भा.रि.बैं/2019-20/129
डीओएस.सीओ.सीएसआईटीई.बीसी 4083/31.01.052/2019-20

31 दिसंबर 2019

सेवा में,
अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यपालक अधिकारी
सभी प्राथमिक (शहरी) सहकारी बैंक

महोदया/महोदय,

प्राथमिक (शहरी) सहकारी बैंकों के लिए वृहत् साइबर सुरक्षा ढांचा - एक क्रमिक दृष्टिकोण

कृपया, 5 दिसंबर, 2019 को जारी 2019-20 के लिए पांचवीं द्विमासिक मौद्रिक नीति वक्तव्य के विकासात्मक और नियामक नीतियों पर वक्तव्य के पैरा-I (3) का संदर्भ लें (उद्धरण संलग्न)।

2. कृपया, दिनांक 19 अक्तूबर, 2018 के भारतीय रिज़र्व बैंक के परिपत्र संख्या DCBS.CO.PCB.Cir.No.1/18.01.000/2018-19 का संदर्भ लें, जिसमें प्राथमिक (शहरी) सहकारी बैंकों (यूसीबी) के लिए कुछ आधारभूत साइबर सुरक्षा नियंत्रण निर्धारित किए गए थे। अवलोकन के बाद, शहरी सहकारी बैंकों के लिए क्रमिक दृष्टिकोण पर आधारित एक वृहत् साइबर सुरक्षा ढांचा तैयार किया गया है। शहरी सहकारी बैंकों को उनके डिजिटल अनुप्रयोग की सीमा और भुगतान प्रणाली व्यवस्था से परस्पर संबंधों के आधार पर चार लेवल में वर्गीकृत किया गया है। सभी लेवल नीचे परिभाषित किए गए हैं:

3. शहरी सहकारी बैंक की सूचना सुरक्षा के लिए अंततः निदेशक बोर्ड जिम्मेदार है और वह, प्रभावी आईटी (सूचना प्रौद्योगिकी) और आईएस (सूचना सुरक्षा) शासन सुनिश्चित करने में एक सक्रिय भूमिका निभाएगा। शीर्ष प्रबंधन की प्रमुख भूमिकाओं में बोर्ड द्वारा अनुमोदित साइबर सुरक्षा नीति को लागू करना, साइबर सुरक्षा के लिए आवश्यक संगठनात्मक प्रक्रियाएं स्थापित करना और पर्याप्त साइबर सुरक्षा सुनिश्चित करने के लिए आवश्यक संसाधन उपलब्ध कराना, शामिल हैं।

4. शहरी सहकारी बैंक, उपर्युक्त तालिका में दिए गए मानदंडों के आधार पर जिस लेवल में फिट होते हैं, उस लेवल का स्वांकलन करेंगे और इस परिपत्र के जारी होने की तारीख से 45 दिनों के भीतर, भारतीय रिज़र्व बैंक के अपने संबंधित क्षेत्रीय कार्यालय के पर्यवेक्षण विभाग को इसकी रिपोर्ट करेंगे।

5. सभी शहरी सहकारी बैंक इस परिपत्र के जारी होने की तारीख से 3 महीने के भीतर अनुबंध- I में निर्धारित नियंत्रण आवश्यकताओं का अनुपालन करेंगे। इसी प्रकार, लेवल II, III और IV को शहरी सहकारी बैंकों द्वारा क्रमशः अनुबंध - II, III और IV में निर्धारित अतिरिक्त नियंत्रणों को लागू किया जाना आवश्यक है।

6. शहरी सहकारी बैंक अपने स्वयं के जोखिम और क्षमताओं के मूल्यांकन के आधार पर उच्च स्तरीय सुरक्षा उपायों को लागू कर सकते हैं। इसके अतिरिक्त, यदि किसी शहरी सहकारी बैंक के पास, उसके आस्ति- आकार के बावजूद अनुबंध IV के अनुसार एक डेडिकेटेड सीआईएसओ (CISO) और/या प्रशासनिक ढांचा है, तो एक बेहतर कार्यप्रणाली के लिए यह वांछनीय होगा कि मौजूदा प्रशासनिक ढांचे के साथ यह जारी रहे।

7. इस परिपत्र की एक प्रति निदेशक बोर्ड की आगामी बैठक में प्रस्तुत की जाए।

8. कृपया इसकी प्राप्ति सूचना दें।

9. परिपत्र के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो परिपत्र का अंग्रेजी पाठ मान्य होगा।

भवदीय,

(आर रविकुमार)
मुख्य महाप्रबंधक

संलग्नक – यथोपरि

05 दिसंबर, 2019 को घोषित किया गया पांचवीं द्वि-मासिक मौद्रिक नीति वक्तव्य, 2019-20 का उद्धरण

3. प्राथमिक (शहरी) सहकारी बैंकों (यूसीबी) के लिए व्यापक साइबर सुरक्षा ढांचा – एक क्रमिक दृष्टिकोण

रिज़र्व बैंक ने अक्टूबर 2018 में प्राथमिक (शहरी) सहकारी बैंकों (यूसीबी) के लिए बेसलाइन साइबर सुरक्षा नियंत्रण का एक सेट निर्धारित किया था। आगे जांच करने पर, यूसीबी के लिए क्रमिक दृष्टिकोण के रूप में एक व्यापक साइबर सुरक्षा ढांचे को निर्धारित करने का निर्णय लिया गया है, जो उनकी डिजिटल व्यापकता, भुगतान प्रणाली परिदृश्य के साथ अंतर्संबंध, उनके द्वारा पेश किए गए डिजिटल उत्पादों और साइबर सुरक्षा जोखिम के आकलन पर आधारित होगा। इस ढांचे से बैंकों द्वारा पेश किए गए डिजिटल उत्पाद की प्रकृति, विविधता और पैमाने के आधार पर उत्तरोत्तर मजबूत सुरक्षा उपायों का कार्यान्वयन अनिवार्य किया जाएगा। ऐसे उपायों में अन्य बातों के साथ-साथ शामिल रहेंगे बैंक विशिष्ट ईमेल डोमेन का कार्यान्वयन; सार्वजनिक उपयोग वाली वेबसाइटों / एप्लिकेशन का आवधिक सुरक्षा मूल्यांकन; साइबर सुरक्षा घटना के रिपोर्टिंग तंत्र को मजबूत करना; अभिशासन ढांचे को मजबूत करना; और सुरक्षा संचालन केंद्र (एसओसी) की स्थापना करना। इससे साइबर सुरक्षा तत्परता बढ़ेगी और यह सुनिश्चित होगा कि भुगतान सेवाओं की शृंखला पेश करने वाली और उच्च सूचना प्रौद्योगिकीय व्यापकता दिलाने वाली यूसीबी साइबर सुरक्षा खतरों का समाधान करने में वाणिज्यिक बैंकों के समकक्ष बनेगी। इस संबंध में विस्तृत निर्देश 31 दिसंबर 2019 तक जारी कर दिए जाएंगे।

अनुबंध / Annex I

बेसलाईन साईबर सुरक्षा और मजबूती की जरूरतें – लेवेल I

भारतीय रिज़र्व बैंक के दिनांक 19 अक्टूबर, 2018 के परिपत्र सं.DCBS.CO.PCB.Cir.No.1/18.01.000/2018-19 में निर्धारित आधारभूत साईबर सुरक्षा नियंत्रण, किसी प्रकार की साईबर सुरक्षा संबंधी घटना नहीं होने की स्थिति (जिसमें ‘निल’ तिमाही रिपोर्ट की आवश्यकता थी) को छोड़कर, सभी स्थितियों के लिए लागू रहेंगे। इस तरह की तिमाही रिपोर्ट प्रस्तुत करने आवश्यकता समाप्त कर दी गई है। इसके अतिरिक्त निम्नलिखित नियंत्रण लागू किए जाएंगे:

(i) बैंक की अपनी विशिष्ट ई-मेल डोमेन (उदाहरण के लिए, XYZ बैंक का मेल डोमेन xyz.in) का कार्यान्वयन, जिसके ई-मेल सॉल्यूशन में एंटी-फिशिंग और एंटी-मैलवेयर, डीएमएआरसी (DMARC) कंट्रोल सक्रिय हो।

(ii) यूसीबी, अपने सीबीएस और सीबीएस से जुड़े एप्लिकेशन को एक्सेस करने के लिए दोहरी ऑथेंटिकेशन प्रक्रिया (Two-Factor Authentication) लागू करेंगे जिसमें दूसरा स्तर परिवर्तनीय (dynamic) हो। (दूसरे स्तर का पासवर्ड अपरिवर्तनीय नहीं होना चाहिए और उसे भुगतान लेनदेन के लिए प्रयुक्त पीसी/टर्मिनल से जुड़ा नहीं होना चाहिए) ।

(iii) अनुसूचित वाणिज्यिक बैंकों (एससीबी) के कॉरपोरेट इंटरनेट बैंकिंग एप्लिकेशन का एक्सेस करने के लिए प्रयुक्त पीसी/टर्मिनल, सीबीएस सर्वर और नेटवर्क पेरीमीटर की अर्हता प्राप्त सूचना सुरक्षा लेखापरीक्षक से साइबर सुरक्षा संबंधी समीक्षा करवाना।

(iv) एक मजबूत पासवर्ड प्रबंधन नीति लागू करने की आवश्यकता है जिसमें, महत्वपूर्ण प्रणालियों के एक्सेस जैसी सम्वेदनशील क्रियाओं पर विशेष जोर दिया जाए जिसके माध्यम से वित्तीय लेनदेन किए जाते हैं। [वर्जनीय कार्य-प्रवृत्तियों की संक्षिप्त सूची है- उदाहरण के लिए XYZ बैंक का पासवर्ड xyz@123; नेटवर्क/सर्वर/सुरक्षा सॉल्यूशन डिवाइस के पासवर्ड डिवाइस/सॉल्यूशन_का_नाम‌123/डिवाइस_नाम‌/सॉल्यूशन@123; प्लेन टेक्स्ट के रूप पासवर्ड की हार्ड कोडिंग अथवा डेटाबेस में प्लेन टेक्स्ट में पासवर्ड स्टोर करना]

(v) कर्मचारियों को ई-मेल के माध्यम से प्राप्त किसी भी लिंक पर क्लिक करने से रोकने के लिए शिक्षित करें (फ़िशिंग हमलों को रोकने के लिए)।

(vi) समय पर ढंग से साइबर सुरक्षा घटनाओं की रिपोर्ट करने और घटनाओं की संख्या में कमी लाने के लिए उचित कार्रवाई करने हेतु एक प्रभावी तंत्र बनाएँ। यूसीबी भी सीईआरटी-इन (CERT-In) और आईबी-कार्ट (IB-CART) में सभी असामान्य साइबर सुरक्षा घटनाओं की रिपोर्ट करेंगे।

वेंडर/आउटसोर्सिंग जोखिम प्रबंधन

वर्तमान निर्देशों के अतिरिक्त, दिनांक 17 अक्टूबर, 2013 का परिपत्र UBD.CO.BPD.No.31/09.18.300/2013-14, देखें, यूसीबी निम्नलिखित कार्यों के लिए जिम्मेदार होंगे:

(vii) आउटसोर्स वाले वेंडर व्यवस्थाओं में निहित सुरक्षा जोखिमों का उचित प्रबंधन और आश्वासन सुनिश्चित करने के लिए जवाबदेह रहेंगे। शहरी सहकारी बैंक, महत्वपूर्ण जोखिम मूल्यांकन के आधार पर महत्वपूर्ण प्रक्रियाओं और विक्रेता / साझेदार के चयन की आवश्यकता का सावधानीपूर्वक मूल्यांकन करेंगे। शहरी सहकारी बैंक नियमित रूप से तीसरे पक्ष के विक्रेताओं / सेवा प्रदाताओं और भागीदारों की सम्यक जाँच, निगरानी और प्रबंधन करेंगे।

(viii) उनके लिए आवश्यक है कि वे ऐसे सेवा प्रदाताओं से निश्चित रूप से करार करें जिसमें अन्य बातों के अतिरिक्त, लेखापरीक्षा का अधिकार भी यूसीबी द्वारा दिया जाए। आउटसोर्सिंग के करार में रिज़र्व बैंक के अधिकार से संबंधित खंड शामिल होना चाहिए, जो यूसीबी के सेवा प्रदाता के निरीक्षण का अधिकार देता हो और भारतीय रिज़र्व बैंक अथवा उसके द्वारा अधिकृत व्यक्तियों को बैंक के दस्तावेजों, लेनदेन के रिकॉर्ड, लॉग और निर्धारित समय के भीतर संग्रहीत या संसाधित अन्य आवश्यक जानकारी प्राप्त करने की अनुमति देता है।

(ix) शहरी सहकारी बैंक की महत्वपूर्ण संपत्तियों की जानकारी प्राप्त करने और उसका प्रबंधन करने वाले विक्रेता/ तीसरे-पक्ष के कार्मिकों की साख के बारे में पूरी तरह से संतुष्ट होना आवश्यक है। सभी तीसरे पक्ष के सेवा प्रदाताओं लिए पृष्ठभूमि की जाँच, अप्रकटीकरण और सुरक्षा नीति अनुपालन करार को अनिवार्य बनाया जाएगा।

अनुबंध / Annex II

बेसलाइन साइबर सुरक्षा और मजबूती की आवश्यकता (अनुबंध I में दी गई आवश्यकताओं के अतिरिक्त) लेवल - II

शहरी सहकारी बैंक एक अधिकारी की नियुक्ति करेंगे (जरूरी नहीं कि सीआईएसओ के रूप में नामित हो), जो उन सूचनाओं को प्रकट करने और उसे लागू करने के लिए जिम्मेदार है जिसे शहरी सहकारी बैंक, साइबर सुरक्षा से संबंधित मुद्दों के समन्वय / संगठन के भीतर और संबंधित बाहरी एजेंसियों में उसके कार्यान्वयन के अलावा अपनी सूचना आस्तियों की सुरक्षा के लिए उपयोग करते हैं। उक्त अधिकारी,भारतीय रिज़र्व बैंक द्वारा सूचना/साइबर सुरक्षा पर जारी विभिन्न निर्देशों के अनुपालन को सुनिश्चित करने के लिए आधिकारिक रूप से जिम्मेदार होगा। इसके अलावा, निम्नलिखित नियंत्रण लागू किए जाएंगे:

1. नेटवर्क प्रबंधन और सुरक्षा

1.1 शहरी सहकारी बैंक के नेटवर्क से जुड़े अधिकृत उपकरणों की एक अद्यतित / केंद्रीकृत सूची (यूसीबी के परिसर के भीतर / बाहर) और संबंधित नेटवर्क उपकरणों को यूसीबी के नेटवर्क में बनाए रखें।

1.2 सीमा सुरक्षा को ठीक से कॉन्फ़िगर किए गए फ़ायरवॉल, प्रॉक्सी, डी-मिलिटरीकृत ज़ोन (डीएमजेड) परिधि नेटवर्क, और नेटवर्क-आधारित घुसपैठ निवारण प्रणाली (आईपीएस) / घुसपैठ जांच प्रणाली (आईडीएस) के साथ बहुस्तरीय होना चाहिए। इनबाउंड और आउटबाउंड ट्रैफ़िक दोनों को फ़िल्टर करने के लिए व्यवस्था की जाएगी।

1.3 इन-हाउस / ऑनसाइट एटीएम और सीबीएस / शाखा नेटवर्क के लिए लैन सेगमेंट अलग होने चाहिए।

2. सुरक्षित कनफिगरेशन

2.1 लाइफ साइकिल के दौरान (प्रारंभ से लेकर तैनाती तक) आधारभूत सुरक्षा आवश्यकताओं / कनफिगरेशन को सभी श्रेणियों के उपकरणों (अंतिम-बिंदुओं / कार्यस्थलों, मोबाइल उपकरणों, ऑपरेटिंग सिस्टम, डेटाबेस, एप्लिकेशन, नेटवर्क उपकरण, सुरक्षा उपकरण, सुरक्षा प्रणाली, आदि) पर लागू करें और उसे प्रलेखित करें। साथ ही आवधिक समीक्षा करें।

3. एप्लिलेशन सुरक्षा लाइफ साइकल (एएसएलसी)³

3.1 विकास / परीक्षण और उत्पादन वातावरण को ठीक से अलग करने की आवश्यकता है। विकास और परीक्षण के लिए उपयोग किया जाने वाला डेटा छिपा होना चाहिए।

3.2 सॉफ्टवेयर / एप्लिकेशन विकास के तरीके में सुरक्षित कोडिंग सिद्धांत, सुरक्षा परीक्षण (वैश्विक मानकों के आधार पर) और सुरक्षित रोलआउट शामिल होने चाहिए।

4. बदलाव प्रबंधन

4.1 शहरी सहकारी बैंक के पास, उत्पादन वातावरण में किए गए सभी बदलावों को रिकॉर्ड / मॉनिटर करने के लिए एक मजबूत बदलाव प्रबंधन प्रक्रिया होनी चाहिए। व्यावसायिक एप्लिकेशन, सहयोगी प्रौद्योगिकी, सेवा घटकों और सुविधाओं में बदलावों को मजबूत कॉन्फ़िगरेशन प्रबंध का उपयोग कर प्रबंधन किया जाना चाहिए जो बदलावों को एकीकृत कर सके।

5. आवधिक परीक्षण

5.1 पूरे लाइफ साइकिल के दौरान (कार्यान्वयन से पहले, कार्यान्वयन के बाद, बदलावों के बाद आदि) इंटरनेट फेसिंग वेब/मोबाइल एप्लिकेशन, सर्वर और नेटवर्क घटकों की भेद्यता का आवधिक आकलन/ पीनिट्रेशन टेस्टिंग (वीए/पीटी) करें। महत्वपूर्ण एप्लिकेशन और डीएमजेड मे तैनात एप्लिकेशन का भेद्यता आकलन हर 6 महीने में एक बार आयोजित किया जाएगा। पीनिट्रेशन टेस्टिंग (पीटी) का आयोजन वर्ष में एक बार किया जाएगा।

5.2 जिन शहरी सहकारी बैंकों का सीबीएस कोई एप्लिकेशन सेवा प्रदाता के सहभाजित बुनियादी ढांचे पर है, उनको अपने सीबीएस एप्लिकेशन एवं सहभाजित बुनियादी ढांचे का आवधिक आकलन/ पीनिट्रेशन टेस्टिंग (वीए/पीटी) उस एप्लिकेशन सेवा प्रदाता के द्वारा करवाना चाहिए।

5.3 वेब/मोबाइल एप्लिकेशन की सुरक्षा जाँच गो लाइव और किसी बड़े परिवर्तन से पहले पूरी कर ली जाए।

5.4 पायी गयी भेद्यताओं को शहरी सहकारी बैंकों की जोखिम प्रबंधन/उपचार फ्रेमवर्क के अनुसार तुरंत दूर किया जाना चाहिए ताकि उनका दुरुपयोग न हो सके।

5.5 पब्लिक फेसिंग सिस्टम की पीनीट्रेशन टेस्टिंग और अन्य महत्वपूर्ण एप्लिकेशन पेशेवर टीम द्वारा पूरे किए जाने चाहिए। वीए / पीटी के निष्कर्षों और आवश्यक अनुवर्ती कार्रवाइयों की, सूचना सुरक्षा/ सूचना प्रौद्योगिकी लेखा परीक्षा टीम के साथ-साथ शीर्ष प्रबंधन द्वारा बारीकी से निगरानी की जानी चाहिए।

6. यूजर एक्सेस नियंत्रण/प्रबंधन

6.1 शहरी सहकारी बैंक की आस्तियों/ शहरी सहकारी बैंक के नेटवर्क के अंदर/बाहर की सेवाओं को डेटा/सूचना को सुरक्षा के माध्यम (यदि डिवाइस सक्षम हो तो एन्क्रिप्शन द्वारा)से सुरक्षित पहुँच (एक्सेस) प्रदान करें और साथ ही इसके लिए वीपीएन या अन्य मानक सुरक्षित प्रोटोकॉल आदि जैसी तकनीकों का उपयोग करें।

7. ग्राहकों के लिए ऑथेंटिकेशन प्रेमवर्क

7.1 शहरी सहकारी बैंकों के पास यह सुनिश्चित करने के लिए पर्याप्त चेक्स और बैलेंस होना चाहिए (जिसमें ग्राहक एक्सेस क्रेडेंशियल्स की सुरक्षा भी शामिल है) कि लेनदेन केवल वास्तविक / अधिकृत अनुप्रयोगों के माध्यम से किए जाते हैं और यह ऑथेंटिकेशन पद्धति मजबूत, सुरक्षित और केंद्रीकृत है।

7.2 ग्राहकों को प्रदान किए जाने वाले शहरी सहकारी बैंक के एप्लिकेशन को सुरक्षित ऑथेंटिकेशन फ्रेमवर्क कार्यान्वयन/प्रणाली (डिजिटल प्रमाणपत्र के साथ)प्रदान करना ।

8. फिशिंग-रोधी

8.1 फ़िशिंग वेबसाइटों / हानिकारक एप्लिकेशन की पहचान करने के लिए बाहरी सेवा प्रदाताओं से फ़िशिंग रोधी / हानि रोधी एप्लिकेशन सेवाओं को सब्सक्राइब करना ।

9. डेटा लीक रोकथाम की रणनीति

9.1 संवेदनशील (गोपनीयता सहित) कारोबारी और ग्राहक डेटा / जानकारी को सुरक्षित रखने के लिए एक डेटा हानि / लीक की रोकथाम के लिए व्यापक रणनीति का विकास और कार्यान्वयन करें।

9.2 वेंडर प्रबंधित सुविधाओं के साथ भी इसी तरह की व्यवस्था सुनिश्चित की जानी चाहिए।

10. लेखापरीक्षा (ऑडिट) लॉग

10.1 सिस्टम में उपयोगकर्ता की गतिविधियों से संबंधित ऑडिट लॉग को कैप्चर करें। यदि आवश्यकता हो तो इस व्यवस्था में फोरेंसिक ऑडिटिंग की सुविधा होनी चाहिए।

10.2 लॉग सेटिंग्स में किसी भी परिवर्तन की निगरानी के लिए एक सतर्क तंत्र स्थापित किया जाना चाहिए।

11. घटना प्रतिक्रिया और प्रबंधन

11.1 एक प्रभावी घटना प्रतिक्रिया कार्यक्रम लागू करें। किसी भी साइबर सुरक्षा घटना के मामले में उचित कार्रवाई करने के लिए शहरी सहकारी बैंक के पास एक तंत्र / संसाधन होना चाहिए। उनके पास, ऐसी घटनाओं से निपटने वाले कर्मचारियों / आउटसोर्स कर्मचारियों की भूमिकाओं सहित लिखित घटना प्रतिक्रिया प्रोसीजर होनी चाहिए।

11.2 शहरी सहकारी बैंक घटना प्रबंधन और बीसीपी / डीआर के लिए निर्धारित आवश्यकताओं को पूरा करने के लिए जिम्मेदार हैं, भले ही उनकी आईटी अवसंरचना, सिस्टम, एप्लिकेशन, आदि को तीसरे पक्ष के विक्रेताओं / सेवा प्रदाताओं द्वारा प्रबंधित किया जाता है।

अनुबंध / Annex III

बेसलाइन साइबर सुरक्षा तथा मजबूती की जरूरतें (अनुबंध - I तथा II में दी गई आवश्यकताओं के अतिरिक्त) - लेवल - III

1. नेटवर्क प्रबंधन तथा सुरक्षा

1.1 प्रणाली, सर्वर्स, नेटवर्क डिवाइस तथा एंडपॉइंट्स में कोई भी असामान्य गतिविधि का पता लगाना तथा उसका समाधान करने के लिए प्रणाली लागू करना।

1.2 अपरिचित आउटबाउंड कनेक्शन्स, विपरित टीसीपी शेल्स तथा अन्य सक्षम बैकडॉर कनेक्शन्स को ब्लॉक करने के लिए फायरवॉल नियमों को परिभाषित किया जाए।

2. सुरक्षित कन्फिग्रेशन

2.1 बाहरी मशीनों से महत्वपूर्ण भुगतान अवसंरचना (जैसे- आरटीजीएस/एनईएफटी, एटीएम स्विच, स्विफ्ट इंटरफेस) की होस्टिंग कर रहे नेटवर्क तक रिमोट कनेक्शन्स को निष्क्रिय करना। सभी महत्वपूर्ण प्रणालियों पर रिमोट डेस्कटॉप प्रोटोकोल (आरडीपी) को निष्क्रिय करना।

2.2 उपयोगकर्ता प्रणाली, एटीएम स्विच तथा स्विफ्ट सर्वरों तक पहुंच को प्रतिबंधित करने के लिए आईपी टेबल और केवल प्राधिकृत प्रणालियों के लिए पर्यावरण को सक्रिय करना ।

2.3 एटीएम स्विच/स्विफ्ट संबंधी एप्लीकेशन्स की सॉफ्टवेयर इंटीग्रिटी को सुनिश्चित करना।

2.4 जहां आवश्यकता नहीं वहां सर्वरों में पावर शेल को निष्क्रिय करना तथा डेस्कटॉप सिस्टम्स में पावर शेल को निष्क्रिय करना।

2.5 आईपीसी शेयर (अंतर-प्रकिया संचार शेयर) सहित डिफॉल्ट शेयरों को प्रतिबंधित करना।

3. एप्लिकेशन सुरक्षा लाइफ साइकल (एएसएलसी)

3.1 महत्वपूर्ण कारोबार एप्लिकेशन के संबंध में शहरी सहकारी बैंक, पेशेवर कार्मिक/सेवा प्रदाताओं द्वारा स्रोत कोड लेखापरीक्षा का आयोजन कराएं या एप्लिकेशन प्रदाताओं/ओईएम से यह आश्वासन लें कि एप्लिकेशन इम्बेडेड हानिकारक/कपटपूर्ण कोड से मुक्त है।

3.2 कारोबारी कार्यप्रणाली के अतिरिक्त, प्रणाली विकास/अधिग्रहण/कार्यान्वयन के शुरुआती तथा आगामी चरणों में, सिस्टम एक्सेस कंट्रोल, प्रमाणिकता, लेनेदेन प्राधिकार, डेटा इंटिग्रिटी, सिस्टम एक्टिविटी लॉगिंग, ऑडिट ट्रेल, सत्र प्रबंधन, सिक्योरिटी इवेंट ट्रेकिंग तथा एक्सेप्शन हेंडलिंग से जुड़ी सुरक्षा जरूरतों को स्पष्ट करने की आवश्यकता है।

3.3 यह सुनिश्चित करना कि सॉफ्टवेयर/ एप्लिकेशन विकास अभ्यासों ने बहुस्तरीय सुरक्षा प्रणाली को उपलब्ध कराने के लिए डिफेंस-इन-डेप्थ सिद्धांत अपनाया है।

3.4 यह सुनिश्चित करना कि मौजूदा/नए सुरक्षा खतरों के लिए अंगीकार की गई नई प्रौद्योगिकियों का पर्याप्त रूप से मूल्यांकन किया जाता है तथा शहरी सहकारी बैंक की आईटी/सुरक्षा टीम उन प्रौद्योगिकियों को शहरी सहकारी बैंक की महत्वपूर्ण प्रणाली में प्रयोग करने से पहले उससे अच्छी तरह अभ्यस्त है।

4. यूजर एक्सेस कंट्रोल

4.1 महत्वपूर्ण एप्लिकेशनों को एक्सेस करने तथा लागू करने, ऑपरेटिंग सिस्टम, डेटाबेस, नेटवर्क तथा सुरक्षा डिवाइस/सिस्टम्स, सुदृढ़ पासवर्ड नीति सहित पॉइंट ऑफ कनेक्टिविटी (स्थानीय/रिमोट, आदि), टू-फेक्टर/मल्टी-फेक्टर ऑथेंटिकेशन, को एक्सेस करने के लिए पहचान और आकलन प्रबंधन सॉल्यूशन के माध्यम से केंद्रीकृत ऑथेंटिकेशन और ऑथराईजेशन लागू करना और न्यूनतम प्रिवलेज तथा ड्यूटी के विभाजन सिद्धांत का पालन कर प्रिविलेकज एक्सेस को सुरक्षित बनाना। यह बैंक द्वारा कार्यान्वित की जाएगी - या तो अवसंरचना का प्रबंध करने वाली उनकी आंतरिक टीम की मदद से या सेवा प्रदाता के माध्यम से यदि उनकी अवसंरचना सेवा प्रदाता की ओर से साझा किए गए स्थान पर होस्ट किया जाता है।

4.2 रिमूवेबल मिडिया प्रयोग को व्हाईटलिस्ट/ब्लैकलिस्ट/प्रतिबंधित करने के लिए सक्रीय डायरेक्टरी (Active Directory) अथवा एंडपॉइंट प्रबंधन प्रणाली के माध्यम से केंद्रीय नीतियों को कार्यान्वित करना।

5. एडवांस्ड रियल-टाइम थ्रेट डिफेंस एंड मैनेजमेंट

5.1 इंटरप्राइज में विभिन्न बिंदुओं पर इंस्टोलेशन, विस्तार तथा हानिकारक कोडों के निष्पादन के विरुद्ध मजबूत सुरक्षा तैयार करना।

5.2 इंटरनेट वैबसाइट/सिस्टम्स की व्हाईट लिस्टिंग को कार्यान्वित करना।

6. रखरखाव, निगरानी तथा लेखापरीक्षा लॉग्स का विश्लेषण

6.1 लॉग कलेक्शन के स्कोप, बारंबारता तथा भंडारण को अंतिम रूप देने से पहले सभी साझेदारों से बातचीत करना।

6.2 हमले का पता लगाने, प्रतिक्रिया देने, समझने या बचाव करने के लिए लेखापरीक्षा (ऑडिट) लॉग्स का व्यवस्थित ढंग से प्रबंधन तथा विश्लेषण करना ।

6.3 उचित लॉग्स/ प्रत्येक डिवाइस की लेखापरीक्षा (ऑडिट), सिस्टम सॉफ्टवेयर तथा एप्लिकेशन सॉफ्टवेयर को कैपचर करने के लिए सेटिंग्स को कार्यान्वित तथा आवधिक आधार पर पुष्टि करना। साथ ही, यह सुनिश्चित किया जाए कि लॉग में लोग को विशिष्ट रूप से पहचानने के लिए न्यूनतम जानकारी, जैसे दिनांक, टाइमस्टैम्प, स्त्रोत पते, गंतव्य पते शामिल हैं।

7. घटना प्रतिक्रिया तथा प्रबंधन

7.1 शहरी सहकारी बैंक की बीसीपी/डीआर क्षमताएं उनके साइबर मजबूती के लक्ष्यों को और दक्षता के साथ सहायता प्रदान करेंगी तथा वह इस प्रकार से डिजाइन होनी चाहिए ताकि साइबर हमलों/अन्य घटनाओं से बचाव के लिए शहरी सहकारी बैंक को सक्षम बनाए तथा प्रक्रियाओं और डेटा की सुरक्षा सुनिश्चित करने के दौरान रिकवरी समय लक्ष्यों से संबद्ध महत्वपूर्ण परिचालन को सुरक्षित रूप से पुनः चालू कर पाए।

7.2 इस उद्येश्य के लिए शहरी सहकारी बैंकों के पास, प्रलेखित प्रक्रिया सहित तीसरे पक्ष के विक्रेताओं/सेवा प्रदाताओं के साथ आवश्यक व्यवस्था होगी। इसमें अन्य बातों के साथ, बैंक के संबंध में किसी भी साइबर सुरक्षा की घटना घटित होने के बारे में समय पर सूचित करना ताकि जोखिम को समय पर कम करने के साथ-साथ मौजूदा विनियामक अपेक्षाओं को प्राप्त करना शामिल होगा।

7.3 ऐसी कार्यप्रणाली हो जो निरंतर प्रतिक्रिया रणनीतिओं में सुधार करने के संबंध में प्रशिक्षित करे। परिस्थिति जागरूकता तथा क्षमता/बाद के प्रभाव, साझेदारों के साथ निरंतर संपर्क तथा समन्वय आधारित विभिन्न घटनाओं के परिदृश्य को प्राप्त करने की तत्परता पर प्रतिक्रिया रणनीतियों में विचार की जाएगी।

8. यूजर/कर्मचारी/प्रबंधन जागरूकता

8.1 संदेहजनक व्यवहार करने वाली घटनाओं के बारे में घटना प्रबंधन टीम को सूचित करने के लिए उन्हें प्रोत्साहित करना।

8.2 नव-नियुक्त स्टाफ्-सदस्यों के लिए अनिवार्य साइबर सुरक्षा जागरूकता कार्यक्रम का आयोजन तथा अवर, मध्य तथा उच्च प्रबंधन के लिए प्रत्येक वर्ष वेब आधारित क्विज प्रतियोगिता तथा प्रशिक्षण करना।

8.3 बोर्ड सदस्यों को आवधिक आधार पर विभिन्न प्रौद्योगिकीय प्रगतियों तथा साइबर सुरक्षा से संबंधित प्रगतियों के संबंध में अवगत कराया जाए।

9. जोखिम आधारित लेनदेन निगरानी (यह नियंत्रण उन बैंकों पर लागू होगा जो सीपीएस के प्रत्यक्ष सदस्य हैं और जिनके पास स्वयं का एटीएम स्विच इंटरफेस या स्विफ्ट इंटरफेस हो)

9.1 सभी डिलीवरी चैनलों में धोखाधड़ी जोखिम प्रबंधन प्रणाली के रूप में जोखिम आधारित लेनदेन चौकसी या निगरानी प्रक्रिया कार्यान्वित की जाए।

अनुबंध / Annex - IV

बेसलाइन साइबर सुरक्षा तथा मजबूती की जरूरतें अपेक्षाएं (अनुबंध I, II तथा III में दी गई जरूरतों के अतिरिक्त) - लेवल IV

1. सतत निगरानी की व्यवस्था - साइबर सुरक्षा परिचालन (सी-एसओसी) केंद्र की स्थापना

शहरी सहकारी बैंकों को निर्देश दिया गया है कि यदि उन्होंने सी-एसओसी (साइबर सुरक्षा परिचालन केंद्र) की स्थापना अभी तक नहीं की है तो उसे शीघ्र करें। यह भी जरूरी है कि यह केंद्र सतत निगरानी सुनिश्चित करें तथा नए प्रकार के भावी साइबर खतरों से स्वंय को नियमित रूप से अपडेटेड रखे।

1.1. सी-एसओसी से अपेक्षाएं

i. महत्वपूर्ण कारोबार तथा ग्राहक के डेटा/सूचना की सुरक्षा, प्रासंगिक आंतरिक दिशानिर्देशों, देश के विनियमों तथा विधियों के अनुपालन करने की क्षमता।

ii. शहरी सहकारी बैंको की सुरक्षा स्थिति की भीतरी सूचनाएं तत्काल/वास्तविक समय पर उपलब्ध कराने की क्षमता।

iii. प्रभावपूर्ण तरीके और दक्षता के साथ सुरक्षा परिचालन का प्रबंध करने और साइबर जोखिमों/खतरों से निपटने, निरंतरता तथा पूर्व स्थिती की बहाली की सुविधा उपलब्ध कराने की क्षमता।

iv. किसने क्या किया, कब किया, कैसे किया जानने तथा सबूतों को संरक्षित करने की क्षमता

v. सिक्योरिटी इंफोरमेशन एंड इवेंट मैनेजमेंट सिस्टम (एसआईआएम) में विभिन्न लॉग टायप्स तथा लॉगिंग विकल्पों, रिपोर्टिंग/डेशबोर्ड, यूज़ केसेस/रूल डिजाइन (जोखिम तथा अपेक्षाएं/ड्राइवर, आदि अनुपालन के आधार पर कस्टमाइज्ड), आदि का समेकन।

vi. सी-एसओसी को विभिन्न प्रकार के नेटवर्क गतिविधियों के लॉग्स की निगरानी करने में दक्ष होना चाहिए तथा उसमें किसी भी असामान्य/अवांछित गतिविधियों को पहचानने की क्षमता होनी चाहिए।

vii. सी-एसओसी की जिम्मेदारियाँ निम्नलिखित हैं-

• निगरानी, विश्लेषण और सुरक्षा घटनाओं को उठाना

• प्रतिक्रिया का विकास - सुरक्षा, खोजना, प्रतिक्रिया देना, बहाली करना

• घटना प्रबंधन तथा फोरेंसिक विश्लेषण करना

• शहरी सहकारी बैंक/बाहरी ऐजेंसियों के अंतर्गत प्रासंगिक हितधारकों के साथ सामंजस्य बनाना

1.2. सी-एसओसी की स्थापना के लिए उठाए जाने वाले कदम – तकनीकी पक्ष

i. पहला कदम, बैंकिंग तकनीकी जोखिम प्रोफाइल से संबद्ध सक्रिय निगरानी क्षमताओं तथा कारोबार और विनियामक जरूरतें सुनिश्चित करने के लिए समुचित तथा किफायती तकनिकी फ्रेमवर्क डिजाइन तथा कार्यान्वित करना। शहरी सहकारी बैंकों द्वारा तैनात सर्विस डिलिवरी आर्किटेक्चर की स्पष्ट समझ लॉग्स को इकट्ठा करने के लिए सेंसर्स के स्थान की पहचान करने के लिए सक्षम बनाएगी जो विश्लेषण और जांच करने के लिए जरूरी है। एसआईईएम कुछ हद तक इन जरूरतों को पूरा करने में सक्षम है लेकिन समस्याओं की पहचान और उनके समाधान के लिए समग्रतापूर्ण तरीका अपनाने की जरूरत है।

ii. दूसरा कदम, सिक्योरिटी एनालिटिक्स इंजन का होना जो लॉग्स को उचित समय-सीमा में प्रोसेस कर सके तथा आगे की सघन जांच के विकल्प के साथ संभावित संस्तुतियां करे।

iii. तीसरा कदम, डीप पैकेट निरीक्षण(इंस्पेक्सन) के दृष्टिकोण को देखना ।

iv. चौथा कदम, मालवेयर डिटेक्शन और विश्लेषण के लिए टूल्स और प्रोद्योगिकी के साथ-साथ फोरेंसिक जरूरतों को पूरा करने के संबंध में आंकड़ों के लिए इमेजिंग सोल्यूशन्स का होना।

v. यह नोट किया जाए कि उपर्युक्त के लिए तैनात सोल्यूशन आर्किटेक्चर को उच्च उपलब्धता जरूरतों के अतिरिक्त कार्यनिष्पादन तथा मापनीयता जरूरतों को पूरा करना है। कुछ पक्ष जिन पर विचार किया जाना है इस प्रकार हैं-

• सी-एसओसी की स्टाफिंग- 24×7×365 में, शिफ्टों में, केवल कारोबार घंटे आदि में अपेक्षित ।

• प्रयोग किया गया मॉडल- अपेक्षित कौशल वाले स्टाफ/अपेक्षित कौशल सेट वाले व्यवस्थित सुरक्षा सेवा प्रदाता को खोजना ।

• सी-एसओसी के कार्यनिष्पादन को आंकने वाला मेट्रिक्स ।

• समुचित क्षमता योजना पहल के माध्यम से स्टाफों की मापनीयता तथा निरंतरता सुनिश्चित करना।

2. साइबर अभ्यास में सहभागिता

2.1 शहरी सहकारी बैंक, सीईआरटी-इन, आईडीआरबीटी आदि के तत्वाधान में आयोजित साइबर अभ्यास में भाग लेंगें।

3. घटना प्रतिक्रिया तथा प्रबंधन

3.1 शहरी सहकारी बैंक, विक्रेताओं और भागीदारों सहित सभी परस्पर जुड़ी प्रणालियों तथा नेटवर्कों में घटना प्रतिक्रिया क्षमताओं को सुनिश्चित करेंगे तथा सहयोगपूर्ण और समन्वित रेजिलेंस टेस्टिंग के माध्यम से जो शहरी सहकारी बैंकों के पूर्व स्थिति बहाली समय के लक्ष्यों को पूरा कर तत्परता सुनिश्चित करेंगे।

3.2 सुरक्षा परिचालन केंद्र को पंक्तिबंद्ध करने, कारोबार डाउनटाइम को कम करने/सामान्य स्थिति में वापस आने के लिए घटना प्रतिक्रिया तथा डिजिटल फोरेंसिक हेतु एक नीति और फ्रेमवर्क का कार्यान्वयन करना।

4. फोरंसिक्स तथा मेट्रिक्स

4.1 एक विस्तृत मेट्रिक्स सेट विकसित करना जो दूरदर्शी और पश्चदर्शी उपायों जैसे- मुख्य कार्यनिष्पादन सूचकों तथा मुख्य जोखिम सूचकों को भी उपलब्ध कराए। कुछ विस्तृत मेट्रिक्सों में मालवेयर रोधी सोफ्टवेयर कवरेज तथा उनके अद्यतन प्रतिशत, पेच लेटेंसी, उपभोक्ता जागरूकता प्रशिक्षण के क्षेत्र, भेद्यता संबंधी मेट्रिक्स, खुली भेद्यताओं की संख्या, आईएस/सुरक्षा लेखापरीक्षा टिप्पणी आदि शामिल है।

4.2 नेटवर्क फोरेंसिक्स/फोरेंसिक जांच/ स्टैंड-बाय पर डिस्ट्रिब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) न्यूनीकरण सेवाओं की सहायता/व्यवस्था का होना।

5. आईटी रणनीति तथा योजना

5.1 शहरी सहकारी बैंकों के पास निम्नलिखित क्षेत्रों को शामिल करने की एक बोर्ड अनुमोदित रणनीति तथा योजनाएं होनी चाहिए-

• शहरी सहकारी बैंकों के लिए मौजूदा तथा प्रस्तावित हार्डवेयर तथा नेटवर्किंग आर्किटेक्चर और इसका औचित्य।

• प्रस्तावित आर्किटेक्चर द्वारा निर्धारित हार्डवेयर अथवा सॉफ्टवेयर हेतु मानक।

• आउटसोर्सिंग, इन-सोर्सिंग, प्रोक्यूरिंग ऑफ-दि-शेल्फ सोफ्टवेयर तथा इन-हाउस विकास हेतु रणनीति।

• आईटी विभाग का संगठनात्मक ढांचा।

• शहरी सहकारी बैंकों के मानव संसाधन में आईटी से जुड़ी कुशलता अथवा दक्षता की वांछित संख्या एवं स्तर, कमियों को दूर करने की योजना (यदि कोई हो) तथा प्रशिक्षण एवं विकास संबंधी अपेक्षाएं।

• प्रौद्योगिकी से संबंधित प्रगति से जुड़े रहने तथा जब भी आवश्यक हो प्रणाली को अद्यतित करने की रणनीति।

• आईटी जोखिमों के स्वतंत्र मूल्यांकन, आकलन तथा निगरानी, आईटी/आईएस/साइबर सुरक्षा की लेखापरीक्षा संबंधी निष्कर्षों के लिए रणनीति।

6. आईटी और आईएस गवर्नेंस फ्रेमवर्क

6.1 साइबर सुरक्षा दल/कार्य

शहरी सहकारी बैंक, विशेष रूप से साइबर सुरक्षा प्रबंधन पर ध्यान केंद्रित करने के लिए एक अलग साइबर सुरक्षा कार्यदल/समूह बनाएंगे। साइबर सुरक्षा कार्य का संगठन, शहरी सहकारी बैंक का आकार और गतिविधियों के साथ साथ अपनाई गई प्रौद्योगिकियां, वितरण चैनल, की जाने वाली डिजिटल उत्पादों की पेशकश, आंतरिक और बाहरी खतरे आदि, की प्रकृति तथा आकार के अनुरूप होना चाहिए। साइबर सुरक्षा कार्य को कर्मचारियों की संख्या, कौशल के स्तर और उपकरण या तकनीकों जैसे जोखिम मूल्यांकन, सुरक्षा वास्तुकला, भेद्यता मूल्यांकन, फोरेंसिक मूल्यांकन, आदि के संदर्भ में पर्याप्त रूप से संसाधन उपलब्‍ध कराया जाना चाहिए।

6.2 आईटी रणनीति समिति

सभी शहरी सहकारी बैंकों द्वारा, कम से कम दो निदेशकों के सदस्यों के साथ बोर्ड स्तरीय आईटी रणनीति समिति का गठन करने पर विचार किया जाए, जिनमें से एक पेशेवर निदेशक होना चाहिए। आईटी रणनीति समिति के कम से कम दो सदस्यों को तकनीकी रूप से सक्षम होने की आवश्यकता होगी, जबकि कम से कम एक सदस्य को प्रौद्योगिकी पहल के प्रबंधन / मार्गदर्शन में पर्याप्त विशेषज्ञता की आवश्यकता होगी। आईटी रणनीति समिति/बोर्ड की कुछ भूमिकाएँ और जिम्मेदारियाँ होनी चाहिए:

i. आईटी रणनीति और नीतिगत दस्तावेजों को मंजूरी देना

ii. यह सुनिश्चित करना कि प्रबंधन ने एक प्रभावी रणनीतिक योजना प्रक्रिया लागू की है

iii. यह सुनिश्चित करना कि आईटी संगठनात्मक संरचना, व्यापार मॉडल और उसके निर्देशों का अनुपालन करती है

iv. आईटी निवेश सुनिश्चित करना यह जोखिमों और लाभों के संतुलन का प्रतिनिधित्व करता है और यह बजट स्वीकार्य है

v. आईटी के कार्य प्रदर्शन का मूल्‍यांकन और कारोबार में आईटी के योगदान की समीक्षा करना

6.3 आईटी संचालन समिति

आईटी, एचआर, विधिक और व्यावसायिक क्षेत्रों के प्रतिनिधियों के साथ एक आईटी संचालन समिति बनाई जाएगी। इसकी भूमिका बोर्ड द्वारा अनुमोदित आईटी रणनीति को लागू करने में कार्यकारी प्रबंधन की सहायता करना है। इसमें आईटी-समर्थित निवेश का को प्राथमिकता देना, परियोजनाओं की स्थिति की समीक्षा (संसाधन संघर्ष सहित), सेवा स्तरों की निगरानी और सुधार, आईटी सेवा वितरण और परियोजनाएं शामिल हैं। आईटी संचालन समिति को समय-समय पर आईटी रणनीति समिति/बोर्ड को मूल्यांकन/रिपोर्ट करना चाहिए। समिति को कार्यान्वयन पर ध्यान देना चाहिए। अन्य बातों के साथ-साथ, इसमें निम्नलिखित कार्य शामिल हैं:

i. परियोजना की प्राथमिकताओं को परिभाषित करना और आईटी प्रस्तावों के लिए रणनीतिक उपयुक्तता का आकलन करना

ii. व्यवसाय प्रक्रिया के मूल्य-वर्धन का आकलन करने के बाद, समीक्षा करना, अनुमोदन करना और धन जुटाना

iii. यह सुनिश्चित करना कि सभी महत्वपूर्ण परियोजनाओं में "परियोजना जोखिम प्रबंधन" एक घटक है

iv. शासन, जोखिम और नियंत्रण ढांचे में प्रायोजन या सहायता करना, और आईटी शासन प्रक्रियाओं को निर्देशित करना और निगरानी करना

v. परियोजना की सफलता के उपायों को परिभाषित करना और आईटी परियोजनाओं को आगे बढ़ाना

vi. प्रौद्योगिकी मानकों और कार्य प्रणाली से संबंधित दिशा प्रदान करना

vii. यह सुनिश्चित करना कि नई तकनीक की भेद्यता का आकलन किया जाता है

viii. प्रौद्योगिकी मानकों और दिशानिर्देशों के अनुपालन की पुष्टि करना

ix. विनियामक और वैधानिक आवश्यकताओं का अनुपालन सुनिश्चित करना

x. आईटी आर्किटेक्चर डिजाइन को दिशा प्रदान करना और यह सुनिश्चित करना कि आईटी आर्किटेक्चर कानूनी और नियामक अनुपालन, सूचना के नैतिक उपयोग और व्यापार निरंतरता की आवश्यकता को दर्शाता है।

6.4 मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ)

पर्याप्त वरिष्ठ स्तर के एक अधिकारी को मुख्य सूचना सुरक्षा अधिकारी (CISO) के रूप में नामित किया जाना चाहिए, जो उन नीतियों को स्पष्ट करने और लागू करने के लिए जिम्मेदार हो और साइबर सुरक्षा संबंधी मुद्दों / संगठन के भीतर कार्यान्वयन के साथ-साथ प्रासंगिक बाहरी एजेंसियों के समन्‍वय के अलावा शहरी सहकारी बैंक का उपयोग उसकी सूचना संबंधी संपत्तियों को बचाने के लिए करता हो। सीआईएसओ मुख्य रूप से भारतीय रिज़र्व बैंक द्वारा सूचना/साइबर सुरक्षा पर जारी विभिन्न निर्देशों के अनुपालन को सुनिश्चित करने के लिए जिम्मेदार होगा। इस संबंध में निम्नलिखित को नोट किया जा सकता है :

i. सीआईएसओ को सीधे जोखिम प्रबंधन (risk management) का कार्य देखने वाले शीर्ष अधिकारी या उनकी अनुपस्थिति में सीधे सीईओ को रिपोर्ट करना चाहिए।

ii. सीआईएसओ को अपेक्षित तकनीकी पृष्ठभूमि और विशेषज्ञता होनी चाहिए।

iii. सीआईएसओ का एक उचित न्यूनतम कार्यकाल होना चाहिए।

iv. सीआईएसओ को तिमाही आधार पर बोर्ड के समक्ष शहरी सहकारी बैंक की साइबर सुरक्षा व्यवस्था / तैयारियों की एक अलग समीक्षा करनी चाहिए।

v. शहरी सहकारी बैंक का बोर्ड सीआईएसओ कार्यालय के प्रभाव का आकलन करने के लिए निष्पक्ष कदम उठाने में सक्षम होगा।

vi. सीआईएसओ भेद्यताओं और साइबर सुरक्षा जोखिमों के बारे में बोर्ड के संज्ञान में लाने के लिए ज़िम्मेदार होगा, जो शहरी सहकारी बैंक द्वारा उजागर किए जाते हैं।

vii. सीआईएसओ, सूचना सुरक्षा और/या संबंधित समितियों के सदस्य-सचिव के रूप में अपनी भूमिका, यदि कोई हो, के आधार पर यह सुनिश्चित कर सकते हैं, अन्‍य बातों के साथ-साथ, बैंकिंग सेक्टर (भुगतान प्रणाली सहित) के मौजूदा/उभरते साइबर खतरों और शहरी सहकारी बैंक की तैयारियां इन पहलुओं पर ऐसी समितियों में अनिवार्य रूप से चर्चा की जाती है।

viii. सीआईएसओ का कार्यालय सी-एसओसी (C-SOC) का प्रबंधन और निगरानी करेगा और साइबर सुरक्षा संबंधी परियोजनाओं को चलाएगा। इस तरह की परियोजनाओं को चलाने के लिए इसका संबंध मुख्य सूचना अधिकारी (सीआईओ) / मुख्य प्रौद्योगिकी अधिकारी (सीटीओ) के साथ हो सकता है।

ix. सीआईएसओ को आईटी संचालन समिति में आमंत्रित किया जाएगा। सीआईएसओ, परिचालन जोखिम पर उन समितियों का भी सदस्य (या आमंत्रिती) हो सकता है जहां आईटी/आईएस जोखिम पर भी चर्चा की जाती है।

x. सीआईएसओ के कार्यालय में विशेषज्ञ अधिकारियों की भर्ती के माध्यम से, कार्य की मात्रा, प्रौद्योगिकी को अपनाने और जटिलता की सीमा के अनुरूप, तकनीकी रूप से सक्षम लोगों, यदि आवश्यक हो, के रूप में पर्याप्त कर्मचारी होंगे।

xi. सीआईएसओ का सीआईओ/सीटीओ के साथ कोई सीधा रिपोर्टिंग का संबंध नहीं होगा और उसे कोई व्यावसायिक लक्ष्य नहीं दिया जाएगा।

xii. आईटी सुरक्षा/सीआईएसओ के कार्यालय का बजट वर्तमान / उभरते साइबर खतरे को ध्यान में रखते हुए निर्धारित किया जा सकता है।

6.5 सूचना सुरक्षा समिति

चूंकि आईटी/साइबर सुरक्षा, संगठन के सभी पहलुओं को प्रभावित करती है, इसलिए शहरी सहकारी बैंक-व्यापक दृष्टिकोण से आईटी/साइबर सुरक्षा पर विचार करने के लिए अधिकारियों की एक संचालन समिति को, संदर्भ की औपचारिक शर्तों, के साथ बनाया जाना चाहिए। सीआईएसओ, समिति का सदस्य सचिव होगा। सूचना सुरक्षा समिति में अन्य लोगों के अलावा मुख्य कार्यकारी अधिकारी (सीईओ) या नामिती और दो वरिष्ठ प्रबंधन अधिकारी शामिल हो सकते हैं। समिति कम से कम तिमाही आधार पर बैठक करेगी। सूचना सुरक्षा समिति की प्रमुख जिम्मेदारियाँ, अन्य बातों के साथ-साथ, निम्‍नानुसार होंगी:

i. सूचना सुरक्षा नीतियों, मानकों और प्रक्रियाओं के कार्यान्वयन को विकासशील तथा सुगम बनाने के लिए यह सुनिश्चित करना कि सभी पहचाने गए जोखिमों का प्रबंधन शहरी सहकारी बैंक की जोखिम प्रवृत्ति के भीतर किया जाता है।

ii. प्रमुख साइबर सुरक्षा परियोजनाओं और साइबर सुरक्षा योजनाओं और बजटों की स्थिति को मंजूरी देना और निगरानी करना, प्राथमिकताओं को स्थापित करना, मानकों और प्रक्रियाओं को मंजूरी देना

iii. शहरी सहकारी बैंक-विस्तृत सूचना सुरक्षा प्रबंधन कार्यक्रम (UCB-wide information security management programme) के विकास और कार्यान्वयन का समर्थन करना

iv. शहरी सहकारी बैंक में सुरक्षा घटनाओं की स्थिति और विभिन्न सूचना सुरक्षा आकलनों और निगरानी गतिविधियों की समीक्षा करना

v. सुरक्षा जागरूकता कार्यक्रमों की स्थिति की समीक्षा करना

vi. सूचना / साइबर सुरक्षा से संबंधित नई गतिविधियों या मुद्दों का आकलन करना

vii. साइबर सुरक्षा गतिविधियों पर निदेशक मंडल को रिपोर्ट करना

viii. सूचना सुरक्षा समिति की बैठकों के कार्यवृत्त में समिति की गतिविधियों और निर्णयों को प्रलेखित करते हुए बनाए रखा जाना चाहिए और सूचना/साइबर सुरक्षा समीक्षा की जरुरतों को तिमाही आधार पर बोर्ड के समक्ष प्रस्‍तुत किया।

6.6 बोर्ड की लेखा-परीक्षा समिति (एसीबी)

दिनांक 01 जुलाई, 2015 के मास्टर परिपत्र DCBR.CO.BPD.(PCB).MC.No.3/12.05.001/2015-16 द्वारा सभी शहरी सहकारी बैंक को यह सूचित किया गया है कि बोर्ड स्तर पर एक लेखा परीक्षा समिति (Audit Committee) का गठन करें। मौजूदा निर्देशों के अनुसार अपनी निर्धारित भूमिका के अलावा, लेखा परीक्षा समिति (एसीबी) निम्नलिखित के लिए भी जिम्मेदार होगी:

i. आईएस लेखा परीक्षा का निष्‍पादन और महत्वपूर्ण आईएस ऑडिट मुद्दों का मूल्यांकन - एसीबी को आईएस लेखा परीक्षा के निष्कर्षों की पहचान करने के लिए उपयुक्त और पर्याप्त समय देना चाहिए और एसीबी के सदस्यों को रेखांकित किए गए महत्वपूर्ण मुद्दों की समीक्षा करने और शहरी सहकारी बैंक के प्रबंधन को उचित मार्गदर्शन प्रदान करने की आवश्यकता है।

ii. आंतरिक और साथ ही बाहरी लेखा परीक्षकों / सलाहकारों द्वारा निर्धारित विभिन्न दायरे के तहत सूचना सुरक्षा समीक्षा / वीए-पीटी ऑडिट के संबंध में अनुपालन की निगरानी करें ताकि यह सुनिश्चित की जा सके कि चालू कार्य समय पर निष्पादित किए जाते हैं और अनुपालन की अनिवार्यता का पालन किया जाता है।

¹ संदर्भ : "भुगतान प्रणालियों के लिए एक्सेस मानदंड पर मास्टर निर्देश" से संबंधित मास्टर निदेश DPSS.CO.OD.No.1846/04.04.009/2016-17, दिनांक 17 जनवरी, 2017।

² जोखिम आधारित लेन-देन की निगरानी केवल परिपत्र के अनुबंध III में उल्लिखित बैंकों पर लागू होती है।

³ ये नियंत्रण उन यूसीबी पर लागू होते हैं जो स्वयं या अपनी सहायक कंपनियों के माध्यम से एप्लिकेशन सॉफ्टवेयर्स (उदाहरण: कोर बैंकिंग समाधान) विकसित कर रहे हैं। अन्यथा, यूसीबी, अपने उत्पादन वातावरण को सुरक्षित रखने के अलावा, अपने संबंधित तीसरे पक्ष के विक्रेताओं पर इन शर्तों को लागू कर सकते हैं जो एप्लिकेशन सॉफ्टवेयर विकसित कर रहे हैं।