আমাদের যুগে, তথ্য মানব জীবনের সকল ক্ষেত্রের একটি গুরুত্বপূর্ণ অবস্থান দখল করে আছে। এটি শিল্প যুগ থেকে শিল্পোত্তর যুগে সমাজের ধীরে ধীরে উত্তরণের কারণে। বিভিন্ন তথ্যের ব্যবহার, দখল এবং স্থানান্তরের ফলে, তথ্যের ঝুঁকি দেখা দিতে পারে যা অর্থনীতির সমগ্র ক্ষেত্রকে প্রভাবিত করতে পারে৷
কোন শিল্প সবচেয়ে দ্রুত বৃদ্ধি পাচ্ছে?
প্রযুক্তিগত উদ্ভাবনের সম্প্রসারণ নতুন প্রযুক্তির অভিযোজন সম্পর্কিত তথ্যের দ্রুত স্থানান্তরকে জরুরী প্রয়োজনে পরিণত করায় প্রতি বছর তথ্য প্রবাহের বৃদ্ধি আরও বেশি লক্ষণীয় হয়ে উঠছে। আমাদের সময়ে, শিল্প, বাণিজ্য, শিক্ষা এবং অর্থের মতো শিল্পগুলি তাত্ক্ষণিকভাবে বিকাশ করছে। তথ্য স্থানান্তরের সময় তাদের মধ্যে তথ্যের ঝুঁকি দেখা দেয়।
তথ্য হল সবচেয়ে মূল্যবান ধরনের পণ্যগুলির মধ্যে একটি, যার মোট খরচ শীঘ্রই উৎপাদনের সমস্ত পণ্যের মূল্যকে ছাড়িয়ে যাবে৷ এই জন্য ঘটবে কারণসমস্ত বস্তুগত পণ্য এবং পরিষেবাগুলির সম্পদ-সঞ্চয় সৃষ্টি নিশ্চিত করার জন্য, তথ্য প্রেরণের একটি মৌলিকভাবে নতুন উপায় প্রদান করা প্রয়োজন যা তথ্য ঝুঁকির সম্ভাবনা বাদ দেয়৷
সংজ্ঞা
আমাদের সময়ে তথ্য ঝুঁকির কোনো দ্ব্যর্থহীন সংজ্ঞা নেই। অনেক বিশেষজ্ঞ এই শব্দটিকে একটি ঘটনা হিসাবে ব্যাখ্যা করেন যা বিভিন্ন তথ্যের উপর সরাসরি প্রভাব ফেলে। এটি গোপনীয়তার লঙ্ঘন, বিকৃতি এবং এমনকি মুছে ফেলা হতে পারে। অনেকের জন্য, ঝুঁকি অঞ্চলটি কম্পিউটার সিস্টেমের মধ্যে সীমাবদ্ধ, যা প্রধান ফোকাস।
প্রায়শই, এই বিষয়টি অধ্যয়ন করার সময়, অনেকগুলি সত্যিই গুরুত্বপূর্ণ দিক বিবেচনা করা হয় না। এর মধ্যে তথ্যের সরাসরি প্রক্রিয়াকরণ এবং তথ্য ঝুঁকি ব্যবস্থাপনা অন্তর্ভুক্ত। সর্বোপরি, তথ্যের সাথে সম্পর্কিত ঝুঁকিগুলি একটি নিয়ম হিসাবে, প্রাপ্তির পর্যায়ে দেখা দেয়, যেহেতু তথ্যের ভুল উপলব্ধি এবং প্রক্রিয়াকরণের উচ্চ সম্ভাবনা রয়েছে। প্রায়শই, ডেটা প্রসেসিং অ্যালগরিদমগুলির ব্যর্থতার পাশাপাশি ব্যবস্থাপনাকে অপ্টিমাইজ করার জন্য ব্যবহৃত প্রোগ্রামগুলিতে ত্রুটির কারণগুলির জন্য যথাযথ মনোযোগ দেওয়া হয় না৷
অনেকে শুধুমাত্র অর্থনৈতিক দিক থেকে তথ্য প্রক্রিয়াকরণের সাথে যুক্ত ঝুঁকি বিবেচনা করে। তাদের জন্য, এটি প্রাথমিকভাবে তথ্য প্রযুক্তির ভুল বাস্তবায়ন এবং ব্যবহারের সাথে যুক্ত একটি ঝুঁকি। এর অর্থ হল তথ্য ঝুঁকি ব্যবস্থাপনা বিভিন্ন মাধ্যম এবং যোগাযোগের মাধ্যম ব্যবহার সাপেক্ষে তথ্যের সৃষ্টি, স্থানান্তর, সঞ্চয়স্থান এবং ব্যবহারের মতো প্রক্রিয়াগুলিকে কভার করে৷
বিশ্লেষণ এবংআইটি ঝুঁকির শ্রেণীবিভাগ
তথ্য গ্রহণ, প্রক্রিয়াকরণ এবং প্রেরণের সাথে সম্পর্কিত ঝুঁকিগুলি কী কী? তারা কি উপায়ে ভিন্ন? নিম্নলিখিত মানদণ্ড অনুযায়ী তথ্য ঝুঁকির গুণগত এবং পরিমাণগত মূল্যায়নের বিভিন্ন গ্রুপ রয়েছে:
- ঘটনার অভ্যন্তরীণ এবং বাহ্যিক উত্স অনুসারে;
- ইচ্ছাকৃত এবং অনিচ্ছাকৃতভাবে;
- প্রত্যক্ষ বা পরোক্ষভাবে;
- তথ্য লঙ্ঘনের প্রকার দ্বারা: নির্ভরযোগ্যতা, প্রাসঙ্গিকতা, সম্পূর্ণতা, ডেটা গোপনীয়তা, ইত্যাদি;
- প্রভাব পদ্ধতি অনুসারে, ঝুঁকিগুলি নিম্নরূপ: বলপ্রয়োগ এবং প্রাকৃতিক দুর্যোগ, বিশেষজ্ঞের ত্রুটি, দুর্ঘটনা ইত্যাদি।
তথ্য ঝুঁকি বিশ্লেষণ হল বিভিন্ন ঝুঁকির পরিমাণ (নগদ সম্পদ) এবং গুণমান (নিম্ন, মাঝারি, উচ্চ ঝুঁকি) নির্ধারণের সাথে তথ্য সিস্টেমের সুরক্ষার স্তরের বিশ্বব্যাপী মূল্যায়নের একটি প্রক্রিয়া। তথ্য সুরক্ষার উপায় তৈরির জন্য বিভিন্ন পদ্ধতি এবং সরঞ্জাম ব্যবহার করে বিশ্লেষণ প্রক্রিয়া চালানো যেতে পারে। এই জাতীয় বিশ্লেষণের ফলাফলের উপর ভিত্তি করে, সর্বোচ্চ ঝুঁকিগুলি নির্ধারণ করা সম্ভব যা তাৎক্ষণিক হুমকি হতে পারে এবং তথ্য সংস্থানগুলির সুরক্ষায় অবদান রাখে এমন অতিরিক্ত ব্যবস্থাগুলিকে অবিলম্বে গ্রহণের জন্য একটি উদ্দীপক হতে পারে৷
আইটি ঝুঁকি নির্ধারণের পদ্ধতি
বর্তমানে, তথ্য প্রযুক্তির নির্দিষ্ট ঝুঁকিগুলিকে নির্ভরযোগ্যভাবে নির্ধারণ করে এমন কোনো সাধারণভাবে গৃহীত পদ্ধতি নেই। এটি এই কারণে যে পর্যাপ্ত পরিসংখ্যানগত ডেটা নেই যা সম্পর্কে আরও নির্দিষ্ট তথ্য সরবরাহ করবেসাধারণ ঝুঁকি। একটি গুরুত্বপূর্ণ ভূমিকা এই সত্য দ্বারাও অভিনয় করা হয় যে কোনও নির্দিষ্ট তথ্য সংস্থানের মূল্য পুঙ্খানুপুঙ্খভাবে নির্ধারণ করা কঠিন, কারণ কোনও এন্টারপ্রাইজের নির্মাতা বা মালিক পরম নির্ভুলতার সাথে তথ্য মিডিয়ার ব্যয়ের নাম দিতে পারেন, তবে তিনি এটি করা কঠিন মনে করবেন। তাদের উপর অবস্থিত তথ্য খরচ ভয়েস. এই কারণেই, এই মুহুর্তে, আইটি ঝুঁকির ব্যয় নির্ধারণের জন্য সর্বোত্তম বিকল্পটি একটি গুণগত মূল্যায়ন, যার জন্য বিভিন্ন ঝুঁকির কারণগুলি সঠিকভাবে চিহ্নিত করা হয়, সেইসাথে তাদের প্রভাবের ক্ষেত্রগুলি এবং সমগ্র এন্টারপ্রাইজের ফলাফলগুলি।
যুক্তরাজ্যে ব্যবহৃত CRAMM পদ্ধতিটি পরিমাণগত ঝুঁকি সনাক্ত করার সবচেয়ে শক্তিশালী উপায়। এই প্রযুক্তির প্রধান লক্ষ্যগুলির মধ্যে রয়েছে:
- ঝুঁকি ব্যবস্থাপনা প্রক্রিয়া স্বয়ংক্রিয় করুন;
- নগদ ব্যবস্থাপনা খরচ অপ্টিমাইজেশান;
- কোম্পানীর নিরাপত্তা ব্যবস্থার উৎপাদনশীলতা;
- ব্যবসার ধারাবাহিকতার প্রতিশ্রুতি।
বিশেষজ্ঞ ঝুঁকি বিশ্লেষণ পদ্ধতি
বিশেষজ্ঞরা নিম্নলিখিত তথ্য সুরক্ষা ঝুঁকি বিশ্লেষণের কারণগুলি বিবেচনা করে:
1. সম্পদ খরচ। এই মান যেমন তথ্য সম্পদের মান প্রতিফলিত করে। একটি স্কেলে গুণগত ঝুঁকির একটি মূল্যায়ন ব্যবস্থা আছে যেখানে 1 হল সর্বনিম্ন, 2 হল গড় মান এবং 3 হল সর্বাধিক৷ যদি আমরা ব্যাঙ্কিং পরিবেশের আইটি সংস্থানগুলি বিবেচনা করি, তাহলে এর স্বয়ংক্রিয় সার্ভারের মান 3 হবে এবং একটি পৃথক তথ্য টার্মিনাল - 1.
2. সম্পদের দুর্বলতার মাত্রা। এটি হুমকির মাত্রা এবং একটি IT সম্পদের ক্ষতির সম্ভাবনা দেখায়। যদি আমরা একটি ব্যাংকিং সংস্থার কথা বলি, স্বয়ংক্রিয় ব্যাংকিং সিস্টেমের সার্ভারটি যতটা সম্ভব অ্যাক্সেসযোগ্য হবে, তাই হ্যাকার আক্রমণগুলি এটির জন্য সবচেয়ে বড় হুমকি। এছাড়াও 1 থেকে 3 পর্যন্ত একটি রেটিং স্কেল রয়েছে, যেখানে 1 একটি ছোট প্রভাব, 2 হল সম্পদ পুনরুদ্ধারের উচ্চ সম্ভাবনা, 3 হল বিপত্তি নিরপেক্ষ হওয়ার পরে সম্পদের সম্পূর্ণ প্রতিস্থাপনের প্রয়োজন৷
৩. একটি হুমকি সম্ভাবনা মূল্যায়ন. এটি শর্তসাপেক্ষ সময়ের জন্য একটি তথ্য সম্পদের জন্য একটি নির্দিষ্ট হুমকির সম্ভাবনা নির্ধারণ করে (প্রায়শই - এক বছরের জন্য) এবং পূর্ববর্তী কারণগুলির মতো, 1 থেকে 3 (নিম্ন, মাঝারি, উচ্চ) স্কেলে মূল্যায়ন করা যেতে পারে।.
যতই তথ্য নিরাপত্তা ঝুঁকিগুলি ঘটবে তা পরিচালনা করা
উদীয়মান ঝুঁকির সমস্যা সমাধানের জন্য নিম্নলিখিত বিকল্প রয়েছে:
- ঝুঁকি গ্রহণ করা এবং তাদের ক্ষতির দায়িত্ব নেওয়া;
- ঝুঁকি হ্রাস করা, অর্থাৎ, এর সংঘটনের সাথে সম্পর্কিত ক্ষতি হ্রাস করা;
- স্থানান্তর, অর্থাৎ, বীমা কোম্পানীর ক্ষতির জন্য ক্ষতিপূরণের খরচ আরোপ করা, বা নির্দিষ্ট প্রক্রিয়ার মাধ্যমে বিপদের সর্বনিম্ন স্তরের ঝুঁকিতে রূপান্তর।
তারপর, তথ্য সহায়তার ঝুঁকিগুলিকে প্রাথমিক চিহ্নিত করার জন্য র্যাঙ্ক অনুসারে বিতরণ করা হয়। এই ধরনের ঝুঁকি পরিচালনা করার জন্য, তাদের হ্রাস করা প্রয়োজন, এবং কখনও কখনও - তাদের বীমা কোম্পানিতে স্থানান্তর করা। সম্ভাব্য স্থানান্তর এবং উচ্চ ঝুঁকি হ্রাস এবংএকই শর্তে মাঝারি-স্তরের, এবং নিম্ন-স্তরের ঝুঁকিগুলি প্রায়ই গৃহীত হয় এবং পরবর্তী বিশ্লেষণে অন্তর্ভুক্ত করা হয় না।
এটি বিবেচনা করা মূল্যবান যে তথ্য সিস্টেমে ঝুঁকির র্যাঙ্কিং গণনা এবং তাদের গুণগত মান নির্ধারণের ভিত্তিতে নির্ধারিত হয়। অর্থাৎ, যদি ঝুঁকি র্যাঙ্কিং ব্যবধান 1 থেকে 18-এর মধ্যে হয়, তাহলে কম ঝুঁকির পরিসীমা 1 থেকে 7, মাঝারি ঝুঁকি 8 থেকে 13 এবং উচ্চ ঝুঁকি 14 থেকে 18 পর্যন্ত। এন্টারপ্রাইজের সারাংশ তথ্য ঝুঁকি ব্যবস্থাপনা হল গড় এবং উচ্চ ঝুঁকিগুলিকে সর্বনিম্ন মূল্যে হ্রাস করা, যাতে তাদের গ্রহণযোগ্যতা যথাসম্ভব সর্বোত্তম এবং সম্ভব হয়৷
CORAS ঝুঁকি প্রশমন পদ্ধতি
CORAS পদ্ধতিটি ইনফরমেশন সোসাইটি টেকনোলজিস প্রোগ্রামের অংশ। তথ্য ঝুঁকির উদাহরণ বিশ্লেষণ করার জন্য কার্যকর পদ্ধতির অভিযোজন, সংমিশ্রণ এবং সংমিশ্রণের মধ্যে এর অর্থ নিহিত।
CORAS পদ্ধতি নিম্নলিখিত ঝুঁকি বিশ্লেষণ পদ্ধতি ব্যবহার করে:
- প্রশ্নে থাকা বস্তু সম্পর্কে তথ্য অনুসন্ধান এবং পদ্ধতিগতকরণ প্রস্তুত করার ব্যবস্থা;
- প্রশ্নে থাকা বস্তুর উদ্দেশ্যমূলক এবং সঠিক ডেটার ক্লায়েন্ট দ্বারা বিধান;
- আসন্ন বিশ্লেষণের সম্পূর্ণ বিবরণ, সমস্ত ধাপ বিবেচনায় নিয়ে;
- আরো উদ্দেশ্যমূলক বিশ্লেষণের জন্য সত্যতা এবং সঠিকতার জন্য জমা দেওয়া নথিগুলির বিশ্লেষণ;
- সম্ভাব্য ঝুঁকি চিহ্নিত করার জন্য কার্যক্রম পরিচালনা করা;
- উত্থানশীল তথ্য হুমকির সমস্ত পরিণতির মূল্যায়ন;
- কোম্পানি যে ঝুঁকিগুলি নিতে পারে এবং যে ঝুঁকিগুলি হাইলাইট করে৷যত তাড়াতাড়ি সম্ভব কমানো বা পুনঃনির্দেশিত করা প্রয়োজন;
- সম্ভাব্য হুমকি দূর করার ব্যবস্থা।
এটি লক্ষ্য করা গুরুত্বপূর্ণ যে তালিকাভুক্ত পদক্ষেপগুলি বাস্তবায়ন এবং পরবর্তী বাস্তবায়নের জন্য উল্লেখযোগ্য প্রচেষ্টা এবং সংস্থানগুলির প্রয়োজন নেই৷ CORAS পদ্ধতিটি ব্যবহার করা বেশ সহজ এবং এটি ব্যবহার শুরু করার জন্য খুব বেশি প্রশিক্ষণের প্রয়োজন হয় না। এই টুলকিটের একমাত্র ত্রুটি হল মূল্যায়নে পর্যায়ক্রমিকতার অভাব।
অক্টেভ পদ্ধতি
OCTAVE ঝুঁকি মূল্যায়ন পদ্ধতি বিশ্লেষণে তথ্যের মালিকের জড়িত থাকার একটি নির্দিষ্ট মাত্রা বোঝায়। আপনার জানা দরকার যে এটি গুরুতর হুমকিগুলি দ্রুত মূল্যায়ন করতে, সম্পদ সনাক্ত করতে এবং তথ্য সুরক্ষা ব্যবস্থার দুর্বলতাগুলি সনাক্ত করতে ব্যবহৃত হয়। OCTAVE একটি উপযুক্ত বিশ্লেষণ, সুরক্ষা গোষ্ঠী তৈরি করার জন্য সরবরাহ করে, যার মধ্যে সিস্টেম ব্যবহার করে কোম্পানির কর্মচারী এবং তথ্য বিভাগের কর্মচারী অন্তর্ভুক্ত থাকে। অক্টেভে তিনটি ধাপ থাকে:
প্রথম, প্রতিষ্ঠানের মূল্যায়ন করা হয়, অর্থাৎ বিশ্লেষণ গোষ্ঠী ক্ষতির মূল্যায়নের মানদণ্ড এবং পরবর্তীতে ঝুঁকি নির্ধারণ করে। সংস্থার সবচেয়ে গুরুত্বপূর্ণ সংস্থানগুলি চিহ্নিত করা হয়, কোম্পানিতে আইটি সুরক্ষা বজায় রাখার প্রক্রিয়ার সাধারণ অবস্থা মূল্যায়ন করা হয়। শেষ ধাপ হল নিরাপত্তা প্রয়োজনীয়তা শনাক্ত করা এবং ঝুঁকির একটি তালিকা সংজ্ঞায়িত করা।
- দ্বিতীয় পর্যায় হল কোম্পানির তথ্য পরিকাঠামোর একটি ব্যাপক বিশ্লেষণ। এর জন্য দায়ী কর্মচারী এবং বিভাগগুলির মধ্যে দ্রুত এবং সমন্বিত মিথস্ক্রিয়া করার উপর জোর দেওয়া হয়অবকাঠামো।
- তৃতীয় পর্যায়ে, নিরাপত্তা কৌশলের বিকাশ করা হয়, সম্ভাব্য ঝুঁকি কমাতে এবং তথ্য সংস্থান রক্ষা করার জন্য একটি পরিকল্পনা তৈরি করা হয়। সম্ভাব্য ক্ষতি এবং হুমকি বাস্তবায়নের সম্ভাবনাও মূল্যায়ন করা হয়, সেইসাথে তাদের মূল্যায়নের মানদণ্ডও।
ঝুঁকি বিশ্লেষণের ম্যাট্রিক্স পদ্ধতি
এই বিশ্লেষণ পদ্ধতি হুমকি, দুর্বলতা, সম্পদ এবং তথ্য নিরাপত্তা নিয়ন্ত্রণকে একত্রিত করে এবং সংস্থার নিজ নিজ সম্পদের জন্য তাদের গুরুত্ব নির্ধারণ করে। একটি প্রতিষ্ঠানের সম্পদ হল বাস্তব এবং অস্পষ্ট বস্তু যা উপযোগের দিক থেকে তাৎপর্যপূর্ণ। এটা জানা গুরুত্বপূর্ণ যে ম্যাট্রিক্স পদ্ধতিতে তিনটি অংশ রয়েছে: একটি হুমকি ম্যাট্রিক্স, একটি দুর্বলতা ম্যাট্রিক্স এবং একটি নিয়ন্ত্রণ ম্যাট্রিক্স। এই পদ্ধতির তিনটি অংশের ফলাফল ঝুঁকি বিশ্লেষণের জন্য ব্যবহৃত হয়৷
এটি বিশ্লেষণের সময় সমস্ত ম্যাট্রিসের সম্পর্ক বিবেচনা করা মূল্যবান৷ সুতরাং, উদাহরণস্বরূপ, একটি দুর্বলতা ম্যাট্রিক্স হল সম্পদ এবং বিদ্যমান দুর্বলতার মধ্যে একটি লিঙ্ক, একটি হুমকি ম্যাট্রিক্স হল দুর্বলতা এবং হুমকির একটি সংগ্রহ, এবং একটি নিয়ন্ত্রণ ম্যাট্রিক্স হুমকি এবং নিয়ন্ত্রণের মতো ধারণাগুলিকে লিঙ্ক করে। ম্যাট্রিক্সের প্রতিটি ঘর কলাম এবং সারি উপাদানের অনুপাতকে প্রতিফলিত করে। উচ্চ, মাঝারি এবং নিম্ন গ্রেডিং সিস্টেম ব্যবহার করা হয়৷
একটি টেবিল তৈরি করতে, আপনাকে হুমকি, দুর্বলতা, নিয়ন্ত্রণ এবং সম্পদের তালিকা তৈরি করতে হবে। সারির বিষয়বস্তুর সাথে ম্যাট্রিক্স কলামের বিষয়বস্তুর মিথস্ক্রিয়া সম্পর্কে ডেটা যোগ করা হয়। পরবর্তীতে, দুর্বলতা ম্যাট্রিক্স ডেটা হুমকি ম্যাট্রিক্সে স্থানান্তরিত হয় এবং তারপরে, একই নীতি অনুসারে, হুমকি ম্যাট্রিক্স থেকে তথ্য নিয়ন্ত্রণ ম্যাট্রিক্সে স্থানান্তরিত হয়।
উপসংহার
ডেটার ভূমিকাবাজার অর্থনীতিতে বেশ কয়েকটি দেশের রূপান্তরের সাথে উল্লেখযোগ্যভাবে বৃদ্ধি পেয়েছে। প্রয়োজনীয় তথ্য সময়মতো প্রাপ্তি ছাড়া কোম্পানির স্বাভাবিক কাজকর্ম অসম্ভব।
একসাথে তথ্য প্রযুক্তির বিকাশের সাথে, তথাকথিত তথ্য ঝুঁকি দেখা দিয়েছে যা কোম্পানিগুলির কার্যকলাপের জন্য হুমকিস্বরূপ। এ কারণে তাদের আরও হ্রাস, স্থানান্তর বা নিষ্পত্তির জন্য চিহ্নিত, বিশ্লেষণ এবং মূল্যায়ন করা প্রয়োজন। কর্মচারীদের অযোগ্যতা বা সচেতনতার অভাবের কারণে বিদ্যমান নিয়মগুলি সঠিকভাবে ব্যবহার না করা হলে নিরাপত্তা নীতি প্রণয়ন ও বাস্তবায়ন অকার্যকর হবে। তথ্য সুরক্ষার সাথে সম্মতির জন্য একটি জটিল বিকাশ করা গুরুত্বপূর্ণ৷
ঝুঁকি ব্যবস্থাপনা একটি বিষয়ভিত্তিক, জটিল, কিন্তু একই সাথে কোম্পানির কার্যক্রমের একটি গুরুত্বপূর্ণ পর্যায়। তাদের ডেটার নিরাপত্তার উপর সর্বাধিক জোর দেওয়া উচিত এমন একটি কোম্পানির দ্বারা করা উচিত যারা প্রচুর পরিমাণে তথ্য নিয়ে কাজ করে বা গোপনীয় ডেটার মালিক৷
তথ্য-সম্পর্কিত ঝুঁকিগুলি গণনা এবং বিশ্লেষণ করার জন্য অনেকগুলি কার্যকর পদ্ধতি রয়েছে যা আপনাকে দ্রুত কোম্পানিকে জানাতে এবং বাজারে প্রতিযোগিতার নিয়ম মেনে চলার অনুমতি দেয়, সেইসাথে নিরাপত্তা এবং ব্যবসার ধারাবাহিকতা বজায় রাখতে দেয়.
