Т.Халтар

Зөвлөх, доктор, профессор

khaltar@sssmn.com

Банкны МТ-ийн эрсдэл

1

2

Их хэмжээний гүйлгээ,

Ихээхэн тооцоолол

Эрсдлийн

шинэлэг удирдлага

Зээлийн иж

бүрэн тооцоолол

Олон улсын

гүйлгээ

Орон даяар

Тархсан салбар

3

Өнөөгийн арилжааны банкны анхаарах

асуудлууд

Үндсэн үйлчилгээ

ATM

Картын удирдлага

Салбар банк Баримт бичгийн уд-га

Эрсдлийн Удирдлага

Нөөцийн удирдлага

Уд Мэ Сис & интранет

Хэрэглэгчтэй харилцах хар-

ны уд-га

Банкны сүлжээ

Цахим банк

POS терминалууд болон мөнгө

олгогч

БАНКНЫ БИЗНЕС

БАНКНЫ БИЗНЕС

ХА

ДГА

ЛА

МЖ

ЗЭ

ЭЛ

& Б

УС

АД

ҮЙ

ЛЧ

ИЛ

ГЭЭ

Эрсдэлийн удирдлага

• “Эрсдэл” –аюулгүй байдал хэмээх зүйлийн суурийг бүрдүүлж буй үндсэн үзэл баримтлал. Эрсдэл – хамгаалалт шаардаж буй хор хохирол учрах магадлал. Эрсдэл – Янз бүрийн шалтгаанаар хөрөнгө, мөнгө, портфелоо алдаж болох магадлал.

• Эрсдэл байхгүй бол хамгаалалт хэрэггүй. Эрсдэл - аюулгүй байдлын салбарт ажиллагсдын ойлгодог зүйл.

• Эмзэг сул байдал болон аюул заналхийлэл нь эрсдлийн үндсийг бүрдүүлнэ.

• Аюул заналхийлэл, эмзэг байдал байхгүй бол эрсдэл байхгүй.

• Эмзэг байдал гэдэг нь довтолгоон үйлдэж болох боломжит суваг, зам. Систем, сүлжээ болон захиргааны дэг жаягт байдаг.

• Аюул заналхийлэл гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явдал. Гурван бүрдэл хэсэгтэй: – Бай. Довтолгоонд өртөж буй бүрдэл хэсэг.

– Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект

– Үйл явдал. Аюул агуулж буй үйлдэл.

4

Эрсдлийн удирдлага

Байгууллагын оршин тогтнох үндэс

Үйл ажиллагаанй үр дүн, үр нөлөө

Тасралтгүй ажиллагаа

Эрсдлийн хүлээн зөвшөөрч болох түвшнийг адилтгах, тогтоох

Тогтвортой байдлыг хангах

Үргэлжилсэн тогтвортой өсөлт

5

6

Аюулгүй байдлын эрсдлийн удирдлага

• Аюулгүй байдал…сул талаа хамгаалах, хамгаалагдсан орчныг бүрдүүлэх

• Аюулгүй байдлын найдвартай арга хэмжээ (биет & логик, өгөгдлийн аюулгүй байдал), түүнчлэн онц байдлын үед сэргээн ажиллуулах

• Цахим банкны үйлчлүүлэгчийг таньж зөвшөөрөх, үйлчилгээ, гүйлгээний хариуцлагатай байдал

• Чиг үүргийг тусгаарлах, таньж зөвшөөрөх найдвартай систем г.м.

• Орчны аюулгүй байдлын удирлага

• Тасралтгүй ажиллагааны удирдлага, сэргээн ажиллуулах төлөвлөгөө, дэг

Банкны эрсдлийн ангилал

7

ЭРСДЭЛ

САНХҮҮГИЙН ЭРСДЭЛ САНХҮҮГИЙН БУС ЭРСДЭЛ

Зээлийн Зах зээлийн

Үйл ажиллагааны

Портфелийн

Хүүгийн эрсдэл

Эргэлтийн эрсдэл

Валют арилжааны эрсдэл

Үйл ажиллагааны эрсдэл

Тогтолцооны эрсдэл

Улс төрийн эрсдэл

Хүний эрсдэл

Технологийн эрсдэл

8

9

Аюул + Эмзэг байдал = Эрсдэл

Эрсдэл - аюул болон эмзэг байдлын хослол.

Эрсдлийг үнэлэх - урьдчилан таах аргагүй үйл явдал бий болох магадлалыг тодорхойлох.

Эрсдлийн гурван түвшин: Сул. Аюул бий болох магадлал бага байна. Боломжийн хирээр эмзэг цэгийг

илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна гэсэн үг.

Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа. Ийм үйл явдал бий болох бодит боломж оршиж байгаа. Эмзэг байдлыг арилгах арга хэмжээ авах, үйлдэл хийх нь зохистой.

Хүчтэй. Эмзэг байдал нь бодитой эрсдэл бий болгож байгаа. Нэн даруй арга хэмжээ авах шаардлагатай.

10

Эмзэг, сул байдлыг илрүүлэх

• Эмзэг байдлыг илрүүлэхийн тулд байгууллагад нэвтрэх бүх цэгийг тодруулна. Ө.Х мэдээлэл, систем, сүлжээнд хандах цэгүүдийг (цахим болон биет байдлаар) илрүүлэх, тодруулах. Үүнд: – Интернетийн холболт;

– Алсын зайнаас хандах цэгүүд;

– Бусад байгууллагатай холбогдсон холболт;

– Биет байдлаар нэвтрэн орох цэгүүд;

– Хэрэглэгчийн хандах цэгүүд;

– Утасгүй холбооны сүлжээний хандалтын цэгүүд.

11

Аюул

• Аюул гэдэг нь мэдээллийн систем, сүлжээний аюулгүй байдлыг зөрчиж, эвдэж чадах үйлдэл, үйл явц юм. Гурван бүрдэл хэсэгтэй:

– Бай. Довтолгоонд өртөж буй бүрдэл хэсэг

– Агентууд. Аюул, заналхийлэл агуулж, учруулж буй субъект

– Үйл явдал. Аюул агуулж буй үйлдэл

12

Аюул С- санаатай, Б- байгал орчны, А- аваар ослын

• Газар хөдлөлт-Б, Үер ус-А,Б,С, хуй салхи, аянга-Б,

• Ажил хаялт, бөмбөг, ердийн зэвсэг, гал-С, А

• Санаатай гэмтээх, устгах, санах төхөөрөмж, тээгчийг хууль бусаар ашиглах, хэрэглэгчийн өмнөөс хуурамчаар орох, ПХ-ыг хууль бусаар импортлох, экспортлох, Сүлжээнд хууль бусаар хандах, сүлжээний хэрэгслүүдийг зүй бусаар ашиглах – С,

• Ус цахилгаан хангамж тасалдах, ТХ, сүлжээний бүрдэл хэсгүүд техникийн шалтгаанаар зогсох – А,

• Агааржуулалт зогсох, температур, чийгшилт өөрчлөгдөх, цахилгаан соронзон нөлөөлөл, ажилтны алдаа, үйлчилгээний алдаа – С, А.

13

Аюул

ПХ ажиллахгүй болох, ПХ-ыг эрх байхгүй этгээд ашиглах, хууль бусаар, зүй бусаар ашиглах, хортой ПХ ашиглах – С, А

Шороо тоос, электростатик цэнэг – Б, Тогний хэлбэлзэл, тээгчийн гэмтэл – Б Дамжуулалтын алдаа, шугамын гэмтэл, трафикийн

ачаалал – С, А Шугамаас дохиолол алдагдах, нууцаар чагнах,

трафикийн шинжилгээ, мэдээлэл, захиаг дахин чиглүүлэх, тасалдал – С

Мэдээллийг буруу хаяглах, буруу трафикт оруулах, холболт сүлжээний үйлчилгээ тасалдах, хүн хүч хүрэлцэхгүй байх, хэрэглэгчийн алдаа, нөөцийг буруугаар ашиглах – С, А

14

Эмзэг байдал

• Довтолгоон үйлдэж болох боломжит зам, суваг – Интернетийн холболт

– Алсын зайнаас хандах цэгүүд,

– Бусад байгууллагатай холбогдсон холболт

– Биет байдлаар нэвтрэн орох цэгүүд,

– Хэрэглэгчийн хандах цэгүүд,

– Утасгүй холбооны сүлжээний хандалтын цэгүүдэд байж болно.

15

Эмзэг, сул байдлууд

• Орчны болон дэд бүтцийн

– Байшин, цонх, хаалганы биет хамгаалалт сул байх

– Нэвтрэн орох явцыг муу хянах, буруугаар ашиглах

– Цахилгааны щитээ муу хамгаалах

– Үерт автагдах боломжтой газар байрлах

– Галын аюулаас сэргийлэх шаардлага хангадаггүй

– Аянга зайлуулагч байхгүй

16

Эмзэг сул байдлууд

• Техник хангамжийн

– Үе үе сольж байрлуулах схем байхгүй

– Хүчдэлийн хэлбэлзэлд мэдрэмтгий

– Температурын хэлбэлзэлд мэдрэмтгий

– Нар, шороо, чийгэнд мэдрэмтгий

– Цахилгаан соронзон туяанд мэдрэмтгий

– Үйлчилгээ хийгддэггүй, санах төхөөрөмжүүдийг буруу суулгах

– Конфигурацийн өөрчлөлтийн хяналт тавьдаггүй

17

Эмзэг сул байдлууд Програм хангамжийн

Ойлгомжгүй, дутуу тодорхойлолт

Тестлэгдээгүй, муу тестэлсэн ПХ

Ойлгоход хэцүү интерфейс

Адилтгах, таньж зөшөөрөх систем муутай

Хяналтын бичлэг хийгддэггүй

Цоорхойтой

Нууц үгийн системийн хамгаалалт муу, эсхүл байхгүй

Нууц үгийн удирдлага сул

Хандалтын эрхийг буруу хуваарилах

ПХ-ийг хяналтгүй татаж авах, суулгах, ашиглах

Компьютерээ орхихдоо системээс гардаггүй

Өөрчлөлтийн үр днүтэй удирдлага байхгүй

ПХ-ийн дагалдах бичиг баримтууд байхгүй

Нөөц хуулбар хийдэггүй

Өгөгдлийг зохих ёсоор арилгалгүйгээр санах төхөөрөмжийг дахин ашиглах, зөөвөрлөх, гаргах

18

Эмзэг сул байдлууд

Холболтын

Холболтын шугамаа хамгаалаагүй

Кабелийн холболт чанар муутай

Илгээгч, хүлээн авагчийг адилтгаж, таньж зөвшөөрдөггүй, эсхүл сул

Нууц үгийг илээр дамжуулдаг

Мэдээлэл илгээсэн, хүлээн авсныг баталгаажуулдаггүй

Dial up холболт ашиглах

Эмзэг трафикийг хамгаалдаггүй

Сүлжээний удирдлагыг буруу хэрэгжүүлдэг (чиглүүлэгчийн сэргээгдэх чадвар)

Сүлжээний уулзваруудыг хамгаалаагүй

19

Эмзэг сул байдлууд

• Бичиг баримттай холбоотой – Хамгаалалтгүй хадгалдаг

– Муу арчилдаг, устгахдаа хяналт тавьдаггүй

– Хуулбарлахад тавих хяналт сул, эсхүл байхгүй

• Хүнтэй холбоотой – Хүн хүрэлцэхгүй

– Техникийн мэдлэг хүрэхгүй

– Гадуур хяналтгүй ажиллах, итгэмжлэгдсэн бус хүн ажиллуулах

– Аюулгүй байдлын сургалт байхгүй, эсхүл сул

– Аюулгүй байдлын мэдлэг байхгүй

– ПХ, ТХ-ийг зүй бусаар, алдаатай ашиглах

– Мониторингийн механизм байхгүй

– Зөв ашиглалтын бодлого, АБ-ын бодлого, журам байхгүй

– Ажилд авахдаа шалгадаггүй г.м. 20

Эрсдлийн төрлүүд

• Програм хангамж болон техник хангамжын эрсдэл • Ажиллагсдын мэргэжлийн болон хувь хүний ёс суртахүүнаас

үүсэх эрсдэл • Ажилтнуудын компьютер болон аюулгүй ажиллгааны

хангалттай бус мэдлэгтэй холбоотой эрсдэл • Интернет болон электрон шуудангийн эрсдэлүүд • Дотоод гадаад сүлжээний эрсдэлүүд • Мэдээлэл дамжуулалт, холбооны технологийн эрсдэл • Мэдээлэл хадгалалт, тээвэрлэлтээс үүдэх эрсдэл • Мэдээлэл санаатай болон санамсаргүй алдагдах эрсдэл • Байгалийн гамшгийн эрсдэл • Өрсөлдөгчийн тагнуулын үйл ажиллагаанаас үүдэх эрсдэл • Мэдээллийн дайн буюу кибертерроризмийн эрсдэл зэрэг

эрсдэлүүдийг нэрлэж болно.

21

Гол халдлагын төрлүүд /ИБритани/

406300

40186400

701500

70195900

27382400

6830500

11767200

65643300

5148500

2754400

76000

705000

18365000

0 10000000 20000000 30000000 40000000 50000000 60000000 70000000 80000000

Ажилтны хууль бус нэвтрэлт

Санхүүгийн залилан

Харилцаа холбооны залилан

Бүрдэл хэсгийг хулгайлах

Вирусын довтолгоон

Компьютерийн хулгай

Сүлжээг зүй бусаар ашиглах

Үйлчилгээ бусниулах DoS, DDoS

Хорлон сүйтгэх ажиллагаа

Системд хууль бусаар нэвтрэх

Нууцаар чагнах

Замаас нь барих

социаль инжиниринг

хохирол US$

22

Эрсдлийн түвшин

• Бага. Аюул бий болох магадлалтай хэдий ч магадлалын хэмжээ бага байна. Боломжийн хирээр эмзэг цэгийг илрүүлж арилгах арга хэмжээ авна. Гэхдээ зардал нь бага байна.

• Дунд. Эмзэг байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, адилтган таних, зөвшөөрөх тогтолцоонд бодитой эрсдэл учруулж байгаа ба аюулгүй байдлыг хангах шаардлагатай байна.

• Ноцтой. Эмзэг байдал нь бодитой эрсдэл бий болгож үйл ажиллагаанд гамшиг учруулж байгаа ба нэн даруй аюулгүй байдлын арга хэмжээ авах шаардлагатай байна.

23

24

ССС ХХК-ын Эрсдлийн удирдлагын шийдэл (ЭУШ)

Эрсдлийн

үнэлгээ

Ялгааны шинжилгээ МАБ-ын аудит

Сургалт, мэдлэг Бодлого &

дэг боловсруулалт

Хэрэгжүүлэлт

Банкны

ЭУШ

НТДБ Програм

Техникийн А/Х

25

Банкны АБ-ын эрсдлийн удирдлагын үйл явц яагаад хэрэгтэй вэ?

• Банкны МАБ-ын эрсдлийн удирдлага

– Банкны мэдээллийн орчинд оршин буй эрсдлийг тодруулах, эрэмбэлэх, зохих түвшинд нь хүртэл удирдах үйл явц

• Банкны МАБ-ын эрсдлийн удирдлагын үйл явц дараах зүлсэд чиглэгдэнэ:

– Аюулын эсрэг хариу үйлдэл хийх хугацаа

– Зохицуулалттай нийцүүлэх

– Дэд бүтцийн удирдлагын зардлыг бууруулах

– Эрсдлийг эрэмбэлэх, удирдах

26

Амжилтын хүчин зүйлс

• Удирдлагын ойлголт, дэмжлэг

• Хамааралтай этгээдүүдийн жагсаалт

• Банкны хөгжлийн (төгс байдлын) түвшин

• Нээлттэй харилцаа, холбоо, багийн үйл ажиллагаа

• Банкны нийтлэг дүр төрх

• Аюулгүй байдлын баг, эрсдлийн удирдлагын багийн нэр хүнд, бүрэн эрх

27

Банкны эрсдлийн удирдлагын стратеги

• Хариу үйлдэл хийх

– МАБ-ын учрал, тохиолдол болмогц хариу үйлдэл хийх үйл явц

• Урьдчилан сэргийлэх

– Шинэ цоорхой, эмзэг байдлын эрсдлийг бууруулах үйл явц

ССС ХХК-ийн боловсруулсан эрсдлийн удирдлагын үйл явц

28

Хяналт хэрэгжүүлэх

3

Шийдвэр гаргах 2

Үр дүнг хэмжих, аудит хийлгэх

4 Эрсдлийн үнэлгээ 1

29

Банкны эрсдлийн удирдлага болон эрсдлийн үнэлгээ

Эрсдлийн удирдлага Эрсдлийн үнэлгээ

Зорилго

• Эрсдлийг зохих түвшинд

нь хүртэл бууруулах,

удирдах

• Эрсдлийг адилтган

тодруулах, эрэмбэлэх

Мөчлөг • Дөрвөн мөчлөгийн туршид

хэрэгжих хөтөлбөр

• Эрсдлийн удирдлагын

хөтөлбөрийн нэг мөчлөг

Хуваарь • Төлөвлөсөн ажиллагаа • Үргэлжилсэн үйл

ажиллагаа

Зохицуулалт • Төсвийн мөчлөгтэй

нийцүүлсэн • байхгүй

30

Эрсдлийн удирдлагын төгс байдлын өөрийн үнэлгээ

Түвшин Төлөв

0 Байхгүй

1 Замбараагүй

2 Дахин давтагддаг

3 Тодорхойлогдсон үйл явц

4 Удирдагддаг

5 Дээд түвшинд хүрсэн

31

Удирдлага “Юу чухал вэ?”

МТ-ийн баг “Шилдэг хяналтын шийдэл”

МАБ-ын баг “Эрсдлийг эрэмбэлэх”

Гүйцэтгэх үүрэг, хариуцлаг

МАБ-ын шийдлүүдийг ажиллуулах,

дэмжих

МАБ-ын шийдлүүдийг зохиомжлох, хэрэгжүүлэх

МАБ-ын шаардлагуудыг

тодруулах

МАБ-ын шийдлүүдийг

хэмжих

Эрсдлийн үнэлгээ

Хүлээн зөвшөөрөх эрсдлийг

тодорхойлох

Эрсдлийг үнэлэх

32

Хяналт хэрэгжүүлэх

3

Шийдвэр гаргах 2

Үр дүнг хэмжих, аудит хийлгэх

4 Эрсдлийн үнэлгээ 1

• Эрсдлийн өгөгдөл олж авах төлөвлөгөө

• Эрсдлийн өгөгдөл олж авах • Эрсдлийг үнэлэх, эрэмбэлэх

Эрсдлийн удирдлагын шийдвэр гаргах

33

Хяналт хэрэгжүүлэх

3

Шийдвэр гаргах

2

Үр дүнг хэмжих, аудит хийлгэх

4 Эрсдлийн үнэлгээ 1

1. Чиг үүргийн шаардлагуудыг тод-лох 2. Хяналтын шийдлийг тодруулах 3. Шаардлагын дагуу шийдлийг шалгах 4. Эрсдлийг бууруулах түвшинг үнэлэх 5. Шийдэл бүрийн өртгийг үнэлэх 6. Эрсдлийг бууруулах стратегийг сонгох

Эрсдлийн удирдлагын хяналтуудыг хэрэгжүүлэх

34

Хяналт хэрэгжүүлэх

3

Шийдвэр гаргах 2

Үр дүнг хэмжих, аудит хийлгэх

4 Эрсдлийн үнэлгээ 1

• Нэгдмэл хандлага эрж хайх

• Зохистой зөв хамгаалалт, хяналтууд хэрэгжүүлэх

Хөтөлбөрийн үр нөлөөг үнэлэх

35

Хяналт хэрэгжүүлэх

3

Шийдвэр гаргах 2

Үр дүнг хэмжих, аудит хийлгэх

4 Эрсдлийн үнэлгээ 1

• Үнэлгээний хүснэгт • Хяналтын үр нөлөөг

хэмжих • Аудит

Эрсдэлийн шинжилгээ

Эрсдэлийн шинжилгээ хийх үйл явц

дараах үе шатуудаас бүрдэнэ.

• Эд хөрөнгийг (мэдээлэл) адилтгах, тодорхойлох, үнэ цэнийг тогтоох

• Аюул заналхийллийг үнэлэх

• Эмзэг байдлыг үнэлэх

• Одоо байгаа болон төлөвлөж буй аюулгүй байдлын арга хэмжээг үнэлэх

• Эрсдэлийн үнэлгээ хийх

36

Эрсдлийн үнэлгээ

• Эрсдлийг тодруулах адилтгах

• Эрсдэлийн хэмжээ, түвшинг тогтоох

• Аюулгүй байдлын эрсдэлийг удирдах

• Хохирлыг тооцоолох, арилгах зардлыг тодруулах

• Сөрөг арга хэмжээнд зарцуулах зардлыг тооцоолох зорилготой.

Эрсдэлийн үнэлгээ гэдэг нь эрсдлийг удирдах

удирдлагын анхны, үндсэн үйл ажиллагаа

37

Эрсдлийг үнэлэх бүрдэл

• Аюулыг тодруулах

• Эмзэг байдлаа тодруулах

• Эд хөрөнгийн ангилал, үнэлгээ

• Шинээр үүсэж болох аюулын магадлалын тооцоолол хийх

• Эрсдлээ тодорхойлж, үнэлгээ хийх

• Учрах хохирол, түүнийг арилгах зардлын тооцоо

• Хэрэгжүүлэх арга хэмжээний зардлын тооцоо

38

Эрсдлийг үнэлэх хандлага

• Тоон үнэлгээний хандлага - quantitative risk assessment, – Эрсдэлийг үнэлэх зардал үр ашгийн тооцоог гаргаж

байхад цугларсан бүрэлдэхүүн бүрд тоон утгаар тооцоолол хийх

• Чанарын үнэлгээний хандлага - qualitative risk assessment – Эд хөрөнгө, удирдлагын зардлуудыг санхүүгийн үнэ

цэнээр тогтоохгүй зөвхөн бодит байдлын үнэ цэнэ, ажиллагааны чадамж алдагдах хэмжээгээр тооцоолох

39

Эрсдэлийн тоо хэмжээнээс

хамаарч үнэлэх буюу Quantitative

approach

Эрсдэлийг чанараас хамаарч

үнэлэх буюу Qualitative approach

Давуу

талууд

Эрсдэл болон эд хөрөнгийг

санхүүгийн үнэ цэнээр дараалан

тодорхойлж дараалдаг.

Аюулгүй байдлын хөрөнгө

оруулалтын үр дүнгээр эрсдэлийг

хялбархан үр ашигтайгаар

удирдана.

Байгууллагын мэдээллийг

бүрдүүлэх, туршлага хуримтлуулах,

эд хөрөнгийн тооллого, тооцоо

хийх, ангилахад тус дөхөмтэй.

Эрсдэлийн нөлөөлөл болон нөлөөлөх

боломжийг тодорхойлж харах

боломжтой

Зөвшилцөлд хүрэхэд хялбар

Аюул заналын учрах давтамжийг

тоолж тодорхойлох шаардлагагүй

Эд хөрөнгийн мөнгөн дүнг

тодорхойлох шаардлагагүй

Мэргэжлийн бус хүмүүс ашиглахад

хялбар

Эрсдэлийг үнэлэх хандлагуудын давуу ба сул тал

40

Эрсдэлийг үнэлэх хандлагуудын давуу ба сул тал

Сул

талууд

Эрсдэлийг тогтоосон нөлөөллийн

үнэ цэнүүд нь оролцогчдын бодит

саналуудад суурилсан байдаг.

Бодитой үр дүн болон зөвшилцөлд

хүрэх үйл ажиллагаа нь маш их цаг

зарцуулдаг.

Тооцоололууд нь ярвигтай болон урт

хугацаа зарцуулдаг.

Үр дүн нь мөнгөн илэрхийлэлтэй,

үүнийг мэдлэггүй хүмүүст

тайлбарлахад хүндрэлтэй.

Үйл ажиллагаанд нь тусгай мэдлэг,

туршлага шаардлагатай ба

оролцогчид нь дасан суралцахад

хялбар биш

Хамгийн их асуудал татсан

эрсдэлүүдийн хоорондох

ялгаа хангалттай биш

Зардал үр ашгийн

шинжилгээнд суурилаагүй

учраас удирдлагын зүгээс

хөрөнгө оруулалт батлахад

хүндрэлтэй байдаг

Үр дүн нь эрсдэлийг удирдах

багийнханд хамааралтай

байдаг

41

42

Эрсдлийн үнэлгээний аргууд Давуу тал Сул тал

Тоон

• Эрсдлийг санхүүгийн

нөлөөллөөр нь зэрэглэнэ;

Хөрөнгийг үнээр нь

зэрэглэнэ

• Аюулгүй байдлын хөрөнгө

оруулалтын үр нөлөөгөөр

эрсдлийг удирдахад хялбар

• Удирдлагад ойлгомжтой

хэллэгээр үр дүн гарна

• Эрсдлийн хор уршгийн

үнэлгээ нь оролцогчдын

хийсвэр үнэлгээнд суурилна

• Цаг их зарцуулна

• Маш их зардалтай байж

болно

Чанарын

• Эрсдлийг илрүүлж харах,

ойлгох, зэрэглэх боломж

илүү

• Ойлголцолд хялбар хүрнэ

• Аюулын давтамжийг байнга

тоолох шаардлагагүй

• Эд хөрөнгө бүрийн үнэ

цэнийг тодорхойлох

шаардлагагүй, олон илүү

ажиллагаанаас чөлөөтэй

• Ноцтой эрсдлүүдийг

хооронд нь нарийн

салгахгүй

• Зардал-ашгийн тооцоо

хийхэд хүндрэлтэй

• Үр дүн нь эрсдлийн

удирдлагын багийн мэдлэг,

чадвар, мэргэшлээс их

хамааралтай

Эрсдэлийг үнэлэх шаардлага • Халдлага, довтолгоон ихсэж байгаа • Түүний хохирол, хор уршгийг арилгах зардал ихсэж байгаа. • Техник болон програм хангамжын зардлууд өсөж байна. • Үйл ажиллагааны тасралтгүй шинж чанарыг

алдагдуулахгүй ажиллах • Хэрэглэгчдийн итгэл найдварыг алдахгүй ажиллах • Орлого зардлын харьцааг алдагдуулахгүй байх • Гэнэтийн аюул занал, осол гэмтэлд өртөхгүй, байнга

хамгаалагдсан байдлыг бий болгох • Удирдлагын шийдвэр гаргах ажиллагаанд саад

учруулахгүй байх • Ажилчид болон хамтран ажиллагчид, гуравдагч талуудтай

найдвартай харилцаа тогтооход саад бэрхшээлгүй байх • Үүний тулд хяналт, эрсдэл бууруулах төрөл бүрийн арга

хэмжээ авч хэрэгжүүлэх 43

Эрсдлийг үнэлэхийн ач холбогдол

• Эрсдлийн түвшинг бууруулна • эд хөрөнгийг гадаад болон дотоод халдлагаас хамгаалж

чадна • Үйл ажиллгааны тасралтгүй байдлыг хадгалж чадна. • Байгууллагууд хэрэглэгчдийн итгэл найдварыг хүлээнэ. • Техник технологийн саатлаас урьдчилан сэргийлнэ. • Банк дампуурлаас урьдчилан сэргийлнэ. • Үйл ажиллагаа явуулах түвшингээ тогтооно. • Ажилчдын ажлын гүйцэтгэлийг хянах бас нэг шалгуур

болно. • Гэнэтийн ослын зардлыг багасгаж чадна. • Бизнесийн түншүүд болон харилцагчдын харилцааг

улам уян хатан болгож харилцаагаа өргөжүүлэх боломжтой болно

44

Эрсдлийг үнэлэх үе шат

• Эд хөрөнгө, Системийн тодорхойлолт

• Аюул заналын тодорхойлолт

• Эмзэг байдлын тодорхойлолт

• Удирдлагын шинжилгээ буюу эрсдэлийг удирдах удирдлагыг тодорхойлох

• Магадлал буюу тохиолдож болох эрсдэлийг тодорхойлох

• Үр дагаварын анализ хийх

• Эрсдэлийн тодорхойлолт

• Удирдлагын зөвлөгөө буюу эрсдэлээс урьдчилан сэргийлэх арга хэмжээг боловруулах, эрсдэлийг бууруулах төлөвлөгөөг гаргах

45

Орц Эрсдэлийг үнэлэх үйл

ажиллагаанууд Гарц

-Хэрэгжүүлж буй удирдлага

-Төлөвлөсөн удирдлага

-Техник хангамж

-Програм хангамж

-Системийн интерфэйс

-Өгөгдөл ба мэдээлэл

-Хүмүүс

-Системийн зорилго

Алхам-1. Банкны

системийн тодорхойлолт

-Системийн хил хязгаар

-Системийн функцууд

-Систем ба өгөгдлийн шүүмлэл

-Систем болон өгөгдлийн мэдрэмж

-Системийн халдлагуудын түүх

-Агентуудын өгөгдөл

-Эхний эрсдэлийн үнэлгээний тайлан

Алхам-2. Аюул

заналыг тодорхойлох

-Аюул заналын тодорхойлолт

-Аюулгүй байдлын шаардлагууд

-Аюулгүй байдлын туршилтын үр дүн

Алхам-3. Эмзэг

байдлыг тодорхойлох

-Боломжит бүх эмзэг байдлыг

тодорхойлсон байх

Алхам-4. Удирдлагын

шинжилгээ

-Ашиглаж буй болон төлөвлөсөн

эрсдэлийг удирдах удирдлагыг

тодорхойлсон байх

Алхам-7. Эрсдэлийг

тодорхойлох

Алхам-9. Үр

дүнгийн баримтжуулалт

Алхам-8. Удирдлагын

зөвлөгөө

Алхам-6. Үр

дагаврын шинжилгээ

Алхам-5. Магадлалыг

тооцоолох

-Аюул заналын хор хөнөөлүүд

-Эмзэг байдлын байдал

-Одоогийн ашиглаж буй удирдлага

-Магадлалын түвшинг тодорхойлсон байх

-Аюулгүй байдлын шаардлагууд

-Аюулгүй байдлын туршилтын үр дүн -Үр дагаврын түвшинг тодорхойлсон байх

-Эрсдэлүүдийг тодорхойлж түвшинг

тогтоосон байх

-Баримтлах удирдламжууд

-Эрсдэлийг үнэлсэн тайлан бичиг

46

Системийг тодорхойлох • Эрсдэл байгаа эсэхийг тодорхойлох

• Эрсдэл хүлээн авах шалгуураа тогтоох

• Системийн хил хязгаарыг тогтоон системд хамааралтай, эрсдлийг үнэлэн тооцоолоход шаардагдах бүх мэдээ мэдээллийг цуглуулна. – санал асуулга,

– анкет,

– ярилцлага,

– баримт бичгүүдийн судалгаа,

– тоног төхөөрөмжийг ашиглаж байгаа байдлыг ажиглах болон

– хэрхэн ажиллаж буйг ажиглах аргууд ашиглана.

• Эрсдэлийг үнэлэх ажиллагааны үндсэн суурь болно

47

Аюул заналыг тодруулах

• Технологийн сул талыг тодруулах

• Хамгаалах шаардлагатай эд хөрөнгө,

мэдээллийг тодруулан гаргах

• Аюулуудыг тодруулна

• Системийн ямар хэсэгт заналхийлж байгаа

• Ямар хор уршигтай байж болох

• Хор уршгийг арилгахад ямар зардал гарах

48

Эмзэг байдлыг тодруулах

• Аюул заналд өртөн үйл ажиллагаанд саад хохирол учруулж болох бүх суваг, замуудыг тодорхойлох

• Төрөл бүрийн сувгуудыг нэг бүрчлэн шинжилнэ.

• Аюул, эмзэг байдлын хоорондын хамаарлыг тооцон гаргана.

49

Эмзэг байдал Аюул занал Хор хөнөөлт үйлдлүүд

Ажлаасаа халагдсан болон

нэвтрэх ёсгүй ажилчдын ID

хаягийг системээс устгаагүй

байх

Ажлаасаа халагдсан болон

нэвтрэх ёсгүй ажилчид

Компаний сүлжээнд

нэвтэрч компаний мэдээ

мэдээлэлд хандах

боломжтой болно

Худалдаалагчид системийн

аюулгүй байдлын загварчлалд

эмзэг байдал, хор хөнөөлийг

тодорхойлсон байдаг хэдий ч

шинэ системд ямар нэг

цоорхой байсаар л байх.

Нэвтрэх эрхгүй

хэрэглэгчид буюу

хакерууд, сэтгэл дундуур

хар санаатай ажилчид,

компьютерын гэмт хэрэг

үйлдэгчид, террористууд

Эмзэг байдалд орсон

системийн нууц

файлуудад нэвтрэх

боломжийг олж авна.

гал унтраахаар ус шүршигчээр

шүршихэд техник хангамж

болон тоног төхөөрөмжүүд

хамгаалалтгүй байх

Гал, хайхрамжгүй хүмүүс

Ус шүршигч нь

өгөгдлийн төвд байнга

нээлттэй байдаг.

Эмзэг байдал болон аюул заналын хослол

50

Удирдлагын шинжилгээ

• Эрсдлийг бууруулахын тулд хэрэгжүүлсэн болон хэрэгжүүлэхээр төлөвлөгдсөн удирдлагын ажиллагааг хянан шалгах, шинжилгээ хийх

• Техникийн болон техникийн бус аргаар удирдлага хэрэгжүүлж болно.

• Тулгарсан болон ирээдүйд бий болох эмзэг байдлуудын магадлалыг бууруулахад чиглэгдэнэ

51

Магадлалыг тооцоолох

• Ирээдүйд учирч болох эрсдлүүдийг тоолон гаргаж тодорхойлно

• Хор хөнөөлийн үүсэл гарал

• Нөлөөллийн байдал,

• Эмзэг байдлын мөн чанар,

• Удирдлагын одоогийн арга хэмжээний нөлөөллийн үр дагавар

• Эрсдлийг хэр удаан удирдаж чадах

• Одоо тулгарсан болон ирээдүйд тулгарах эрсдэлүүдийн хэмжээг тогтоох

• Үр нөлөөтэй сөрөг арга хэмжээ авах 52

Магадлалын

түвшин Магадлалын тодорхойлолт

Өндөр

Маш их хор хөнөөл учруулж чадах, яаралтай хамгаалах

стратеги болон төлөвлөгөө боловсруулах, нэн даруй

арга хэмжээг авч хэрэгжүүлэхийг шаардаж буй нөхцөл

байдал

Дундаж

Хор хөнөөл учруулж чадах хэдий ч нөлөөлөл нь хүчтэй

биш гэхдээ өсөн нэмэгдэх боломжтой, хамгаалалт

хийхийг шаардаж буй нөхцөл байдал

Нам

Хор хөнөөлд өртөх боломжтой, цаашлаад хор хөнөөл

учруулж чадах, хамгаалалтын арга хэмжээ авах

шаардлагатай эмзэг байдлыг илэрхийлж буй нөхцөл

байдал.

Магадлалын тодорхойлолт

53

Үр дагаварын шинжилгээ хийх

• Эрсдэлээс үүссэн хор хөнөөлийн үр дагаварыг шинжлэх зорилготой

• Системийг дахин нягтална.

• Системийн зорилго үр дагаврын шинжилгээний тайлан болон эд хөрөнгийн үнэ цэнийг үнэлэн тайлагнасан тайланд үндэслэнэ.

• Эрсдэлийг тоо хэмжээгээр үнэлэх үү? чанараар нь үнэлэх үү? гэдгийг шийдвэрлэнэ.

• Эрсдэлээс үүсэх үр дагаврын хэмжээг төсөөлнө

54

Эрсдлийн тодорхойлолт • Мэдээллийн аюулгүй байдлын эрсдэлийн

түвшинг тооцоолох зорилготой.

• Эрсдлийг хэмжих, эрсдлийн цар хүрээ, болон эрсдлийн түвшингүүдийн матриц тодорхойлогдоно.

• Эрсдлийн түвшингүүдийг тодорхойлж, ямар арга хэмжээг хаана ямар түвшинд боловсруулж хэрэгжүүлэх, дараагийн алхамд ямар мэдээлэл шаардлагатайг тодорхойлно.

55

Аюул заналын

магадлал

Нөлөөлөл үр дагавар

Нам (10) Дундаж (50) Өндөр (100)

Өндөр (1.0) Нам 10х1.0=10 Дундаж 50х1.0=50 Өндөр 100х1.0=100

Дундаж (0.5) Нам 10х0.5=5 Дундаж 50х0.5=25 Дундаж 100х0.5=50

Нам (0.1) Нам 10х0.1=1 Нам 50х0.1=5 Нам 100х0.1=10

Эрсдэлийн түвшингүүдийн матриц

56

Удирдлагын зөвлөгөө буюу эрсдэлээс урьдчилан сэргийлэх арга хэмжээг боловруулах, эрсдэлийг бууруулах төлөвлөгөө

гаргах

• Эрсдэлийг хязгаарлах болон түүнийг бууруулах, удирдах арга зүйг тодорхойлно.

• Эрсдэлийг үнэлэх үйл ажиллагааны үр дагавар ба эрсдэлийг бууруулах үйл ажиллагааны чиглэл

• Эрсдэлийг бууруулах ямар арга хэмжээг ямар түвшинд хаана хэрхэн хэрэгжүүлэхийг тодорхойлно.

57

Үр дүнгийн баримтжуулалт

• Бүх үйл ажиллагааг баримтжуулж тайлагнана.

• Эрсдэлийг үнэлсэн баримт бичгүүд нь ерөнхий удирдлага ба байгууллагын зорилго, шийдвэр гаргалт, үйл ажиллагаа, системийн үйл ажиллагаа болон удирдлагын өөрчлөлт зэрэгт туслах чухал баримт болж үлдэнэ

58

Risk Аssessment Мatrix арга

• Ашиглахад ойлгомжтой хялбар

• Эрсдэлийг тооцоолж үнэлэхэд тусгай мэргэжил мэдлэг шаардахгүй

• Эрсдэлийн нөлөөллийн магадлалыг тодорхойлдог

• Эрсдэлээс үүсэн гарч буй үр дагавар бүрийг нарийн тодорхойлдог

• Эрсдэлийн түвшингүүдийг нарийн тодорхойлдог

• Эрсдэлийн матриц дээрх эрсдэлүүдийг бууруулахад ямар ажлыг гүйцэтгэж болохыг тодорхойлоход туслана

59

Risk Аssessment Мatrix аргын үе шат

• Бизнесийн үйл ажиллагаа болон үйл явцыг тодорхойлох • Үйл ажиллагаа болон үйл явцуудын хамгийн чухал

хэсгүүдийг жагсаах • Чухал үйл ажиллагаа болон үйл явцуудын сул талыг

арилгахад чиглэх • Бизнесийн чухал үйл ажиллагаа болон үйл явц бүрд

нөлөөлөх аюул заналыг тодорхойлох • Бизнесийн чухал үйл ажиллагаа болон үйл явц бүрийн

эмзэг байдлыг тодорхойлох • Хор хохирол учирах боломжтой болон учирсан байгаа

бол түүнийг багасгах арилгах арга хэмжээ төлөвлөгөөг боловруулах баталгаа гаргах

60

Түвшин Магадлал Таамаглал ба бодит давтамж

1 Их биш Гэнэтийн тохиолдолд бий болох, энгийн үйл ажиллагаа,

байнга тохиолдоггүй

2 Магадлал бага Хааяа хааяа тохиолддог ба тохиолдох боломж нь 25%-аас

бага. Шалгах болон тэнцвэржүүлэх цогц үйл ажиллагаагүй

3 Боломжтой

Заримдаа тохиолддог ч 25-50% нь тохиолдох боломжтой.

Тохиодлуудын тайлан мэдээ гаргах шаардлагатай, шалгах

болон тэнцвэржүүлэх цогц үйл ажиллагаатай. Байгууллагын

удирдлагад нөлөөлдөг.

4 Магадлалтай

50-75% тохиолдох боломжтой. Зарим нэг шалгалт болон

тэнцвэржүүлэх цогц үйл ажиллагаа хэрэгтэй. Байгууллагын

удирдлагад нөлөөлдөг.

5 Бараг тодорхой

Ихэнх тохиолдолд тохиолддог. Тохиолдох боломж нь 75-аас

дээш хувьтай. Хамгийн бага шалгах болон тэнцвэрттэй цогц

үйл ажиллагаатай, байгууллагын удирдлагуудад нөлөөлөх

Магадлалын түвшингүүд

61

Түвшин Нөлөөлөл

Маш бага

Үйл ажиллагаанд аюулгүй, нөлөөлөл маш бага учраас

хамгаалалтын эрчимтэй түргэн хугацааны хамгаалалт

шаардлагагүй.

Бага Үйл ажиллагаанд онцын аюулгүй ч анхааралдаа авч үзүүлэн үйл

ажиллагаагаа явуулах хэрэгтэй. Цаашид нэмэгдэх боломжтой.

Дунд зэрэг

Нөлөөлөл нь нэмэгдэж байгаа, анхааралын төвд орж бууруулах

арга хэмжээг авч эхэлсэн болон төлөвлөсөн. Үйл ажиллгаанд

нөлөөлөлтэй.

Хүчтэй Үйл ажиллагаанд нөлөөлөл ихтэй, бууруулах арга хэмжээг авч

эхэлсэн. Анхаарлын төвд аль хэдий орж ирсэн

Аюул

осолтой

Үйл ажиллагаанд маш хүчтэй нөлөөлж түүнийг тасалдуулж

түүнчлэн зогсооход хүргэж чадах

Нөлөөллийн түвшингүүд

62

Нөлөөллийн үр дагавар

Магадлал Маш бага Бага Дунд

зэрэг Хүчтэй

Аюул

осолтой

Их биш бага Бага Бага Бага Бага

Магадлал бага Бага Бага Бага Дунд Дунд

Боломжтой Бага Бага Дунд Дунд Дунд

Магадлалтай Бага Дунд Дунд Их Их

Бараг тодорхой Их Их Их Их их

Risk Аssessment Мatrix- ЭҮ матриц

63

CORAS арга

• CORAS аргаар эрсдлийг үнэлэх үе шат

64

OCTAVE арга

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) Карнеги Мелон Их сургуулийн боловсруулсан арга.

Ажлын хэсгүүдийн дарааллын

үргэлжлэл

Бэлтгэл

боловсруулалт

1-р үе: аюул заналд өртөж

болох эд хөрөнгийг

тодорхойлох

3-р үе: аюулгүй

байдлын стратеги

болон төлөвлөгөөг

сайжруулах

•Эд хөрөнгүүд

•Аюул заналууд

•Одоогын практикууд

•Байгууллагын эмзэг байдлууд

•Аюулгүй байдлын шаардлагууд

•Эрсдэлүүд

•Хамгаалалтын стратегиуд

•Бууруулах төлөвлөгөөнүүд 2-р үе: Дэд бүтцийн эмзэг

байдлыг тодорхойлох

•Гол бүрэлдэхүүнүүд

•Технологийн эмзэг байдлууд

65

OCTAVE Allegro

OCTAVE Allegro эрсдэлийг үнэлэх үе шат

4-р үе шат: Эрсдлээ

тодорхойлж бууруулах 1-р үе шат:

Удирдлагуудыг

бий болгох

Алхам-1

Эрсдэлийг үнэлэх

шалгуурыг бий

болгох

2-р үе шат: Эд

хөрөнгийн

баримтжуулалт

Алхам-2

Мэдээллийн үнэ

цэнийг

тодорхойлох

3-р үе шат: Аюул

заналаа тодорхойлох

Алхам-4 Хамгаалалт

шаардлагатай талбарыг

тодорхойлох

Алхам-3 Мэдээллийн эд

хөрөнгө агуулагчыг

тодорхойлох

Алхам-5 Аюул

заналыг тодорхойлох

Алхам-7 Эрсдлээ

үнэлэх

Алхам-8 Эрсдлээ

бууруулах аргаа сонгох

Алхам-6

Эрсдэлүүдээ

тодорхойолх

66

Бусад аргууд

• CRAMM (CCTA Risk analysis and Management Method)

• FRAP ( Facilitated Risk Assessment Process)

• MICROSOFT’s SECURITY RISK MANAGEMENT

• BRITISH STANDARD

• COBRA арга

• AS/NZS4360 standard

67

Сөрөг арга хэмжээ

Дараах үндсэн сөрөг арга хэмжээнүүд: Галт хана (сүлжээ хоорондын дэлгэц);

Вирусын эсрэг ПХ;

Хандалтын хяналт;

Хоёр бүрдэлтэй таньж зөвшөөрөх систем;

Бейж (адилтгах карт);

Биометр аргууд;

Ухаалаг (смарт) карт унших систем;

Харуул;

Файлд хандах хандалтын хяналт;

Шифрлэлт;

Ухамсартай, сайн сургаж бэлтгэсэн ажилтнууд;

Нэвтрэлтийг илрүүлэх систем;

ПХ-ыг автоматаар шинэчлэх, сайжруулах, ПХ-ыг удирдах бодлого г.м.

68