7 Mayıs 2020 Perşembe

YASAL DÜZENLEMELERDE SIZMA TESTİ GEREKLİLİĞİ


Sinem Varol, Danışman
Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi amaçlanır.
İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin güvenliği daha büyük tehlike altındadır.
Düzenli olarak sızma testi yaptırmak, olası açıklıkları saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur.
Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.
Bu yazının devamında tebliğler ve yönetmeliklerde belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği açıklanmıştır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.
Aynı zamanda, bu tebliğe istinaden hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz 2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin asgari olarak kapsamı aşağıda verilmiştir.
o   İletişim Altyapısı ve Aktif Cihazlar
o   DNS Servisleri
o   Etki Alanı ve Kullanıcı Bilgisayarları
o   E-posta Servisleri
o   Veri Tabanı Sistemleri
o   Web Uygulamaları
o   Mobil Uygulamalar
o   Kablosuz Ağ Sistemleri
o   ATM Sistemleri
o   Dağıtık Servis Dışı Bırakma Testleri
o   Sosyal Mühendislik Testleri
·        Kurum, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir.
·        Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir defa sızma testi yaptırma gereklilikleri bulunmaktadır.
·        Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6 Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.
·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır. Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü tutulmuşlardır.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan organizasyonlardır.

Kişisel Verileri Koruma Kurumu

·        Ocak 2018’de yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi altında bu hususa yer vermiştir. Bu maddede bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları gerekmektedir.

Sermaye Piyasası Kurulu

·        Kurul tarafından 5 Ocak 2018 tarihinde Bilgi Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutuldukları belirtilmiştir. Aynı tebliğin Ek-1 Bilgi Sistemleri Sızma Testleri Usul ve Esasları dokümanında teknik gereklilikler açıklanmıştır. Ek-1’e göre sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda verilmiştir.
o   İletişim Altyapısı ve Aktif Cihazlar
o   DNS Servisleri
o   Etki Alanı ve Kullanıcı Bilgisayarları
o   E-posta Servisleri
o   Veri Tabanı Sistemleri
o   Web Uygulamaları
o   Mobil Uygulamalar
o   Kablosuz Ağ Sistemleri
o   Dağıtık Servis Dışı Bırakma Testleri
o   Sosyal Mühendislik Testleri

Gelir İdaresi Başkanlığı

·        19 Kasım 2019’da yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda yer alan sızma testi kapsamı aşağıda verilmiştir.
o   Ağ ve İletişim Altyapısı Testleri
o   İşletim Sistemi ve Platform Testleri
o   Uygulama Testleri
o   Veri Tabanı Testleri
o   Web Uygulamaları Testleri
o   Mobil Uygulama Testleri

Ulaştırma ve Altyapı Bakanlığı

·        Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.

Yukarıda bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.
·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,
·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet sağlayıcıları,
·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,
o   Görev Sözleşmesi İmzalayan İşletmeciler
o   İmtiyaz Sözleşmesi İmzalayan İşletmeciler
o   Uydu Haberleşme Hizmeti Veren İşletmeciler
o   Altyapı İşletmeciliği Hizmeti Veren İşletmeciler
o   Sabit Telefon Hizmeti İşletmecileri
o   GMPCS Mobil Telefon Hizmeti Veren İşletmeciler
o   Sanal Mobil Şebeke Hizmeti İşletmecileri
o   İnternet Servis Sağlayıcıları
o   Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler
·        Enerji Piyasası Düzenleme Kurumunun (EPDK) yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
·        EPDK’nın yayınladığı Elektrik Piyasası Lisans Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
·        EPDK’nın yayınladığı Petrol Piyasası Lisans Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,
·        Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.

Özetleyecek olursak, sızma testlerinin düzenli olarak yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini daha güvenli hale getirmeleri için büyük bir fırsattır.

Hiç yorum yok:

Yorum Gönderme