बैंकों में साइबर सिक्यूरिटी की रूपरेखा - आरबीआई - Reserve Bank of India
बैंकों में साइबर सिक्यूरिटी की रूपरेखा
आरबीआई/2015-16/418 ज्येष्ठ १२, १९३८ (शक) अध्यक्ष / प्रबंध निदेशक / मुख्य कार्यपालक अधिकारी महोदया / महोदय बैंकों में साइबर सिक्यूरिटी की रूपरेखा प्रस्तावना बैंकों और उनके संघटकों द्वारा सूचना प्रौद्योगिकी का प्रयोग तेजी से बढ़ा है और यह अब बैंकों की परिचालनीय कार्यनीति का एक महत्वपूर्ण अंग है। भारतीय रिज़र्व बैंक ने दिनांक 29 अप्रैल, 2011 के परिपत्र डीबीएस.सीओ.आईटीसी.बीसी.सं.6/31.02.008/2010-11 के माध्यम से इन्फोर्मेशन सिक्यूरिटी, इलेक्ट्रोनिक बैंकिंग, तकनीकी जोखिम प्रबंधन और साइबर धोखाधड़ी (जी. गोपाल कृष्ण समिति) के संबंध में दिशानिर्देश जारी किए थे जिसमें यह बताया गया था कि कार्यान्वयन हेतु बताए गए उपाय स्थायी नहीं है और बैंक नए संवर्धन विकास और उत्पन्न कठिनाइयों के आधार पर अपनी नीतियों, प्रणालियों और तकनीकों को सक्रिय रूप से तैयार करे / ठीक करें और संशोधित करते रहें । 2. तब से, बैंकों द्वारा तकनीक के प्रयोग में और अधिक बढ़ोतरी हुई है। दूसरी ओर, गत समय में साइबर घटनाओं/आक्रमणों की संख्या, अंतराल और प्रभाव में काफी वृद्धि हुई है, विशेष रूप से बैंक सहित वित्तीय क्षेत्र के मामले, जो संकेत दे रहे हैं कि बैंकों में सुदृढ़ साइबर सिक्यूरिटी / आघात-सहनीयता की रूपरेखा को लागू करने की तत्काल आवश्यकता है और नियमित आधार पर बैंकों में पर्याप्त साइबर-सिक्यूरिटी की तैयारी सुनिश्चित करना आवश्यक है। आसान होते साइबर खतरे, इनका विकासरत स्वरूप, स्तर/वेग में वृद्धि, उत्प्रेरणा और बैंकिंग प्रणाली में साइबर-खतरों की उपस्थिती को ध्यान में रखते हुए, यह आवश्यक है कि साइबर जोखिमों से निपटने के लिए वर्तमान सुरक्षा में सुधार द्वारा बैंकिंग प्रणाली की आघात-सहनीयता में सुधार किया जाए । प्रतिकूल घटनाओं / बाधाओं, जब कभी घटित हों, से निपटने में अनुकूलनीय घटना प्रतिक्रिया, प्रबंध एवं पुनःप्राप्ति रूपरेखा शामिल होंगे, लेकिन ये यही तक सीमित नहीं होंगे। बोर्ड द्वारा अनुमोदित साइबर सिक्यूरिटी नीति की आवश्यकता 3. बैंकों को अपने बोर्ड द्वारा विधिवत अनुमोदित साइबर सिक्यूरिटी नीति को तत्काल लागू करना चाहिए जिसमें साइबर खतरों से लड़ने के लिए उचित उपायों की रणनीति तथा कारोबार की जटिलताओं का स्तर और जोखिम का स्वीकार्य स्तर स्पष्ट होने चाहिए। इस संबंध में पुष्टि जल्द से जल्द साइबर सुरक्षा और सूचना प्रौद्योगिकी जांच कक्ष (सीएसआईटीई), बैंकिंग पर्यवेक्षण विभाग, भारतीय रिज़र्व बैंक, केंद्रीय कार्यालय, वर्ल्ड ट्रेड सेंटर-1, चौथी मंजिल, कफ परेड, मुंबई-400005 को की जाए, जो की किसी भी स्थिति में 30 सितंबर, 2016 के बाद नहीं हो। यह सुनिश्चित किया जाए कि कार्यनीति में निम्नलिखित महत्वपूर्ण पहलू शामिल हों: साइबर सिक्यूरिटी नीति, बैंक की विस्तृत आईटी नीति / आईएस सिक्यूरिटी नीति से भिन्न हो 4. साइबर सुरक्षित माहौल में सम्पूर्ण बैंक के योगदान की आवश्यकताओं पर ध्यान देने हेतु साइबर सिक्यूरिटी नीति, विस्तृत आईटी नीति / आईएस सिक्यूरिटी नीति से भिन्न एवं अलग होनी चाहिए ताकि यह साइबर खतरों के जोखिमों और इन जोखिमों से निपटने / कम करने के उपायों पर प्रकाश डाल सके। 5. आकार, प्रणाली, तकनीकी कठिनाइयाँ, डिजिटल उत्पाद, हितधारक और खतरों की संभावना बैंकवार बदलती रहती है और अतः यह महत्वपूर्ण है कि अंतर्निहित जोखिमों की पहचान की जाए और उचित साइबर सिक्यूरिटी रूपरेखा को अपनाने के लिए नियंत्रण स्थापित किया जाए। जबकि अंतर्निहित जाखिमों की पहचान तथा मूल्यांकन करने के लिए, बैंकों से अपेक्षित है कि वे अपनाए गए तकनीकों, कारोबार और विनियमित आवश्यकताओं का सामंजस्य, स्थापित कनैक्शन, आपूर्ति चैनल, ऑनलाइन/मोबाइल प्रोडक्ट, तकनीकी सेवाएं, संगठनात्मक परिवेश और आंतरिक तथा बाह्य खतरों की गणना करें। अंतर्निहित जोखिमों के स्तर के आधार पर बैंकों से अपेक्षित है कि वे अपने जोखिमों को निम्न, सामान्य, उच्च, अति उच्च के रूप में पहचान करें अथवा इस प्रकार के कोई अन्य वर्गीकरण को अपनाएं। अंतर्निहित जोखिमों के मूल्यांकन करते समय कारोबार घटकों के जोखिमों को भी ध्यान में रखा जाए। नियंत्रणों के मूल्यांकन के समय, बोर्ड की ज़िम्मेदारी, नीतियां, प्रक्रिया, साइबर जोखिम प्रबंधन आर्किटेक्चर सहित अनुभवी और योग्य स्रोत, प्रशिक्षण एवं परिवेश, खतरा आसूचना को इकठ्ठा करने की व्यवस्था, बैंकों से प्राप्त खतरा आसूचना की स्थितियों की तुलना में प्राप्त स्थितियों की निगरानी एवं विश्लेषण, सूचना आदान-प्रदान करने की व्यवस्था (सहयोगी बैंकों के बीच, आईडीआरबीटी/आरबीआई/सीईआरटी-इन के साथ), सुरक्षात्मक, खुफिया और सुधारात्मक साइबर सिक्यूरिटी नियंत्रण, वेंडर प्रबंधन, घटना प्रबंधन तथा प्रतिक्रिया को दर्शाया जाए। नियमित चौकसी की व्यवस्था 6. समय के उचित अंतराल पर संवेदनशीलताओं की जांच करना बहुत ही महत्वपूर्ण है। साइबर-आक्रमण का स्वरूप इस प्रकार है कि वे कभी भी घटित हो सकते हैं और अनुमान से परे भी हो सकते हैं। अतः, यह आदेश दिया जाता है कि एसओसी (सिक्यूरिटी ऑपरेशन सेंटर) यथाशीघ्र स्थापित किया जाए, यदि ऐसा पहले नहीं किया गया हो । यह भी आवश्यक है कि यह केंद्र नियमित चौकसी को सुनिश्चित करे तथा आने वाले साइबर खतरों के हाल ही के स्वरूपों को नियमित आधार पर अद्यतन करे। आईटी आर्किटेक्चर सुरक्षा के लिए हितकर हो 7. आईटी आर्किटेचर इस तरह से बनाया जाए कि वह सदैव लागू किए जाने वाले सुरक्षा उपायों की सुविधा का ध्यान रखे। बोर्ड की आईटी उप समिति द्वारा इसकी समीक्षा की जाए और यदि आवश्यक हो तो, इसके जोखिम मूल्यांकन के अनुसार इसे चरणबद्ध तरीके से अद्यतन किया जाए । बैंक द्वारा लिए जाने वाले जोखिम तथा लागत/संभाव्य लागत ट्रेड-ऑफ से संबन्धित निर्णय लिखित में दर्ज किए जाए ताकि बाद में उनका उचित पर्यवेक्षी मूल्यांकन किया जा सके। 8. अनुबंध 1 में दिए गए न्यूनतम मूलभूत साइबर सुरक्षा तथा रेसिलियन्स फ्रेमवर्क बैंकों द्वारा कार्यान्वित किए जाएंगे जो उदाहरणार्थ हैं, सम्पूर्ण नहीं। बैंकों को एक सिक्यूरिटी ऑपरेशन सेंटर (एसओसी) को स्थापित करने तथा उसे प्रारम्भ करने की प्रक्रिया को पूरी सक्रियता के साथ शुरू करना होगा ताकि रियल टाइम में साइबर जोखिमों की निगरानी तथा प्रबंधन किया जा सके। एसओसी का एक निर्देशात्मक कान्फ़िगरेशन अनुबंध 2 में दिया गया है । व्यापक रूप से नेटवर्क तथा डाटाबेस सुरक्षा पर गौर करना 9. हाल ही की घटनाओं के कारण प्रत्येक बैंक में नेटवर्क सुरक्षा की बेहतर तरीके से समीक्षा करने की आवश्यकता पर ध्यान केंद्रित हुआ है। इसके अतिरिक्त, यह पाया गया है कि कुछ व्यावसायिक या परिचालनीय अपेक्षाओं को पूरी करने के मद्देनजर एक विशिष्ट समयावधि के लिए नेटवर्क/डाटाबेस में कई बार कनैक्शन की अनुमति दी जाती है। हालांकि, जिसे चूकवश बंद नहीं किया जाता है जिसके फलस्वरूप नेटवर्क/डाटाबेस साइबर-हमलों की चपेट में आ सकता है। यह आवश्यक है कि नेटवर्कों तथा डाटाबेसो में अप्राधिकृत रूप से एक्सस करने की अनुमति नहीं दी जानी चाहिए तथा जब कभी अनुमति दी जाए, तो निर्धारित प्रक्रियाओं का अनिवार्य रूप से पालन किया जाए। इस प्रकार के नेटवर्कों तथा डाटाबेसों की जिम्मेवारी स्पष्ट रूप से दर्शायी जानी चाहिए तथा अनिवार्य रूप से बैंक के अधिकारियों को सौंपी जानी चाहिए। ग्राहक सूचना की सुरक्षा सुनिश्चित करना 10. बैंक अपने सुचारु कामकाज के लिए ही नहीं बल्कि अपने ग्राहकों को उन्नत डिजिटल उत्पाद देने तथा विभिन्न व्यक्तिगत तथा संवेदनशील सूचनाओं को एकत्र करने की प्रक्रिया के लिए प्रौद्योगिकी पर पूरी तरह से निर्भर होते हैं। बैंकों को, इस प्रकार के डाटा के अभिरक्षक के रूप में, इसकी गोपनियता, सत्यनिष्ठा तथा उपलब्धता को संरक्षित करने के लिए उचित उपाय करने चाहिए, भले ही डाटा उनके पास हो/ ट्रांसिट में हो या ग्राहकों या तृतीयपार्टी वेंडर के पास हो; इस प्रकार की भंडारित सूचना की गोपनीयता के साथ किसी भी अवस्था में समझौता नहीं किया जाना चाहिए तथा इस प्रयोजन हेतु, बैंकों द्वारा समूचे डाटा/सूचना के जीवनचक्र में उचित प्रणालियों तथा प्रक्रियाओं को लागू करने की आवश्यकता है। साइबर संकट प्रबंधन योजना 11. साइबर संकट प्रबंधन योजना (सीसीएमपी) को तुरंत शुरू करना चाहिए तथा इसे बोर्ड की अनुमोदित समग्र कार्यनीति का एक हिस्सा होना चाहिए। इस तथ्य पर विचार करते हुए कि साइबर-जोखिम अन्य कई जोखिमों से अलग है, परंपरागत बीसीपी/डीआर व्यवस्थाएँ पर्याप्त नहीं होंगी तथा साइबर-जोखिम की मात्रा को ध्यान में रखते हुए इस पर फिर से ध्यान दिए जाने की आवश्यकता है। जैसा कि आप जानते है, भारत में, सीईआरटी-इन (कंप्यूटर आपात कार्रवाई टीम-भारत, एक सरकारी संस्था) सक्रिय तथा प्रतिक्रियात्मक सेवाओं के साथ-साथ दिशानिर्देश प्रदान करते हुए, खतरे की आसूचना और वित्तीय क्षेत्रों सहित सभी क्षेत्रों में विभिन्न एजेंसियों की तैयारी का मूल्यांकन करते हुए साइबर-सुरक्षा को दुरुस्त करने में महत्वपूर्ण कदम उठा रहा है। सीईआरटी-आईएन ने राष्ट्रीय साइबर संकट प्रबंधन योजना तथा साइबर सुरक्षा मूल्यांकन फ्रेमवर्क भी तैयार किया है। सीसीएमपी बनाते समय सीईआरटी-आईएन / एनसीआईआईपीसी / आरबीआई / आईडीआरबीटी दिशानिर्देश का संदर्भ लिया जाए। 12. सीसीएमपी को निम्नलिखित चार पहलूओं पर ध्यान देना चाहिए : (i) पहचानना (ii ) जवाबी कार्रवाई (iii) सुधार तथा (iv) नियंत्रण। बैंकों को साइबर हमले को रोकने के लिए प्रभावी उपाय के साथ-साथ किसी भी साइबर-घुसपैठ का तुरंत पता लगाना भी आवश्यक है ताकि किसी अनहोनी पर जवाबी कार्रवाई/सुधारात्मक कार्रवाई/नियंत्रणात्मक कार्रवाई की जा सके। बैंकों से अपेक्षा है कि उभरते हुए साइबर हमले जैसे कि ‘ज़ीरो-डे’ हमले, रिमोट एक्सेस खतरे तथा इरादतन हमलों का सामना करने के लिए पूरी तरह से तैयार रहें । अन्य बातों के साथ-साथ, बैंकों को विभिन्न प्रकार के साइबर खतरों, जैसे सेवा से इंकार, डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विसेस (डीडीओएस), रेनसमवेयर/क्रिप्टोवेयर, घातक मालवेयर, व्यवसाय ई-मेल धोखाधड़ी जैसे कि स्पैम, ई-मेल फिशिंग, स्पियर फिशिंग, व्हेलिंग, विशिंग धोखाधड़ी, ड्राइव-बाय डाऊनलोड, ब्राउज़र गेटवे धोखाधड़ी, घोस्ट एडमिनिस्ट्रेटर एक्सप्लोइट्स, पहचान संबंधी धोखाधड़ी, मेमोरी अपडेट धोखाधड़ी, पासवर्ड संबंधी धोखाधड़ी से निपटने के लिए आवश्यक सुरक्षात्मक तथा सुधारात्मक उपाय करने चाहिए। साइबर सुरक्षा मुस्तैदी संकेतक 13. साइबर रेसिलिएन्स फ्रेमवर्क की पर्याप्तता तथा उसके पालन का मूल्यांकन किया जाना चाहिए तथा जोखिम/मुस्तैदी के स्तर का मूल्यांकन करने के लिए संकेतकों में उतार-चढ़ाव के रूप में मापा जाना चाहिए। इन संकेतकों को स्वतंत्र अनुपालन जाँचों तथा योग्य तथा सक्षम प्रोफेसनल्स द्वारा की गई लेखा परीक्षाओं द्वारा व्यापक जांच के लिए इस्तेमाल किया जाना चाहिए। कर्मचारियों के साथ साथ हितधारकों के बीच जागरूकता को भी इस मूल्यांकन का भाग बनाया जाए। आरबीआई के साथ साइबर-सुरक्षा घटनाओं से संबंधित सूचनाओं को साझा/शेयर करना 14. यह पाया गया है कि बैंक उनके द्वारा पायी गई साइबर–घटनाओं को शेयर करने में संकोच करते हैं। तथापि, वैश्विक रूप से मिले अनुभव यह दर्शाते हैं कि साइबर–घटनाओं को शेयर करने में संस्थाओं के बीच परस्पर सहयोग तथा निर्धारित प्रक्रियाओं से साइबर–जोखिमों को रोकने के लिए समय पर उपाय लागू किए जा सकेंगे। इस पर फिर गौर किया जाए कि बैंकों को सभी असामान्य साइबर–सुरक्षा के मामले रिज़र्व बैंक को रिपोर्ट करने होंगे (चाहे वे कामयाब हुए हों या फिर निष्फल प्रयास के रूप में हों)। बैंकों को प्रोत्साहित किया जाता है कि वे आईडीआरबीटी द्वारा समन्वयित उनके सीआईएससीओ फोरम की गतिविधियों में सक्रियता के साथ भाग लें तथा इन घटनाओं/मामलों को आईडीआरबीटी द्वारा स्थापित भारतीय बैंक – जोखिम तथा खतरा विश्लेषण केंद्र (आईबी-सीएआरटी) को तुरंत रिपोर्ट करें। इस प्रकार के समन्वयित प्रयासों से सामूहिक खतरे की आसूचना, समय पर अलर्ट्स तथा सक्रिय साइबर सुरक्षा उपायों को अपनाने में बैंकों को मदद मिलेगी। पर्यवेक्षी रिपोर्टिंग फ्रेमवर्क 15. यह निर्णय लिया गया है कि साइबर-घटनाओं सहित सुरक्षा सूचना घटना संबंधी ब्योरे के साथ साथ सारांश स्तरीय सूचना एकत्र की जाए। बैंकों से अपेक्षा की जाती है कि घटनाओं की सूचना अनुबंध-3 में दिए गए फॉर्मेट में तुरंत दें । आरबीआई को रिपोर्ट करने में मुस्तैदी में चूक का तुरंत मूल्यांकन 16. नियंत्रणों में महत्वपूर्ण कमियों की शीघ्र पहचान की जाए तथा बोर्ड के साथ–साथ बोर्ड की आईटी उप समिति के सक्रिय मार्गदर्शन तथा पर्यवेक्षण के अंतर्गत उचित उपचारात्मक कार्रवाई को तुरंत शुरू किया जाए। अभिज्ञात कमियों, प्रस्तावित उपाय/नियंत्रण तथा उनकी प्रत्याशित प्रभावशीलता, प्रस्तावित नियंत्रण/ उपायों को कार्यान्वित करने के लिए समयसीमा के साथ माइलस्टोन तथा बैंक द्वारा अनुपालित/प्रस्तावित जोखिम मूल्यांकन तथा जोखिम प्रबंधन प्रक्रिया सहित उनकी प्रभावक्षमता का मूल्यांकन करने के लिए मापदंड को मुख्य सूचना सुरक्षा अधिकारी द्वारा 31 जुलाई 2016 तक साइबर सुरक्षा तथा सूचना प्रौद्योगिकी जांच कक्ष (सीएसआईटीई), बैंकिंग पर्यवेक्षण विभाग, केंद्रीय कार्यालय को प्रस्तुत कर दिया जाए। संगठनात्मक व्यवस्थाएँ 17. बैंकों को संगठनात्मक व्यवस्थाओं की समीक्षा करनी चाहिए ताकि सुरक्षा समस्याओं का मूल्यांकन किया जाए, पर्याप्त ध्यान दिया जाए तथा तुरंत कार्रवाई करने हेतु पदक्रम के उचित स्तर तक ले जाया जाए। हितधारकों /शीर्ष प्रबंधन /बोर्ड के बीच साइबर-सुरक्षा जागरूकता 18. यह गौर किया जाए कि साइबर जोखिम का प्रबंधन करने हेतु साइबर-सुरक्षित माहौल बनाने के लिए पूरे संगठन की प्रतिबद्धता आवश्यक है। इसके लिए सभी स्तरों पर स्टाफ के बीच एक उच्च स्तर की जागरूकता की आवश्यकता होगी। शीर्ष प्रबंधन तथा बोर्ड के पास खतरों की सूक्ष्मतम जानकारी होनी चाहिए तथा उन्हे उचित फेमिलियराइजेशन प्रदान किया जाना चाहिए । बैंक पूरी सक्रियता से अपने ग्राहकों, वेंडरों, सेवा प्रदाताओं तथा अन्य संबंधित हितधारकों के बीच बैंक की साइबर रेजिलिएन्स उद्देश्यों की समझ पैदा करें तथा उनके एकलयबद्ध कार्यान्वयन तथा जांच के लिए उचित कार्रवाई की अपेक्षा को सुनिश्चित करें। यह सभी जानते है कि हितधारकों (ग्राहकों, कर्मचारियों, भागीदारों तथा वेंडरों को शामिल करते हुए) को साइबर–हमले से होने वाले संभाव्य प्रभाव के बारे में जानकारी, बैंकों की साइबर सुरक्षा की तैयारी में मददगार होगी । बैंक इस संबंध में उचित कदम उठाएं । साथ ही बैंकों से यह भी अपेक्षा की जाती है कि निदेशक मण्डल तथा शीर्ष प्रबंधन में साइबर-सुरक्षा संबंधी पहलूओं पर जागरूकता, जहां आवश्यक हो, सृजन के लिए शीघ्र कदम उठाएं। इस परिपत्र की एक प्रति आगामी बैठक में निदेशक मण्डल के समक्ष रखी जाए। भवदीय (आर. रविकुमार) |