सुरक्षा नियंत्रण: Difference between revisions
From Vigyanwiki
(Created page with "{{Short description|Protection measures for a system}} {{confusing|date=January 2012}} सुरक्षा नियंत्रण भौतिक संपत्ति,...") |
No edit summary |
||
| Line 1: | Line 1: | ||
{{Short description|Protection measures for a system}} | {{Short description|Protection measures for a system}}सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली , या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या [[जोखिम|कठिन परिस्थिति]] को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।<ref>{{Cite web|title=What are Security Controls?|url=https://www.ibm.com/cloud/learn/security-controls|access-date=2020-10-31|website=www.ibm.com|language=en-us}}</ref> [[सूचना सुरक्षा]] के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं। | ||
{{ | |||
नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है। | |||
नियंत्रण की प्रणालियों को | |||
== [[सुरक्षा]] नियंत्रण के प्रकार == | == [[सुरक्षा]] नियंत्रण के प्रकार == | ||
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं: | सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं: | ||
*घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके; | *घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके; | ||
*घटना के | *घटना के समय , गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा। घुसपैठिए का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके; | ||
*घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी | *घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है, उदा। यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर। | ||
सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए: | सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए: | ||
*भौतिक नियंत्रण | *भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र; | ||
*प्रक्रियात्मक या प्रशासनिक नियंत्रण | *प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण; | ||
* | *प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल; | ||
* | *नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम , नीतियां और धाराएं। | ||
कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, [[ गहराई में रक्षा (कंप्यूटिंग) | गहराई में रक्षा (कंप्यूटिंग)]] और सूचना सुरक्षा देखें | |||
== सूचना सुरक्षा मानक और नियंत्रण ढांचे == | == सूचना सुरक्षा मानक और नियंत्रण ढांचे == | ||
कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए | कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए फ्रेमवर्क या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है। | ||
===अंतर्राष्ट्रीय मानक संगठन=== | ===अंतर्राष्ट्रीय मानक संगठन=== | ||
| Line 27: | Line 24: | ||
*ए.5: सूचना सुरक्षा नीतियां | *ए.5: सूचना सुरक्षा नीतियां | ||
*ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है | *ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है | ||
*ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, | *ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, समय , या बाद में प्रयुक्त होते हैं। | ||
* | *A.8: परिसंपत्ति प्रबंधन | ||
*ए.9: | *ए.9: अभिगम नियंत्रण और उपयोगकर्ता पहुंच का प्रबंधन | ||
*ए.10: क्रिप्टोग्राफ़िक | *ए.10: क्रिप्टोग्राफ़िक विधि | ||
*ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा | *ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा | ||
*ए.12: परिचालन सुरक्षा | *ए.12: परिचालन सुरक्षा | ||
| Line 37: | Line 34: | ||
*क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा | *क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा | ||
*क.16: घटना प्रबंधन | *क.16: घटना प्रबंधन | ||
*ए.17: व्यापार निरंतरता/आपदा | *ए.17: व्यापार निरंतरता/आपदा पुनर्प्राप्ति (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है) | ||
*ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे | *ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे नियम । | ||
=== यू.एस. संघीय सरकार सूचना सुरक्षा मानक === | === यू.एस. संघीय सरकार सूचना सुरक्षा मानक === | ||
[[संघीय सूचना प्रसंस्करण मानक]] | [[संघीय सूचना प्रसंस्करण मानक]] '''संघीय सूचना प्रसंस्करण मानक''' (एफ़आईपीएस) सभी अमेरिकी सरकारी एजेंसियों पर प्रयुक्त होते हैं। चूँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, [[राष्ट्रीय सुरक्षा प्रणालियों पर समिति]] के सीमा में, इन मानकों के बाहर प्रबंधित की जाती हैं। | ||
संघीय सूचना प्रसंस्करण मानक 200 ( | संघीय सूचना प्रसंस्करण मानक 200 (एफ़आईपीएस 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का कठिन परिस्थिति-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची [[एनआईएसटी]] विशेष प्रकाशन [http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf SP 800-53] में पाई जाती है। | ||
एफ़आईपीएस 200 में 17 व्यापक नियंत्रण वर्गों की पहचान की गई है: | |||
#एसी | #एसी अभिगम नियंत्रण। | ||
# | #एटी जागरूकता और प्रशिक्षण। | ||
# | #एयू लेखापरीक्षा और जवाबदेही। | ||
# | #सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम) | ||
# | #सीएम विन्यास प्रबंधन। | ||
#सीपी आकस्मिक योजना। | #सीपी आकस्मिक योजना। | ||
# | #आइए पहचान और प्रमाणीकरण। | ||
# | #आईआर घटना प्रतिक्रिया। | ||
#एमए रखरखाव। | #एमए रखरखाव। | ||
#एमपी मीडिया सुरक्षा। | #एमपी मीडिया सुरक्षा। | ||
# | #पीई भौतिक और पर्यावरण संरक्षण। | ||
#पीएल योजना। | #पीएल योजना। | ||
#पीएस कार्मिक सुरक्षा। | #पीएस कार्मिक सुरक्षा। | ||
# | #आरए कठिन परिस्थिति मूल्यांकन। | ||
#एसए प्रणाली और सेवा अधिग्रहण। | #एसए प्रणाली और सेवा अधिग्रहण। | ||
# | #एससी प्रणाली और संचार सुरक्षा। | ||
#एसआई प्रणाली और सूचना अखंडता। | #एसआई प्रणाली और सूचना अखंडता। | ||
मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान | मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान | ||
==== एनआईएसटी साइबर सुरक्षा | ==== एनआईएसटी साइबर सुरक्षा फ्रेमवर्क ==== | ||
एक परिपक्वता आधारित | एक परिपक्वता आधारित फ्रेमवर्क पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं। | ||
==== एनआईएसटी एसपी-800-53 ==== | ==== एनआईएसटी एसपी-800-53 ==== | ||
लगभग एक हजार | लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है। | ||
* 800-53 के संशोधन 3 से | * 800-53 के संशोधन 3 से प्रारंभ करते हुए, कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई। ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं, किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं। | ||
* 800-53 के संशोधन 4 से | * 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी। | ||
* 800-53 के संशोधन 5 से | * 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है। | ||
=== वाणिज्यिक नियंत्रण | === वाणिज्यिक नियंत्रण समूह === | ||
=COBIT5=== | ==COBIT5==== | ||
आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।<ref>{{Cite web|url=https://cobitonline.isaca.org/|title=COBIT Framework {{!}} Risk & Governance {{!}} Enterprise IT Management - ISACA|website=cobitonline.isaca.org|access-date=2020-03-18}}</ref> | |||
* उद्यम आईटी का | * उद्यम आईटी का प्रशासन | ||
** मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं | ** मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं | ||
* उद्यम आईटी का प्रबंधन | * उद्यम आईटी का प्रबंधन | ||
** संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं | ** संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं | ||
** निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं | ** निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं | ||
** डिलीवर, | ** डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं | ||
** मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ | ** मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ | ||
==== सीआईएस नियंत्रण (सीआईएस 18) ==== | ==== सीआईएस नियंत्रण (सीआईएस 18) ==== | ||
पहले | पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तौर पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है।<ref>{{Cite web |title=The 18 CIS Controls |url=https://www.cisecurity.org/controls/cis-controls-list/ |access-date=2022-11-08 |website=CIS |language=en}}</ref> सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है। | ||
* | * सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण | ||
* सीआईएस | * सीआईएस नियंत्रण 2:सॉफ्टवेयर संपत्ति की सूची और नियंत्रण | ||
* सीआईएस | * सीआईएस नियंत्रण 3: डेटा सुरक्षा | ||
* सीआईएस | * सीआईएस नियंत्रण 4: उद्यम संपत्ति और सॉफ्टवेयर का सुरक्षित विन्यास | ||
* सीआईएस नियंत्रण 5: खाता प्रबंधन | * सीआईएस नियंत्रण 5: खाता प्रबंधन | ||
* सीआईएस | * सीआईएस नियंत्रण 6: अभिगम नियंत्रण प्रबंधन | ||
* सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन | * सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन | ||
* सीआईएस | * सीआईएस नियंत्रण 8: ऑडिट लॉग प्रबंधन | ||
* सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा | * सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा | ||
* सीआईएस | * सीआईएस नियंत्रण 10: मैलवेयर सुरक्षा | ||
* सीआईएस | * सीआईएस नियंत्रण 11: डेटा पुनर्प्राप्ति | ||
* सीआईएस | * सीआईएस नियंत्रण 12: नेटवर्क अवसंरचना प्रबंधन | ||
* सीआईएस | * सीआईएस नियंत्रण 13: नेटवर्क मॉनिटरिंग और रक्षा | ||
* सीआईएस | * सीआईएस नियंत्रण 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण | ||
* सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन | * सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन | ||
* सीआईएस | * सीआईएस नियंत्रण 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा | ||
* सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन | * सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन | ||
* सीआईएस | * सीआईएस नियंत्रण 18: प्रवेश परीक्षण | ||
| Line 116: | Line 115: | ||
== दूरसंचार == | == दूरसंचार == | ||
{{main| | {{main|सुरक्षा सेवा (दूरसंचार)}} | ||
दूरसंचार में, सुरक्षा नियंत्रणों को | |||
* आईटीयू-टी | दूरसंचार में, सुरक्षा नियंत्रणों को ओएसआई मॉडल के भाग के रूप में [[सुरक्षा सेवा (दूरसंचार)]] के रूप में परिभाषित किया गया है | ||
* आईटीयू-टी एक्स .800 पक्षसमर्थन। | |||
* आईएसओ आईएसओ 7498-2 | * आईएसओ आईएसओ 7498-2 | ||
ये | ये प्रौद्योगिकी रूप से संरेखित हैं।<ref name=x800>[http://www.itu.int/rec/T-REC-X.800-199103-I/e X.800 : Security architecture for Open Systems Interconnection for CCITT applications]</ref><ref>[http://www.iso.org/iso/search.htm?qt=ISO+7498-2+&searchSubmit=Search&sort=rel&type=simple&published=on ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)]</ref> यह मॉडल व्यापक रूप से मान्यता प्राप्त है।<ref name=Stal> | ||
William Stallings | William Stallings | ||
Crittografia e sicurezza delle reti | Crittografia e sicurezza delle reti | ||
| Line 135: | Line 135: | ||
== डेटा देयता ( | == डेटा देयता (नियमबद्ध, विनियामक, अनुपालन) == | ||
सुरक्षा | सुरक्षा कठिन परिस्थिति और नियमबद्ध का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। कठिन परिस्थिति प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले नियमबद्ध पर शोध करने में सहायता करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण समूहों में, प्रासंगिक नियमबद्ध का अनुपालन वास्तविक कठिन परिस्थिति न्यूनीकरणकर्ता हैं। | ||
* पर्किन्स कोइ | * पर्किन्स कोइ सुरक्षा ब्रीच अधिसूचना चार्ट: लेखों का एक समूह (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच अधिसूचना आवश्यकताओं को परिभाषित करता है।<ref>{{Cite web|url=https://www.perkinscoie.com/en/news-insights/security-breach-notification-chart.html|title=सुरक्षा उल्लंघन अधिसूचना चार्ट|website=Perkins Coie|language=en|access-date=2020-03-18}}</ref> | ||
*एनसीएसएल सुरक्षा उल्लंघन अधिसूचना | *एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।<ref>{{Cite web|url=https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx|title=सुरक्षा भंग अधिसूचना कानून|website=www.ncsl.org|access-date=2020-03-18}}</ref> | ||
*टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय | *टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।<ref>{{Cite web|url=https://threatsketch.com/ts-jurisdiction/|title=टीएस क्षेत्राधिकार|website=Threat Sketch|language=en-US|access-date=2020-03-18}}</ref> | ||
== बिजनेस | == बिजनेस नियंत्रण फ्रेमवर्क == | ||
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले | आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं: | ||
* [[एसएसएई 16]] | * [[एसएसएई 16]] | ||
| Line 163: | Line 163: | ||
* ओ एस आई मॉडल | * ओ एस आई मॉडल | ||
* [[शारीरिक सुरक्षा]] | * [[शारीरिक सुरक्षा]] | ||
* | * कठिन परिस्थिति | ||
* सुरक्षा | * सुरक्षा | ||
* [[सुरक्षा इंजीनियरिंग]] | * [[सुरक्षा इंजीनियरिंग]] | ||
| Line 174: | Line 174: | ||
== बाहरी संबंध == | == बाहरी संबंध == | ||
*[http://csrc.nist.gov/publications/nistpubs/800-53-rev4/sp800_53_r4_final_word_errata_01_22_2015.docx | *[http://csrc.nist.gov/publications/nistpubs/800-53-rev4/sp800_53_r4_final_word_errata_01_22_2015.docx एनआईएसटी SP 800-53 Revision 4] | ||
*[https://web.archive.org/web/20091122200729/http://www.dtic.mil/whs/directives/corres/pdf/850002p.pdf DoD Instruction 8500.2] | *[https://web.archive.org/web/20091122200729/http://www.dtic.mil/whs/directives/corres/pdf/850002p.pdf DoD Instruction 8500.2] | ||
*[http://fismapedia.org/index.php?title=Category:Term FISMApedia Terms] | *[http://fismapedia.org/index.php?title=Category:Term FISMApedia Terms] | ||
Revision as of 15:28, 3 May 2023
सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली , या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या कठिन परिस्थिति को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।[1] सूचना सुरक्षा के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।
नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।
सुरक्षा नियंत्रण के प्रकार
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
- घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके;
- घटना के समय , गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा। घुसपैठिए का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
- घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है, उदा। यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।
सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
- भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र;
- प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
- प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
- नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम , नीतियां और धाराएं।
कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, गहराई में रक्षा (कंप्यूटिंग) और सूचना सुरक्षा देखें
सूचना सुरक्षा मानक और नियंत्रण ढांचे
कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए फ्रेमवर्क या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है।
अंतर्राष्ट्रीय मानक संगठन
ISO/IEC 27001 14 समूहों में 114 नियंत्रण निर्दिष्ट करता है:
- ए.5: सूचना सुरक्षा नीतियां
- ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है
- ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, समय , या बाद में प्रयुक्त होते हैं।
- A.8: परिसंपत्ति प्रबंधन
- ए.9: अभिगम नियंत्रण और उपयोगकर्ता पहुंच का प्रबंधन
- ए.10: क्रिप्टोग्राफ़िक विधि
- ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा
- ए.12: परिचालन सुरक्षा
- ए.13: सुरक्षित संचार और डेटा स्थानांतरण
- ए.14: सूचना प्रणाली का सुरक्षित अधिग्रहण, विकास और समर्थन
- क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा
- क.16: घटना प्रबंधन
- ए.17: व्यापार निरंतरता/आपदा पुनर्प्राप्ति (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है)
- ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे नियम ।
यू.एस. संघीय सरकार सूचना सुरक्षा मानक
संघीय सूचना प्रसंस्करण मानक संघीय सूचना प्रसंस्करण मानक (एफ़आईपीएस) सभी अमेरिकी सरकारी एजेंसियों पर प्रयुक्त होते हैं। चूँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, राष्ट्रीय सुरक्षा प्रणालियों पर समिति के सीमा में, इन मानकों के बाहर प्रबंधित की जाती हैं।
संघीय सूचना प्रसंस्करण मानक 200 (एफ़आईपीएस 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का कठिन परिस्थिति-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची एनआईएसटी विशेष प्रकाशन SP 800-53 में पाई जाती है।
एफ़आईपीएस 200 में 17 व्यापक नियंत्रण वर्गों की पहचान की गई है:
- एसी अभिगम नियंत्रण।
- एटी जागरूकता और प्रशिक्षण।
- एयू लेखापरीक्षा और जवाबदेही।
- सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
- सीएम विन्यास प्रबंधन।
- सीपी आकस्मिक योजना।
- आइए पहचान और प्रमाणीकरण।
- आईआर घटना प्रतिक्रिया।
- एमए रखरखाव।
- एमपी मीडिया सुरक्षा।
- पीई भौतिक और पर्यावरण संरक्षण।
- पीएल योजना।
- पीएस कार्मिक सुरक्षा।
- आरए कठिन परिस्थिति मूल्यांकन।
- एसए प्रणाली और सेवा अधिग्रहण।
- एससी प्रणाली और संचार सुरक्षा।
- एसआई प्रणाली और सूचना अखंडता।
मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
एनआईएसटी साइबर सुरक्षा फ्रेमवर्क
एक परिपक्वता आधारित फ्रेमवर्क पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं।
एनआईएसटी एसपी-800-53
लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है।
- 800-53 के संशोधन 3 से प्रारंभ करते हुए, कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई। ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं, किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
- 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी।
- 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।
वाणिज्यिक नियंत्रण समूह
COBIT5==
आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।[2]
- उद्यम आईटी का प्रशासन
- मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं
- उद्यम आईटी का प्रबंधन
- संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं
- निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
- डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं
- मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ
सीआईएस नियंत्रण (सीआईएस 18)
पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तौर पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है।[3] सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।
- सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण
- सीआईएस नियंत्रण 2:सॉफ्टवेयर संपत्ति की सूची और नियंत्रण
- सीआईएस नियंत्रण 3: डेटा सुरक्षा
- सीआईएस नियंत्रण 4: उद्यम संपत्ति और सॉफ्टवेयर का सुरक्षित विन्यास
- सीआईएस नियंत्रण 5: खाता प्रबंधन
- सीआईएस नियंत्रण 6: अभिगम नियंत्रण प्रबंधन
- सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन
- सीआईएस नियंत्रण 8: ऑडिट लॉग प्रबंधन
- सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा
- सीआईएस नियंत्रण 10: मैलवेयर सुरक्षा
- सीआईएस नियंत्रण 11: डेटा पुनर्प्राप्ति
- सीआईएस नियंत्रण 12: नेटवर्क अवसंरचना प्रबंधन
- सीआईएस नियंत्रण 13: नेटवर्क मॉनिटरिंग और रक्षा
- सीआईएस नियंत्रण 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण
- सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन
- सीआईएस नियंत्रण 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा
- सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
- सीआईएस नियंत्रण 18: प्रवेश परीक्षण
नियंत्रणों को कार्यान्वयन समूहों (आईजी) में विभाजित किया गया है जो सीआईएस नियंत्रणों के कार्यान्वयन को प्राथमिकता देने के लिए अनुशंसित मार्गदर्शन हैं।[4]
दूरसंचार
दूरसंचार में, सुरक्षा नियंत्रणों को ओएसआई मॉडल के भाग के रूप में सुरक्षा सेवा (दूरसंचार) के रूप में परिभाषित किया गया है
- आईटीयू-टी एक्स .800 पक्षसमर्थन।
- आईएसओ आईएसओ 7498-2
ये प्रौद्योगिकी रूप से संरेखित हैं।[5][6] यह मॉडल व्यापक रूप से मान्यता प्राप्त है।[7] [8]
डेटा देयता (नियमबद्ध, विनियामक, अनुपालन)
सुरक्षा कठिन परिस्थिति और नियमबद्ध का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। कठिन परिस्थिति प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले नियमबद्ध पर शोध करने में सहायता करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण समूहों में, प्रासंगिक नियमबद्ध का अनुपालन वास्तविक कठिन परिस्थिति न्यूनीकरणकर्ता हैं।
- पर्किन्स कोइ सुरक्षा ब्रीच अधिसूचना चार्ट: लेखों का एक समूह (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच अधिसूचना आवश्यकताओं को परिभाषित करता है।[9]
- एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।[10]
- टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।[11]
बिजनेस नियंत्रण फ्रेमवर्क
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं:
- एसएसएई 16
- आईएसएई 3402
- भुगतान कार्ड उद्योग डेटा सुरक्षा मानक
- स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम
- कोबिट 4/5
- सीआईएस टॉप-20
- एनआईएसटी साइबर सुरक्षा फ्रेमवर्क
यह भी देखें
- अभिगम नियंत्रण
- उड़ान सुरक्षा
- प्रतिवाद (कंप्यूटर)
- पर्यावरण डिजाइन
- सूचना सुरक्षा
- ओ एस आई मॉडल
- शारीरिक सुरक्षा
- कठिन परिस्थिति
- सुरक्षा
- सुरक्षा इंजीनियरिंग
- सुरक्षा प्रबंधन
- सुरक्षा सेवा (दूरसंचार)
संदर्भ
- ↑ "What are Security Controls?". www.ibm.com (in English). Retrieved 2020-10-31.
- ↑ "COBIT Framework | Risk & Governance | Enterprise IT Management - ISACA". cobitonline.isaca.org. Retrieved 2020-03-18.
- ↑ "The 18 CIS Controls". CIS (in English). Retrieved 2022-11-08.
- ↑ "सीआईएस क्रिटिकल सिक्योरिटी कंट्रोल्स इम्प्लीमेंटेशन ग्रुप्स". CIS (in English). Retrieved 2022-11-08.
- ↑ X.800 : Security architecture for Open Systems Interconnection for CCITT applications
- ↑ ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
- ↑ William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
- ↑ Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
- ↑ "सुरक्षा उल्लंघन अधिसूचना चार्ट". Perkins Coie (in English). Retrieved 2020-03-18.
- ↑ "सुरक्षा भंग अधिसूचना कानून". www.ncsl.org. Retrieved 2020-03-18.
- ↑ "टीएस क्षेत्राधिकार". Threat Sketch (in English). Retrieved 2020-03-18.
