भाग 13.5: Critical Infrastructure | CCL मॉड्यूल 13

13.5.1 CII की परिभाषा

IT Act 2000 की धारा 70 में Critical Information Infrastructure (CII) को परिभाषित किया गया है।

Section 70 - Definition

Critical Information Infrastructure: वह Computer Resource जिसकी Incapacitation या Destruction का National Security, Economy, Public Health, या Safety पर गंभीर प्रभाव पड़े।

Key Elements

Computer Resource: IT Infrastructure, Networks, Systems
Incapacitation: कार्य करने में असमर्थता
Destruction: नष्ट होना
Debilitating Impact: गंभीर नकारात्मक प्रभाव

Protected System

धारा 70(1) के तहत Government किसी Computer Resource को Protected System के रूप में Declare कर सकती है। ऐसे Systems तक Unauthorized Access 10 वर्ष तक की कैद से दंडनीय है।

13.5.2 NCIIPC - National Critical Information Infrastructure Protection Centre

NCIIPC क्या है?

Nodal Agency: CII Protection के लिए National Nodal Agency
Parent: NTRO (National Technical Research Organisation) के अंतर्गत
Established: 2014
Mandate: CII को Cyber Threats से Protect करना

NCIIPC के Functions

Identification: CII की पहचान करना
Protection: Protection Measures Develop करना
Coordination: Sector-wise Coordination
Advisory: Security Advisories जारी करना
Audit: CII का Security Audit
Incident Response: CII पर Attack का Response

Agency	Role	Scope
NCIIPC	CII Protection	Critical Infrastructure Only
CERT-In	General Cyber Security	All Entities
NIC	Government IT	Government Networks

13.5.3 CII Sectors

Identified Critical Sectors

Sector	Examples	Nodal Ministry
Power & Energy	Power Grid, Nuclear Plants	Ministry of Power
Banking & Finance	Core Banking, Payment Systems	Ministry of Finance
Telecom	Telecom Networks, Internet	DoT
Transport	Railways, Aviation, Ports	Ministry of Transport
Government	e-Governance, NIC	MeitY
Healthcare	Hospital Systems, AIIMS	Ministry of Health
Defence	Defence Networks	Ministry of Defence

Sector-specific CISOs

प्रत्येक Critical Sector में Sector-level CISO (Chief Information Security Officer) होना चाहिए जो:

Sector की Security Policy बनाए
NCIIPC के साथ Coordinate करे
Incident Response Manage करे
Compliance Ensure करे

13.5.4 Protection Framework

NCIIPC Guidelines

Risk Assessment: Regular Risk Assessment करना
Security Controls: Technical और Administrative Controls
Incident Response: IR Plan और Team
Business Continuity: BCP और DR Plan
Audit: Regular Security Audit

Security Requirements

Access Control: Strict Access Management
Network Security: Segmentation, Firewalls
Monitoring: 24x7 Security Monitoring
Patch Management: Regular Updates
Encryption: Data at Rest और Transit
Physical Security: Physical Access Controls

Air-Gapping

अत्यंत Critical Systems को Internet से Air-Gap करने की Recommendation है। Nuclear Plants, Defence Systems आदि को Isolated Networks पर रखा जाता है।

13.5.5 Audit Requirements

CII Security Audit

Frequency: Annual या NCIIPC द्वारा निर्धारित
Auditor: CERT-In Empanelled Auditor
Scope: All CII Systems और Processes
Report: NCIIPC को Submit

Audit Areas

Network Security Architecture
Access Control Mechanisms
Incident Response Capabilities
Business Continuity Plans
Physical Security
Personnel Security
Compliance with Guidelines

13.5.6 Penalties - Section 70

Unauthorized Access to Protected System

Section 70: Protected System में Unauthorized Access
Penalty: 10 वर्ष तक की कैद और जुर्माना
Cognizable: Non-bailable Offence

Severe Punishment

CII पर Attack करना IT Act के सबसे गंभीर अपराधों में से एक है। 10 वर्ष तक की कैद - यह IT Act में सबसे लंबी सजा में से एक है।

Other Related Offences

Section 66: Computer Related Offences
Section 66F: Cyber Terrorism
Section 43: Damage to Computer System

मुख्य बिंदु (Key Takeaways)

CII: Infrastructure जिसके Compromise से National Security पर प्रभाव
NCIIPC: CII Protection की National Nodal Agency
Sectors: Power, Banking, Telecom, Transport, Government, Healthcare, Defence
Protected System: Section 70 के तहत Declared Systems
Penalty: Unauthorized Access पर 10 वर्ष कैद
Audit: CERT-In Empanelled Auditor द्वारा Annual Audit