आईटी संकट

सूचना प्रौद्योगिकी संकट, आईटी संकट, आईटी से संबंधित संकट या साइबर संकट सूचना प्रौद्योगिकी से संबंधित कोई भी संकट है।^[1] जबकि सूचना को एक मानवान और महत्वपूर्ण गुण के रूप में लंबे समय से सराहा गया है, ज्ञान अर्थव्यवस्था और अंकीय क्रांति के उदय ने संगठनों को सूचना, सूचना प्रसंस्करण और विशेष रूप से आईटी पर तीव्रता से निर्भर होने के लिए प्रेरित किया है। विभिन्न घटनाएँ या घटनाएँ जो किसी प्रकार से आईटी से समझौता करती हैं, इसलिए संगठन की व्यावसायिक प्रक्रियाओं या मिशन पर प्रतिकूल प्रभाव डाल सकती हैं, जो कि बड़े पैमाने पर अप्रासंगिक से लेकर विनाशकारी तक हो सकती हैं।

विभिन्न प्रकार की घटनाओं/घटनाओं की उनके अनुमानित प्रभावों या परिणामों के साथ संभावना या संभावना का आकलन करना, क्या वे घटित होना चाहिए, आईटी संकटों का आकलन और माप करने की सामान्य विधि है।^[2] आईटी संकट को मापने के वैकल्पिक विधि में सामान्यतः अन्य अंशदायी कारकों जैसे साइबर संकट, भेद्यता, संकट और परिगुण मानों का आकलन करना सम्मिलित है।^[3]^[4]

परिभाषाएँ

आईएसओ

आईटी संकट: संभावना कि एक दिया गया संकट (कंप्यूटर) किसी गुण (संगणना) या गुण के समूह की भेद्यता (संगणना) का लाभ उठाएगा और इस प्रकार संगठन को हानि पहुंचाएगा। इसे किसी घटना के घटित होने की संभावना और उसके परिणाम के संयोजन के संदर्भ में मापा जाता है।^[5]

राष्ट्रीय सुरक्षा प्रणालियों पर समिति

संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा प्रणालियों की समिति ने विभिन्न प्रपत्रों में संकट को परिभाषित किया:

सीएनएसएस निर्देश संख्या 4009 दिनांक 26 अप्रैल 2010 से^[6] मूलभूत और अधिक तकनीकी केंद्रित परिभाषा:
संकट - संभावना है कि विशेष संकट किसी विशेष भेद्यता का शोषण करके आईएस पर प्रतिकूल प्रभाव डालेगा।
राष्ट्रीय सुरक्षा दूरसंचार और सूचना प्रणाली सुरक्षा निर्देश (एनएसटीएसआई) संख्या 1000,^[7] एनआईएसटी एसपी 800-30 एक के समान एक संभाव्यता गुण प्रस्तुत करते है:
संकट - थ्रेट के घटित होने की संभावना का संयोजन, थ्रेट के घटित होने की संभावना का प्रतिकूल प्रभाव पड़ेगा, और परिणामी प्रभाव की गंभीरता

राष्ट्रीय सूचना आश्वासन प्रशिक्षण और शिक्षा केंद्र आईटी क्षेत्र में संकट को इस प्रकार परिभाषित करते है:^[8]

हानि की संभावना जो थ्रेट-भेद्यता युग्म के परिणाम के रूप में स्थित है। थ्रेट या भेद्यता को कम करने से संकट कम हो जाता है।
इस प्रकार के हानि की संभावना के रूप में व्यक्त हानि की अनिश्चितता।
संभावना है कि प्रतिकूल संस्था आसूचना उद्देश्यों के लिए एक विशेष दूरसंचार या कॉमसेक प्रणाली का सफलतापूर्वक शोषण करेगी; इसके कारक थ्रेट और भेद्यता हैं।
संकट होने की संभावना का संयोजन, थ्रेट की घटना के प्रतिकूल प्रभाव पड़ने की संभावना, और परिणामी प्रतिकूल प्रभाव की गंभीरता।
संभावना है कि विशेष संकट प्रणाली की एक विशेष भेद्यता का लाभ उठाएगा।

एनआईएसटी

कई एनआईएसटी प्रकाशन विभिन्न प्रकाशनों में आईटी संदर्भ में संकट को परिभाषित करते हैं: एफआईएसएमएपिंडिया^[9] अवधि^[10] एक सूची प्रदान करते है। उन दोनों के बीच:

एनआईएसटी एसपी 800-30 के अनुसार:^[11]
संकट किसी दिए गए थ्रेट-स्रोत की विशेष संभावित भेद्यता का प्रयोग करने की संभावना और संगठन पर उस प्रतिकूल घटना के परिणामी प्रभाव का एक कार्य है।
एनआईएसटी एफआईपीएस 200 से^[12]
संकट - किसी थ्रेट के संभावित प्रभाव और उस थ्रेट के होने की संभावना को देखते हुए किसी सूचना प्रणाली के संचालन के परिणामस्वरूप संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुण, या व्यक्तियों पर प्रभाव का स्तर।

एनआईएसटी एसपी 800-30^[11] परिभाषित करता है:

आईटी से संबंधित संकट

शुद्ध मिशन प्रभाव पर विचार:

संभावना है कि विशेष संकट-स्रोत एक विशेष सूचना प्रणाली भेद्यता का प्रयोग (संयोगवश ट्रिगर या साभिप्राय शोषण) करेगा और
परिणामी प्रभाव यदि ऐसा होना चाहिए। आईटी से संबंधित संकट वैध दायित्व या मिशन हानि से उत्पन्न होते हैं:
1. अनधिकृत (दुर्भावनापूर्ण या आकस्मिक) प्रकटीकरण, संशोधन, या सूचना का विनाश
2. अनभिप्रेत त्रुटियां और चूक
3. प्राकृतिक या मानव निर्मित आपदाओं के कारण आईटी व्यवधान
4. आईटी प्रणाली के कार्यान्वयन और संचालन में उचित देखभाल और परिश्रम करने में विफलता।

संकट प्रबंधन अंतर्दृष्टि

आईटी संकट भविष्य के हानि की संभावित आवृत्ति और संभावित परिमाण है।^[13]

आईएसएसीए

आईएसएसीए ने आईटी के उपयोग से संबंधित सभी संकटों के विषय में संपूर्ण, व्यापक दृष्टिकोण प्रदान करने के लिए संकट आईटी संरचना प्रकाशित किया। वहाँ,^[14] आईटी संकट को इस प्रकार परिभाषित किया गया है:

एक उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, सहयोग, प्रभाव और अपनाने से जुड़ा व्यावसायिक संकट

रिस्क आईटी के अनुसार,^[14]आईटी संकट का एक व्यापक अर्थ है: यह न मात्र संचालन और सेवा वितरण के ऋणात्मक प्रभाव (सुरक्षा) को सम्मिलित करते है जो संगठन के मान में विनाश या कमी ला सकते है, बल्कि उपयोग करने के अवसरों से जुड़े लाभ/मान को सक्षम करने वाले संकट को भी सम्मिलित करते है। प्रतिकूल व्यावसायिक प्रभाव के साथ अधिव्यय या विलम्ब से डिलीवरी जैसे गुणों के लिए व्यवसाय या आईटी परियोजना प्रबंधन को सक्षम या बढ़ाने के लिए प्रौद्योगिकी

आईटी संकट मापना

आप प्रभावी रूप से और निरंतर प्रबंधन नहीं कर सकते जिसे आप माप नहीं सकते हैं, और आप वह नहीं माप सकते जिसे आपने परिभाषित नहीं किया है।^[13]^[15]

आईटी संकट (या साइबर संकट) का मापन कई स्तरों पर हो सकता है। व्यावसायिक स्तर पर, संकटों को स्पष्ट रूप से प्रबंधित किया जाता है। अग्रपंक्ति आईटी विभाग और नेटवर्क संचालन केंद्र अधिक पृथक, व्यक्तिगत संकटों को मापने की प्रवृत्ति रखते हैं। उनके बीच सांठगांठ को प्रबंधित करना आधुनिक मुख्य सूचना सुरक्षा अधिकारी के लिए महत्वपूर्ण भूमिका है।

किसी भी प्रकार के संकट को मापते समय, किसी दिए गए थ्रेट, गुण और उपलब्ध डेटा के लिए उचित समीकरण का चयन करना महत्वपूर्ण चरण है। ऐसा करना स्वयं के अधीन है, परन्तु संकट समीकरणों के सामान्य घटक हैं जो समझने में सहायक होते हैं।

संकट प्रबंधन में चार मूलभूत बल सम्मिलित हैं, जो साइबर सुरक्षा पर भी लागू होती हैं। वे गुण, प्रभाव, थ्रेट और संभावना हैं। आपके निकट गुण का आंतरिक ज्ञान और उचित मात्रा में नियंत्रण है, जो मूर्त और अमूर्त वस्तु हैं जिनका मान है। आपके निकट प्रभाव पर भी कुछ नियंत्रण होता है, जो किसी गुण के हानि या क्षति को संदर्भित करते है। यद्यपि, थ्रेट जो विरोधियों का प्रतिनिधित्व करते हैं और उनके आक्षेप की विधि आपके नियंत्रण से बाहर हैं। संभावना गुच्छा में अपूर्वानुमेय घटक है। संभावनाएँ निर्धारित करती हैं कि क्या और कब कोई संकट अमल में आएगा, सफल होगा और हानि पहुँचाएगा। जबकि पूर्ण रूप से आपके नियंत्रण में नहीं है, संभावना को आकार दिया जा सकता है और संकट को प्रबंधित करने के लिए प्रभावित किया जा सकता है।^[16]

गणितीय रूप से, बलों को एक सूत्र में दर्शाया जा सकता है जैसे: ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ जहां p () संभावना है कि एक गुण के विरुद्ध एक संकट अमल में आएगा / सफल होगा, और d () हानि के विभिन्न स्तरों की संभावना है जो हो सकते है।^[17]

आईटी संकट प्रबंधन के क्षेत्र ने कई नियमों और तकनीकों को जन्म दिया है जो उद्योग के लिए अद्वितीय हैं। उद्योग की कुछ प्रतिबन्धों का हल होना अभी शेष है। उदाहरण के लिए, भेद्यता शब्द का उपयोग प्रायः घटना की संभावना के साथ परस्पर विनिमय के लिए किया जाता है, जो समस्याग्रस्त हो सकते है। प्रायः सामना किए जाने वाले आईटी संकट प्रबंधन के नियमों और तकनीकों में सम्मिलित हैं:

सूचना सुरक्षा घटना

प्रणाली, सेवा या नेटवर्क स्थिति की पहचानी गई घटना जो सूचना सुरक्षा नीति के संभावित उल्लंघन या सुरक्षा उपायों की विफलता, या पहले की अज्ञात स्थिति जो सुरक्षा प्रासंगिक हो सकती है, का संकेत देती है।^[5]:

परिस्थितियों के विशेष समूह की घटना^[18]

घटना निश्चित या अनिश्चित हो सकती है।
घटना एकल घटना या घटनाओं की एक श्रृंखला हो सकती है। : (आईएसओ/आईईसी निर्देश 73)

सूचना सुरक्षा घटना:

अवांछित सूचना सुरक्षा घटनाओं की एक या एक श्रृंखला द्वारा इंगित किया गया है जिसमें व्यापार संचालन से समझौता करने और सूचना सुरक्षा को भयसूचक की महत्वपूर्ण संभावना है^[5]

घटना [जी.11] जिसका मूल्यांकन प्रणाली की सुरक्षा या प्रदर्शन पर वास्तविक या संभावित प्रतिकूल प्रभाव के रूप में किया गया है।^[19]

प्रभाव (सुरक्षा) ^[20]

अवांछित घटना का परिणाम [जी17]। (आईएसओ/आईईसी टीआर 13335-1)

परिणाम^[21]

घटना का परिणाम [जी.11]

एक घटना के एक से अधिक परिणाम हो सकते हैं।
परिणाम धनात्मक से ऋणात्मक तक हो सकते हैं।
परिणामों को गुणात्मक या मात्रात्मक रूप से व्यक्त किया जा सकता है (आईएसओ/आईईसी निर्देश 73)

संकट 'R' घटना के कारण संगठन को होने वाले प्रभाव (सुरक्षा) 'I' के गुणा होने वाली सुरक्षा घटना की संभावना 'L' का उत्पाद है, जो है:^[22]

R = L × I

किसी सुरक्षा घटना के घटित होने की संभावना थ्रेट के प्रकट होने की संभावना और इस संभावना का फलन है कि संकट संबंधित प्रणाली भेद्यता का सफलतापूर्वक दोहन कर सकते है।

सुरक्षा घटना के घटित होने का परिणाम संभावित प्रभाव का कार्य है जो संगठन की गुण को होने वाले हानि के परिणामस्वरूप घटना का संगठन पर पड़ेगा। हानि संगठन की गुण के मान से संबंधित है; एक ही गुण के अलग-अलग संगठनों के लिए अलग-अलग मान हो सकते हैं।

तो R चार संकट कारक (संगणना) का कार्य हो सकता है:

A = गुण का मान (संगणना)
T = थ्रेट की संभावना (कंप्यूटर)
V = भेद्यता की प्रकृति (संगणना) अर्थात संभावना जिसका शोषण किया जा सकता है (आक्रामक के लिए संभावित लाभ के अनुपात में और शोषण की लागत के विपरीत आनुपातिक)
I = संभावित प्रभाव (सुरक्षा), हानि की सीमा

यदि संख्यात्मक मान (अन्य कारकों के लिए प्रभाव और संभावनाओं के लिए धन), संकट को मौद्रिक प्रतिबन्धों में व्यक्त किया जा सकता है और सुरक्षा नियंत्रण लागू करने के बाद प्रत्युपाय की लागत और अवशिष्ट संकट की तुलना की जा सकती है। इन मानों को व्यक्त करना सदैव व्यावहारिक नहीं होता है, इसलिए संकट मूल्यांकन के पहले चरण में संकट को तीन या पांच चरणों के पैमाने में विमाहीन श्रेणीबद्ध किया जाता है।

ओडब्ल्यूएएसपी निम्नलिखित पर आधारित व्यावहारिक संकट मापन दिशानिर्देश^[22] प्रस्तावित करता है:

0 से 9 पैमाने में विभिन्न कारकों के बीच माध्य के रूप में संभावना का अनुमान:
- संकट प्रतिनिधि कारक
  - कौशल स्तर: थ्रेट के प्रतिनिधिों का यह समूह तकनीकी रूप से कितना कुशल है? कोई तकनीकी कौशल नहीं (1), कुछ तकनीकी कौशल (3), उन्नत कंप्यूटर उपयोगकर्ता (4), नेटवर्क और प्रोग्रामिंग कौशल (6), सुरक्षा भेदन कौशल (9)
  - उद्देश्य: थ्रेट के प्रतिनिधिों का यह समूह इस भेद्यता को खोजने और उसका लाभ उठाने के लिए कितना प्रेरित है? कम या कोई पुरस्कार नहीं (1), संभावित पुरस्कार (4), उत्तम पुरस्कार (9)
  - अवसर: थ्रेट के प्रतिनिधिों के इस समूह को इस भेद्यता को खोजने और उसका लाभ उठाने के लिए किन संसाधनों और अवसरों की आवश्यकता है? आवश्यक पूर्ण पहुँच या बहुमूल्य संसाधन (0), आवश्यक विशेष पहुँच या संसाधन (4), कुछ पहुँच या संसाधन आवश्यक (7), कोई पहुँच या संसाधन आवश्यक नहीं (9)
  - आकार: थ्रेट के प्रतिनिधिों का यह समूह कितना बड़ा है? विकासक (2), प्रणाली प्रबंधकत्व (2), इंट्रानेट उपयोगकर्ता (4), सहयोगी (5), प्रमाणित उपयोगकर्ता (6), अनाम इंटरनेट उपयोगकर्ता (9)
- भेद्यता (संगणना) कारक: कारकों का अगला समूह सम्मिलित भेद्यता से संबंधित है। यहां लक्ष्य विशेष भेद्यता की खोज और शोषण की संभावना का अनुमान लगाना है। ऊपर चुने गए थ्रेट के प्रतिनिधि को मान लें।
  - खोज में सरलता: थ्रेट के प्रतिनिधिों के इस समूह के लिए इस भेद्यता का पता लगाना कितना सरल है? व्यावहारिक रूप से असंभव (1), कठिन (3), सरल (7), स्वचालित उपकरण उपलब्ध (9)
  - शोषण में सरलता (कंप्यूटर सुरक्षा) : थ्रेट के प्रतिनिधिों के इस समूह के लिए वस्तुतः इस भेद्यता का लाभ उठाना कितना सरल है? सैद्धांतिक (1), कठिन (3), सरल (5), स्वचालित उपकरण उपलब्ध (9)
  - जागरूकता: थ्रेट के प्रतिनिधिों के इस समूह के लिए यह भेद्यता कितनी ठीक रूप से जानी जाती है? अज्ञात (1), छिपा हुआ (4), स्पष्ट (6), सार्वजनिक ज्ञान (9)
  - अतिक्रमण संसूचन: शोषण का पता लगाने की कितनी संभावना है? एप्लिकेशन में सक्रिय पहचान (1), लॉग और समीक्षा (3), बिना समीक्षा के लॉग (8), लॉग नहीं (9)
0 से 9 के पैमाने में विभिन्न कारकों के बीच औसत के रूप में प्रभाव का अनुमान
- तकनीकी प्रभाव कारक; तकनीकी प्रभाव को चिंता के पारंपरिक सुरक्षा क्षेत्रों से जुड़े कारकों में विभाजित किया जा सकता है: निजता, अखंडता, उपलब्धता और उत्तरदायित्व। लक्ष्य यह है कि भेद्यता का लाभ उठाने के लिए प्रणाली पर प्रभाव की भयावहता का अनुमान लगाया जाए।
  - निजता की हानि: कितना डेटा प्रकट किया जा सकता है और यह कितना संवेदनशील है? कम से कम गैर-संवेदनशील डेटा का अनावृत (2), न्यूनतम महत्वपूर्ण डेटा का अनावृत (6), व्यापक गैर-संवेदनशील डेटा का अनावृत (6), व्यापक महत्वपूर्ण डेटा का अनावृत (7), सभी डेटा का अनावृत (9)
  - अखंडता की हानि: कितना डेटा दूषित हो सकता है और यह कितना क्षतिग्रस्त है? न्यूनतम थोड़ा दूषित डेटा (1), न्यूनतम गंभीर रूप से दूषित डेटा (3), व्यापक थोड़ा दूषित डेटा (5), व्यापक गंभीर रूप से दूषित डेटा (7), सभी डेटा पूर्ण रूप से दूषित (9)
  - उपलब्धता की हानि कितनी सेवा खो सकती है और यह कितनी महत्वपूर्ण है? न्यूनतम माध्यमिक सेवाएं बाधित (1), न्यूनतम प्राथमिक सेवाएं बाधित (5), व्यापक माध्यमिक सेवाएं बाधित (5), व्यापक प्राथमिक सेवाएं बाधित (7), सभी सेवाएं पूर्ण रूप से बंद (9)
  - उत्तरदायित्व की हानि: क्या थ्रेट के प्रतिनिधिों के कार्यों को किसी व्यक्ति के लिए पता लगाया जा सकता है? पूर्ण रूप से पता लगाने योग्य (1), संभवतः पता लगाने योग्य (7), पूर्ण रूप से अनाम (9)
- व्यावसायिक प्रभाव कारक: व्यावसायिक प्रभाव तकनीकी प्रभाव से उपजा है, परन्तु एप्लिकेशन चलाने वाली कंपनी के लिए क्या महत्वपूर्ण है, इसकी गहन समझ की आवश्यकता है। सामान्यतः , आपको व्यावसायिक प्रभाव के साथ अपने संकटों का समर्थन करने का लक्ष्य रखना चाहिए, विशेष रूप से यदि आपके दर्शक कार्यकारी स्तर के हैं। व्यावसायिक संकट वह है जो सुरक्षा समस्याओं को ठीक करने में निवेश को उचित ठहराता है।
  - वित्तीय क्षति: शोषण से कितनी वित्तीय क्षति होगी? भेद्यता को ठीक करने के लिए लागत से कम (1), वार्षिक लाभ पर साधारण प्रभाव (3), वार्षिक लाभ पर महत्वपूर्ण प्रभाव (7), दिवालियापन (9)
  - प्रतिष्ठा क्षति: क्या शोषण से प्रतिष्ठा को हानि होगा जो व्यवसाय को हानि पहुंचाएगा? न्यूनतम क्षति (1), प्रमुख खातों की हानि (4), सद्भावना की हानि (5), ब्रांड क्षति (9)
  - गैर-अनुपालन: गैर-अनुपालन कितना संकट लाता है? साधारण उल्लंघन (2), स्पष्ट उल्लंघन (5), उच्च -पार्श्वचित्र उल्लंघन (7)
  - निजता का उल्लंघन: व्यक्तिगत रूप से पहचान योग्य कितनी सूचना का अनावृत किया जा सकता है? एक व्यक्ति (3), सैकड़ों लोग (5), हजारों लोग (7), लाखों लोग (9)
- यदि व्यावसायिक प्रभाव की गणना उचित रूप से की जाती है तो इसे निम्नलिखित में उपयोग करें अन्यथा तकनीकी प्रभाव का उपयोग करें
कम, मध्यम, उच्च पैमाने में दर संभावना और प्रभाव यह मानते हुए कि 3 से कम कम है, 3 से 6 से कम मध्यम है, और 6 से 9 उच्च है।
निम्न तालिका का उपयोग करके संकट की गणना करें

समग्र संकट गंभीरता
प्रभाव	उच्च	मध्यम	उच्च	गंभीर
	मध्यम	निम्न	मध्यम	उच्च
	निम्न	कोई नहीं	निम्न	मध्यम
		निम्न	मध्यम	उच्च
	संभाव्यता

आईटी संकट प्रबंधन

File:Risk Management Elements.jpg

संकट प्रबंधन अवयव

IT risk management एनआईएसटी साइबर सुरक्षा संरचना संगठनों को पहचान (आईडी) कार्य के भाग के रूप में आईटी संकट का प्रबंधन करने के लिए प्रोत्साहित करते है:^[23]^[24]

संकट मूल्यांकन (आईडी.आरए) : संगठन संगठनात्मक संचालन (मिशन, कार्यों, प्रतिरूप, या प्रतिष्ठा सहित), संगठनात्मक गुणयों और व्यक्तियों के लिए साइबर सुरक्षा संकट को समझता है।

आईडी.आरए-1: परिगुण भेद्यता की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
आईडी.आरए-2: सूचना साझा करने वाले मंचों और स्रोत से साइबर थ्रेट की आसूचना सूचना और भेद्यता की सूचना प्राप्त होती है
आईडी.आरए-3: आंतरिक और बाहरी दोनों प्रकार के थ्रेट की पहचान की जाती है और उन्हें प्रलेखित किया जाता है
आईडी.आरए-4: संभावित व्यावसायिक प्रभावों और संभावनाओं की पहचान की गई है
आईडी.आरए-5: संकट को निर्धारित करने के लिए थ्रेट, भेद्यता, संभावनाओं और प्रभावों का उपयोग किया जाता है
आईडी.आरए-6: संकट प्रतिक्रियाओं की पहचान की जाती है और उन्हें प्राथमिकता दी जाती है

संकट प्रबंधन रणनीति (आईडी.आरएम) : संगठन की प्राथमिकताओं, बाधाओं, संकट सहनशीलता, और धारणाओं को स्थापित किया जाता है और परिचालन संकट निर्णयों का समर्थन करने के लिए उपयोग किया जाता है।

आईडी.आरएम-1: संकट प्रबंधन प्रक्रियाएँ संगठनात्मक हितधारकों द्वारा स्थापित, प्रबंधित और स्वीकृत की जाती हैं
आईडी.आरएम-2: संगठनात्मक संकट सहिष्णुता निर्धारित और स्पष्ट रूप से व्यक्त की जाती है
आईडी.आरएम-3: संगठन की संकट सहिष्णुता का निर्धारण महत्वपूर्ण मूलभूत संरचना और क्षेत्र विशिष्ट संकट विश्लेषण में इसकी भूमिका से सूचित होता है

आईटी संकट नियम और नियम

निम्नलिखित में स्रोत द्वारा आयोजित लागू नियमों का संक्षिप्त विवरण।^[25]

ओईसीडी

ओईसीडी ने निम्नलिखित जारी किया:

आर्थिक सहयोग और विकास संगठन (ओईसीडी) व्यक्तिगत डेटा की निजता और सीमा पार प्रवाह की सुरक्षा को नियंत्रित करने वाले दिशानिर्देशों के संबंध में परिषद का अनुरोध (23 सितंबर 1980)
सूचना प्रणाली और नेटवर्क की सुरक्षा के लिए ओईसीडी दिशानिर्देश: सुरक्षा की संस्कृति की ओर (25 जुलाई 2002)। विषय: सामान्य सूचना सुरक्षा। कार्यक्षेत्र: किसी भी ओईसीडी संस्थाओं (सरकारें, व्यवसायों, अन्य संगठनों और व्यक्तिगत उपयोगकर्ताओं जो सूचना प्रणाली और नेटवर्क का विकास, स्वामित्व, प्रदान, प्रबंधन, सेवा और उपयोग करते हैं) के लिए गैर-बाध्यकारी दिशानिर्देश। ओईसीडी दिशानिर्देश संकट प्रबंधन और सूचना सुरक्षा कार्यप्रणाली को रेखांकित करने वाले मूलभूत सिद्धांतों को बताते हैं। जबकि पाठ का कोई भी भाग बाध्यकारी नहीं है, किसी भी सिद्धांत का पालन न करना आरएम/आरए की ठीक कार्यप्रणाली के गंभीर उल्लंघन का संकेत है जो संभावित रूप से देयता का कारण बन सकता है।

यूरोपीय संघ

यूरोपीय संघ ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

निजता
- विनियमन (ईसी) संख्या 45/2001 के प्रसंस्करण के संबंध में व्यक्तियों की सुरक्षा पर सामुदायिक संस्थानों और निकायों द्वारा व्यक्तिगत डेटा और ऐसे डेटा के मुक्त संचलन पर आंतरिक विनियमन प्रदान करते है, जो नीचे वर्णित निजता निर्देश के सिद्धांतों का व्यावहारिक अनुप्रयोग है। इसके अतिरिक्त, विनियमन के अनुच्छेद 35 में सामुदायिक संस्थानों और निकायों को अपने दूरसंचार मूलभूत संरचना के संबंध में समान सावधानी बरतने और सुरक्षा उल्लंघनों के किसी भी विशिष्ट संकट के विषय में उपयोगकर्ताओं को ठीक से सूचित करने की आवश्यकता है।
- निदेशक 95/46/ईसी डेटा संरक्षण निर्देश के संबंध में व्यक्तियों की सुरक्षा पर और इस प्रकार के डेटा की मुक्त संचलन के लिए आवश्यक है कि किसी भी व्यक्तिगत डेटा प्रोसेसिंग गतिविधि को गतिविधि के निजता निहितार्थों को निर्धारित करने के लिए पूर्व संकट विश्लेषण से गुजरना पड़े, और इस प्रकार की गतिविधियों की सुरक्षा के लिए उचित वैध, तकनीकी और संगठनात्मक उपायों का निर्धारण करने के लिए, ऐसे उपायों द्वारा प्रभावी रूप से संरक्षित किया जाता है, जो कि गतिविधि की संवेदनशीलता और निजता के प्रभावों को ध्यान में रखते हुए अत्याधुनिक की स्थिति होनी चाहिए, जिसे राष्ट्रीय डेटा संरक्षण प्राधिकरण को सूचित किया जाता है, गतिविधि (जब प्रसंस्करण कार्य के लिए किसी तीसरे पक्ष को आरोपित किया जाता है) की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों सहित। इसके अतिरिक्त, अनुच्छेद 25 और निर्देश का पालन करने के लिए सदस्य राज्यों को गैर-सदस्य राज्यों को व्यक्तिगत डेटा के स्थानांतरण पर प्रतिबंध लगाने की आवश्यकता होती है, जब तक कि ऐसे देशों ने ऐसे व्यक्तिगत डेटा के लिए पर्याप्त वैध सुरक्षा प्रदान नहीं की हो, या कुछ अन्य अपवादों को छोड़कर।
- 15 जून 2001 का आयोग का निर्णय 2001/497/ईसी के स्थानांतरण के लिए मानक संविदात्मक खंड पर निर्देश 95/46/ईसी के अंतर्गत तीसरे देशों को व्यक्तिगत डेटा; और 27 दिसंबर 2004 का आयोग का निर्णय 2004/915/ईसी संशोधित निर्णय 2001/497/ईसी संबंध में तीसरे देशों को व्यक्तिगत डेटा के स्थानांतरण के लिए मानक संविदात्मक खंडों के वैकल्पिक समूह के प्रारम्भ के संबंध में। विषय: तीसरे देशों को व्यक्तिगत डेटा का निर्यात, विशेष रूप से गैर-ईयू देशों को जिन्हें पर्याप्त डेटा सुरक्षा स्तर के रूप में मान्यता नहीं दी गई है (अर्थात ईयू के बराबर)। आयोग के दोनों निर्णय स्वैच्छिक मॉडल खंडों का समूह प्रदान करते हैं जिसका उपयोग डेटा नियंत्रक (जो यूरोपीय संघ डेटा सुरक्षा नियमों के अधीन है) से व्यक्तिगत डेटा को यूरोपीय संघ के बाहर एक डेटा प्रोसेसर को निर्यात करने के लिए किया जा सकता है। जो इन नियमों या पर्याप्त नियमों के समान समूह के अधीन नहीं है।
- अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत (नीचे अमेरीका और अंतर्राष्ट्रीय सुरक्षित आश्रयगृह निजता सिद्धांत देखें)
- निदेशक 2002/58/ईसी 12 जुलाई 2002 व्यक्तिगत डेटा के प्रसंस्करण और इलेक्ट्रॉनिक संचार क्षेत्र में निजता की सुरक्षा के संबंध में
राष्ट्रीय सुरक्षा
- निदेशक 2006/24/ईसी 15 मार्च 2006 को उत्पन्न या संसाधित डेटा के प्रतिधारण पर सार्वजनिक रूप से उपलब्ध इलेक्ट्रॉनिक संचार सेवाओं या सार्वजनिक संचार नेटवर्क और संशोधित निर्देश 2002/58/ईसी ('डेटा प्रतिधारण निर्देश') के प्रावधान के संबंध में। विषय: गंभीर अपराध की जांच, पता लगाने और अभियोजन के उद्देश्यों के लिए सार्वजनिक इलेक्ट्रॉनिक दूरसंचार सेवा प्रदाताओं के प्रदाताओं के लिए कुछ सूचना बनाए रखने की आवश्यकता
- परिषद् निदेशक 2008/114/ईसी यूरोपीय महत्वपूर्ण आधारभूत संरचना की पहचान और पदनाम और उनकी सुरक्षा में संशोधन की आवश्यकता के आकलन। विषय: यूरोपीय समीक्षात्मक आधारभूत संरचना की पहचान और संरक्षण। क्षेत्र: सदस्य राज्यों और यूरोपीय समीक्षात्मक आधारभूत संरचना के संचालकों के लिए लागू (प्रारुप के निर्देश द्वारा परिभाषित 'समीक्षात्मक आधारभूत संरचना' के रूप में परिभाषित किया गया है, जिसके व्यवधान या विनाश से दो या दो से अधिक सदस्य राज्य, या एक सदस्य राज्य प्रभावित होंगे यदि समीक्षात्मक आधारभूत संरचना किसी अन्य सदस्य राज्य में स्थित है। इसमें अन्य प्रकार के मूलभूत संरचना पर रेखित क्षेत्र निर्भरता से उत्पन्न प्रभाव सम्मिलित हैं।) सदस्य राज्यों को अपने क्षेत्रों में महत्वपूर्ण मूलभूत संरचना की पहचान करने और उन्हें ईसीआई के रूप में नामित करने की आवश्यकता है। इस पदनाम के बाद, ईसीआई के अधिष्ठाता/ संचालकों को संचालक सुरक्षा योजनाएँ (ओएसपी) बनाने की आवश्यकता होती है, जो उनकी सुरक्षा के लिए प्रासंगिक सुरक्षा हल स्थापित करें।
नागरिक और दंड विधि
- परिषद रूपरेखा निर्णय 2005/222/JHA 24 फरवरी 2005 को सूचना प्रणाली के विरुद्ध आक्षेपों पर। विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतर्राष्ट्रीय सहयोग सहित) और दायित्व के समस्याओं को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य निर्णय। क्षेत्र: सदस्य राज्यों को अपने राष्ट्रीय वैध संरचना में संरचना निर्णय के प्रावधानों को लागू करने की आवश्यकता है। संरचना निर्णय आरएम/आरए के लिए प्रासंगिक है क्योंकि इसमें ऐसी प्रतिबन्धें सम्मिलित हैं जिनके अंतर्गत वैध इकाई के भीतर प्राधिकरण के कुछ प्राकृतिक व्यक्तियों के संचालन के लिए वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है। इस प्रकार, रूपरेखा के निर्णय के लिए आवश्यक है कि संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त रूप से देख-रेख की जाए, क्योंकि निर्णय में कहा गया है कि एक वैध इकाई को इस संबंध में चूक के कृत्यों के लिए उत्तरदायी ठहराया जा सकता है।

यूरोपीय परिषद्

साइबर अपराध पर यूरोप सम्मेलन की परिषद, बुडापेस्ट, 23.11.2001, यूरोपियन ट्रीटी शृंखला संख्या। 185. विषय: भौतिक आपराधिक नियम (अर्थात विशिष्ट अपराधों की परिभाषा), प्रक्रियात्मक आपराधिक नियम (जांच उपायों और अंतरराष्ट्रीय सहयोग सहित), दायित्व समस्याओं और डेटा प्रतिधारण को सम्मिलित करते हुए साइबर अपराध के क्षेत्र में राष्ट्रीय प्रावधानों के सामंजस्य के उद्देश्य से सामान्य संधि। अनुच्छेद 2 से 10 में आपराधिक अपराधों की श्रृंखला की परिभाषा के अतिरिक्त, सम्मेलन आरएम/आरए के लिए प्रासंगिक है क्योंकि यह उन प्रतिबन्धों को बताता है जिनके अंतर्गत वैध संस्थाओं पर वैध दायित्व लगाया जा सकता है ताकि वैध इकाई के अंतर्गत प्राधिकरण के कुछ प्राकृतिक व्यक्तियों का संचालन किया जा सके। इस प्रकार, सम्मेलन के लिए आवश्यक है कि एक संगठन के भीतर ऐसे आंकड़ों के संचालन की पर्याप्त देख-रेख की जाए, क्योंकि सम्मेलन में कहा गया है कि इस संबंध में चूक के कृत्यों के लिए वैध इकाई को उत्तरदायी ठहराया जा सकता है।

संयुक्त राज्य

संयुक्त राज्य अमेरिका ने निम्नलिखित जारी किया, विषय द्वारा विभाजित:

नागरिक और दंड विधि
- इलेक्ट्रॉनिक खोज के संबंध में नागरिक प्रक्रिया के संघीय नियमों में संशोधन। विषय: नागरिक कार्यवाही में इलेक्ट्रॉनिक प्रपत्रों के उत्पादन के संबंध में यू.एस. संघीय नियम। खोज नियम नागरिक कार्यवाही में एक पक्ष को यह मांग करने की अनुमति देते हैं कि विरोधी पक्ष अपने अधिकार में सभी प्रासंगिक प्रपत्र (अनुरोधकर्ता पक्ष द्वारा परिभाषित किया जाना) प्रस्तुत करते है, ताकि पक्ष और अदालत को स्थिति का उचित आकलन करने की अनुमति मिल सके। ई-खोज संशोधन के माध्यम से, जो 1 दिसंबर 2006 को लागू हुआ, ऐसी सूचना में अब इलेक्ट्रॉनिक सूचना सम्मिलित हो सकती है। इसका तात्पर्य यह है कि नागरिक कार्यवाही में अमेरिकी अदालत के समक्ष लाए जा रहे किसी भी पक्ष को ऐसे प्रपत्र प्रस्तुत करने के लिए कहा जा सकता है, जिसमें किसी विशिष्ट विषय के संबंध में अंतिम रिपोर्ट, कामकाजी प्रपत्र, आंतरिक मेमो और ई-मेल सम्मिलित हैं, जो विशेष रूप से चित्रित हो भी सकते हैं और नहीं भी। कोई भी पक्ष जिसकी गतिविधियों में ऐसी कार्यवाहियों में सम्मिलित होने का संकट निहित है, इसलिए सुरक्षित भंडारण सहित ऐसी सूचना के प्रबंधन के लिए पर्याप्त सावधानी बरतनी चाहिए। विशेष रूप से: पक्ष को 'लिटिगेशन होल्ड' प्रारम्भ करने में सक्षम होना चाहिए, तकनीकी/संगठनात्मक उपाय जो यह सुनिश्चित करे कि किसी भी प्रासंगिक सूचना को किसी भी प्रकार से संशोधित नहीं किया जा सकता है। भंडारण नीतियों को उत्तरदायी होना चाहिए: जबकि सामान्य सूचना प्रबंधन नीतियों ('नियमित, सूचना प्रणाली का ठीक-विश्वास संचालन', नियम 37 (एफ) का एक भाग होने पर निश्चित रूप से विशिष्ट सूचना को हटाने की अनुमति है, स्वेच्छाचारी विनाश संभावित रूप से प्रासंगिक सूचना को अत्यधिक उच्च अर्थ दण्ड (1.6 बिलियन यूएस डॉलर के विशिष्ट स्थिति में) द्वारा दंडित किया जा सकता है। इस प्रकार, व्यवहार में, अमेरिकी अदालतों के समक्ष नागरिक वाद का संकट उठाने वाले किसी भी व्यवसाय को पर्याप्त सूचना प्रबंधन नीतियों को लागू करना चाहिए, और वाद को रोकने के लिए आवश्यक उपायों को लागू करना चाहिए।
निजता
- कैलिफ़ोर्निया उपभोक्ता निजता अधिनियम (सीसीपीए)
- कैलिफ़ोर्निया निजता अधिकार अधिनियम (सीपीआरए)
- ग्राम-लीच-ब्लीली एक्ट (जीएलबीए)
- यूएसए पैट्रियट अधिनियम, शीर्षक III
- स्वास्थ्य बीमा सुवाह्यता और उत्तरद�

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

Anonymous

Search