1. Wprowadzenie do Testów Warunków Skrajnych w Obszarze ICT
a. Definicja testów warunków skrajnych (stress testing) i ich rola w zarządzaniu ryzykiem operacyjnym.
b. Znaczenie testów warunków skrajnych w zapewnieniu odporności operacyjnej i cyberbezpieczeństwa Banku.
c. Wymogi regulacyjne dotyczące testowania odporności cyfrowej i zarządzania ryzykiem ICT.
2. Przegląd najlepszych praktyk w zakresie testowania warunków skrajnych ICT (NIST Cybersecurity Framework, ISO 27005).
3. Identyfikacja i Analiza Ryzyk ICT
a. Metodologie identyfikacji ryzyka ICT (analiza SWOT, analiza scenariuszowa, burza mózgów).
b. Kategorie ryzyk ICT:
c. Cyberataki (ransomware, DDoS, phishing, ataki APT).
d. Awarie systemów i infrastruktury IT.
e. Błędy ludzkie (nieumyślne, celowe).
f. Zagrożenia wewnętrzne (nieuczciwość pracowników).
g. Zagrożenia zewnętrzne (klęski żywiołowe, przerwy w dostawie energii).
h. Ocena prawdopodobieństwa i wpływu ryzyk (metody ilościowe i jakościowe).
i. Określenie kluczowych procesów biznesowych i systemów ICT, od których zależy ich działanie.
4. Udział komórek ICT w Przygotowaniu Scenariuszy Testów Warunków Skrajnych
a. Dlaczego zaangażowanie komórek ICT jest kluczowe?
i. Specjalistyczna wiedza techniczna.
ii. Zrozumienie działania systemów i infrastruktury IT.
iii. Identyfikacja potencjalnych luk i słabych punktów.
b. Sposoby zaangażowania komórek ICT:
i. Udział w sesjach burzy mózgów.
ii. Konsultacje techniczne.
iii. Pomoc w tworzeniu realistycznych scenariuszy.
iv. Weryfikacja wykonalności scenariuszy.
c. Przykłady zaangażowania komórek ICT w przygotowanie scenariuszy testowych:
i. Symulacja ataku ransomware na system bankowości internetowej.
ii. Awarie krytycznych systemów.
iii. Przeciążenia systemów.
5. Zasady Tworzenia Scenariuszy Testów Warunków Skrajnych
6. Realizm (oparte na realnych zagrożeniach i możliwościach).
7. Kompleksowość (uwzględniające zależności między systemami i procesami).
8. Mierzalność (umożliwiające ocenę skutków i efektywności).
9. Skalowalność (możliwość dostosowania do różnych scenariuszy i zakresów).
10. Kategorie scenariuszy testowych:
a. Scenariusze dotyczące cyberataków.
b. Scenariusze dotyczące awarii systemów.
c. Scenariusze dotyczące błędów ludzkich.
d. Scenariusze dotyczące zagrożeń zewnętrznych.
11. Scenariusze wieloskładnikowe:
a. np. atak DDoS na system bankowości internetowej połączony z próbą wyłudzenia danych od klientów.
b. awaria systemu bankowwego w połączeniu z problemami z dostępem do Internetu.
c. Określenie celów testu i kryteriów sukcesu.
d. Definiowanie zakresu testu i zasobów potrzebnych do jego przeprowadzenia.
12. Planowanie i Przygotowanie Testu Warunków Skrajnych
13. Przeprowadzanie Testu Warunków Skrajnych
a. Monitorowanie przebiegu testu:
i. Rejestrowanie wyników i obserwacji.
ii. Identyfikacja problemów i odchyleń od planu.
b. Zarządzanie incydentami:
i. Procedury zgłaszania i eskalacji incydentów.
ii. Komunikacja z interesariuszami.
iii. Podejmowanie działań naprawczych.
iv. Komunikacja i koordynacja.
14. Analiza Wyników i Raportowanie