Rahmenwerk für Cyber-Sicherheit und Cyber-Resilienz (CSCRF) von SEBI
Am 20. August 2024 veröffentlichte die indische Wertpapier- und Börsenaufsichtsbehörde (Securities and Exchange Board of India, SEBI) das Rahmenwerk für Cyber-Sicherheit und Cyber-Resilienz (Cybersecurity and Cyber Resilience Framework) für die von der SEBI regulierten Unternehmen (REs), um die derzeitigen Cyber-Sicherheitsmaßnahmen auf dem indischen Wertpapiermarkt zu verbessern und den Mechanismus für den Umgang mit Cyber-Risiken oder -Bedrohungen zu stärken.
Das CSCRF zielt darauf ab, Standards und Richtlinien für die Stärkung der Cyber-Resilienz und die Aufrechterhaltung einer robusten Cyber-Sicherheit der SEBI REs bereitzustellen. Das CSCRF-Rahmenwerk ersetzt die bestehenden Rundschreiben/Richtlinien/Empfehlungen/Briefe der SEBI zur Cyber-Sicherheit.
Das CSCRF basiert auf Standards und deckt im Allgemeinen die fünf Ziele der Cyber-Resilienz ab, die aus dem Cyber Crisis Management Plan (CCMP) des Indian Computer Emergency Response Team (CERT-In) übernommen wurden: Antizipieren, Widerstehen, Eindämmen, Wiederherstellen und Weiterentwickeln. Diese Ziele der Cyber-Resilienz wurden mit den folgenden Cyber-Sicherheitsfunktionen verknüpft: Governance, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
Das CSCRF ist in vier Teile gegliedert:
- Teil I: Zielsetzungen und Standards
- Teil II: Richtlinien
- Teil III: Strukturierte Formate für die Compliance
- Teil IV: Anhänge und Referenzen
Das Rahmenwerk gilt für die folgenden REs und unterteilt die REs darüber hinaus in verschiedene Kategorien auf der Grundlage ihres Geschäftsumfangs, der Anzahl der Kunden, des Handelsvolumens und der verwalteten Assets und sieht für jede Kategorie spezifische Compliance-Anforderungen vor.
- Für REs, für die bereits ein Rundschreiben zur Cyber-Sicherheit und -resilienz existiert – bis zum 01. Januar 2025.
- Für andere REs, bei denen das CSCRF zum ersten Mal angewendet werden – bis zum 01. April 2025.
Compliance-Kurzbericht
Rahmenwerk für Cyber-Sicherheit und Cyber-Resilienz (CSCRF)
Untersuchen Sie Lösungen für die Einhaltung des CSCRF, indem Sie die Richtlinien für die Cyber-Sicherheitsfunktionen Governance, Identity und Protect im Rahmenwerk berücksichtigen.
So unterstützt Sie Thales bei der Einhaltung des CSCRF
Thales kann REs bei der Einhaltung des CSCRF unterstützen, indem es die Richtlinien für die Cyber-Sicherheitsfunktionen Governance, Identity und Protect in dem Rahmenwerk erfüllt.
Wir bieten Lösungen in drei Schlüsselbereichen der Cyber-Sicherheit: Anwendungssicherheit, Datensicherheit und Identitäts- und Zugriffsverwaltung.
Lösungen für die CSCRF-Compliance
Anwendungssicherheit
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktsuite umfasst eine Web Application Firewall (WAF), Schutz vor Distributed Denial of Service (DDoS) und bösartigen BOT-Angriffen, Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Datensicherheit
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselungs-Tokenisierung und Schlüsselverwaltung. Die Lösungen von Thales identifizieren, bewerten und priorisieren zudem potenzielle Risiken sowie anomales Verhalten für eine genaue Risikobewertung und überwachen Aktivitäten zur Überprüfung der Einhaltung von Vorschriften, sodass Unternehmen priorisieren können, wo sie ihre Anstrengungen konzentrieren.
Identitäts- und Zugriffsverwaltung
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und vertrauenswürdigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer rollen- und kontextbezogen mit fein abgestimmten Zugriffsrichtlinien und Multi-Faktor-Authentifizierung, um sicherzustellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
Erfüllung von CSCRF Standard Code und Richtlinien
SafeNet Authentication Service Private Cloud Edition (PCE) ist eine kostengünstige, benutzerfreundliche On-Premise-Authentifizierungsplattform, die über 200 vorgetestete Konfigurationen bietet, Lösungen von Drittanbietern unterstützt und verschiedene Token-Typen bereitstellt.
CipherTrust Data Discovery & Classification (DDC) identifiziert und klassifiziert Daten in verschiedenen Datenspeichern und verbessert den Datenschutz und die Sicherheit durch die Verwaltung von Assets in lokalen, hybriden, Cloud- und Multi-Cloud-Umgebungen.
Imperva Data Security Fabric Data Activity Monitoring (DAM) ermöglicht es REs, Risiken im Zusammenhang mit kritischen Daten zu identifizieren, indem sie die Aktivität von Datenspeichern kontinuierlich überwachen und detaillierte Prüfpfade bereitstellen.
Imperva Data Security Fabric Data Activity Monitoring (DAM) rationalisiert das Auditing über verschiedene Plattformen hinweg, einschließlich relationaler, NoSQL-, Mainframe-, Big-Data- und Data-Warehouse-Umgebungen, und unterstützt Microsoft Azure und AWS, indem es detaillierte Datenaktivitäten automatisch erfasst.
Thales Luna HSMs und High Speed Encryptors bieten REs einen kryptoagilen Ansatz zur Gewährleistung der PQC-Bereitschaft.
- Verstärken Sie Ihre kryptographischen Schlüssel mit dem quantensicheren Thales Luna HSM, das mit zusätzlichen quantenresistenten NIST-Finalisten-Algorithmen erhältlich ist.
- Quantenresistente Algorithmen (QRA) mit PQC FM mit Hash-basierter Signierung (SP800-208)
- Integriertes/Angepasstes PQC: Implementieren Sie Ihre eigene Post-Quanten-Kryptographie mit Lunas Functionality Module (FM) oder mit den unterschiedlichen FMs/Integrationen unserer Partner
- QRNG: Etablieren Sie Quantenentropie mit QRNG und dem sicheren Schlüsselspeicher von Luna HSM
- Die Thales High Speed Encryption (HSE) Netzwerkverschlüsselungslösungen bieten sichere Data in Transit, unterstützen Post-Quanten-Kryptographie (PQC) mit einer krypto-agilen, FPGA-basierten Architektur, bieten langfristigen Schutz gegen Quantenangriffe und verschlüsseln Daten an jedem Ort.
Das PQC-Starterkit ermöglicht es REs, quantensichere Lösungen in einer vertrauenswürdigen Umgebung zu testen, indem sie mit Quantinuum zusammenarbeiten, um ein Luna HSM für PQC-fertige Schlüssel einzurichten.
Die Imperva Web Application Firewall (WAF) bietet umfassende Sicherheit für Webanwendungen, indem sie Cyber-Bedrohungen erkennt und verhindert. Es blockiert Angriffe in Echtzeit und aktualisiert die Regeln täglich.
Imperva Data Security Fabric Data Risk Analytics überwacht den Datenzugriff und die Datenaktivität und sorgt für Transparenz bei allen Benutzern. Es nutzt fundierte Sicherheitsexpertise und maschinelles Lernen, um verdächtige Verhaltensweisen zu erkennen.
SafeNet Authentication Service Private Cloud Edition (PCE) ermöglicht es Unternehmen, den Zugriff auf vertrauliche Ressourcen zu beschränken und unterstützt Lösungen von Drittanbietern über SAML, RADIUS, Agenten oder APIs.
Die Imperva Web Application Firewall (WAF) bietet umfassende Sicherheit für Webanwendungen und erkennt und verhindert Cyber-Bedrohungen wie Cross-Site-Scripting und illegalen Ressourcenzugriff. Sie blockiert Angriffe in Echtzeit, mit täglichen Updates durch das Threat Research Team.
Imperva API Security bietet vollständige API-Transparenz, erkennt automatisch Endpunkte und bewertet Risiken. Es klassifiziert sensible APIs anhand von Aufrufdaten und ermöglicht so proaktive Sicherheitsmaßnahmen. Kontinuierliche Überwachung fördert schnellere, sichere Software-Releases und ist als Add-on oder als Teil des Angebots von API Security Anywhere erhältlich.
CipherTrust Transparent Encryption bietet kontinuierliche Verschlüsselung auf Dateiebene, zentralisierte Schlüsselverwaltung und Zugriffskontrolle für privilegierte Benutzer, wodurch ein unautorisierter Zugriff in physischen, virtuellen und Cloud-Umgebungen verhindert wird und eine nahtlose Implementierung gewährleistet ist.
CipherTrust Enterprise Key Management verbessert die Schlüsselverwaltung in Cloud- und Unternehmensumgebungen und bietet hohe Sicherheit und Zentralisierung für selbstentwickelte Verschlüsselungs- und Drittanbieteranwendungen mit FIPS-140-2-konformen virtuellen oder Hardware-Appliances.
SafeNet Authentication Service Private Cloud Edition (PCE) bietet einen zentralisierten, sicheren Zugriff auf Unternehmensanwendungen über verschiedene Authentifizierungsmethoden wie OTP, PKI-Credentials und Kerberos mit verschiedenen Formfaktoren.
Die Identitäts- und Zugriffsverwaltungslösungen von Thales OneWelcome bieten umfassende Sicherheitsmaßnahmen und Berichtsfunktionen für Unternehmen, die Multifaktor-Authentifizierungsgeräte für mehrere Anwendungen nutzen.
Das Modul Thales OneWelcome Consent & Preference Management ermöglicht es Finanzinstituten, die Zustimmung der Verbraucher einzuholen, den Datenzugriff zu verwalten und die B2B-Delegation auf der Grundlage von Benutzerrollen und Verantwortlichkeiten zu steuern.
CipherTrust Manager vereinfacht die Verwaltung des Lebenszyklus von Schlüsseln, einschließlich Aktivitäten wie Erzeugung, Sicherung und Wiederherstellung, Deaktivierung und Löschung. Die Vernichtungsphasen der Schlüssel ermöglichen Unternehmen die digitale Vernichtung von Daten.
Imperva API Security bietet Sicherheitsteams eine umfassende API-Transparenz, die schnellere und sicherere Software-Release-Zyklen ermöglicht und ressourcenintensive Arbeitsabläufe verhindert, wodurch sichergestellt wird, dass sie bei neuen Risiken auf dem Laufenden bleiben.
Data-at-Rest
Thales bietet mehrere Lösungen für Data-at-Rest an, die mit der nativen Verschlüsselung des Cloud-Dienstanbieters (CSP) koexistieren können.
- CipherTrust Transparent Encryption bietet kontinuierliche Verschlüsselung auf Dateiebene zum Schutz vor unberechtigtem Zugriff in physischen, virtuellen und Cloud-Umgebungen. Es verwendet starke, standardbasierte Protokolle wie AES und ECC und ist nach FIPS 140-2 Level 1 validiert.
- CipherTrust Tokenization bietet Tokenisierung, dynamische Datenmaskierung zur Anonymisierung und Deidentifizierung von Daten in der Cloud.
- CipherTrust Application Data Protection bietet formatbewahrende oder traditionelle Verschlüsselung für Anwendungen, die RESTful APIs verwenden. Alle oben genannten Lösungen können für den Schutz von Data-at-Rest in der Cloud verwendet werden.
- Der CipherTrust Manager ist die zentrale Verwaltungseinheit der CipherTrust Data Security Platform. Der CipherTrust Manager verwaltet Schlüssel über ihren gesamten Lebenszyklus einschließlich Erstellung, Rotation, Zerstörung, Import und Export, stellt rollenbasierte Zugriffskontrolle für Schlüssel und Richtlinien bereit, unterstützt zuverlässige Prüfung und Berichterstattung und bietet eine entwicklerfreundliche REST API.
Data-in-Transit
- Die Lösungen von Thales für High Speed Network Encryption (HSE)sichern Data-in-Motion auf dem Weg durch das Netzwerk zwischen Rechenzentren und Hauptsitz, Zweigstellen und Niederlassungen, zu Backup- und Disaster Recovery-Standorten, on-premises und in der Cloud.
CipherTrust Data Discovery and Classification (DDC) vereinfacht den Prozess der Identifizierung und Klassifizierung sensibler Daten in verschiedenen Datenspeichern und reduziert so Sicherheitsrisiken und ermöglicht eine bessere Entscheidungsfindung für die Cloud-Transformation und -Wiederherstellung.
Imperva API Security bietet umfassende API-Transparenz für Sicherheitsteams durch automatische Erkennung von Endpunkten und Ermittlung von Risiken im Zusammenhang mit sensiblen Daten. Sie verbessert den Schutz vor den OWASP API Security Top 10 Risks for REs und ermöglicht es Entwicklern, Microservices und APIs in verschiedenen Umgebungen zu erstellen.
CipherTrust Secrets Management (CSM) automatisiert den Zugriff auf Secrets über DevOps-Tools und Cloud-Workloads hinweg, wird von Akeyless Vault unterstützt und lässt sich in Drittanbieteranwendungen wie GitHub und Kubernetes integrieren.
Thales High Speed Encryptors (HSE) bieten netzwerkunabhängige Data-in-Motion-Verschlüsselung und schützen Daten, Video, Sprache und Metadaten vor Abhören, Überwachung und Abfangen. Sie sind als physische und virtuelle Appliances erhältlich und unterstützen eine große Bandbreite an Netzwerkgeschwindigkeiten.
Rahmenwerk für die Einführung von Cloud-Diensten
Die CipherTrust Data Security Platform bietet sicheren Cloud-Speicher für REs, indem sie fortschrittliche Verschlüsselung und zentrales Schlüsselmanagement einsetzt und so die Datenmobilität über mehrere Cloud-Anbieter hinweg gewährleistet.
Der CipherTrust Cloud Key Manager (CCKM) unterstützt BYOK-Anwendungsfälle (Bring Your Own Key) über mehrere Cloud-Infrastrukturen und SaaS-Anwendungen hinweg. Er bietet robusten Schutz für Unternehmensdaten und ermöglicht die Einhaltung von Vorschriften sowie die Kontrolle über die Lebensdauer kryptographischer Schlüssel.
CipherTrust Transparent Encryption bietet transparente Verschlüsselung und Zugriffskontrolle für Daten, die sich in Amazon S3, Azure Files u. v. m. befinden.
CipherTrust Tokenization tokenisiert die Daten, bevor sie in verschleierter Form in die Cloud migriert werden, um die Daten vor Diebstahl zu schützen.
Thales Luna Hardware-Sicherheitsmodule (HSM) bieten Unternehmen dedizierte Hardware für die Kontrolle kryptographischer Schlüssel, die eine manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselgenerierung und Verschlüsselung bietet.
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.