NIST Cybersecurity Framework কী? কেন এটি যেকোনো কোম্পানির জন্য গুরুত্বপূর্ণ?

টিউন বিভাগ সাইবার সিকিউরিটি
প্রকাশিত
জোসস করেছেন
Level 34
সুপ্রিম টিউনার, টেকটিউনস, ঢাকা

আসসালামু আলাইকুম, কেমন আছেন টেকটিউনস কমিউনিটি? আশা করছি সবাই ভাল আছেন। আমিও ভালো আছি। আজকে আবার হাজির হলাম আপনাদের জন্য নতুন টিউন নিয়ে। তাহলে চলুন শুরু করা যাক।

যদি কোন কোম্পানি ইফেক্টিভ ওয়েতে সিকিউরিটি রিস্ক ম্যানেজ করতে চায় এবং যেকোনো সাইবার এটাক এর ক্ষতি থেকে বাঁচতে চায় তাহলে সেই কোম্পানির জন্য রয়েছে NIST Cybersecurity Framework। আধুনিক নিরাপত্তা ব্যবস্থাপনার বিভিন্ন বিষয় একত্রিত করে NIST Cybersecurity Framework তৈরি করা হয়েছে৷ যাতে আপনি পাবেন সাইবার এটাক হ্রাস করার সুস্পষ্ট দিক নির্দেশনা সহ আরও অনেক কিছু। তো আজকের এই টিউনে আমরা জানব NIST Cybersecurity Framework কী এবং কীভাবে এটি আপনার বিজনেসে ব্যবহার করবেন।

NIST Cybersecurity Framework  এর ইতিহাস

২০১৩ সালে Sony Picture এর মত বড় বড় কয়েকটা অর্গানাইজেশনে সাইবার হামলা হয়ে ব্যাপক ডাটা ব্রিচের ঘটনা ঘটে৷ এর পর থেকে এই ধরনের হুমকি ভাল ভাবে প্রতিহত ও ম্যানেজ করার জন্য  একটি সিকিউরিটি গাইডলাইন তৈরির প্রয়োজন দেখা দেয়৷ এবং গাইডলাইনটি এমন হবে যা সহজে বুঝা যাবে।

একই বছর যুক্তরাষ্ট্রের National Institute of Standards and Technology (NIST), প্রাইভেট সেক্টরের সাথে একটি স্ট্যান্ডার্ড সিকিউরিটি প্র্যাকটিস তৈরি করা শুরু করে। এটি তৈরির উদ্দেশ্য ছিল অর্গানাইজেশন গুলো যেন বিভিন্ন সাইবার হামলা সম্পর্কে বুঝতে পারে এবং ক্ষতি কমাতে যথাযথ পদক্ষেপ গ্রহণ করতে পারে। এর এভাবেই Cybersecurity Framework Version 1.0 এর উৎপত্তি।

NIST Cybersecurity Framework প্রকৃতপক্ষে কী?

বিভিন্ন সাইবার এটাক থেকে বাঁচতে একটি কোম্পানির জন্য  NIST Cybersecurity Framework  খুবই গুরুত্বপূর্ণ একটি টুল। এটির মাধ্যমে কোম্পানি জানাবে কীভাবে  সাইবার সিকিউরিটি আরও শক্তিশালী করা যায় এবং সম্ভাব্য ক্ষতি এড়ানো যায়। বিজনেস হোক বড় বা ছোট, NIST Cybersecurity Framework গুরুত্বপূর্ণ অবদান রাখতে পারে।

আসন্ন এবং ক্রমবর্ধমান বিভিন্ন থ্রেডকে প্রতিহত করতে ইন্ডাস্ট্রি জুড়ে একটি সঠিক সিকিউরিটি ষ্ট্যাণ্ডার্ড সেট করতে NIST CSF সাহায্য করতে পারে। NIST Cybersecurity Framework এর স্ট্রাকচার বুঝতে  আমরা NIST কে তিনটি পার্টে ভাগ করতে পারি৷

  • কোর ফাংশন
  • বিভিন্ন স্তর বা Tier
  • প্রোফাইল

কোর ফাংশন

NIST Cybersecurity Framework এর রয়েছে পাঁচটি ফাংশন। নিচে ফাংশন গুলো নিয়ে আলোচনা করা হল,

Identify

এই ফাংশন অর্গানাইজেশনকে বুঝতে সহায়তা করবে, কোন এসেট, অপারেশন এবং বিজনেস এনভায়রনমেন্ট এর প্রোটেকশন প্রয়োজন। এটি একটি কোম্পানির অবকাঠামোকে হুমকির মুখে ফেলতে পারে এমন দুর্বলতাগুলি চিহ্নিত করে, সাপ্লাই চেইন রিস্ক ও ঝুঁকি মূল্যায়ন ব্যবস্থাপনায় সহায়তা করে। সিকিউরিটি রিস্ক শনাক্ত ও প্রশমিত করতে এটি কার্যকর নীতি, কৌশল তৈরি করতে সহায়তা করবে৷

Protect

এই ফাংশনটি গুরুত্বপূর্ণ অবকাঠামো রক্ষার জন্য সিকিউরিটি পলিসি, স্ট্রেটেজি, বেস্ট প্র্যাকটিস বাস্তবায়নের সাথে জড়িত। অ্যাক্সেস কন্ট্রোল, সিকিউরিটি এওয়ারনেস ট্রেনিং, রক্ষণাবেক্ষণ, ব্যাকআপ এবং অন্যান্য সিকিউরিটি প্রযুক্তি যেমন এনক্রিপশন এই ফাংশনের গুরুত্বপূর্ণ অংশ।

Detect

এর কাজ হচ্ছে এটি প্রতিনিয়ত সব ধরনের এক্টিভিটি এবং ইভেন্ট মনিটর করবে এবং কোন সিকিউরিটি থ্রেড ডিটেক্ট হলে দক্ষতার সাথে প্রতিহত করবে। এটি ইতিমধ্যে নেয়া পদক্ষেপ ও সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস এর কার্যকারিতা যাচাই করতেও সহায়তা করবে।

Respond

এই ধাপের কাজ হল, সাইবার এটাকে কোম্পানি কীভাবে রেসপন্স করবে, ক্ষতির পরিমাণ কমাতে কী পদক্ষেপ নেবে এটা ঠিক করা। রেসপন্স পরিকল্পনা প্রক্রিয়া, বিশ্লেষণ, দক্ষ যোগাযোগ, কার্যকর প্রশমন কৌশল, এবং ইম্প্রুভমেন্ট এই ফাংশনের গুরুত্বপূর্ণ অংশ।

Recover

এই ফাংশন সাইবার স্থিতিস্থাপকতা বাস্তবায়নের জন্য রিকোভারি পরিকল্পনার সাথে জড়িত। এটি নিশ্চিত করবে কীভাবে বিজনেস দ্রুত সিকিউরিটি এটাক রিকোভার করবে  এবং এটাক দ্বারা প্রভাবিত সম্পদ দ্রুত পুনরুদ্ধার করবে।

NIST এর বিভিন্ন Tier বা স্তর

কোম্পানিতে সাইবার সিকিউরিটি ব্যবস্থা কেমন এবং এর অগ্রগতি কত টুকু এটা  মূল্যায়নে সাহায্য করবে NIST এর বিভিন্ন Tier। NIST  কয়েকটা স্তরে কোম্পানিকে ভাগ করতে পারে।

Tier 1

এ স্তরে সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস নিয়ে অর্গানাইজেশন গুলোর সচেতনতা থাকে সীমিত ৷ যখন থ্রেড দেখা দেয় এবং প্রশমিত করার প্রয়োজন পড়ে তখনই তারা সিকিউরিটি রিস্ক নিয়ে কাজ করে৷

Tier 2

এই পর্যায়ে অর্গানাইজেশনের সিকিউরিটি রিস্ক সম্পর্কে কিছু আইডিয়া থাকে তবে তাদের পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে না।

Tier 3

এই স্তরে, সংস্থার একটি রুটিন অথবা পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে যা দুর্বলতা বা Vulnerability  মূল্যায়ন করে সঠিক ব্যবস্থা গ্রহণ করতে পারে। এই স্তরে থাকা কোম্পানি গুলো সাইবার সিকিউরিটি নিয়ে সচেতন থাকে এবং প্রয়োজনীয় ব্যবস্থা গ্রহণ করতে পারে।

Tier 4

এই স্তরের কোম্পানি সাইবার এটাক এর বিপক্ষে রিস্ক ম্যানেজমেন্টে প্রসেস প্রতিনিয়ত উন্নত করতে থাকবে। তারা রিস্ক ম্যানেজমেন্টে প্রসেসে  উল্লেখযোগ্য হারে রিসোর্স ব্যয় করবে।

NIST Cybersecurity Framework প্রোফাইল

NIST কত গুলো প্রোফাইল নির্ধারণ করেছে। এই প্রোফাইলের মাধ্যমে কোম্পানি নির্ধারণ করতে পারবে তাদের লক্ষ্য কতটা বাস্তবায়িত হয়েছে এবং তারা কোন পর্যায়ে আছে।

Current Profile

এর মাধ্যমে কোম্পানির বর্তমান অবস্থা সম্পর্কে জানা যাবে। সিকিউরিটি এনালাইসিস এর মাধ্যমে কোম্পানির স্টেইক হোল্ডাররা বুঝতে পারবে এই মুহূর্তে তাদের কোম্পানির ডিফেন্স ব্যবস্থা কেমন।

Target Profile

ভবিষ্যতে সাইবার সিকিউরিটি কেমন হবে এটা জানা যাবে টার্গেট প্রোফাইলে। এর মাধ্যমে আপনি বুঝতে পারবেন লক্ষ্য অর্জনে আর কোন কোন দিক উন্নত করা যায়

Gap Profile

এনালাইসিস এর মাধ্যমে গ্যাপ প্রোফাইল নির্ধারণ করা হয়। বর্তমান প্রোফাইল এবং টার্গেট প্রোফাইলের পার্থক্য হচ্ছে গ্যাপ প্রোফাইল। এই গ্যাপ পূরণ করার জন্য কোম্পানি যথাযথ ব্যবস্থা গ্রহণ করবে।

কীভাবে NIST Framework দিয়ে ভাল ভাবে রিস্ক ম্যানেজ করা যায়

কীভাবে ইফেক্টিভ রিস্ক ম্যানেজমেন্ট প্রোগ্রাম তৈরি করা যায় এবং বিভিন্ন সাইবার হামলা এড়ানো যায় সেই সংক্রান্ত গাইড দিতে পারে NIST। NIST কয়েকটা ধাপে আপনাকে সাহায্য করে। ধাপ গুলো নিচে তুলে ধরা হল,

Prioritize/Scope

প্রথম ধাপে বিজনেসকে অবজেক্টিভ, চাহিদা এবং সিকিউরিটি ডিমান্ড সেট আপ করার জন্য ডাকা হবে। এটি তাদের সাইবার সিকিউরিটি প্রোগ্রাম কেমন হবে সে সম্পর্কে একটি পরিষ্কার ধারণা পেতে এবং গুরুত্বপূর্ণ ক্ষেত্রগুলিকে অগ্রাধিকার দিতে সহায়তা করবে।

Orient

পরের ধাপ অর্গানাইজেশনের রিসোর্স এবং অপারেশন নিয়ে বিস্তারিত এনালাইসিস করা হয়। সে অনুযায়ী সিকিউরিটি থ্রেড প্রতিহত করতে পরবর্তীতে প্রসেস এবং স্ট্রেটেজি ডেভেলপ করা হয়।

Current profile

তৃতীয় ধাপে কোম্পানিকে Current Profile ডেভেলপ করতে বলা হয়। এটি বুঝতে সহায়তা করে কোম্পানির সিকিউরিটি প্র্যাকটিস এবং রিস্ক ম্যানেজমেন্ট কোথায় আছে।

Risk assessment

কারেন্ট প্রোফাইল তৈরি হওয়ার পরে, কোম্পানি গুলোকে ঝুঁকি মূল্যায়ন করতে হবে। যা থ্রেড প্রতিরোধ এবং ম্যানেজমেন্ট সিস্টেমের দক্ষতা মূল্যায়নে সহায়তা করে। এটি বিশ্লেষণ করতে সাহায্য করবে যে সাইবার হুমকি তাদের কার্যক্রমকে কতটা খারাপ ভাবে প্রভাবিত করতে পারে।

Target profile

আগেই আলোচনা করেছি টার্গেট প্রোফাইল কোম্পানিকে নির্দিষ্ট লক্ষ্য নির্ধারণে সাহায্য করবে।

Gap analysis

গ্যাপ এনালাইসিস এর মাধ্যমে কোম্পানি বুঝতে পারবে বর্তমানে তাদের সিকিউরিটি ম্যানেজমেন্ট পলিসি ব্যবস্থা  কেমন এবং টার্গেট কতটা ফিলআপ হয়েছে

Action plan

গ্যাপ এনালাইসিস এর পর কোম্পানি একটি ডিটেল একশন প্ল্যান তৈরি করবে যার মাধ্যমে কোম্পানি তার লক্ষ্য অর্জন করতে পারবে৷

NIST Cybersecurity Framework 2.0

২০২৩ সালে NIST 2.0 নামে একটি ড্রাফট ভার্সন তৈরি করেছে। এখানে CSF এর ব্যাপ্তি আরও বেড়েছে যা সব সাইজের এবং সব ধরনের বিজনেসের সাথে কাজ করতে পারে। Govern নামে নতুন একটি ফাংশনও যুক্ত করা হয়েছে। এই ফাংশনটি কোম্পানিকে আরও ভাল নীতি, পদ্ধতি এবং রিস্ক ম্যানেজমেন্ট টেকনিক তৈরিতে সাহায্য করবে।

শেষ কথা

বর্তমান সময়ে সকল কোম্পানিকে সাইবার সিকিউরিটি নিয়ে যথেষ্ট সচেতন থাকা উচিৎ। কারণ সিস্টেমে সিকিউরিটি রিস্ক এবং Vulnerability থাকলে তা ব্যাপক আর্থিক ক্ষতি সাধন করতে পারে৷

সুতরাং রিস্ক ম্যানেজমেন্ট প্রসেস দক্ষতার সাথে পরিচালনা করতে, সাইবার সিকিউরিটি টার্গেট অর্জন করতে এবং সিকিউরিটি থ্রেড থেকে  ডেটাকে সফলভাবে রক্ষা করতে আপনিও NIST Cybersecurity Framework ব্যবহার করতে পারেন।

তো আজকে এই পর্যন্তই, কেমন হল আজকের টিউন তা অবশ্যই টিউমেন্টের মাধ্যমে জানাবেন। পরবর্তী টিউন পর্যন্ত ভাল থাকুন, আল্লাহ হাফেজ।

Level 34

আমি সোহানুর রহমান। সুপ্রিম টিউনার, টেকটিউনস, ঢাকা। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 2 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 627 টি টিউন ও 200 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 118 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।

কখনো কখনো প্রজাপতির ডানা ঝাপটানোর মত ঘটনা পুরো পৃথিবী বদলে দিতে পারে।


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস