आरबीआई/2013-14/335
ग्राआऋवि.केका.आरआरबी. सं.45/03.05.33/2013-14

24 अक्‍तूबर 2013

अध्‍यक्ष
सभी क्षेत्रीय ग्रामीण बैंक

महोदय

बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों का आदान - प्रदान (शेयरिंग) - दिशानिर्देश

कृपया आप मौद्रिक नीति वक्‍तव्‍य 2013-14 का पैरा 101 देखें जिसमें इष्‍टतम लागत पर कार्यकुशलता और सुरक्षा के अपेक्षित स्‍तर बनाए रखने के साथ साझा किए गए सूचना प्रौद्योगिकी संसाधनों के मुद्दे की बैंकों द्वारा जांच किए जाने की जरूरत पर बल दिया गया था।

2. साझा किए गए आइटी संसाधनों का उपयोग करने के संबंध में बैंकों के लिए रखी गई पूर्वापेक्षाओं में एक है बैंक में सुदृढ़ आइटी एवं आइएस गवर्नेंस का होना। यह अनिवार्य है कि आइटी संसाधनों की शेयरिंग पर निर्णयों के लिए बुनियादी संरचना अथवा शेयर किए जानेवाले एप्‍लीकेशन की महत्‍ता के आधार पर प्रबंध तंत्र का संभवत: बोर्ड स्‍तरीय अनुमोदन प्राप्‍त हो। आइटी संसाधनों की शेयरिंग के लिए विचारार्थ लिए जानेवाले एप्‍लीकेशन होंगे -सहकार्य (कोलॅबोरेशन), आंतरिक रखरखाव (हाउसकीपिंग) कार्यालय स्‍वचालन (आटोमेशन) और व्‍यवसायगत एप्‍लीकेशन से संबंधित संसाधन।

3. एक ग्राहक के रूप में क्षेत्रीय ग्रामीण बैंक यह सुनिश्चित करें कि सेवा प्रदाता (अन्‍य बैंक सहित) देश की सभी विनियामक और कानूनी अपेक्षाओं का पालन करता है। क्षेत्रीय ग्रामीण बैंक सेवाप्रदाता से ऐसा करार अवश्‍य ही निष्‍पादित करें कि बुनियादी संरचना एवं एप्‍लीकेशन देश के विनियामकों द्वारा लेखा- परीक्षा/निरीक्षण के लिए उपलब्‍ध किए जाते रहेंगे। भारतीय रिज़र्व बैंक और नाबार्ड को क्षेत्रीय ग्रामीण बैंकों द्वारा प्रयुक्‍त सभी सूचना संसाधनों के प्रति पहुंच (एक्‍सेस) उपलब्‍ध होनी चाहिए, भले ही उक्‍त संसाधन बैंकों के परिसरों में भौतिक रूप में स्‍थापित क्‍यों न किए गए हो। साथ ही, क्षेत्रीय ग्रामीण बैंकों को सीमा रेखा (बॉर्डर) के बाहर के बुनियादी संरचना के भौगोलिक स्‍थान और डाटा के वहन से संबंधित कानूनी और विनियामक अपेक्षाओं का पालन करना होगा।

4. अन्‍य बैंकों अथवा सेवाप्रदाताओं द्वारा उपलब्‍ध सेवाओं का प्रयोग करते समय यह सुनिश्चित किया जाए कि प्राइवेसी, गोपनीयता, सुरक्षा एवं व्‍यवसाय निरंतरता संबंधी सभी पहलुओं का पूर्णत: पालन किया जाता है।

5. इस संबंध में दिशानिर्देशों के स्‍वरूप का एक प्रलेख संलग्‍न है।

6. कृपया पत्र की प्राप्ति-सूचना हमारे संबंधित क्षेत्रीय कार्यालय को दें।

भवदीय,

(ए. उदगाता)
प्रभारी मुख्‍य महाप्रबंधक

अनुलग्‍नक : यथोक्‍त

बैंकों द्वारा सूचना प्रोद्यौगिकी संसाधनों का आदान प्रदान – उठाए जानेवाले कदम

1. शामिल की जानेवाली आस्तियों की पहचान

ए) डाटा
बी) एप्‍लीकेशन्‍स/ फंक्‍शन / प्रोसेस

2. आस्तियों का मूल्‍यांकन निम्‍नलिखित घटकों के आधार पर करें -

ए) बैंक के लिए डाटा अथवा फंक्‍शन कितना महत्‍वपूर्ण है यह निश्चित करें
बी) परिदृश्‍यों के प्रभाव का विश्‍लेषण निम्‍नानुसार करें

1. आस्ति का बड़े पैमाने में सार्वजनिक हो जाना तथा इसका बड़े पैमाने में वितरित होना
2. आस्ति का मूल्‍यांकन करनेवाला सेवा प्रदाता का कर्मचारी
3. प्रोसेस अथवा फंक्‍शन को किसी बाहरी व्‍यक्ति द्वारा मैन्‍यूपुलेट किया जाना
4. प्रोसेस अथवा फंक्‍शन द्वारा अपेक्षित परिणाम दिया नहीं जाना
5. सूचना/डाटा का अप्रत्‍याशित रूप से बदला जाना
6. आस्ति का कुछ अवधि तक अनुपलब्‍ध रहना

3. कृपया सावधानीपूर्वक बाहरी संगठन का चयन करें :

ए) एक बैंक
बी) एक सूचना प्रोद्यौगिकी कंपनी
सी) अन्‍य कोई संगठन

4. मैप डाटा का फ्लो

ए) बैंक, सेवा प्रदाता, ग्राहकों अन्‍य नोडों के बीच मैप डाटा का फ्लो
बी) यह समझ लेना जरूरी है कि क्‍या डाटा अन्‍यों द्वारा उपलब्‍ध कराए गए शेयरिंग के बुनियादी ढांचे में/में से बाहर आ/जा कर सकता है
सी) प्रत्‍येक मॉडल के लिए स्‍केच बना लें
डी) जोखिम सहिष्‍णुता का पता करें

5. मूल्‍यांकन अपेक्षाएं

ए) बुनियादी ढ़ांचा
बी) एप्‍लीकेशन

6. सुरक्षा चिंताओं का विश्‍लेषण करें

क) एप्‍लाकेशन के मुद्दे - सेवा स्‍तर, सुरक्षा, संचालन (गवर्नेंस), अनुपालन, सेवा प्रदाता की देयता प्रत्‍याशाओं को संविदागत रूप से परिभाषित किया जाता हो

ख) बुनियादी संरचना के मुद्दे - सेवा प्रदाता बुनियादी संरचना के हैंडलिंग की सुरक्षा का ध्‍यान रखता हो।

7. निम्‍नलिखित डोमेन के लिए एक सेवा संविदा तैयार की जाए

ए) वास्‍तुशिल्‍प का ढांचा
बी) गवर्नेंस, उद्यम जोखिम प्रबंधन
सी) कानूनी, ई-डिस्‍कवरी
डी) अनुपालन और लेखा परीक्षा
इ) सूचना कालावधि (लाइफ साइकिल) का प्रबंधन
एफ) सुवाह्यता और अंतर सक्रियता (पोर्टेंबिलिटी और इंटरोपरेबिलिटी )
जी) सुरक्षा,व्‍यवसाय निरंतरता, आपदा से बहाली
एच) डाटा सेंटर परिचालन
आइ) घटना के प्रतिक्रिया मुद्दे
जे) एप्‍लीकेशन सुरक्षा
के) एनक्रिप्‍शन और प्रमुख प्रबंधन
एल) पहचान और पहुंच प्रबंधन
एम) वर्चुअलाइजेशन (आभासीकरण)

8. सुरक्षा पिटफॉल के मुद्दों को समझना

ए) बुनियादी संरचना का भौगोलिक स्‍थान
बी) स्‍कोप नेटवर्क सिक्‍योरिटी मुद्दे
सी) नियंत्रण तंत्र

9. समग्र सुरक्षा चिंताओं को समझना

ए) जवाबदेही बनाए रखते हुए सेवा प्रदाता को परिचालनगत नियंत्रण सुपुर्द करना

10. सामान्‍य संचालन मुद्दे

ए) प्रभावी संचालन, जोखिम प्रबंधन, अनुपालन बनाए रखने के लिए कार्यान्‍वयन प्रोसेस कंट्रोल की पहचान करें

बी) यूजर आइटीएसईसी प्रोसेस के साथ निरंतरता पर्याप्‍तता, परिपक्‍वता हेतु प्रदाता सुरक्षा गवर्नेंस का निर्धारण किया जाना चाहिए

11. तृतीय पक्ष संचालन मुद्दे

ए) सुविधा एवं सेवाओं का निर्धारण किस प्रकार किया जाता है इस पर स्‍पष्‍ट प्रलेखीकरण का अनुरोध

बी) प्रदाता जिसे महत्‍वपूर्ण सेवा, सूचना मानता है उसकी परिभाषा की आवश्‍यकता

सी) भूमिका (रोल) जवाबदेही निर्धारित करने के लिए समुचित सावधानी (ड्यू डीलिजेंस) के प्रयोग की पूर्ण संविदा शर्तों का निष्‍पादन

12. कानूनी मुद्दों का विश्‍लेषण

ए) कार्य संबंधी : दोनों ही पार्टियों के लिए कानूनी प्रभाववाले कार्य एवं सेवाएं
बी) कौनसी सरकार अधिकार क्षेत्र संबंधी सेवाओं, पणधारियों, डाटा आस्तियों पर प्रभावकारी कानूनों और विनियमों को लागू करती है
सी) संविदागत : शर्तें एवं निबंधन
डी) प्रोवाइडर और उपभोक्‍ता की भूमिकाओं में स्‍पष्‍टता
ई) अभियोग धारणा
एफ) ई-डिस्‍कवरी सर्च
जी) विशेषज्ञ कथन
एच) प्रोवाइडर प्राथमिक और माध्‍यमिक (लॉग) डाटा सेव करें।
आइ) स्‍टोरेज डाटा का स्‍थल
जे) आकस्मिक संविदा समाप्ति तथा यथाक्रम वापसी या आस्तियों का सुरक्षित निपटान
के) डाटा के उसके मूल रूप में स्‍वामित्‍व को धारित रखना सुनिश्चित करना

13. अनुपालन और लेखा परीक्षा कार्य की जांच करें

ए) लेखा परीक्षा खंड के प्रति अधिकार
बी) अनुपालन की व्‍याप्ति का विश्‍लेषण करें
सी) डाटासुरक्षा पर विनियामक प्रभाव
डी) साक्ष्‍य आवश्‍यकताओं की पूर्ति की जाती है
ई) एसएएस 70 टाइप II, आइएसओ 2700 1/2 लेखा परीक्षा विवरण का यथोचित प्रमाणन

14. अध्‍ययन सूचना कालावधि (लाइफ साइकिल) प्रबंधन विशेष रूप से निम्‍नलिखित के परिप्रेक्ष्‍य में

ए) डाटा सुरक्षा
बी) डाटा स्‍थान
सी) सभी प्रतिलिपियां, संविदा में अनुमत स्‍थान पर ही स्‍टोर किया हुआ बैंकअप, एसएलए और/या विनियमन

15. पोर्टेबिलिटी और इंटरोपरेबिलिटी का विश्‍लेषण करें

ए) सेवाप्रदाताओं को स्विच करने की आवश्‍यकता के कारक तथ्‍य
बी) संविदा मूल्‍य वृद्धि को निगोशिएट करें।
सी) सेवाप्रदाता के दिवालिया बन जाने तथा सेवा बंद करने संबंधी तथ्‍य
डी) सेवा गुणवत्‍ता घट जाना
ई) कारोबारी विवाद

16. सुरक्षा, कारोबार निरंतरता, आपदा से बहाली से संबंधित मुद्दों को समझ लेना

ए) डाटा के केंद्रीकरण अर्थात् प्रदाता से ही अधिकाधिक आंतरिक भय
बी) प्रदाता सुविधाओं का स्‍थल पर निरीक्षण किए जाने की आवश्‍यकता
सी) सेवा प्रदाता की आपदा से बहाली, कारोबारी निरंतरता आदि

17. घटना की प्रतिक्रिया देने की उचित प्रणाली बनाना

ए) एप्‍लीकेशन संभव है कि हमेशा डाटा की सत्‍यता, सुरक्षा के मद्देनजर ही बनाया नहीं गया होगा।
बी) कीप एप्‍लीकेशन, फायरवाल, आइडीएस आदि लॉग को स्‍टोर किए जाने की आवश्‍यकता
सी) वर्चुअल आभासी परिवेश के स्‍नैपशॉट का प्रबंधन

18. एप्‍लीकेशन सुरक्षा की प्‍लानिंग करें

ए) विभिन्‍न प्रकार के शेयर्ड संसाधनों के लिए भिन्‍न-भिन्‍न ट्रस्‍ट बाउंडरीज
बी) वेबएप्‍लीकेशन सुरक्षा सुनिश्चित करें
सी) महफूज इंटरहोस्‍ट संप्रेषण माध्‍यम

19. एन्‍क्रीप्‍शन, की-प्रबंधन क्रियाविधि बनाए

ए) मार्गस्‍थ, रूके हुए (at Rest), बैकअप मीडिया डाटा को एनक्रीप्‍ट करें ।
बी) महफूज की-स्‍टोर
सी) एनक्रीप्‍शन - की को रक्षित करें
डी) एनक्रीप्‍शन का उद्योग/सरकारी मानकों पर आधारित होना सुनिश्चित करें।
इ) की-स्‍टोर के एक्‍सेस को सीमित रखें
एफ) की बैक अप और रिकवरेबिलिटी
जी) इन क्रियाविधियों का परीक्षण (टेस्‍ट) करें

20. आइडी, एक्‍सेस नियंत्रण का प्रबंधन करें

ए) सेवा प्रदाता प्रावधानन, अप्रावधानन कार्य कैसे करें इसका निर्धारण करें
बी) प्रमाणीकरण
सी) फेडरेशन
डी) प्राधिकृति
इ) यूजर प्रोफाइल प्रबंधन

21. आभासीकरण (वर्चूअलाइजेशन) प्‍लान करें

ए) आभासीकरण का प्रकार
बी) प्रशासन के इंटरफेस की रक्षा करनेवाले आभासी ओएस कंट्रोलों में टेक्‍नालॉजी संवृद्धि के लिए तृतीय पक्ष जमानत