सुरक्षा नियंत्रण

सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर सिस्टम, या अन्य संपत्तियों से बचने, पता लगाने, प्रतिकार करने या जोखिम को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं। सूचना सुरक्षा के क्षेत्र में, ऐसे नियंत्रण CIA Triad|गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।

नियंत्रण की प्रणालियों को ढांचे या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।

सुरक्षा नियंत्रण के प्रकार
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
 * घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत घुसपैठियों को बंद करके;
 * घटना के दौरान, गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा। घुसपैठिए का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
 * घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी नुकसान की सीमा को सीमित करना है, उदा। यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।

सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
 * भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र;
 * प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
 * तकनीकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
 * कानूनी और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता कानून, नीतियां और धाराएं।

कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, गहराई में रक्षा (कंप्यूटिंग)  और सूचना सुरक्षा देखें

सूचना सुरक्षा मानक और नियंत्रण ढांचे
कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए ढांचे या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है।

अंतर्राष्ट्रीय मानक संगठन
ISO/IEC 27001 14 समूहों में 114 नियंत्रण निर्दिष्ट करता है:
 * ए.5: सूचना सुरक्षा नीतियां
 * ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है
 * ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, दौरान, या बाद में लागू होते हैं।
 * ए.8: एसेट मैनेजमेंट
 * ए.9: एक्सेस कंट्रोल और यूजर एक्सेस को मैनेज करना
 * ए.10: क्रिप्टोग्राफ़िक तकनीक
 * ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा
 * ए.12: परिचालन सुरक्षा
 * ए.13: सुरक्षित संचार और डेटा स्थानांतरण
 * ए.14: सूचना प्रणाली का सुरक्षित अधिग्रहण, विकास और समर्थन
 * क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा
 * क.16: घटना प्रबंधन
 * ए.17: व्यापार निरंतरता/आपदा रिकवरी (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है)
 * ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे कानून।

यू.एस. संघीय सरकार सूचना सुरक्षा मानक
संघीय सूचना प्रसंस्करण मानक | संघीय सूचना प्रसंस्करण मानक (FIPS) सभी अमेरिकी सरकारी एजेंसियों पर लागू होते हैं। हालाँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, राष्ट्रीय सुरक्षा प्रणालियों पर समिति के दायरे में, इन मानकों के बाहर प्रबंधित की जाती हैं।

संघीय सूचना प्रसंस्करण मानक 200 (FIPS 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का जोखिम-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची एनआईएसटी विशेष प्रकाशन SP 800-53 में पाई जाती है।

FIPS 200 में 17 व्यापक नियंत्रण परिवारों की पहचान की गई है:


 * 1) एसी एक्सेस कंट्रोल।
 * 2) AT जागरूकता और प्रशिक्षण।
 * 3) AU ऑडिट और जवाबदेही।
 * 4) CA सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
 * 5) CM कॉन्फ़िगरेशन प्रबंधन।
 * 6) सीपी आकस्मिक योजना।
 * 7) IA पहचान और प्रमाणीकरण।
 * 8) IR घटना प्रतिक्रिया।
 * 9) एमए रखरखाव।
 * 10) एमपी मीडिया सुरक्षा।
 * 11) PE भौतिक और पर्यावरण संरक्षण।
 * 12) पीएल योजना।
 * 13) पीएस कार्मिक सुरक्षा।
 * 14) RA जोखिम मूल्यांकन।
 * 15) एसए प्रणाली और सेवा अधिग्रहण।
 * 16) SC सिस्टम और संचार सुरक्षा।
 * 17) एसआई प्रणाली और सूचना अखंडता।

मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान

एनआईएसटी साइबर सुरक्षा ढांचा
एक परिपक्वता आधारित ढांचा पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं।

एनआईएसटी एसपी-800-53
लगभग एक हजार तकनीकी नियंत्रणों का डेटाबेस परिवारों और क्रॉस संदर्भों में बांटा गया है।


 * 800-53 के संशोधन 3 से शुरू करते हुए, कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई। ये नियंत्रण सिस्टम नियंत्रणों से स्वतंत्र हैं, लेकिन प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
 * 800-53 के संशोधन 4 से शुरू करते हुए, संघीय कानून की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ परिवारों की पहचान की गई थी।
 * 800-53 के संशोधन 5 से शुरू होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि NIST डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।

वाणिज्यिक नियंत्रण सेट
=COBIT5=== ISACA द्वारा प्रकाशित एक मालिकाना नियंत्रण सेट।
 * उद्यम आईटी का शासन
 * मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं
 * उद्यम आईटी का प्रबंधन
 * संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं
 * निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
 * डिलीवर, सर्विस और सपोर्ट (डीएसएस) - 6 प्रक्रियाएं
 * मॉनिटर, मूल्यांकन और मूल्यांकन (MEA) - 3 प्रक्रियाएँ

सीआईएस नियंत्रण (सीआईएस 18)
पहले SANS क्रिटिकल सिक्योरिटी कंट्रोल्स के रूप में जाना जाता था, जिसे अब आधिकारिक तौर पर CIS क्रिटिकल सिक्योरिटी कंट्रोल्स (COS कंट्रोल्स) कहा जाता है। CIS नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।


 * CIS कंट्रोल 1: एंटरप्राइज एसेट्स की इन्वेंटरी और कंट्रोल
 * सीआईएस कंट्रोल 2: सॉफ्टवेयर एसेट्स की इन्वेंटरी और कंट्रोल
 * सीआईएस कंट्रोल 3: डेटा सुरक्षा
 * सीआईएस कंट्रोल 4: एंटरप्राइज एसेट्स और सॉफ्टवेयर का सुरक्षित कॉन्फ़िगरेशन
 * सीआईएस नियंत्रण 5: खाता प्रबंधन
 * सीआईएस कंट्रोल 6: एक्सेस कंट्रोल मैनेजमेंट
 * सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन
 * सीआईएस कंट्रोल 8: ऑडिट लॉग मैनेजमेंट
 * सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा
 * सीआईएस कंट्रोल 10: मालवेयर डिफेंस
 * सीआईएस कंट्रोल 11: डेटा रिकवरी
 * सीआईएस कंट्रोल 12: नेटवर्क इंफ्रास्ट्रक्चर मैनेजमेंट
 * सीआईएस कंट्रोल 13: नेटवर्क मॉनिटरिंग एंड डिफेंस
 * सीआईएस कंट्रोल 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण
 * सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन
 * सीआईएस कंट्रोल 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा
 * सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
 * सीआईएस कंट्रोल 18: पेनेट्रेशन टेस्टिंग

नियंत्रणों को कार्यान्वयन समूहों (आईजी) में विभाजित किया गया है जो सीआईएस नियंत्रणों के कार्यान्वयन को प्राथमिकता देने के लिए अनुशंसित मार्गदर्शन हैं।

दूरसंचार
दूरसंचार में, सुरक्षा नियंत्रणों को OSI मॉडल के भाग के रूप में सुरक्षा सेवा (दूरसंचार) के रूप में परिभाषित किया गया है ये तकनीकी रूप से संरेखित हैं। यह मॉडल व्यापक रूप से मान्यता प्राप्त है।
 * आईटीयू-टी X.800 सिफारिश।
 * आईएसओ आईएसओ 7498-2

डेटा देयता (कानूनी, विनियामक, अनुपालन)
सुरक्षा जोखिम और कानूनों का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। जोखिम प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले कानूनों पर शोध करने में मदद करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण सेटों में, प्रासंगिक कानूनों का अनुपालन वास्तविक जोखिम न्यूनीकरणकर्ता हैं।


 * पर्किन्स कोइ सिक्योरिटी ब्रीच नोटिफिकेशन चार्ट: लेखों का एक सेट (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच नोटिफिकेशन आवश्यकताओं को परिभाषित करता है।
 * एनसीएसएल सुरक्षा उल्लंघन अधिसूचना कानून: अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।
 * टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय कानूनों के कवरेज के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। ts क्षेत्राधिकार NIST साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।

बिजनेस कंट्रोल फ्रेमवर्क
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले ढांचे और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न शामिल हैं:


 * एसएसएई 16
 * आईएसएई 3402
 * भुगतान कार्ड उद्योग डेटा सुरक्षा मानक
 * स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम
 * कोबिट 4/5
 * सीआईएस टॉप-20
 * एनआईएसटी साइबर सुरक्षा फ्रेमवर्क

यह भी देखें

 * अभिगम नियंत्रण
 * उड़ान सुरक्षा
 * प्रतिवाद (कंप्यूटर)
 * पर्यावरण डिजाइन
 * सूचना सुरक्षा
 * ओ एस आई मॉडल
 * शारीरिक सुरक्षा
 * जोखिम
 * सुरक्षा
 * सुरक्षा इंजीनियरिंग
 * सुरक्षा प्रबंधन
 * सुरक्षा सेवा (दूरसंचार)

बाहरी संबंध

 * NIST SP 800-53 Revision 4
 * DoD Instruction 8500.2
 * FISMApedia Terms