सुरक्षा नियंत्रण
 | This article may be confusing or unclear to readers. (January 2012) (Learn how and when to remove this template message) |
सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर सिस्टम, या अन्य संपत्तियों से बचने, पता लगाने, प्रतिकार करने या जोखिम को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं।[1] सूचना सुरक्षा के क्षेत्र में, ऐसे नियंत्रण CIA Triad|गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।
नियंत्रण की प्रणालियों को ढांचे या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।
सुरक्षा नियंत्रण के प्रकार
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
- घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके;
- घटना के दौरान, गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा। घुसपैठिए का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
- घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी नुकसान की सीमा को सीमित करना है, उदा। यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।
सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
- भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र;
- प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
- तकनीकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
- कानूनी और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता कानून, नीतियां और धाराएं।
कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, गहराई में रक्षा (कंप्यूटिंग) और सूचना सुरक्षा देखें
सूचना सुरक्षा मानक और नियंत्रण ढांचे
कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए ढांचे या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है।
अंतर्राष्ट्रीय मानक संगठन
ISO/IEC 27001 14 समूहों में 114 नियंत्रण निर्दिष्ट करता है:
- ए.5: सूचना सुरक्षा नीतियां
- ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है
- ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, दौरान, या बाद में लागू होते हैं।
- ए.8: एसेट मैनेजमेंट
- ए.9: एक्सेस कंट्रोल और यूजर एक्सेस को मैनेज करना
- ए.10: क्रिप्टोग्राफ़िक तकनीक
- ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा
- ए.12: परिचालन सुरक्षा
- ए.13: सुरक्षित संचार और डेटा स्थानांतरण
- ए.14: सूचना प्रणाली का सुरक्षित अधिग्रहण, विकास और समर्थन
- क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा
- क.16: घटना प्रबंधन
- ए.17: व्यापार निरंतरता/आपदा रिकवरी (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है)
- ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे कानून।
यू.एस. संघीय सरकार सूचना सुरक्षा मानक
संघीय सूचना प्रसंस्करण मानक | संघीय सूचना प्रसंस्करण मानक (FIPS) सभी अमेरिकी सरकारी एजेंसियों पर लागू होते हैं। हालाँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, राष्ट्रीय सुरक्षा प्रणालियों पर समिति के दायरे में, इन मानकों के बाहर प्रबंधित की जाती हैं।
संघीय सूचना प्रसंस्करण मानक 200 (FIPS 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का जोखिम-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची एनआईएसटी विशेष प्रकाशन SP 800-53 में पाई जाती है।
FIPS 200 में 17 व्यापक नियंत्रण परिवारों की पहचान की गई है:
- एसी एक्सेस कंट्रोल।
- AT जागरूकता और प्रशिक्षण।
- AU ऑडिट और जवाबदेही।
- CA सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
- CM कॉन्फ़िगरेशन प्रबंधन।
- सीपी आकस्मिक योजना।
- IA पहचान और प्रमाणीकरण।
- IR घटना प्रतिक्रिया।
- एमए रखरखाव।
- एमपी मीडिया सुरक्षा।
- PE भौतिक और पर्यावरण संरक्षण।
- पीएल योजना।
- पीएस कार्मिक सुरक्षा।
- RA जोखिम मूल्यांकन।
- एसए प्रणाली और सेवा अधिग्रहण।
- SC सिस्टम और संचार सुरक्षा।
- एसआई प्रणाली और सूचना अखंडता।
मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
एनआईएसटी साइबर सुरक्षा ढांचा
एक परिपक्वता आधारित ढांचा पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं।
एनआईएसटी एसपी-800-53
लगभग एक हजार तकनीकी नियंत्रणों का डेटाबेस परिवारों और क्रॉस संदर्भों में बांटा गया है।
- 800-53 के संशोधन 3 से शुरू करते हुए, कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई। ये नियंत्रण सिस्टम नियंत्रणों से स्वतंत्र हैं, लेकिन प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
- 800-53 के संशोधन 4 से शुरू करते हुए, संघीय कानून की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ परिवारों की पहचान की गई थी।
- 800-53 के संशोधन 5 से शुरू होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि NIST डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।
वाणिज्यिक नियंत्रण सेट
COBIT5==
ISACA द्वारा प्रकाशित एक मालिकाना नियंत्रण सेट।[2]
- उद्यम आईटी का शासन
- मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं
- उद्यम आईटी का प्रबंधन
- संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं
- निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
- डिलीवर, सर्विस और सपोर्ट (डीएसएस) - 6 प्रक्रियाएं
- मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ
सीआईएस नियंत्रण (सीआईएस 18)
पहले SANS क्रिटिकल सिक्योरिटी कंट्रोल्स के रूप में जाना जाता था, जिसे अब आधिकारिक तौर पर CIS क्रिटिकल सिक्योरिटी कंट्रोल्स (COS कंट्रोल्स) कहा जाता है।[3] CIS नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।
- CIS कंट्रोल 1: एंटरप्राइज एसेट्स की इन्वेंटरी और कंट्रोल
- सीआईएस कंट्रोल 2: सॉफ्टवेयर एसेट्स की इन्वेंटरी और कंट्रोल
- सीआईएस कंट्रोल 3: डेटा सुरक्षा
- सीआईएस कंट्रोल 4: एंटरप्राइज एसेट्स और सॉफ्टवेयर का सुरक्षित कॉन्फ़िगरेशन
- सीआईएस नियंत्रण 5: खाता प्रबंधन
- सीआईएस कंट्रोल 6: एक्सेस कंट्रोल मैनेजमेंट
- सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन
- सीआईएस कंट्रोल 8: ऑडिट लॉग मैनेजमेंट
- सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा
- सीआईएस कंट्रोल 10: मालवेयर डिफेंस
- सीआईएस कंट्रोल 11: डेटा रिकवरी
- सीआईएस कंट्रोल 12: नेटवर्क इंफ्रास्ट्रक्चर मैनेजमेंट
- सीआईएस कंट्रोल 13: नेटवर्क मॉनिटरिंग एंड डिफेंस
- सीआईएस कंट्रोल 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण
- सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन
- सीआईएस कंट्रोल 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा
- सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
- सीआईएस कंट्रोल 18: पेनेट्रेशन टेस्टिंग
नियंत्रणों को कार्यान्वयन समूहों (आईजी) में विभाजित किया गया है जो सीआईएस नियंत्रणों के कार्यान्वयन को प्राथमिकता देने के लिए अनुशंसित मार्गदर्शन हैं।[4]
दूरसंचार
दूरसंचार में, सुरक्षा नियंत्रणों को OSI मॉडल के भाग के रूप में सुरक्षा सेवा (दूरसंचार) के रूप में परिभाषित किया गया है
- आईटीयू-टी X.800 सिफारिश।
- आईएसओ आईएसओ 7498-2
ये तकनीकी रूप से संरेखित हैं।[5][6] यह मॉडल व्यापक रूप से मान्यता प्राप्त है।[7] [8]
डेटा देयता (कानूनी, विनियामक, अनुपालन)
सुरक्षा जोखिम और कानूनों का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। जोखिम प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले कानूनों पर शोध करने में मदद करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण सेटों में, प्रासंगिक कानूनों का अनुपालन वास्तविक जोखिम न्यूनीकरणकर्ता हैं।
- पर्किन्स कोइ सिक्योरिटी ब्रीच नोटिफिकेशन चार्ट: लेखों का एक सेट (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच नोटिफिकेशन आवश्यकताओं को परिभाषित करता है।[9]
- एनसीएसएल सुरक्षा उल्लंघन अधिसूचना कानून: अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।[10]
- टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय कानूनों के कवरेज के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। ts क्षेत्राधिकार NIST साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।[11]
बिजनेस कंट्रोल फ्रेमवर्क
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले ढांचे और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न शामिल हैं:
- एसएसएई 16
- आईएसएई 3402
- भुगतान कार्ड उद्योग डेटा सुरक्षा मानक
- स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम
- कोबिट 4/5
- सीआईएस टॉप-20
- एनआईएसटी साइबर सुरक्षा फ्रेमवर्क
यह भी देखें
- अभिगम नियंत्रण
- उड़ान सुरक्षा
- प्रतिवाद (कंप्यूटर)
- पर्यावरण डिजाइन
- सूचना सुरक्षा
- ओ एस आई मॉडल
- शारीरिक सुरक्षा
- जोखिम
- सुरक्षा
- सुरक्षा इंजीनियरिंग
- सुरक्षा प्रबंधन
- सुरक्षा सेवा (दूरसंचार)
संदर्भ
- ↑ "What are Security Controls?". www.ibm.com (in English). Retrieved 2020-10-31.
- ↑ "COBIT Framework | Risk & Governance | Enterprise IT Management - ISACA". cobitonline.isaca.org. Retrieved 2020-03-18.
- ↑ "The 18 CIS Controls". CIS (in English). Retrieved 2022-11-08.
- ↑ "सीआईएस क्रिटिकल सिक्योरिटी कंट्रोल्स इम्प्लीमेंटेशन ग्रुप्स". CIS (in English). Retrieved 2022-11-08.
- ↑ X.800 : Security architecture for Open Systems Interconnection for CCITT applications
- ↑ ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
- ↑ William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
- ↑ Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
- ↑ "सुरक्षा उल्लंघन अधिसूचना चार्ट". Perkins Coie (in English). Retrieved 2020-03-18.
- ↑ "सुरक्षा भंग अधिसूचना कानून". www.ncsl.org. Retrieved 2020-03-18.
- ↑ "टीएस क्षेत्राधिकार". Threat Sketch (in English). Retrieved 2020-03-18.
