তথ্য নিরাপত্তা ও সহজপ্রাপ্তি নিশ্চিত করতে হবে

তথ্য একটি সংস্থার সর্বাধিক মূল্যবান সম্পদ। প্রবেশাধিকারের বিবেচনায় তথ্যের বিভিন্ন প্রকারভেদ রয়েছে। কিছু তথ্য উন্মুক্ত আবার কিছু তথ্য গোপনীয়। গোপনীয়তার মাত্রার ভিত্তিতে তথ্যে প্রবেশাধিকারেরও বেশ কয়েকটি পর্যায় রয়েছে; যেমন কিছু তথ্য কোনো রকম প্রমাণ ছাড়াই সর্বসাধারণের ব্যবহারের জন্য উন্মুক্ত; কিছু তথ্য একক-উৎস কর্তৃক প্রমাণ সাপেক্ষ; কিছু তথ্যের জন্য প্রয়োজন একাধিক প্রমাণ; আবার কিছু তথ্য প্রতিষ্ঠানের নিজস্ব; কিছু তথ্য অতি গোপনীয় যাহা প্রতিষ্ঠানের নির্দিষ্ট কিছু লোক ব্যবহার করে থাকে। সুতরাং একটি সংস্থার তথ্য ও তাতে প্রবেশাধিকার বিষয়ে স্বচ্ছ ধারণা থাকা অত্যাবশ্যক।

বিভিন্ন মন্ত্রণালয় ই-গভর্ন্যান্স বাস্তবায়নের কাজ করছে। সরকারি কর্মপ্রক্রিয়ার উন্নয়ন ও সহজকরণ এবং সরকারের সক্ষমতা বৃদ্ধি করাই এর উদ্দেশ্য। এটি করতে হলে তথ্য ডিজিটালকরণ করতে হবে এবং সেসব ডিজিটালকৃত তথ্য এই রূপভাবে প্রক্রিয়া ও সংরক্ষণ করতে হবে যাতে তথ্যগুলো হারিয়ে না যায় কিংবা অপব্যবহার না হয়। সাম্প্রতিককালে বাংলাদেশ তথ্য সুরক্ষাবিষয়ক কার্যপ্রণালির অভাব, দুর্বল ও অব্যবস্থাপনাজনিত নিরাপত্তা নিয়ন্ত্রণ ব্যবস্থা, স্বল্পদক্ষ কর্মচারী কর্তৃক ব্যবস্থাপনা পরিচালিত হওয়া এবং বিশেষায়িত জ্ঞান ও দক্ষতার অভাবসহ নানান কারণে একাধিকবার ওয়েব ডিফেইসমেন্ট, তথ্য বিপর্যয়, তথ্য চুরি, ডিস্ট্রিবিউটেড ডিনাইয়াল অব সার্ভিস ইত্যাদির মাধ্যমে সাইবার আক্রমণের শিকার হয়েছে।

এসব আক্রমণের বিরুদ্ধে ডিজিটালকৃত সরকারি তথ্য-সম্পদ সুরক্ষার লক্ষ্যে পর্যাপ্ত প্রতিরোধক, নিরোধক, অনুসন্ধানী ও প্রশাসনিক নিরাপত্তামূলক ব্যবস্থা নেই। তাই ডিজিটালকৃত সরকারি তথ্য সম্পদে অননুমোদিত অনুপ্রবেশ রোধ করিতে সঠিক নিরাপত্তা পলিসি ও বাস্তবায়ন কৌশল প্রণয়ন অপরিহার্য। সবার জন্য তথ্যের উন্মুক্ত ক্ষেত্র হলো ইন্টারনেট। ইন্টারনেট ও অন্যান্য প্রযুক্তি, যেমন- হস্তে ধারণযোগ্য যন্ত্র, মোবাইল প্রযুক্তি, ট্যাবলেট পিসি, বেতার প্রযুক্তি তথ্যকে সহজলভ্য ও সাশ্রয়ী করেছে। অন্যদিকে দেশে বিশৃঙ্খলা সৃষ্টির হাতিয়ার হিসেবে তথ্য ব্যবহৃত হতে পারে। সুতরাং ইন্টারনেটে প্রদত্ত তথ্য সম্পর্কে সংস্থাকে দায়িত্বশীল ভূমিকা পালন করতে হবে।

আবার ইন্টারনেটে প্রদত্ত তথ্য ছাড়াও সংস্থাকে বিভিন্ন মাধ্যমে সঞ্চালিত ও সঞ্চিত তথ্য সম্পর্কেও সতর্ক থাকতে হবে, যেমন- ইন্টারনেট বা ল্যান-এ সঞ্চালিত তথ্য বা ক্লাউডে কিংবা অভ্যন্তরীণ তথ্যভান্ডার বা কম্পিউটারে সঞ্চিত তথ্য। তথ্য ব্যবস্থা হলো তথ্যপ্রযুক্তি ব্যবহারের মাধ্যমে ইলেক্ট্রনিক উপায়ে উপাত্ত প্রক্রিয়াকরণের ইলেক্ট্রনিক তথ্য ব্যবস্থা- যার মধ্যে অন্তর্ভুক্ত রয়েছে কম্পিউটার সিস্টেম, সার্ভার, ওয়ার্ক স্টেশন, টার্মিনাল, স্টোরেজ মিডিয়া, কমিউনিকেশন ডিভাইস, নেটওয়ার্ক রিসোর্স ও ইন্টারনেট। তথ্য নিরাপত্তা হলো তথ্যের গোপনীয়তা, শুদ্ধতা ও লভ্যতা সংরক্ষণ; এছাড়া অন্যান্য বৈশিষ্ট্য যেমন প্রামাণ্যতা, জবাবদিহিতা ও নির্ভরশীলতাও এর অন্তর্ভুক্ত হতে পারে।

তথ্য নিরাপত্তা পলিসি হলো ব্যবস্থাপনাবিষয়ক নির্দেশনাবলির এমন একটি প্রামাণ্য তালিকা, যা তথ্য ব্যবস্থাপনায় সঞ্চিত বা প্রক্রিয়াকরণকৃত কোনো অননুমোদিত প্রকাশ, পরিবর্তন বা ক্ষতি হতে সুরক্ষা করার লক্ষ্যে কম্পিউটার ও নেটওয়ার্ক সম্পদের সঠিক ব্যবহার ও ব্যবস্থাপনা সম্পর্কে সবিস্তারে বর্ণনা করে। একটি দেশ বা একটি সংস্থার জন্য তথ্য একটি গুরুত্বপূর্ণ সম্পদ। সরকার, নাগরিক ও প্রতিষ্ঠানগুলোর মধ্যে আস্থা প্রতিষ্ঠা ও তা বজায় রাখতে তথ্য সুরক্ষা অপরিহার্য। তথ্য নিরাপত্তা একটি সংস্থার জনবল ও প্রযুক্তির সঙ্গে সংশ্লিষ্ট এমন একটি প্রক্রিয়া, যার মাধ্যমে সেই সংস্থা তার তথ্যের সংরক্ষণ ও নিরাপত্তা বিধান করে।

একটি প্রতিষ্ঠানের অন্যান্য গুরুত্বপূর্ণ সম্পদের মতো তথ্য এমন একটি সম্পদ যা প্রতিষ্ঠানের কার্যক্রমের জন্য অপরিহার্য এবং যা যথাযথ উপায়ে সুরক্ষিত থাকে। ব্যাপক অর্থে তথ্যবলিকে বোঝায় এমন ভিত্তি যার উপর নির্ভর করে সংস্থা তাদের কার্যক্রম পরিচালনা করে থাকে। নির্ভরযোগ্য তথ্য ভালো সিদ্ধান্ত গ্রহণে সহায়তা করে প্রতিষ্ঠানের সক্ষমতা বৃদ্ধি করে। সেসব তথ্য সংরক্ষণ করতে হবে, যা কার্যবাস্তবায়নের ক্ষেত্রে প্রশাসনিক, রাজনৈতিক, বাণিজ্যিক কিংবা ব্যক্তিগত কারণে গুরুত্বপূর্ণ।

অননুমোদিত বা আকস্মিক পরিবর্তন, ক্ষতি-বিনষ্ট বা অনাকাঙ্ক্ষিত প্রকাশ হতে এ তথ্য রক্ষা করার জন্য সরকারের আইনগত বাধ্যবাধকতা রয়েছে। সঠিকভাবে তথ্য ব্যবহারের ক্ষেত্রে নৈতিকতার বিষয়টিও জড়িত। তথ্যের বিভিন্ন রূপ হতে পারে যেমন- প্রামাণ্য দলিল ও কাগজপত্র; ইলেক্ট্রনিক উপাত্ত; তথ্যব্যবস্থাগুলো (সফট্ওয়্যার, হার্ডওয়্যার ও নেটওয়ার্ক) যার মাধ্যমে তথ্য সংরক্ষণ, প্রক্রিয়াকরণ ও আদান-প্রদান করা হয়; ব্যক্তির বুদ্ধিভিত্তিক তথ্য (জ্ঞান বা ধারণাগুলো); ভৌত উপকরণগুলো যা হতে তথ্যের ডিজাইন, উপাদান বা ব্যবহার সম্পর্কিত ধারণা পাওয়া যাবে এবং ছবি, অডিও বা ভিডিও ক্লিপ।

তথ্য যারা ব্যবহার করেন এবং যারা স্বত্বাধিকারী সেই সব স্টেকহোল্ডারদের মধ্যে আস্থা নিশ্চিতকরণের জন্য তথ্যকে সুরক্ষিত রাখতে হবে। নিরাপত্তাবিষয়ক ঝুঁকি নির্ধারণের সঙ্গে তথ্য সংরক্ষণ একান্তভাবে সম্পর্কিত। নিরাপত্তাবিষয়ক ঝুঁকি নির্ধারণে প্রথম কাজ হলো সংশ্লিষ্ট প্রতিষ্ঠানের তথ্য সম্পদের যেমন- সংশ্লিষ্ট প্রতিষ্ঠানের কম্পিউটার ব্যবস্থায় সংরক্ষিত অ্যাপ্লিকেশন প্রোগ্রাম, সংরক্ষিত উপাত্ত, প্রতিবেদন, পণ্যের ডিজাইন ও স্পেসিফিকেশন, প্রস্তাব, কর্মপরিকল্পনা, আর্থিক দলিলাদি, উপাত্তভাণ্ডার এবং অন্যান্য ফাইল ও দলিলপত্রের মজুদ সমীক্ষা করে দেখা। সমীক্ষার উদ্দেশ্য হলো সম্পদগুলো ও তাদের পরিধি সম্পর্কে জানতে সাহায্য করার লক্ষ্যে সেগুলো পরিকল্পনা অনুযায়ী সুবিন্যস্ত করা।

কারা প্রবেশাধিকার পাবে তা নির্ধারণের লক্ষ্যে তথ্যকে অবশ্যই শ্রেণিকরণ করতে হবে। তথ্য সম্পদ সঠিকভাবে চিহ্নিত এবং সঠিকভাবে শ্রেণিকৃত ও তাদের পরিধি নির্ধারিত হলে পরবর্তী সময়ে পদক্ষেপ হবে, কার কোন তথ্যে প্রবেশাধিকার থাকবে তা নির্ধারণ করা। অনেক ধরনের তথ্য রয়েছে যেমন- উপাত্ত ভান্ডার ও ডাটা ফাইল চুক্তিপত্র, প্রসেসসহ সিস্টেম ডকুমেন্টেশন, গবেষণা তথ্য, ব্যবহার বিধি, প্রশিক্ষণ-উপকরণ, পরিচালনা বা সহায়কপদ্ধতি, কার্যক্রমের ধারাবাহিকতা পরিকল্পনা, অসুবিধার সম্মুখীন হলে বিশেষ ব্যবস্থা চালুকরণ, অডিট বিবরণী এবং চূড়ান্তভাবে সংরক্ষিত তথ্য; অ্যাপ্লিকেশন সফট্ওয়্যার, সিস্টেম সফট্ওয়্যার, সিস্টেম উন্নয়ন যন্ত্রাংশ এবং অন্যান্য জরুরি প্রয়োজনীয় সুবিধাদি; কম্পিউটার সরঞ্জাম, কমিউনিকেশন সরঞ্জাম, স্থানান্তরযোগ্য প্রচার সরঞ্জাম ও অন্যান্য সরঞ্জাম; হিসাব ও যোগাযোগ সেবা; জনবল, তাদের যোগ্যতা, দক্ষতা ও অভিজ্ঞতা এবং বস্তুগত নয়- এমন সম্পদ।

একটি প্রতিষ্ঠানের জন্য সবচেয়ে গুরুত্বপূর্ণ ও মূল্যবান তথ্য হলো সেগুলো যা ওই সংস্থার মূল বা সর্বাধিক গুরুত্বপূর্ণ দায়িত্ব, সামর্থ্য বা লক্ষ্যমাত্রার সঙ্গে সংশ্লিষ্ট। তথ্যের গোপনীয়তা, শুদ্ধতা ও সহজলভ্যতা ভঙ্গ হলে প্রতিষ্ঠান কতখানি ক্ষতিগ্রস্ত হবে তার মাধ্যমে বোঝা যায় ওই প্রতিষ্ঠানে তথ্য সম্পদের কতখানি মূল্য। প্রতিষ্ঠানের সম্ভাব্য ক্ষতিগুলোর মধ্যে রয়েছে- প্রত্যক্ষ ও পরোক্ষ আর্থিক ক্ষতি, রাজস্ব ঘাটতি, সেবা প্রদানবিষয়ক বাধ্যবাধকতা পূরণে ব্যর্থতা বা সুনামহানি। নিরাপত্তা বিধানে ব্যর্থতার পরোক্ষ ফলাফলও বিবেচনা করতে হবে। তথ্য সম্পদের মূল্য নিরুপণের ভিত্তি হলো : তথ্য সম্পদের গোপনীয়তা; তথ্য সম্পদের শুদ্ধতা; তথ্য সম্পদের প্রামাণ্যতা; অনস্বীকৃতি এবং তথ্য সম্পদের সহজলভ্যতা।

তথ্যের সংরক্ষক হলেন তথ্যের স্বত্বাধিকারী কর্তৃক নিয়োজিত এমন একজন ব্যক্তি যিনি স্বত্বাধিকারী কর্তৃক প্রবর্তিত রক্ষণাবেক্ষণ ও নিয়ন্ত্রণ ব্যবস্থা অনুসরণ করে তথ্য সুরক্ষা করবেন। তিনি অন্যদের তথ্য প্রদান করার প্রয়োজন হলে সে বিষয়ে স্বত্বাধিকারী কর্তৃক দায়িত্বপ্রাপ্ত হবেন। সংরক্ষক তথ্যের স্বত্বাধিকারী কর্তৃক নির্ধারিত উপায়ে নিয়মিত ব্যাকআপ ও উপাত্তের গ্রহণযোগ্যতা যাচাই কার্যক্রম সম্পন্ন এবং ব্যাকআপ হতে বিভিন্ন উপায়ে উপাত্ত নতুনভাবে সংরক্ষণ করবেন ও তথ্যে প্রবেশাধিকারে নিয়ন্ত্রণ আরোপ করারও দায়িত্ব পালন করবেন। প্রতিটি তথ্যসম্পদ একজন সংরক্ষকের দায়িত্বে থাকবে। সংরক্ষককে তথ্য সম্পদের নিরাপত্তার জন্য চূড়ান্তভাবে দায়িত্বশীল থাকতে হয়। সেই জন্য তাকে নিশ্চিত হতে হয়, যেসব দায়িত্ব যথাযথভাবে সম্পন্ন হচ্ছে।

ক্রমাগত সঞ্চয়নের ফলে তথ্য ভাণ্ডার বিশাল আকার ধারণ করতে পারে এবং তা তথ্যের সর্বোত্তম ব্যবহারে বাধা সৃষ্টি করতে পারে। এ কারণে ব্যবহার উপযোগিতা-উত্তীর্ণ, একাধিক কপি, অতিরিক্ত এবং অপ্রয়োজনীয় তথ্য হয় বিনষ্ট নতুবা চূড়ান্ত সংরক্ষণ করা যেতে পারে। কোনো সংস্থার তথ্য নষ্ট করতে হলে তথ্যের স্বত্বাধিকারী এবং তথ্য সংরক্ষককের যথাযথ অনুমোদন গ্রহণ করতে হবে এবং তাদের সংরক্ষিত লগ বইয়ে নষ্ট করার কারণ লিপিবদ্ধ করতে হবে। সংরক্ষণের ক্ষেত্রে একটি সংস্থা কাগজ এবং নথিপত্র সংরক্ষণের মতো অবশ্যই ইলেকট্রনিক তথ্য সম্পদ সংরক্ষণের বিষয় বিবেচনা করবে। তথ্য সম্পদের গুরুত্ব বিবেচনা করে একটি সংস্থা তার তথ্য সম্পদ সংরক্ষণের মেয়াদ নির্ধারণ করবে। মেয়াদ নির্ধারণের ক্ষেত্রে সংস্থাকে অবশ্যই তথ্য ও যোগাযোগ প্রযুক্তি আইন এবং অন্যান্য প্রাসঙ্গিক আইন অনুসরণ করতে হবে।

তথ্য নিরাপত্তা বিষয়টি দৈনন্দিন কার্যক্রমের ধারাবাহিকতার প্রক্রিয়া ও সংস্থার অন্যান্য ব্যবস্থাপনা প্রক্রিয়াগুলোর একটি অপরিহার্য অংশ। দৈনন্দিন কার্যক্রমের ধারাবাহিকতা ব্যবস্থাপনা ঝুঁকি শনাক্তকরণ ও হ্রাসকরণকে অন্তর্ভুক্ত করে। সেসঙ্গে এই প্রক্রিয়াটি সাধারণ ঝুঁকি নির্ণয়, ঘটনাগুলোর ক্ষতিকর প্রভাব কমিয়ে রাখা এবং দৈনন্দিন কার্যক্রমের জন্য প্রয়োজনীয় তথ্য সহজলভ্য হওয়ার বিষয় নিশ্চিত করবে। দৈনন্দিন কার্যক্রমের ধারাবাহিকতাবিষয়ক পরিকল্পনার বিভিন্ন ধাপগুলো হলো : কার্যক্রমের ধারাবাহিকতা ব্যবস্থাপনা প্রক্রিয়ায় তথ্য নিরাপত্তা অন্তর্ভুক্তিকরণ; কার্যক্রমের ধারাবাহিকতা ও ঝুঁকি নির্ণয়করণ; তথ্য নিরাপত্তাসহ ধারাবাহিকতা পরিকল্পনার উন্নয়ন ও বাস্তবায়ন; কার্যক্রমের ধারাবাহিকতা পরিকল্পনার নির্দেশাবলি এবং কার্যক্রমের ধারাবাহিকতা পরিকল্পনা পরীক্ষাকরণ, ত্রুটি অপসারণ ও শুদ্ধিকরণ।