loader image
Search
Close this search box
BİZE ULAŞIN

BDDK Sızma Testi

BDDK düzenlemeleri kapsamında bankaların bilgi sistemleri düzenli olarak sızma testlerine tabi tutulmalıdır. Lostar, mevzuata uygun kapsam ve raporlama ile bu süreci güvenle yönetir.

BDDK Uyumlu Sızma Testi Başlatın
BDDK Mevzuatı Kapsamında Sızma Testi

BDDK Mevzuatı Kapsamında Sızma Testi Zorunluluğu

BDDK tarafından yayımlanan 24.07.2012 tarih, B.02.1.BDK.0.77.00.00/010.06.02-1 sayılı “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” ile, banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.

Tebliğ’in “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı ikinci kısım birinci bölümünün “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” başlıklı 7. maddesinin üçüncü fıkrası (ç) bendinde ifade edilen hüküm ile, bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçlerin tesis edilmesi ve bu çerçevede bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılması zorunlu hale getirilmiştir.

Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle, 27.01.2011 tarih ve 4022 sayılı Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile zorunlu kılınan sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir.

Temel Gereklilikler

  • Sızma testleri bağımsız ekipler tarafından gerçekleştirilmelidir
  • Bilgi sistemlerinin güvenilirliği ve tutarlılığı düzenli olarak incelenmelidir
  • Güncel güvenlik gelişmeleri ve yeni açıklar takip edilmelidir
  • Gerekli yazılım güncellemeleri ve yamalar uygulanmalıdır
  • Test sıklığı yılda en az bir defa olacak şekilde planlanmalıdır
BDDK Sızma Testi

BDDK Sızma Testi Kapsamı

Altyapı ve Ağ Katmanı

  • İletişim Altyapısı ve Aktif Cihazlar
  • DNS Servisleri
  • Kablosuz Ağ Sistemleri
  • Dağıtık Servis Dışı Bırakma Testleri

Sistem ve Kullanıcı Ortamları

  • Etki Alanı ve Kullanıcı Bilgisayarları
  • E-posta Servisleri
  • Veritabanı Sistemleri
  • İç Penetrasyon Testi (Intranet Security Checkup)

Uygulama ve Servis Katmanı

  • Web Uygulamaları
  • Mobil Uygulamalar
  • ATM Sistemleri
  • Kod Analizi
  • Sosyal Mühendislik

Çalışma Modeli

Çalışma zamanları önceden bildirilmeyecektir. Yapılacak çalışma için kesin bir takvim verilmeyecektir. Ancak testlere dair anlaşma ve iş emrinin imzalanması ve iletilmesinin ardından resmi hesap açma işlemleri yapılacaktır.

Hesap açılış işlemlerinin tamamlanmasının ardından 30 gün içinde çalışma tamamlanacak ve BDDK Sızma Testleri veya Security Checkup raporu hazırlanacaktır.

Sızma testleri, banka içerisinden bilgi edinimi kısıtlı bir saldırganın uygulayacağı yöntemler kullanılarak kara kutu yöntemi ile gerçekleştirilecektir.

Test Derinliği ve Yaklaşımı

Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve gerçek hayata uygun olması için, tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde farklı kullanıcı profilleri ile testler gerçekleştirilir.

Temel sızma testleri; keşif, sistem tespiti, servis tespiti ve açıklık taraması / araştırması adımlarını içerir ve tüm bilgi sistemi varlıklarına uygulanır.

Detaylı sızma testleri ise önceki adımlarda elde edilen bilgilerin birleştirilmesi, yaratıcı yöntemlerle yeni saldırı vektörlerinin oluşturulması ve kurumlara özel zafiyetlerin ortaya çıkarılması ile sistemlere sızmanın yapıldığı tüm işlemleri kapsar.

BDDK gerekliliklerini yalnızca karşılamakla kalmayın; bilgi sistemlerinizin güvenliğini ölçülebilir ve savunulabilir şekilde güçlendirin.

Uzman ekibimizle mevzuata tam uyum sağlayın.

BDDK Test Sürecini Başlatın

İletişim

© 2025 Lostar