Artikel 7 Val av leverantörer av hotbildsstyrd penetrationstestning

1. Leverantören av underrättelser om hot och externa testare förser ledningslaget med en detaljerad meritförteckning och kopior av certifieringar som, enligt erkänd marknadspraxis, är lämpliga för utförandet av deras verksamhet.

2. Leverantören av underrättelser om hot och externa testare omfattas på vederbörligt sätt och fullt ut av lämpliga yrkesmässiga ansvarsförsäkringar, bland annat mot risker rörande tjänstefel och försummelse.

3. Leverantören av underrättelser om hot tillhandahåller minst tre referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

4. De externa testarna tillhandahåller minst fem referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

5. Följande gäller för personalen hos leverantören av underrättelser om hot som har utsetts att arbeta med den hotbildsstyrda penetrationstestningen:

   1. Personalen består av minst en ledare med åtminstone fem års erfarenhet av underrättelser om hot och minst en ytterligare medlem med åtminstone två års erfarenhet av underrättelser om hot.

   2. Personalen uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland inom följande områden:

      1. Taktiker, teknik och förfaranden för insamling av underrättelser.

      2. Geopolitisk, teknisk och sektorsspecifik kunskap.

      3. Tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.

   3. Personalen har tillsammans deltagit i minst tre tidigare uppdrag inom underrättelser om hot kopplade till penetrationstestning och rött lag-testning.

   4. Personalen utför inte samtidigt några blått lag-uppgifter eller andra tjänster som kan utgöra en intressekonflikt med koppling till den finansiella entiteten, tredjepartsleverantören av IKT-tjänster eller en koncernintern IKT-tjänsteleverantör som deltar i den hotbildsstyrda penetrationstestning som personalen har utsetts att arbeta med.

   5. Personalen är åtskild från och rapporterar inte till personal hos samma leverantör av hotbildsstyrd penetrationstestning som tillhandahåller externa testare för denna hotbildsstyrda penetrationstestning.

6. För externa testare gäller följande för det röda lag som har utsetts för den hotbildsstyrda penetrationstestningen:

   1. Laget består av minst en ledare med åtminstone fem års erfarenhet av penetrationstestning och rött lag-testning samt minst två ytterligare testare, var och en med åtminstone två års erfarenhet av penetrationstestning och rött lag-testning.

   2. Laget uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland kunskaper om den finansiella entitetens verksamhet, rekognosering, riskhantering, utarbetande av angrepp mot sårbarheter, fysisk penetration, social manipulering, sårbarhetsanalys samt tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.

   3. Laget har tillsammans deltagit i minst fem tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

   4. Laget är inte är anställt av och tillhandahåller inte tjänster till en leverantör av underrättelser om hot som samtidigt utför blått lag-uppgifter för antingen en finansiell entitet, en tredjepartsleverantör av IKT-tjänster eller en koncernintern IKT-tjänsteleverantör som deltar i den hotbildsstyrda penetrationstestningen.

   5. Laget är åtskilt från all personal hos samma leverantör av hotbildsstyrd penetrationstestning som samtidigt tillhandahåller tjänster rörande underrättelser om hot för samma hotbildsstyrda penetrationstestning.

7. Testarna och leverantören av underrättelser om hot utför återställningsförfaranden i slutet av testningen, vilket innefattar säker radering av uppgifter rörande lösenord, identifieringsinformation och andra privata nycklar som angripits under den hotbildsstyrda penetrationstestningen, säker kommunikation till de finansiella entiteterna kring de konton som angripits och säker insamling, lagring, hantering och radering av andra data som samlats in under testningen.

8. Testarna utför, utöver de återställningsförfaranden i slutet av testningen som avses i led g, följande återställningsförfaranden:

   1. Inaktivering av kanaler för fjärrstyrning (command and control).

   2. Nödbrytare (kill switches) baserade på omfattning och datum.

   3. Borttagning av bakdörrar och andra sabotageprogram.

   4. Avisering av potentiella säkerhetsöverträdelser.

   5. Förfaranden för framtida återställning av säkerhetskopierade data som kan avse sabotageprogram eller verktyg som installerats under testet.

   6. Övervakning av det blå lagets aktiviteter och information till ledningslaget om eventuella möjliga upptäckter.

9. Testare och leverantören av underrättelser om hot utför inte, och deltar inte i, någon av följande verksamheter:

   1. Obehörig förstörelse av utrustning som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänster.

   2. Okontrollerad ändring av information och IKT-tillgångar som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänster.

   3. Avsiktligt äventyrande av kontinuiteten hos den finansiella entitetens kritiska eller viktiga funktioner.

   4. Otillåten inkludering av system som ligger utanför den avsedda omfattningen.

   5. Obehörigt yppande av testresultat.

Ledningslaget ska föra register över den dokumentation som tillhandahålls av testarna och leverantörerna av underrättelser om hot för att styrka efterlevnaden av punkt 1 led a–f.

Under exceptionella omständigheter får finansiella entiteter anlita externa testare och leverantörer av underrättelser om hot som inte uppfyller ett eller flera av kraven i punkt 1 led a–f, förutsatt att dessa finansiella entiteter vidtar lämpliga åtgärder för att minska riskerna kopplade till bristande efterlevnad av dessa led och dokumenterar dessa åtgärder.