Bilgi Güvenliği

SPK Bilgi Sistemleri Yönetimi Tebliği Kapsamında Sızma Testi

Sermaye Piyasası Kurulunun, 5 Ocak 2018 tarihinde, 30292 numaralı Resmi Gazetede yayınlanan Bilgi Sistemleri Yönetimi Tebliğinde kurum ve kuruluşların bu tebliğ kapsamında sızma testi gerçekleştirme usul ve esasları belirlenmiştir. Bu kapsamda BTYÖN, TSE Onaylı Sızma Testi Firması olarak uzman ekibimizle, ilgili tebliğde yayınlanan usullere uygun şekilde ihtiyacınız olan sızma testini gerçekleştirmekteyiz.

AMAÇ

Sızma testinin amacı, Kurum Kuruluş ve Ortaklıkların bilgi sistemlerinde tespit edilen açıklıkların ve zafiyetlerin kullanılmasıyla sistemlere sızma girişimlerinin önceden tespit edilmesi ve düzeltilmesidir.

KAPSAM

Sızma testi kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar:

 

METODOLOJİ

Sızma testi, aşağıda detaylandırılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek testlerden oluşur. Testler, sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder. Bu testler sonrası saptanan açıklık ve bulgular, Kapsam bölümünde belirtilen ve ilişkili olduğu her bir başlık altında ayrıntılı olarak incelenerek raporlanır. Sızma testi gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bulgular, “Bulgu Önem Dereceleri” bölümünde yer verilen dereceler kullanılarak “Bulgu Formatı” bölümünde tariflenen formata uygun olacak şekilde sunulur. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak Kurum, Kuruluş ve Ortaklıkların sorumluluğundadır. Sızma testi gerçekleştirilirken, Kurum, Kuruluş ve Ortaklıklar faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler Kurum, Kuruluş ve Ortaklıklar ile koordineli bir şekilde planlanarak gerçekleştirilir.

TESTLERİN GERÇEKLEŞTİRİLECEĞİ ERİŞİM NOKTALARI

Sızma testinin gerçekleştirileceği asgari erişim noktaları aşağıda tanımlanmaktadır. Bu noktalardan sisteme erişildikten sonra, sızma testi gerçekleştirilir.

SIZMA TESTİNİN GERÇEKLEŞTİRİLECEĞİ KULLANICI PROFİLLERİ

Sızma testinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testi gerçekleştirilir.

SİSTEM TESPİTİ, SERVİS TESPİTİ VE AÇIKLIK TARAMASI

Sızma testi aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.

SIZMA TESTLERİ

Sermaye Piyasası Kurulunun Resmi Gazetede yayınlamış olduğu ilgili tebliğe aşağıdaki bağlantı üzerinden de ulaşabilirsiniz; https://www.resmigazete.gov.tr/eskiler/2018/01/20180105-9-1.pdf

 

İlgili diğer hizmetler