BDDK UYUMLU HİZMET

BSD.2012/1 Genelgeye Uygun
Sızma Testleri

SİBERTİM

Bankalarda "Bilgi Sistemlerine İlişkin Sızma Testleri" hizmetini, BSD.2012/1 Genelge ve ilgili Tebliğ hükümlerine birebir uyumla, yıllık zorunluluk ve BADES yükleme gereksinimleri gözetilerek gerçekleştiriyoruz.

Asgari Kapsam Raporlama & BADES

Amaç (Genelgeye göre)

Banka bilgi sistemlerinde yetkisiz erişime veya hassas bilgilere erişime yol açabilecek güvenlik açıklarının, istismar edilmeden önce tespiti ve düzeltilmesi.

Kapsam (Asgari)

İletişim Altyapısı & Aktif Cihazlar
DNS Servisleri
Etki Alanı & Kullanıcı Bilgisayarları
E-posta Servisleri
Veritabanı Sistemleri
Web Uygulamaları
Mobil Uygulamalar
Kablosuz Ağ Sistemleri
ATM Sistemleri
Dağıtık Servis Dışı Bırakma (DDoS)
Sosyal Mühendislik

Bu başlıklar asgaridir; bankanın risk profiline göre genişletilir.

Metodoloji – Erişim Noktaları & Kullanıcı Profilleri

Erişim Noktaları

  • İnternet: Bankanın internetten erişilen sunucu/servisleri
  • Banka İç Ağı: İç ağdaki sunucu, ağ ve trafik testleri
  • Şube Ağı: Seçilen şubede ağ, trafik ve şubeden erişilen sistemler

Kullanıcı Profilleri

  • Anonim: Üye olmayan dış kullanıcı
  • Banka Müşterisi: Kurumsal/bireysel giriş yetkili kullanıcı
  • Banka Misafiri: Misafir ağ kullanıcısı
  • Banka Çalışanı: En yaygın profil + local admin
  • Diğer Profiller: Varsa özel yetki setleri
Sistem Tespiti

Sunucu ve aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespiti.

Servis Tespiti

Port taraması; dışa açık servislerin belirlenmesi.

Açıklık Taraması

Bileşenlerin güncel zafiyetlere karşı taranması; veri tabanı araştırmaları.

Temel Sızma Testleri

İnternet

  • IP aralığı taraması, sistem & servis tespiti
  • Güncel açıklıklara karşı tarama ve doğrulama

Banka İç Ağı

  • Yerel ağ haritası ve trafik analizi
  • İçerik filtreleme, FW atlatma denemeleri
  • MITM ile hassas bilgi elde etme
  • İstasyon/sunucu ele geçirme ve hak yükseltme

Şube Ağı

  • Şube ağ haritası ve zafiyet taraması
  • Şubede MITM, aktif cihaz testleri
  • Şubeden erişilen sistemlere sızma denemeleri

Kesinti riski olan tüm testler banka ile koordine edilerek yürütülür.

Detaylı Sızma Testleri

Temel testler sonrasında, Genelgedeki kapsam başlıklarının her biri için detaylı sızma testleri uygulanır. Usul ve esaslar, BDDK Bilgi Yönetimi Dairesi Başkanlığının bağlı olduğu Başkan Yardımcılığı yetkisi dahilinde belirlenir.

Bulgu Önem Dereceleri (EK-1)

Seviye
Tanım
Acil
Niteliksiz saldırganın banka dış ağından tam ele geçirmeye yol açan açıklıklar
Kritik
Nitelikli saldırganın banka dış ağından tam ele geçirmeye yol açan açıklıklar
Yüksek
Dış ağdan DoS/hak yükseltme; yerelden hak yükseltme sağlayan açıklıklar
Orta
Yerel ağ/sunucu üzerinden hizmet dışı bırakmaya yol açan açıklıklar
Düşük
Sıkılaştırma eksikleri; etkisi sınırlı/öngörülmemiş durumlar

Raporlama, Aksiyon Yönetimi ve BADES

Rapor Formatı (EK-2)

  • Bulgu Ref No, Bulgu Adı, Önem Derecesi, Etkisi
  • Erişim Noktası, Kullanıcı Profili
  • Bileşen(ler), Bulgu Açıklaması, Çözüm Önerisi

Takip & Bildirim

  • Yıllık periyot: En az yılda 1 kez sızma testi
  • Yönetim Kurulu onaylı aksiyon planı
  • Raporun tamamını müteakip 1 ay içinde BADES'e yükleme

Sibertim, BADES yükleme hazırlığını ve aksiyon kapanış doğrulamalarını süreç yönetimiyle destekler.

Kapsam (Asgari)

İletişim Altyapısı & Aktif Cihazlar
DNS Servisleri
Etki Alanı & Kullanıcı Bilgisayarları
E-posta Servisleri
Veritabanı Sistemleri
Web Uygulamaları
Mobil Uygulamalar
Kablosuz Ağ Sistemleri
ATM Sistemleri
DDoS Testleri
Sosyal Mühendislik
Bu başlıklar asgaridir; bankanın risk profiline göre genişletilir.

Neden Sibertim?

Regülasyon Uyumlu

BSD.2012/1 ve ilgili Tebliğ gerekliliklerine tam uyum.

Banka/Şube Odağı

İnternet, iç ağ ve şube ağı senaryoları.

Tam Kapsam

ATM sistemleri, DDoS ve sosyal mühendislik dahil.

Denetime Hazır Rapor

EK-1/EK-2 formatında, BADES'e hazır çıktı.

Uzman Kadro & Akreditasyonlar

TSE Onaylı Sızma Testi Firması

Belge No: TSE-STF-065

Sibertim TS 13638/T2 standardı kapsamında belgelendirilmiştir.

Uluslararası Sertifikalar
CEH Certified Ethical Hacker EC-Council
OSCP Offensive Security Certified Professional Offensive Security
CISSP Certified Info. Systems Security Pro. (ISC)²
CISA Certified Info. Systems Auditor ISACA
TSE Sızma Testi Uzmanları
2
Kıdemli Sızma Testi Uzmanı
TSE Sertifikalı
4
Sertifikalı Sızma Testi Uzmanı
TSE Sertifikalı
3
Kayıtlı Sızma Testi Uzmanı
TSE Kayıtlı
Tüm Sertifika ve Belgelerimiz Detaylı bilgi ve belge görüntüleme için tıklayın
Siber Güvenlik Uzmanı - Profesyonel Sızma Testi Mühendisi

Siber Güvenlik Ekibi – Alpaslan AYDIN ile Online Toplantı

Bilgi Sistemleri Sızma Testleri  kapsamını birlikte netleştirelim. 30 dakikalık çevrimiçi görüşmede, Tebliğ’e uyumlu kapsam, test takvimi ve teslim süreçlerini belirleyip teklifimizi paylaşalım.
  • Ön keşif & kapsam doğrulama (kurumunuza özel)
  • Tebliğ uyumlu bildirim ve raporlama planı
  • Hızlı tekliflendirme ve başlangıç tarihi
Alpaslan Aydın ile Online Toplantı Planla
Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.