इंडियन कंप्यूटर इमर्जेंसी रिस्पॉन्स टीम (सर्ट-इन) ने पहली बार सभी सार्वजनिक और निजी क्षेत्र के संगठनों के लिए साल में कम से कम एक बार थर्ड पार्टी से साइबर सुरक्षा ऑडिट कराना अनिवार्य कर दिया है। यह नियम उन संगठनों के लिए लागू किया गया है जिनके पास डिजिटल सिस्टम, प्रक्रियाओं अथवा इन्फ्रास्ट्रक्चर है या फिर वे इसका परिचालन करते हैं। निजी क्षेत्र के पहली बार ऐसा निर्देश जारी किया गया है।
सर्ट-इन ने कहा है कि उसके दिशानिर्देश क्षेत्रीय नियामकों को जरूरत पड़ने पर एक से ज्यादा बार ऑडिट अनिवार्य करने की अनुमति भी देते हैं।
सार्वजनिक एवं निजी क्षेत्र की सभी कंपनियों के लिए जारी किए गए दिशानिर्देशों में सर्ट-इन ने कहा है कि साइबर सुरक्षा ऑडिट में जोखिम आधारित और डोमेन विशिष्ट नजरिया अपनाना चाहिए, जो ऑडिट की जा रही कंपनी के कारोबारी संदर्भ, खतरे के परिदृश्य और परिचालन प्राथमिकताओं के अनुरूप है। बिज़नेस स्टैंडर्ड ने नए दिशानिर्देशों की एक प्रति देखी है।
सभी क्षेत्रों में साइबर स्वच्छता मजबूत करने के मकसद से तैयार किए गए नए दिशानिर्देश बढ़ते डिजिटल खतरे और महत्त्वपूर्ण बुनियादी ढांचे को निशाना बनाकर उल्लंघन की बढ़ती संख्या के बीच जारी किए गए हैं।
यह भी पढ़ें: भारतीय छात्रों ने बनाई 20 चिप्स, अब SCL में होगा आखिरी टेस्ट और तैयार होंगी प्रोडक्शन के लिए
इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय की डिजिटल जोखिम विश्लेषण मूल्यांकन और रोकथाम एजेंसी सर्ट-इन ने सिस्टम ओवरहॉल, प्रौद्योगिकी में बदलाव अथवा कॉन्फिग्रेशन एडजस्टमेंट, जिससे संवेदनशील डेटा और महत्त्वपूर्ण बुनियादी ढांचे प्रभावित हो सकते हैं, जैसे किसी भी बड़े बदलाव से पहले संभावित जोखिमों का मूल्यांकन करने, अनुपालन सुनिश्चित करने और क्रियान्वयन से पहले सुरक्षा जोखिमों को कम करने के लिए भी साइबर सुरक्षा ऑडिट अनिवार्य किया है।
सर्ट-इन के दिशानिर्देशों के अनुसार, इन संगठनों को एक व्यापक जोखिम और भेद्यता मूल्यांकन, प्रवेश परीक्षण, नेटवर्क अवसंरचना और परिचालन ऑडिट, सूचना प्रौद्योगिकी सुरक्षा नीति समीक्षा, सूचना सुरक्षा परीक्षण, सोर्स कोड समीक्षा और प्रक्रियाओं, संचार, अनुप्रयोगों और मोबाइल अनुप्रयोगों का सुरक्षा परीक्षण भी करना होगा। इसके अलावा, संगठनों को न्यूनतम विशेषाधिकार के सिद्धांत को भी लागू करना होगा। इसके तहत यह सुनिश्चित करना होगा कि प्रत्येक कर्मचारी के पास अपनी विशिष्ट भूमिका या कार्य करने के लिए आवश्यक न्यूनतम स्तर की अनुमतियां हों। अपने कर्मचारियों को रिमोट एक्सेस देने वाली कंपनियां, दुरुपयोग से बचने के लिए संगठन के साइबर-अवसंरचना तक सभी पहुंच को टनल्ड, एन्क्रिप्टेड और लॉग करती हैं।
सर्ट-इन के नए दिशानिर्देशों में कहा गया है कि साइबर अवसंरचना की रिमोट एक्सेस के लिए मल्टी फैक्टर ऑथेंटिकेशन अनिवार्य किया गया है। कंपनियों के अलावा, सरकार की साइबर सुरक्षा एजेंसी ने साइबर सुरक्षा ऑडिटरों के लिए भी व्यापक दिशानिर्देशों का एक सेट जारी किया है, जो इसके साथ सूचीबद्ध हैं और ये ऑडिट कर सकते हैं।
सर्ट-इन के नए दिशानिर्देशों में कहा गया है कि ऑडिटरों को विभिन्न कंपनियों की सुरक्षा प्रथाओं, प्रणालियों और नियंत्रणों का स्वतंत्र मूल्यांकन करना जरूरी होगा।
सरकार के अनुसार, वर्ष 2024-25 में सर्ट-इन ने कुल 9,708 साइबर सुरक्षा ऑडिट किए, जिनमें से 1,579 बिजली और ऊर्जा क्षेत्र में, 582 परिवहन क्षेत्र में और 7,547 बैंकिंग, वित्तीय सेवाओं और बीमा क्षेत्र में किए गए।
