银行及其成分使用信息技术的使用迅速增长,现在是银行业务战略的一个组成部分。储备银行提供了关于信息安全,电子银行,技术风险管理和网络欺诈(G.Gopalakrishna委员会)的准则(G.Gopalakrishna委员会)视频DBS.co.itc.BC.NO.6 / 31.02.008 / 2010-10 4月事实表明,建议实施的措施不能是静态的,银行需要基于新的发展和新兴的问题进行积极创建/微调/修改其策略,程序和技术.Since,然后,使用银行技术进一步势头。另一方面,网络事件/袭击的数量,频率和影响在最近的过去,在包括银行在内的金融部门的情况下,更为迫切需要加强网络安全/弹性框架的迫切需要在银行,并在不断的基础上确保银行之间充足的网络安全准备。鉴于进入的低障碍,不断发展的性质,日益增长的规模/速度,动力和网络威胁对银行系统的威胁,因此必须通过改善解决网络风险的当前防御来提高银行系统的抵御。这些将包括但不限于建立自适应事件响应,管理和恢复框架,以应对不利事件/中断,如果和当它们发生时。核准核准的网络安全策略应该立即放置一个网络安全政策阐明了赋予网络威胁的适当方法的战略,因为经营业务的复杂程度和可接受的风险水平,经过委员会的批准。这方面的确认可以传达到银行监督部,印度储备银行,中央办公室,世界贸易中心,4楼,孟买的孟买,孟买的储备银行的网络安全和信息技术考试(Csite)细胞,并且在任何情况下不迟于2016年9月30日。可以确保该战略涉及以下广泛方面:网络安全政策与更广泛的IT政策截然不同,是坦布尔的
安全政策,以解决需求对于整个银行为网络安全环境做出贡献,网络安全政策应与更广泛的IT政策/是安全策略分开,使其能够突出网络威胁的风险以及解决这些风险的措施。大小,系统,技
术复杂性,数字产品,利益相关者和威胁感知因银行而异,因此重要的是确定固有的风险和控制权采用适当的网络安全框架。在识别和评估固有风险的同时,银行必须估计通过的技术,与商业和监管要求对齐,建立的连接,交付渠道,在线/移动产品,技术服务,组织文化和内部和外部威胁。根据固有风险的水平,银行需要将其风险标识为低,中等,高,高,非常高或采用任何其他类似分类。在评估固有风险的同时,也可以考虑业务部件的危险。在评估控件,董事会监督,政策,流程,网络风险管理建筑,包括经验丰富的资源,培训和文化,威胁情报,收集安排,监测和分析威胁情报,收到的威胁情报,获取银行的情况,信息分享安排(在同行银行之间,具有IDRBT / RBI / Cert-In),预防,侦探和纠正网络安全控制,供应商管理和事件管理和响应将被概述。以合理的时间间隔持续对漏洞进行持续监视的持续监测很重要。网络攻击的性质使得它们可以随时和以可能未预期的方式发生。因此,如果尚未完成,则要求最早设置SOC(安全运营中心)。这一中心也必须确保连续监测,并确保定期更新新兴网络威胁的最新性质。
架构应该有利于安全性,IT架构应该以这样的方式设计,使其需要促进促进安全措施的方式。始终到位。同样需要由董事会IT子委员会审查并根据按照相位的方式进行风险评估,升级,如果需要升级。应以书面形式记录银行所采取的决定的风险成本/潜在成本贸易差异,以便随后启用适当的监督评估。银行实施的指示性但不是穷举,最小的基线网络安全和弹性框架是在附件1中实施的。银行应主动启动建立和运营安全运营中心(SoC)的过程,以实时监控和管理网络风险。SoC的指示性配置在附件2中给出了所需的地址网络和数据库SecurityRecent事件突出了在每个银行中彻底审查网络安全的需要。此外,已经观察到,在指定的时间段内允许与网络/数据库的许多次连接以促进某些业务或操作要求。但是,由于监督导致网络/数据库容易受到网络攻击的网络/数据库,同样没有关闭。必须不允许未经授权访问网络和数据库的访问权限,并且在允许的情况下,这些都是通过定义的进程,这些进程总是遵循。应明确阐明这些网络和数据库的责任,并不应与银行的官员总是休息。持有客户信息的保护10。银行依赖于技术非常重大,不仅在顺利运作中,而且还在为消费者提供尖端数码产品,并在过程中收集各种个人和敏感信息。银行作为此类数据的所有者,应采取适当的步骤,以保留相同的机密性,完整性和可用性,而不管数据是否存储/在自己或与客户或第三方供应商中或与第三方供应商中的运输中;此类监禁信息的机密性不应在任何情况下妥协,并在此目的,跨越数据/信息生命周期的合适的系统和流程需要由银行施加到位。犬危机管理计划计划计划(CCMP)应该是立即进化,应该是整体董事会批准的策略的一部分。考虑到网络风险与许多其他风险不同,传统的BCP / DR安排可能不充分,因此需要重新审视,以便在观察网络风险的细微差别。正如您所可能所知,在印度,Cert-In(计算机应急响应团队 - 印度,政府实体)一直在通过提供主动和反应服务以及准则,威胁情报和评估来加强网络安全的重要举措在包括金融部门的各个部门的各个机构的准备。CERT-IN也出现了国家网络危机管理计划和网络安全评估框架。可以在制定CCMP.12时提及Cert-In / NCIIPC / RBI / IDRBT指导。CCMP应解决以下四个方面:(i)检测(ii)响应(iii)回收和(iv)遏制。银行需要采取有效措施防范网络攻击,并迅速检测任何网络入侵,以便响应/恢复/遏制跌倒。预计银行将充分准备面对“零日”攻击,远程访问威胁和有针对性的攻击等新兴网络威胁。在其他事情之外,银行应该采取必要的预防和纠正措施,以解决各种类型的网络威胁,包括但不限于拒绝服务,分布式拒绝服务(DDOS),赎金 - 洁具/加密洁具,破坏性恶意软件,商业电子邮件欺诈包括垃圾邮件,电子邮件网络钓鱼,矛网络钓鱼,捕鲸,熏蒸欺诈,驾驶下载,浏览器网关欺诈,幽灵管理员漏洞利用,身份欺诈,内存更新欺诈,密码相关欺诈等血型安全性准备指标的充分性和遵守通过开发指标来评估和测量网络弹性框架,以评估风险/准备程度。这些指标应通过合格和称职专业人员进行的独立合规支票和审核来用于全面测试。包括员工在内的利益攸关方之间的意识也可以构成这一评估的一部分。观察到与RBIIT有关网络安全事件的信息,据称银行犹豫不决,以分享他们面临的网络事件。然而,全球所获得的经验表明,分享网络事件的实体和最佳实践中的实体之间的合作将促进在含有网络风险的及时措施。重申,银行需要报告所有不寻常的网络安全事件(无论是成功还是企图,没有果实)到储备银行。还鼓励银行积极参与由IDRBT协调的Cisos论坛的活动,并及时向印度银行的事件报告为IDRBT成立的风险和威胁(IB-Cart)的分析中心。这种协作努力将帮助银行获得集体威胁情报,及时的警报和采用主动网络安全措施。已经决定在包括网络事件包括网络事件的信息安全事件中收集汇总报告框架。银行必须及时向事故报告,以附件 - 3中给出的格式报告.AN立即评估差距的差距,以报告控制中的RBITHE材料差距,可以在积极指导和监督下提前和适当的补救行动确定可以立即启动董事会及董事会委员会。确定的差距,拟议的措施/管制及其预期效率,利用时间表实施拟议的控制/措施和计量标准,用于评估其有效性,包括风险评估和风险管理方法,然后由银行提出,按照他们的自我评估,可以提交银行监督部的网络安全和信息技术检查(Csite)Cell,中央局不迟于2016年7月31日,由首席信息安全主任。Organational安排行动应该审查组织安排所以欣赏安全问题,获得足够的关注,并在层次结构中升级到适当的水平,以便快速采取行动。应意识到利益相关者/最高管理/登录机之间的犬安全意识,管理网络风险需要整个组织的承诺创建网络安全环境。这将需要各级员工的高度认识。最高管理层和董事会还应公平意识对威胁的细微差别,并且可以组织适当的熟悉。银行应主动推动客户,供应商,服务提供商和其他相关利益攸关方的理解,了解银行的网络弹性目标,并要求并确保适当的行动支持其同步实施和测试。众所周知,利益攸关方(包括客户,雇员,合作伙伴和供应商)对网络攻击潜在影响的意识有助于银行的网络安全准备。银行必须采取合适的步骤来构建这种意识。同时,在必要时,迫切需要将银行的董事会和最高管理层延长网络安全相关方面的速度,并建议银行在这方面立即采取立即执行步骤。
