Sonuç olarak ISO/IEC 27001 için sızma testi zorunlu mudur?
Varılacak sonucu geciktirmeden söylemek gerekirse, ISO/IEC 27001 için sızma testi zorunlu değildir? Çünkü ISO/IEC 27001 içinde sızma testi açık bir şekilde belirtilmemiştir. Öte yandan ISO/IEC 27002 içinde “Zafiyet Taraması” daha açık bir şekilde belirtilmiştir. Ancak standardın yapısı gereği ISO/IEC 27002 içeriği sertifikasyon kapsamında tavsiye edilmekle beraber uygulaması zorunlu değildir.
O zaman ISO/IEC 27001 için sızma testi gereksizdir diyebilir miyiz?
Hayır. Her ne kadar standart için de açıkça geçmediği için sızma testi ISO/IEC 27001 belgesi almanın ön şartı değilse de sızma testi yada zafiyet taramasını gereksiz görmek hatalı bir yaklaşımdır.
Zira pratikte, standardın belirttiği teknik açıklıkları tespit etmek ve yönetmek ancak sızma testi ve zafiyet taraması ile mümkündür. Dolayısıyla ISO/IEC 27001 kapsamında sızma testi yaptırılması kesinlikle önerilmektedir.
Sızma testi yaptırılmaması durumunda denetimde bulgu yazılabilir mi?
Sızma testi eksikliği nedeniyle denetçinin majör bulgu yazarak belgelendirmeyi iptal etmesi çok beklenen bir durum değildir. Bununla beraber, denetçinin sızma testini önermesi ve bununla alakalı minör bulgu yazması beklenen bir durumdur.
ISO/IEC 27001 kapsamında kurum hangi varlıklarına test yaptırmalıdır?
Kurumun “Varlık Envanteri” içine yazdığı tüm varlıkları için sızma testi yaptırması gerekir. Kuruma ait; sunucu sistemleri, ağ bileşenleri, web uygulamaları, mobil uygulamaları bu varlıklara örnek verilebilir.
Bu noktada dikkate alınması gereken kıstas mevcut varlıkların kurumun sorumluluğunda olup olmadığıdır. Örneğin kurumun geliştirip bir müşterisine devrettiği uygulamalar artık kurum sorumluluğunda değilse bunlar için sızma testi gerekmez.
Sızma testi için tüm varlıklar dikkate alındığında çok yüksek bir maliyet çıkmaktadır? Bu nasıl hafifletilebilir?
Bu noktada yardıma “zafiyet taraması” yöntemi gelebilir. Kurum kritiklik seviyesi düşük olan varlıklar için sızma testi yerine zafiyet taraması yaparsa daha düşük maliyetle temel bir tedbiri almış olacaktır.
Buna ek olarak kullanıcı hesabı ile login olan sistemlerde, “login (giriş işlemi)” sonrası aşamaları test kapsamından çıkarmak test maliyetini düşürecektir. “Login” sonrası aşamaların da test edilmesi faydalı olsa da ilk aşamada uygulamanın anonim kısmını test edebilmek için bu şekilde bir maliyet hesabı yapılabilir.
Sızma testi çalışmasında maliyeti düşürecek diğer bir pratik, test ekibi ile test sürecinde maximum işbirliği yapmaktır. Bu süreçte, test edilecek sistemlere doğrudan erişim verilmesi test ekibinin keşif ve sistemlere erişim aşamasında zaman kaybının önüne geçecek bu da maliyeti düşürecektir.
ISO/IEC 27001 uyumlu sızma testi ne demektir?
ISO/IEC 27001 herhangi bir sızma testi metodolojisi sağlamamakta veya önermemektedir. Bu kapsamda “ISO 27001 uyumlu sızma testi” tabirinin kullanımı genel olarak doğru görülmektedir.
Konunun anlaşılması açısından bu tabirin uyumlu olduğu farklı kullanımlara aşağıdaki düzenleme, metodoloji veya rehberler örnek verilebilir?
- PCI DSS uyumlu sızma testi
- ISSAF uyumlu sızma testi
- OWASP uyumlu sızma testi
