Quadro di riferimento per la sicurezza e la resilienza informatica (CSCRF) della SEBI
Il 20 agosto 2024, il Securities and Exchange Board of India (SEBI) ha pubblicato il Quadro di riferimento per la sicurezza e la resilienza informatica (CSCRF) alle entità regolamentate dal SEBI (RE) per migliorare le attuali misure di sicurezza informatica nel mercato indiano dei titoli e rafforzare il meccanismo di gestione dei rischi o delle minacce informatiche.
Il CSCRF mira a fornire standard e linee guida per il rafforzamento della resilienza informatica e il mantenimento di una solida sicurezza informatica delle RE dal SEBI. Il CSCRF sostituisce le circolari / linee guida / i consigli / le lettere del SEBI sulla sicurezza informatica.
Il CSCRF è basato su standard e copre ampiamente i cinque obiettivi di resilienza informatica adottati dal Cyber Crisis Management Plan (CCMP) dell'Indian Computer Emergency Response Team (CERT-In): anticipare, resistere, contenere, recuperare ed evolvere. Questi obiettivi di resilienza informatica sono stati collegati alle seguenti funzioni di sicurezza informatica: governance, identificazione, protezione, rilevamento, risposta e ripristino
Il CSCRF è strutturato in quattro parti:
- Parte I: Obiettivi e standard
- Parte II: Linee guida
- Parte III: Formati strutturati per la conformità
- Parte IV: Allegati e riferimenti
Il quadro normativo si applica ai seguenti RE e li suddivide in diverse categorie in base alla loro dimensione operativa, al numero di clienti, al volume di scambi e alle attività gestite, e prevede requisiti di conformità specifici per ciascuna categoria.
- Per le RE in cui esiste già una circolare sulla sicurezza e la resilienza informatica (entro il 1° gennaio 2025).
- Per le altre RE in cui il CSCRF viene emesso per la prima volta (entro il 1° aprile 2025).
Panoramica sulla conformità
Quadro di riferimento per la sicurezza e la resilienza informatica (CSCRF)
Esplora le soluzioni di conformità al CSCRF affrontando le linee guida funzionali sulla sicurezza informatica di governance, identità e protezione nell'ambito del quadro di riferimento.
Come Thales contribuisce alla conformità al CSCRF
Thales può contribuire alla conformità al CSCRF da parte delle RE affrontando le linee guida funzionali sulla sicurezza informatica di governance, identità e protezione nell'ambito del quadro di riferimento.
Forniamo soluzioni in tre aree chiave della sicurezza informatica: sicurezza delle applicazioni, sicurezza dei dati e gestione delle identità e degli accessi.
Soluzioni di conformità al CSCRF
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro attacchi Distributed Denial of Service (DDoS) e BOT dannosi, sicurezza per API, una rete di distribuzione dei contenuti (CDN) sicura e l'autoprotezione dell'applicazione durante l'esecuzione (RASP).
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
Affrontare il codice standard e le linee guida del CSCRF
SafeNet Authentication Service Private Cloud Edition (PCE) è una piattaforma di autenticazione on-premise che è economica e facile da usare e che offre oltre 200 configurazioni pre-testate, supporta soluzioni di terze parti e offre diversi tipi di token.
CipherTrust Data Discovery & Classification (DDC) identifica e classifica i dati in diversi archivi di dati, migliorandone la privacy e la sicurezza attraverso la gestione delle risorse on-premise, in ambienti ibridi, cloud e multi-cloud.
Imperva Data Security Fabric Data Activity Monitoring (DAM) consente alle RE di identificare i rischi legati ai dati critici monitorando continuamente l'attività del data store, fornendo audit trail dettagliati.
Imperva Data Security Fabric Data Activity Monitoring (DAM) semplifica l'auditing su varie piattaforme, tra cui quelle relazionali, NoSQL, mainframe, big data e data warehouse, e supporta Microsoft Azure e AWS, catturando automaticamente attività dettagliate sui dati.
Gli HSM Luna e i crittografi ad alta velocità di Thales forniscono un approccio cripto-agile per garantire la prontezza della PQC alle RE.
- Fortifica le chiavi di crittografia con il sistema Quantum-safe HSM Luna di Thales che è disponibile in commercio con l'aggiunta degli algoritmi finalisti NIST "quantum-resistant".
- Algoritmi "quantum-resistant" (QRA) con FM PQC con firma basata su hash (SP800-208)
- PQC integrata / personalizzata: implementare la crittografia post-quantistica utilizzando il modulo di funzionalità (FM) Luna o con vari FM / varie integrazioni partner
- QRNG: iniettare l'entropia quantistica con QRNG e la memorizzazione sicura delle chiavi dell'HSM Luna
- High Speed Encryption (HSE), le soluzioni di crittografia di rete di Thales, offrono la sicurezza dei dati in transito, supportano la crittografia post-quantistica (PQC) con un'architettura cripto-agile basata su FPGA, fornendo una protezione a lungo termine contro gli attacchi quantistici e criptando ovunque.
Lo starter kit PQC consente alle RE di testare in sicurezza le soluzioni quantum-safe in un ambiente fidato, collaborando con Quantinuum per configurare un HSM Luna per le chiavi pronte per la PQC.
Imperva Web Application Firewall (WAF) offre una sicurezza completa per le applicazioni web, rilevando e prevenendo le minacce informatiche. Blocca gli attacchi in tempo reale e aggiorna le regole quotidianamente.
Imperva Data Security Fabric Data Risk Analytics monitora l'accesso e l'attività dei dati, fornendo visibilità a tutti gli utenti. Utilizza una profonda esperienza di sicurezza del dominio e l'apprendimento automatico per identificare i comportamenti sospetti.
SafeNet Authentication Service Private Cloud Edition (PCE) consente alle organizzazioni di limitare l'accesso a risorse riservate e supporta soluzioni di terze parti tramite SAML, RADIUS, agenti o API.
Imperva Web Application Firewall (WAF) offre una sicurezza completa delle applicazioni web, rilevando e prevenendo minacce informatiche come il cross-site scripting e l'accesso illegale alle risorse. Blocca gli attacchi in tempo reale, con aggiornamenti quotidiani da parte del team di ricerca sulle minacce.
Imperva API Security offre una visibilità completa delle API, scoprendo automaticamente gli endpoint e valutando i rischi. Classifica le API sensibili utilizzando i dati delle chiamate, consentendo misure di sicurezza proattive. Il monitoraggio continuo favorisce rilasci di software più rapidi e sicuri, disponibile come componente aggiuntiva o come parte dell'offerta API Security Anywhere.
CipherTrust Transparent Encryption offre la crittografia continua a livello di file, la gestione centralizzata delle chiavi e il controllo dell'accesso degli utenti privilegiati, mettendo in sicurezza l'accesso non autorizzato in ambienti fisici, virtuali e cloud, assicurando un'implementazione senza problemi.
CipherTrust Enterprise Key Management migliora la gestione delle chiavi in ambienti cloud e enterprise, fornendo un'elevata sicurezza e centralizzazione per la crittografia interna e per le applicazioni di terze parti utilizzando strumenti virtuali o hardware conformi a FIPS 140-2.
SafeNet Authentication Service Private Cloud Edition (PCE) fornisce un accesso centralizzato e sicuro alle applicazioni enterprise attraverso vari metodi di autenticazione come OTP, credenziali PKI, Kerberos e vari fattori di forma.
Le soluzioni di gestione dell'identità e degli accessi OneWelcome di Thales offrono misure di sicurezza complete e funzionalità di reporting per le organizzazioni, utilizzando dispositivi di autenticazione a più fattori per diverse applicazioni.
Il modulo Consent & Preference Management OneWelcome di Thales consente alle istituzioni finanziarie di raccogliere il consenso dei consumatori, gestire l'accesso ai dati e gestire la delega B2B in base ai ruoli e alle responsabilità degli utenti.
CipherTrust Manager semplifica la gestione del ciclo di vita delle chiavi, comprese attività come la generazione, il backup e il ripristino, la disattivazione e l'eliminazione. Le sue fasi di distruzione della chiave consentono alle organizzazioni di ottenere la distruzione digitale dei dati.
Imperva API Security offre ai team che si occupano di sicurezza una visibilità completa delle API, consentendo cicli di rilascio del software più rapidi e sicuri e prevenendo flussi di lavoro che richiedono molte risorse, garantendo così di rimanere aggiornati sui nuovi rischi.
Dati inattivi
Thales offre diverse soluzioni per i dati inattivi che possono coesistere con la crittografia nativa fornita dal provider di servizi cloud (CSP).
- CipherTrust Transparent Encryption offre una crittografia continua a livello di file per proteggere da accessi non autorizzati in ambienti fisici, virtuali e cloud. Utilizza protocolli forti e basati su standard come AES ed ECC ed è convalidato da FIPS 140-2 di livello 1.
- CipherTrust Tokenization fornisce tokenizzazione, mascheramento dinamico dei dati per l'anonimizzazione e la deidentificazione dei dati nel cloud.
- CipherTrust Application Data Protection fornisce una crittografia tradizionale o con conservazione del formato alle applicazioni che utilizzano API RESTful. Tutte le soluzioni di cui sopra possono essere utilizzate per fornire protezione ai dati inattivi sul cloud.
- CipherTrust Manager è il punto di gestione centrale della CipherTrust Data Security Platform. Gestisce le attività del ciclo di vita delle chiavi, tra cui la generazione, la rotazione, la distruzione, l'importazione e l'esportazione, fornisce un controllo dell'accesso alle chiavi e ai criteri basato sui ruoli, supporta una solida attività di auditing e reporting e offre un'API REST di facile utilizzo per gli sviluppatori.
Dati in transito
- Le soluzioni di crittografia di rete ad alta velocità (HSE) di Thales proteggono i dati in movimento mentre si spostano nella rete tra data center, sedi centrali, filiali e succursali, siti di backup e disaster recovery, on-premise o sul cloud.
CipherTrust Data Discovery and Classification (DDC) semplifica il processo di identificazione e classificazione dei dati sensibili nei vari data store, riducendo così i rischi per la sicurezza e consentendo un migliore processo decisionale per la trasformazione e la bonifica del cloud.
Imperva API Security offre una visibilità completa delle API ai team di sicurezza, rilevando automaticamente gli endpoint e determinando i rischi legati ai dati sensibili. Migliora la protezione contro i 10 rischi principali di OWASP API Security per le RE, consentendo agli sviluppatori di costruire microservizi e API in ambienti diversi.
CipherTrust Secrets Management (CSM) automatizza l'accesso ai segreti tra gli strumenti DevOps e i carichi di lavoro cloud, grazie ad Akeyless Vault, e si integra con applicazioni di terze parti come GitHub e Kubernetes.
Gli High Speed Encryptors (HSE) di Thales offrono una crittografia dei dati in movimento indipendente dalla rete, proteggendo dati, video, voce e metadati da intercettazioni e sorveglianza. Disponibili come dispositivi fisici e virtuali, supportano un'ampia gamma di velocità di rete.
Quadro di riferimento per l'adozione dei servizi cloud
CipherTrust Data Security Platform fornisce un cloud storage sicuro per le RE, utilizzando una crittografia avanzata e una gestione centralizzata delle chiavi, garantendo la mobilità dei dati su più fornitori di cloud.
CipherTrust Cloud Key Manager (CCKM) supporta i casi d'uso "Bring Your Own Key" (BYOK) su più infrastrutture cloud e applicazioni SaaS. Fornisce solide protezioni per i dati aziendali, consentendo la conformità e il controllo dei cicli di vita delle chiavi di crittografia.
CipherTrust Transparent Encryption fornisce una crittografia trasparente e un controllo degli accessi per i dati che risiedono in Amazon S3, Azure Files e altro ancora.
CipherTrust Tokenization tokenizza i dati prima che vengano migrati sul cloud in forma offuscata per proteggere i dati da qualsiasi violazione.
Gli Hardware Security Module (HSM) Luna di Thales forniscono alle organizzazioni un hardware dedicato al controllo delle chiavi crittografiche, offrendo un ambiente antimanomissioni per l'elaborazione crittografica sicura, la generazione di chiavi e la crittografia.
Risorse correlate
Panoramica sulla conformità
Affrontare i requisiti del quadro di riferimento per la sicurezza e la resilienza informatica (CSCRF) di SEBI
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.