ОМНИКАПИТАЛ ББСБ-ИЙН

СЕРВЕРИЙН АЮУЛГҮЙ БАЙДЛЫН ЖУРАМ

Нэг. Нийтлэг үндэслэл, нэр томъёо

1.1. Омникапитал ББСБ-ын (цаашид “ББСБ” гэх) серверийн аюулгүй байдлын
журам (цаашид “журам” гэх)-ын зорилго нь ББСБ-ын сервер төхөөрөмжүүдийн
үндсэн тохируулгын стандартыг тогтоох, аюулгүй, найдвартай ажиллагааг
хангахад оршино.
1.2. Энэхүү журамд дурдсан дараахь нэр томъёог дор дурдсан утгаар ойлгоно. Үүнд:
1.2.1. “DMZ” гэж гаднаас ханддаг үйлчилгээ, серверүүдийг байршуулсан,
Интернет болон ББСБ-ын дотоод сүлжээний дунд байрлах халхавч бүс;
1.2.2. Сервер гэж ББСБ-ын бусад тооцоолох төхөөрөмж, програмуудад
үйлчилгээ үзүүлдэг сервер програм суулгасан, эсхүл системийн програм
суулгасан хост төхөөрөмжийг;
1.2.3. Үйлчилгээ гэж серверийн үүднээс үзвэл бусад компьютер, хостод үзүүлж
буй үйлчилгээ, чиг үүргүүдийг;
1.2.4. Техникийн хяналт гэж системд хэрэгжүүлсэн аюулгүй байдлын автомат
хяналтуудыг;
1.2.5. Зохион байгуулалтын хяналт гэж хүмүүсийн биечлэн хэрэгжүүлж буй
аюулгүй байдлын хамгаалалтын хяналт, удирдлагыг;
1.2.6. Аюулгүй байдлын хяналт гэж системийг хамгаалахаар хэрэгжүүлсэн арга
хэмжээг;
1.2.7. Patch нөхөөс гэж үүссэн асуудал, эмзэг байдал, цоорхойг нөхөх, засах
зориулалтаар гаргасан үйлдлийн систем, програмын сайжруулалтыг;
1.2.8. Сүлжээний администратор гэж сүлжээг зохиомжлох, хэрэгжүүлэх,
үйлчлэх, удирдах үндсэн үүрэгтэй мэргэжилтнийг;
1.2.9. Серверийн (системийн) администратор гэж сервер, системийг
зохиомжлох, хэрэгжүүлэх, тохируулах, үйлчлэх, удирдах үндсэн үүрэгтэй
мэргэжилтнийг;
1.2.10. Бүртгэл лог гэж сервер, систем дээр болж буй үйл явдлыг бүртгэдэг
журнал файлыг;
1.2.11. Default гэж үйлдвэрлэгчээс эхлэн тохируулж өгсөн үзүүлэлтүүдийг;
1.2.12. Root гэж суурь хавтсыг.
1.3. Энэ журамд дурдагдсан товчлолыг дараах утгаар ойлгоно:
 БХҮАХ – Мэдээллийн технологийн албыг хариуцсан хэлтэс
 АБА - Аюулгүй байдлын ажилтан – МТ хариуцсан аудитор
 ТҮА – Техник Үйлчилгээний Ажилтан
 ҮС- Үйлдлийн систем
 ӨС – Өгөгдлийн сан
Хоёр. Серверийн аюулгүй байдалд тавигдах нийтлэг шаардлагууд
2.1 Энэ журмын үйлчлэх хүрээнд ББСБ-ын эзэмшиж, ажиллуулж буй бүх сервер
төхөөрөмж хамаарагдах бөгөөд дотоод сүлжээний хүрээнээс гаднах DMZ-д
байрлаж буй төхөөрөмжийн аюулгүй тохируулгыг Интернетийн DMZ-ийн
төхөөрөмжийн журмаар зохицуулна.
2.2 Серверийн аюулгүй байдлыг төлөвлөж, үйлдлийн системийг зөв суулгаж,
тохируулж, сайжруулж, шинэчилж, ажиллаж буй програмуудын аюулгүй
байдлыг хангаж, сервер дээрх өгөгдлийг хамгаалж, сүлжээний хамгаалалтыг
хэрэгжүүлж, үйлчилгээ, удирдлагыг зөв хэрэгжүүлэх замаар ББСБ-ын серверийн
аюулгүй байдлыг хангана.
2.3 Серверийн аюулгүй байдлыг хангахдаа хамгаалалт энгийн байх, ажиллагаа нь
найдвартай байх, нээлттэй зохиомжтой, давуу эрхүүдийг ангилсан байх,
хамгийн бага эрх олгосон, давхар хамгаалалттай, бүртгэл логтой байх
зарчмуудыг онцгойлон анхаарна.
2.4 Серверийг анх суулгах, суурилуулах төлөвлөгөөг боловсруулж, ажиллах
ажилтныг бэлтгэж, дэлхийн шилдэг практикийг судалж, үйлдвэрлэгчийн зааврыг
эзэмшсэн байх ёстой.
2.5 Серверийг гал, усны хамгаалалт болон бусад дохиололтой, найдвартай цоож, лац
бүхий хандалтын хяналттай өрөөнд, хандалтыг нь хянах боломжтойгоор
байрлуулна.
2.6 Серверийн өрөөнд зөвхөн эрх олгогдсон этгээд орно. Зайлшгүй шаардлагаар эрх
олгогдоогүй этгээд орох бол эрх бүхий этгээдийн хамт БХҮАХ-ийн захиралын
зөвшөөрлөөр орно. Эрх олгогдоогүй этгээд сервер төхөөрөмжид хүрэх,
удирдлагын гар, хулганаар оролдохыг хориглоно.
2.7 Серверийн үйлдлийн системд зөвхөн эрх бүхий администратор хандана. Аудит,
үнэлгээ, хяналтын шаардлагын дагуу БХҮАХ-ийн захиралын зөвшөөрлөөр
бусад хүн хандаж болно.
Гурав. Эзэмшил болон Үүрэг хариуцлага
3.1 ББСБ-ын дотоод бүх серверийг БХҮАХ-ийн Мэдээлэлийн Технологийн Алба
(МТА) хариуцан ажиллуулна.
3.2 БХҮАХ-ээс МТА-ны администраторуудын баримтлах тохируулгын заавар,
удирдамжийг боловсруулж АБА хянаж зөвшөөрсний дагуу батлан мөрдүүлсэн
байна. АБА тохируулгын нийцлийг хянаж тусгайлан зөвшөөрнө.
3.3 Серверүүд ББСБ-ын нийтлэг удирдлагын системд хамаарагдаж, бүртгэгдсэн
байна. Холбоо барих этгээд, хаягийг тодорхойлохын тулд дараах мэдээллийг
бүртгэлд оруулсан байна:
3.3.1 Серверийг байршуулсан байршлын нэр, байрлал, хаяг, нөөц хуулбар,
хариуцаж буй этгээдийн нэр, утас, цахим шуудангийн хаяг
3.3.2 Техник хангамж, Үйлдлийн систем/хувилбар
3.3.3 Үндсэн чиг үүрэг, хэрэглээний програмууд
3.4 Серверийн тохируулгын өөрчлөлт хийх зааврыг БХҮАХ-ээс боловсруулж
мөрдөнө.

Дөрөв. Тохируулгын удирдамж

4.1 Үйлдлийн системийн суулгалт, тохируулгыг үйлдвэрлэгчийн гаргасан заавар
дээр үндэслэн БХҮАХ-ээс боловсруулж АБА-ны зөвшөөрсөн зааврын дагуу
гүйцэтгэнэ.
4.2 Ашиглаж болохгүй үйлчилгээ, програмуудыг хүчингүй болгосон байна.
4.3 Сервис, үйлчилгээнд хандах хандалтыг бүртгэж хандалтын хяналтын аргуудаар
хамгаалсан байна.
4.4 Боломжтой үед аюулгүй байдлын хамгийн сүүлийн үеийн шинэчлэл, нөхөөсийг
системд суулгаж байна.
4.5 Үйлдлийн системийн ажиллагааг байнга нягтлан хянаж, түүнийг бэхжүүлэн
сайжруулж тохируулж, боломжтой нэмэлт хяналтуудыг суулгаж, ҮС-ийн
аюулгүй байдлыг сар бүр тестлэн туршиж байна.
4.6 Системүүдийн хоорондын итгэлцлийн харилцаа нь ихээхэн эрсдэл үүсгэдэг тул
түүнийг ашиглахаас зайлсхийнэ. Холболтын өөр шийдэл байгаа тохиолдолд
итгэлцлийн харилцаа ашиглахыг хориглоно.
4.7 Аливаа функцийг гүйцэтгэхийн тулд хандалтын аюулгүй байдлын стандарт
зарчмуудыг ашиглана. Үйлдлийн системд хандах хандалтын удирдлагын
 механизмыг сайтар тохируулна. Хэрэгцээгүй default эрхийг хүчингүй болгох
юмуу устгана.
4.8 Интерактив бус эрхийг идэвхгүй болгож байна.
4.9 Хэрэглэгчдийг тодорхой бүлгүүдэд хуваан ангилна.
4.10 Автоматжуулсан цагийн тохиргоог хийж time server-тэй холбосон байна.
4.11 Сервер дээрх нууц үгүүд ББСБ-ын нууц үгийн журмын шаардлагад нийцэж буйг
байнга шалгана.
4.12 Нууц үгийг таахаас сэргийлж тодорхой удаа нууц үгээ буруу оруулахад хаадаг
байхаар тохируулна.
4.13 Боломжтой бол биометр аргууд, тоон гарын үсэг, нэг удаагийн нууц үгийн
шийдлийг хэрэгжүүлнэ.
4.14 Агуулгын аюулгүй байдлыг хангах үүднээс унших, өөрчлөх, файл хуулахад
тавих хязгаарлалтуудыг тохируулсан байна.
4.15 ББСБ-ын хортой кодын эсрэг журмын дагуу сервер бүрт хортой кодоос
хамгаалах програмыг суулгаж тохируулан байнга ажиллуулдаг, сайжруулалт,
шинэчлэлийг тогтмол татаж авдаг байна.
4.16 Боломжтой бол хостын хууль бус нэвтрэлт, халдлагыг илрүүлдэг, сэргийлдэг
системийг (IPS) суулгаж ажиллуулна.
4.17 Давуу бус эрх бий болгосон үед рүүт-root ашиглаж болохгүй.
4.18 Хяналтгүй өрөөнөөс серверийг удирдах, тохируулахыг хориглоно.
4.19 Серверийн үйлдлийн системийг сар бүр тестлэн туршиж эмзэг байдлыг
илрүүлэх туршилт, тестийг хийнэ.
4.20 Серверийн үйлдлийн систем, бусад програмын эмзэг байдлыг тодорхойлох
зорилгоор Интернет дахь эмзэг байдлын өгөгдлийн сангуудаар зочилж шинээр
илэрсэн эмзэг байдал, тэдгээрийг арилгах аргуудыг судалж хэрэгжүүлж байна.
4.21 Серверийн үйлдлийн системийг суулгахдаа аливаа нөхөөс, шинэчлэлийг татан
авч хамт суулгана.
4.22 Серверийн өгөгдөлд зориулан тусдаа диск юмуу логик партишн хэсэг үүсгэж
байна.
4.23 Серверийн програмуудтай хамт суусан, гэхдээ ашиглагддаггүй бүх үйлчилгээ,
функцийг устгах юмуу идэвхгүй болгоно.
4.24 Серверийг суулгах үед үүссэн, цаашид хэрэглэгдэхгүй бүх эрхийг устгах юмуу
идэвхгүй болгоно.
4.25 Үйлдвэрлэгчийн бүх баримт бичгийг серверээс устгана.
4.26 Серверт байгаа жишиг файл, тест файлуудыг устгана.
4.27 Хэрэгцээгүй бүх compiler хөрвүүлэгчүүдийг устгана.
4.28 Гадагш хандсан серверүүдийн үйлчилгээний баннерийг дахин тохируулж
сервер, ҮС болон хувилбарын тухай мэдээллийг харуулдаггүй болгоно.
4.29 Зөвхөн шаардлагатай TCP болон UDP порттой холбогдохоор сүлжээний
үйлчилгээг тохируулна.
4.30 Сервер дээрх програмууд, тэдгээрийн тохируулгын файлууд, нууц үгийн хэш
файлууд, таньж зөвшөөрөх мэдээлэл агуулсан файлууд, нууцлал, үл тасалдах
үйлчилгээнд ашиглагдаж буй криптографын түлхүүрийн материалууд гэх зэрэг
аюулгүй байдлын механизмын файлууд, серверийн лог файл, системийн
тохируулгын файлууд, серверийн агуулгын файлуудад хандах хандалтыг
онцгойлон хянаж хандалтын бүртгэл хийж БХҮАХ-ийн даргад сар бүр
танилцуулж байна.
4.31 Серверийн агуулгыг өөр өөр хатуу диск, логик партишн хэсэгт суулгаж, ачаалах
хэсгийг өөр хэсэгт суулгаж, лог файлд зориулсан хэсгийг хангалттай хэмжээнд
тохируулж, серверийн зөвшөөрөх үйл явцын дээд хэмжээ, сүлжээний холболтыг
тогтоож өгсөн байна.
4.32 Олон улсын болон үндэсний стандартуудыг удирдамж болгон ББСБ-ын
шифрлэлтийн журмын дагуу таньж зөвшөөрөх, шифрлэх технологийг сонгож,
хэрэгжүүлсэн байна.
4.33 Сэжигтэй үйлдлийг анхааруулах, халдагчийн үйлдлийг мөшгөн ажиглах,
серверийг сэргээх, дараа нь мөрдлөг хийхэд туслах, хууль зүйн ажиллагаа
явуулахад боломжтой гэж үзсэн үйл явцуудыг серверийн бүртгэл лог файлд
бүртгэж байхаар тохируулсан байна.
4.34 Бүртгэлийн лог файлд тавигдах шаардлагууд, багтаамжийг урьдчилан сайтар
уншиж танилцсан байна.
4.35 Серверийн хүлээн авсан урсгал, аюулын түвшин, эмзэг байдал, өгөгдлийн
хэмжээ зэргээс хамааран ББСБ-ын серверүүдийн бүртгэлийн лог файлыг нягтлан
шалгаж байх давтамжийг БХҮАХ тодорхойлсон байна. Боломжтой бол
бүртгэлийн лог файлыг шинжилдэг автомат хэрэгслийг суулгана.
4.36 Серверийг нөөцлөх, сэргээн ажиллуулах үйл явцыг ББСБ-ын өгөгдлийн сантай
ажиллах журам, сэргээн ажиллуулах төлөвлөгөө, бусад журмын дагуу
хэрэгжүүлнэ.
4.37 Хариуцсан администратор нь серверийн эмзэг байдлын скан шиншлэлтийг сар
бүр гүйцэтгэж сүлжээн дахь идэвхтэй хостууд, эмзэг үйлчилгээ, ҮС-тэй
холбоотой эмзэг байдлуудыг илрүүлэх оролдлогууд хийж хостын програмууд
аюулгүй байдлын бодлоготой нийцэж байгаа эсэхийг тестэлнэ. Администратор
серверийн нэвтрэн орох тестийг сар бүр гүйцэтгэж үр дүнг БХҮАХ-ийн захирал
болон АБА-т илтгэж байна.
4.38 Шаардлагатай үед серверийг зайнаас удирдах үед таньж зөвшөөрөх хүчирхэг
шийдэл, удирдах хостыг нарийн тодорхойлж, аюулгүй протокол ашиглана
(ж.нь., SSH, SSL эсхүл IPSec). Энэ зорилгоор Интернет ашиглахыг хатуу
хориглоно.
Тав. Мониторинг
5.1 ББСБ-ын системд тохиолдож буй аливаа аюулгүй байдлын будлиан, зөрчил,
тохиолдлыг АБА болон БХҮАХ-ийн МТА-ны ахлах ажилтан бүртгэж зохих
ёсоор хадгалсан байна:
o Аюулгүй байдалтай холбоотой бүртгэлийн файлуудыг хамгийн багадаа
долоо хоног онлайн хадгална.
o Өдөр бүрийн болон долоо хоногийн нөөц хуулбарыг 1 сараас доошгүй
хадгална.
o Сарын бүрэн хэмжээний хуулбарыг 2 жил хадгална.
5.2 Аюулгүй байдалтай холбоотой будлиан, учрал, тохиолдлуудыг АБА-т заавал
тайлагнана. АБА бүртгэлийн файлуудыг шалгаж аливаа будлиан, зөрчлийг
удирдлагад илтгэж байна. Шаардлагатай тохиолдолд засах, залруулах ажиллагаа
хэрэгжүүлнэ.
5.3 Серверүүдийн байнгын, тасралтгүй хэвийн ажиллагааг администратор хангаж
ажиллах бөгөөд тест, скан шиншлэлтийг байнга хийж байна.
5.4 Серверүүдийн удирдлага, тохируулга хийж буй байдал, байнгын найдвартай
ажиллагааг БХҮАХ-ийн МТА-ны ахлах ажилтан байнга хянаж байна.
5.5 АБА сар бүр серверийн ажиллагаанд мониторинг хийж байна.
Зургаа. Өгөгдлийн сангийн серверийн аюулгүй байдлыг хангах
6.1 ББСБ-ын өгөгдлийн сангийн серверийг хариуцаж буй администратор аюулгүй
байдлын мэйл лист болон веб сайтуудаар байнга зочилж шинээр үүссэн аюул,
эмзэг байдлыг судалж байна.
6.2 Ноцтой цоорхойг илрүүлэх скан шиншлэлтийг байнга хийж нөхөөс,
шинэчлэлийг татан авч суулгана.
6.3 SQL тарилга, сүлжээг нууцаар чагнах, серверт хууль бусаар хандах, нууц үгийг
крэкдэх аюулыг үнэлж байнгын мониторинг хийж хамгаалах арга хэмжээ
хэрэгжүүлсэн байна.
6.4 Үйлчилгээнд эмзэг байдал, цоорхой үүсгэхгүйн тулд зөвхөн шаардлагатай
үйлчилгээг идэвхжүүлж шаардлагагүй бүгдийг идэвхгүй болгоно.
6.5 ӨС-ийн серверт хэрэглэгчдийн холбогддог протоколуудын хүрээг багасгаж
аюулгүй болгох арга хэмжээг байнга хэрэгжүүлнэ.
6.6 ӨС-ийн серверээс шаардлагатай үйлчилгээнд хандах эрхүүдийн тоог хамгийн
бага хэмжээнд хязгаарлаж бага эрхтэй, хүчтэй нууц үг бүхий эрхийг үүсгэж
ашиглана.
6.7 Зөвхөн NTFS файл системийн зөвшөөрлийн шийдлийг ашиглана.
6.8 Шаардлагагүйгээр файлыг дундаа хамтран ашиглахыг хориглож нээсэн бүх
share-ийг устгаж байна.
6.9 Зөвхөн шаардлагатай портууд болон серверийн портыг нээж галт хана дээрх
ашиглагдаагүй портуудыг хаана.
6.10 Registry-д хандах хандалтыг хязгаарлаж байнга хянана.
6.11 Серверийн аудитын шийдлийг ашиглан байнгын аудитын тохируулга хийсэн
байна.
6.12 ӨС-ийн серверийг суулгахдаа шинэчлэлтийн хэрэгслүүд, бүтэн бичвэрийн
хайлт, онлайн номууд, хөгжүүлэлтийн хэрэгсэл, жишээ кодыг хамт суулгахыг
хориглоно.
6.13 Чухал команд, хадгалсан дэгүүдэд хандах хандалтыг хязгаарлаж хянаж байна.
Аудит, эрсдлийн үнэлгээ, хяналт шалгалт зэрэг ББСБ-ын чухал ажлын
шаардлагаас бусад тохиолдолд зөвхөн администратор серверт хандана. Хэрэв
өөр этгээд ажлын шаардлагаар хандах бол зөвхөн админстраторын
хяналттайгаар хандана.
6.14 ӨС-ийн серверийн аюулгүй байдлыг хангах, шинээр илрүүлсэн эмзэг байдлыг
ашиглахаас сэргийлэхийн тулд байнгын нөөцлөлт хийж, бүлгийн
гишүүнчлэлийг шалгаж, аудит бүртгэлийн логийг хянаж, шинэчлэлтийн багц,
нөхөөсүүдийг татан авч суулгаж, аюулгүй байдлын үнэлгээ хийж, аюулгүй
байдлын анхааруулгын веб сайтуудыг байнга ашиглана. Энэ ажиллагаа байнга
хийгдэж байгаа эсэхийг БХҮАХ-ийн ахлах ажилтан хянана.
Долоо. Үйлчилгээний серверийн аюулгүй байдлыг хангах
7.1 ББСБ-ын үйлчилгээний серверийг хариуцаж буй администратор аюулгүй
байдлын мэйл лист болон веб сайтуудаар байнга зочилж шинээр үүссэн аюул,
эмзэг байдлыг судалж байна.
7.2 Ноцтой цоорхойг илрүүлэх скан шиншлэлтийг байнга хийж нөхөөс,
шинэчлэлийг татан авч суулгана.
7.3 Үйлчилгээний серверийг өгөгдлийн серверийн гадна байрлуулах бөгөөд дотоод
галт ханыг идэвхжүүлсэн байна.
7.4 Сүлжээг нууцаар чагнах, серверт хууль бусаар хандах, хортой код оруулах
аюулыг үнэлж байнгын мониторинг хийж хамгаалах арга хэмжээ, тухайлбал
аюулгүй таньж зөвшөөрөх шийдэл, хандах эрхийн мэдээллийг шифрлэх,
холболтын аюулгүй, шифрлэгдсэн суваг, сегментэлсэн сүлжээ, сайн
тохируулагдсан галт хана, TCP/IP шүүлтүүр, статик endpoint mapping, хортой
кодын эсрэг програмыг заавал хэрэгжүүлсэн, хэрэгцээгүй үйлчилгээ, функцийг
идэвхгүй болгосон байна.
7.5 Холболтын шийдлийг хэрэгжүүлэхдээ шифрлэлт, IPSec заавал ашиглана.
7.6 Дотоод галт ханыг тохируулахдаа үйлдвэрлэгчийн болон аюулгүй байдлын
үйлчилгээ үзүүлэгчдийн зааврыг баримталж веб сервер болон өгөгдлийн
сервертэй холбогдож буй портуудыг зөв сонгон идэвхжүүлнэ.
7.7 Холболтын аюулгүй байдлыг хангахын тулд адилтгах функц, таньж зөвшөөрөх
шийдэл, чиг үүрэгт суурилсан аюулгүй байдлын шийдэл, өөр нэрээр хандахаас
сэргийлэх шийдэл, лог бүртгэлийн тохируулгыг онцгойлон анхаарна.

Найм. ББСБ-ын серверийн аюулгүй байдлын журмын хэрэгжилтийг хангах нэгж,

түүний үүрэг
8.1 Энэ журмын хэрэгжилтийг ББСБ-ын БХҮАХ-ийн ажилтнууд болон АБА ханган
ажиллана.
8.2 Энэ журмыг хэрэгжүүлэхэд ББСБ-ын БХҮАХ-ийн МТА-ны ажилтнууд оролцох
үүрэг хүлээнэ.
8.3 Журмын хэрэгжилт хангагдаж буй байдалд БХҮАХ-ийн захирал ерөнхий хяналт
тавина. АБА энэхүү журмын өдөр тутмын хэрэгжилтэд хяналт тавьж, Монгол
 Улсын хууль, тогтоомж, эрх зүйн орчны өөрчлөлтөнд журмыг нийцүүлэх талаар
арга хэмжээ авч ажиллана.

Ес. Хариуцлага
9.1 Энэхүү журмыг зөрчсөн этгээдэд сахилгын шийтгэл ноогдуулна.
9.2 Зөрчил гаргасан этгээдийн үйлдэл нь гэмт хэрэг, захиргааны зөрчлийн шинжтэй
бол эрүүгийн болон захиргааны хариуцлага хүлээлгэхээр эрх бүхий
байгууллагад шилжүүлнэ. Энэ нь сахилгын шийтгэл ногдуулахгүй байх үндэс
болохгүй.
9.3 Энэхүү журмыг зөрчсөн ажилтны үйлдлээс компанид эд хөрөнгийн хохирол
учирсан бол аливаа шийтгэл ногдуулсан эсэхээс үл хамааран эд хөрөнгийн
бүрэн хариуцлага хүлээлгэнэ.