हमारे युग में, सूचना मानव जीवन के सभी क्षेत्रों में एक प्रमुख स्थान रखती है। यह औद्योगिक युग से औद्योगिक युग के बाद समाज के क्रमिक संक्रमण के कारण है। विभिन्न सूचनाओं के उपयोग, कब्जे और हस्तांतरण के परिणामस्वरूप, सूचना जोखिम उत्पन्न हो सकते हैं जो अर्थव्यवस्था के पूरे क्षेत्र को प्रभावित कर सकते हैं।
कौन से उद्योग सबसे तेजी से बढ़ रहे हैं?
सूचना प्रवाह में वृद्धि हर साल अधिक से अधिक ध्यान देने योग्य होती जा रही है, क्योंकि तकनीकी नवाचार का विस्तार नई प्रौद्योगिकियों के अनुकूलन से संबंधित सूचनाओं के तेजी से हस्तांतरण को एक तत्काल आवश्यकता बनाता है। हमारे समय में उद्योग, व्यापार, शिक्षा और वित्त जैसे उद्योग तुरंत विकसित हो रहे हैं। यह डेटा के हस्तांतरण के दौरान होता है कि उनमें सूचना जोखिम उत्पन्न होता है।
सूचना सबसे मूल्यवान प्रकार के उत्पादों में से एक बन रही है, जिसकी कुल लागत जल्द ही उत्पादन के सभी उत्पादों की कीमत से अधिक हो जाएगी। ऐसा इसलिए होगा क्योंकिसभी भौतिक वस्तुओं और सेवाओं के संसाधन-बचत निर्माण को सुनिश्चित करने के लिए, सूचना प्रसारित करने का एक मौलिक रूप से नया तरीका प्रदान करना आवश्यक है जो सूचना जोखिमों की संभावना को बाहर करता है।
परिभाषा
हमारे समय में सूचना जोखिम की कोई स्पष्ट परिभाषा नहीं है। कई विशेषज्ञ इस शब्द की व्याख्या एक ऐसी घटना के रूप में करते हैं जिसका विभिन्न सूचनाओं पर सीधा प्रभाव पड़ता है। यह गोपनीयता का उल्लंघन, विरूपण, और यहां तक कि विलोपन भी हो सकता है। कई लोगों के लिए, जोखिम क्षेत्र कंप्यूटर सिस्टम तक सीमित है, जो मुख्य फोकस हैं।
अक्सर, इस विषय का अध्ययन करते समय, वास्तव में कई महत्वपूर्ण पहलुओं पर विचार नहीं किया जाता है। इनमें सूचना का प्रत्यक्ष प्रसंस्करण और सूचना जोखिम प्रबंधन शामिल है। आखिरकार, डेटा से जुड़े जोखिम, एक नियम के रूप में, प्राप्त करने के चरण में उत्पन्न होते हैं, क्योंकि गलत धारणा और सूचना के प्रसंस्करण की एक उच्च संभावना है। अक्सर, उन जोखिमों पर उचित ध्यान नहीं दिया जाता है जो डेटा प्रोसेसिंग एल्गोरिदम में विफलता का कारण बनते हैं, साथ ही प्रबंधन को अनुकूलित करने के लिए उपयोग किए जाने वाले कार्यक्रमों में खराबी।
कई लोग सूचना के प्रसंस्करण से जुड़े जोखिमों पर विचार करते हैं, केवल आर्थिक पक्ष से। उनके लिए, यह मुख्य रूप से सूचना प्रौद्योगिकी के गलत कार्यान्वयन और उपयोग से जुड़ा जोखिम है। इसका मतलब यह है कि सूचना जोखिम प्रबंधन विभिन्न मीडिया और संचार के साधनों के उपयोग के अधीन सूचना के निर्माण, हस्तांतरण, भंडारण और उपयोग जैसी प्रक्रियाओं को शामिल करता है।
विश्लेषण औरआईटी जोखिमों का वर्गीकरण
सूचना प्राप्त करने, संसाधित करने और प्रसारित करने से जुड़े जोखिम क्या हैं? वे किस प्रकार भिन्न हैं? निम्नलिखित मानदंडों के अनुसार सूचना जोखिमों के गुणात्मक और मात्रात्मक मूल्यांकन के कई समूह हैं:
- घटना के आंतरिक और बाहरी स्रोतों के अनुसार;
- जानबूझकर और अनजाने में;
- प्रत्यक्ष या परोक्ष रूप से;
- सूचना उल्लंघन के प्रकार से: विश्वसनीयता, प्रासंगिकता, पूर्णता, डेटा गोपनीयता, आदि;
- प्रभाव की विधि के अनुसार, जोखिम इस प्रकार हैं: अप्रत्याशित घटनाएँ और प्राकृतिक आपदाएँ, विशेषज्ञों की त्रुटियाँ, दुर्घटनाएँ आदि।
सूचना जोखिम विश्लेषण विभिन्न जोखिमों की मात्रा (नकद संसाधन) और गुणवत्ता (निम्न, मध्यम, उच्च जोखिम) के निर्धारण के साथ सूचना प्रणाली के संरक्षण के स्तर के वैश्विक मूल्यांकन की एक प्रक्रिया है। जानकारी की सुरक्षा के तरीके बनाने के लिए विभिन्न तरीकों और उपकरणों का उपयोग करके विश्लेषण प्रक्रिया को अंजाम दिया जा सकता है। इस तरह के विश्लेषण के परिणामों के आधार पर, उच्चतम जोखिमों को निर्धारित करना संभव है जो तत्काल खतरा हो सकता है और अतिरिक्त उपायों को तत्काल अपनाने के लिए प्रोत्साहन हो सकता है जो सूचना संसाधनों की सुरक्षा में योगदान करते हैं।
आईटी जोखिमों को निर्धारित करने की पद्धति
वर्तमान में, कोई आम तौर पर स्वीकृत तरीका नहीं है जो सूचना प्रौद्योगिकी के विशिष्ट जोखिमों को विश्वसनीय रूप से निर्धारित करता है। यह इस तथ्य के कारण है कि पर्याप्त सांख्यिकीय डेटा नहीं है जो इसके बारे में अधिक विशिष्ट जानकारी प्रदान करेगासामान्य जोखिम। एक महत्वपूर्ण भूमिका इस तथ्य से भी निभाई जाती है कि किसी विशेष सूचना संसाधन के मूल्य को पूरी तरह से निर्धारित करना मुश्किल है, क्योंकि एक निर्माता या उद्यम का मालिक सूचना मीडिया की लागत को पूर्ण सटीकता के साथ नाम दे सकता है, लेकिन उसके लिए यह मुश्किल होगा उन पर स्थित जानकारी की लागत को आवाज दें। इसीलिए, फिलहाल, आईटी जोखिमों की लागत निर्धारित करने का सबसे अच्छा विकल्प एक गुणात्मक मूल्यांकन है, जिसकी बदौलत विभिन्न जोखिम कारकों की सही पहचान की जाती है, साथ ही उनके प्रभाव के क्षेत्र और पूरे उद्यम के लिए परिणाम।
यूके में उपयोग की जाने वाली CRAMM पद्धति मात्रात्मक जोखिमों की पहचान करने का सबसे शक्तिशाली तरीका है। इस तकनीक के मुख्य लक्ष्यों में शामिल हैं:
- जोखिम प्रबंधन प्रक्रिया को स्वचालित;
- नकदी प्रबंधन लागत का अनुकूलन;
- कंपनी सुरक्षा प्रणालियों की उत्पादकता;
- व्यापार निरंतरता के लिए प्रतिबद्धता।
विशेषज्ञ जोखिम विश्लेषण विधि
विशेषज्ञ निम्नलिखित सूचना सुरक्षा जोखिम विश्लेषण कारकों पर विचार करते हैं:
1. संसाधन लागत। यह मान इस तरह सूचना संसाधन के मूल्य को दर्शाता है। एक पैमाने पर गुणात्मक जोखिम की एक मूल्यांकन प्रणाली है जहां 1 न्यूनतम है, 2 औसत मूल्य है और 3 अधिकतम है। यदि हम बैंकिंग वातावरण के आईटी संसाधनों पर विचार करें, तो इसके स्वचालित सर्वर का मान 3 होगा, और एक अलग सूचना टर्मिनल - 1.
2. संसाधन की भेद्यता की डिग्री। यह खतरे की भयावहता और आईटी संसाधन को नुकसान की संभावना को दर्शाता है। अगर हम किसी बैंकिंग संगठन की बात करें तो ऑटोमेटेड बैंकिंग सिस्टम का सर्वर जितना संभव हो सके उतना सुलभ होगा, इसलिए हैकर के हमले इसके लिए सबसे बड़ा खतरा हैं। 1 से 3 तक का एक रेटिंग पैमाना भी है, जहां 1 मामूली प्रभाव है, 2 संसाधन पुनर्प्राप्ति की उच्च संभावना है, 3 खतरे के निष्प्रभावी होने के बाद संसाधन के पूर्ण प्रतिस्थापन की आवश्यकता है।
3. खतरे की संभावना का आकलन। यह एक सशर्त अवधि के लिए सूचना संसाधन के लिए एक निश्चित खतरे की संभावना को निर्धारित करता है (सबसे अधिक बार - एक वर्ष के लिए) और, पिछले कारकों की तरह, 1 से 3 (निम्न, मध्यम, उच्च) के पैमाने पर मूल्यांकन किया जा सकता है।.
सूचना सुरक्षा जोखिमों को प्रबंधित करना जैसे ही वे होते हैं
उभरते जोखिमों के साथ समस्याओं को हल करने के लिए निम्नलिखित विकल्प हैं:
- जोखिम स्वीकार करना और उनके नुकसान की जिम्मेदारी लेना;
- जोखिम को कम करना, यानी उसके घटित होने से जुड़े नुकसान को कम करना;
- हस्तांतरण, यानी बीमा कंपनी को हुए नुकसान के लिए मुआवजे की लागत का अधिरोपण, या कुछ तंत्रों के माध्यम से जोखिम के निम्नतम स्तर के जोखिम में परिवर्तन।
फिर, प्राथमिक लोगों की पहचान करने के लिए सूचना समर्थन के जोखिमों को रैंक द्वारा वितरित किया जाता है। ऐसे जोखिमों का प्रबंधन करने के लिए, उन्हें कम करना आवश्यक है, और कभी-कभी - उन्हें बीमा कंपनी में स्थानांतरित करना। संभावित हस्तांतरण और उच्च और. के जोखिमों में कमीमध्यम स्तर के समान शर्तों पर, और निचले स्तर के जोखिमों को अक्सर स्वीकार किया जाता है और आगे के विश्लेषण में शामिल नहीं किया जाता है।
यह इस तथ्य पर विचार करने योग्य है कि सूचना प्रणालियों में जोखिमों की रैंकिंग उनके गुणात्मक मूल्य की गणना और निर्धारण के आधार पर निर्धारित की जाती है। यही है, यदि जोखिम रैंकिंग अंतराल 1 से 18 की सीमा में है, तो कम जोखिम की सीमा 1 से 7 तक है, मध्यम जोखिम 8 से 13 तक है, और उच्च जोखिम 14 से 18 तक है। उद्यम का सार सूचना जोखिम प्रबंधन औसत और उच्च जोखिमों को न्यूनतम मूल्य तक कम करना है, ताकि उनकी स्वीकृति यथासंभव इष्टतम और संभव हो।
कोरस जोखिम शमन विधि
कोरस पद्धति सूचना समाज प्रौद्योगिकी कार्यक्रम का हिस्सा है। इसका अर्थ सूचना जोखिमों के उदाहरणों पर विश्लेषण करने के लिए अनुकूलन, संक्षिप्तीकरण और प्रभावी तरीकों के संयोजन में निहित है।
कोरस पद्धति निम्नलिखित जोखिम विश्लेषण प्रक्रियाओं का उपयोग करती है:
- प्रश्न में वस्तु के बारे में जानकारी की खोज और व्यवस्थितकरण तैयार करने के उपाय;
- ग्राहक द्वारा वस्तु पर वस्तुनिष्ठ और सही डेटा का प्रावधान;
- सभी चरणों को ध्यान में रखते हुए आगामी विश्लेषण का पूरा विवरण;
- अधिक वस्तुनिष्ठ विश्लेषण के लिए प्रामाणिकता और शुद्धता के लिए प्रस्तुत दस्तावेजों का विश्लेषण;
- संभावित जोखिमों की पहचान करने के लिए गतिविधियों को अंजाम देना;
- उभरती सूचना खतरों के सभी परिणामों का आकलन;
- उन जोखिमों को उजागर करना जो कंपनी ले सकती है और जो जोखिमजितनी जल्दी हो सके कम करने या पुनर्निर्देशित करने की आवश्यकता है;
- संभावित खतरों को खत्म करने के उपाय।
यह ध्यान रखना महत्वपूर्ण है कि सूचीबद्ध उपायों को कार्यान्वयन और बाद के कार्यान्वयन के लिए महत्वपूर्ण प्रयासों और संसाधनों की आवश्यकता नहीं है। CORAS पद्धति का उपयोग करना काफी सरल है और इसका उपयोग शुरू करने के लिए अधिक प्रशिक्षण की आवश्यकता नहीं होती है। इस टूलकिट का एकमात्र दोष मूल्यांकन में आवधिकता की कमी है।
ऑक्टेव विधि
ऑक्टेव जोखिम मूल्यांकन पद्धति का तात्पर्य विश्लेषण में सूचना स्वामी की कुछ हद तक भागीदारी है। आपको यह जानने की जरूरत है कि इसका उपयोग महत्वपूर्ण खतरों का शीघ्रता से आकलन करने, संपत्ति की पहचान करने और सूचना सुरक्षा प्रणाली में कमजोरियों की पहचान करने के लिए किया जाता है। OCTAVE एक सक्षम विश्लेषण, सुरक्षा समूह के निर्माण के लिए प्रदान करता है, जिसमें सिस्टम का उपयोग करने वाले कंपनी के कर्मचारी और सूचना विभाग के कर्मचारी शामिल हैं। सप्तक में तीन चरण होते हैं:
सबसे पहले, संगठन का आकलन किया जाता है, यानी विश्लेषण समूह नुकसान का आकलन करने के लिए मानदंड निर्धारित करता है, और बाद में जोखिम। संगठन के सबसे महत्वपूर्ण संसाधनों की पहचान की जाती है, कंपनी में आईटी सुरक्षा बनाए रखने की प्रक्रिया की सामान्य स्थिति का आकलन किया जाता है। अंतिम चरण सुरक्षा आवश्यकताओं की पहचान करना और जोखिमों की सूची को परिभाषित करना है।
- दूसरा चरण कंपनी की सूचना अवसंरचना का व्यापक विश्लेषण है। इसके लिए जिम्मेदार कर्मचारियों और विभागों के बीच त्वरित और समन्वित बातचीत पर जोर दिया जाता हैबुनियादी ढांचा।
- तीसरे चरण में, सुरक्षा रणनीति का विकास किया जाता है, संभावित जोखिमों को कम करने और सूचना संसाधनों की सुरक्षा के लिए एक योजना बनाई जाती है। संभावित नुकसान और खतरों के कार्यान्वयन की संभावना का भी आकलन किया जाता है, साथ ही उनके मूल्यांकन के मानदंड भी।
जोखिम विश्लेषण की मैट्रिक्स विधि
यह विश्लेषण पद्धति खतरों, कमजोरियों, संपत्तियों और सूचना सुरक्षा नियंत्रणों को एक साथ लाती है और संगठन की संबंधित संपत्तियों के लिए उनके महत्व को निर्धारित करती है। एक संगठन की संपत्ति मूर्त और अमूर्त वस्तुएं होती हैं जो उपयोगिता की दृष्टि से महत्वपूर्ण होती हैं। यह जानना महत्वपूर्ण है कि मैट्रिक्स विधि में तीन भाग होते हैं: एक खतरा मैट्रिक्स, एक भेद्यता मैट्रिक्स और एक नियंत्रण मैट्रिक्स। इस पद्धति के तीनों भागों के परिणाम जोखिम विश्लेषण के लिए उपयोग किए जाते हैं।
विश्लेषण के दौरान सभी मैट्रिक्स के संबंध पर विचार करना उचित है। इसलिए, उदाहरण के लिए, एक भेद्यता मैट्रिक्स संपत्ति और मौजूदा कमजोरियों के बीच एक कड़ी है, एक खतरा मैट्रिक्स कमजोरियों और खतरों का एक संग्रह है, और एक नियंत्रण मैट्रिक्स खतरों और नियंत्रण जैसी अवधारणाओं को जोड़ता है। मैट्रिक्स की प्रत्येक कोशिका स्तंभ और पंक्ति तत्व के अनुपात को दर्शाती है। उच्च, मध्यम और निम्न ग्रेडिंग सिस्टम का उपयोग किया जाता है।
तालिका बनाने के लिए, आपको खतरों, कमजोरियों, नियंत्रणों और संपत्तियों की सूची बनानी होगी। पंक्ति की सामग्री के साथ मैट्रिक्स कॉलम की सामग्री की बातचीत के बारे में डेटा जोड़ा जाता है। बाद में, भेद्यता मैट्रिक्स डेटा को खतरे के मैट्रिक्स में स्थानांतरित कर दिया जाता है, और फिर, उसी सिद्धांत के अनुसार, खतरे मैट्रिक्स से जानकारी को नियंत्रण मैट्रिक्स में स्थानांतरित कर दिया जाता है।
निष्कर्ष
डेटा की भूमिकाबाजार अर्थव्यवस्था में कई देशों के संक्रमण के साथ काफी वृद्धि हुई है। आवश्यक जानकारी समय पर प्राप्त किए बिना, कंपनी का सामान्य कामकाज बस असंभव है।
सूचना प्रौद्योगिकी के विकास के साथ, तथाकथित सूचना जोखिम उत्पन्न हुए हैं जो कंपनियों की गतिविधियों के लिए खतरा पैदा करते हैं। इसलिए उन्हें और कम करने, स्थानांतरित करने या निपटाने के लिए उनकी पहचान, विश्लेषण और मूल्यांकन करने की आवश्यकता है। यदि कर्मचारियों की अक्षमता या जागरूकता की कमी के कारण मौजूदा नियमों का ठीक से उपयोग नहीं किया जाता है, तो सुरक्षा नीति का गठन और कार्यान्वयन अप्रभावी होगा। सूचना सुरक्षा के अनुपालन के लिए एक कॉम्प्लेक्स विकसित करना महत्वपूर्ण है।
जोखिम प्रबंधन एक व्यक्तिपरक, जटिल, लेकिन साथ ही कंपनी की गतिविधियों में एक महत्वपूर्ण चरण है। अपने डेटा की सुरक्षा पर सबसे अधिक जोर उस कंपनी द्वारा दिया जाना चाहिए जो बड़ी मात्रा में जानकारी के साथ काम करती है या गोपनीय डेटा का मालिक है।
सूचना संबंधी जोखिमों की गणना और विश्लेषण करने के लिए कई प्रभावी तरीके हैं जो आपको कंपनी को तुरंत सूचित करने और बाजार में प्रतिस्पर्धा के नियमों का पालन करने की अनुमति देते हैं, साथ ही सुरक्षा और व्यापार निरंतरता बनाए रखने की अनुमति देते हैं।.
