आईटीआईएल सुरक्षा प्रबंधन

आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है। आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, परिचालन, मॉनिटरिंग, ​​​​समीक्षा, मेंटेनेंस और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।

सुरक्षा प्रबंधन की मूल अवधारणा इनफार्मेशन सिक्योरिटी है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में गोपनीयता, अखंडता और उपलब्धता सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।

सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:


 * सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
 * मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन  सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है।

एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।

सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सर्विस लेवल मैनेजमेंट, इंसिडेंट मैनेजमेंट और चेंज मैनेजमेंट प्रक्रियाओं से संबंधित हैं।

सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।

इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।

गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।

नियंत्रण
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।

सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए।

नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल यूएमएल गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।



नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है।

चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया

श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है।

चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।

चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया

योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सर्विस लेवल मैनेजमेंट के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं।

योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।

एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं।

इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है।

योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।

नियंत्रण उप-प्रक्रिया की भाँति ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया जाता है। चित्र 2.2.1 के बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।

योजना आयत संवृत (समष्टि) अवधारणा है जिसमें दो विवृत (समष्टि) अवधारणाओं और मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो विवृत अवधारणाओं का विस्तार नहीं किया गया है।

निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर संकेत करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।

चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया

कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय उचित रूप से कार्यान्वित किये गए हैं। कार्यान्वयन उप-प्रक्रिया के समय कोई भी उपाय परिभाषित नहीं किया जाता है और न ही परिवर्तित किया जाता है। उपायों की परिभाषा परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होती है।

चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ विवृत अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूर्ण होने के पश्चात की जाएगी।

कार्यान्वयन चरण के समय अवधारणाएँ बनाई और/या समायोजित की जाती हैं।

बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडल किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।

कार्यान्वयन डाक्यूमेंट्स संवृत अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार विवृत अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।

दोनों मॉडलों के मध्य संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।

चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया

मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक होता है। मूल्यांकन क्लाइंट्स (और संभवतः तृतीय पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को उत्पन्न कर सकते हैं। तब परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को सेंड किया जाता है।

मूल्यांकन के तीन प्रकार होते हैं जिनमें सेल्फ-असेसमेंट, इंटरनल ऑडिट और एक्सटर्नल ऑडिट सम्मिलित हैं।

सेल्फ-असेसमेंट मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। इंटरनल ऑडिट, इंटरनल आईटी-ऑडिटर्स द्वारा किए जाते हैं। एक्सटर्नल ऑडिट बाह्य स्वतंत्र आईटी-ऑडिटर्स द्वारा किए जाते हैं। पूर्व उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधि आईटी-सिस्टम की सिक्योरिटी मॉनिटरिंग हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग को ट्रेस करें और उस पर प्रतिक्रिया दें।

चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया

चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया गया था।

मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर संकेत करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए सारिणी 2.4.2 देखें जहां अवधारणाओं को क्रमबद्ध और परिभाषित किया गया है।

तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन

मेंटेनेंस
संगठनात्मक और आईटी-इंफ्रास्ट्रक्चर में परिवर्तन के कारण, समय के साथ सिक्योरिटी रिस्क्स परिवर्तित होते हैं, जिससे सर्विस लेवल एग्रीमेंट और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।

मेंटेनेंस मूल्यांकन उप-प्रक्रिया के परिणामों और परिवर्तित संकटों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव प्रस्तुत करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में कार्य करते हैं और चक्र के माध्यम से ट्रेवल करते हैं अथवा सर्विस लेवल एग्रीमेंट को बनाए रखने के अंश के रूप में अपनाए जा सकते हैं। दोनों ही स्थितियों में प्रस्ताव कार्य योजना में गतिविधियों को उत्पन्न कर सकते हैं। वास्तविक परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।

चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दर्शाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।

चित्र 2.5.1: प्रक्रिया-डेटा मॉडल मेंटेनेंस उप-प्रक्रिया

मेंटेनेंस उप-प्रक्रिया सर्विस लेवल एग्रीमेंट के मेंटेनेंस और ऑपरेशनल लेवल एग्रीमेंट के मेंटेनेंस से प्रारम्भ होती है। इन गतिविधियों के होने के पश्चात (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के पश्चात रिपोर्टिंग गतिविधि प्रारम्भ होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि प्रथम दो गतिविधियों के पश्चात प्रत्यक्ष रूप से प्रारम्भ हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ मेंटेनेंस चरण के समय बनाई/समायोजित की जाती हैं। अवधारणाओं की सारिणी और उनकी परिभाषा के लिए तालिका 2.5.2 पर ध्यान केंद्रित करें।

तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन

संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया

ओएलए

अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:


 * आईटी कस्टमर रिलेशनशिप मैनेजमेंट
 * सर्विस लेवल मैनेजमेंट
 * उपलब्धता प्रबंधन
 * क्षमता प्रबंधन
 * आईटी सेवा निरंतरता प्रबंधन
 * विन्यास प्रबंधन
 * प्रस्तावित प्रबंधन
 * घटना प्रबंधन एवं सेवा डेस्क
 * समस्या प्रबंधन
 * परिवर्तन प्रबंधन (आईटीएसएम)

इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।

उदाहरण: आंतरिक ई-मेल पॉलिसीस
इंटरनल ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल पॉलिसीस को कार्यान्वित करने के लिए किया जाता है।

सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।

इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।

योजना के अनुसार क्रियान्वयन किया जाता है।

कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।

प्रतिपालन चरण में ई-पॉलिसीस को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।

यह भी देखें

 * अवसंरचना प्रबंधन सेवाएँ
 * आईटीआईएल वीजेड
 * माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
 * सूचना सुरक्षा प्रबंधन प्रणाली
 * सीओबीआईटी
 * कैपेबिलिटी मचुरटी मॉडल
 * आईएसपीएल

यह भी देखें

 * सूचना सुरक्षा

स्रोत

 * बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
 * कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
 * सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
 * त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।

श्रेणी:आईटीआईएल श्रेणी:कंप्यूटर सुरक्षा