सुरक्षा नियंत्रण

सुरक्षा नियंत्रण भौतिक संपत्ति, सूचना, कंप्यूटर प्रणाली या अन्य संपत्तियों से बचने पता लगाने, प्रतिकार करने या कठिन परिस्थिति को कम करने के लिए सुरक्षा उपाय या प्रति उपाय (कंप्यूटर) हैं। सूचना सुरक्षा के क्षेत्र में, ऐसे नियंत्रण गोपनीयता, अखंडता और सूचना की उपलब्धता की रक्षा करते हैं।

नियंत्रण की प्रणालियों को फ्रेमवर्क या मानकों के रूप में संदर्भित किया जा सकता है। फ्रेमवर्क एक संगठन को स्थिरता के साथ विभिन्न प्रकार की संपत्तियों में सुरक्षा नियंत्रण प्रबंधित करने में सक्षम बना सकता है।

सुरक्षा नियंत्रण के प्रकार
सुरक्षा नियंत्रणों को विभिन्न मानदंडों द्वारा वर्गीकृत किया जा सकता है। उदाहरण के लिए, नियंत्रणों को कभी-कभी वर्गीकृत किया जाता है जब वे सुरक्षा भंग के सापेक्ष कार्य करते हैं:
 * घटना से पहले, निवारक नियंत्रणों का उद्देश्य किसी घटना को घटित होने से रोकना है, उदा. अनधिकृत अतिक्रमी को बंद करके;
 * घटना के समय, गुप्तचर नियंत्रण का उद्देश्य किसी प्रगति की घटना की पहचान करना और उसकी पहचान करना है उदा अतिक्रमी का अलार्म बजाकर और सुरक्षा गार्ड या पुलिस को सतर्क करके;
 * घटना के बाद, सुधारात्मक नियंत्रणों का उद्देश्य घटना से होने वाले किसी भी हानि की सीमा को सीमित करना है उदा यथासंभव दक्षता से संगठन को सामान्य कार्य स्थिति में वापस लाकर।

सुरक्षा नियंत्रणों को भी उनकी विशेषताओं के अनुसार वर्गीकृत किया जा सकता है, उदाहरण के लिए:
 * भौतिक नियंत्रण जैसे बाड़, दरवाजे, ताले और आग बुझाने के यंत्र;
 * प्रक्रियात्मक या प्रशासनिक नियंत्रण जैसे घटना प्रतिक्रिया प्रक्रियाएं, प्रबंधन निरीक्षण, सुरक्षा जागरूकता और प्रशिक्षण;
 * प्रौद्योगिकी या तार्किक नियंत्रण जैसे उपयोगकर्ता प्रमाणीकरण (लॉगिन) और तार्किक अभिगम नियंत्रण, एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल;
 * नियमबद्ध और नियामक या अनुपालन नियंत्रण जैसे गोपनीयता नियम नीतियां और धाराएं।

कंप्यूटिंग में सुरक्षा नियंत्रणों के बारे में अधिक जानकारी के लिए, गहराई में रक्षा (कंप्यूटिंग) और सूचना सुरक्षा देखें

सूचना सुरक्षा मानक और नियंत्रण फ्रेमवर्क
कई सूचना सुरक्षा मानक अच्छी सुरक्षा प्रथाओं को बढ़ावा देते हैं और सूचना सुरक्षा नियंत्रणों के प्रबंधन के लिए विश्लेषण और डिजाइन की संरचना के लिए फ्रेमवर्क या प्रणालियों को परिभाषित करते हैं। कुछ सबसे प्रसिद्ध मानकों की रूपरेखा नीचे दी गई है।

अंतर्राष्ट्रीय मानक संगठन
ISO/IEC 27001 14 समूहों में 114 नियंत्रण निर्दिष्ट करता है:
 * ए.5: सूचना सुरक्षा नीतियां
 * ए.6: सूचना सुरक्षा कैसे व्यवस्थित की जाती है
 * ए.7: मानव संसाधन सुरक्षा - नियंत्रण जो रोजगार से पहले, समय, या बाद में प्रयुक्त होते हैं।
 * A.8: परिसंपत्ति प्रबंधन
 * ए.9: अभिगम नियंत्रण और उपयोगकर्ता पहुंच का प्रबंधन
 * ए.10: क्रिप्टोग्राफ़िक विधि
 * ए.11: संगठन के स्थलों और उपकरणों की भौतिक सुरक्षा
 * ए.12: परिचालन सुरक्षा
 * ए.13: सुरक्षित संचार और डेटा स्थानांतरण
 * ए.14: सूचना प्रणाली का सुरक्षित अधिग्रहण, विकास और समर्थन
 * क.15: आपूर्तिकर्ताओं और तृतीय पक्षों के लिए सुरक्षा
 * क.16: घटना प्रबंधन
 * ए.17: व्यापार निरंतरता/आपदा पुनर्प्राप्ति (इस हद तक कि यह सूचना सुरक्षा को प्रभावित करता है)
 * ए.18: अनुपालन - आंतरिक आवश्यकताओं के साथ, जैसे नीतियां, और बाहरी आवश्यकताओं, जैसे नियम ।

यू.एस. संघीय सरकार सूचना सुरक्षा मानक
संघीय सूचना प्रसंस्करण मानक (एफ़आईपीएस) सभी अमेरिकी सरकारी एजेंसियों पर प्रयुक्त होते हैं। चूँकि, कुछ राष्ट्रीय सुरक्षा प्रणालियाँ, राष्ट्रीय सुरक्षा प्रणालियों पर समिति के सीमा में, इन मानकों के बाहर प्रबंधित की जाती हैं।

संघीय सूचना प्रसंस्करण मानक 200 (एफ़आईपीएस 200), संघीय सूचना और सूचना प्रणाली के लिए न्यूनतम सुरक्षा आवश्यकताएँ, संघीय सूचना प्रणाली के लिए न्यूनतम सुरक्षा नियंत्रण और उन प्रक्रियाओं को निर्दिष्ट करती हैं जिनके द्वारा सुरक्षा नियंत्रणों का कठिन परिस्थिति-आधारित चयन होता है। न्यूनतम सुरक्षा नियंत्रणों की सूची एनआईएसटी विशेष प्रकाशन SP 800-53 में पाई जाती है।

एफ़आईपीएस 200 में 17 व्यापक नियंत्रण वर्गों की पहचान की गई है:


 * 1) एसी अभिगम नियंत्रण।
 * 2) एटी जागरूकता और प्रशिक्षण।
 * 3) एयू लेखापरीक्षा और उत्तरदाई ।
 * 4) सीए सुरक्षा मूल्यांकन और प्राधिकरण। (ऐतिहासिक संक्षिप्त नाम)
 * 5) सीएम विन्यास प्रबंधन।
 * 6) सीपी आकस्मिक योजना।
 * 7) आइए पहचान और प्रमाणीकरण।
 * 8) आईआर घटना प्रतिक्रिया।
 * 9) एमए रखरखाव।
 * 10) एमपी मीडिया सुरक्षा।
 * 11) पीई भौतिक और पर्यावरण संरक्षण।
 * 12) पीएल योजना।
 * 13) पीएस कार्मिक सुरक्षा।
 * 14) आरए कठिन परिस्थिति मूल्यांकन।
 * 15) एसए प्रणाली और सेवा अधिग्रहण।
 * 16) एससी प्रणाली और संचार सुरक्षा।
 * 17) एसआई प्रणाली और सूचना अखंडता।

मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान

एनआईएसटी साइबर सुरक्षा फ्रेमवर्क
एक परिपक्वता आधारित फ्रेमवर्क पांच कार्यात्मक क्षेत्रों में विभाजित है और इसके मूल में लगभग 100 व्यक्तिगत नियंत्रण हैं।

एनआईएसटी एसपी-800-53
लगभग एक हजार प्रौद्योगिकी नियंत्रणों का डेटाबेस वर्गों और क्रॉस संदर्भों में बांटा गया है।


 * 800-53 के संशोधन 3 से प्रारंभ करते हुए कार्यक्रम प्रबंधन नियंत्रणों की पहचान की गई ये नियंत्रण प्रणाली नियंत्रणों से स्वतंत्र हैं किंतु प्रभावी सुरक्षा कार्यक्रम के लिए आवश्यक हैं।
 * 800-53 के संशोधन 4 से प्रारंभ करते हुए, संघीय नियम की गोपनीयता अपेक्षाओं के साथ सुरक्षा नियंत्रणों को संरेखित करने के लिए गोपनीयता नियंत्रण के आठ वर्गों की पहचान की गई थी।
 * 800-53 के संशोधन 5 से प्रारंभ होकर, नियंत्रण डेटा गोपनीयता को भी संबोधित करते हैं जैसा कि एनआईएसटी डेटा गोपनीयता फ़्रेमवर्क द्वारा परिभाषित किया गया है।

COBIT5
आईएसएसीए द्वारा प्रकाशित एक मालिकाना नियंत्रण समूह।
 * उद्यम आईटी का प्रशासन
 * मूल्यांकन, प्रत्यक्ष और मॉनिटर (ईडीएम) - 5 प्रक्रियाएं
 * उद्यम आईटी का प्रबंधन
 * संरेखित करें, योजना बनाएं और व्यवस्थित करें (एपीओ) - 13 प्रक्रियाएं
 * निर्माण, अधिग्रहण और कार्यान्वयन (बीएआई) - 10 प्रक्रियाएं
 * डिलीवर, सेवा और समर्थन (डीएसएस) - 6 प्रक्रियाएं
 * मॉनिटर, मूल्यांकन और मूल्यांकन (एमईए) - 3 प्रक्रियाएँ

सीआईएस नियंत्रण (सीआईएस 18)
पहले संस क्रिटिकल सुरक्षा नियंत्रण के रूप में जाना जाता था, जिसे अब आधिकारिक तरह पर सीआईएस क्रिटिकल सुरक्षा नियंत्रण (सीओएस नियंत्रण ) कहा जाता है। सीआईएस नियंत्रणों को 18 नियंत्रणों में विभाजित किया गया है।


 * सीआईएस नियंत्रण 1: उद्यम संपत्ति की सूची और नियंत्रण
 * सीआईएस नियंत्रण 2:सॉफ्टवेयर संपत्ति की सूची और नियंत्रण
 * सीआईएस नियंत्रण 3: डेटा सुरक्षा
 * सीआईएस नियंत्रण 4: उद्यम संपत्ति और सॉफ्टवेयर का सुरक्षित विन्यास
 * सीआईएस नियंत्रण 5: खाता प्रबंधन
 * सीआईएस नियंत्रण 6: अभिगम नियंत्रण प्रबंधन
 * सीआईएस नियंत्रण 7: निरंतर भेद्यता प्रबंधन
 * सीआईएस नियंत्रण 8: ऑडिट लॉग प्रबंधन
 * सीआईएस नियंत्रण 9: ईमेल और वेब ब्राउज़र सुरक्षा
 * सीआईएस नियंत्रण 10: मैलवेयर सुरक्षा
 * सीआईएस नियंत्रण 11: डेटा पुनर्प्राप्ति
 * सीआईएस नियंत्रण 12: नेटवर्क अवसंरचना प्रबंधन
 * सीआईएस नियंत्रण 13: नेटवर्क मॉनिटरिंग और रक्षा
 * सीआईएस नियंत्रण 14: सुरक्षा जागरूकता और कौशल प्रशिक्षण
 * सीआईएस नियंत्रण 15: सेवा प्रदाता प्रबंधन
 * सीआईएस नियंत्रण 16: एप्लिकेशन सॉफ्टवेयर सुरक्षा
 * सीआईएस नियंत्रण 17: घटना प्रतिक्रिया प्रबंधन
 * सीआईएस नियंत्रण 18: प्रवेश परीक्षण

नियंत्रणों को कार्यान्वयन समूहों (आईजी) में विभाजित किया गया है जो सीआईएस नियंत्रणों के कार्यान्वयन को प्राथमिकता देने के लिए अनुशंसित मार्गदर्शन हैं।

दूरसंचार
दूरसंचार में, सुरक्षा नियंत्रणों को ओएसआई मॉडल के भाग के रूप में सुरक्षा सेवा (दूरसंचार) के रूप में परिभाषित किया गया है ये प्रौद्योगिकी रूप से संरेखित हैं। यह मॉडल व्यापक रूप से मान्यता प्राप्त है।
 * आईटीयू-टी एक्स .800 पक्षसमर्थन।
 * आईएसओ आईएसओ 7498-2

डेटा देयता (नियमबद्ध, विनियामक, अनुपालन)
सुरक्षा कठिन परिस्थिति और नियमबद्ध का प्रतिच्छेदन जो देखभाल के मानकों को निर्धारित करता है, जहां डेटा देयता परिभाषित की जाती है। कठिन परिस्थिति प्रबंधकों को देश, प्रांत/राज्य और स्थानीय स्तर पर दायित्व को परिभाषित करने वाले नियमबद्ध पर शोध करने में सहायता करने के लिए मुट्ठी भर डेटाबेस उभर रहे हैं। इन नियंत्रण समूहों में, प्रासंगिक नियमबद्ध का अनुपालन वास्तविक कठिन परिस्थिति न्यूनीकरणकर्ता हैं।


 * पर्किन्स कोइ सुरक्षा ब्रीच अधिसूचना चार्ट: लेखों का एक समूह (प्रति राज्य एक) जो यूएस राज्यों के बीच डेटा ब्रीच अधिसूचना आवश्यकताओं को परिभाषित करता है।
 * एनसीएसएल सुरक्षा उल्लंघन अधिसूचना नियम : अमेरिकी राज्य विधियों की एक सूची जो डेटा उल्लंघन अधिसूचना आवश्यकताओं को परिभाषित करती है।
 * टीएस क्षेत्राधिकार: 380+ अमेरिकी राज्य और संघीय नियमबद्ध के व्याप्ति के साथ एक वाणिज्यिक साइबर सुरक्षा अनुसंधान मंच जो उल्लंघन से पहले और बाद में साइबर सुरक्षा को प्रभावित करता है। टीएस क्षेत्राधिकार एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के लिए भी मैप करता है।

बिजनेस नियंत्रण फ्रेमवर्क
आंतरिक व्यापार और अंतर-व्यावसायिक नियंत्रणों को देखने वाले फ्रेमवर्क और मानकों की एक विस्तृत श्रृंखला है, जिनमें निम्न सम्मिलित हैं:


 * एसएसएई 16
 * आईएसएई 3402
 * भुगतान कार्ड उद्योग डेटा सुरक्षा मानक
 * स्वास्थ्य बीमा सुवाह्यता और उत्तरदाई अधिनियम
 * कोबिट 4/5
 * सीआईएस टॉप-20
 * एनआईएसटी साइबर सुरक्षा फ्रेमवर्क

यह भी देखें

 * अभिगम नियंत्रण
 * उड़ान सुरक्षा
 * प्रतिवाद (कंप्यूटर)
 * पर्यावरण डिजाइन
 * सूचना सुरक्षा
 * ओ एस आई मॉडल
 * शारीरिक सुरक्षा
 * कठिन परिस्थिति
 * सुरक्षा
 * सुरक्षा इंजीनियरिंग
 * सुरक्षा प्रबंधन
 * सुरक्षा सेवा (दूरसंचार)

बाहरी संबंध

 * एनआईएसटी SP 800-53 Revision 4
 * DoD Instruction 8500.2
 * FISMApedia Terms