आरबीआई/2013-14/216
सूप्रौवि.केंका(नीति).क्र 674/09.63.025/2013-14

30 अगस्त, 2013

अध्यक्ष/मुख्य कार्यकारी अधिकारी,
सभी अनुसूचित वाणिज्यिक बैंक
(आरआरबी को छोड़कर)

महोदय/ महोदया,

बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों को साझा करना - दिशानिर्देश

कृपया मौद्रिक नीति वक्तव्य 2013-14 के पैरा 101 का संदर्भ लें, जिसमें दक्षता और सुरक्षा के वांछित स्तरों को बनाए रखते हुए लागतों का अनुकूलन करने के लिए बैंकों द्वारा साझा आईटी संसाधनों के मुद्दे की जांच करने की आवश्यकता पर बल दिया गया है।

2. साझा आईटी संसाधनों का उपभोग करने के लिए बैंक के लिए पूर्व-आवश्यकताओं में बैंक में एक मजबूत आईटी और आईएस प्रणाली का होना आवश्यक है। यह अनिवार्य है कि आईटी संसाधन साझा करने के निर्णयों को साझा किए जाने वाले बुनियादी ढांचे या अनुप्रयोग की गंभीरता के आधार पर संभवतः बोर्ड स्तर पर प्रबंधन की आवश्यक मंजूरी मिलनी चाहिए। आईटी संसाधनों को साझा करने के लिए जिन अनुप्रयोगों पर विचार किया जा सकता है, वे सहयोग, हाउसकीपिंग, कार्यालय स्वचालन और व्यावसायिक अनुप्रयोगों से संबंधित हो सकते हैं।

3. एक उपभोक्ता के रूप में, बैंक यह सुनिश्चित करे कि सेवा प्रदाता (दूसरे बैंक सहित) देश की सभी विनियामक और कानूनी आवश्यकताओं का पालन करे। बैंक आवश्यक रूप से सेवा प्रदाता के साथ समझौता कर सकते हैं कि देश के नियामकों द्वारा लेखापरीक्षा/निरीक्षण के लिए बुनियादी ढांचा और एप्लिकेशन उपलब्ध कराए जाते हैं। भारतीय रिजर्व बैंक के पास बैंकों द्वारा उपयोग किए जाने वाले सभी सूचना संसाधनों तक पहुंच होनी चाहिए, भले ही संसाधन बैंकों के परिसर में भौतिक रूप से स्थित नहीं हों। इसके अलावा, बैंकों को बुनियादी ढांचे की भौगोलिक स्थिति और सीमाओं के बाहर डेटा की आवाजाही से संबंधित प्रासंगिक कानूनी और विनियामक आवश्यकताओं का पालन करना होगा।

4. अन्य बैंकों या सेवा प्रदाताओं द्वारा प्रदान की जाने वाली सेवाओं का उपभोग करते समय, यह सुनिश्चित किया जाए कि निजता, गोपनीयता, सुरक्षा और व्यवसाय निरंतरता से संबंधित सभी पहलुओं का पूरी तरह से पालन किया जाए।

5. इस संबंध में मार्गदर्शन हेतु एक दस्तावेज़ संलग्न है।

6. कृपया इस परिपत्र की प्राप्ति सूचना दें।

भवदीय

(ए एस रामशास्त्री)
प्रभारी मुख्य महाप्रबंधक

संलग्न- यथोक्त

बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों को साझा करना - चरण

1. शामिल की जाने वाली परिसंपत्ति(यों) की पहचान करें:

1. डाटा

2. अनुप्रयोग/कार्य/प्रक्रिया

2. निम्नलिखित कारकों पर संपत्ति का मूल्यांकन करें-

1. निर्धारित करें कि बैंक के लिए डाटा या कार्य कितना महत्वपूर्ण है

2. परिदृश्यों के प्रभाव का विश्लेषण करें

   1. परिसंपत्ति व्यापक रूप से सार्वजनिक और व्यापक रूप से वितरित हो रही है

   2. परिसंपत्ति तक पहुँचने वाले सेवा प्रदाता का एक कर्मचारी

   3. किसी बाहरी व्यक्ति द्वारा प्रक्रिया या कार्य में हेरफेर

   4. अपेक्षित परिणाम प्रदान करने में विफल होने वाली प्रक्रिया या कार्य

   5. जानकारी / डाटा अप्रत्याशित रूप से परिवर्तित

   6. परिसंपत्ति का कुछ समय के लिए अनुपलब्ध होना

3. बाहरी संगठन को सावधानी से चुनें:

1. बैंक

2. आईटी कंपनी

3. कोई अन्य संस्था

4. मैप डाटा प्रवाह

1. बैंक, सेवा प्रदाता, ग्राहकों, अन्य नोड्स के बीच डाटा प्रवाह को मैप करें

2. यह समझने के लिए आवश्यक है कि क्या और डाटा दूसरों द्वारा प्रदान किए गए साझा बुनियादी ढांचे में/बाहर जा सकता है

3. प्रत्येक मॉडल के लिए इसे स्केच करें

4. जोखिम वहनीयता को जानें

5. आवश्यकताओं का आकलन करें

1. आधारभूत संरचना

2. अनुप्रयोग

6. सुरक्षा चिंताओं का विश्लेषण करें

1. अनुप्रयोगों में मुद्दे - सेवा स्तर, सुरक्षा, शासन, अनुपालन, सेवा और प्रदाता की देयता अपेक्षाओं को अनुबंधित रूप से परिभाषित किया गया है

2. इंफ्रास्ट्रक्चर में मुद्दे - इंफ्रास्ट्रक्चर सुरक्षा को संभालने वाले सेवा प्रदाता

7. निम्नलिखित डोमेन को संबोधित करते हुए एक सेवा अनुबंध तैयार करें

1. वास्तु ढांचा

2. प्रणाली, उद्यम जोखिम प्रबंधन

3. विधि, ई-डिस्कवरी

4. अनुपालन और लेखापरीक्षा

5. सूचना जीवनचक्र प्रबंधन

6. पोर्टेबिलिटी और इंटरऑपरेबिलिटी

7. सुरक्षा, व्यापार निरंतरता, आपदा बहाली

8. डाटा सेंटर संचालन

9. घटना प्रतिक्रिया मुद्दे

10. अनुप्रयोग सुरक्षा

11. एन्क्रिप्शन और कुंजी प्रबंधन

12. पहचान और पहुँच प्रबंधन

13. वर्चुअलाइजेशन

8. सुरक्षा से जुड़ी समस्याओं को समझें

1. इन्फ्रास्ट्रक्चर की भौगोलिक स्थिति

2. स्कोप नेटवर्क सुरक्षा मुद्दे

3. नियंत्रण तंत्र

9. समग्र सुरक्षा चिंताओं को समझें

1. जवाबदेही बनाए रखते हुए परिचालन नियंत्रण सेवा प्रदाता को सौंपना

10. सामान्य प्रणाली मुद्दे

1. प्रभावी प्रणाली, जोखिम प्रबंधन, अनुपालन को बनाए रखने के लिए प्रक्रिया को पहचानें, लागू करें, नियंत्रण करें

2. उपयोगकर्ता आईटीएसईसी प्रक्रियाओं के साथ पर्याप्तता, परिपक्वता, निरंतरता के लिए प्रदाता सुरक्षा प्रणाली का मूल्यांकन किया जाना चाहिए।

11. थर्ड पार्टी प्रणाली मुद्दे

1. सुविधा और सेवाओं का मूल्यांकन कैसे किया जाता है, इस पर स्पष्ट दस्तावेज़ीकरण के लिए अनुरोध करें

2. महत्वपूर्ण सेवाओं, सूचनाओं को प्रदाता द्वारा परिभाषित करना

3. भूमिकाओं, जवाबदेही को निर्धारित करने के लिए पूर्ण अनुबंध, उपयोग की शर्तों का उचित निष्पादन करना

12. कानूनी मुद्दों का विश्लेषण करें

1. कार्यात्मक: ऐसे कार्य और सेवाएं जिनका दोनों पक्षों पर कानूनी प्रभाव पड़ता है

2. क्षेत्राधिकार: कौन सी सरकारें सेवाओं, हितधारकों, डेटा संपत्तियों को प्रभावित करने वाले कानूनों और विनियमों को प्रशासित करती हैं

3. संविदात्मक: नियम और शर्तें

4. प्रदाता और उपभोक्ता की भूमिकाओं पर स्पष्टता

5. मुकद्दमेबाज़ी प्रभाव

6. ई-डिस्कवरी खोज

7. विशेषज्ञों की गवाही

8. प्रदाता को प्राथमिक और द्वितीयक (लॉग) डेटा सहेजना चाहिए

9. भंडारण डेटा का स्थान

10. अनपेक्षित अनुबंध समाप्ति और व्यवस्थित वापसी या संपत्ति के सुरक्षित निपटान की योजना

11. डेटा के स्वामित्व को उसके मूल रूप में बनाए रखना सुनिश्चित करना

13. अनुपालन और लेखापरीक्षा कार्य की जांच करें

1. लेखापरीक्षा क्लॉज का अधिकार

2. अनुपालन दायरे का विश्लेषण करें

3. डेटा सुरक्षा पर विनियामक प्रभाव

4. साक्ष्य आवश्यकताओं को पूरा करना

5. SAS 70 Type II, ISO 27001/2 लेखापरीक्षा जैसे उपयुक्त प्रमाणन

14. विशेष रूप से संदर्भ में सूचना लाइफसाइकल प्रबंधन का अध्ययन करें

1. डाटा सुरक्षा

2. डेटा स्थान

3. सभी प्रतियाँ, बैकअप केवल अनुबंध, एसएलए और/या विनियम द्वारा अनुमत स्थान पर संग्रहीत हैं

15. पोर्टेबिलिटी और इंटरऑपरेबिलिटी का विश्लेषण करें

1. सेवा प्रदाताओं को स्विच करने के लिए आवश्यक कारक

2. अनुबंध मूल्य वृद्धि पर बातचीत करें

3. सेवा प्रदाता दिवालियापन और सेवा बंद करने का कारक

4. सेवा की गुणवत्ता में कमी

5. व्यापारिक विवाद

16. सुरक्षा, व्यापार निरंतरता, आपदा बहाली संबंधी मुद्दों को समझें

1. डाटा के केंद्रीकरण का मतलब प्रदाता के भीतर से अधिक अंदरूनी खतरा है

2. प्रदाता सुविधाओं के ऑनसाइट निरीक्षण की आवश्यकता

3. आपदा बहाली, व्यापार निरंतरता, सेवा प्रदाता आदि।

17. उपयुक्त घटना प्रतिक्रिया प्रणाली तैयार करें

1. एप्लिकेशन को हमेशा डाटा अखंडता, सुरक्षा को ध्यान में रखकर डिज़ाइन नहीं किया जा सकता है

2. एप्लिकेशन, फ़ायरवॉल, आईडीएस आदि लॉग को स्टोर करने की आवश्यकता है

3. आभासी वातावरण के स्नैपशॉट का प्रबंधन

18. अनुप्रयोग सुरक्षा की योजना

1. विभिन्न प्रकार के साझा संसाधनों के लिए विभिन्न ट्रस्ट सीमाएँ

2. वेब एप्लिकेशन सुरक्षा सुनिश्चित करें

3. सुरक्षित इंटर-होस्ट संचार चैनल

19. एन्क्रिप्शन, प्रमुख प्रबंधन प्रक्रियाओं को तैयार करें

1. ट्रांज़िट, रेस्ट, बैक अप मीडिया के दौरान डाटा एन्क्रिप्ट करना

2. सुरक्षित कुंजी स्टोर

3. एन्क्रिप्शन कुंजियों को सुरक्षित रखें

4. सुनिश्चित करें कि एन्क्रिप्शन उद्योग/सरकारी मानकों पर आधारित है

5. प्रमुख स्टोर तक पहुंच सीमित करें

6. कुंजी बैकअप और पुनर्प्राप्ति

7. इन प्रक्रियाओं का परीक्षण करें

20. आईडी, अभिगम नियंत्रण प्रबंधित करें

1. निर्धारित करें कि सेवा प्रदाता प्रोविजनिंग, डी-प्रोविजनिंग को कैसे हैंडल करता है

2. प्रमाणीकरण

3. फेडरेशन

4. प्राधिकार

5. उपयोगकर्ता प्रोफ़ाइल प्रबंधन

21. योजना वर्चुअलाइजेशन

1. वर्चुअलाइजेशन का प्रकार

2. वर्चुअल OS नियंत्रणों को बढ़ाने वाली तृतीय पक्ष सुरक्षा तकनीक जो व्यवस्थापक इंटरफ़ेस की सुरक्षा करती है