सर्ट-इन द्वारा नए साइबर सुरक्षा ऑडिट दिशा-निर्देश
भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सर्ट-इन) ने निजी और सार्वजनिक क्षेत्र दोनों के संगठनों को लक्षित करते हुए साइबर सुरक्षा ऑडिट के लिए नए अनिवार्य दिशा-निर्देश जारी किए हैं।
मुख्य निर्देश
- डिजिटल प्रणालियों के स्वामित्व या संचालन करने वाले संगठनों को वर्ष में कम से कम एक बार तृतीय-पक्ष साइबर सुरक्षा ऑडिट से गुजरना होगा।
- ऑडिट जोखिम-आधारित और डोमेन-विशिष्ट होना चाहिए, जो व्यवसाय के संदर्भ और खतरे के परिदृश्य के अनुरूप होना चाहिए।
- यदि आवश्यक हो तो क्षेत्रीय नियामकों को अधिक बार ऑडिट कराने का अधिकार है।
- दिशा-निर्देशों का उद्देश्य बढ़ते डिजिटल खतरों और अवसंरचना के उल्लंघन के बीच साइबर स्वच्छता को बढ़ाना है।
अनुपालन और सुरक्षा उपाय
- प्रौद्योगिकी स्थानांतरण और कॉन्फ़िगरेशन समायोजन सहित प्रणालियों में बड़े बदलावों के लिए साइबर सुरक्षा ऑडिट की आवश्यकता होती है।
- संगठनों को निम्नलिखित कार्य करने होंगे:
- जोखिम और भेद्यता आकलन
- भेदन परीक्षण
- नेटवर्क अवसंरचना और परिचालन ऑडिट
- स्रोत कोड समीक्षा सहित सूचना सुरक्षा परीक्षण
- कर्मचारियों के लिए पहुँच अनुमतियों को न्यूनतम करने के लिए “न्यूनतम विशेषाधिकार” के सिद्धांत को लागू किया जाना चाहिए।
- दूरस्थ पहुंच के लिए, सभी कनेक्शनों को टनल किया जाना चाहिए, एन्क्रिप्ट किया जाना चाहिए और लॉग किया जाना चाहिए , जिसमें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) अनिवार्य है।
साइबर सुरक्षा लेखा परीक्षकों के लिए दिशा-निर्देश
- लेखा परीक्षकों को सुरक्षा प्रथाओं और नियंत्रणों का स्वतंत्र मूल्यांकन करना चाहिए।
- ऐसे मामलों में जहां परिसंपत्तियां लेखा-परीक्षा के लिए उपलब्ध नहीं हैं, विस्तृत कारण अवश्य बताया जाना चाहिए।
- अस्थायी सुरक्षा उपायों से बचने के लिए, ऑडिट अधिसूचनाएं प्रमुख कर्मियों तक ही सीमित होनी चाहिए।
सांख्यिकी और कार्यान्वयन
- सर्ट-इन ने ये ऑडिट करने के लिए 200 कंपनियों को पैनल में शामिल किया है।
- वर्ष 2024-25 में 9,708 ऑडिट किए गए।