“06.07.2019 tarih ve 30823 sayılı Resmi Gazetede yayınlanan 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi kapsamında; temin edilecek yazılım ve donanımlarda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla tedbirlerin alınması uygun görülmüş, bu kapsamda ilgili genelgenin 12. Maddesinde “Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.” denilmektedir. (https://cbddo.gov.tr/mevzuat/2019-12-sayili-bilgi-guvenligi-tedbirleri-cumhurbaskanligi-genelgesi/ )
Yine Cumhurbaşkanlığı DDO tarafından yayınlanan “Bilgi ve İletişim Güvenliği Rehberi” – “3.4. Nesnelerin İnterneti (IoT) Cihazlarının Güvenliğinde” alınması gereken güvenlik tedbirleri arasında güvenlik denetimi, sızma testi, gözden geçirme gibi birçok başlık sayılmıştır.
Yapılacak sızma testleri, gözden geçirme, güvenlik denetimlerinde aşağıdaki hususlar dikkate alınarak yapılması, yapılacak işlemlerin doğru çıktılar vermesi açısından faydalı olacaktır.
- Firma test işlemlerini T.C. vatandaşı olan bir ekip ile Türkiye sınırları dâhilinde gerçekleştirecektir. Yurt dışından gerçekleştirilecek güvenlik denetimi işlemleri kabul edilmeyecektir.
- İstekli firma en az 1 kamu ve 1 özel sektörde başarıyla sonuçlandırılmış 2 Sızma Testi projesi tamamlamış olmalıdır.
- TSE A sınıfı sızma firması seviyesinde olacaktır.
- Firmaların test uzmanları IoT-Sec-A (IoT Security Admin), IoT-Sec-X (IoT Security Expert) sertifiklarına sahip olacaktır.
- Daha önce kamu projelerinde başarıyla sonuçlandırılmış sızma testi projesi olan firmalar arasından olmalıdır.
- Test hizmetini ifa edecek uzmanların, test edeceği alana ilişkin en az CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), CISA (Certified Information Security Auditor, Comptia Security + (Comptia Security +), TSE tarafından verilen Kıdemli Ağ ve Sistem Altyapısı Kıdemli Sızma Testi Uzmanlığı, Web Uygulamaları ve Veri Tabanları Kıdemli Sızma Testi Uzmanlığı sertifikalarından en az dördüne sahip olmalıdır.
- Testi yapacak firma ISO27001, ISO9001, ISO20000, ISO 22301 ve ISO 27701 sertifikalarına sahip olmalıdır.