Sebi 调整 KYC 注册机构的网络安全和网络弹性框架


资本市场监管机构 Sebi 周一改变了 KYC 注册机构 (KRA) 的网络安全和网络弹性框架,并要求他们在一个财政年度内至少进行两次全面的网络审计。

根据一份通知,除了网络审计报告,所有 KRA 都被指示提交 MD 和首席执行官的声明,证明他们遵守 Sebi 定期发布的所有网络安全相关指南和通知。

根据修订后的框架,KRA 必须根据其对业务运营、服务和数据管理的敏感性和重要性来识别和分类关键资产。

关键资产应包括关键业务系统、面向互联网的应用程序/系统、包含敏感数据、敏感个人数据、敏感财务数据、个人身份信息数据等的系统。 所有用于访问或与关键系统通信的辅助系统,无论是用于操作还是维护,也必须归类为关键系统。

此外,将要求 KRA 董事会批准关键系统列表。
“为此,KRA 必须维护其硬件和系统、软件和信息资产(内部和外部)、网络资源详细信息、网络连接和数据流的最新清单,”Sebi 说。

Sebi 表示,KRA 必须定期进行漏洞评估和渗透测试 (VAPT),其中包括所有基础设施组件和关键资产,例如服务器、网络系统、安全设备和其他 IT 系统,以检测 IT 环境中的安全漏洞并深入通过模拟对您的系统和网络的真实攻击来评估系统的安全状况。

此外,监管机构表示,KRA 必须在一个财政年度至少进行一次 VAPT。

然而,Sebi 表示,对于其系统已被国家关键信息基础设施保护中心 (NCIIPC) 确定为“受保护系统”的 KRA,必须在一个财政年度内至少执行两次 VAPT。

此外,所有 KRA 都必须仅让 CERT-In 综合组织参与 VAPT。
VAPT 的最终报告必须在 VAPT 活动结束后一个月内,在获得相应 KRA 技术常务委员会批准后提交给 Sebi。

监管机构表示:“检测到的任何差距/漏洞必须立即纠正,并且在 VAPT 向 Sebi 提交最终报告后的 3 个月内,将在 VAPT 期间确定的调查结果的关闭合规性发送给 Sebi。”

此外,KRA 还必须在推出作为关键系统或现有关键系统一部分的新系统之前执行漏洞扫描和渗透测试。

Sebi 说,新框架将立即生效,并补充说所有 KRA 必须在 10 天内向监管机构通报通知的实施情况。



Source link