ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম – নিয়ে আজকের আলোচনা। এই পাঠটি “সিস্টেম অ্যানালাইসিস অ্যান্ড ডিজাইন” বিষয় এর “সিস্টেম টেস্টিং এবং সিকিউরিটি পদ্ধতি” বিভাগের একটি পাঠ।

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম (আইএসএমএস) একটি প্রতিষ্ঠানের সংবেদনশীল ডাটা ব্যবস্থাপনা পদ্ধতিগতভাবে পরিচালনার জন্য নীতি ও পদ্ধতির একটি সেট। এর লক্ষ্য ঝুঁকি হ্রাস করা এবং নিরাপত্তা লঙ্ঘনের প্রভাব সীমিত করে ব্যবসায়িক ধারাবাহিকতা নিশ্চিত করা।

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম (আইএসএমএস) তথ্য পরিচালনার জন্য একটি পদ্ধতিগত এবং কাঠামোগত পদ্ধতি, যা তথ্যকে নিরাপদ রাখে। আইএসএমএস বাস্তবায়নের জন্য নীতি, প্রক্রিয়া, পদ্ধতি, সাংগঠনিক কাঠামো, সফটওয়্যার এবং হার্ডওয়্যার ফাংশন অন্তর্ভুক্ত। আইএসএম, বাস্তবায়ন সরাসরি সংস্থার উদ্দেশ্য, নিরাপত্তা, প্রয়োজনীয়তা, নিয়োগ প্রক্রিয়া, আকার এবং কাঠামো দ্বারা প্রভাবিত হয় ।

সুতরাং, ইনফরমেশন সিস্টেমের সিকিউরিটি বলতে আনঅথোরাইজড় ব্যক্তি দ্বারা ডেসট্রাকশন, ডিসক্লোজার, ইন্টারন্যাশনাল মডিফিকেশন থেকে সিস্টেমের ডাটা এবং প্রোগ্রামকে রক্ষা করা বুঝায় ।

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম বাস্তবায়ন প্রয়োজনীয় উপাদান : আজ, প্রতিটি সংস্থার ব্যবসায় স্বয়ংক্রিয়, ডিজিটাইজড এবং অনলাইন-ভিত্তিক, যা তথ্য গোপনীয়তা, সততা এবং উপলব্ধিগুলো উদ্বেগ হিসেবে উদ্ভূত হয়। ভেরাইজন ২০১০ এর ডাটা ব্রেচ ইনভেস্টিগেশন রিপোর্টের মতে, ম্যালওয়্যার এবং হ্যাকিং শীর্ষ দুটি হুমকি, সেগুলো তথ্য ভঙ্গের জন্য যথাক্রমে ৩৮% এবং ৪০% দায়ী।

 

 

সিস্টেম সুরক্ষার জন্য ‘রৌপ্য বুলেট’ নেই তবে তথ্য সুরক্ষা ব্যবস্থাপনা সিস্টেম (আইএসএমএস) ঝুঁকিগুলো হ্রাসে গুরুত্বপূর্ণ ভূমিকা পালন করে। সংস্থার মধ্যে আইএসএমএস সফল হওয়ার জন্য তিনটি গুরুত্বপূর্ণ পদক্ষেপ নিম্নে দেয়া হলো ঃ

(ক) আইএসএমএস নকশা :

আইএসএমএস নকশা অত্যন্ত গুরুত্বপূর্ণ কারণ এটি সামগ্রিক সিস্টেম বাস্তবায়ন করতে বা ভাঙতে পারে।

আইএসএমএস ডিজাইন করার সময় নিচের ধাপগুলো অনুসরণ করতে হবে—

 

ব্যবসায়িক উদ্দেশ্যগুলো সেট করা :

ব্যবসায়িক উদ্দেশ্য এবং নিরাপত্তা নিয়ন্ত্রণগুলো অবশ্যই আইএসএমএস ডিজাইনের মধ্যে তুলে ধরতে হবে।

 

তথ্য সম্পদ চিহ্নিত করা :

(ইলেকট্রনিক নথি, হার্ডওয়্যার, সফটওয়্যার, কাগজ এবং মানুষ) ব্যবসায়িক প্রক্রিয়াগুলোর সমর্থনকারী মূল তথ্য সম্পদগুলোকে আইএসএমএসর সুরক্ষার জন্য অগ্রাধিকার দেওয়া।

 

সাংগঠনিক অঙ্গীকার সুরক্ষিত করা :

একটি আইএসএমএস বাস্তবায়ন সফল হওয়ার জন্য প্রকল্পের উদ্দেশ্য বুঝা এবং অনুমোদন করা, ক্রস-ক্রিয়ামূলক সাংগঠনিক অংশগ্রহণ এবং ব্যবস্থাপনা প্রবৃত্তি গুরুত্বপূর্ণ ।

 

ঝুঁকি মূল্যায়ন এবং চিকিৎসা পরিকল্পনা বিকাশ :

তথ্য সম্পদ অগ্রাধিকার এবং সম্ভাব্য হুমকির বিরুদ্ধে correlating দিয়েঝুঁকি অনুমান করে আইএসএমএস নকশা প্রক্রিয়া উন্নত করা।

 

 

সম্মতির প্রয়োজনীয়তা :

সম্মতির প্রয়োজনীয়তা (আইনি/বিধিবদ্ধ/নিয়ন্ত্রক) এবং চুক্তিবদ্ধ বা চুক্তির বাইরের কারণগুলো অবশ্যই আইএসএমএস বাস্তবায়নের নকশাতে তুলে ধরতে হবে। SOX (সারবেনেস-অক্সলে) 404, HIPAAA ( স্বাস্থ্য বিমা পোর্টেবিলিটি এবং দায়বদ্ধতা আইন), PCIDSS (পেমেন্ট কার্ড ইন্ডাস্ট্রি ডাটা সিকিউরিটি স্ট্যান্ডার্ড), GLHA এবং DPA (ডাটা প্রোটেকশন অ্যাক্ট) – এগুলো ISMS ডিজাইনের প্রাথমিক পর্যায়ে না থাকলে অ্যাসেম্বলি করা অসম্ভব।

 

অংশীদারদের সাথে জড়িত :

ব্যবসায়িক প্রসেসগুলোতে জড়িত সংস্থাগুলোকে ISMS ডিজাইন এবং বাস্তবায়ন পর্যায়ে অংশ হিসাবে পরামর্শ, নজরদারি এবং নিয়ন্ত্রণ করা প্রয়োজন ।

 

(খ) আইএসএমএস বাস্তবায়ন :

ডিজাইনের চেয়ে বাস্তবায়ন কঠিন, কারণ এটি সংস্থার তত্ত্ব থেকে অনুশীলনে স্থানান্তরিত করতে। এবং নমনীয়তা এবং নিয়ন্ত্রণ করে থাকে। প্রতিষ্ঠানগুলো প্রায়ই উল্লেখযোগ্য আইএসএমএস বাস্তাবায়ন চ্যালেঞ্জগুলোর মুখোমুখি হয়।

উদাহরণস্বরূপ, যখন লিগ্যাসি সিস্টেমে এবং সুরক্ষাহীন প্ল্যাটফর্মগুলোর নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন করার চেষ্টা করে। আইএসএমএস বাস্তবায়নের সময় ব্যবসায়িক ধারাবাহিকতা বজায় রেখে ব্যবসায়িক উদ্দেশ্যগুলো অর্জন করতে এবং সংগঠনের নিরাপত্তার জন্য ব্যতিক্রম প্রক্রিয়া চিন্তা করতে হবে, যা নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন না করে অবশিষ্ট ঝুঁকি মূল্যায়ন করে এবং বিকল্প নিয়ন্ত্রণগুলো প্রস্তাব করে । এটি শুধুমাত্র তখনই সম্ভব যখন ঝুঁকি বাস্তবায়ন আইএসএমএস নকশা দিয়ে সঠিকভাবে মূল্যায়ন করা হবে।

 

(গ) আইএসএমএস রক্ষণাবেক্ষণ :

কোনো সংস্থার দ্বারা করা সমস্ত কঠোর পরিশ্রম আইএসএমএস রক্ষণাবেক্ষণ না করলে অর্থহীন। একটি আইএসএমএস গভর্নেন্স টিম নিশ্চিত করতে পারে— ব্যবসায়িক পরিবেশ, আইটি অবকাঠামো এবং সম্মতির ক্ষেত্রে কোনোও পরিবর্তনের সম্ভাব্য প্রভাব ।

 

 

ISMS এর প্রয়োজনীয়তাঃ

ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম নিশ্চিত করতে যে-সমস্ত requirement প্রয়োজন তা হলো-

(i) চুরি, আগুন, ডিস্ক দুর্নীতি এবং অন্যান্য ফিজিক্যাল ধ্বংসাত্মক কর্মকাণ্ড থেকে ডাটা ও প্রোগ্রামকে রক্ষা করা। ডাটা প্রসেসিং সেন্টার থেকে সুরক্ষিত কোনো স্থানে একসেট প্রতিলিপি কপিকে সংরক্ষণ করা।

(ii) আগাম সতর্কতা সত্ত্বেও যদি ডাটা লস হয়ে যায়, সেজন্য ডাটাকে পুনঃগঠিত রাখা উচিত। মাস্টার ফাইলের অগ্রিম প্রতিরোধ ব্যবস্থা, অনুলিপি ও ট্রানজ্যাকশন ফাইল সংরক্ষণে রাখা।

(iii) সিস্টেমটি এমনভাবে ডিজাইন করেতে হবে যাতে তা টেম্পার প্রুফ হয়।

(iv) সিস্টেমে পাসওয়ার্ড এবং ফাইলে সিকিউরিটি কী-এর ব্যবস্থা রেখে অননুমোদিত প্রবেশাধিকার প্রতিরোধের ব্যবস্থা রাখা।

(v) যদি কোনো চতুর/চালাক প্রোগ্রামার পাসওয়ার্ড সিস্টেমটি ভেঙে ফেলে তাহলে একটি রূপান্তরিত গোপনীয়তা ব্যবহার করা, যাতে ডাটা অন্যস্থানে রূপান্তর হয়ে থাকে। আবার সে যদি ডাটা অ্যাক্সেস করেও ফেলে, তাহলে ডাটা যাতে অর্থপূর্ণ না হয়। তার ব্যবস্থা রাখা ।

(vi) কোনো ব্যক্তি ফাইল অ্যাক্সেস করার সাথে সাথে তাকে শনাক্ত করে রাখার ব্যবস্থা রাখা ।

(vii) শুধুমাত্র অনুমোদিত ব্যক্তিই যাতে ডাটা চেঞ্জ করতে পারে, তার ব্যবস্থা রাখা ।

(viii) প্রত্যেক অ্যাক্সেস প্রবেশাধিকার অনুমোদিত হোক কিংবা অননুমোদিত হোক তাকে সিস্টেম দ্বারা লগ-এর ব্যবস্থা রাখা।

আরও দেখুনঃ

• ডাটাবেসের উদ্দেশ্য ও ডাটাবেস ডিজাইনের ধাপসমূহ