Sermaye piyasası düzenleyicisi sebi Pazartesi günü siber güvenlik ve siber dayanıklılık çerçevesini değiştirdi. KYC Kayıt Ajansları (KRA’lar) ve onları bir mali yılda en az iki kez kapsamlı bir siber denetim yapmaları için görevlendirdi. Siber denetim raporunun yanı sıra, tüm KRA’lara, genelgeye göre MD ve CEO’nun Sebi’nin siber güvenlikle ilgili tüm yönergelerine ve periyodik olarak yayınlanan bildirimlerine uyduklarını belgeleyen bir beyan sunmaları talimatı verildi.
Gözden geçirilmiş çerçeve kapsamında, KRA’ların kritik varlıkları ticari operasyonlara, hizmetlere ve veri yönetimine duyarlılıklarına ve kritikliklerine göre tanımlamaları ve sınıflandırmaları gerekmektedir.
Kritik varlıklar, diğerlerinin yanı sıra iş açısından kritik sistemler, internete yönelik uygulamalar/sistemler, hassas veriler içeren sistemler, hassas kişisel veriler, hassas finansal veriler, kişisel olarak tanımlanabilir bilgi verilerini içermelidir. İster operasyon ister bakım için olsun, kritik sistemlere erişmek veya bu sistemlerle iletişim kurmak için kullanılan tüm yardımcı sistemler de kritik sistemler olarak sınıflandırılmalıdır.
Ayrıca, KRA kurulunun kritik sistemlerin listesini onaylaması gerekecektir.
“Bu amaçla, KRA donanım ve sistemleri, yazılım ve bilgi varlıkları (iç ve dış), ağ kaynaklarının ayrıntıları, ağ bağlantıları ve veri akışlarının güncel bir envanterini tutmalıdır.”
Sebi’ye göre, KRA’lar düzenli olarak Güvenlik Açığı Değerlendirmeleri ve Sızma Testleri (VAPT) BT ortamındaki güvenlik açıklarını tespit etmek için sunucular, ağ sistemleri, güvenlik cihazları ve diğer BT sistemleri gibi tüm altyapı bileşenlerini ve kritik varlıkları içeren ve gerçek saldırıların simülasyonları aracılığıyla sistemin güvenlik durumunun derinlemesine değerlendirilmesi. sistemler ve ağlar.
Ek olarak, düzenleyici, KRA’ların mali yılda en az bir kez VAPT yapması gerektiğini söyledi.
Ancak Ulusal Kritik Bilgi Altyapısı Koruma Merkezi (NCIIPC) tarafından sistemleri “korunan sistem” olarak tanımlanan KRA’lar için Sebi, VAPT’nin bir mali yılda en az iki kez yapılması gerektiğini söyledi.
Ayrıca, tüm KRA’ların VAPT’yi yürütmek için yalnızca CERT-In entegre kuruluşlarla bağlantı kurması gerekir.
VAPT ile ilgili nihai rapor, ilgili KRA’nın teknoloji daimi komitesinin onayından sonra, VAPT faaliyetinin bitiminden itibaren bir ay içinde Sebi’ye sunulmalıdır.
Düzenleyici, “Tespit edilen tüm boşluklar / güvenlik açıkları derhal giderilmeli ve VAPT sırasında tespit edilen bulguların kapatma uygunluğu, VAPT’nin nihai raporunun Sebi’ye sunulmasından sonraki 3 ay içinde Sebi’ye gönderilecektir.” Dedi.
Ayrıca, KRA’lar, kritik bir sistem veya mevcut bir kritik sistemin parçası olan yeni bir sistemin kullanıma sunulmasından önce güvenlik açığı taramaları ve sızma testleri gerçekleştirmelidir.
Yeni çerçevenin hemen yürürlüğe gireceğini belirten Sebi, tüm KRA’ların genelgenin uygulanma durumunu 10 gün içinde düzenleyiciye iletmesi gerektiğini de sözlerine ekledi.
FacebookheyecanLinkedin