आईटी संकट: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 1: Line 1:
{{Short description|Any risk related to information technology}}
{{Short description|Any risk related to information technology}}
सूचना प्रौद्योगिकी [[जोखिम]], आईटी जोखिम, आईटी से संबंधित जोखिम या साइबर जोखिम सूचना प्रौद्योगिकी से संबंधित कोई भी जोखिम है।<ref>{{Cite web|title=What is IT risk? {{!}} nibusinessinfo.co.uk|url=https://www.nibusinessinfo.co.uk/content/what-it-risk|access-date=2021-09-04|website=www.nibusinessinfo.co.uk}}</ref> जबकि सूचना को एक मूल्यवान और महत्वपूर्ण संपत्ति के रूप में लंबे समय से सराहा गया है, [[ज्ञान अर्थव्यवस्था]] और [[डिजिटल क्रांति]] के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तेजी से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी तरह से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।
सूचना प्रौद्योगिकी [[जोखिम|संकट]], आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।<ref>{{Cite web|title=What is IT risk? {{!}} nibusinessinfo.co.uk|url=https://www.nibusinessinfo.co.uk/content/what-it-risk|access-date=2021-09-04|website=www.nibusinessinfo.co.uk}}</ref> जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, [[ज्ञान अर्थव्यवस्था]] और [[डिजिटल क्रांति|अंकीय क्रांति]] के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।


विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी जोखिमों का आकलन और माप करने का एक सामान्य तरीका है।<ref>"Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)</ref> आईटी जोखिम को मापने के वैकल्पिक तरीकों में आम तौर पर अन्य अंशदायी कारकों जैसे [[साइबर खतरा]], भेद्यता, जोखिम और परिसंपत्ति मूल्यों का आकलन करना शामिल है।<ref>{{Cite news|url=https://threatsketch.com/3-types-cyber-security-assessments/|title=3 Types Of Cybersecurity Assessments – Threat Sketch|date=2016-05-16|work=Threat Sketch|access-date=2017-10-07|language=en-US|archive-date=2018-11-07|archive-url=https://web.archive.org/web/20181107000808/https://threatsketch.com/3-types-cyber-security-assessments/|url-status=dead}}</ref><ref>{{Cite news|url=https://danielmiessler.com/study/security-assessment-types/|title=सूचना सुरक्षा आकलन प्रकार|work=danielmiessler.com|access-date=2017-10-07|language=en-US}}</ref>
विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने का एक सामान्य विधि है।<ref>"Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)</ref> आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे [[साइबर खतरा|साइबर संकट]], भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।<ref>{{Cite news|url=https://threatsketch.com/3-types-cyber-security-assessments/|title=3 Types Of Cybersecurity Assessments – Threat Sketch|date=2016-05-16|work=Threat Sketch|access-date=2017-10-07|language=en-US|archive-date=2018-11-07|archive-url=https://web.archive.org/web/20181107000808/https://threatsketch.com/3-types-cyber-security-assessments/|url-status=dead}}</ref><ref>{{Cite news|url=https://danielmiessler.com/study/security-assessment-types/|title=सूचना सुरक्षा आकलन प्रकार|work=danielmiessler.com|access-date=2017-10-07|language=en-US}}</ref>




Line 8: Line 8:


=== आईएसओ ===
=== आईएसओ ===
आईटी जोखिम: ''संभावना कि एक दिया गया [[खतरा (कंप्यूटर)]] किसी [[संपत्ति (कंप्यूटिंग)]] या संपत्ति के समूह की [[भेद्यता (कंप्यूटिंग)]] का फायदा उठाएगा और इस तरह संगठन को नुकसान पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।''<ref name=ISO27005>ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008</ref>
आईटी संकट: ''संभावना कि एक दिया गया [[खतरा (कंप्यूटर)|संकट (कंप्यूटर)]] किसी [[संपत्ति (कंप्यूटिंग)|गुण (संगणना)]] या गुण के समूह की [[भेद्यता (कंप्यूटिंग)|भेद्यता (संगणना)]] का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।''<ref name=ISO27005>ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008</ref>




=== [[राष्ट्रीय सुरक्षा प्रणालियों पर समिति]] ===
=== [[राष्ट्रीय सुरक्षा प्रणालियों पर समिति]] ===
[[संयुक्त राज्य अमेरिका]] की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न दस्तावेजों में जोखिम को परिभाषित किया:
[[संयुक्त राज्य अमेरिका]] की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:
* सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से<ref name=CNSSI4009>[http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf CNSS Instruction No. 4009] {{Webarchive|url=https://web.archive.org/web/20120227163121/http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf |date=2012-02-27 }} dated 26 April 2010</ref> बुनियादी और अधिक तकनीकी केंद्रित परिभाषा:
* सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से<ref name=CNSSI4009>[http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf CNSS Instruction No. 4009] {{Webarchive|url=https://web.archive.org/web/20120227163121/http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf |date=2012-02-27 }} dated 26 April 2010</ref> मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
*: जोखिम - संभावना है कि एक विशेष खतरा किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
*: संकट - संभावना है कि एक विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
*राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (NSTISI) संख्या 1000,<ref>[http://niatec.info/GetFile.aspx?pid=567 National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee]</ref> NIST SP 800-30 एक के समान एक संभाव्यता पहलू प्रस्तुत करता है:
*राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,<ref>[http://niatec.info/GetFile.aspx?pid=567 National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee]</ref> एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करता है:
*:जोखिम - खतरे के घटित होने की संभावना का एक संयोजन, खतरे के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता
*:संकट - खतरे के घटित होने की संभावना का एक संयोजन, खतरे के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता


[[राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र]] आईटी क्षेत्र में जोखिम को इस प्रकार परिभाषित करता है:<ref>{{cite web|url=http://niatec.info/Glossary.aspx?term=4253&alpha=R|title=पारिभाषिक शब्दावली|access-date=23 May 2016}}</ref>
[[राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र]] आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करता है:<ref>{{cite web|url=http://niatec.info/Glossary.aspx?term=4253&alpha=R|title=पारिभाषिक शब्दावली|access-date=23 May 2016}}</ref>
# नुकसान की संभावना जो खतरे-भेद्यता जोड़े के परिणाम के रूप में मौजूद है। खतरे या भेद्यता को कम करने से जोखिम कम हो जाता है।
# हानि की संभावना जो खतरे-भेद्यता युग्म के परिणाम के रूप में स्थित है। खतरे या भेद्यता को कम करने से संकट कम हो जाता है।
# इस तरह के नुकसान की संभावना के रूप में व्यक्त नुकसान की अनिश्चितता।
# इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
# संभावना है कि एक शत्रुतापूर्ण संस्था खुफिया उद्देश्यों के लिए एक विशेष दूरसंचार या COMSEC प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक खतरे और भेद्यता हैं।
# संभावना है कि एक प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक खतरे और भेद्यता हैं।
# खतरा होने की संभावना का एक संयोजन, खतरे की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
# संकट होने की संभावना का एक संयोजन, खतरे की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
# संभावना है कि एक विशेष खतरा सिस्टम की एक विशेष भेद्यता का फायदा उठाएगा।
# संभावना है कि एक विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।


=== [[एनआईएसटी]] ===
=== [[एनआईएसटी]] ===
कई NIST प्रकाशन विभिन्न प्रकाशनों में IT संदर्भ में जोखिम को परिभाषित करते हैं: FISMApedia<ref>[http://fismapedia.org/index.php a wiki project] devoted to [[FISMA]]</ref> अवधि<ref>[http://fismapedia.org/index.php?title=Term:Risk FISMApedia Risk term]</ref> एक सूची प्रदान करें। उन दोनों के बीच:
कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया<ref>[http://fismapedia.org/index.php a wiki project] devoted to [[FISMA]]</ref> अवधि<ref>[http://fismapedia.org/index.php?title=Term:Risk FISMApedia Risk term]</ref> एक सूची प्रदान करता है। उन दोनों के बीच:
* NIST SP 800-30 के अनुसार:<ref name=SP80030>[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf NIST SP 800-30 Risk Management Guide for Information Technology Systems]</ref>
* एनआईएसटी एसपी 800-30 के अनुसार:<ref name=SP80030>[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf NIST SP 800-30 Risk Management Guide for Information Technology Systems]</ref>
*: जोखिम किसी दिए गए खतरे-स्रोत की एक विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
*: संकट किसी दिए गए खतरे-स्रोत की एक विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
* NIST FIPS 200 से<ref>[http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems]</ref>
* एनआईएसटी एफआईपीएस 200 से<ref>[http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems]</ref>
*: जोखिम - किसी खतरे के संभावित प्रभाव और उस खतरे के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, छवि, या प्रतिष्ठा सहित), संगठनात्मक संपत्ति, या व्यक्तियों पर प्रभाव का स्तर .
*: संकट - किसी खतरे के संभावित प्रभाव और उस खतरे के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर .


एनआईएसटी एसपी 800-30<ref name=SP80030/>परिभाषित करता है:
एनआईएसटी एसपी 800-30<ref name=SP80030/> परिभाषित करता है:
;आईटी से संबंधित जोखिम:
;आईटी से संबंधित संकट:
: शुद्ध मिशन प्रभाव पर विचार:
: शुद्ध मिशन प्रभाव पर विचार:
: # संभावना है कि एक विशेष खतरा-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग करेगा (गलती से ट्रिगर या जानबूझकर शोषण) और
:# संभावना है कि एक विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग ( संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
: # परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित जोखिम कानूनी दायित्व या मिशन हानि से उत्पन्न होते हैं:
:# परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
:## अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
:## अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
:## अनजाने में हुई त्रुटियां और चूक
:## अनभिप्रेत त्रुटियां और चूक
:## प्राकृतिक या मानव निर्मित आपदाओं के कारण आईटी व्यवधान
:## प्राकृतिक या मानव निर्मित आपदाओं के कारण आईटी व्यवधान
:## आईटी प्रणाली के कार्यान्वयन और संचालन में उचित देखभाल और परिश्रम करने में विफलता।
:## आईटी प्रणाली के कार्यान्वयन और संचालन में उचित देखभाल और परिश्रम करने में विफलता।


=== जोखिम प्रबंधन अंतर्दृष्टि ===
=== संकट प्रबंधन अंतर्दृष्टि ===
आईटी जोखिम भविष्य के नुकसान की संभावित आवृत्ति और संभावित परिमाण है।<ref name="riskmanagementinsight.com">[http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf FAIR: Factor Analysis for Information Risks] {{webarchive|url=https://web.archive.org/web/20141118061526/http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf |date=2014-11-18 }}</ref>
आईटी संकट भविष्य के हानि की संभावित आवृत्ति और संभावित परिमाण है।<ref name="riskmanagementinsight.com">[http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf FAIR: Factor Analysis for Information Risks] {{webarchive|url=https://web.archive.org/web/20141118061526/http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf |date=2014-11-18 }}</ref>




=== [[आईएसएसीए]] ===
=== [[आईएसएसीए]] ===
ISACA ने IT के उपयोग से संबंधित सभी जोखिमों के बारे में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए जोखिम IT फ्रेमवर्क प्रकाशित किया। वहाँ,<ref name=riskit>[http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf ISACA THE RISK IT FRAMEWORK] {{Webarchive|url=https://web.archive.org/web/20100705110913/http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf |date=2010-07-05 }} {{ISBN|978-1-60420-111-6}} (registration required)</ref> आईटी जोखिम को इस प्रकार परिभाषित किया गया है:
आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,<ref name=riskit>[http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf ISACA THE RISK IT FRAMEWORK] {{Webarchive|url=https://web.archive.org/web/20100705110913/http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf |date=2010-07-05 }} {{ISBN|978-1-60420-111-6}} (registration required)</ref> आईटी संकट को इस प्रकार परिभाषित किया गया है:
: एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, भागीदारी, प्रभाव और अपनाने से जुड़ा व्यावसायिक जोखिम
: एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, भागीदारी, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट
रिस्क आईटी के अनुसार,<ref name=riskit/>आईटी जोखिम का एक व्यापक अर्थ है: यह न केवल संचालन और सेवा वितरण के नकारात्मक [[प्रभाव (सुरक्षा)]] को शामिल करता है जो संगठन के मूल्य में विनाश या कमी ला सकता है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मूल्य को सक्षम करने वाले जोखिम को भी शामिल करता है। प्रतिकूल व्यावसायिक प्रभाव के साथ ओवरस्पेंडिंग या देर से डिलीवरी जैसे पहलुओं के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी
रिस्क आईटी के अनुसार,<ref name=riskit/>आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक [[प्रभाव (सुरक्षा)]] को सम्मिलित करता है जो संगठन के मान में विनाश या कमी ला सकता है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करता है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी


== आईटी जोखिम मापना ==
== आईटी संकट मापना ==
: आप प्रभावी ढंग से और लगातार प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।<ref name="riskmanagementinsight.com"/><ref>Technical Standard Risk Taxonomy {{ISBN|1-931624-77-1}} Document Number: C081 Published by The Open Group, January 2009.</ref>
: आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।<ref name="riskmanagementinsight.com"/><ref>Technical Standard Risk Taxonomy {{ISBN|1-931624-77-1}} Document Number: C081 Published by The Open Group, January 2009.</ref>
आईटी जोखिम (या साइबर जोखिम) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, जोखिमों को स्पष्ट रूप से प्रबंधित किया जाता है। फ्रंट लाइन आईटी विभाग और [[नेटवर्क संचालन केंद्र]] अधिक पृथक, व्यक्तिगत जोखिमों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक [[मुख्य सूचना सुरक्षा अधिकारी]] के लिए एक महत्वपूर्ण भूमिका है।
आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और [[नेटवर्क संचालन केंद्र]] अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक [[मुख्य सूचना सुरक्षा अधिकारी]] के लिए एक महत्वपूर्ण भूमिका है।


किसी भी प्रकार के जोखिम को मापते समय, किसी दिए गए खतरे, संपत्ति और उपलब्ध डेटा के लिए सही समीकरण का चयन करना एक महत्वपूर्ण कदम है। ऐसा करना स्वयं के अधीन है, लेकिन जोखिम समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं। <blockquote>जोखिम प्रबंधन में चार बुनियादी ताकतें शामिल हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे संपत्ति, प्रभाव, खतरे और संभावना हैं। आपके पास संपत्ति का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त चीजें हैं जिनका मूल्य है। आपके पास प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी संपत्ति के नुकसान या क्षति को संदर्भित करता है। हालाँकि, खतरे जो विरोधियों का प्रतिनिधित्व करते हैं और उनके हमले के तरीके आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में वाइल्ड कार्ड है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई खतरा अमल में आएगा, सफल होगा और नुकसान पहुँचाएगा। जबकि पूरी तरह से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और जोखिम को प्रबंधित करने के लिए प्रभावित किया जा सकता है।
किसी भी प्रकार के संकट को मापते समय, किसी दिए गए खतरे, गुण और उपलब्ध डेटा के लिए सही समीकरण का चयन करना एक महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं। <blockquote>संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, खतरे और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करता है। यद्यपि, खतरे जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप के विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ&pg=PA22|title=Cybersecurity: A Business Solution: An executive perspective on managing cyber risk|last=Arnold|first=Rob|date=2017|publisher=Threat Sketch, LLC|isbn=9780692944158|language=en}}</ref></blockquote><blockquote>गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे:  
<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ&pg=PA22|title=Cybersecurity: A Business Solution: An executive perspective on managing cyber risk|last=Arnold|first=Rob|date=2017|publisher=Threat Sketch, LLC|isbn=9780692944158|language=en}}</ref></blockquote><blockquote>गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: <math display="inline">Risk = p(Asset, Threat) \times d(Asset, Threat)
</math> जहां p() संभावना है कि एक संपत्ति के खिलाफ एक खतरा अमल में आएगा / सफल होगा, और d() नुकसान के विभिन्न स्तरों की संभावना है जो हो सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ|title=Cybersecurity: A Business Solution|last=Arnold|first=Rob|year=2017|isbn=978-0692944158|pages=22}}</ref> </blockquote>आईटी जोखिम प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ शर्तों का समाधान होना अभी बाकी है। उदाहरण के लिए, भेद्यता शब्द का उपयोग अक्सर घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकता है। अक्सर सामना किए जाने वाले आईटी जोखिम प्रबंधन के नियमों और तकनीकों में शामिल हैं:


सूचना सुरक्षा घटना
<math display="inline">Risk = p(Asset, Threat) \times d(Asset, Threat)
: एक प्रणाली, सेवा या नेटवर्क स्थिति की एक पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।<ref name=ISO27005/>: परिस्थितियों के एक विशेष सेट की घटना<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G11|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G11|archive-date=29 February 2012|url-status=dead}}</ref>
</math> जहां p() संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d() हानि के विभिन्न स्तरों की संभावना है जो हो सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ|title=Cybersecurity: A Business Solution|last=Arnold|first=Rob|year=2017|isbn=978-0692944158|pages=22}}</ref> </blockquote>आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकता है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:
 
'''सूचना सुरक्षा घटना'''
: एक प्रणाली, सेवा या नेटवर्क स्थिति की एक पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।<ref name=ISO27005/>:
:परिस्थितियों के एक विशेष समूह की घटना<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G11|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G11|archive-date=29 February 2012|url-status=dead}}</ref>
:* घटना निश्चित या अनिश्चित हो सकती है।
:* घटना निश्चित या अनिश्चित हो सकती है।
:* घटना एक एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। :(आईएसओ/आईईसी गाइड 73)
:* घटना एक एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। :(आईएसओ/आईईसी निर्देश 73)
सूचना सुरक्षा घटना:
'''सूचना सुरक्षा घटना:'''
: एक या अवांछित सूचना सुरक्षा घटनाओं की एक श्रृंखला द्वारा इंगित किया जाता है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को धमकी देने की महत्वपूर्ण संभावना होती है।<ref name=ISO27005/>: एक घटना [G.11] जिसका मूल्यांकन सिस्टम की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G17|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G17|archive-date=29 February 2012|url-status=dead}}</ref>
: अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है<ref name=ISO27005/>
प्रभाव (सुरक्षा)<ref name="ENISA शब्दकोष Impact">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G21|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G21|archive-date=29 February 2012|url-status=dead}}</ref>
:एक घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G17|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G17|archive-date=29 February 2012|url-status=dead}}</ref>
: एक अवांछित घटना का परिणाम [G17]। (ISO/IEC TR 13335-1)
'''प्रभाव (सुरक्षा)'''<ref name="ENISA शब्दकोष Impact">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G21|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G21|archive-date=29 February 2012|url-status=dead}}</ref>
;नतीजे<ref name="ENISA शब्दकोष Consequence">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G4|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G4|archive-date=29 February 2012|url-status=dead}}</ref>
: एक अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)
;परिणाम<ref name="ENISA शब्दकोष Consequence">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G4|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G4|archive-date=29 February 2012|url-status=dead}}</ref>
: एक घटना का परिणाम [जी.11]
: एक घटना का परिणाम [जी.11]
:* एक घटना के एक से अधिक परिणाम हो सकते हैं।
:* एक घटना के एक से अधिक परिणाम हो सकते हैं।
:* परिणाम सकारात्मक से नकारात्मक तक हो सकते हैं।
:* परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
:* परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (ISO/IEC गाइड 73)
:* परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (ISO/IEC निर्देश 73)


जोखिम 'आर' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'आई' के गुणा होने वाली सुरक्षा घटना की संभावना 'एल' का उत्पाद है, जो है:<ref name=OWASP/>: आर = एल × मैं
संकट 'आर' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'आई' के गुणा होने वाली सुरक्षा घटना की संभावना 'एल' का उत्पाद है, जो है:<ref name=OWASP/>: आर = एल × मैं


किसी सुरक्षा घटना के घटित होने की संभावना खतरे के प्रकट होने की संभावना और इस संभावना का फलन है कि खतरा संबंधित सिस्टम कमजोरियों का सफलतापूर्वक दोहन कर सकता है।
किसी सुरक्षा घटना के घटित होने की संभावना खतरे के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली कमजोरियों का सफलतापूर्वक दोहन कर सकता है।


एक सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का एक कार्य है जो संगठन की संपत्ति को होने वाले नुकसान के परिणामस्वरूप घटना का संगठन पर पड़ेगा। नुकसान संगठन की संपत्ति के मूल्य से संबंधित है; एक ही संपत्ति के अलग-अलग संगठनों के लिए अलग-अलग मूल्य हो सकते हैं।
एक सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का एक कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।


तो R चार [[जोखिम कारक (कंप्यूटिंग)]] का कार्य हो सकता है:
तो R चार [[जोखिम कारक (कंप्यूटिंग)|संकट कारक (संगणना)]] का कार्य हो सकता है:
* ए = संपत्ति का मूल्य (कंप्यूटिंग)
* ए = गुण का मान (संगणना)
* टी = खतरे की संभावना (कंप्यूटर)
* टी = खतरे की संभावना (कंप्यूटर)
* वी = भेद्यता की प्रकृति (कंप्यूटिंग) यानी संभावना जिसका शोषण किया जा सकता है (हमलावर के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
* वी = भेद्यता की प्रकृति (संगणना) यानी संभावना जिसका शोषण किया जा सकता है (हमलावर के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
* I = संभावित प्रभाव (सुरक्षा), नुकसान की सीमा
* I = संभावित प्रभाव (सुरक्षा), हानि की सीमा


यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), जोखिम को मौद्रिक शर्तों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद काउंटरमेशर्स की लागत और अवशिष्ट जोखिम की तुलना की जा सकती है। इन मूल्यों को व्यक्त करना हमेशा व्यावहारिक नहीं होता है, इसलिए जोखिम मूल्यांकन के पहले चरण में जोखिम को तीन या पांच चरणों के पैमाने में आयाम रहित श्रेणीबद्ध किया जाता है।
यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद काउंटरमेशर्स की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना हमेशा व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में आयाम रहित श्रेणीबद्ध किया जाता है।


[[OWASP]] एक व्यावहारिक जोखिम माप दिशानिर्देश प्रस्तावित करता है<ref name=OWASP>{{cite web|url=http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology|title=OWASP जोखिम रेटिंग पद्धति|access-date=23 May 2016}}</ref> पर आधारित:
[[OWASP]] एक व्यावहारिक संकट माप दिशानिर्देश प्रस्तावित करता है<ref name=OWASP>{{cite web|url=http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology|title=OWASP जोखिम रेटिंग पद्धति|access-date=23 May 2016}}</ref> पर आधारित:
* 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
* 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
** खतरा एजेंट कारक
** संकट एजेंट कारक
*** कौशल स्तर: खतरे के एजेंटों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा पैठ कौशल (9)
*** कौशल स्तर: खतरे के एजेंटों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा पैठ कौशल (9)
*** मकसद: खतरे के एजेंटों का यह समूह इस भेद्यता को खोजने और उसका फायदा उठाने के लिए कितना प्रेरित है? कम या कोई इनाम नहीं (1), संभावित इनाम (4), ज़्यादा इनाम (9)
*** मकसद: खतरे के एजेंटों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई इनाम नहीं (1), संभावित इनाम (4), ज़्यादा इनाम (9)
*** अवसर: खतरे के एजेंटों के इस समूह को इस भेद्यता को खोजने और उसका फायदा उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या महंगे संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
*** अवसर: खतरे के एजेंटों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या महंगे संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
*** आकार: खतरे के एजेंटों का यह समूह कितना बड़ा है? डेवलपर्स (2), सिस्टम एडमिनिस्ट्रेटर (2), इंट्रानेट उपयोगकर्ता (4), भागीदार (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
*** आकार: खतरे के एजेंटों का यह समूह कितना बड़ा है? डेवलपर्स (2), प्रणाली एडमिनिस्ट्रेटर (2), इंट्रानेट उपयोगकर्ता (4), भागीदार (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
** भेद्यता (कंप्यूटिंग) कारक: कारकों का अगला सेट शामिल भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए खतरे के एजेंट को मान लें।
** भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए खतरे के एजेंट को मान लें।
*** खोज में आसानी: खतरे के एजेंटों के इस समूह के लिए इस भेद्यता का पता लगाना कितना आसान है? व्यावहारिक रूप से असंभव (1), कठिन (3), आसान (7), स्वचालित उपकरण उपलब्ध (9)
*** खोज में आसानी: खतरे के एजेंटों के इस समूह के लिए इस भेद्यता का पता लगाना कितना आसान है? व्यावहारिक रूप से असंभव (1), कठिन (3), आसान (7), स्वचालित उपकरण उपलब्ध (9)
*** शोषण में आसानी (कंप्यूटर सुरक्षा): खतरे के एजेंटों के इस समूह के लिए वास्तव में इस भेद्यता का फायदा उठाना कितना आसान है? सैद्धांतिक (1), कठिन (3), आसान (5), स्वचालित उपकरण उपलब्ध (9)
*** शोषण में आसानी (कंप्यूटर सुरक्षा): खतरे के एजेंटों के इस समूह के लिए वास्तव में इस भेद्यता का लाभ उठाना कितना आसान है? सैद्धांतिक (1), कठिन (3), आसान (5), स्वचालित उपकरण उपलब्ध (9)
*** जागरूकता: खतरे के एजेंटों के इस समूह के लिए यह भेद्यता कितनी अच्छी तरह से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
*** जागरूकता: खतरे के एजेंटों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
*** घुसपैठ का पता लगाना: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
*** घुसपैठ का पता लगाना: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
* 0 से 9 के पैमाने में विभिन्न कारकों के बीच एक औसत के रूप में प्रभाव का अनुमान
* 0 से 9 के पैमाने में विभिन्न कारकों के बीच एक औसत के रूप में प्रभाव का अनुमान
** तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: [[[[गोपनीयता]]]], [[अखंडता]], [[उपलब्धता]] और जवाबदेही। लक्ष्य यह है कि भेद्यता का फायदा उठाने के लिए सिस्टम पर प्रभाव की भयावहता का अनुमान लगाया जाए।
** तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: [[[[गोपनीयता]]]], [[अखंडता]], [[उपलब्धता]] और जवाबदेही। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
*** गोपनीयता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का खुलासा (2), न्यूनतम महत्वपूर्ण डेटा का खुलासा (6), व्यापक गैर-संवेदनशील डेटा का खुलासा (6), व्यापक महत्वपूर्ण डेटा का खुलासा (7), सभी डेटा का खुलासा (9)
*** गोपनीयता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का खुलासा (2), न्यूनतम महत्वपूर्ण डेटा का खुलासा (6), व्यापक गैर-संवेदनशील डेटा का खुलासा (6), व्यापक महत्वपूर्ण डेटा का खुलासा (7), सभी डेटा का खुलासा (9)
*** अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूरी तरह से दूषित (9)
*** अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)
*** उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूरी तरह से बंद (9)
*** उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)
*** उत्तरदायित्व का नुकसान: क्या खतरे के एजेंटों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूरी तरह से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूरी तरह से गुमनाम (9)
*** उत्तरदायित्व का हानि: क्या खतरे के एजेंटों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से गुमनाम (9)
** व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, लेकिन एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहरी समझ की आवश्यकता है। सामान्य तौर पर, आपको व्यावसायिक प्रभाव के साथ अपने जोखिमों का समर्थन करने का लक्ष्य रखना चाहिए, खासकर यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक जोखिम वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
** व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहरी समझ की आवश्यकता है। सामान्य तौर पर, आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, खासकर यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
*** वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर मामूली प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
*** वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर मामूली प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
*** प्रतिष्ठा बांधउम्र: क्या शोषण से प्रतिष्ठा को नुकसान होगा जो व्यवसाय को नुकसान पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
*** प्रतिष्ठा बांधउम्र: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
*** गैर-अनुपालन: गैर-अनुपालन कितना जोखिम लाता है? मामूली उल्लंघन (2), स्पष्ट उल्लंघन (5), हाई-प्रोफाइल उल्लंघन (7)
*** गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? मामूली उल्लंघन (2), स्पष्ट उल्लंघन (5), हाई-प्रोफाइल उल्लंघन (7)
*** गोपनीयता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी जानकारी का खुलासा किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
*** गोपनीयता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी जानकारी का खुलासा किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
** यदि व्यावसायिक प्रभाव की गणना सही ढंग से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
** यदि व्यावसायिक प्रभाव की गणना सही रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
* कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
* कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
* निम्न तालिका का उपयोग करके जोखिम की गणना करें
* निम्न तालिका का उपयोग करके संकट की गणना करें
{| class="wikitable" style="margin:auto; text-align: center;"
{| class="wikitable" style="margin:auto; text-align: center;"
|-
|-
Line 143: Line 146:




== आईटी जोखिम प्रबंधन ==
== आईटी संकट प्रबंधन ==
[[File:Risk Management Elements.jpg|thumb|जोखिम प्रबंधन तत्व]]
[[File:Risk Management Elements.jpg|thumb|संकट प्रबंधन तत्व]]


{{Main|IT risk management}}
{{Main|IT risk management}}
{{:IT risk management}}
{{:IT risk management}}
[[एनआईएसटी साइबर सुरक्षा ढांचा]] संगठनों को पहचान (आईडी) कार्य के हिस्से के रूप में आईटी जोखिम का प्रबंधन करने के लिए प्रोत्साहित करता है:<ref>{{Cite news|url=https://www.nist.gov/cyberframework|title=साइबर सुरक्षा ढांचा|last=Keller|first=Nicole|date=2013-11-12|work=NIST|access-date=2017-10-07|language=en}}</ref><ref>{{Cite web|url=https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|title=एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड|last=Arnold|first=Rob|website=Threat Sketch|access-date=2018-02-14|archive-date=2021-04-14|archive-url=https://web.archive.org/web/20210414125639/https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|url-status=dead}}</ref>
[[एनआईएसटी साइबर सुरक्षा ढांचा]] संगठनों को पहचान (आईडी) कार्य के हिस्से के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करता है:<ref>{{Cite news|url=https://www.nist.gov/cyberframework|title=साइबर सुरक्षा ढांचा|last=Keller|first=Nicole|date=2013-11-12|work=NIST|access-date=2017-10-07|language=en}}</ref><ref>{{Cite web|url=https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|title=एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड|last=Arnold|first=Rob|website=Threat Sketch|access-date=2018-02-14|archive-date=2021-04-14|archive-url=https://web.archive.org/web/20210414125639/https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|url-status=dead}}</ref>
जोखिम मूल्यांकन (ID.RA): संगठन संगठनात्मक संचालन (मिशन, कार्यों, छवि, या प्रतिष्ठा सहित), संगठनात्मक संपत्तियों और व्यक्तियों के लिए साइबर सुरक्षा जोखिम को समझता है।
संकट मूल्यांकन (ID.RA): संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।
* आईडी.आरए-1: परिसंपत्ति कमजोरियों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-1: परिगुण कमजोरियों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर खतरे की खुफिया जानकारी और भेद्यता की जानकारी प्राप्त होती है
* आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर खतरे की आसूचना जानकारी और भेद्यता की जानकारी प्राप्त होती है
* आईडी.आरए-3: आंतरिक और बाहरी दोनों प्रकार के खतरों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-3: आंतरिक और बाहरी दोनों प्रकार के खतरों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-4: संभावित व्यावसायिक प्रभावों और संभावनाओं की पहचान की गई है
* आईडी.आरए-4: संभावित व्यावसायिक प्रभावों और संभावनाओं की पहचान की गई है
* आईडी.आरए-5: जोखिम को निर्धारित करने के लिए खतरों, कमजोरियों, संभावनाओं और प्रभावों का उपयोग किया जाता है
* आईडी.आरए-5: संकट को निर्धारित करने के लिए खतरों, कमजोरियों, संभावनाओं और प्रभावों का उपयोग किया जाता है
* आईडी.आरए-6: जोखिम प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है
* आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है
जोखिम प्रबंधन रणनीति (आईडी.आरएम): संगठन की प्राथमिकताओं, बाधाओं, जोखिम सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन जोखिम निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।
संकट प्रबंधन रणनीति (आईडी.आरएम): संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।
* ID.RM-1: जोखिम प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
* ID.RM-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
* ID.RM-2: संगठनात्मक जोखिम सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
* ID.RM-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
* आईडी.आरएम-3: संगठन की जोखिम सहिष्णुता का निर्धारण महत्वपूर्ण बुनियादी ढांचे और क्षेत्र विशिष्ट जोखिम विश्लेषण में इसकी भूमिका से सूचित होता है
* आईडी.आरएम-3: संगठन की संकट सहिष्णुता का निर्धारण महत्वपूर्ण मूलभूत ढांचे और क्षेत्र विशिष्ट संकट विश्लेषण में इसकी भूमिका से सूचित होता है


== आईटी जोखिम कानून और नियम ==
== आईटी संकट नियम और नियम ==
निम्नलिखित में स्रोत द्वारा आयोजित लागू नियमों का संक्षिप्त विवरण।<ref name=ENISALAW>[http://www.enisa.europa.eu/act/rm/cr/laws-regulation/downloads/risk-management-risk-assessment-in-european-regulation-international-guidelines-and-codes-of-practice/at_download/fullReport Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice] {{Webarchive|url=https://web.archive.org/web/20110723041702/http://www.enisa.europa.eu/act/rm/cr/laws-regulation/downloads/risk-management-risk-assessment-in-european-regulation-international-guidelines-and-codes-of-practice/at_download/fullReport |date=2011-07-23 }} Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007</ref>
निम्नलिखित में स्रोत द्वारा आयोजित लागू नियमों का संक्षिप्त विवरण।<ref name=ENISALAW>[http://www.enisa.europa.eu/act/rm/cr/laws-regulation/downloads/risk-management-risk-assessment-in-european-regulation-international-guidelines-and-codes-of-practice/at_download/fullReport Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice] {{Webarchive|url=https://web.archive.org/web/20110723041702/http://www.enisa.europa.eu/act/rm/cr/laws-regulation/downloads/risk-management-risk-assessment-in-european-regulation-international-guidelines-and-codes-of-practice/at_download/fullReport |date=2011-07-23 }} Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007</ref>


Line 168: Line 171:
ओईसीडी ने निम्नलिखित जारी किया:
ओईसीडी ने निम्नलिखित जारी किया:
* [http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html आर्थिक सहयोग और विकास संगठन (OECD) निजता और ट्रांस- की सुरक्षा को नियंत्रित करने वाले दिशानिर्देशों के संबंध में परिषद की सिफारिश व्यक्तिगत डेटा का सीमा प्रवाह] (23 सितंबर 1980)
* [http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html आर्थिक सहयोग और विकास संगठन (OECD) निजता और ट्रांस- की सुरक्षा को नियंत्रित करने वाले दिशानिर्देशों के संबंध में परिषद की सिफारिश व्यक्तिगत डेटा का सीमा प्रवाह] (23 सितंबर 1980)
* [https://web.archive.org/web/20110516085505/http://www.oecd.org/dataoecd/16/22/15582260.pdf सूचना प्रणाली और नेटवर्क की सुरक्षा के लिए OECD दिशानिर्देश: की संस्कृति की ओर सुरक्षा] (25 जुलाई 2002)। विषय: सामान्य सूचना सुरक्षा। कार्यक्षेत्र: किसी भी ओईसीडी संस्थाओं (सरकारों, व्यवसायों, अन्य संगठनों और व्यक्तिगत उपयोगकर्ताओं जो सूचना प्रणाली और नेटवर्क का विकास, स्वामित्व, प्रदान, प्रबंधन, सेवा और उपयोग करते हैं) के लिए गैर-बाध्यकारी दिशानिर्देश। OECD दिशानिर्देश जोखिम प्रबंधन और सूचना सुरक्षा प्रथाओं को रेखांकित करने वाले बुनियादी सिद्धांतों को बताते हैं। जबकि पाठ का कोई भी हिस्सा बाध्यकारी नहीं है, किसी भी सिद्धांत का पालन न करना आरएम/आरए की अच्छी प्रथाओं के गंभीर उल्लंघन का संकेत है जो संभावित रूप से देयता का कारण बन सकता है।
* [https://web.archive.org/web/20110516085505/http://www.oecd.org/dataoecd/16/22/15582260.pdf सूचना प्रणाली और नेटवर्क की सुरक्षा के लिए OECD दिशानिर्देश: की संस्कृति की ओर सुरक्षा] (25 जुलाई 2002)। विषय: सामान्य सूचना सुरक्षा। कार्यक्षेत्र: किसी भी ओईसीडी संस्थाओं (सरकारों, व्यवसायों, अन्य संगठनों और व्यक्तिगत उपयोगकर्ताओं जो सूचना प्रणाली और नेटवर्क का विकास, स्वामित्व, प्रदान, प्रबंधन, सेवा और उपयोग करते हैं) के लिए गैर-बाध्यकारी दिशानिर्देश। OECD दिशानिर्देश संकट प्रबंधन और सूचना सुरक्षा प्रथाओं को रेखांकित करने वाले मूलभूत सिद्धांतों को बताते हैं। जबकि पाठ का कोई भी हिस्सा बाध्यकारी नहीं है, किसी भी सिद्धांत का पालन न करना आरएम/आरए की ठीक प्रथाओं के गंभीर उल्लंघन का संकेत है जो संभावित रूप से देयता का कारण बन सकता है।


=== [[यूरोपीय संघ]] ===
=== [[यूरोपीय संघ]] ===
यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
* गोपनीयता
* गोपनीयता
**[http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001R0045:EN:NOT विनियमन (EC) संख्या 45/2001] के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त आवागमन पर एक आंतरिक विनियमन प्रदान करता है, जो नीचे वर्णित गोपनीयता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अलावा, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार बुनियादी ढांचे के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट जोखिम के बारे में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
**[http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001R0045:EN:NOT विनियमन (EC) संख्या 45/2001] के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त आवागमन पर एक आंतरिक विनियमन प्रदान करता है, जो नीचे वर्णित गोपनीयता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अलावा, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत ढांचे के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT Directive 95/46/EC] [[डेटा संरक्षण निर्देश]] के संबंध में व्यक्तियों की सुरक्षा पर और इस तरह के डेटा की मुक्त आवाजाही के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के गोपनीयता निहितार्थों को निर्धारित करने के लिए और ऐसी गतिविधियों की सुरक्षा के लिए उचित कानूनी, तकनीकी और संगठनात्मक उपायों को निर्धारित करने के लिए पूर्व जोखिम विश्लेषण से गुजरना पड़ता है; ऐसे उपाय, जो गतिविधि की संवेदनशीलता और गोपनीयता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक होने चाहिए (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को चार्ज किया जाता है) को राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, जिसमें यह सुनिश्चित करने के लिए किए गए उपाय शामिल हैं गतिविधि की सुरक्षा। इसके अलावा, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के हस्तांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त कानूनी सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT Directive 95/46/EC] [[डेटा संरक्षण निर्देश]] के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त आवाजाही के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के गोपनीयता निहितार्थों को निर्धारित करने के लिए और ऐसी गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़ता है; ऐसे उपाय, जो गतिविधि की संवेदनशीलता और गोपनीयता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक होने चाहिए (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को चार्ज किया जाता है) को राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, जिसमें यह सुनिश्चित करने के लिए किए गए उपाय सम्मिलित हैं गतिविधि की सुरक्षा। इसके अलावा, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के हस्तांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:EN:NOT Commission Decision 2001/497/EC of 15 June 2001] के हस्तांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/EC के तहत तीसरे देशों को व्यक्तिगत डेटा; और [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:EN:NOT Commission Decision 2004/915/EC] of 27 December 2004 संशोधित निर्णय 2001/497/EC संबंध में तीसरे देशों को व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक सेट की शुरूआत। विषय: तीसरे देशों, विशेष रूप से गैर-यूरोपीय संघ को व्यक्तिगत डेटा का निर्यात। ऐसे देश जिन्हें डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है जो पर्याप्त है (यानी ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का एक सेट प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान सेट के अधीन नहीं है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:EN:NOT Commission Decision 2001/497/EC of 15 June 2001] के हस्तांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/EC के तहत तीसरे देशों को व्यक्तिगत डेटा; और [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:EN:NOT Commission Decision 2004/915/EC] of 27 December 2004 संशोधित निर्णय 2001/497/EC संबंध में तीसरे देशों को व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह की शुरूआत। विषय: तीसरे देशों, विशेष रूप से गैर-यूरोपीय संघ को व्यक्तिगत डेटा का निर्यात। ऐसे देश जिन्हें डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है जो पर्याप्त है (यानी ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का एक समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
** [[अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत]] (नीचे #USA और अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत देखें)
** [[अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत]] (नीचे #USA और अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत देखें)
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT Directive 2002/58/EC] 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के संबंध में इलेक्ट्रॉनिक संचार क्षेत्र में गोपनीयता की
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT Directive 2002/58/EC] 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के संबंध में इलेक्ट्रॉनिक संचार क्षेत्र में गोपनीयता की
* [[राष्ट्रीय सुरक्षा]]
* [[राष्ट्रीय सुरक्षा]]
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:EN:NOT Directive 2006/24/EC] 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/EC ('[[डेटा प्रतिधारण निर्देश]]') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ जानकारी बनाए रखने की आवश्यकता
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:EN:NOT Directive 2006/24/EC] 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/EC ('[[डेटा प्रतिधारण निर्देश]]') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ जानकारी बनाए रखने की आवश्यकता
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32008L0114:EN:NOT काउंसिल डायरेक्टिव 2008/114/EC] 8 दिसंबरयूरोपीय महत्वपूर्ण अवसंरचना की पहचान और पदनाम और उनकी सुरक्षा में सुधार की आवश्यकता के आकलन पर बेर 2008। विषय: यूरोपीय क्रिटिकल इंफ्रास्ट्रक्चर की पहचान और संरक्षण। दायरा: सदस्य देशों और यूरोपियन क्रिटिकल इन्फ्रास्ट्रक्चर के संचालकों के लिए लागू (ड्राफ्ट डायरेक्टिव द्वारा 'क्रिटिकल इन्फ्रास्ट्रक्चर' के रूप में परिभाषित किया गया है, जिसका व्यवधान या विनाश दो या दो से अधिक सदस्य राज्यों को प्रभावित करेगा, या यदि क्रिटिकल इन्फ्रास्ट्रक्चर स्थित है तो एक सदस्य राज्य अन्य सदस्य राज्य में। इसमें अन्य प्रकार के बुनियादी ढांचे पर क्रॉस-सेक्टर निर्भरता के परिणामस्वरूप होने वाले प्रभाव शामिल हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण बुनियादी ढांचे की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ECI के मालिकों/ऑपरेटरों को ऑपरेटर सुरक्षा योजनाएँ (OSPs) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा समाधान स्थापित करें।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32008L0114:EN:NOT काउंसिल डायरेक्टिव 2008/114/EC] 8 दिसंबरयूरोपीय महत्वपूर्ण अवसंरचना की पहचान और पदनाम और उनकी सुरक्षा में सुधार की आवश्यकता के आकलन पर बेर 2008। विषय: यूरोपीय क्रिटिकल इंफ्रास्ट्रक्चर की पहचान और संरक्षण। दायरा: सदस्य देशों और यूरोपियन क्रिटिकल इन्फ्रास्ट्रक्चर के संचालकों के लिए लागू (ड्राफ्ट डायरेक्टिव द्वारा 'क्रिटिकल इन्फ्रास्ट्रक्चर' के रूप में परिभाषित किया गया है, जिसका व्यवधान या विनाश दो या दो से अधिक सदस्य राज्यों को प्रभावित करेगा, या यदि क्रिटिकल इन्फ्रास्ट्रक्चर स्थित है तो एक सदस्य राज्य अन्य सदस्य राज्य में। इसमें अन्य प्रकार के मूलभूत ढांचे पर क्रॉस-सेक्टर निर्भरता के परिणामस्वरूप होने वाले प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत ढांचे की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ECI के मालिकों/ऑपरेटरों को ऑपरेटर सुरक्षा योजनाएँ (OSPs) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
* नागरिक और दंड कानून
* नागरिक और दंड नियम
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:NOT Council Framework Decision 2005/222/JHA] 24 फरवरी 2005 को सूचना प्रणाली के खिलाफ हमलों पर। विषय: सामग्री आपराधिक कानून (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक कानून (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के मुद्दों को शामिल करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। स्कोप: सदस्य राज्यों को अपने राष्ट्रीय कानूनी ढांचे में फ्रेमवर्क निर्णय के प्रावधानों को लागू करने की आवश्यकता है। फ्रेमवर्क निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी शर्तें शामिल हैं जिनके तहत कानूनी इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए कानूनी संस्थाओं पर कानूनी दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से निगरानी की जाए, क्योंकि निर्णय में कहा गया है कि एक कानूनी इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:NOT Council Framework Decision 2005/222/JHA] 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध हमलों पर। विषय: सामग्री आपराधिक नियम (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के मुद्दों को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। स्कोप: सदस्य राज्यों को अपने राष्ट्रीय वैध ढांचे में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके तहत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से निगरानी की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।


=== यूरोप की परिषद ===
=== यूरोप की परिषद ===
* [http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm काउंसिल ऑफ यूरोप कन्वेंशन ऑन साइबर क्राइम, बुडापेस्ट, 23.XI.2001], यूरोपियन ट्रीटी सीरीज-नंबर। 185. विषय: सामग्री आपराधिक कानून (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक कानून (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व मुद्दों और डेटा प्रतिधारण को शामिल करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की एक श्रृंखला की परिभाषा के अलावा, कन्वेंशन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन शर्तों को बताता है जिनके तहत कानूनी संस्थाओं पर कानूनी दायित्व लगाया जा सकता है ताकि कानूनी दायरे में प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इकाई। इस प्रकार, कन्वेंशन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त निगरानी की जाए, क्योंकि कन्वेंशन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए एक कानूनी इकाई को उत्तरदायी ठहराया जा सकता है।
* [http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm काउंसिल ऑफ यूरोप कन्वेंशन ऑन साइबर क्राइम, बुडापेस्ट, 23.XI.2001], यूरोपियन ट्रीटी सीरीज-नंबर। 185. विषय: सामग्री आपराधिक नियम (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व मुद्दों और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की एक श्रृंखला की परिभाषा के अलावा, कन्वेंशन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके तहत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध दायरे में प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इकाई। इस प्रकार, कन्वेंशन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त निगरानी की जाए, क्योंकि कन्वेंशन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए एक वैध इकाई को उत्तरदायी ठहराया जा सकता है।


=== संयुक्त राज्य ===
=== संयुक्त राज्य ===
संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
* नागरिक और दंड कानून
* नागरिक और दंड नियम
** [https://www.law.cornell.edu/rules/frcp/ इलेक्ट्रॉनिक खोज के संबंध में सिविल प्रक्रिया के संघीय नियमों में संशोधन]। विषय: सिविल कार्यवाही में इलेक्ट्रॉनिक दस्तावेजों के उत्पादन के संबंध में यू.एस. संघीय नियम। डिस्कवरी नियम दीवानी कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने कब्जे में सभी प्रासंगिक दस्तावेज (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करता है, ताकि पक्ष और अदालत को मामले का सही आकलन करने की अनुमति मिल सके। ई-डिस्कवरी संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी जानकारी में अब इलेक्ट्रॉनिक जानकारी शामिल हो सकती है। इसका तात्पर्य यह है कि दीवानी कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे दस्तावेज़ प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी दस्तावेज़, आंतरिक मेमो और ई-मेल शामिल हैं, जो विशेष रूप से हो भी सकते हैं और नहीं भी चित्रित। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में शामिल होने का जोखिम निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी जानकारी के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पार्टी को 'लिटिगेशन होल्ड' शुरू करने में सक्षम होना चाहिए, एक तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक जानकारी को किसी भी तरह से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को जिम्मेदार होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का अच्छा-विश्वास संचालन', नियम 37 (एफ)) का एक हिस्सा होने पर निश्चित रूप से विशिष्ट जानकारी को हटाने की अनुमति है, जानबूझकर विनाश संभावित रूप से प्रासंगिक जानकारी को अत्यधिक उच्च जुर्माना (1.6 बिलियन यूएस डॉलर के एक विशिष्ट मामले में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक मुकदमेबाजी का जोखिम उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और मुकदमेबाजी को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
** [https://www.law.cornell.edu/rules/frcp/ इलेक्ट्रॉनिक खोज के संबंध में सिविल प्रक्रिया के संघीय नियमों में संशोधन]। विषय: सिविल कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। डिस्कवरी नियम दीवानी कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने कब्जे में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करता है, ताकि पक्ष और अदालत को मामले का सही आकलन करने की अनुमति मिल सके। ई-डिस्कवरी संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी जानकारी में अब इलेक्ट्रॉनिक जानकारी सम्मिलित हो सकती है। इसका तात्पर्य यह है कि दीवानी कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्ऱ प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्ऱ, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से हो भी सकते हैं और नहीं भी चित्रित। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी जानकारी के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पार्टी को 'लिटिगेशन होल्ड' शुरू करने में सक्षम होना चाहिए, एक तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक जानकारी को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को जिम्मेदार होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ)) का एक हिस्सा होने पर निश्चित रूप से विशिष्ट जानकारी को हटाने की अनुमति है, जानबूझकर विनाश संभावित रूप से प्रासंगिक जानकारी को अत्यधिक उच्च जुर्माना (1.6 बिलियन यूएस डॉलर के एक विशिष्ट मामले में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक मुचरणेबाजी का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और मुचरणेबाजी को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
* गोपनीयता
* गोपनीयता
** कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम|कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA)
** कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम|कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA)
Line 196: Line 199:
**ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
**ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
** यूएसए पैट्रियट अधिनियम, शीर्षक III
** यूएसए पैट्रियट अधिनियम, शीर्षक III
** [[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम]] (HIPAA) एक RM/RA परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (HIPAA का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (HHS) को विशिष्ट नियम सेटों का मसौदा तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में सुधार करेगा और दुरुपयोग को रोकेगा। नतीजतन, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: गोपनीयता नियम, लेन-देन और कोड सेट नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: http://www.cms.hhs.gov/SecurityStandard/Downloads/security finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की एक श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी की गोपनीयता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन पहलुओं को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के एक सेट में रेखांकित किया गया है, जो सभी HIPAA जोखिम प्रबंधन और जोखिम मूल्यांकन की बुनियादी बातों पर एक मार्गदर्शन दस्तावेज़ के साथ प्रकाशित किए गए हैं <http://www. .cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता आमतौर पर HIPAA दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। हालाँकि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय कानून (गोपनीयता निर्देश सहित) के तहत समान दायित्वों के अधीन हैं, और चूंकि आधुनिकीकरण और विकास के अंतर्निहित रुझानइलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों की ओर समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। HIPAA सुरक्षा मानकों में निम्नलिखित शामिल हैं:
** [[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम]] (HIPAA) एक RM/RA परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (HIPAA का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (HHS) को विशिष्ट नियम समूहों का मसौदा तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में सुधार करेगा और दुरुपयोग को रोकेगा। फलस्वरूप, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: गोपनीयता नियम, लेन-देन और कोड समूह नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: http://www.cms.hhs.gov/SecurityStandard/Downloads/security finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की एक श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी की गोपनीयता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन गुणों को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के एक समूह में रेखांकित किया गया है, जो सभी HIPAA संकट प्रबंधन और संकट मूल्यांकन की मूलभूत बातों पर एक मार्गदर्शन प्रपत्ऱ के साथ प्रकाशित किए गए हैं <http://www. .cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता सामान्यतः HIPAA दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। यद्यपि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय नियम (गोपनीयता निर्देश सहित) के तहत समान दायित्वों के अधीन हैं, और चूंकि आधुनिकीकरण और विकास के अंतर्निहित रुझानइलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों की ओर समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। HIPAA सुरक्षा मानकों में निम्नलिखित सम्मिलित हैं:
*** प्रशासनिक सुरक्षा उपाय:
*** प्रशासनिक सुरक्षा उपाय:
**** सुरक्षा प्रबंधन प्रक्रिया
**** सुरक्षा प्रबंधन प्रक्रिया
Line 221: Line 224:
**** बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
**** बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
**** समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
**** समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
** अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित बंदरगाह गोपनीयता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूरोपीय संघ के अधीन है। अमेरिका स्थित गंतव्य के लिए गोपनीयता नियम; ई.यू. के अधीन एक इकाई से व्यक्तिगत डेटा निर्यात किए जाने से पहले। अमेरिकी कानून के अधीन एक गंतव्य के लिए गोपनीयता नियम, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली इकाई इस तरह के डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन का एक तरीका यह है कि प्राप्त करने वाली इकाई को सुरक्षित हार्बर में शामिल होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित बंदरगाह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वास्तव में सुरक्षित हार्बर सूची में है (देखें [http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+ बंदरगाह + सूची सुरक्षित बंदरगाह सूची])
** अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित बंदरगाह गोपनीयता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूरोपीय संघ के अधीन है। अमेरिका स्थित गंतव्य के लिए गोपनीयता नियम; ई.यू. के अधीन एक इकाई से व्यक्तिगत डेटा निर्यात किए जाने से पहले। अमेरिकी नियम के अधीन एक गंतव्य के लिए गोपनीयता नियम, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली इकाई इस प्रकार के डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन का एक विधि यह है कि प्राप्त करने वाली इकाई को सुरक्षित हार्बर में सम्मिलित होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित बंदरगाह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वास्तव में सुरक्षित हार्बर सूची में है (देखें [http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+ बंदरगाह + सूची सुरक्षित बंदरगाह सूची])
**यूनाइटेड स्टेट्स [[संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग]] भी [https://www.dhs.gov/privacy-impact-assessments#:~:text=The%20Privacy] के रूप में [[गोपनीयता प्रभाव आकलन]]|गोपनीयता प्रभाव आकलन (PIA) का उपयोग करता है %20Impact%20Assessment%20(PIA,%2C%20shared%2C%20safeguarded%20and%20stored। निजता के उल्लंघन के जोखिमों को पहचानने और कम करने के लिए निर्णय लेने का उपकरण।]<ref>{{Cite web|date=2009-07-06|title=गोपनीयता प्रभाव आकलन|url=https://www.dhs.gov/privacy-impact-assessments|access-date=2020-12-12|website=Department of Homeland Security|language=en}}</ref>
**यूनाइटेड स्टेट्स [[संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग]] भी [https://www.dhs.gov/privacy-impact-assessments#:~:text=The%20Privacy] के रूप में [[गोपनीयता प्रभाव आकलन]]|गोपनीयता प्रभाव आकलन (PIA) का उपयोग करता है %20Impact%20Assessment%20(PIA,%2C%20shared%2C%20safeguarded%20and%20stored। निजता के उल्लंघन के संकटों को पहचानने और कम करने के लिए निर्णय लेने का उपकरण।]<ref>{{Cite web|date=2009-07-06|title=गोपनीयता प्रभाव आकलन|url=https://www.dhs.gov/privacy-impact-assessments|access-date=2020-12-12|website=Department of Homeland Security|language=en}}</ref>
* Sarbanes-Oxley अधिनियम
* Sarbanes-Oxley अधिनियम
* [[ FISMA ]]
* [[ FISMA | एफआईएसएमए]]
 




जैसे-जैसे कानून विकसित होता है, सूचना प्रबंधन के लिए <nowiki/>'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। CCPA बताता है कि कनेक्टेड डिवाइस के निर्माता डिवाइस को उचित सुरक्षा से लैस करते हैं।<ref>{{Cite web|last=IAPP|title=अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास|url=https://iapp.org/news/a/the-evolution-of-reasonable-security-derived-from-ftc-orders-and-state-legal-developments/|url-status=live}}</ref> न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की जानकारी का प्रबंधन करने वाले संगठन "निजी जानकारी की सुरक्षा, गोपनीयता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, लेकिन डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी जोखिम प्रबंधन योजना का प्रबंधन कैसे करते हैं।
जैसे-जैसे नियम विकसित होता है, सूचना प्रबंधन के लिए 'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। CCPA बताता है कि कनेक्टेड डिवाइस के निर्माता डिवाइस को उचित सुरक्षा से लैस करते हैं।<ref>{{Cite web|last=IAPP|title=अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास|url=https://iapp.org/news/a/the-evolution-of-reasonable-security-derived-from-ftc-orders-and-state-legal-developments/|url-status=live}}</ref> न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की जानकारी का प्रबंधन करने वाले संगठन "निजी जानकारी की सुरक्षा, गोपनीयता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, परन्तु डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी संकट प्रबंधन योजना का प्रबंधन कैसे करते हैं।


== मानक संगठन और मानक ==
== मानक संगठन और मानक ==
Line 233: Line 237:
* अंतर्राष्ट्रीय मानक निकाय:
* अंतर्राष्ट्रीय मानक निकाय:
** मानकीकरण के लिए अंतर्राष्ट्रीय संगठन - मानकीकरण के लिए अंतर्राष्ट्रीय संगठन
** मानकीकरण के लिए अंतर्राष्ट्रीय संगठन - मानकीकरण के लिए अंतर्राष्ट्रीय संगठन
** [[भुगतान कार्ड उद्योग सुरक्षा मानक परिषद]]
** [[भुगतान कार्ड उद्योग सुरक्षा मानक परिषद|भुगतान घटक उद्योग सुरक्षा मानक परिषद]]
** सूचना सुरक्षा फोरम
** सूचना सुरक्षा फोरम
*[[द ओपन ग्रुप]]
*[[द ओपन ग्रुप]]
* संयुक्त राज्य मानक निकाय:
* संयुक्त राज्य मानक निकाय:
** राष्ट्रीय मानक और प्रौद्योगिकी संस्थान - एनआईएसटी
** राष्ट्रीय मानक और प्रौद्योगिकी संस्थान - एनआईएसटी
** [[संघीय सूचना प्रसंस्करण मानक]] - संघीय सरकार और एजेंसियों को समर्पित NIST द्वारा FIPS
** [[संघीय सूचना प्रसंस्करण मानक]] - संघीय सरकार और एजेंसियों को समर्पित एनआईएसटी द्वारा एफआईपीएस
* यूके मानक निकाय
* यूके मानक निकाय
** [[ब्रिटिश मानक संस्थान]]
** [[ब्रिटिश मानक संस्थान]]
Line 248: Line 252:


==== आईएसओ ====
==== आईएसओ ====
* ISO/IEC 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के आम तौर पर स्वीकृत विवरण वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf)
* ISO/IEC 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के सामान्यतः स्वीकृत विवरण वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें [http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf])
* ISO/IEC TR 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - IT सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में आम तौर पर स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
* आईएसओ/आईईसी टीआर 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में सामान्यतः स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
* ISO/IEC 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा पेशेवरों को SIO के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के एक विशिष्ट सेट पर भरोसा करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
* ISO/IEC 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा पेशेवरों को SIO के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
* ISO/IEC TR 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-IT घुसपैठ का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी सिस्टम में घुसपैठ का पता लगाना। मानक सुरक्षा पेशेवरों को आईटी सिस्टम में संभावित घुसपैठ के संबंध में सुरक्षा जोखिमों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के एक विशिष्ट सेट पर भरोसा करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व शामिल नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
* आईएसओ/आईईसी टीआर 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी घुसपैठ का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी प्रणाली में घुसपैठ का पता लगाना। मानक सुरक्षा पेशेवरों को आईटी प्रणाली में संभावित घुसपैठ के संबंध में सुरक्षा संकटों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व सम्मिलित नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
* ISO/IEC 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का एक सामान्य सेट युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के दौरान उन पर लागू आश्वासन उपायों के लिए। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में इस्तेमाल किया जा सकता है। मानक आमतौर पर आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) शामिल है। आईटी उत्पाद या सिस्टम की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में इस्तेमाल किया जा सकता हैउन्हें इसके डिजाइन, निर्माण या विपणन के दौरान, या इसे खरीदने से पहले।
* ISO/IEC 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का एक सामान्य समूह युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के दौरान उन पर लागू आश्वासन उपायों के लिए। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में इस्तेमाल किया जा सकता है। मानक सामान्यतः आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) सम्मिलित है। आईटी उत्पाद या प्रणाली की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में इस्तेमाल किया जा सकता हैउन्हें इसके डिजाइन, निर्माण या विपणन के दौरान, या इसे खरीदने से पहले।
* आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए अभ्यास संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (नोट: यह ISO पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को शुरू करने, लागू करने, बनाए रखने और सुधारने के लिए आम तौर पर स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और इस तरह की प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (आईएसओ/आईईसी 17799 भी देखें)
* आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए अभ्यास संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (नोट: यह ISO पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को शुरू करने, लागू करने, बनाए रखने और सुधारने के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और इस प्रकार की प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (आईएसओ/आईईसी 17799 भी देखें)
* आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा प्रोफाइल और सुरक्षा लक्ष्य के उत्पादन के लिए गाइड। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (TR) जिसमें सुरक्षा प्रोफ़ाइल (PPs) और सुरक्षा लक्ष्य (STs) के निर्माण के लिए दिशानिर्देश शामिल हैं ) जिनका उद्देश्य ISO/IEC 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा पेशेवरों के लिए एक उपकरण के रूप में उपयोग किया जाता है, लेकिन इसकी वैधता का आकलन करने के लिए भी इस्तेमाल किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए प्रथाओं के निर्माण और मूल्यांकन के लिए एक (गैर-बाध्यकारी) मानक उपकरण है।
* आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा प्रोफाइल और सुरक्षा लक्ष्य के उत्पादन के लिए निर्देश। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (TR) जिसमें सुरक्षा प्रोफ़ाइल (PPs) और सुरक्षा लक्ष्य (STs) के निर्माण के लिए दिशानिर्देश सम्मिलित हैं ) जिनका उद्देश्य ISO/IEC 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा पेशेवरों के लिए एक उपकरण के रूप में उपयोग किया जाता है, परन्तु इसकी वैधता का आकलन करने के लिए भी इस्तेमाल किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए प्रथाओं के निर्माण और मूल्यांकन के लिए एक (गैर-बाध्यकारी) मानक उपकरण है।
* ISO/IEC 27000-श्रृंखला|ISO/IEC 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-IT नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (नोट: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (ISO/IEC 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा पहलुओं पर आम तौर पर स्वीकृत दिशानिर्देश शामिल हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा जोखिमों पर ध्यान केंद्रित करते हुए ISO/IEC 13335 और ISO/IEC 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है।
* ISO/IEC 27000-श्रृंखला|ISO/IEC 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-आईटी नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (नोट: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (ISO/IEC 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा गुणों पर सामान्यतः स्वीकृत दिशानिर्देश सम्मिलित हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा संकटों पर ध्यान केंद्रित करते हुए ISO/IEC 13335 और ISO/IEC 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है।
* ISO/IEC 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए आम तौर पर स्वीकृत दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। कानूनी रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक अभ्यास का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रणालियों के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। और/या आसपास के अभ्यास। व्यवहार में इसका अनुप्रयोग अक्सर संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:20 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त मार्गदर्शन प्रदान करता है।05 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
* ISO/IEC 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए सामान्यतः स्वीकृत दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक अभ्यास का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रणालियों के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। और/या निकट के अभ्यास। व्यवहार में इसका अनुप्रयोग प्रायः संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:20 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त मार्गदर्शन प्रदान करता है।05 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
* ISO/IEC 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
* ISO/IEC 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
* ISO/IEC TR 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए आम तौर पर स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। कानूनी रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश शामिल हैं। . मानक घटना प्रतिक्रिया के क्षेत्र में बुनियादी अवधारणाओं और विचारों को प्रस्तुत करने वाला एक उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की पहल के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
* आईएसओ/आईईसी टीआर 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश सम्मिलित हैं। . मानक घटना प्रतिक्रिया के क्षेत्र में मूलभूत अवधारणाओं और विचारों को प्रस्तुत करने वाला एक उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की पहल के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
* आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए ऑडिटिंग दिशानिर्देश सार्वजनिक रूप से उपलब्ध ISO मानक का दायरा, ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक एक 'साथी दस्तावेज़' है, जो इस प्रकार मुख्य रूप से ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में शामिल सुरक्षा पेशेवरों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करता है, यदि ISO/IEC 18045 की अवहेलना की गई है तो ISO/IEC 15408 का अनुपालन असंभव है।
* आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए ऑडिटिंग दिशानिर्देश सार्वजनिक रूप से उपलब्ध ISO मानक का दायरा, ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक एक 'साथी प्रपत्ऱ' है, जो इस प्रकार मुख्य रूप से ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में सम्मिलित सुरक्षा पेशेवरों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करता है, यदि ISO/IEC 18045 की अवहेलना की गई है तो ISO/IEC 15408 का अनुपालन असंभव है।
* ISO/TR 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (नोट: यह ISO पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक एक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करता है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf)
* ISO/TR 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (नोट: यह ISO पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक एक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करता है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें [http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf])
* ISO/IEC 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सिस्टम सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (SSE-CMM): ISO/IEC 21827:2008 सिस्टम सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (SSE-CMM) को निर्दिष्ट करता है, जो वर्णन करता है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो अच्छी सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए मौजूद होनी चाहिए। ISO/IEC 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, लेकिन आम तौर पर उद्योग में देखी जाने वाली प्रथाओं को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग प्रथाओं के लिए एक मानक मीट्रिक है।
* ISO/IEC 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-प्रणाली सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (SSE-CMM): ISO/IEC 21827:2008 प्रणाली सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (SSE-CMM) को निर्दिष्ट करता है, जो वर्णन करता है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो ठीक सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए स्थित होनी चाहिए। ISO/IEC 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, परन्तु सामान्यतः उद्योग में देखी जाने वाली प्रथाओं को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग प्रथाओं के लिए एक मानक मीट्रिक है।


==== बीएसआई ====
==== बीएसआई ====
* [[बीएस 25999]]-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: अभ्यास संहिता नोट: यह बीएस 25999 का केवल एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड शामिल होने चाहिए) ) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: अभ्यास के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए अभ्यास के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना मुश्किल है, हालांकि यह आरएम/आरए प्रथाओं के लिए बहुत प्रभावशाली हो सकता है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक पहल। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से PAS 77:2006 - IT सेवा निरंतरता प्रबंधन अभ्यास संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा पेशेवरों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि डिलिवरेबल किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वास्तव में डिलिवरेबल द्वारा पूरी की जाती है।
* [[बीएस 25999]]-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: अभ्यास संहिता नोट: यह बीएस 25999 का मात्र एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड सम्मिलित होने चाहिए) ) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: अभ्यास के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए अभ्यास के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना मुश्किल है, यद्यपि यह आरएम/आरए प्रथाओं के लिए बहुत प्रभावशाली हो सकता है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक पहल। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से PAS 77:2006 - आईटी सेवा निरंतरता प्रबंधन अभ्यास संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा पेशेवरों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि डिलिवरेबल किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वास्तव में डिलिवरेबल द्वारा पूरी की जाती है।
* [[बीएस 7799]]-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा जोखिम प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (नोट: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। हालांकि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा जोखिम प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। कानूनी रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक दस्तावेज के रूप में अभिप्रेत है, और इसलिए आमतौर पर जोखिम मूल्यांकन प्रथाओं में इस मानक के संयोजन में लागू किया जाता है।
* [[बीएस 7799]]-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा संकट प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (नोट: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा संकट प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक प्रपत्र के रूप में अभिप्रेत है, और इसलिए सामान्यतः संकट मूल्यांकन प्रथाओं में इस मानक के संयोजन में लागू किया जाता है।


==== सूचना सुरक्षा मंच ====
==== सूचना सुरक्षा मंच ====
* [[अच्छे अभ्यास का मानक]]
* [[अच्छे अभ्यास का मानक|ठीक अभ्यास का मानक]]


== यह भी देखें ==
== यह भी देखें ==
Line 323: Line 327:
* [http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/files/deliverables/risk-management-principles-and-inventories-for-risk-management-risk-assessment-methods-and-tools/at_download/fullReport Risk Management – Principles and Inventories for Risk Management / Risk Assessment methods and tools], Publication date: Jun 01, 2006 Authors:Conducted by the Technical Department of ENISA Section Risk Management
* [http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/files/deliverables/risk-management-principles-and-inventories-for-risk-management-risk-assessment-methods-and-tools/at_download/fullReport Risk Management – Principles and Inventories for Risk Management / Risk Assessment methods and tools], Publication date: Jun 01, 2006 Authors:Conducted by the Technical Department of ENISA Section Risk Management
* [https://web.archive.org/web/20101026162937/http://www.clusif.asso.fr/ Clusif Club de la Sécurité de l'Information Français]
* [https://web.archive.org/web/20101026162937/http://www.clusif.asso.fr/ Clusif Club de la Sécurité de l'Information Français]
* [http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf 800-30 NIST Risk Management Guide]
* [http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf 800-30 एनआईएसटी Risk Management Guide]
* [http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-39 800-39 NIST DRAFT Managing Risk from Information Systems: An Organizational Perspective]
* [http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-39 800-39 एनआईएसटी DRAFT Managing Risk from Information Systems: An Organizational Perspective]
* [http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf FIPS Publication 199, Standards for Security Categorization of Federal Information and Information]
* [http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf एफआईपीएस Publication 199, Standards for Security Categorization of Federal Information and Information]
* [http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems]
* [http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf एफआईपीएस Publication 200 Minimum Security Requirements for Federal Information and Information Systems]
* [http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf 800-37 NIST Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach]
* [http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf 800-37 एनआईएसटी Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach]
* [http://fismapedia.org/index.php?title=Main_Page FISMApedia is a collection of documents and discussions focused on USA Federal IT security]
* [http://fismapedia.org/index.php?title=Main_Page एफआईएसएमएपिंडिया is a collection of documents and discussions focused on USA Federal आईटी security]
*[https://web.archive.org/web/20180814170112/https://docra.org/ Duty of Care Risk Analysis Standard (DoCRA)]
*[https://web.archive.org/web/20180814170112/https://docra.org/ Duty of Care Risk Analysis Standard (DoCRA)]



Revision as of 20:46, 12 May 2023

सूचना प्रौद्योगिकी संकट, आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।[1] जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, ज्ञान अर्थव्यवस्था और अंकीय क्रांति के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।

विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने का एक सामान्य विधि है।[2] आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे साइबर संकट, भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।[3][4]


परिभाषाएँ

आईएसओ

आईटी संकट: संभावना कि एक दिया गया संकट (कंप्यूटर) किसी गुण (संगणना) या गुण के समूह की भेद्यता (संगणना) का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।[5]


राष्ट्रीय सुरक्षा प्रणालियों पर समिति

संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:

  • सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से[6] मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
    संकट - संभावना है कि एक विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
  • राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,[7] एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करता है:
    संकट - खतरे के घटित होने की संभावना का एक संयोजन, खतरे के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता

राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करता है:[8]

  1. हानि की संभावना जो खतरे-भेद्यता युग्म के परिणाम के रूप में स्थित है। खतरे या भेद्यता को कम करने से संकट कम हो जाता है।
  2. इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
  3. संभावना है कि एक प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक खतरे और भेद्यता हैं।
  4. संकट होने की संभावना का एक संयोजन, खतरे की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
  5. संभावना है कि एक विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।

एनआईएसटी

कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया[9] अवधि[10] एक सूची प्रदान करता है। उन दोनों के बीच:

  • एनआईएसटी एसपी 800-30 के अनुसार:[11]
    संकट किसी दिए गए खतरे-स्रोत की एक विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
  • एनआईएसटी एफआईपीएस 200 से[12]
    संकट - किसी खतरे के संभावित प्रभाव और उस खतरे के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर .

एनआईएसटी एसपी 800-30[11] परिभाषित करता है:

आईटी से संबंधित संकट
शुद्ध मिशन प्रभाव पर विचार:
  1. संभावना है कि एक विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग ( संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
  2. परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
    1. अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
    2. अनभिप्रेत त्रुटियां और चूक
    3. प्राकृतिक या मानव निर्मित आपदाओं के कारण आईटी व्यवधान
    4. आईटी प्रणाली के कार्यान्वयन और संचालन में उचित देखभाल और परिश्रम करने में विफलता।

संकट प्रबंधन अंतर्दृष्टि

आईटी संकट भविष्य के हानि की संभावित आवृत्ति और संभावित परिमाण है।[13]


आईएसएसीए

आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,[14] आईटी संकट को इस प्रकार परिभाषित किया गया है:

एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, भागीदारी, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट

रिस्क आईटी के अनुसार,[14]आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक प्रभाव (सुरक्षा) को सम्मिलित करता है जो संगठन के मान में विनाश या कमी ला सकता है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करता है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी

आईटी संकट मापना

आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।[13][15]

आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और नेटवर्क संचालन केंद्र अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक मुख्य सूचना सुरक्षा अधिकारी के लिए एक महत्वपूर्ण भूमिका है।

किसी भी प्रकार के संकट को मापते समय, किसी दिए गए खतरे, गुण और उपलब्ध डेटा के लिए सही समीकरण का चयन करना एक महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं।

संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, खतरे और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करता है। यद्यपि, खतरे जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप के विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।[16]

गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: जहां p() संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d() हानि के विभिन्न स्तरों की संभावना है जो हो सकता है।[17]

आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकता है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:

सूचना सुरक्षा घटना

एक प्रणाली, सेवा या नेटवर्क स्थिति की एक पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।[5]:
परिस्थितियों के एक विशेष समूह की घटना[18]
  • घटना निश्चित या अनिश्चित हो सकती है।
  • घटना एक एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। :(आईएसओ/आईईसी निर्देश 73)

सूचना सुरक्षा घटना:

अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है[5]
एक घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।[19]

प्रभाव (सुरक्षा)[20]

एक अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)
परिणाम[21]
एक घटना का परिणाम [जी.11]
  • एक घटना के एक से अधिक परिणाम हो सकते हैं।
  • परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
  • परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (ISO/IEC निर्देश 73)

संकट 'आर' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'आई' के गुणा होने वाली सुरक्षा घटना की संभावना 'एल' का उत्पाद है, जो है:[22]: आर = एल × मैं

किसी सुरक्षा घटना के घटित होने की संभावना खतरे के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली कमजोरियों का सफलतापूर्वक दोहन कर सकता है।

एक सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का एक कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।

तो R चार संकट कारक (संगणना) का कार्य हो सकता है:

  • ए = गुण का मान (संगणना)
  • टी = खतरे की संभावना (कंप्यूटर)
  • वी = भेद्यता की प्रकृति (संगणना) यानी संभावना जिसका शोषण किया जा सकता है (हमलावर के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
  • I = संभावित प्रभाव (सुरक्षा), हानि की सीमा

यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद काउंटरमेशर्स की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना हमेशा व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में आयाम रहित श्रेणीबद्ध किया जाता है।

OWASP एक व्यावहारिक संकट माप दिशानिर्देश प्रस्तावित करता है[22] पर आधारित:

  • 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
    • संकट एजेंट कारक
      • कौशल स्तर: खतरे के एजेंटों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा पैठ कौशल (9)
      • मकसद: खतरे के एजेंटों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई इनाम नहीं (1), संभावित इनाम (4), ज़्यादा इनाम (9)
      • अवसर: खतरे के एजेंटों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या महंगे संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
      • आकार: खतरे के एजेंटों का यह समूह कितना बड़ा है? डेवलपर्स (2), प्रणाली एडमिनिस्ट्रेटर (2), इंट्रानेट उपयोगकर्ता (4), भागीदार (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
    • भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए खतरे के एजेंट को मान लें।
      • खोज में आसानी: खतरे के एजेंटों के इस समूह के लिए इस भेद्यता का पता लगाना कितना आसान है? व्यावहारिक रूप से असंभव (1), कठिन (3), आसान (7), स्वचालित उपकरण उपलब्ध (9)
      • शोषण में आसानी (कंप्यूटर सुरक्षा): खतरे के एजेंटों के इस समूह के लिए वास्तव में इस भेद्यता का लाभ उठाना कितना आसान है? सैद्धांतिक (1), कठिन (3), आसान (5), स्वचालित उपकरण उपलब्ध (9)
      • जागरूकता: खतरे के एजेंटों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
      • घुसपैठ का पता लगाना: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
  • 0 से 9 के पैमाने में विभिन्न कारकों के बीच एक औसत के रूप में प्रभाव का अनुमान
    • तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: [[गोपनीयता]], अखंडता, उपलब्धता और जवाबदेही। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
      • गोपनीयता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का खुलासा (2), न्यूनतम महत्वपूर्ण डेटा का खुलासा (6), व्यापक गैर-संवेदनशील डेटा का खुलासा (6), व्यापक महत्वपूर्ण डेटा का खुलासा (7), सभी डेटा का खुलासा (9)
      • अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)
      • उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)
      • उत्तरदायित्व का हानि: क्या खतरे के एजेंटों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से गुमनाम (9)
    • व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहरी समझ की आवश्यकता है। सामान्य तौर पर, आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, खासकर यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
      • वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर मामूली प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
      • प्रतिष्ठा बांधउम्र: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
      • गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? मामूली उल्लंघन (2), स्पष्ट उल्लंघन (5), हाई-प्रोफाइल उल्लंघन (7)
      • गोपनीयता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी जानकारी का खुलासा किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
    • यदि व्यावसायिक प्रभाव की गणना सही रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
  • कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
  • निम्न तालिका का उपयोग करके संकट की गणना करें
Overall Risk Severity
Impact HIGH Medium High Critical
MEDIUM Low Medium High
LOW None Low Medium
  LOW MEDIUM HIGH
  Likelihood


आईटी संकट प्रबंधन

संकट प्रबंधन तत्व

IT risk management एनआईएसटी साइबर सुरक्षा ढांचा संगठनों को पहचान (आईडी) कार्य के हिस्से के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करता है:[23][24] संकट मूल्यांकन (ID.RA): संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।

  • आईडी.आरए-1: परिगुण कमजोरियों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
  • आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर खतरे की आसूचना जानकारी और भेद्यता की जानकारी प्राप्त होती है
  • आईडी.आरए-3: आंतरिक और बाहरी दोनों प्रकार के खतरों की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
  • आईडी.आरए-4: संभावित व्यावसायिक प्रभावों और संभावनाओं की पहचान की गई है
  • आईडी.आरए-5: संकट को निर्धारित करने के लिए खतरों, कमजोरियों, संभावनाओं और प्रभावों का उपयोग किया जाता है
  • आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है

संकट प्रबंधन रणनीति (आईडी.आरएम): संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।

  • ID.RM-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
  • ID.RM-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
  • आईडी.आरएम-3: संगठन की संकट सहिष्णुता का निर्धारण महत्वपूर्ण मूलभूत ढांचे और क्षेत्र विशिष्ट संकट विश्लेषण में इसकी भूमिका से सूचित होता है

आईटी संकट नियम और नियम

निम्नलिखित में स्रोत द्वारा आयोजित लागू नियमों का संक्षिप्त विवरण।[25]


ओईसीडी

ओईसीडी ने निम्नलिखित जारी किया:

यूरोपीय संघ

यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

  • गोपनीयता
    • विनियमन (EC) संख्या 45/2001 के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त आवागमन पर एक आंतरिक विनियमन प्रदान करता है, जो नीचे वर्णित गोपनीयता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अलावा, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत ढांचे के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
    • Directive 95/46/EC डेटा संरक्षण निर्देश के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त आवाजाही के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के गोपनीयता निहितार्थों को निर्धारित करने के लिए और ऐसी गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़ता है; ऐसे उपाय, जो गतिविधि की संवेदनशीलता और गोपनीयता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक होने चाहिए (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को चार्ज किया जाता है) को राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, जिसमें यह सुनिश्चित करने के लिए किए गए उपाय सम्मिलित हैं गतिविधि की सुरक्षा। इसके अलावा, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के हस्तांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
    • Commission Decision 2001/497/EC of 15 June 2001 के हस्तांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/EC के तहत तीसरे देशों को व्यक्तिगत डेटा; और Commission Decision 2004/915/EC of 27 December 2004 संशोधित निर्णय 2001/497/EC संबंध में तीसरे देशों को व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह की शुरूआत। विषय: तीसरे देशों, विशेष रूप से गैर-यूरोपीय संघ को व्यक्तिगत डेटा का निर्यात। ऐसे देश जिन्हें डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है जो पर्याप्त है (यानी ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का एक समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
    • अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत (नीचे #USA और अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत देखें)
    • Directive 2002/58/EC 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के संबंध में इलेक्ट्रॉनिक संचार क्षेत्र में गोपनीयता की
  • राष्ट्रीय सुरक्षा
    • Directive 2006/24/EC 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/EC ('डेटा प्रतिधारण निर्देश') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ जानकारी बनाए रखने की आवश्यकता
    • काउंसिल डायरेक्टिव 2008/114/EC 8 दिसंबरयूरोपीय महत्वपूर्ण अवसंरचना की पहचान और पदनाम और उनकी सुरक्षा में सुधार की आवश्यकता के आकलन पर बेर 2008। विषय: यूरोपीय क्रिटिकल इंफ्रास्ट्रक्चर की पहचान और संरक्षण। दायरा: सदस्य देशों और यूरोपियन क्रिटिकल इन्फ्रास्ट्रक्चर के संचालकों के लिए लागू (ड्राफ्ट डायरेक्टिव द्वारा 'क्रिटिकल इन्फ्रास्ट्रक्चर' के रूप में परिभाषित किया गया है, जिसका व्यवधान या विनाश दो या दो से अधिक सदस्य राज्यों को प्रभावित करेगा, या यदि क्रिटिकल इन्फ्रास्ट्रक्चर स्थित है तो एक सदस्य राज्य अन्य सदस्य राज्य में। इसमें अन्य प्रकार के मूलभूत ढांचे पर क्रॉस-सेक्टर निर्भरता के परिणामस्वरूप होने वाले प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत ढांचे की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ECI के मालिकों/ऑपरेटरों को ऑपरेटर सुरक्षा योजनाएँ (OSPs) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
  • नागरिक और दंड नियम
    • Council Framework Decision 2005/222/JHA 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध हमलों पर। विषय: सामग्री आपराधिक नियम (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के मुद्दों को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। स्कोप: सदस्य राज्यों को अपने राष्ट्रीय वैध ढांचे में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके तहत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से निगरानी की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।

यूरोप की परिषद

  • काउंसिल ऑफ यूरोप कन्वेंशन ऑन साइबर क्राइम, बुडापेस्ट, 23.XI.2001, यूरोपियन ट्रीटी सीरीज-नंबर। 185. विषय: सामग्री आपराधिक नियम (यानी विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व मुद्दों और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की एक श्रृंखला की परिभाषा के अलावा, कन्वेंशन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके तहत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध दायरे में प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इकाई। इस प्रकार, कन्वेंशन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त निगरानी की जाए, क्योंकि कन्वेंशन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए एक वैध इकाई को उत्तरदायी ठहराया जा सकता है।

संयुक्त राज्य

संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

  • नागरिक और दंड नियम
    • इलेक्ट्रॉनिक खोज के संबंध में सिविल प्रक्रिया के संघीय नियमों में संशोधन। विषय: सिविल कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। डिस्कवरी नियम दीवानी कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने कब्जे में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करता है, ताकि पक्ष और अदालत को मामले का सही आकलन करने की अनुमति मिल सके। ई-डिस्कवरी संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी जानकारी में अब इलेक्ट्रॉनिक जानकारी सम्मिलित हो सकती है। इसका तात्पर्य यह है कि दीवानी कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्ऱ प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्ऱ, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से हो भी सकते हैं और नहीं भी चित्रित। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी जानकारी के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पार्टी को 'लिटिगेशन होल्ड' शुरू करने में सक्षम होना चाहिए, एक तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक जानकारी को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को जिम्मेदार होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ)) का एक हिस्सा होने पर निश्चित रूप से विशिष्ट जानकारी को हटाने की अनुमति है, जानबूझकर विनाश संभावित रूप से प्रासंगिक जानकारी को अत्यधिक उच्च जुर्माना (1.6 बिलियन यूएस डॉलर के एक विशिष्ट मामले में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक मुचरणेबाजी का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और मुचरणेबाजी को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
  • गोपनीयता
    • कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम|कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA)
    • कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA)
    • ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
    • यूएसए पैट्रियट अधिनियम, शीर्षक III
    • स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम (HIPAA) एक RM/RA परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (HIPAA का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (HHS) को विशिष्ट नियम समूहों का मसौदा तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में सुधार करेगा और दुरुपयोग को रोकेगा। फलस्वरूप, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: गोपनीयता नियम, लेन-देन और कोड समूह नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: http://www.cms.hhs.gov/SecurityStandard/Downloads/security finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की एक श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी की गोपनीयता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन गुणों को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के एक समूह में रेखांकित किया गया है, जो सभी HIPAA संकट प्रबंधन और संकट मूल्यांकन की मूलभूत बातों पर एक मार्गदर्शन प्रपत्ऱ के साथ प्रकाशित किए गए हैं <http://www. .cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता सामान्यतः HIPAA दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। यद्यपि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय नियम (गोपनीयता निर्देश सहित) के तहत समान दायित्वों के अधीन हैं, और चूंकि आधुनिकीकरण और विकास के अंतर्निहित रुझानइलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों की ओर समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। HIPAA सुरक्षा मानकों में निम्नलिखित सम्मिलित हैं:
      • प्रशासनिक सुरक्षा उपाय:
        • सुरक्षा प्रबंधन प्रक्रिया
        • सुरक्षा की जिम्मेदारी सौंपी गई है
        • कार्यबल सुरक्षा
        • सूचना पहुँच प्रबंधन
        • सुरक्षा जागरूकता और प्रशिक्षण
        • सुरक्षा घटना प्रक्रियाएं
        • आकस्मिक योजना
        • मूल्यांकन
        • बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
      • भौतिक सुरक्षा उपाय
        • सुविधा अभिगम नियंत्रण
        • वर्कस्टेशन उपयोग
        • कार्य केंद्र सुरक्षा
        • डिवाइस और मीडिया नियंत्रण
      • तकनीकी सुरक्षा उपाय
        • अभिगम नियंत्रण
        • लेखापरीक्षा नियंत्रण
        • अखंडता
        • व्यक्ति या संस्था प्रमाणीकरण
        • ट्रांसमिशन सुरक्षा
      • संगठनात्मक आवश्यकताएं
        • बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
        • समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
    • अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित बंदरगाह गोपनीयता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूरोपीय संघ के अधीन है। अमेरिका स्थित गंतव्य के लिए गोपनीयता नियम; ई.यू. के अधीन एक इकाई से व्यक्तिगत डेटा निर्यात किए जाने से पहले। अमेरिकी नियम के अधीन एक गंतव्य के लिए गोपनीयता नियम, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली इकाई इस प्रकार के डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन का एक विधि यह है कि प्राप्त करने वाली इकाई को सुरक्षित हार्बर में सम्मिलित होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित बंदरगाह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वास्तव में सुरक्षित हार्बर सूची में है (देखें बंदरगाह + सूची सुरक्षित बंदरगाह सूची)
    • यूनाइटेड स्टेट्स संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग भी [1] के रूप में गोपनीयता प्रभाव आकलन|गोपनीयता प्रभाव आकलन (PIA) का उपयोग करता है %20Impact%20Assessment%20(PIA,%2C%20shared%2C%20safeguarded%20and%20stored। निजता के उल्लंघन के संकटों को पहचानने और कम करने के लिए निर्णय लेने का उपकरण।][26]
  • Sarbanes-Oxley अधिनियम
  • एफआईएसएमए


जैसे-जैसे नियम विकसित होता है, सूचना प्रबंधन के लिए 'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। CCPA बताता है कि कनेक्टेड डिवाइस के निर्माता डिवाइस को उचित सुरक्षा से लैस करते हैं।[27] न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की जानकारी का प्रबंधन करने वाले संगठन "निजी जानकारी की सुरक्षा, गोपनीयता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, परन्तु डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी संकट प्रबंधन योजना का प्रबंधन कैसे करते हैं।

मानक संगठन और मानक

मानकों का संक्षिप्त विवरण

सूची मुख्य रूप से इस पर आधारित है:[25]


आईएसओ

  • ISO/IEC 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के सामान्यतः स्वीकृत विवरण वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf)
  • आईएसओ/आईईसी टीआर 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में सामान्यतः स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
  • ISO/IEC 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा पेशेवरों को SIO के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
  • आईएसओ/आईईसी टीआर 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी घुसपैठ का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी प्रणाली में घुसपैठ का पता लगाना। मानक सुरक्षा पेशेवरों को आईटी प्रणाली में संभावित घुसपैठ के संबंध में सुरक्षा संकटों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व सम्मिलित नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
  • ISO/IEC 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का एक सामान्य समूह युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के दौरान उन पर लागू आश्वासन उपायों के लिए। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में इस्तेमाल किया जा सकता है। मानक सामान्यतः आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) सम्मिलित है। आईटी उत्पाद या प्रणाली की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में इस्तेमाल किया जा सकता हैउन्हें इसके डिजाइन, निर्माण या विपणन के दौरान, या इसे खरीदने से पहले।
  • आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए अभ्यास संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (नोट: यह ISO पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को शुरू करने, लागू करने, बनाए रखने और सुधारने के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और इस प्रकार की प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (आईएसओ/आईईसी 17799 भी देखें)
  • आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा प्रोफाइल और सुरक्षा लक्ष्य के उत्पादन के लिए निर्देश। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (TR) जिसमें सुरक्षा प्रोफ़ाइल (PPs) और सुरक्षा लक्ष्य (STs) के निर्माण के लिए दिशानिर्देश सम्मिलित हैं ) जिनका उद्देश्य ISO/IEC 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा पेशेवरों के लिए एक उपकरण के रूप में उपयोग किया जाता है, परन्तु इसकी वैधता का आकलन करने के लिए भी इस्तेमाल किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए प्रथाओं के निर्माण और मूल्यांकन के लिए एक (गैर-बाध्यकारी) मानक उपकरण है।
  • ISO/IEC 27000-श्रृंखला|ISO/IEC 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-आईटी नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (नोट: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (ISO/IEC 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा गुणों पर सामान्यतः स्वीकृत दिशानिर्देश सम्मिलित हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा संकटों पर ध्यान केंद्रित करते हुए ISO/IEC 13335 और ISO/IEC 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है।
  • ISO/IEC 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए सामान्यतः स्वीकृत दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक अभ्यास का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रणालियों के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। और/या निकट के अभ्यास। व्यवहार में इसका अनुप्रयोग प्रायः संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:20 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त मार्गदर्शन प्रदान करता है।05 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
  • ISO/IEC 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
  • आईएसओ/आईईसी टीआर 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। दायरा: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश सम्मिलित हैं। . मानक घटना प्रतिक्रिया के क्षेत्र में मूलभूत अवधारणाओं और विचारों को प्रस्तुत करने वाला एक उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की पहल के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
  • आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए ऑडिटिंग दिशानिर्देश सार्वजनिक रूप से उपलब्ध ISO मानक का दायरा, ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक एक 'साथी प्रपत्ऱ' है, जो इस प्रकार मुख्य रूप से ISO/IEC 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में सम्मिलित सुरक्षा पेशेवरों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करता है, यदि ISO/IEC 18045 की अवहेलना की गई है तो ISO/IEC 15408 का अनुपालन असंभव है।
  • ISO/TR 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (नोट: यह ISO पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक एक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करता है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf)
  • ISO/IEC 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-प्रणाली सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (SSE-CMM): ISO/IEC 21827:2008 प्रणाली सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (SSE-CMM) को निर्दिष्ट करता है, जो वर्णन करता है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो ठीक सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए स्थित होनी चाहिए। ISO/IEC 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, परन्तु सामान्यतः उद्योग में देखी जाने वाली प्रथाओं को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग प्रथाओं के लिए एक मानक मीट्रिक है।

बीएसआई

  • बीएस 25999-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: अभ्यास संहिता नोट: यह बीएस 25999 का मात्र एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड सम्मिलित होने चाहिए) ) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: अभ्यास के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए अभ्यास के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना मुश्किल है, यद्यपि यह आरएम/आरए प्रथाओं के लिए बहुत प्रभावशाली हो सकता है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक पहल। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से PAS 77:2006 - आईटी सेवा निरंतरता प्रबंधन अभ्यास संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा पेशेवरों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि डिलिवरेबल किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वास्तव में डिलिवरेबल द्वारा पूरी की जाती है।
  • बीएस 7799-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा संकट प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (नोट: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा संकट प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। दायरा: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक प्रपत्र के रूप में अभिप्रेत है, और इसलिए सामान्यतः संकट मूल्यांकन प्रथाओं में इस मानक के संयोजन में लागू किया जाता है।

सूचना सुरक्षा मंच

यह भी देखें

  • संपत्ति (कंप्यूटर सुरक्षा)
  • उपलब्धता
  • बीएस 7799
  • बीएस 25999
  • राष्ट्रीय सुरक्षा प्रणालियों पर समिति
  • सामान्य मानदंड
  • गोपनीयता
  • साइबर सुरक्षा विनियमन
  • डेटा सुरक्षा निर्देश
  • गिलहरियों के कारण विद्युत विघ्न
  • शोषण (कंप्यूटर सुरक्षा)
  • सूचना जोखिम का कारक विश्लेषण
  • संघीय सूचना सुरक्षा प्रबंधन अधिनियम 2002
  • ग्राम-लीच-ब्लीली अधिनियम
  • स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम
  • सूचना सुरक्षा
  • सूचना सुरक्षा मंच
  • सूचान प्रौद्योगिकी
  • अखंडता
  • अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत
  • इसाका
  • इंटरनैशनल ऑर्गनाइज़ेशन फॉर स्टैंडर्डाइज़ेशन
  • आईएसओ/आईईसी 27000-श्रृंखला
  • आईएसओ/आईईसी 27001:2013
  • आईएसओ/आईईसी 27002
  • आईटी जोखिम प्रबंधन
  • दीर्घकालिक समर्थन
  • राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र
  • मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
  • राष्ट्रीय सुरक्षा
  • ओडब्ल्यूएएसपी
  • देशभक्त अधिनियम, शीर्षक III
  • गोपनीयता
  • जोखिम
  • जोखिम कारक (कंप्यूटिंग)
  • इसे दांव पर लगाओ
  • Sarbanes-Oxley अधिनियम
  • अच्छे अभ्यास का मानक
  • खतरा (कंप्यूटर)
  • भेद्यता (कंप्यूटिंग)

संदर्भ

  1. "What is IT risk? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. Retrieved 2021-09-04.
  2. "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
  3. "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch (in English). 2016-05-16. Archived from the original on 2018-11-07. Retrieved 2017-10-07.
  4. "सूचना सुरक्षा आकलन प्रकार". danielmiessler.com (in English). Retrieved 2017-10-07.
  5. 5.0 5.1 5.2 ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  6. CNSS Instruction No. 4009 Archived 2012-02-27 at the Wayback Machine dated 26 April 2010
  7. National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee
  8. "पारिभाषिक शब्दावली". Retrieved 23 May 2016.
  9. a wiki project devoted to FISMA
  10. FISMApedia Risk term
  11. 11.0 11.1 NIST SP 800-30 Risk Management Guide for Information Technology Systems
  12. FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems
  13. 13.0 13.1 FAIR: Factor Analysis for Information Risks Archived 2014-11-18 at the Wayback Machine
  14. 14.0 14.1 ISACA THE RISK IT FRAMEWORK Archived 2010-07-05 at the Wayback Machine ISBN 978-1-60420-111-6 (registration required)
  15. Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
  16. Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (in English). Threat Sketch, LLC. ISBN 9780692944158.
  17. Arnold, Rob (2017). Cybersecurity: A Business Solution. p. 22. ISBN 978-0692944158.
  18. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  19. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  20. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  21. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  22. 22.0 22.1 "OWASP जोखिम रेटिंग पद्धति". Retrieved 23 May 2016.
  23. Keller, Nicole (2013-11-12). "साइबर सुरक्षा ढांचा". NIST (in English). Retrieved 2017-10-07.
  24. Arnold, Rob. "एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड". Threat Sketch. Archived from the original on 2021-04-14. Retrieved 2018-02-14.
  25. 25.0 25.1 Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice Archived 2011-07-23 at the Wayback Machine Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007
  26. "गोपनीयता प्रभाव आकलन". Department of Homeland Security (in English). 2009-07-06. Retrieved 2020-12-12.
  27. IAPP. "अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास".{{cite web}}: CS1 maint: url-status (link)


बाहरी संबंध