BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)



Benzer belgeler
KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ (VII-128.9)

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

SPK Bilgi Sistemleri Tebliğleri

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

KONYA GIDA VE TARIM ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI SIZMA TESTİ HİZMET ALIMI VE KURUMSAL SOME EĞİTİMİ TEKNİK ŞARTNAMESİ

SPK Bilgi Sistemleri Tebliğleri

AĞ ve SİSTEM GÜVENLİĞİ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

SENDİKAMIZIN GÖRÜŞLERİ KIRMIZI OLARAK BELİRTİLMİŞTİR. MİLLÎ EĞİTİM BAKANLIĞI TAŞRA TEŞKİLATI YÖNETİCİLERİ YER DEĞİŞTİRME YÖNETMELİĞİ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

II-15.1 SAYILI ÖZEL DURUMLAR TEBLİĞİ NDE DEĞİŞİKLİK YAPILDI

Bilgi Sistemleri Risk Yönetim Politikası

Sibergüvenlik Faaliyetleri

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar

EKLER EK 12UY0106-5/A4-1:

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

Venatron Enterprise Security Services W: P: M:

Web Application Penetration Test Report

HAKKARİ ÜNİVERSİTESİ Bilgi İşlem Daire Başkanlığı Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde. Hizmetin Dayanağı Mevzuatın Adı

Siber Güvenlik Hizmetleri Kataloğu

İSTANBUL TAKAS VE SAKLAMA BANKASI A.Ş. NİN BORSA İSTANBUL A.Ş KIYMETLİ MADENLER PİYASASINDA YÜRÜTECEĞİ NAKİT TAKAS VE TEMİNAT

Web Uygulama Güvenliği Kontrol Listesi 2010

Doküman No.: P510 Revizyon No: 00

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

MERRILL LYNCH MENKUL DEĞERLER A.Ş. YASAL BİLGİLENDİRME

ERTÜRK YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM A.Ş. SİRKÜLER 2014/85

d) Hakem Heyeti: Türkiye Bankalar Birliği Müşteri Şikayetleri Hakem Heyetini, e) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

KAPSAM YEMİNLİ MALİ MÜŞAVİRLİK LTD. ŞTİ.

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

MADDE 4- (1) İşbu Genelgede, Tebliğin 4 üncü maddesinde belirtilen tanımlara ilaveten aşağıdaki tanımlar esas alınacaktır.

KARĐYER YÖNETĐMĐ. Geleceğe yönelik çalışan ihtiyaçlarını iç kaynaklardan sağlayarak çalışan motivasyonunu artırma.

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

T.C. MALİYE BAKANLIĞI Bütçe ve Mali Kontrol Genel Müdürlüğü SAYI: B.07.0.BMK / /02/2009 KONU: Kamu İç Kontrol Standartları

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

HATAY KHB BILGI İŞLEM BİRİMİ

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

T.C. MARDİN ARTUKLU ÜNİVERSİTESİ Uzaktan Öğretim Uygulama ve Araştırma Merkezi Müdürlüğü

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

Mobil Güvenlik ve Denetim

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

TAKASNET SİSTEM KATILIM KURALLARI

Yazılım-donanım destek birimi bulunmalıdır.

MERKEZİ FATURA KAYDI SİSTEMİNİN KURULUŞU, FAALİYETİ VE YÖNETİMİNE İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK

42 Sıra No.lu Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu Genel Tebliği Yayımlandı DUYURU NO:2010/01

T.C. SANAYİ VE TİCARET BAKANLIĞI Tüketicinin ve Rekabetin Korunması Genel Müdürlüğü GENELGE NO: 2007/02....VALİLİĞİNE (Sanayi ve Ticaret İl Müdürlüğü)

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

ANKARA ANONİM TÜRK SİGORTA ŞİRKETİ

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

SİRKÜLER RAPOR VERGİ USUL KANUNU SİRKÜLERİ. (Sıra No :431)

SABİT ŞEBEKEDE ÇAĞRI BAŞLATMA PAZARI Fiyat Sıkıştırması Yükümlülüğü BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURUMU

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Bilgi Güvenliği Farkındalık Eğitimi

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Yükseköğretim Kurumlarında Akademik Değerlendirme ve Kalite Geliştirme Yönetmeliği 1

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

10 SORUDA İÇ KONTROL

ESİS Projesi. Kaynaklar Bakanlığı

Bilgi Sistemlerinde Merkezi Kayıt Yönetimi ve Olay İlişkilendirme

DARÜŞŞAFAKA CEMİYETİ HOTSPOT İNTERNET ERİŞİMİ YAZILIM VE DONANIM ALTYAPISI KURULUMU VE BAKIM HİZMETİ TEKNİK ŞARTNAMESİ

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

ÖZ DEĞERLENDİRME SORU LİSTESİ

BTK nın IPv6 ya İlişkin Çalışmaları

T.C. ORMAN GENEL MÜDÜRLÜĞÜ Strateji Geliştirme Dairesi Başkanlığı DAĞITIM YERLERİNE

ÇIKAR ÇATIŞMASI POLİTİKALARI v1

GARANTİ FAKTORİNG A.Ş. KENDİ PAYLARINI GERİ ALIM POLİTİKASI

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

KIRGIZİSTAN TÜRKİYE MANAS ÜNİVERSİTESİ AKADEMİK DEĞERLENDİRME ve KALİTE GELİŞTİRME YÖNERGESİ. BİRİNCİ BÖLÜM Amaç, Kapsam ve Tanımlar

BAKIŞ MEVZUAT BAŞLIK. Sayı 2018/27

SINOP ÜNIVERSITESI KALITE KOMISYONU ÇALIŞMA USUL VE ESASLARI YÖNERGESI. BIRINCI BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

YÜKSEKÖĞRETİM KURUMLARINDA AKADEMİK DEĞERLENDİRME VE KALİTE GELİŞTİRME YÖNETMELİĞİ

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Resmi Gazete nin tarih ve sayıyla yayınlanan yönetmelik: Sağlık Bakanlığından: Sürücü Davranışlarını Geliştirme Eğitimi Yönetmeliği

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Resmî Gazete TEBLİĞ. b) Kanun: 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununu,

SAVUNMA SANAYİİ GÜVENLİĞİ KANUNU

T.C. GELİR İDARESİ BAŞKANLIĞI MERSİN VERGİ DAİRESİ BAŞKANLIĞI (Mükellef Hizmetleri Grup Müdürlüğü

BİRİNCİ BÖLÜM : Amaç, Kapsam, Dayanak ve Tanımlar

BANKALARCA YILLIK FAALİYET RAPORUNUN HAZIRLANMASINA VE YAYIMLANMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK 1

: Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Yayımlanmıştır.

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

VERBİS. Kişisel Verileri Koruma Kurumu. Veri Sorumluları Sicili. Nedir?

TİTCK/ DESTEK VE LABORATUVAR HİZMETLERİ BAŞKAN YARDIMCILIĞI/ ANALİZ VE KONTROL LABORATUVAR DAİRESİ BAŞKANLIĞI İLETİŞİM PROSEDÜRÜ PR11/KYB

Transkript:

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi) Sayı: B.02.1.BDK.0.77.00.00/010.06.02-1 24.07.2012 Konu: Bilgi Sistemlerine İlişkin Sızma Testleri GENELGE BSD.2012/1 Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (Tebliğ) ile banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir. Tebliğ in Bilgi Sistemlerine İlişkin Risk Yönetimi başlıklı ikinci kısım birinci bölümünün Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlıklı 7 nci maddesinin üçüncü fıkrası (ç) bendinde ifade edilen Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icrai görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır. Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır. hükmü ile sızma testleri bankacılık sektörü için zorunlu hale getirilmiştir. Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile Tebliğ in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile zorunlu kılınan ve düzenli aralıklarla yapılması istenilen sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir. Tebliğ in 7 nci maddesinin üçüncü fıkrasının (ç) bendi uyarınca, 2012 yılından itibaren sızma testlerinin yaptırılmasında işbu Genelge ile çerçevesi çizilen usul ve esaslar dikkate alınır. 1) Amaç Sızma testlerinin amacı, banka bilgi sistemlerinde yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik açıklarının istismar edilmeden önce tespit edilmesi ve düzeltilmesidir. 1/5

2) Kapsam Sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur. Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar: a) İletişim Altyapısı ve Aktif Cihazlar b) DNS Servisleri c) Etki Alanı ve Kullanıcı Bilgisayarları ç) E-posta Servisleri d) Veritabanı Sistemleri e) Web Uygulamaları f) Mobil Uygulamalar g) Kablosuz Ağ Sistemleri ğ) ATM Sistemleri h) Dağıtık Servis Dışı Bırakma Testleri i) Sosyal Mühendislik Testleri 3) Metodoloji Sızma testleri, aşağıda detaylandırılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek temel sızma testleri ve detaylı sızma testlerinden oluşur. Temel sızma testleri sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder. Temel sızma testleri sonrası saptanan açıklık ve bulgular, Kapsam bölümünde belirtilen ve ilişkili olduğu her bir başlık altında, detaylı sızma testlerinin gerçekleştirilmesi suretiyle ayrıntılı olarak incelenerek raporlanır. Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bulgular, Ek-1 de yer verilen bulgu önem dereceleri kullanılarak Ek-2 de yer verilen bulgu formatına uygun olacak şekilde sunulur. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak bankaların sorumluluğundadır. Sızma testleri gerçekleştirilirken, banka faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler banka ile koordineli bir şekilde planlanarak gerçekleştirilir. 3.1) Testlerin Gerçekleştirileceği Erişim Noktaları Sızma testlerinin gerçekleştirileceği asgari erişim noktaları aşağıda tanımlanmaktadır. Bu noktalardan sisteme erişildikten sonra, temel sızma testleri gerçekleştirilmeli ve sonrasında detaylı sızma testleri uygulanmalıdır. i. İnternet: Bankanın internet üzerinden erişilebilen tüm sunucu ve servislerine İnternet üzerinden erişilerek sızma testleri gerçekleştirilir. ii. Banka iç ağı: Bankanın iç ağında yer alan ve test kapsamında ele alınan sunuculara banka iç ağı üzerinden erişilerek sızma testleri gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır ve testi gerçekleştirecek şahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar sağlanır. iii. Şube ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, ağ 2/5

trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır. 3.2) Testlerin Gerçekleştirileceği Kullanıcı Profilleri Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilir. i. Anonim kullanıcı profili: İnternet üzerinden, bankanın web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Bankaya ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. ii. Banka müşterisi profili: İnternet üzerinden, bankanın web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde bankaya ait web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. iii. Banka misafiri profili: Bankayı ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. iv. Banka çalışanı profili: Banka personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. Banka çalışanı profili ile gerçekleştirilecek testlerde, banka çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici(local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilir. Banka çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa banka tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir. v. Diğer kullanıcı profilleri: Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir. 3.3) Sistem Tespiti, Servis Tespiti ve Açıklık Taraması Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır. i. Sistem tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır. ii. Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır. iii. Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin 3/5

sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır. 3.4) Temel Sızma Testleri i. İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir lokasyondan, bankanın internet üzerinde sahip olduğu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilir. ii. Banka iç ağından gerçekleştirilecek temel sızma testleri: Bankanın iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır: iii. Kurum yerel ağ haritası tespiti Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi Yerel alan ağı içerisinde zafiyet taraması yapılması Kurum yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması Banka şube ağından gerçekleştirilecek temel sızma testleri: Bankanın şube ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır: Şube yerel ağ haritasının tespiti Şube yerel alan ağında zafiyet taraması yapılması Şube yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmelisi Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi 3.5) Detaylı Sızma Testleri Temel sızma testlerinin tamamlanması sonrası, Kapsam bölümünde belirtilen başlıkların her biri için detaylı sızma testleri gerçekleştirilir. Detaylı sızma testlerine ilişkin usul ve esasları belirlemeye Bilgi Yönetimi Daire Başkanlığının bağlı olduğu Başkan Yardımcılığı yetkilidir. 4/5

4) Sızma Testlerini Gerçekleştirilecek Kuruluşların Seçimi Sızma testlerinin bir dış hizmet şeklinde alınması durumunda, sızma testi kuruluşlarının seçiminde ve bu kuruluşlar ile bankalar arasında imzalanacak sözleşmelerde Tebliğ in Bilgi Sistemlerine İlişkin Destek Hizmeti Alımı Sürecinin Yönetimi başlıklı 8 inci maddesinde yer alan hükümler dikkate alınır. 5) Sızma Testi Sonuçlarının Takibi Bankalar, sızma testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri, tespit edildiği varlıkların değerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, banka yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı çerçevesinde takip eder. Sızma testleri sonucu ortaya çıkan tespitler, aynı zamanda bankaların teftiş kurullarının iç denetim planına da dâhil edilir. Sızma testi raporları, tamamlanmasını müteakip bir ay içinde, elektronik ortamda, 17/02/2010 tarih ve BSD.2010/1 sayılı Genelgede tanımlanan Bağımsız Denetim Takip Sistemine(BADES) yüklenir. Bu kapsamda gerek duyulacak hususlara ilişkin ilave açıklamalar Bilgi Yönetimi Daire Başkanlığı tarafından yapılır. Tebliğ olunur. Mukim ÖZTEKİN Başkan EKLER: 1- Bulgu Önem Dereceleri(1 sayfa) 2- Bulgu Formatı(1 sayfa) 5/5

EK-1 Bulgu Önem Dereceleri Bulgu önem dereceleri beş kategoride ele alınır. Acil, kritik, yüksek, orta ve düşük şeklinde olan bu kategorilere ilişkin açıklamalar aşağıda yer almaktadır: Önem Derecesi Acil Kritik Yüksek Orta Düşük Açıklama Niteliksiz saldırgan tarafından banka dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır. Nitelikli saldırgan tarafından banka dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır. Banka dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel ağdan ya da sunucu üzerinden gerçekleştirilen ve hak yükseltmeyi sağlayan saldırılara sebep olan açıklıklardır. Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır. Etkilerinin tam olarak belirlenemediği ve literatürdeki en iyi sıkılaştırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir.

EK-2 Bulgu Formatı Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuluş biçimi aşağıda yer almaktadır: Bulgu Referans No Bulgu Adı Önem Derecesi Etkisi Erişim Noktası Kullanıcı Profili Bulgunun Tespit Edildiği Bileşen/Bileşenler 1 Bulgu Açıklaması Çözüm Önerisi Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi Bulguyu özet olarak ifade eden tanımlayıcı isim Bulgunun, EK-1 de yer verilen önem derecesi Bulguda yer verilen açıklığın/eksikliğin kötüye kullanılması durumunda oluşabilecek potansiyel sonuç 3.1 Testlerin Gerçekleştirileceği Erişim Noktaları bölümünde yer verilen testin gerçekleştirildiği erişim noktası 3.2 Testlerin Gerçekleştirileceği Kullanıcı Profilleri bölümünde yer verilen testin gerçekleştirildiği kullanıcı profili Bulgunun tespit edildiği bileşeni niteleyen IP Numarası, URL, Sistem, Servis, Sunucu veya Varlık adı gibi bilgiler Bulgunun detaylı açıklaması Bulgunun giderilmesi için testi gerçekleştiren kuruluş tarafından yapılacak çözüm önerisi 1 Kapsam bölümünde belirtilen her bir başlık altında aynı bulgunun aynı önem derecesi ile birden fazla bileşende tespit edilmesi durumunda, yeni bulgu referansı verilmeden bulgunun tespit edildiği tüm bileşenler aynı bulgu altında sıralanır.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim