Мэдээллийн аюулгүй байдал-Information security

22/12/2025

Facebook Messenger бүрэн хаагдахгүй, харин Windows болон macOS-д зориулсан Messenger Desktop апп-ийг Meta 2025 оны 12-р сарын 15-нд албан ёсоор зогсоох шийдвэр гаргасан тул та бүхэн Favebook-ийн тохиргоогоо нягталж шалгана уу!

Facebook Messenger is not shutting down completely — but Meta is killing the Messenger Desktop App for Windows and Mac on December 15th, 2025. In this quick ...

19/12/2025

E-Mongolia системтэй холбоотой гарсан асуудал нь өгөгдлийн санг шууд халдсан кибер халдлага бус, харин үйлчилгээний явцад үүсдэг түр файл, хадгалалтын тохиргоо болон хандалтын хяналтын сул талтай холбоотой эрсдэл байх магадлалтай. Ийм төрлийн эрсдэл нь файлын хадгалалтын бодлого тодорхой бус байх, түр болон лог файлд хандах эрхийн хяналт сул, системийн шинэчлэл, тест, аудит тогтмол хийгдээгүйгээс үүсдэг нийтлэг асуудал юм. Хариуцсан байгууллага богино хугацаанд шалгалт хийж, эмзэг байдлыг арилган, тохиргоо, хамгаалалтыг сайжруулж, файлын холбоосуудыг устгуулахаар ажиллаж байгаа нь эрсдэлийг бууруулах зөв бөгөөд шаардлагатай арга хэмжээ гэж үзэж байна.

🔔 Мэдэгдэл 🔔

14/11/2025

Мэдээллийн Аюулгүй Байдал

1. Нууцлагдсан байдал:

Мэдээлэл зөвхөн хүрэх ёстой эзэндээ л хүрч өөр зөвшөөрөлгүй хэн нэгэн уг мэдээлэлд нэвтрэх боломжгүй гэсэн нөхцөлийг хангаж байх ёстой.

Жишээ нь: Таны мэйлрүү зөвхөн та л хандаж ордог байх. Хэрвээ та мэйлийн нууц үгээ интернэт хөтөч дээрээ хадгалж үлдээсэн бол энэ нь та болон танай байгууллагад маш их эрсдэлийг бий болгож байгаа юм.

2. Бүрэн бүтэн байдал:

Мэдээлэл болон мэдээллийн системд зөвшөөрөлгүй этгээд мэдээллийг өөрчлөх, устгахаас хамгаалагдсан байх.

Жишээ нь: Таны хүлээж авах мэйлийг дундаас нь хуулах өөрчлөхгүй байх гэх мэт. Дээр дурдсанчлан та нууц үгээ хадгалдаг байлаа гэж бодоход таны төхөөрөмж вирустэх болон халдлагад өртөх тохиолдолд таны хадгалсан нууц үгийг ашиглан танд ирэх бүх мэйлийг өөр мэйлрүү танд мэдэгдэхгүйгээр forward хийн таныг болон бусдыг хууран мэхлэх буюу phishing хийж болох юм.

3. Хүртээмжтэй байдал:

Тухайн мэдээллийг шаардлагатай үед ашиглах боломжтой байх буюу та хүссэн цагтаа үйлчилгээгээ авч чаддаг байхыг хэлнэ. Өөрөөр хэлбэл мэдээллийн системийн найдвартай үйл ажиллагааг хангахыг хэлнэ.

Жишээ нь: Та мэйлрүүгээ орох гэтэл сервер нь ажиллахгүй байвал энэ нь хүртээмжтэй байдал алдагдсаны нэгэн жишээ юм.

Дээрх гурван зарчим биелж байж тухайн мэдээлэл, мэдээллийн систем аюулгүй байна гэж хэлж болно.

4. Үнэн зөв байдал:

Мэдээллийг илгээгч өөрөө үнэн зөв байх ёстой. Та хэн нэгэн рүү мэдээлэл илгээсэн бол өөр хэн нэгэнд очихгүйгээр хүлээн авах ёстой хүндээ л очих ёстой.

Жишээ нь:

1. Бид e-mongolia руу нэвтрэх, цахим бирж рүү нэвтрэх үед гар утас руу шуудан болон захиа ирж тоон гарын үсгээр баталгаажуулдаг.

2. Таны харилцагч байгууллагаас мэйлээр нэхэмжлэл ирлээ гэж бодоход (магадгүй [email protected]) илгээгч нь харилцдаг имэйл нь байх ёстой. Монголд гэлтгүй дэлхийд төстэй мэйл, домэйн хаяг, мэйлийн нэр ашиглан phishing төрлийн халдлага маш их хийдэг тул та имэйлийн source-г шалгаж байх хэрэгтэй.

5. Үл зайлсхийх байдал:

Мэдээллийг илгээсэн, хүлээн авсан гэдгээс зайлсхийх боломжгүйгээр баталгаажсан байхыг хэлнэ.

Жишээ нь: Бидний бичсэн эсвэл хүлээн авсан мэйлийн лог буюу ул мөр байж болно. Ямарваа нэгэн зүйл тохиолдоход нэг талаас би ийм мэйл илгээгээгүй , нөгөө талаас би ийм мэйл хүлээн аваагүй гэдэг зайлсхийх байдал үүсэхгүй.

Өнөөдөр бид нар мэдээлллийн технологи өндөр хөгжсөн өөрөөр хэлбэл аж үйлдвэрийн дөрөвдүгээр хувьсгалын эрэн үед амьдарч байна. Энэ нь бидэнд эерэг өөрчлөлт, хөгжил, боломж өгч байгаа ч халдлага үйлдэгчидэд мөн тийм боломж өгч байгааг анхаарах хэрэгтэй. Бүх зүйл цахим болж интернэт орчин хөгжихийн хэрээр цахим халдлага төдий чинээ нэмэгдэнэ. Мэдээж та хувийн аюулгүй байдлаа хангаж чадвал айх аюул үгүй. Ядаж л интернэт хөтөч дээрээ нууц үгээ хадгалахгүй байхыг хичээгээрэй.

Send a message to learn more

05/11/2025

Active Directory дээр Үйлчилгээний бүртгэл үүсгэх
зааварчилгааг танилцуулж байна.

1. Open Active Directory Users and Computers (ADUC)

Log in to your Domain Controller (DC).

Open Server Manager → Tools → Active Directory Users and Computers.

2. Choose or Create an OU

It’s best practice to create service accounts in a dedicated OU. Example:

OU = Service Accounts

3. Create a New User

Right-click your Service Accounts OU → New → User.

Enter details:

First name: Veeam Service

User logon name: svc_veeam (prefix “svc_” for clarity)

4. Set Password

Enter a strong password.

Uncheck “User must change password at next logon”.

Check “Password never expires” (most service accounts use this option).

(Optional) Check “User cannot change password”.

5. Finish the Wizard

Click Finish to create the account.

6. Assign Permissions

Now, give this service account only the permissions it needs:

For example:

SQL Services: Add it to the local “SQL Server” group.

Veeam Backup: Grant it “Log on as a service” rights.

IIS App Pool: Assign as Application Pool Identity.

File Share Access: Provide NTFS/Share permissions if needed.

* Grant “Log on as a service” Right

1. Open Local Security Policy (secpol.msc)

2. Navigate to

Local Policies → User Rights Assignment → Log on as a service

3. Click Add User or Group, then add your service account (svc_veeam).

4. Apply and close.

31/10/2025

ISO 27001 стандартыг 2 долоо хоногийн турш хэрэгжүүлэх нь —“үйлчлүүлэгчтэй хийсэн яриа”-г танилцуулж байна.

Үйлчлүүлэгч:
“Доктор Судхакар, бид аль хэдийн ISO 27001 гэрчилгээтэй болсон ч одоо манай үйлчлүүлэгч бодлого, журам, дотоод аудитын нотлох баримтыг хүсч байна. Та энэ бүхнийг хоёр долоо хоногийн дотор бэлтгэхэд бидэнд тусалж чадах уу?”
Би:
“Би сонирхож байна — та аль хэдийн гэрчилгээтэй болсон ч баримт бичиг, дотоод аудитын тайлан байхгүй байна уу?”

Үйлчлүүлэгч:
“Тийм ээ... бид яарч байсан. RFP ирүүлэхийн тулд гэрчилгээ шаардлагатай байсан. Одоо бид үүнийг хожсон тул үйлчлүүлэгч хэрэгжилтийн нотлох баримтыг харахыг хүсч байна.”

Би:
“Таны яаралтай байдлыг ойлгож байна, гэхдээ тодорхой хэлье - ISO 27001 бол цаасан дасгал биш.
Энэ нь танай байгууллагын мэдээллийн хөрөнгийг хамгаалах, үйл явцыг тодорхойлох, аюулгүй байдлын соёлыг бий болгох тухай юм. Хэрэгжүүлэлтгүй гэрчилгээ бол зүгээр л цаас юм.”

Үйлчлүүлэгч:
“Гэхдээ аудитор бидэнд өгсөн. Бусад хүмүүс ч бас ингэж хийдэг!”

Би:
“Магадгүй. Гэхдээ таны үйлчлүүлэгч бодит нотлох баримт - эрсдэлийн бүртгэл, аудитын тайлан, мэдлэг олгох хурал, бүртгэл - хүсэхэд таны нэр хүнд эрсдэлд орно.
Та 2 хоногийн дотор гэрчилгээ авах боломжтой боловч жинхэнэ итгэл үнэмшил нь зөвхөн уг хүрээ танай байгууллага дотор үнэхээр ажиллаж байх үед л бий болно.”

!Бүх Гүйцэтгэх захирал болон захирлуудад хандаж хэлэх миний мессеж:
Дагалдах шатны дагуу явах хэрэггүй.
Стандартыг хэрэгжүүлж, хяналтыг бий болгож, гэрчилгээгээ зөв аргаар аваарай.
Жинхэнэ ISO 27001 гэрчилгээ нь зөвхөн RFP-г хожоод зогсохгүй итгэлийг олж авдаг.
Таны үйлчлүүлэгч "Нотлох баримтаа үзүүлээрэй" гэж асуухад,
та Word загварын хавтас биш, харин системээ итгэлтэйгээр нээж чаддаг байх ёстой.

GRC зөвлөхүүддээ зориулсан мессеж

“GRC зөвлөхүүдийн хувьд бид зөвхөн стандартыг хэрэгжүүлээд зогсохгүй, үйлчлүүлэгчиддээ итгэлцлийн хүрээг бий болгож байна.

Бидний хийсэн товчлол бүр хурдан төслийг хожиж болох ч энэ нь бидний шударга байдлыг алдагдуулдаг.

Үргэлж санаж байгаарай - таны ёс зүй, бодитой байдал, үнэт зүйлс нь таны итгэл үнэмшлийг ямар ч гэрчилгээ эсвэл төлбөрөөс илүү тодорхойлдог.

Хяналтыг чин сэтгэлээсээ хэрэгжүүлж, үйлчлүүлэгчдээ үнэнчээр удирдаж, ашгийн төлөө мэргэжлийн ур чадвараа хэзээ ч бүү буулт хий.

Учир нь өдрийн эцэст бид зөвхөн нийцлийн зөвлөхүүд биш -
бид засаглал, итгэлцлийн хамгаалагчид юм.”

Дүгнэж хэлэхэд:
ISO 27001 нь хайрцгийг тэмдэглэх тухай биш юм. Энэ нь уян хатан байдлыг бий болгох тухай юм.
Гэрчилгээг худалдаж авч болно - гэхдээ итгэлцлийг бий болгох ёстой.

30/10/2025

Мэдээллийн технологийн дэд бүтцийн үүрэг нь байгууллагын технологийн орчныг найдвартай, аюулгүй, үр ашигтай байлгахын тулд өргөн хүрээний ажлуудыг хамардаг. Үндсэн чиглэл, ажлуудын дэлгэрэнгүй задаргааг энд оруулав:

1. Сүлжээний менежмент:
Дотоод сүлжээ (LAN), интернет сүлжээ (WAN), VPN-ийг зохион бүтээх, хэрэгжүүлэх, засвар үйлчилгээ хийх.
Сүлжээний гүйцэтгэлийг хянах, холболтын асуудлыг шийдвэрлэх.
Галт хана, чиглүүлэгч, унтраалга болон бусад сүлжээний төхөөрөмжийг тохируулах.
Сүлжээний аюулгүй байдал, бодлогын нийцлийг хангах.

2. Сервер ба системийн удирдлага:
Серверүүдийг (Windows, Linux эсвэл эрлийз орчин) суулгах, тохируулах, засвар үйлчилгээ хийх.
Active Directory, DNS, DHCP болон бусад үйлчилгээг удирдах.
Засвар, шинэчлэлтийг хэрэгжүүлэх, серверийн ажиллагааг хянах.
Өндөр хүртээмжтэй байдал болон гамшгийн дараах нөхөн сэргээлтийн стратеги хэрэгжиж байгаа эсэхийг баталгаажуулах.

3. Үүлэн технологи ба виртуалчлал
Виртуал машинууд (VMware, Hyper-V) болон үүлэн дэд бүтэц (AWS, Azure, Google Cloud)-ийг байршуулах, удирдах.
Үүлэн нөөцийг хянах, зардлыг оновчтой болгох, үйлчилгээг өргөжүүлэх.
Үүлэн орчинтой орон нутгийн системийг нэгтгэх.

4. Хадгалалт ба Нөөцлөлтийн Удирдлага
Хадгалах шийдлүүдийг тохируулах (SAN, NAS эсвэл үүлэн хадгалалт).
Өгөгдөл алдагдахаас урьдчилан сэргийлэхийн тулд нөөцлөлт болон сэргээх төлөвлөгөөг хэрэгжүүлэх.
Хадгалах сангийн гүйцэтгэл болон багтаамжийн төлөвлөлтийг хянах.

5. Аюулгүй байдал ба нийцэл
Аюулгүй байдлын хэрэгслүүдийг удирдах: вирусны эсрэг, төгсгөлийн цэгийн хамгаалалт болон халдлага илрүүлэх системүүд.
Эмзэг байдлын үнэлгээ хийх, бууруулах стратеги хэрэгжүүлэх.
Мэдээллийн технологийн бодлого, өгөгдөл хамгаалах, нийцлийн стандартыг хэрэгжүүлэх (жишээ нь, GDPR, ISO 27001).

6. Мэдээллийн технологийн дэмжлэг ба алдааг олж засварлах
Хэрэглэгчдийг техник хангамж, програм хангамж болон холболтын асуудлаар дэмжих.
Ажлын станц, зөөврийн компьютер, принтер болон гар утасны төхөөрөмжийг суурилуулах, тохируулах.
Мэдээллийн технологийн дэд бүтэц болон стандарт үйл ажиллагааны журмын (SOP) баримт бичгийг хадгалах.

7. Хяналт ба оновчлол
Системийн эрүүл мэнд, гүйцэтгэлийг хянахын тулд хяналтын хэрэгслүүдийг ашиглах (жишээ нь, Nagios, Zabbix).
Ирээдүйн өсөлтийн хувьд тогтмол аудит хийх, багтаамжийн төлөвлөлт хийх.
Хурд, үр ашиг, найдвартай байдлыг сайжруулахын тулд нөөцийг оновчтой болгох.

8. Төсөл ба нийлүүлэгчдийн менежмент
Мэдээллийн технологийн төслүүдийг зохицуулах: шинэчлэлт, шилжилт хөдөлгөөн, шинэ байршуулалт.
Худалдан авалт, лиценз, дэмжлэг үзүүлэх чиглэлээр нийлүүлэгчидтэй харилцах.
Төслүүдийг цаг тухайд нь, төсөвт багтаан, бизнесийн шаардлагыг хангаж байгаа эсэхийг баталгаажуулах.

Товчхондоо:
Мэдээллийн технологийн дэд бүтцийн мэргэжилтэн нь бүх мэдээллийн технологийн системүүд - сүлжээ, сервер, хадгалалт, үүлэн үйлчилгээ - аюулгүй байдал, найдвартай, өргөтгөх боломжтой, бизнесийн үйл ажиллагааг дэмжих зорилгоор оновчтой болгосон эсэхийг баталгаажуулдаг.

30/10/2025

Мэдээллийн аюулгүй байдал ба кибер аюулгүй байдал гэж юу вэ?

Олон хүмүүс Мэдээллийн аюулгүй байдал (InfoSec) болон кибер аюулгүй байдал гэсэн нэр томьёог хооронд нь сольж хэрэглэдэг боловч эдгээр нь яг адилхан биш юм. Хоёулаа өгөгдөл болон системийг хамгаалах зорилготой боловч тэдгээрийн цар хүрээ, чиглэл нь өөр өөр байдаг. Энэ ялгааг ойлгох нь мэргэжилтнүүдэд дижитал болон дижитал бус мэдээллийг хоёуланг нь хамгаалах зөв стратеги хэрэгжүүлэхэд тусалдаг.

Задалбарыг энд оруулав 👇

🔒 Мэдээллийн аюулгүй байдал (InfoSec):
Дижитал, физик эсвэл бүр аман хэлбэрээр ч бай бүх төрлийн мэдээллийг хамгаалахад анхаарлаа хандуулдаг. Гол зорилго нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг (CIA Triad) хадгалах явдал юм. InfoSec нь өгөгдлийг зөвшөөрөлгүй хандалт, задруулга, өөрчлөлтөөс хамгаалах бодлого, хандалтын хяналт, журмыг тогтоохыг багтаадаг.
📘 Жишээ: Файлын шүүгээг түгжих, нууц баримт бичгийг шифрлэх, эсвэл хандалтын хяналтын бодлогыг хэрэгжүүлэх.

🌐 Кибер аюулгүй байдал:
Энэ нь компьютер, сүлжээ, сервер зэрэг дижитал өгөгдөл болон интернетэд холбогдсон системүүдийг кибер халдлагаас хамгаалахтай тусгайлан холбоотой Мэдээллийн аюулгүй байдлын дэд хэсэг юм. Кибер аюулгүй байдал нь хортой програм хангамж, ransomware, фишинг, хакердах оролдлого зэрэг аюул заналхийллээс системийг хамгаалахад чиглэгддэг.
📘 Жишээ: Галт хана суурилуулах, вирусны эсрэг програм хангамж ашиглах, сүлжээний урсгалыг хянах эсвэл кибер ослын үед хариу арга хэмжээ авах.

Цаасан эсвэл үүлэн дээр байгаа эсэхээс үл хамааран өгөгдөл аюулгүй, хувийн, найдвартай хэвээр байхын тулд хоёр салбар хоёулаа хамтран ажилладаг.

29/10/2025

Төслийн менежментэд кибер аюулгүй байдал яагаад чухал вэ?

Төсөл бүр нь төсөв, үйлчлүүлэгчийн мэдээлэл, оюуны өмч эсвэл нийлүүлэгчийн итгэмжлэл зэрэг нууц мэдээллийг хамардаг. Эдгээр хөрөнгө нь кибер халдлагын гол бай болдог. Ransomware, фишинг болон дотоод аюул заналхийлэл нэмэгдэж байгаа тул Ерөнхий сайд нар кибер аюулгүй байдлын арга хэмжээг төслийг эхлүүлэхээс эхлээд хаах хүртэлх үе шат бүрт урьдчилан сэргийлэх байдлаар нэгтгэх ёстой.

Кибер аюулгүй байдлын эрсдэлийн удирдлага нь зөвхөн өгөгдлийн аюулгүй байдлыг төдийгүй оролцогч талуудын итгэлийг нэмэгдүүлдэг. Өгөгдлийн засаглал болон эрсдэлийг бууруулах хүчтэй арга хэмжээг харуулсан төсөл нь тодорхой мессежийг илгээдэг: энэ баг шударга байдал, хууль тогтоомжийг дагаж мөрдөх, хариуцлагатай байдлыг хангасан.

25/09/2025

MNCERTCC event was amazing, thank you all.

27/11/2024

How to know if your phone is being spied on?
1. * #21 #
You can type * #21 # on your phone and press the green call button. This will show you if your calls, messages, and other information are being diverted. This method is also used by jealous couples and parents who are afraid that their children will be trafficked and fall into the hands of others. The victims of this case are always the elderly, and it is their mistake to immediately agree to a stranger asking to talk on their phone. Criminals are hacking into other people's phones and stealing personal information and family status.
2. * #62 #
If your phone is not receiving calls and it seems that it is being diverted, dial * #62 # and get the answer.
3. # #002 #
By dialing this code, you will delete all the connections that are trying to get information from your phone. Use this method and clean all the connections before you become a victim.
4. * #06 #
With this code, you can find your "IMEI" or International Mobile Equipment Identity number. Using this number, you can find your mobile phone if it is lost. You need to know this number because it can determine its location when the phone is turned on. You can dial * #06 # right now and write down your number.
5. James Bond code
If you want to know if someone is following you or tracking you, use the code below. Before entering the code, you must install the application netmonitor on your phone.
For "iPhone" mobile phone: *3001 #12345 #*
For "Android" mobile phone: * #* #4636 #* #* or * #* #197328640 #* #*
6. Install an antivirus program
If you use an "Android" mobile phone, always check for viruses. The most dangerous is the "PlaceRaider" virus, which penetrates the phone, captures images of the surroundings through the camera, and creates a 3D model of the environment. When connected to the Internet, it broadcasts mobile phone passwords and other information, causing problems.
7. How do special services listen to phone conversations?
National security agencies of countries work together with mobile phone operators. According to court decisions, operators fully grant security services the right to listen to their customers' calls.
If special services were listening to your phone, you would have no way of knowing. If your phone was malfunctioning, the battery was running out quickly, or it was overheating, you would probably not think that intelligence services were listening.
For people who do not often talk on their mobile phones, there is a listening device installed in the room, which can be detected by a radio wave detector.
8. How to protect yourself from criminals?
Instead of talking and texting on your cell phone, you can use messengers such as "Telegram", "Chare", "Wickr" and "Signal".
First of all, think carefully about what information you can leave unmonitored and exposed. Remember that it is too dangerous for others to know your cell phone number and family information. Be careful when posting photos of your children on the Internet.
You should always be careful when downloading programs on your phone. Also, install as many functional applications as possible. Do not open emails from strangers.
Only official mobile operators offer location services. But remember that only with the permission of the owner. Otherwise, if someone offers you a location service, suspect that it is a criminal. Be careful!

01/05/2024

Ohh nice

The unification of firewall security and management is accomplished with hybrid mesh firewalls (HMF). This approach offers significant value by combining the benefits of multiple firewall architectures.