Professional Documents
Culture Documents
Rules Procedures New2018
Rules Procedures New2018
-33004/99
vlk/kj.k
EXTRAORDINARY
Hkkx II—[k.M 3—mi&[k.M (ii)
PART II—Section 3—Sub-section (ii)
izkf/dkj ls izdkf'kr
PUBLISHED BY AUTHORITY
la- 2017] ubZ fnYyh] 'kqØokj] twu 1] 2018@T;s"B 11] 1940
No. 2017] NEW DELHI, FRIDAY, JUNE 1, 2018/JYAISTHA 11, 1940
इलेॉिनस और सूचना
ौोिगक मंालय
अिधसूचना
का.
का.आ. 2235(अ).— क ीय सरकार सूचना
ौोिगक
2235(अ).— अिधिनयम, 2000 (2000 का 21) क धारा 70 के साथ पठत धारा
87 क उप-धारा (2) के खंड (यख) ारा
द शिय का
योग करते ए इसके ारा िनिलिखत िनयम बनाती है, अथा$त् .—
1. संित नाम और ारंभ - (1) इन िनयम का संि()त नाम सूचना
ौोिगक (संरि(त
णाली के िलए सूचना सुर(ा
था और
(क) "अिधिनयम" से सूचना
ौोिगक अिधिनयम, 2000 (2000 का 21) अिभ
ेत है;
(ख) "मु:य सूचना सुर(ा अिधकारी" से अिभ
ेत है, वर<
बंधन के अिभिहत कम$चारी जो संगठन के
बंध िनदेशक /
काय$पालक अिधकारी / सिचव के संगठन काय$रत ह और सूचना सुर(ा और संबंिधत मु@ का Aान रखते ह, सूचना सुर(ा
नीितय के िनयोजन, िवकास, रखरखाव, पुनBवलोकन और काया$8वयन सिहत साइबर सुर(ा
यास और पहल के िलए
िजCमेदार िजCमेदार ह;
(ग) "िववेिचत सूचना अवसंरचना" से अिभ
ेत है वह अिधिनयम क धारा 70 क उप-धारा (1) के िववरण म िनDदE मह4वपूण$
सूचना अवसंरचना है;
(घ) "साइबर संकट
बंधन योजना" तीFता से पहचान, सूचना आदान-
दान, तीF
4यु4तर और मह4वपूण$
,-याG को
भािवत करने वाले दुभा$वनापूण$ साइबर से संबंिधत घटनाG को कम करने और ठीक करने क उपचारा4मक कार$वाई के िलए
3086 GI/2018 (1)
2 THE GAZETTE OF INDIA : EXTRAORDINARY [PART II—SEC. 3(ii)]
एक समि8वत, ब-िवषयक और Kापक आधारत दृिEकोण के िलए साइबर संबंिधत घटनाG से िनपटने के िलए एक ढांचे क
Mपरेखा तैयार करता है;
(ड) "साइबर घटना" से अिभ
ाय ,कसी वाNतिवक या सं,दOध
ितकू ल घटना से है जो ,कसी अपराध या उPलंघन का कारण
बनती है या बन सकती है, इलेRSॉिनक सूचना, तं/, सेवाG या संजाल क गोपनीयता, अखंडता, या उपलUधता को कम करके
साव$जिनक और
ाइवेट (े/ म मह4वपूण$ कायV और सेवाG को नुकसान पँचाती हो या पँचा सकती है िजसके परणामNवMप
अनिधकृत पंच, सेवा क मनाई या Kवधान, ,कसी कं )यूटर संसाधन का अनिधकृत उपयोग, डाटा या सूचना म अनिधकृत
परवत$न होता है; या जो साव$जिनक NवाNXय या सुर(ा के िलए खतरा हो, साव$जिनक िवYास को कमजोर करती हो, राZीय
अथ$KवNथा पर नकारा4मक
भाव डालती हो, या राZ क सुर(ा िNथित को कम करती हो;
(च) "सूचना सुर(ा
बंधन योजना" से अिभ
ेत है नीितय,
,-याG और काय$
णािलय का एक समु[य जो ,क सूचना सुर(ा
को Nथािपत करता है, काया$ि8वत करता है, संचािलत करता है, िनगरानी करता है, समी(ा करता है, रखरखाव करता है और
लगातार सुधार करता है और पया$\ एवं उपयु सुर(ा िनयं/ण के िवकास, रखरखाव, ,-या8वयन और समी(ा से जोिखम को
कम करता है;
सुर(ा परचालन सिमित" का अिभ
ाय है एक ऐसी सिमित िजसम संगठन के उ[
बंधन अिधकारी शािमल ह, जो
(छ) "सूचना
संरि(त
णाली क साइबर सुर(ा क िNथित को लगातार सुधार और मजबूत करने के िलए िजCमेदार हो और दुभा$वनापूण$
साइबर घटनाG को कम करने और उ8ह पुनज]िवत करने के िलए उपचारा4मक कायV क योजना बनाती हो, उनका िवकास
(ज) "सूचना
ौोिगक सुर(ा सेवा Nतर करार" से अिभ
ेत है वह सेवा
दाताG और "संरि(त
णाली" से संबंिधत सूचना को
संरि(त करने के िलए "संरि(त
णाली" से संबंिधत अिधकारय के बीच िविधक Mप से मा8यता
ा\ सेवा Nतर करार ;
(झ) "राZीय िववेिचत सूचना अवसंरचना संर(ण क " से अिभ
ेत है वह अिधिनयम क धारा 70क क उप-धारा (1) के तहत
Nथािपत अिभकरण है;
(ञ) "संगठन" से अिभ
ेत है-
(i) भारत सरकार के मं/ालय या िवभाग, रा^य सरकार और क शािसत
देश;
(ii) क सरकार, रा^य सरकार और क शािसत
देश क कोई संNथा;
(ट) संरि(त
णाली" से अिभ
ेत है ,क वह कोई भी संगठन का कोई भी कं )यूटर, कं )यूटर
णाली या कं )यूटर संजाल, जो ,क
"
अिधिनयम क धारा 70 के अधीन समुिचत सरकार ारा राजप/ म अिधसूिचत ,कया गया हो;
(ठ) "सेवा
दाता" से अिभ
ेत है
ािधकृ त _यिEक (_यि`ट को), सरकारी संगठन, पिUलक सेRटर क इकाइयां (पीएसयू),
ाइवेट
अिभकरण,
ाइवेट कं पनी , भागीदार फम$ या कोई अ8य िनकाय या अिभकरण ,क "संरि(त
णाली" के िनबा$ध और िनरं तर
(1) (क) "संरि(त
णाली" रखने वाला संगठन, संगठन के मु:य काय$पालक अिधकारी /
बंध िनदेशक / सिचव के अgय(ता म एक
सूचना सुर(ा परचालन सिमित का गठन करे गा।
¹Hkkx IIµ[k.M 3(ii)º Hkkjr dk jkti=k % vlk/kj.k 3
(2) सूचना सुर(ा परचालन सिमित (आईएसएससी) िन भूिमकाG और उरदािय4व के साथ शीष$ िनकाय होगा: -
(क) " संरि(त
णाली" क सभी सूचना सुर(ा नीितयां सूचना सुर(ा परचालन सिमित ारा अनुमो,दत हगी।
(ख) "संरि(त
णाली" को
भािवत करने वाले संजाल िव8यास म मह4वपूण$ परवत$न को सूचना सुर(ा परचालन सिमित
ारा अनुमो,दत ,कया जाएगा।
(ग) "संरि(त
णाली" के अनु
योग म
4येक मह4वपूण$ परवत$न को सूचना सुर(ा परचालन सिमित ारा अनुमो,दत ,कया
जाएगा।
(घ) सूचना सुर(ा परचालन सिमित के साथ "संरि(त
णाली" से संबंिधत साइबर घटना(घटनाएं) के समयबh संचार के िलए
एक तं/ Nथािपत ,कया जाएगा।
(ड़) "संरि(त णाली" के सभी सूचना सुर(ा लेखापरी(ाG और अनुपालन के परणाम सूचना सुर(ा परचालन सिमित के साथ
(3) " संरि(त
णाली" रखने वाला संगठन अधोिलिखत काय$ करेगा:
(क) एक अिधकारी को मु:य सूचना सुर(ा Mप म नामीिनDद`ट करेगा िजसक भूिमकाएं और
अिधकारी (सीआईएसओ) के
उरदािय4व एनसीआईआईपीसी ारा जारी नवीनतम "िववेिचत सूचना अवसंरचना के संर(ण के िलए ,दशािनदjश" और "भारत
म मह4वपूण$ (े/ के मु:य सूचना सुर(ा अिधकारय (सीआईएसओस) क भूिमकाएं और उरदािय4व " के अनुसार हगी;
(ख) राZीय मह4वपूण$ सूचना अवसंरचना संर(ण क ारा जारी ,कए गए “िववेिचत सूचना अवसंरचना के संर(ण के िलए
,दशािनदjश” या उोग ारा Nवीकृ त मानक जो ,क उ राZीय मह4वपूण$ सूचना अवसंरचना संर(ण क ारा िविधवत सCयक
Mप से ,कये गए ह, के अनुसार "संरि(त
णाली" क सूचना सुर(ा
बंधन
णाली (आईएसएमएस) क योजना बनायेगा, उसको
Nथािपत करे गा, काया$ि8वत करे गा, संचािलत करेगा, उसक िनगरानी करे गा, समी(ा करेगा, उसका रखरखाव करेगा और उसमे
सतत सुधार करे गा;
(ग)सुिनिlत करे गा ,क "संरि(त
णाली" क संजाल वाNतुकला
लेिखत है । इसके अलावा, संगठन सुिनिlत करेगा ,क "संरि(त
णाली" राZीय िववेिचत सूचना अवसंरचना संर(ण क के नवीनतम “िववेिचत सूचना अवसंरचना के संर(ण के िलए
,दशािनदjश” के अनुसार िNथर, लचीला और मापनीय है। संजाल वाNतुकला म कोई भी परवत$न
लेिखत ,कया जाना चािहए;
(घ) " संरि(त
णाली" पंच रखने वाले
ािधकृ त कBमय के
लेखन क योजना बनाएगा, उनको िवकिसत करेगा, उनका
तक
रखरखाव करे गा, और एक वष$ म कम से कम एक बार या जब भी आवiयक हो, या खंड (ख) म सुझाई गई सूचना सुर(ा बंधन
(च) सुिनिlत करेगा ,क "संरि(त
णाली" क साइबर सुर(ा वाNतुकला के िलए भेता/ ख़तरा / जोिखम (वी / टी / आर)
िवoेषण वष$ म कम से कम एक बार ,कया जायेगा। इसके अलावा,
णाली म मह4वपूण$ परवत$न या उpयन होने पर भी सूचना
सुर(ा अिभचालन सिमित को अवगत कराते ए वी / टी / आर िवoेषण शुM ,कया जाएगा;
4 THE GAZETTE OF INDIA : EXTRAORDINARY [PART II—SEC. 3(ii)]
(छ)राZीय िववेिचत सूचना अवसंरचना संर(ण क के साथ िनकट सम8वय म साइबर आपात
बंधन योजना (सीसीएमपी) क
योजना बनाएगा, उसको Nथािपत करे गा, उसे काया$ि8वत करे गा, उसे संचािलत करे गा, उसक िनगरानी करे गा, समी(ा करे गा और
संगठन ारा सीआईआई / संरि(त णािलय के लेखा-परी(ण" के िलए जारी मानक संचालन ,-या (एसओपी) का दृढ़ता से
(झ) सूचना
ौोिगक सुर(ा Nतर करार (एसएलएएस) के िलए
लेिखत
,-या क योजना बनाएगा, उसको िवकिसत
सेवा
करे गा, उसका रखरखाव करे गा और उसक समी(ा करे गा। सेवा दाताG के साथ एसएलएएस को परकिPपत करते समय इन
अितर, साइबर सुर(ा संचालन को िनयिमत आधार पर लॉग का िवoेषण करके "संरि(त
णाली" पर अनिधकृत पंच क
पहचान करने और "संरि(त
णाली" पर असामा8य और दुभा$वनापूण$ ,-याकलाप क पहचान करने के िलए उपयोग ,कया
जाएगा। अनिधकृत पंच, असामा8य और दुभा$वनापूण$ गितिविध के अिभलेख, य,द कोई हो, तो उ8ह लेिखत ,कया जाएगा;
(ट) िनरं तर संजाल उपलUधता और
दश$न सुिनिlत करने के िलए "संरि(त
णाली" के संजाल(ल) का िनयं/ण करने,
बंधन
करने और िनगरानी करने के िलए उपकरण और तकनीक का उपयोग करके एक संजाल संचालन क (एनओसी) क Nथापना
करे गा;
(ठ) वह "संरि(त
णाली" का समथ$न करने वाले संजाल उपकरण, परिध उपकरण, संचार उपकरण, सव$र,
णािलय और
सेवाG के लॉOस के िनयिमत बैकअप लेने क
,-या क योजना, िवकास, रखरखाव और समी(ा करेगा और खqड (ख) म सुझाई
गई सूचना सुर(ा
बंधन
णाली (आईएसएमएस) के अनुसार लॉOस को संभाला जाएगा।
4. राीय िववोिचत सूचना अवसंरचना संरण क के ित "संरित णाली(य)" क भूिमकाएं और उरदािय व:
(1) मु:य सूचना सुर(ा राZीय िववेिचत सूचना अवसंरचना संर(ण क (एनसीआईआईपीसी) के साथ
अिधकारी (सीआईएसओ)
िनयिमत संपक$ बनाए रखेगा और संचार के सभी उपलUध या उिचत तरीक का उपयोग करते ए उ राZीय मह4वपूण$ सूचना
अवसंरचना संर(ण क ारा सुझाए गए सुर(ा के उपाय को काया$ि8वत करने के िलए िज़Cमेदार होगा।
(2)मु:य सूचना सुर(ा अिधकारी (सीआईएसओ) िनिलिखत को साझा करे गा, जब भी इनम कोईपरवत$न होगा, या राZीय
मह4वपूण$ सूचना अवसंरचना संर(ण क ारा अपेि(त
(एनसीआईआईपीसी) होगा, और वह उ राZीय मह4वपूण$ सूचना
अवसंरचना संर(ण क ारा सुझाए गए आदान/
ितपुिEय को समािवE करे गा:-
(क) िववेिचत सूचना अवसंरचना (सीआईआई) का िववरण िजसे " संरि(त
णाली" के Mप म घोिषत ,कया गया है, िजसम उ
मह4वपूण$ सूचना अवसंरचना पर और क िनभ$रताएँ शािमल हe।
(ख) "संरि(त
णाली" क सूचना सुर(ा संचालन सिमित (आईएसएससी) के Uयौरे।
(ग) "संरि(त
णाली" क सूचना सुर(ा
बंधन
णाली (आईएसएमएस)
(छ) "संरि(त णाली" क साइबर सुर(ा वाNतुकला के िलए भेता/ ख़तरा / जोिखम (वी / टी / आर) िवoेषण के Uयौरे ।
(ज) "संरि(त
णाली " के सूचना
ौघोिगक क सुर(ा सेवा Nतर करार (एस एल एएस)
¹Hkkx IIµ[k.M 3(ii)º Hkkjr dk jkti=k % vlk/kj.k 5
(3) (क) राZीय िववेिचत सूचना अवसंरचना संर(ण क (एनआईसीआईपीसी) के साथ "संरि(त
णाली" के लॉOस को साझा करने के
िलए मु:य सूचना सुर(ा अिधकारी (सीआईएसओ), एनसीआईआईपीसी के परामश$ से एक
,-या Nथािपत करे गा ता,क िवसंगितय
का पता लगाया जा सके और वाNतिवक समय के आधार पर खतरे क खु,फया जानकारी उ4पp क जा सके।
(ख) मु:य सूचना सुर(ा अिधकारी (सीआईएसओ) "संरि(त
णाली" से संबंिधत ,दशा िनदjश, सलाह और भेताG, लेखा-
परी(ा ट)पिणय आ,द के मु@ को सुलझाने के िलए राZीय मह4वपूण$ सूचना अवसंरचना संर(ण क के साथ "संरि(त
णाली"
क सी-एसओसी (अनिधकृत पंच, असामा8य और दुभा$वनापूण$ ,-याकलाप से संबंिधत) के
लेिखत अिभलेख साझा करने क एक
,-या को Nथािपत करेगा।
(4) (क) मु:य सूचना सुर(ा अिधकारी (सीआईएसओ) राZीय मह4वपूण$ सूचना अवसंरचना संर(ण क (एनसीआईआईपीसी) के
परामश$ से "सुरि(त
णाली" पर घटत साइबर घटना(G) के उ राZीय मह4वपूण$ सूचना अवसंरचना संर(ण क को समय पर
संचार के िलए एक
,-या Nथािपत करे गा।
(ख) इसकेअितर, "संरि(त
णाली" पर साइबर घटना(G) के मामले म घटना क
ित,-या पर राZीय मह4वपूण$ सूचना
अवसंरचना संर(ण क क नवीनतम मानक परचालन
,-या (एसओपी) का दृढ़ता से पालन ,कया जाएगा ।
[ सं. 1(4)/2016-सीएलएफई ]
information exchange, swift response and remedial actions to mitigate and recover from
malicious cyber related incidents impacting critical processes;
(e) "Cyber Incident" means any real or suspected adverse event that is likely to cause or causes an
offence or contravention, harm to critical functions and services across the public and private
sectors by impairing the confidentiality, integrity, or availability of electronic information,
systems, services or networks resulting in unauthorised access, denial of service or disruption,
unauthorised use of a computer resource, changes to data or information without authorisation; or
threatens public health or safety, undermines public confidence, have a negative effect on the
national economy, or diminishes the security posture of the nation;
(f) “Information Security Management System” means a set of policies, processes and procedures to
establish, implement, operate, monitor, review, maintain and continually improve information
security and minimize the risks by developing, maintaining, implementing and reviewing the
adequate and appropriate security controls;
(g) “Information Security Steering Committee” means the committee comprising higher
management officials of the organisation, responsible for continuously improving and
strengthening the cyber security posture of the Protected System and also plan, develop, review
remedial actions to mitigate and recover from malicious cyber incidents;
(h) “IT Security Service Level Agreements” means the legally recognised Service Level Agreements
between the service providers and officials related to the “Protected System” for securing
information related to “Protected System”;
(i) “National Critical Information Infrastructure Protection Centre” means the agency established
under sub-section (1) of section 70A of the Act;
(j) “Organisation” means-
(i) Ministries or Departments of the Government of India, State Governments and Union
territories;
(ii) any agency of the Central Government, State Governments and Union territories;
(iii) any other entity having a ‘Protected System’.
(k) “Protected System” means any computer, computer system or computer network of any
organisationas notified under section 70 of the Act, in the official gazette by appropriate
Government.
(l) “Service Provider” means any authorised individual(s), Government organisation, Public Sector
Units(PSU), private agency, private company, partnership firm or any other body or agency
providing services for the smooth and continuous functioning of the ‘Protected System’.
(2) All other words and expressions used and not defined in these rules but defined in the Act shall have the
meanings respectively assigned to them in the Act.
3. Information Security Practices and Procedures for “Protected System”.
(1) (a) The organisation having “Protected System” shall constitute an Information Security Steering
Committee under the chairmanship of Chief Executive Officer/Managing Director/Secretary of
the organisation.
(b) The composition of Information Security Steering Committee(ISSC) shall be as under:
(i) IT Head or equivalent;
(ii) Chief Information Security Officer (CISO);
(iii) Financial Advisor or equivalent;
¹Hkkx IIµ[k.M 3(ii)º Hkkjr dk jkti=k % vlk/kj.k 7
“Protected System” with National Critical Information Infrastructure Protection Centre (NCIIPC)
to help detect anomalies and generate threat intelligence on real time basis.
(b) The Chief Information Security Officer shall also establish a process of sharing documented
records of Cyber Security Operation Center (related to unauthorised access, unusual and
malicious activity) of “Protected System” with National Critical Information Infrastructure
Protection Centre(NCIIPC) to facilitate issue of guidelines, advisories and vulnerability, audit
notes etc. relating to “Protected System”.
(4) (a) The Chief Information Security Officer (CISO) shall establish a process in consultation with
National Critical Information Infrastructure Protection Centre (NCIIPC), for timely
communication of cyber incident(s) on “Protected System” to the said National Critical
Information Infrastructure Protection Centre (NCIIPC).
(b) In addition, National Critical Information Infrastructure Protection Centre’s latest Standard
Operating Procedure (SOP) on Incident Response shall be strictly followed in case of cyber
incident(s) on “Protected System”.
[No. 1(4)/2016-CLFE]
S. GOPALAKRISHNAN, Jy. Secy.
Uploaded by Dte. of Printing at Government of India Press, Ring Road, Mayapuri, New Delhi-110064
and Published by the Controller of Publications, Delhi-110054.