सुरक्षा नियंत्रण: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(5 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{Short description|Protection measures for a system}}सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली , या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या [[जोखिम|कठिन परिस्थिति]] को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।<ref>{{Cite web|title=What are Security Controls?|url=https://www.ibm.com/cloud/learn/security-controls|access-date=2020-10-31|website=www.ibm.com|language=en-us}}</ref> [[सूचना सुरक्षा]] के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।
{{Short description|Protection measures for a system}}सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या [[जोखिम|कठिन परिस्थिति]] को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।<ref>{{Cite web|title=What are Security Controls?|url=https://www.ibm.com/cloud/learn/security-controls|access-date=2020-10-31|website=www.ibm.com|language=en-us}}</ref> [[सूचना सुरक्षा]] के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।


नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।
नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।
Line 5: Line 5:
== [[सुरक्षा]] नियंत्रण के प्रकार ==
== [[सुरक्षा]] नियंत्रण के प्रकार ==
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
*घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके;
*घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत अतिक्रमी को बंद करके;
*घटना के समय , गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा। घुसपैठिए का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
*घटना के समय , गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा अतिक्रमी का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
*घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है, उदा। यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।
*घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है उदा यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।


सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
Line 13: Line 13:
*प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
*प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
*प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
*प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
*नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम , नीतियां और धाराएं।
*नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम नीतियां और धाराएं।


कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, [[ गहराई में रक्षा (कंप्यूटिंग) |गहराई में रक्षा (कंप्यूटिंग)]] और सूचना सुरक्षा देखें
कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, [[ गहराई में रक्षा (कंप्यूटिंग) |गहराई में रक्षा (कंप्यूटिंग)]] और सूचना सुरक्षा देखें
Line 46: Line 46:
#एसी अभिगम नियंत्रण।
#एसी अभिगम नियंत्रण।
#एटी जागरूकता और प्रशिक्षण।
#एटी जागरूकता और प्रशिक्षण।
#एयू लेखापरीक्षा और जवाबदेही।
#एयू लेखापरीक्षा और उत्तरदाई ।
#सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
#सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
#सीएम विन्यास प्रबंधन।
#सीएम विन्यास प्रबंधन।
Line 70: Line 70:
लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है।
लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है।


* 800-53 के संशोधन 3 से प्रारंभ करते हुए, कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई। ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं, किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
* 800-53 के संशोधन 3 से प्रारंभ करते हुए कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
* 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी।
* 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी।
* 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।
* 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।
Line 76: Line 76:
=== वाणिज्यिक नियंत्रण समूह ===
=== वाणिज्यिक नियंत्रण समूह ===


==COBIT5====
==COBIT5==
आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।<ref>{{Cite web|url=https://cobitonline.isaca.org/|title=COBIT Framework {{!}} Risk & Governance {{!}} Enterprise IT Management - ISACA|website=cobitonline.isaca.org|access-date=2020-03-18}}</ref>
आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।<ref>{{Cite web|url=https://cobitonline.isaca.org/|title=COBIT Framework {{!}} Risk & Governance {{!}} Enterprise IT Management - ISACA|website=cobitonline.isaca.org|access-date=2020-03-18}}</ref>
* उद्यम आईटी का प्रशासन
* उद्यम आईटी का प्रशासन
Line 84: Line 84:
** निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
** निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
** डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं
** डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं
** मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ
** मॉनिटर, मूल्यांकन और मूल्यांकन (एमईए) - 3 प्रक्रियाएँ


==== सीआईएस नियंत्रण (सीआईएस 18) ====
==== सीआईएस नियंत्रण (सीआईएस 18) ====
पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तौर पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है।<ref>{{Cite web |title=The 18 CIS Controls |url=https://www.cisecurity.org/controls/cis-controls-list/ |access-date=2022-11-08 |website=CIS |language=en}}</ref> सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।
पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तरह पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है।<ref>{{Cite web |title=The 18 CIS Controls |url=https://www.cisecurity.org/controls/cis-controls-list/ |access-date=2022-11-08 |website=CIS |language=en}}</ref> सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।


* सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण
* सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण
Line 107: Line 107:
* सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
* सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
* सीआईएस नियंत्रण 18: प्रवेश परीक्षण
* सीआईएस नियंत्रण 18: प्रवेश परीक्षण




Line 141: Line 142:
*एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।<ref>{{Cite web|url=https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx|title=सुरक्षा भंग अधिसूचना कानून|website=www.ncsl.org|access-date=2020-03-18}}</ref>
*एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।<ref>{{Cite web|url=https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx|title=सुरक्षा भंग अधिसूचना कानून|website=www.ncsl.org|access-date=2020-03-18}}</ref>
*टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।<ref>{{Cite web|url=https://threatsketch.com/ts-jurisdiction/|title=टीएस क्षेत्राधिकार|website=Threat Sketch|language=en-US|access-date=2020-03-18}}</ref>
*टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।<ref>{{Cite web|url=https://threatsketch.com/ts-jurisdiction/|title=टीएस क्षेत्राधिकार|website=Threat Sketch|language=en-US|access-date=2020-03-18}}</ref>
 
== बिजनेस नियंत्रण फ्रेमवर्क             ==
'''<br />अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेम'''
== बिजनेस नियंत्रण फ्रेमवर्क                                                   ==
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं:
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं:


Line 149: Line 148:
* [[आईएसएई 3402]]
* [[आईएसएई 3402]]
* [[भुगतान कार्ड उद्योग डेटा सुरक्षा मानक]]
* [[भुगतान कार्ड उद्योग डेटा सुरक्षा मानक]]
*[[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम]]
*[[स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम|स्वास्थ्य बीमा सुवाह्यता और उत्तरदाई अधिनियम]]
*कोबिट 4/5
*कोबिट 4/5
*सीआईएस टॉप-20
*सीआईएस टॉप-20
Line 178: Line 177:
*[http://fismapedia.org/index.php?title=Category:Term FISMApedia Terms]
*[http://fismapedia.org/index.php?title=Category:Term FISMApedia Terms]


[[Category: कंप्यूटर नेटवर्क सुरक्षा]] [[Category: कंप्यूटर सुरक्षा प्रक्रियाएं]] [[Category: डाटा सुरक्षा]]
[[Category:Articles with hatnote templates targeting a nonexistent page]]
 
[[Category:CS1 English-language sources (en)]]
 
 
[[Category: Machine Translated Page]]
[[Category:Created On 26/04/2023]]
[[Category:Created On 26/04/2023]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates that add a tracking category]]
[[Category:Templates that generate short descriptions]]
[[Category:Templates using TemplateData]]
[[Category:कंप्यूटर नेटवर्क सुरक्षा]]
[[Category:कंप्यूटर सुरक्षा प्रक्रियाएं]]
[[Category:डाटा सुरक्षा]]

Latest revision as of 17:12, 24 May 2023

सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या कठिन परिस्थिति को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।[1] सूचना सुरक्षा के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।

नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।

सुरक्षा नियंत्रण के प्रकार

सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:

  • घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत अतिक्रमी को बंद करके;
  • घटना के समय , गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा अतिक्रमी का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
  • घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है उदा यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।

सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:

  • भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र;
  • प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
  • प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
  • नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम नीतियां और धाराएं।

कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, गहराई में रक्षा (कंप्यूटिंग) और सूचना सुरक्षा देखें

सूचना सुरक्षा मानक और नियंत्रण फ्रेमवर्क

कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए फ्रेमवर्क या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है।

अंतर्राष्ट्रीय मानक संगठन

ISO/IEC 27001 14 समूहों में 114 नियंत्रण निर्दिष्ट करता है:

  • ए.5: सूचना सुरक्षा नीतियां
  • ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है
  • ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, समय , या बाद में प्रयुक्त होते हैं।
  • A.8: परिसंपत्ति प्रबंधन
  • ए.9: अभिगम नियंत्रण और उपयोगकर्ता पहुंच का प्रबंधन
  • ए.10: क्रिप्टोग्राफ़िक विधि
  • ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा
  • ए.12: परिचालन सुरक्षा
  • ए.13: सुरक्षित संचार और डेटा स्थानांतरण
  • ए.14: सूचना प्रणाली का सुरक्षित अधिग्रहण, विकास और समर्थन
  • क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा
  • क.16: घटना प्रबंधन
  • ए.17: व्यापार निरंतरता/आपदा पुनर्प्राप्ति (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है)
  • ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे नियम ।

यू.एस. संघीय सरकार सूचना सुरक्षा मानक

संघीय सूचना प्रसंस्करण मानक (एफ़आईपीएस) सभी अमेरिकी सरकारी एजेंसियों पर प्रयुक्त होते हैं। चूँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, राष्ट्रीय सुरक्षा प्रणालियों पर समिति के सीमा में, इन मानकों के बाहर प्रबंधित की जाती हैं।

संघीय सूचना प्रसंस्करण मानक 200 (एफ़आईपीएस 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का कठिन परिस्थिति-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची एनआईएसटी विशेष प्रकाशन SP 800-53 में पाई जाती है।

एफ़आईपीएस 200 में 17 व्यापक नियंत्रण वर्गों की पहचान की गई है:

  1. एसी अभिगम नियंत्रण।
  2. एटी जागरूकता और प्रशिक्षण।
  3. एयू लेखापरीक्षा और उत्तरदाई ।
  4. सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
  5. सीएम विन्यास प्रबंधन।
  6. सीपी आकस्मिक योजना।
  7. आइए पहचान और प्रमाणीकरण।
  8. आईआर घटना प्रतिक्रिया।
  9. एमए रखरखाव।
  10. एमपी मीडिया सुरक्षा।
  11. पीई भौतिक और पर्यावरण संरक्षण।
  12. पीएल योजना।
  13. पीएस कार्मिक सुरक्षा।
  14. आरए कठिन परिस्थिति मूल्यांकन।
  15. एसए प्रणाली और सेवा अधिग्रहण।
  16. एससी प्रणाली और संचार सुरक्षा।
  17. एसआई प्रणाली और सूचना अखंडता।

मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान

एनआईएसटी साइबर सुरक्षा फ्रेमवर्क

एक परिपक्वता आधारित फ्रेमवर्क पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं।

एनआईएसटी एसपी-800-53

लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है।

  • 800-53 के संशोधन 3 से प्रारंभ करते हुए कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
  • 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी।
  • 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।

वाणिज्यिक नियंत्रण समूह

COBIT5

आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।[2]

  • उद्यम आईटी का प्रशासन
    • मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं
  • उद्यम आईटी का प्रबंधन
    • संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं
    • निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
    • डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं
    • मॉनिटर, मूल्यांकन और मूल्यांकन (एमईए) - 3 प्रक्रियाएँ

सीआईएस नियंत्रण (सीआईएस 18)

पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तरह पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है।[3] सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।

  • सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण
  • सीआईएस नियंत्रण 2:सॉफ्टवेयर संपत्ति की सूची और नियंत्रण
  • सीआईएस नियंत्रण 3: डेटा सुरक्षा
  • सीआईएस नियंत्रण 4: उद्यम संपत्ति और सॉफ्टवेयर का सुरक्षित विन्यास
  • सीआईएस नियंत्रण 5: खाता प्रबंधन
  • सीआईएस नियंत्रण 6: अभिगम नियंत्रण प्रबंधन
  • सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन
  • सीआईएस नियंत्रण 8: ऑडिट लॉग प्रबंधन
  • सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा
  • सीआईएस नियंत्रण 10: मैलवेयर सुरक्षा
  • सीआईएस नियंत्रण 11: डेटा पुनर्प्राप्ति
  • सीआईएस नियंत्रण 12: नेटवर्क अवसंरचना प्रबंधन
  • सीआईएस नियंत्रण 13: नेटवर्क मॉनिटरिंग और रक्षा
  • सीआईएस नियंत्रण 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण
  • सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन
  • सीआईएस नियंत्रण 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा
  • सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
  • सीआईएस नियंत्रण 18: प्रवेश परीक्षण



नियंत्रणों को कार्यान्वयन समूहों (आईजी) में विभाजित किया गया है जो सीआईएस नियंत्रणों के कार्यान्वयन को प्राथमिकता देने के लिए अनुशंसित मार्गदर्शन हैं।[4]


दूरसंचार

दूरसंचार में, सुरक्षा नियंत्रणों को ओएसआई मॉडल के भाग के रूप में सुरक्षा सेवा (दूरसंचार) के रूप में परिभाषित किया गया है

  • आईटीयू-टी एक्स .800 पक्षसमर्थन।
  • आईएसओ आईएसओ 7498-2

ये प्रौद्योगिकी रूप से संरेखित हैं।[5][6] यह मॉडल व्यापक रूप से मान्यता प्राप्त है।[7] [8]


डेटा देयता (नियमबद्ध, विनियामक, अनुपालन)

सुरक्षा कठिन परिस्थिति और नियमबद्ध का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। कठिन परिस्थिति प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले नियमबद्ध पर शोध करने में सहायता करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण समूहों में, प्रासंगिक नियमबद्ध का अनुपालन वास्तविक कठिन परिस्थिति न्यूनीकरणकर्ता हैं।

  • पर्किन्स कोइ सुरक्षा ब्रीच अधिसूचना चार्ट: लेखों का एक समूह (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच अधिसूचना आवश्यकताओं को परिभाषित करता है।[9]
  • एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।[10]
  • टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।[11]

बिजनेस नियंत्रण फ्रेमवर्क

आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं:

यह भी देखें

संदर्भ

  1. "What are Security Controls?". www.ibm.com (in English). Retrieved 2020-10-31.
  2. "COBIT Framework | Risk & Governance | Enterprise IT Management - ISACA". cobitonline.isaca.org. Retrieved 2020-03-18.
  3. "The 18 CIS Controls". CIS (in English). Retrieved 2022-11-08.
  4. "सीआईएस क्रिटिकल सिक्योरिटी कंट्रोल्स इम्प्लीमेंटेशन ग्रुप्स". CIS (in English). Retrieved 2022-11-08.
  5. X.800 : Security architecture for Open Systems Interconnection for CCITT applications
  6. ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
  7. William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
  8. Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
  9. "सुरक्षा उल्लंघन अधिसूचना चार्ट". Perkins Coie (in English). Retrieved 2020-03-18.
  10. "सुरक्षा भंग अधिसूचना कानून". www.ncsl.org. Retrieved 2020-03-18.
  11. "टीएस क्षेत्राधिकार". Threat Sketch (in English). Retrieved 2020-03-18.


बाहरी संबंध