ANHANG IV
Inhalt des Red-Team-Testplans (Artikel 11 Absatz 1)
Der Red-Team-Testplan enthält Informationen zu allen folgenden Punkten:
|
a) |
Kommunikationskanäle und -verfahren, |
|
b) |
für den Angriff zulässige und nicht zulässige Taktiken, Techniken und Verfahren, einschließlich ethischer Grenzen für Social Engineering, |
|
c) |
von den Testern zu ergreifende Risikomanagementmaßnahmen, |
|
d) |
Beschreibung jedes Szenarios, einschließlich
|
|
e) |
detaillierte Beschreibung jedes voraussichtlichen Angriffspfads, einschließlich der Voraussetzungen und etwaigen Hilfestellungen durch das Kontrollteam, mit Angabe der zeitlichen Vorgaben für deren Aktivierung und potenziellen Verwendung, |
|
f) |
Planung der Red-Teaming-Aktivitäten, einschließlich der Zeitplanung für die Durchführung jedes Szenarios, mindestens aufgeschlüsselt nach den drei Phasen, die ein Tester während der Testphase absolviert, d. h. Eindringen in die IKT-Systeme des Finanzunternehmens, Bewegung durch die IKT-Systeme und letztlich Erreichen des Angriffsziels und Rückzug aus den IKT-Systemen (In-, Through- und Out-Phase), |
|
g) |
Besonderheiten der Infrastruktur der Finanzunternehmen, die bei den Tests zu berücksichtigen sind, |
|
h) |
gegebenenfalls zusätzliche Informationen oder sonstige Ressourcen, die die Tester für die Ausführung der Szenarien benötigen. |