BSD.2012/1 Genelgeye Uygun
Sızma Testleri
Bankalarda "Bilgi Sistemlerine İlişkin Sızma Testleri" hizmetini, BSD.2012/1 Genelge ve ilgili Tebliğ hükümlerine birebir uyumla, yıllık zorunluluk ve BADES yükleme gereksinimleri gözetilerek gerçekleştiriyoruz.
Amaç (Genelgeye göre)
Banka bilgi sistemlerinde yetkisiz erişime veya hassas bilgilere erişime yol açabilecek güvenlik açıklarının, istismar edilmeden önce tespiti ve düzeltilmesi.
Kapsam (Asgari)
Metodoloji – Erişim Noktaları & Kullanıcı Profilleri
Erişim Noktaları
- İnternet: Bankanın internetten erişilen sunucu/servisleri
- Banka İç Ağı: İç ağdaki sunucu, ağ ve trafik testleri
- Şube Ağı: Seçilen şubede ağ, trafik ve şubeden erişilen sistemler
Kullanıcı Profilleri
- Anonim: Üye olmayan dış kullanıcı
- Banka Müşterisi: Kurumsal/bireysel giriş yetkili kullanıcı
- Banka Misafiri: Misafir ağ kullanıcısı
- Banka Çalışanı: En yaygın profil + local admin
- Diğer Profiller: Varsa özel yetki setleri
Sistem Tespiti
Sunucu ve aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespiti.
Servis Tespiti
Port taraması; dışa açık servislerin belirlenmesi.
Açıklık Taraması
Bileşenlerin güncel zafiyetlere karşı taranması; veri tabanı araştırmaları.
Temel Sızma Testleri
İnternet
- IP aralığı taraması, sistem & servis tespiti
- Güncel açıklıklara karşı tarama ve doğrulama
Banka İç Ağı
- Yerel ağ haritası ve trafik analizi
- İçerik filtreleme, FW atlatma denemeleri
- MITM ile hassas bilgi elde etme
- İstasyon/sunucu ele geçirme ve hak yükseltme
Şube Ağı
- Şube ağ haritası ve zafiyet taraması
- Şubede MITM, aktif cihaz testleri
- Şubeden erişilen sistemlere sızma denemeleri
Detaylı Sızma Testleri
Temel testler sonrasında, Genelgedeki kapsam başlıklarının her biri için detaylı sızma testleri uygulanır. Usul ve esaslar, BDDK Bilgi Yönetimi Dairesi Başkanlığının bağlı olduğu Başkan Yardımcılığı yetkisi dahilinde belirlenir.
Bulgu Önem Dereceleri (EK-1)
| Seviye | Tanım |
|---|---|
| Acil | Niteliksiz saldırganın banka dış ağından tam ele geçirmeye yol açan açıklıklar |
| Kritik | Nitelikli saldırganın banka dış ağından tam ele geçirmeye yol açan açıklıklar |
| Yüksek | Dış ağdan DoS/hak yükseltme; yerelden hak yükseltme sağlayan açıklar |
| Orta | Yerel ağ/sunucu üzerinden hizmet dışı bırakmaya yol açan açıklar |
| Düşük | Sıkılaştırma eksikleri; etkisi sınırlı/öngörülmemiş durumlar |
Raporlama, Aksiyon Yönetimi ve BADES
Rapor Formatı (EK-2)
- Bulgu Ref No, Bulgu Adı, Önem Derecesi, Etkisi
- Erişim Noktası, Kullanıcı Profili
- Bileşen(ler), Bulgu Açıklaması, Çözüm Önerisi
Takip & Bildirim
- Yıllık periyot: En az yılda 1 kez sızma testi
- Yönetim Kurulu onaylı aksiyon planı
- Raporun tamamını müteakip 1 ay içinde BADES'e yükleme
Neden Nesil Teknoloji?
Regülasyon Uyumlu
BSD.2012/1 ve ilgili Tebliğ gerekliliklerine tam uyum
Banka/Şube Odağı
İnternet, iç ağ ve şube ağı senaryoları
Tam Kapsam
ATM sistemleri, DDoS ve sosyal mühendislik dahil
Denetime Hazır Rapor
EK-1/EK-2 formatında, BADES'e hazır çıktı
Uzman Kadro & Akreditasyonlar
Ekibimizin Sahip Olduğu Sertifikalar
BDDK Uyumlu Sızma Testi – Teklif & Planlama
Asgari kapsam doğrulaması ve şube/internet/iç ağ senaryoları ile planı birlikte netleştirelim.