдэх;
8.1.6.онц чухал мэдээллийн дэд бүтэцтэй байгууллагын үйлдвэрлэлийн удирдлагын системийн үйл ажиллагааг тасалдуулах, доголдол үүсгэх үйлдэл хийхгүй байх;
8.1.7.жил бүрийн 1 дүгээр улиралд багтаан өмнөх жилд хийж гүйцэтгэсэн ажлын жагсаалт, хураангуй тайланг зөвшөөрөл олгох эрх бүхий этгээдэд хүргүүлэх.
Ес.Онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит этгээдэд эрсдэлийн үнэлгээ хийх
9.1.Төрийн мэдээллийн нэгдсэн сүлжээнд холбогдсон байгууллага болон онц чухал мэдээллийн дэд бүтэцтэй төрийн өмчит хуулийн этгээдэд эрсдэлийн үнэлгээ хийхэд Кибер аюулгүй байдлын тухай хуулийн 8 дугаар зүйлийн 8.4 дэх хэсэгт заасныг баримтална.
9.2.Кибер аюулгүй байдлын тухай хуулийн 8 дугаар зүйлийн 8.4 дэх хэсэгт заасан зөвшөөрөл авах тохиолдолд энэхүү журмын 9.1-д заасан хуулийн этгээд тагнуулын байгууллагад хүсэлт гаргана.
--- o0o ---
