Lecture01 2012

CS210-Компьютерийн ёс зүй ба хууль

http://d-cs210.blogspot.comБ. Долгорсүрэн

Багшийн 70 оноо

●Үнэлгээ○Ирц, идэвхи - 20 оноо○Сорил 2 удаа - 20 оноо○Бие даалт 4 удаа - 30оноо

Этика (ёс зүй) болон хууль

Ёс зүй●Ёс зүй гэдэг нь Грекийн ethe- зан авир гэдэг

үгээс гаралтай. ●Үнэт зүйл, нэр төр, зөв зан үйлийн тухай хэд

хэдэн онолын нэгдэл ●Ёс суртахууны ямар нэг шийдвэр гаргах үедээ

ашиглах нийтлэг дүрэм/зарчмуудын тухай онолын цогц○ Эдгээр дүрмүүдийн үндэслэлийг бий болгох

●Эдгээр онолууд дээр тулгуурлан хүний үйлдэл бүрийг сайн, муу хэмээн шүүж болно.

Компьютерийн ёс зүй гэж ву вэ?

●James H. Moore-ийн хэлснээр, “Компьютерийн этик гэдэг нь МТ-ийг ёс зүйтэй ашиглахын тулд компьютерийн технологи болон хамааралтай бусад зүйлсийн мөн чанар, нийгмийн нөлөөллийг шинжлэх ухаан юм.

●Энэ нь компьютерийн технологийн нөлөөлөлд орсон хүний зан үйлийн мөн чанар, үнэт зүйлсийг судлах шинжлэх ухаан.

●Ямар нэг үйлдэл хийхийнхээ өмнө хүн шийдвэр гаргах үед компьютерийн нөлөөлөл хүчтэй болсон.

Компьютер болон мэдээллийг ёс зүйг яагаад судалдаг вэ?

●Бодит ертөнцтэй зэрэгцэн оршиж буй тооцоолох, кибер ертөнцөд ёс зүйн үзэл санаа, үнэт зүйлсийг хэвшүүлэх

●Компьютер, тооцоолох онцлог талбарт ёс зүйн асуудлуудыг тодруулах, тэдгээрийг шийдэх

Та яагаад компьютерийн ёс зүйг судлах ёстой юм бэ?

●Moore-ийн үзэж байгаагаар компьютерийн этикийн гол зорилт нь бодлого байхгүй орчинд “чухам юу хийж болох вэ?” гэдгийг тодорхойлоход оршино.

●Энэ хоосон орчны шалтгаан нь кибер ертөнцөд ноёлж буй эмх замбараагүй байдалд оршино.

●Нэгэнт бид энэ эмх замбараагүй байдлыг үүсгэж буй компьютерийн технологийг зогсоож чадахгүйгээс хойш компьютерийн технологийн өөрчлөлттэй зохицон ажиллах, мөн үүсэн гарч буй ёс зүйн асуудлыг боловсруулах төлөвлөгөө гаргах нь зүйтэй.

●Энд онолын хоёр үндсэн чиглэл, сургууль байна:○ Компьютерийн ёс зүйг судлах нь хамтын ёс зүйн

боловсролын нэг хэсэг юм. ○ Компьютерийн ёс зүй нь ёс зүйн боловсролын нэг

хэсэг биш, харин бүрэн бие даасан, тусдаа судлагдах салбар юм.

●Хоёрдахь хандлага оршин байгааг Walter Maner дараах байдлаар тайлбарласан байна:○Хүний үйл ажиллагаанд компьютер нэвтрэн

орж ирсэн нь өөр бусад ямар ч салбарт байхгүй ёс зүйн цоо шинэ асуудлуудыг үүсгэж байна. Тиймээс бие даан судлагдах ёстой.

● Тиймээс бид компьютерийн ёс зүйг заавал судлах ёстой:○ Ингэж судлах шаардлага нь биднийг

хариуцлагатай, өндөр мэргэшсэн хүмүүс шиг байхыг шаардаж байна

○ Ингэж судалснаар компьютерийг буруугаар ашиглах, саатал, сүйрэл үүсгэхгүй байхад бид суралцана.

○ Компьютерийн технологийн түрүүлсэн хөгжил нь бодлогын хоосон орон зайг үүсгэсээр байна.

○ Компьютер ашиглах нь ёс зүйн зарим асуудлыг эрс өөрчилж байгаа учир тусгайлан судлах зайлшгүй шаардлагатай болсон.

○ Компьютерийн технологи ашиглах нь тусгайлан судалвал зохих, ёс зүйн шинэ асуудлуудыг үүсгэсэн, үүсгэсээр байна.

Асуудлын шинжилгээ

●Өнөөдөр улам бүр өсөн нэмэгдэж буй кибер халдлагууд болон хорлон сүйтгэх халдлагуудын улмаас МАБ, хүний АБ-ын асуудлууд хурцаар тавигдаж үндэсний мэдээллийн дэд бүтцийг хамгаалах хэрэгцээ үүсэж байна.

Онц чухал, эмзэг дэд бүтцүүд

Төр, Засгийн байгууллагууд

Онцгой байдлын алба

Харилцаа холбоо

Эрчим хүч Тээвэр

Банк санхүү

Ус, суваг

Нефть, шатахуун, хий

Хэзээ нэгэн цагт энэ бүхэн төгсөх үү?

●Кибер орчны (мэдээллийн) дэд бүтэц болон харилцан холболтын протоколууд мөн чанарын хувь сул, эмзэг

●Кибер орчин дахь ердийн хэрэглэгчид сүлжээний дэд бүтэц, түүний сул тал, цоорхойнуудын талаар маш сул мэдлэгтэй байна.

●Нийгэм бүхэлдээ өөрийн сайн ойлгохгүй байгаа тэр технологи, дэд бүтцээс улам бүр хамааралтай болж байна.

●Тиймээс төгсөхгүй, нэмэгдэнэ.

●Нийгмийг ухааруулах, ойлголтыг нэмэгдүүлэх урт удаан хугацааны битгий хэл жижиг төлөвлөгөө, механизм ч алга байна.

●Кибер орчны сүйтгэгчдийг “овсгоот залуус” хэмээн үзэх хандлага нийгэмд хүчтэй байгаа.

●Халдлага үйлдэгдсэний дараа цоорхойг нөхөж арилгадаг шийдэл л дэлгэрч байна.

●Үүний хор уршиг, үнэ цэнэ нь өдөр бүр тод болж байна.

●Тайлагнах нь сайн дурын, тохиолдлын, өөрийн хүслийн асуудал болжээ.

●Бүх нийтээрээ кибер сүйтгэлийн ноцтой шинжийг ойлгох зайлшгүй шаардлагатай болжээ.

Шалтгаан нь юу юм бэ? ● Өшөө хонзон/эсэргүүцэл

■ Дэлхийн худалдааны байгууллага, Олон улсын санхүүгийн байгууллагууд, Прага, Унгар, Италид болсон даяаршлын тухай хурлуудын эсрэг сүлжээний төрөл бүрийн халдлага хийгдсэн. Joke/Hoax/Prank

● Хакеруудын ёс суртахуунгүй байдал■ Мэдээлэл үнэгүй байх ёстой гэсэн зарчим

● Хорлон сүйтгэх ажиллагаа● Улс төрийн болон цэргийн тагнан турших аж-гаа ● Бизнесийн өрсөлдөөн, тагнуул ● Үзэн ядалт (үндэс угсаа, хүйс, арьс өнгө г.м) ● Шунал, хувийн ашиг сонирхол, нэрд гарах хүсэл, алдар

хүнд, зугаа цэнгэл ● Үл тоомсрлох, үл мэдэх

Кибер гэмт хэргийг илрүүлэхэд тулгарч буй асуудлууд

●Ихэнх улсад кибер халдлага, будлиан, гэмт хэргийг илрүүлэх, боловсруулах, мэдэгдэх тайлагнах механизм байхгүй байна.

●Системтэй холбогдсон халдлага, будлианыг мэдээлэхгүй байх сонирхол хувийн салбарт маш хүчтэй. Өрсөлдөгчид, хувьцаа эзэмшигчид, хэрэглэгчдийн өмнө нэр хүндээ алдах, зах зээлээ алдах, менежментийн сул талаа харуулахаас айх айдастай холбоотой.

●Одоо байгаа тайлагнах тогтолцоог сайжруулах, дэмжих санаачлага дутмаг.

●Сүүлийн үеийн судалгааны үр дүнгээс харахад дотроосоо халдах нь эрс нэмэгдэж байна. Энэ нь кибер гэмт үйлдлийг илрүүлэх тайлагнах ажиллагааг маш хүндрүүлдэг. Гал түймэртэй тэмцэх албан галдан шатааг өөрөө ажиллаж байгаатай нэгэн ижил утгатай болж байна.

●Ихэнх улсад цахим халдлагатай тэмцэх бэлтгэгдсэн, мэргэшсэн баг, агентлаг байхгүй байна.

Нийгмийн болон ёс суртахууны хор уршиг

● Сэтгэл зүйн үр нөлөө – нийгмээ үзэн ядах, хувь хүмүүсээр даажигнах, тоглох.○ Нийгмээсээ тусгаарлагдаж болно, ○ Тусгаарлагдсан байдлыг нэмэгдүүлж байгаа учир

нийгэм, хүн, байгууллагад хортой, үнэтэй, аюултай тусна.

● Ёс суртахууны ялзрал– бидний бүх ажиллагаа ёс суртахууны хэм хэмжээнд захирагдана. Хүний үйл ажиллагаа сайн ч, муу ч байнга үйлдээгдээд эхлэхээрээ “ердийн” зүйл мэт болж хувирна. Өмнө нь ёс зүйгүй, зүй бус хэмээн үзэж байсан муу үйлийг ингэж хүлээн авах болсноор нийгмийн ёс суртахууны ялзралд орж эхэлдэг.

● Нууцлал, халдашгүй байдал алдагдах – Халдлагын дараа ихэнх байгууллагууд яаравчилсан түргэн шийдэл гаргадаг, алддаг. Яаравчлан нөхөөс, шүүлтүүр, халдлага илрүүлэх хэрэгсэл суулгах, эсхүл цогцоор нь шийдэхийг оролддог.

■ Өнөө үед цоо шинэ хандлагууд гарч байна. Онцлог шинжийг шинжих, э-мэйлийг шиншлэх шиншлэгчид-сканерууд, тухайлбал Echlon ашиглаж байна. Echlon нь АНУ-ын ЗГ-ын өндөр технологийн тагнуулын програм. Энэ өгөгдсөн түлхүүр үгийн тусламжтайгаар хэдэн сая цахим шууданг шиншлэн шалгаж чадна.

■ Хортой код бичигчдийг мөшгөн олдог технологи гарч байна.

● Итгэл алдагдах – Хувийн нууцлал алдагдаж байгаатай холбоотойгоор итгэл хамт алдагдана. Төрөл бүрийн МТ-ийн үйлчилгээ үйлчлүүлэгчдээ алдана. Хувь хүмүүс халдлагад өртсөнөөр өмнө нь итгэж байсан хүмүүс, байгууллага, үйлчилгээ, веб сайтад итгэхээ болино.

Хууль, эрх зүй

●Эрх бүхий байгууллагаас батлан гаргасан, эсхүл жам ёсоор үүсэн тогтож нийтээрээ хүлээн зөвшөөрсөн, эсхүл зарим хэрэгслийн хэрэгжүүлж буй зан үйлийн дүрэм

●Бид юуны өмнө хоёр төрлийн эрх зүйд захирагдан зан үйлээ хэрэгжүүлдэг: Жам ёсны болон ердийн

Жам ёсны эрх зүй●Бичигдээгүй, гэхдээ олон талт●Дараах эрхүүдийг баталгаажуулдаг:

○ Өөрийгөө хамгаалах (өөрийгөө хадгалах)○ Нэг бүрийн эрх○ Эрх чөлөө

●Хүн төрөлхтөний хэм хэмжээний нэг дээд хэмжээ. Хүний зан үйл, хүсэл санаанаас үл хамаарна.

●Хүмүүс нийгэм болон зохион байгуулагдахаас өмнө жам ёсны эрх зүйг баримталж байв.

●Соёл иргэншил үүн дээр тулгуурладаг.

Ердийн хуулиуд●Энэ нь хүн өөрөө, өөрсдийн төлөө үүсгэж,

хүлээн зөвшөөрч даган мөрдөж буй зан үйлийн дүрмийн тогтолцоо.

●Төрийн байгууллагууд, цөөхөн боловч олон нийтийн хэлэлцүүлгээр батлана.

●Улс улсад өөрөөр тодорхойлогдоно, өөрөөр батлагдана.

●Дэлхий дээр ялгаатай олон тогтолцоо бий ●Зорилго нь:

○ Хүний амь нас, өмчё, эрх, эрх чөлөөг хамгаалах.○ Хууль бус үйлдэл, эс үйлдэхүйн төлөө хүлээлгэх

хариуцлагыг тогтоох

Хууль болон ёс зүй● Ихэнх хуулиуд ёс зүйн хэм хэмжээ, дүрмүүдээс эх

үүсвэртэй● Хэдийгээр хуулиуд ёс зүйн зарчмуудыг өөртөө

шингээсэн боловч багагүй ялгаатай зүйлс. ● Ёс зүйн хувьд зүй бус маш олон үйлдлийг хуулиар

хориглоогүй-тиймээс хууль бус гэж үзэгддэггүй. Тухайлбал найздаа худал хэлэх, хууран мэхлэх.

● Мөн түүнчлэн хууль бус гэж тооцогддог боловч ёс суртахууны хувьд буруутгагддаггүй үйлдлүүд бас олон. Тухайлбал зарим улсад цаас хаясан тохиолдолд, тамхи татсан тохиолдолд эрүүгийн хариуцлага хүлээлгэдэг.

○ Тэгэхээр хуулиуд ёс суртахууны хэм хэмжээг хуульчилснаар бий болдог гэж ойлгож болохгүй.

Компьютерийн (кибер) гэмт хэрэг гэж юу вэ?

●Улс улсад өөрөөр тодорхойлдог.●Компьютер, тооцоолох хэрэгсэл ашиглан

үйлдэгдсэн аливаа гэмт хэрэг●Кибер орчинд үйлдэгдэж буй гэмт үйлдлүүд●АНУ-д “үйлдэх, мөрдөх, шийдвэрлэхэд нь

компьютерийн мэдлэг нэн чухал үндэс суурь нь болдог хууль бус үйлдлүүд” гэж тодорхойлдог.

Ёс суртахууны дүрэм (хууль)

Ёс зүйн дүрмүүдээр мэргэжлийн хүрээнд баримтлах болон мэргэжлийн ажиллагаандаа баримтлах зан үйлийн өргөн хүрээний дүрмийг тогтоодог. Нэг бүрийн ёс суртахууны дүрэм, мэргэжлийн нийтлэг дүрэм. Мэргэжлийн болон ёс суртахууны зан үйлийн дүрэм нь хуулийн заалттай давхцахын зэрэгцээ тэдгээрээс ялгагдана.

Ёс зүйн дүрэм болон хууль

●Хуулийн заалтууд болон мэргэжлийн ёс зүйн дүрмүүд нийцэх нь элбэг, ө.х мэргэжлийн зан үйл нь ёс зүйтэй байхын тулд хууль ёсны байна, заримдаа ёс зүйгүй бөгөөд хууль бус байдаг.

●Заримдаа энэ хоёр зөрчилдах, үл нийцэх байдал бий болдог. Энэ нь мэргэжилтнүүдийн хувьд маргааны сэдэв.

●Мэргэжлийн үйл ажиллагаа нь хууль ёсны мөртлөө ёс суртахуунгүй байж болдогтой нэгэн адил ёс суртахуунтай мөртлөө хууль бус байж болно.

Компьютерийн хуулиуд

●Маш чухал ач холбогдолтой●Хоёр үндсэн чиглэлтэй.

○ МАБ-ын зөрчил, зөрчил гаргагчдад хандах сөрөг хандлагыг нийгэмд (түүний дотор ял шийтгэл оноох замаар) бий болгох, хэвшүүлэхэд чиглэгдсэн (хязгаарлахад чиглэгдсэн гэж болно);

○ МАБ-ын талаархи нийгмийн ойлголт, мэдлэгийн түвшинг дээшлүүлэхэд чиглэгдсэн чиглүүлэгч, уялдуулагч хэм хэмжээ (бүтээн босгох чиглэлтэй).

Зорилго

●Компьютерийн мэргэжлийн ёс зүй болон Мэдээллийн Аюулгүй Байдлын чухал шинжийг тодотгох, судалгааны чухал чиглэлд нөөцийг төвлөрүүлэх, МАБ-ын дөрвөн түвшний хандлагыг байгууллага бүрт бий болгох, сургалт, боловсролын үйл ажиллагааг уялдуулах, зөрчил гаргагчид хандах сөрөг хандлагыг бий болгох, төлөвшүүлэхэд хууль тогтоомжууд чиглэгдсэн байна.

Монгол улсын хууль тогтоомж●Үндсэн хууль●Иргэний хууль●Эрүүгийн хууль●ЭБШХууль●Төрийн нууцын тухай хууль, жагсаалт

батлах тухай хууль●Байгууллагын нууцын тухай хууль●Хувийн нууцын тухай хууль

Монгол улсын Хууль тогтоомж●Мэдээллийн Аюулгүй байдлын хууль●“Цахим гарын үсгийн хууль”, ●Өгөгдөл хамгаалах тухай хууль●“Харилцаа, Холбоо, Мэдээллийн

Технологийн хууль”, ●“Цахим хэлцлийн тухай” хууль●“Цахим засгийн тухай” хууль●Тусгай зөвшөөрөл

Гадаадын хууль тогтоомж●АНУ-д 500 орчим акт байна

○Computer Security Act of 1987○Computer Security Enhancement Act 1997○Computer Security Enhancement Act of 2001○БХЯ, ҮАБАгентлаг, ХМТ, ТЕГ-ын ашиг

сонирхлыг хамгаалсан заалтууд, хязгаарласан заалтууд их бий.

●ХБНГУ-д Federal Data Protection Act of December 20, 1990. Хэд дахин нэмэлт орсон

Гадаадын хууль тогтоомж●ИБУИНВУ-д BS 7799 серийн сайн

дурын багц стандарт●Хулио Цезар Ардита, "El Griton“

баривчлагдаад суллагдсан. Аргентиний хуулинд заалт байхгүй. АНУ-ын Тэнгисийн цэргийн хүч, NASA, их сургуулиуд, Бразил, Чили, Солонгос, Мексик болон Тайванийн сүлжээнүүдэд хууль бусаар нэвтэрч орсон.

Стандартууд●Мэдээллийн систем, хамгаалалтын

хэрэгслүүдийг аюулгүй байдлын шаардлагын дагуу ангилахад чиглэгдсэн үнэлгээний стандартууд;

●Хамгаалалтын хэрэгслүүд, арга хэмжээг хэрэгжүүлэх янз бүрийн асуудлыг зохицуулсан техникийн тодорхойлолтууд.

Стандартууд● АНУ-ын “Оранж бүүк” буюу улбар шар ном,● Итгэл хүлээлгэж болох систем гэж ангилдаг● Хоёр үндсэн шалгуураар үнэлдэг

○ Аюулгүй байдлын бодлого – байгууллага мэдээллийг хэрхэн боловсруулж, хамгаалж, тараах үндсийг тодорхойлж буй зарчим, зан үйлийн журам, дэг. Аюулгүй байдлын бодлого нь боломжит аюулыг шинжлэх, сөрөг арга хэмжээг сонгох ажиллагааг хамаарсан хамгаалалтын идэвхтэй хэсэг.

○ МС-ийн архитектур, шийдлүүд – итгэл өгөх түвшинг тодорхойлогч гол үзүүлэлт. Хамгаалалтын идэвхгүй хэсэг. Механизм нь зөв байгаа эсэхийг харуулна.

● Дараах ангилалд оруулдаг○ D, C1, C2, B1, B2, B3, A1

Стандартууд●MNS 17799.2007●MNS 27001.2009●MNS 27005.2009●MNS 13335.2009● ISO/IEC 18045:2005, “МТ-ын аюулгүй байдлын

үнэлгээ”, ● ISO/IEC 15408.2005. “МТ-ын аюулгүй байдлын

үнэлгээний шалгуурууд”, ● ISO/IEC 27006:2007“Мэдээллийн аюулгүй

байдлын удирдлагын системийг хянан шалгах, үнэлгээ хийх, гэрчилгээжүүлэх байгууллагад тавигдах шаардлага”

Стандартууд● ISO/IEC 18028-1:2006. “Сүлжээний аюулгүй байдлын

удирдлага” ● ISO/IEC 18043:2006. “Хууль бус халдлагыг илрүүлэх

системийг сонгох, суурилуулах, ажиллуулах” стандарт, ● ISO/IEC TR 18044:2004. “Мэдээллийн аюулгүй байдлын

будлианы удирдлага” стандартыг Монгол улсад хэрэгжүүлэх шаардлагатай байна.

● Мөн ISO/IEC 19790:2006. “Криптограф модулиудад тавигдах аюулгүй байдлын шаардлагууд”,

● ISO/IEC 18033-2:2006. “Шифрлэх алгоритмүүд”, ● ISO/IEC 27006:2007. “МАБ-ын удирдлагын тогтолцоонд

аудит хийх болон гэрчилгээжүүлэх байгууллагад тавигдах шаардлага”,

● ISO/IEC TR 19791:2006. “Үйлдлийн системийн аюулгүй байдлын үнэлгээ”