Член 11

Етап на тестване: Тест чрез червен екип

1.След одобрението от органа в областта на тестването за проникване на доклада за целеви разузнавателни сведения за заплахи лицата, провеждащи тестове, изготвят плана за тестване чрез червен екип, който съдържа информацията, посочена в приложение IV. Лицата, провеждащи тестове, използват документа със спецификацията на обхвата и доклада за целеви разузнавателни сведения за заплахи като основа за изготвянето на сценарии за атаки.

2.Лицата, провеждащи тестове, се консултират с контролния екип, доставчика на разузнавателни сведения за заплахи и лицата, управляващи тестването, относно плана за тестване чрез червен екип, включително правилата за комуникация, процедурите и организацията на управлението на проекта, подготовката и случаите на използване, в които се активират улесненията, както и правилата за докладване на контролния екип и на лицата, управляващи тестването.

3.Когато планът за тестване чрез червен екип е изцяло завършен и обезпечава извършването на ефективно тестване за проникване, контролният екип и органът в областта на тестването за проникване одобряват плана за тестване чрез червен екип, а органът в областта на тестването за проникване информира за това ръководителя на контролния екип.

4.След одобряване на плана за тестване чрез червен екип в съответствие с параграф 3 лицата, провеждащи тестове, извършват тестването за проникване по време на етапа на активно тестване чрез червен екип.

5.Продължителността на етапа на активно тестване чрез червен екип е пропорционална на обхвата на тестването за проникване, на мащаба, дейността, сложността и броя на финансовите субекти и третите страни доставчици на услуги в областта на ИКТ или на вътрешногруповите доставчици на услуги в областта на ИКТ, участващи в тестването за проникване, като във всички случаи продължава най-малко 12 седмици. Сценариите за атаки може да се изпълняват последователно или едновременно. Контролният екип, доставчикът на разузнавателни сведения за заплахи, лицата, провеждащи тестове, и лицата, управляващи тестването, се споразумяват за края на етапа на активно тестване чрез червен екип.

6.При условие че се гарантира, че планът за тестване чрез червен екип остава пълен и позволява извършването на ефективно тестване за проникване, ръководителят на контролния екип и лицата, управляващи тестването, одобряват всички промени в плана за тестване чрез червен екип след неговото одобрение, включително промени в графика, обхвата, целевите системи или главните цели.

7.По време на целия етап на активно тестване чрез червен екип лицата, провеждащи тестове, докладват поне веднъж седмично на контролния екип и на лицата, управляващи тестването, за напредъка, постигнат по тестването за проникване, а доставчикът на разузнавателни сведения за заплахи остава на разположение за консултации и допълнителни разузнавателни сведения за заплахи, когато това бъде поискано от страна на контролния екип.

8.Контролният екип своевременно предоставя улеснения, разработени въз основа на плана за тестване чрез червен екип. Улеснения може да бъдат добавяни или адаптирани след одобрение от контролния екип и лицата, управляващи тестването.

9.В случай на откриване на дейностите по тестване от който и да е член на персонала на финансовия субект или на неговите трети страни доставчици на услуги в областта на ИКТ, или на вътрешногрупов доставчик на услуги в областта на ИКТ, когато е приложимо, контролният екип, след консултация с лицата, провеждащи тестове, и без да се засяга параграф 10, предлага и представя за утвърждаване от управляващите тестването лица мерки, позволяващи продължаване на тестването за проникване, като се гарантира неговият таен характер.

10.При извънредни обстоятелства, пораждащи рискове от въздействие върху данните, увреждане на активите и прекъсване на критични или важни функции, услуги или операции на самия финансов субект, на неговите трети страни доставчици на услуги в областта на ИКТ или на вътрешногрупови доставчици на услуги в областта на ИКТ, или прекъсване на работата на неговите партньори или на финансовия сектор, ръководителят на контролния екип може да спре тестването за проникване или, в краен случай, когато продължаването на тестването за проникване не е възможно по друг начин и след предварително утвърждаване от органа в областта на тестването за проникване, да продължи тестването за проникване, като използва в ограничена степен техниката „лилав екип“. Продължителността на ограниченото използване на техниката „лилав екип“ се взема предвид за целите на 12-седмичната минимална продължителност на етапа на активно тестване чрез червен екип, посочена в параграф 5.