आरबीआई/2013-14/216 सूप्रौवि.केंका(नीति).क्र 674/09.63.025/2013-14 30 अगस्त, 2013 अध्यक्ष/मुख्य कार्यकारी अधिकारी, सभी अनुसूचित वाणिज्यिक बैंक (आरआरबी को छोड़कर) महोदय/ महोदया, बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों को साझा करना - दिशानिर्देश कृपया मौद्रिक नीति वक्तव्य 2013-14 के पैरा 101 का संदर्भ लें, जिसमें दक्षता और सुरक्षा के वांछित स्तरों को बनाए रखते हुए लागतों का अनुकूलन करने के लिए बैंकों द्वारा साझा आईटी संसाधनों के मुद्दे की जांच करने की आवश्यकता पर बल दिया गया है। 2. साझा आईटी संसाधनों का उपभोग करने के लिए बैंक के लिए पूर्व-आवश्यकताओं में बैंक में एक मजबूत आईटी और आईएस प्रणाली का होना आवश्यक है। यह अनिवार्य है कि आईटी संसाधन साझा करने के निर्णयों को साझा किए जाने वाले बुनियादी ढांचे या अनुप्रयोग की गंभीरता के आधार पर संभवतः बोर्ड स्तर पर प्रबंधन की आवश्यक मंजूरी मिलनी चाहिए। आईटी संसाधनों को साझा करने के लिए जिन अनुप्रयोगों पर विचार किया जा सकता है, वे सहयोग, हाउसकीपिंग, कार्यालय स्वचालन और व्यावसायिक अनुप्रयोगों से संबंधित हो सकते हैं। 3. एक उपभोक्ता के रूप में, बैंक यह सुनिश्चित करे कि सेवा प्रदाता (दूसरे बैंक सहित) देश की सभी विनियामक और कानूनी आवश्यकताओं का पालन करे। बैंक आवश्यक रूप से सेवा प्रदाता के साथ समझौता कर सकते हैं कि देश के नियामकों द्वारा लेखापरीक्षा/निरीक्षण के लिए बुनियादी ढांचा और एप्लिकेशन उपलब्ध कराए जाते हैं। भारतीय रिजर्व बैंक के पास बैंकों द्वारा उपयोग किए जाने वाले सभी सूचना संसाधनों तक पहुंच होनी चाहिए, भले ही संसाधन बैंकों के परिसर में भौतिक रूप से स्थित नहीं हों। इसके अलावा, बैंकों को बुनियादी ढांचे की भौगोलिक स्थिति और सीमाओं के बाहर डेटा की आवाजाही से संबंधित प्रासंगिक कानूनी और विनियामक आवश्यकताओं का पालन करना होगा। 4. अन्य बैंकों या सेवा प्रदाताओं द्वारा प्रदान की जाने वाली सेवाओं का उपभोग करते समय, यह सुनिश्चित किया जाए कि निजता, गोपनीयता, सुरक्षा और व्यवसाय निरंतरता से संबंधित सभी पहलुओं का पूरी तरह से पालन किया जाए। 5. इस संबंध में मार्गदर्शन हेतु एक दस्तावेज़ संलग्न है। 6. कृपया इस परिपत्र की प्राप्ति सूचना दें। भवदीय (ए एस रामशास्त्री) प्रभारी मुख्य महाप्रबंधक संलग्न- यथोक्त बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों को साझा करना - चरण 1. शामिल की जाने वाली परिसंपत्ति(यों) की पहचान करें: -
डाटा -
अनुप्रयोग/कार्य/प्रक्रिया 2. निम्नलिखित कारकों पर संपत्ति का मूल्यांकन करें- -
निर्धारित करें कि बैंक के लिए डाटा या कार्य कितना महत्वपूर्ण है -
परिदृश्यों के प्रभाव का विश्लेषण करें -
परिसंपत्ति व्यापक रूप से सार्वजनिक और व्यापक रूप से वितरित हो रही है -
परिसंपत्ति तक पहुँचने वाले सेवा प्रदाता का एक कर्मचारी -
किसी बाहरी व्यक्ति द्वारा प्रक्रिया या कार्य में हेरफेर -
अपेक्षित परिणाम प्रदान करने में विफल होने वाली प्रक्रिया या कार्य -
जानकारी / डाटा अप्रत्याशित रूप से परिवर्तित -
परिसंपत्ति का कुछ समय के लिए अनुपलब्ध होना 3. बाहरी संगठन को सावधानी से चुनें: -
बैंक -
आईटी कंपनी -
कोई अन्य संस्था 4. मैप डाटा प्रवाह -
बैंक, सेवा प्रदाता, ग्राहकों, अन्य नोड्स के बीच डाटा प्रवाह को मैप करें -
यह समझने के लिए आवश्यक है कि क्या और डाटा दूसरों द्वारा प्रदान किए गए साझा बुनियादी ढांचे में/बाहर जा सकता है -
प्रत्येक मॉडल के लिए इसे स्केच करें -
जोखिम वहनीयता को जानें 5. आवश्यकताओं का आकलन करें -
आधारभूत संरचना -
अनुप्रयोग 6. सुरक्षा चिंताओं का विश्लेषण करें -
अनुप्रयोगों में मुद्दे - सेवा स्तर, सुरक्षा, शासन, अनुपालन, सेवा और प्रदाता की देयता अपेक्षाओं को अनुबंधित रूप से परिभाषित किया गया है -
इंफ्रास्ट्रक्चर में मुद्दे - इंफ्रास्ट्रक्चर सुरक्षा को संभालने वाले सेवा प्रदाता 7. निम्नलिखित डोमेन को संबोधित करते हुए एक सेवा अनुबंध तैयार करें -
वास्तु ढांचा -
प्रणाली, उद्यम जोखिम प्रबंधन -
विधि, ई-डिस्कवरी -
अनुपालन और लेखापरीक्षा -
सूचना जीवनचक्र प्रबंधन -
पोर्टेबिलिटी और इंटरऑपरेबिलिटी -
सुरक्षा, व्यापार निरंतरता, आपदा बहाली -
डाटा सेंटर संचालन -
घटना प्रतिक्रिया मुद्दे -
अनुप्रयोग सुरक्षा -
एन्क्रिप्शन और कुंजी प्रबंधन -
पहचान और पहुँच प्रबंधन -
वर्चुअलाइजेशन 8. सुरक्षा से जुड़ी समस्याओं को समझें -
इन्फ्रास्ट्रक्चर की भौगोलिक स्थिति -
स्कोप नेटवर्क सुरक्षा मुद्दे -
नियंत्रण तंत्र 9. समग्र सुरक्षा चिंताओं को समझें - जवाबदेही बनाए रखते हुए परिचालन नियंत्रण सेवा प्रदाता को सौंपना
10. सामान्य प्रणाली मुद्दे -
प्रभावी प्रणाली, जोखिम प्रबंधन, अनुपालन को बनाए रखने के लिए प्रक्रिया को पहचानें, लागू करें, नियंत्रण करें -
उपयोगकर्ता आईटीएसईसी प्रक्रियाओं के साथ पर्याप्तता, परिपक्वता, निरंतरता के लिए प्रदाता सुरक्षा प्रणाली का मूल्यांकन किया जाना चाहिए। 11. थर्ड पार्टी प्रणाली मुद्दे -
सुविधा और सेवाओं का मूल्यांकन कैसे किया जाता है, इस पर स्पष्ट दस्तावेज़ीकरण के लिए अनुरोध करें -
महत्वपूर्ण सेवाओं, सूचनाओं को प्रदाता द्वारा परिभाषित करना -
भूमिकाओं, जवाबदेही को निर्धारित करने के लिए पूर्ण अनुबंध, उपयोग की शर्तों का उचित निष्पादन करना 12. कानूनी मुद्दों का विश्लेषण करें -
कार्यात्मक: ऐसे कार्य और सेवाएं जिनका दोनों पक्षों पर कानूनी प्रभाव पड़ता है -
क्षेत्राधिकार: कौन सी सरकारें सेवाओं, हितधारकों, डेटा संपत्तियों को प्रभावित करने वाले कानूनों और विनियमों को प्रशासित करती हैं -
संविदात्मक: नियम और शर्तें -
प्रदाता और उपभोक्ता की भूमिकाओं पर स्पष्टता -
मुकद्दमेबाज़ी प्रभाव -
ई-डिस्कवरी खोज -
विशेषज्ञों की गवाही -
प्रदाता को प्राथमिक और द्वितीयक (लॉग) डेटा सहेजना चाहिए -
भंडारण डेटा का स्थान -
अनपेक्षित अनुबंध समाप्ति और व्यवस्थित वापसी या संपत्ति के सुरक्षित निपटान की योजना -
डेटा के स्वामित्व को उसके मूल रूप में बनाए रखना सुनिश्चित करना 13. अनुपालन और लेखापरीक्षा कार्य की जांच करें -
लेखापरीक्षा क्लॉज का अधिकार -
अनुपालन दायरे का विश्लेषण करें -
डेटा सुरक्षा पर विनियामक प्रभाव -
साक्ष्य आवश्यकताओं को पूरा करना -
SAS 70 Type II, ISO 27001/2 लेखापरीक्षा जैसे उपयुक्त प्रमाणन 14. विशेष रूप से संदर्भ में सूचना लाइफसाइकल प्रबंधन का अध्ययन करें -
डाटा सुरक्षा -
डेटा स्थान -
सभी प्रतियाँ, बैकअप केवल अनुबंध, एसएलए और/या विनियम द्वारा अनुमत स्थान पर संग्रहीत हैं 15. पोर्टेबिलिटी और इंटरऑपरेबिलिटी का विश्लेषण करें -
सेवा प्रदाताओं को स्विच करने के लिए आवश्यक कारक -
अनुबंध मूल्य वृद्धि पर बातचीत करें -
सेवा प्रदाता दिवालियापन और सेवा बंद करने का कारक -
सेवा की गुणवत्ता में कमी -
व्यापारिक विवाद 16. सुरक्षा, व्यापार निरंतरता, आपदा बहाली संबंधी मुद्दों को समझें -
डाटा के केंद्रीकरण का मतलब प्रदाता के भीतर से अधिक अंदरूनी खतरा है -
प्रदाता सुविधाओं के ऑनसाइट निरीक्षण की आवश्यकता -
आपदा बहाली, व्यापार निरंतरता, सेवा प्रदाता आदि। 17. उपयुक्त घटना प्रतिक्रिया प्रणाली तैयार करें -
एप्लिकेशन को हमेशा डाटा अखंडता, सुरक्षा को ध्यान में रखकर डिज़ाइन नहीं किया जा सकता है -
एप्लिकेशन, फ़ायरवॉल, आईडीएस आदि लॉग को स्टोर करने की आवश्यकता है -
आभासी वातावरण के स्नैपशॉट का प्रबंधन 18. अनुप्रयोग सुरक्षा की योजना -
विभिन्न प्रकार के साझा संसाधनों के लिए विभिन्न ट्रस्ट सीमाएँ -
वेब एप्लिकेशन सुरक्षा सुनिश्चित करें -
सुरक्षित इंटर-होस्ट संचार चैनल 19. एन्क्रिप्शन, प्रमुख प्रबंधन प्रक्रियाओं को तैयार करें -
ट्रांज़िट, रेस्ट, बैक अप मीडिया के दौरान डाटा एन्क्रिप्ट करना -
सुरक्षित कुंजी स्टोर -
एन्क्रिप्शन कुंजियों को सुरक्षित रखें -
सुनिश्चित करें कि एन्क्रिप्शन उद्योग/सरकारी मानकों पर आधारित है -
प्रमुख स्टोर तक पहुंच सीमित करें -
कुंजी बैकअप और पुनर्प्राप्ति -
इन प्रक्रियाओं का परीक्षण करें 20. आईडी, अभिगम नियंत्रण प्रबंधित करें -
निर्धारित करें कि सेवा प्रदाता प्रोविजनिंग, डी-प्रोविजनिंग को कैसे हैंडल करता है -
प्रमाणीकरण -
फेडरेशन -
प्राधिकार -
उपयोगकर्ता प्रोफ़ाइल प्रबंधन 21. योजना वर्चुअलाइजेशन -
वर्चुअलाइजेशन का प्रकार -
वर्चुअल OS नियंत्रणों को बढ़ाने वाली तृतीय पक्ष सुरक्षा तकनीक जो व्यवस्थापक इंटरफ़ेस की सुरक्षा करती है |