ISO 27001 गेस्ट WiFi: एक अनुपालन प्राइमर

ISO 27001 गेस्ट WiFi: एक अनुपालन प्राइमर Purple टेक्निकल ब्रीफिंग पॉडकास्ट — एपिसोड स्क्रिप्ट अनुमानित रनटाइम: 10 मिनट | आवाज: यूके अंग्रेजी, वरिष्ठ सलाहकार टोन --- खंड 1: परिचय और संदर्भ (लगभग 1 मिनट) Purple टेक्निकल ब्रीफिंग में स्वागत है। मैं आज के एपिसोड के लिए आपका होस्ट हूँ, और हम एक ऐसे विषय में गोता लगा रहे हैं जो नेटवर्क संचालन और सूचना सुरक्षा शासन के चौराहे पर स्थित है: गेस्ट WiFi और ISO 27001 अनुपालन। यदि आप किसी होटल समूह, रिटेल चेन, स्टेडियम या सार्वजनिक क्षेत्र के संगठन में IT प्रबंधक, नेटवर्क आर्केक्ट या ISO 27001 लीड ऑडिटर हैं, तो यह एपिसोड आपके लिए ही बनाया गया है। हम शुरुआत से ISO 27001 को कवर नहीं करने जा रहे हैं — आप मानक को जानते हैं। हम जो करने जा रहे हैं वह आपको एक सटीक, व्यावहारिक मानचित्र देना है कि आपका गेस्ट WiFi परिनियोजन आपकी सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) में कैसे फिट बैठता है, कौन से नियंत्रण लागू होते हैं, आपके जोखिम मूल्यांकन को क्या प्रलेखित करने की आवश्यकता है, और गंभीर रूप से, जब ऑडिटर दरवाजे से अंदर आता है तो आपको क्या साक्ष्य प्रस्तुत करने की आवश्यकता होती है। गेस्ट WiFi उन क्षेत्रों में से एक है जिन्हें संगठन अनुपालन के दृष्टिकोण से लगातार कम आंकते हैं। यह एक सामान्य सेवा की तरह लगता है — कुछ एक्सेस पॉइंट प्लग इन करें, पासवर्ड सौंपें, काम खत्म। लेकिन ISMS के दृष्टिकोण से, यह एक लाइव सूचना संपत्ति है जो आपकी नेटवर्क सीमा, आपके आपूर्तिकर्ता संबंधों, आपके डेटा सुरक्षा दायित्वों और आपके कानूनी जोखिम को छूती है। आइए इसे ठीक से समझें। --- खंड 2: तकनीकी गहन विश्लेषण (लगभग 5 मिनट) आइए नियंत्रण मानचित्रण से शुरू करें। ISO 27001:2022 ने अपने एनेक्स ए (Annex A) नियंत्रणों को पुनर्गठित किया है, और उनमें से कई सीधे गेस्ट WiFi पर लागू होते हैं। सबसे महत्वपूर्ण क्लस्टर टेक्नोलॉजी कंट्रोल्स सेक्शन में बैठता है — वह है एनेक्स ए क्लॉज 8। नियंत्रण A.8.22 — नेटवर्क का पृथक्करण — आपकी बुनियादी आवश्यकता है। यह नियंत्रण अनिवार्य करता है कि नेटवर्क पर सूचना सेवाओं, उपयोगकर्ताओं और प्रणालियों के समूहों को अलग किया जाए। गेस्ट WiFi के लिए, यह सीधे VLAN अलगाव में अनुवादित होता है। आपका गेस्ट नेटवर्क तार्किक रूप से और, जहाँ उपयुक्त हो, भौतिक रूप से आपके कॉर्पोरेट नेटवर्क, आपके भुगतान प्रसंस्करण वातावरण और किसी भी IoT या परिचालन प्रौद्योगिकी सेगमेंट से अलग होना चाहिए। यदि कोई ऑडिटर पाता है कि गेस्ट ट्रैफ़िक आंतरिक फ़ाइल शेयरों या प्रबंधन इंटरफ़ेस तक पहुँच सकता है, तो यह A.8.22 के खिलाफ एक स्पष्ट विसंगति (nonconformity) है। नियंत्रण A.8.20 — नेटवर्क सुरक्षा — के लिए आवश्यक है कि प्रणालियों और अनुप्रयोगों में जानकारी की सुरक्षा के लिए नेटवर्क का प्रबंधन और नियंत्रण किया जाए। गेस्ट WiFi के लिए, इसका अर्थ है प्रलेखित फ़ायरवॉल नियम, एक्सेस कंट्रोल सूचियां और एक नेटवर्क सुरक्षा नीति जो स्पष्ट रूप से गेस्ट सेगमेंट को संबोधित करती है। आपको ऑडिटर को गेस्ट VLAN को स्पष्ट रूप से लेबल किए गए वर्तमान नेटवर्क आरेख और फ़ायरवॉल नियम सेट को दिखाने में सक्षम होना चाहिए जो यह नियंत्रित करता है कि वह सेगमेंट कहाँ तक पहुँच सकता है और कहाँ तक नहीं। नियंत्रण A.8.21 — नेटवर्क सेवाओं की सुरक्षा — तीसरे पक्ष के नेटवर्क सेवा प्रदाताओं को संबोधित करता है। गेस्ट WiFi चलाने वाले अधिकांश संगठन एक प्रबंधित सेवा प्रदाता, एक क्लाउड-आधारित Captive Portal प्लेटफ़ॉर्म, या एक ISP-प्रदान किए गए समाधान का उपयोग कर रहे हैं। उनमें से प्रत्येक एक आपूर्तिकर्ता संबंध है जिसे शासित करने की आवश्यकता है। आपको सेवा स्तर समझौतों की आवश्यकता है जिसमें सुरक्षा आवश्यकताएं शामिल हों, और आपको आवधिक आपूर्तिकर्ता समीक्षा के साक्ष्य की आवश्यकता है। यहीं पर विक्रेता SOC 2 Type II प्रमाणपत्र वास्तव में उपयोगी हो जाते हैं — हम इस पर वापस आएंगे। नियंत्रण A.8.15 — लॉगिंग — के लिए आवश्यक है कि इवेंट लॉग तैयार, संग्रहीत, सुरक्षित और विश्लेषण किए जाएं। गेस्ट WiFi के लिए, इसका अर्थ है कनेक्शन इवेंट, प्रमाणीकरण प्रयास और सत्र डेटा लॉग करना। अब, यहाँ GDPR और डेटा न्यूनीकरण सिद्धांतों के साथ एक तनाव है, विशेष रूप से यूके और यूरोपीय संघ में। आपको अपने सुरक्षा निगरानी दायित्वों को पूरा करने के लिए पर्याप्त लॉग करने की आवश्यकता है, लेकिन इतना अधिक नहीं कि आप आवश्यकता से अधिक व्यक्तिगत डेटा को बनाए रख रहे हों। आपकी लॉगिंग नीति को स्पष्ट रूप से गेस्ट WiFi दायरे को संबोधित करना चाहिए, प्रतिधारण अवधि को परिभाषित करना चाहिए, और कैप्चर किए गए किसी भी व्यक्तिगत डेटा के लिए कानूनी आधार का दस्तावेजीकरण करना चाहिए। नियंत्रण A.8.23 — वेब फ़िल्टरिंग — के लिए आवश्यक है कि प्रणालियों को मैलवेयर संक्रमण से बचाने और अनधिकृत वेब संसाधनों तक पहुँच को रोकने के लिए बाहरी वेबसाइटों तक पहुँच का प्रबंधन किया जाए। गेस्ट WiFi के लिए, इसका आमतौर पर मतलब DNS-आधारित फ़िल्टरिंग या क्लाउड वेब प्रॉक्सी को तैनात करना है जो ज्ञात दुर्भावनापूर्ण डोमेन, कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर और आपके क्षेत्र के आधार पर अनुपयुक्त सामग्री की श्रेणियों को ब्लॉक करता है। पारिवारिक दर्शकों की सेवा करने वाले एक होटल ऑपरेटर के पास उद्यम प्रतिनिधियों की सेवा करने वाले सम्मेलन केंद्र की तुलना में अलग फ़िल्टरिंग दायित्व होते हैं, लेकिन दोनों को एक प्रलेखित नीति और साक्ष्य की आवश्यकता होती है कि फ़िल्टरिंग सक्रिय है और इसकी समीक्षा की जाती है। संगठनात्मक नियंत्रणों की ओर बढ़ते हुए — एनेक्स ए क्लॉज 5 — दो नियंत्रण विशेष रूप से प्रासंगिक हैं। नियंत्रण A.5.14 — सूचना स्थानांतरण — सूचना के हस्तांतरण के लिए नियमों, प्रक्रियाओं और नियंत्रणों को नियंत्रित करता है। यदि मेहमान फ़ाइलें स्थानांतरित करने, क्लाउड सेवाओं तक पहुँचने, या व्यवसाय संचालित करने के लिए आपके नेटवर्क का उपयोग कर रहे हैं, तो आपको एक स्वीकार्य उपयोग नीति की आवश्यकता है जो उन्हें प्रमाणीकरण के समय प्रस्तुत की जाए — आमतौर पर Captive Portal के माध्यम से — और पहुँच प्रदान करने से पहले स्वीकार की जाए। उस स्वीकृति घटना को साक्ष्य के रूप में लॉग करने की आवश्यकता है। नियंत्रण A.5.31 — कानूनी, वैधानिक, नियामक और संविदात्मक आवश्यकताएं — के लिए आवश्यक है कि आप सभी प्रासंगिक कानूनी और नियामक दायित्वों की पहचान करें और उनका दस्तावेजीकरण करें। गेस्ट WiFi के लिए, इसमें GDPR या यूके GDPR शामिल है यदि आप प्रमाणीकरण के समय कोई व्यक्तिगत डेटा कैप्चर कर रहे हैं, इन्वेस्टिगेटरी पावर्स एक्ट यदि आप यूके में हैं और आपको संचार डेटा बनाए रखने की आवश्यकता हो सकती है, और क्षेत्र-विशिष्ट नियम जैसे कि PCI DSS यदि आपका गेस्ट नेटवर्क कार्डधारक डेटा के दायरे में है। अब, जोखिम मूल्यांकन। ISO 27001 एक जोखिम-आधारित मानक है, जिसका अर्थ है कि आप केवल नियंत्रणों को लागू करके इसे पूरा नहीं मान सकते। आपको गेस्ट WiFi संपत्ति के लिए एक औपचारिक जोखिम मूल्यांकन का दस्तावेजीकरण करना होगा। उस मूल्यांकन को खतरों की पहचान करनी चाहिए — आंतरिक प्रणालियों तक अनधिकृत पहुँच, गेस्ट उपकरणों से मैलवेयर का प्रसार, वायरलेस माध्यम पर डेटा इंटरसेप्शन, सेवा से इनकार (denial of service), और आपके नेटवर्क के दुरुपयोग से प्रतिष्ठा को नुकसान। प्रत्येक खतरे के लिए, आप संभावना और प्रभाव का आकलन करते हैं, अपना जोखिम उपचार निर्धारित करते हैं — चाहे वह कम करना हो, स्वीकार करना हो, स्थानांतरित करना हो, या टालना हो — और अवशिष्ट जोखिम का दस्तावेजीकरण करते हैं। प्रयोज्यता विवरण (Statement of Applicability) में विशिष्ट एनेक्स ए नियंत्रणों को शामिल करने या बाहर करने के औचित्य के रूप में गेस्ट WiFi जोखिम मूल्यांकन का संदर्भ होना चाहिए। आइए WPA3 और प्रमाणीकरण मानकों के बारे में बात करें। WiFi हार्डवेयर की IEEE 802.11ax और 802.11be पीढ़ियां WPA3 का समर्थन करती हैं, जो पुराने प्री-शेयर्ड की (Pre-Shared Key) हैंडशेक की जगह 'Simultaneous Authentication of Equals' — SAE — प्रदान करता है। एक गेस्ट नेटवर्क के लिए जहाँ आप एक साझा पासफ़्रेज़ का उपयोग कर रहे हैं, SAE के साथ WPA3-Personal फॉरवर्ड गोपनीयता प्रदान करता है, जिसका अर्थ है कि भले ही पासफ़्रेज़ से समझौता हो जाए, ऐतिहासिक सत्र ट्रैफ़िक को डिक्रिप्ट नहीं किया जा सकता है। एंटरप्राइज़ परिनियोजन के लिए जहाँ आप प्रति-उपयोगकर्ता प्रमाणीकरण चाहते हैं, IEEE 802.1X और EAP-TLS के साथ WPA3-Enterprise प्रमाणपत्र-आधारित प्रमाणीकरण प्रदान करता है जो सीधे ISO 27001 पहचान प्रबंधन नियंत्रणों से मैप करता है। इन दो मॉडलों के बीच का चुनाव आपकी उपयोगकर्ता आबादी और आपकी परिचालन जटिलता सहनशीलता पर निर्भर करता। अब, विक्रेता SOC 2 प्रमाणपत्र। यदि आप क्लाउड-प्रबंधित गेस्ट WiFi प्लेटफ़ॉर्म का उपयोग कर रहे हैं — और अधिकांश संगठन ऐसा कर रहे हैं — तो उस विक्रेता की SOC 2 Type II रिपोर्ट आपके आपूर्तिकर्ता आश्वासन साक्ष्य का एक महत्वपूर्ण हिस्सा है। एक SOC 2 Type II रिपोर्ट ट्रस्ट सर्विसेज क्राइटेरिया को कवर करती है: सुरक्षा, उपलब्धता, प्रसंस्करण अखंडता, गोपनीयता और प्राइवेसी, आमतौर पर छह से बारह महीनों की ऑडिट अवधि में। जब आप अपनी ISO 27001 आपूर्तिकर्ता आश्वासन फ़ाइल बना रहे होते हैं, तो विक्रेता की SOC 2 Type II रिपोर्ट, एक पूर्ण आपूर्तिकर्ता सुरक्षा प्रश्नावली और एक डेटा प्रोसेसिंग समझौते के साथ मिलकर, आपको नियंत्रण A.8.21 के लिए एक मजबूत साक्ष्य पैक देती है। उदाहरण के लिए, Purple SOC 2 संरेखण रखता है जो सीधे इस डाउनस्ट्रीम ISMS आवश्यकता का समर्थन करता है — जिसका अर्थ है कि आप प्लेटफ़ॉर्म का पूर्ण कस्टम सुरक्षा मूल्यांकन करने के बजाय अपने स्वयं के ऑडिट साक्ष्य में उनके प्रमाणन का संदर्भ दे सकते हैं। --- खंड 3: कार्यान्वयन सिफारिशें और नुकसान (लगभग 2 मिनट) मुझे आपको चार ऐसे कार्यान्वयन निर्णय बताने दें जो अधिकांश संगठन गलत करते हैं। पहला: जोखिम मूल्यांकन में स्कोप क्रीप। संगठन या तो गेस्ट WiFi को बहुत संकीर्ण रूप से स्कोप करते हैं — इसे स्कोप से बाहर मानते हैं क्योंकि यह केवल आगंतुकों के लिए है — या बहुत व्यापक रूप से, प्रासंगिकता की परवाह किए बिना हर संभव नियंत्रण को लागू करने का प्रयास करते हैं। सही दृष्टिकोण इसे एक सूचना संपत्ति के रूप में स्कोप करना है जो ISMS के दायरे में है, एक आनुपातिक जोखिम मूल्यांकन करना है, और प्रयोज्यता विवरण (Statement of Applicability) में अपने नियंत्रण चयन के औचित्य का दस्तावेजीकरण करना है। दूसरा: अपर्याप्त नेटवर्क पृथक्करण। मैंने ऐसे गेस्ट VLAN देखे हैं जो तकनीकी रूप से अलग हैं लेकिन आंतरिक प्रणालियों के साथ फ़ायरवॉल ज़ोन साझा करते हैं, या जहाँ वायरलेस कंट्रोलर का प्रबंधन इंटरफ़ेस गेस्ट सेगमेंट से सुलभ है। पृथक्करण को पेनेट्रेशन टेस्ट या कम से कम नेटवर्क एक्सेस समीक्षा के साथ सत्यापित करने की आवश्यकता है, और उस सत्यापन को ऑडिट साक्ष्य के रूप में प्रलेखित करने की आवश्यकता है। तीसरा: एक्सेस कंट्रोल तंत्र के रूप में Captive Portal की अनदेखी करना। Captive Portal केवल एक ब्रांडिंग अभ्यास नहीं है। यह वह बिंदु है जिस पर आप अपनी स्वीकार्य उपयोग नीति प्रस्तुत करते हैं, डेटा प्रोसेसिंग के लिए सहमति प्राप्त करते हैं, और प्रमाणीकरण लॉग बनाते हैं जो कई ISO 27001 नियंत्रणों के लिए साक्ष्य के रूप में कार्य करता है। यदि आपका Captive Portal टाइमस्टैम्प और सत्र पहचानकर्ताओं के साथ स्वीकृति घटनाओं को लॉग नहीं कर रहा है, तो आपके पास एक अंतर (gap) है जिसे एक ऑडिटर ढूंढ लेगा। चौथा: आपूर्तिकर्ता आश्वासन को एक बार की गतिविधि के रूप में मानना। SOC 2 रिपोर्ट समाप्त हो जाती हैं। ISP अनुबंध बदलते हैं। क्लाउड प्लेटफ़ॉर्म की सेवा शर्तें अपडेट की जाती हैं। आपके आपूर्तिकर्ता आश्वासन कार्यक्रम में विक्रेता सुरक्षा प्रमाणपत्रों की वार्षिक समीक्षा शामिल होनी चाहिए, और उस समीक्षा को प्रलेखित किया जाना चाहिए। प्रत्येक विक्रेता की SOC 2 रिपोर्ट अवधि समाप्त होने पर एक कैलेंडर अनुस्मारक सेट करें और सक्रिय रूप से अद्यतन रिपोर्ट का अनुरोध करें। सत्र टाइमआउट के प्रश्न पर: ISO 27001 विशिष्ट टाइमआउट मानों को निर्धारित नहीं करता है, लेकिन आपके जोखिम मूल्यांकन को आपके द्वारा चुने गए किसी भी मान के औचित्य का दस्तावेजीकरण करना चाहिए। आतिथ्य (hospitality) में आठ घंटे का सत्र टाइमआउट आम है, लेकिन एक दिवसीय कार्यक्रम चलाने वाला सम्मेलन केंद्र यह सुनिश्चित करने के लिए कम टाइमआउट सेट कर सकता है कि उपस्थित लोगों के बीच क्रेडेंशियल साझा न किए जाएं। मुख्य सिद्धांत यह है कि टाइमआउट नीति प्रलेखित, जोखिम-उचित और लगातार लागू की गई हो। उदाहरण के लिए, Purple का प्लेटफ़ॉर्म आपको सत्र टाइमआउट नीतियों को केंद्रीय रूप से कॉन्फ़िगर और लागू करने की अनुमति देता है, जिसमें कॉन्फ़िगरेशन स्थिति ऑडिट साक्ष्य के रूप में निर्यात योग्य होती है। --- खंड 4: रैपिड-फायर प्रश्नोत्तर (लगभग 1 मिनट) मुझे उन सवालों को देखने दें जो मुझे ISO 27001 प्रमाणन की तैयारी कर रहे IT प्रबंधकों से सबसे अधिक बार मिलते हैं। क्या गेस्ट WiFi को हमारे ISMS के दायरे में होना चाहिए? यदि यह ऐसी जानकारी को संसाधित, संग्रहीत या प्रसारित करता है जो आपके ISMS दायरे में आती है, तो हाँ। यदि मेहमान किसी व्यक्तिगत डेटा का उपयोग करके प्रमाणित करते हैं, या यदि नेटवर्क किसी भी ऐसी प्रणाली से जुड़ता है जो दायरे में है, तो इसे शामिल किया जाना चाहिए। क्या हम प्रयोज्यता विवरण (Statement of Applicability) से गेस्ट WiFi को बाहर कर सकते हैं? आप नियंत्रणों को बाहर कर सकते हैं, लेकिन आपको औचित्य का दस्तावेजीकरण करना होगा। गेस्ट WiFi परिनियोजन के लिए A.8.22 नेटवर्क के पृथक्करण को बाहर करने के लिए एक बहुत ही सम्मोहक तर्क की आवश्यकता होगी जिसे ऑडिटर द्वारा स्वीकार किए जाने की संभावना नहीं है। गेस्ट WiFi ऑडिट के लिए न्यूनतम व्यवहार्य साक्ष्य पैक क्या है? VLAN पृथक्करण दिखाने वाला नेटवर्क आरेख, फ़ायरवॉल नियम सेट, स्वीकार्य उपयोग नीति पाठ के साथ Captive Portal कॉन्फ़िगरेशन, प्रमाणीकरण लॉग नमूना, जोखिम मूल्यांकन प्रविष्टि, और विक्रेता SOC 2 रिपोर्ट या समकक्ष आश्वासन दस्तावेज़। गेस्ट WiFi के लिए GDPR, ISO 27001 के साथ कैसे इंटरैक्ट करता है? GDPR एक कानूनी आवश्यकता है जो नियंत्रण A.5.31 में योगदान देती है। आपका गोपनीयता नोटिस, आपके WiFi प्लेटफ़ॉर्म विक्रेता के साथ डेटा प्रोसेसिंग समझौता, और डेटा प्रतिधारण नीति सभी ISO 27001 साक्ष्य आइटम के साथ-साथ GDPR अनुपालन कलाकृतियां भी हैं। वे दोहरा कर्तव्य निभाते हैं। --- खंड 5: सारांश और अगले कदम (लगभग 1 मिनट) इसे एक साथ लाने के लिए: गेस्ट WiFi आपके ISMS के लिए कोई परिधीय चिंता नहीं है — यह वास्तविक जोखिम जोखिम और लागू ISO 27001:2022 नियंत्रणों के स्पष्ट सेट के साथ एक लाइव नेटवर्क सीमा है। जो नियंत्रण सबसे अधिक मायने रखते हैं वे हैं नेटवर्क पृथक्करण के लिए A.8.22, नेटवर्क सुरक्षा प्रबंधन के लिए A.8.20, आपूर्तिकर्ता आश्वासन के लिए A.8.21, लॉगिंग के लिए A.8.15, वेब फ़िल्टरिंग के लिए A.8.23, स्वीकार्य उपयोग के लिए A.5.14, और कानूनी अनुपालन के लिए A.5.31। आपके तत्काल अगले कदम: पहला, पुष्टि करें कि गेस्ट WiFi आपके ISMS स्कोप स्टेटमेंट में स्पष्ट रूप से शामिल है। दूसरा, प्रलेखित खतरों, संभावना, प्रभाव और उपचार निर्णयों के साथ अपने जोखिम रजिस्टर में एक गेस्ट WiFi प्रविष्टि जोड़ें। तीसरा, अपना साक्ष्य पैक बनाएं — नेटवर्क आरेख, फ़ायरवॉल नियम, Captive Portal कॉन्फ़िगरेशन, लॉगिंग नीति और विक्रेता SOC 2 रिपोर्ट। चौथा, अपने WiFi प्लेटफ़ॉर्म प्रदाता के लिए वार्षिक आपूर्तिकर्ता आश्वासन समीक्षा निर्धारित करें। यदि आप अपने गेस्ट WiFi इंफ्रास्ट्रक्चर को तैनात या अपग्रेड कर रहे हैं, तो Purple का प्लेटफ़ॉर्म इन अनुपालन आवश्यकताओं को ध्यान में रखकर बनाया गया है — SOC 2 संरेखित, केंद्रीकृत नीति प्रबंधन और निर्यात योग्य कॉन्फ़िगरेशन साक्ष्य के साथ जो सीधे आपके ISMS दस्तावेज़ीकरण में जाता है। Purple टेक्निकल ब्रीफिंग में शामिल होने के लिए धन्यवाद। पूरी लिखित गाइड, आर्किटेक्चर आरेख और व्यावहारिक उदाहरणों के लिए, Purple संसाधन केंद्र पर जाएं। अगली बार तक।