Член 10

Етап на тестване: разузнавателни сведения за заплахи

1.След одобрението на документа със спецификацията на обхвата от страна на органа в областта на тестването за проникване доставчикът на разузнавателни сведения за заплахи анализира общите и специфичните за сектора разузнавателни сведения за заплахи, отнасящи се до финансовия субект. Когато органът в областта на тестването за проникване е предоставил обща картина на заплахите за финансовия сектор на дадена държава членка, доставчикът на разузнавателни сведения за заплахи може да използва тази картина като базов сценарий за националната картина на заплахите. Доставчикът на разузнавателни сведения за заплахи идентифицира киберзаплахите и съществуващите или потенциалните уязвими места, свързани с финансовия субект. Освен това доставчикът на разузнавателни сведения за заплахи събира информация и анализира конкретни, приложими и относими към контекста разузнавателни сведения за целите и заплахите, свързани с финансовия субект, включително чрез консултации с контролния екип и лицата, управляващи тестването.

2.Доставчикът на разузнавателни сведения за заплахи представя съответните заплахи и целеви разузнавателни сведения за заплахи, като предлага необходимите сценарии на контролния екип, на лицата, провеждащи тестове, и на лицата, управляващи тестването. Предложените сценарии се различават по отношение на идентифицираните автори на заплахи и свързаните с тях тактики, техники и процедури и са насочени към всяка критична или важна функция в обхвата на тестването за проникване.

3.Ръководителят на контролния екип избира най-малко три сценария за провеждане на тестването за проникване въз основа на всички изброени по-долу елементи:

а) препоръката от страна на доставчика на разузнавателни сведения за заплахи и основания на заплахите характер на всеки сценарий;

б) входящите данни, предоставени от лицата, управляващи тестването;

в) осъществимостта на предложените за изпълнение сценарии въз основа на експертната преценка на лицата, провеждащи тестове;

г) размера, сложността и цялостния рисков профил на финансовия субект и естеството, мащаба и сложността на неговите услуги, дейности и операции.

4.Не повече от един от избраните сценарии може да не е свързан със заплаха и може да се основава на перспективна и потенциално фиктивна заплаха с висока прогностична, изпреварваща, опортюнистична или перспективна стойност предвид очакваното развитие на картината на заплахите, засягащи финансовия субект.

За съвкупно тестване за проникване, без да се засягат сценариите, насочени пряко към критичните или важните функции на финансовите субекти, участващи в тестването, поне един сценарий включва съответните базови системи на ИКТ, процеси и технологии за ИКТ на третата страна доставчик на услуги в областта на ИКТ, които поддържат включените в обхвата критични или важни функции на финансовите субекти.

Когато тестването представлява съвместно тестване за проникване с участието на вътрешногрупов доставчик на услуги в областта на ИКТ, без да се засягат сценариите, насочени пряко към критичните или важните функции на финансовите субекти, участващи в теста, поне един сценарий включва съответните базови системи на ИКТ, процеси и технологии за ИКТ на вътрешногруповия доставчик на услуги в областта на ИКТ, които поддържат включените в обхвата критични или важни функции на финансовите субекти.

5.Доставчикът на разузнавателни сведения за заплахи предоставя на контролния екип доклада за целеви разузнавателни сведения за заплахи, включително сценариите, избрани в съответствие с параграфи 3 и 4. Докладът за разузнавателни сведения за заплахи съдържа информацията, изложена в приложение III.

6.Контролният екип представя доклада за целеви разузнавателни сведения за заплахи на управляващото тестването лице за одобрение. Когато доклада за целеви разузнавателни сведения за заплахи е изцяло завършен и обезпечава извършването на ефективно тестване за проникване, органът в областта на тестването за проникване одобрява доклада за целеви разузнавателни сведения за заплахи и информира за това ръководителя на контролния екип.