=Paper=
{{Paper
|id=Vol-2045/Bilisim_paper_17
|storemode=property
|title= Bilisim Teknolojileri ve Standardizasyon (Information Technologies and Standardization)
|pdfUrl=https://ceur-ws.org/Vol-2045/23_Bilisim_2017_paper_17.pdf
|volume=Vol-2045
|authors=Inan Ozkan
}}
== Bilisim Teknolojileri ve Standardizasyon (Information Technologies and Standardization)==
https://ceur-ws.org/Vol-2045/23_Bilisim_2017_paper_17.pdf
BİLİŞİM TEKNOLOJİLERİ VE STANDARDİZASYON
İnan ÖZKAN
Türk Standardları Enstitüsü, Ankara
inanozkan@gmail.com
ÖZET problems with the standards which have become part of
Bilişim teknolojilerindeki değişimin hızı her geçen gün the legislation will be discussed. While it seems that the
artmaktadır. Değişime ayak uydurabilmek ve yeni nesil standardization activities such as White Hat Hacker,
teknolojiler ile konuşur halde kalabilmek için elimizdeki Common Criteria, SPICE, Information Security
en büyük koz standartlardır. Standartlar iş yapış Management have come into prominence, it has been
yöntemlerimizden, ürettiğimiz ürüne, şirket personelinin seen that there is a standard that provides solution for
yetkinliklerinden dokümantasyon yapımıza kadar her almost every field is dealt with and infrastructure for
alana dokunmakta ve dokunduğu alanları geleceğe necessary conformity assessment activities is prepared.
hazırlamaktadır. Ülkemizde de her alanda olduğu gibi
Keywords
bilişim alanında da standardizasyon ihtiyacı her geçen
Information Technologies; Standardization; Common
gün daha fazla hissedilmekte ve talep edilmektedir.
Criteria; SPICE.
İhtiyaçlara cevap verebilmek adına bilişim teknolojileri
alanında ürün, sistem, personel ve test anlamında ulusal
GİRİŞ
ve uluslararası standartlar ülkemizde de takip edilmekte
Standart kelimesinin zihinlerde ilk yaptığı çağrışım
ve yaygınlaştırma çalışmaları titizlikle yürütülmektedir.
tekilliktir. Standartlar, tek ve biri yani olması gerekeni
Çalışma içerisinde ülkemizde son yıllarda kamu kurum
ilgilendiği konu için ortaya koymaya çalışırlar. Ancak
ve kuruluşları tarafından talep edilerek mevzuatın parçası
standart kelimesi için dahi kısa bir araştırma ile birçok
haline gelmiş olan standartlar ile yaşanılan sorunlara
farklı tanım elde edebiliriz. İlk kaynak olarak Türk Dil
çözüm önerisi getiren standardizasyon faaliyetleri ele
Kurumu standart kelimesini sıfat olarak [1] “belli bir tipe
alınacaktır. Standardizasyon faaliyetleri içerisinde Beyaz
göre yapılmış veya ayrılmış”, “belirli ölçülere, yasaya,
Şapkalı Hacker, Ortak Kriterler, SPICE, Bilgi Güvenliği
kullanıma uygun olan” ve “örnek veya temel olarak
Yönetimi gibi hizmetlerin ön planı çıktığı görülmekle
alınabilen” şeklinde 3 farklı şekilde tanımlarken Türk
birlikte hemen hemen ihtiyaç olan her alan için çözüm
Standardları Enstitüsü (TSE)[2] “imalatta, anlayışta,
getiren bir standardın ele alındığı ve gerekli uygunluk
ölçme ve deneyde örnekliktir” şeklinde tanımlamaktadır.
değerlendirme faaliyetleri için altyapının hazırlanmış
Örnek verdiğimiz tanımları araştırmayı derinleştirerek
olduğu görülmüştür.
çoğaltabilir hatta bizlerde kendi tanımımızı ortaya
Anahtar Kelimeler koyabiliriz. Bu durumda “insanlık için tekliğin ve
Bilişim Teknolojileri; Standardizasyon; Ortak Kriterler; birliğin sembolü olan standardın nasıl olurda tek bir
SPICE. tanımı olmaz?” sorusunu sormak kaçınılmaz hale
gelmektedir. Her ne kadar farklı şekillerde tanımlasak
ABSTRACT dahi tanımlarımızın tamamı aynı hedefe ulaşmak için
The speed of change in information technologies is kullandığımız farklı yollar olarak görülmelidir.
increasing day by day. Standard is the biggest trump card Standardizasyon faaliyetleri de bu anlamda standartları
to be able to keep up with changing trends and stay in temel alarak farklı yollardan aynı hedef ulaşma çabası
touch with the next generation of technology. The olarak görülmelidir. Standartlar ile hedeflenen
standards touch in every field from our methods of doing faydalar[3] herkes için güvenlik, güvenilirlik, koruma,
business, to the product we produce, from the birlikte çalışabilirlik, ekonomik getiri ve yeni
competencies of company personnel to the production of seçeneklerin ortaya konulabilmesi olarak özetlenebilir.
documentation and prepare us for the future. As is the Standartsız bir dünya hayal edildiğinde ürünlerin
case in every field in our country, the need for istenildiği gibi çalışmadığı, kalitesinin beklentileri
standardization in the field of information technology is yakalayamadığı, diğerleri ile uyumu sağlayamadığı, tek
felt more and more every day. In order to be able to bir üretici ile kısıtlı kalınması zorunluluğunun ortaya
respond to needs, national and international standards in çıktığı, üreticilerin en basit çözüm için dahi kendi
terms of products, systems, personnel and testing are kapasiteleri ile kısıtlı kalması sebebiyle inovasyonun hız
followed and dissemination efforts are carried out kestiği ve daha kötüsü ürünlerin sağlığı ve yaşamı tehdit
meticulously in our country. In this study, the ettiği görülecektir[4]. Tüm bu olumsuzlukların günlük
standardization activities which are proposed by the hayatımızın tüm alanlarında altyapıların temel taşı haline
public institutions and organizations in recent years in gelmiş olan bilişim teknolojileri ürünlerinde yaşandığını
our country and which have proposed the solution to the varsaydığımız da yaşanamaz bir ortamla yüz yüze
�kalacağımız ve bu nedenle bilişim teknolojileri alanında 1. Güvenlik Politikası
da standartlara ve standardizasyon faaliyetlerine
2. Bilgi Güvenliği Organizasyonu
yaşanabilir bir dünya için muhtaç olduğumuz aşikardır.
3. İnsan Kaynakları Güvenliği
Bilişim teknolojilerinde standardizasyon faaliyetlerini
ihtiyaca göre farklı şekillerde ele alabiliriz. 4. Varlık Yönetimi
Sınıflandırmayı standardı ortaya konulan olgu yönünden
5. Erişim Kontrolü
sistem, ürün veya kişi olarak yapabileceğimiz gibi
ihtiyaç duyulan özellikler yönünden de kalite ve 6. Kriptografi
güvenlik şeklinde yapmakta mümkündür. Bilişim
teknolojileri alanında hangi sınıf ve türde olursa olsun 7. Fiziksel ve Çevresel Güvenlik
standardizasyon ihtiyacını karşılamak ve sorunlara 8. Operasyon Güvenliği
standartlar üzerinden çözüm getirmek adına çalışmalar
yapılmaktadır. Çoğunlukla uluslararası çalışmalar takip 9. İletişim Güvenliği
edilerek kimi zamanda doğrudan sektörden gelen talepler 10. Sistem Tedariği, Geliştirme ve Bakımı
dolayısıyla güncel ve en uygun çözümlerin henüz
sorunlar yaşanmadan ülkemize getirilmesi ve 11. Tedarikçi İlişkileri
standardizasyon altyapısının kurulması sağlanmaktadır. 12. Bilgi Güvenliği Vaka Yönetimi
Ülkemizde tüm standardizasyon faaliyetlerinden sorumlu
resmi kurum olarak TSE, bilişim teknolojileri alanına da 13. Bilgi Güvenliği Açısından İş Sürekliliği
ayrı önem vermektedir. Bilişim teknolojileri Yönetimi
standardizasyon faaliyetlerinden sorumlu olacak şekilde 14. Uyum
TSE bünyesinde çalışmalar oldukça eski yıllara
dayanmakla birlikte işler hale getirilen ilk belgelendirme Akreditasyon kapsamında 27001 standardı bulunan 29
sistemi 2000’li yılların sonlarına doğru kurulmuştur. belgelendirme kuruluşu olduğu göz önüne alındığında
Değişen ve artan ihtiyaçlar sonrasında TSE bünyesinde ülkemizde yaygın olarak kullanılan bilişim teknolojileri
Bilişim Teknolojileri Test ve Belgelendirme Dairesi standartlarının başında gelmektedir. İlgili alanındaki bazı
Başkanlığı kurularak standardizasyon faaliyetlerinin konularda işletmelere 27001 belge alma zorunluluğu
etkin ve hızlı şekilde karşılanması amaçlanmıştır. Her ne getiren kurumlar şöyledir:
kadar standardizasyon kurumu tarafından gerekli altyapı Enerji Piyasası Düzenleme Kurumu
kurulmuş ve belgelendirme sistemleri oluşturulmuş olsa
da ülkemizdeki standardizasyon farkındalığının eksikliği Gümrük ve Ticaret Bakanlığı
nedeniyle yaşanan sorunlar gözle görünür hale gelene
Maliye Bakanlığı
kadar standartları kullanmakta sektörün büyük bir
çekincesi olduğu göz ardı edilemeyecek bir gerçektir. Bu Bilgi Teknolojileri ve İletişim Kurumu
durumda gönüllü bir faaliyet olan standardizasyon
çalışmalarına kanun koyucular tarafından mevzuat Sivil Havacılık Genel Müdürlüğü
içerisinde doğrudan atıfta bulunularak sektörün zorunlu
olarak standardizasyon faaliyetlerine katılımı TS ISO/IEC 15408 ORTAK KRİTERLER
sağlanmaktadır. Bilişim teknolojileri ürünlerinin güvenliğine odaklanmış
olan standart, Uluslararası Standardizasyon
Bu çalışmada ülkemizde bilişim teknolojileri alanında Organizasyonu (ISO) tarafından kabul edilerek
gerçekleştirilen gönüllü ve zorunlu standardizasyon yayınlanan bir standart olmakla birlikte bağımsız bir
faaliyetleri ile bu faaliyetlerin konu edindiği bilişim topluluk tarafından geliştirilerek güncellenmektedir[6].
teknolojileri standartları ilgili bilgiler sunulacaktır. Bağımsız topluluk üyesi olunabilmesi için “Ortak
Kriterler Tanıma Anlaşması”na taraf olunması ve tanıma
TS EN ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM anlaşmasına taraf olacak belgelendirme makamının
SİSTEMİ bulunduğu ülkenin kamu kuruluşu olması gerekmektedir.
Bilgi taşıdığı değere nispetle varlık sınıflandırmamız Her ülkede sadece bir adet belgelendirme makamı
arasında en önde gelmektedir. Bilginin taşıdığı değer tanınmaktadır. Anlaşmaya taraf belgelendirme
nedeniyle onu korumak için elimizden geleni yaparız. makamları “üretici üye” ve “tüketici üye” olarak ikiye
Koruma çabasının boşa gitmemesi ve amacına ayrılmaktadır. Üretici üyeler tarafından verilen belgeler
ulaşabilmesi için teknolojik çözümlerle birlikte sağlam tüm üyeler tarafından kabul edilmekte iken tüketici
bir güvenlik yönetim sisteminin kurulması üyelerin verdikleri belgeler sadece kendi ülkelerinde
gerekmektedir. İhtiyaç duyduğumuz etkin bilgi güvenliği kabul görmektedir. 17 üretici ve 11 tüketici üyenin taraf
sisteminin oluşturulabilmesi için geliştirilen TS EN olduğu anlaşmada ülkemiz TSE tarafından temsil
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi[5] edilmekte ve üretici üyeler arasında bulunmaktadır.
standardı bilgi güvenliğini 7 ana madde ve 14 kontrol
başlığı altında ele almaktadır. Ele alınması gereken 14 Standart üç bölüm ve bir metodoloji dokümanından
kontrol başlığı şöyledir: oluşmaktadır:
� 1. Giriş ve Genel Model (Bölüm 1) c. Mühendislik Süreç Grubu
2. Güvenlik Fonksiyel Gereksinimleri (Bölüm 2) d. İşletim Süreç Grubu
3. Güvenlik Garanti Gereksinimleri (Bölüm 3) 2. Kurumsal Süreçler
4. Ortak Kriterler Değerlendirme Metodolojisi a. Yönetim Süreç Grubu
Ortak Kriterler standardı içerisinde hedeflenebilecek 7 b. Süreç İyileştirme Süreç Grubu
adet güvenlik seviyesi bulunmaktadır. Güvenlik seviyesi
c. Kaynak ve Altyapı Süreç Grubu
1’den 7’ye doğru yükseldikçe daha detaylı tasarım
dokümantasyonu ve daha derinlemesine güvenlik testleri d. Tekrar Kullanma Süreç Grubu
ihtiyacı ortaya çıkmaktadır. BT ürününün yeterli bir
geliştirme ortamında gerçeklenip gerçeklenmediği 3. Destek Süreçler
kontrol edilir, var olan tehditleri analiz edilir, a. Destek Süreç Grubu
Fonksiyonel ve bağımsız sızma testleri (açıklık analizi
çalışması) yapılır ve ürüne uygun garanti seviyesinde Süreç setleri ile ilişkilendirilen temel pratiklerin yanı sıra
belge verilir. genel pratiklerde tanımlanmış olup seviye belirleme
kapsamına alınmış olan süreçlere uygulanmaktadır.
Ürünün güvenlik değerlendirmesinin yapılması ve SPICE standardı içerisinde beş seviye bulunmaktadır.
belgelendirme faaliyetleri birbirinden ayrılmış olup Birinci seviyede temel pratikler değerlendirilirken diğer
değerlendirme faaliyetleri belgelendirme makamları seviyelerde genel pratikler değerlendirilmektedir.
tarafından lisanslanmış olan laboratuvarlar aracılığı ile
yapılmaktadır. Değerlendirme laboratuvarında aranan ön Seviye 1 Gerçekleştirilmiş
şart TS EN ISO/IEC 17025 Deney ve Kalibrasyon o Süreç Performansı
Laboratuvarlarının Yeterliliği için Genel Şartlar
standardından akredite olunmasıdır. TSE belgelendirme Seviye 2 Yönetilen
makamının ikisi yerli olmak üzere beş adet lisanslı o Performans Yönetimi
laboratuvarı bulunmaktadır[7]. Ayrıca TSE bünyesinde
bir adet Ortak Kriterler Değerlendirme Laboratuvarı o İş Ürünü Yönetimi
kurulması çalışmaları sürmekte olup laboratuvarın Seviye 3 Kurulmuş
akreditasyon süreci tamamlanmıştır.
o Süreç Tanımı
TSE belgelendirme makamı tarafından 50 adet ürüne
belge verilmiş durumdadır. Ortak Kriterler ürün o Süreç Düzenleme
güvenliğini hedefleyen ve uluslararası kabul görmüş bir
Seviye 4 Tahmin Edilebilir
standart olması nedeniyle ülkemiz resmi makamları
tarafından gerekli görüldüğü alanlar için zorunlu hale o Süreç Ölçümü
getirilmeye başlanmıştır. Ortak kriterler zorunluluğu olan
o Süreç Kontrolü
ürünler;
1. Sağlık Bilgi Yönetim Sistemleri (Sağlık Seviye 5 En İyileştirici
Bakanlığı) o Süreç Yenileme
2. Yeni Nesil Ödeme Kaydedici Cihazlar (Gelir o Süreç Eniyleştirme
İdaresi Başkanlığı)
SPICE denetimi yapılabilmesi için en az iki kişilik
TS ISO/IEC 15504 YAZILIM SÜREÇ İYİLEŞTİRME denetim ekibi oluşturulmalıdır. Denetim ekibinde olacak
OLGUNLUK (SPICE) personeller International Assessor Certification Scheme
SPICE (Software Process Improvement Capability (INTACS) tarafından yetkilendirilmektedir. Yetkinin
dEtermination) modelinin amacı farklı yazılım süreç alınabilmesi için lisanslı kuruluşlardan eğitim alınmalı ve
değerlendirme model ve yöntemleri için ortak bir ana sınavdan başarı sağlanmalıdır. Denetçiler için üç seviye
prensip sağlamaktır[8]. Yazılım satın alma, tedarik, bulunmakta olup denetçi, uzman denetçi ve baş denetçi
işletim, bakım ve destek için planlama, yönetim, icra, unvanları bulunmaktadır. Denetim ekibi biri uzman
denetim, iyileşme, yeterlilik ve olgunluk düzeyi denetçi olmak üzere en az iki denetçiden oluşmalıdır.
belirleme standardıdır. Standart içerisinde süreç setleri Ülkemizde akredite olarak SPICE belgesi veren tek
tanımlanmıştır. Süreç setleri 3 ana sınıf altında kuruluş TSE’dir. TSE tarafından belge verilen 44 kuruluş
incelenmektedir: bulunmaktadır. SPICE belgesinin zorunlu olduğu alan:
1. Temel Süreçler 1. Sağlık Bilgi Yönetim Sistemleri (Sağlık
Bakanlığı)
a. Satın Alma Süreç Grubu
Ayrıca bir diğer yazılım yaşam döngüsü standardı olan
b. Tedarik Süreç Grubu TS ISO/IEC 12207 belgesi yerli malı belgesi almak
�isteyen yazılımlar için TOBB Sanayi Müdürlüğü seviyeleri için firmaların TS EN ISO/IEC 27001
tarafından zorunlu hale getirilmiştir. belgesine sahip olunması zorunludur.
TS 13638 SIZMA TESTİ YAPAN PERSONEL VE TS 13298 ELEKTRONİK BELGE VE ARŞİV YÖNETİM
FİRMALAR İÇİN ŞARTLAR (BEYAZ ŞAPKALI SİSTEMİ
HACKER)
EBYS standardı olarak bilinen TS 13298 standardı
TS 13638 standardı ulusal standartlarımız arasında olup kurumlar tarafından kullanılan elektronik belge ve arşiv
ülkemizin siber güvenlik alanındaki yetkin personel yönetim sistemlerinin sahip olması gereken özellikleri
ihtiyacının karşılanması ve sızma testleri gerçekleştiren ortaya koyar. Resmi belgelerin elektronik ortama
kuruluşların bir disiplin altına alınması hedefi ile taşınarak iş ve işlemlerde zaman ve maliyet açısından
oluşturulmuştur. tasarruf sağlanması bir yana ülke hafızamızı oluşturan
Standart işlevsel olarak hem personel ve sistem belgelerin gelecek kuşaklara mümkün olan en iyi şekilde
belgelendirme hem de sızma testlerinde kullanılabilecek aktarılması hedefi de standartta yüklenen önemli bir
şekilde düzenlenmiştir. Personel belgelendirme ile ilgili sorumluluktur. Bu nedenle standart referans model
olarak 2 alan ve 4 seviye belirlenmiştir. Bunlar: olarak yayınlandığı ilk günden beri güncel teknolojik
gelişmeler ve ülke ihtiyaçları takip edilerek
Ağ ve Sistem Güvenliği güncellenmekte ve geliştirilmektedir. 2015 yılında
yapılan revizyon ile içerikte geliştirme yapılarak arşiv
Web ve Veritabanı Güvenliği sisteminin gerekleri tanımlanmış, birlikte çalışabilirlik
alanları ile için elektronik yazışma paketi ve kayıtlı elektronik posta
kullanımı zorunlu hale gelmiş ve güvenlik testleri
Stajyer Sızma Testi Uzmanı standarda eklenmiştir. Standart aşağıdaki bölümlerden
Kayıtlı Sızma Testi Uzmanı oluşmaktadır:
Sertifikalı Sızma Testi Uzmanı Sistem Kriterleri
Kıdemli Sızma Testi Uzmanı o Dosya tasnif planları
seviyeleridir. o Saklama Planları
Sızma testi uzmanlarının belge alabilmesi için stajyer o Elektronik Belgelerin Kayıt İşlemleri
sızma testi uzmanı seviyesi en alt seviye olarak o Elektronik Belgelerin Paylaşımı
belirlenmiş ve uygulama gerektirmeyen teorik bilgi ile
alınabilmektedir. Ancak diğer üst seviyeler uygulama o EBYS Kullanım Özellikleri
sınavından da belirli seviyede puan almak, akademik o Erişim Kontrolü ve Güvenlik
yayın yapmak, açıklık keşfinde bulunmak gibi uzmanlığı
gösterebilecek farklı şartlarla donatılmıştır. Sızma testi o Sistem Tasarımı ve Yönetimi
uzmanı belgelendirmesi için eğitim ve sınavlar Belge Kriterleri
düzenlenerek belgelendirme işlemi yapılması faaliyetleri
TSE bünyesinde yürütülmektedir. o Belge Özellikleri
Sızma testi yapan firmaların belgelendirilebilmesi için o Doküman Yönetimi
öncelikle aynı standarttan belge almış sızma testi uzmanı o Elektronik Olmayan Sistemlerle
belgesine sahip uzmanlar bulunması gerekir. Bu kısımda Uyumluluk
3 firma seviyesi belirlenmiştir. Bunlar:
o Dijital Görüntüleme Sistemleri
A Seviye Sızma Testi Yapan Firma
Elektronik Arşivleme Sistemi Referans Modeli
B Seviye Sızma Testi Yapan Firma (ELAS/RM)
C Seviye Sızma Testi Yapan Firma o Elektronik Arşivleme Sistemi Referans
C seviye sızma testi yapan firma belgesi bir kişinin Modeli (ELAS/RM)
çalıştığı firmalarında belgeyi alabilmesi ve sektörde o Arşiv Sisteminin Güvenliği
önlerinin kapanmaması için oluşturulmuştur. Ayrıca bazı
alanlarda TS EN ISO/IEC 27001 standardı temelli kısmi o ELAS/RM Uygulama Kılavuzu
bilgi güvenliği denetimi yapılmaktadır. o Arşiv Malzemesinin Tanımlanması
B seviye ve A seviye firmalar içinse stajyer sızma testi Üst Veri Yönetimi
belgesine sahip bir personelin bulunması zorunlu
tutulmuştur. Böylelikle sızma testi yapan yetişmiş insan o Üst Veri Elemanları
kaynağına ulaşılabilmesi hedeflenmiştir. Ayrıca B ve A 2015 yılında yapılan önemli bir yenilikte standardın
yapısında olmuştur. 2015 yılına kadar sadece ürün
�standardı olan TS 13298, Kurum Yeterlilik kullanıcı yelpazesinin erişimine açık hale getirmektir.
Sertifikasyonu maddeleri eklenerek belgeli elektronik Kılavuz üst düzey tasarım kararları ve tasarım stratejisi,
belge yönetim sistemi kullanan kurumların elektronik içerik tasarımı, gezinme, arama ve içerik sunumuna
belge ve arşiv süreçlerini nasıl yürütmesi gerektiğini odaklanmaktadır. Belgelendirmesi TSE tarafından
ortaya koymuştur. Böylelikle kurumların elektronik yapılabilen standart için ihtiyaç duyulan testler ODTÜ
belge ve arşiv yönetim süreçleri denetlenebilir hale İnsan-Bilgisayar Etkileşimi Araştırma ve Uygulama
gelmiştir. Laboratuvarı tarafından karşılanmaktadır.
TS 13298 standardı içerisinde test faaliyetleri de önemli
TS ISO/IEC 19790-24759 Kriptografik Modül
bir yer tutmaktadır. Birer madde ile zorunlu hale Doğrulama
getirilen testler kendilerini tanımlayan madde sayısından Bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin
çok daha kritik muhtevaya sahiptir. Standart içerisinde güvenliğini sağlayan kripto modülleri için güvenlik
performans, fonksiyonel ve güvenlik testleri yaptırılması gereklerini belirleyen bir standarttır. Kripto modüllerinin
istenilmektedir. Testlerin yapılabilmesi için TSE ISO/IEC 19790 standardına uygunluğunu test etmek için
belgelendirme makamı lisanslı laboratuvarlar ile çalışır. ISO/IEC 24759 standardı test metodolojisi olarak
Lisanslı laboratuvarlar farklı kapsamlara sahip olmakla hazırlanmıştır.
birlikte standardın gerektirdiği testlerin tamamını veya
belli bir bölümünü yapabilmektedirler. TÜBİTAK SONUÇ
YTKDM, TSE BTTM ve özel sektörden bir Bilişim teknolojileri alanında üretilen ürün ve yürütülen
laboratuvarda da testler yaptırılabilmektedir. süreçlerin hem kalite açısından hem de güvenlik
TS 13298 standardına uyumun zorunlu hale getirildiği açısından ele alınması gerekliliği bulunmaktadır. Süreç
mevzuat şöyledir: kalitesinin yükseltilebilmesi için SPICE, bilgi
güvenliğinin sağlanabilmesi için Sızma Testi Firma
1. Elektronik Belge ve Arşiv Yönetim Sistemleri belgelendirmesi ve 27001 ve elektronik belge ve arşiv
(2008/16 sayılı Başbakanlık Genelgesi ile) süreçlerinin doğru çalıştırılabilmesi için TS 13298
DİĞER BİLİŞİM TEKNOLOJİLERİ STANDARTLARI Kurum Yeterlilik Sertifikasyonu standardizasyonun
bilişim teknolojileri alanına önerdiği çözümlerdir. Ürün
TSE K 505 Temel Seviye Güvenlik Değerlendirme bakımından güvenlik için Ortak Kriterler, Temel Seviye
Kriteri ve Kripto, kalite için 25051 ve 9241 standartları sektöre
Ortak kriterler gibi güvenlik standartlarının süreçlerinin sunulan çözümlerdir. Ayrıca yetişmiş insan kaynağı
uzun ve zahmetli olması nedeniyle hızlı ve temel ihtiyacı bulunan[9] siber güvenlik alanında çözüm olarak
güvenlik testlerinin yapılmasını hedefleyerek sızma testi uzmanı belgelendirmesi standartlar ile
oluşturulmuş bir kriterdir. Belgelendirme faaliyetleri temellendirilerek sunulmuş bulunmaktadır.
TSE Siber Güvenlik Belgelendirme Müdürlüğü
TÜBİTAK, TSE ve ODTÜ gibi ülkemizin değerli kurum
tarafından yapılan kriterin gerektirdiği testler TÜBİTAK
ve üniversiteleri ile özel sektör tarafından kurulan
OKTEM, TSE BTTM ve özel sektörden bir laboratuvar
laboratuvarlar ile desteklenen belgelendirme
tarafından yapılabilmektedir.
programları, bilişim sektörünün ihtiyaçlarına cevap
verebilecek mekanizmaları oluşturmuş bulunmaktadır.
TS ISO/IEC 25051 Kullanıma Hazır Yazılım Ürünü
(RUSP) Kalitesi İçin Gereksinimler ve Test Talimatları Standardizasyonun faydalarına inanılarak düzenleyici
Standart kullanıma hazır yazılım ürünleri için kalite kurumlar tarafından mevzuat içerisinde atıfta
gereksinimlerini ortaya koymaktadır. Temelde üç bulunularak ilgili belgelendirmeler zorunlu hale
gereksinimi vardır: getirilmiştir.
1. Ürün Açıklaması Dokümanı Bilişim sektöründe ihtiyaçlara çözüm arayışı sürecinde
ilk seçenek olarak standardizasyonun akla gelmesi ancak
2. Kullanıcı Kılavuzu Dokümanı standardizasyonun faydaları kavrandığında
3. Fonksiyonel Testler gerçekleşecektir.
Gerekli belgelendirme sistemi TSE Bilişim Teknolojileri
Belgelendirme Müdürlüğü tarafından kurulmuş olup
KAYNAKÇA
testleri yapmaya yetkin 3 lisanslı laboratuvar
[1]http://www.tdk.gov.tr/index.php?option=com_gts&ke
bulunmaktadır. Bunlar TÜBİTAK YTKDM, TSE BTTM
lime=STANDART, son erişim tarihi 02.11.2017
ve özel sektörden bir laboratuvar tarafından
yapılabilmektedir. [2]https://www.tse.org.tr/tr/icerikdetay/2249/4629/standa
rd-hizmetleri.aspx, son erişim tarihi 02.11.2017
TS EN ISO 9241-151 Web Kullanıcı Arayüzleri
Kılavuzu [3]http://www.etsi.org/standards/why-we-need-standards
Web kullanıcı arayüzü geliştirilmesinde en önemli hedef, son erişim tarihi 02.11.2017
arayüzünü, engelli kişilerde dâhil mümkün olan en geniş
�[4]Importance of Standards, Importance of Standards,
Dr. Ntsibane Ntlatlapa, CSIR Meraka Institute ÖZGEÇMİŞ
İNAN ÖZKAN
[5]TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim
1988 doğumlu. Erciyes Üniversitesi
Sistemi Standardı
Bilgisiayar Mühendiliği lisans
[6]https://www.commoncriteriaportal.org/ccra/ son mezunu. Çalışma hayatına Türk
erişim tarihi 02.11.2017 Standardları Enstitüsü’nde 2013
yılında TSE Uzman Yardımcısı
[7]https://bilisim.tse.org.tr/upload/tr/dosya/icerikyonetim
unvanı ile başladı ve “Uluslararası
i/3299/06102017105941-2.pdf son erişim 02.11.2017
Sızma Testi Hizmeti Veren Kişi Belgelendirmelerinin
[8]https://bilisim.tse.org.tr/tr/icerikdetay/944/1212/spice- İncelenmesi, TSE Belgelendirme Sistemi Ve Ulusal
genel-bilgi.aspx son erişim 02.11.2017 Zayıflık - Exploit Veritabanı Kurulması” adlı tezi ile
TSE Uzmanı unvanını aldı. Çalışmalarını bilişim
[9]http://aa.com.tr/tr/politika/basbakan-yildirim-
teknolojileri alanında belgelendirme denetimleri ve
hedefimiz-siber-guvenligi-milli-guvenlige-entegre-
yazılım test faaliyetleri ile sürdürmektedir.
etmek/942904 son erişim 02.11.2017
�