Uzmanlarımıza eğitimlerde sık sorulan sorulardan biri: “Belge alabilmemiz için pentest zorunlu mu?”
Bu soruya cevap vermeden önce bazı kavramları yerli yerine oturtmamız gerektiğini hissediyoruz. Yazının sonunda daha net bir şekilde cevabı bulabileceğinizi düşünüyoruz.
Öncelikle pentest nedir? Pentest, yani penetrasyon testi, kısacası hedef sistem ve uygulamaların zafiyetlerini tespit edip ve bu açıklıkları istismar ederek hedefe erişme simülasyonudur. Bu cümlede altı çizilecek kelimeler ise; zafiyet, istismar (exploit) ve erişim. Pentestin başlıca amacı, öncelikle, kuruluşumuzun bilgi güvenliği politikalarının ne denli uygulanıp uygulanmadığını test etmektir. Gelen saldırılara karşı defans sistemimizin işlevselliğini doğrulamaktır.
Bilindiği üzere ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve diğer yüksek seviyeli yönetim sistemi standartları (örn. ISO 14001, ISO 50001, vd.) risk değerlendirmesini temel alan sistemlerdir. Risk değerlendirmesi yaparken öncelikle kuruluşumuzun varlık envanterinde bulunan yazılım, donanım ve haberleşme varlıklarının üzerindeki açıklıklar ve tehditlerden kaynaklı riskleri ortaya koymamız gerekmektedir. İlave olarak, bu bilgi güvenliği risklerinin ele alınmasına yönelik kontrollerin belirlenmesi ve uygulanması için bir referans standart olan ISO/IEC 27002 Bilgi güvenliği kontrolleri risk analizinde gözden kaçırılmamalıdır. Dolayısıyla ISO/IEC 27001 BGYS standardını uygularken 27000 ailesinin diğer kılavuz standartlarını ve kontrollerini de göz önünde bulundurmamız gerekir.
ISO/IEC 27001:2022 versiyonunun Ek-A 5.21, 8.8, 8.16, 8.25, 8.29 kontrollerinde sızma testlerinin yapılması yönünde tavsiyeler ve rehber maddeler yer almaktadır. Örneğin, 8.8 Teknik güvenlik açıklıklarının yönetimi kontrolünün nasıl uygulanacağına dair ISO/IEC 27002:2022 standardında belirtilen rehberlik önerilerinde “Güvenlik açıklarının belirlenmesini desteklemek için yetkin ve yetkili kişiler tarafından planlı, belgelenmiş ve tekrarlanabilir sızma testleri veya güvenlik açığı değerlendirmeleri yapılmasının” göz önünde bulundurulması ifade edilmektedir.
Aynı şekilde, paragrafın başında belirttiğimiz diğer kontrollerde de sızma testlerinin yapılması istenilmekte veya önerilmektedir. Burada sorulması gereken diğer soru ise; bu testlerin mutlaka bağımsız kişiler veya kuruluşlar tarafından yapılmasının zorunlu olup olmadığıdır.
Bazı kontrol maddelerinde kabul ve güvenlik testlerinin bağımsız yapılması şiddetle önerilmektedir. Yine ISO/IEC 27002:2022 standardının 8.29 Geliştirme aşamasında güvenlik testi ve kabul maddesinde “Kurum içi geliştirmeler için bu tür testler başlangıçta geliştirme ekibi tarafından gerçekleştirilmelidir. Daha sonra sistemin beklendiği gibi ve sadece beklendiği gibi çalıştığından emin olmak için bağımsız kabul testleri yapılmalıdır” şeklinde bir zorunluluk getirmektedir.
Sonuç olarak pentest yapılması Bilgi Güvenliği Yönetim Sisteminin bir zorunluluğu olup, bünyesinde yetkin kişiler bulunduran kuruluşların kendi kaynaklarıyla yapması da uygun olarak değerlendirilmektedir. Şayet kendi kaynaklarıyla pentest yapamayacak kuruluşlarında, sızma testlerini 3. Taraflara yaptırırken mutlaka TS 13638 standardını inceleyerek yetkin ve bağımsız kuruluşlara yaptırmalarında fayda var.
Bir sonraki yazımızda görüşmek üzere, güvenli günler dileriz.
10k Bilgi Güvenliği Ekibi
