संदर्भ सं. : आईआरडीएआई/आईटी/ सीआईआर/एमआईएससी/301/12/2020

Ref. No: IRDAI/IT/CIR/MISC/301/12/2020                    दिनांक/ Date: 30-12-2020

परिपत्र

CIRCULAR

प्रति / To,

सभी बीमाकर्ता / All insurers,

संदर्भ : बीमाकर्ताओं हेतु सूचना और साइबर सुरक्षा संबंधी दिशानिर्देशों पर संशोधन दिनांकित 07.04.2017

Re:  Amendments to the Guidelines on Information and Cyber Security for Insurers dated 07.04.2017

आईआरडीएआई ने दिनांक 07.04.2017 के अपने संदर्भ सं.आईआरडीए/आईटी/जीडीएल/विविध 082/04/2017 के तहत साइबर जोखिमों को कम करने हेतु उपयुक्त तंत्र के कार्यान्वयन के उद्देश्य से बीमा क्षेत्र के लिए व्यापक साइबर सुरक्षा ढाँचा युक्त सूचना और साइबर सुरक्षा दिशानिर्देश जारी किए थे।

IRDAI vide its Ref. No. IRDA/IT/GDL/MISC/ 082/04/2017 dated 07-4-2017 had issued Information and Cyber Security Guidelines containing comprehensive cyber security framework for Insurance sector for the purpose of implementing appropriate mechanism to mitigate cyber risks

बीमाकर्ताओं द्वारा साइबर सुरक्षा हेतु अनुपालन प्रक्रिया की समीक्षा और उसके बाद उनकी प्रतिक्रिया के आधार पर, दिशा-निर्देशों की निम्नलिखित धाराओं में निम्नानुसार संशोधन किया जाता है:

Based on the review of the compliance process for cyber security by insurers and their subsequent feedback, the following sections of guidelines are amended as below.

14. प्लेटफार्म/आधारभूत संरचना सुरक्षा/ PLATFORM/ INFRASTRUCTURE SECURITY.

दिशानिर्देश की कार्रवाई बिंदु 14.1 के अनुसार, बीमाकर्ताओं द्वारा आवधिक आधार पर संपूर्ण आईसीटी आधारभूत संरचना ढांचे पर असुरक्षितता निर्धारण और व्यापन परीक्षण (वीएपीटी) किया जाना चाहिए। साथ ही, जब भी विन्यास/अनुप्रयोगों में परिवर्तन होते हैं तो सॉफ्टवेयर अनुप्रयोगों पर वीए और पीटी किया जाना चाहिए।

As per the action point 14.1 of the Guidelines, the Vulnerability Assessment and Penetration Testing (VAPT) on the entire ICT infrastructure should be conducted by the insurers on a periodic basis. Also, VA & PT has to be conducted on the software applications whenever there are changes in the configurations / applications.

सुरक्षा मूल्यांकन प्रक्रिया को सुव्यवस्थित करने के लिए, धारा 14 में निम्नलिखित उप धाराओं को जोड़ा जाता है।

In order to streamline the security assessment process, the following sub sections are added to Section 14.

14.3  वीए और पीटी करने की प्रक्रिया/Procedure for conducting VA&PT

(क) प्रत्येक वित्त वर्ष में संपूर्ण आईसीटी आधारभूत संरचना के घटकों का वार्षिक आधार पर वीए और पीटी किया जाना चाहिए।

(a)  VA&PT of the entire ICT infrastructure components should be conducted annually in every financial year.

(ख) प्रत्येक वीए और पीटी में दो परीक्षण चक्र होंगे जिसमें पहला कमियों की पहचान और ज्ञात असुरक्षितता की जांच के लिए वीए और पीटी की शरुआत में, और फिर चिह्नित असुरक्षितता को दूर करने के बाद पुनर्परीक्षण.

(b)  Every VA&PT shall have two test cycles one at the beginning of VA&PT for identification of gaps and to check for known vulnerabilities, and a retesting post closure of vulnerabilities identified.

(ग)  प्रत्येक वित्त वर्ष में महत्वपूर्ण अनुप्रयोगों का वार्षिक आधार पर वीए और पीटी आयोजित किया जाना चाहिए। शेष अनुप्रयोगों को दो साल के चक्र में एक बार आयोजित किया जाना चाहिए।

(c)  VA&PT of critical applications should be conducted annually in every financial year. The remaining applications should be conducted once in a two-year cycle.

(घ) इंटरनेट के माध्यम से चल रहे सभी अनुप्रयोगों और आधारभूत संरचना घटकों का वीए और पीटी छह महीने में कम से कम एक बार आयोजित किया जाना चाहिए।

(d)  VA&PT of all internet facing applications and Infrastructure components should be conducted at least once in a six months.

(ङ) इंटरनेट के माध्यम से चल रहे अनुप्रयोगों अथवा किसी भी आधारभूत संरचना घटक में जब भी कोई परिवर्तन किया जाता है, चाहे परिवर्तन की महत्ता कुछ भी हो, तब सुरक्षा परीक्षण की आवश्यकता का मूल्यांकन किया जाना चाहिए.

(e)  An assessment of the need for security testing should be conducted whenever any change is made to any internet facing applications or to any infrastructure component irrespective of the magnitude of change.

(च) सभी अनुप्रयोगों और संबंधित आधारभूत संरचना के घटकों के मामले में अनिवार्य सुरक्षा परीक्षण किया जाना चाहिए ताकि आरंभ में एक बार फिर से ज्ञात असुरक्षितता की जाँच हो सके और तब भी,  जब भी इंटरनेट के माध्यम से चल रहे अनुप्रयोगों और संबंधित आधारभूत संरचना के घटकों में कोई बड़े परिवर्तन होते हो। तथापि,  इंटरनेट का उपयोग करने वाले सभी अनुप्रयोगों का आंतरिक अथवा बाह्य वीए के माध्यम से सभी बड़े और छोटे परिवर्तनों हेतु परीक्षण किया जाना चाहिए, और पाई गई किसी भी कमियों को दूर किया जाना चाहिए।

(f)   Mandatory security testing should be conducted in case of all applications and related infrastructure components so as to check for known vulnerabilities once initially and again whenever major changes in internet facing applications and related infrastructure components take place. However, all Internet facing applications should be tested for all major and minor changes either through internal or external VA, and any gap found must be closed.

(छ) उपर्युक्त सुरक्षा परीक्षण के चक्र को वार्षिक एश्योरेंस लेखा परीक्षा के साथ जोड़ा जाना चाहिए.

(g)  The Cycle of the above security testings should be aligned with Annual assurance audit.

14.4  वीए और पीटी की कमियों को दूर करना / Closure of VA&PT gaps

(क) महत्वपूर्ण अनुप्रयोगों में चिह्नित कमियों को एक माह के भीतर दूर किया जाना चाहिए। इसमें पुष्टिकरण परीक्षण भी शामिल है ताकि यह सुनिश्चित किया जा सके कि चिह्नित कमियों को सफलतापूर्वक दूर किया गया हैं।

(a)  Closure of identified gaps in critical applications should be completed within one month. This includes confirmatory testing to ensure that the identified gaps have been successfully closed.

(ख) इसी तरह, अन्य बचे हुए अनुप्रयोगों में पहचान की गई कमियों को दो माह के भीतर दूर किया जाना चाहिए। ऐसे चिह्नित कमियों को दूर करने हेतु पुष्टिकरण परीक्षण भी किया जाना चाहिए।

(b)  Similarly, closure of identified gaps in other remaining applications should be completed within two months. Confirmatory testing should also be done to ensure closure of such identified gaps.

(ग) इंटरनेट के माध्यम से चल रही सभी अनुप्रयोगों और आधारभूत संरचना के घटकों में चिह्नित कमियों को दूर करने के लिए, बाह्य ब्लैक बॉक्स व्यापन परीक्षण एक महीने के भीतर किया जाना चाहिए, जिसमें पुष्टिकरण परीक्षण होने चाहिए ताकि चिह्नित कमियों को दूर करने के लिए पुष्टिकरण सुनिश्चित किया जा सके।

(c) For closure of identified gaps in all internet facing applications and Infrastructure components, External Black Box Penetration Testing should be done within one month, followed by confirmatory testing to ensure closure of such identified gaps.

(घ) आंतरिक असुरक्षितता स्कैन के दौरान संपूर्ण आईसीटी आधारभूत संरचना के घटकों में चिह्नित कमियों को बिना समय गँवाएं तत्काल दूर करना चाहिए।

(d) Closure of identified gaps in the entire ICT infrastructure components during internal vulnerability scan should be done immediately and without any loss of time.

(ङ) बीमाकर्ता अपने जोखिम मूल्यांकन के आधार पर वीए और पीटी कमियों को वर्गीकृत करेंगे और उच्च जोखिम वाले मुद्दों को प्राथमिकता दी जानी चाहिए। यदि निर्धारित समयसीमा के भीतर किसी भी उच्च जोखिम के मामले को दूर नहीं किया जाता है, तो मामले को बोर्ड के जोखिम प्रबंधन समिति को विचार-विमर्श और मार्गदर्शन के लिए रिपोर्ट किया जाना चाहिए।

(e)  Insurers should classify the VA&PT gaps based on their risk assessment, Priority should be given to the high risk issues. In case any high risk issue is not resolved within the prescribed timeline. The matter should be reported to the Risk Management Committee of the Board for deliberation and guidance.

23. सूचना प्रणाली लेखा परीक्षा/  INFORMATION SYSTEM AUDIT

धारा 23.3 की एश्योरेंस लेखा परीक्षा कराने की आवृत्ति में निम्न रूप से संशोधन किया गया है :

Section 23.3 Frequency of Conducting Assurance Audit is amended as follows:

एश्योरेंस लेखा परीक्षा प्रत्येक वित्तीय वर्ष के लिए एक योग्य बाह्य सिस्टम लेखा परीक्षक के माध्यम से किया जाएगा जिसके पास सूचीबद्ध सीआईएसए/डीआईएसए/सर्ट-इन लेखापरीक्षकों जैसे प्रमाणन हो। बीमाकर्ता वित्त वर्ष की उस विशिष्ट तिमाही के बारे में सूचित करेंगे जिसमें वे अपने वार्षिक व्यापक एश्योरेंस लेखापरीक्षा शुरू करेंगे और इसे पूरा करेंगे। तिमाही का निर्धारण होने के बाद, प्रत्येक वित्तीय वर्ष में उस तिमाही के दौरान वार्षिक साइबर सुरक्षा की लेखापरीक्षा की जाना चाहिए।

Assurance Audit shall be carried out annually for every financial year through a qualified external systems Auditor holding certifications like CISA/ DISA/Cert-in empanelled Auditors. Insurers shall indicate the specific quarter of the FY in which they would commence and complete their annual comprehensive assurance audit. Once the quarter is decided, the annual cyber security audit should be conducted during that quarter in every financial year.

धारा 23 में निम्नलिखित उप-धारा नई रूप से जोड़ी गई है:

The following Sub-section is newly added to Section23:

23.7 लेखापरीक्षण का कमियों को बंद करने की प्रक्रिया

Procedure for closure of audit gaps

क) रिपोर्ट किए गए लेखा परीक्षा कमियों को बंद करना समग्र सेवा वितरण, सुरक्षा, पीआईआई डेटा की गोपनीयता सुनिश्चित करने, कार्यान्वयन के दायरे/कवरेज आदि पर कमियों की गंभीरता और इसके प्रभाव पर निर्भर होगा।

(a)  Closure of reported audit gaps should depend on the severity of the gaps and their impact on the overall service delivery, security, ensuring confidentiality of PII data, scope/coverage of implementation etc.

(ख) बीमाकर्ताओं को कमियों की जटिलता के आधार पर मामलों के गुण-दोषों का मूल्यांकन करना चाहिए और यथाशीघ्र इसे दूर करने की समयसीमा की पहचान करनी चाहिए, इसे आईआरडीएआई को प्रस्तुत किए जाने वाले लेखा परीक्षा सारांश के एक भाग के रूप में ही समझना चाहिए ।

(b)  Insurers should evaluate on the merits of issues based on the complexity of gaps and identify closure timelines as soon as possible, commit the same as a part of audit summary to be submitted to IRDAI.

(ग) लेखा परीक्षा के दौरान पाई गई प्रमुख कमियों/असाधारणता को विशेष नोट में उजागर किया जाना चाहिए और सूचना सुरक्षा समिति (आईएससी) और आईटी विभाग को तत्काल इसकी सूचना दी जानी चाहिए। लेखा परीक्षकों द्वारा बताई गई छोटी-मोटी अनियमितताओं को तत्काल सुधारा जाना चाहिए।

(c)  The major deficiencies/aberrations noticed during audit should be highlighted in a special note and given immediately to the Information Security Committee(ISC) and IT Department. Minor irregularities pointed out by the auditors are to be rectified immediately.

(घ)  जोखिम एक्सपोज़र के स्तर को कम करने के लिए अंतरिम में लागू किए गए नियंत्रणों सहित रिपोर्ट की गई कमियों के जोखिम/प्रभाव के आधार पर लेखा परीक्षा की कमियों को दूर करने के लिए समय सीमा, सूचना सुरक्षा समिति (आईएससी) के माध्यम से बोर्ड की जोखिम प्रबंधन समिति के समक्ष रखी जाएगी।

(d)  Timelines for closure of audit gaps based on risk/impact of the reported gaps including the controls implemented in the interim to reduce the level of risk exposure will be put-up to Risk Management Committee of the Board through Information Security Committee (ISC).

(ङ) लेखा परीक्षा कमियों को दूर करने हेतु बाहरी समय सीमा दो महीने की है। तथापि, प्राथमिकता कमियों को दूर करने के लिए प्रत्येक कमियों से जुड़े जोखिमों के आधार पर तय की जानी चाहिए ।

(e)  The outer time limit for closure of audit gaps is two months. However, priority for closure of gaps should be decided based on risks associated with each gap.

(च) बीमाकर्ता को वार्षिक बीमा लेखा परीक्षा के पूर्ण होने के दो महीने के भीतर आईआरडीएआई को चिह्नित लेखा परीक्षा कमियॉं को दूर करने संबंधी रिपोर्ट प्रस्तुत करनी होगी।

(f) Insurer should submit the closure report to IRDAI on the identified audit gaps within two months of completion of Annual Assurance Audit.

(छ) बीमाकर्ता को लेखा परीक्षा की कमियों को दूर करने के लिए बीमा लेखा परीक्षा के पूर्ण होने के इंतजार करने की आवश्यकता नहीं है। जैसे ही लेखा परीक्षा के दौरान कोई कमी पाई जाती है, तो उसे दूर करने का प्रयास किया जाना चाहिए।

(g)  Insurer need not wait completion of assurance audit to close the audit gaps. As soon as any gap is noticed during the course of the audit, effort should be made to close the gaps.

सदस्य (जीवन) / Member (Life)