विषय-सूचि
रिस्क क्या है? (what is risk)
रिस्क मैनेजमेंट से पहले हमे ये जानना जरूरी है कि आखिर रिस्क क्या है? रिस्क का सीधा सरल अर्थ हुआ एसेट, कमजोरियों और थ्रेट की मिलावट।
A+T+V = R
यहाँ, A= एसेट्स, T= थ्रेट्स और V= Vulnaribility
NIST SP 800-30 रिस्क मैनेजमेंट गाइड (सूचना तकनीक के लिए) के लोग रिस्क को ऐसे परिभाषित करते हैं- “कमजोरियों का इस्तेमाल कर के हुए थ्रेट-सोर्स को एक्सरसाइज करने जैसी किसी चीज का फंक्शन”। इसका अर्थ हुआ किसी आर्गेनाइजेशन पर हुए गलत आक्रमण का कोई उलटा या खराब असर।
रिस्क मैनेजमेंट के प्रमुख भाग हैं:
- थ्रेट्स
- वुल्नारिबिलिटी
- इम्पैक्ट (जैसे कि होने वाली हानि)
- होने की सम्भावना जैसे कि किसी घटना की प्रोबबिलिटी – वुल्नारिबिलिटी का थ्रेट सफल एक्सप्लॉइट – जो होगा)
रिस्क मैनेजमेंट के स्टेप्स (process of risk management in hindi)
वो हर चीज थ्रेट है जो अचानक से या जान-बुझ कर सिस्टम की कमजोरियों का फायदा उठा सके याकिसी एसेट को खराब या डिस्ट्रॉय कर सके।
यहाँ एसेट का अर्थ कुछ भी हो सकता है जैसे कि लोग, सम्पत्ति, या फिर कोई सूचना। ये एसेट ही होते हैं जिन्हें हमें सुरक्षा देनी होती है और थ्रेट वो होते हैं जिसके खिलाफ ये सुरक्षा चाहिए होती है।
वहीं वुल्नेराबिलिटी का अर्थ हुआ हमारे सिस्टम की कोई कमजोरी या फिर हमारे सुरक्षा के प्रयास में कोई खामी
रिस्क को हैंडल करने की पूरी प्रक्रिया को निम्नलिखित स्टेज में बांटा गया है:
- कॉन्टेक्स्ट एस्टाब्लिश्मेंट
- रिस्क असेसमेंट
- रिस्क आइडेंटिफिकेशन
- रिस्क एस्टीमेशन
- रिस्क इवैल्यूएशन
- रिस्क मैनेजमेंट/mitigation
- रिस्क assumption
- रिस्क avoidance
- रिस्क limitation
- रिस्क प्लानिंग
- रिसर्च और Acknowledgement
- रिस्क ट्रांस्फेरेंस
- रिस्क कम्युनिकेशन
- रिस्क मोनिटरिंग और रिव्यु
- IT इवैल्यूएशन और असेसमेंट
अब हम इन सब के बारे में एक-एक कर विस्तृत तरीके से समझेंगे।
1. कॉन्टेक्स्ट एस्टाब्लिश्मेंट (context establishment in hindi)
इस स्टेप में निम्नलिखित चीजों को प्राप्त किया जाता है:
- आर्गेनाइजेशन के बारे में
- मूल शर्तें
- स्कोप
- रिस्क मैनेजमेंट के कार्यों की बाउंड्री
इसके अलावे रिस्क मैनेजमेंट से जुड़े आर्गेनाइजेशन के सारे डाटा को अच्छी तरह से अध्ययन करना भी काफी जरूरी होता है।
आर्गेनाइजेशन के मिशन, वैल्यूज, स्ट्रक्चर, रणनीति, लोकेशन और सांस्कृतिक माहौल को अच्छी तरह से और काफी गहराई से अध्ययन किया जाता है ताकि इसके स्कोप और बाउंड्री का ठीक तरह से विश्लेषण हो सके। आर्गेनाइजेशन के सारे constraint ()बजट, कल्चर, राजनितिक, तकनीकी) को जमा किया जाता है और स्टेप बाई स्टेप कर के उसे एक डॉक्यूमेंट में रखा जाता है।
आर्गेनाइजेशन के अंदर रिस्क मैनेजमेंट की व्यवस्था देखने के लिए निम्नलिखित लोग हो सकते हैं:
- सीनियर मैनेजमेंट
- चीफ इनफार्मेशन ऑफिसर (CIO)
- सिस्टम और इनफार्मेशन के ओनर्स
- बिज़नस और फंक्शनल मेनेजर
- इनफार्मेशन सिस्टम सिक्यूरिटी ऑफिसर (ISSO) या चीफ इनफार्मेशन सिक्यूरिटी ऑफिसर (CISO)
- ITसिक्यूरिटी प्रक्टिसनर्स
- सिक्यूरिटी अवेयरनेस ट्रेनीज
2. रिस्क असेसमेंट (risk assessment in hindi)
रिस्क मैनेजमेंट एक रिकरंट कार्यकलाप है जबकि रिस्क मैनेजमेंट रिस्क अस्सेस्मेंट को कुछ अलग-अलग पॉइंट्स पर तब तक किया जाता है जबतक कि अगले अस्सेस्मेंट की बारी ना आ जाये। रिस्क असेसमेंट का अर्थ हुआ जाने-पहचाने या अपरिचित थ्रेट या कमजोरियों के विश्लेषण की प्रक्रिया जिस इ कि होने वाली हानि का पहले ही अंदाजा लग सके। इसमें सिस्टम के अंदर स्वीकृति की डिग्री को स्थापित करना भी आता है।
रिस्क असेसमेंट कॉन्टेक्स्ट एस्टाब्लिश्मेंट फेज से इनपुट प्राप्त करता है और और आउटपुट के रूप में एड्रेस किये गये रिस्क की लिस्ट देता है। यहाँ पर रिस्क की प्रायोरिटी को रिस्क इवैल्यूएशन के क्राइटेरिया के तहत परिभाषित किया जाता है।
रिस्क आइडेंटिफिकेशन (risk identification in hindi)
इन स्टेप में हम निम्न चीजों की पहचान करते हैं:
- एसेट
- थ्रेट्स
- मौजूं और प्लान किये गये सिक्यूरिटी के उपाय
- कमजोरियां
- परिणाम
- सम्बन्धित बिज़नस प्रक्रिया
इसके आउटपुट के रूप में निम्न चीजें आती है:
- एसेट और सम्बन्धित बिज़नस प्रक्रिया की एक लिस्ट जिसके साथ उनसे जुड़े थ्रेट और सिक्यूरिटी के मौजूदा या भविष्य के लिए प्लान किये गये उपाय भी होते हैं।
- lखामियों की एक ऐसी लिस्ट जो पहचाने गये किसी भी थ्रेट से सम्बन्धित न हो।
- परिणामस्वरूप होने वाली घ्तनों या असर का एक लिस्ट।
रिस्क एस्टीमेशन (risk estimation in hindi)
रिस्क असेसमेंट के कुल दो मेथड होते हैं:
1. क्वांटिटेटिव रिस्क मैनेजमेंट (quantitative risk management in hindi)
इस मेथड को आर्गेनाइजेशन के द्वारा ज्यादा प्रयोग नहीं किया जातासिवाय वित्तीय संस्थाओं या बीमा कम्पनियों के। क्वांटिटेटिव रिस्क का गणितीय रूप में अर्थ हुआ Annualised Loss Expetency (ALE). ये एक एसेट के लिए आकलन किया हुआ वितत्य हानी होता है जी किसी रिस्क के एक साल बाद पहचाने जाने के कारण हो सकता है।
ALE= SLE * ARO
Single Loss Expectancy (SLE) किसी एसेट के सिंगल हानि का मान होता है। ये पूरा एसेट हो भी सकता है या नहीं भी। Annualised Rate of Occurrence (ARO) का अर्थ हुआ कितनी बार रिस्क आते हैं। ये एक सम्भावना है।
थ्योरी के रूप में देखा जाए तो रिस्क असेसमेंट एक सीधा-सादा प्रक्रिया दिखता है लेकिन ऐसा नहीं है क्योंकि पैरामीटर्स को मान देने में दिक्कतें आती है।यहाँ सिस्टम के कोस्ट को परिभाषित करना आसान होता है लेकिन कुछ इनडायरेक्ट कोस्ट जैसे कि सूचनाओं का मान, खोई हुई प्रोडक्शन के क्रियाकलाप, और रिकवर किया जाने वाला कोस्ट- इन सबकोएकदम सही से परिभाषित करना कठिन होता है। बांकी चीजों की सम्भावना पूरे सही तरहस इ ज्ञात नहीं होती।
इसीलिए क्वांटिटेटिव रिस्क असेसमेंट में गलतियों की एक बड़ी मार्जिन होती है। सही और पूरे सूचनाओं की अनुपस्थिति के कारण किसी IT सिस्टम में इसे परफॉर्म करना कोस्ट इफेक्टिव नहीं होता।
2. क्वांटिटेटिव रिस्क असेसमेंट (quantitative risk assessment in hindi)
क्वांटिटेटिव रिस्क असेसमेंट सम्भावना, असर के मान और रिस्क को सब्जेक्टिव तौर पे परिभाषित करता है इस बात का ध्यान रखते हुए कि सम्भावना और असर के मान काफी अनिश्चितता भरे होते हैं। क्वांटिटेटिव रिस्क अस्सेस्मेंट हमे सामान्यतः रिस्क के परिणाम के रूप में “High”, “Moderate” और “Low” देता है। क्वांटिटेटिव रिस्क असेसमेंट को करने के लिए निम्नलिखित स्टेप्स को फॉलो करना जरूरी होता है:-
- थ्रेअट्स की पहचान: थ्रेट और थ्रेट के सारे सोर्स की पहचान करना काफी जरूरी होता है। थ्रेट के साथ थ्रेट सोर्स भी होने चाहिए जिस से सही आकलन हो पाए। आर्गेनाईजेशन के आसपास मंडरा रहे सारे सम्भव थ्रेट की एक लिस्ट बनाना महत्वपूर्ण होता है। बाद में फिर इसी लिस्ट का प्रयोग रिस्क मैनेजमेंट से जुड़े क्रियाकलापों के लिए किया जाता है। अब हम आपको बताते हैं कि थ्रेट और थ्रेट सोर्स के कुछ प्रमुख उदाहरण कौन-कौन से हैं:
- प्राकृतिक थ्रेट-बाढ़, भूकंप इत्यादि।
- मनुष्य वाले थ्रेट- वायरस, वर्म्स इत्यादि।
- पर्यावरण थ्रेट-बिजली का चले जाना, प्रदूषण इत्यादि।
- खामियों की पहचान:खामियों यानी कि वुल्नेराबिलिटी को पहचाने के बहुत से माध्यम हैं। इसके लिए निम्नलिखित टूल्स का प्रयोग करते हैं:
- वुल्नेराबिलिटी स्कैनर– ये एक ऐसा सॉफ्टवेर है जो डेटाबेस के फ्लाव सिग्नेचर के विरुद्ध ऑपरेटिंग सिस्टम या कोड की तुलना करता है ।
- Penetration टेस्टिंग– इसमें कोई ह्यूमन सिक्यूरिटी विश्लेषक सिस्टम के विरुद्ध थ्रेट का विश्लेषण करता है जिसमे सोशल इंजीनियरिंग जैसी ओपेरनितिओन खामियां भी शामिल होती है।
- ऑपरेशन और मनागेमेंट्स कंट्रोल्स का ऑडिट– ऑपरेशनल और मैनेजमेंट कंट्रोल्स को अभी के डॉक्यूमेंट और बेस्ट प्रैक्टिस की तुलना कर के समीक्षा की जाती है। उदाहरण के तौर पर ISO 17799 और असली प्रैक्टिस को अभी के डॉक्यूमेंट प्रक्रिया से तुलना करना।
- थ्रेट और खामियों में स्म्बन्द स्थापित करना: रिस्क असेसमेंट के अंदर ये सबसे कठिन और जरूरी स्टेप होता है। T-V (थ्रेट और वुलेनारिबिलिटी) के पेअर लिस्ट को स्थापित करने के लिए एक-एक खामियों को सभी थ्रेट के साथ जोड़ कर आकलन किया जाता है और फिर थ्रेट लिस्ट की समीक्षा की जाती है। फिर ये सुनिश्चित किया जाता है कि जिन खामियों के कारण जो थ्रेट आ रहे हैं उनके खिलाफ क्या एक्शन लिया जाये।
- LIkelihood को परिभाषित करना: सम्भावना का मतलब हुआ थ्रेट सोर्स के द्वारा आने वाले थ्रेट की प्रोबबिलिटी जो किसी कमजोरी का फायदा उठा कर आ सकती है। सैंपल likelihood के परिभाषा ऐसे होते हैं: Low – एक साल के दौरानथ्रेट के सफल एक्सरसाइज का 0-30% चांस। Moderate – थ्रेट के सफल एक्सरसाइज का एक साल के दौरान 31-70% चांस। High – थ्रेट के एक साल में सफल एक्सरसाइज का 71-100% चांस।
ये बस एक सैंपल परिभाषाएं हैं। इसके अलावा आर्गेनाईजेशन अपना अलग परिभाषा भी प्रयोग कर सकते हैं जैसे कि, Very Low, Low, Moderate, High, Very High इत्यादि। - असर को परिभाषित करना: Impact is best defined in terms of impact upon confidentiality, integrity and availability. Sample definitions for impact are as follows: इम्पैक्ट यानी असर को confidentiality, इंटीग्रिटी और अवैलाबिलिटी पर हुए असर के तौर पर परिभाषित करते हैं। इम्पैक्ट के लिए सैंपल परिभाषाएं निम्नलिखित हो सकती है:
स्थिति Confidentiality अवैलाबिलिटी Low Confidentiality के हानि का आर्गेनाईजेशन पर सिमित असर होता है। अवैलाबिलिटी के हानि का आर्गेनाइजेशन पर सिमित असर होता है। इंटीग्रिटी के हानि का आर्गेनाइजेशन पर सिमित असर होता है। Medium Confidentiality के हानि का आर्गेनाइजेशन पर ज्यादा असर होता है। अवैलाबिलिटी के हानि का आर्गेनाईजेशन पर ज्यादा असर होता है। इंटीग्रिटी के हानि का आर्गेनाइजेशन पर ज्यादा असर होता है। High Confidentiality के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है। अवैलाबिलिटी के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है। इंटीग्रिटी के हानि का आर्गेनाइजेशन पर बहुत ही ज्यादा असर होता है। अब हम देखते हैं कि आर्गेनाइजेशन इफ़ेक्ट के उदाहरण को:
असर का प्रकार मिशन की क्षमता पर असर वित्तीय हानि लोगों जीवन पर असर सिमित असर एक या उस से ज्यादा छोटे-मोटे मिशन की क्षमताओं की अस्थाई हानि। Rs 50, 000 के नीचे थोडा-मोरा नुक्सान सीरियस असर लम्बे समय के लिए एक या उस से ज्यादा छोटे-मोटे क्षमता की हानि। या फिर एक या उस से ज्यादा मिशन की क्षमताओं की अस्थाई हानि। Rs 50, 000- Rs 1, 00, 000 ज्यादा नुक्सान भारी असर एक या उस से ज्यादा महत्वपूर्ण मिशन की क्षमताओं की लम्बे समय के लिए हानि। Rs 1, 00, 000 से भी ज्यादा जान की हानि - Assessing Risk: रिस्क को अस्सेस करने का अर्थ हुआ किसी खामी के विरुद्ध थ्रेट के एक्सरसाइज होने की सम्भावना की प्रक्रिया को तय करना। ये एक सफल कोम्प्रोमाईज़ का परिणाम हो सकता है। सैंपल रिस्क determination मैट्रिक्स इस प्रकार का होता है:
असर (Impact) High Moderate Low सम्भावना (Likelihood) High High High Moderate Moderate High Moderate Low Low Moderate Low Low 3. रिस्क इवैल्यूएशन
रिस्क इवैल्यूएशन की प्रक्रिया इनपुट के तौर पर रिस्क एनालिसिस की प्रक्रिया को के आउटपुट को लेती है। ये पहले प्रत्येक रिस्क लेवल को रिस्क स्वीकृति क्राइटेरिया के विरूद्ध तुलना करता है और फिर रिक के लिस्ट को प्रायोरिटी के आधार पर तय करता है जिस्म रिस्क ट्रीटमेंट इंडिकेशन भी होते हैं।
3. रिस्क Mitigation/ मैनेजमेंट–
रिस्क mitigation के अंदर रिस्क असेसमेंट प्रक्रिया के अंदर से प्रिओरोटी देना, इवैल्यूएशन करना, और सही रिस्क कम करने वाले कंट्रोल्स को implement करने जैसे चीजें आती है। चूँकि किसी आर्गेनाइजेशन में से सारे के सारे रिस्क को हटाना लगभग असम्भव काम है, इसीलिए ये सीनियर मैनेजमेंट और फंक्शनल और बिज़नस मेनेजर के काम होते हैं कि वो लीस्ट कोस्ट एप्रोच अपनाएं रिस्क को स्वीकृत लेवल तक कम करने के लिए सही तरीकों का इस्तेमाल करें।
NIST SP 800 30 फ्रेमवर्क के अनुसार रिस्क mitigation में ये छः स्टेप्स आते हैं:
- Risk Assumption: इसका मतलब हुआ रिस्क कोस विकार कर लेना और सारे कार्य जारी रखना लेकिन साथ-साथ कंट्रोल्स को भी implement करते रहना।
- Risk Avoidance: इसका मतलब हुआ रिस्क के परिणाम या उसकी वजह से हुई गड़बड़ी को हटाना जिस से रिस्क के कारण कुछ काम बंद न हो जाये या सिस्टम काम करना ना बंद कर दे जब रिस्क की पहचान हो तो।
- Risk Limitation: ऐसे कण्ट्रोल लगाना जिस से कि रिस्क रिस्क सिमित हो जाये और उसके असर कम हो जाएँ कमजोरियों के विरुद्ध आ रहे रिस्क का असर कम हो जाये। जैसे कि, सपोर्ट, प्रिवेंट और डिटेक्ट करने वाले कंट्रोल्स का प्रयोग करना।
- Risk Planning: प्लान बना कर रिस्क को मैनेज करना जो कि कण्ट्रोल को प्रायोरिटी देकर इमप्लेमेंट करे और मेन्टेन करे।
- Research and Acknowledgement: इस स्टेप में कमजोरियों या खराबियों को एकनॉलेज किया जाता है उसे ठीक करने के लिए researching कंट्रोल्स लगाए जाते हैं।
- Risk Transference: इसका मतलब हुआ रिस्क को ट्रान्सफर कर के हानि की भारपाई करना। जैसे कि 100% बीमा कि गारंटी लेकर सारे तो नहीं लेकिन कुछ हानि की भारपाई हो सकती है।
4. रिस्क कम्युनिकेशन –
इस स्टेप का प्रमुख लक्ष्य है संचार करना, रिस्क के सभी पहलुओं की एक्स अमझ तैयार करना और फिर उसे आर्गेनाईजेशन के लोगों को दिखाना। एक कॉमन समझ को विकसित या स्थापित करना महत्वपूर्ण है क्योंकि ये लिए जाने वाले निर्णयों पर प्रभाव डालता है।
5. रिस्क मोनिटरिंग और रिव्यु –
सुरक्षा के मापदंडों की लगातार समीक्षा की जाती है ताकि ये सुनिश्चित हो सके कि सबकुछ प्लान के अनुसार काम कर रहा है और वातावरण में बदलाव से कुछ ज्यादा असर नहीं हो रहा। कार्य के माहौल में कुछ जरूरी बदलाव कर के सुरक्षा के मापदंडों को भी समय-समय पर अपडेट किया जाना चाहिए। बिज़नस कि जारूरतें, कमजोरियां और थ्रेट में समय के साथ बदलाव होते रहते हैं। किसी तीसरे पार्टी द्वारा समय-समय पर ऑडिट कराया जाना चाहिए।
6. IT इवैल्यूएशन और असेसमेंट –
सिक्यूरिटी कण्ट्रोल की जांच होनी चाहिए। तकनीकी कंट्रोल्स ऐसे सिस्टम होते हैं जिनकी टेस्टिंग और वेरिफिकेशन होनी चाहिए। वुल्नेराबिलिटी असेसमेंट और penetration टेस्ट का प्रयोग कर के सिक्यूरिटी कण्ट्रोल को वेरीफाई किया जाता है। किसी सिक्यूरिटी मोनिटरिंग रणनीति के अनुसार सिस्टम इवेंट की मोनिटरिंग होनी चाहिए।
- थ्रेअट्स की पहचान: थ्रेट और थ्रेट के सारे सोर्स की पहचान करना काफी जरूरी होता है। थ्रेट के साथ थ्रेट सोर्स भी होने चाहिए जिस से सही आकलन हो पाए। आर्गेनाईजेशन के आसपास मंडरा रहे सारे सम्भव थ्रेट की एक लिस्ट बनाना महत्वपूर्ण होता है। बाद में फिर इसी लिस्ट का प्रयोग रिस्क मैनेजमेंट से जुड़े क्रियाकलापों के लिए किया जाता है। अब हम आपको बताते हैं कि थ्रेट और थ्रेट सोर्स के कुछ प्रमुख उदाहरण कौन-कौन से हैं:
इस लेख से सम्बंधित यदि आपका कोई भी सवाल या सुझाव है, तो आप उसे नीचे कमेंट में लिख सकते हैं।