आईटी संकट: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(8 intermediate revisions by 4 users not shown)
Line 2: Line 2:
सूचना प्रौद्योगिकी [[जोखिम|संकट]], आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।<ref>{{Cite web|title=What is IT risk? {{!}} nibusinessinfo.co.uk|url=https://www.nibusinessinfo.co.uk/content/what-it-risk|access-date=2021-09-04|website=www.nibusinessinfo.co.uk}}</ref> जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, [[ज्ञान अर्थव्यवस्था]] और [[डिजिटल क्रांति|अंकीय क्रांति]] के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।
सूचना प्रौद्योगिकी [[जोखिम|संकट]], आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।<ref>{{Cite web|title=What is IT risk? {{!}} nibusinessinfo.co.uk|url=https://www.nibusinessinfo.co.uk/content/what-it-risk|access-date=2021-09-04|website=www.nibusinessinfo.co.uk}}</ref> जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, [[ज्ञान अर्थव्यवस्था]] और [[डिजिटल क्रांति|अंकीय क्रांति]] के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।


विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने का एक सामान्य विधि है।<ref>"Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)</ref> आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे [[साइबर खतरा|साइबर संकट]], भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।<ref>{{Cite news|url=https://threatsketch.com/3-types-cyber-security-assessments/|title=3 Types Of Cybersecurity Assessments – Threat Sketch|date=2016-05-16|work=Threat Sketch|access-date=2017-10-07|language=en-US|archive-date=2018-11-07|archive-url=https://web.archive.org/web/20181107000808/https://threatsketch.com/3-types-cyber-security-assessments/|url-status=dead}}</ref><ref>{{Cite news|url=https://danielmiessler.com/study/security-assessment-types/|title=सूचना सुरक्षा आकलन प्रकार|work=danielmiessler.com|access-date=2017-10-07|language=en-US}}</ref>
विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने की सामान्य विधि है।<ref>"Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)</ref> आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे [[साइबर खतरा|साइबर संकट]], भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।<ref>{{Cite news|url=https://threatsketch.com/3-types-cyber-security-assessments/|title=3 Types Of Cybersecurity Assessments – Threat Sketch|date=2016-05-16|work=Threat Sketch|access-date=2017-10-07|language=en-US|archive-date=2018-11-07|archive-url=https://web.archive.org/web/20181107000808/https://threatsketch.com/3-types-cyber-security-assessments/|url-status=dead}}</ref><ref>{{Cite news|url=https://danielmiessler.com/study/security-assessment-types/|title=सूचना सुरक्षा आकलन प्रकार|work=danielmiessler.com|access-date=2017-10-07|language=en-US}}</ref>




Line 8: Line 8:


=== आईएसओ ===
=== आईएसओ ===
आईटी संकट: ''संभावना कि एक दिया गया [[खतरा (कंप्यूटर)|संकट (कंप्यूटर)]] किसी [[संपत्ति (कंप्यूटिंग)|गुण (संगणना)]] या गुण के समूह की [[भेद्यता (कंप्यूटिंग)|भेद्यता (संगणना)]] का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।''<ref name=ISO27005>ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008</ref>
आईटी संकट: ''संभावना कि एक दिया गया [[खतरा (कंप्यूटर)|संकट (कंप्यूटर]]) किसी [[संपत्ति (कंप्यूटिंग)|गुण (संगणना]]) या गुण के समूह की [[भेद्यता (कंप्यूटिंग)|भेद्यता (संगणना]]) का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।''<ref name=ISO27005>ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008</ref>




Line 14: Line 14:
[[संयुक्त राज्य अमेरिका]] की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:
[[संयुक्त राज्य अमेरिका]] की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:
* सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से<ref name=CNSSI4009>[http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf CNSS Instruction No. 4009] {{Webarchive|url=https://web.archive.org/web/20120227163121/http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf |date=2012-02-27 }} dated 26 April 2010</ref> मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
* सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से<ref name=CNSSI4009>[http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf CNSS Instruction No. 4009] {{Webarchive|url=https://web.archive.org/web/20120227163121/http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf |date=2012-02-27 }} dated 26 April 2010</ref> मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
*: संकट - संभावना है कि एक विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
*: संकट - संभावना है कि विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
*राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,<ref>[http://niatec.info/GetFile.aspx?pid=567 National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee]</ref> एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करता है:
*राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,<ref>[http://niatec.info/GetFile.aspx?pid=567 National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee]</ref> एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करते है:
*:संकट - थ्रेट के घटित होने की संभावना का एक संयोजन, थ्रेट के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता
*:संकट - थ्रेट के घटित होने की संभावना का संयोजन, थ्रेट के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता


[[राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र]] आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करता है:<ref>{{cite web|url=http://niatec.info/Glossary.aspx?term=4253&alpha=R|title=पारिभाषिक शब्दावली|access-date=23 May 2016}}</ref>
[[राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र]] आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करते है:<ref>{{cite web|url=http://niatec.info/Glossary.aspx?term=4253&alpha=R|title=पारिभाषिक शब्दावली|access-date=23 May 2016}}</ref>
# हानि की संभावना जो थ्रेट-भेद्यता युग्म के परिणाम के रूप में स्थित है। थ्रेट या भेद्यता को कम करने से संकट कम हो जाता है।
# हानि की संभावना जो थ्रेट-भेद्यता युग्म के परिणाम के रूप में स्थित है। थ्रेट या भेद्यता को कम करने से संकट कम हो जाता है।
# इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
# इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
# संभावना है कि एक प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक थ्रेट और भेद्यता हैं।
# संभावना है कि प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक थ्रेट और भेद्यता हैं।
# संकट होने की संभावना का एक संयोजन, थ्रेट की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
# संकट होने की संभावना का संयोजन, थ्रेट की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
# संभावना है कि एक विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।
# संभावना है कि विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।


=== [[एनआईएसटी]] ===
=== [[एनआईएसटी]] ===
कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया<ref>[http://fismapedia.org/index.php a wiki project] devoted to [[FISMA]]</ref> अवधि<ref>[http://fismapedia.org/index.php?title=Term:Risk FISMApedia Risk term]</ref> एक सूची प्रदान करता है। उन दोनों के बीच:
कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया<ref>[http://fismapedia.org/index.php a wiki project] devoted to [[FISMA]]</ref> अवधि<ref>[http://fismapedia.org/index.php?title=Term:Risk FISMApedia Risk term]</ref> एक सूची प्रदान करते है। उन दोनों के बीच:
* एनआईएसटी एसपी 800-30 के अनुसार:<ref name=SP80030>[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf NIST SP 800-30 Risk Management Guide for Information Technology Systems]</ref>
* एनआईएसटी एसपी 800-30 के अनुसार:<ref name=SP80030>[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf NIST SP 800-30 Risk Management Guide for Information Technology Systems]</ref>
*: संकट किसी दिए गए थ्रेट-स्रोत की एक विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
*: संकट किसी दिए गए थ्रेट-स्रोत की विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
* एनआईएसटी एफआईपीएस 200 से<ref>[http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems]</ref>
* एनआईएसटी एफआईपीएस 200 से<ref>[http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems]</ref>
*: संकट - किसी थ्रेट के संभावित प्रभाव और उस थ्रेट के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर .
*: संकट - किसी थ्रेट के संभावित प्रभाव और उस थ्रेट के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर।


एनआईएसटी एसपी 800-30<ref name=SP80030/> परिभाषित करता है:
एनआईएसटी एसपी 800-30<ref name=SP80030/> परिभाषित करता है:
;आईटी से संबंधित संकट:
;आईटी से संबंधित संकट:
: शुद्ध मिशन प्रभाव पर विचार:
: शुद्ध मिशन प्रभाव पर विचार:
:# संभावना है कि एक विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग ( संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
:# संभावना है कि विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग (संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
:# परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
:# परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
:## अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
:## अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
Line 49: Line 49:
आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,<ref name=riskit>[http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf ISACA THE RISK IT FRAMEWORK] {{Webarchive|url=https://web.archive.org/web/20100705110913/http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf |date=2010-07-05 }} {{ISBN|978-1-60420-111-6}} (registration required)</ref> आईटी संकट को इस प्रकार परिभाषित किया गया है:
आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,<ref name=riskit>[http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf ISACA THE RISK IT FRAMEWORK] {{Webarchive|url=https://web.archive.org/web/20100705110913/http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf |date=2010-07-05 }} {{ISBN|978-1-60420-111-6}} (registration required)</ref> आईटी संकट को इस प्रकार परिभाषित किया गया है:
: एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, सहयोग, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट
: एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, सहयोग, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट
रिस्क आईटी के अनुसार,<ref name=riskit/>आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक [[प्रभाव (सुरक्षा)]] को सम्मिलित करता है जो संगठन के मान में विनाश या कमी ला सकता है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करता है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी
रिस्क आईटी के अनुसार,<ref name=riskit/>आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक [[प्रभाव (सुरक्षा)|प्रभाव (सुरक्षा]]) को सम्मिलित करते है जो संगठन के मान में विनाश या कमी ला सकते है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करते है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी


== आईटी संकट मापना ==
== आईटी संकट मापना ==
: आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।<ref name="riskmanagementinsight.com"/><ref>Technical Standard Risk Taxonomy {{ISBN|1-931624-77-1}} Document Number: C081 Published by The Open Group, January 2009.</ref>
: आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।<ref name="riskmanagementinsight.com"/><ref>Technical Standard Risk Taxonomy {{ISBN|1-931624-77-1}} Document Number: C081 Published by The Open Group, January 2009.</ref>
आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और [[नेटवर्क संचालन केंद्र]] अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक [[मुख्य सूचना सुरक्षा अधिकारी]] के लिए एक महत्वपूर्ण भूमिका है।
आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और [[नेटवर्क संचालन केंद्र]] अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक [[मुख्य सूचना सुरक्षा अधिकारी]] के लिए महत्वपूर्ण भूमिका है।


किसी भी प्रकार के संकट को मापते समय, किसी दिए गए थ्रेट, गुण और उपलब्ध डेटा के लिए उचित समीकरण का चयन करना एक महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं। <blockquote>संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, थ्रेट और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करता है। यद्यपि, थ्रेट जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप के विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ&pg=PA22|title=Cybersecurity: A Business Solution: An executive perspective on managing cyber risk|last=Arnold|first=Rob|date=2017|publisher=Threat Sketch, LLC|isbn=9780692944158|language=en}}</ref></blockquote><blockquote>गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: <math display="inline">Risk = p(Asset, Threat) \times d(Asset, Threat)
किसी भी प्रकार के संकट को मापते समय, किसी दिए गए थ्रेट, गुण और उपलब्ध डेटा के लिए उचित समीकरण का चयन करना महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं। <blockquote>संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, थ्रेट और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करते है। यद्यपि, थ्रेट जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप की विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ&pg=PA22|title=Cybersecurity: A Business Solution: An executive perspective on managing cyber risk|last=Arnold|first=Rob|date=2017|publisher=Threat Sketch, LLC|isbn=9780692944158|language=en}}</ref></blockquote><blockquote>गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: <math display="inline">Risk = p(Asset, Threat) \times d(Asset, Threat)
</math> जहां p() संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d() हानि के विभिन्न स्तरों की संभावना है जो हो सकता है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ|title=Cybersecurity: A Business Solution|last=Arnold|first=Rob|year=2017|isbn=978-0692944158|pages=22}}</ref> </blockquote>आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकता है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:
</math> जहां p () संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d () हानि के विभिन्न स्तरों की संभावना है जो हो सकते है।<ref>{{Cite book|url=https://books.google.com/books?id=zu44DwAAQBAJ|title=Cybersecurity: A Business Solution|last=Arnold|first=Rob|year=2017|isbn=978-0692944158|pages=22}}</ref> </blockquote>आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकते है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:


'''सूचना सुरक्षा घटना'''
'''सूचना सुरक्षा घटना'''
: एक प्रणाली, सेवा या नेटवर्क स्थिति की एक पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।<ref name=ISO27005/>:
: प्रणाली, सेवा या नेटवर्क स्थिति की पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।<ref name=ISO27005/>:
:परिस्थितियों के एक विशेष समूह की घटना<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G11|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G11|archive-date=29 February 2012|url-status=dead}}</ref>
:परिस्थितियों के विशेष समूह की घटना<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G11|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G11|archive-date=29 February 2012|url-status=dead}}</ref>
:* घटना निश्चित या अनिश्चित हो सकती है।
:* घटना निश्चित या अनिश्चित हो सकती है।
:* घटना एक एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। :(आईएसओ/आईईसी निर्देश 73)
:* घटना एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। : (आईएसओ/आईईसी निर्देश 73)  
'''सूचना सुरक्षा घटना:'''
'''सूचना सुरक्षा घटना:'''
: अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है<ref name=ISO27005/>
: अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है<ref name=ISO27005/>
:एक घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G17|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G17|archive-date=29 February 2012|url-status=dead}}</ref>
:घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।<ref>{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G17|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G17|archive-date=29 February 2012|url-status=dead}}</ref>
'''प्रभाव (सुरक्षा)'''<ref name="ENISA शब्दकोष Impact">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G21|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G21|archive-date=29 February 2012|url-status=dead}}</ref>
'''प्रभाव (सुरक्षा)''' <ref name="ENISA शब्दकोष Impact">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G21|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G21|archive-date=29 February 2012|url-status=dead}}</ref>
: एक अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)
: अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)  
;परिणाम<ref name="ENISA शब्दकोष Consequence">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G4|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G4|archive-date=29 February 2012|url-status=dead}}</ref>
;परिणाम<ref name="ENISA शब्दकोष Consequence">{{cite web|url=http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary#G4|title=शब्दकोष|access-date=23 May 2016|archive-url=https://web.archive.org/web/20120229151151/http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/glossary/#G4|archive-date=29 February 2012|url-status=dead}}</ref>
: एक घटना का परिणाम [जी.11]
: घटना का परिणाम [जी.11]
:* एक घटना के एक से अधिक परिणाम हो सकते हैं।
:* एक घटना के एक से अधिक परिणाम हो सकते हैं।
:* परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
:* परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
:* परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (आईएसओ/आईईसी निर्देश 73)
:* परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (आईएसओ/आईईसी निर्देश 73)  


संकट 'R' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'I' के गुणा होने वाली सुरक्षा घटना की संभावना 'L' का उत्पाद है, जो है:<ref name=OWASP/>
संकट 'R' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'I' के गुणा होने वाली सुरक्षा घटना की संभावना 'L' का उत्पाद है, जो है:<ref name=OWASP/>
Line 78: Line 78:
R = L × I
R = L × I


किसी सुरक्षा घटना के घटित होने की संभावना थ्रेट के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली भेद्यता का सफलतापूर्वक दोहन कर सकता है।
किसी सुरक्षा घटना के घटित होने की संभावना थ्रेट के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली भेद्यता का सफलतापूर्वक दोहन कर सकते है।


एक सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का एक कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।
सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।


तो R चार [[जोखिम कारक (कंप्यूटिंग)|संकट कारक (संगणना)]] का कार्य हो सकता है:
तो R चार [[जोखिम कारक (कंप्यूटिंग)|संकट कारक (संगणना]]) का कार्य हो सकता है:
* A = गुण का मान (संगणना)
* A = गुण का मान (संगणना)  
* T = थ्रेट की संभावना (कंप्यूटर)
* T = थ्रेट की संभावना (कंप्यूटर)  
* V = भेद्यता की प्रकृति (संगणना) अर्थात संभावना जिसका शोषण किया जा सकता है (आक्रामक के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
* V = भेद्यता की प्रकृति (संगणना) अर्थात संभावना जिसका शोषण किया जा सकता है (आक्रामक के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)  
* I = संभावित प्रभाव (सुरक्षा), हानि की सीमा
* I = संभावित प्रभाव (सुरक्षा), हानि की सीमा


यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद प्रत्युपाय की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना सदैव व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में विमाहीन श्रेणीबद्ध किया जाता है।
यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद प्रत्युपाय की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना सदैव व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में विमाहीन श्रेणीबद्ध किया जाता है।


[[OWASP|ओडब्ल्यूएएसपी]] निम्नलिखित पर आधारित एक व्यावहारिक संकट मापन दिशानिर्देश<ref name=OWASP>{{cite web|url=http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology|title=OWASP जोखिम रेटिंग पद्धति|access-date=23 May 2016}}</ref> प्रस्तावित करता है:
[[OWASP|ओडब्ल्यूएएसपी]] निम्नलिखित पर आधारित व्यावहारिक संकट मापन दिशानिर्देश<ref name=OWASP>{{cite web|url=http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology|title=OWASP जोखिम रेटिंग पद्धति|access-date=23 May 2016}}</ref> प्रस्तावित करता है:
* 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
* 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
** संकट प्रतिनिधि कारक
** संकट प्रतिनिधि कारक
*** कौशल स्तर: थ्रेट के प्रतिनिधिों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा भेदन कौशल (9)
*** कौशल स्तर: थ्रेट के प्रतिनिधिों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा भेदन कौशल (9)  
*** उद्देश्य: थ्रेट के प्रतिनिधिों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई पुरस्कार नहीं (1), संभावित पुरस्कार (4), उत्तम पुरस्कार (9)
*** उद्देश्य: थ्रेट के प्रतिनिधिों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई पुरस्कार नहीं (1), संभावित पुरस्कार (4), उत्तम पुरस्कार (9)  
*** अवसर: थ्रेट के प्रतिनिधिों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या बहुमूल्य संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
*** अवसर: थ्रेट के प्रतिनिधिों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या बहुमूल्य संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)  
*** आकार: थ्रेट के प्रतिनिधिों का यह समूह कितना बड़ा है? विकासक (2), प्रणाली प्रबंधकत्व (2), इंट्रानेट उपयोगकर्ता (4), सहयोगी (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
*** आकार: थ्रेट के प्रतिनिधिों का यह समूह कितना बड़ा है? विकासक (2), प्रणाली प्रबंधकत्व (2), इंट्रानेट उपयोगकर्ता (4), सहयोगी (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)  
** भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए थ्रेट के प्रतिनिधि को मान लें।
** भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए थ्रेट के प्रतिनिधि को मान लें।
*** खोज में सरलता: थ्रेट के प्रतिनिधिों के इस समूह के लिए इस भेद्यता का पता लगाना कितना सरल है? व्यावहारिक रूप से असंभव (1), कठिन (3), सरल (7), स्वचालित उपकरण उपलब्ध (9)
*** खोज में सरलता: थ्रेट के प्रतिनिधिों के इस समूह के लिए इस भेद्यता का पता लगाना कितना सरल है? व्यावहारिक रूप से असंभव (1), कठिन (3), सरल (7), स्वचालित उपकरण उपलब्ध (9)  
*** शोषण में सरलता (कंप्यूटर सुरक्षा): थ्रेट के प्रतिनिधिों के इस समूह के लिए वस्तुतः इस भेद्यता का लाभ उठाना कितना सरल है? सैद्धांतिक (1), कठिन (3), सरल (5), स्वचालित उपकरण उपलब्ध (9)
*** शोषण में सरलता (कंप्यूटर सुरक्षा) : थ्रेट के प्रतिनिधिों के इस समूह के लिए वस्तुतः इस भेद्यता का लाभ उठाना कितना सरल है? सैद्धांतिक (1), कठिन (3), सरल (5), स्वचालित उपकरण उपलब्ध (9)  
*** जागरूकता: थ्रेट के प्रतिनिधिों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
*** जागरूकता: थ्रेट के प्रतिनिधिों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)  
*** अतिक्रमण संसूचन: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
*** अतिक्रमण संसूचन: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)  
* 0 से 9 के पैमाने में विभिन्न कारकों के बीच एक औसत के रूप में प्रभाव का अनुमान
* 0 से 9 के पैमाने में विभिन्न कारकों के बीच औसत के रूप में प्रभाव का अनुमान
** तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: [[गोपनीयता|निजता]], [[अखंडता]], [[उपलब्धता]] और उत्तरदायित्व। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
** तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: [[गोपनीयता|निजता]], [[अखंडता]], [[उपलब्धता]] और उत्तरदायित्व। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
*** निजता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का अनावृत (2), न्यूनतम महत्वपूर्ण डेटा का अनावृत (6), व्यापक गैर-संवेदनशील डेटा का अनावृत (6), व्यापक महत्वपूर्ण डेटा का अनावृत (7), सभी डेटा का अनावृत (9)
*** निजता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का अनावृत (2), न्यूनतम महत्वपूर्ण डेटा का अनावृत (6), व्यापक गैर-संवेदनशील डेटा का अनावृत (6), व्यापक महत्वपूर्ण डेटा का अनावृत (7), सभी डेटा का अनावृत (9)  
*** अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)
*** अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)  
*** उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)
*** उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)  
*** उत्तरदायित्व की हानि: क्या थ्रेट के प्रतिनिधिों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से अनाम (9)
*** उत्तरदायित्व की हानि: क्या थ्रेट के प्रतिनिधिों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से अनाम (9)  
** व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहन समझ की आवश्यकता है। सामान्यतः , आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, विशेष रूप से यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
** व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहन समझ की आवश्यकता है। सामान्यतः , आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, विशेष रूप से यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
*** वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर साधारण प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
*** वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर साधारण प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)  
*** प्रतिष्ठा क्षति: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
*** प्रतिष्ठा क्षति: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)  
*** गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? साधारण उल्लंघन (2), स्पष्ट उल्लंघन (5), उच्च -पार्श्वचित्र उल्लंघन (7)
*** गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? साधारण उल्लंघन (2), स्पष्ट उल्लंघन (5), उच्च -पार्श्वचित्र उल्लंघन (7)  
*** निजता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी सूचना का अनावृत किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
*** निजता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी सूचना का अनावृत किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)  
** यदि व्यावसायिक प्रभाव की गणना उचित रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
** यदि व्यावसायिक प्रभाव की गणना उचित रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
* कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
* कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
Line 147: Line 147:


== आईटी संकट प्रबंधन ==
== आईटी संकट प्रबंधन ==
[[File:Risk Management Elements.jpg|thumb|संकट प्रबंधन तत्व]]
[[File:Risk Management Elements.jpg|thumb|संकट प्रबंधन अवयव]]


{{Main|आईटी संकट प्रबंधन}}
{{Main|आईटी संकट प्रबंधन}}
{{:IT risk management}} [[एनआईएसटी साइबर सुरक्षा ढांचा|एनआईएसटी साइबर सुरक्षा संरचना]] संगठनों को पहचान (आईडी) कार्य के भाग के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करता है:<ref>{{Cite news|url=https://www.nist.gov/cyberframework|title=साइबर सुरक्षा ढांचा|last=Keller|first=Nicole|date=2013-11-12|work=NIST|access-date=2017-10-07|language=en}}</ref><ref>{{Cite web|url=https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|title=एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड|last=Arnold|first=Rob|website=Threat Sketch|access-date=2018-02-14|archive-date=2021-04-14|archive-url=https://web.archive.org/web/20210414125639/https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|url-status=dead}}</ref>
{{:IT risk management}} [[एनआईएसटी साइबर सुरक्षा ढांचा|एनआईएसटी साइबर सुरक्षा संरचना]] संगठनों को पहचान (आईडी) कार्य के भाग के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करते है:<ref>{{Cite news|url=https://www.nist.gov/cyberframework|title=साइबर सुरक्षा ढांचा|last=Keller|first=Nicole|date=2013-11-12|work=NIST|access-date=2017-10-07|language=en}}</ref><ref>{{Cite web|url=https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|title=एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड|last=Arnold|first=Rob|website=Threat Sketch|access-date=2018-02-14|archive-date=2021-04-14|archive-url=https://web.archive.org/web/20210414125639/https://threatsketch.com/free-nist-cybersecurity-framework-tools-and-resources/|url-status=dead}}</ref>


संकट मूल्यांकन ( ID.RA आईडी.आरए): संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।
संकट मूल्यांकन (आईडी.आरए) : संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।
* आईडी.आरए-1: परिगुण भेद्यता की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-1: परिगुण भेद्यता की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
* आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर थ्रेट की आसूचना सूचना और भेद्यता की सूचना प्राप्त होती है
* आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर थ्रेट की आसूचना सूचना और भेद्यता की सूचना प्राप्त होती है
Line 159: Line 159:
* आईडी.आरए-5: संकट को निर्धारित करने के लिए थ्रेट, भेद्यता, संभावनाओं और प्रभावों का उपयोग किया जाता है
* आईडी.आरए-5: संकट को निर्धारित करने के लिए थ्रेट, भेद्यता, संभावनाओं और प्रभावों का उपयोग किया जाता है
* आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है
* आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है
संकट प्रबंधन रणनीति (आईडी.आरएम): संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।
संकट प्रबंधन रणनीति (आईडी.आरएम) : संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।
* आईडी.आरएम-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
* आईडी.आरएम-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
* आईडी.आरएम-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
* आईडी.आरएम-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
Line 170: Line 170:
=== [[ओईसीडी]] ===
=== [[ओईसीडी]] ===
ओईसीडी ने निम्नलिखित जारी किया:
ओईसीडी ने निम्नलिखित जारी किया:
* [http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html आर्थिक सहयोग और विकास संगठन (ओईसीडी) व्यक्तिगत डेटा की निजता और सीमा पार प्रवाह की सुरक्षा को नियंत्रित करने वाले दिशानिर्देशों के संबंध में परिषद का अनुरोध] (23 सितंबर 1980)
* [http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html आर्थिक सहयोग और विकास संगठन (ओईसीडी) व्यक्तिगत डेटा की निजता और सीमा पार प्रवाह की सुरक्षा को नियंत्रित करने वाले दिशानिर्देशों के संबंध में परिषद का अनुरोध] (23 सितंबर 1980)  
* [https://web.archive.org/web/20110516085505/http://www.oecd.org/dataoecd/16/22/15582260.pdf सूचना प्रणाली और नेटवर्क की सुरक्षा के लिए ओईसीडी दिशानिर्देश: सुरक्षा की संस्कृति की ओर] (25 जुलाई 2002)। विषय: सामान्य सूचना सुरक्षा। कार्यक्षेत्र: किसी भी ओईसीडी संस्थाओं (सरकारें, व्यवसायों, अन्य संगठनों और व्यक्तिगत उपयोगकर्ताओं जो सूचना प्रणाली और नेटवर्क का विकास, स्वामित्व, प्रदान, प्रबंधन, सेवा और उपयोग करते हैं) के लिए गैर-बाध्यकारी दिशानिर्देश। ओईसीडी दिशानिर्देश संकट प्रबंधन और सूचना सुरक्षा प्रथाओं को रेखांकित करने वाले मूलभूत सिद्धांतों को बताते हैं। जबकि पाठ का कोई भी भाग बाध्यकारी नहीं है, किसी भी सिद्धांत का पालन न करना आरएम/आरए की ठीक प्रथाओं के गंभीर उल्लंघन का संकेत है जो संभावित रूप से देयता का कारण बन सकता है।
* [https://web.archive.org/web/20110516085505/http://www.oecd.org/dataoecd/16/22/15582260.pdf सूचना प्रणाली और नेटवर्क की सुरक्षा के लिए ओईसीडी दिशानिर्देश: सुरक्षा की संस्कृति की ओर] (25 जुलाई 2002)। विषय: सामान्य सूचना सुरक्षा। कार्यक्षेत्र: किसी भी ओईसीडी संस्थाओं (सरकारें, व्यवसायों, अन्य संगठनों और व्यक्तिगत उपयोगकर्ताओं जो सूचना प्रणाली और नेटवर्क का विकास, स्वामित्व, प्रदान, प्रबंधन, सेवा और उपयोग करते हैं) के लिए गैर-बाध्यकारी दिशानिर्देश। ओईसीडी दिशानिर्देश संकट प्रबंधन और सूचना सुरक्षा कार्यप्रणाली को रेखांकित करने वाले मूलभूत सिद्धांतों को बताते हैं। जबकि पाठ का कोई भी भाग बाध्यकारी नहीं है, किसी भी सिद्धांत का पालन न करना आरएम/आरए की ठीक कार्यप्रणाली के गंभीर उल्लंघन का संकेत है जो संभावित रूप से देयता का कारण बन सकता है।


=== [[यूरोपीय संघ]] ===
=== [[यूरोपीय संघ]] ===
यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
* निजता
* निजता
**[http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001R0045:EN:NOT विनियमन (ईसी) संख्या 45/2001] के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त संचलन पर एक आंतरिक विनियमन प्रदान करता है, जो नीचे वर्णित निजता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अतिरिक्त, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत संरचना के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
**[http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001R0045:EN:NOT विनियमन (ईसी) संख्या 45/2001] के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त संचलन पर आंतरिक विनियमन प्रदान करते है, जो नीचे वर्णित निजता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अतिरिक्त, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत संरचना के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT निदेशक 95/46/ईसी] [[डेटा संरक्षण निर्देश]] के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त संचलन के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के निजता निहितार्थों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़े, और इस प्रकार की गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों का निर्धारण करने के लिए, ऐसे उपायों द्वारा प्रभावी रूप से संरक्षित किया जाता है, जो कि गतिविधि की संवेदनशीलता और निजता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक की स्थिति होनी चाहिए, जिसे राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, गतिविधि (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को आरोपित किया जाता है) की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों सहित। इसके अतिरिक्त, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के स्थानांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT निदेशक 95/46/ईसी] [[डेटा संरक्षण निर्देश]] के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त संचलन के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के निजता निहितार्थों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़े, और इस प्रकार की गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों का निर्धारण करने के लिए, ऐसे उपायों द्वारा प्रभावी रूप से संरक्षित किया जाता है, जो कि गतिविधि की संवेदनशीलता और निजता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक की स्थिति होनी चाहिए, जिसे राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, गतिविधि (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को आरोपित किया जाता है) की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों सहित। इसके अतिरिक्त, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के स्थानांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:EN:NOT 15 जून 2001 का आयोग का निर्णय 2001/497/ईसी] के स्थानांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/ईसी के अंतर्गत तीसरे देशों को व्यक्तिगत डेटा; और 27 दिसंबर 2004 का [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:EN:NOT आयोग का निर्णय 2004/915/ईसी] संशोधित निर्णय 2001/497/ईसी संबंध में तीसरे देशों को व्यक्तिगत डेटा के स्थानांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह के प्रारम्भ के संबंध में। विषय: तीसरे देशों को व्यक्तिगत डेटा का निर्यात, विशेष रूप से गैर-ईयू देशों को जिन्हें पर्याप्त डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है(अर्थात ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का एक समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001D0497:EN:NOT 15 जून 2001 का आयोग का निर्णय 2001/497/ईसी] के स्थानांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/ईसी के अंतर्गत तीसरे देशों को व्यक्तिगत डेटा; और 27 दिसंबर 2004 का [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004D0915:EN:NOT आयोग का निर्णय 2004/915/ईसी] संशोधित निर्णय 2001/497/ईसी संबंध में तीसरे देशों को व्यक्तिगत डेटा के स्थानांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह के प्रारम्भ के संबंध में। विषय: तीसरे देशों को व्यक्तिगत डेटा का निर्यात, विशेष रूप से गैर-ईयू देशों को जिन्हें पर्याप्त डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है (अर्थात ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
** [[अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत|अंतर्राष्ट्रीय सुरक्षित हार्बर निजता सिद्धांत]] (नीचे अमेरीका और अंतर्राष्ट्रीय सुरक्षित हार्बर निजता सिद्धांत देखें)
** [[अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत|अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत]] (नीचे अमेरीका और अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत देखें)  
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT निदेशक 2002/58/ईसी] 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और इलेक्ट्रॉनिक संचार क्षेत्र में निजता की सुरक्षा के संबंध में
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT निदेशक 2002/58/ईसी] 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और इलेक्ट्रॉनिक संचार क्षेत्र में निजता की सुरक्षा के संबंध में
* [[राष्ट्रीय सुरक्षा]]
* [[राष्ट्रीय सुरक्षा]]
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:EN:NOT निदेशक 2006/24/ईसी] 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/ईसी ('[[डेटा प्रतिधारण निर्देश]]') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ सूचना बनाए रखने की आवश्यकता
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:EN:NOT निदेशक 2006/24/ईसी] 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/ईसी ('[[डेटा प्रतिधारण निर्देश]]') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ सूचना बनाए रखने की आवश्यकता
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32008L0114:EN:NOT परिषद् निदेशक 2008/114/ईसी] यूरोपीय महत्वपूर्ण आधारभूत संरचना की पहचान और पदनाम और उनकी सुरक्षा में संशोधन की आवश्यकता के आकलन। विषय: यूरोपीय समीक्षात्मक आधारभूत संरचना की पहचान और संरक्षण। क्षेत्र: सदस्य राज्यों और यूरोपीय समीक्षात्मक आधारभूत संरचना के संचालकों के लिए लागू ( प्रारुप के निर्देश द्वारा परिभाषित 'समीक्षात्मक आधारभूत संरचना' के रूप में परिभाषित किया गया है, जिसके व्यवधान या विनाश से दो या दो से अधिक सदस्य राज्य, या एक सदस्य राज्य प्रभावित होंगे यदि समीक्षात्मक आधारभूत संरचना किसी अन्य सदस्य राज्य में स्थित है। इसमें अन्य प्रकार के मूलभूत संरचना पर रेखित क्षेत्र निर्भरता से उत्पन्न प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत संरचना की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ECI के मालिकों/ऑपरेटरों को ऑपरेटर सुरक्षा योजनाएँ (OSPs) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32008L0114:EN:NOT परिषद् निदेशक 2008/114/ईसी] यूरोपीय महत्वपूर्ण आधारभूत संरचना की पहचान और पदनाम और उनकी सुरक्षा में संशोधन की आवश्यकता के आकलन। विषय: यूरोपीय समीक्षात्मक आधारभूत संरचना की पहचान और संरक्षण। क्षेत्र: सदस्य राज्यों और यूरोपीय समीक्षात्मक आधारभूत संरचना के संचालकों के लिए लागू (प्रारुप के निर्देश द्वारा परिभाषित 'समीक्षात्मक आधारभूत संरचना' के रूप में परिभाषित किया गया है, जिसके व्यवधान या विनाश से दो या दो से अधिक सदस्य राज्य, या एक सदस्य राज्य प्रभावित होंगे यदि समीक्षात्मक आधारभूत संरचना किसी अन्य सदस्य राज्य में स्थित है। इसमें अन्य प्रकार के मूलभूत संरचना पर रेखित क्षेत्र निर्भरता से उत्पन्न प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत संरचना की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ईसीआई के अधिष्ठाता/ संचालकों को संचालक सुरक्षा योजनाएँ (ओएसपी) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
* नागरिक और दंड नियम
* नागरिक और दंड विधि
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:NOT Council Framework Decision 2005/222/JHA] 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध हमलों पर। विषय: सामग्री आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के मुद्दों को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। क्षेत्र: सदस्य राज्यों को अपने राष्ट्रीय वैध संरचना में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके अंतर्गत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से निगरानी की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।
** [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:NOT परिषद रूपरेखा निर्णय 2005/222/JHA] 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध आक्षेपों पर। विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के समस्याओं को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। क्षेत्र: सदस्य राज्यों को अपने राष्ट्रीय वैध संरचना में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके अंतर्गत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से देख-रेख की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।


=== यूरोप की परिषद ===
=== यूरोपीय परिषद् ===
* [http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm काउंसिल ऑफ यूरोप कन्वेंशन ऑन साइबर क्राइम, बुडापेस्ट, 23.XI.2001], यूरोपियन ट्रीटी सीरीज-नंबर। 185. विषय: सामग्री आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व मुद्दों और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की एक श्रृंखला की परिभाषा के अतिरिक्त, कन्वेंशन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके अंतर्गत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध दायरे में प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इकाई। इस प्रकार, कन्वेंशन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त निगरानी की जाए, क्योंकि कन्वेंशन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए एक वैध इकाई को उत्तरदायी ठहराया जा सकता है।
* [http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm साइबर अपराध पर यूरोप सम्मेलन की परिषद, बुडापेस्ट, 23.11.2001], यूरोपियन ट्रीटी शृंखला संख्या। 185. विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व समस्याओं और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की श्रृंखला की परिभाषा के अतिरिक्त, सम्मेलन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके अंतर्गत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध इकाई के अंतर्गत प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इस प्रकार, सम्मेलन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त देख-रेख की जाए, क्योंकि सम्मेलन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए वैध इकाई को उत्तरदायी ठहराया जा सकता है।


=== संयुक्त राज्य ===
=== संयुक्त राज्य ===
संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:
* नागरिक और दंड नियम
* नागरिक और दंड विधि
** [https://www.law.cornell.edu/rules/frcp/ इलेक्ट्रॉनिक खोज के संबंध में सिविल प्रक्रिया के संघीय नियमों में संशोधन]। विषय: सिविल कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। डिस्कवरी नियम दीवानी कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने कब्जे में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करता है, ताकि पक्ष और अदालत को मामले का उचित आकलन करने की अनुमति मिल सके। ई-डिस्कवरी संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी सूचना में अब इलेक्ट्रॉनिक सूचना सम्मिलित हो सकती है। इसका तात्पर्य यह है कि दीवानी कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्ऱ प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्ऱ, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से हो भी सकते हैं और नहीं भी चित्रित। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी सूचना के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पार्टी को 'लिटिगेशन होल्ड' प्रारम्भ करने में सक्षम होना चाहिए, एक तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक सूचना को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को जिम्मेदार होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ)) का एक भाग होने पर निश्चित रूप से विशिष्ट सूचना को हटाने की अनुमति है, जानबूझकर विनाश संभावित रूप से प्रासंगिक सूचना को अत्यधिक उच्च जुर्माना (1.6 बिलियन यूएस डॉलर के एक विशिष्ट मामले में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक मुचरणेबाजी का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और मुचरणेबाजी को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
** [https://www.law.cornell.edu/rules/frcp/ इलेक्ट्रॉनिक खोज के संबंध में नागरिक प्रक्रिया के संघीय नियमों में संशोधन]। विषय: नागरिक कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। खोज नियम नागरिक कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने अधिकार में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करते है, ताकि पक्ष और अदालत को स्थिति का उचित आकलन करने की अनुमति मिल सके। ई-खोज संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी सूचना में अब इलेक्ट्रॉनिक सूचना सम्मिलित हो सकती है। इसका तात्पर्य यह है कि नागरिक कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्र प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्र, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से चित्रित हो भी सकते हैं और नहीं भी। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी सूचना के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पक्ष को 'लिटिगेशन होल्ड' प्रारम्भ करने में सक्षम होना चाहिए, तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक सूचना को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को उत्तरदायी होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ) का एक भाग होने पर निश्चित रूप से विशिष्ट सूचना को हटाने की अनुमति है, स्वेच्छाचारी विनाश संभावित रूप से प्रासंगिक सूचना को अत्यधिक उच्च अर्थ दण्ड (1.6 बिलियन यूएस डॉलर के विशिष्ट स्थिति में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक वाद का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और वाद को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
* निजता
* निजता
** कैलिफ़ोर्निया उपभोक्ता निजता अधिनियम|कैलिफ़ोर्निया उपभोक्ता निजता अधिनियम (CCPA)
** कैलिफ़ोर्निया उपभोक्ता निजता अधिनियम (सीसीपीए)  
**[https://privacyrights.org/resources/california-privacy-rights-act-overview कैलिफ़ोर्निया निजता अधिकार अधिनियम (CPRA)]
**[https://privacyrights.org/resources/california-privacy-rights-act-overview कैलिफ़ोर्निया निजता अधिकार अधिनियम (सीपीआरए)]  
**ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
**ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)  
** यूएसए पैट्रियट अधिनियम, शीर्षक III
** यूएसए पैट्रियट अधिनियम, शीर्षक III
** [[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम|स्वास्थ्य बीमा सुवाह्यता और उत्तरदायित्व अधिनियम]] (HIPAA) एक RM/RA परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (HIPAA का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (HHS) को विशिष्ट नियम समूहों का मसौदा तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में संशोधन करेगा और दुरुपयोग को रोकेगा। फलस्वरूप, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: निजता नियम, लेन-देन और कोड समूह नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: http://www.cms.hhs.gov/SecurityStandard/Downloads/security finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की एक श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य सूचना की निजता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन गुणों को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के एक समूह में रेखांकित किया गया है, जो सभी HIPAA संकट प्रबंधन और संकट मूल्यांकन की मूलभूत बातों पर एक मार्गदर्शन प्रपत्ऱ के साथ प्रकाशित किए गए हैं <http://www. .cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता सामान्यतः HIPAA दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। यद्यपि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय नियम (निजता निर्देश सहित) के अंतर्गत समान दायित्वों के अधीन हैं, और चूंकि आधुनिकीकरण और विकास के अंतर्निहित रुझानइलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों की ओर समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। HIPAA सुरक्षा मानकों में निम्नलिखित सम्मिलित हैं:
** [[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम|स्वास्थ्य बीमा सुवाह्यता और उत्तरदायित्व अधिनियम]] (एचआईपीएए) एक आरएम/आरए परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (एचआईपीएए का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (एचएचएस) को विशिष्ट नियम समूहों का प्रारूप तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में संशोधन करेगा और दुरुपयोग को रोकेगा। फलस्वरूप, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: निजता नियम, लेन-देन और कोड समूह नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: [http://www.cms.hhs.gov/SecurityStandard/Downloads/security http://www.cms.एचएचएस.gov/SecurityStandard/Downloads/security] finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य सूचना की निजता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन गुणों को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के समूह में रेखांकित किया गया है, जो सभी एचआईपीएए संकट प्रबंधन और संकट मूल्यांकन की मूलभूत बातों पर निर्देशन प्रपत्र के साथ प्रकाशित किए गए हैं <http://www<nowiki/>.c<nowiki/>ms.एचएचएस.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता सामान्यतः एचआईपीएए दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। यद्यपि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय नियम (निजता निर्देश सहित) के अंतर्गत समान दायित्वों के अधीन हैं, इलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों के प्रति आधुनिकीकरण और विकास के अंतर्निहित प्रवृत्ति समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। एचआईपीएए सुरक्षा मानकों में निम्नलिखित सम्मिलित हैं:
*** प्रशासनिक सुरक्षा उपाय:
*** प्रशासनिक सुरक्षा उपाय:
**** सुरक्षा प्रबंधन प्रक्रिया
**** सुरक्षा प्रबंधन प्रक्रिया
**** सुरक्षा की जिम्मेदारी सौंपी गई है
**** नियुक्त सुरक्षा उत्तरदायित्व
**** कार्यबल सुरक्षा
**** कार्यबल सुरक्षा
**** सूचना पहुँच प्रबंधन
**** सूचना पहुँच प्रबंधन
Line 214: Line 214:
**** वर्कस्टेशन उपयोग
**** वर्कस्टेशन उपयोग
**** कार्य केंद्र सुरक्षा
**** कार्य केंद्र सुरक्षा
**** डिवाइस और मीडिया नियंत्रण
**** उपकरण और मीडिया नियंत्रण
*** तकनीकी सुरक्षा उपाय
*** तकनीकी सुरक्षा उपाय
**** अभिगम नियंत्रण
**** अभिगम नियंत्रण
Line 220: Line 220:
**** अखंडता
**** अखंडता
**** व्यक्ति या संस्था प्रमाणीकरण
**** व्यक्ति या संस्था प्रमाणीकरण
**** ट्रांसमिशन सुरक्षा
**** संचार सुरक्षा
*** संगठनात्मक आवश्यकताएं
*** संगठनात्मक आवश्यकताएं
**** बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
**** बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
**** समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
**** समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
** अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित बंदरगाह निजता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूरोपीय संघ के अधीन है। अमेरिका स्थित गंतव्य के लिए निजता नियम; ई.यू. के अधीन एक इकाई से व्यक्तिगत डेटा निर्यात किए जाने से पहले। अमेरिकी नियम के अधीन एक गंतव्य के लिए निजता नियम, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली इकाई इस प्रकार के डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन का एक विधि यह है कि प्राप्त करने वाली इकाई को सुरक्षित हार्बर में सम्मिलित होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित बंदरगाह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वस्तुतः सुरक्षित हार्बर सूची में है (देखें [http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+ बंदरगाह + सूची सुरक्षित बंदरगाह सूची])
** अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूएस स्थित गंतव्य के लिए ई.यू. निजता नियमों के अधीन है; ई.यू. के निजता विनियमों के अधीन इकाई से व्यक्तिगत डेटा को अमेरिकी नियम के अधीन गंतव्य के लिए निर्यात किए जाने से पहले, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली संस्था ऐसे डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन की एक विधि यह है कि प्राप्त करने वाली इकाई को सुरक्षित आश्रयगृह में सम्मिलित होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित आश्रयगृह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वस्तुतः सुरक्षित आश्रयगृह सूची में है (देखें [http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+ आश्रयगृह + सूची सुरक्षित आश्रयगृह सूची])  
**यूनाइटेड स्टेट्स [[संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग]] भी [https://www.dhs.gov/privacy-impact-assessments#:~:text=The%20Privacy] के रूप में [[गोपनीयता प्रभाव आकलन|निजता प्रभाव आकलन]]|निजता प्रभाव आकलन (PIA) का उपयोग करता है %20प्रभाव%20Assessment%20(PIA,%2C%20shared%2C%20safeguarded%20and%20stored। निजता के उल्लंघन के संकटों को पहचानने और कम करने के लिए निर्णय लेने का उपकरण।]<ref>{{Cite web|date=2009-07-06|title=गोपनीयता प्रभाव आकलन|url=https://www.dhs.gov/privacy-impact-assessments|access-date=2020-12-12|website=Department of Homeland Security|language=en}}</ref>
**[[संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग]] भी [https://www.dhs.gov/privacy-impact-assessments#:~:text=The%20Privacy] निजता के उल्लंघन के संकटों को पहचानने और कम करने के लिए निर्णय लेने वाले उपकरण के रूप में [[गोपनीयता प्रभाव आकलन|निजता प्रभाव आकलन]] (पीआईए) का उपयोग करते है।<ref>{{Cite web|date=2009-07-06|title=गोपनीयता प्रभाव आकलन|url=https://www.dhs.gov/privacy-impact-assessments|access-date=2020-12-12|website=Department of Homeland Security|language=en}}</ref>
* Sarbanes-Oxley अधिनियम
* सरबनेस-ऑक्सले अधिनियम
* [[ FISMA | एफआईएसएमए]]
* [[ FISMA | एफआईएसएमए]]






जैसे-जैसे नियम विकसित होता है, सूचना प्रबंधन के लिए 'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। CCPA बताता है कि कनेक्टेड डिवाइस के निर्माता डिवाइस को उचित सुरक्षा से लैस करते हैं।<ref>{{Cite web|last=IAPP|title=अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास|url=https://iapp.org/news/a/the-evolution-of-reasonable-security-derived-from-ftc-orders-and-state-legal-developments/|url-status=live}}</ref> न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की सूचना का प्रबंधन करने वाले संगठन "निजी सूचना की सुरक्षा, निजता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, परन्तु डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी संकट प्रबंधन योजना का प्रबंधन कैसे करते हैं।
जैसे-जैसे नियम विकसित होता है, सूचना प्रबंधन के लिए 'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। सीसीपीए बताता है कि संबद्ध उपकरण के निर्माता उपकरण को उचित सुरक्षा से लैस करते हैं।<ref>{{Cite web|last=IAPP|title=अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास|url=https://iapp.org/news/a/the-evolution-of-reasonable-security-derived-from-ftc-orders-and-state-legal-developments/|url-status=live}}</ref> न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की सूचना का प्रबंधन करने वाले संगठन "निजी सूचना की सुरक्षा, निजता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, परन्तु डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी संकट प्रबंधन योजना का प्रबंधन कैसे करते हैं।


== मानक संगठन और मानक ==
== मानक संगठन और मानक ==
Line 252: Line 252:


==== आईएसओ ====
==== आईएसओ ====
* आईएसओ/आईईसी 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के सामान्यतः स्वीकृत विवरण वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें [http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf])
* आईएसओ/आईईसी 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के सामान्यतः स्वीकृत विवरण वाले मानक। मानक कार्यप्रणाली का एक सामान्य रूप से उपयोग किया जाने वाला कोड है, और सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है और ऐसे कार्यों के अंकेक्षण के लिए मानदंड के रूप में कार्य करते है। (यह भी देखें [http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf])  
* आईएसओ/आईईसी टीआर 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में सामान्यतः स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
* आईएसओ/आईईसी टीआर 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में सामान्यतः स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
* आईएसओ/आईईसी 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा पेशेवरों को SIO के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
* आईएसओ/आईईसी 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (टिप्पणी: यह संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा वृत्तिकों को एसआईओ के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के विशिष्ट समूह पर विश्वास करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
* आईएसओ/आईईसी टीआर 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी घुसभेदन का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी प्रणाली में घुसभेदन का पता लगाना। मानक सुरक्षा पेशेवरों को आईटी प्रणाली में संभावित घुसभेदन के संबंध में सुरक्षा संकटों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के एक विशिष्ट समूह पर भरोसा करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व सम्मिलित नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
* आईएसओ/आईईसी टीआर 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी अतिक्रमण का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (टिप्पणी: यह संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी प्रणाली में अतिक्रमण का पता लगाना। मानक सुरक्षा वृत्तिकों को आईटी प्रणाली में संभावित अतिक्रमण के संबंध में सुरक्षा संकटों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के विशिष्ट समूह पर विश्वास करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व सम्मिलित नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
* आईएसओ/आईईसी 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का एक सामान्य समूह युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के दौरान उन पर लागू आश्वासन उपायों के लिए। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में इस्तेमाल किया जा सकता है। मानक सामान्यतः आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) सम्मिलित है। आईटी उत्पाद या प्रणाली की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में इस्तेमाल किया जा सकता हैउन्हें इसके डिजाइन, निर्माण या विपणन के दौरान, या इसे खरीदने से पहले।
* आईएसओ/आईईसी 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का सामान्य समूह युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के समय उन पर लागू आश्वासन उपायों के लिए। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में उपयोग किया जा सकता है। मानक सामान्यतः आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) सम्मिलित है। आईटी उत्पाद या प्रणाली की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में उपयोग किया जा सकता है उन्हें इसके डिजाइन, निर्माण या विपणन के समय, या इसे खरीदने से पहले।
* आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए अभ्यास संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (नोट: यह ISO पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को प्रारम्भ करने, लागू करने, बनाए रखने और संशोधनने के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और इस प्रकार की प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। (आईएसओ/आईईसी 17799 भी देखें)
* आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए कार्यप्रणाली संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (टिप्पणी: यह आईएसओ पृष्ठ का संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को प्रारम्भ करने, लागू करने, बनाए रखने और संशोधनने के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक कार्यप्रणाली का सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करते है और इस प्रकार की कार्यप्रणाली के अंकेक्षण के लिए मानदंड के रूप में कार्य करते है। (आईएसओ/आईईसी 17799 भी देखें)  
* आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा पार्श्वचित्र और सुरक्षा लक्ष्य के उत्पादन के लिए निर्देश। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (TR) जिसमें सुरक्षा प्रोफ़ाइल (PPs) और सुरक्षा लक्ष्य (STs) के निर्माण के लिए दिशानिर्देश सम्मिलित हैं ) जिनका उद्देश्य आईएसओ/आईईसी 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा पेशेवरों के लिए एक उपकरण के रूप में उपयोग किया जाता है, परन्तु इसकी वैधता का आकलन करने के लिए भी इस्तेमाल किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए प्रथाओं के निर्माण और मूल्यांकन के लिए एक (गैर-बाध्यकारी) मानक उपकरण है।
* आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा पार्श्वचित्र और सुरक्षा लक्ष्य के उत्पादन के लिए निर्देश। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (टीआर) जिसमें सुरक्षा प्रोफ़ाइल (पीपी) और सुरक्षा लक्ष्य (एसटी) के निर्माण के लिए दिशानिर्देश सम्मिलित हैं जिनका उद्देश्य आईएसओ/आईईसी 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा वृत्तिकों के लिए एक उपकरण के रूप में उपयोग किया जाता है, परन्तु इसकी वैधता का आकलन करने के लिए भी उपयोग किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए कार्यप्रणाली के निर्माण और मूल्यांकन के लिए (गैर-बाध्यकारी) मानक उपकरण है।
* आईएसओ/आईईसी 27000-श्रृंखला|आईएसओ/आईईसी 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-आईटी नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (नोट: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (आईएसओ/आईईसी 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा गुणों पर सामान्यतः स्वीकृत दिशानिर्देश सम्मिलित हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा संकटों पर ध्यान केंद्रित करते हुए आईएसओ/आईईसी 13335 और आईएसओ/आईईसी 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक अभ्यास का एक सामान्य रूप से इस्तेमाल किया जाने वाला कोड है, और सुरक्षा प्रबंधन प्रथाओं के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रथाओं के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है।
* आईएसओ/आईईसी 27000-श्रृंखला|आईएसओ/आईईसी 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-आईटी नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (टिप्पणी: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (आईएसओ/आईईसी 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा गुणों पर सामान्यतः स्वीकृत दिशानिर्देश सम्मिलित हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा संकटों पर ध्यान केंद्रित करते हुए आईएसओ/आईईसी 13335 और आईएसओ/आईईसी 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक कार्यप्रणाली का सामान्य रूप से उपयोग किया जाने वाला कोड है, और सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करते है और ऐसी कार्यप्रणाली के अंकेक्षण के लिए एक मानदंड के रूप में कार्य करते है।
* आईएसओ/आईईसी 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए सामान्यतः स्वीकृत दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक अभ्यास का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करता है और ऐसी प्रणालियों के ऑडिटिंग के लिए एक मानदंड के रूप में कार्य करता है। और/या निकट के अभ्यास। व्यवहार में इसका अनुप्रयोग प्रायः संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:20 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त मार्गदर्शन प्रदान करता है।05 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
* आईएसओ/आईईसी 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (टिप्पणी: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए सामान्यतः स्वीकृत दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा कार्यप्रणाली के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक कार्यप्रणाली का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है और ऐसी प्रणालियों के अंकेक्षण के लिए एक मानदंड के रूप में कार्य करते है। और/या निकट के कार्यप्रणाली। व्यवहार में इसका अनुप्रयोग प्रायः संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:2005 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त निर्देशन प्रदान करते है।<http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
* आईएसओ/आईईसी 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
* आईएसओ/आईईसी 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
* आईएसओ/आईईसी टीआर 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (नोट: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश सम्मिलित हैं। . मानक घटना प्रतिक्रिया के क्षेत्र में मूलभूत अवधारणाओं और विचारों को प्रस्तुत करने वाला एक उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की पहल के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
* आईएसओ/आईईसी टीआर 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (टिप्पणी: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश सम्मिलित हैं। मानक घटना प्रतिक्रिया के क्षेत्र में मूलभूत अवधारणाओं और विचारों को प्रस्तुत करने वाला उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की उपक्रम के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
* आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए ऑडिटिंग दिशानिर्देश सार्वजनिक रूप से उपलब्ध ISO मानक का क्षेत्र, आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक एक 'साथी प्रपत्ऱ' है, जो इस प्रकार मुख्य रूप से आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में सम्मिलित सुरक्षा पेशेवरों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करता है, यदि आईएसओ/आईईसी 18045 की अवहेलना की गई है तो आईएसओ/आईईसी 15408 का अनुपालन असंभव है।
* आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए अंकेक्षण दिशानिर्देश सार्वजनिक रूप से उपलब्ध आईएसओ मानक का क्षेत्र, आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक 'साथी प्रपत्र' है, जो इस प्रकार मुख्य रूप से आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में सम्मिलित सुरक्षा वृत्तिकों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करते है, यदि आईएसओ/आईईसी 18045 की अवहेलना की गई है तो आईएसओ/आईईसी 15408 का अनुपालन असंभव है।
* ISO/TR 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (नोट: यह ISO पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक एक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करता है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करता है। (यह भी देखें [http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf])
* आईएसओ/टीआर 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (टिप्पणी: यह आईएसओ पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करते है। ([http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf] भी देखें)  
* आईएसओ/आईईसी 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-प्रणाली सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (SSE-CMM): आईएसओ/आईईसी 21827:2008 प्रणाली सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (SSE-CMM) को निर्दिष्ट करता है, जो वर्णन करता है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो ठीक सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए स्थित होनी चाहिए। आईएसओ/आईईसी 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, परन्तु सामान्यतः उद्योग में देखी जाने वाली प्रथाओं को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग प्रथाओं के लिए एक मानक मीट्रिक है।
* आईएसओ/आईईसी 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-प्रणाली सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (एसएसई-सीएमएम) : आईएसओ/आईईसी 21827:2008 प्रणाली सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (एसएसई-सीएमएम) को निर्दिष्ट करते है, जो वर्णन करते है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो ठीक सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए स्थित होनी चाहिए। आईएसओ/आईईसी 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, परन्तु सामान्यतः उद्योग में देखी जाने वाली कार्यप्रणाली को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग कार्यप्रणाली के लिए एक मानक मापीय है।


==== बीएसआई ====
==== बीएसआई ====
* [[बीएस 25999]]-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: अभ्यास संहिता नोट: यह बीएस 25999 का मात्र एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड सम्मिलित होने चाहिए) ) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: अभ्यास के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए अभ्यास के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना मुश्किल है, यद्यपि यह आरएम/आरए प्रथाओं के लिए बहुत प्रभावशाली हो सकता है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक पहल। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से PAS 77:2006 - आईटी सेवा निरंतरता प्रबंधन अभ्यास संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा पेशेवरों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि डिलिवरेबल किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वस्तुतः डिलिवरेबल द्वारा पूरी की जाती है।
* [[बीएस 25999]]-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: कार्यप्रणाली संहिता टिप्पणी: यह बीएस 25999 का मात्र एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड सम्मिलित होने चाहिए) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: कार्यप्रणाली के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए कार्यप्रणाली के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना जटिल है, यद्यपि यह आरएम/आरए कार्यप्रणाली के लिए बहुत प्रभावशाली हो सकते है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक उपक्रम। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से पीएएस 77:2006 - आईटी सेवा निरंतरता प्रबंधन कार्यप्रणाली संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा वृत्तिकों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि परिदेय किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वस्तुतः परिदेय द्वारा पूरी की जाती है।
* [[बीएस 7799]]-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा संकट प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (नोट: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा संकट प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा प्रथाओं के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक प्रपत्र के रूप में अभिप्रेत है, और इसलिए सामान्यतः संकट मूल्यांकन प्रथाओं में इस मानक के संयोजन में लागू किया जाता है।
* [[बीएस 7799]]-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा संकट प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (टिप्पणी: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा संकट प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा कार्यप्रणाली के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक प्रपत्र के रूप में अभिप्रेत है, और इसलिए सामान्यतः संकट मूल्यांकन कार्यप्रणाली में इस मानक के संयोजन में लागू किया जाता है।


==== सूचना सुरक्षा मंच ====
==== सूचना सुरक्षा मंच ====
* [[अच्छे अभ्यास का मानक|ठीक अभ्यास का मानक]]
* [[अच्छे अभ्यास का मानक|ठीक कार्यप्रणाली का मानक]]


== यह भी देखें ==
== यह भी देखें ==
{{Portal|Business and economics}}
{{Portal|Business and economics}}
{{colbegin}}
{{colbegin}}
* [[संपत्ति (कंप्यूटर सुरक्षा)]]
* [[परिसंपत्ति (कंप्यूटर सुरक्षा)]]
* उपलब्धता
* उपलब्धता
* बीएस 7799
* बीएस 7799
Line 288: Line 288:
* गिलहरियों के कारण विद्युत विघ्न
* गिलहरियों के कारण विद्युत विघ्न
* शोषण (कंप्यूटर सुरक्षा)
* शोषण (कंप्यूटर सुरक्षा)
* [[सूचना जोखिम का कारक विश्लेषण]]
* [[सूचना संकट का कारक विश्लेषण]]
* संघीय [[सूचना सुरक्षा]] प्रबंधन अधिनियम 2002
* संघीय [[सूचना सुरक्षा]] प्रबंधन अधिनियम 2002
* ग्राम-लीच-ब्लीली अधिनियम
* ग्राम-लीच-ब्लीली अधिनियम
* स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम
* स्वास्थ्य बीमा सुवाह्यता और उत्तरदायित्व अधिनियम
* सूचना सुरक्षा
* सूचना सुरक्षा
* सूचना सुरक्षा मंच
* सूचना सुरक्षा मंच
Line 302: Line 302:
* आईएसओ/आईईसी 27001:2013
* आईएसओ/आईईसी 27001:2013
* आईएसओ/आईईसी 27002
* आईएसओ/आईईसी 27002
* [[आईटी जोखिम प्रबंधन]]
* [[आईटी संकट प्रबंधन]]
* [[दीर्घकालिक समर्थन]]
* [[दीर्घकालिक समर्थन]]
* राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र
* राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र
Line 308: Line 308:
* राष्ट्रीय सुरक्षा
* राष्ट्रीय सुरक्षा
* ओडब्ल्यूएएसपी
* ओडब्ल्यूएएसपी
* देशभक्त अधिनियम, शीर्षक III
* देशभक्ति अधिनियम, शीर्षक III
* गोपनीयता
* गोपनीयता
* जोखिम
* संकट
* जोखिम कारक (कंप्यूटिंग)
* संकट कारक (कंप्यूटिंग)
* इसे दांव पर लगाओ
* संकट आईटी
* Sarbanes-Oxley अधिनियम
* सरबनेस-ऑक्सले अधिनियम
* अच्छे अभ्यास का मानक
* ठीक कार्यप्रणाली के मानक
* खतरा (कंप्यूटर)
* संकट (कंप्यूटर)
* भेद्यता (कंप्यूटिंग)
* भेद्यता (कंप्यूटिंग)
{{colend}}
{{colend}}
Line 332: Line 332:
* [http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf एफआईपीएस Publication 200 Minimum Security Requirements for Federal Information and Information Systems]
* [http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf एफआईपीएस Publication 200 Minimum Security Requirements for Federal Information and Information Systems]
* [http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf 800-37 एनआईएसटी Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach]
* [http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf 800-37 एनआईएसटी Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach]
* [http://fismapedia.org/index.php?title=Main_Page एफआईएसएमएपिंडिया is a collection of documents and discussions focused on अमेरीका Federal आईटी security]
* [http://fismapedia.org/index.php?title=Main_Page एफआईएसएमएपिंडिया is a collection of documents and discusएसआईओns focused on अमेरीका Federal आईटी security]
*[https://web.archive.org/web/20180814170112/https://docra.org/ Duty of Care Risk Analysis Standard (DoCRA)]
*[https://web.archive.org/web/20180814170112/https://docra.org/ Duty of Care Risk Analysis Standard (DoCRA)]  


{{DEFAULTSORT:It Risk}}[[Category: डाटा सुरक्षा]] [[Category: आईटी जोखिम प्रबंधन|*]] [[Category: संकट विश्लेषण]] [[Category: सुरक्षा]] [[Category: सुरक्षा अनुपालन]] [[Category: परिचालनात्मक जोखिम]]
{{DEFAULTSORT:It Risk}}


 
[[Category:Articles with hatnote templates targeting a nonexistent page|It Risk]]
 
[[Category:CS1 English-language sources (en)]]
[[Category: Machine Translated Page]]
[[Category:CS1 maint]]
[[Category:Created On 11/05/2023]]
[[Category:Created On 11/05/2023|It Risk]]
[[Category:Lua-based templates|It Risk]]
[[Category:Machine Translated Page|It Risk]]
[[Category:Multi-column templates|It Risk]]
[[Category:Pages using div col with small parameter|It Risk]]
[[Category:Pages with empty portal template|It Risk]]
[[Category:Pages with script errors|It Risk]]
[[Category:Portal templates with redlinked portals|It Risk]]
[[Category:Templates Vigyan Ready|It Risk]]
[[Category:Templates that add a tracking category|It Risk]]
[[Category:Templates that generate short descriptions|It Risk]]
[[Category:Templates using TemplateData|It Risk]]
[[Category:Templates using under-protected Lua modules|It Risk]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia fully protected templates|Div col]]
[[Category:आईटी जोखिम प्रबंधन|*]]
[[Category:डाटा सुरक्षा|It Risk]]
[[Category:परिचालनात्मक जोखिम|It Risk]]
[[Category:संकट विश्लेषण|It Risk]]
[[Category:सुरक्षा|It Risk]]
[[Category:सुरक्षा अनुपालन|It Risk]]

Latest revision as of 16:45, 18 May 2023

सूचना प्रौद्योगिकी संकट, आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।[1] जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, ज्ञान अर्थव्यवस्था और अंकीय क्रांति के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।

विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने की सामान्य विधि है।[2] आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे साइबर संकट, भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।[3][4]


परिभाषाएँ

आईएसओ

आईटी संकट: संभावना कि एक दिया गया संकट (कंप्यूटर) किसी गुण (संगणना) या गुण के समूह की भेद्यता (संगणना) का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।[5]


राष्ट्रीय सुरक्षा प्रणालियों पर समिति

संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:

  • सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से[6] मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
    संकट - संभावना है कि विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
  • राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,[7] एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करते है:
    संकट - थ्रेट के घटित होने की संभावना का संयोजन, थ्रेट के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता

राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करते है:[8]

  1. हानि की संभावना जो थ्रेट-भेद्यता युग्म के परिणाम के रूप में स्थित है। थ्रेट या भेद्यता को कम करने से संकट कम हो जाता है।
  2. इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
  3. संभावना है कि प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक थ्रेट और भेद्यता हैं।
  4. संकट होने की संभावना का संयोजन, थ्रेट की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
  5. संभावना है कि विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।

एनआईएसटी

कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया[9] अवधि[10] एक सूची प्रदान करते है। उन दोनों के बीच:

  • एनआईएसटी एसपी 800-30 के अनुसार:[11]
    संकट किसी दिए गए थ्रेट-स्रोत की विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
  • एनआईएसटी एफआईपीएस 200 से[12]
    संकट - किसी थ्रेट के संभावित प्रभाव और उस थ्रेट के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर।

एनआईएसटी एसपी 800-30[11] परिभाषित करता है:

आईटी से संबंधित संकट
शुद्ध मिशन प्रभाव पर विचार:
  1. संभावना है कि विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग (संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
  2. परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
    1. अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
    2. अनभिप्रेत त्रुटियां और चूक
    3. प्राकृतिक या मानव निर्मित आपदाओं के कारण आईटी व्यवधान
    4. आईटी प्रणाली के कार्यान्वयन और संचालन में उचित देखभाल और परिश्रम करने में विफलता।

संकट प्रबंधन अंतर्दृष्टि

आईटी संकट भविष्य के हानि की संभावित आवृत्ति और संभावित परिमाण है।[13]


आईएसएसीए

आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,[14] आईटी संकट को इस प्रकार परिभाषित किया गया है:

एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, सहयोग, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट

रिस्क आईटी के अनुसार,[14]आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक प्रभाव (सुरक्षा) को सम्मिलित करते है जो संगठन के मान में विनाश या कमी ला सकते है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करते है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी

आईटी संकट मापना

आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।[13][15]

आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और नेटवर्क संचालन केंद्र अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक मुख्य सूचना सुरक्षा अधिकारी के लिए महत्वपूर्ण भूमिका है।

किसी भी प्रकार के संकट को मापते समय, किसी दिए गए थ्रेट, गुण और उपलब्ध डेटा के लिए उचित समीकरण का चयन करना महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं।

संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, थ्रेट और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करते है। यद्यपि, थ्रेट जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप की विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।[16]

गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: जहां p () संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d () हानि के विभिन्न स्तरों की संभावना है जो हो सकते है।[17]

आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकते है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:

सूचना सुरक्षा घटना

प्रणाली, सेवा या नेटवर्क स्थिति की पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।[5]:
परिस्थितियों के विशेष समूह की घटना[18]
  • घटना निश्चित या अनिश्चित हो सकती है।
  • घटना एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। : (आईएसओ/आईईसी निर्देश 73)

सूचना सुरक्षा घटना:

अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है[5]
घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।[19]

प्रभाव (सुरक्षा) [20]

अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)
परिणाम[21]
घटना का परिणाम [जी.11]
  • एक घटना के एक से अधिक परिणाम हो सकते हैं।
  • परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
  • परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (आईएसओ/आईईसी निर्देश 73)

संकट 'R' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'I' के गुणा होने वाली सुरक्षा घटना की संभावना 'L' का उत्पाद है, जो है:[22]

R = L × I

किसी सुरक्षा घटना के घटित होने की संभावना थ्रेट के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली भेद्यता का सफलतापूर्वक दोहन कर सकते है।

सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।

तो R चार संकट कारक (संगणना) का कार्य हो सकता है:

  • A = गुण का मान (संगणना)
  • T = थ्रेट की संभावना (कंप्यूटर)
  • V = भेद्यता की प्रकृति (संगणना) अर्थात संभावना जिसका शोषण किया जा सकता है (आक्रामक के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
  • I = संभावित प्रभाव (सुरक्षा), हानि की सीमा

यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद प्रत्युपाय की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना सदैव व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में विमाहीन श्रेणीबद्ध किया जाता है।

ओडब्ल्यूएएसपी निम्नलिखित पर आधारित व्यावहारिक संकट मापन दिशानिर्देश[22] प्रस्तावित करता है:

  • 0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
    • संकट प्रतिनिधि कारक
      • कौशल स्तर: थ्रेट के प्रतिनिधिों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा भेदन कौशल (9)
      • उद्देश्य: थ्रेट के प्रतिनिधिों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई पुरस्कार नहीं (1), संभावित पुरस्कार (4), उत्तम पुरस्कार (9)
      • अवसर: थ्रेट के प्रतिनिधिों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या बहुमूल्य संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
      • आकार: थ्रेट के प्रतिनिधिों का यह समूह कितना बड़ा है? विकासक (2), प्रणाली प्रबंधकत्व (2), इंट्रानेट उपयोगकर्ता (4), सहयोगी (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
    • भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए थ्रेट के प्रतिनिधि को मान लें।
      • खोज में सरलता: थ्रेट के प्रतिनिधिों के इस समूह के लिए इस भेद्यता का पता लगाना कितना सरल है? व्यावहारिक रूप से असंभव (1), कठिन (3), सरल (7), स्वचालित उपकरण उपलब्ध (9)
      • शोषण में सरलता (कंप्यूटर सुरक्षा) : थ्रेट के प्रतिनिधिों के इस समूह के लिए वस्तुतः इस भेद्यता का लाभ उठाना कितना सरल है? सैद्धांतिक (1), कठिन (3), सरल (5), स्वचालित उपकरण उपलब्ध (9)
      • जागरूकता: थ्रेट के प्रतिनिधिों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
      • अतिक्रमण संसूचन: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
  • 0 से 9 के पैमाने में विभिन्न कारकों के बीच औसत के रूप में प्रभाव का अनुमान
    • तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: निजता, अखंडता, उपलब्धता और उत्तरदायित्व। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
      • निजता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का अनावृत (2), न्यूनतम महत्वपूर्ण डेटा का अनावृत (6), व्यापक गैर-संवेदनशील डेटा का अनावृत (6), व्यापक महत्वपूर्ण डेटा का अनावृत (7), सभी डेटा का अनावृत (9)
      • अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)
      • उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)
      • उत्तरदायित्व की हानि: क्या थ्रेट के प्रतिनिधिों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से अनाम (9)
    • व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहन समझ की आवश्यकता है। सामान्यतः , आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, विशेष रूप से यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
      • वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर साधारण प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
      • प्रतिष्ठा क्षति: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
      • गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? साधारण उल्लंघन (2), स्पष्ट उल्लंघन (5), उच्च -पार्श्वचित्र उल्लंघन (7)
      • निजता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी सूचना का अनावृत किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
    • यदि व्यावसायिक प्रभाव की गणना उचित रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
  • कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
  • निम्न तालिका का उपयोग करके संकट की गणना करें
समग्र संकट गंभीरता
प्रभाव उच्च मध्यम उच्च गंभीर
मध्यम निम्न मध्यम उच्च
निम्न कोई नहीं निम्न मध्यम
  निम्न मध्यम उच्च
  संभाव्यता


आईटी संकट प्रबंधन

संकट प्रबंधन अवयव

IT risk management एनआईएसटी साइबर सुरक्षा संरचना संगठनों को पहचान (आईडी) कार्य के भाग के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करते है:[23][24]

संकट मूल्यांकन (आईडी.आरए) : संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।

  • आईडी.आरए-1: परिगुण भेद्यता की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
  • आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर थ्रेट की आसूचना सूचना और भेद्यता की सूचना प्राप्त होती है
  • आईडी.आरए-3: आंतरिक और बाहरी दोनों प्रकार के थ्रेट की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
  • आईडी.आरए-4: संभावित व्यावसायिक प्रभावों और संभावनाओं की पहचान की गई है
  • आईडी.आरए-5: संकट को निर्धारित करने के लिए थ्रेट, भेद्यता, संभावनाओं और प्रभावों का उपयोग किया जाता है
  • आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है

संकट प्रबंधन रणनीति (आईडी.आरएम) : संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।

  • आईडी.आरएम-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
  • आईडी.आरएम-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
  • आईडी.आरएम-3: संगठन की संकट सहिष्णुता का निर्धारण महत्वपूर्ण मूलभूत संरचना और क्षेत्र विशिष्ट संकट विश्लेषण में इसकी भूमिका से सूचित होता है

आईटी संकट नियम और नियम

निम्नलिखित में स्रोत द्वारा आयोजित लागू नियमों का संक्षिप्त विवरण।[25]


ओईसीडी

ओईसीडी ने निम्नलिखित जारी किया:

यूरोपीय संघ

यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

  • निजता
    • विनियमन (ईसी) संख्या 45/2001 के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त संचलन पर आंतरिक विनियमन प्रदान करते है, जो नीचे वर्णित निजता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अतिरिक्त, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत संरचना के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
    • निदेशक 95/46/ईसी डेटा संरक्षण निर्देश के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त संचलन के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के निजता निहितार्थों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़े, और इस प्रकार की गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों का निर्धारण करने के लिए, ऐसे उपायों द्वारा प्रभावी रूप से संरक्षित किया जाता है, जो कि गतिविधि की संवेदनशीलता और निजता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक की स्थिति होनी चाहिए, जिसे राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, गतिविधि (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को आरोपित किया जाता है) की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों सहित। इसके अतिरिक्त, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के स्थानांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
    • 15 जून 2001 का आयोग का निर्णय 2001/497/ईसी के स्थानांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/ईसी के अंतर्गत तीसरे देशों को व्यक्तिगत डेटा; और 27 दिसंबर 2004 का आयोग का निर्णय 2004/915/ईसी संशोधित निर्णय 2001/497/ईसी संबंध में तीसरे देशों को व्यक्तिगत डेटा के स्थानांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह के प्रारम्भ के संबंध में। विषय: तीसरे देशों को व्यक्तिगत डेटा का निर्यात, विशेष रूप से गैर-ईयू देशों को जिन्हें पर्याप्त डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है (अर्थात ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
    • अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत (नीचे अमेरीका और अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत देखें)
    • निदेशक 2002/58/ईसी 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और इलेक्ट्रॉनिक संचार क्षेत्र में निजता की सुरक्षा के संबंध में
  • राष्ट्रीय सुरक्षा
    • निदेशक 2006/24/ईसी 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/ईसी ('डेटा प्रतिधारण निर्देश') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ सूचना बनाए रखने की आवश्यकता
    • परिषद् निदेशक 2008/114/ईसी यूरोपीय महत्वपूर्ण आधारभूत संरचना की पहचान और पदनाम और उनकी सुरक्षा में संशोधन की आवश्यकता के आकलन। विषय: यूरोपीय समीक्षात्मक आधारभूत संरचना की पहचान और संरक्षण। क्षेत्र: सदस्य राज्यों और यूरोपीय समीक्षात्मक आधारभूत संरचना के संचालकों के लिए लागू (प्रारुप के निर्देश द्वारा परिभाषित 'समीक्षात्मक आधारभूत संरचना' के रूप में परिभाषित किया गया है, जिसके व्यवधान या विनाश से दो या दो से अधिक सदस्य राज्य, या एक सदस्य राज्य प्रभावित होंगे यदि समीक्षात्मक आधारभूत संरचना किसी अन्य सदस्य राज्य में स्थित है। इसमें अन्य प्रकार के मूलभूत संरचना पर रेखित क्षेत्र निर्भरता से उत्पन्न प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत संरचना की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ईसीआई के अधिष्ठाता/ संचालकों को संचालक सुरक्षा योजनाएँ (ओएसपी) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
  • नागरिक और दंड विधि
    • परिषद रूपरेखा निर्णय 2005/222/JHA 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध आक्षेपों पर। विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के समस्याओं को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। क्षेत्र: सदस्य राज्यों को अपने राष्ट्रीय वैध संरचना में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके अंतर्गत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से देख-रेख की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।

यूरोपीय परिषद्

  • साइबर अपराध पर यूरोप सम्मेलन की परिषद, बुडापेस्ट, 23.11.2001, यूरोपियन ट्रीटी शृंखला संख्या। 185. विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व समस्याओं और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की श्रृंखला की परिभाषा के अतिरिक्त, सम्मेलन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके अंतर्गत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध इकाई के अंतर्गत प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इस प्रकार, सम्मेलन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त देख-रेख की जाए, क्योंकि सम्मेलन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए वैध इकाई को उत्तरदायी ठहराया जा सकता है।

संयुक्त राज्य

संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

  • नागरिक और दंड विधि
    • इलेक्ट्रॉनिक खोज के संबंध में नागरिक प्रक्रिया के संघीय नियमों में संशोधन। विषय: नागरिक कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। खोज नियम नागरिक कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने अधिकार में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करते है, ताकि पक्ष और अदालत को स्थिति का उचित आकलन करने की अनुमति मिल सके। ई-खोज संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी सूचना में अब इलेक्ट्रॉनिक सूचना सम्मिलित हो सकती है। इसका तात्पर्य यह है कि नागरिक कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्र प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्र, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से चित्रित हो भी सकते हैं और नहीं भी। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी सूचना के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पक्ष को 'लिटिगेशन होल्ड' प्रारम्भ करने में सक्षम होना चाहिए, तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक सूचना को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को उत्तरदायी होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ) का एक भाग होने पर निश्चित रूप से विशिष्ट सूचना को हटाने की अनुमति है, स्वेच्छाचारी विनाश संभावित रूप से प्रासंगिक सूचना को अत्यधिक उच्च अर्थ दण्ड (1.6 बिलियन यूएस डॉलर के विशिष्ट स्थिति में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक वाद का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और वाद को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
  • निजता
    • कैलिफ़ोर्निया उपभोक्ता निजता अधिनियम (सीसीपीए)
    • कैलिफ़ोर्निया निजता अधिकार अधिनियम (सीपीआरए)
    • ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
    • यूएसए पैट्रियट अधिनियम, शीर्षक III
    • स्वास्थ्य बीमा सुवाह्यता और उत्तरदायित्व अधिनियम (एचआईपीएए) एक आरएम/आरए परिप्रेक्ष्य से, अधिनियम विशेष रूप से प्रशासनिक सरलीकरण (एचआईपीएए का शीर्षक II) के संबंध में इसके प्रावधानों के लिए जाना जाता है। इस शीर्षक के लिए अमेरिकी स्वास्थ्य और मानव सेवा विभाग (एचएचएस) को विशिष्ट नियम समूहों का प्रारूप तैयार करने की आवश्यकता थी, जिनमें से प्रत्येक विशिष्ट मानक प्रदान करेगा जो स्वास्थ्य देखभाल प्रणाली की दक्षता में संशोधन करेगा और दुरुपयोग को रोकेगा। फलस्वरूप, एचएचएस ने पांच प्रमुख नियमों को अपनाया है: निजता नियम, लेन-देन और कोड समूह नियम, विशिष्ट पहचानकर्ता नियम, प्रवर्तन नियम और सुरक्षा नियम। उत्तरार्द्ध, 20 फरवरी 2003 को संघीय रजिस्टर में प्रकाशित हुआ (देखें: http://www.cms.एचएचएस.gov/SecurityStandard/Downloads/security finalrule.pdf), विशेष रूप से प्रासंगिक है, क्योंकि यह प्रशासनिक, तकनीकी, की श्रृंखला निर्दिष्ट करता है। और इलेक्ट्रॉनिक संरक्षित स्वास्थ्य सूचना की निजता सुनिश्चित करने के लिए भौतिक सुरक्षा प्रक्रियाएं। इन गुणों को आगे प्रशासनिक, भौतिक, संगठनात्मक और तकनीकी सुरक्षा उपायों पर सुरक्षा मानकों के समूह में रेखांकित किया गया है, जो सभी एचआईपीएए संकट प्रबंधन और संकट मूल्यांकन की मूलभूत बातों पर निर्देशन प्रपत्र के साथ प्रकाशित किए गए हैं <http://www.cms.एचएचएस.gov/EducationMaterials/04_SecurityMaterials.asp>। यूरोपीय या अन्य देशों के स्वास्थ्य देखभाल सेवा प्रदाता सामान्यतः एचआईपीएए दायित्वों से प्रभावित नहीं होंगे यदि वे अमेरिकी बाजार में सक्रिय नहीं हैं। यद्यपि, चूंकि उनकी डेटा प्रोसेसिंग गतिविधियाँ सामान्य यूरोपीय नियम (निजता निर्देश सहित) के अंतर्गत समान दायित्वों के अधीन हैं, इलेक्ट्रॉनिक स्वास्थ्य फ़ाइलों के प्रति आधुनिकीकरण और विकास के अंतर्निहित प्रवृत्ति समान हैं, एचएचएस सुरक्षा उपाय यूरोपीय स्वास्थ्य देखभाल सेवा प्रदाताओं द्वारा विशेष रूप से इलेक्ट्रॉनिक स्वास्थ्य सूचना के प्रसंस्करण के संबंध में आरएम/आरए रणनीतियों को मापने के लिए प्रारंभिक मानदंड के रूप में उपयोगी हो सकते हैं। एचआईपीएए सुरक्षा मानकों में निम्नलिखित सम्मिलित हैं:
      • प्रशासनिक सुरक्षा उपाय:
        • सुरक्षा प्रबंधन प्रक्रिया
        • नियुक्त सुरक्षा उत्तरदायित्व
        • कार्यबल सुरक्षा
        • सूचना पहुँच प्रबंधन
        • सुरक्षा जागरूकता और प्रशिक्षण
        • सुरक्षा घटना प्रक्रियाएं
        • आकस्मिक योजना
        • मूल्यांकन
        • बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
      • भौतिक सुरक्षा उपाय
        • सुविधा अभिगम नियंत्रण
        • वर्कस्टेशन उपयोग
        • कार्य केंद्र सुरक्षा
        • उपकरण और मीडिया नियंत्रण
      • तकनीकी सुरक्षा उपाय
        • अभिगम नियंत्रण
        • लेखापरीक्षा नियंत्रण
        • अखंडता
        • व्यक्ति या संस्था प्रमाणीकरण
        • संचार सुरक्षा
      • संगठनात्मक आवश्यकताएं
        • बिजनेस एसोसिएट अनुबंध और अन्य व्यवस्थाएं
        • समूह स्वास्थ्य योजनाओं के लिए आवश्यकताएँ
    • अमेरिकी वाणिज्य विभाग द्वारा 21 जुलाई, 2000 को जारी अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत डेटा नियंत्रक से व्यक्तिगत डेटा का निर्यात जो यूएस स्थित गंतव्य के लिए ई.यू. निजता नियमों के अधीन है; ई.यू. के निजता विनियमों के अधीन इकाई से व्यक्तिगत डेटा को अमेरिकी नियम के अधीन गंतव्य के लिए निर्यात किए जाने से पहले, यूरोपीय इकाई को यह सुनिश्चित करना चाहिए कि प्राप्त करने वाली संस्था ऐसे डेटा को कई दुर्घटनाओं से बचाने के लिए पर्याप्त सुरक्षा उपाय प्रदान करती है। इस दायित्व के अनुपालन की एक विधि यह है कि प्राप्त करने वाली इकाई को सुरक्षित आश्रयगृह में सम्मिलित होने की आवश्यकता है, यह आवश्यक है कि इकाई तथाकथित सुरक्षित आश्रयगृह सिद्धांतों के अनुपालन को स्वयं प्रमाणित करे। यदि यह सड़क चुनी जाती है, तो डेटा निर्यात करने वाले डेटा नियंत्रक को यह सत्यापित करना होगा कि यू.एस. गंतव्य वस्तुतः सुरक्षित आश्रयगृह सूची में है (देखें आश्रयगृह + सूची सुरक्षित आश्रयगृह सूची)
    • संयुक्त राज्य अमेरिका के होमलैंड सुरक्षा विभाग भी [1] निजता के उल्लंघन के संकटों को पहचानने और कम करने के लिए निर्णय लेने वाले उपकरण के रूप में निजता प्रभाव आकलन (पीआईए) का उपयोग करते है।[26]
  • सरबनेस-ऑक्सले अधिनियम
  • एफआईएसएमए


जैसे-जैसे नियम विकसित होता है, सूचना प्रबंधन के लिए 'उचित सुरक्षा' की आवश्यकता पर ध्यान केंद्रित किया गया है। सीसीपीए बताता है कि संबद्ध उपकरण के निर्माता उपकरण को उचित सुरक्षा से लैस करते हैं।[27] न्यू यॉर्क के शील्ड अधिनियम के लिए आवश्यक है कि एनवाई निवासियों की सूचना का प्रबंधन करने वाले संगठन "निजी सूचना की सुरक्षा, निजता और अखंडता की रक्षा के लिए उचित सुरक्षा उपायों का विकास, कार्यान्वयन और रखरखाव करें, परन्तु डेटा के निपटान तक सीमित नहीं है।" यह अवधारणा प्रभावित करेगी कि अनुपालन आवश्यकताओं के विकसित होने पर व्यवसाय अपनी संकट प्रबंधन योजना का प्रबंधन कैसे करते हैं।

मानक संगठन और मानक

मानकों का संक्षिप्त विवरण

सूची मुख्य रूप से इस पर आधारित है:[25]


आईएसओ

  • आईएसओ/आईईसी 13335-1:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना और संचार प्रौद्योगिकी सुरक्षा का प्रबंधन - भाग 1: सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाएँ और मॉडल http://www.iso.org/iso/en /CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. सूचना और संचार प्रौद्योगिकी सुरक्षा प्रबंधन के लिए अवधारणाओं और मॉडलों के सामान्यतः स्वीकृत विवरण वाले मानक। मानक कार्यप्रणाली का एक सामान्य रूप से उपयोग किया जाने वाला कोड है, और सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है और ऐसे कार्यों के अंकेक्षण के लिए मानदंड के रूप में कार्य करते है। (यह भी देखें http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf)
  • आईएसओ/आईईसी टीआर 15443-1:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा आश्वासन संदर्भ के लिए एक रूपरेखा: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (ध्यान दें: यह आईएसओ पृष्ठ का संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा आश्वासन - तकनीकी रिपोर्ट (टीआर) में सामान्यतः स्वीकृत दिशानिर्देश होते हैं जिनका उपयोग सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक का आकलन करने के लिए उचित आश्वासन विधि निर्धारित करने के लिए किया जा सकता है।
  • आईएसओ/आईईसी 15816:2002 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - अभिगम नियंत्रण संदर्भ के लिए सुरक्षा सूचना वस्तुएँ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (टिप्पणी: यह संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - अभिगम नियंत्रण। मानक सुरक्षा वृत्तिकों को एसआईओ के संबंध में वाक्यात्मक परिभाषाओं और स्पष्टीकरणों के विशिष्ट समूह पर विश्वास करने की अनुमति देता है, इस प्रकार अन्य मानकीकरण प्रयासों में दोहराव या विचलन से बचा जाता है।
  • आईएसओ/आईईसी टीआर 15947:2002 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी अतिक्रमण का पता लगाने की रूपरेखा संदर्भ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (टिप्पणी: यह संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सुरक्षा प्रबंधन - आईटी प्रणाली में अतिक्रमण का पता लगाना। मानक सुरक्षा वृत्तिकों को आईटी प्रणाली में संभावित अतिक्रमण के संबंध में सुरक्षा संकटों का वर्णन और आकलन करने के लिए अवधारणाओं और पद्धतियों के विशिष्ट समूह पर विश्वास करने की अनुमति देता है। इसमें कोई आरएम/आरए दायित्व सम्मिलित नहीं है, बल्कि यह प्रभावित क्षेत्र में आरएम/आरए गतिविधियों को सुविधाजनक बनाने के लिए एक उपकरण है।
  • आईएसओ/आईईसी 15408-1/2/3:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा के लिए मूल्यांकन मानदंड - भाग 1: परिचय और सामान्य मॉडल (15408-1) भाग 2: सुरक्षा कार्यात्मक आवश्यकताएं (15408-2) भाग 3: सुरक्षा आश्वासन आवश्यकताएँ (15408-3) संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: सुरक्षा कार्यों के लिए आवश्यकताओं का सामान्य समूह युक्त मानक आईटी उत्पादों और प्रणालियों के और सुरक्षा मूल्यांकन के समय उन पर लागू आश्वासन उपायों के लिए। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक, जिसे स्वेच्छा से लागू किया जा सकता है। पाठ आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए एक संसाधन है, और इस प्रकार आरएम/आरए के लिए एक उपकरण के रूप में उपयोग किया जा सकता है। मानक सामान्यतः आईटी उत्पादों और प्रणालियों की सुरक्षा के मूल्यांकन के लिए संसाधन के रूप में उपयोग किया जाता है; ऐसे उत्पादों के संबंध में खरीद निर्णयों के लिए (यदि विशेष रूप से नहीं) सम्मिलित है। आईटी उत्पाद या प्रणाली की सुरक्षा निर्धारित करने के लिए मानक को आरएम/आरए उपकरण के रूप में उपयोग किया जा सकता है उन्हें इसके डिजाइन, निर्माण या विपणन के समय, या इसे खरीदने से पहले।
  • आईएसओ/आईईसी 17799:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन के लिए कार्यप्रणाली संहिता। संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (टिप्पणी: यह आईएसओ पृष्ठ का संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: व्यापार निरंतरता प्रबंधन सहित किसी संगठन में सूचना सुरक्षा प्रबंधन को प्रारम्भ करने, लागू करने, बनाए रखने और संशोधनने के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाले मानक। मानक कार्यप्रणाली का सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करते है और इस प्रकार की कार्यप्रणाली के अंकेक्षण के लिए मानदंड के रूप में कार्य करते है। (आईएसओ/आईईसी 17799 भी देखें)
  • आईएसओ/आईईसी टीआर 15446:2004 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सुरक्षा पार्श्वचित्र और सुरक्षा लक्ष्य के उत्पादन के लिए निर्देश। संदर्भ: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: तकनीकी रिपोर्ट (टीआर) जिसमें सुरक्षा प्रोफ़ाइल (पीपी) और सुरक्षा लक्ष्य (एसटी) के निर्माण के लिए दिशानिर्देश सम्मिलित हैं जिनका उद्देश्य आईएसओ/आईईसी 15408 (सामान्य मानदंड) के अनुरूप होना है। मानक मुख्य रूप से पीपी और एसटी विकसित करने के लिए सुरक्षा वृत्तिकों के लिए एक उपकरण के रूप में उपयोग किया जाता है, परन्तु इसकी वैधता का आकलन करने के लिए भी उपयोग किया जा सकता है (टीआर का उपयोग करके यह निर्धारित करने के लिए कि क्या इसके मानकों का पालन किया गया है)। इस प्रकार, यह आरएम/आरए कार्यप्रणाली के निर्माण और मूल्यांकन के लिए (गैर-बाध्यकारी) मानक उपकरण है।
  • आईएसओ/आईईसी 27000-श्रृंखला|आईएसओ/आईईसी 18028:2006 - सूचना प्रौद्योगिकी-सुरक्षा तकनीकें-आईटी नेटवर्क सुरक्षा संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (टिप्पणी: यह आईएसओ पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: पांच भाग मानक (आईएसओ/आईईसी 18028-1 से 18028-5) जिसमें सूचना प्रौद्योगिकी नेटवर्क के प्रबंधन, संचालन और उपयोग के सुरक्षा गुणों पर सामान्यतः स्वीकृत दिशानिर्देश सम्मिलित हैं। मानक को विशेष रूप से नेटवर्क सुरक्षा संकटों पर ध्यान केंद्रित करते हुए आईएसओ/आईईसी 13335 और आईएसओ/आईईसी 17799 में प्रदान किए गए दिशानिर्देशों का विस्तार माना जाता है। मानक कार्यप्रणाली का सामान्य रूप से उपयोग किया जाने वाला कोड है, और सुरक्षा प्रबंधन कार्यप्रणाली के कार्यान्वयन के लिए एक संसाधन के रूप में कार्य करते है और ऐसी कार्यप्रणाली के अंकेक्षण के लिए एक मानदंड के रूप में कार्य करते है।
  • आईएसओ/आईईसी 27001:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (टिप्पणी: यह एक संदर्भ है आईएसओ पृष्ठ पर जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: किसी दिए गए संगठन के भीतर सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन के लिए सामान्यतः स्वीकृत दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ मानक नहीं, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा कार्यप्रणाली के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक कार्यप्रणाली का एक बहुत ही सामान्य रूप से उपयोग किया जाने वाला कोड है, और सूचना सुरक्षा प्रबंधन प्रणालियों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है और ऐसी प्रणालियों के अंकेक्षण के लिए एक मानदंड के रूप में कार्य करते है। और/या निकट के कार्यप्रणाली। व्यवहार में इसका अनुप्रयोग प्रायः संबंधित मानकों के साथ जोड़ा जाता है, जैसे बीएस 7799-3:2006 जो आईएसओ/आईईसी 27001:2005 में दी गई आवश्यकताओं का समर्थन करने के लिए अतिरिक्त निर्देशन प्रदान करते है।<http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491>
  • आईएसओ/आईईसी 27001:2013, सूचना सुरक्षा प्रबंधन प्रणालियों के लिए अद्यतन मानक।
  • आईएसओ/आईईसी टीआर 18044:2004 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-सूचना सुरक्षा घटना प्रबंधन संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (टिप्पणी: यह एक संदर्भ है आईएसओ पृष्ठ जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: एक संगठन में सूचना सुरक्षा घटना प्रबंधन के लिए सामान्यतः स्वीकृत दिशानिर्देशों और सामान्य सिद्धांतों वाली तकनीकी रिपोर्ट (टीआर)। क्षेत्र: सार्वजनिक रूप से उपलब्ध आईएसओ टीआर नहीं है, जिसका स्वेच्छा से उपयोग किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में घटना प्रबंधन के लिए प्रत्यक्ष दिशानिर्देश सम्मिलित हैं। मानक घटना प्रतिक्रिया के क्षेत्र में मूलभूत अवधारणाओं और विचारों को प्रस्तुत करने वाला उच्च स्तरीय संसाधन है। इस प्रकार, यह इस संबंध में जागरूकता बढ़ाने की उपक्रम के उत्प्रेरक के रूप में अधिकतर उपयोगी है।
  • आईएसओ/आईईसी 18045:2005 - सूचना प्रौद्योगिकी - सुरक्षा तकनीक - आईटी सुरक्षा मूल्यांकन संदर्भ के लिए पद्धति: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm विषय: मानक युक्त आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन के लिए अंकेक्षण दिशानिर्देश सार्वजनिक रूप से उपलब्ध आईएसओ मानक का क्षेत्र, आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-मूल्यांकन मानदंड) के अनुपालन का मूल्यांकन करते समय पालन किया जाना है आईटी सुरक्षा के लिए)। मानक 'साथी प्रपत्र' है, जो इस प्रकार मुख्य रूप से आईएसओ/आईईसी 15408 (सूचना प्रौद्योगिकी-सुरक्षा तकनीक-आईटी सुरक्षा के लिए मूल्यांकन मानदंड) के अनुपालन के मूल्यांकन में सम्मिलित सुरक्षा वृत्तिकों के लिए उपयोग किया जाता है। चूंकि यह ऐसे लेखापरीक्षकों द्वारा निष्पादित की जाने वाली न्यूनतम कार्रवाइयों का वर्णन करते है, यदि आईएसओ/आईईसी 18045 की अवहेलना की गई है तो आईएसओ/आईईसी 15408 का अनुपालन असंभव है।
  • आईएसओ/टीआर 13569:2005 - वित्तीय सेवाएँ - सूचना सुरक्षा दिशानिर्देश संदर्भ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (टिप्पणी: यह आईएसओ पृष्ठ का एक संदर्भ है जहाँ मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: वित्तीय सेवा संस्थानों में सूचना सुरक्षा नीतियों के कार्यान्वयन और मूल्यांकन के लिए दिशानिर्देश युक्त मानक। मानक सामान्य रूप से संदर्भित दिशानिर्देश है, और वित्तीय क्षेत्र के संस्थानों में सूचना सुरक्षा प्रबंधन कार्यक्रमों के कार्यान्वयन के लिए संसाधन के रूप में कार्य करते है, और ऐसे कार्यक्रमों की लेखा परीक्षा के लिए एक मानदंड के रूप में कार्य करते है। (http://csrc.एनआईएसटी.gov/publications/secpubs/otherpubs/reviso-faq.pdf भी देखें)
  • आईएसओ/आईईसी 21827:2008 - सूचना प्रौद्योगिकी-सुरक्षा तकनीक-प्रणाली सुरक्षा इंजीनियरिंग-क्षमता परिपक्वता मॉडल (एसएसई-सीएमएम) : आईएसओ/आईईसी 21827:2008 प्रणाली सुरक्षा इंजीनियरिंग - क्षमता परिपक्वता मॉडल (एसएसई-सीएमएम) को निर्दिष्ट करते है, जो वर्णन करते है एक संगठन की सुरक्षा इंजीनियरिंग प्रक्रिया की आवश्यक विशेषताएँ जो ठीक सुरक्षा इंजीनियरिंग सुनिश्चित करने के लिए स्थित होनी चाहिए। आईएसओ/आईईसी 21827:2008 किसी विशेष प्रक्रिया या अनुक्रम को निर्धारित नहीं करता है, परन्तु सामान्यतः उद्योग में देखी जाने वाली कार्यप्रणाली को पकड़ता है। मॉडल सुरक्षा इंजीनियरिंग कार्यप्रणाली के लिए एक मानक मापीय है।

बीएसआई

  • बीएस 25999-1:2006 - व्यवसाय निरंतरता प्रबंधन भाग 1: कार्यप्रणाली संहिता टिप्पणी: यह बीएस 25999 का मात्र एक भाग है, जिसे नवंबर 2006 में प्रकाशित किया गया था। भाग दो (जिसमें संभावित मान्यता की दृष्टि से अधिक विशिष्ट मानदंड सम्मिलित होने चाहिए) अभी प्रकट नहीं हुआ है। संदर्भ: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563। विषय: कार्यप्रणाली के व्यापार निरंतरता कोड वाले मानक। मानक व्यवसाय निरंतरता प्रबंधन के लिए कार्यप्रणाली के एक कोड के रूप में अभिप्रेत है, और एक दूसरे भाग द्वारा विस्तारित किया जाएगा जो मानक के पालन के लिए मान्यता की अनुमति देगा। इसके सापेक्ष नवीनता को देखते हुए, मानक के संभावित प्रभाव का आकलन करना जटिल है, यद्यपि यह आरएम/आरए कार्यप्रणाली के लिए बहुत प्रभावशाली हो सकते है, इस संबंध में सार्वभौमिक रूप से लागू मानकों की सामान्य कमी और व्यापार निरंतरता और आकस्मिक योजना पर बढ़ते ध्यान को देखते हुए नियामक उपक्रम। इस मानक के अनुप्रयोग को अन्य मानदंडों द्वारा पूरक किया जा सकता है, विशेष रूप से पीएएस 77:2006 - आईटी सेवा निरंतरता प्रबंधन कार्यप्रणाली संहिता <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 > टीआर सुरक्षा वृत्तिकों को सुरक्षा सेवा, उत्पाद या पर्यावरणीय कारक (एक वितरण योग्य) का आकलन करने के लिए उपयुक्त पद्धति निर्धारित करने की अनुमति देता है। इस टीआर के बाद, यह निर्धारित किया जा सकता है कि परिदेय किस स्तर के सुरक्षा आश्वासन को पूरा करने का इरादा रखता है, और यदि यह सीमा वस्तुतः परिदेय द्वारा पूरी की जाती है।
  • बीएस 7799-3:2006 - सूचना सुरक्षा प्रबंधन प्रणाली - सूचना सुरक्षा संकट प्रबंधन संदर्भ के लिए दिशानिर्देश: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (टिप्पणी: यह बीएसआई पृष्ठ का एक संदर्भ है जहां मानक प्राप्त किया जा सकता है। यद्यपि, मानक नि: शुल्क नहीं है, और इसके प्रावधान सार्वजनिक रूप से उपलब्ध नहीं हैं। इस कारण से, विशिष्ट प्रावधानों को उद्धृत नहीं किया जा सकता)। विषय: सूचना सुरक्षा संकट प्रबंधन के लिए सामान्य दिशानिर्देशों वाला मानक। क्षेत्र: सार्वजनिक रूप से उपलब्ध बीएसआई मानक नहीं है, जिसे स्वेच्छा से लागू किया जा सकता है। वैध रूप से बाध्यकारी नहीं होने पर, पाठ में ध्वनि सूचना सुरक्षा कार्यप्रणाली के निर्माण के लिए प्रत्यक्ष दिशानिर्देश होते हैं। मानक ज्यादातर पूर्वोक्त आईएसओ 27001: 2005 के आवेदन के लिए एक मार्गदर्शक पूरक प्रपत्र के रूप में अभिप्रेत है, और इसलिए सामान्यतः संकट मूल्यांकन कार्यप्रणाली में इस मानक के संयोजन में लागू किया जाता है।

सूचना सुरक्षा मंच

यह भी देखें

  • परिसंपत्ति (कंप्यूटर सुरक्षा)
  • उपलब्धता
  • बीएस 7799
  • बीएस 25999
  • राष्ट्रीय सुरक्षा प्रणालियों पर समिति
  • सामान्य मानदंड
  • गोपनीयता
  • साइबर सुरक्षा विनियमन
  • डेटा सुरक्षा निर्देश
  • गिलहरियों के कारण विद्युत विघ्न
  • शोषण (कंप्यूटर सुरक्षा)
  • सूचना संकट का कारक विश्लेषण
  • संघीय सूचना सुरक्षा प्रबंधन अधिनियम 2002
  • ग्राम-लीच-ब्लीली अधिनियम
  • स्वास्थ्य बीमा सुवाह्यता और उत्तरदायित्व अधिनियम
  • सूचना सुरक्षा
  • सूचना सुरक्षा मंच
  • सूचान प्रौद्योगिकी
  • अखंडता
  • अंतर्राष्ट्रीय सुरक्षित हार्बर गोपनीयता सिद्धांत
  • इसाका
  • इंटरनैशनल ऑर्गनाइज़ेशन फॉर स्टैंडर्डाइज़ेशन
  • आईएसओ/आईईसी 27000-श्रृंखला
  • आईएसओ/आईईसी 27001:2013
  • आईएसओ/आईईसी 27002
  • आईटी संकट प्रबंधन
  • दीर्घकालिक समर्थन
  • राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र
  • मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
  • राष्ट्रीय सुरक्षा
  • ओडब्ल्यूएएसपी
  • देशभक्ति अधिनियम, शीर्षक III
  • गोपनीयता
  • संकट
  • संकट कारक (कंप्यूटिंग)
  • संकट आईटी
  • सरबनेस-ऑक्सले अधिनियम
  • ठीक कार्यप्रणाली के मानक
  • संकट (कंप्यूटर)
  • भेद्यता (कंप्यूटिंग)

संदर्भ

  1. "What is IT risk? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. Retrieved 2021-09-04.
  2. "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
  3. "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch (in English). 2016-05-16. Archived from the original on 2018-11-07. Retrieved 2017-10-07.
  4. "सूचना सुरक्षा आकलन प्रकार". danielmiessler.com (in English). Retrieved 2017-10-07.
  5. 5.0 5.1 5.2 ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  6. CNSS Instruction No. 4009 Archived 2012-02-27 at the Wayback Machine dated 26 April 2010
  7. National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee
  8. "पारिभाषिक शब्दावली". Retrieved 23 May 2016.
  9. a wiki project devoted to FISMA
  10. FISMApedia Risk term
  11. 11.0 11.1 NIST SP 800-30 Risk Management Guide for Information Technology Systems
  12. FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems
  13. 13.0 13.1 FAIR: Factor Analysis for Information Risks Archived 2014-11-18 at the Wayback Machine
  14. 14.0 14.1 ISACA THE RISK IT FRAMEWORK Archived 2010-07-05 at the Wayback Machine ISBN 978-1-60420-111-6 (registration required)
  15. Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
  16. Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (in English). Threat Sketch, LLC. ISBN 9780692944158.
  17. Arnold, Rob (2017). Cybersecurity: A Business Solution. p. 22. ISBN 978-0692944158.
  18. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  19. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  20. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  21. "शब्दकोष". Archived from the original on 29 February 2012. Retrieved 23 May 2016.
  22. 22.0 22.1 "OWASP जोखिम रेटिंग पद्धति". Retrieved 23 May 2016.
  23. Keller, Nicole (2013-11-12). "साइबर सुरक्षा ढांचा". NIST (in English). Retrieved 2017-10-07.
  24. Arnold, Rob. "एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए 10 मिनट की गाइड". Threat Sketch. Archived from the original on 2021-04-14. Retrieved 2018-02-14.
  25. 25.0 25.1 Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice Archived 2011-07-23 at the Wayback Machine Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007
  26. "गोपनीयता प्रभाव आकलन". Department of Homeland Security (in English). 2009-07-06. Retrieved 2020-12-12.
  27. IAPP. "अमेरिका के संदर्भ में 'उचित सुरक्षा' मानक का विकास".{{cite web}}: CS1 maint: url-status (link)


बाहरी संबंध