ISO 27001 Sızma Testi Zorunlu mu?
Kapsamlı Rehber
ISO 27001 belgesi almak isteyen veya mevcut sertifikasını korumayı hedefleyen kurumların en sık sorduğu sorulardan biri şudur: "ISO 27001 kapsamında sızma testi zorunlu mu?" Kısa cevap: Evet, birçok senaryoda doğrudan veya dolaylı olarak gereklidir. Ancak konu yalnızca "yılda bir pentest yaptırmak" kadar basit değildir.
Çünkü ISO 27001'in amacı sadece bir belge sahibi olmak değil; kurumun bilgi güvenliği risklerini gerçekten yönetebilmesini sağlamaktır. İnternete açık sistemleri olan, web uygulamaları kullanan, uzaktan erişim sağlayan veya müşteri verisi işleyen bir kurum için teknik güvenlik testleri artık "opsiyonel" bir yaklaşım olarak değerlendirilmemektedir.
İçindekiler
- ISO 27001 nedir?
- ISO 27001'de sızma testi açıkça yazıyor mu?
- ISO 27001 denetçileri sızma testine neden bakıyor?
- Zafiyet tarama ile sızma testi aynı şey mi?
- Hangi sistemlere sızma testi yapılmalı?
- Pentest sıklığı ne olmalı?
- Denetimde hangi pentest raporları beklenir?
- İç kaynakla test yapılabilir mi?
- Bulgu çıkmadı demek her zaman iyi midir?
- ISO 27001 dışında sızma testi isteyen regülasyonlar
ISO 27001 Nedir?
ISO/IEC 27001, kurumların bilgi güvenliği süreçlerini sistematik şekilde yönetmesini sağlayan uluslararası bir standarttır. Standart temel olarak bilginin gizliliği, bütünlüğü, erişilebilirliği, risk yönetimi ve sürekli iyileştirme hedeflerine odaklanır.
Bugün bankalardan enerji şirketlerine, yazılım firmalarından hastanelere kadar çok geniş bir alanda kullanılmaktadır. Özellikle aşağıdaki kurumlar için fiilen zorunlu hale gelmiştir:
- Kamuya iş yapan firmalar
- SaaS/yazılım şirketleri
- Veri işleyen kuruluşlar
- Finans ve ödeme sistemleri firmaları
- E-ticaret şirketleri
- Siber güvenlik olgunluğu göstermek isteyen kurumlar
ISO 27001'de Sızma Testi Açıkça Yazıyor mu?
En kritik nokta burasıdır. ISO 27001 standardında "Her kurum yılda 1 kez sızma testi yaptırmalıdır" şeklinde birebir bir madde bulunmaz. Ancak standardın teknik güvenlik kontrolleri ve risk yönetimi yaklaşımı, birçok kurum için sızma testini fiilen zorunlu hale getirir.
Özellikle ISO/IEC 27002 içerisindeki teknik kontroller bu ihtiyacı doğrudan destekler. Bunlar arasında teknik zafiyet yönetimi, güvenlik testleri, güvenlik doğrulama süreçleri, güvenli geliştirme, ağ güvenliği, uygulama güvenliği ve sürekli izleme başlıkları bulunur.
Denetçi Ne Sorar?
"Bu sistemlerin gerçekten güvenli olduğunu nasıl doğruluyorsunuz?" İşte bu sorunun cevabında sızma testleri devreye girer.
ISO 27001 Denetçileri Sızma Testine Neden Bakıyor?
Çünkü politika yazmak ile güvenliği gerçekten doğrulamak aynı şey değildir. Bir kurum "Web uygulamalarımız güvenlidir" veya "Sunucularımız düzenli kontrol edilmektedir" yazabilir. Ancak denetçi şu soruları soracaktır:
- Ne ile kontrol edildi?
- Kim test etti?
- Hangi kapsam test edildi?
- Sonuçlar neydi?
- Bulgular kapatıldı mı?
- Kanıt var mı?
Bu nedenle birçok ISO 27001 denetiminde sızma testi raporu, zafiyet tarama raporu, aksiyon planı, bulgu kapatma kayıtları ve retest doğrulama raporları talep edilir. Özellikle internete açık sistemleri olan kurumlarda teknik test yapılmaması ciddi eksiklik olarak değerlendirilebilir.
ISO 27001 sertifikasyon süreciniz için profesyonel sızma testi hizmeti
Web uygulamaları, iç ağ sistemleri ve teknik altyapılarınız için ISO 27001 uyumlu sızma testi hizmeti almak isterseniz hizmet sayfamızı inceleyebilirsiniz.
Sızma Testi Hizmetlerini İnceleZafiyet Tarama ile Sızma Testi Aynı Şey mi?
Hayır. Bu konu en sık karıştırılan başlıklardan biridir.
| Zafiyet Tarama (Vulnerability Assessment) | Sızma Testi (Penetration Testing) |
|---|---|
| Otomatik araç ağırlıklıdır (Nessus, OpenVAS, Qualys) | Gerçek saldırgan yaklaşımını simüle eder |
| Açık portlar, eski yazılım sürümleri, CVE'ler tespit edilir | Yetki yükseltme, SQL Injection, Authentication bypass analiz edilir |
| İş mantığı hatalarını veya zincir saldırıları çoğunlukla göremez | IDOR, SSRF, AD saldırıları, NTLM Relay gibi senaryolar test edilir |
| Teknik çıktı üretir | Risk etkisini yorumlar ve istismar kanıtı sunar |
Bu nedenle sadece otomatik tarama raporu birçok ISO 27001 denetçisi için yeterli kabul edilmez. Kurumlar düzenli sızma testleri ile teknik güvenliklerini gerçek saldırı senaryolarıyla doğrulamalıdır.
ISO 27001 Kapsamında Hangi Sistemlere Sızma Testi Yapılmalı?
Bu tamamen risk analizi ile ilişkilidir. Ancak pratikte en sık test edilen alanlar şunlardır:
Web Uygulamaları
Müşteri portalları, yönetim panelleri, ERP sistemleri, İK uygulamaları ve B2B paneller. OWASP Top 10 riskleri bu alanda kritik önem taşır.
Mobil Uygulamalar
Android ve iOS uygulamaları, API güvenliği, token yönetimi ve local storage kontrolleri.
Dış Ağ (External Pentest)
İnternete açık firewall, VPN, mail sistemleri, web servisleri ve uzaktan erişim altyapıları.
İç Ağ (Internal Pentest)
Domain escalation, lateral movement, privilege escalation, SMB relay ve zayıf grup politikaları.
Kablosuz Ağlar
WPA/WPA2 yapılandırmaları, rogue access point, yanlış yapılandırılmış misafir ağları ve zayıf segmentasyon.
Bulut Ortamları
AWS, Azure ve GCP ortamlarında IAM hataları, public bucket problemleri, security group yanlışları ve aşırı yetkili roller.
ISO 27001 İçin Pentest Sıklığı Ne Olmalı?
Standart net bir süre vermez. Ancak yaygın yaklaşım yılda en az 1 kez kapsamlı test yapılması şeklindedir. Ayrıca aşağıdaki durumlarda ek test yapılması önerilir:
- Büyük değişiklik sonrası
- Yeni uygulama yayına alınırken
- Kritik altyapı değişikliklerinde
- Bulut geçişlerinde
- Güvenlik olayı sonrasında
Bankacılık, enerji, ödeme sistemleri ve telekom gibi sektörlerde bu süre çok daha katı olup yılda bir test çoğu zaman yeterli görülmez.
ISO 27001 Denetiminde Hangi Pentest Raporları Beklenir?
İyi bir rapor sadece ekran görüntülerinden oluşmaz. Aşağıdaki bölümler beklenir:
Yönetici Özeti
Teknik olmayan yöneticiler için risk özeti ve genel değerlendirme.
Metodoloji
OWASP Testing Guide, NIST SP 800-115, OSSTMM veya PTES gibi kabul görmüş metodolojiler.
Teknik Bulgular
Her bulgu için risk seviyesi, etki, teknik açıklama, kanıt, istismar senaryosu ve öneri.
Risk Önceliklendirmesi
CVSS skoru tek başına yeterli değildir; iş etkisi de değerlendirilmelidir.
Retest Sonuçları
Bulgunun gerçekten kapatılıp kapatılmadığının doğrulanması. Birçok kurumun eksik bıraktığı kritik alandır.
ISO 27001 İçin İç Kaynakla Test Yapılabilir mi?
Teorik olarak evet. Ancak burada bağımsızlık problemi oluşabilir. Birçok denetçi şu soruları sorar: Testi yapan kişi sistemi geliştiren ekipte mi? Gerçek saldırgan perspektifi sağlandı mı? Kullanılan metodoloji yeterli mi?
Bu nedenle birçok kurum dış bağımsız sızma testi firmalarıyla çalışmayı tercih eder. Denetimlerde güven artıran sertifikalar arasında OSCP, GPEN, LPT Master ve eCPPT sayılabilir.
ISO 27001 denetiminiz için bağımsız sızma testi hizmeti alın
Uluslararası sertifikalı uzman kadromuzla ISO 27001 uyumlu sızma testi hizmeti almak için bizimle iletişime geçebilirsiniz.
Teklif Alın"Bulgu Çıkmadı" Demek Her Zaman İyi midir?
Hayır. Deneyimli denetçiler bazen tam tersine şüphelenir. Çünkü kapsam dar olabilir, test yüzeysel yapılmış olabilir ya da yalnızca otomatik araç kullanılmış olabilir.
Önemli Not
Gerçek dünyada tamamen bulgusuz testler oldukça nadirdir. Önemli olan risklerin doğru tespit edilmesi, önceliklendirilmesi, yönetilmesi ve kapatılmasıdır.
ISO 27001 Dışında Sızma Testi İsteyen Regülasyonlar
Sızma testi artık yalnızca ISO 27001 konusu değildir. Aşağıdaki çerçevelerde de karşımıza çıkar:
- KVKK teknik tedbir yaklaşımı
- BDDK düzenlemeleri
- TCMB ödeme kuruluşu gereklilikleri
- EPDK SGYM yaklaşımı
- PCI DSS
- SOC 2
- TISAX
Özellikle müşteri denetimleri sırasında da pentest raporları artık standart talep haline gelmiştir. Bugün birçok müşteri, tedarikçi seçiminde şunu soruyor: "Son sızma testi raporunuz ne zaman hazırlandı?"
Sıkça Sorulan Sorular
ISO 27001 kapsamında sızma testi zorunlu mu?
ISO 27001, her kuruma açıkça pentest zorunluluğu getirmez. Ancak standardın teknik güvenlik kontrolleri ve risk yönetimi yaklaşımı, özellikle internete açık sistemleri olan kurumlar için sızma testini fiilen zorunlu hale getirir. Denetçiler, sistemlerin güvenliğinin nasıl doğrulandığını sormaktadır.
Zafiyet taraması ISO 27001 denetimi için yeterli midir?
Hayır. Zafiyet taramaları otomatik araçlarla bilinen açıkları tespit eder; ancak iş mantığı hataları, yetki yükseltme zincirleri ve gerçek saldırı senaryolarını göstermez. Birçok denetçi yalnızca otomatik tarama raporunu yeterli kabul etmemektedir.
ISO 27001 için pentest ne sıklıkla yapılmalıdır?
Yaygın yaklaşım yılda en az bir kez kapsamlı test yapılmasıdır. Buna ek olarak yeni uygulama yayına alımları, büyük altyapı değişiklikleri ve güvenlik olayları sonrasında ek test yapılması önerilir. Bankacılık ve enerji gibi düzenleyici sektörlerde bu süre çok daha kısa tutulmaktadır.
ISO 27001 denetiminde hangi belgeler talep edilir?
Sızma testi raporu, zafiyet tarama raporu, bulgu aksiyon planı, kapatma kayıtları ve retest doğrulama raporları denetçiler tarafından en sık talep edilen belgeler arasındadır.
İç ekiplerle yapılan sızma testi denetim için geçerli midir?
Teorik olarak evet, ancak bağımsızlık sorunu oluşabilir. Denetçiler testin bağımsız bir perspektiften yapılıp yapılmadığını, kullanılan metodolojinin yeterliliğini ve uzmanın sertifikasyon durumunu sorgulayabilir. Dış bağımsız firmalarla çalışmak denetim süreçlerinde daha güvenilir sonuçlar doğurur.