Hindistan Menkul Kıymetler ve Borsa Kurulu (SEBI) Perşembe günü siber güvenlik ve siber esneklik çerçevesinin (CSCRF) kapsamı ve uygulanabilirliği konusunda bir açıklama yayınladı. Piyasalar düzenleyicisine göre, çerçeve kesinlikle sadece SEBI tarafından düzenlenen faaliyetler için kullanılan sistemler için geçerlidir ve diğer düzenleyici organlarla örtüşen sorumluluklar konusundaki endişeleri hafifletir.
SEBI, Hindistan Rezerv Bankası (RBI) veya başka bir yetkili makam tarafından daha önce denetlenmediği takdirde ortak altyapının CSCRF denetim gereksinimlerine gireceğini vurguladı. Bu, özellikle kurumlar giderek daha fazla ortak dijital platformlara dayandıkça, tüm sistem türlerinde tutarlı bir siber güvenlik standardı sağlar.
Önemli olarak SEBI, RBI veya herhangi bir eşdeğer regülatör tarafından verilen siber güvenlik normlarına uyan düzenlenmiş kuruluşların (RES) (RES) çabaları çoğaltması gerekmeyeceğini kabul etti. Bu tür mevcut uyum, SEBI’nin çerçevesi altında kabul edilecek ve ekonomik Times tarafından bildirildiği gibi çift düzenlenmiş varlıklar üzerindeki operasyonel yükleri azaltacaktır.
Kritik sistemler, sıfır güven ve felaket kurtarma yönergeleri
CSCRF dairesel, “kritik sistem” ni oluşturan şey üzerinde genişledi, bunu temel işlemleri etkileyen, depolayan veya düzenleyici verileri aktaran, istemciye bakan veya internete dönük uygulamaları barındıran veya aynı ağda bu sistemler gibi ikamet eden herhangi bir sistem olarak tanımladı. Dayanıklılığı güçlendirmek için Sebi, Art’ı ağ segmentasyonu, yüksek kullanılabilirlik ve BT komitelerinden gözetim ile tek başarısızlık noktalarını ortadan kaldırma gibi sıfır tröst ilkelerini uygulamaya çağırdı.
Mobil uygulamalar açısından, çerçevenin yönergeleri zorunlu olmaktan ziyade tavsiye edilir. Bu arada, siber krizler için, Res, iç siber kriz yönetim planlarına dayanarak hareket etmeli ve bu tür olaylar sırasında basın bültenlerinin verilmesinden kaçınmalıdır.
Tehdit simülasyonları, güvenlik açığı değerlendirmeleri ve tuzak sistemleri gibi araçlar teşvik edilirken, SEBI kullanımlarının zorunlu olmadığını açıkladı. Bununla birlikte, varlıklar üçüncü taraf satıcılarından kaynaklanan siber güvenlik risklerini BT komitelerine koordineli olarak aktif olarak değerlendirmelidir.
SEBI ayrıca siber denetim raporlarını korumanın önemini vurguladı. Regülatör, “Üyeleri tarafından sunulan siber denetim raporlarını alırken ve ele alırken, borsalar ve mevduatlar, bu raporların gizliliğini ve bütünlüğünü korumak için yeterli önlemlerin mevcut olmasını sağlayacaktır” dedi.
Felaket kurtarma için, düzenlenmiş kuruluşlar kritik işlemleri iki saat içinde (kurtarma süresi hedefi – RTO) devam ettirebilmeli ve 15 dakika içinde veri kurtarmayı sağlayabilmelidir (kurtarma noktası hedefi – RPO). Varlıklar ayrıca, bu kriterlerin gerçekleştirilemediği durumlarda olasılıkları planlamalıdır.
Portföy yöneticileri ve tüccar bankacıları için revize CSCRF kategorizasyonu
SEBI, CSCRF kapsamındaki düzenlenmiş varlıklar için sınıflandırma eşiklerini revize etmiştir. 10.000 crube ve üstü yönetimi (AUM) varlıkları olan portföy yöneticileri artık nitelikli res olarak kategorize edilecektir.
3,000 crore ile ₹ 10.000 crore arasında yönetenler orta büyüklükte res olarak etiketlenirken, ₹ 3.000 crore’nin altındaki kişiler küçük boyutlu RE kategorisine girer. Minimum eşik altındaki portföy yöneticileri, daha basit uyumluluk gereksinimlerinden yararlanarak kendi kendine sertifika res olarak kabul edilebilir.
Tüccar Bankacıları (MBS) durumunda, SEBI, ilgili dönemde tüccar bankacılığı işlevlerini yerine getiren tüm aktif MB’lerin uyum amaçları için küçük boyutlu res olarak ele alınacağını açıkladı. Ancak aktif olmayan MBS, CSCRF yükümlülüklerinden muaf olacaktır.