Член 7

Подбор на доставчици на услуги в областта на тестването за проникване

1.Контролният екип предприема мерки за управление на рисковете, свързани с тестването за проникване, и по-специално гарантира, че за всяко тестване за проникване:

а) доставчикът на разузнавателни сведения за заплахи и външните лица, провеждащи тестове, предоставят на контролния екип подробна автобиография и копия от удостоверения, които според признатите пазарни стандарти са подходящи за изпълнението на техните дейности;

б) доставчикът на разузнавателни сведения за заплахи и лицето, провеждащо тестове, разполагат с надлежно и цялостно застрахователно покритие за професионална отговорност включително срещу риска от неправомерно поведение и небрежност;

в) доставчикът на разузнавателни сведения за заплахи предоставя поне три препоръки във връзка с предишни задания в контекста на тестването за проникване и тестването чрез червен екип;

г) външните лица, провеждащи тестове, предоставят поне пет препоръки във връзка с предишни задания, свързани с тестване за проникване и тестване чрез червен екип;

д) персоналът на доставчика на разузнавателни сведения за заплахи, на който е възложено за тестването за проникване:

i) се състои от поне един ръководител с поне 5-годишен опит в областта на разузнавателните сведения за заплахи и поне още един член с поне 2-годишен опит в областта на разузнавателните сведения за заплахи;

ii) показва широк спектър и подходящо равнище на професионални знания и умения, включително:

1) тактики, техники и процедури за събиране на разузнавателни сведения;

2) познания по геополитическите, техническите и секторните въпроси;

3) подходящи комуникационни умения за ясно представяне и докладване на резултатите от ангажимента;

iii)

е участвал, общо за членовете му, в поне три предишни задания в областта на разузнавателните сведения за заплахи в контекста на тестване за проникване и тестване чрез червен екип;

iv) не изпълнява едновременно задачи на син екип или други услуги, които могат да представляват конфликт на интереси по отношение на финансовия субект, третата страна доставчик на услуги в областта на ИКТ или вътрешногруповия доставчик на услуги в областта на ИКТ, участващи в тестването за проникване, което му е възложено;

v) е отделен от персонала на същия доставчик на услуги в областта на тестването за проникване, който осигурява външни лица, провеждащи тестове, за същото тестване за проникване, и не се отчита пред него;

е) по отношение на външните лица, провеждащи тестове, червеният екип, на който е възложено тестването за проникване:

i) се състои от поне един ръководител с поне 5-годишен опит в областта на тестването за проникване и тестването чрез червен екип, както и от поне две допълнителни лица, провеждащи тестове, всяко от които има поне 2-годишен опит в областта на тестването за проникване и тестването чрез червен екип;

ii) показва широк спектър и подходящо равнище на професионални знания и умения, включително познания за дейността на финансовия субект, в областта на разузнаването, управлението на риска, разработването на експлойти, физическото проникване, социалното инженерство, анализа на уязвимите места, както и подходящи комуникационни умения за ясно представяне и докладване на резултатите от ангажимента;

iii)

е участвал, общо за членовете му, в поне пет предишни задания, свързани с тестване за проникване и тестване чрез червен екип;

iv) не е нает и не предоставя услуги на доставчик на разузнавателни сведения за заплахи, който едновременно с това изпълнява задачи на син екип за финансов субект, трета страна доставчик на услуги в областта на ИКТ или вътрешногрупов доставчик на услуги в областта на ИКТ, участващ в тестването за проникване;

v) е отделен от всеки член на персонала на същия доставчик на услуги в областта на тестването за проникване, който едновременно предоставя услуги за разузнавателни сведения за заплахи за същото тестване за проникване;

ж) лицата, провеждащи тестове, и доставчикът на разузнавателни сведения за заплахи извършват процедури по възстановяване в края на тестването, включително сигурно заличаване на информацията, свързана с пароли, пълномощни и други секретни ключове, чиято сигурност е била застрашена по време на тестването за проникване, сигурна комуникация с финансовите субекти за сметките, чиято сигурност е била застрашена, сигурно събиране, съхранение, управление и унищожаване на други данни, събрани по време на тестването;

з) в допълнение към процедурите по възстановяване в края на тестването, посочени в буква ж), лицата, провеждащи тестове, извършват следните процедури по възстановяване:

i) деактивиране на командването и контрола;

ii) ключове за „аварийно изключване“ (kill switch) във връзка с обхвата и датата;

iii)

премахване на задни вратички и друг зловреден софтуер;

iv) уведомяване за потенциални нарушения на сигурността;

v) процедури за бъдещо възстановяване на резервни копия, които могат да се отнасят до зловреден софтуер или инструменти, инсталирани по време на теста;

vi) наблюдение на дейностите на синия екип и информиране на контролния екип за евентуално откриване на инциденти;

и) лицата, провеждащи тестове, и доставчикът на разузнавателни сведения за заплахи не извършват и не участват в нито една от следните дейности:

i) неразрешено унищожаване на оборудването на финансовия субект и на неговите трети страни доставчици на услуги в областта на ИКТ, ако има такива;

ii) неконтролирана промяна на информацията и на активите в областта на ИКТ на финансовия субект и на неговите трети страни доставчици на услуги в областта на ИКТ, ако има такива;

iii)

умишлено застрашаване на непрекъснатостта на критични или важни функции на финансовия субект;

iv) неразрешено включване на системи извън обхвата;

v) неразрешено разкриване на резултатите от тестовете.

2.Контролният екип води записи за документацията, предоставена от лицата, провеждащи тестове, и от доставчиците на разузнавателни сведения за заплахи, за да докаже спазването на параграф 1, букви а)—е).

При извънредни обстоятелства финансовите субекти могат да сключват договори с външни лица, провеждащи тестове, и с доставчици на разузнавателни сведения за заплахи, които не отговарят на едно или повече от изискванията, посочени в параграф 1, букви а)—е), при условие че тези финансови субекти приемат мерки, които са подходящи за намаляване на рисковете, свързани с неспазването на тези точки, и регистрират тези мерки.