Având în vedere prevederile art. 2 alin. (2) lit. b) şi ale art. 22 alin. (1) şi (2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, ale art. 404, 407 şi ale art. 408 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare,
luând în considerare metodologia TIBER-EU dezvoltată la nivelul Băncii Centrale Europene, prin care se stabileşte cadrul european de testare a rezilienţei cibernetice a instituţiilor financiare, prin realizarea unor teste controlate, care simulează atacuri de natură cibernetică ale unor entităţi avansate şi persistente, pe baza informaţiilor privind ameninţările şi vulnerabilităţile specifice entităţii testate,
în temeiul art. 48 alin. (2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României şi ale art. 405 lit. c) şi e) şi art. 420 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare,
Banca Naţională a României emite următorul regulament:
CAPITOLUL IObiect, domeniu de aplicare şi definiţii
Art. 1. -
(1) Prezentul regulament stabileşte cadrul de testare a rezilienţei cibernetice, prin desfăşurarea unor atacuri cibernetice simulate, cu grad ridicat de complexitate şi bazate pe informaţii despre vulnerabilităţile şi ameninţările la care entităţile sunt supuse în realitate, denumit în continuare cadrul TIBER-RO.
(2) Prezentul regulament se aplică administratorilor de infrastructuri ale pieţei financiare aflaţi în aria de monitorizare a Băncii Naţionale a României, denumită în continuare BNR, precum şi instituţiilor de credit desemnate drept participanţi critici la infrastructurile pieţei financiare.
(3) Instituţiile participante la infrastructurile pieţei financiare, care nu sunt desemnate participanţi critici, pot să realizeze testul TIBER-RO în mod voluntar.
Art. 2. -
În înţelesul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) active informaţionale - date sau alte cunoştinţe care au valoare pentru instituţie, inclusiv sisteme ale tehnologiei informaţiei şi comunicaţiilor, configuraţiile acestora, alte infrastructuri, precum şi conexiunile cu alte sisteme externe şi interne;
b) actor statal - unitate de luptă cibernetică sau grup susţinut de către un stat care ameninţă cibernetic o entitate testată;
c) ameninţare cibernetică - potenţial atac, desfăşurat cu precădere cu mijloace informatice de către atacatori avansaţi din punct de vedere tehnologic şi persistenţi, inclusiv grupări de crimă organizată sau actori statali, care afectează confidenţialitatea, integritatea sau disponibilitatea resurselor care susţin funcţiile critice ale entităţii testate;
d) colectare de informaţii în mod activ - tehnică de obţinere a informaţiilor despre activele informaţionale ale entităţilor testate, prin angajarea în interacţiune directă cu sistemele informatice şi cu personalul entităţilor testate şi prin evaluarea răspunsului acestora la diverşi stimuli;
e) colectare de informaţii în mod pasiv - tehnică de obţinere a informaţiilor despre activele informaţionale ale entităţilor testate fără a interacţiona direct cu acestea;
f) CTI (Cyber Threat Intelligence) - procesul prin care sunt colectate, analizate şi interpretate date şi informaţii, în scopul identificării atacurilor cibernetice şi a autorilor acestora şi cunoaşterii unor elemente esenţiale legate de modul de operare, motivele, intenţiile, resursele şi capabilităţile acestora;
g) echipa albastră (Blue Team) - BT - întreg personalul entităţii testate care sprijină îndeplinirea funcţiilor critice ale acesteia, cu excepţia personalului echipei albe, ale căror capacităţi de prevenire, detectare şi răspuns sunt testate, fără a fi informat în prealabil despre desfăşurarea testului;
h) echipa albă (White Team) - WT - echipa desemnată de către entitatea testată pentru elaborarea documentului Sfera de cuprindere a testului achiziţia furnizorilor Threat Intelligence şi Red Team şi coordonarea testului, fiind singura structură din cadrul entităţii care cunoaşte toate detaliile legate de test şi care va reprezenta entitatea în relaţia cu BNR, cu furnizorul Threat Intelligence şi cu furnizorul Red Team;
i) echipa roşie (Red Team) - RT - echipa externă din cadrul furnizorului Red Team care efectuează atacul simulat asupra entităţii testate în scopul de a testa rezilienţa cibernetică a acesteia;
j) echipa TI (Threat Intelligence) - echipa din cadrul furnizorului Threat Intelligence care, pe baza analizei de tip Cyber Threat Intelligence şi Targeted cyber threat intelligence, elaborează raportul Threat Intelligence la adresa entităţii testate;
k) entitate sau instituţie testată - are semnificaţia prevăzută la art. 1 alin. (2) sau, după caz, alin. (3) din prezentul regulament;
l) funcţii critice - funcţiile entităţii testate, necesare pentru funcţionarea unei infrastructuri a pieţei financiare sau pentru participarea acesteia la infrastructuri ale pieţei financiare, care necesită anumite resurse de personal, informaţii, procese şi tehnologii şi care, dacă ar fi afectate, ar putea avea un impact negativ semnificativ asupra: stabilităţii financiare, siguranţei şi solidităţii entităţii, clienţilor entităţii sau pieţei în care activează entitatea;
m) furnizor RT - persoana juridică contractată de către entitatea testată pentru a furniza servicii de testare cibernetică utilizând o echipă de tip Red Team;
n) furnizor TI - persoana juridică contractată de către entitatea testată pentru a furniza servicii de informaţii de tip Cyber Threat Intelligence şi Targeted cyber threat intelligence, utilizând o echipă de Threat Intelligence;
o) participant critic - entitate definită în art. 2 pct. 53 din Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, cu modificările şi completările ulterioare;
p) raport de test - raport formal prevăzut la art. 28 din prezentul regulament;
q) raport TI - raportul de ameninţări şi vulnerabilităţi de natură cibernetică la adresa entităţii testate, care conţine analiza de tip Targeted cyber threat intelligence specifică entităţii testate, în contextul informaţiilor de tip Cyber Threat Intelligence despre ameninţările specifice naţionale de natură cibernetică, luând în considerare activităţile de tip Advanced Persistent Threat la nivelul sectorului financiar bancar, într-o perioadă de minimum 12 luni înaintea desfăşurării testului TIBER-RO;
r) rezilienţă cibernetică - capacitatea unei entităţi de a anticipa ameninţările cibernetice, de a rezista la atacurile cibernetice, de a limita amploarea consecinţelor unui atac cibernetic şi de a relua activitatea după astfel de atacuri;
s) sfera de cuprindere a testului - document formal care include elementele prevăzute la art. 20 alin. (1) din prezentul regulament;
t) Targeted cyber threat intelligence - informaţii cu privire la ameninţări şi vulnerabilităţi de natură cibernetică de tip Cyber Threat Intelligence, care vizează cel puţin, dar fără a se limita la acestea: (i) descrierea generală a atacurilor de tip Advanced Persistent Threat care pot ataca entităţile testate; (ii) vulnerabilităţile resurselor care sprijină funcţiile critice ale entităţilor testate; (iii) tacticile, tehnicile şi procedurile utilizate în atacurile de tip Advanced Persistent Threat, prin care acestea ar putea exploata vulnerabilităţile entităţilor testate.
CAPITOLUL IIDispoziţii generale
SECŢIUNEA 1Condiţii generale
Art. 3. -
(1) Entităţile prevăzute la art. 1 alin. (2) realizează testul TIBER-RO cel puţin o dată la 3 ani, în condiţiile stabilite prin prezentul regulament.
(2) În vederea asigurării şi menţinerii unui cadru solid de gestionare a riscurilor pe toată durata desfăşurării testului TIBER-RO, entitatea stabileşte proceduri, procese şi controale adecvate, vizând inclusiv operaţiunile desfăşurate de furnizorul TI şi furnizorul RT, pentru a identifica, monitoriza şi gestiona în mod cuprinzător toată gama de riscuri asociate acestui test.
(3) În aplicarea alin. (1), entităţile asigură respectarea cerinţelor de desfăşurare a testului TIBER-RO, inclusiv prin contractele încheiate cu furnizorii TI şi cu furnizorii RT.
Art. 4. -
(1) Testele de tip TIBER-RO, denumite în continuare teste, vizează:
a) funcţiile critice ale entităţii testate;
b) infrastructura informatică de producţie, informaţiile, procedurile, personalul şi serviciile externalizate, utilizate de entitate, care susţin funcţiile critice ale entităţii testate.
(2) Testele simulează, într-un mod controlat, atacuri de natură cibernetică ale unor atacatori avansaţi din punct de vedere tehnologic şi persistenţi, inclusiv grupări de crimă organizată sau actori statali, care pot afecta disponibilitatea, integritatea şi confidenţialitatea resurselor care susţin funcţiile critice ale entităţii testate, folosind instrumente, metode şi tehnici specifice acestor atacatori, cu scopul de a verifica şi îmbunătăţi rezilienţa cibernetică a entităţii testate.
Art. 5. -
(1) BNR monitorizează testele pe tot parcursul desfăşurării acestora, urmărind să fie respectate cerinţele prezentului regulament, iar, în caz contrar, poate solicita întreruperea procesului de testare sau implementarea unor măsuri de remediere pentru a se asigura conformitatea cu prevederile prezentului regulament.
(2) În sensul alin. (1), BNR furnizează îndrumare WT pe toată durata desfăşurării testului, avizează întreaga documentaţie întocmită de către WT, furnizorii TI şi furnizorii RT cu privire la test, precum şi documentul prevăzut la art. 31 alin. (4) din prezentul regulament şi monitorizează implementarea măsurilor stabilite în planurile de remediere.
(3) Entităţile testate transmit BNR orice informaţii solicitate de aceasta pentru monitorizarea efectuării testelor TIBER-RO.
SECŢIUNEA a 2-aEtapele testului
Art. 6. -
Demararea testelor se realizează prin transmiterea unei solicitări de către entitatea care urmează să facă obiectul testării către BNR, conform anexei nr. 1 la prezentul regulament.
Art. 7. -
Testul se desfăşoară în următoarele etape succesive:
a) stabilirea perioadei de desfăşurare a testului şi stabilirea WT de către entitatea care urmează să facă obiectul testării;
b) stabilirea şi documentarea sferei de cuprindere a testului de către WT şi aprobarea acesteia de către consiliul de administraţie al entităţii care urmează să facă obiectul testării;
c) selectarea furnizorului TI şi a furnizorului RT de către WT şi contractarea serviciilor acestora;
d) elaborarea de către furnizorul TI a raportului TI la adresa entităţii testate, pe baza sferei de cuprindere a testului, în colaborare cu WT şi, dacă este cazul, şi cu furnizorul RT;
e) elaborarea de către furnizorul RT a planului de testare a entităţii testate, pe baza raportului TI, în colaborare cu WT şi furnizorul TI;
f) aplicarea de către furnizorul RT a planului de testare a entităţii testate, în colaborare cu WT şi, dacă este cazul, şi cu furnizorul TI;
g) finalizarea testului, care implică:
(i) întocmirea de către furnizorul RT a raportului de test;
(ii) întocmirea de către structura responsabilă de securitatea cibernetică a entităţii testate a raportului de acţiune al BT;
(iii) efectuarea exerciţiului de reconstituire a testului, cu participarea tuturor părţilor implicate;
(iv) elaborarea de către furnizorul RT a unui rezumat al rezultatelor testării, transmis BNR;
(v) elaborarea de către WT a unui plan de remediere, în colaborare cu structura responsabilă de securitatea cibernetică a entităţii testate, în baza recomandărilor din Raportul de test, aprobat de către consiliul de administraţie al entităţii testate.
Art. 8. -
(1) Toate documentele întocmite în legătură cu procesul de testare, precum şi comunicările aferente trebuie să fie în limba română sau în limba engleză şi sunt confidenţiale, cu un regim de diseminare controlat, bazat pe principiul "necesităţii de a cunoaşte".
(2) Pe parcursul întregului proces trebuie folosit un nume de cod, stabilit de către WT, pentru a păstra confidenţialitatea entităţii testate.
(3) Raportul de test şi raportul de acţiune al BT sunt păstrate de către entitatea testată şi sunt consultate de reprezentanţii BNR exclusiv la faţa locului.
(4) Entitatea testată informează semestrial BNR cu privire la îndeplinirea măsurilor stabilite prin Planul de remediere, dar nu mai târziu de 15 zile de la începutul fiecărui semestru.
SECŢIUNEA a 3-aLimitări ale testelor de tip TIBER-RO
Art. 9. -
Cadrul contractual încheiat de către entităţile testate cu furnizorii TI şi RT trebuie să cuprindă cel puţin:
a) obligaţia furnizorilor TI şi RT de păstrare a confidenţialităţii cu privire la toate datele dobândite de aceştia în procesul de efectuare a testelor;
b) Interdicţia de:
(i) a distruge echipamentele entităţii testate;
(ii) a modifica necontrolat datele, programele informatice sau configuraţiile sistemelor informatice ale entităţii testate;
(iii) a periclita continuitatea funcţiilor critice ale entităţii testate;
(iv) a dezvălui, în afara cadrului stabilit prin acest regulament, informaţiile privind ameninţările şi vulnerabilităţile specifice entităţii testate şi/sau rezultatele testului.
Art. 10. -
(1) Până la finalizarea testului, informaţiile referitoare la test sunt cunoscute exclusiv de către WT, consiliul de administraţie al entităţii, furnizorul TI, furnizorul RT şi BNR.
(2) În cazul în care BNR constată, prin orice mijloace, că există informaţii referitoare la test care au ajuns la cunoştinţa BT înainte de finalizarea testului, BNR va informa, în scris, entitatea cu privire la obligaţia de a relua testul de la început.
(3) În cazul în care BNR constată că testul nu se desfăşoară cu un control adecvat sau că cerinţele prezentului regulament nu sunt respectate, informează imediat WT şi solicită aplicarea cu celeritate a măsurilor de remediere necesare. Dacă situaţia de neconformitate persistă, BNR solicită entităţii întreruperea testului până la remedierea deficienţelor constatate.
Art. 11. -
(1) Testarea se realizează doar de către furnizorii TI şi RT şi membrii echipelor TI şi RT care îndeplinesc cerinţele prevăzute în anexa nr. 2, contractaţi în prealabil, cu respectarea specificaţiilor testului.
(2) Pentru asigurarea obiectivităţii procesului de testare, entitatea poate să utilizeze acelaşi furnizor TI sau RT pentru realizarea a cel mult două teste consecutive.
SECŢIUNEA a 4-aCerinţe aplicabile WT
Art. 12. -
(1) Membrii WT deţin o gamă adecvată de competenţe tehnice, cunoştinţe, experienţă şi un nivel ierarhic ridicat şi au responsabilităţi în cel puţin unul dintre următoarele domenii:
a) operarea funcţiilor critice ale entităţii;
b) continuitatea activităţii entităţii;
c) gestionarea riscurilor operaţionale şi de securitate informatică ale entităţii;
d) procesul de achiziţie de servicii pentru entitate;
e) furnizarea de asistenţă juridică referitoare la contractele de prestări servicii şi legislaţia aferentă funcţionării entităţii.
(2) În aplicarea alin. (1), în funcţie de structura şi modul de organizare a entităţii, WT trebuie să fie alcătuită din minimum 3 şi maximum 7 persoane care deţin una dintre următoarele funcţii sau echivalent sau aparţin uneia dintre următoarele categorii de personal:
a) COO (Chief Operating Officer) - coordonatorul funcţiei care se ocupă de supervizarea operaţiunilor curente ale organizaţiei;
b) CIO (Chief Information Officer) - coordonatorul funcţiilor de gestionare, implementare şi utilizare a tehnologiilor informatice;
c) CTO (Chief technology officer) - coordonatorul funcţiei care se ocupă de dezvoltările şi implementările tehnologice în organizaţie;
d) CISO (Chief Information Security Officer) - coordonatorul funcţiei care se ocupă de securitatea informaţiilor.
Art. 13. -
(1) WT este coordonată de un manager, ce raportează direct către consiliul de administraţie al entităţii, reprezintă entitatea în relaţia cu BNR şi cu restul entităţilor participante la testare şi este împuternicit să semneze orice documente şi contracte în numele entităţii în scopul derulării testului.
(2) Coordonatorul WT:
a) trebuie să deţină abilităţi de coordonare şi experienţă în funcţionarea entităţii şi a infrastructurii acesteia (inclusiv a activităţii referitoare la tehnologia informaţiei şi comunicaţiilor şi a operaţiunilor comerciale desfăşurate);
b) este preferabil să deţină experienţă în colaborarea cu alte departamente relevante ale entităţii (de exemplu: operaţional, juridic, achiziţii, comercial, securitate fizică, fraudă etc.) şi în testarea rezilienţei cibernetice, preferabil în testarea de tip RT.
(3) Prin excepţie de la prevederile alin. (2) lit. b), în situaţia în care coordonatorul WT nu deţine unele dintre respectivele abilităţi, acestea trebuie să fie asigurate de alţi membri ai WT.
Art. 14. -
WT are următoarele responsabilităţi:
a) implementează procedurile, procesele şi controalele stabilite la art. 3 alin. (2) şi (3);
b) elaborează sfera de cuprindere a testului şi desfăşoară procesul de contractare a furnizorului TI şi a furnizorului RT, urmărind implementarea tuturor măsurilor necesare pentru gestionarea riscurilor şi păstrarea confidenţialităţii informaţiilor;
c) în scopul asigurării îndeplinirii criteriilor de bună reputaţie, onestitate şi integritate, solicită furnizorilor TI şi RT caziere judiciare sau documente similare care să ateste lipsa antecedentelor penale ale furnizorilor contractaţi, ale coordonatorilor şi ale membrilor echipei TI şi, respectiv, ale membrilor RT;
d) avizează raportul TI, planul de testare, raportul de test, raportul de acţiune al BT;
e) monitorizează continuu respectarea de către echipa TI şi de către RT a documentaţiei de test, colaborează permanent cu BNR şi asigură buna desfăşurare a testului;
f) elaborează planul de remediere şi îl înaintează spre aprobare consiliului de administraţie al entităţii.
SECŢIUNEA a 5-aCerinţe aplicabile furnizorilor TI şi furnizorilor RT aferente cadrului contractual cu entitatea testată
Art. 15. -
Furnizorul TI trebuie să utilizeze metodologii bine fundamentate pentru documentarea şi recunoaşterea ameninţărilor, precum şi să fie capabil să explice evoluţia acestora şi modul în care conduc la rezultate eficace în cadrul testelor RT. Metodologiile trebuie să fie întocmite astfel încât să demonstreze entităţii că furnizorul TI este în măsură:
a) să obţină un context util pentru efectuarea analizei privind ameninţările;
b) să documenteze situaţia actuală a entităţii din punctul de vedere al riscurilor cibernetice;
c) să documenteze şi să fundamenteze pregătirea atacului;
d) să colaboreze cu celelalte părţi implicate în testare;
e) să aibă o viziune comprehensivă asupra sectorului financiar în care entitatea operează;
f) să realizeze evaluări şi analize privind riscurile;
g) să îşi operaţionalizeze metodologiile într-un mod clar, transparent şi flexibil.
Art. 16. -
(1) Furnizorul TI trebuie să elaboreze raportul TI, pornind de la sfera de cuprindere a testului, şi să îl transmită către furnizorul RT, WT şi BNR pentru revizuire.
(2) Furnizorul TI trebuie să colaboreze cu WT şi cu furnizorul RT pe toată durata testării, prin oferirea de asistenţă pentru furnizorul RT în stabilirea scenariilor de atac şi actualizarea informaţiilor obţinute pe măsură ce atacul RT avansează.
(3) Raportul TI nu trebuie să fie condiţionat de experienţa furnizorului RT şi de capacitatea RT de a-l pune în aplicare.
(4) Furnizorul TI şi furnizorul RT pot fi aceeaşi persoană juridică, dar personalul echipei TI trebuie să fie diferit de personalul RT.
(5) Furnizorul TI şi furnizorul RT, respectiv personalul implicat în desfăşurarea testelor trebuie să dispună de o bună reputaţie, onestitate şi integritate.
Art. 17. -
Furnizorul RT trebuie să utilizeze metodologii bine fundamentate de management al riscului şi:
a) să obţină un set de informaţii relevante pentru a asigura penetrarea sistemelor informatice ale entităţii testate, bazându-se pe informaţiile din raportul TI şi pe cele obţinute utilizând metodele de colectare de informaţii utilizate de către atacatorii cibernetici;
b) să înregistreze şi raporteze WT toate acţiunile întreprinse în cadrul testării;
c) să aibă o viziune cuprinzătoare asupra sectorului financiar în care entitatea testată operează;
d) să elaboreze şi să execute planul de testare a entităţii testate, pornind de la raportul TI şi având în vedere sfera de cuprindere a testului;
e) să colaboreze cu WT şi cu furnizorul TI în etapa de elaborare a planului de testare, pe întreaga durată a testării şi în etapa de încheiere;
f) să aplice, dacă este cazul, şi alte scenarii de atac, identificate în colaborare cu furnizorul TI şi aprobate de către WT;
g) să urmeze o metodologie de testare etică şi riguroasă;
h) să ia toate măsurile necesare pentru ca funcţiile critice ale entităţii testate să nu fie perturbate;
i) să informeze WT, furnizorul TI şi BNR, ori de câte ori i se solicită sau consideră că este cazul, cu privire la progresul din timpul testării şi referitor la obiectivele ce urmează a fi atinse în timpul testului;
j) să elaboreze şi să transmită raportul de test către WT şi furnizorul TI pentru revizuire;
k) să participe la exerciţiul de reconstituire a testului.
Art. 18. -
(1) Cerinţele prevăzute de prezentul regulament în legătură cu furnizorii TI şi furnizorii RT sunt integrate în cadrul contractual încheiat de către entităţile testate cu aceştia.
(2) Cadrul contractual dintre entităţile testate şi furnizorii TI şi RT trebuie să includă clauze privind confidenţialitatea şi protecţia datelor cu caracter personal şi să prevadă garanţii adecvate pentru respectarea cerinţelor legislaţiei incidente în domeniul datelor cu caracter personal.
CAPITOLUL IIIDesfăşurarea testului TIBER-RO
SECŢIUNEA 1Iniţierea testului
Art. 19. -
(1) După primirea solicitării prevăzute la art. 6, BNR solicită entităţii care face obiectul testării să stabilească WT şi furnizează entităţii informaţii relevante cu privire la: procesul de testare, rolurile şi responsabilităţile părţilor implicate, precum şi orice alte informaţii necesare pentru derularea testului, în conformitate cu cerinţele prezentului regulament.
(2) BNR poate solicita ajustarea perioadei de realizare a testului pentru a asigura eficienţa monitorizării acestuia.
Art. 20. -
(1) În vederea testării, WT documentează sfera de cuprindere a testului, identificând cel puţin următoarele:
a) funcţiile critice ale entităţii testate;
b) toate resursele de personal, informaţii, tehnologii şi proceduri care contribuie la furnizarea funcţiilor critice ale entităţii testate, inclusiv acele sisteme/procese/servicii externalizate către terţi;
c) ţintele şi obiectivele pe care echipa RT trebuie să le atingă în timpul testului.
(2) Obiectivele testului trebuie să fie formulate în sensul de a demonstra că integritatea, confidenţialitatea sau disponibilitatea resurselor care susţin funcţiile critice ale entităţii testate pot fi afectate de un atacator, fără să afecteze buna funcţionare a entităţii.
(3) Documentul privind sfera de cuprindere a testului este aprobat de către consiliul de administraţie al entităţii testate.
Art. 21. -
(1) WT achiziţionează serviciile furnizorilor TI şi furnizorilor RT după ce verifică îndeplinirea de către aceştia a cerinţelor din prezentul regulament.
(2) WT prezintă BNR toate documentele şi informaţiile necesare din care rezultă că furnizorii TI şi furnizorii RT şi, respectiv, coordonatorii şi membrii echipelor TI şi RT contractaţi pentru derularea testului îndeplinesc cerinţele minime prevăzute în prezentul regulament.
SECŢIUNEA a 2-aRealizarea testului
Art. 22. -
Furnizorul TI realizează o analiză exactă a ameninţărilor şi vulnerabilităţilor specifice entităţii testate evaluate, pe baza sferei de cuprindere a testului, a celor mai noi informaţii referitoare la vulnerabilităţile şi ameninţările de natură cibernetică la nivel internaţional şi/sau asupra sectorului financiar naţional, precum şi pe baza raţionamentului profesional.
Art. 23. -
(1) În urma analizei ameninţărilor şi vulnerabilităţilor specifice entităţii testate, furnizorul TI elaborează raportul TI, pe care furnizorul RT îl va folosi în faza de testare.
(2) Etapa de analiză şi elaborare a raportului TI trebuie să fie una corespunzătoare complexităţii entităţii testate, nu mai mică de 5 săptămâni, iar colectarea de informaţii trebuie să se desfăşoare exclusiv în mod pasiv, pentru a nu alerta BT.
(3) WT pune la dispoziţia furnizorului TI rezumatele rapoartelor de test, elaborate la testele anterioare de tip TIBER, dacă există.
(4) WT poate sprijini furnizorul TI, la cererea acestuia, cu informaţii care, într-un scenariu realist, ar putea fi obţinute într-o perioadă rezonabilă de timp de un atacator avansat şi persistent, în scopul de a reduce timpul necesar furnizorului TI pentru a formula un raport TI comprehensiv.
Art. 24. -
(1) Pe baza raportului TI, furnizorul RT elaborează planul de testare a entităţii testate, care detaliază minimum trei scenarii de atac cibernetic, cu identificarea tacticilor, tehnicilor şi procedurilor ce vor fi utilizate pentru a atinge ţintele şi obiectivele stabilite în sfera de cuprindere a testului.
(2) WT pune la dispoziţia furnizorului RT rezumatele rapoartelor de test, elaborate la testele anterioare de tip TIBER.
(3) Scenariile de atac cibernetic trebuie să includă două scenarii de atac similare cu cele suferite anterior de instituţii financiare şi un scenariu nou, care să utilizeze elemente din mai multe atacuri reale.
(4) Suplimentar celor stabilite la alin. (3) vor fi incluse şi scenariile executate cu succes în cadrul ultimului test de tip TIBER, realizat de către entitate conform prezentului regulament.
(5) Planul de testare trebuie să includă şi modalităţi de acces fizic în cadrul entităţii testate şi posibilitatea de a introduce în reţeaua entităţii testate dispozitive de către RT, respectiv orice obiect care în urma conectării cu infrastructura tehnică a entităţii testate favorizează atingerea obiectivelor de atac ale RT.
Art. 25. -
(1) Testarea se realizează în mod controlat şi documentat de către RT, cu respectarea planului de testare a entităţii testate, urmând toate fazele descrise în plan şi utilizând doar personalul stabilit în contract.
(2) La cererea RT, WT poate decide să acorde sprijin echipei RT, prin furnizarea unor informaţii sau a unui cont de utilizator şi/sau a unui echipament instalat în cadrul entităţii testate, în vederea depăşirii unor obstacole într-un timp rezonabil de către echipa RT, având în vedere faptul că un atacator avansat şi persistent ar fi avut suficient timp şi resurse la dispoziţie pentru a accesa infrastructura entităţii testate.
Art. 26. -
RT trebuie să realizeze testarea etapizat, pe o perioadă de cel puţin 10 săptămâni de la momentul începerii testării efective, pentru a limita probabilitatea de detecţie de către echipa BT, şi trebuie să informeze imediat WT, prin canalele de comunicare agreate, în legătură cu atingerea fiecărui obiectiv.
Art. 27. -
În situaţia în care BT detectează atacul cibernetic simulat în cursul testării şi intenţionează să alerteze cu privire la acest incident partenerii externi, autorităţile de resort sau alte entităţi ori să informeze publicul, WT trebuie să împiedice escaladarea incidentului, să păstreze confidenţialitatea testului faţă de BT şi să informeze imediat RT şi BNR.
SECŢIUNEA a 3-aFinalizarea testului şi rapoartele de testare
Art. 28. -
În cel mult 10 zile lucrătoare de la momentul finalizării testului şi comunicării acestui fapt, în scris, către BNR de către WT, furnizorul RT, în colaborare cu furnizorul TI, elaborează raportul de test, în care include:
a) rezumatul testului;
b) obiectivele atinse şi recomandările privind măsurile urgente care trebuie întreprinse de entitate în vederea întăririi rezilienţei cibernetice;
c) lista cu toate acţiunile efectuate de către furnizorul RT în cadrul testului. Pentru fiecare acţiune, furnizorul RT documentează cel puţin, dar fără a se limita la acestea:
(i) tacticile, tehnicile şi procedurile de atac utilizate;
(ii) vulnerabilităţile vizate sau exploatate;
(iii) condiţiile necesare atacatorului pentru a îndeplini obiectivul de atac;
(iv) modul de declanşare a acţiunii pe echipamentele entităţii testate;
(v) efectul acţiunii pe dispozitivele din sistemul informatic al entităţii testate;
(vi) toate modificările efectuate în timpul acţiunii pe dispozitivele din sistemul informatic al entităţii testate;
(vii) modul în care se poate detecta acţiunea şi/sau eventualele faze intermediare ale acţiunii pe dispozitivele din sistemul informatic al entităţii testate;
(viii) modul în care se poate/pot preveni acţiunea şi/sau eventualele faze intermediare ale acţiunii pe dispozitivele din sistemul informatic al entităţii testate;
(ix) modul de răspuns indicat pentru BT în cazul acţiunii şi/sau al eventualelor faze intermediare ale acţiunii pe dispozitivele din sistemul informatic al entităţii testate.
Art. 29. -
(1) BT este informată de către WT despre test şi, pe baza raportului de test, realizează raportul de acţiune al BT, care documentează toate acţiunile întreprinse de către BT, aflate în strânsă legătură cu acţiunile de atac efectuate de RT şi descrise în raportul de test.
(2) Raportul de acţiune al BT este elaborat în colaborare cu RT şi vizat de către WT.
Art. 30. -
După finalizarea rapoartelor prevăzute la art. 28 şi 29 se creează o echipă din care fac parte reprezentanţi ai BT şi reprezentanţi ai RT, care vor participa la exerciţiul de reconstituire a testului şi vor colabora pentru a identifica:
a) dacă toate acţiunile RT au generat în sistemul informatic al entităţii testate înregistrări în jurnalele de sistem sau alte informaţii relevante pentru a indica un posibil atac în desfăşurare, astfel încât BT să declanşeze procedurile de răspuns la incidente;
b) dacă toate acţiunile RT au generat alerte în sistemele de detecţie şi de prevenţie implementate în sistemul informatic al entităţii testate, astfel încât BT să fie informată despre un posibil atac în desfăşurare şi să declanşeze procedurile de răspuns la incidente;
c) dacă măsurile de răspuns la incidente ale BT au fost eficiente şi eficace;
d) dacă RT ar fi acţionat în mod diferit, cât de adecvate ar fi fost măsurile luate de BT;
e) modalităţi de îmbunătăţire a metodelor de detecţie şi răspuns pentru BT.
Art. 31. -
(1) În baza recomandărilor din raportul de test se va realiza, în cel mult 30 de zile de la finalizarea testului, un plan de remediere, elaborat de către WT, care va fi remis, pentru punct de vedere BNR, în cel mult 10 zile de la finalizarea acestuia.
(2) Ulterior consultării BNR, planul de remediere va fi supus aprobării consiliului de administraţie al entităţii testate, care va adresa toate deficienţele identificate în timpul testării şi va stabili termenele de implementare a măsurilor de remediere.
(3) Entitatea are obligaţia să implementeze măsurile din planul de remediere la termenele stabilite.
(4) Conducerea entităţii testate va elabora un atestat privind realizarea testării conform cerinţelor din prezentul regulament, care va fi remis, pentru aviz, către BNR şi care va include informaţii referitoare la furnizorul TI şi furnizorul RT.
(5) Entitatea informează BNR referitor la stadiul de implementare a planului de remediere, conform prevederilor art. 8 alin. (4).
CAPITOLUL IVMăsuri şi sancţiuni
Art. 32. -
În situaţia în care BNR constată că cerinţele prezentului regulament nu sunt respectate, poate stabili măsuri de remediere şi termene de implementare entităţilor prevăzute la art. 1 alin. (2), în temeiul art. 407 din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare.
Art. 33. -
În situaţia în care BNR constată că nu sunt respectate măsurile stabilite de către BNR şi/sau că măsurile de remediere prevăzute în planul de remediere nu sunt implementate corespunzător, în termenele de implementare stabilite, BNR poate aplica sancţiuni entităţilor prevăzute la art. 1 alin. (2), în conformitate cu prevederile art. 408 din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare.
Art. 34. -
Dispoziţiile art. 32 şi 33 nu se aplică instituţiilor menţionate la art. 1 alin. (3).
CAPITOLUL VDispoziţii finale
Art. 35. -
Testările TIBER-RO pot fi iniţiate începând cu 30 de zile de la data intrării în vigoare a prezentului regulament, dar nu mai târziu de 3 ani de la data intrării în vigoare a prezentului regulament.
Art. 36. -
Anexele nr. 1 şi 2 fac parte integrantă din prezentul regulament.
Art. 37. -
Prezentul regulament se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României, Mugur Constantin Isărescu |
Bucureşti, 12 aprilie 2022.
Nr. 6.
ANEXA Nr. 1
Solicitare testare TIBER-RO
Data cererii |
|
Denumirea |
|
Sediul social |
|
Numele şi datele persoanei de contact |
|
Perioada propusă pentru realizarea testării |
|
ANEXA Nr. 2
Cerinţe, certificări şi calificări aplicabile furnizorilor TI şi RT
I. Cerinţe aplicabile furnizorilor TI
A. Furnizorul TI (la nivel de persoană juridică) trebuie:
1. să prezinte cel puţin 3 referinţe de la instituţii din domeniul financiar, din ţară sau din străinătate, pentru care a furnizat rapoarte de ameninţări şi vulnerabilităţi;
2. să dispună de o asigurare de răspundere civilă în vigoare pentru activităţile care au fost convenite în contract şi/sau care decurg din conduite incorecte, neglijenţă etc.
B. Coordonatorul echipei TI trebuie:
1. să deţină cel puţin 5 ani de experienţă în domeniul furnizării rapoartelor de ameninţări şi vulnerabilităţi, din care cel puţin 3 ani pentru domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experienţa în domeniu şi cel puţin 3 referinţe de la instituţii financiare privind rapoartele de ameninţări şi vulnerabilităţi furnizate;
3. preferabil, să fie certificat cu cel puţin una dintre calificările prevăzute la pct. III;
4. în cazul în care cerinţa prevăzută la pct. 3 nu este îndeplinită, coordonatorul echipei TI trebuie să fie certificat cu cel puţin una dintre calificările prevăzute la pct. IV.
C. Membrii echipei TI trebuie:
1. să dispună de cel puţin 2 ani de experienţă în domeniul furnizării rapoartelor de ameninţări şi vulnerabilităţi;
2. să prezinte un curriculum vitae actualizat din care să reiasă experienţa în domeniu;
3. să fie certificaţi cu cel puţin una dintre calificările prevăzute la pct. IV;
4. echipa TI trebuie să aibă o compoziţie multidisciplinară, vizând o gamă variată de abilităţi (de exemplu, OSINT - informaţii din surse deschise, HUMINT - informaţii din surse umane şi cunoştinţe geopolitice).
II. Cerinţe aplicabile furnizorilor RT
A. Furnizorul RT (la nivel de persoană juridică) trebuie:
1. să prezinte cel puţin 5 referinţe de la instituţii din domeniul financiar, din ţară sau din străinătate, privind teste de penetrare executate, preferabil de tip echipă RT;
2. să dispună de o asigurare de răspundere civilă în vigoare pentru activităţile care au fost convenite în contract şi/sau care decurg din conduite incorecte, neglijenţă etc.
B. Coordonatorul RT trebuie:
1. să deţină cel puţin 5 ani de experienţă în domeniul realizării testelor de penetrare a infrastructurii informatice, din care cel puţin 3 ani în domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experienţa în domeniu şi cel puţin 3 referinţe de la instituţii financiare privind testele de penetrare realizate;
3. să fie certificat cu cel puţin una dintre calificările prevăzute la pct. III.
C. Membrii RT trebuie:
1. să dispună de cel puţin 2 ani de experienţă în domeniul realizării testelor de penetrare a infrastructurii informatice, în domeniul financiar;
2. să prezinte un curriculum vitae actualizat din care să reiasă experienţa în domeniu;
3. să fie certificaţi cu cel puţin una dintre calificările prevăzute la pct. IV;
4. RT trebuie să aibă o compoziţie multidisciplinară, vizând o gamă variată de abilităţi (de exemplu, cunoştinţe de afaceri, teste de penetrare, recunoaştere, informaţii despre ameninţări, gestionarea riscurilor, inginerie socială, analiză a vulnerabilităţilor sau combinaţii ale acestora).
III. Certificări ale coordonatorilor echipei TI sau ale coordonatorilor RT:
Organism de certificare |
Calificarea |
CREST |
CREST Certified Threat Intelligence Manager (CCTIM) |
CREST |
CREST Certified Simulated Attack Manager (CCSAM) |
Offensive Security |
Offensive Security Certified Expert (OSCE) |
eLearnSecurity |
eLearnSecurity Certified Penetration Tester eXtreme (eCPTX) |
IV. Calificări ale membrilor echipei TI sau ale membrilor RT:
Organism de certificare |
Calificarea |
CREST |
CREST Certified Simulated Attack Specialist (CCSAS) |
ISACA |
CSX Penetration & Vulnerability Tester Pathway |
CSX-P - Cybersecurity Practitioner Certification |
(ISC)2 |
Certified Information Systems Security Professional (CISSP) |
Systems Security Certified Practitioner (SSCP) |
SANS Institute - GIAC |
GIAC Penetration Tester (GPEN) |
GIAC Web Application Penetration Tester (GWAPT) |
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) |
GIAC Mobile Device Security Analyst (GMOB) |
GIAC Assessing and Auditing Wireless Networks (GAWN) |
Offensive Security |
Offensive Security Certified Professional (OSCP) |
Offensive Security Wireless Professional (OSWP) |
Offensive Security Exploitation Expert (OSEE) |
Offensive Security Web Expert (OSWE) |
eLearnSecurity |
eLearnSecurity Certified Professional Penetration Tester (eCPPT) |
eLearnSecurity Web Application Penetration Tester (eWPT) |
eLearnSecurity Web Application Penetration Tester eXtreme (eWPTX) |
eLearnSecurity Mobile Application Penetration Tester (eMAPT) |
eLearnSecurity Certified eXploit Developer (eCXD) |
Altele |
EC-Council Certified Security Analyst (ECSA) |
Licensed Penetration Tester (LPT) |
Certified Ethical Hacker (CEH) |