SIZMA TEST İ, E Ğİ T İ M VE DANIŞMANLIK H İ ZMET İ VEREN PERSONEL VE F İ RMALAR İ Ç İ N YETK İ LEND İ RME PROGRAMI KORAY ATSAN SIZMA TEST İ, E Ğİ T İ M VE DANIŞMANLIK H İ ZMET İ VEREN PERSONEL VE F İ RMALAR İ Ç İ N YETK İ LEND İ RME PROGRAMI KORAY ATSAN TÜRK STANDARDLARI ENST İ TÜSÜ
Sızma Testi(Penetration test) Sızma testi, bilgisayar ve a ğ güvenli ğ ini dışarıdan veya içeriden yapılan bir saldırı ile de ğ erlendirme yöntemidir. Bir düzeltici ve önleyici faaliyettir. (Yönetim Sistemleri tabiriyle) Kurumsal bilgilerin ve sistemlerin güvenli ğ i açısından kritik bir çalışmadır.
Özetle ; Bu program ; ◦ Sızma testlerine, ◦ Sızma testi yapan firmalara ve ◦ Sızma testi yapan personellere ait kriterleri ve şartları ortaya koymaktadır.
Amaç Bu program ile ; Ülkemizde gerçekleştirilen sızma testi çalışmalarının belirli kriterler çerçevesinde yapılmasının sa ğ lanması yoluyla ; ◦ Kurumsal verilerin korunmasına ◦ Kişisel verilen korunmasına ◦ Ulusal verilerin korunmasına Katkıda bulunulması amaçlanmaktadır.
Takvim Çalışma başlangıcı : 15 Mayıs Çalışma bitişi : 15 A ğ ustos 1.Çalıştay : 24 Temmuz Taslak Çalışmanın yayınlanması: 30 Temmuz Yorum ve Geri Dönüşler : 9 A ğ ustos 2.ci Çalıştay : Program haline gelmesi : Ekim 2013
Sızma Testi Şartları Test aşamaları Raporlama Kuruluş ile iletişim şartları Gizlilik ve Kayıt Saklama şartları Kanunlara ve Mevzuata uyum
Personel Yetkinlik Şartları 4 seviyede ele alınmaktadır : Stajyer Sızma Testi Uzmanı Bir yıl içerisinde güvenlik konusunda en az bir (1) adet e ğ itim almış olmak, Bir yıl içerisinde en az bir (1) adet sızma testine katılmış olmak. Kayıtlı Sızma Testi Uzmanı Konu hakkında e ğ itim almak, TSE tarafından yapılan çoktan seçmeli yazılı uzmanlık sınavında başarılı olmak, 2 yıl bilgi güvenli ğ i alanında çalışmış olmak veya 2 yıl sızma testi yapmış olmak ve bunu belgelendirmek, Sertifikalı Sızma Testi Uzmanı (Geçici) Üniversitelerin dört yıllık e ğ itim veren bölümlerinden mezun olmak, Konu hakkında e ğ itim almak, TSE tarafından yapılan yazılı ve uygulamalı uzmanlık sınavında başarılı olmak, 3 yıl bilgi güvenli ğ i alanında çalışmış olmak veya 3 yıl sızma testi yapmış olmak ve bunu belgelendirmek ve bunlara ek olarak en az 1 adet ulusal veya uluslararası düzeyde akademik makale yayınlamak, Not : Sertifikalı Sızma Testi uzmanlı ğ ı 18 ay süre ile geçerli olacaktır.
Personel Yetkinlik Şartları Kıdemli Sızma Testi Uzmanı Üniversitelerin dört yıllık e ğ itim veren bölümlerinden mezun olmak, Konu hakkında e ğ itim almak, TSE tarafından yapılan yazılı ve uygulamalı uzmanlık sınavında başarılı olmak, 3 yıl bilgi güvenli ğ i alanında çalışmış olmak veya 5 yıl sızma testi yapmış olmak ve bunu belgelendirmek ve bunlara ek olarak en az 1 adet ulusal veya uluslararası düzeyde akademik makale yayınlamak, En az 1 adet ulusal veya uluslararası düzeyde akademik makale yayınlamak veya bir zafiyet keşfinde bulunup TSE’nin zafiyet bildirim programına bildirmek.
Personel Yetkinlik Şartları Kıdemli ve Sertifikalı Sızma Testi Uzmanlı ğ ı : ◦ A ğ ve Sistem Altyapısı Sızma Testi Uzmanlı ğ ı, ◦ Web Uygulamaları ve Veritabanları Sızma Testi Uzmanlı ğ ı Konularında verilecektir.
Personel Yetkinlik Şartları Kayıtlı Sızma Testi Uzmanlı ğ ı : ◦ Endüstriyel Uygulamalar Sızma Testi Uzmanı ◦ Sosyal Mühendislik Sızma Testi Uzmanı ◦ Fiziksel Sızma Testi Uzmanı ◦ Mobil Uygulama Sızma Testi Uzmanı ◦ Kablosuz A ğ lar Sızma Testi Uzmanı ◦ DOS/DDOS Testi Uzmanı Konularında verilecektir.
Eşde ğ erlik Çizelgesi Sertifikalandırma OtoritesiSertifika Adı GIACGIAC Exploit Researcher and Advanced Penetration Tester (GXPN) GIACGWAPT (GIAC Web Application Penetration Tester ) OWASPOSWE (Offensive Security Web Expert) Sertifikalı Sızma Testi Uzmanlı ğ ı için ; 18 Ay süre ile geçerli olacak A ğ ve Sistem Altyapısı Sızma Testi Uzmanlı ğ ı Eşde ğ erlik Tablosu: Web Uygulamaları ve Veritabanları Sızma Testi Uzmanlı ğ ı Eşde ğ erlik Tablosu: Sertifikalandırma OtoritesiSertifika Adı EC-CouncilLicensed Penetration Tester(LPT) GIACGIAC Exploit Researcher and Advanced Penetration Tester (GXPN) GIACGIAC Penetration Tester (GPEN) Offensive SecurityOffensive Security Certified Professional (OSCP)
Danışmanlık ve E ğ itim Şartları Temel olarak danışmanlık ve e ğ itimlerin sertifikalı personeller tarafından verilmesini gereksinimini belirtir.
Firma Seviyelendirme 3 farklı seviye, aşa ğ ıdaki tabloda yer alan personel sayıları temelindedir.
Ekler Program eklerinde; Örnek Sızma Testi Raporu Kapsam Belirleme Formu Örne ğ i Müşteri Feragatnamesi Örne ğ i Bulunmaktadır.
İ kinci Faz Programın standart haline getirilmesi için gerekli çalışmalar yapılacaktır. Uzmanlıkların belgelendirilebilmesi için uygulamalı sınav ve yazılı sınav yapılacaktır. Uygulamalı sınav CTF şeklinde olacak, yazılı sınav ise çoktan seçmeli test şeklinde olacaktır.
Teşekkürler...