Access Control: कौन आपका डेटा देख सकता है? ISO 27001 Password 2FA गाइड
नमस्ते दोस्तों! Tech Seekho India की इस खास ISO 27001 सीरीज के एक और महत्वपूर्ण भाग में आपका स्वागत है। पिछली पोस्ट में हमने सीखा था कि Asset Management क्या है और अपने डेटा की इन्वेंट्री कैसे बनाई जाती है। आज हम उस विषय पर चर्चा करेंगे जो किसी भी डिजिटल सुरक्षा की पहली दीवार होती है—Access Control।
क्या आपने कभी सोचा है कि आपकी कंपनी में कौन सा कर्मचारी किस डेटा को देख सकता है? क्या एक सेल्स एग्जीक्यूटिव को फाइनेंस की फाइलों का एक्सेस होना चाहिए? या क्या रिसेप्शनिस्ट को कंपनी के सर्वर रूम की चाबी मिलनी चाहिए? इन सभी सवालों का जवाब हमें Access Control Policy में मिलता है।
Access Control क्या है? (Understanding Access Control)
सूचना सुरक्षा (Information Security) की दुनिया में, एक्सेस कंट्रोल एक ऐसी प्रक्रिया है जो यह तय करती है कि कौन से यूज़र (Users) किन संसाधनों (Resources) को देख सकते हैं, बदल सकते हैं या इस्तेमाल कर सकते हैं। यह फिजिकल (Physical) भी हो सकता है, जैसे किसी कमरे का ताला, और लॉजिकल (Logical) भी, जैसे किसी सॉफ्टवेयर का लॉगिन पासवर्ड।
ISO 27001 के Clause 5 और Annex A (कंट्रोल्स A.5.15 से A.5.18) में एक्सेस कंट्रोल के बारे में विस्तार से बताया गया है। इसका मुख्य उद्देश्य डेटा की गोपनीयता (Confidentiality) को बनाए रखना है।
एक्सेस कंट्रोल के दो मुख्य सिद्धांत (Key Principles)
- Need to Know: किसी भी कर्मचारी को केवल उतना ही डेटा दिखाना चाहिए जितना उसे अपना काम पूरा करने के लिए जरूरी है।
- Principle of Least Privilege (PoLP): यूज़र को केवल न्यूनतम अधिकार (Minimum Rights) ही दिए जाने चाहिए। जैसे, अगर किसी को सिर्फ फाइल पढ़नी है, तो उसे 'Write' या 'Delete' का अधिकार नहीं मिलना चाहिए।
User Access Management (यूज़र एक्सेस मैनेजमेंट)
ISO 27001 के अनुसार, कंपनी के पास एक औपचारिक प्रक्रिया होनी चाहिए कि नए कर्मचारियों को एक्सेस कैसे दिया जाएगा और पुराने कर्मचारियों का एक्सेस कैसे हटाया जाएगा। इसे Identity and Access Management (IAM) भी कहा जाता है।
1. Provisioning (एक्सेस देना)
जब कोई नया कर्मचारी कंपनी ज्वाइन करता है, तो उसके रोल (Role) के हिसाब से उसे एक्सेस दिया जाता है। इसके लिए एक लिखित अप्रूवल होना जरूरी है।
2. Review of User Access Rights
समय के साथ लोगों के रोल बदलते रहते हैं। इसलिए, हर 3 या 6 महीने में यह चेक करना चाहिए कि किसके पास क्या एक्सेस है। अक्सर लोग पुरानी टीम छोड़ देते हैं लेकिन पुरानी फाइलों का एक्सेस उनके पास बना रहता है, जो कि एक बड़ा सिक्योरिटी रिस्क है।
3. De-provisioning (एक्सेस हटाना)
जब कोई कर्मचारी इस्तीफा देता है या उसे नौकरी से निकाला जाता है, तो उसका सारा डिजिटल एक्सेस (Email, Server, Cloud) तुरंत बंद हो जाना चाहिए।
Password Policy: पासवर्ड कैसा होना चाहिए?
पासवर्ड डिजिटल सुरक्षा की सबसे कमजोर कड़ी साबित होते हैं क्योंकि लोग अक्सर '123456' या अपना 'Mobile Number' पासवर्ड रख लेते हैं। ISO 27001 की Password Policy (A.5.17) इन चीजों को अनिवार्य बनाती है:
| विशेषता (Feature) | ISO 27001 मानक (Standard) | क्यों जरूरी है? |
|---|---|---|
| Complexity (जटिलता) | अक्षर, नंबर और स्पेशल कैरेक्टर का मिश्रण | Brute Force हमले से बचने के लिए |
| Length (लंबाई) | कम से कम 10-12 कैरेक्टर | छोटा पासवर्ड हैक करना आसान है |
| Rotation (बदलाव) | जरूरत पड़ने पर या संदिग्ध गतिविधि होने पर | सुरक्षा बनाए रखने के लिए |
| History (इतिहास) | पुराने 5-10 पासवर्ड दोबारा इस्तेमाल न करें | हैकर्स को अनुमान लगाने से रोकने के लिए |
2-Factor Authentication (2FA) का महत्व
आज के समय में सिर्फ पासवर्ड काफी नहीं है। अगर किसी हैकर को आपका पासवर्ड पता चल जाए, तो वह आसानी से आपका डेटा चुरा सकता है। यहीं काम आता है 2-Factor Authentication (2FA) या Multi-Factor Authentication (MFA)।
MFA के तीन मुख्य कारक (Factors)
- Something You Know: आपका पासवर्ड या पिन (PIN)।
- Something You Have: आपका मोबाइल फोन (OTP के लिए) या कोई हार्डवेयर टोकन।
- Something You Are: आपका फिंगरप्रिंट, फेस आईडी या आईरिस स्कैन।
ISO 27001 विशेष रूप से "Privileged Accounts" (जैसे IT एडमिन) के लिए MFA को अनिवार्य मानता है। अगर आप एडमिन हैं, तो बिना MFA के लॉगिन करना अपनी कंपनी के डेटा को खतरे में डालना है।
Access Control Policy के लिए कुछ खास टिप्स
यदि आप अपनी कंपनी के लिए एक्सेस कंट्रोल पॉलिसी बना रहे हैं, तो इन Access Control Policy tips का पालन जरूर करें:
- MFA अनिवार्य करें: ईमेल और क्लाउड स्टोरेज (Google Workspace/Office 365) के लिए MFA को हमेशा ऑन रखें।
- Shared Accounts बंद करें: कभी भी एक ही यूज़रनेम-पासवर्ड दो लोग इस्तेमाल न करें। इससे यह पता नहीं चलता कि गड़बड़ी किसने की।
- Clear Screen Policy: जब भी अपनी सीट से उठें, कंप्यूटर को 'Windows + L' दबाकर लॉक करें। यह फिजिकल एक्सेस कंट्रोल का हिस्सा है।
- Automatic Timeout: अगर कंप्यूटर 5 मिनट तक इस्तेमाल न हो, तो वह अपने आप लॉक हो जाना चाहिए।
Physical Access Control (भौतिक एक्सेस कंट्रोल)
डिजिटल डेटा के साथ-साथ, जहाँ वह डेटा रखा है, उस जगह की सुरक्षा भी जरूरी है।
- सर्वर रूम में केवल ऑथोराइज्ड इंजीनियर ही जा सकें।
- विजिटर (Visitors) को हमेशा एस्कॉर्ट (Escort) किया जाए और उनका रिकॉर्ड रखा जाए।
- सीसीटीवी (CCTV) कैमरों के जरिए एंट्री पॉइंट्स की निगरानी की जाए।
Access Control और भारत का DPDP Act
भारत के नए Digital Personal Data Protection (DPDP) Act के अनुसार, डेटा को अनधिकृत एक्सेस (Unauthorized Access) से बचाना आपकी कानूनी जिम्मेदारी है। अगर कमजोर पासवर्ड या गलत एक्सेस राइट्स की वजह से किसी ग्राहक का पर्सनल डेटा लीक होता है, तो कंपनी पर भारी जुर्माना लग सकता है।
इसलिए, एक्सेस कंट्रोल केवल ISO सर्टिफिकेशन के लिए नहीं, बल्कि बिजनेस के अस्तित्व (Survival) के लिए भी जरूरी है।
निष्कर्ष (Conclusion)
एक्सेस कंट्रोल सूचना सुरक्षा का वह आधार है जिस पर आपकी पूरी कंपनी की सुरक्षा टिकी होती है। एक मजबूत पासवर्ड पॉलिसी, 2FA का उपयोग और समय-समय पर एक्सेस राइट्स का रिव्यू करना आपको 90% साइबर हमलों से बचा सकता है।
हमें उम्मीद है कि Tech Seekho India का यह विस्तृत गाइड आपको पसंद आया होगा। अगले आर्टिकल में हम चर्चा करेंगे Incident Management के बारे में—यानी अगर हैकिंग हो जाए, तो उसे कैसे संभालें?
अगर आपके मन में एक्सेस कंट्रोल को लेकर कोई सवाल है, तो कमेंट बॉक्स में जरूर पूछें। और हाँ, हमारे अन्य ISO 27001 गाइड्स को पढ़ना न भूलें!