18 Temmuz 2015

Pentest (Sızma Testi) Zorunlulukları ve Pentest (Sızma Testi) Firmaları

Pentest (Sızma Testi)
Pentest (sızma testi) ihtiyaçları sürekli artıyor. Bu artışın en güçlü sebeplerinden birisi bilgi güvenliğinin önemli olduğu sektörlerdeki düzenlemeler. Bu nedenle pentest (sızma testi) zorunlulukları sürekli artıyor. Bir diğer sebep de her hafta yeni bir güvenlik ihlalinin gerçekleşiyor olması. Bilgi teknolojileri kullanımı yoğun olan şirketler sızma testi faaliyetini artık zorunlu bir ihtiyaç olarak görmeye başladı. Buna bağlı olarak pentest (sızma testi) firmaları da artıyor.

Aşağıda bugün itibarıyla sızma testi zorunluluğu getiren veya dolaylı olarak bu ihtiyacı doğuran düzenleme ve standartları bulabilirsiniz:

Ödeme Kuruluşları ve Elektronik Para Kuruluşları’na yönelik düzenleme
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in “Bilgi güvenliği yönetim süreci” bölümü 5.4.d numaralı maddesinde aşağıdaki ifade yer almaktadır:

“Kuruluşun bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırılmasını”
(http://www.resmigazete.gov.tr/eskiler/2014/06/20140627-7.htm)

Bankalara ve Banka Mali İştirakleri’ne yönelik düzenleme
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’in “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” bölümü 7.3.ç numaralı maddesinde aşağıdaki ifade yer almaktadır:
“…Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icrai görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır….”
(http://www.resmigazete.gov.tr/eskiler/2007/09/20070914-1.htm)

Kaldıraçlı Alım Satım İşlemleri ve Bu İşlemleri Gerçekleştirebilecek Kurumlar’a (Forex v.d.) yönelik düzenleme
Seri:V, No:125 Sayılı Kaldıraçlı Alım Satım İşlemleri ve Bu İşlemleri Gerçekleştirebilecek Kurumlara İlişkin Esaslar Hakkında Tebliğ’in “Bilgi İşlem Altyapısına İlişkin İlkeler” bölümü 11.a numaralı maddesinde aşağıdaki ifade yer almaktadır:
“Bilgi işlem altyapısına dışarıdan sızma testi en az yılda bir kez dış kaynak alım yoluyla yaptırılır.”
(http://www.resmigazete.gov.tr/eskiler/2011/08/20110827-54.htm)

Telekomünikasyon sektörüne yönelik gereksinimler
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’ne tabi telekomünikasyon kurumları için doğrudan bir sızma testi zorunluluğu belirtilmemekle birlikte yönetmeliğin SOME’ye ilişkin maddeleri ve Ulaştırma Denizcilik ve Haberleşme Bakanlığı’nın SOME kurulumuna ilişkin yayınladığı rehberde sızma testleri tavsiye edilmektedir. Ayrıca ISO27001 denetimleri ve BTK’nın gerçekleştirmekte olduğu denetimlerde sızma testleri gündeme gelmektedir.

PCI Veri Güvenliği Standart’ına tabi olan şirketlere yönelik gereksinimler
PCI DSS v3.1 Madde 11.3 gereksinimi doğrudan pentest (sızma testi) zorunluluğuna işaret etmektedir. Zayıflık taramaları ile ilgili gereksinimler de diğer maddelerde yer almaktadır.

Enerji sektörüne yönelik gereksinimler
Doğrudan pentest (sızma testi) yükümlülüğü getirmese de ISO27001 zorunluluğu getiren EPDK lisans yönetmelikleri dolayısıyla enerji sektöründe de sızma testi ihtiyacı ortaya çıkmıştır. Bu ihtiyacın diğer önemli sebepleri müşterilere açık online işlem merkezi uygulamaları ve elbette bazı enerji şirketleri için BT ve SCADA güvenliğinin önemidir.

Genişleyen pentest (sızma testi) pazarında faaliyet gösteren çok sayıda pentest (sızma testi) firması da bulunmaktadır. Aşağıdakiler tanıdığımız veya duyduğumuz, bazıları sadece pentest hizmeti veren bazıları ise diğer alanlarda da hizmet veren firmaların bir listesi. Bilgimiz dahilinde olmayan firmaları da talep ederlerse eklemekten memnuniyet duyarız:


Pentest (Sızma Testi) zorunluluklarının yanı sıra iş ihtiyaçları nedeniyle de pentest (sızma testi) hizmet ihtiyacı sürekli bir ihtiyaç haline gelmiştir. Düzenlemeler nedeniyle yapılan pentest çalışmaları kurumların farkındalıklarını da yükseltmekte olup büyük kurumlar başta olmak üzere pentest faaliyetleri kurumlarda yazılım geliştirme ve proje adımlarından birisi haline gelmiştir. Pentest (sızma testi) firmaları buna bağlı olarak daha fazla sayıda projeye dahil olmaktadır.