İçereği Atla

TSE Standartlarına Göre Sızma Testi Nasıl Yapılır?

Teknolojinin hızlı gelişimi, kurumların dijital altyapılarını güçlendirirken siber saldırganlar için de yeni fırsatlar yaratmaktadır. Günümüzde veri güvenliği; yalnızca teknik bir gereklilik değil, aynı zamanda yasal uyumluluk ve kurumsal itibar açısından kritik bir unsurdur. Bu noktada bilgi güvenliğinin temel taşlarından biri olan sızma testleri (penetrasyon testleri), kurumların bilişim altyapılarındaki zafiyetleri önceden tespit ederek gerekli önlemleri almasını sağlar.
30 Mart 2026 yazan
TSE Standartlarına Göre Sızma Testi Nasıl Yapılır?
Amina KAPTAN
 

TSE Sertifikalı Sızma Testi Nedir?

TSE sertifikalı sızma testi; bir kurumun bilişim altyapısının, TSE tarafından belirlenen standartlara uygun şekilde, yetkin ve sertifikalı uzmanlar tarafından analiz edilmesi sürecidir. Bu testler, TSE’nin belirlediği kriterleri karşılayan firmalar ve TSE 13638 standardına göre sertifikalandırılmış uzmanlar tarafından gerçekleştirilir.

TSE’ye göre sızma testi uzmanları A, B ve C sınıfı olmak üzere farklı seviyelerde yetkilendirilir. Bu sınıflandırma, uzmanların test kapsamı ve yetkinlik düzeylerini belirlerken aynı zamanda penetrasyon testlerinin yasal sınırlarını da çizer.

TSE Sızma Testi Sertifikası Nedir?

TSE sızma testi sertifikası; bir kurumun bilgi sistemlerinin, Türk Standartları Enstitüsü tarafından belirlenen güvenlik kriterlerine uygunluğunu gösteren resmî bir belgedir. Bu sertifika, penetrasyon testlerinin yetkili firmalar tarafından, etik ve yasal çerçevede gerçekleştirildiğini kanıtlar.

Aynı zamanda TSE onayı; sızma testini gerçekleştiren firmanın teknik yeterliliğini, metodolojisini ve uzman kadrosunu da belgelendirir.

Firmalar Neden TSE Sızma Testi Sertifikasına İhtiyaç Duyar?

Bazı sektörlerde sızma testi yaptırmak yasal bir zorunluluktur. Özellikle regülasyona tabi kurumlar için TSE standartlarına uygun penetrasyon testleri kritik önem taşır.

Örneğin;

    1. BDDK düzenlemeleri kapsamında bankalar yılda en az bir kez sızma testi yaptırmak zorundadır.
    2. KVKK, kişisel verilerin korunması için teknik tedbirler arasında sızma testlerini öne çıkarır.
    3. EPDK, SPK, GİB, Ulaştırma ve Altyapı Bakanlığı gibi kurumlar da bilgi güvenliği denetimlerinde bu testleri talep eder.
    4. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi, kamu kurumlarının sızma testlerinde uyması gereken esasları tanımlar.

TSE Sertifikalı Sızma Testinin Avantajları

TSE standartlarına uygun şekilde gerçekleştirilen sızma testleri, kurumlara birçok avantaj sağlar:

    1. Güvenilirlik: Kurumun bilgi güvenliği süreçlerinin standartlara uygun olduğunu gösterir.
    2. Doğrulanmış Yetkinlik: Testleri gerçekleştiren uzmanların bilgi ve becerileri resmî olarak belgelenmiştir.
    3. Siber Güvenlik Bilinci: Güncel tehditler ve saldırı teknikleri hakkında farkındalık oluşturur.
    4. Yasal ve Etik Uyum: Testlerin yasal sınırlar içinde ve etik kurallara uygun yapılmasını sağlar.
    5. Standardizasyon: Tüm testlerin belirli bir metodolojiye göre yürütülmesini ve raporlanmasını mümkün kılar.

TSE Standartlarına Göre Sızma Testi Süreci

1. Planlama ve Kapsam Belirleme

Süreç, test edilecek sistemlerin belirlenmesiyle başlar. Bu aşamada:

    1. Test kapsamı (ağ, uygulama, sistem, fiziksel güvenlik)
    2. Yetkilendirmeler
    3. Test süresi ve sınırları
      netleştirilir ve taraflar arasında resmî bir sözleşme imzalanır.

2. Güvenlik Değerlendirmeleri

Sızma testi firması, belirlenen kapsam doğrultusunda hedef sistemleri analiz eder. Test sırasında kullanılacak IP adresleri kuruma önceden bildirilir. Böylece test faaliyetleri ile gerçek saldırılar birbirinden ayrılır.

Bu aşamada:

    1. Otomatik tarama araçlarıyla açık portlar, servisler ve sürümler tespit edilir.
    2. Manuel analizlerle yanlış yapılandırmalar ve gizli zafiyetler incelenir.

3. Bilgi Toplama

Bilgi toplama aşamasında hedef sistemlere ait:

    1. Varlık envanteri
    2. Kullanılan teknolojiler
    3. Ağ mimarisi
      belirlenir. Bu süreç, bir saldırganın hedefi nasıl keşfedeceğini simüle eder.

4. Zafiyet Analizi

Otomatik ve manuel yöntemlerle tespit edilen güvenlik açıkları doğrulanır. Zafiyetler; etki, sömürülebilirlik ve maruziyet kriterlerine göre önceliklendirilir.

5. Sızma ve İstismar

Bu aşamada tespit edilen zafiyetler kontrollü şekilde istismar edilir:

    1. Yetkisiz erişim denemeleri
    2. Yetki yükseltme
    3. Yatay ve dikey hareket analizleri
      gerçek saldırgan davranışları taklit edilerek test edilir.

6. Risk Değerlendirmesi

Elde edilen bulgular, organizasyon üzerindeki potansiyel etkilerine göre değerlendirilir. Her güvenlik açığı için bir risk seviyesi belirlenir. Bu sayede kaynaklar, en kritik risklere öncelik verilerek yönetilir.

7. Raporlama ve İyileştirme

Test sonunda detaylı bir TSE uyumlu sızma testi raporu hazırlanır. Raporda:

    1. Teknik bulgular
    2. Kanıtlar
    3. İş etkisi analizi
    4. Uygulanabilir giderim önerileri
      yer alır. İyileştirmelerin ardından gerekirse yeniden test yapılır.

TSE Sızma Testi Kapsamı

    1. Ağ Güvenliği Testleri: Altyapı zafiyet taramaları, açık portlar, segmentasyon kontrolleri
    2. Uygulama Güvenliği Testleri: Web ve mobil uygulamalar, OWASP Top 10
    3. Sistem Güvenliği Testleri: Sunucu yapılandırmaları, yama yönetimi
    4. Fiziksel Güvenlik Testleri: Erişim noktaları ve cihaz güvenliği

Sonuç

TSE standartlarına göre gerçekleştirilen sızma testleri, kurumların yalnızca teknik açıklarını değil, aynı zamanda bilgi güvenliği olgunluk seviyelerini de ortaya koyar. Periyodik testler, etkin zafiyet yönetimi ve sürekli iyileştirme yaklaşımı sayesinde kurumlar siber tehditlere karşı daha dayanıklı hâle gelir.

TSE Standartlarına Göre Sızma Testi Nasıl Yapılır?
Amina KAPTAN 30 Mart 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment