TSE Sızma Testi (TS 13638) –
TSE A Sınıfı Yetkili Firma
TSE sızma testi ifadesi, teknik olarak ayrı bir test türünü değil; Türkiye’de sızma testlerinin hangi standartlarda, kimler tarafından ve nasıl gerçekleştirilmesi gerektiğini tanımlayan bir çerçeveyi ifade eder. Bu ifade, Türk Standardları Enstitüsü tarafından yayımlanan TS 13638 standardına uygun şekilde gerçekleştirilen sızma testleri için yaygın olarak kullanılmaktadır.
Sparta Siber Güvenlik olarak, TSE tarafından belgelendirilmiş A sınıfı sızma testi firması statüsünde; TS 13638 standardında tanımlanan kapsam, metodoloji, personel yetkinliği ve raporlama gerekliliklerini eksiksiz şekilde karşılayan sızma testi hizmetleri sunuyoruz.
TSE Sızma Testi Nedir?
TSE sızma testi, pratikte; TS 13638 standardına uygun olarak yetkilendirilmiş firmalar tarafından gerçekleştirilen sızma testlerini tanımlamak için kullanılan sektörel bir ifadedir. Bu nedenle “TSE sızma testi” ayrı bir ürün ya da yöntem değil, bir uyum ve yetkinlik göstergesi olarak değerlendirilmelidir.
Bu yaklaşımda önemli olan;
Testi gerçekleştiren firmanın TSE tarafından yetkilendirilmiş olması
Testi yapan personelin TSE kriterlerine uygun sertifikalara sahip olması
Test sürecinin ve raporlamanın TS 13638 standardına uygun yürütülmesidir
TSE sızma testi diye ayrı bir test var mı?
Hayır. TSE sızma testi, TSE’nin yayımladığı TS 13638 standardına uygun şekilde gerçekleştirilen sızma testlerini tanımlamak için kullanılan yaygın bir ifadedir. Kurumlar, özellikle kamu tarafında, bu ifadeyle testin belirli bir standart çerçevesinde ve yetkin personel tarafından yapılmasını talep eder.
TS 13638 standardı neyi tanımlar?
TS 13638 standardı;
Sızma testi firmalarının yetkilendirilme kriterlerini
Test kapsamının nasıl belirleneceğini
Kullanılacak metodolojiyi
Raporlama formatını
Personel niteliklerini
tanımlar. Bu standart, sızma testinin rastgele değil; ölçülebilir, denetlenebilir ve karşılaştırılabilir şekilde yürütülmesini amaçlar.
TSE A Sınıfı Sızma Testi Firması Ne Demektir?
TSE, sızma testi firmalarını yetkinliklerine göre sınıflandırır. Bu sınıflandırmada A sınıfı, en yüksek yetkinlik seviyesini ifade eder.
TSE A sınıfı sızma testi firmalarında;
TSE onaylı Kıdemli Sızma Testi Uzmanı çalıştırma zorunluluğu vardır
Testler ve raporlar bu yetkin personel tarafından yürütülür
Firma, hem teknik hem organizasyonel açıdan düzenli denetimlerden geçer
Alt sınıflarda ise TSE onaylı kıdemli uzman çalıştırma zorunluluğu bulunmamaktadır. Bu nedenle birçok kurum, özellikle kamu kurumları, doğrudan “TSE A sınıfı firma” şartı aramaktadır.
Kamu Kurumları Neden TSE’li Sızma Testi Firması İster?
Kamu kurumlarında sızma testi, yalnızca teknik bir kontrol değil; denetim, izlenebilirlik ve hesap verebilirlik boyutu olan bir güvenlik faaliyetidir. Bu nedenle “TSE sızma testi” ifadesiyle pratikte TS 13638 standardına uygun yürütülen ve yetkinliği belgelendirilmiş ekipler tarafından gerçekleştirilen çalışmalar talep edilir.
TS 13638 kapsamında TSE, sızma testi yapan firmaları A, B ve C seviyelerinde belgelendirir. Bu belgelendirme; firmanın belirli sayıda ve seviyede uzman personel bulundurması gibi yetkinlik şartlarıyla birlikte yürütülür. Örneğin A seviye firma için kıdemli uzman dâhil belirli uzmanlık seviyelerinde personel şartları tanımlanmıştır.
Kamu kurumlarının “TSE A sınıfı firma” şartını özellikle istemesinin temel sebepleri:
uzman yetkinliğinin standarda bağlı şekilde doğrulanması (kâğıt üzerinde değil, belgelendirme şartları ile)
kapsam belirleme, yürütüm ve raporlama beklentilerinin daha net tanımlanabilmesi
denetim süreçlerinde testin “yetkin kişiler tarafından” yapıldığının daha rahat gösterilebilmesi
Bu nedenle birçok kurum şartnamelerinde doğrudan TSE A sınıfı firma talep ederek, testin kalitesini ve rapor çıktısının kabul edilebilirliğini en baştan güvence altına almak ister.
Özel Sektör İçin TSE (TS 13638) Neden Önemlidir?
TSE (TS 13638) yaklaşımı sadece kamu için değil, özel sektör için de güçlü bir “ortak dil” sağlar. Özellikle EPDK, BDDK, SPK gibi sektörel düzenlemelerle ayrıca tanımlanmış bir çerçeveniz yoksa; sızma testini belirli bir metodolojiye, kapsam kurallarına ve raporlama disiplinine oturtmanın en pratik yollarından biri TS 13638 standardıdır.
Özel sektörde TSE A veya B seviye firma tercih edilmesinin öne çıkan faydaları:
metodoloji ve raporlama standardı: farklı ekiplerle çalışılsa bile testin yaklaşımı, kapsam mantığı ve çıktı kalitesi daha tutarlı olur
uzman yetkinliği: TS 13638 belgelendirmesi, firmada bulunması gereken uzmanlık seviyelerini tanımlar; bu da “testi kimin yaptığı” konusunu daha şeffaf hale getirir
BGYS (ISO 27001) süreçleriyle uyumlu seçim: TS 13638 belgelendirme şartlarında A ve B seviye firmalar için ISO/IEC 27001 belgesine sahip olma koşulu yer alır; bu da BGYS kültürü olan kurumlar için tedarikçi seçiminde güçlü bir sinyal üretir
denetim perspektifi: “sızma testi”nin yetkin kişiler tarafından yürütülmesi ve raporların değerlendirilmesi, denetim yaklaşımının doğal bir parçasıdır; bu nedenle özel sektörde de denetlenebilir çıktı üretmek isteyen kurumlar için standarda bağlı hareket etmek anlamlıdır
Özetle: kurumunuzun bağlı olduğu bir regülasyon yoksa bile, sızma testini “kişiye göre değişen bir iş” olmaktan çıkarıp, temeli ve kuralları olan bir güvenlik faaliyetine dönüştürmek için TS 13638 iyi bir referans çerçevesidir.
Sparta Siber Güvenlik Olarak TSE Sızma Testini Nasıl Gerçekleştiriyoruz?
Sparta Siber Güvenlik olarak sızma testlerini, TS 13638 standardının tüm gerekliliklerini dikkate alarak yürütüyoruz.
Süreç yaklaşımımız:
Kurumunuza özel kapsam belirleme ve yetkilendirme
TS 13638 uyumlu test metodolojisi
Yetkili ve TSE kriterlerine uygun uzmanlar tarafından testlerin gerçekleştirilmesi
Standartlara uygun, denetlenebilir ve açık raporlama
Tüm çalışmalarımızda testin yalnızca yapılmış olması değil, kurumunuza gerçek fayda sağlaması hedeflenir.
TSE Sızma Testi ile İlgili Sıkça Sorulan Sorular
TSE sızma testi diye ayrı bir test türü var mı?
Hayır. TSE sızma testi ifadesi, Türk Standardları Enstitüsü tarafından yayımlanan TS 13638 standardına uygun şekilde gerçekleştirilen sızma testlerini tanımlamak için kullanılan yaygın bir ifadedir. Ayrı bir test değil, standartlara bağlı bir uygulama yaklaşımını ifade eder.
Bir firmanın TSE onaylı olup olmadığını nasıl kontrol ederim?
Firmaların belgelerinin olup olmadığı ve belge geçerlilik durumları https://basvuruportal.tse.org.tr/genel/firmaarama.aspx adresinden kontrol edilebilmektedir.
TSE A sınıfı sızma testi firması ne anlama gelir?
TSE A sınıfı firma, TS 13638 standardında tanımlanan en yüksek yetkinlik seviyesini ifade eder. Bu firmalarda TSE onaylı kıdemli sızma testi uzmanı çalıştırma zorunluluğu bulunur ve testler bu yetkin personel tarafından yürütülür. Bu nedenle A sınıfı firmalar özellikle kamu ve denetim odaklı kurumlar tarafından tercih edilir.
TSE A, B ve C sınıfı firmalar arasındaki temel fark nedir?
Temel fark, firmada bulunması zorunlu uzmanlık seviyeleri ve personel yetkinliğidir. A ve B sınıfı firmalarda yetkinlik şartları daha yüksektir. A sınıfı firmalarda kıdemli sızma testi uzmanı çalıştırma zorunluluğu bulunurken, alt seviyelerde bu zorunluluk bulunmaz. Bu da testin kim tarafından ve hangi deneyim seviyesinde yapıldığını doğrudan etkiler.
TS 13638 standardına uygun sızma testi, ISO 27001 süreçleriyle uyumlu mudur?
Evet. TS 13638 standardında belgelendirilen A ve B seviye firmalar için ISO/IEC 27001 belgesine sahip olma şartı bulunmaktadır. Bu nedenle TS 13638’e uygun sızma testleri, Bilgi Güvenliği Yönetim Sistemi (BGYS) süreçleriyle uyumlu bir yaklaşım sunar ve denetimlerde destekleyici bir unsur olarak değerlendirilir.
Bilgi ve İletişim Güvenliği Rehberi kapsamında TSE Sızma Testi zorunlu mudur?
Evet. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan Bilgi ve İletişim Güvenliği Rehberi özellikle kamu ve kritik alt yapıya sahip kuruluşları ilgilendirdiğinden Rehber Denetimine tâbi kuruluşların TSE onaylı bir sızma testi firmasına test yaptırma zorunluluğu bulunmaktadır.