Mon. Dec 23rd, 2024
    रिस्क मैनेजमेंट risk management in hindi

    विषय-सूचि

    रिस्क क्या है? (what is risk)

    रिस्क मैनेजमेंट से पहले हमे ये जानना जरूरी है कि आखिर रिस्क क्या है? रिस्क का सीधा सरल अर्थ हुआ एसेट, कमजोरियों और थ्रेट की मिलावट।

    A+T+V = R

    यहाँ, A= एसेट्स, T= थ्रेट्स और V= Vulnaribility

    NIST SP 800-30 रिस्क मैनेजमेंट गाइड (सूचना तकनीक के लिए) के लोग रिस्क को ऐसे परिभाषित करते हैं- “कमजोरियों का इस्तेमाल कर के हुए थ्रेट-सोर्स को एक्सरसाइज करने जैसी किसी चीज का फंक्शन”। इसका अर्थ हुआ किसी आर्गेनाइजेशन पर हुए गलत आक्रमण का कोई उलटा या खराब असर।

    रिस्क मैनेजमेंट के प्रमुख भाग हैं:

    • थ्रेट्स
    • वुल्नारिबिलिटी
    • इम्पैक्ट (जैसे कि होने वाली हानि)
    • होने की सम्भावना जैसे कि किसी घटना की प्रोबबिलिटी – वुल्नारिबिलिटी का थ्रेट सफल एक्सप्लॉइट – जो होगा)

    रिस्क मैनेजमेंट के स्टेप्स (process of risk management in hindi)

    वो हर चीज थ्रेट है जो अचानक से या जान-बुझ कर सिस्टम की कमजोरियों का फायदा उठा सके याकिसी एसेट को खराब या डिस्ट्रॉय कर सके।

    यहाँ एसेट का अर्थ कुछ भी हो सकता है जैसे कि लोग, सम्पत्ति, या फिर कोई सूचना। ये एसेट ही होते हैं जिन्हें हमें सुरक्षा देनी होती है और थ्रेट वो होते हैं जिसके खिलाफ ये सुरक्षा चाहिए होती है।

    वहीं वुल्नेराबिलिटी का अर्थ हुआ हमारे सिस्टम की कोई कमजोरी या फिर हमारे सुरक्षा के प्रयास में कोई खामी

    रिस्क को हैंडल करने की पूरी प्रक्रिया को निम्नलिखित स्टेज में बांटा गया है:

    1. कॉन्टेक्स्ट एस्टाब्लिश्मेंट
      • रिस्क असेसमेंट
      • रिस्क आइडेंटिफिकेशन
      • रिस्क एस्टीमेशन
      • रिस्क इवैल्यूएशन
      • रिस्क मैनेजमेंट/mitigation
      • रिस्क assumption
      • रिस्क avoidance
      • रिस्क limitation
      • रिस्क प्लानिंग
      • रिसर्च और Acknowledgement
      • रिस्क ट्रांस्फेरेंस
    2. रिस्क कम्युनिकेशन
    3. रिस्क मोनिटरिंग और रिव्यु
    4. IT इवैल्यूएशन और असेसमेंट

    अब हम इन सब के बारे में एक-एक कर विस्तृत तरीके से समझेंगे।

    1. कॉन्टेक्स्ट एस्टाब्लिश्मेंट (context establishment in hindi)

    इस स्टेप में निम्नलिखित चीजों को प्राप्त किया जाता है:

    • आर्गेनाइजेशन के बारे में
    • मूल शर्तें
    • स्कोप
    • रिस्क मैनेजमेंट के कार्यों की बाउंड्री

    इसके अलावे रिस्क मैनेजमेंट से जुड़े आर्गेनाइजेशन के सारे डाटा को अच्छी तरह से अध्ययन करना भी काफी जरूरी होता है।

    आर्गेनाइजेशन के मिशन, वैल्यूज, स्ट्रक्चर, रणनीति, लोकेशन और सांस्कृतिक माहौल को अच्छी तरह से और काफी गहराई से अध्ययन किया जाता है ताकि इसके स्कोप और बाउंड्री का ठीक तरह से विश्लेषण हो सके। आर्गेनाइजेशन के सारे constraint ()बजट, कल्चर, राजनितिक, तकनीकी) को जमा किया जाता है और स्टेप बाई स्टेप कर के उसे एक डॉक्यूमेंट में रखा जाता है।

    आर्गेनाइजेशन के अंदर रिस्क मैनेजमेंट की व्यवस्था देखने के लिए निम्नलिखित लोग हो सकते हैं:

    1. सीनियर मैनेजमेंट
    2. चीफ इनफार्मेशन ऑफिसर (CIO)
    3. सिस्टम और इनफार्मेशन के ओनर्स
    4. बिज़नस और फंक्शनल मेनेजर
    5. इनफार्मेशन सिस्टम सिक्यूरिटी ऑफिसर (ISSO) या चीफ इनफार्मेशन सिक्यूरिटी ऑफिसर (CISO)
    6. ITसिक्यूरिटी प्रक्टिसनर्स
    7. सिक्यूरिटी अवेयरनेस ट्रेनीज

    2. रिस्क असेसमेंट (risk assessment in hindi)

    रिस्क मैनेजमेंट एक रिकरंट कार्यकलाप है जबकि रिस्क मैनेजमेंट रिस्क अस्सेस्मेंट को कुछ अलग-अलग पॉइंट्स पर तब तक किया जाता है जबतक कि अगले अस्सेस्मेंट की बारी ना आ जाये। रिस्क असेसमेंट का अर्थ हुआ जाने-पहचाने या अपरिचित थ्रेट या कमजोरियों के विश्लेषण की प्रक्रिया जिस इ कि होने वाली हानि का पहले ही अंदाजा लग सके। इसमें सिस्टम के अंदर स्वीकृति की डिग्री को स्थापित करना भी आता है।

    रिस्क असेसमेंट कॉन्टेक्स्ट एस्टाब्लिश्मेंट फेज से इनपुट प्राप्त करता है और और आउटपुट के रूप में एड्रेस किये गये रिस्क की लिस्ट देता है। यहाँ पर रिस्क की प्रायोरिटी को रिस्क इवैल्यूएशन के क्राइटेरिया के तहत परिभाषित किया जाता है।

    1. रिस्क आइडेंटिफिकेशन (risk identification in hindi)

      इन स्टेप में हम निम्न चीजों की पहचान करते हैं:

      • एसेट
      • थ्रेट्स
      • मौजूं और प्लान किये गये सिक्यूरिटी के उपाय
      • कमजोरियां
      • परिणाम
      • सम्बन्धित बिज़नस प्रक्रिया

      इसके आउटपुट के रूप में निम्न चीजें आती है:

      • एसेट और सम्बन्धित बिज़नस प्रक्रिया की एक लिस्ट जिसके साथ उनसे जुड़े थ्रेट और सिक्यूरिटी के मौजूदा या भविष्य के लिए प्लान किये गये उपाय भी होते हैं।
      • lखामियों की एक ऐसी लिस्ट जो पहचाने गये किसी भी थ्रेट से सम्बन्धित न हो।
      • परिणामस्वरूप होने वाली घ्तनों या असर का एक लिस्ट।
    2. रिस्क एस्टीमेशन (risk estimation in hindi)

      रिस्क असेसमेंट के कुल दो मेथड होते हैं:

      1. क्वांटिटेटिव रिस्क मैनेजमेंट (quantitative risk management in hindi)

      इस मेथड को आर्गेनाइजेशन के द्वारा ज्यादा प्रयोग नहीं किया जातासिवाय वित्तीय संस्थाओं या बीमा कम्पनियों के। क्वांटिटेटिव रिस्क का गणितीय रूप में अर्थ हुआ Annualised Loss Expetency (ALE). ये एक एसेट के लिए आकलन किया हुआ वितत्य हानी होता है जी किसी रिस्क के एक साल बाद पहचाने जाने के कारण हो सकता है।

      ALE= SLE * ARO

      Single Loss Expectancy (SLE) किसी एसेट के सिंगल हानि का मान होता है। ये पूरा एसेट हो भी सकता है या नहीं भी। Annualised Rate of Occurrence (ARO) का अर्थ हुआ कितनी बार रिस्क आते हैं। ये एक सम्भावना है।

      थ्योरी के रूप में देखा जाए तो रिस्क असेसमेंट एक सीधा-सादा प्रक्रिया दिखता है लेकिन ऐसा नहीं है क्योंकि पैरामीटर्स को मान देने में दिक्कतें आती है।यहाँ सिस्टम के कोस्ट को परिभाषित करना आसान होता है लेकिन कुछ इनडायरेक्ट कोस्ट जैसे कि सूचनाओं का मान, खोई हुई प्रोडक्शन के क्रियाकलाप, और रिकवर किया जाने वाला कोस्ट- इन सबकोएकदम सही से परिभाषित करना कठिन होता है। बांकी चीजों की सम्भावना पूरे सही तरहस इ ज्ञात नहीं होती।

      इसीलिए क्वांटिटेटिव रिस्क असेसमेंट में गलतियों की एक बड़ी मार्जिन होती है। सही और पूरे सूचनाओं की अनुपस्थिति के कारण किसी IT सिस्टम में इसे परफॉर्म करना कोस्ट इफेक्टिव नहीं होता।

      2. क्वांटिटेटिव रिस्क असेसमेंट (quantitative risk assessment in hindi)

      क्वांटिटेटिव रिस्क असेसमेंट सम्भावना, असर के मान और रिस्क को सब्जेक्टिव तौर पे परिभाषित करता है इस बात का ध्यान रखते हुए कि सम्भावना और असर के मान काफी अनिश्चितता भरे होते हैं। क्वांटिटेटिव रिस्क अस्सेस्मेंट हमे सामान्यतः रिस्क के परिणाम के रूप में “High”, “Moderate” और “Low” देता है। क्वांटिटेटिव रिस्क असेसमेंट को करने के लिए निम्नलिखित स्टेप्स को फॉलो करना जरूरी होता है:-

      1. थ्रेअट्स की पहचान: थ्रेट और थ्रेट के सारे सोर्स की पहचान करना काफी जरूरी होता है। थ्रेट के साथ थ्रेट सोर्स भी होने चाहिए जिस से सही आकलन हो पाए। आर्गेनाईजेशन के आसपास मंडरा रहे सारे सम्भव थ्रेट की एक लिस्ट बनाना महत्वपूर्ण होता है। बाद में फिर इसी लिस्ट का प्रयोग रिस्क मैनेजमेंट से जुड़े क्रियाकलापों के लिए किया जाता है। अब हम आपको बताते हैं कि थ्रेट और थ्रेट सोर्स के कुछ प्रमुख उदाहरण कौन-कौन से हैं:
        • प्राकृतिक थ्रेट-बाढ़, भूकंप इत्यादि।
        • मनुष्य वाले थ्रेट- वायरस, वर्म्स इत्यादि।
        • पर्यावरण थ्रेट-बिजली का चले जाना, प्रदूषण इत्यादि।
      2. खामियों की पहचान:खामियों यानी कि वुल्नेराबिलिटी को पहचाने के बहुत से माध्यम हैं। इसके लिए निम्नलिखित टूल्स का प्रयोग करते हैं:
        1. वुल्नेराबिलिटी स्कैनर– ये एक ऐसा सॉफ्टवेर है जो डेटाबेस के फ्लाव सिग्नेचर के विरुद्ध ऑपरेटिंग सिस्टम या कोड की तुलना करता है ।
        2. Penetration टेस्टिंग– इसमें कोई ह्यूमन सिक्यूरिटी विश्लेषक सिस्टम के विरुद्ध थ्रेट का विश्लेषण करता है जिसमे सोशल इंजीनियरिंग जैसी ओपेरनितिओन खामियां भी शामिल होती है।
        3. ऑपरेशन और मनागेमेंट्स कंट्रोल्स का ऑडिट– ऑपरेशनल और मैनेजमेंट कंट्रोल्स को अभी के डॉक्यूमेंट और बेस्ट प्रैक्टिस की तुलना कर के समीक्षा की जाती है। उदाहरण के तौर पर ISO 17799 और असली प्रैक्टिस को अभी के डॉक्यूमेंट प्रक्रिया से तुलना करना।
      3. थ्रेट और खामियों में स्म्बन्द स्थापित करना: रिस्क असेसमेंट के अंदर ये सबसे कठिन और जरूरी स्टेप होता है। T-V (थ्रेट और वुलेनारिबिलिटी) के पेअर लिस्ट को स्थापित करने के लिए एक-एक खामियों को सभी थ्रेट के साथ जोड़ कर आकलन किया जाता है और फिर थ्रेट लिस्ट की समीक्षा की जाती है। फिर ये सुनिश्चित किया जाता है कि जिन खामियों के कारण जो थ्रेट आ रहे हैं उनके खिलाफ क्या एक्शन लिया जाये।
      4. LIkelihood को परिभाषित करना: सम्भावना का मतलब हुआ थ्रेट सोर्स के द्वारा आने वाले थ्रेट की प्रोबबिलिटी जो किसी कमजोरी का फायदा उठा कर आ सकती है। सैंपल likelihood के परिभाषा ऐसे होते हैं: Low – एक साल के दौरानथ्रेट के सफल एक्सरसाइज का 0-30% चांस। Moderate – थ्रेट के सफल एक्सरसाइज का एक साल के दौरान 31-70% चांस। High – थ्रेट के एक साल में सफल एक्सरसाइज का 71-100% चांस।
        ये बस एक सैंपल परिभाषाएं हैं। इसके अलावा आर्गेनाईजेशन अपना अलग परिभाषा भी प्रयोग कर सकते हैं जैसे कि, Very Low, Low, Moderate, High, Very High इत्यादि।
      5. असर को परिभाषित करना: Impact is best defined in terms of impact upon confidentiality, integrity and availability. Sample definitions for impact are as follows: इम्पैक्ट यानी असर  को confidentiality, इंटीग्रिटी और अवैलाबिलिटी पर हुए असर के तौर पर परिभाषित करते हैं। इम्पैक्ट के लिए सैंपल परिभाषाएं निम्नलिखित हो सकती है:
      6. स्थितिConfidentialityअवैलाबिलिटी
        LowConfidentiality के हानि का आर्गेनाईजेशन पर सिमित असर होता है।अवैलाबिलिटी के हानि का आर्गेनाइजेशन पर सिमित असर होता है।इंटीग्रिटी के हानि का आर्गेनाइजेशन पर सिमित असर होता है।
        MediumConfidentiality के हानि का आर्गेनाइजेशन पर ज्यादा असर होता है।अवैलाबिलिटी के हानि का आर्गेनाईजेशन पर ज्यादा असर होता है।इंटीग्रिटी के हानि का आर्गेनाइजेशन पर ज्यादा असर होता है।
        HighConfidentiality के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है।अवैलाबिलिटी के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है।इंटीग्रिटी के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है।

        अब हम देखते हैं कि आर्गेनाइजेशन इफ़ेक्ट के उदाहरण को:

        असर का प्रकारमिशन की क्षमता पर असरवित्तीय हानिलोगों जीवन पर असर
        सिमित असरएक या उस से ज्यादा छोटे-मोटे मिशन की क्षमताओं की अस्थाई हानि।Rs 50, 000 के नीचेथोडा-मोरा नुक्सान
        सीरियस असरलम्बे समय के लिए एक या उस से ज्यादा छोटे-मोटे क्षमता की हानि। या फिर एक या उस से ज्यादा मिशन की क्षमताओं की अस्थाई हानि।Rs 50, 000- Rs 1, 00, 000ज्यादा नुक्सान
        भारी असरएक या उस से ज्यादा महत्वपूर्ण मिशन की क्षमताओं की लम्बे समय के लिए हानि।Rs 1, 00, 000 से भी ज्यादाजान की हानि
      7. Assessing Risk: रिस्क को अस्सेस करने का अर्थ हुआ किसी खामी के विरुद्ध थ्रेट के एक्सरसाइज होने की सम्भावना की प्रक्रिया को तय करना। ये एक सफल कोम्प्रोमाईज़ का परिणाम हो सकता है। सैंपल रिस्क determination मैट्रिक्स इस प्रकार का होता है:
        असर (Impact)
        HighModerateLow
        सम्भावना (Likelihood)HighHighHighModerate
        ModerateHighModerateLow
        LowModerateLowLow

         

        3. रिस्क इवैल्यूएशन

        रिस्क इवैल्यूएशन की प्रक्रिया इनपुट के तौर पर रिस्क एनालिसिस की प्रक्रिया को के आउटपुट को लेती है। ये पहले प्रत्येक रिस्क लेवल को रिस्क स्वीकृति क्राइटेरिया के विरूद्ध तुलना करता है और फिर रिक के लिस्ट को प्रायोरिटी के आधार पर तय करता है जिस्म रिस्क ट्रीटमेंट इंडिकेशन भी होते हैं।

        3. रिस्क Mitigation/ मैनेजमेंट–

        रिस्क mitigation के अंदर रिस्क असेसमेंट प्रक्रिया के अंदर से प्रिओरोटी देना, इवैल्यूएशन करना, और सही रिस्क कम करने वाले कंट्रोल्स को implement करने जैसे चीजें आती है। चूँकि किसी आर्गेनाइजेशन में से सारे के सारे रिस्क को हटाना लगभग असम्भव काम है, इसीलिए ये सीनियर मैनेजमेंट और फंक्शनल और बिज़नस मेनेजर के काम होते हैं कि वो लीस्ट कोस्ट एप्रोच अपनाएं रिस्क को स्वीकृत लेवल तक कम करने के लिए सही तरीकों का इस्तेमाल करें।

        NIST SP 800 30 फ्रेमवर्क के अनुसार रिस्क mitigation में ये छः स्टेप्स आते हैं:

        1. Risk Assumption: इसका मतलब हुआ रिस्क कोस विकार कर लेना और सारे कार्य जारी रखना लेकिन साथ-साथ कंट्रोल्स को भी implement करते रहना।
        2. Risk Avoidance: इसका मतलब हुआ रिस्क के परिणाम या उसकी वजह से हुई गड़बड़ी को हटाना जिस से रिस्क के कारण कुछ काम बंद न हो जाये या सिस्टम काम करना ना बंद कर दे जब रिस्क की पहचान हो तो।
        3. Risk Limitation: ऐसे कण्ट्रोल लगाना जिस से कि रिस्क रिस्क सिमित हो जाये और उसके असर कम हो जाएँ कमजोरियों के विरुद्ध आ रहे रिस्क का असर कम हो जाये। जैसे कि, सपोर्ट, प्रिवेंट और डिटेक्ट करने वाले कंट्रोल्स का प्रयोग करना।
        4. Risk Planning: प्लान बना कर रिस्क को मैनेज करना जो कि कण्ट्रोल को प्रायोरिटी देकर इमप्लेमेंट करे और मेन्टेन करे।
        5. Research and Acknowledgement: इस स्टेप में कमजोरियों या खराबियों को एकनॉलेज किया जाता है उसे ठीक करने के लिए researching कंट्रोल्स लगाए जाते हैं।
        6. Risk Transference: इसका मतलब हुआ रिस्क को ट्रान्सफर कर के हानि की भारपाई करना। जैसे कि 100% बीमा कि गारंटी लेकर सारे तो नहीं लेकिन कुछ हानि की भारपाई हो सकती है।
        4. रिस्क कम्युनिकेशन –

        इस स्टेप का प्रमुख लक्ष्य है संचार करना, रिस्क के सभी पहलुओं की एक्स अमझ तैयार करना और फिर उसे आर्गेनाईजेशन के लोगों को दिखाना। एक कॉमन समझ को विकसित या स्थापित करना महत्वपूर्ण है क्योंकि ये लिए जाने वाले निर्णयों पर प्रभाव डालता है।

        5. रिस्क मोनिटरिंग और रिव्यु –

        सुरक्षा के मापदंडों की लगातार समीक्षा की जाती है ताकि ये सुनिश्चित हो सके कि सबकुछ प्लान के अनुसार काम कर रहा है और वातावरण में बदलाव से कुछ ज्यादा असर नहीं हो रहा। कार्य के माहौल में कुछ जरूरी बदलाव कर के सुरक्षा के मापदंडों को भी समय-समय पर अपडेट किया जाना चाहिए। बिज़नस कि जारूरतें, कमजोरियां और थ्रेट में समय के साथ बदलाव होते रहते हैं। किसी तीसरे पार्टी द्वारा समय-समय पर ऑडिट कराया जाना चाहिए।

        6. IT इवैल्यूएशन और असेसमेंट –

        सिक्यूरिटी कण्ट्रोल की जांच होनी चाहिए। तकनीकी कंट्रोल्स ऐसे सिस्टम होते हैं जिनकी टेस्टिंग और वेरिफिकेशन होनी चाहिए। वुल्नेराबिलिटी असेसमेंट और penetration टेस्ट का प्रयोग कर के सिक्यूरिटी कण्ट्रोल को वेरीफाई किया जाता है। किसी सिक्यूरिटी मोनिटरिंग रणनीति के अनुसार सिस्टम इवेंट की मोनिटरिंग होनी चाहिए।

    इस लेख से सम्बंधित यदि आपका कोई भी सवाल या सुझाव है, तो आप उसे नीचे कमेंट में लिख सकते हैं।

    By अनुपम कुमार सिंह

    बीआईटी मेसरा, रांची से कंप्यूटर साइंस और टेक्लॉनजी में स्नातक। गाँधी कि कर्मभूमि चम्पारण से हूँ। समसामयिकी पर कड़ी नजर और इतिहास से ख़ास लगाव। भारत के राजनितिक, सांस्कृतिक और भौगोलिक इतिहास में दिलचस्पी ।

    Leave a Reply

    Your email address will not be published. Required fields are marked *