आरबीआई/2018-19/63
सबैंपवि.केका.पीसीबी.परि.सं 1/18.01.000/2018-19

19 अक्‍तूबर, 2018

अध्‍यक्ष/प्रबंध निदेशक/मुख्‍य कार्यकारी अधिकारी

सभी प्राथमिक (शहरी) सहकारी बैंक

महोदया/महोदय,

प्राथमिक (शहरी) सहकारी बैंकों (यूसीबी) में बुनियादी साइबर सुरक्षा ढांचा

बैंकों द्वारा सूचना प्रौद्योगिकी का उपयोग तेजी से बढ़ा है और अब यह बैंकों की परिचालनात्‍मक कार्यनीति का एक महत्वपूर्ण अंग बन गई है। बैंकों सहित वित्तीय क्षेत्र के मामलों में साइबर घटनाओं / हमलों की संख्या, आवृत्ति और प्रभाव कई गुना बढ़ गया है। निरंतर आधार पर अपनी आस्तियों की पर्याप्त सुरक्षा सुनिश्चित करने के लिए यूसीबी में एक मजबूत साइबर सुरक्षा ढांचा स्थापित करने की तत्काल आवश्यकता है। अत: अब यह आवश्‍यक हो गया है कि साइबर जोखिमों से निपटने के लिए मौजूदा सुरक्षा व्‍यवस्‍था में सुधार करके साइबर खतरों के प्रति शहरी सहकारी बैंकों की सुरक्षा प्रणाली को मजबूत बनाया जाए।

2. यह देखा गया है कि इस क्षेत्र के बैंकों द्वारा अपनाई जाने वाली प्रौद्योगिकी का स्‍तर भी भिन्‍न है - कुछ बैंक अपने ग्राहकों को उन्‍नत डिजिटल उत्पाद प्रदान करते हैं और कुछ बैंक स्टैंड-अलोन कंप्यूटर में अपने बही खाते रखते हैं और अपने ग्राहकों / पर्यवेक्षकों / अन्य बैंकों से संपर्क करने के लिए ई मेल का उपयोग करते हैं। अत: यह निर्णय लिया गया है कि सभी यूसीबी पर लागू हाने वाले बुनियादी साइबर सुरक्षा दिशानिर्देश जारी किए जाएँ। तथापि, कोई भी यूसीबी अपने स्‍व-जोखिम मूल्‍यांकन, अपनी सूचना प्रौद्योगिकी (आईटी) / सूचना सुरक्षा (आईएस) प्रणाली की जटिलता, प्रस्तावित डिजिटल उत्पादों की प्रकृति आदि को ध्‍यान में रखते हुए अपने बोर्ड के निर्णय के अनुसार उन्नत साइबर सुरक्षा मानदंडों को अपना सकता है।

3. सभी यूसीबी द्वारा कार्यान्वित किए जाने वाले बुनियादी साइबर सुरक्षा ढांचा अनुलग्नक I में दिया गया है, जोकि संकेतक मात्र है, विस्‍तृत नहीं।

4. बोर्ड द्वारा अनुमोदित साइबर सुरक्षा नीति की आवश्यकता

सभी यूसीबी द्वारा बोर्ड/प्रशासक से अनुमोदित साइबर सुरक्षा नीति को तत्काल स्थापित किया जाए, जो कि बैंक के बिज़नस की जटिलता एवं जोखिम के स्वीकार्य स्तर को निहित करनें के दृष्टिकोण से साइबर खतरों को रोकने के लिए उपयुक्त ढ़ाचा एवं नीति प्रदान करें । बोर्ड द्वारा नीति तैयार करने की प्रक्रिया पूरा करने के बाद इस परिपत्र की तारीख से तीन महीने के अंदर सहकारी बैंक पर्यवेक्षण विभाग, केंद्रीय कार्यालय, सी -9, पहली मंजिल, बीकेसी, मुंबई - 400051 को ईमेल द्वारा पुष्‍टीकरण भेजा जाए। अपनाए जाने वाली प्रौद्योगिकी के स्‍तर और ग्राहकों को उपलब्‍ध कराए जाने वाले डिजिटल उत्पादों को ध्‍यान में रखते हुए यह सुनिश्चित किया जाए कि साइबर सुरक्षा नीति निम्नलिखित व्यापक पहलुओं से संबंधित है:

4.1 साइबर सुरक्षा नीति यूसीबी की आईटी नीति / आईएस नीति से भिन्‍न हो

साइबर सुरक्षा नीति यूसीबी की आईटी / आईएस नीति से इस प्रकार भिन्‍न होनी चाहिए कि उससे साइबर खतरों से उत्‍पन्‍न जोखिमों पर प्रकाश डाला जा सके और इन जोखिमों को दूर करने / कम करने के उपाय किए जा सकें। अंतर्निहित जोखिमों की पहचान एवं आकलन करते समय यूसीबी द्वारा अपनी प्रौद्योगिकियों¹, वितरण चैनलों², उपलब्‍ध कराए जाने वाले डिजिटल उत्पादों³, आंतरिक⁴ और बाहरी⁵ खतरों आदि को ध्यान मे रखा जाए। इनमें से प्रत्येक जोखिम को निम्न, मध्यम, उच्च और उच्‍चतम के रूप में रेटिंग दी जाए।

4.2 आईटी आर्किटेक्चर / ढांचा सुरक्षा की दृष्टि से अनुपालित हो

आईटी आर्किटेक्चर / ढांचा जिसमें नेटवर्क, सर्वर, डेटाबेस और एप्लिकेशन, एंड-यूजर सिस्टम इत्यादि शामिल हैं, के द्वारा हमेशा सुरक्षा उपायों का ध्‍यान रखा जाए और बोर्ड या बोर्ड की आईटी उप-समिति द्वारा इसकी समय-समय पर समीक्षा की जानी चाहिए। इस उद्देश्य की पूर्ति के लिए यूसीबी निम्नलिखित कदम उठाएं :

i आईटी प्रणालियों एवं प्रक्रियाओं में कमजोर/ भेद्य क्षेत्रों की पहचान करें

ii जहां पर आवश्‍यक हो, नेटवर्क, डेटाबेस और एप्लिकेशन के लिए सीमित ऐक्‍सेस की अनुमति दी जाए तथा सुपरिभाषित प्रक्रियाएं और तर्क सहित अनुमोदन के माध्‍यम से इस तरह के ऐक्‍सेस की अनुमति दी जाए।

iii इन क्षेत्रों में उल्लंघनों / चूक के मामले में लागत का प्रभाव का आकलन करें और,

iv उनसे निपटने के लिए उपयुक्त साइबर सुरक्षा प्रणाली स्‍थापित करें,

v उपर्युक्त चरणों में से प्रत्येक चरण के लिए स्पष्ट रूप से ज़िम्मेदारी निर्दिष्ट करें और उनका दस्तावेज़ीकरण करें।

पर्यवेक्षी मूल्यांकन को सक्षम बनाने के लिए पूरी प्रक्रिया का एक उचित रिकॉर्ड बनाए रखें।

4.3 साइबर संकट प्रबंधन योजना

4.3.1 चूंकि साइबर जोखिम कई अन्य जोखिमों से भिन्‍न है, अत: पारंपरिक बीसीपी / डीआर (बिजनेस कान्टियुटि प्लान / आपदा रिकवरी) व्यवस्था पर्याप्त नहीं हो सकती है, अत: साइबर जोखिम की प्रकृति को ध्यान में रखते हुए इन जोखिमों की पुन: समीक्षा की जानी चाहिए। भारत सरकार के एक संगठन, सीईआरटी-इन (कंप्यूटर इमरजेंसी रेसपांस टीम - भारत, सरकारी संस्‍था) द्वारा सक्रिय / प्रतिक्रियाशील सेवाएं और दिशानिर्देश, जोखिम आसूचना और वित्तीय क्षेत्र सहित विभिन्न क्षेत्रों की एजेंसियों की तत्‍परता के मूल्यांकन उपलब्‍ध कराते हुए सुरक्षा को मजबूत बनाने की दिशा में महत्वपूर्ण पहल की जा रही है। सीईआरटी-इन द्वारा राष्ट्रीय साइबर संकट प्रबंधन योजना और साइबर सुरक्षा आकलन का ढांचा भी तैयार किया गया है। यूसीबी अपने मार्गदर्शन के लिए सीईआरटी-इन / एनसीआईआईपीसी / आरबीआई / आईडीआरबीटी के दिशानिर्देशों का संदर्भ सामग्री के रूप में प्रयोग कर सकते हैं।

4.3.2 यूसीबी द्वारा किसी भी साइबर इंट्रूजन (अनधिकृत प्रविष्टियों) का तुरंत पता लगाया जाना चाहिए ताकि साइबर हमलों के बहाल/ प्रभाव के प्रति सजग हो सके। सेवाएं विशेष रूप से जैसे इंटरनेट बैंकिंग, मोबाइल बैंकिंग, मोबाइल वॉलेट, आरटीजीएस / एनईएफटी / आईएमपीएस, स्विफ्ट, डेबिट कार्ड, क्रेडिट कार्ड आदि प्रदान कर रहे यूसीबी द्वारा विभिन्‍न साइबर खतरों⁶ जैसे सेवा से इनकार (डीओएस), सेवाओं का खंडन (डीडीओएस), रांसोमवेयर / क्रिप्टो वेयर, विनाशकारी मैलवेयर, कारोबार धोखाधड़ी जिसमें स्पैम, ईमेल फ़िशिंग, स्पिफयर फ़िशिंग, व्हेलिंग, विशिंग धोखाधड़ी, ड्राइव –बाई डाउनलोड, ब्राउज़र गेटवे धोखाधड़ी, घोस्‍ट एडमिनिस्‍ट्रेटर एक्‍सप्‍लाइट, धोखाधड़ी पहचान, मेमोरी अपडेट धोखाधड़ी, पासवर्ड से संबंधित धोखाधड़ी, आदि शामिल है, से निपटने के लिए आवश्यक डिटेक्टिव और सुधारात्‍मक उपाय / कदम उठाया जाना चाहिए।

5. संगठनात्मक व्यवस्था

यूसीबी द्वारा संगठनात्मक व्यवस्था की समीक्षा करनी चाहिए ताकि त्वरित कार्रवाई करने हेतु सुरक्षा संबंधी चिंताओं को उपयुक्त / संबंधित अधिकारियों के ध्‍यान में लाया जा सके।

6. शीर्ष प्रबंध-तंत्र/ बोर्ड/ अन्‍य संबंधित पार्टियों के बीच साइबर सुरक्षा जागरूकता

साइबर जोखिम प्रबंधन हेतु साइबर सुरक्षा परिवेश का सृजन करने के लिए संपूर्ण संगठन की प्रतिबद्धता ज़रूरी है। इस हेतु बोर्ड और शीर्ष प्रबंध-तंत्र सहित सभी स्‍तरों के स्‍टाफ के बीच उच्‍च कोटि की जागरूकता/ समझ होना ज़रूरी है। शहरी सहकारी बैंकों को चाहिए कि वे अपने ग्राहकों, वेंडरों, सेवा प्रदाताओं और अन्‍य संबंधित पार्टियों के बीच साइबर सुरक्षा उद्देश्‍यों की जानकारी सक्रिय ढंग से पैदा करें। ग्राहकों, कर्मचारियों, वेंडरों, सेवा प्रदाताओं आदि के बीच साइबर हमलों के संभावित प्रभाव के संबंध में सुरक्षा जागरूकता पैदा करना जिससे शहरी सहकारी बैंकों की साइबर सुरक्षा तत्‍परता में मदद मिलेगी।

7. ग्राहक संबंधी सूचना की रक्षा सुनिश्चित करना

शहरी सहकारी बैंकों को, ग्राहक के संवेदनशील आंकड़े का स्‍वामी होने के नाते उनकी गोपनीयता, विश्‍वस्‍तता और उपलब्‍धता को सुरक्षित रखने के लिए समुचित कदम उठाने चाहिए, चाहे आंकड़े भंडारित हों/ उनके भीतर या तीसरी पार्टी वेंडर के साथ ट्रन्सिट में हों; ऐसी अभिरक्षाधीन सूचना की गोपनीयता के साथ किसी भी स्थिति में समझौता नहीं किया जाना चाहिए। इसे हासिल करने के लिए शहरी सहकारी बैंकों में आंकड़े/ सूचना के संपूर्ण जीवनचक्र में उपयुक्‍त प्रणालियां और प्रक्रियाएं उपलब्‍ध हों। जहां तक ग्राहकों का संबंध है शहरी सहकारी बैंक उन्‍हें साइबर सुरक्षा संबंधी जोखिमों की जानकारी दें और उनके बीच जागरूकता पैदा करें।

8. पर्यवेक्षी रिपोर्टिंग ढांचा

शहरी सहकारी बैंक साइबर सुरक्षा संबंधी सभी असाधारण घटनाओं (चाहे उनमें कामयाबी हासिल हुई हो या फिर कोशिश की गई हो) की रिपोर्ट सहकारी बैंक पर्यवेक्षण विभाग, केंद्रीय कार्यालय, सी-9, पहली मंजि़ल, बीकेसी, मुंबई – 400 051 को पूरे ब्‍योरे के साथ ई-मेल के माध्‍यम से तत्‍काल भेजें। यदि साइबर सुरक्षा संबंधी कोई घटना घटी न हो तो तिमाही आधार पर ‘कुछ नहीं’ रिपोर्ट भेजें।

9. इस परिपत्र की एक प्रति को निदेशक मंडल / प्रशासक के समक्ष उनकी आगामी बैठक में प्रस्‍तुत किया जाए और बोर्ड / प्रशासक द्वारा साइबर सुरक्षा के संबंध में तुरंत एक नीति तैयार की जाए। नीति तैयार करने के बाद, यूसीबी को सूचित किया जाता है कि वे अनुलग्नक I में दर्शाए गए मूल साइबर सुरक्षा नियंत्रण को लागू करें और 31 मार्च, 2019 को या उससे पहले सहकारी बैंक पर्यवेक्षण विभाग के संबंधित क्षेत्रीय कार्यालयों को इसकी रिपोर्ट दी जाए।

भवदीय,

(रणजीव शंकर)
(प्रभारी महाप्रबंधक)

संलग्न: यथोक्‍त -

अनुलग्नक I: प्राथमिक शहरी सहकारी बैंकों में मूल साइबर सुरक्षा नियंत्रण

अनुलग्‍नक ।।: साइबर सुरक्षा खतरों की कुछ परिभाषाएं

1. प्रौद्योगिकी : सेक्‍यूरिटी इंसिडेंट ईवेंट मैनेजमेंट (एसआईईएम), विशेषाधिकार पहचान प्रबंधन (पीआईएम), डेटाबेस गतिविधि निगरानी आदि।

2. वितरण चैनल: एटीएम, पीओएस, आईएमपीएस, आदि

3. डिजिटल उत्पाद: एम-बैंकिंग, यूपीआई, ई-वॉलेट इत्यादि।

4. आंतरिक खतरे: महत्वपूर्ण और संवेदनशील डेटा समझौता, पासवर्ड चोरी, आंतरिक स्रोत कोड समीक्षा, आदि

5. बाहरी खतरा: डीडीओएस, रांसोमवेयर इत्यादि।

6 विभिन्‍न प्रकार के खतरों की जानकारी के लिए अनुलग्‍नक ।। का संदर्भ लें।