Hindistan Menkul Kıymetler ve Borsa Kurulu (SEBI), Hindistan finans piyasalarındaki düzenlenen kuruluşların siber güvenlik duruşunu güçlendirmeyi amaçlayan yeni bir Siber Güvenlik ve Siber Dayanıklılık Çerçevesi (CSCRF) duyurdu. Bu yeni çerçeve, Ocak 2025’ten itibaren aşamalı bir yaklaşımla uygulanacak ve mevcut siber güvenlik yönergelerinden önemli bir kaymaya işaret ediyor.
CSCRF, SEBI tarafından düzenlenen kuruluşlar arasında hem siber güvenliği hem de siber dayanıklılığı artırmak için tasarlanmış kapsamlı bir yönergeler dizisidir. Bu yeni çerçeve, siber tehditlerin artmaya devam etmesi ve finansal sistemlerin bütünlüğünü ve istikrarını tehdit etmesiyle kritik bir zamanda geliyor. Ortaya çıkan tehditleri ve güvenlik açıklarını ele almak için gelişmiş önlemleri entegre ederek önceki siber güvenlik direktiflerinden önemli bir evrimi temsil ediyor.
Siber Güvenlik ve Siber Dayanıklılık Çerçevesine Giriş (CSCRF)
Yeni Siber Güvenlik ve Siber Dayanıklılık Çerçevesi (CSCRF) yapılandırılmış, aşamalı bir şekilde uygulanacaktır. Düzenlenen kuruluşların, sınıflandırmalarına bağlı olarak 1 Ocak 2025’e veya 1 Nisan 2025’e kadar uyumluluğa ulaşmaları gerekmektedir. Bu aşamalı yaklaşım, sorunsuz bir geçişi kolaylaştırmak ve kuruluşların yeni gereksinimlere kademeli olarak uyum sağlamasını sağlamak için tasarlanmıştır.
CSCRF’nin önemli bir özelliği, piyasa altyapı kurumlarının ve nitelikli düzenlenmiş kuruluşların siber güvenlik olgunluğunu ve dayanıklılığını düzenli olarak değerlendirmek ve izlemek için kullanılacak bir Siber Yetenek Endeksi’nin (CCI) tanıtılmasıdır. CCI, siber güvenlik etkinliğini değerlendirmek ve gerekli iyileştirmeleri yönlendirmek için bir ölçüt olarak hizmet etmeyi amaçlamaktadır.
Daha küçük düzenlenmiş kuruluşları desteklemek için SEBI, büyük borsalar, NSE ve BSE tarafından Piyasa Güvenlik Operasyon Merkezleri (SOC’ler) kurulmasını zorunlu kılmıştır. Bu SOC’ler, daha küçük kuruluşların çerçevenin gereksinimlerini karşılamalarına ve siber dayanıklılıklarını artırmalarına yardımcı olacak şekilde özelleştirilmiş siber güvenlik çözümleri sağlayacaktır.
Ek olarak, düzenlenen kuruluşların CSCRF kapsamında düzenli siber güvenlik denetimlerinden geçmesi gerekecektir. Bu denetimler BT hizmetlerini, Hizmet Olarak Yazılım (SaaS) çözümlerini ve barındırılan hizmetleri kapsayacak ve periyodik olarak yürütülecektir. Bu denetimlerden gelen raporlar ilgili makamlara sunulmalı, devam eden uyumluluk ve gözetim sağlanmalıdır.
Ayrıntılı Uyumluluk Gereksinimleri
Yeni Siber Güvenlik ve Siber Dayanıklılık Çerçevesi (CSCRF) kapsamında, düzenlenen kuruluşların SEBI’ye veya diğer ilgili makamlara belirlenmiş periyodik standartlara göre uyumluluk raporları sunması gerekmektedir. Bu raporlar, siber güvenliğin çeşitli kritik yönlerini kapsayan hem altı aylık hem de yıllık incelemeleri içermelidir.
Bunlara Siber Dayanıklılık, Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VAPT) değerlendirmeleri ve siber güvenlik eğitimleri dahildir ve güvenlik uygulamalarının sürdürülmesine yönelik kapsamlı bir yaklaşımın sağlanması amaçlanmaktadır.
Ayrıca, CSCRF’nin yayınlanmasından itibaren bir yıl içinde, Pazar Altyapısı Kuruluşları (MII’ler) ve Nitelikli Düzenlenmiş Kuruluşlar ISO 27001 sertifikası almaya zorunludur. Bu sertifikaya, bilgi güvenliği yönetimi için uluslararası olarak tanınan standartlara uyumu göstermek için siber denetim raporlarıyla birlikte sunulan kanıtlar eşlik etmelidir.
Kuruluşların ayrıca korunan sistemleri ve diğer BT altyapıları üzerinde Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VAPT) gerçekleştirmek için belirli sıklıklara uymaları gerekir. Bu değerlendirmelerden gelen raporlar onaylarından itibaren bir ay içinde sunulmalı, belirlenen tüm bulgular üç ay içinde ele alınmalı ve devam eden güvenliği sağlamak için beş ay içinde yeniden doğrulanmalıdır.
Ek olarak, hem kritik hem de kritik olmayan sistemlerin bir örneğini kapsayacak şekilde kapsamlı siber denetimler yapılmalıdır. Bu denetimler, tamamlandıktan sonraki bir ay içinde raporların sunulmasını, belirlenen sorunların üç ay içinde çözülmesini ve takip denetimlerinin beş ay içinde yapılmasını gerektirir.
CSCRF’ye uyumu kolaylaştırmak için NSE ve BSE, 1 Ocak 2025’e kadar Piyasa Güvenlik Operasyon Merkezleri (SOC’ler) kuracaktır. Bu SOC’ler, özellikle daha küçük kuruluşlar için kritik siber güvenlik desteği sağlayacaktır. Ek olarak, NSDL ve CDSL gibi diğer kuruluşlar da çerçevenin uygulanmasını desteklemek için benzer tesisler kurabilir.
Operasyonel Yönergeler ve Standartlar
Kuruluşların yetkili cihazların güncel bir envanterini tutmaları ve etkili ağ yönetimi için otomatik araçlar kullanmaları gerekir. Güvenlik protokolleri, algoritmik ticarete dahil olan sunucular için sağlam çevre savunmalarını ve sıfır güven güvenlik modelinin uygulanmasını içermelidir. Erişim kontrolü, devredilen erişimin düzenli olarak incelenmesini, güçlü parola politikalarının uygulanmasını ve kullanılmayan kullanıcı kimlik bilgilerinin derhal kaldırılmasını gerektiren sıfır güven çerçevesine uymalıdır.
Günlük yönetimi açısından, kuruluşlar sistemler, uygulamalar ve ağlar gibi tüm ilgili günlükleri titizlikle toplamalı ve izlemelidir. Ayrıca, kapsamlı denetimi sağlamak için sıkı bir günlük tutma politikası uygulamaları ve olağandışı kalıpları aktif olarak izlemeleri gerekir. Fiziksel güvenlik önlemleri, hassas ekipmanlar için sıkı kontroller ve gözetim ile desteklenen kritik sistemlere sınırlı erişim gerektirir.
Uzaktan destek ve erişim için, hizmetler iyi yönetilmeli ve çok faktörlü kimlik doğrulamayı içermeli ve erişimi beyaz listeye alınmış IP adresleriyle sınırlamalıdır. Veri yönetimi uygulamaları, tüm verilerin ve medyanın uygun güvenlik önlemleriyle işlenmesini sağlamak için güvenli veri saklama ve imha politikalarını içermelidir.
Uç nokta ve ağ güvenliği, uç nokta koruma çözümlerinin dağıtımını ve gereksiz işlevler için yönetim haklarının devre dışı bırakıldığı sürekli ağ izlemeyi gerektirir. Uygulamalar ve mobil sistemler için güvenlik protokolleri OWASP yönergelerine uymalı ve güvenli depolama uygulamalarını sağlamalıdır.
Ek olarak, çalışanlar için düzenli siber güvenlik eğitimi, en son güvenlik uygulamalarını yansıtacak şekilde eğitim materyallerinin gerektiği gibi güncellenmesi de dahil olmak üzere önemlidir. Kuruluşlar ayrıca hileli işlemleri bildirmek ve müşterileri siber güvenlik riskleri hakkında eğitmek için mekanizmalar oluşturmalı ve böylece genel müşteri ve yatırımcı güvenliğini artırmalıdır.
Uygulama ve Denetim
CSCRF’nin uygulanması SEBI tarafından yakından izlenecek ve kuruluşların belirlenen zaman çizelgelerine ve uyumluluk gerekliliklerine uyması bekleniyor. Aşamalı uygulama ve yapılandırılmış uyumluluk raporlaması, yeni çerçeveye sorunsuz bir geçiş sağlamak ve genel siber güvenlik manzarasını geliştirmek için tasarlanmıştır.
SEBI siber güvenlik çerçevesi, Hindistan’ın finans piyasalarındaki siber güvenlik uygulamalarının düzenlenmesinde önemli bir ilerlemeyi temsil ediyor. SEBI, net yönergeler, düzenli değerlendirmeler oluşturarak ve daha küçük kuruluşlara destek sağlayarak finans sektörünün siber tehditlere karşı dayanıklılığını güçlendirmeyi hedefliyor.
Siber güvenlik ve dayanıklılığa yönelik bu kapsamlı yaklaşım, SEBI’nin finansal piyasaların bütünlüğünü koruma ve paydaşları siber risklerden koruma taahhüdünü vurgular. Çerçeve yürürlüğe girerken, tüm düzenlenen kuruluşların siber güvenlik ve dayanıklılığı sağlamak için yeni gerekliliklere ilişkin bilgi sahibi olmaları ve bunlara uymaları hayati önem taşıyacaktır.