COBIT Framework (Part- 02)

 COBIT சதுரமுகி

மேலே குறிப்பிட்ட பிரிவுகளுக்கு இடையிலான இணைப்புகள் COBIT சதுரமுகியால் எடுத்துக்காட்டுகின்றன.

அனைத்து செயல்முறையாக்கங்களும் நான்கு களங்களின் கீழ் பட்டியலிடப்பட்டுள்ளன:

COBIT ஆனது ஆளுகை(Governance) மற்றும் முகாமைத்துவத்துக்கிடையில் (Management) வேறுபடுவதால், அதன் 40 செயல்முறையாக்கங்களும்(Processes, COBIT5 இல் 37) இந்த இரண்டு பகுதிகளுக்கும் இடையில் பிரிக்கப்பட்டுள்ளன. மேலும் அவை கூட்டாக COBIT மைய மாதிரி (COBIT Core Model) என்று அழைக்கப்படுகின்றன. ஆளுகைப் பகுதி ஒரு களத்தைக் (Domain) கொண்டுள்ளது மற்றும் முகாமைத்துவப் பகுதி நான்கு களங்களைக் கொண்டுள்ளது:

 

பகுதி 1: ஆளுகை (Governance)

1.         ஆளுகை களம்(Governance Domain) மதிப்பீடு(Evaluate), நிர்வகி(Direct) மற்றும் கண்காணிப்பு(Monitor)-EDM: COBIT ஆளுகையானது "பங்குதாரர்களின் தேவைகள்(Needs), நிபந்தனைகள்(Conditions) மற்றும் விருப்பங்களை (Options) மதிப்பிடுவதன் மூலம் நிறுவன நோக்கங்கள் அடையப்படுவதை உறுதி செய்கிறது; மேலும் பங்குதாரர்களுக்கு என்ன தேவை(Needs) என்பதைப் புரிந்துகொள்வதன் மூலமும், முன்னுரிமைகளை(Prioritizations) நிர்ணயிப்பதன் மூலமும், முடிவுகளை எடுப்பதன்(Decision Making) மூலமும், முன்னேற்றம்(Progress), செயல்திறன்(Performance) மற்றும் இணக்கத்தை(Compliance) சரிபார்ப்பதன் மூலமும், நிறுவனமானது அதன் இலக்குகளை (Objectives) அடைய ஆளுகை உதவுகிறது என்று COBIT கூறுகிறது.

 

பகுதி 2: முகாமைத்துவம்(Management)

2.         சீரமைத்தல்(Align), திட்டமிடுதல்(Plan) மற்றும் ஒழுங்கமைத்தல்(Organize)-APO: நிறுவனத்தின் நோக்கங்களை வெற்றிகரமாக நிறைவேற்றுவதற்காக தகவல் மற்றும் தொழில்நுட்பத்தின் பயன்பாட்டை மேம்படுத்துவதை நோக்கமாகக் கொண்டுள்ளது. மேலும் இது நன்மைகளை அடைவதற்கு தகவல் தொழில்நுட்பம் எவ்வாறு கட்டமைக்கப்பட வேண்டும் என்பதையும் காட்டுகிறது.

3.         கட்டமைத்தல்(Build), பெறுதல்(Acquire) மற்றும் செயல்படுத்துதல்(Implement)-BAI என்பது தகவல் தொழில்நுட்பத்தின் தேவைகளை மதிப்பிடுதல், சரியான தொழில்நுட்பத்தைப் பெறுதல் மற்றும் அதை செயல்படுத்துதல் ஆகியவற்றை உள்ளடக்கியது.

4.         விநியோகம்(Deliver), சேவை(Service) மற்றும் ஆதரவு(Support)-DSS: இது பயன்பாடுகள் (Applications) எவ்வாறு பயன்படுத்தப்படுகின்றன, அவை என்ன முடிவுகளை (Outcomes) உருவாக்குகின்றன என்பது உட்பட தகவல் தொழில்நுட்ப சேவைகளை வழங்குவதில் கவனம் செலுத்துகிறது.

5.         கண்காணித்தல்(Monitor), மதிப்பீடு செய்தல்(Evaluate) மற்றும் சரி பார்த்தல் (Assess)-MEA:  இது நிறுவனத்தின் தேவைகளைப் புரிந்துகொள்வதன் மூலமும், தற்போதைய தகவல் தொழில்நுட்ப முறைமை சிறப்பாகச் செயல்படுகிறதா, இலக்குகளை அடைகிறதா, அனைத்து விதிகளையும் பின்பற்றுகிறதா என்பதைச் சரிபார்ப்பதன் மூலமும் நிறுவனத்தின் மூலோபாயத்தை ஆதரிக்க உதவுகிறது.

 

சரியான விடயங்களைத் தீர்மானிக்க உதவும் உயர் மட்ட வழிகாட்டியாக COBIT ஐக் கருத வேண்டும். ஆனால் அவற்றை எவ்வாறு ஏற்றுக்கொள்வது என்பது குறித்த விவரங்கள் வழங்கவில்லை. COBIT ஆனது அடிப்படையில் தகவல் மற்றும் தொழில்நுட்ப ஆளுகையின் ஒட்டுமொத்த அமைப்பை பின்வருமாறு விவரிக்கிறது:

1.         கொள்கைகள்(Principles)

2.         ஆளுகை மற்றும் முகாமைத்துவ நோக்கங்கள்(Governance and Management Objectives)

1. ஆளுகைக் கூறுகள்(Governance Components)
2. நோக்கங்களின் அடுக்குகள்(Goals Cascading)
3. வடிவமைப்பு காரணிகள்(Design Factors)
4. நடைமுறைப்படுத்துதல்(Implementation)
5. கவனம் செலுத்தும் பகுதிகள்(Focus Area)

 

COBIT கட்டமைப்பின் கொள்கைகள்

COBIT 2019 கட்டமைப்பு, நிறுவனங்கள் வணிக வெற்றியை அடைய உதவும் நிறுவன தகவல் தொழில்நுட்பத்தை நிர்வகிப்பதற்கான 6 கொள்கைகளை அடிப்படையாகக் கொண்டது.

இந்த COBIT கொள்கைகள்:

1.         பங்குதாரர்களின் தேவைகளைப் பூர்த்தி செய்தல்

நிறுவனங்கள் வாடிக்கையாளர்கள், வணிக கூட்டாளர்கள், பணியாட்கள் போன்ற பங்குதாரர்களுக்கு மதிப்பை வழங்க வேண்டும், மேலும் தகவல் தொழில்நுட்ப ஆளுகை (IT Governance) தொடர்பான முடிவுகளை எடுக்கும்போது அவர்களின் தேவைகளை நிவர்த்தி செய்ய வேண்டும்.

2.         ஒரு முழுமையான அணுகுமுறையை செயல்படுத்துதல்

வணிக செயல்பாடுகளில் சிறப்பை அடைய செயல்பாடுகளுடன் பல்வேறு கூறுகளை ஒருங்கிணைக்கும் பொது வணிகங்கள் தகவல் தொழில்நுட்ப ஆளுகை முறைமையை உருவாக்கும் பல்வேறு கூறுகளைப் புரிந்துகொண்டு ஒரு முழுமையான அணுகுமுறையை எடுக்க வேண்டும்.

3.         ஒரு மாற்றமடையும் ஆளுகை முறைமையை செயல்படுத்துதல்

மாறிவரும் சூழ்நிலைகள் மற்றும் வளர்ந்து வரும் இடர்களுக்கு விரைவாக பதிலளிக்கும் நெகிழ்வான மற்றும் அனுசரிக்கக்கூடிய நிர்வாக செயல்முறைகளை நிறுவனங்கள் செயல்படுத்த வேண்டும்.

4.         முகாமைத்துவத்திலிருந்து (Management) ஆளுகையை (Governance) பிரித்தல்

வணிகங்கள் ஆளுகை மற்றும் முகாமைத்துவத்தை ஒரேமாதிரியாக கருதும்பொழுது கட்டமைப்பானது அவற்றை வேறுபடுத்துகின்கிறது, ஆளுகையானது பங்குதாரர்களின் தேவைகளை அடையாளம் கண்டு, தகவல் தொழில்நுட்பம் வணிக நோக்கங்களை ஆதரிப்பதை உறுதி செய்கிறது, அதே நேரத்தில் முகாமைத்துவம் அன்றாட தகவல் தொழில்நுட்ப செயல்பாடுகளை கண்காணிக்கிறது. நிறுவனங்கள் மூலோபாய இலக்குகளில் கவனம் செலுத்தவும் திறமையான செயல்பாடுகளை உறுதிப்படுத்தவும், பங்குகள், பொறுப்புகள் மற்றும் அறிக்கையிடலுக்கான வழிகளை இரண்டாக பிரிக்க வேண்டும்.

5.         நிறுவனத் தேவைகளுக்கு ஏற்ப வடிவமைத்தல்

நிறுவனங்கள் தங்கள் தேவைகளுக்கு ஏற்ப ஆளுகை முறைமையை வடிவமைக்க வேண்டும். இதற்கு வணிகத் தேவைகளைப் புரிந்துகொள்வதும் பொருத்தமான மற்றும் நிலையான நிறுவன ஆளுகை முறைமையை உருவாக்குவதும் அவசியம்.

6.         முழுமையான ஆளுகை முறைமை

நிறுவனங்கள் அனைத்து வணிக செயல்பாடுகளுடனும் தகவல் தொழில்நுட்பத்தை சீரமைத்து, மேம்பட்ட செயல்திறனுடன் வணிக மதிப்பை அதிகரிக்கும் ஒரேயொரு ஒருங்கிணைந்த முறைமையில் கவனம் செலுத்த வேண்டும்.

தொடரும் .................

COBIT Framework (Part- 01)

COBIT கட்டமைப்பு

தகவல் தொழில்நுட்ப முகாமைத்துவம் சிறந்த நடைமுறை கட்டமைப்புக்களை கொண்டுள்ளது.

• செலவு மற்றும் வள முகமைதுவதை மேம்படுத்துதல்
• இடரினை மதிப்பிடல்,
• வாடிக்கையாளர் சேவையை விரைவுபடுத்துதல்
• எதிர்வுகூறல்கள் மூலம் பகுப்பாய்வை புதுமைப்படுத்துதல்

ஆகியவற்றுக்கான தத்துவங்கள் மற்றும் உறுதியான பாதைகளை இந்த கட்டமைப்புகள் வழங்குகின்றன.

COBIT என்பது ISACA (தகவல் அமைப்புகள் கணக்காய்வு மற்றும் கட்டுப்பாட்டுக்கான சபை) உருவாக்கிய ஒரு தகவல் தொழில்நுட்ப நிர்வாகக் கட்டமைப்பாகும், இது வியாபார நோக்கங்களுடன் தகவல் தொழில்நுட்ப செயல்முறைகளை சீரமைப்பதற்கு வழிகாட்டுதல்களை வழங்கும் நோக்குடன் கட்டமைக்கப்பட்டது. மேலும் நிறுவன தகவல் தொழில்நுட்பத்தை பயன்படுத்தி நிறுவனங்களின் இணங்களுக்கான தேவைகளைப் (Compliance Requirements) பூர்த்தி செய்யவும், இடர்களை குறைக்கவும் (Risk Mitigation) உதவுகிறது.

அமெரிக்காவில், COBIT பெரும்பாலும் சர்பேன்ஸ்-ஒக்ஸ்லி சட்டத்திற்கு இணங்கப் பயன்படுத்தப்படுகிறது. இது பல்வேறு கட்டுப்பாட்டு நோக்கங்கள்(Control Objectives), சிறந்த நடைமுறைகள் (Best Practices), முகாமைத்துவ வழிகாட்டுதல்கள்(Management Guidelines), முதிர்வு மாதிரிகள்(Maturity Models) போன்றவற்றை பூர்த்தி செய்வதால், குறிப்பாக நிதி அறிக்கையிடலை மேம்படுத்த உதவுகிறது. அத்துடன் நிறுவனத்தின் தேவைக்கேற்ப வளங்களை உகந்ததாக்கி தகவல் தொழில்நுட்பம் தொடர்பான இடர்களை நிர்வகித்து நிறுவனங்கள் வியாபார நோக்கங்களை அடைய உதவுகிறது.

 

COBIT கட்டமைப்பின் குறிக்கோள்

COBIT கட்டமைப்பின் முக்கிய குறிக்கோளானது தகவல் தொழில்நுட்ப செயல்முறைகள் வியாபார இலக்குகளை ஆதரிப்பதையும், வியாபார முடிவுகளைப் பாதிக்கும் தகவல்களின் தரத்தைப் பராமரிப்பதையும் உறுதி செய்வதாகும்.

இந்த கட்டமைப்பானது இணக்க கணக்காய்வாளர்கள் (Compliance Auditors), வணிக நிர்வாகிகள் (Business Executives) மற்றும் தகவல் தொழில்நுட்ப வல்லுநர்கள்(IT Experts) ஆகியோர் நிர்வாக நோக்கங்கள், வணிக செயல்முறைகள் மற்றும் தொடர்புடைய பொறுப்புகளைப் புரிந்துகொண்டு தொடர்புகொள்வதற்கு ஒரு பொதுவான மொழியை வழங்குகிறது.

 

COBIT இன் நன்மைகள்

COBIT, தகவல் தொழில்நுட்பத்திலிருந்து அதிக மதிப்பையும் நம்பிக்கையையும் பெறுவதற்கு உதவக்கூடிய மாதிரிகளை வழங்குகிறது. இந்த கூடுதல் வழிகாட்டுதல்கள் பாதுகாப்பு, இடர் மற்றும் வணிக நிபுணர்களுக்கு நிறுவனத்தின் இலக்குகள் மற்றும் திட்டங்களை ஆதரிக்கவும் அடையவும் ஒரு பெரிய கட்டமைப்பை வழங்குகின்றன.

COBIT இன் பல நன்மைகளில் சில கீழே பட்டியலிடப்பட்டுள்ளன:

• தொழில்நுட்பம் மற்றும் நம்பகத்தன்மையை திறம்பட மற்றும் வினைத்திறனாக பயன்படுத்துவதன் மூலம் செயல்பாட்டு சிறப்பை அடைய உதவுகிறது.
• தகவல் தொழில்நுட்ப சேவைகள் மற்றும் தொழில்நுட்பத்தின் பெறுமதியை மேம்படுத்துகிறது.
• தகவல் தொழில்நுட்பம் தொடர்பான இடர்களை நிர்வகிப்பதிலும் பராமரிப்பதிலும் உதவுகிறது.
• மூலோபாய வணிக இலக்குகளுடன் ஒத்துப்போகக்கூடியவாறு தகவல் தொழில்நுட்பத்தை  திறம்பட மற்றும் புதுமையான முறையில் பயன்படுத்துவதை உறுதி செய்கிறது.
• வணிக முடிவுகளை ஆதரிக்க உதவும் உயர்தர தகவல்களைப் பராமரிக்கிறது.
• வணிகம் சார்ந்த கொள்கைகள், ஒழுங்குமுறைகள், தொடர்புடைய சட்டங்கள் மற்றும் உடன்பாட்டு ஒப்பந்தங்களுடன் இணங்கும் தகவல் தொழில்நுட்ப நிறுவனங்களுக்கு முழு ஆதரவை வழங்குகிறது.

COBIT 2019

"தகவல் தொழில்நுட்ப கண்டுபிடிப்புகள் மாற்றத்திற்கு வழிவகுக்கும்"

COBIT இன் சமீபத்திய மேம்படுத்தல், வணிக உலகில் தகவல் தொழில்நுட்பத்தின் மகத்தான விரிவாக்கத்திற்கான கட்டமைப்பை நவீனப்படுத்துகிறது. COBIT 2019 கட்டமைப்பானது ஆனது  ITIL, TOGAF மற்றும் CMMI போன்ற கட்டமைப்புக்களுடன் நன்றாகப் பொருந்துகிறது, மேலும் இது ஒரு சிறந்த குடை போன்று முழு நிறுவனத்தின் செயல்முறைகளையும் ஒன்றிணைப்பதற்கான கட்டமைப்பாக செயல்படுகிறது.

COBIT2019 இன் மைய மாதிரியில், 40 ஆளுகை மற்றும் முகாமைத்துவ நோக்கங்கள் உள்ளன. பயனர் கருத்து மற்றும் தகவல் தொழில்நுட்ப நம்பகத்தன்மை மற்றும் தேவைகள் காரணமாக, COBIT 2019 முதிர்ச்சி (Maturity) மற்றும் திறன் அளவீடுகளைப் (Capability Measurements) பயன்படுத்துவதற்கு மிகவும் நெகிழ்வான தெரிவுகளை வழங்குகிறது, இதனால் தகவல் தொழில்நுட்ப இலக்குகள் தரவு-சார் (Data-Driven) வணிக இலக்குகளைத் தொடர முடியும்.

• COBIT2019 இன் பயன்பாட்டினை ஊக்குவிக்க உலகளாவிய தரநிலைகளுடனான சீரமைப்பு மற்றும் சிறந்த நடைமுறைகள் மேம்படுத்தப்பட்டுள்ளன.
• புதிய திறந்த மூல மாதிரி உலகளாவிய கருத்துக்களை அனுமதிக்கிறது, இதன் விளைவாக வேகமான, மிகவும் சுறுசுறுப்பான புதுப்பிப்புகள் மற்றும் மேம்பாடுகள் ஏற்படும் என நம்பப்படுகிறது.
• COBIT நிறுவனத்திற்கு சிக்கல்களை ஏற்படுத்துவதற்குப் பதிலாக, நிறுவனத்திற்கு நன்கு பொருந்துகிறதா என்பதை உறுதிப்படுத்த இன்னும் தெளிவான ஆலோசனைகளை வழங்குகிறது.
•  CMMI உடன் சீரமைக்க சிறந்த அளவீட்டு கருவிகள்

COBIT 2019 கட்டமைப்பனது  இதற்கு முன்னர் வெளியிடப்பட்ட பதிப்புகளை கணிசமாக புதுப்பித்து, ஐந்து முக்கிய வழிகாட்டிகளை உருவாக்குகின்றது:

• ·அறிமுகம் & வழிமுறை
• ஒட்டுமொத்த கட்டமைப்பு மற்றும் கட்டமைப்பின் பகுதிகளை விளக்குகிறது.
• முக்கிய ஆளுகை விதிமுறைகள்(Key Governance Terms), கருத்தாக்கங்கள் (Concepts) மற்றும் கொள்கைகளைப்(Principles) புதுப்பிக்கிறது.
• ஆளுகை முறைமை(Governance System), கூறுகள் (Components) மற்றும் ஆளுகை/ முகாமைத்துவ நோக்கங்களை (Governance/Management Objectives) அறிமுகப்படுத்துகிறது.
• ஆளுகை & முகாமைத்துவ நோக்கங்கள்
• ஐந்து களங்களாக ஒழுங்கமைக்கப்பட்ட 40 ஆளுகை மற்றும் முகாமைத்துவம் நோக்கங்களை உள்ளடக்கியது.
• ஒவ்வொரு நோக்கமும் ஒரு செயல்முறையாக்கத்துடன் தொடர்புடையது.
• ஒவ்வொரு நோக்கத்திற்கும், ஒவ்வொரு ஆளுகை கூறுகளுக்கும் தொடர்புடைய வழிகாட்டுதலை வழங்குகிறது.
• தகவல் மற்றும் தொழில்நுட்ப ஆளுகைத் தீர்வை வடிவமைத்தல் (Designing an Information and Technology Governance Solution)
• கவனம் செலுத்தவேண்டிய பகுதிகள் மற்றும் வடிவமைப்பு காரணிகளை (Design Factors) அறிமுகப்படுத்துகிறது.
• வடிவமைக்கப்பட்ட பணிப்பாய்வு (Workflow) உள்ளடக்குவதனூடாக ஒரு முறையான ஆளுகை முறைமையை (Tailored Governance System) உருவாக்க உதவுகிறது
• நடைமுறைப்படுத்தல் வழிகாட்டியுடன் (Implementation Guide) இணைத்து பயன்படுத்தப்படுகிறது.
• · தகவல் மற்றும் தொழில்நுட்ப ஆளுகைத் தீர்வை நடைமுறைப்படுத்தல் மற்றும் உகந்ததாக்குதல் (Implementing and Optimizing an Information and Technology Governance Solution)
• இது COBIT5 நடைமுறைப்படுத்தல் வழிகாட்டியிலிருந்து (Implementation Guide) புதுப்பிக்கப்பட்டது.
• வடிவமைப்பு வழிகாட்டியுடன் (Design Guide) இணைத்து பயன்படுத்தப்படுகிறது.
• தொடர்ச்சியான முன்னேற்ற வாழ்க்கைச் சுழற்சி அணுகுமுறையை (Continual Improvement Lifecycle Approach) வழங்குகிறது.
• மூன்று முன்னோக்குகளுடன் (Perspectives) ஏழு கட்டங்களை (phases ) உள்ளடக்கியது.
• ·       கவனம் செலுத்தும் பகுதிக்கான வழிகாட்டிகள் (Focus Area Guides)
• ஆளுமை மற்றும் முகாமைத்துவ நோக்கங்கள் மற்றும் அவற்றின் கூறுகளின் தொகுப்பால் தீர்க்கப்படக்கூடிய ஒரு முகாமைத்துவ தலைப்பு, களம் அல்லது சிக்கலை விவரிக்கிறது.
• இதுவரை நான்கு கவனம் செலுத்தும் பகுதி வழிகாட்டிகள் உள்ளன: சிறு (Small) மற்றும் நடுத்தர(Medium) நிறுவனங்கள், டெவ்ஒப்ஸ்(DevOps), தகவல் மற்றும் தொழில்நுட்ப இடர் (IT Risk) மற்றும் தகவல் பாதுகாப்பு(Information Security).

 

COBIT அமைப்பு

COBIT ஆனது உயர்மட்டத்திலிருந்து  பின்வரும் பிரிவுகளைக் கொண்ட மூன்று-நிலை கட்டமைப்பை உருவாக்குகிறது:

1. வணிகத் தேவைகள் (Business Requirements) (COBIT இன் தகவல் அளவுகோல்கள் (Information Criteria)), இதில் ஒருமைப்பாடு(integrity), செயல்திறன்(Effectiveness), கிடைக்கும் தன்மை(Availability), வினைத்திறன்(Efficiency), இணக்கம்(Compliance), ரகசியத்தன்மை(Confidentiality) மற்றும் நம்பகத்தன்மை(Reliability) போன்ற அளவீடுகள் அடங்கும்
2. தகவல் தொழில்நுட்ப வளங்கள்(IT Resources) இதில் உள்கட்டமைப்பு(Infrastructure), பயன்பாடுகள்(Applications), தகவல் (Information) மற்றும் மக்கள்(people) போன்ற வளங்கள் அடங்கும்.
3. தகவல் தொழில்நுட்ப செயல்முறையாக்கம் (IT Process), இது ஆள்களங்களுக்கான செயல்முறையாக்கங்களாகப் (Domains Processes) பிரிக்கப்பட்டுள்ளன

தொடரும் ......................

Information Security(Part 02): AAA Model and Non-Repudiation

 

AAA மாதிரி (AAA Model)

தகவல் பாதுகாப்பு (Information Security) மற்றும் கணினி வலையமைப்புக்கள் (Computer Networks) துறைகளில் முக்கியமாக பயன்படுத்தப்படும் ஒரு பாதுகாப்பு மாதிரி (AAA Model) ஆகும். AAA என்பது Authentication (அடையாள உறுதிப்படுத்தல்), Authorization (அனுமதி வழங்கல்), மற்றும் Accounting (கண்காணிப்பு/பதிவேடு) என்ற மூன்று முக்கிய கூறுகளைக் கொண்டது. இந்த மாதிரி, ஒரு கணினி அமைப்பில் பயனர்களின் அணுகலை பாதுகாப்பாக நிர்வகிக்க உதவுகிறது.

 

முதலாவதாக, அடையாள உறுதிப்படுத்தல் (Authentication) என்பது ஒரு பயனர் உண்மையில் யார் என்பதை உறுதிப்படுத்தும் செயல்முறையாகும். இது பொதுவாக பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (password) மூலம் செய்யப்படுகிறது. உதாரணமாக, ஒரு வங்கி தானியங்கி (ATM) இயந்திரத்தில், பயனர் தனது தனிநபர்அடையாள எண்ணை (PIN) உள்ளிடும்போது, கணக்கு அட்டையை செலுத்தியவர் அல்லது தற்பொழுது குறித்த கணக்கினை கையாள்பவர் அந்த கணக்கின் உரிமையாளர் தானா என்பதை உறுதிப்படுத்துகிறது. அதேபோல், ஒரு மின்னஞ்சல் கணக்கில் உள்நுழைவு (login) செய்வதற்கும் பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (password) பயன்படுத்தப்படுகிறது. இவை அனைத்தும் அடையாளத்தை உறுதிப்படுத்தல் (Authentication) ஆகும்.

 

இரண்டாவதாக, அனுமதி வழங்கல் (Authorization) என்பது ஒரு பயனருக்கு எந்த செயல்களை செய்ய அனுமதி வழங்கப்படுகிறது என்பதை தீர்மானிக்கும் செயல்முறையாகும். எல்லா பயனர்களுக்கும் ஒரே அளவிலான அனுமதி இருப்பதில்லை. உதாரணமாக, ஒரு நிறுவனத்தில் நிர்வாக பொறுப்பில் உள்ள (Admin) பயனர் அனைத்து கோப்புகளையும் அணுக முடியும். ஆனால், ஒரு சாதாரண பயனருக்கு (Normal user) குறிப்பிட்ட கோப்புகளை மட்டுமே பார்க்க அல்லது திருத்த அனுமதி வழங்கப்படும். அதேபோல், தானியங்கி (ATM) இயந்திரத்தில், பயனர் தனது கணக்கில் உள்ள பணத்தை மட்டுமே எடுக்க அனுமதிக்கப்படுகிறது. இது அனுமதி வழங்கல் (Authorization) ஆகும்.

 

மூன்றாவதாக, கண்காணிப்பு/பதிவேடு (Accounting) என்பது பயனர்கள் என்ன செய்கிறார்கள் என்பதை பதிவு செய்யும் செயல்முறையாகும். இது கணக்காய்வு (Audit) மற்றும் கண்காணிப்பு (Monitoring) நோக்கங்களுக்குப் பயன்படுத்தப்படுகிறது. உதாரணமாக, ஒரு வங்கியில் தானியங்கி இயந்திரம் (ATM) மூலம் பணம் எடுக்கப்பட்ட நேரம், தொகை, மற்றும் இடம் போன்ற தகவல்கள் பதிவு செய்யப்படும். அதேபோல், ஒரு கணினி அமைப்பில் பயனர் எப்போது உள்நுழைவு (login) செய்தார், என்ன கோப்புகளை அணுகினார், என்ன மாற்றங்கள் செய்தார் என்பதெல்லாம் பதிவு செய்யப்படும். இது பாதுகாப்பு விசாரணைகளுக்கும் மிகவும் உதவுகிறது.

 

AAA மாதிரியை (Model) பின்வரும் எளிய உதாரணத்தின் மூலம் புரிந்து கொள்ளலாம். ஒரு கல்லூரி கணினி ஆய்வகத்தை எடுத்துக்கொள்வோம். தரம் 10 இல் கற்கும் கலைச்செல்வன் என்ற மாணவன் முதலில் தனது பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (Password) மூலம் உள்நுழைவு (login) செய்கிறார். முறைமை முதலில் குறித்த கல்லூரியில் குறித்த தரத்தில் கல்வி கற்கும் குறித்த மாணவனின் விபரங்களை அடையாளம் காணும். அந்த மாணவன் தான் இந்த கலைச்செல்வன் என்பதையும் இந்த குறித்த கலைச்செல்வன் தான் பயனர் கணக்கை பயன்படுத்தினார் என்பதனை உறுதிசெய்ய ஒருதரம் பயன்படுத்தும் கடவுச்சொல்லை (One Time Password - OTP) ஏற்கனவே தன்னிடமுள்ள கலைச்செல்வனின் தொலைபேசி இலக்கத்திற்கு குறுந்தகவலாகவோ அல்லது  மின்னஞ்சல் முகவரிக்கு செய்தியாகவோ அனுப்பும். அதனை அவர் உடனடியாக உள்ளீடு செய்யவேண்டும். இதன்மூலம் பயனர்கணக்கை பயன்படுத்துபவர் தான் குறித்த கலைச்செல்வன் என்பது உறுதி செய்யப்படும். பின்னர் உள்நுழைய அனுமதி வழங்கும். இது ,அடையாள உறுதிப்படுத்தல் (Authentication) எனப்படும். பின்னர், உள்நுழைந்தவர் தெரிவுசெய்யும் பாடநெறியை கலைச்செல்வன் என்ற பயனருக்கு அனுமதியளிக்கப்பட்ட பாடநெறிகளுடன் ஒப்பிட்டு அவற்றிக்கான அனுமதியை அல்லது மறுப்பை தெரிவிக்கும்.  இதன்மூலம் உள்நுழைந்த பயனர் தனக்கென ஒதுக்கப்பட்ட பாடநெறிகளை  மட்டுமே பயன்படுத்த அனுமதி பெறுகிறார் இச் செயற்பாடு அனுமதி வழங்கல்  (Authorization) எனப்படுகிறது. அவர் எந்த நேரத்தில் உள்நுழைந்தார் (login), எவ்வளவு நேரம் பயன்படுத்தினார் மற்றும் எந்தெந்த பாடங்களை அணுகினார் போன்ற தகவல்கள் முறைமையில் பதிவு செய்யப்படும். இச் செயற்பாடு கண்காணிப்பு (Accounting) எனப்படுகிறது.

 

முடிவாக, AAA Model என்பது ஒரு பாதுகாப்பான மற்றும் கட்டுப்படுத்தப்பட்ட கணினி சூழலை உருவாக்க மிகவும் அவசியமான ஒரு மாதிரி ஆகும். இது பயனர்களின் அடையாளத்தை உறுதிப்படுத்துவதோடு, அவர்களுக்கு வழங்கப்படும் அனுமதிகளை கட்டுப்படுத்தி, அவர்களின் செயல்பாடுகளை கண்காணிக்க உதவுகிறது. எனவே, நவீன தகவல் தொழில்நுட்ப அமைப்புகளில் AAA Model முக்கிய பங்கு வகிக்கிறது.

 

மறுப்பதற்கான இயலாமை (Non-Repudiation)

தகவல் பாதுகாப்பு துறையில் முக்கியமான ஒரு கருத்தாக மறுப்பதற்கான இயலாமை (Non-Repudiation) கருதப்படுகிறது. இதன் பொருள், ஒரு செயலை செய்த நபர் பின்னர் அதை மறுக்க முடியாத நிலையை உருவாக்குவதாகும். அதாவது, ஒரு தகவலை அனுப்பியவர் அல்லது ஒரு செயல்பாட்டை செய்தவர், “நான் இதை செய்யவில்லை” என்று மறுப்பதைத் தடுக்கும் பாதுகாப்பு ஏற்பாடுகளே மறுப்பதற்கான இயலாமை (Non-Repudiation) ஆகும்.

 

இது பொதுவாக இலக்கமுறை கையொப்பங்கள் (Digital Signatures), குறியாக்கம் (Encryption), மற்றும் கணக்காய்வுப்பதிவுகள் (audit logs) போன்ற தொழில்நுட்பங்களின் மூலம் உறுதி செய்யப்படுகிறது. இது தகவல் பரிமாற்றங்களில் நம்பகத்தன்மையை (trust) அதிகரிக்கிறது.

 

முதலாவது உதாரணமாக, மின்னஞ்சல் தொடர்பைப் (Email Communication) பார்க்கலாம். ஒருவர் ஒரு முக்கியமான மின்னஞ்சலை இலக்கமுறை கையொப்பத்துடன் அனுப்பினால், அந்த மின்னஞ்சல் உண்மையில் அந்த நபரால் அனுப்பப்பட்டது என்பதை உறுதி செய்ய முடியும். பின்னர் அவர் “நான் இந்த மின்னஞ்சலை அனுப்பவில்லை” என்று கூற முடியாது. இது மறுப்பதற்கான இயலாமை (Non-Repudiation) ஆகும்.

 

இரண்டாவது உதாரணமாக, நிகழ்நிலை வங்கி பரிவர்த்தனையை (Online Banking Transaction) எடுத்துக்கொள்ளலாம். ஒரு பயனர் பணம் மாற்றும் போது ஒருதடவை பயன்படுத்தும் கடவுச்சொல் (One Time Password - OTP) அல்லது இலக்கமுறை உறுதிப்படுத்தல் பயன்படுத்தப்படுகிறது. இந்த செயல்முறைகள் அந்த பரிவர்த்தனை உண்மையில் அந்த பயனரால் செய்யப்பட்டதாக பதிவு செய்யும். பின்னர் அவர் அந்த பரிவர்த்தனையை மறுப்பது கடினமாகும்.

 

மூன்றாவது உதாரணமாக, மின் வணிக தளங்களில் பொருட்கள் வாங்குதல் குறிப்பிடத்தக்கது. ஒருவர் ஒரு பொருளுக்கான வேண்டுகோள் விடுத்து, இலக்கமுறை கையொப்பம் அல்லது உறுதிப்படுத்தல் மூலம் அதை ஒப்புதல் அளித்தால், பின்னர் “நான் இந்த வேண்டுகோளை விடுக்க்கவில்லை” என்று மறுப்பது சாத்தியமில்லை. இது விற்பனையாளரும் வாங்குபவரும் இடையே நம்பகத்தன்மையை உருவாக்குகிறது.

 

மேலும், மறுப்பதற்கான இயலாமை(Non-Repudiation) சட்ட ரீதியாகவும் முக்கியமானது. ஒப்பந்தங்கள் (contracts), மின்னணு ஆவணங்கள் (electronic documents), மற்றும் அதிகாரப்பூர்வ பரிவர்த்தனைகளில், யார் என்ன செய்தார் என்பதை உறுதிப்படுத்துவதில் இது முக்கிய பங்கு வகிக்கிறது.

 

முடிவாக, மறுப்பதற்கான இயலாமை(Non-Repudiation) என்பது தகவல் பாதுகாப்பில் நம்பகத்தன்மை மற்றும் பொறுப்புணர்வை (accountability) உறுதி செய்யும் ஒரு முக்கியக் கூறாகும். இது ஒரு செயலை செய்தவர் அதை மறுக்க முடியாதவாறு நிரூபிக்க உதவுகிறது. எனவே, இலக்கமுறை உலகில் (Digital World) பாதுகாப்பான மற்றும் நம்பகமான தொடர்புகளுக்கு இது மிகவும் அவசியமானது.

உண்மைத்தன்மை (Authenticity) மற்றும் மறுப்பதற்கான இயலாமை (Nonrepudiation)

உண்மைத்தன்மைக்கும் மறுப்பதற்கான இயலாமைக்கும் உள்ள வேறுபாடு என்னவென்றால்  உண்மைத்தன்மை என்பது நீங்கள் ஒரு குறிப்பிட்ட நபரிடம் ஒரு குறிப்பிட்ட நேரத்தில் பேசுகிறீர்கள் என்பதை உங்களுக்கு நிரூபித்தல் ஆகும்.. மறுப்பதற்கான இயலாமை என்பது, ஒரு குறிப்பிட்ட நபர் கடந்த காலத்தில் ஏதேனும் ஒன்றைச் செய்தார் அல்லது கூறினார் என்பதை நிரூபித்தல் ஆகும்.

தொடரும்......................