Монгол Улсын дижитал шилжилт эрчимжихийн хэрээр төрийн болон хувийн хэвшлийн байгууллагуудын мэдээллийн аюулгүй байдлыг хангах асуудал нь зөвхөн технологийн функц байхаа больж, хууль эрх зүй, засаглал, үндэсний аюулгүй байдлын түвшний суурь асуудал болон хувирлаа.
2021 онд батлагдсан Кибер аюулгүй байдлын тухай хууль, Хүний хувийн мэдээлэл хамгаалах тухай хууль, болон Нийтийн мэдээллийн ил тод байдлын тухай хууль зэрэг эрх зүйн багц шинэчлэл нь байгууллагуудад тавигдах шаардлагыг үндсээр нь өөрчилсөн.
Энэхүү тайлан нь “Инфосек Интелиженс” ХХК-ийн (Infosec Intelligence LLC) аудитын чадамж, туршлагад тулгуурлан, Онц чухал мэдээллийн дэд бүтэцтэй (ОЧМДБ) байгууллага, банк санхүүгийн салбар, болон төрийн байгууллагууд хэрхэн хуулийн хатуу шаардлагуудыг олон улсын хүлээн зөвшөөрөгдсөн COBIT, NIST, CIS18, PCI DSS стандартуудтай уялдуулан биелүүлэх стратегийг нарийвчлан шинжилсэн болно.
Тайланд 2025 оны 8-р сарын 1-ний өдөр гэхэд ОЧМДБ-д хамаарах байгууллагууд заавал хийлгэх аудитын эцсийн хугацаа, хууль зөрчсөн тохиолдолд хүлээх хариуцлага, мөн аудитын үр дүнг монгол хэл дээр боловсруулахын ач холбогдлыг онцгойлон авч үзлээ.
Монгол Улсын Улсын Их Хурлаас баталсан цахим хөгжлийн багц хуулиуд нь кибер орон зай дахь харилцааг зохицуулах, хүний эрхийг хамгаалах, үндэсний аюулгүй байдлыг бэхжүүлэхэд чиглэсэн цогц тогтолцоог бүрдүүлсэн юм. Энэ бүлэгт эдгээр хуулиудын харилцан хамаарал, байгууллагуудад үзүүлэх нөлөөллийг гүнзгийрүүлэн судална.
Кибер аюулгүй байдлын тухай хууль нь Монгол Улсын кибер орон зайн аюулгүй байдлыг хангах суурь баримт бичиг бөгөөд “Онц чухал мэдээллийн дэд бүтэц” (Critical Information Infrastructure – CII) гэсэн ойлголтыг хуульчилж өгснөөрөө онцлог юм.
ОЧМДБ-ийн хамрах хүрээ ба шалгуур: Хуулийн дагуу үйл ажиллагаа нь тасалдвал үндэсний аюулгүй байдал, нийгэм, эдийн засагт ноцтой хохирол учруулах мэдээллийн системүүдийг ОЧМДБ-д тооцдог. Үүнд эрчим хүч, харилцаа холбоо, эрүүл мэнд, тээвэр, банк санхүүгийн салбарууд багтдаг. Банк, санхүүгийн байгууллагуудын хувьд ихэнх томоохон банкууд болон төлбөр тооцооны системүүд энэ ангилалд багтаж байгаа нь тэдгээрийн үүрэг хариуцлагыг эрс нэмэгдүүлж байна.
| Шаардлагын төрөл | Хуулийн заалт | Тайлбар ба Үр дагавар |
|---|---|---|
| Эрсдэлийн үнэлгээ | Жил бүр | Мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг жилд дор хаяж нэг удаа хийлгэх үүрэгтэй. |
| Хөндлөнгийн аудит | 2 жил тутам | Мэдээллийн аюулгүй байдлын аудитыг эрх бүхий байгууллагаар 2 жил тутам хийлгэх. |
| Хариу арга хэмжээ | Шуурхай | Кибер халдлага, зөрчлийг илрүүлсэн даруйд Үндэсний төвд мэдэгдэх, хариу арга хэмжээ авах. |
| Хүний нөөц | Мэргэшсэн | Мэдээллийн аюулгүй байдал хариуцсан нэгж, албан тушаалтантай байх. |
2025 оны 8-р сарын “Dead-line” буюу Заавал биелүүлэх хугацаа: Судалгааны хүрээнд цуглуулсан мэдээлэл болон Инфосек Интелиженс ХХК-ийн бэлтгэсэн зурагт дүрслэлээс харахад, ОЧМДБ-д хамаарах бүх байгууллага кибер аюулгүй байдлын анхны “заавал хийх” аудитыг 2025 оны 8-р сараас өмнө дуусгасан байх үүрэгтэй. Энэхүү хугацаа нь хууль хэрэгжиж эхэлснээс хойших шилжилтийн үе дуусгавар болж, бодит хяналт шалгалтын үе эхэлж буйг илтгэнэ.
Энэхүү хууль нь мэдээллийн эзний зөвшөөрөлгүйгээр мэдээлэл цуглуулах, боловсруулах, ашиглахыг хязгаарлаж, “Мэдээлэл хариуцагч” (Data Controller) болон “Мэдээлэл боловсруулагч” (Data Processor)-ийн үүргийг тодорхойлсон.
Эмзэг мэдээлэл ба Биометрик өгөгдөл: Банк, санхүүгийн байгууллагууд нь харилцагчийн овог нэр, регистрийн дугаараас гадна санхүүгийн гүйлгээний түүх, зээлийн мэдээлэл, цаашлаад царай таних систем (Face ID) зэрэг биометрик өгөгдлийг ихээр ашигладаг. Хуулиар биометрик өгөгдөл нь “хүний эмзэг мэдээлэл”-д хамаарах тул түүнийг хамгаалах аюулгүй байдлын шаардлага энгийн мэдээллээс хамаагүй өндөр байна.
Төрийн байгууллагуудын хувьд мэдээллийг нээлттэй байлгах үүрэг хүлээхийн зэрэгцээ, иргэдийн хувийн мэдээлэл болон төрийн нууцад хамаарах мэдээллийн бүрэн бүтэн байдлыг хангах давхар үүрэгтэй.
Монгол Улсын хууль тогтоомжууд нь “юу хийх”-ийг заадаг бол, олон улсын стандартууд нь “хэрхэн хийх”-ийг заадаг. “Инфосек Интелиженс” ХХК нь дараах 4 гол стандартын дагуу аудит хийх чадамжтай бөгөөд эдгээр нь Монголын хууль эрх зүйн шаардлагыг биелүүлэхэд хэрхэн тусалдгийг дор дэлгэрэнгүй тайлбарлая.
Center for Internet Security (CIS)-ээс гаргасан 18 хяналт нь байгууллагын кибер аюулгүй байдлын төлөвшлийг хангах хамгийн үр дүнтэй, эрэмбэлэгдсэн аргачлал юм.
NIST нь АНУ-ын засгийн газрын стандарт боловч дэлхий даяар ОЧМДБ болон төрийн байгууллагуудын жишиг болсон.
Банк, санхүүгийн байгууллагуудын хувьд зөвхөн аюулгүй байдал бус, IT-ийн хөрөнгө оруулалтын өгөөж, бизнесийн зорилготой уялдах байдал чухал байдаг.
Төлбөрийн картын мэдээлэл хадгалдаг, дамжуулдаг, боловсруулдаг бүх байгууллагад (Банк, Финтек, Мерчант) заавал мөрдөгдөх стандарт. Монголын банкууд олон улсын төлбөр тооцооны системд холбогдохын тулд энэ стандартыг хангасан байх ёстой.
“Инфосек Интелиженс” ХХК нь олон улсын стандартуудыг Монголын хөрсөнд буулган нутагшуулж буй анхдагч байгууллагуудын нэг юм.
Байгууллагуудад тулгардаг гол бэрхшээл нь олон төрлийн хууль, журам, стандартын дагуу дахин дахин аудит хийлгэх явдал юм. Инфосек Интелиженс нь нэгдсэн аудитын аргачлалаар үүнийг шийдвэрлэдэг.
| Олон Улсын Стандарт | Монгол Улсын Хуулийн Заалт | Шийдэл |
|---|---|---|
| CIS Control 3 | Хүний хувийн мэдээлэл хамгаалах хууль | Өгөгдлийн ангилал хийх, DLP шийдэл нэвтрүүлэх зөвлөмж. |
| NIST SP 800-53 | Кибер аюулгүй байдлын тухай хууль | Эрсдэлийн нарийвчилсан үнэлгээг NIST RMF аргачлалаар хийх. |
| PCI DSS Req 10 | Халдлагыг илрүүлэх, мөрдөх | SIEM системийн тохиргоог хянах, лог бүртгэлийг шалгах. |
| COBIT EDM | Компанийн засаглалын дүрэм | IT засаглалын тайланг ТУЗ-д ойлгомжтой хэлбэрээр бэлтгэх. |
Олон улсын аудитын фирмүүд ихэвчлэн англи хэл дээр тайлан гаргадаг нь Монголын төрийн байгууллагууд болон хуулийн этгээдүүдэд хүндрэл учруулдаг. Инфосек Интелиженс ХХК нь техникийн нэр томьёог Монгол Улсын стандартад нийцүүлэн зөв хэрэглэдэг.
Монгол Улсын кибер аюулгүй байдлын шинэчилсэн хууль эрх зүйн орчин нь байгууллагуудаас өндөр хариуцлага, мэргэжлийн хандлагыг шаардаж байна. 2025 оны 8-р сарын аудитын эцсийн хугацаа нь ОЧМДБ болон санхүүгийн байгууллагуудын хувьд чухал сорилт боловч, нөгөө талаас кибер дархлаагаа бэхжүүлэх боломж юм.
“Инфосек Интелиженс” ХХК нь COBIT, NIST, CIS18, PCI DSS зэрэг дэлхийн шилдэг туршлагуудыг Монголын хууль тогтоомжтой уялдуулан, үр дүнг төрөлх хэл дээр боловсруулж өгдгөөрөө зах зээлд өвөрмөц үнэ цэнийг санал болгож байна. Хуулийн нийцлийг хангах нь зөвхөн торгуулиас зайлсхийх арга бус, харин дижитал эрин үед байгууллагынхаа тогтвортой хөгжил, нэр хүндийг хамгаалах стратегийн цорын ганц зөв зам мөн болохыг энэхүү тайлан дүгнэж байна.