BİLİŞİM TEKNOLOJİLERİ VE STANDARDİZASYON İnan ÖZKAN Türk Standardları Enstitüsü, Ankara inanozkan@gmail.com ÖZET problems with the standards which have become part of Bilişim teknolojilerindeki değişimin hızı her geçen gün the legislation will be discussed. While it seems that the artmaktadır. Değişime ayak uydurabilmek ve yeni nesil standardization activities such as White Hat Hacker, teknolojiler ile konuşur halde kalabilmek için elimizdeki Common Criteria, SPICE, Information Security en büyük koz standartlardır. Standartlar iş yapış Management have come into prominence, it has been yöntemlerimizden, ürettiğimiz ürüne, şirket personelinin seen that there is a standard that provides solution for yetkinliklerinden dokümantasyon yapımıza kadar her almost every field is dealt with and infrastructure for alana dokunmakta ve dokunduğu alanları geleceğe necessary conformity assessment activities is prepared. hazırlamaktadır. Ülkemizde de her alanda olduğu gibi Keywords bilişim alanında da standardizasyon ihtiyacı her geçen Information Technologies; Standardization; Common gün daha fazla hissedilmekte ve talep edilmektedir. Criteria; SPICE. İhtiyaçlara cevap verebilmek adına bilişim teknolojileri alanında ürün, sistem, personel ve test anlamında ulusal GİRİŞ ve uluslararası standartlar ülkemizde de takip edilmekte Standart kelimesinin zihinlerde ilk yaptığı çağrışım ve yaygınlaştırma çalışmaları titizlikle yürütülmektedir. tekilliktir. Standartlar, tek ve biri yani olması gerekeni Çalışma içerisinde ülkemizde son yıllarda kamu kurum ilgilendiği konu için ortaya koymaya çalışırlar. Ancak ve kuruluşları tarafından talep edilerek mevzuatın parçası standart kelimesi için dahi kısa bir araştırma ile birçok haline gelmiş olan standartlar ile yaşanılan sorunlara farklı tanım elde edebiliriz. İlk kaynak olarak Türk Dil çözüm önerisi getiren standardizasyon faaliyetleri ele Kurumu standart kelimesini sıfat olarak [1] “belli bir tipe alınacaktır. Standardizasyon faaliyetleri içerisinde Beyaz göre yapılmış veya ayrılmış”, “belirli ölçülere, yasaya, Şapkalı Hacker, Ortak Kriterler, SPICE, Bilgi Güvenliği kullanıma uygun olan” ve “örnek veya temel olarak Yönetimi gibi hizmetlerin ön planı çıktığı görülmekle alınabilen” şeklinde 3 farklı şekilde tanımlarken Türk birlikte hemen hemen ihtiyaç olan her alan için çözüm Standardları Enstitüsü (TSE)[2] “imalatta, anlayışta, getiren bir standardın ele alındığı ve gerekli uygunluk ölçme ve deneyde örnekliktir” şeklinde tanımlamaktadır. değerlendirme faaliyetleri için altyapının hazırlanmış Örnek verdiğimiz tanımları araştırmayı derinleştirerek olduğu görülmüştür. çoğaltabilir hatta bizlerde kendi tanımımızı ortaya Anahtar Kelimeler koyabiliriz. Bu durumda “insanlık için tekliğin ve Bilişim Teknolojileri; Standardizasyon; Ortak Kriterler; birliğin sembolü olan standardın nasıl olurda tek bir SPICE. tanımı olmaz?” sorusunu sormak kaçınılmaz hale gelmektedir. Her ne kadar farklı şekillerde tanımlasak ABSTRACT dahi tanımlarımızın tamamı aynı hedefe ulaşmak için The speed of change in information technologies is kullandığımız farklı yollar olarak görülmelidir. increasing day by day. Standard is the biggest trump card Standardizasyon faaliyetleri de bu anlamda standartları to be able to keep up with changing trends and stay in temel alarak farklı yollardan aynı hedef ulaşma çabası touch with the next generation of technology. The olarak görülmelidir. Standartlar ile hedeflenen standards touch in every field from our methods of doing faydalar[3] herkes için güvenlik, güvenilirlik, koruma, business, to the product we produce, from the birlikte çalışabilirlik, ekonomik getiri ve yeni competencies of company personnel to the production of seçeneklerin ortaya konulabilmesi olarak özetlenebilir. documentation and prepare us for the future. As is the Standartsız bir dünya hayal edildiğinde ürünlerin case in every field in our country, the need for istenildiği gibi çalışmadığı, kalitesinin beklentileri standardization in the field of information technology is yakalayamadığı, diğerleri ile uyumu sağlayamadığı, tek felt more and more every day. In order to be able to bir üretici ile kısıtlı kalınması zorunluluğunun ortaya respond to needs, national and international standards in çıktığı, üreticilerin en basit çözüm için dahi kendi terms of products, systems, personnel and testing are kapasiteleri ile kısıtlı kalması sebebiyle inovasyonun hız followed and dissemination efforts are carried out kestiği ve daha kötüsü ürünlerin sağlığı ve yaşamı tehdit meticulously in our country. In this study, the ettiği görülecektir[4]. Tüm bu olumsuzlukların günlük standardization activities which are proposed by the hayatımızın tüm alanlarında altyapıların temel taşı haline public institutions and organizations in recent years in gelmiş olan bilişim teknolojileri ürünlerinde yaşandığını our country and which have proposed the solution to the varsaydığımız da yaşanamaz bir ortamla yüz yüze kalacağımız ve bu nedenle bilişim teknolojileri alanında 1. Güvenlik Politikası da standartlara ve standardizasyon faaliyetlerine 2. Bilgi Güvenliği Organizasyonu yaşanabilir bir dünya için muhtaç olduğumuz aşikardır. 3. İnsan Kaynakları Güvenliği Bilişim teknolojilerinde standardizasyon faaliyetlerini ihtiyaca göre farklı şekillerde ele alabiliriz. 4. Varlık Yönetimi Sınıflandırmayı standardı ortaya konulan olgu yönünden 5. Erişim Kontrolü sistem, ürün veya kişi olarak yapabileceğimiz gibi ihtiyaç duyulan özellikler yönünden de kalite ve 6. Kriptografi güvenlik şeklinde yapmakta mümkündür. Bilişim teknolojileri alanında hangi sınıf ve türde olursa olsun 7. Fiziksel ve Çevresel Güvenlik standardizasyon ihtiyacını karşılamak ve sorunlara 8. Operasyon Güvenliği standartlar üzerinden çözüm getirmek adına çalışmalar yapılmaktadır. Çoğunlukla uluslararası çalışmalar takip 9. İletişim Güvenliği edilerek kimi zamanda doğrudan sektörden gelen talepler 10. Sistem Tedariği, Geliştirme ve Bakımı dolayısıyla güncel ve en uygun çözümlerin henüz sorunlar yaşanmadan ülkemize getirilmesi ve 11. Tedarikçi İlişkileri standardizasyon altyapısının kurulması sağlanmaktadır. 12. Bilgi Güvenliği Vaka Yönetimi Ülkemizde tüm standardizasyon faaliyetlerinden sorumlu resmi kurum olarak TSE, bilişim teknolojileri alanına da 13. Bilgi Güvenliği Açısından İş Sürekliliği ayrı önem vermektedir. Bilişim teknolojileri Yönetimi standardizasyon faaliyetlerinden sorumlu olacak şekilde 14. Uyum TSE bünyesinde çalışmalar oldukça eski yıllara dayanmakla birlikte işler hale getirilen ilk belgelendirme Akreditasyon kapsamında 27001 standardı bulunan 29 sistemi 2000’li yılların sonlarına doğru kurulmuştur. belgelendirme kuruluşu olduğu göz önüne alındığında Değişen ve artan ihtiyaçlar sonrasında TSE bünyesinde ülkemizde yaygın olarak kullanılan bilişim teknolojileri Bilişim Teknolojileri Test ve Belgelendirme Dairesi standartlarının başında gelmektedir. İlgili alanındaki bazı Başkanlığı kurularak standardizasyon faaliyetlerinin konularda işletmelere 27001 belge alma zorunluluğu etkin ve hızlı şekilde karşılanması amaçlanmıştır. Her ne getiren kurumlar şöyledir: kadar standardizasyon kurumu tarafından gerekli altyapı  Enerji Piyasası Düzenleme Kurumu kurulmuş ve belgelendirme sistemleri oluşturulmuş olsa da ülkemizdeki standardizasyon farkındalığının eksikliği  Gümrük ve Ticaret Bakanlığı nedeniyle yaşanan sorunlar gözle görünür hale gelene  Maliye Bakanlığı kadar standartları kullanmakta sektörün büyük bir çekincesi olduğu göz ardı edilemeyecek bir gerçektir. Bu  Bilgi Teknolojileri ve İletişim Kurumu durumda gönüllü bir faaliyet olan standardizasyon çalışmalarına kanun koyucular tarafından mevzuat  Sivil Havacılık Genel Müdürlüğü içerisinde doğrudan atıfta bulunularak sektörün zorunlu olarak standardizasyon faaliyetlerine katılımı TS ISO/IEC 15408 ORTAK KRİTERLER sağlanmaktadır. Bilişim teknolojileri ürünlerinin güvenliğine odaklanmış olan standart, Uluslararası Standardizasyon Bu çalışmada ülkemizde bilişim teknolojileri alanında Organizasyonu (ISO) tarafından kabul edilerek gerçekleştirilen gönüllü ve zorunlu standardizasyon yayınlanan bir standart olmakla birlikte bağımsız bir faaliyetleri ile bu faaliyetlerin konu edindiği bilişim topluluk tarafından geliştirilerek güncellenmektedir[6]. teknolojileri standartları ilgili bilgiler sunulacaktır. Bağımsız topluluk üyesi olunabilmesi için “Ortak Kriterler Tanıma Anlaşması”na taraf olunması ve tanıma TS EN ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM anlaşmasına taraf olacak belgelendirme makamının SİSTEMİ bulunduğu ülkenin kamu kuruluşu olması gerekmektedir. Bilgi taşıdığı değere nispetle varlık sınıflandırmamız Her ülkede sadece bir adet belgelendirme makamı arasında en önde gelmektedir. Bilginin taşıdığı değer tanınmaktadır. Anlaşmaya taraf belgelendirme nedeniyle onu korumak için elimizden geleni yaparız. makamları “üretici üye” ve “tüketici üye” olarak ikiye Koruma çabasının boşa gitmemesi ve amacına ayrılmaktadır. Üretici üyeler tarafından verilen belgeler ulaşabilmesi için teknolojik çözümlerle birlikte sağlam tüm üyeler tarafından kabul edilmekte iken tüketici bir güvenlik yönetim sisteminin kurulması üyelerin verdikleri belgeler sadece kendi ülkelerinde gerekmektedir. İhtiyaç duyduğumuz etkin bilgi güvenliği kabul görmektedir. 17 üretici ve 11 tüketici üyenin taraf sisteminin oluşturulabilmesi için geliştirilen TS EN olduğu anlaşmada ülkemiz TSE tarafından temsil ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi[5] edilmekte ve üretici üyeler arasında bulunmaktadır. standardı bilgi güvenliğini 7 ana madde ve 14 kontrol başlığı altında ele almaktadır. Ele alınması gereken 14 Standart üç bölüm ve bir metodoloji dokümanından kontrol başlığı şöyledir: oluşmaktadır: 1. Giriş ve Genel Model (Bölüm 1) c. Mühendislik Süreç Grubu 2. Güvenlik Fonksiyel Gereksinimleri (Bölüm 2) d. İşletim Süreç Grubu 3. Güvenlik Garanti Gereksinimleri (Bölüm 3) 2. Kurumsal Süreçler 4. Ortak Kriterler Değerlendirme Metodolojisi a. Yönetim Süreç Grubu Ortak Kriterler standardı içerisinde hedeflenebilecek 7 b. Süreç İyileştirme Süreç Grubu adet güvenlik seviyesi bulunmaktadır. Güvenlik seviyesi c. Kaynak ve Altyapı Süreç Grubu 1’den 7’ye doğru yükseldikçe daha detaylı tasarım dokümantasyonu ve daha derinlemesine güvenlik testleri d. Tekrar Kullanma Süreç Grubu ihtiyacı ortaya çıkmaktadır. BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediği 3. Destek Süreçler kontrol edilir, var olan tehditleri analiz edilir, a. Destek Süreç Grubu Fonksiyonel ve bağımsız sızma testleri (açıklık analizi çalışması) yapılır ve ürüne uygun garanti seviyesinde Süreç setleri ile ilişkilendirilen temel pratiklerin yanı sıra belge verilir. genel pratiklerde tanımlanmış olup seviye belirleme kapsamına alınmış olan süreçlere uygulanmaktadır. Ürünün güvenlik değerlendirmesinin yapılması ve SPICE standardı içerisinde beş seviye bulunmaktadır. belgelendirme faaliyetleri birbirinden ayrılmış olup Birinci seviyede temel pratikler değerlendirilirken diğer değerlendirme faaliyetleri belgelendirme makamları seviyelerde genel pratikler değerlendirilmektedir. tarafından lisanslanmış olan laboratuvarlar aracılığı ile yapılmaktadır. Değerlendirme laboratuvarında aranan ön  Seviye 1 Gerçekleştirilmiş şart TS EN ISO/IEC 17025 Deney ve Kalibrasyon o Süreç Performansı Laboratuvarlarının Yeterliliği için Genel Şartlar standardından akredite olunmasıdır. TSE belgelendirme  Seviye 2 Yönetilen makamının ikisi yerli olmak üzere beş adet lisanslı o Performans Yönetimi laboratuvarı bulunmaktadır[7]. Ayrıca TSE bünyesinde bir adet Ortak Kriterler Değerlendirme Laboratuvarı o İş Ürünü Yönetimi kurulması çalışmaları sürmekte olup laboratuvarın  Seviye 3 Kurulmuş akreditasyon süreci tamamlanmıştır. o Süreç Tanımı TSE belgelendirme makamı tarafından 50 adet ürüne belge verilmiş durumdadır. Ortak Kriterler ürün o Süreç Düzenleme güvenliğini hedefleyen ve uluslararası kabul görmüş bir  Seviye 4 Tahmin Edilebilir standart olması nedeniyle ülkemiz resmi makamları tarafından gerekli görüldüğü alanlar için zorunlu hale o Süreç Ölçümü getirilmeye başlanmıştır. Ortak kriterler zorunluluğu olan o Süreç Kontrolü ürünler; 1. Sağlık Bilgi Yönetim Sistemleri (Sağlık  Seviye 5 En İyileştirici Bakanlığı) o Süreç Yenileme 2. Yeni Nesil Ödeme Kaydedici Cihazlar (Gelir o Süreç Eniyleştirme İdaresi Başkanlığı) SPICE denetimi yapılabilmesi için en az iki kişilik TS ISO/IEC 15504 YAZILIM SÜREÇ İYİLEŞTİRME denetim ekibi oluşturulmalıdır. Denetim ekibinde olacak OLGUNLUK (SPICE) personeller International Assessor Certification Scheme SPICE (Software Process Improvement Capability (INTACS) tarafından yetkilendirilmektedir. Yetkinin dEtermination) modelinin amacı farklı yazılım süreç alınabilmesi için lisanslı kuruluşlardan eğitim alınmalı ve değerlendirme model ve yöntemleri için ortak bir ana sınavdan başarı sağlanmalıdır. Denetçiler için üç seviye prensip sağlamaktır[8]. Yazılım satın alma, tedarik, bulunmakta olup denetçi, uzman denetçi ve baş denetçi işletim, bakım ve destek için planlama, yönetim, icra, unvanları bulunmaktadır. Denetim ekibi biri uzman denetim, iyileşme, yeterlilik ve olgunluk düzeyi denetçi olmak üzere en az iki denetçiden oluşmalıdır. belirleme standardıdır. Standart içerisinde süreç setleri Ülkemizde akredite olarak SPICE belgesi veren tek tanımlanmıştır. Süreç setleri 3 ana sınıf altında kuruluş TSE’dir. TSE tarafından belge verilen 44 kuruluş incelenmektedir: bulunmaktadır. SPICE belgesinin zorunlu olduğu alan: 1. Temel Süreçler 1. Sağlık Bilgi Yönetim Sistemleri (Sağlık Bakanlığı) a. Satın Alma Süreç Grubu Ayrıca bir diğer yazılım yaşam döngüsü standardı olan b. Tedarik Süreç Grubu TS ISO/IEC 12207 belgesi yerli malı belgesi almak isteyen yazılımlar için TOBB Sanayi Müdürlüğü seviyeleri için firmaların TS EN ISO/IEC 27001 tarafından zorunlu hale getirilmiştir. belgesine sahip olunması zorunludur. TS 13638 SIZMA TESTİ YAPAN PERSONEL VE TS 13298 ELEKTRONİK BELGE VE ARŞİV YÖNETİM FİRMALAR İÇİN ŞARTLAR (BEYAZ ŞAPKALI SİSTEMİ HACKER) EBYS standardı olarak bilinen TS 13298 standardı TS 13638 standardı ulusal standartlarımız arasında olup kurumlar tarafından kullanılan elektronik belge ve arşiv ülkemizin siber güvenlik alanındaki yetkin personel yönetim sistemlerinin sahip olması gereken özellikleri ihtiyacının karşılanması ve sızma testleri gerçekleştiren ortaya koyar. Resmi belgelerin elektronik ortama kuruluşların bir disiplin altına alınması hedefi ile taşınarak iş ve işlemlerde zaman ve maliyet açısından oluşturulmuştur. tasarruf sağlanması bir yana ülke hafızamızı oluşturan Standart işlevsel olarak hem personel ve sistem belgelerin gelecek kuşaklara mümkün olan en iyi şekilde belgelendirme hem de sızma testlerinde kullanılabilecek aktarılması hedefi de standartta yüklenen önemli bir şekilde düzenlenmiştir. Personel belgelendirme ile ilgili sorumluluktur. Bu nedenle standart referans model olarak 2 alan ve 4 seviye belirlenmiştir. Bunlar: olarak yayınlandığı ilk günden beri güncel teknolojik gelişmeler ve ülke ihtiyaçları takip edilerek  Ağ ve Sistem Güvenliği güncellenmekte ve geliştirilmektedir. 2015 yılında yapılan revizyon ile içerikte geliştirme yapılarak arşiv  Web ve Veritabanı Güvenliği sisteminin gerekleri tanımlanmış, birlikte çalışabilirlik alanları ile için elektronik yazışma paketi ve kayıtlı elektronik posta kullanımı zorunlu hale gelmiş ve güvenlik testleri  Stajyer Sızma Testi Uzmanı standarda eklenmiştir. Standart aşağıdaki bölümlerden  Kayıtlı Sızma Testi Uzmanı oluşmaktadır:  Sertifikalı Sızma Testi Uzmanı  Sistem Kriterleri  Kıdemli Sızma Testi Uzmanı o Dosya tasnif planları seviyeleridir. o Saklama Planları Sızma testi uzmanlarının belge alabilmesi için stajyer o Elektronik Belgelerin Kayıt İşlemleri sızma testi uzmanı seviyesi en alt seviye olarak o Elektronik Belgelerin Paylaşımı belirlenmiş ve uygulama gerektirmeyen teorik bilgi ile alınabilmektedir. Ancak diğer üst seviyeler uygulama o EBYS Kullanım Özellikleri sınavından da belirli seviyede puan almak, akademik o Erişim Kontrolü ve Güvenlik yayın yapmak, açıklık keşfinde bulunmak gibi uzmanlığı gösterebilecek farklı şartlarla donatılmıştır. Sızma testi o Sistem Tasarımı ve Yönetimi uzmanı belgelendirmesi için eğitim ve sınavlar  Belge Kriterleri düzenlenerek belgelendirme işlemi yapılması faaliyetleri TSE bünyesinde yürütülmektedir. o Belge Özellikleri Sızma testi yapan firmaların belgelendirilebilmesi için o Doküman Yönetimi öncelikle aynı standarttan belge almış sızma testi uzmanı o Elektronik Olmayan Sistemlerle belgesine sahip uzmanlar bulunması gerekir. Bu kısımda Uyumluluk 3 firma seviyesi belirlenmiştir. Bunlar: o Dijital Görüntüleme Sistemleri  A Seviye Sızma Testi Yapan Firma  Elektronik Arşivleme Sistemi Referans Modeli  B Seviye Sızma Testi Yapan Firma (ELAS/RM)  C Seviye Sızma Testi Yapan Firma o Elektronik Arşivleme Sistemi Referans C seviye sızma testi yapan firma belgesi bir kişinin Modeli (ELAS/RM) çalıştığı firmalarında belgeyi alabilmesi ve sektörde o Arşiv Sisteminin Güvenliği önlerinin kapanmaması için oluşturulmuştur. Ayrıca bazı alanlarda TS EN ISO/IEC 27001 standardı temelli kısmi o ELAS/RM Uygulama Kılavuzu bilgi güvenliği denetimi yapılmaktadır. o Arşiv Malzemesinin Tanımlanması B seviye ve A seviye firmalar içinse stajyer sızma testi  Üst Veri Yönetimi belgesine sahip bir personelin bulunması zorunlu tutulmuştur. Böylelikle sızma testi yapan yetişmiş insan o Üst Veri Elemanları kaynağına ulaşılabilmesi hedeflenmiştir. Ayrıca B ve A 2015 yılında yapılan önemli bir yenilikte standardın yapısında olmuştur. 2015 yılına kadar sadece ürün standardı olan TS 13298, Kurum Yeterlilik kullanıcı yelpazesinin erişimine açık hale getirmektir. Sertifikasyonu maddeleri eklenerek belgeli elektronik Kılavuz üst düzey tasarım kararları ve tasarım stratejisi, belge yönetim sistemi kullanan kurumların elektronik içerik tasarımı, gezinme, arama ve içerik sunumuna belge ve arşiv süreçlerini nasıl yürütmesi gerektiğini odaklanmaktadır. Belgelendirmesi TSE tarafından ortaya koymuştur. Böylelikle kurumların elektronik yapılabilen standart için ihtiyaç duyulan testler ODTÜ belge ve arşiv yönetim süreçleri denetlenebilir hale İnsan-Bilgisayar Etkileşimi Araştırma ve Uygulama gelmiştir. Laboratuvarı tarafından karşılanmaktadır. TS 13298 standardı içerisinde test faaliyetleri de önemli TS ISO/IEC 19790-24759 Kriptografik Modül bir yer tutmaktadır. Birer madde ile zorunlu hale Doğrulama getirilen testler kendilerini tanımlayan madde sayısından Bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin çok daha kritik muhtevaya sahiptir. Standart içerisinde güvenliğini sağlayan kripto modülleri için güvenlik performans, fonksiyonel ve güvenlik testleri yaptırılması gereklerini belirleyen bir standarttır. Kripto modüllerinin istenilmektedir. Testlerin yapılabilmesi için TSE ISO/IEC 19790 standardına uygunluğunu test etmek için belgelendirme makamı lisanslı laboratuvarlar ile çalışır. ISO/IEC 24759 standardı test metodolojisi olarak Lisanslı laboratuvarlar farklı kapsamlara sahip olmakla hazırlanmıştır. birlikte standardın gerektirdiği testlerin tamamını veya belli bir bölümünü yapabilmektedirler. TÜBİTAK SONUÇ YTKDM, TSE BTTM ve özel sektörden bir Bilişim teknolojileri alanında üretilen ürün ve yürütülen laboratuvarda da testler yaptırılabilmektedir. süreçlerin hem kalite açısından hem de güvenlik TS 13298 standardına uyumun zorunlu hale getirildiği açısından ele alınması gerekliliği bulunmaktadır. Süreç mevzuat şöyledir: kalitesinin yükseltilebilmesi için SPICE, bilgi güvenliğinin sağlanabilmesi için Sızma Testi Firma 1. Elektronik Belge ve Arşiv Yönetim Sistemleri belgelendirmesi ve 27001 ve elektronik belge ve arşiv (2008/16 sayılı Başbakanlık Genelgesi ile) süreçlerinin doğru çalıştırılabilmesi için TS 13298 DİĞER BİLİŞİM TEKNOLOJİLERİ STANDARTLARI Kurum Yeterlilik Sertifikasyonu standardizasyonun bilişim teknolojileri alanına önerdiği çözümlerdir. Ürün TSE K 505 Temel Seviye Güvenlik Değerlendirme bakımından güvenlik için Ortak Kriterler, Temel Seviye Kriteri ve Kripto, kalite için 25051 ve 9241 standartları sektöre Ortak kriterler gibi güvenlik standartlarının süreçlerinin sunulan çözümlerdir. Ayrıca yetişmiş insan kaynağı uzun ve zahmetli olması nedeniyle hızlı ve temel ihtiyacı bulunan[9] siber güvenlik alanında çözüm olarak güvenlik testlerinin yapılmasını hedefleyerek sızma testi uzmanı belgelendirmesi standartlar ile oluşturulmuş bir kriterdir. Belgelendirme faaliyetleri temellendirilerek sunulmuş bulunmaktadır. TSE Siber Güvenlik Belgelendirme Müdürlüğü TÜBİTAK, TSE ve ODTÜ gibi ülkemizin değerli kurum tarafından yapılan kriterin gerektirdiği testler TÜBİTAK ve üniversiteleri ile özel sektör tarafından kurulan OKTEM, TSE BTTM ve özel sektörden bir laboratuvar laboratuvarlar ile desteklenen belgelendirme tarafından yapılabilmektedir. programları, bilişim sektörünün ihtiyaçlarına cevap verebilecek mekanizmaları oluşturmuş bulunmaktadır. TS ISO/IEC 25051 Kullanıma Hazır Yazılım Ürünü (RUSP) Kalitesi İçin Gereksinimler ve Test Talimatları Standardizasyonun faydalarına inanılarak düzenleyici Standart kullanıma hazır yazılım ürünleri için kalite kurumlar tarafından mevzuat içerisinde atıfta gereksinimlerini ortaya koymaktadır. Temelde üç bulunularak ilgili belgelendirmeler zorunlu hale gereksinimi vardır: getirilmiştir. 1. Ürün Açıklaması Dokümanı Bilişim sektöründe ihtiyaçlara çözüm arayışı sürecinde ilk seçenek olarak standardizasyonun akla gelmesi ancak 2. Kullanıcı Kılavuzu Dokümanı standardizasyonun faydaları kavrandığında 3. Fonksiyonel Testler gerçekleşecektir. Gerekli belgelendirme sistemi TSE Bilişim Teknolojileri Belgelendirme Müdürlüğü tarafından kurulmuş olup KAYNAKÇA testleri yapmaya yetkin 3 lisanslı laboratuvar [1]http://www.tdk.gov.tr/index.php?option=com_gts&ke bulunmaktadır. Bunlar TÜBİTAK YTKDM, TSE BTTM lime=STANDART, son erişim tarihi 02.11.2017 ve özel sektörden bir laboratuvar tarafından yapılabilmektedir. [2]https://www.tse.org.tr/tr/icerikdetay/2249/4629/standa rd-hizmetleri.aspx, son erişim tarihi 02.11.2017 TS EN ISO 9241-151 Web Kullanıcı Arayüzleri Kılavuzu [3]http://www.etsi.org/standards/why-we-need-standards Web kullanıcı arayüzü geliştirilmesinde en önemli hedef, son erişim tarihi 02.11.2017 arayüzünü, engelli kişilerde dâhil mümkün olan en geniş [4]Importance of Standards, Importance of Standards, Dr. Ntsibane Ntlatlapa, CSIR Meraka Institute ÖZGEÇMİŞ İNAN ÖZKAN [5]TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim 1988 doğumlu. Erciyes Üniversitesi Sistemi Standardı Bilgisiayar Mühendiliği lisans [6]https://www.commoncriteriaportal.org/ccra/ son mezunu. Çalışma hayatına Türk erişim tarihi 02.11.2017 Standardları Enstitüsü’nde 2013 yılında TSE Uzman Yardımcısı [7]https://bilisim.tse.org.tr/upload/tr/dosya/icerikyonetim unvanı ile başladı ve “Uluslararası i/3299/06102017105941-2.pdf son erişim 02.11.2017 Sızma Testi Hizmeti Veren Kişi Belgelendirmelerinin [8]https://bilisim.tse.org.tr/tr/icerikdetay/944/1212/spice- İncelenmesi, TSE Belgelendirme Sistemi Ve Ulusal genel-bilgi.aspx son erişim 02.11.2017 Zayıflık - Exploit Veritabanı Kurulması” adlı tezi ile TSE Uzmanı unvanını aldı. Çalışmalarını bilişim [9]http://aa.com.tr/tr/politika/basbakan-yildirim- teknolojileri alanında belgelendirme denetimleri ve hedefimiz-siber-guvenligi-milli-guvenlige-entegre- yazılım test faaliyetleri ile sürdürmektedir. etmek/942904 son erişim 02.11.2017