Член 4

Организационни правила за финансовите субекти

1.Финансовите субекти назначават ръководител на контролния екип, който отговаря за текущото управление на тестването за проникване, както и за решенията и действията на контролния екип.

2.Финансовите субекти въвеждат организационни и процедурни мерки, за да гарантират, че:

а) достъпът до информация, отнасяща се до всяко планирано или текущо тестване за проникване, е ограничен въз основа на принципа „необходимост да се знае“ до контролния екип, ръководния орган, лицата, провеждащи тестове, доставчика на разузнавателни сведения за заплахи и органа в областта на тестването за проникване;

б) контролният екип се консултира с лицата, управляващи тестването, преди включването на който и да е член на синия екип в тестването за проникване;

в) контролният екип бива информиран за всяко откриване на тестване за проникване от страна на членове на персонала на финансовия субект или на неговите доставчици на услуги, които са трети страни; в случай на ескалация на реакцията при инцидента, когато е необходимо, контролният екип ограничава такава ескалация;

г) са въведени правила, свързани с тайната на тестването за проникване, приложими за персонала на финансовия субект, за персонала на съответните трети страни доставчици на услуги в областта на ИКТ, за лицата, провеждащи тестове, и за доставчика на разузнавателни сведения за заплахи;

д) при поискване контролният екип предоставя на лицата, управляващи тестването, всякаква информация, свързана с тестването за проникване;

е) когато е възможно, страните, участващи в тестването за проникване, го посочват само с кодовото му име.