Член 8

Идентифициране

1. Като част от посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ финансовите субекти идентифицират, класифицират и документират по подходящ начин всички поддържани от ИКТ работни функции, роли и отговорности, информационните активи и активите на ИКТ, поддържащи тези функции, както и техните роли и зависимости във връзка с рисковете в областта на ИКТ. Когато е необходимо — но поне веднъж годишно — финансовите субекти правят преглед на адекватността на тази класификация и на съответната документация.

2. Финансовите субекти непрекъснато идентифицират всички източници на риск в областта на ИКТ, по-специално доколко са изложени на риск от или свързан със други финансови субекти, и оценяват киберзаплахите и уязвимите места на ИКТ, които имат отношение към техните поддържани от ИКТ работни функции, информационни активи и активи на ИКТ. Финансовите субекти редовно — и поне веднъж годишно — правят преглед на рисковите сценарии с въздействие върху тях.

3. Финансовите субекти, без микропредприятията, извършват оценка на риска при всяка съществена промяна в инфраструктурата на мрежите и информационните системи, в процесите или процедурите, засягащи техните поддържани от ИКТ работни функции, информационни активи или активи на ИКТ.

4. Финансовите субекти идентифицират всички информационни активи и активи на ИКТ, включително в отдалечените обекти, мрежови ресурси и хардуер, и правят опис на онези от тях, за които считат, че са от критично значение. Те описват конфигурацията на информационните активи и активите на ИКТ, както и връзките и взаимозависимостта между различните информационни активи и активи на ИКТ.

5. Финансовите субекти идентифицират и документират всички процеси, които зависят от трети страни доставчици на услуги в областта на ИКТ, и идентифицират взаимовръзките с онези трети страни доставчици на услуги в областта на ИКТ, които предоставят услуги, поддържащи критични или важни функции.

6. За целите на параграфи 1, 4 и 5 финансовите субекти поддържат съответните списъци и ги актуализират периодично и всеки път, когато настъпи съществена промяна по параграф 3.

7. Финансовите субекти, без микропредприятията, редовно — но поне веднъж годишно — правят специална оценка на риска в областта на ИКТ за всички наследените системи на ИКТ, и винаги преди и след свързването на технологии, приложения или системи.