Нэг. Нийтлэг үндэслэл

            1.1       “Монгол газрын тос боловсруулах үйлдвэр” ТӨХХК-д мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог бий болгох, мэдээ, мэдээлэл, сүлжээ, системийн тасралтгүй, найдвартай ажиллагаа, мэдээллийн сангийн нууцлал, аюулгүй байдлыг хангах, гаднаас болон дотоодоос учирч болох халдлага, аюул заналаас урьдчилан сэргийлэх, хор хохирол, эрсдэл учирсан тохиолдолд нэн даруй шаардлагатай арга хэмжээг авахтай холбогдсон харилцааг энэхүү журмаар зохицуулна.

            1.2       Энэхүү журмын зорилго нь мэдээллийн аюулгүй байдлыг хангах, эрсдэлээс урьдчилан сэргийлэхэд оршино.

            1.3       “Монгол газрын тос боловсруулах үйлдвэр” ТӨХХК-д ажиллаж байгаа бүх ажилтан, албан хаагч, гэрээт ажилтан энэхүү журмыг үйл ажиллагаандаа мөрдөж ажиллана.

            1.4       Энэхүү журамд хэрэглэсэн дараах нэр томьёог дор дурдсан утгаар ойлгоно.

            1.4.1    “Байгууллагын мэдээлэл” гэж ямар хэлбэрээр оршин байгаагаас үл хамааран уншиж ойлгож болох бүх төрлийн баримт бичиг, өгөгдлийг хэлнэ.

1.4.2    “Мэдээлэл эзэмшигч” гэж албан ажлаа гүйцэтгэх явцдаа аливаа мэдээллийг олж мэдсэн, танилцсан, цуглуулсан, тухайн мэдээллийг эзэмшиж байгаа ажилтныг хэлнэ.

            1.4.3    “Хэрэглэгч” гэж байгууллагын мэдээлэл, мэдээллийн системд хандах эрх бүхий ажилтан, албан хаагчдыг хэлнэ.

            1.4.4    “Зохицуулагч” гэж байгууллагын мэдээллийн технологи хариуцсан эрх, үүрэг бүхий мэргэжилтэн, админыг хэлнэ.

            1.4.5    “Мэдээллийн аюулгүй байдал” гэж мэдээллийн нууцлал, бүрэн бүтэн, хүртээмжтэй байдлыг хадгалах болон хангах зорилгоор мэдээллийн бодит байдал, эх хувь, хариуцлагатай, тасралтгүй, найдвартай байдал зэрэг бусад шинжүүдийг хангахыг хэлнэ.

            1.4.6    “Мэдээллийн аюулгүй байдлын тогтолцоо” гэж мэдээллийн аюулгүй байдлыг хангах, хэрэгжүүлэх, хянах, сайжруулахын тулд систем, программ хангамж, тоног төхөөрөмж, тэдгээртэй ажиллах дүрэм, журам, ажилтнуудын харилцан үйл ажиллагааны үр дүнд бий болсон цогцыг хэлнэ.

            1.4.7    “Мэдээллийн аюулгүй байдлын учрал” гэж мэдээллийн аюулгүй байдлын бодлого, аюулгүй байдал зөрчигдсөн гэдгийг илэрхийлж буй систем, үйлчилгээ, сүлжээний байдлыг бий болгосон тохиолдол, будлиан эсхүл аюулгүй байдалтай холбоотой, өмнө нь тохиолдож байгаагүй нөхцөл байдлыг хэлнэ.

1.4.8    “Аюул занал” гэж байгууллагын үйл ажиллагааг алдагдуулах, мэдээллийн аюулгүй байдалд заналхийлэх бодит боломжтой, гэнэтийн эсвэл дэс дараалсан учралуудыг хэлнэ.

1.4.9    “Эрсдэлийн үнэлгээ” гэж эрсдэлийн ач холбогдлыг тодорхойлохын тулд байж болох эрсдэлийг өгөгдсөн шалгууруудтай харьцуулах үйл явцыг хэлнэ.

                          Хоёр. Байгууллагын мэдээллийн аюулгүй байдлын  

 тогтолцоонд хамаарах мэдээлэл

            2.1       Байгууллагын мэдээллийг биет болон биет бус гэж хоёр ангилна.

            2.2       Биет мэдээлэл гэдэгт дараах төрлийн мэдээллийг хамааруулж ойлгоно:

            2.2.1    Эрх зүйн баримт бичиг, үндсэн болон нэмэлт үйл ажиллагааны хүрээнд боловсруулсан болон цуглуулсан мэдээлэл, тайлан, төлөвлөгөө, төсөл хөтөлбөр, бүртгэлийн мэдээлэл, сургалтын материал, тараах хуудас, гарын авлага зэрэг бүх төрлийн цаасан суурьт мэдээллүүд;

            2.2.2    Биет байдлаар оршин буй бусад төрлийн мэдээллүүд.

            2.3       Биет бус мэдээлэл гэдэгт дараах төрлийн мэдээллийг хамааруулж ойлгоно:

            2.3.1    Биет мэдээллийн цахим хэлбэр, өгөгдлийн сан, файлын сан, цахим шуудан, дүрс бичлэг, дуу бичлэг зэрэг мэдээллүүд;

            2.3.2    Бусад төрлийн цахим мэдээллүүд.

            2.4       Байгууллагын мэдээллийн аюулгүй байдлын тогтолцоонд хамаарах эд хөрөнгө гэдэгт дараах эд хөрөнгийг хамааруулж ойлгоно:

            2.4.1    Хэрэглээний болон тусгай зориулалтын програм хангамж, системүүд;

            2.4.2    Серверийн болон оффисын хэрэглээний компьютер, тоног төхөөрөмжүүд (сервер, процессор, дэлгэц, тог баригч, хэвлэгч, хувилагч, скайнер, зөөврийн компьютер, телефон, зөөврийн хард диск, флаш гэх мэт);

            2.4.3    Сүлжээний тоног төхөөрөмжүүд (файрвол, рутер, свич, салаалагч, сүлжээний утас);

                                          Гурав. Мэдээллийн ангилал

3.1       Байгууллагын мэдээллийг хэрэглээний зориулалт, нууцлалаас хамаарч дараах байдлаар ангилна:

3.1.1    Нийтэд хүртээмжтэй мэдээлэл: Хувилах, хадгалах, дамжуулахад ямар нэгэн шаардлага тавихгүй нийтэд зориулагдсан, нууцлах шаардлагагүй иргэн, аж ахуйн нэгжид саадгүй олгох мэдээллүүд;

3.1.2    Байгууллага дотор нээлттэй мэдээлэл: Байгууллагын бүх ажилтан албан хаагчдад зориулсан, байгууллагын үндсэн болон нэмэлт үйл ажиллагаатай холбоотой, байгууллага дотор нээлттэй, гадагш задруулахгүй мэдээллүүд;

3.1.3    Байгууллага дотор хаалттай мэдээлэл: Байгууллагын ажилтан тодорхой эрхийн хүрээнд хязгаарлалттайгаар ашиглах боломжтой, байгууллагын үндсэн болон нэмэлт үйл ажиллагаатай холбоотой, гадагш задруулахгүй “Хувь хүний нууцын тухай” болон “Байгууллагын нууцын тухай” хуулиар хамгаалсан мэдээллүүд;

3.1.4    Албаны нууц мэдээлэл: “Монгол газрын тос боловсруулах үйлдвэр” ТӨХХК-ийн нууцын тухай журамд заасан мэдээллүүд.

     Дөрөв. Байгууллагын мэдээллийн хамгаалалт

4.1       Байгууллагын мэдээллийг бүрдүүлдэг, боловсруулдаг, дамжуулдаг, хадгалдаг албан хаагч бүр мэдээллийг хамгаалах үүрэг хүлээнэ.

4.2       Байгууллага нь мэдээллийн аюулгүй байдлыг хангах чиглэлээр ажлыг тогтмол зохион байгуулж, зардлыг төлөвлөн жил бүрийн төсөвт суулгаж батлуулах.

4.3       Албаны нууц мэдээллийг хадгалах, хамгаалах асуудлыг “Монгол газрын тос боловсруулах үйлдвэр ТӨХХК-ийн нууцын тухай журам”-аар зохицуулна.

4.4       Байгууллага дотор хаалттай болон албаны нууц ангиллын мэдээллийн хадгалалт, хамгаалалт, дамжуулах үйл ажиллагаанд мэдээлэл хариуцагч, эзэмшигч болон зохицуулагч хяналт тавьж ажиллах бөгөөд “Монгол газрын тос боловсруулах үйлдвэр ТӨХХК-ийн нууцын тухай журам” болон энэ журмыг зөрчсөн, алдаа дутагдал илэрсэн тохиолдолд заавар зөвлөмж өгөх, засаж сайжруулах талаар арга хэмжээ авч байгууллагын удирдлагад мэдэгдэж ажиллана.

 Тав.Тоног төхөөрөмж, сүлжээний

нууцлал, хамгаалалт

            5.1       Байгууллагын тоног төхөөрөмж, мэдээллийн сан, сүлжээг эзэмшигч, хариуцагч, мэдээллийн технологи хариуцсан ажилтнууд нь тэдгээрийг аюул заналаас хамгаалах, эрсдэлээс урьдчилан сэргийлэх зорилгоор энэ журамд заасан болон бусад шаардлагатай арга хэмжээг авч ажиллана.

            5.2       Програм хангамж, техник хангамжийг суурилуулах;

            5.2.1    Програм болон техник хангамжийн суурилуулалт түүний шинэчлэл, тохиргоог зөвхөн мэдээллийн технологи хариуцсан ажилтан хийж гүйцэтгэнэ;

            5.2.2    Компьютер, тоног төхөөрөмж эзэмшигч нь мэдээллийн технологи хариуцсан ажилтны зөвшөөрөлгүйгээр дур мэдэн програм хангамж шинээр суулгах, програм хангамжид өөрчлөлт, шинэчлэлт хийх, техник хангамжид өөрчлөлт, засвар, үйлчилгээ хийхийг хориглоно;

            5.3       Компьютер, тоног төхөөрөмж ашиглах:

            5.3.1    Байгууллагын ажилтан нь өөрийн эзэмшиж буй компьютер, хэвлэгч, хувилагч болон бусад тоног төхөөрөмжийг зөвхөн зориулалтын дагуу албан ажлын хэрэгцээнд ашиглана. Гадны этгээдэд зөвшөөрөлгүйгээр компьютер, тоног төхөөрөмжийг ашиглуулахыг хориглоно;

            5.3.2    Ширээний болон зөөврийн компьютер нь энэ журмын 5.9-д заасны дагуу заавал нэвтрэх нууц үгтэй байна;

5.3.3    Албан ажлын хэрэгцээнд чухал шаардлагатай мэдээллийг устах эрсдэлээс сэргийлж заавал хуулбарыг үүсгэн зөөврийн болон дундын хадгалах төхөөрөмжид байршуулна.

5.3.4    Байгууллагын ажилтан нь өөрийн компьютерт мэдээллийн аюулгүй байдлын учрал, аюул занал учирч болзошгүй эсвэл учирсан гэж үзвэл мэдээллийн технологийн асуудал хариуцсан нэгжид энэ тухай нэн даруй мэдэгдэнэ;

5.3.5    Ажилтан түр хугацаагаар гарах бол компьютерыг заавал түгжих буюу нууц үгээр хамгаалагдсан дэлгэцийн хамгаалалтыг ажиллуулна. Ажлын цаг дуусаж, ажилтан явахдаа компьютер, тоног төхөөрөмжүүдийг унтрааж, цахилгааны хүчдэлээс салгана;

5.3.6    Байгууллагад дундаа ашигладаг хэвлэх, хувилах төхөөрөмжийг хяналттай байлгаж, тэдгээрийг ашиглахад тодорхой эрхийн хязгаарлалт хийж өгнө;

5.3.7    Байгууллагын мэдээллийн сан, систем ажиллаж буй сервер компьютерыг хөргүүр, чийгшүүлэгч хяналтын камер, нэмэлт цахилгааны үүсгүүр бүхий стандартын шаардлага хангасан серверийн өрөөнд буюу хаалттай бүсэд байрлуулна;

5.3.8    Сервер компьютер нь энэ журмын 5.9-д заасны дагуу заавал нэвтрэх нууц үгтэй байна.

5.4       Сүлжээ ашиглах:

5.4.1    Байгууллагын ажилтан мэдээллийн технологи хариуцсан ажилтны зөвшөөрөлгүйгээр байгууллагын сүлжээг өөрчлөх, төхөөрөмжөөс салгах, гадны төхөөрөмж залгах, ажлын өрөө, байрлалаа шилжүүлэх тохиолдолд дур мэдэн сүлжээний утсаа солих, өөрийн компьютерт тохируулсан сүлжээний тохиргоог дур мэдэн өөрчлөхийг хориглоно.

5.4.2    Байгууллагын сүлжээний зохион байгуулалт, хэвийн ажиллагаа, сүлжээний тоног төхөөрөмжийн тохиргоог, тэдгээрийн хяналтыг мэдээллийн технологи хариуцсан ажилтан хариуцан гүйцэтгэнэ;

5.4.3    Ажлын өрөө болон хонгилд ил болон далд

5.5       Зөөврийн хадгалах төхөөрөмжийг ашиглах:

5.5.1    Зөөврийн хадгалах төхөөрөмж дээрх мэдээллийг ашиглаж дууссаны дараа шаардлагагүй бол мэдээллийг төхөөрөмжөөс тухай бүр арилгах үйлдэл хийнэ;

5.5.2    Гаднаас зөөврийн хадгалах төхөөрөмж компьютерт оруулах бол заавал вирусийн эсрэг програм уншуулж, вирус илэрсэн тохиолдолд түүнийг устгасны дараа мэдээлэл авах, хадгалах үйлдлийг хийнэ;

5.5.3    Зөөврийн хадгалах төхөөрөмжийг албан бусаар ашиглах бусдад дамжуулахыг хориглоно.

5.6       Албаны цахим шуудан ашиглах:

5.6.1    Байгууллагын албаны цахим шуудан хэрэглэгчдийн бүртгэл хөтлөх, шинээр хэрэглэгч нэмэх, өөрчлөх, хасах,  хэрэглэгчдийн бүртгэлийн нууцлал аюулгүй байдлыг хангах асуудлыг мэдээллийн технологийн асуудал хариуцсан нэгж зохион байгуулна; 

5.6.2    Байгууллагын ажилтан нь албаны цахим шууданг зөвхөн албан ажлын хэрэгцээнд ашиглаж, өөрийн цахим шуудангийн нууцлал аюулгүй байдлыг хариуцна;

5.6.3    Албаны цахим шуудангийн нэвтрэх нууц үгийг энэ журмын 5.9-д заасны дагуу зохион байгуулна.

5.7       Байгууллагын мэдээллийн систем, сүлжээ, мэдээллийн сангийн нууцлал, хамгаалалтыг хангах, аюул заналаас урьдчилан сэргийлэх ажлын хүрээнд мэдээллийн технологийн асуудал хариуцсан нэгж дараах арга хэмжээг авна.

5.7.1    Сүлжээний хамгаалалтыг зохион байгуулах, мэдээллийн системийг хууль бус гадны халдлагаас хамгаалах;

5.7.2    Мэдээллийн аюулгүй байдлыг хангах, мэдээлэлд зөвшөөрөлгүй нэвтрэх оролдлогыг таслан зогсоох илрүүлэх зориулалтаар хамгаалалт, хяналтын техникийн систем, програм хангамжийг сонгох, нэвтрүүлэх, байнгын ажиллагаанд оруулах;

5.7.3    Харилцаа холбооны нууцлал хамгаалалтыг хангах, хамгаалалтын шаардлагатай төвшинг хангахуйц техникийн шийдлийг боловсруулах.

5.8       Нууц үгийн бодлого:

5.8.1    Нууц үгийг том, жижиг үсэг, тоо, тусгай тэмдэг бүхий 8 ба түүнээс дээш тэмдэгт байхаар хийнэ. Нууц үгээ ил бичиж тэмдэглэх, бусдад дамжуулахыг хориглоно.

5.8.2    Анхдагч нууц үгийг заавал солих ба нууц үгийг цаашид улирал тутам солино. Ингэхдээ хуучин нууц үгийг дахин хэрэглэхээс зайлсхийж, хуучин тэмдэгтүүдийн ихэнхийг солино.

5.9       Хортой кодоос хамгаалах:

5.9.1    Байгууллагын хэрэгцээнд хэрэглэгдэж байгаа компьютер, мэдээлэл хадгалагч болон тээгч зөөврийн хэрэгслүүдэд зөвшөөрөгдсөн хортой кодын/вирус/ эсрэг програм хангамжийг ашиглана.

5.9.2. Хортой кодын эсрэг програмын шинэчлэлтийг тогтмол хийнэ.

5.9.3.  

Зургаа.Байгууллагын мэдээллийн технологийн асуудал хариуцсан нэгж, мэргэжилтний эрх үүрэг

6.1       Байгууллагын мэдээллийн технологийн асуудал хариуцсан нэгжийн эрх, үүрэг.

6.1.1    Байгууллагын мэдээллийн аюулгүй байдлын бодлогыг тодорхойлох, мэдээллийн аюулгүй байдлын тогтолцоог бүрдүүлэх, холбогдох дүрэм, журмыг боловсруулж батлуулах, тэдгээрт нэмэлт өөрчлөлт оруулах санал боловсруулах;

6.1.2    Байгууллагын мэдээллийн аюулгүй байдлыг хангахад чиглэсэн арга хэмжээг төлөвлөх, хэрэгжүүлэх, тайлагнах, шаардагдах зардлыг төсөвт суулгах санал боловсруулах;

6.1.3    Нэгжийн мэдээллийн аюулгүй байдлыг хариуцсан мэргэжилтний, мэргэжил, ур чадварыг дээшлүүлэх сургалтад байнга хамруулах.

6.1.4    Байгууллагын ажилтан албан хаагчдад мэдээллийн аюулгүй байдлыг хангаж ажиллах талаар жил бүр тогтмол сургалт хийх.

6.1.5    Ажил үүргийн дагуу мэдээллийн аюулгүй байдлыг шалгах, эмзэг байдлыг бууруулах зорилгоор мэдээллийн систем, ажилтнуудын компьютерт нэвтрэх;

6.1.6    Аюулгүй байдлын шаардлагыг зөрчигчдөд хариуцлага тооцох талаар байгууллагын удирдлагад санал оруулах;

6.1.7    Байгууллагад ашиглагдах мэдээллийн систем, техник технологи худалдан авах үйл ажиллагаанд оролцох, санал оруулах, нэвтрүүлэх үйл явцад хяналт тавих

6.1.8    Эрсдэлийн үнэлгээг жил тутам хийж мэдээллийн аюулгүй байдлын эмзэг байдлыг тодорхойлох, хөндлөнгийн хяналтыг хэрэгжүүлэх;

6.1.9    Байгууллагын компьютерийн систем, серверт нэмэлт өөрчлөлт, шинэчлэлт, техникийн үйлчилгээг хийхэд гадны байгууллага, мэргэжилтнийг зайлшгүй ажиллуулах тохиолдолд тухайн ажлыг гүйцэтгэх байгууллагыг сонгох үйл явцад оролцох бөгөөд ажил гүйцэтгэх явц, гүйцэтгэлд нь хяналт тавих;

                                           Долоо. Хэрэглэгчийн үүрэг

7.1       Мэдээллийн аюулгүй байдлын учрал тохиолдсон, тохиолдож болзошгүй нөхцөл байдлыг илрүүлсэн тохиолдолд мэдээллийн технологийн асуудал хариуцсан нэгжид нэн даруй мэдэгдэх үүрэгтэй.

7.2       Компьютерийн нэр, сүлжээний нэрийг солихгүй байх. Зайлшгүй шаардлага гарсан тохиолдолд мэдээллийн технологийн асуудал хариуцсан мэргэжилтэнд мэдэгдэн зохих үйлчилгээг хийлгэх.

7.3       Мэдээллийн аюулгүй байдлыг хангах талаар мэдээллийн технологийн асуудал хариуцсан мэргэжилтний тавьсан шаардлагыг биелүүлэх.

Найм. Хариуцлага

8.1       Ажилтны анхаарал болгоомжгүй үйлдлээс болж байгууллагын мэдээллийн систем, сүлжээ, мэдээллийн сангийн аюулгүй байдал алдагдах мэдээллийн аюулгүй байдлын бодлого, журам зөрчигдөж, байгууллагын үйл ажиллагаанд хохирол учруулсан ба хохирч болзошгүй байдал үүсгэсэн нь эрүүгийн хариуцлага хүлээлгэхээргүй бол Зөрчлийн тухай хууль, Хөдөлмөрийн тухай хууль, Байгууллагын хөдөлмөрийн дотоод журамд заасны дагуу сахилгын арга хэмжээ авна.