Kritische Vermögenswerte sollten unter anderem geschäftskritische Systeme, mit dem Internet verbundene Anwendungen/Systeme, Systeme mit sensiblen Daten, sensiblen personenbezogenen Daten, sensiblen Finanzdaten und personenbezogenen Informationsdaten umfassen. Alle Nebensysteme, die für den Zugriff auf oder die Kommunikation mit kritischen Systemen verwendet werden, sei es für den Betrieb oder die Wartung, müssen ebenfalls als kritische Systeme eingestuft werden. Darüber hinaus muss der KRAs-Vorstand die Liste der kritischen Systeme genehmigen. „Zu diesem Zweck, KRA muss ein aktuelles Inventar seiner Hardware und Systeme, Software und Informationsressourcen (intern und extern), Details seiner Netzwerkressourcen, Verbindungen zu seinem Netzwerk und Datenflüsse führen“, sagte Sebi. Laut Sebi müssen KRAs regelmäßig auftreten Schwachstellenanalysen und Penetrationstests (VAPT), die alle Infrastrukturkomponenten und kritischen Assets wie Server, Netzwerksysteme, Sicherheitsgeräte und andere IT-Systeme umfasst, um Sicherheitslücken in der IT-Umgebung zu erkennen und eine eingehende Bewertung der Sicherheitslage des Systems durch Simulationen realer Angriffe auf Ihr System durchzuführen Systeme und Netzwerke. Darüber hinaus sagte die Regulierungsbehörde, dass KRAs mindestens einmal im Geschäftsjahr VAPT durchführen müssen. Für KRAs, deren Systeme vom National Critical Information Infrastructure Protection Center (NCIIPC) als „geschütztes System“ identifiziert wurden, muss VAPT laut Sebi jedoch mindestens zweimal in einem Geschäftsjahr durchgeführt werden. Darüber hinaus müssen alle KRAs nur CERT-In-integrierte Organisationen mit der Durchführung von VAPT beauftragen. Der Abschlussbericht über die VAPT muss Sebi nach Genehmigung des Ständigen Technologieausschusses der jeweiligen KRA innerhalb eines Monats nach Ende der VAPT-Aktivität vorgelegt werden. „Alle festgestellten Lücken/Schwachstellen müssen sofort behoben werden, und die Abschlusskonformität der während der VAPT festgestellten Ergebnisse wird Sebi innerhalb von 3 Monaten nach Übermittlung des Abschlussberichts der VAPT an Sebi übermittelt“, sagte die Regulierungsbehörde. Darüber hinaus müssen KRAs vor der Einführung eines neuen Systems, das ein kritisches System oder Teil eines bestehenden kritischen Systems ist, Schwachstellen-Scans und Penetrationstests durchführen. Das neue Rahmenwerk tritt mit sofortiger Wirkung in Kraft, sagte Sebi und fügte hinzu, dass alle KRAs den Stand der Umsetzung des Rundschreibens innerhalb von 10 Tagen an die Regulierungsbehörde weitergeben müssen.
Sebi optimiert die Cyber-Sicherheit, das Cyber-Resilience-Framework von KYC-Registrierungsagenturen
Aufsichtsbehörde für Kapitalmärkte Sebi Am Montag änderten sich die Rahmenbedingungen für Cyber-Sicherheit und Cyber-Resilienz KYC-Registrierungsagenturen (KRAs) und beauftragt, mindestens zweimal im Geschäftsjahr ein umfassendes Cyber-Audit durchzuführen. Zusammen mit dem Cyber-Audit-Bericht wurden alle KRAs angewiesen, eine Erklärung des Geschäftsführers und des CEO einzureichen, in der sie die Einhaltung aller Richtlinien und Mitteilungen von Sebi zur Cyber-Sicherheit bescheinigen, die regelmäßig gemäß einem Rundschreiben herausgegeben werden. Nach dem überarbeiteten Rahmenwerk müssen KRAs kritische Assets basierend auf ihrer Sensibilität und Kritikalität für den Geschäftsbetrieb, die Dienste und das Datenmanagement identifizieren und klassifizieren.