BDDK Uyumlu Sızma Testi
Anasayfa
Uyumlu Sızma Testi Nedir?
Bankacılık ve finans sektörü en fazla siber saldırıya uğrayan sektörlerden birisidir ve bu saldırılar çoğunlukla maddi kayıplara ve itibar kayıplarına neden olmaktadır.
Bu nedenle BDDK tarafından yayımlanan 24.07.2012 tarih, B.02.1.BDK.0.77.00.00/010.06.02-1 sayılı “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” ile banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.
Sözkonusu tebliğin “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı ikinci kısım birinci bölümünün “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” başlıklı 7. maddesinin üçüncü fıkrası (ç) bendinde ifade edilen;
“Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icra görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır. Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır.” hükmü ile sızma (penetrasyon) testleri bankacılık sektörü için zorunlu hale getirilmiştir.
Bilgi sistemlerine yönelik olarak gerçekleştirilebilecek siber saldırı türleri hızlı bir gelişim ve değişim göstermekte olduğundan, Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile yayımlanan ilgili tebliğin 7. maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile zorunlu hale getirilen ve düzenli aralıklarla yapılması istenilen sızma testinin sıklığının, yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir.
Bu karar ile beraber, yüksek güvenlik ihtiyacı duyulan bankacılık sektöründe faaliyet gösteren tüm kurumların; ağlar, sistemler, donanımlar, yazılımlar ve kullanıcıların BDDK tarafından onaylanmış belirli şartlara tabii çeşitli senaryolar doğrultusunda testlere tabii tutulması, testler sonrasında da elde edilen verilerin rapor halinde sunulması gerekmektedir. Böylece kurumdaki bilgi sistemlerinin zafiyetleri ve olası güvenlik riskleri tespit edilmiş ve belirlenen açıkların kapatılabilmesine yönelik çalışmaların başlatılması mümkün hale gelmiş olur.
BDDK Uyumlu Sızma Testi Nasıl Yapılır?
BDDK tarafından yayımlanan genelgeye göre, sızma testleri kapsamında gerçekleştirilecek çalışmalar asgari olarak aşağıdaki başlıklardan oluşur:
- Dış Ağ SIzma Testi
- İletişim Altyapısı ve Aktif Cihazlar
- Etki Alanı ve Kullanıcı Bilgisayarları
- DNS Servisleri
- E-posta Servisleri
- Veritabanı Sistemleri
- Web Uygulamaları
- Kablosuz Ağ Sistemleri
- Servis Dışı Bırakma Testleri
- Sosyal Mühendislik Testleri
- İç ağ (intranet) Sızma Testi
- Mobil Uygulamalar
- Bankamatik (ATM) Sistemleri
- Kaynak Kod Analizi