REGULAMENT privind cadrul de desfășurare a testelor de reziliență cibernetică TIBER-RO
| Comentarii |
|
BANCA NAȚIONALĂ A ROMÂNIEI
REGULAMENT
privind cadrul de desfășurare a testelor de reziliență cibernetică TIBER-RO
Având în vedere prevederile art. 2 alin. (2) lit. b) și ale art. 22 alin. (1) și (2) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, ale art. 404, 407 și ale art. 408 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare,
luând în considerare metodologia TIBER-EU dezvoltată la nivelul Băncii Centrale Europene, prin care se stabilește cadrul european de testare a rezilienței cibernetice a instituțiilor financiare, prin realizarea unor teste controlate, care simulează atacuri de natură cibernetică ale unor entități avansate și persistente, pe baza informațiilor privind amenințările și vulnerabilitățile specifice entității testate,
În temeiul art. 48 alin. (2) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României și ale art. 405 lit. c) și e) și art. 420 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare,
Banca Națională a României emite următorul regulament:
CAPITOLUL I
Obiect, domeniu de aplicare și definiții
Art. 1. — (1) Prezentul regulament stabilește cadrul de testare a rezilienței cibernetice, prin desfășurarea unor atacuri cibernetice simulate, cu grad ridicat de complexitate și bazate pe informații despre vulnerabilitățile și amenințările la care entitățile sunt supuse în realitate, denumit în continuare cadrul TIBER-RO.
(2) Prezentul regulament se aplică administratorilor de infrastructuri ale pieței financiare aflați în aria de monitorizare a Băncii Naționale a României, denumită în continuare BNR, precum și instituțiilor de credit desemnate drept participanți critici la infrastructurile pieței financiare.
(3) Instituțiile participante la infrastructurile pieței financiare, care nu sunt desemnate participanți critici, pot să realizeze testul TIBER-RO în mod voluntar.
Art. 2. — În înțelesul prezentului regulament, termenii și expresiile de mai jos au următoarele semnificații:
a) active informaționale — date sau alte cunoștințe care au valoare pentru instituție, inclusiv sisteme ale tehnologiei informației și comunicațiilor, configurațiile acestora, alte infrastructuri, precum și conexiunile cu alte sisteme externe și interne;
b) actor statal — unitate de luptă cibernetică sau grup susținut de către un stat care amenință cibernetic o entitate testată;
c) amenințare cibernetică — potențial atac, desfășurat cu precădere cu mijloace informatice de către atacatori avansați din punct de vedere tehnologic și persistenți, inclusiv grupări de crimă organizată sau actori statali, care afectează confidențialitatea, integritatea sau disponibilitatea resurselor care susțin funcțiile critice ale entității testate;
d) colectare de informații în mod activ — tehnică de obținere a informațiilor despre activele informaționale ale entităților testate, prin angajarea în interacțiune directă cu sistemele informatice și cu personalul entităților testate și prin evaluarea răspunsului acestora la diverși stimuli;
e) colectare de informații în mod pasiv — tehnică de obținere a informațiilor despre activele informaționale ale entităților testate fără a interacționa direct cu acestea;
f) CTI (Cyber Threat Intelligence) — procesul prin care sunt colectate, analizate și interpretate date și informații, în scopul identificării atacurilor cibernetice și a autorilor acestora și cunoașterii unor elemente esențiale legate de modul de operare, motivele, intențiile, resursele și capabilitățile acestora;
g) echipa albastră (Blue Team) — BT — Întreg personalul entității testate care sprijină îndeplinirea funcțiilor critice ale acesteia, cu excepția personalului echipei albe, ale căror capacități de prevenire, detectare și răspuns sunt testate, fără a fi informat în prealabil despre desfășurarea testului;
h) echipa albă (White Team) — WT — echipa desemnată de către entitatea testată pentru elaborarea documentului Sfera de cuprindere a testului achiziția furnizorilor Threat Intelligence și Red Team și coordonarea testului, fiind singura structură din cadrul entității care cunoaște toate detaliile legate de test și care va reprezenta entitatea în relația cu BNR, cu furnizorul Threat Intelligence și cu furnizorul Red Team;
i) echipa roșie (Red Team) — RT — echipa externă din cadrul furnizorului Red Team care efectuează atacul simulat asupra entității testate în scopul de a testa reziliența cibernetică a acesteia;
j) echipa TI (Threat Intelligence) — echipa din cadrul furnizorului Threat Intelligence care, pe baza analizei de tip Cyber Threat Intelligence și Targeted cyber threat intelligence, elaborează raportul Threat Intelligence la adresa entității testate;
k) entitate sau instituție testată — are semnificația prevăzută la art. 1 alin. (2) sau, după caz, alin. (3) din prezentul regulament;
l) funcții critice — funcțiile entității testate, necesare pentru funcționarea unei infrastructuri a pieței financiare sau pentru participarea acesteia la infrastructuri ale pieței financiare, care necesită anumite resurse de personal, informații, procese și tehnologii și care, dacă ar fi afectate, ar putea avea un impact negativ semnificativ asupra: stabilității financiare, siguranței și solidității entității, clienților entității sau pieței în care activează entitatea;
m) furnizor RT — persoana juridică contractată de către entitatea testată pentru a furniza servicii de testare cibernetică utilizând o echipă de tip Red Team;
n) furnizor TI — persoana juridică contractată de către entitatea testată pentru a furniza servicii de informații de tip Cyber Threat Intelligence și Targeted cyber threat intelligence, utilizând o echipă de Threat Intelligence;
o) participant critic — entitate definită în art. 2 pct. 53 din Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată, cu modificările și completările ulterioare;
p) raport de test — raport formal prevăzut la art. 28 din prezentul regulament;
q) raport TI — raportul de amenințări și vulnerabilități de natură cibernetică la adresa entității testate, care conține analiza de tip Targeted cyber threat intelligence specifică entității testate, în contextul informațiilor de tip Cyber Threat Intelligence despre amenințările specifice naționale de natură cibernetică, luând în considerare activitățile de tip Advanced Persistent Threat la nivelul sectorului financiar bancar, într-o perioadă de minimum 12 luni înaintea desfășurării testului TIBER-RO;
r) reziliență cibernetică — capacitatea unei entități de a anticipa amenințările cibernetice, de a rezista la atacurile cibernetice, de a limita amploarea consecințelor unui atac cibernetic și de a relua activitatea după astfel de atacuri;
s) sfera de cuprindere a testului — document formal care include elementele prevăzute la art. 20 alin. (1) din prezentul regulament;
t) Targeted cyber threat intelligence — informații cu privire la amenințări și vulnerabilități de natură cibernetică de tip Cyber Threat Intelligence, care vizează cel puțin, dar fără a se limita la acestea: (i) descrierea generală a atacurilor de tip Advanced Persistent Threat care pot ataca entitățile testate;
(ii) vulnerabilitățile resurselor care sprijină funcțiile critice ale entităților testate; (iii) tacticile, tehnicile și procedurile utilizate în atacurile de tip Advanced Persistent Threat, prin care acestea ar putea exploata vulnerabilitățile entităților testate.
CAPITOLUL II
Dispoziții generale
SECȚIUNEA 1
Condiții generale
Art. 3. — (1) Entitățile prevăzute la art. 1 alin. (2) realizează testul TIBER-RO cel puțin o dată la 3 ani, în condițiile stabilite prin prezentul regulament.
(2) În vederea asigurării și menținerii unui cadru solid de gestionare a riscurilor pe toată durata desfășurării testului TIBER-RO, entitatea stabilește proceduri, procese și controale adecvate, vizând inclusiv operațiunile desfășurate de furnizorul TI și furnizorul RT, pentru a identifica, monitoriza și gestiona în mod cuprinzător toată gama de riscuri asociate acestui test.
(3) În aplicarea alin. (1), entitățile asigură respectarea cerințelor de desfășurare a testului TIBER-RO, inclusiv prin contractele încheiate cu furnizorii TI și cu furnizorii RT.
Art. 4. — (1) Testele de tip TIBER-RO, denumite în continuare teste, vizează:
a) funcțiile critice ale entității testate;
b) infrastructura informatică de producție, informațiile, procedurile, personalul și serviciile externalizate, utilizate de entitate, care susțin funcțiile critice ale entității testate.
(2) Testele simulează, într-un mod controlat, atacuri de natură cibernetică ale unor atacatori avansați din punct de vedere tehnologic și persistenți, inclusiv grupări de crimă organizată sau actori statali, care pot afecta disponibilitatea, integritatea și confidențialitatea resurselor care susțin funcțiile critice ale entității testate, folosind instrumente, metode și tehnici specifice acestor atacatori, cu scopul de a verifica și îmbunătăți reziliența cibernetică a entității testate.
Art. 5. — (1) BNR monitorizează testele pe tot parcursul desfășurării acestora, urmărind să fie respectate cerințele prezentului regulament, iar, în caz contrar, poate solicita întreruperea procesului de testare sau implementarea unor măsuri de remediere pentru a se asigura conformitatea cu prevederile prezentului regulament.
(2) În sensul alin. (1), BNR furnizează îndrumare WT pe toată durata desfășurării testului, avizează întreaga documentație întocmită de către WT, furnizorii TI și furnizorii RT cu privire la test, precum și documentul prevăzut la art. 31 alin. (4) din prezentul regulament și monitorizează implementarea măsurilor stabilite în planurile de remediere.
(3) Entitățile testate transmit BNR orice informații solicitate de aceasta pentru monitorizarea efectuării testelor TIBER-RO.
SECȚIUNEA a 2-a
Etapele testului
Art. 6. — Demararea testelor se realizează prin transmiterea unei solicitări de către entitatea care urmează să facă obiectul testării către BNR, conform anexei nr. 1 la prezentul regulament.
Art. 7. — Testul se desfășoară în următoarele etape succesive:
a) stabilirea perioadei de desfășurare a testului și stabilirea WT de către entitatea care urmează să facă obiectul testării;
b) stabilirea și documentarea sferei de cuprindere a testului de către WT și aprobarea acesteia de către consiliul de administrație al entității care urmează să facă obiectul testării;
c) selectarea furnizorului TI și a furnizorului RT de către WT și contractarea serviciilor acestora;
d) elaborarea de către furnizorul TI a raportului TI la adresa entității testate, pe baza sferei de cuprindere a testului, în colaborare cu WT și, dacă este cazul, și cu furnizorul RT;
e) elaborarea de către furnizorul RT a planului de testare a entității testate, pe baza raportului TI, în colaborare cu WT și furnizorul TI;
f) aplicarea de către furnizorul RT a planului de testare a entității testate, în colaborare cu WT și, dacă este cazul, și cu furnizorul TI;
g) finalizarea testului, care implică:
(i) întocmirea de către furnizorul RT a raportului de test;
(ii) întocmirea de către structura responsabilă de securitatea cibernetică a entității testate a raportului de acțiune al BT;
(iii) efectuarea exercițiului de reconstituire a testului, cu participarea tuturor părților implicate;
(iv) elaborarea de către furnizorul RT a unui rezumat al rezultatelor testării, transmis BNR;
(v) elaborarea de către WT a unui plan de remediere, în colaborare cu structura responsabilă de securitatea cibernetică a entității testate, în baza recomandărilor din Raportul de test, aprobat de către consiliul de administrație al entității testate.
Art. 8. — (1) Toate documentele întocmite în legătură cu procesul de testare, precum și comunicările aferente trebuie să fie în limba română sau în limba engleză și sunt confidențiale, cu un regim de diseminare controlat, bazat pe principiul „necesității de a cunoaște”.
(2) Pe parcursul întregului proces trebuie folosit un nume de cod, stabilit de către WT, pentru a păstra confidențialitatea entității testate.
(3) Raportul de test și raportul de acțiune al BT sunt păstrate de către entitatea testată și sunt consultate de reprezentanții BNR exclusiv la fața locului.
(4) Entitatea testată informează semestrial BNR cu privire la îndeplinirea măsurilor stabilite prin Planul de remediere, dar nu mai târziu de 15 zile de la începutul fiecărui semestru.
SECȚIUNEA a 3-a
Limitări ale testelor de tip TIBER-RO
Art. 9. — Cadrul contractual încheiat de către entitățile testate cu furnizorii TI și RT trebuie să cuprindă cel puțin:
a) obligația furnizorilor TI și RT de păstrare a confidențialității cu privire la toate datele dobândite de aceștia în procesul de efectuare a testelor;
b) Interdicția de:
(i) a distruge echipamentele entității testate;
(ii) a modifica necontrolat datele, programele informatice sau configurațiile sistemelor informatice ale entității testate;
(iii) a periclita continuitatea funcțiilor critice ale entității testate;
(iv) a dezvălui, în afara cadrului stabilit prin acest regulament, informațiile privind amenințările și vulnerabilitățile specifice entității testate și/sau rezultatele testului.
Art. 10. — (1) Până la finalizarea testului, informațiile referitoare la test sunt cunoscute exclusiv de către WT, consiliul de administrație al entității, furnizorul TI, furnizorul RT și BNR.
(2) În cazul în care BNR constată, prin orice mijloace, că există informații referitoare la test care au ajuns la cunoștința BT înainte de finalizarea testului, BNR va informa, în scris, entitatea cu privire la obligația de a relua testul de la început.
(3) În cazul în care BNR constată că testul nu se desfășoară cu un control adecvat sau că cerințele prezentului regulament nu sunt respectate, informează imediat WT și solicită aplicarea cu celeritate a măsurilor de remediere necesare. Dacă situația de neconformitate persistă, BNR solicită entității întreruperea testului până la remedierea deficiențelor constatate.
Art. 11. — (1) Testarea se realizează doar de către furnizorii TI și RT și membrii echipelor TI și RT care îndeplinesc cerințele prevăzute în anexa nr. 2, contractați în prealabil, cu respectarea specificațiilor testului.
(2) Pentru asigurarea obiectivității procesului de testare, entitatea poate să utilizeze același furnizor TI sau RT pentru realizarea a cel mult două teste consecutive.
SECȚIUNEA a 4-a
Cerințe aplicabile WT
Art. 12. — (1) Membrii WT dețin o gamă adecvată de competențe tehnice, cunoștințe, experiență și un nivel ierarhic ridicat și au responsabilități în cel puțin unul dintre următoarele domenii:
a) operarea funcțiilor critice ale entității;
b) continuitatea activității entității;
c) gestionarea riscurilor operaționale și de securitate informatică ale entității;
d) procesul de achiziție de servicii pentru entitate;
e) furnizarea de asistență juridică referitoare la contractele de prestări servicii și legislația aferentă funcționării entității.
(2) În aplicarea alin. (1), în funcție de structura și modul de organizare a entității, WT trebuie să fie alcătuită din minimum 3 și maximum 7 persoane care dețin una dintre următoarele funcții sau echivalent sau aparțin uneia dintre următoarele categorii de personal:
a) COO (Chief Operating Officer) — coordonatorul funcției care se ocupă de supervizarea operațiunilor curente ale organizației;
b) CIO (Chief Information Officer) — coordonatorul funcțiilor de gestionare, implementare și utilizare a tehnologiilor informatice;
c) CTO (Chief technology officer) — coordonatorul funcției care se ocupă de dezvoltările și implementările tehnologice în organizație;
d) CISO (Chief Information Security Officer) — coordonatorul funcției care se ocupă de securitatea informațiilor.
Art. 13. — (1) WT este coordonată de’ un manager, ce raportează direct către consiliul de administrație al entității, reprezintă entitatea în relația cu BNR și cu restul entităților participante la testare și este împuternicit să semneze orice documente și contracte în numele entității în scopul derulării testului.
(2) Coordonatorul WT:
a) trebuie să dețină abilități de coordonare și experiență în funcționarea entității și a infrastructurii acesteia (inclusiv a activității referitoare la tehnologia informației și comunicațiilor și a operațiunilor comerciale desfășurate);
b) este preferabil să dețină experiență în colaborarea cu alte departamente relevante ale entității (de exemplu: operațional, juridic, achiziții, comercial, securitate fizică, fraudă etc.) și în testarea rezilienței cibernetice, preferabil în testarea de tip RT.
(3) Prin excepție de la prevederile alin. (2) lit. b), în situația în care coordonatorul WT nu deține unele dintre respectivele abilități, acestea trebuie să fie asigurate de alți membri ai WT.
Art. 14. — WT are următoarele responsabilități:
a) implementează procedurile, procesele și controalele stabilite la art. 3 alin. (2) și (3);
b) elaborează sfera de cuprindere a testului și desfășoară procesul de contractare a furnizorului TI și a furnizorului RT, urmărind implementarea tuturor măsurilor necesare pentru gestionarea riscurilor și păstrarea confidențialității informațiilor;
c) în scopul asigurării îndeplinirii criteriilor de bună reputație, onestitate și integritate, solicită furnizorilor TI și RT caziere judiciare sau documente similare care să ateste lipsa antecedentelor penale ale furnizorilor contractați, ale coordonatorilor și ale membrilor echipei TI și, respectiv, ale membrilor RT;
d) avizează raportul TI, planul de testare, raportul de test, raportul de acțiune al BT;
e) monitorizează continuu respectarea de către echipa TI și de către RT a documentației de test, colaborează permanent cu BNR și asigură buna desfășurare a testului;
f) elaborează planul de remediere și îl înaintează spre aprobare consiliului de administrație al entității.
SECȚIUNEA a 5-a
Cerințe aplicabile furnizorilor TI și furnizorilor RT
aferente cadrului contractual cu entitatea testată
Art. 15. — Furnizorul TI trebuie să utilizeze metodologii bine fundamentate pentru documentarea și recunoașterea amenințărilor, precum și să fie capabil să explice evoluția acestora și modul în care conduc la rezultate eficace în cadrul testelor RT. Metodologiile trebuie să fie întocmite astfel încât să demonstreze entității că furnizorul TI este în măsură:
a) să obțină un context util pentru efectuarea analizei privind amenințările;
b) să documenteze situația actuală a entității din punctul de vedere al riscurilor cibernetice;
c) să documenteze și să fundamenteze pregătirea atacului;
d) să colaboreze cu celelalte părți implicate în testare;
e) să aibă o viziune comprehensivă asupra sectorului financiar în care entitatea operează;
f) să realizeze evaluări și analize privind riscurile;
g) să își operaționalizeze metodologiile într-un mod clar, transparent și flexibil.
Art. 16. — (1) Furnizorul TI trebuie să elaboreze raportul TI, pornind de la sfera de cuprindere a testului, și să îl transmită către furnizorul RT, WT și BNR pentru revizuire.
(2) Furnizorul TI trebuie să colaboreze cu WT și cu furnizorul RT pe toată durata testării, prin oferirea de asistență pentru furnizorul RT în stabilirea scenariilor de atac și actualizarea informațiilor obținute pe măsură ce atacul RT avansează.
(3) Raportul TI nu trebuie să fie condiționat de experiența furnizorului RT și de capacitatea RT de a-l pune în aplicare.
(4) Furnizorul TI și furnizorul RT pot fi aceeași persoană juridică, dar personalul echipei TI trebuie să fie diferit de personalul RT.
(5) Furnizorul TI și furnizorul RT, respectiv personalul implicat în desfășurarea testelor trebuie să dispună de o bună reputație, onestitate și integritate.
Art. 17. — Furnizorul RT trebuie să utilizeze metodologii bine fundamentate de management al riscului și:
a) să obțină un set de informații relevante pentru a asigura penetrarea sistemelor informatice ale entității testate, bazându-se pe informațiile din raportul TI și pe cele obținute utilizând metodele de colectare de informații utilizate de către atacatorii cibernetici;
b) să înregistreze și raporteze WT toate acțiunile întreprinse în cadrul testării;
c) să aibă o viziune cuprinzătoare asupra sectorului financiar în care entitatea testată operează;
d) să elaboreze și să execute planul de testare a entității testate, pornind de la raportul TI și având în vedere sfera de cuprindere a testului;
e) să colaboreze cu WT și cu furnizorul TI în etapa de elaborare a planului de testare, pe întreaga durată a testării și în etapa de încheiere;
f) să aplice, dacă este cazul, și alte scenarii de atac, identificate în colaborare cu furnizorul TI și aprobate de către WT;
g) să urmeze o metodologie de testare etică și riguroasă;
h) să ia toate măsurile necesare pentru ca funcțiile critice ale entității testate să nu fie perturbate;
i) să informeze WT, furnizorul TI și BNR, ori de câte ori i se solicită sau consideră că este cazul, cu privire la progresul din timpul testării și referitor la obiectivele ce urmează a fi atinse în timpul testului;
j) să elaboreze și să transmită raportul de test către WT și furnizorul TI pentru revizuire;
k) să participe la exercițiul de reconstituire a testului.
Art. 18. — (1) Cerințele prevăzute de prezentul regulament în legătură cu furnizorii TI și furnizorii RT sunt integrate în cadrul contractual încheiat de către entitățile testate cu aceștia.
(2) Cadrul contractual dintre entitățile testate și furnizorii TI și RT trebuie să includă clauze privind confidențialitatea și protecția datelor cu caracter personal și să prevadă garanții adecvate pentru respectarea cerințelor legislației incidente în domeniul datelor cu caracter personal.
CAPITOLUL III
Desfășurarea testului TIBER-RO
SECȚIUNEA 1
Inițierea testului
Art. 19. — (1) După primirea solicitării prevăzute la art. 6, BNR solicită entității care face obiectul testării să stabilească WT și furnizează entității informații relevante cu privire la: procesul de testare, rolurile și responsabilitățile părților implicate, precum și orice alte informații necesare pentru derularea testului, în conformitate cu cerințele prezentului regulament.
(2) BNR poate solicita ajustarea perioadei de realizare a testului pentru a asigura eficiența monitorizării acestuia.
Art. 20. — (1) În vederea testării, WT documentează sfera de cuprindere a testului, identificând cel puțin următoarele:
a) funcțiile critice ale entității testate;
b) toate resursele de personal, informații, tehnologii și proceduri care contribuie la furnizarea funcțiilor critice ale entității testate, inclusiv acele sisteme/procese/servicii externalizate către terți;
c) țintele și obiectivele pe care echipa RT trebuie să le atingă în timpul testului.
(2) Obiectivele testului trebuie să fie formulate în sensul de a demonstra că integritatea, confidențialitatea sau disponibilitatea resurselor care susțin funcțiile critice ale entității testate pot fi afectate de un atacator, fără să afecteze buna funcționare a entității.
(3) Documentul privind sfera de cuprindere a testului este aprobat de către consiliul de administrație al entității testate.
Art. 21. — (1) WT achiziționează serviciile furnizorilor TI și furnizorilor RT după ce verifică îndeplinirea de către aceștia a cerințelor din prezentul regulament.
(2) WT prezintă BNR toate documentele și informațiile necesare din care rezultă că furnizorii TI și furnizorii RT și, respectiv, coordonatorii și membrii echipelor Tl și RT contractați pentru derularea testului îndeplinesc cerințele minime prevăzute în prezentul regulament.
SECȚIUNEA a 2-a
Realizarea testului
Art. 22. — Furnizorul Tl realizează o analiză exactă a amenințărilor și vulnerabilităților specifice entității testate evaluate, pe baza sferei de cuprindere a testului, a celor mai noi informații referitoare la vulnerabilitățile și amenințările de natură cibernetică la nivel internațional și/sau asupra sectorului financiar național, precum și pe baza raționamentului profesional.
Art. 23. — (1) În urma analizei amenințărilor și vulnerabilităților specifice entității testate, furnizorul TI elaborează raportul TI, pe care furnizorul RT îl va folosi în faza de testare.
(2) Etapa de analiză și elaborare a raportului TI trebuie să fie una corespunzătoare complexității entității testate, nu mai mică de 5 săptămâni, iar colectarea de informații trebuie să se desfășoare exclusiv în mod pasiv, pentru a nu alerta BT.
(3) WT pune la dispoziția furnizorului Tl rezumatele rapoartelor de test, elaborate la testele anterioare de tip TIBER, dacă există.
(4) WT poate sprijini furnizorul Tl, la cererea acestuia, cu informații care, într-un scenariu realist, ar putea fi obținute într-o perioadă rezonabilă de timp de un atacator avansat și persistent, în scopul de a reduce timpul necesar furnizorului TI pentru a formula un raport TI comprehensiv.
Art. 24. — (1) Pe baza raportului Tl, furnizorul RT elaborează planul de testare a entității testate, care detaliază minimum trei scenarii de atac cibernetic, cu identificarea tacticilor, tehnicilor și procedurilor ce vor fi utilizate pentru a atinge țintele și obiectivele stabilite în sfera de cuprindere a testului.
(2) WT pune la dispoziția furnizorului RT rezumatele rapoartelor de test, elaborate la testele anterioare de tip TIBER.
(3) Scenariile de atac cibernetic trebuie să includă două scenarii de atac similare cu cele suferite anterior de instituții financiare și un scenariu nou, care să utilizeze elemente din mai multe atacuri reale.
(4) Suplimentar celor stabilite la alin. (3) vor fi incluse și scenariile executate cu succes în cadrul ultimului test de tip TIBER, realizat de către entitate conform prezentului regulament.
(5) Planul de testare trebuie să includă și modalități de acces fizic în cadrul entității testate și posibilitatea de a introduce în rețeaua entității testate dispozitive de către RT, respectiv orice obiect care în urma conectării cu infrastructura tehnică a entității testate favorizează atingerea obiectivelor de atac ale RT.
Art. 25. — (1) Testarea se realizează în mod controlat și documentat de către RT, cu respectarea planului de testare a entității testate, urmând toate fazele descrise în plan și utilizând doar personalul stabilit în contract.
(2) La cererea RT, WT poate decide să acorde sprijin echipei RT, prin furnizarea unor informații sau a unui cont de utilizator și/sau a unui echipament instalat în cadrul entității testate, în vederea depășirii unor obstacole într-un timp rezonabil de către echipa RT, având în vedere faptul că un atacator avansat și persistent ar fi avut suficient timp și resurse la dispoziție pentru a accesa infrastructura entității testate.
Art. 26. — RT trebuie să realizeze testarea etapizat, pe o perioadă de cel puțin 10 săptămâni de la momentul începerii testării efective, pentru a limita probabilitatea de detecție de către echipa BT, și trebuie să informeze imediat WT, prin canalele de comunicare agreate, în legătură cu atingerea fiecărui obiectiv.
Art. 27. — În situația în care BT detectează atacul cibernetic simulat în cursul testării și intenționează să alerteze cu privire la acest incident partenerii externi, autoritățile de resort sau alte entități ori să informeze publicul, WT trebuie să împiedice escaladarea incidentului, să păstreze confidențialitatea testului față de BT și să informeze imediat RT și BNR.
SECȚIUNEA a 3-a
Finalizarea testului și rapoartele de testare
Art. 28. — În cel mult 10 zile lucrătoare de la momentul finalizării testului și comunicării acestui fapt, în scris, către BNR de către WT, furnizorul RT, în colaborare cu furnizorul Tl, elaborează raportul de test, în care include:
a) rezumatul testului;
b) obiectivele atinse și recomandările privind măsurile urgente care trebuie întreprinse de entitate în vederea întăririi rezilienței cibernetice;
c) lista cu toate acțiunile efectuate de către furnizorul RT în cadrul testului. Pentru fiecare acțiune, furnizorul RT documentează cel puțin, dar fără a se limita la acestea:
(i) tacticile, tehnicile și procedurile de atac utilizate;
(ii) vulnerabilitățile vizate sau exploatate;
(iii) condițiile necesare atacatorului pentru a îndeplini obiectivul de atac;
(iv) modul de declanșare a acțiunii pe echipamentele entității testate;
(v) efectul acțiunii pe dispozitivele din sistemul informatic al entității testate;
(vi) toate modificările efectuate în timpul acțiunii pe dispozitivele din sistemul informatic al entității testate;
(vii) modul în care se poate detecta acțiunea și/sau eventualele faze intermediare ale acțiunii pe dispozitivele din sistemul informatic al entității testate;
(viii) modul în care se poate/pot preveni acțiunea și/sau eventualele faze intermediare ale acțiunii pe dispozitivele din sistemul informatic al entității testate;
(ix) modul de răspuns indicat pentru BT în cazul acțiunii și/sau al eventualelor faze intermediare ale acțiunii pe dispozitivele din sistemul informatic al entității testate. Art. 29. — (1) BT este informată de către WT despre test și, pe baza raportului de test, realizează raportul de acțiune al BT, care documentează toate acțiunile întreprinse de către BT, aflate în strânsă legătură cu acțiunile de atac efectuate de RT și descrise în raportul de test.
(2) Raportul de acțiune al BT este elaborat în colaborare cu RT și vizat de către WT.
Art. 30. — După finalizarea rapoartelor prevăzute la art. 28 și 29 se creează o echipă din care fac parte reprezentanți ai BT și reprezentanți ai RT, care vor participa la exercițiul de reconstituire a testului și vor colabora pentru a identifica:
a) dacă toate acțiunile RT au generat în sistemul informatic al entității testate înregistrări în jurnalele de sistem sau alte informații relevante pentru a indica un posibil atac în desfășurare, astfel încât BT să declanșeze procedurile de răspuns la incidente;
b) dacă toate acțiunile RT au generat alerte în sistemele de detecție și de prevenție implementate în sistemul informatic al entității testate, astfel încât BT să fie informată despre un posibil atac în desfășurare și să declanșeze procedurile de răspuns la incidente;
c) dacă măsurile de răspuns la incidente ale BT au fost eficiente și eficace;
d) dacă RT ar fi acționat în mod diferit, cât de adecvate ar fi fost măsurile luate de BT;
e) modalități de îmbunătățire a metodelor de detecție și răspuns pentru BT.
Art. 31. — (1) În baza recomandărilor din raportul de test se va realiza, în cel mult 30 de zile de la finalizarea testului, un plan de remediere, elaborat de către WT, care va fi remis, pentru punct de vedere BNR, în cel mult 10 zile de la finalizarea acestuia.
(2) Ulterior consultării BNR, planul de remediere va fi supus aprobării consiliului de administrație al entității testate, care va adresa toate deficiențele identificate în timpul testării și va stabili termenele de implementare a măsurilor de remediere.
(3) Entitatea are obligația să implementeze măsurile din planul de remediere la termenele stabilite.
(4) Conducerea entității testate va elabora un atestat privind realizarea testării conform cerințelor din prezentul regulament, care va fi remis, pentru aviz, către BNR și care va include informații referitoare la furnizorul TI și furnizorul RT.
(5) Entitatea informează BNR referitor la stadiul de implementare a planului de remediere, conform prevederilor art. 8 alin. (4).
CAPITOLUL IV
Măsuri și sancțiuni
Art. 32. — În situația în care BNR constată că cerințele prezentului regulament nu sunt respectate, poate stabili măsuri de remediere și termene de implementare entităților prevăzute la art. 1 alin. (2), în temeiul art. 407 din Ordonanța de urgență a Guvernului nr. 99/2006, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare.
Art. 33. — În situația în care BNR constată că nu sunt respectate măsurile stabilite de către BNR și/sau că măsurile de remediere prevăzute în planul de remediere nu sunt implementate corespunzător, în termenele de implementare stabilite, BNR poate aplica sancțiuni entităților prevăzute la art. 1 alin. (2), în conformitate cu prevederile art. 408 din Ordonanța de urgență a Guvernului nr. 99/2006, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare.
Art. 34. — Dispozițiile art. 32 și 33 nu se aplică instituțiilor menționate la art. 1 alin. (3).
CAPITOLUL V
Dispoziții finale
Art. 35. — Testările TIBER-RO pot fi inițiate începând cu 30 de zile de la data intrării în vigoare a prezentului regulament, dar nu mai târziu de 3 ani de la data intrării în vigoare a prezentului regulament.
Art. 36. — Anexele nr. 1 și 2 fac parte integrantă din prezentul regulament.
Art. 37. — Prezentul regulament se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin Isărescu
București, 12 aprilie 2022.
Nr. 6.
ANEXA Nr. 1
Solicitare testare TIBER-RO
Data cererii | |
Denumirea | |
Sediul social | |
Numele și datele persoanei de contact | |
Perioada propusă pentru realizarea testării |
ANEXA Nr. 2
Cerințe, certificări și calificări aplicabile furnizorilor TI și RT
I. Cerințe aplicabile furnizorilor TI
A. Furnizorul TI (la nivel de persoană juridică) trebuie:
1. să prezinte cel puțin 3 referințe de la instituții din domeniul financiar, din țară sau din străinătate, pentru care a furnizat rapoarte de amenințări și vulnerabilități;
2. să dispună de o asigurare de răspundere civilă în vigoare pentru activitățile care au fost convenite în contract și/sau care decurg din conduite incorecte, neglijență etc.
B. Coordonatorul echipei TI trebuie:
1. să dețină cel puțin 5 ani de experiență în domeniul furnizării rapoartelor de amenințări și vulnerabilități, din care cel puțin 3 ani pentru domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experiența în domeniu și cel puțin 3 referințe de la instituții financiare privind rapoartele de amenințări și vulnerabilități furnizate;
3. preferabil, să fie certificat cu cel puțin una dintre calificările prevăzute la pct. III;
4. În cazul în care cerința prevăzută la pct. 3 nu este îndeplinită, coordonatorul echipei TI trebuie să fie certificat cu cel puțin una dintre calificările prevăzute la pct. IV.
C. Membrii echipei TI trebuie:
1. să dispună de cel puțin 2 ani de experiență în domeniul furnizării rapoartelor de amenințări și vulnerabilități;
2. să prezinte un curriculum vitae actualizat din care să reiasă experiența în domeniu;
3. să fie certificați cu cel puțin una dintre calificările prevăzute la pct. IV;
4. echipa TI trebuie să aibă o compoziție multidisciplinară, vizând o gamă variată de abilități (de exemplu, OSINT — informații din surse deschise, HUMINT — informații din surse umane și cunoștințe geopolitice).
II. Cerințe aplicabile furnizorilor RT
A. Furnizorul RT (la nivel de persoană juridică) trebuie:
1. să prezinte cel puțin 5 referințe de la instituții din domeniul financiar, din țară sau din străinătate, privind teste de penetrare executate, preferabil de tip echipă RT;
2. să dispună de o asigurare de răspundere civilă în vigoare pentru activitățile care au fost convenite în contract și/sau care decurg din conduite incorecte, neglijență etc.
B. Coordonatorul RT trebuie:
1. să dețină cel puțin 5 ani de experiență în domeniul realizării testelor de penetrare a infrastructurii informatice, din care cel puțin 3 ani în domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experiența în domeniu și cel puțin 3 referințe de la instituții financiare privind testele de penetrare realizate;
3. să fie certificat cu cel puțin una dintre calificările prevăzute la pct. III.
C. Membrii RT trebuie:
1. să dispună de cel puțin 2 ani de experiență în domeniul realizării testelor de penetrare a infrastructurii informatice, în domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experiența în domeniu;
3. să fie certificați cu cel puțin una dintre calificările prevăzute la pct. IV;
4. RT trebuie să aibă o compoziție multidisciplinară, vizând o gamă variată de abilități (de exemplu, cunoștințe de afaceri, teste de penetrare, recunoaștere, informații despre amenințări, gestionarea riscurilor, inginerie socială, analiză a vulnerabilităților sau combinații ale acestora).
III. Certificări ale coordonatorilor echipei TI sau ale coordonatorilor RT:
Organism de certificare | Calificarea |
CREST | CREST Certified Threat Intelligence Manager (CCTIM) |
CREST | CREST Certified Simulated Attack Manager (CCSAM) |
Offensive Security | Offensive Security Certified Expert (OSCE) |
eLearnSecurity | eLearnSecurity Certified Penetration Tester eXtreme (eCPTX) |
IV. Calificări ale membrilor echipei TI sau ale membrilor RT:
Organism de certificare | Calificarea |
CREST | CREST Certified Simulated Attack Specialist (CCSAS) |
ISACA | CSX Penetration & Vulnerability Tester Pathway CSX-P — Cybersecurity Practitioner Certification |
(ISC)2 | Certified Information Systems Security Professional (CISSP) Systems Security Certified Practitioner (SSCP) |
SANS Institute — GIAC | GIAC Penetration Tester (GPEN) GIAC Web Application Penetration Tester (GWAPT) GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) GIAC Mobile Device Security Analyst (GMOB) GIAC Assessing and Auditing Wireless Networks (GAWN) |
Organism de certificare | Calificarea |
Offensive Security | Offensive Security Certified Professional (OSCP) Offensive Security Wireless Professional (OSWP) Offensive Security Exploitation Expert (OSEE) Offensive Security Web Expert (OSWE) |
eLearnSecurity | eLearnSecurity Certified Professional Penetration Tester (eCPPT) eLearnSecurity Web Application Penetration Tester (eWPT) eLearnSecurity Web Application Penetration Tester eXtreme (eWPTX) eLearnSecurity Mobile Application Penetration Tester (eMAPT) eLearnSecurity Certified eXploit Developer (eCXD) |
Altele | EC-Council Certified Security Analyst (ECSA) Licensed Penetration Tester (LPT) Certified Ethical Hacker (CEH) |
| ← HOTĂRÂRE privind suplimentarea pe anul 2022 a sumei prevăzute... |
|---|
