IT Vulnerability Assessment гэж юу вэ?

IT Vulnerability Assessment (Мэдээллийн технологийн эмзэг байдлын үнэлгээ) нь байгууллагын мэдээллийн систем, сүлжээ, сервер, аппликейшн, төхөөрөмжүүдэд оршин буй сул тал, эмзэг байдлыг илрүүлэх, үнэлэх, эрэмбэлэх системтэй процесс юм. Энэ үнэлгээ нь кибер халдлага, мэдээлэл алдагдал, системийн доголдол үүсэхээс өмнө эрсдэлийг илрүүлж, хамгаалалтын түвшинг сайжруулахад чиглэдэг.

​

Яагаад Vulnerability Assessment хийх шаардлагатай вэ?

✅ Кибер халдлагаас урьдчилан сэргийлэх. Эмзэг байдал илрүүлж засварласнаар халдлага амжилттай болох магадлал эрс буурдаг.

✅ Мэдээллийн аюулгүй байдлыг хангах. Систем, өгөгдөл, хэрэглэгчийн мэдээллийг хамгаалах үндсэн арга хэмжээ болдог.

✅ Хууль эрх зүйн шаардлага. Олон улсын стандартууд (ISO 27001, PCI DSS, HIPAA, NIST) нь тогтмол vulnerability assessment хийхийг шаарддаг.

✅ Байгууллагын нэр хүндийг хамгаалах. Мэдээлэл алдагдлын эрсдэл буурснаар хэрэглэгч, түншүүдийн итгэл нэмэгддэг.

✅ Зардлыг бууруулах. Эмзэг байдлыг урьдчилан илрүүлж засварлах нь халдлага болсны дараах сэргээн босголтоос хэд дахин бага зардалтай.

​

Vulnerability Assessment‑ийн ач холбогдол

✅ Эрсдэлийн удирдлага сайжирна. Системийн сул талуудыг эрэмбэлж, засварлах дарааллыг тодорхой болгодог.

✅ Аюулгүй байдлын түвшин бодитоор хэмжигдэнэ. Байгууллага хамгаалалтын бодит түвшнээ ойлгож, сайжруулах төлөвлөгөө гаргах боломжтой.

✅ Ил тод байдал нэмэгдэнэ. Удирдлагад аюулгүй байдлын бодит нөхцөл байдлын тайлан, нотолгоо бүрдэнэ.

✅ Стандарт, аудитын шаардлага хангана. ISO 27001, SOC 2, PCI DSS зэрэг аудитын шалгуурт нийцэхэд чухал.

✅ Бизнесийн тасралтгүй ажиллагааг хамгаална. Системийн доголдол, халдлагаас үүдэх тасалдлыг бууруулдаг.

 

Хэн Vulnerability Assessment хийх ёстой вэ?

✅ Мэдээллийн системтэй бүх байгууллага. Сүлжээ, сервер, вэб систем, аппликейшн, cloud ашигладаг бүх байгууллага.

✅ Мэдээллийн аюулгүй байдлын өндөр шаардлагатай салбарууд. Санхүү, банк, Эрүүл мэнд, Төрийн байгууллага, 

Телеком, Онлайн үйлчилгээ, e‑commerce, SaaS үйлчилгээ үзүүлэгчид.

✅ Хэрэглэгчийн өгөгдөл, төлбөрийн мэдээлэл, хувийн мэдээлэл хадгалдаг байгууллага. PII, PHI, PCI өгөгдөлтэй ажилладаг бүх байгууллага.

​

Vulnerability Assessment‑ийн үндсэн бүтэц

1. Asset Identification (Хөрөнгийн бүртгэл) - Систем, сервер, аппликейшн, сүлжээ, төхөөрөмжүүдийг бүрэн тодорхойлох.

2. Vulnerability Scanning - Автоматжуулсан хэрэгслээр эмзэг байдлыг илрүүлэх (Nessus, Qualys, OpenVAS гэх мэт).

3. Vulnerability Analysis - Илэрсэн сул талыг шинжлэх, нөлөөлөл, магадлалыг үнэлэх.

4. Risk Rating - CVSS оноогоор эрэмбэлэх (Critical, High, Medium, Low).

5. Remediation Planning - Засварлах арга хэмжээ, хугацаа, хариуцагчийг тодорхойлох.

6. Reporting - Удирдлагад зориулсан тайлан, техникийн тайлан, нотолгоо, зөвлөмж.

7. Re‑scan / Validation - Засвар хийсний дараа дахин шалгаж баталгаажуулах.

​

Vulnerability Assessment‑ийн үндсэн чиглэл
✅ Network Vulnerability Assessment - Firewall, router, switch, internal/external network‑ийн эмзэг байдлыг шалгах.

✅ Server & Endpoint Assessment - Windows, Linux сервер, хэрэглэгчийн төхөөрөмжийн хамгаалалт.

✅ Web Application Vulnerability Assessment - OWASP Top 10‑ийн дагуу веб системийн сул тал илрүүлэх.

✅ Cloud Security Assessment - AWS, Azure, GCP орчин дахь тохиргоо, нууцлал, хандалтын хяналт.

✅ Configuration Review - Security baseline‑тай харьцуулж тохиргооны алдаа илрүүлэх.

✅ Patch Management Review - Update, patch‑ийн хоцрогдол, эмзэг байдлын lifecycle‑ийг үнэлэх.

✅ Access Control & Authentication Review - Хэрэглэгчийн эрх, нууц үгийн бодлого, MFA, privileged access.

✅ Log & Monitoring Review - SIEM, audit log, alerting‑ийн үр ашиг.

✅ Third‑party / Vendor Risk - Гадаад үйлчилгээ үзүүлэгчдийн аюулгүй байдлын эрсдэлийг үнэлэх.